こんにちは。
FASTCODINGです。
突然ですが、5/25よりEU域内において適用が開始された
個人情報に関する法律『GDPR』をご存知ですか?
なんとなく聞いたことあるけどEUの法律だから日本は関係ないんでしょ?
いえいえ、とんでもないっ!
日本で運営しているサイトでもしっかり対応しておかないと
最悪とんでもない罰則をうけることになりかねません。
今回は記事ではGDPRについて、
Wordpressの設定に絞ってご説明しようと思います。
目次
1.まずはGDPRについて調べる
GDPRとは何か?
GDPRの適用対象
個人データの範囲
GDPR違反に対する罰則
具体的になにをすればいいの
2.wordpressをGDPRに対応させるには
①GDPRに対応したWordPress 4.9.6にバージョンアップ
②プライバシーポリシーを設置
④個人データのエクスポートツール&個人データの削除ツール
④Cookie使用の同意を求めるプラグインの導入
⑤使用しているプラグインの確認
まとめ
1まずはGDPRについて調べる
GDPRとはなにか?
GDPRとは
GDPRは「General Data Protection Regulation」の略で、「一般データ保護規則」とも呼ばれる個人情報保護の法律だ。その内容は、端的に言えば「個人データ」の「処理」と「移転」に関する法律ということになる。
[参考URL] ZDNet Japan:https://japan.zdnet.com/article/35110326/
今までもデータ保護指令というルールはありましたが、同じEU内でも国によって
規制内容が異なっていたことから、ルールを統一する目的でGDPRが制定されました。
日本で2017年に施行開始された、改正個人情報保護法のEU域版といった感じですが
GDPRのほうが厳格で罰則も厳しいと言われています。
そして最大のポイントが、日本の企業・サイトも例外ではないということ。
域内(EU加盟国 28カ国とアイスランドとリヒテンシュタイン、ノルウェー)で取得した「個人データ」を域外に「移転」することは原則禁止されており、日本のような域外へ移転させるには、
『移転先の国、地域が十分に個人データ保護されている』か、『個々のサイトや企業が適切な保護措置を行っている』ことが条件になってきます。
日本は現在のところ残念ながら「十分なレベル」とは認められていないため、個々の企業・サイトが対応を行わなければならないのです。
GDPRの適用対象
個人データの対象
GDPRの保護対象となる「個人データ」には、域内に居る個人のデータ
(国籍やどこに住んでいるかを問わない)はもちろん、
地域に短期出張や旅行、出向している個人のデータも含みます。
さらには、日本などの第三国から域内に送付された個人データも対象になるため注意が必要です。
GDPRの適用範囲
GDPRは、域内に設立された企業やサイト、団体はもちろんのこと域外であっても、
- 個人データの対象に対して商品またはサービスを提供する場合
- 個人データの対象の行動を監視する場合
のような場合、適用範囲に含みます。
つまり、WEBサイトの場合は域内からのアクセスを遮断しない限り
GDPRの適用範囲になる可能性が十分にありえます。
個人データの範囲
一口に個人データと言っても、内容はさまざま。
現時点でJETROサイトに上がっている
GDPRで保護の対象となる個人データの例はのこのようになっています。
- 氏名
- 識別番号
- 所在地データ
- メールアドレス
- オンライン識別子(IPアドレス、クッキー識別子)
- 身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因
IPアドレスやクッキーについても個人情報とされているため
アクセス解析やWEB広告を導入している場合も注意が必要ですね。
GDPR違反に対する罰則
GDPRに違反した場合、制裁内容によって下記の2パターンの上限金額に基づいた
制裁金を請求される可能性があります。
- 1,000万ユーロ(約13億円)、または、企業の場合には前会計年度の全世界年間売上高の 2%のいずれか高い方
- 2,000万ユーロ(約26億円)、または、企業の場合には前会計年度の全世界年間売上高の 4%のいずれか高い方
とはいえ、いきなり制裁金を科せられるわけではなく、
制裁金を請求されるまでに、警告や保護監査などの段階を踏むみたいなので少し安心ですね。
具体的に何をすればいいの?
データの収集および利用目的について利用者に明示的に同意してもらう必要があります。
また、日本においてはまだ十分に個人データ保護されている国と認められていないため
標準契約条項(Standard Contractual Clauses:SCC)」の締結、または「拘束的企業準則(Binding Corporate Rules: BCR)」を承認してもらわないといけないそうです。
…と、めちゃくちゃ固い言葉が並びますが、正直法律関係は複雑。。。
詳しくはEUの法律に詳しい弁護士さんに相談してください。
2wordpressをGDPRに対応させるには
具体的に何をすればいいの?で記載した「利用者にデータの利用目的を明示する」に関して、
Wordpressでできる対策を5つご紹介します。
①GDPRに対応したWordPress 4.9.6にバージョンアップ
念のため、バージョンアップ前には必ずバックアップはとっておきましょう。
また、サイトの構成方法によってはWordpressのバージョンアップを行うことで
レイアウト崩れが起きたり、最悪の場合閲覧できなくなってしまうことがあります。
不安な場合は、弊社Fastcodingなどのシステム会社に依頼することを
オススメいたします。
②プライバシーポリシーを設置
WordPress 4.9.6では、DGPRに対応するため
プライバシーポリシーを設定する機能が追加されました。
1プライバシーポリシーを作成する
WordPressをバージョンアップすると、設定に『プライバシー』という項目が
追加されます。
『プライバシー』をクリックすると、このように表示されます。
プライバシーページを新たに作成する場合は『新規ページを作成』をクリック。
すると、Wordpressがあらかじめ用意したプライバシーページの雛型が入った
固定ページの作成画面が出てきます。
ここから、サイトの目的にあったプライバシーページを作成しましょう。
WordPressがプライバシーポリシーの雛型を用意してくれてはいますが、
サイトの提供するサービス内容によって記載すべき項目は
異なるため、文章は別で用意することをオススメします。
すでにプライバシーポリシーを設置済みで内容に問題がない場合はなにもせずに3へ
2プライバシーポリシーをWordpressのわかりやすい場所に配置
1で作成したページが誰からも探しやすいよう、
Wordpress内の見やすい場所に設置しましょう。
3プライバシーポリシーをWordpressに連携させる
既にプライバシーポリシーのページを持っている場合は指定しておきましょう。
③個人データのエクスポートツール&個人データの削除ツール
こちらも今回のWordpressのアップデートで追加された機能。
それぞれ
ツール > 個人データのエクスポート
ツール > 個人データの消去
から操作が可能です。
個人からの個人データ削除やデータ提供のリクエストがあった場合に利用しましょう。
④Cookie使用の同意を求めるプラグインの導入
Google AnalyticsやAdwordsを導入している場合や、
ECサイトでは、Cookieを利用しているはず。
このCookieに関しても、事前に同意をとっておきましょう。
例として、最近海外のサイトを中心によく見るようになった
Cookieの利用に関する同意を求める通知バーの導入方法を紹介されている
サイトをご紹介いたします。
【GDPR】WordPressでCookie使用の同意を得る簡単な方法
⑤使用しているプラグインの確認
サイトを運営する上では、さまざまなプラグインを導入していると思います。
このプラグインひとつひとつに関しても、きちんとGDPR対応されているかを確認しましょう。
もし、長い期間バージョンアップされていないプラグインで個人データを扱っているものがあれば、
他のGDPR対応されているプラグインに乗り換えたほうがいいかもしれません。
また、プラグインがGDPR対応されたなどのアナウンスがあれば都度バージョンアップしましょう。
まとめ
いかがでしたでしょうか。
GDPR対策については、システムの変更や修正だけでなく
社内での個人情報の取り扱いについても改めて見直す機会になるかと思います。
規則だからと受け身にとらえるのではなく、
これを機に、ユーザにとって一層安心できるサイト作りを心掛けたいですね。
最後に、今回GDPR対策について参考にさせていただいたサイトも合わせてご覧くださいませ。
