GDPRがあるためヨーロッパ(EU)にはスマホアプリを配信しない

2021/02/09

個人開発したアプリを多言語化するにあたって、GDPR 対応をどうすれば良いのかについて調査しました。GDPR は、EU 内での個人情報保護を目的とした法律です。EU に向けてスマホアプリを配信するためには、GDPR に従う必要があります。検討した結果、アプリの配信対象地域からヨーロッパを除外しました。ここでは、調査した内容についてご説明します。

GDPR は General Data Protection Regulation の略で、EU 一般データ保護規則と訳されています。この法律の中では、個人情報は個人に関するあらゆる情報と定義されています。日本の個人情報の定義よりも広いです。

EU 一般データ保護規則 - Wikipedia

個人データとは、個人の私生活であれ、職業であれ、あるいは公的生活であれ、個人に関係するあらゆる情報のことである。氏名、自宅住所、写真、電子メールアドレス、銀行口座の詳細情報、ソーシャル・ネットワーク・ウェブサイトへの書き込み、医療情報、または、コンピュータのIPアドレスまで、あらゆるものを含む。

もし何かしらの個人情報を扱うアプリを EU に配信する場合、さまざまな対応が必要になります。データの収集や利用目的についてユーザーの同意を事前に取る仕組みや、ユーザーから依頼があったらユーザーデータを削除できる仕組みなど。何をどれだけ対応するかの整理から始めなければいけません。

なお、GDPR に違反した時の罰金は最低でも「2000 万ユーロ（日本円で約 25 億円）」です。とても払える金額ではありません。万が一支払いを命じられた場合、致命的なダメージを負います。リスクとリターンを考えると、大抵の場合は EU を除外するのが良いはずです。

アプリが個人情報を全く扱わないのであれば GDPR 対応は不要です。しかし、AdMob を使うのであれば GDPR 対応が必須になります。AdMob 管理画面の設定変更だけでは対応できません。

AdMob の管理画面では、メニュー「ブロックのコントロール」「EU ユーザの同意」から、「パーソナライズド広告」と「パーソナライズされていない広告」のどちらを配信するか設定できるようになっています。この設定の対象となるのは「欧州経済領域および英国のユーザ」です。

一見すると、パーソナライズされていない広告を配信するようにしておけば大丈夫かもと思ってしまいます。しかし、以下のページでダメなことが明記されています。

EU ユーザーの同意ポリシーに関するヘルプ – 会社情報 – Google

パーソナライズされていない広告でも、詐欺や不正行為の防止、フリークエンシーキャップの設定、広告集計レポートの目的で Cookie またはモバイル ID が使用されるため、Cookie やモバイル ID についての同意が必要です。

アプリのマネタイズとして、AdMob を利用してモバイル広告を配信する方法はとてもポピュラーですが、EU では難しいようです。

Firebase Analytics を使って利用状況を収集するだけでも、GDPR に引っ掛かるようです。事前の同意を得るため（オプトイン）、自動では動かないようにして同意を得てから手動で動かしてくださいという記載があります。

Firebase のプライバシーとセキュリティ

エンドユーザーの個人データ処理のオプトインを有効にするためのガイド
（中略）
ただし、一部のサービスはアプリに含めると自動的に起動します。
このようなサービスを使用する前にユーザーにオプトインする機会を与えるには、各サービスの自動初期化を無効にし、代わりに実行時に手動で初期化するという方法があります。
その方法については、以下のガイドをご覧ください。

    •   Cloud Messaging: 自動初期化を禁止する（Android）または自動初期化を禁止する（iOS）
    •   Crashlytics: オプトイン レポートを有効にする
    •   Crash Reporting: オプトイン レポートを有効にする
    •   Performance Monitoring: オプトイン モニタリングを有効にする
    •   アナリティクス: アナリティクス データの収集を構成する

できます！と書かれていました。Expo 自体が何か GDPR 絡みで悪さをするということは無いようです。実装次第ということでしょう。

GDPR Compliance and Expo - Expo Documentation