Last Updated 2021.02.06
GDPR対応について-WordPressをGDPR&CCPAに対応する
GDPRという用語をお聞きになった事があるでしょうか?
GDPRとは簡単に言うと、EU圏で商品やサービスを商売とする事業者に個人情報の保護を厳粛化するというものです。
GDPRは、市民が個人データの管理ができるようになるために設計されたプライバシー法案です。このGDPR法案は、インターネットの世界にも大きな影響を与えました。多くのWEBサイトはCookieによって匿名ではありますが、ユーザーの動向を追従することが可能だからです。GDPR法案はインターネットのCookieについても、個人データとして扱い市民が管理できると定義したため、多くのWEBサイトではCookieの受け入れについてユーザーにCookie受け入れの許可を求める必要が出てきました。そのため、多くのWEBサイトではCookie受け入れの可否をユーザーに求めるバナーを表示するようになりました。
GDPR法案とは何か?
GDPRはGeneral Data Protection Regulation(一般データ保護規則)の略です。
EUの市民(28の加盟国)の権利と個人データを保護するように、欧州委員会により2016年4月14日に承認されたプライバシー法案です。そして、2018年5月25日に施行されました。
EUの一般データ保護規制(GDPR)は、過去20年の間に導入された最も重要なデータプライバシー規制です。
GDPRの公式文は以下のリンクから確認できます。
GDPRで重要なポイント
- 管理者:個人データの取扱いの目的及び手段を決定する団体をいいます
- 取扱者:管理者のために個人データの取扱いを行う団体をいいます
- 個人データ:人に関する一つ若しくは複数の要素を参照することによって、直接的に又は間接的に、その人を識別できるあらゆる情報をいいます
個人データの取扱いの定義
個人データがどの方法でもアクセス、保存、または使用されることそれは「個人データの取扱い」と見なされます。GDPRの公式定義には、個人データの取得、記録、編集、構造化、保存、修正、又は変更、復旧、参照、利用、移転による開示、周知、又はその他周知を可能なものにすること、整列又は結合、制限、消去又は破壊することが「個人データの取扱い」として記録されています。
個人データの取扱いに関する基本原則
GDPRには管理者に適用される7つの基本原則があります。
- データは適法、公正かつ透明性のある手段で取り扱われなければなりません。それには同意が必要です。
- 個人データは特定された、明確かつ適法な目的のために収集されなければならず、その目的の為にのみ取り扱わなければなりません。
- 個人データは取り扱われる目的の必要性に応じて、適切であり関連性があり、最小限に限られていなければなりません。
- 個人データは、データ主体の識別が可能な状態で、可能な限り最短の期間に保存されなければなりません。
- 個人データは、当該個人データの適切なセキュリティを確保する方法で取り扱わなければなりません。
- 個人データは、正確であり最新に保たなければなりません。
- 管理者は上記の原則の責任を負い、その遵守を証明可能にしなければなりません。
管理者、ここではWEBサイトの運営責任者となると思うのですが、上記7つの個人データの取扱いの原則を守らないといけません。これはECサイトなど個人情報を詳細に収集する事業者にとってはかなり厳しい原則と言えます。何故なら個人情報の取扱いについてプライバシーポリシーページ等で明確に個人データの取扱いを明示して、それを遵守する体制を整えないといけないからです。
市民が有する7つの権利
GDPR法案の保護下にある個人(ここではEUの市民を指します)は、取扱者が守らないといけない7つの権利があります。
- 通知を受ける権利:自分の個人データは何が保存されているかを知る権利
- アクセス権とデータポータビリティーの権利: 個人は管理者に提供した自分に関する個人データについて、ダウンロードしやすい形式で受け取り他の管理者に移行する権利があります
- 忘れられる権利:個人は自分に関する個人データについて管理者に不当に遅滞することなく完全に消去させる権利を持ちます
- 訂正の権利
- 異議を唱える権利
- 処理を制限する権利
- 自動化された意思決定及びプロファイリングの際に公平な待遇を受ける権利
GDPR法案のその他の注意事項
- あらゆる個人データに適用されます
- 「個人データ」とは、ある人に関する、または人を識別できるあらゆる情報のことです。
「個人データ」とは、識別された又は識別され得る人(以下「データ主体」という)に関するあらゆる情報を意味する。識別され得る人は、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子、又は当該人に関する物理的、生理的、遺伝子的、精神的、経済的、文化的若しくは社会的アイデンティティに特有な一つ若しくは複数の要素を参照することによって、直接的又は間接的に、識別され得る者をいう。個人データの使用範囲も定義されている。
For the purposes of this Regulation: ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to … Continue reading Art. 4 GDPR – Definitions - 機密性の高いデータ
- 人種もしくは民族的素性、政治的思想、宗教的もしくは哲学的信条、健康に関するデータ又は性的指向に関するデータなど機密性の高い個人データに適用されます。
Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited. Paragraph 1 … Continue reading Art. 9 GDPR – Processing of special categories of personal data
- データ保護バイデザイン及びデータ保護バイデフォルト
- 個人情報が適切に保護されていることを強化します。新しいシステムを保護が組み込まれているように設計し、データへのアクセスは厳密に管理し必要な場合にのみ取り扱われるようにする必要があります。
Taking into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing, the controller shall, both at the time of the determination of the means … Continue reading Art. 25 GDPR – Data protection by design and by default
- データ使用の理由と削除の権利
- データは入手時に示された理由でのみ使用でき、不要になった後は安全に削除されなければなりません。
- 違反による罰金規則
- 各加盟国の管轄監督機関が規制違反の企業に罰金を科すことができます。
- 16歳未満の子供の個人データの取扱い
- 16歳未満の子供の個人データをオンラインサービスで処理するには、親の許可が必要です。加盟国は低年齢者が13歳未満でないことを条件に、これら目的に関して当該低年齢者のための法を規定することができます。
1Where point (a) of Article 6(1) applies, in relation to the offer of information society services directly to a child, the processing of the personal data of a child shall be lawful where the child is at least 16 years old. 2Where the child is below the age of 16 years, such processing shall be … Continue reading Art. 8 GDPR – Conditions applicable to child’s consent in relation to information society services
WordPressサイトでGDPRの影響を受ける範囲
新しいGDPR法案規則はEU市民の権利を保護するために設計されていますが、Web上のすべての人に影響を与えます。事業が設立された国またはそのオンライン活動が行われた場所は関係ありません。WEBサイトがEU市民からデータを収集し、そのデータを処理している場合は、GDPR規則を遵守しなければなりません。
私達WEBサイトの管理者は、アナリティクスを通じてユーザーがどこの国からアクセスしてきているかというのを把握する必要があります。そのためには、Googleアナリティクス等のアナリティクスツールを使用することが求められます。
EU外でもGDPRの影響を受けるWEBサイト
- 各ユーザープロファイルで個人情報を収集するWordPressコミュニティサイト
- 顧客がテーマやプラグインを購入するためのアカウントを登録するWordPressテーマ・プラグインのECショップ(販売データ、請求データ等)
- ニュースレター登録のウィジェットのある、またはコメント機能のあるWordPressブログ
- オンラインで商品を販売する電子商取引ストア(WooCommerce等のEC用プラグインまたはEasy Digital Downloads等の簡易ダウンロード販売プラグイン)
- 分析ソフトウェアを使用するWordPressウェブサイト(GoogleアナリティクスやGoogleサーチコンソール等)
上記の影響を受ける条件を見ると、最後の分析ソフトウェアを使用するWordPressウェブサイトはGoogleアナリティクスを利用していたらほとんどのWEBサイトが該当します。これはWEBサイトがWordPressで構築されているかいないかは関係ありません。GoogleアナリティクスのトラッキングIDをWEBサイト内に埋め込んでいたら全てのWEBサイト管理者はGDPR法案規制の適用を受けることになります。現在のWEBサイト運営でアナリティクスを利用しないというのは現実的ではありませんから、ほぼ全てのWEBサイトがGDPR法案規制の影響を受けるということになります。
WordPressサイトでは具体的に何をすればいいのか?
WordPressでWEBサイトを構築しているのでしたら、プラグインを導入することでGDPR法案規制に準拠することができます。
GDPR Cookie Consent
GDPR Cookie Compliance
WP GDPR Compliance
Cookie Notice for GDPR & CCPA
のようなGDPR対応プラグインがリリースされています。当サイトもGDPR Cookie ConsentプラグインでGDPRに対応しています。
Jetpackのウィジェットでも対応可能
Jetpackプラグインをインストールしている方は、Jetpack機能でウィジェットを使用することでCookie受け入れの承認バナーを表示することができます。しかし、厳密に言うとクッキー受け入れの承認ボタンは配置されますが、拒否のボタンはありませんのでGDPR法に準拠しているかというとグレーゾーンではあります。
プライバシーポリシーページを整備する
GDPR法案規制では、ユーザー側に個人データの管理の権利があります。そのため、Cookie等で個人情報データを収集する時はプライバシーポリシーページをきちんと整備する必要があります。具体的には、Cookieを使用していること、アナリティクス等のアクセス解析を使用していること、そのためにCookieでユーザーの情報を収集していること、ECサイトでは電子商取引のために個人情報を収集していることなどをユーザーに分かるように明示する必要があります。
Googleアドセンスなど、ユーザーの行動によって適切な広告を表示するパーソナライズ広告を配信しているWEBサイトは広告を使用していることも明示しないといけません。
個人データのエクスポートツール&個人データの削除ツール
WordPress4.9.6から導入された個人データのエクスポートツールと個人データの削除ツールは、ユーザーが自分の個人データを削除要請してきた時に使用するツールです。普段は使用することはありませんが、ツールの場所だけでも覚えておきましょう。管理画面左メニューのツール「個人データのエクスポート」と「個人データの削除」になります。
アメリカのCCPA法案とは何か?
CCPA法案は、2018年6月にアメリカのカリフォルニア州で成立した米国で初めての包括的なプライバシー保護法です。
これまでアメリカでは、業法(金融、医療、信用情報、運転者等)やセンシティブデータ(13歳未満の子供、医療情報等)ごとにプライバシー保護法が制定されていました。対してCCPA法案はカリフォルニア州住人の個人情報、cookieやインターネット閲覧履歴、生体情報(キー入力パターンも含む)など、位置情報も含む広い定義を対象にしており、またカリフォルニア州以外の会社(これには日本企業も含む)にも業態を問わず適用される包括的な条文となっている点が特徴です。その他CCPAの特徴としては、法律の違反の際の罰金に上限が定められていないこと、データ漏えいの際カリフォルニア州の住人から集団訴訟を起こされる可能性があることなどが挙げられます。
詳しくは下記のWEBサイトをご覧ください。
CCPA法案でWEBサイト運営者が気をつけること
CCPA 1798.150条(消費者による提訴権)のでは、企業が情報の性質に適切な妥当なセキュリティ手続きとプラクティスを実施し維持する義務を有しているとしています。
この条文における個人情報とは(双方暗号化等されていない)氏名及び以下の情報の組み合わせを言います。
- ソーシャルセキュリティナンバー
- 運転免許の番号や州のIDの番号等の政府発行識別番号
- 銀行口座番号
- クレジットカード・デビットカード番号とセキュリティコード・パスワード等の組み合わせ
- 医療情報
- 健康保険情報
- 生体データ(例えば指紋、網膜、虹彩等。写真は含まないが、顔認証目的に用いられる写真は含む。)
GDPRとCCPAの今後の対応方法とは
GDPRとCCPAについての理解は深まったでしょうか。
個人や小規模事業者がWEBサイトをGDPRとCCPAに対応させるには
- WordPressで構築したWEBサイトならGDPRとCCPAに対応したプラグインを導入すること
- プライバシーポリシーに個人データを収集するツールと目的を明示する(アナリティクスやアドセンス、Amazonアソシエイト等)
- Cookieで、個人データを収集していることを明示すること
- Cookieで収集した個人データの使用目的について明示すること
- 収集した個人データは要請があれば適切な方法で削除することができること
等をプライバシーポリシーページに明示する必要があるかと思います。
その他、免責事項もきちんと明記しておく必要があるでしょう。
プライバシーポリシーをどう記述していいかわからないという方は
下記のリンクの雛形を参考にするといいと思います。
