GDPR が WordPress サイトにどのような影響を与えるか、混乱していませんか?GDPR は General Data Protection Regulation の略で、欧州連合の法律であり、皆さんも耳にしたことがあるかと思います。私たちは、ユーザーから何十通ものメールを受け取り、GDPRをわかりやすく説明してほしい、WordPressサイトをGDPRに準拠させるためのヒントを共有してほしいという要望を受けています。この記事では、GDPR と WordPress について知っておくべきことすべてを(複雑な法律的なことは抜きにして)説明します。
一般データ保護規則(GDPR)は、2018年5月25日に発効された欧州連合(EU)の法律です。GDPRの目的は、EU市民が自分の個人データをコントロールできるようにし、世界中の組織のデータプライバシーに関するアプローチを変えることです。
Googleなどの企業から、GDPRや新しいプライバシーポリシー、その他の法的な事柄について、何十通ものメールを受け取っていることでしょう。それは、EUがコンプライアンスを守らない者に高額の罰則を課したからです。
基本的に2018年5月25日以降、GDPRの要求事項を遵守していない企業は、企業の世界年間売上高の4%または2000万ユーロ(いずれか大きい方)を上限とする多額の罰金に直面する可能性があります。これは、世界中の企業の間に広範なパニックを引き起こすのに十分な理由です。
ここで、皆さんが考えているような大きな疑問が湧いてきます。
答えは「YES」です。この法律は、EU圏内だけでなく、大小問わず世界中のすべてのビジネスに適用されます。
あなたのウェブサイトに欧州連合加盟国からの訪問者がいる場合、この法律が適用されます。
しかし、慌てないでください。これは世界の終わりではありません。
GDPRは、それらの高水準の罰金にエスカレートする可能性を持っていますが、最初は警告、次に譴責、そしてデータ処理の停止から始まり、法律に違反し続ければ、多額の罰金が襲ってくるのです。
EUは、あなたを捕まえようとする邪悪な政府ではありません。彼らの目的は、消費者、あなたや私のような平均的な人々を、無謀なデータの取り扱いや侵害から守ることなのです。
私たちの意見では、最高額の罰金は、FacebookやGoogleのような大企業の注意を引くためのもので、この規制は決して無視されるものではありません。さらに、これは、企業が人々の権利を保護することにもっと重点を置くことを奨励するものです。
GDPRで何が求められているのか、そしてその法律の精神を理解すれば、どれもおかしなことではないことに気づくはずです。また、WordPressサイトをGDPRに対応させるためのツールやヒントもご紹介します。
GDPRの目的は、ユーザーの個人識別情報(PII)を保護し、企業がこのデータを収集、保存、使用する方法に関して、より高い基準を課すことにあります。
個人情報には、氏名、電子メール、住所、IPアドレス、健康情報、収入などが含まれます。
GDPR規則は200ページにも及びますが、ここでは知っておくべき最も重要な柱を紹介します。
明示的な同意 – EU居住者から個人データを収集する場合、具体的かつ明確な明示的な同意を得る必要があります。言い換えれば、名刺をくれた人やウェブサイトのコンタクトフォームに記入した人が、あなたのマーケティング用ニュースレターにオプトインしなかったからといって、未承諾のメールを送ることはできません(これはSPAMと呼ばれており、いずれにしてもやってはいけないことです)。
明示的な同意と見なされるためには、積極的なオプトインが必要であり(すなわち、事前にチェックボックスをオンにしない)、明確な文言(法律用語ではない)が含まれており、他の条件から分離されている必要があります。
データに対する権利 – データがどこで、なぜ、どのように処理され、保存されているかを個人に通知する必要があります。個人は自分の個人データをダウンロードする権利を有し、また、忘れられる権利、つまり、自分のデータを削除するよう要求することもできます。
これにより、あなたが購読を停止したり、企業にあなたのプロフィールを削除するよう依頼したときに、企業は実際にそれを実行するようになります。
情報漏えいの通知 – 情報漏えいが無害で、個人情報へのリスクがないと判断される場合を除き、企業はある種の情報漏えいを72時間以内に関係当局に報告しなければなりません。ただし、情報漏えいのリスクが高い場合は、影響を受ける個人にもすぐに通知しなければなりません。
これにより、買収されるまで明らかにされなかったヤフーのような隠蔽を防ぐことが期待されます。
データ保護責任者 – 公開企業や大量の個人情報を処理する場合、データ保護責任者を任命する必要があります。この場合も、小規模な企業では必要ありません。疑問がある場合は、弁護士に相談してください。
わかりやすく言うと、GDPRは、企業が頼んでもいない電子メールを送ってスパムを送りつけることができないようにするものです。企業は、明示的な同意なしに人々のデータを販売することはできません(この同意が得られるとよいのですが)。ユーザから依頼された場合、そのユーザのアカウントを削除し、メールリストから退会させなければなりません。企業はデータ侵害を報告し、データ保護について全体的に改善しなければなりません。
少なくとも理論的には、とても良いことだと思います。
さて、あなたのWordPressサイトがGDPRに準拠していることを確認するためには、何をすればよいのでしょうか?
これは、特定のウェブサイトによって異なります(詳細は後述します)。
まずは、ユーザーから寄せられた最大の質問に答えることから始めましょう。
はい、WordPress 4.9.6 の時点で、WordPress のコアソフトウェアが GDPR に対応しています。WordPressのコアチームは、WordPressがGDPRに準拠するように、いくつかのGDPRの機能拡張を追加しました。WordPressについて語るとき、セルフホスティングのWordPress.orgについて語ることが重要です(違い:WordPress.comとWordPress.orgをご覧ください)。
とはいえ、ウェブサイトの動的な性質のため、単一のプラットフォーム、プラグイン、またはソリューションでGDPRに100%対応できるわけではありません。GDPRのコンプライアンスプロセスは、Webサイトの種類、保存するデータ、サイトでのデータ処理方法によって異なります。
さて、これは分かりやすく言うとどういうことかと思われるかもしれません。
WordPress 4.9.6には、デフォルトで次のようなGDPR強化ツールが付属しています。
WordPressのデフォルトでは、コメント投稿者の名前、メールアドレス、ウェブサイトがユーザーのブラウザにクッキーとして保存されるようになっていました。これにより、それらのフィールドがあらかじめ入力されていたため、ユーザーはお気に入りのブログに簡単にコメントを残すことができました。
GDPRの同意要件により、WordPressはコメント同意のチェックボックスを追加しました。ユーザーはこのボックスをチェックしなくてもコメントを残すことができます。その場合、ユーザーがコメントを残すたびに、名前、電子メール、ウェブサイトを手動で入力しなければならなくなるだけです。
更新:お使いのテーマにコメントプライバシーチェックボックスが表示されない場合は、WordPress 4.9.6 に更新し、テーマの最新バージョンを使用していることを確認してください。また、チェックボックスが表示されるかどうかを確認するために、ログアウトしていることを確認してください。
それでもチェックボックスが表示されない場合は、お使いのテーマが WordPress のデフォルトのコメントフォームを上書きしている可能性があります。WordPressのテーマにGDPRコメントプライバシーチェックボックスを追加する方法については、こちらのステップバイステップガイドをご覧ください。
WordPressは、GDPRのデータハンドリング要件に準拠し、ユーザーの個人データのエクスポートおよび削除の要求を満たす機能をサイトオーナーに提供します。
データ処理機能は、WordPressの管理画面内の「ツール」メニューで確認することができます。
WordPressには、プライバシーポリシーの作成機能が組み込まれています。プライバシーポリシーのテンプレートがあらかじめ用意されており、他に何を追加すべきかのガイダンスも提供されるため、保存するデータの種類やデータの扱い方について、ユーザーに対してより透明性を確保することができます。
この3つで、デフォルトのWordPressブログはGDPRに準拠することができます。しかし、あなたのウェブサイトには、コンプライアンスが必要な機能が追加されている可能性が非常に高いのです。
ウェブサイトの所有者として、コンタクトフォーム、分析、メールマーケティング、オンラインストア、会員制サイトなど、データを保存または処理するさまざまなWordPressプラグインを使用している場合があります。
Webサイトで使用しているWordPressプラグインに応じて、WebサイトをGDPRに準拠させるために適宜対応する必要があります。
多くの優れたWordPressプラグインは、すでに先行してGDPR強化機能を追加しています。ここでは、一般的に対処が必要とされる項目について説明します。
ほとんどのウェブサイト所有者と同様に、ウェブサイトの統計情報を取得するためにGoogle Analyticsを使用していると思われます。これは、行動プロファイリングのためにIPアドレス、ユーザーID、Cookieなどの個人データを収集または追跡している可能性があることを意味します。GDPRに準拠するためには、以下のいずれかを行う必要があります。
この2つは、Google Analyticsのコードをサイトに手動で貼り付けているだけでは、かなり困難です。しかし、WordPressで最も人気のあるGoogle Analyticsのプラグイン、MonsterInsightsを使うことをおすすめします。
このプラグインは、上記のプロセスを自動化するのに役立つEUコンプライアンスアドオンをリリースしています。MonsterInsightsはまた、GDPRとGoogle Analyticsについて知っておくべきすべてのことについての非常に良いブログ記事を持っています(これは、あなたのサイトでGoogle Analyticsを使用している場合は、必読です)。
WordPress でコンタクトフォームを使用している場合、フォームの入力内容を保存したり、データをマーケティング目的で使用したりする場合は、特別な透明性対策を追加する必要があるかもしれません。
以下は、WordPressのフォームをGDPRに準拠させるために考慮すべき事項です。
WPForms, Gravity Forms, Ninja Forms, Contact Form 7 などの WordPress プラグインを使用している場合は、データ処理同意書は必要ありません。フォームの入力内容は WordPress のデータベースに保存されます。
WordPressのフォームをGDPRに対応させるには、明確な説明とともに必須の同意チェックボックスを追加するだけで十分なはずです。
コンタクトフォームと同様に、ポップアップ、フローティングバー、インラインフォームなど、メールマーケティングのオプトインフォームを設置する場合、リストに追加する前に、ユーザーから明確な同意を得る必要があります。
これは、次のいずれかの方法で行うことができます。
OptinMonsterのようなトップリードジェネレーターソリューションは、GDPR同意チェックボックスやその他の必要な機能を追加し、あなたのメールオプトインフォームをコンプライアンスに準拠したものにすることを支援します。
WordPressのeコマースプラグインとして最も人気のあるWooCommerceを使用している場合、ウェブサイトがGDPRに準拠していることを確認する必要があります。
WooCommerceチームは、ストアオーナーのために、GDPRに準拠するための包括的なガイドを用意しました。
あなたのウェブサイトがリターゲティングピクセルまたはリターゲティング広告を実行している場合、ユーザーの承諾を得る必要があります。これは、Cookie Noticeのようなプラグインを使用することで可能です。
WordPressには、GDPR遵守の一部を自動化するためのプラグインがいくつかあります。しかし、Webサイトは動的な性質を持っているため、100%のコンプライアンスを提供できるプラグインはありません。
GDPRに100%準拠していると主張するWordPressプラグインには注意が必要です。彼らは自分たちが何を言っているのか分かっていない可能性が高いので、完全に避けるのが得策です。
以下は、GDPRの遵守を促進するための推奨プラグインのリストです。
私たちは、他のWordPressプラグインが傑出しており、実質的なGDPRコンプライアンス機能を提供しているかどうかを確認するために、プラグインエコシステムを監視し続けていきます。
準備ができていてもいなくても、GDPRは2018年5月25日に施行されています。もしあなたのウェブサイトが準拠していなくても、慌てる必要はありません。コンプライアンスに向けた作業を続け、早急に完了させればいいのです。
欧州連合のウェブサイトには、まず警告、次に譴責、そして罰金は、準拠せず、故意に法律を無視した場合の最後のステップであると書かれているので、この規則が施行された翌日に罰金を取られる可能性は、かなりゼロに近いと思います。
EUはあなたを捕まえようとしているのではありません。ユーザーのデータを保護し、オンラインビジネスに対する人々の信頼を回復するために、このような取り組みを行っているのです。世界がデジタル化する中で、私たちはこのような基準を必要としています。大企業のデータ流出が後を絶ちませんが、こうした基準をグローバルに適応させることが重要です。
それは関係者全員にとって良いことでしょう。これらの新しいルールは、消費者の信頼を高め、ひいてはあなたのビジネスの成長にもつながるでしょう。
この記事で、WordPressとGDPRのコンプライアンスについて知っていただけたでしょうか。今後も情報やツールがリリースされるたびに、更新していくように努めます。
