重要な注記：このブログ記事は、弁護士ではなくデジタルアナリストによって書かれています。 この記事の目的は、MatomoがGDPRプロセスの中でどの分野に参入しているかを簡単に説明することです。 この作業は、イギリスのプライバシー委員会であるICOの解釈によるものです。 それは専門的な法的アドバイスとはみなされません。 GDPRのように、この情報は変更される可能性があります。 最新の情報を入手するには、さまざまなプライバシー当局をご覧になることを強くお勧めします。

ドイツ語版DS-GVO（フランス語：Datenschutz-Grundverordnung）のRGPDとも呼ばれる一般データ保護規制（EU）2016/679は、EU内のすべての個人のデータ保護とプライバシーに関する規制です。 EU市民を扱う世界中の組織に関わるもので、2018年5月25日に発効する予定です。

GDPRは、「個人データ」に適用されます。これは、特に識別子を参照することによって直接的または間接的に特定できる個人に関連するすべての情報を意味します。 クッキー、IPアドレス、ユーザーID、場所、その他収集したデータが含まれます。

GDPRに準拠するために、英国のプライバシー委員会が推奨する12のステップと、各ステップで何をすべきかを以下に記載します。

ICOによるGDPRコンプライアンスの12ステップとMatomoとの適合

以前のGDPのブログ記事の1つで述べたように、Matomoで個人情報を収集していない場合は、以下の心配は不要です。

個人情報を何らかの方法で処理している場合は、GDPRをMatomoに準拠させる方法について、以下の12ステップといくつかの推奨事項を記載しています:

1 – 認識

ウェブサイト/アプリのトラフィックを分析するためにMatomoを使用していることが組織内に周知してください。 必要な場合は、「Matomoとは何ですか？」ページへのリンクを送信して下さい。

2 – あなたが保持している情報

Matomoで処理しているすべての個人データを、処理活動の記録内にリストします。 Matomoの使用に関して皆さんが答えなければならない30の質問のセットで構成されるICOが提供するテンプレートを個人的に使用しています。 近い将来、このためにブログ投稿を作成します。 個人のデータは、ページURLやページタイトルの一部として、自明ではない方法でも追跡される可能性があることにご注意ください。

3 – プライバシー情報の伝達

a – プライバシーに関する通知を追加する

個人情報を収集するためにMatomoを使用している場合は、プライバシーに関する通知を追加してください。 プライバシーに関する通知の作成方法については、ICOのドキュメントを参照してください。 近い将来、この部分についてのブログ記事を作成します。 ウェブサイトやアプリでプライバシーポリシーのリンクが常に利用可能であることを確認してください。

b – プライバシーポリシーページにMatomoを追加する

プライバシーポリシーページで使用している技術のリストにMatomoを追加し、次のチェックリストに記載されているように必要な情報をすべて追加します。

4 – 個人の権利

Matomoのインストールがすべての個人の権利を尊重していることを確認してください。 要約すると、ユーザー権利（アクセス権、修正権、消去権…）を尊重するために使用する必要があるMatomoの機能を知る必要があります。 これらの機能は現在開発中であり、すぐにリリースされる予定です。

5 – 件名アクセス要求

Matomoのデータサブジェクトからのアクセス要求に答えることができることを確認してください。 例えば、収集した個人データにアクセスしたい場合、その情報を相手に提供する必要があります。 このようなプロセスを「誰が処理していますか？」というように設計し、それが機能していることを確認することをお勧めします。 悪夢の手紙に答えることができるなら、準備ができています。 これに必要な機能はすぐに利用可能になります。

6 – 個人情報の処理のための法的根拠

GDPRの下で使用することができる合法的かつさまざまな基盤があります。 「正当な利益」または「明示的同意」のいずれかになります。 プライバシーポリシーページでそれを言及することを忘れないでください。

7 – 同意

ユーザーはいつでも同意を取り除くことができます。 偶然にも、Matomoはこれを行うための機能を提供しています：プライバシーポリシーページにオプトアウト機能を追加
現在のところ、必要に応じて同意を求める機能も提供しています。 これは、追跡するために明示的な同意を与えた後で追跡する必要がある場合に便利です。

8 – 子供

あなたのウェブサイトやアプリが子供向けのもので、Matomoを使用している場合は、追加の対策が必要です。 例えば、プライバシーポリシーをさらに明確に書く必要があります。さらに、子供が13歳未満の場合は親の同意を得ることが必要になります。非常に特殊なケースであるため、詳細についてはこのリンクに従うことを強くお勧めします。

9 – データ侵害

Matomoで個人情報を収集している可能性があるため、データ漏洩がデータ主体のプライバシーに影響を及ぼす可能性があるかどうかを定義するために、「データ侵害手続き」もチェックする必要があります。 詳細については、ICOのウェブサイトを参照してください。

10 – 設計とデータ保護の影響評価によるデータ保護

Matomo内の個人データを本当に処理する必要があるかどうか自問してください。 Matomo内で処理しているデータが機密扱いの場合は、データ保護の影響評価を行うことを強くお勧めします。 オープンソースのPIAソフトウェアは、フランスのプライバシー担当者CNILによるデータ保護の影響評価の実施に役立ちます。

11 – データ保護役員

この記事を読まれているデータ保護担当者（DPO）であれば、この手順を気にする必要はありません。 そうでない場合は、Matomoの使用に関する質問をするために、DPOに（当社のビジネスにDPOがある場合）ブログ投稿を提供することが義務です。 DPOは、Matomoが処理できるさまざまなデータに興味があります：「Matomoはどのデータを追跡していますか？」（FAQ）

12 – インターナショナル

あなたが望む場所にMatomoデータがホストされます。 したがって、データの場所に応じて、EU以外の特定の保護措置を示す必要があります。 たとえば、米国に関しては、ウェブホスティングプラットフォームがPrivacy Shieldに登録されているかどうかをチェックする必要があります：privacyshield.gov/list
注：当社のMatomeクラウドインフラストラクチャはフランスに拠点を置いています。

最後に、GDPRは巨大な話題なので、今後数週間でさらに多くのブログ記事を公開する予定です。 マトモGDPRのトピックに関連する投稿がありましたら、お気軽にお問い合わせください。