WordPressユーザーはGDPR対応のために何をすれば良いのか?プラグインの紹介、GDPR関連Googleリンク集など。

著者:Yuichi Okita

WordPressユーザーはGDPR対応のために何をすれば良いのか?プラグインの紹介、GDPR関連Googleリンク集など。

最終更新日:2018-06-13
公開日:2018-05-22

Updated2018-05-28
GDPRに具体的にどのような対応すれば良いのか理解しやすい外部サイト記事を2本追加しました

このページの目次です。

GDPRに対応するためにインストールするWordPress プラグイン

はじめにご注意

前回記事冒頭部分でも書きましたが、免責事項としてこれからご紹介するプラグインでGDPR対応しているから大丈夫、ということを保証することは出来ないことを予めご了承下さい。
ヨーロッパに居住するフォーラム投稿者も、「具体的にこの施策をしたから完璧といえる人は誰もいない」というコメントも目にしております。
プラグイン開発者も免責事項として、「開発者は法律上のバックグラウンドは負いません。」と書いています。
せっかくWordPressユーザーのためを思って開発してくれているので、そのような善意を汲みとるスタンスでご利用頂けると、
私としましてもご紹介する甲斐を持つことができます。

GDPRに対応するためのプラグイン

    1. WP GDPR Compliance — WordPress Plugins
    2. GDPR — WordPress Plugins
    3. Auto Terms of Service and Privacy Policy — WordPress プラグイン

上記それぞれをクリックすると、WordPress.orgのプラグインレポジトリにジャンプします。  

WP GDPR Compliance の特徴と使い方

特徴

現在の自分のサイトでGDPRに対応するためには何をすれば良いのか、チェックリストで示してくれる。
(チェックリスト項目の全てを満たしたからといって、完全というわけではなく、最低限すべき施策だと思ってください)

使い方

チェックリストを下記に日本語訳してみます(使用ブラウザプラグイン: Google™ Translator Lite – Add-ons for Firefox)。

  1. お問合せフォームを設置している場合
    個人情報の保管と使用に同意した場合は、フォームのユーザーに具体的に尋ねるチェックボックスを必ず追加してください。 デフォルトでは、チェックボックスをオフにする必要があります。 また、サードパーティとの間でデータを送信または共有するかどうかについても言及してください。
  2. サイト上の任意の場所で訪問者がコメントすることが可能な場合
    注釈に使用した電子メールアドレスに添付されたメッセージを保存することに同意する場合は、コメントセクションのユーザーに具体的に尋ねるチェックボックスを必ず追加してください。 デフォルトでは、チェックボックスをオフにする必要があります。 また、サードパーティとの間でデータを送信または共有するかどうかについても言及してください。
  3. サイトまたはウェブショップ上で注文フォームを設置している場合
    注文を発送するために個人情報を保管して使用することに同意する場合は、フォームのユーザーに具体的に尋ねるチェックボックスを必ず追加してください。 既に設定されているプライバシーポリシーチェックボックスと同じチェックボックスにすることはできません。 デフォルトでは、チェックボックスをオフにする必要があります。 また、サードパーティとの間でデータを送信または共有するかどうかについても言及してください。
  4. フォーラムやメッセージボードを設置している場合
    あなたが個人情報とメッセージを保存して使用することに同意する場合は、特にフォーラム/ボードユーザーに質問するチェックボックスを必ず追加してください。 デフォルトでは、チェックボックスをオフにする必要があります。 また、サードパーティとの間でデータを送信または共有するかどうかについても言及してください。
  5. 訪問者と直接チャットができる場合
    チャットユーザーに、個人情報とメッセージの保存と使用に同意するかどうかを尋ねるチェックボックスを必ず追加してください。 デフォルトでは、チェックボックスをオフにする必要があります。 チャットメッセージを保存する期間や24時間以内にすべて削除することについてもお勧めします。 また、サードパーティとの間でデータを送信または共有するかどうかについても言及してください。

このプラグインを使用する際の注意点

  1. 初めにPrivacy Policyページの設置をしておく:
    固定ページ(page.php)で英文プライバシーポリシーのページを作成して設置します。上記のWPプラグイン「Auto Terms of Service and Privacy Policy」でプライバシーポリシーや利用規約のページを作成できます。
  2. コメント欄:
    GDPRに準拠させるために、Jetpackのカスタムコメントフォームを無効(下画像)にしてください。
  3. 適用可能なフォーム:
    WP GDPR Complianceは2018-06-13現在、Contact Form 7、Gravity Form、WooCommerce、WordPress Commentsをサポートしています。 よくある質問と開発ロードマップについては、www.wpgdprc.comをご覧ください。

Jetpackコメント欄を無効にする方法

  1. Jetpackメニューの設定を選ぶ。
    Jetpack menu - WordPress

    画像をクリックすると、拡大表示されます。
    画像提供:Copyright © Yuichi Okita

  2. ディスカッションを選択し、矢印先の赤枠部分のスライダーを左に位置させて、Jetpackコメントフォームを無効にする。
    Jetpack Settings comments - WordPress

    画像をクリックすると、拡大表示されます。
    画像提供:Copyright © Yuichi Okita

プラグインへの置田の感想

GDPR関連のプラグインで初めてインストールしたものなので、チェックリストは非常に参考になりました。
繰り返し出現してくるフレーズ、

  1. 同意を尋ねる
  2. チェックボックスはデフォルトではオフにしておく

このような心がけが大切なことを知り、自己の意識改革には良い影響を与えてくれました。
当サイトにおいて技術的にまだ至らない箇所がありますが、WordPress.orgのフォーラムなどを参考にして、今後も改善に努めていきます。  

GDPRの特徴と使い方

特徴

  1. 初めての訪問者には、同意を尋ねるウィンドウで確認してくれて、Cookie Noticeのバーも表示してくれる。
  2. Cookie期限切れのユーザーやプライバシーポリシー更新した際には、改めて同意を尋ねるウィンドウを示してくれる。

使い方

英語とネットワークに堪能な方なら苦にならないと思いますが、Cookieの細かい仕組みまでは理解できていない私にとっては、大変労力を要します。
しかし、この「GDPR」というプラグインのせいではなく、Cookieの仕組みが難解のため、その注意事項を言葉で表現することが難しいためです。特に、Cookiesの種類に私はつまづきました。 ウェブサイトには多くのサードパーティ製Cookiesが存在しています。代表的な例がFacebookやTwitterなどのソーシャルプラグイン、Google Analyticsなどのアクセス解析統計ツールのCookiesです。 正直申しまして、このプラグインの使い方全てを、この記事を書いている時点でもまだ理解できていません。私の説明で間違っている点がございましたら本記事下部のフォームよりご指摘頂ければ、有り難く修正させて頂きます。また、不明点がお分かりになられた方も下部フォームよりご教示頂ければ、大変救われる思いです。 上述のような理由により、理解している範囲だけ使い方を説明させて頂きます。

Settings: General (一般的な設定)

GDPR Settings-WordPress Plugins

画像をクリックすると、拡大表示されます。
画像提供:Copyright © Yuichi Okita

[画像赤枠部分]
  1. Privacy Policy Page:
    プルダウンして、予め固定ページで作成した英文のプライバシーポリシーページを選びます。
  2. Privacy Banner Text:
    ここに記述された文章は、Cookie Notice Barとしてページ下部に、新規の訪問者やCookie期限切れのユーザーへ表示されます。
  3. Privacy Excerpt:
    プライバシーポリシーの抜粋。
  4. Enable reCAPTCHA:
    Googleセキュリティサービスの中で最も力を入れて開発されているreCAPTCHA機能を可能にします。

Settings: Cookies (クッキーに関する設定)

この設定はこのプラグインの最高難度が必要な部分で、私は海外サイトを見よう見まねで設定しました。
しかし、細かいCookiesの種類までは分からなかったので、当サイトで確認できたCookiesのドメインと、ソーシャルプラグインのCookiesをオプトアウトする方法を記載したURLを探し出して、現在のところ、それをCookiesガイダンスの代わりとしています。 GDPR Setting Cookies WordPress

画像をクリックすると、拡大表示されます。
画像提供:Copyright © Yuichi Okita

[画像赤枠部分]
  1. 一番上は、カテゴリ名を入力して「Add」ボタンで追加します。
    上の画像の例では、「Your Privacy」と入力して追加すると、Your Privacyカテゴリのフィールドが作成されます。
  2. 「Always active」は、サイト運営者、訪問者共に自己の意思ではCookies設定を行えない場合に、スライドをオンにします(スライダーが右側になればON)。
  3. How we use, Cookies used by the site, それぞれの項目は、直訳すれば、「どのような目的でCookiesを使用するか」「どのようなCookiesを使用しているか」となりますが、GoogleがGoogle Cookie Choicesにてひな形(テンプレート)を挙げてくれていますので、文面を調整して使ってみると良いと思います(ライセンス:CC BY 3.0)。

Google Cookie Choicesより抜粋

  1. ユーザーに同意を求めるメッセージの内容(例):
    このサイトでは Cookie を使用して、ユーザーに合わせたコンテンツや広告の表示、ソーシャル メディア機能の提供、広告の表示回数やクリック数の測定を行っています。また、ユーザーによるサイトの利用状況についても情報を収集し、ソーシャル メディアや広告配信、データ解析の各パートナーに提供しています。各パートナーは、この情報とユーザーが各パートナーに提供した他の情報や、ユーザーが各パートナーのサービスを使用したときに収集した他の情報を組み合わせて使用することがあります。 詳細を表示
  2. 「詳細」リンクの適切なリンク先(例):
    メッセージ内のリンクでは、メッセージの表示領域を拡張して詳細情報を表示したり、追加情報を記載したページを新たに開いたりすることができます。新たに開くページには、プライバシー ポリシーのページの特定の部分や Cookie に関するポリシーの専用ページを指定できます。
    詳細情報として表示すべき内容についても、ここでは具体的に示すことができません。提示すべき内容は、Cookie などの情報の使い方、他に使用しているサービス、サイトのユーザーに提供する無効化機能の内容によって異なります。ただし、サイトで Google のサービスを使用することについては、いくつかアドバイスを提供することができます。
    Google AdSense や DoubleClick for Publishers などの Google サービスを使用している場合は、契約に基づいて Google の EU のユーザーの同意ポリシーに準拠する必要があります。Google アナリティクスの広告向け機能を使用している場合は、Google アナリティクスの広告向け機能のポリシーに準拠してください。Google のデータ利用に関する情報開示義務については、パートナーのサイトやアプリを利用したユーザーに関するデータの Google での取り扱いへのリンクをわかりやすく表示することでも準拠できます。
    EU のユーザー向けにこうした同意メカニズムを導入し、(Google でのデータの取り扱いに関するページにリンクしている)詳細情報ページのリンクも表示すると、Google のポリシーの要件を満たすことができます。これにより、ヨーロッパの Cookie に関する法律やデータ保護法にも準拠できるはずです。

GDPRでは、

  • Cookies情報を訪問者に分かりやすく開示して同意を得る。Cookies設定についてオプトアウト出来るための選択肢を提供する。

私はこのように解釈しています。
したがいまして私は、プライバシーポリシーLegal情報のページにて、Cookiesの取り扱いおよびオプトアウト方法について明示しています。
オプトアウトは可能なものと不可能なものがあり、ソーシャルプラグインからのオプトアウトは可能のため、その方法が記載されているURLへジャンプ出来るよう案内しています。
オプトアウトが不可能な場合は、訪問者自身の行為でブラウザ設定のCookies拒否設定を促す文面を多くみかけました。

Settings: Consents (同意に関する設定)

こちらの設定では、「同意」に関する設定を行います。 Consents Settings - WordPress

画像をクリックすると、拡大表示されます。
画像提供:Copyright © Yuichi Okita

  1. Consent description:
    同意に関する説明を訪問者に読んでもらいます。
  2. Registration message:
    ユーザー登録者へのメッセージを読んでもらいます。

このプラグインを使用する際の注意点

  1. WP GDPR Complianceと同様に、Privacy Policyページを予め固定ページで作成しておく必要があります。
  2. 自分のサイト上に存在するCookiesを調べるのに、大変手間が掛かる。

サードパーティ製のスクリプトやCookiesを調べるには、ブラウザの拡張機能をインストールすれば調べることができます。 例えば、

Cookiesの一覧を得ることが出来るのですが、知識不足の者にとっては、何を意味する記号なのかが分からない状態になります。

プラグインへの置田の感想

ユーザーフレンドリーを考えると、Jetpackのような表スタイルでまとめるのが望ましいのでしょうけれども、果たしてJetpackの表を理解できる人が、プロの開発者・エンジニアを除いてどれだけの数がいるのか、疑問に思えてきます。

  • 「Cookiesによる追跡を好まないユーザーがいるから、拒否できる選択肢としてオプトアウトする方法を検索で探し当てて、情報開示し案内した」

せめて、この誠意だけでも伝わってもらえれば良いかな、と今のところは思っています。
コンプライアンス準拠という観点からすれば、こんな悠長なことを言ってられないのですが、ちょうど2018-05-18に、WordPressのバージョンが4.9.6にアップされ、設定メニューにプライバシーという項目が新しく追加されていて、その項目ページ内のリンク先であるテキストテンプレートのガイドを確認してみると、
詳細にプライバシーポリシーの書いてくれているのですが、かつてWordPress史上例が無いほどネットワーク専門用語が多いので、

Thoughts「訪問ユーザー自身も知識の習得には時間を要し、サイト運営者含めWeb全体に浸透するためには、Web参加者の総力で以て努力し続けることが必要。訪問者もサイト運営者も勉強していく努力を続けているうちに、上述のGoogle Cookie Choice以上に内容が明確なGDPR対応テンプレートが世界中のWeb業界内から現れてくるのではないか?」

という印象を私は持ちました。

 

OKITA's VIEW

GDPR施行により改めてヨーロッパの人権意識の高さを思い知る

GDPRの前身、EUデータ保護指令は、1995年以来20年以上に渡ってEU社会で統一化された個人情報保護法の機能を果たしてきたのですから、相応の重みと実績があります。とりわけヨーロッパは、歴史的にもドイツやフランスに例を見るように法律先進国かつ世界的トップリーダーです。

今回のGDPR対応は、「単純にプラグインをインストールして決まり事を守るためにWebsiteの体裁を整える作業」では決してない、ということを、
調べものを深く掘り下げていくうちに改めて気付かされました。

普段の生活において国際法条文を読む機会など無いものですから、

2つ並べてそれぞれの施行目的や定義条項などコアの部分だけでも読んでみますと、「基本的人権や自由・新しい権利を保護しながらも個人データの自由な移動も認める」というバランス感覚が予めパラダイムになっていて、双方共に冒頭の第1条にて明文化されている点から、

「ヨーロッパ思想がいかに人間の尊厳や生き方に真剣に向き合って、熟慮と議論を建設的に重ねて社会形成されてきたのか」

深く考えさせられます。

私は大部分において東洋思想の考え方ですが、日本の国会運営に限っては「足の引っ張り合いばかりで、国会を建設的に前進させていく気配が微塵も感じられない」という言葉以外に見当たりません。どれだけ譲歩したとしても。

ですから、こと立法面だけを切り抜けば、ヨーロッパが素晴らしく感じてしまいます。もちろん、法律の中で書かれている内容は、究極の理想論や座学に終始するケースが多く、美しいバーチャルリアリティーが描かれていることを重々承知しております。しかし、それでも人間は2,500年以上も年月を掛けて、法規範を改正しながらより良い市民社会を目指して活動してきたのですから、5月25日に発効されるGDPRは、新しい権利の本格的な始まりだと私には思えます。

Auto Terms of Services and Privacy Policy の特徴と使い方

特徴や使い方

こちらのプラグインは通常にインストールして、付与されたコードを固定ページに貼るだけで、プライバシーポリシーや利用規約の文面がフロントエンドで表示される仕組みです。利用する人や業種によっては、表現を変更する必要が出てくるかもしれません。私の例では、結局、プラグインのコードを外し、固定ページに直接テキストを埋め込みました。
ただ、このプラグインのおかげで、プライバシーポリシーの大きな枠組みを作るには、大変便利だったので、1度はインストールしてみることをお勧めいたします。

WordPress.orgの取り組み

私はWordPress.orgの運営サイトの立場ではありませんが、4月にWordPress.orgブログで「GDPRに準拠するために協力者を募集しています」という趣旨の記事を見かけましたので、下記にてシェアします。

日本語ブログ

英語ブログ(原文)

先述したように、2018-05-18にWordPressがバージョンアップし、GDPRに関する項目が追加されましたが、上のブログで触れられているGDPRガイドラインの改良は続くと思います。余力のあるWordPressユーザーの方には、私もユーザーの一員として協力に参加されることを望みます。私も挙手したい気持ちは大きいのですが、自分のことで手一杯なため、このようにシェアする程度しかできないことをご容赦ください。

 

有用になるかもしれないGoogleサービスリンク集

  1. Google Cookie Choices
    先にも書きましたが、Googleが公式に雛形と明言している「ユーザーに同意を求めるテンプレート」を設置してくれている。
  2. Google アナリティクス オプトアウト アドオン – アナリティクス ヘルプ
    サイト運営者が誰しも設置しているアクセス解析ツール「Google Analytics」の統計収集対象者からユーザーがオプトアウト出来る方法が記述されている。
  3. Google サービス プライバシー ガイド – ポリシーと規約 – Google
    各種Googleサービスにて、自分の情報を削除したり消去する方法、Cookie拒否設定などのリンク先がまとめられているページ。

 

最後に

GDPRはWeb現場においても、なにかと大掛かりな作業で、行動しながら対応すべき事項を手探りしていく繰り返しが続きそうですが、
時流がグローバルなインフラが整いつつあるので、次に着手すべき内容が「新しい法整備」というのは自然な流れなのかもしれません。

私は革命という言葉は好きではありませんが、人類社会が停滞していても徒に時間が経過するだけなので、人類が文化・文明・人権意識を向上・前進させるという意味においても、EU発のGDPRを参考にしながら、その他の国々も新しい法整備を進めていけば、より良い市民社会に発展する、と考えています。

例えば、
一般の人には馴染みのない「識別子」という言葉も、

  • 一般の方が馴染むよう主体性をもって勉強するか
  • 専門家が分かりやすい概念・定義を新しく生み出すか

上のような新しい課題に対して、

  • 義務教育で教える
  • 専門家がよりシンプルな仕組みを開発する

このような小さな努力の積み重ねを地道に受け入れていけば、これまでに無い新しくて高度な人権社会が形成されていくのではないか?
と私は考えています。

 

そのためにも、上で示した

  • EUデータ保護指令
  • 一般データ保護規則

これらの日本語訳を注意を持って理解に努めたいと思います。

 

貴重なご意見ありがとうございます。

頂いたご意見を参考に、より一層品質の高いコンテンツを目指してまいります。
お客様のご協力に厚く感謝申し上げます。


今後とも当サイトをよろしくお願い致します。

 

Related Posts 左へスライドして記事をお選びください。


最後までお読み頂きありがとうございます。

著者について

Yuichi Okita administrator

ただいま、大阪府内でSEさんを探しています。/ 6月末までには正式なメルマガフォームを設置予定ですので、事前に臨時フォームへご登録頂ければ、途中経過などご連絡差し上げます。/ 法人のお客様は、お問合せフォームをご活用くださいませ。/ 個人のお客様は、SEOコンサルティングのみお受けしております。