ドイツでGoogle FontsをWebサイトに使うと訴えられる？

2022年からドイツで急増！ Webサイト運営者に送りつけられる警告書

※本記事は、ドイツでWebサイトを運営している人に向けて書かれています。

2022年の秋になって、Google Fontsの使用によるGDPR（EU一般データ保護規則）違反について、Webサイト運営者が警告書を受け取るケースがドイツで急増していると聞きました。私自身Google FontsをWebサイトに使うことが多いので、何が問題なのか、どう対応すれば良いのかを調べました。ここに簡単にまとめてみましたので、ドイツでWebサイトをお持ちの方、これから作ろうとしている方の参考になれば幸いです。

Google Fontsの何が問題なのか？

Google Fontsには、洗練されたデザインのフォントが非常に沢山あり、しかも簡単かつ無料でWebサイトで使うことができるので、愛用される方は多いでしょう。
手っ取り早く使うには、Googleのサーバを経由して読み込ませると楽なのですが、これがGDPR違反になるとされています。WebサイトでGoogle Fontsが表示される時に、閲覧者のIPアドレスが米国のGoogleに送られます。GDPRでは個人を特定できる情報を収集することを禁じていますが、IPアドレスからサイト訪問者の位置を特定できるため、プライバシーの侵害とみなされます。

なお、Font AwesomeやAdobe Fontsといった他のWebフォントにも同様の問題があります。

発端は2022年1月のミュンヘン地裁の判決

GDPR（EU一般データ保護規則）が施行されたのは４年前になりますが、一体なぜ今になって突然Google Fontsが騒がれるようになったのでしょうか。

ことの起こりは今年１月のミュンヘン地裁での判決。Webサイトに用いたGoogle FontsがGDPR違反として、被告であるWebサイトの運営者に対して100ユーロの罰金の支払いが命じられました。

これが引き金となって、Google Fontsを用いるWebサイトがGDPR対策を講じる動きが起こりましたが、それと並行して、対応が遅れているサイト運営者宛に警告文を送りつける人が出てきました。秋以降大量に出回っている警告書の多くは、ドイツ在住の二人の弁護士によるもので、両者とも、同じ文面の警告文を多数のサイト運営者に送っています。

もし警告書を受け取ったら？

Google Fonts問題が騒がれる一方、このことを知らずにいるサイト運営者、または、知っていても放置しているサイト運営者は少なくありません。寝耳に水で、突然弁護士から警告書を受け取って驚く人も多いと思います。

警告文には、Webサイトの違反によって送信者のプライバシーが侵害されたので、和解金150〜250ユーロを１〜２週間内に指定の口座先に振り込めという内容のことが書かれているそうです。ミュンヘンの判決では100ユーロだったのに、腑に落ちないものがありながらも、それほど高額でないのですぐに支払う人も一定数いるようです（それが警告文を送る側の狙いですが）。
これらの弁護士の行為は法を根拠にしているとはいえ、和解金を得ることだけを目的に多数のサイトをクリックして被害者ぶるボッタクリだとして、和解金を支払わなくても訴えられるリスクは低いと見る意見が多いようです。警告書を受け取った場合のアドバイスを探していくつかのサイトを参照しましたが、和解金を支払わないことを勧めています。ただし、ケースバイケースなので、どう対応するかは状況に応じて決めるべきでしょう。

警告書を受け取った場合の対応については、IT法を専門とするe-Recht24のWebサイトにアドバイスが書かれています（ドイツ語）。

Achtung Abmahnung: Prüfen Sie jetzt die Einbindung von Google Fonts

ともあれ、警告文を受け取るかどうかに関わらず、Google FontsによるGDPR違反の有無を確認したなら、フォントをセルフホスティングするなど早急に対策が必要です。

追記 2022.12.21：前述の弁護士から警告書を受け取った人のうち約400名が訴えたことから、この件について捜査が始められています。

EU一般データ保護規則 (GDPR) へのWebフォント対策

まずは、WebサイトにGoogle Fontsが使われているか、チェックするところから始めましょう。

下記の「Google Fonts チェッカー（ドイツ語）」では、urlを入力するだけで簡単にチェックができ、Google Fontsが使用されている場合はフォント名も表示されて便利です。

Google Fonts Checker | Sofort Ergebnis | kostenlos | Ohne Anmeldung - direkt Ergebnisse anschauen | Google Fonts jetzt überprüfen

自分ではGoogle Fontsを使っていないつもりでも、Webサイトのコンポネント（WordPressの場合、使用テーマやプラグイン）にGoogle Fontsが使われていると、知らず知らずのうちにGoogle Fontsを使っていることになります。そうした隠れたGoogle Fontsも、オンラインチェッカーは見つけてくれます。

GDPR対策として確実なのは、Webフォントをセルフホスティングすることです。Google FontsやFont Awesomeをセルフホスティングする具体的な方法については、検索すれば詳しい情報がたくさん見つかるので、ここでは述べません。（なお、Adobe Fontsはフォントのライセンスの関係でセルフホスティングすることはできません。）
また、セルフホスティングにするとページの読み込み速度が上がるというメリットもあります。
日本語フォントデータは欧文フォントよりもずっと重いので、読み込み速度を落とさないよう、サブセット化して軽量にするのがおすすめです。

セルフホスティングせずに、Google Fontsについての断り書きをプライバシーポリシーに盛り込むことでよしとするWebサイトもありますが、プライバシーポリシーを読む前にIPアドレスがGoogleへ送信されてしまうので、やはりGDPRに違反してしまいます。

別の解決法として、サイト訪問者の同意を得るまでGoogle Fontsを非表示にするWordPressのプラグインがありますが、同意・拒否を選択する手間が煩わしいですし、代替フォントだとWebサイトのデザインを損なうので、Webサイトの印象を悪くしてしまいそうです。

ドイツでWebサイトを運営する際に気をつけたいこと

Google Fontsに限らず、WebサイトがGDPRに準拠しているか、時折見直すことは重要です。Webサイト制作を外注した場合でも、サイト運営者がWebサイトの責任者となります。

Webサイトを取り巻く環境は絶えず動いています。法律、法律の解釈、Webを支える技術、流行など、様々な要素が変化する中で、伝えたいメッセージを見失うことなく、周囲の条件に合わせた形にWebサイトを作り変えていくのが大切だと思います。