5ちゃんねる、GDPRに対応するためEUからのアクセスを遮断 53
ストーリー by hylom
一番雑な対策 部門より
一番雑な対策 部門より
5ちゃんねる(旧2ちゃんねる)が、EUの一般データ保護規則(GDPR)対策でEUからのアクセスを遮断するとのこと(運営による投稿)。
GDPRでは欧州外の企業・団体などに対してもEU向けに商品やサービスを提供している場合は遵守義務があるとされており、違反者に対しては罰金も課せられる。
5ちゃんねる(旧2ちゃんねる)が、EUの一般データ保護規則(GDPR)対策でEUからのアクセスを遮断するとのこと(運営による投稿)。
GDPRでは欧州外の企業・団体などに対してもEU向けに商品やサービスを提供している場合は遵守義務があるとされており、違反者に対しては罰金も課せられる。
ソースを見ろ -- ある4桁UID
有料会員? (スコア:2, 参考になる)
GDPR は個人情報を保護するための規則なので、問題になるのは氏名やクレジットカード情報を入力しなければならない有料会員かな。(場合によっては広告主の情報もあるかも)
個人情報を収集しない完全に匿名な掲示板ならば規則の対象外なので問題ないはず。
国籍ではなくてEU圏内在住かどうかで判別されるので、氏名やクレジットカード情報とかでは住所を特定できないし、ユーザに住所を入力させてもどこまで信用して良いかという問題がある。
結局 EU からのアクセスを遮断することで、EU圏内から申し込む有料会員はいないというロジックを採用したんだろう。
放置もありそうなもんだが、罰金が最低で25億円とか馬鹿高いので防衛策を取らざるをえなかったんだろうな。
# 結構大問題なんだが情報収集の能力の低い一般の企業サイトの人たちがどこまで問題に気付いているか...
CookieやIPアドレスも対象です (スコア:5, 参考になる)
GDPR は個人情報を保護するための規則なので、問題になるのは氏名やクレジットカード情報を入力しなければならない有料会員かな。(場合によっては広告主の情報もあるかも)
個人情報を収集しない完全に匿名な掲示板ならば規則の対象外なので問題ないはず。
国籍ではなくてEU圏内在住かどうかで判別されるので、氏名やクレジットカード情報とかでは住所を特定できないし、ユーザに住所を入力させてもどこまで信用して良いかという問題がある。
結局 EU からのアクセスを遮断することで、EU圏内から申し込む有料会員はいないというロジックを採用したんだろう。
GDPR第4条では、「識別された、または識別され得る自然人に関するすべての情報」が個人データとされており、
氏名・識別番号・技術的な情報(GPS、IPアドレス、クッキー識別子など)・その他身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因が
個人データとして例示されています。
アクセス解析に使うCookieは勿論、Apacheとかのアクセスログに含まれるIPアドレスも保護の対象ですから、「氏名やクレジットカード情報を入力しなければならない有料会員」に限らず、
事実上全てのWebサイトが対象です。
一応、Apacheなどのサーバのアクセスログも含めてIPアドレスや端末を識別する情報は一切記録しない、Cookieも発行しない(外部のアクセス解析サービスの利用もしない)、Google AdSenseなどの広告タグも貼らない、まですれば GDPR の対象外にできますが、
掲示板ならば通常IPアドレスのログを取らないわけにはいかないので、GDPR の対象です。
日本国内向けに日本語Webサイトを運営していて、EU圏からユーザーがアクセスしてきた際に取得した個人情報もGDPRの規制対象です。
Webサイトの運営者が日本に居住していても、EU法では刑事罰の対象です。EU法を日本で執行する強制力があるかは疑問ですが、最悪EUに旅行で行ったときに刑事罰を受ける可能性等もあります。
Re: (スコア:0)
技術的な情報(GPS、IPアドレス、クッキー識別子など)
アクセス拒否だとまだ足りんですな
アクセスエラーログに残りますので
ドロップでないと逃げ切れない罠
Re: (スコア:0)
聞けば聞くほど気が狂っとるな。
Re: (スコア:0)
行為地法の扱いは? 取得の行為地はサーバーの存在する地域にならないのでしょうか?
あと、Cloudflareみたいなリバースプロキシが挟まった場合にどう扱われるんでしょうか?
Re: (スコア:0)
おっと、GDPRは公法なので私法のための行為地法 [kotobank.jp]は一切関係ないのか。
国際公法については下に詳しく出ていますね。
http://informationlaw.jp/2016/09/13/eugdpr-jurisdiction-and-territoria... [informationlaw.jp]
Re: (スコア:0)
競争法(独占禁止法)を嚆矢として、公法の域外(海外)適用が進んでいるらしいです。
法律が国境を飛び越える
http://www.sangiin.go.jp/japanese/annai/chousa/keizai_prism/backnumber... [sangiin.go.jp]
> アメリカで始まった競争法の域外適用に対しても、当初の対抗立法制定など反対の立場から、
> 現在では、各国がそれぞれ競争法を域外適用することを認め合いつつ、
> その競争法の内容を統一化し、執行についても相互に協力していくことにより、
> 適用の差異をなくしていこうとするハーモナイゼーションの方向に向かっている。
えー…
Re: (スコア:0)
基本、GoogleやFacebookのような大企業をターゲットにした法律だろうし、
実際に個人レベルのサイトまで取り締まりくるとは思えない。
数が多すぎて、そもそもあっち側も対応できんだろ。日本で、速度を1kmでもオーバーしたら取り締まるようなもんだろ。
日本語オンリーで日本向けだとわかるサイトにまでツッコミ入れてはこないと予想。
なので、やらないでいいよ、とは言わないけど、そんな必死にならなくてもいいとは思う。
まぁ日本でも外国に知られてるような有名なサイトなんかは対応したほうがいいだろうね。
特に上場企業の皆様。
Re:CookieやIPアドレスも対象です (スコア:1)
見せしめ的な取り締まりは中小企業が狙われると思うよ。
向こうの法律に詳しい弁護士を雇えるような大企業より、無抵抗に殺れる小さい規模の(でも商品はその分野で名の通った)企業こそ気を付けるべき。
Re: (スコア:0)
GDPR は個人情報を保護するための規則なので、問題になるのは氏名やクレジットカード情報を入力しなければならない有料会員かな。(場合によっては広告主の情報もあるかも)
一応現時点ではダウトかな
それだとGoogle Analyticsでデータ保存期間のリマインドなんてこないでしょう
一意に紐づくならアウトという可能性が否めないから
こんだけの騒ぎになっているのが現状です
Googleびびってる~とか思うのは勝手ですが
甘い見積もりで巨額賠償とか笑えません
Re: (スコア:0)
普通にアカウント作ってそれに紐づいたデータが貯まるサイトはアウトでしょ。
有料無料とか匿名とか関係なく。
5ちゃんは、コテハンとかで紐づく機能がある(今あるか知らない)し、それならアウトかも。
ちなみに、名前や住所だけが保護対象ではなく、行動履歴なんかのパーソナルデータも保護対象のはずですよ。
だから、要求すればパーソナルデータも出す義務を負い、削除する義務もある。
あなたはEU在住ですか? (スコア:1)
問答無用で全部シャットダウンしないとだめかな?
日本でやってるサービスに、むこうが繋ぎに来てるんだから
風俗の「あなたは18歳以上ですか? YES/NO」みたいに
EU在住かどうか本人に選ばせて、YESって答えたやつだけ
ヤフーへ飛ばしてやりゃあ十分でしょ。
Re: (スコア:0)
そんな面倒な仕様を実装するぐらいだったら、
アクセス遮断する方が遥かに楽でしょ。
Re: (スコア:0)
特定地域を「ちゃんと」アクセス遮断するのは簡単ではないだろう。うっかりEU居住者がアクセスできてしまったらどうするのか。
それよりもDisclaimerを記載するほうがはるかに楽だ。
Re:あなたはEU在住ですか? (スコア:2, 参考になる)
免責事項を提示しても、EU在住者からのアクセス・投稿があれば以下に対応しなきゃいけないんですけど…
・データ主体からの問い合わせ
・同意の撤回対応
・データ削除対応
5ちゃんねるの運営がどうなってるのかは詳しく知りませんが、削除権の行使とその対応はコスト掛かると思う
それぐらいなら「EUからのアクセスは遮断しました」で知らぬ存ぜぬを決め込むのはアリだと思う
Re: (スコア:0)
EU外から会員登録後、EUに行き「問い合わせが遮断されてて出来なかった!金よこせ!」でワンチャンあるか
Re: (スコア:0)
EU在住者ってどういう定義なんだろ
そのままの意味なら串経由でアクセスしても有効になるが
Re:あなたはEU在住ですか? (スコア:3, 参考になる)
・データ主体(アクセス元)がEU圏内にいるか?
・処理者(委託先)がEU圏内にあるか?
・拠点がEU圏内にあるか?(※サービス提供・データ収集側の拠点)
これらのどれかが満たされるとEU在住者扱い
なので、#3412654 のEU外から会員登録後、EUに行き「問い合わせが遮断されてて出来なかった!金よこせ!」は成立しないはずです
同様に、プロクシ経由のアクセスの場合はアクセス元が判断基準になるので対象外となるはずです
でもEUのキチガイ判断によるので、今後何がどうなるかわかりません…
Re: (スコア:0)
この条件があるなら5ちゃんねる対象外になるのではないの?
>・拠点がEU圏内にあるか?(※サービス提供・データ収集側の拠点)
Re: (スコア:0)
もちろん常識的に考えれば対象外でしょ。
もし対象になるんなら、それこそスラド含め、ほとんどのサイトがアクセス遮断するはず。
5ちゃんねるが特別過敏なだけ。
EUは過去に色々無茶苦茶なこと言ってるから、過敏になるのもわかるけど。
Re:あなたはEU在住ですか? (スコア:1)
「これらのどれかが満たされるとEU在住者扱い」という日本語が読めないのですか?
https://mypage.otsuka-shokai.co.jp/contents/business-oyakudachi/it-sec... [otsuka-shokai.co.jp]
管理者を代行して個人データの処理を行う会社などの「処理者」がEU外に居ても、
個人データに該当する個人「データ主体」がEU内のデータがあるならば、GDPR が適用されます。
Re: (スコア:0)
> もちろん常識的に考えれば対象外でしょ。
いえ、対象です。
https://mypage.otsuka-shokai.co.jp/contents/business-oyakudachi/it-sec... [otsuka-shokai.co.jp]
管理者を代行して個人データの処理を行う会社などの「処理者」がEU外に居ても、
個人データに該当する個人「データ主体」がEU内のデータがあるならば、GDPR が適用されます。
> もし対象になるんなら、それこそスラド含め、ほとんどのサイトがアクセス遮断するはず。
EU の法律を守る気がない人が多いというだけです。
例え
Re: (スコア:0)
と書いてあるけど、ちゃんと読んだ?
Re: (スコア:0)
「EU向けではない」という意思表示さえできりゃ良いんだから、
IPアドレスセグメント単位で遮断しときゃ十分だよ。
NHKじゃないんだから、踏み台サーバ使ってうっかりアクセス
できちゃったから罰金、とか言わないでしょ。
ってかそのレベルなら、Disclaimerあっても罰金対象でしょ。
Re: (スコア:0)
あなたがEU在住であることを確実に判別するため、個人情報を…あれ?
Re: (スコア:0)
遮断(・A・)イクナイ!!
次はEUハブりは罰金!という法案が出てくるに違いない。
Re: (スコア:0)
問答無用で全部シャットダウンしないとだめかな?
問答無用でシャットダウンしてもデータは残りますのでうんぬん
# なんか巫女SEさまを想起しますた
sorry Japanese only. (スコア:1)
sorry Japanese only.
の表記が復権するのかな
Re: (スコア:0)
隠しページにEU用のページがあるんでしょ…
最近いろんなサービスからよくこのメールが来てるけど (スコア:0)
掲示板とかもなんかしなきゃいけないもんだったの?3行で教えて偉い人。
Re:最近いろんなサービスからよくこのメールが来てるけど (スコア:2, 参考になる)
Cookie含め広告トラッキングやアクセスログも対象
一意に紐づけできれば例外はない
# 二意じゃダメなんですかとボケてもいい
Re:最近いろんなサービスからよくこのメールが来てるけど (スコア:1)
じゃあスラドも対策必要なんじゃないですか?
部門名を見るに、すごく華麗な対策を期待できそうです。
# 華麗にスルー?
Re: (スコア:0)
昔から裏で非合法的な個人情報漏洩して収益源にしているからじゃね?
Re: (スコア:0)
俺も解説ほしい。
最近、google や github からメールが来てて、読むのめんどくせーとか思ってた。
関係有るのかね。特殊な利用はしていないけど、教えてエロい人。
Re:最近いろんなサービスからよくこのメールが来てるけど (スコア:1)
通常のウエブサーバー運用なら普通に引っかかる
開始まで数日だしとりあえずのやっつけ対応なら
EU圏からのアクセスをドロップ
# 拒否だとアクセスエラーログあんだろゴルゥアになるんで
明らかに日本向けのサービスだが (スコア:0)
まあリスク回避は当然か
Re: (スコア:0)
遮断しても影響ないし、ノリでやってそう
できんの? (スコア:0)
>> GDPRでは欧州外の~違反者に対しては罰金も~
そんなことできるの?
Re: (スコア:0)
欧州市場に参入しないから罰金、とかやった奴らですし…
Re: (スコア:0)
それ詳しく
Re:できんの? (スコア:2, 参考になる)
詳しくはこちらかな
http://antitrust.main.jp/mt/2007/12/post-34.html [antitrust.main.jp]
1行で言うと「同カルテルでは「日本企業は欧州での入札を手控え、欧州企業は日本市場に参入しない」という合意があったと判断したため」。
Re:できんの? (スコア:1)
日本企業のとれた手は馬鹿高い価格で入札することくらいか?
5ちゃんねるだけではない (スコア:0)
https://twitter.com/kitagawa_takuji/status/997294902642753536 [twitter.com]
Re:5ちゃんねるだけではない (スコア:2, 参考になる)
お手軽Wordpress民は
IP2Location Country Blocker [wordpress.org]で
EU加盟国 [wikipedia.org]を遮断ですかね
IPアドレス帯調べて更新ごとに手動対応とかやってられんもんね
セーフな範疇がもうちょい明瞭になるまでは
安全寄りにするしか無いわな
# そしてサービス享受できないのは不当となる罠
Re: (スコア:0)
EUの人たちはこれでしあわせなんですかね・・・?
Re: (スコア:0)
グレートファイアウォールに守られた中国のごとく、amazonやGoogleやAppleの支配から脱却するチャンスを得られて大喜びなんじゃないですかね。相手から遮断させれば検閲だと叩かれることもない。いやうまいアイデアだ
EUが(ネットでは)世界から孤立する? (スコア:0)
いっそ某中国みたいにグレートファイアウォールで覆ってしまえと思ったり
Re: (スコア:0)
Googleを追い出そうとしてたくらいだし、本当にソレを目指してるんじゃないの?
Re: (スコア:0)
節税になるからアイルランドに会社作ってきたのに数兆円払わされてるアメリカの企業は激おこですよ
フランスからアクセスできないのか (スコア:0)
ひろゆきm9(^Д^)プギャー