EU一般データ保護規則 GDPR対策

EU一般データ保護規則（GDPR）とは

EU一般データ保護規則（General Data Protection Regulation、GDPR）はEU連合国内の全ての個人のためにデータ保護を目的とした規則です。日本も対象となり違反した場合は約26億円の支払いを命じられる可能性があります。適応開始日は2018年5月25日から適用開始されますので今のところ罰則で高額な違反金を払った人はいません。（２０１８年５月22日時点）

EU一般データ保護規則（GDPR）の適応開始日

2018年5月25日から適用開始されます。

EU一般データ保護規則 （GDPR）の対象

日本もEU一般データ保護規則 （GDPR）の対象国です。
GDPRで定義されている個人データは下記の情報となります。

EU一般データ保護規則 （GDPR）罰則

制裁金は2種類あり、例えば、「義務があるのにEU代表者を選任しない場合」や「責任に基づいて処理行為の記録を保持しない場合」は、企業の全世界年間売上高の2％以下、または1000万ユーロ以下のいずれか高い方が適用される場合がある。また、「適法に個人データを処理しなかった場合」や「個人データ移転の条件に従わなかった場合」などは、企業の全世界年間売上高の4％以下、または2000万ユーロ以下のいずれか高い方となっている。2000万ユーロは、日本円に換算すると約26億円にもなる。

日本企業も大きな影響を受ける「GDPR」–まずは「対象か」の確認をより引用

GDPR対策どう対応すべき？

Webの運営者（事業会社・団体）

・事業に必要なデータの用途と処理過程を定義する
・それを訪問者へ分かりやすく説明する（プライバシーポリシーやCookieポリシー、入力フォーム掲載ページで）
・GDPRに対応できる体制やルール、機能を持ったツールや委託先を選ぶ
・データ取得と用途について、訪問者から事前の明示的な同意を得る
・訪問者からデータの確認や削除要求を受けた場合は対応する
・目的達成に必要な保管期間を過ぎたデータは削除する

データの保管を請け負うツールベンダー

・データをセキュアに保管・処理する
・GDPR対応に必要な機能を実装する
・指定IDのデータを表示・エクスポート・削除できる機能
・用途に不要なデータの匿名（仮名）化
・保管期限を過ぎたデータの自動削除機能　など
・利用規約をGDPR対応にする
GDPRの対策としてWebアナリストがすべきことから引用

イマイチピンとこないですよね。。自分が考えた結果、
GDPR対策でいちばん簡単な方法はEUからのアクセスを防ぐことではないかと。。EU連合国と商売している人は上記のようなことを守らなければなりませんが特に影響がない人は手っ取り早くアクセス禁止にしたほうが楽だと思いました。ではどのようにEU連合国のアクセスを防ぐのか方法を説明します。

EU連合国からのアクセスを防ぐ方法の流れ

mod_geoipを使ってEU連合国からのアクセスを防ぎたいと思います。

・EU連合国の国コードを取得する
・mod_geoipを入れる
・geoip.confの設定
・「apache」 or 「nginx」等の再起動

これでできました。

【GDPR対策】 mod_geoip（国コード）でEU連合国からのアクセスを防ぐ

GDPR対策でEU連合のIPアドレスを防ぎたいもののIPアドレスと常に増減するため常に最新の国別IPテーブルリストが必要になります。
そこでmod_geoipを使い国コードでアクセスを防ぐようにします。

ぼくは、ubuntu+apache2+htaccess+mod_geoipでEU連合からのアクセスを防ぎました。

1. mod_geoipを入れます

# sudo apt-get install libapache2-mod-geoip

2. geoip.confの設定を変更します。

# sudo vi /etc/apache2/mods-available/geoip.conf

変更内容は下記のとおりです。国コードの設定はEUの国名と国コードの対応表を参照して入れました。

<IfModule mod_geoip.c>
GeoIPEnable On
GeoIPDBFile /usr/share/GeoIP/GeoIP.dat
#BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE BE BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE BG BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE CZ BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE DK BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE DE BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE EE BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE IE BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE GR BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE ES BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE FR BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE FX BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE GF BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE PF BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE TF BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE HR BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE IT BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE CY BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE LV BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE LT BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE LU BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE HU BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE MT BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE NL BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE AN BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE AT BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE PL BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE PT BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE RO BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE SI BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE SK BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE FI BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE SE BlockCountry
SetEnvIf GEOIP_COUNTRY_CODE GB BlockCountry
</IfModule>
<Location />
Deny from env=BlockCountry
</Location>

3. apache2を再起動する

# sudo /etc/init.d/apache2 restart

これでEU一般データ保護規則 GDPR対策の対策は完了です。

EUの国名と国コードの対応表

EUは２８カ国あります。国名と国コードの対応表を参照し表を作りました。