WordPress

WordPress4.9.6に更新 GDPR対応のプライバシー・メンテナンスリリースとは

当サイトのWordPressのバージョンを4.9.6に更新しました。今回の更新はプライバシー・メンテナンスリリースということで、5月25日に施行される欧州連合の一般データ保護規則(GDPR)に対応する新しいプライバシー機能を追加するものとのこと。
色々調べてみると、GDPRがなかったとしても何らかの対応が必要であることに気づいたので、覚書としてまとめておきます。GDPR施行までに間に合わない!と思ったとしても、いろいろ調べた上でサイトに諸々設置するのは意味のあることだと思います。

参考にしたのは以下の記事です。

[更新状況]
2018/5/24:新規作成
2018/5/25:当サイトの状況を詳細に書き、法令と照らし合わせた

日本の個人ブログは関係があるのか

はじめに当サイトの状況を書いておきます。

  1. お問い合わせフォーム(Googleフォーム)を設置している
  2. Google Analyticsを導入している
  3. ソーシャルメディアウィジェットプラグインを利用している
  4. WordPressコメント機能やコメントプラグインは利用していない
  5. サイト管理者以外のログインはできない
  6. 広告はない→今後導入したいと思ってた
  7. アフィリエイトはない→今後導入したいと思ってた
  8. BASEでオンラインショップを開設している(BASEではショップ開設に伴ってプライバシーポリシーページが作成されます)
    →今後BASEのウィジェットなどを設置するかもしれない

GDPRについて、上記記事では以下のように解説しています。

GDPR は欧州の規則ですが、その要件は、ビシネスの拠点にかかわらず、EU 住民の個人情報を収集・保管・処理するすべてのサイトとオンラインビジネスに適用されるということを理解することが重要です。

出典:https://ja.wordpress.org/2018/05/19/wordpress-4-9-6-privacy-and-maintenance-release
(上記参考リンクと同様)

当サイトとしては、日本のサイトでもEU住民が見られる可能性があれば適用される、と認識しました。

また、日本においては、2017年5月30日に改正個人情報保護法が施行されていて、保有している個人情報が5000人分以下の事業者(小規模取扱事業者)であっても個人情報保護法が適用されるので、注意が必要だということにこの度改めて気がつきました(GDPR関連で色々調べるまで知りませんでした)。

当サイトの状況と法令を照らし合わせた結果

NO 内容 当サイト管理者の認識 当サイトでの対応
1 お問い合わせフォーム 個人情報保護法が適用
2 Google Analytics GDPRが適用
3 ソーシャルメディアウィジェットプラグイン ? 存在は告知した方がいい 要?
4 コメント、コメントプラグイン 個人情報保護法が適用 不要
5 ログイン 個人情報保護法が適用 不要
6 広告 ? 存在は告知した方がいい 不要
7 アフィリエイト ? 存在は告知した方がいい 不要
8 他サイトのウィジェット ? 存在は告知した方がいい 不要

上記表は、5/25に追加しましたが、認識不足な点が多いので引き続き調べたいと思ってます。
ただ、少なくとも導入していることはポリシーとして記載しておいた方がよい気がしました。

当サイトで検討した3つのポイント

  1. サイトにお問い合わせフォームがあるため何らかの対応が必要と考えました
    →サイト上で名前やメールアドレスなどの個人情報を入力してもらうので
  2. サイトにアナリティクスツールを導入しているため何らかの対応が必要と考えました
    →Cookieに保存されるGoogle Analyticsのオンライン識別子もGDPRではプライバシー情報とみなされるみたいなので
  3. サイト訪問者には訪問時にデータ収集について事前に同意を求めた方がいいのか、については現時点で調べきれませんでした

当サイトでの対応

  • プライバシーポリシーページを作成しました。
    個人情報の利用目的や、CookieやGoogle Analyticsを使用していることを明記しました。
    なお、WordPress4.9.6では、プライバシーポリシーページを新たに作成する機能も追加されています。
  • お問い合わせページに個人情報取扱について記載しました。
    お問い合わせフォームの上に個人情報を適切に取り扱うことと、プライバシーポリシーへのリンクを明記しました。
  • 各ページのフッターにプライバシーポリシーへのリンクを追加しました。

データ取得の同意を得る方法(2018/5/24時点で未実施)について

上記参考記事にもありましたが、英語サイトなどで訪問時にページ上にオーバーレイでCookieを利用しています的に表示されるサイトありますよね。参考にしたWeb担当者Forumの記事だと『データ取得と用途について、訪問者から事前の明示的な同意を得る』とあったので、それらを結びつけて考えると、やった方がいいと思いました。同意を管理するツール(Consent Manager)も複数あるようです。

ワードプレスの場合はプラグインも複数あるようです(キーワード『wordpress cookie[あるいはconsent] plugin』で検索すると出てきます)。が、何がいいのかが調べきれずでした。引き続き調べるつもりです。

[参考]WordPressバージョン4.9.6で追加されたプライバシー機能

  • サイト訪問者は、コメント投稿時に、自身の名前やメールアドレスなどをブラウザのCookieに保存するかどうか選択できる
  • サイト所有者がプライバシーポリシーページを指定でき、WordPressからプライバシーポリシーの提案テキストとガイドが提供されている
    • 管理画面左の設定プライバシーでプライバシーセッティングを表示。プライバシーポリシーとして既存ページを利用するか、新規ページで作成するか選択できる。
    • 新たにポリシーページを作成すると提案テキストを利用して新規ページに雛形が作成される。
    • プライバシーセッティング中にガイドのリンクがあり、ガイドには提案テキストと解説が記載されている。
      →ガイドの解説も全て読んではいないので、今後確認していきたいと思っています。
  • サイト所有者は、WordPressとプラグインによって収集されたユーザーの個人データのエクスポートと消去できる(個人的覚書ですが、どうも該当する個人-例えばコメントした人などか?-から申請があった場合と思われます)

※バージョン4.9.6については、記事でも紹介した以下をご一読した上で、バージョンアップされることをお勧めします。
https://ja.wordpress.org/2018/05/19/wordpress-4-9-6-privacy-and-maintenance-release/