みなさん、こんにちはextureの大平と申します。
これを見ていらっしゃるあなたの会社のWebサイトはプライバシー対策が出来ていると自信をもって言えますか?
導入している解析系のタグや広告タグ、それに紐づくCookieなど、きちんと把握出来ていますでしょうか?
webサイトで導入されているタグやCookieが適切に機能しているのかどうか確認する際に重要な9つのポイントをお伝えしますので、是非あなたの会社では確認出来ているのかどうかチェックしてみてください。
1. タグとcookieの確認
まずは、Webサイトに導入されている「全て」のタグとCookieを確認しましょう。
それぞれが具体的になんのデータを扱っているのか、どのCookieが設定されているのかを知ることでどのような顧客データを収集しているのか理解することが出来ます。
2. データ収集のトリガーの確認
WebサイトでのCMP(同意管理プラットフォーム)の利用が一般的になり、ユーザーの選択に基づくCookieのデータ収集が行われるようになりました。通常、CMPやタグマネジメントシステムの設定によって、ユーザーの選択に合わせたタグの制御が行われます。
ここで注意が必要なのはピギーバッキングタグやWebサイトに直接記述のされたタグです。
企業のWebサイトでは、広告代理店や第三者のベンダーによって設置されたタグが、意図せずそのまま残っていることがよくあります。
怪しいタグが特定された場合、そのタグの目的を理解し、必要性を判断した上で削除やタグマネジメントシステムに組み込んでCMPで制御できるようにする必要があります。
3. Cookie同意バナーの表示の確認
ユーザーへのcookie同意バナーは100%すべてのページで表示出来ていますか?
Cookie同意バナーは現代ではユーザーとの一番最初のWebサイトの接点です。cookie同意バナーが表示されなかった場合、ユーザーの意図しないデータ収集が行われる可能性があります。
このバナーが正常に表示され機能しているかどうかがプライバシー保護の重要なステップになっています。
CMPや自社開発でのツールによるcookie同意バナーも完璧ではありません、ウェブサイトの変更や人為的なエラーによって影響を受け、バナーが表示されない可能性もあります。
定期的にcookie同意バナーがすべてのページで表示出来ているのか確認することが必要です。
4. Cookieの同意内容の検証
次に、ユーザーが選択した内容が適切に尊重されているかどうかを確認します。
ユーザーがcookie同意バナーに入力した上でWebサイトを利用する際、誤ってユーザーの選択と異なるcookieが設定されていないかを確認する必要があります。
ユーザーのcookie同意の選択を尊重しないことにより、法的責任のリスクが高まる可能性があるため、Webサイトが導入しているCMPが実際にユーザーの同意を守れているかを確認することは重要です。
5. データの送信先とアクセス元の確認
あなたのWebサイトがどこからアクセスされているか把握していますか?
また、Webサイトで使用しているタグのデータについてもどこに送信されているかを把握出来ていますでしょうか?
ますます多くのデータ保護法が導入される中、ユーザーから収集されたデータの物理的な保存場所は重要なコンプライアンスの問題となっています。
コンプライアンスを維持するためには、各データの収集ポイント、つまり誰がそのデータを収集しているのか、どこに送信しているのかを理解することが不可欠です。
6. 個人を特定できる情報(PII)の確認
GDPRおよびその他のデータ保護法では、個人を特定できる情報(PII)を収集する組織はその使用目的をユーザーへ通知し、データを暗号化して保持し、ユーザーからの削除要求に応じる必要があります。
あなたのWebサイトで個人を特定できる情報がどこで収集されているか把握出来ていますでしょうか?フォームやその他の場所で、個人を特定できる情報を取集している箇所を把握し、収集したユーザーの情報をどのように保持しセキュリティを確保しているのかを確認する必要があります。
7. プライバシーポリシーの表示
GDPRおよびその他のデータ保護法では、プライバシーポリシーがすべてのページからアクセス可能である必要性について定義しています。
これは簡単に思えるかもしれませんが、確実にすべてのページからプライバシーポリシーへアクセス可能であることを定期的に確認することが重要です。
また、プライバシーポリシーの内容を確認することも重要です。
多くのデータ保護法ではプライバシーポリシーの内容が簡潔かつ理解しやすいものとするように規定しています。
その理由は、収集される情報と利用される目的についてユーザーに明確に理解してもらうためです。
曖昧で意図されたデータ利用を明確にしていないプライバシーポリシーだったことで、多額の罰金を科された企業もあります。
8. Javascriptエラー
現代のWebサイトはJavascriptに大きく依存しています。 Javascriptが不正や人為的なミスなどによって変更された際にセキュリティが保たれない状況に陥る可能性があります。
WebサイトにどんなJavascriptのタグあり、それを誰が管理しているのか把握することが重要です。 Javascriptの変更やエラーを監視しWebサイトのセキュリティを保ちましょう。
9. データ漏洩の可能性
これまでお伝えしたポイントの多くがデータが漏洩のリスクがあるポイントです。
Webサイトを管理しているチームと一緒にデータ漏洩の可能性が発生するポイントがどこなのか、また現在どのように対応しているのか、今の対応で十分なのかを確認することが重要です。
いかがでしたでしょうか、これらの9つのポイントでWebサイトの状況を確認することで企業のWebサイトのプライバシー対策が適切かどうか確認することが出来ます。
これらの確認やテストを手作業で行うことも出来ますが、弊社取り扱いのObservePointを利用することでこれらの多くを自動的に確認することが出来きます。
いくつかのダッシュボートを簡単に紹介させていただきます。
Tag Inventory
- Webサイト内のタグの一覧化
- タグの実装ページの割合の確認
- 壊れているタグの確認
Tag Initiator
- タグの発火の親子関係の確認
Geo Location
- リクエストドメイン
- リクエスト数
- リクエストのあった国
JavaScript File Change
- 前回の確認から変更されたJavascriptファイル
- サイズの変更があったJavascriptファイル
- 新しいJavascriptファイル
ObservePointを実際にお客様のWebサイトでお試しいただくことができます。
下記の内容を observepoint@ex-ture.jp 宛メールにてお知らせください。 折返し弊社よりトライアルについてご連絡させていただきます。
・御社名
・ご担当者名
・ご連絡先メールアドレス
・対象WebサイトURL
※ トライアルはお客様が直接運営管理されているWebサイトのみ可能です
エクスチュアはObservePointの日本におけるテクノロジーパートナーです。
Webサイトのタグ周りでお困り事があれば、お気軽にメールまたはお問い合わせよりご連絡ください。
ObservePoint日本語サイト
この記事は下記ObservePoint社の資料9 Point Website Privacy Auditを翻訳・加筆したものです。
