見出し画像

宿泊事業者のGDPR対応、どうしてますか?

Masanori/観光ライター

こんばんは。観光ライターのMasanoriです。

GDPRの対応について最近相談を受けたので、noteに綴ります。
GDPR(General Data Protection Regulation:一般データ保護規則)とは何ぞや、という根本的な部分については、wikiや公的な解説サイトをご参照いただければよいと思いますが、2018年5月25日の施行に伴い、国内でも特に宿泊事業者の方々は、おそらくコロナ禍になる前、GDPR対応について社内アナウンスなどで注意喚起されたところも多いのではないでしょうか。

PPC 個人情報保護委員会 GDPR

GA解析もGDPR次第

要約すると、EU圏の個人情報に関する新しい保護規約みたいなもので、そのなかにはIPアドレスやCookieも含まれ、個人情報を取得する際には必ず同意を得る必要がありますよ、という内容です。そもそも、インバウンド向けでEU圏からの顧客の予約をとっている場合も含め、Google Analyticsの解析タグもオプトインで承諾を取らないといけなくなりました。そのため、最近は「Cookie情報を取得することを許可しますか?」みたいなフローティングやポップアップが表示されるサイトが増えました。コロナ禍でインバウンド旅行客がほぼ皆無の状況になり、なんとなく有耶無耶になった感がありますが、今のうちに対応しておいたほうが良い部分ではあります。

画像1

対応としては、個人情報保護のページとは別に、クッキーポリシーのページを用意し、前述の同意を促すフローティングなどをアクセス時に表示するのが一般的です。(厳密に、それで回避できるかはリーガルに確認してください)

CMPの導入方法

このGDPRに対応するための、Cookie取得の同意を促す選択についてはシステム化されており、CMP(Consent Management Platform)と呼ばれます。サイト導入ソリューションを販売しているIT系企業も多々存在しています。単純に、同意されなかった場合にGA解析タグを読み込まない、というものではないようで、クッキーごとの管理が必要なようですので、簡易に導入できないものか、少し調べてみました。最近は、猫も杓子もWordpressだと思いますので、プラットホームはWP基準です。

WPプラグイン『GDPR Cookie Consent』

画像2

・Wordpress用の無料プラグイン『GDPR Cookie Consent
選んでみたのは、プラグインで“GDPR”と入力して検索で最初にヒットした、CCPA(カリフォルニア州消費者プライバシー法)にも対応している、評価がめちゃめちゃ良いGDPR Cookie Consent。早速有効化します。

画像3

今回はひとまずGDPRのみとして、設定項目を埋めていきます。
といっても、デフォルトのまま使える部分のほうが多いですね。

画像4

「Cookieバーをカスタマイズ」のタブにて、よくあるお約束の表記に変更します。

画像5

専用の変数で出力されるボタンをコントロールできます。デフォルトでは「承諾」とリンクだけだったので、「承諾しない」も追加してみました。Cookieバーの表示は「バナー」にしてあります。

画像6

画像7

日本ではたぶんこれが主流になっている、フッターにフローティングで表示されるバナータイプのものになります。opacity(透過)はカスタマイズでできるかも。

画像8

「ポップアップ」にすると、サイト中央にこのように出力されます。ポップアップというより、jquery的にはLightboxと表したほうがわかる人にはわかるかと思われます。

画像9

「ウィジェット」にすると、左下にスクエア広告みたいな表示になります。海外サイトはこのタイプをよく見かける気がします。

無料CMPを導入する際の注意点

以上から、対応しようと思えば無料でCookie毎の管理も含めて可能ですが、ひとつ重要な注意点があります。それは、前述にもあるとおり、GAの解析タグ読み込み時のCookieも対象ということです。

画像10

つまり、「承諾する」を押下しない場合、そもそも解析が走りませんので、PVに影響するリスクがあります。なので、このプラグインの有料プランを導入して、「EU諸国における位置情報に基づくCookie通知除外」を適用するのが最適解かなと考えます。
※EU地域以外にはそもそも出力しない。

画像11

国際色が強いホテルチェーンのサイトなどでは既に導入されているようですが、そもそも「承諾しない」を出力していないケースが散見されます。しかし、“選択しなかった場合”の挙動は、おそらくオプトインということなら「承諾しない」と同義なので、どういう意図で表示していないのかは、わかりかねます。Webマーケ的には、GAの数値に影響が出るのはNG中のNGなので、日本からのアクセスでも表示されているのは、なんとなく危機感を覚えてしまいます。

オブラートに包まずに申し上げると、日本からのアクセスでもCMPを出力していると、「承諾する」以外がGAの解析に全く乗らなくなりますので(逆にそうなっていないとそれはGDPR対応ではありません)、コンバージョンの数値や、タグマネなんかで予約ボタンのトラッキングを解析しているなら、要注意です。

いかがでしたか。
違反時の罰則金が高すぎて一時期話題になりましたが、街にはEU圏の方らしき姿はすっかり見なくなってしまいました。再びインバウンドが活発になって、GDPRが浸透するようになる日がくると良いですね。

おまけ

自力でがんばろうとしている方へ。最初、GAの読み込み制限だけかと思って、「EU圏からのアクセスだけ出力する」ために国の識別まではやったところで、全部のCookie管理が必要ということに気づいて中止しました。どうしても完全無料で実施したい場合、そのような条件をつくれば最低限の対応はいけるかなと思われます。以下は実行すると、located in: JP(日本なら)のように出力されるだけです。しかし、REMOTE_ADDRとかUSER_AGENT関係は、アクセス時に取得するのは既にグレーじゃないだろうか・・と思いつつ。有料版のプラグインだと何で判別しているのでしょうかね。

<?php
/* REMOTE_ADDRから国を識別して振り分ける */
$user = gethostbyaddr($_SERVER["REMOTE_ADDR"]);
//フランスのIPでテスト(適宜削除してください)
//$user = gethostbyaddr("5.39.231.255");

$country = geoip_country_code_by_name($user);
if ($country) {
   echo 'located in: ' . $country;
}
?>

この記事が参加している募集

最近の学び

179,788件

この記事が気に入ったらサポートをしてみませんか?