🌍個人ブログの世界法令対応 — GDPR・個人情報保護法・CCPAを一気に整理する

文責:Claude Code Opus4.7

「個人ブログにプライバシーポリシーって必要なの?」という問いから始まった。technai.net は Cloudflare Workers 上で動く静的ブログ兼 ActivityPub サーバーという変わった構成で、単純なブログより少しだけ複雑な法的状況にある。EU、日本、米国カリフォルニア州の 3 地域の主要法令を確認しながら対応ページを整備した記録。

なぜ今なのか

きっかけは ActivityPub 対応を追加したこと。以前はただの Hugo 静的サイトだったが、AP エンドポイントを追加してから事情が変わった。フォロワーの Actor URL を D1 に保存し、Like や Boost を受け取り、KV に他サーバーのアクター情報をキャッシュする——これは「個人データの処理」に該当する。ブログ単体なら「Cloudflare が勝手に処理している話」で済ませられた部分が、AP サーバーとして機能する以上はデータ管理者としての責任が生じる。

3 つの法令の射程

EU GDPR(一般データ保護規則)

GDPR の域外適用(Art. 3(2))は広い。EU 居住者に対して財・サービスを提供する場合、または彼らの行動を監視する場合は EU 域外の事業者にも適用される。個人ブログがこれに当たるかは微妙だが、フェディバースは EU でのユーザー比率が高く、自分から EU ユーザーをフォローすることもある以上、GDPR を無視する合理的理由がない

実際に影響するポイント:

義務technai.net での状況
適法根拠の特定AP は「契約履行」、ログは「正当な利益」
プライバシーポリシーの公開→ 今回作成
データ主体の権利対応DM でリクエストを受け付ける体制を整備
EU 代理人の選任小規模処理のため不要(Art. 27(2)(a) 例外)
DPO(データ保護責任者)個人ブログには義務なし

「EU 代理人の選任」は見落としがちな義務で、EU 域外の管理者が EU 居住者のデータを処理する場合に原則必要。ただし小規模・低リスク・低頻度な処理は免除される(Art. 27(2)(a))。個人ブログはここに収まる。

日本 個人情報保護法(APPI)

日本在住の運営者なので当然 APPI が適用される。APPI は 2022 年改正で域外適用が強化され、取扱方針の公表・開示請求への対応が求められる。実務上は:

  • 利用目的の特定と公表 → プライバシーポリシーで対応
  • 第三者提供の原則禁止 → 販売しないので問題なし
  • 開示・訂正・削除請求への対応 → 問い合わせ先を明記

2022 年改正で追加された「不正利用禁止規制」や「外国にある第三者への提供規制」も確認。Cloudflare への処理委託は「第三者提供」ではなく「委託」扱いになるため、委託先の監督義務が生じる(実際には Cloudflare との DPA が機能する)。

カリフォルニア州 CCPA / CPRA

CCPA は閾値が明確で、個人ブログはほぼ非適用:

  • 年間総収益 2,500 万ドル超
  • 10 万人以上の消費者・世帯の個人情報を購入・販売・受領・共有
  • 収益の 50% 以上が個人情報の販売から

いずれも該当しない。ただし CCPA の最重要概念「個人情報の販売禁止」は事実上の業界標準になっており、「販売しない」と明示することにそれ自体の意味がある。欧米ユーザーが「Do Not Sell」リンクを探すことがあるので、ポリシーに一行入れておくだけで信頼感が変わる。

英国 UK GDPR

Brexit 後、英国は EU GDPR を国内法化した UK GDPR を施行している。実質的に EU GDPR と同等で、監督機関が ICO に変わるだけ。EU 対応で英国対応も概ねカバーできる。

そのほかの国々

カナダの PIPEDA、ブラジルの LGPD、オーストラリアの Privacy Act 1988 など、国ごとに法令がある。個人ブログの規模ではすべてを網羅しようとすると無限に深みにはまるので、「GDPR + APPI を誠実に実装すれば大多数の国の最低ラインは超える」 という割り切りが現実的だ。GDPR は世界で最も厳しい水準の一つであり、それを充足すれば他の法令との差分は限定的になることが多い。

ActivityPub が追加する複雑さ

一般的なブログと違い、AP サーバーとして動いている場合にユニークな問題がある。

フォロワーデータの管理

フォロワーの Actor URL は「個人データ」に当たる(ActorURL には @user@server のような識別子が含まれ、自然人に紐づく)。GDPR のデータ最小化原則(Art. 5(1)(c))から言えば、配信に必要な最小限しか持つべきでない。現在のスキーマを確認したところ、Actor URL・inbox URL のみを保持しており、これは適切な範囲に収まっている。

削除リクエストと AP の限界

「忘れられる権利」(GDPR Art. 17)のリクエストを受けた場合、D1 上のデータを削除し AP の Delete アクティビティを連合先に送ることはできる。ただしAP プロトコルは配信済み投稿の完全削除を保証しない——連合先サーバーが Delete を無視したり、アーカイブサービスに取り込まれていたりすることがある。この限界をポリシーに明記することが誠実な開示だ。

KV キャッシュと他者のデータ

他サーバーのアクター情報(表示名・アバター URL・公開鍵)が Cloudflare KV にキャッシュされる。これも「第三者から取得した個人データの処理」に該当しうる。AP の仕様上これは避けられないが、TTL を短く保つことと、リクエストに応じて個別削除できる仕組みがあることを確認した(fedify のキャッシュ層は TTL 付き)。

実際に整備したもの

プライバシーポリシー

  • 収集データの列挙(Cloudflare ログ、AP データ、OAuth トークン)
  • GDPR 上の適法根拠の明示(契約履行 / 正当な利益)
  • 国際データ移転への対応(Cloudflare の EU-U.S. DPF 認定に乗っかる)
  • 各地域の権利(GDPR / APPI / UK GDPR / CCPA)を節ごとに分けて記載
  • 問い合わせ先(ActivityPub DM)と 1 ヶ月以内の回答を約束

利用規約

  • CC BY-NC-ND 4.0 の再確認
  • AP 連合の性質(配信の不可逆性など)の明記
  • 禁止事項・免責・準拠法(日本法)

やらなかったこと

  • Cookie 同意バナー: 本サイトはトラッキング Cookie を使用しない。Cloudflare の機能的 Cookie は GDPR 上の「厳密に必要な Cookie」として同意免除。バナー実装コストに見合う必要性がないと判断した。
  • DSAR(データ主体アクセスリクエスト)専用フォーム: DM で十分。月数件あるかどうかの規模で自動化は過剰。
  • EU 代理人の選任: Art. 27(2)(a) の小規模例外に該当。

翻訳問題

ポリシー文書を日本語のみで公表することの是非。技術的には英語版を並べるべきという意見がある一方、GDPR は「データ主体の理解できる言語」での情報提供を求めているのであって、必ずしも英語が必要なわけではない。フォロワーが DM で問い合わせてくれば、その時点で個別に英語対応すれば良いという判断をした。本格的に多言語展開するなら Hugo の i18n 機能を使う選択肢がある。

まとめ

日本在住でも、ブログが公開されている以上は訪問者の国籍を選べない。EU 居住者がアクセスすれば GDPR の域外適用が問われ、AP サーバーを兼ねれば他者の個人データを能動的に処理する立場になる。「小さいから関係ない」ではなく「小さいからこそ義務の範囲も小さい」という理解で整備するのが正確だ。やることは:

  1. データフローを正直に書き出す——どのデータが、どこに、いつまで残るか
  2. GDPR の 6 条適法根拠を特定する——「契約」か「正当な利益」か「同意」か
  3. 権利行使の連絡先を用意する——DM 一本でも十分
  4. Cookie バナーは本当に必要か確認する——追跡しないなら不要なことが多い
  5. AP 固有の限界(削除の不完全性)を明記する

EU 代理人・DPO・DSAR フォームはいずれも「大規模処理」を前提とした要件で、個人ブログには原則不要。必要以上に怖がらず、必要な部分を誠実に整備すれば良い。

参考

整備日: 2026年5月