データ流出やセキュリティに関する課題が重要視される今日、「GDPR」という言葉を一度は耳にしたことがあるでしょう。GDPRは、国民が自分の個人データを保護できるよう、個人情報の収集や管理について定めたプライバシー法です。この規則は、インターネット全体においてデータをどのように扱うかに大きな影響を与えます。2018年5月25日に施行されたにもかかわらず、多くの人が以下のような点を理解していません。
- GDPRの概要
- GDPRによる影響
- GDPR準拠に必要なこと
人は簡単に理解できない面倒なものを後回しにしがち(税金対策や確定申告が良い例)。GDPRが正式に施行された今、もうGDPRの存在を無視するわけにはいきません。ビジネスやサイトの運営方法を変更する必要があるかどうかを調べる時間をとりましょう。そのまま放置しておけば、高額な罰金を科せられる可能性があります。
この記事では、GDPRについて知っておくべきこと、そしてWordPressサイトをGDPRに対応させる方法を詳しくご紹介していきます。ただし法律的な詳細については、必ず弁護士に相談してください。
本記事の内容は、GDPRに関する情報提供が目的であり、法的助言ではないことを念頭に置いてください。それでは、さっそく本題に入りましょう。
GDPRとは(わかりやすく解説)
GDPRとは、EU一般データ保護規則(General Data Protection Regulation)の略であり、EU加盟国(28ヶ国)の市民の権利と個人データを保護するため、2016年4月14日に欧州委員会によって承認された個人情報保護法です。この規則は、1995年10月24日のデータ保護に関する95/46/EC指令に代わるもので、2011年のCookie規制(GDPR施行に伴いまもなくeプライバシー規則に変更)よりもはるかに広範です。この規制の展開計画は2年間とされ、施行日は2018年5月25日です。
EU一般データ保護規則(GDPR)は、この20年間で最も重要なデータプライバシー規制の変更である(出典:EU GDPR)
規制の公式PDF(11章、99条)はこちらで参照してください。
GDPRに関連する以下の用語は押さえておきましょう。
- 管理者(Controller)─個人データの処理目的と手段を決定する者
- 処理者(Processor)─管理者に代わって個人データを処理する責任を負う者
- 個人情報─他の情報と組み合わせることによって、間接的にでも個人を特定することができる情報
GDPRにおける「処理」とは
GDPRでは、個人情報を収集して保存し、何らかの形で使用することを「処理」と定義します。具体的には、個人情報に対して行う、収集、記録、整理、構造化、保管、適応、変更、検索、相談、使用、送信、開示、普及、結合、調整、制限、消去、または破壊は「処理」とみなされます。
GDPRの基本原則
GDPRには、管理者に適用される以下7つの原則があります。
- 個人情報は、合法的、公正、かつ透明性をもって処理されなければならない。処理には同意を得ることが必要である。
- 個人情報は、具体的、明示的かつ合法的な目的のために収集され、その目的にのみ使用が許される。
- 個人情報は、適正かつ適切でなければならず、収集は必要な情報だけに限定しなければならない。
- 個人情報は、正確でなければならず、常に最新の状態に保たなければならない。
- 個人情報は、識別可能な形で、保存期間は可能な限り短くとどめなければならない。
- 個人情報は、安全性が確保される方法で処理しなければならない。
- 管理者は、これらの原則を遵守していることを証明する責任がある。
GDPRに基づく個人の権利
GDPRの下で保護を受ける個人(EU市民)は以下7つの権利を有し、これを処理者は遵守しなければなりません。
- 情報の通知を受ける権利─自分に関するどのような情報が収集されるかを知ることができる
- データ携行(データポータビリティ)の権利─自分の情報をダウンロード形式で容易に要求し、データを他のサービスに使用または転送することができる(第20条)
- 訂正権
- 忘れられる権利─銀行ローンなど正当な理由がある場合を除いて、個人情報の完全な削除を要求できる(第17条)
- 処理を制限する権利
- 異議を述べる権利
- 自動化された意思決定およびプロファイリングの対象となる場合に公平な取り扱いを受ける権利
GDPRに関する補足的な注意事項
しかしながら、常に白黒をつけられるわけではないのがこういった規則の特徴。そのため、以下の点も念頭に置いてください。
- あらゆる個人情報(PII─ある人物に関連する、またはある人物を特定するために使用されるあらゆる情報)に適用される。
「個人情報」とは、識別された、あるいは識別可能な自然人(データ対象者)に関する情報を意味する。識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、または当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つまたは複数の要素を参照することによって、直接的又は間接的に、識別されうる者を指す。また、自然人は自身の個人情報がどのように扱われるかを制御する権利を有する(第4条)。
- 人種、民族的出身、性的指向、健康状態など、あらゆる機微な個人情報に適用される(前文51、第9条)。
- プライバシーバイデザイン─個人情報を適切に保護するため、システムには保護機能を導入し、データへのアクセスを厳重に管理し、必要時にのみ与えなければならない(第25条)。
- データの紛失、盗難、不正アクセスがあった場合は、72時間以内に監督機関に通知し(第33条)、データ対象者にも通知しなければならない(第34条)。
- データは収集時に指定された目的にのみ使用することが許され、目的を達成した後は、完全に削除しなければならない。
- 各国の監査機関は規則に違反した企業に罰金を科すことができる。
- 16歳未満(国によってはそれ以下13歳以上)の子供の個人情報をオンラインサービスで処理する場合は、保護者の同意が必要になる(第8条)。
GDPRの影響
GDPRは、EU市民の権利を保護するために考案されたものですが、本質的にはウェブ上のすべての人に影響を与えます。これは、ビジネスの創業地やオンライン活動を行う拠点を問わず、ウェブサイトがEU市民のデータを処理または収集する場合は、GDPRに準拠しなければなりません。
つまり、EU圏内に拠点を置いていなくても、以下のようなウェブサイトはGDPRの影響を受けることになります。
- ユーザープロファイルごとに個人情報を収集するWordPressのコミュニティサイト
- テーマやプラグインを購入するのにアカウント登録を促すWordPressテーマ販売ストア(販売および請求データ)
- ニュースレターの購読やコメントが行えるWordPressブログサイト
- オンラインで製品を販売するECサイト(WooCommerceまたはEasy Digital Downloads)
- 解析ソフトウェアを使用するWordPressサイト
EU加盟国からのトラフィックを意図的にブロックしない限り、ほとんどのウェブサイトはGDPR準拠を義務付けられます。
自社サイトが現在GDPRに準拠しているかどうかが気になる場合は、MailjetのGDPRクイズを利用してみてください。また、GDPRチェックリストも確認しておきましょう。
GDPRに違反するリスク
data.verifiedjosephによると、2019年3月20日現在、GDPR施行後、1,129件のサイトがEU圏内からのアクセスを制限しています。この中には、大手報道機関などのウェブサイトも多く含まれます。
これらのサイトは、GDPRへの準拠が行えておらず、罰金を科せられるのを回避するために、EU加盟国からのトラフィックを完全にブロックしています。
GDPRに遵守しない場合、1回の違反につき年間売上高の最大4%、または最大2,000万ユーロ(いずれか高い方)の制裁金が課される可能性があります。また、この罰金には段階的なアプローチがあり、例えば記録を整理していない、違反について監督官庁とデータ対象者に通知していない、影響評価を実施していないなどの状況では、2%の罰金を科されることがあります(第83条)。
2019年1月、フランスのデータプライバシー監視機関はGDPRに基づき、Googleに5,700万ドルの罰金を科しています。その後2019年2月までには、5万9,000件以上のデータ侵害が報告され、91件の罰金が科せられました。
Crazy stats after 1 yr of GDPR:
* ~$60m in fines
* compliance costs for US firms estimated at $150b (2500x fine amount!)
* small co's hurt more than large. GOOG actually benefits!
* VC $ invested in EU startups drops significantlyRegulatory success! 🙄https://t.co/HbSoKlRRZz
— Leo Polovets (@lpolovets) May 25, 2019
GDPR施行から1年後の驚くべき統計…
・6,000万ドルの罰金
・米国企業のコンプライアンスコストは1億5,000万ドル(罰金額の2.5倍!)
・大企業よりも中小企業が受ける影響の方が大きく、GOOGが利益を得ている。
・EUの新興企業へのVC投資額は大幅に減少(和訳)
最新の統計は、Privacy Affairsのウェブサイトで確認できます。特に小規模なECサイトやWordPress代行業者などにとって、この罰金は致命的な打撃になり得ることは言うまでもありません。
WordPressサイトをGDPRに対応させる方法
ここからは、本題であるWordPressサイトをGDPRに準拠させる方法をご紹介していきます。具体的な方法はウェブサイトによって異なるため、大まかな手順をご説明しながら、各ステップのヒントと注意事項を見ていきます。
1. 弁護士を雇う
GDPRの遵守について懸念がある場合(該当しない人はほぼいないでしょう)、一時的にでも弁護士を雇うことをお勧めします。この分野に関しては、自社で試行錯誤しながら取り組めるものではなく、弁護士の状況に応じた法的助言を得るのが確実です。誤った方法で取り組めば、高額な罰金の支払いを迫られる可能性があります。
2. データ収集と処理のワークフローを見直す
WordPressサイト全体を通して、データの収集と処理がどの領域で行われ、そのデータがどこ、どのくらいの期間保存されているかを確認しましょう。これには、次のようなものが含まれます。
- ECサイトの決済ページやWordPressの登録ページで収集される個人情報
- IPアドレス、Cookieの識別子、GPSの位置情報
- Google アナリティクス、Hotjarなどの各種サービス
すべてを特定した後、訪問者の同意を求めているかどうかを確認し、収集したデータがどのように使用されるかを開示しなければなりません。
3. GDPR準拠プロジェクトがWordPressのコアに統合
Dejlig Lama氏とPeter Suhm氏による「GDPR for WordPress」は、プラグイン開発者にはプラグインのGDPR準拠を検証するためのシンプルなソリューション、サイト管理者にはGDPR準拠に伴う管理タスクを処理するための概要とツールを提供することが目的のプロジェクト。そしてこのプロジェクトは現在、WordPressのコアに統合されています。
この詳細については、GDPRに関するWordPress TracページおよびGDPR対応ロードマップを参照してください。GDPRへの準拠は双方向であるため、開発者だけでなく、WordPressユーザーにとっても重要です。WordPressユーザーは、データを収集する際のコンプライアンスを確認するため、チェックボックスやプロンプトなど、すでに使用しているプラグインに機能を追加する必要がありました。
4. 規約やポリシーを更新する
GDPRに伴い、利用規約、プライバシーポリシーページ、アフィリエイト規約など、あらゆる規約やポリシーを更新してください。ユーザーが明確に同意を行えるよう、チェックボックスのないフォームを使用することはできません(ただし、処理の合法性に該当する場合は例外)。ユーザーが確認することを想定し、規約を一番下のリンクに忍ばせる手法はもう通用しません。
同意の条件が強化されたことにより、企業は法律用語で埋め尽くされた読みにくく長尺な規約を提示することはできない。同意の要請は、わかりやすく簡単にアクセスできる形で行われ、その同意にはデータ処理の目的が添付されていなければならない。同意は、他の事柄と明確に区別され、明確で平易な言語を用いて、理解しやすく容易にアクセスできる形で提供される必要があり、同意の撤回もまた、同意するのと同じくらい容易に行えなければならない。(出典:EU GDPR)
この点も、弁護士の力を借りるのが得策です。シンプルなブログを運営している場合は、少なくともiubendaなどのツールを用いて、より適切なプライバシーポリシーの作成を行なってください。
WordPress 4.9.6では、新たにプライバシーポリシーページ機能が導入されました。サイト内にプライバシーポリシーページを追加し、ログインページやアカウント登録ページに表示することができます。フッターにも表示することをお勧めします。
以下は、WordPressデフォルトのプライバシーポリシーページの例です。これはあくまでテンプレートあるいは出発点となるもので、これをそのままサイトに追加すればOKというわけではありません。
5. データポータビリティの提供
第20条によると、データを収集するすべての企業は、ユーザーがそれをダウンロードし、他の場所にデータを利用/転送する権利を与える必要があります。
データ対象者は、管理者に提供した個人情報が構造化され、一般に使用され、かつ機械で読み取り可能な形式で受け取る権利、および個人情報を提供した管理者から、支障なく別の管理者にデータを転送する権利を有するものとする。
したがって、訪問者や顧客からの要求があった場合、ダウンロード可能なファイル(.csv、.xmlなど)を提供できるシステムの導入が必要です。導入作業には、WordPress開発者に依頼することをお勧めします。
WordPress 4.9.6には、データの取り扱いに関連した機能が新たに追加されました。サイト所有者は、ユーザーの個人情報を含むZIPファイルをエクスポートしたり、個人情報を削除したりできます。また、電子メールによる個人情報の確認が行えるようになっています。
6. プライバシーシールドフレームワークに基づく自己認証
多くのウェブサイトが世界中からデータを収集していること、また個人情報に対する規制が厳しくなっていることから、多くの企業がEU・米国間およびスイス・米国間のプライバシーシールドフレームワークの下で認証を受けるようになっています。このフレームワークは、大西洋を越えた商取引の支援を目的に、EUとスイスから米国に個人情報を転送する際に、データ保護要件に準拠する仕組みを両者に提供するため、米国商務省、欧州委員会とスイス行政当局によって策定されました。
プライバシーシールドに基づく自己認証についてはこちらをご覧ください。
7. データの暗号化/HTTPS
暗号化には、ウェブトラフィックの暗号化(HTTPS)とデータの保存場所の暗号化の2種類があります。GDPR準拠に関わらず、常にウェブトラフィックは暗号化するのがベストプラクティスです。HTTPSに移行するメリットは、そのデメリットをはるかに上回ります。
「暗号化」という表現は、GDPRでは実は数回程度しか触れられておらず、必須要件というわけではありません。
セキュリティを維持し、この規則に違反する処理を防ぐため、管理者または処理者は、処理に内在するリスクを評価し、暗号化などのリスクを軽減する措置を実施しなければならない(前文83)。
GDPR準拠に暗号化が必須というわけではありませんが、データに対する責任を負うことから、強く推奨されます。例えば、KinstaのWordPress専用サーバーを利用する場合は、Google Cloud Platform採用によって、すべてのデータが静止時に暗号化されます。GDPRの暗号化に関する詳細はこちらを参照してください。
8. WordPressテーマ、プラグイン、サービス、APIを確認する
個人情報を収集または保存するためにインストールしたWordPressプラグインやテーマ固有の機能も、GDPR準拠のために更新が必要です。WordPress開発者は、すでにGDPR準拠を考慮し、利用者のために変更を加えているかもしれせん。以下、人気の高いプラグインや設定をGDPRへの対応方法とともにご紹介します。
お問い合わせフォームプラグイン
GDPRに準拠する最も簡単な方法の1つは、お問い合わせフォームに必須のチェックボックスを設置し、送信するデータが収集・保存されることに対してユーザーの同意を得ること。ただし、これはあくまで「最も簡単な」対策であり、すべてのお問い合わせフォームで同意が必要になるわけで貼りません。処理の合法性に該当する場合もあります。
- Gravity FormsのGDPR対応
- NinjaFormsのGDPR対応
- Contact Form 7のGDPR対応─WP GDPR Compliance(無料)またはContact Form DB 7(有料アドオン)
その他のWordPressお問い合わせフォームプラグインはこちらでご紹介しています。
コメントプラグイン
コメントプラグインも個人情報を収集するため、お問い合わせフォーム同様、同意を促すチェックボックスの追加が効果的です。ただし、コメントプラグインの場合も処理の合法性に該当する場合があります。
- WordPress組み込みのコメント機能
- DisqusのGDPR対応(現在準拠に対応中)
- JetpackのGDPR対応
WordPress 4.9.6 プライバシー・メンテナンスリリースでは、組み込みのコメント機能に同意のチェックボックスが導入されました(以下参照)。
マーケティングプラグインおよびサービス
ニュースレタープラグイン、アンケートプラグイン、クイズプラグイン、プッシュ通知プラグイン、メールマーケティングソフトウェアなども、GDPRの影響を受けます。
分析、トラッキング、リマーケティングプラグインおよびツール
データを収集するサードパーティーのサービスやプラグインも対象になります。これには、Google アナリティクス、A/Bテストプラグイン、ヒートマップツール、リマーケティングプラットフォームなどが含まれます。Google アナリティクスについては、IPを匿名化することが推奨される場合があります。
4月の時点で、Google アナリティクスにはデータ保持機能が導入されています。保存されたユーザーレベルおよびイベントレベルのデータが、Google アナリティクスのサーバーから自動的に削除されるまでの時間を設定することができます。「管理」>「プロパティ」>「トラッキング情報」>「データ保持」で設定可能です。
Google アナリティクスのレポート機能のみを使用し、ディスプレイ広告を使用していない場合、Cookieのプロンプトが必要かどうかは状況に応じて異なります。詳しくはこちらの記事を参考にしてみてください。
ECソリューションと決済代行サービス
WordPressのECソリューションは、販売データ、個人情報、ユーザー アカウント情報を収集し、サードパーティの決済代行サービスと統合されているため、GDPRの影響を大きく受けます。
併せて、WooCommerceサイトをGDPRに対応させる12の方法も参考にしてみてください。
コミュニティプラグイン
コミュニティプラグイン、フォーラムプラグイン、会員制プラグインは、WordPressの統合サインアッププロセスとは別に、個人情報も保存される場合がほとんどです。
- LearnDashのGDPR対応
- bbPressのGDPR対応(現在検討中)
- BuddyPressのGDPR対応(現在検討中)
サードパーティーのAPI
サードパーティのAPIもデータを収集します。これの典型的な例が、Google Fonts。Google Fontsはほとんどのサイトで使用されています(WordPressテーマに組み込まれているか、手動で追加)。利用しているAPIを調べ、プロバイダーが収集しているデータを確認してください。場合によっては、同意がなくても処理の合法性に該当し、データ収集が許可されることがあります(前文49)。
これは手間のかかる作業で、Googleでさえも明確な回答を提示していないため厄介です。Google FontsのGDPR準拠に関する開発者の議論はこちらをご覧ください。Google FontsをCDNでローカルにホストすることでこの問題を解決することができます。
なお、WordPressプラグイン開発者の中には、現在GDPR対応に取り組んでいる人もいるため、この記事は随時更新していきます。多くのプラグインがまだGDPRに対応していないため、使用中のプラグインに関する懸念がある場合は、開発者に連絡を取り、今後の対応について確認してみてください。
処理の合法性
上記でご紹介したように、ユーザーの同意を得ることは、GDPRを遵守する最も簡単な方法ですが、これが唯一の方法というわけではありません。先にも触れましたが、「処理の合法性」によって、同意がなくてもデータ処理が許可される場合があります。以下、この例をいくつかご紹介します。
契約上の必要性
データ対象者が当事者となる契約の履行に必要な場合、または契約を締結する前にデータ対象者の要求に応じて措置を講じるために必要な場合、データ処理は許可される(第6条1項(b))。
正当な利益
データ処理は、管理者または第三者が追求する正当な利益のために必要である場合に許可される。ただし、その利益が個人情報の保護を必要とするデータ対象者の利益、または基本的権利および自由(特にデータ対象者が子供の場合)により優先される場合は例外とする(第6条1項(f))。
注意)公的機関がその職務を遂行するために行う処理には適用されません。
その他の事例については、White & Case LLPによる「Lawful Basis for Processing」を参照してください。
GDPR対応に役立つWordPressプラグイン
続いて、GDPR対応に役立つおすすめのプラグインをご紹介します。
- WP Activity Log─WordPressサイトで何が起こっているかを確認するのに便利で、セキュリティ上の理由だけでなく、ユーザー登録、コメント、お問い合わせフォームの入力など、データを収集しているものを確認することができます。
- Cookie Information | Free GDPR Consent Solution─Gravity Forms、Contact Form 7、WooCommerce、WordPressのコメント機能などの統合に加えて、GDPR準拠に役立つヒントも得ることができます。
Cookie Information | Free GDPR Consent Solution - GDPR─その名の通り、GDPR準拠を支援するプラグインで、利用規約やプライバシーポリシーの登録同意管理、確認メールによるデータの削除と消去権、データプロセッサーの設定と連絡先情報の公開、管理画面からのデータアクセスとエクスポートの権利、Cookieの設定管理など、さまざまな機能が揃っています。
- GDPR Cookie Compliance─Cookieの有効化、無効化をきめ細かく設定し、ユーザーが特定のCookieの目的に同意することを可能にします。
- iubenda Cookie Solution for GDPR─プライバシーポリシーのテキスト、Cookieのバナー、Cookieのブロック管理の生成によって、ウェブサイトのGDPR準拠をサポートする万能プラグイン。サイトを自動スキャンして、必要なソリューションを自動的に設定してくれます。フォームのGDPR対応コンテンツの記録を取得、保存、管理し、ワンクリックでドキュメントを10ヶ国語に翻訳することも可能です。
- Complianz GDPR─GDPR遵守に必要なことをすべて実行できる優れものです。その機能は、Cookieのプロンプトが必要かどうかの自動検出、Google アナリティクスとの統合、サイトのスキャン、Cookieのブロック、Cookieポリシーの作成、その他多数。
- CookieYes─WordPressサイトにCookieの同意通知を表示するのに便利です。訪問者や顧客が明示的に同意した場合にのみ、ブラウザにCookieをインストールすることを許可します。また、ユーザーはいつでも同意を取り消すことができます。さらに、サイトのテーマに応じてCookieプロンプトのスタイルも変更可能。
KinstaはWordPressサイト向けCookie同意ソリューションを独自に導入
ビジネスやウェブサイトは多種多様であり、サードパーティのプラグインで法令遵守を保証することはほぼ不可能です。
これを踏まえ、KinstaではGDPR対応に役立つCookie同意プラグインを独自に構築しました。サイト訪問者は、実行されるスクリプトとCookieに基づいてすべての設定をカスタマイズでき、これによってGDPRへの完全準拠を実現しています。
Kinstaでは、必要不可欠なCookie(デフォルトで読み込まれるが、個人情報を収集しないもの)とマーケティング関連のCookieの2つにCookieを分類し、それぞれに同意するかどうかを個別に選択することができます。
ソリューションの構築方法については、別の記事で公開予定です。WordPress開発者を雇って、サイトに適したソリューションを開発してもらう方法もあります。
GDPR監査
GDPRは、個人情報の収集に関する包括的な規則であり、すべての項目を把握するのは大変です。自社のWordPressサイトが準拠できているかどうかが不安な場合は、専門機関(できればWordPressに特化した会社)にGDPR監査を依頼するのが賢明かもしれません。英語でのやり取りに抵抗がない場合は、GreyCastle SecurityのGDPR監査は良い選択肢になります。
GDPR準拠にあたってKinstaが実施したこと
Kinstaはヨーロッパで創業されたため、当初からデータに対する規約を厳しく設定していましたが、GDPR施行にあたって、すべての企業に求められるように、データの処理、収集、保存に関する各種ポリシーを法務部門と再検討する必要がありました。
WordPressサイト全体の見直しや、独自のCookie同意ソリューションの開発などを行い、GDPR施行日までに完全に準拠することができました。
Kinstaでは、GDPRに完全準拠するGoogle Cloud Platformを利用しています。また、サードパーティベンダーとの統合をすべて見直し、同様のGDPR対応データ処理契約も手配しました。
他にも、以下のような変更を行なっています。
- データポータビリティの権利を確保するための方法を導入
- データ処理に関する補足書の導入
- EU・米国間およびスイス・米国間のプライバシーシールドフレームワークに加盟
Kinstaのクラウドサーバーを利用するお客様は、「データ管理者」にあたります。これは、あらゆるデータ処理がGDPRに準拠して実行されていることを保証し、実証にあたって、適切な技術的および組織的措置を実施する責任を負うことを意味します。
まとめ
GDPRの準拠は非常に大きな問題であり、ほぼすべてのWordPressサイトが影響を受けることになります。正式に施行された今、GDPR準拠に時間をとり、自社サイトを完全に対応させることをお勧めします。高額な罰金を科せられるのは、なんとしても避けたいものです。
GDPRとWordPressサイトのGDPR対応に関してご質問がありましたら、以下のコメント欄でお知らせください。また、GDPR対応のおすすめプラグインをご存知の方は、ぜひ共有してください。
Brianの最大の情熱の一つは10年以上使用してきたWordPressです。複数のプレミアムプラグインさえ開発しています。Brianの趣味はブログや映画やハイキングなどです。TwitterでBrianとつながりましょう。
