WordBench 東京5月 において「GDPR と WordPress」のタイトルで LT を行いました。LT の時間的制約からかなり説明を端折ったのと、おそらく今後、内容の訂正が発生するだろうことから、この記事では資料を補完する形の説明を行います。
お約束ですが GDPR の記述は個人の理解です。実施にあたっては各自の判断、専門家への相談をお願いします。またスライドのリンクは末尾の「参考文献」を参照してください。こちらも適宜、修正します。
GDPRとは
GDPR は欧州版の個人情報保護法で 2018年5月25日から適用が始まりました。「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)から引用します。
欧州連合(EU)の「一般データ保護規則(General Data Protection Regulation:GDPR)」は、EUレベルのデータ保護法(日本でいうところの個人情報保護法に相当する)であり、2018年 5月 25日から適用が開始される。
GDPRは、個人データの処理、および個人データを欧州経済領域(European Economic Area:EEA2)から第三国に移転するために満たすべき法的要件を規定している。
GDPRは「EU基本権憲章」というEU法体系の根幹をなす法において保障されている、個人データの保護に対する権利という基本的人権の保護を目的とした法律である。GDPRは、基本的人権という「EU基本権憲章」上の重要な価値を保障するため、違反に対して厳しい行政罰を定めている。
適用まで2年も準備期間がありながら、ここへ来て毎日、プライバシーの確認メールが届くような状況に、若干、悪者感もある GDPR ですが、根幹には基本的人権の保護がある大切な法律になります。
WordPress 監理者の役目
「Contact Form 7」プラグインの三好さんがサポートブログで書かれているように、WordPress コアやプラグインにできることは GDPR 遵守を助けることであって、GDPR の遵守を保証するわけではありません。多くの WordPress サイトでは、サイト内で管理される個人情報の種類や量、保存期間を決定するのは「WordPress 管理者」でしょうから、サイトの GDPR 遵守の度合いを判断し、対策を行うのも WordPress 管理者の役目になります。
GDPR は闇雲に新しい何かを押し付ける訳ではなく、これまでないがしろにしてきた個人情報の取り扱いを真剣に考え、実践しようという法律です。だからこそ多くの企業や団体が批判するのではなく真剣に取り組んでおり、クリアでない部分は一つ一つ解決していこうとしているわけです。
WordPress 管理者もこれを機会にサイトでの個人情報の取り扱いについて再考してみましょう。なお三好さんのブログでは、プライバシーに配慮した問い合わせフォームの作り方を紹介しています。これはフォームだけでなくサイト全体でも使用できるベストプラクティスだと思います。英語ですがわかりやすく書かれていますので是非、ご一読を。
- 不要な個人データあは収集しない
- 明確な同意を得る
- プライバシー警告に含めるべき項目
- セキュリティの検討
GDPR での言葉の紹介
GDPRでは個人情報のことを「個人データ (Private Data)」と呼びます。
「データ主体 (Data Subject)」は、「個人データ」の持ち主である個人のこと。「データ管理者」の管理する「個人データ」に対してアクセス、訂正、消去、エクスポートする権利を持ちます。なおこの資料では分かりやすさのため、「データ主体」のことを「個人」と記述します。
「データ管理者 (Data Controller)」は、収集する「個人データ」を決定し、管理します。個人の権利の要求に対して応答する義務があります。
「データ処理者 (Data Processor)」は、「データ管理者」との契約の下、「個人データ」を受け取って、加工等の処理を実行します。
GDPR の特徴
個人的に GDPR はここが特徴と思う部分を挙げてみました。
特徴1: 「個人データ」の定義が広い
個人に関係するあらゆる情報が「個人データ」です。WordPress で言えば「投稿」や「アップロードした画像」だけでなく、「コメント」も含まれます。
- 氏名
- 住所
- 写真
- メールアドレス
- SNS への書き込み
- IPアドレス
- 銀行口座の詳細情報
- 医療情報
特徴2: 個人、管理者、処理者の適用範囲が広い
GDPR の適用範囲を挙げます。
- 欧州の企業
- 欧州に住む個人
- 欧州に住む日本人
- 日本に住む欧州人
- 欧州の企業にWeb サービスを提供する日本の会社
- 欧州のデータセンターを利用する日本の企業
欧州の企業や個人が対象なのは良いとして、欧州に住む日本人や、逆に日本に住む欧州人、果ては欧州のデータセンターを利用して個人データを管理する企業までもが対象と言われています。
逆に適用されないものを挙げておきますが、極めて限定的なものであることがわかるでしょう。
- 日本国内に住む日本人にサービスを提供する日本の企業
- 欧州以外に住む外国人にサービスを提供する日本の企業
特徴3: 個人の権利が広い
個人には以下のような権利が認められています。
- 自分の情報にアクセスする権利
- 訂正してもらう権利
- 消去してもらう権利
- 異議を唱える権利
- 処理の制限を依頼する権利
- データを移動する権利(エクスポートの要求)
- 自動処理のみに基づく決定の対象とならない権利
個人からの要求に応じてデータを訂正することは簡単ですが、サイト内のすべてのデータをエクスポートしたり、消去することは大変です。
特徴4: データ管理者の義務が期限付き
「データ管理者」には以下のよう義務があります。
- GDPR 遵守と説明責任
- データ処理者の管理
- 「個人の権利」の要求に対して1ヶ月以内に応える
- 72時間以内にデータ漏洩を通知する
特徴3 で挙げた「個人の権利」に対する応答を1ヶ月以内と明示的に定めています。
特徴5: データ管理者の罰則が厳格
GDPR に違反すると次のような処罰がくだされます (wikipedia より引用)
- 初回かつ意図的でない違反の場合は、書面による警告
- 規則に基づく定期的なデータ保護監査
- 企業の場合、10,000,000ユーロ(≒12億9千万円)、
または、前会計期間の全世界の売上高の2%のうち、
いずれか大きい方の過料(第83条4項) - 企業の場合、20,000,000ユーロ(≒25億8千万円) 、
または、前会計期間の全世界の売上高の4%のうち、
いずれか大きい方の過料(第83条5項および6項)
「個人の権利」に対して応答しない場合の処罰は、最後の高額の方に相当します。
罰金の算出例
例えば 2017年の売上が 791億3900万 USD の会社が
「サイト内のすべての私の個人データをエクスポートして!」
と、要求されて1ヶ月以内に出せないと、
348,211,600,000 円の罰金
になります (791億3900万USD の4% = 31億6556万USD。1USD = 110JPY 換算)。
WordPress の対応
2018年5月17日、WordPress Version 4.9.6 がリリースされました。通常であればセキュリティパッチやバグフィックスレベルのバージョン変化ですが、リリースノートにもあるように GDPR のための大きな変更が加えられました。
機能の多くは欧州のボランティア達が短期間で開発したものです。また日本版でも大量に追加された GDPR 系の小難しい文字列に悩まされながら、tenpura さんをリリースリードに、直子さんが訳語をまとめつつ、odysseyさん、ShinyaBさん、
hideokamoto さん、トロユニさん、mimi さん、kimipooh さんらの協力で制作されました。
WordPress Version 4.9.6
管理画面
WordPress を Version 4.9.6 にアップデートすると以下の新機能を知らせる通知が表示されます。
管理画面の「ツール」と「設定」の中に新機能が加わっています。
管理画面の「ツール」内
- 個人データのエクスポート
- 個人データの消去
管理画面の「設定」内
- プライバシー
ところで少し昔に「設定」の下に「プライバシー」メニューがあったことを覚えている方はいますか ? 私は知らなかったので、今回、新規に Codex ページを作成しようとしたら、同名の文書が出てきて、驚きました ww
プライバシー設定
サイトのプライバシーポリシーページを設定できます。既存のページを指定することも、新規に作成することもできます。
ここで「新規ページの作成」をクリックすると、固定ページ「プライバシーポリシー」の編集画面が開き、本文には執筆用のガイドが挿入されます。上で述べたことの繰り返しになりますがサイトのプライバシーポリシーを決定するのは「データ管理者」の役割です。
サイトのプライバシーポリシーを作成後は「公開」をクリックします。
プライバシーポリシーを設定すると、ログイン画面下部にリンクが表示されます。
また公式テーマ「Twenty Seventeen」ではフッターエリアに同様のリンクが表示されます。
テーマ開発者の方へ
テーマを作られている方は同様のリンクを表示する変更が求められます。ここらへんはミルコンさんが詳細に説明していますので参考にしてください。
「WordPress 4.9.6 で追加された GDPR 対応関連機能のおさらいとテーマ作者が対応すべきこと」ミルログ
個人データのエクスポートツール
個人データをエクスポートします。
このツールは、ユーザーがサイトの管理者に個人データのエクスポートを依頼したところから始まります。
1. 管理者は「個人データのエクスポート」ツールを起動し、上部のテキストボックスに、依頼してきたユーザーのユーザー名またはメールアドレスを指定して「リクエストを送信」をクリックする。
ユーザーには次のような確認メールが届きます。
2. ユーザーがメールのリンクで確認する。
確認すると「個人データのエクスポート」ツールではリクエストのステータスが「確認済み」に変わり、「データをメールで送信」ボタンが表示されます。
なお添付画像ではステータスが「失敗」ですが、ステータス一覧のリンクでは「確認済み (1) | 失敗 (0)」となっています。固有の問題なのか、バグなのか、調査中です。
3. 管理者は「データをメールで送信」をクリックする。
ユーザーにはダウンロードのリンク先を含むメールが送信されます。
4. ユーザーはメールのリンクから個人データをダウンロードする。
5. 管理者は「個人データのエクスポート」ツールからこの一連の記録を削除する。
エクスポートされる個人データ
ユーザーは1つの .zip ファイルをダウンロードします。.zip ファイルには1つの index.html が含まれ、中には「詳細」「ユーザー」「コメント」「メディア」などの情報が記述されています。
プラグイン開発者の方へ
住所や名前などの個人データを扱うプラグインを開発している方は、上の「個人データのエクスポート」ツール、次の「個人データの消去」ツールの対象の中に自分の個人データも含めることができます。詳細については「Theme Developer Handbook」に新しく追加された「Privacy」の章を参照してください。
なお WooCommerce 3.4 は WordPress 4.9.6 対応を完了していて、例えばメールアドレスに紐づく注文情報をエクスポートあるいは消去できます。
個人データの消去ツール
個人データを消去します。インターフェースや動作は個人データのエクスポートツールとほぼ同じですので省略します。
GDPR と WordPress プラグイン
WordPress 公式プラグインディレクトリには多くの GDPR 向けプラグインが存在します。その中の1つ「WP GDPR Compliance」は最近、Kawamori さんにより日本語化されました。
一部、Version 4.9.6 のツールと重複する機能もありますが、ユーザーからの要求とその概要など独自の機能もあります。
WordPress の今後の対応
GDPR への対応は WordPress Version 4.9.6 で完了したわけではなく、今後も引き続き拡張や改良が行われる予定です。時期的な問題もあって GDPR が大きく謳われましたが、今後はより広い形でプライバシー機能が考慮されていきます。これまで使われてきた Slack チャネル「#gdpr-compliance」も「#core-privacy」に変更されるようです。しばらくは GDPR やプライバシーがホットな話題の1つであり続けるでしょう。
なお、通常はセキュリティパッチレベルのバージョン番号の変更 (4.9.5 から 4.9.6)で大きな機能追加を含めたことは特例のようで、次に機能を追加する場合はバージョンを上げることが計画されています。Version 5.0 は Gutenberg 用でしょうから、上げるなら Version 4.10 ですかね。
結論
GDPR は個人情報の取り扱いを一段高いレベルに引き上げる法律です。対応の難しい項目も含まれていますが、WordPress ではコミュニティの力でこれらに対応、または軽減しようと努めています。WordPress を使っていれば SEO のある程度をカバーする、とよく言われますが、同様のことが GDPR にも当てはまるようになるのでしょう。つまり WordPress を使っていれば、GDPR のある程度までカバーされるわけです。
ただし GDPR 遵守の責任を持つのは「データ管理者」です。WordPress の機能をうまく使いながら、改めてサイト内での個人情報の取り扱いを見直し、一つずつ対応を進めていきましょう。
参考文献
WordBench 東京5月 LT スライド
Codex 内の Version 4.9.6 のツールの使い方
WordPress Developer Resources
GDPR について (まずはこれ)
「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)
ジェトロ欧州ロシアCIS課、ジェトロ・ブリュッセル事務所
おしまい