2018年5月27日。GDPRって知ってますか?
仕事絡みで気になってたんですが、2018年5月25日から施行されたGDPRはWordPressでも対応しなきゃいけないんだよなぁ、、、
と思いながら、まだ、de-gucci.comを含めて、ほとんどのサイトが対応していないと思われるので、とりあえず、分かる範囲で書いておきます。
ただし、本記事の内容については、私自身が勉強中であるため加筆修正分割等を実施する可能性があります。
GDPRとは?
そもそもGDPRって何よ?そこからと言う人が多いのではないでしょうか?
GDPRはGeneral Data Protection Regulationの頭文字を取ったもので、日本語だとそのままの略号かEU一般データ保護規則と呼ばれます。(出典:Wikipedia「EU一般データ保護規則」)
じゃぁ、EU一般データ保護規定って何よ?GDPRとは?というと同じくWikipediaから引用します。
EU一般データ保護規則(EUいっぱんデータほごきそく、英: General Data Protection Regulation、GDPR)(規則 2016/679) は欧州議会、欧州理事会および欧州委員会が欧州連合 (EU) 内の全ての個人のためにデータ保護を強化し統合することを意図している。欧州連合域外への個人データの輸出も対象としている。EU一般データ保護規則の第一の目的は、市民と居住者が自分の個人データをコントロールする権利を取り戻すこと、および、欧州連合域内の規則を統合することで、国際的なビジネスのための規制環境を簡潔にすることである。
(出典:Wikipedia「EU一般データ保護規則」)
って言われても「なにそれ?」ですよね。
なので、私の理解している範囲で簡単に書きたいと思います。
最近、Google、Facebook、Twitterなどを使っているとやたらと「プライバシーポリシーが変更されます」「プライバシーが…」「プライバシー設定を見直して…」という言葉を見かけませんか?
そして、記述を読まされたり、同意をとらされたり、設定をさせられたりしませんか?
あれって各社が5月25日のGDPR施行に合わせて事前準備をしている影響がほとんどだと認識しています。
GDPRって、簡単に言うと、
欧州内で発生した個人情報を特定てきる可能性のあるデータは、ユーザを保護するために、ユーザから依頼があった場合にすべての情報を提供 and/or 削除しなければならない。
っていうものです。
個人情報を特定できるデータって何よ?と言うと、、、
個人に関係するあらゆる情報のことである。氏名、自宅住所、写真、電子メールアドレス、銀行口座の詳細情報、ソーシャル・ネットワーク・ウェブサイトへの書き込み、医療情報、または、コンピュータのIPアドレスまで、あらゆるものを含む。
(出典:Wikipedia「EU一般データ保護規則」)
もうね。めちゃくちゃ広いんですよ。
しかも、1つだけでは特定できなくても、複数の情報を組み合わせた結果、個人を特定できちゃうものもNGなんですよね。
GPSの位置情報だけなら場所を指しているだけなのでまだ大丈夫ですが、何年何月何日何時何分何秒という時間が組み合わさるとその場にいた人が特定できてしまうのでNGとか。
WordPressなんて関係ないでしょ?と言われるかもしれませんが、
- 何年何月何日何時何分何秒に欧州のIPアドレスx.y.z.wからWordPressのサイトにアクセスした
- AdSenseやアフィリリンクへのアクセス
- コメント欄への書き込み
- Cookie+何かで個人が特定されるようなデータ
欧州からこんなアクセスがあって、さらにユーザからその情報を提供するよう依頼があったり、削除するよう依頼があったら対応しなければならないんです。
めんどくさ。
これからバンバン情報が出てくるかと思いますが、とりあえず、先日リリースされたWordPress 4.9.6でちょっとだけGDPR対応を補助するツールが提供されました。
WordPress 4.9.6のGDPR対応
WordPress 4.9.6にアップデートするとこんな吹き出しが表示されます。
つまり、WordPress 4.9.6では
- 個人データのエクスポートと消去のリクエストの対応ツールの提供
- プライバシーポリシーページの作成、選択機能の提供
がされています。
その他にJetpackのAkismetプラグインでも対応がされています。
設定 > プライバシー
WordPress管理画面の「設定」に「プライバシー」が追加?修正?されました。
「プライバシー」を設定すると「プライバシーポリシーページを選択」で
- 既存のページを選択
または
- 新規ページの作成
を選択することができます。
なので、すでにプライバシーポリシーページを作成済みの場合は、そのページ(固定ページ)を選択するか、または、新たにプライバシーポリシーのページを作成する必要があります。
ちなみに、プライバシーポリシーのページは、GDPR以前においても、Google AnalyticsやAdSense、Amazonアソシエイト、その他を利用する場合に掲げておかなければならないページなんですが、この対応すらしてないサイトが多いような気がしています…
なんて、私も作成したのは今年に入ってからだったりしますが。
ただ、GDPRへの対応はまだしていないので、できるだけ速やかに自分のサイトで扱っている個人情報を把握し、対応などについても検討した上で、正式なプライバシーポリシーページに修正もしくは作成しなければいけないと認識しています。
プライバシーポリシー 固定ページ
「設定」「プライバシー」で「新規ページを作成」ボタンをクリックすると次の図のような固定ページ編集画面が表示されます。
なんと素晴らしいことに、タイトルならびに本文にプライバシーポリシーページとして記述が必要な雛形の文章が入った形でページを作成してくれちゃうんです。
が、サイトのコンテンツの内容やどんなWordPressテーマ、プラグイン、アフィリエイトの仕組み、その他どんな情報を使っているかは、各サイトで異なりますよね?
そのすべてに対応することはできないため、見出しだけで全然記述されていない箇所が多数あります。
プライバシーポリシーガイド
とは言え、WordPressを提供してくださる方の大変な尽力により、考え方、サンプルについて「プライバシーポリシーガイド」という形で提供くださっています。
このプライバシーポリシーガイドはプライバシーポリシーの固定ページの編集画面の上部にある「ガイドを確認」をクリックすると表示されます。
このガイドを見ながら作成すると少し手助けになるかと思います。
とは言え、いろいろ考えなければいけないこともあると思うので、実際には「WordPress GDPR」やさらに「AdSense」「Analytics」やその他使っているツール名などを加えて、ググって調べてみるしかない状況だと思います。
de-gucci.comのプライバシーポリシーページでも適宜対応していく予定です。
ツール > 個人データのエクスポート、個人データの消去
WordPress 4.9.6では、プライバシーポリシーページ作成支援ツールの他に「個人データのエクスポート」「個人データの消去」ツールが提供されました。
「ツール」から「個人データのエクスポート」「個人データの消去」にアクセス可能です。
ツール > 個人データのエクスポート
「個人データのエクスポート」ツールは、ユーザ名またはメールアドレス単位で、
- 個人データのエクスポートの依頼があった(保留中)
- 個人データのエクスポートの依頼を確認した(確認済み)
- 個人データのエクスポートの依頼への対応に失敗した(失敗)
- 個人データのエクスポートの依頼への対応が完了した(完了)
の状態を管理するためのツールです。
なので残念ながら実際の個人データのエクスポート作業は自分で実施する必要があります。
しばらくすると個人データをエクスポートするプラグインなども出てくるでしょうが(もう出てるかもしれません)、それまでは依頼があった場合、手動で対応する必要があります…
ツール > 個人データの消去
「個人データの消去」ツールは、ユーザ名またはメールアドレス単位で、
- 個人データの消去の依頼があった(保留中)
- 個人データの消去の依頼を確認した(確認済み)
- 個人データの消去の依頼への対応に失敗した(失敗)
- 個人データの消去の依頼への対応が完了した(完了)
の状態を管理するためのツールです。
なので、こちらも残念ながら実際の個人データの削除作業は自分で実施する必要があります。
しばらくすると個人データを削除するプラグインなども出てくるでしょうが(もう出てるかもしれません)、それまでは依頼があった場合、手動で対応する必要があります…
Akismet
JetpackのAkismetプラグインもGDPRへの対応がされました。
と言っても、コメントフォームの下にAkismetのプライバシーに関する通知を表示するか否かの切り替えができるだけです。
「コメントフォームの下にプライバシーに関する通知を表示する」を選択すると、コメント欄の下に「This site uses Akismet to reduce spam. Learn how your comment data is processed.」と表示され、後半の文についてはリンクとなっています。
リンクをクリックすると、Akismet(Jetpack)を提供しているAUTOMATTICのプライバシーポリシーページが表示されます。
Akismetがこのようにしている。ってことは、このような対応でもいいのかもしれませんね。
プライバシーポリシーページを作ろう
めんどくさいとは思いますが、多くの人が使っているGoogle Analytics、AdSense、Amazonアソシエイトなどを使っている場合にはその旨を記載しているプライバシーポリシーページの作成が必要です。
まだ、作ってないならGDPR対応までいかなくても、最低限、Google Analytics、AdSense、Amazonアソシエイトに関するデータの取り扱いに関して記載しているプライバシーポリシーページは作りましょう。
いくつか今回の件で参考にしたサイトを紹介します。
【コピペでOK】プライバシーポリシーの書き方|AdSense・Analytics対策
(Liberty-Life-Blog、きゃぷてんさん)GDPR 遵守をめぐり、 WordPress が「頭痛のタネ」に:少し根深いプラグイン問題
(THE DIGIDAY)GDPR適応開始にあたって WordPress プライバシー・メンテナンスリリースでの変更点
(JunJunWeb.Net、じゅんじゅんさん)
de-gucci.comでも、WordPressでGDPR対応の件については、本記事で適宜加筆修正あるいは分割等を実施していきますので、しばらく、継続的にご確認いただければと思います。
記事の更新があった場合には、
- RSS (https://de-gucci.com/feed/)
- Facebookページ (https://www.facebook.com/DeGucciCom/)
- Twitter (https://twitter.com/de_gucci)
で適宜お知らせいたしますので、登録、いいね!、フォローいただければ幸いです。
では、今回はこの辺で。
[buttons]
