GDPR とワードプレス

公開: 2022-11-10

GDPR は、一般データ保護規則の略です。 これは、EU 市民のデータを扱うすべての人に対する最小要件を表す広範な EU (欧州連合) 規制です。 規則には 99 の条項があり、11 の章に分かれています。 これは威圧的に聞こえるかもしれませんが、それを分解すると、その重要なポイントと、それが WordPress Web サイトにどのように影響するかを理解するのに役立ちます.

EU による GDPR の制定に続いて、英国、日本、ブラジル、トルコなどを含む他のいくつかの国と管轄区域が、この規則からインスピレーションを得て法律を更新しました。 特にカリフォルニア州には、CCPA (カリフォルニア州消費者プライバシー法) と呼ばれる独自のバージョンがあります。
この記事では、GDPR の中核となる原則を見ていき、個人データの保護との関係に特に注意を払います。

免責事項: この記事は法的助言を構成するものではありません。 プライバシー法を真剣に受け止めるべきです。 GDPR 規則に違反した場合の罰則は非常に厳しく、最大で 2,000 万ユーロまたは総収益の 4% のいずれか高い方になります。 疑問がある場合は、専門家のアドバイスを求めてください。

目次

  • 1. WordPress GDPR の概要
  • 2. 個人データとは
  • 3. WordPress での個人データの収集
  • 4. GDPR とデータ セキュリティ
  • 5. WordPress は GDPR に準拠していますか?
  • 6. GDPR 技術コンプライアンスの開始
  • 7. GDPR コンプライアンスの達成に役立つ WordPress プラグイン
  • 8. よくある質問

WordPress GDPR の概要

WordPress GDPR は、他の Web サイトの GDPR と同じように機能します。 GDPR は非常に包括的であるため、GDPR の実装方法は、実行している WordPress Web サイトの種類によって大きく異なります。 規制の特定の側面は普遍的ですが、他の側面は実装とビジネスに依存します。 たとえば、e コマース Web サイトの要件は、ブログを運営する WordPress サイトの要件とは大きく異なります。

GDPR の 4 つのアクター

GDPR の中核となる原則に目を向ける前に、アクターが誰であるかを理解するために数分かかる価値があります。 アクターは、GDPR がその実装に不可欠であると特定する役割と考えてください。 私たちが知る必要がある 4 つのアクターがあります。 これらの役割を理解することで、誰が何を担当しているかをよりよく理解し、規制を理解しやすくなります。

1. データ主体

WordPress ウェブサイトの場合、データ主体は欧州連合からのウェブサイト訪問者です。 データ主体という用語は、当社が収集しているデータが属する人物を直接指します。

2. データ管理者

データを収集しているウェブサイトの所有者として、これはあなたです。 データ管理者にはいくつかの責任があります。 GDPR の 7 つの原則を確認する際に、これらについて説明します。

データ管理者として、GDPR に準拠していることを証明できる必要があります。 そうしないと、すべての意図と目的に準拠していないと見なされます。 この目的のために、法律の観点からどのデータ管理者が責任を問われるかを理解することは有益です。

3. データ処理者

データ処理者とは、データ管理者 (お客様) に代わってデータを処理する人または企業です。

補足: この段階では、データを処理するエンティティには特定の義務があるため、GDPR がデータ処理と見なしているものを理解することが不可欠です。 この目的のために、GDPR は、単純な収集と保管から、使用、編成、およびその他の形式の処理に至るまで、データに対して行われるすべてのアクションをデータ処理と見なします。

4. データ保護責任者 (DPO)

略して DPO と呼ばれるデータ保護責任者は、収集された個人データの GDPR コンプライアンスの責任を負う人物です。 すべてのデータ管理者とデータ処理者が DPO を必要とするわけではありませんが、GDPR への準拠を確実にするために、組織内でいつでも DPO を任命できます。

GDPR の 7 つの原則

前述のように、GDPR には個人データ処理を管理する 7 つの原則があります。 これらの原則は、データ保護と説明責任に基づいているため、法律への準拠が保証されます。 これらの原則は、GDPR への準拠を支援するフレームワークとして機能します。

原則 1: 合法、公正、透明な処理

法律で定められた規定に従って、データ主体に対して公正かつ透過的にデータを処理する必要があります。 これは、収集するデータ、それが必要な理由、およびその使用方法について明確かつ率直でなければならないことを意味します。 すべての情報を平易な英語で提供することも同様に重要です。

原則 2: 正当な処理

データ主体の同意に従ってデータを処理する必要があります。 前述のように、データを収集して処理する前に、ユーザー/訪問者から同意を得る必要があります。

原則 3: 最小限のデータ収集

処理に直接必要であり、ユーザーが同意したデータのみを収集する必要があります。 これは、可動部分を減らすという原則に従っているため、GDPR の範囲外であっても適切な方法です。

原則 4: データの正確性

収集した個人データを最新の状態に保つ必要があります。 データ主体は誰でも、データの消去または更新を要求できます。この要求は 30 日以内に完了する必要があります。 そのような場合、データ主体の希望に応じるために「あらゆる合理的な措置」を講じる必要があります。

原則 5: データの保存

必要な期間だけデータを保持する必要があります。 これは非常に主観的なものになる可能性があるため (顧客が顧客でなくなるのはいつでしょうか?)、この原則に違反しないように、専門家の法的助言を受けることを強くお勧めします。

原則 6: データのセキュリティ、機密性、完全性

この原則は、7 つの原則の中で最も技術的です。 個人データの完全性と機密性を確保するために、不正アクセス、盗難、紛失、破壊、または損傷に対する保護を確実に実施する責任がデータ管理者に課せられます。

原則 7: 説明責任

説明責任は、GDPR の要件を常に満たすために重要です。 これは、必要な GDPR 準拠のプロセス文書、手順、通知、記録、および評価を整備することを意味します。 GDPR は、データ管理者が GDPR に準拠していることを証明できなければならないと規定しています。

個人データとは何ですか?

GDPR は、すべての種類のデータを保護するものではありません。 その主な目的は、個人データを保護することです。 このため、個人データには、直接的または間接的に個人を特定できるデータが含まれます。 個人データの定義は非常にオープンであるため、注意を怠ることが推奨される戦略です。

WordPress での個人データの収集

WordPress Web サイトの構成方法によっては、ユーザーや Web 訪問者からさまざまな種類の個人データを収集する可能性があります。 データ管理者として、収集される個人データを特定し、関連するすべてのプロセスが GDPR に準拠していることを確認する責任があります。

あなたがデータ管理者とデータ処理者の両方である場合、これは十分に簡単かもしれません。 この例は、外部サービスを使用しない WooCommerce GDPR コンプライアンスです。 ただし、分析や広告などのサードパーティのサービスを使用すると、状況が少し暗くなる可能性があります.

GDPR は個人データの収集を禁止するものではありませんが、データの収集、処理、保存方法について特定の規則を設定しています。 規制を完全に理解することが推奨されますが、EU は、GDPR 要件に準拠するためのデータ戦略を策定するのに役立つ 7 つの指針となる原則を提供しています。

GDPR とデータ セキュリティ

データ セキュリティは GDPR の重要な側面であり、データ保護とセキュリティを確保するための技術的および組織的な対策を奨励しています。 GDPR に準拠するには、データ保護は「設計およびデフォルトで」行う必要があります。 これは、データ保護の考慮事項を後付けではなく、すべての作業に組み込む必要があることを意味します。

技術的対策

GDPR.EU は、ユーザーのデータを保護するために講じることができる技術的対策の 2 つの例を示しています。 1 つ目は 2 要素認証です。これは、WordPress 管理者にとって幸いなことに、WP 2FA のおかげで簡単に実装できます。 この WordPress 2FA プラグインは、複数の認証チャネルをサポートしています。 2FA のロールアウトを継続的に成功させるために役立つ多くの便利な機能がバンドルされています。

2 番目の例は、エンドツーエンドの暗号化を示しています。 GDPR は暗号化を完全に義務付けているわけではないことに注意することが重要です。 代わりに、個人データを保護するための適切な手段を強調しています。暗号化はそのような手段の例です。 これらの対策は、どちらであっても、転送中のデータと保存中のデータの 2 つのデータ状態をカバーする必要があります。

転送中のデータと保存中のデータを理解する

転送中のデータは、ネットワーク経由で送信されるデータです。 一方、静止データとは、データベース内のデータなど、静止しているデータを指します。 WordPress で SSL/TLS 証明書を使用すると、転送中のデータが確実に暗号化されるようになります。 電子メールやその他の通信チャネルの暗号化も同様に重要です。

保存されている個人データは、もう少し複雑です。 まず、WordPress データベースに保存している個人データの種類を特定する必要があります。 これについては、前のセクションで説明しました。 WordPress はデフォルトでは個人データを収集しませんが、カスタム フォームやサード パーティのプラグインはそのようなデータを収集する場合があります。

現在、WordPress はデータ暗号化を提供していません。 したがって、データが可能な限り安全であることを保証するために、他の手段を講じる必要があります。 強力な WordPress パスワード ポリシーは、アクセスを可能な限り安全にするための手段の 1 つです。 もちろん、これには、最小権限の原則に準拠するアクセス ポリシーが必要です。

データの収集と同意

[a] データ収集は、その収集目的に絶対的に必要な範囲に抑え、可能な場合は匿名化する必要があります [b]。 それでも、データを収集する理由とその使用方法を説明して、常にデータ主体から同意を得ることが不可欠です。

同意は、GDPR の重要な部分です。 同意は明確でなければなりません。つまり、細かい活字でそれを隠すことはできません。 すべてのポリシーを明確で平易な言葉で作成する必要があります。 さらに、同意を別途取得する必要があります。他の宣言と一緒に含めることはできません。

また、データ主体はいつでも同意を撤回する権利を有します。 同意の撤回は、同意を与えるのと同じくらい簡単でなければなりません。 さらに、データ主体は、自分に関連するすべての個人データの消去を要求できる消去権を保持します。

情報処理

典型的な WordPress Web サイトは、さまざまな方法でデータを収集して処理します。 すべての Web サイトでデータが収集および処理されるすべての方法をカバーすることは事実上不可能ですが、GDPR がこれらにどのように影響するかを理解するために、いくつかの典型的な例を見ることができます。

分析

Google Analytics や Hotjar などの分析ツールは、お客様に代わって顧客データを処理します。 GDPR から見ると、これはサード パーティのデータ プロセッサになります。 たとえそうであっても、そのデータに何が起こるかについては依然として責任があります。つまり、コンプライアンスを確保するためにいくつかの予防策を講じる必要があります。

非常に重要なことの 1 つは、データ処理契約として知られているものです。 両当事者が署名する必要があるこの書面による合意には、各当事者の責任が明示的に詳述されています。 この文書には法的拘束力があり、署名することで多くの問題を解決できます。

これは、分析プラグインを介して、または直接的に、サードパーティと統合している場合に特に重要です。 いずれにせよ、どのデータが収集されているか、その地理的位置情報、

クッキー

分析ツール、WordPress、一部のプラグイン、およびテーマは、Cookie を使用して、ユーザーおよび訪問者の情報を保存および追跡します。 データ管理者は、各 Cookie の機能を理解し、各 Cookie のデータ収集に対する明示的な許可を取得する必要があります。

さらに、ユーザーは何に同意するかを選択でき、同様にいつでも同意を取り消すことができなければなりません。 同意は毎年更新する必要があり、法的文書として保管する必要があります。

GDPR Cookie の同意

Cookie 法としても知られる ePrivacy Directive が施行された 2002 年以降、Cookie は独自の EU 規制の対象となっています。 EU は 2009 年にこの法律をさらに修正しました。EU の GDPR を補足するものとして機能し、場合によってはそれを無効にします。

ePrivacy Directive (略して EPD) は廃止され、EPR (ePrivacy Regulation) に置き換えられる予定です。

Cookie の同意を管理する

指令と規制の違いは技術的なものです。 指令は EU 内の各国政府によって法律に組み込まれなければなりませんが、規則は EU 全体の法律です。

いずれにせよ、準拠するには、次のことを行う必要があります。

  • Cookie を使用する前に、ユーザーに明示的な同意を求める
  • ユーザーがオプトインしたときに、追跡されている各データに関する平易な情報をユーザーに提供する
  • ユーザーが特定の Cookie を拒否した場合でもフルサービス アクセスを許可する
  • ユーザーの同意を文書化する
  • ユーザーが同意を撤回できるようにする

WordPress は GDPR に準拠していますか?

WordPress はバージョン 4.9.6 で、GDPR への準拠をより簡単にするいくつかの機能を導入しました。 これらの機能によって必ずしも GDPR に準拠するわけではありませんが (これについては後で詳しく説明します)、基本事項を確実にカバーするのに役立ちます。

個人データのエクスポート

ユーザーがデータ要求を提出した場合、ユーザーのすべてのデータを簡単にエクスポートできます。 ユーザーの個人データをエクスポートするには、[ツール] > [個人データのエクスポート] に移動し、表示されたテキスト ボックスにユーザーのユーザー名または電子メール アドレスを入力します。

[確認メール] チェックボックスをオンにして、確認メールを送信することもできます。

個人データのエクスポート

個人データの消去

忘れられる権利を遵守するために、WordPress は個人データ消去機能も提供しています。 この機能にアクセスするには、[ツール] > [個人データの消去] に移動します。 個人データのエクスポート機能と同様に、確認メールを送信するオプションもあります。

プライバシーポリシー

プライバシー ポリシー ページを作成することは、GDPR コンプライアンスへの小さな一歩にすぎませんが、非常に重要です。 カスタムのプライバシーポリシーを持つことは理想的ですが、これによりすべてを説明できるため、テンプレートを使用すると、より迅速に開始することができます – これはまさに WordPress が提供するものです.

この機能にアクセスするには、[設定] > [プライバシー] に移動し、表示される指示に従います。

同意チェックボックス

GDPR Cookie のコンプライアンスを支援するために、WordPress には組み込みの Cookie 同意チェックボックスが付属しており、デフォルトで有効になっています。 これはコメントするユーザーにのみ有効であることに注意してください。Cookie をドロップするものを他に構成する場合は、残りの処理を行う必要があります。

この設定を有効にするには、[設定] > [ディスカッション] に移動します。

GDPRへの準拠

GDPR への準拠は、一度完了して山の底に投げ込むことができる 1 回限りのプロセスではありません。 コンプライアンスの最初の実行は最も骨の折れる作業ですが、ここに時間を費やすことで、将来にわたって利益が得られます。

Web サイトのコンプライアンスを維持するだけでなく、メンテナンスと更新にかかる時間を最小限に抑えることもできます。 そのためには、次のことを行う必要があります。

在庫を確認する – 最初に行う必要があるのは、収集している個人データとその保存場所を評価することです。 メール マーケティング リスト、ユーザー プロファイル、および Cookie に保存されているユーザー データは、考慮する必要がある事項です。 仮名、IP アドレスなど、識別可能な情報を書き留めておいてください。実際のリストは、収集するデータとその処理方法によって異なります。

同意プラグインをインストールし、すべてのデータ プロセスに同意チェックボックスがあることを確認します。 このようなプラグインについては後ほど詳しく説明しますが、

ユーザー フレンドリーな法的ページ– プライバシー ポリシー ページなどのすべてのポリシー ページが、誰でも理解できる平易な英語で書かれていることを確認します。

Cookie 同意バナー– ユーザーまたは訪問者に収集するデータとその理由を通知し、オプトインまたはオプトアウトのオプションを提供する Cookie 通知バナーを追加します。

GDPR 技術コンプライアンスの開始

GDPR に準拠するには、技術的な取り組みと運用上の取り組みの両方が必要です。 義務は特定の設定や状況によって異なりますが、基本は同じ傾向にあります。 これらには以下が含まれます:

  • WordPress ウェブサーバーを強化する
  • WordPress セキュリティのために PHP を強化する
  • WordPress ウェブサイトを強化する

強力な WordPress パスワード ポリシーは、GDPR コンプライアンスのもう 1 つの重要な側面です。これにより、アカウント全体のセキュリティが向上します。 これは、WordPress を安全に保つための多くの WordPress パスワード セキュリティ オプションを含む WPassword を使用して簡単に実装できます。 同様に、WordPress で 2FA を有効にすると、GDPR への準拠に近づくことができます。多くの調査で、2FA がほとんどの攻撃を阻止するのにいかに効果的であるかが示されています。

心に留めておくべきことの 1 つは、WordPress のセキュリティは反復プロセスであることです。一度設定して忘れるものではありませんが、テクノロジーの進化に応じて強力な状態を維持するには、継続的な監視と微調整が必​​要です.

GDPR コンプライアンスの達成に役立つ WordPress プラグイン

GDPR の最適化は面倒である必要はありません。 WordPress プラグインのおかげで、すべての義務を簡単に満たすことができます。 1 つのプラグインで完全なコンプライアンスを保証できるわけではないことに注意してください。 要件は Web サイトによって異なる場合があるため、すべての法的要件を満たすことはお客様の責任となります。 疑問がある場合は、弁護士/弁護士に相談してください。

Cookieyesは、サイト所有者が GDPR 要件に沿って Cookie コンプライアンスを達成できるよう支援することに重点を置いています。 さらに、aCCPA、CNIL、LGDP への準拠もサポートしています。

Complianzは、WordPress のプライバシー スイートとしての地位を確立しており、Cookie 通知、法的ページ、同意の記録、およびその他の多くの機能を含む包括的なツール セットを提供しています。 MonsterInsights は、Google アナリティクスを GDPR に準拠させることができる GDPR 対応プラグインです。 分析や追跡など、GDPR に関連しない他の多くの機能を提供します。

WPasswordを使用すると、ユーザーのパスワード ポリシーを実装して、強力なパスワードを確実に使用できます。 強力な WordPress パスワードを設定することで、侵害のリスクを最小限に抑え、ユーザー データを常に安全に保つことができます。

WP アクティビティ ログは、WordPress Web サイトでのユーザーおよびシステム アクティビティのアクティビティ ログを保持し、誰がいつ何をしたかを記録します。 また、ユーザー セッションの管理を改善するためのユーザー セッション モジュールも含まれています。

WP 2FAを使用すると、WordPress Web サイトに 2FA を簡単に実装できます。これは、GDPR および PCI DSS を含むその他の標準と規制の要件です。 複数の認証チャネルを提供して、すべてのユーザーをオンボードできるようにします。

GDPR プラグインの選び方

機能– プラグインにはさまざまな形状とサイズがあり、さまざまな機能セットとさまざまな価格帯があります。 無料のプラグインは常に優れていますが、プレミアム プラグインにはより多くのビジネス機能が備わっている傾向があり、Web サイトの成功に不可欠であると思われる場合があります。

統合– 選択したプラグインが、WordPress のテーマや、お問い合わせフォームのプラグインなど、実行しているサードパーティのプラグインで機能することを確認する必要があります。 最高の WordPress プラグインは、主要なサードパーティのプラグインで常にテストされており、ほとんどの場合、よりスムーズな実装が保証されています.

価格– ほとんどのプラグインには、プレミアム バージョンと無料バージョンがあります。 ほとんどの場合、無料版では基本的な機能が提供されますが、プレミアム版にはウェブサイトやビジネスにとって重要かどうかに関係なくアドオンが含まれています。 無料版は WordPress.org の公式 WordPress リポジトリからダウンロードでき、プレミアム プラグインは通常、製造元の Web サイトからダウンロードできます。

サポート– 時には、物事が壊れたり、壊れたりした場合、ダウンタイムを最小限に抑えるためには、適切なサポートが不可欠です。 これは、メール サポート、ドキュメント、および GDPR FAQ の形式で提供され、重要な質問に対する迅速な回答を得るのに役立ちます。 また、いつでもサポートが必要な場合に備えて、すぐにサポートを利用できるようにするのにも役立ちます。

よくある質問

WP GDPR とはどういう意味ですか?

WP GDPR は、WordPress General Data Protection Regulation の頭字語です。 これは、WordPress Web サイトの GDPR コンプライアンスを指します。これには、GDPR と、Web サイトの訪問者およびユーザーから収集するユーザー データの両方をよく理解する必要があります。

WordPress は GDPR に準拠していますか?

WordPress は GDPR 準拠の機能を提供します。 ただし、これは必ずしもすべての WordPress Web サイトが GDPR に準拠しているとは限りません。 WordPress Web サイトの設定方法、その使用目的、および収集するデータによっては、GDPR コンプライアンスを達成するために追加の手順を実行する必要がある場合があります。

WordPress を GDPR に準拠させるにはどうすればよいですか?

WordPress を GDPR に準拠させるには、いくつかのことを行う必要があります。 残念ながら、WordPress の Web サイトはそれぞれ大きく異なる可能性があるため、すべての人に当てはまる万能の公式はありません。 私たちの記事を参照して、GDPR コンプライアンスを達成するためにあなたの責任と必要な手順を理解してください。