ちょっと前にWordPress4.9.6へのバージョンアップがありました。いつものように、バージョンアップをしただけで特に気にしていなかったのですが、GDPRに対応すべくいくつかの機能が追加されたことがわかりました。GDPRについてはここ数ヶ月気になって調べていましたがWordPressもそれに対応していくつかの機能を追加したということに気づいていませんでした。WordPressでホームページを作っている場合、「なにをどういう風に対応したらいいのか?」について書きたいと思います。
GDPRとはなにか?
まず最初にGDPRについて、書きたいと思います。少し前からこの単語を目にするようになってきました。
EU一般データ保護規則(GDPR) と言われるものが、2018年5月25日より適用されたためFacebookやGoogle、Twitterなど多くのWebサービスが対応をするようになりました。WordPressもこれに準拠するため今回の「プライバシー」アップデートをしたようです。
によると、
欧州連合 (EU) 内の全ての個人のためにデータ保護を強化し統合することを意図している。欧州連合域外への個人データの輸出も対象としている。EU一般データ保護規則の第一の目的は、市民と居住者が自分の個人データをコントロールする権利を取り戻すこと、および、欧州連合域内の規則を統合することで、国際的なビジネスのための規制環境を簡潔にすることである。
とあり、EUに居住している個人のデータを保護するための規則のようです。
WordPress4.9.6で追加された「プライバシー」設定の対応方法
WordPress4.9.6では
ダッシュボード の設定にプライバシーという項目が増えています。ここから「プライバシー」についての設定を行えます。
プライバシーをクリック
このような画面が表示されます。ホームページにプライバシーポリシーページを設定して、そのページをWordPressが必要な箇所に表示してくれるようになるようです。
プライバシーポリシーページを新規作成するとき
プライバシーポリシーページがない場合は、
新規ページを作成をクリックして、新しくプライバシーポリシーページを作ります。
「中身、何を書けばいいのかなぁ…」と思いながらクリックすると、
おぉ!中身が入っていました!
プレビューしてみてみると、
サイトのURLも入っていて、詳しく内容が設定されています。とりあえずこれでいいかなと思うので、
公開をクリックします。
既存のプライバシーポリシーページにリンクするとき
既に「プライバシーポリシー」があり、そのページにリンクするときは
既存のページを選択から
使いたいページを選択して、このページを使うをクリック
同じページに戻り、設定が完了したようです。
既に作ってある、プライバシーポリシーページは今回のGDPR対応の内容を含んでいない可能性もあります。そんなときは、
ガイドを確認をクリックすると、
プライバシーポリシーガイドが表示されて、どんな内容を表示するべきかがわかりますので、この情報を参考にして既存のプライバシーポリシーを修正すると良いと思います。
プライバシーページはどこで使われるか?
プライバシーポリシーは、
ログインページに表示されたり
誰でも登録できる、という設定にしてある場合の登録ページで表示されたりします。
その他、外観>メニューから「サイトマップ」というメニューをフッターなどに追加しておくと良いかと思います。
WordPress4.9.6で追加された「ユーザーデータのエクスポートと消去」の使い方
先ほどのプライバシーポリシーページに
このサイトのアカウントを持っているか、サイトにコメントを残したことがある場合、私たちが保持するあなたについての個人データ (提供したすべてのデータを含む) をエクスポートファイルとして受け取るリクエストを行うことができます。また、個人データの消去リクエストを行うこともできます。これには、管理、法律、セキュリティ目的のために保持する義務があるデータは含まれません。
という記述があります。個人データ(中略)をエクスポートファイルとして受け取るリクエスト、個人データの消去リクエストができる、ということを謳っていますのでそれができるような仕組みがWordPress4.9.6から追加されました。
個人データのエクスポート
個人データをエクスポートファイルとして受け取るリクエストがユーザーからあったときの手順を考えてみます。
リクエストがあった場合、管理者は以下のことを行います。
ダッシュボード 設定>個人データのエクスポート をクリック
このような画面が表示されます。メールアドレスかユーザ名で、エクスポートしたい個人を探します。
メールアドレスを入力して、リクエストを送信をクリック。
一覧に、今リクエストした人の情報と保留中という表示が出てきました。
ユーザーには
というメールが送信されます。メールにあるリンクをクリックします。
このような画面が表示されます。
先ほどの一覧を再表示すると、
このように表示されました。失敗 とあるのが少し気になりますが、先に進めてみます。
個人データをエクスポートする方法は2つあるようです。
個人データをダウンロード
個人データをダウンロードをクリック
このようなzipファイルがダウンロードされました。このzipファイルをリクエストした人に渡すことになるのかと思います。解凍すると、index.htmlファイルが入っていて、ブラウザで見ると、
このような内容のデータが表示されました。
データをメールで送信
データをメールで送信をクリックします。
メールを送信しました。と表示されます。
該当ユーザーのメールアドレスに、
このような内容のメールが届きます。メールにあるリンクをクリックすると
このようにzipファイルを保存する画面が表示されますので、zipファイルをダウンロードします。
zipファイルの内容は先ほど、ダウンロードしたzipファイルと同じで、解凍するとindex.htmlファイルがありそこに個人データが入っていました。
エクスポートを終えた後の画面
エクスポートを終えた後の画面はこんな感じです。
ステータスは完了になり、エクスポート処理は終わっていることがわかります。個人データのダウンロードは再度することができるようです。また、このリクエスト自体を削除したいときはリクエストを削除ボタンをクリックして消すことができます。
個人データの消去リクエスト
個人データの消去リクエストの流れです。
ダッシュボード ツール>個人データの消去 をクリック
この画面が表示されます。
メールアドレスまたはユーザー名を入力して、リクエストを送信をクリック
一覧に保留中の状態で表示されます。
該当のユーザーに、
このようなメールが届きます。ユーザーがメールの中にあるリンクをクリックすると、
消去リクエストの確認が表示されます。
ダッシュボードの画面を再読込すると、
このように表示が変わりました。先ほども失敗と表示されていましたが処理は正常にできたので気にせず先に進めてみたいと思います。
個人データの消去をクリック、で消去されると思ったのですが。
エラー発生
何度か、いくつかのサイトでこれを試みたのですが最終的にはここから先に進むことができませんでした。
個人データの検索と消去を試みた際にエラーが発生しました。というエラーや、
このユーザーの個人データは見つかりませんでした。というメッセージが表示され、この先の「あなたのデータが消去されると、確認メールが送られます。」の確認まで行うことができませんでした。
wordpress.orgのフォーラムで検索してみると、
https://wordpress.org/support/topic/erase-personal-data-not-working/
という似たような状況が書いてありました。まだこの機能が作られたばかりなので、入れてあるプラグインなどによってもしかするとこの操作に今時点で不具合が発生しているのかもしれません。近いうちにこの状況が解消されることを願います。
まとめ:GDPR対応はEUにお客様がいる場合だけですが、やっておいてもいいかもしれません
GDPRはEUにお客様がいる場合のみ必要な法律?ということみたいですので日本と日本人やEU以外のお客様のみを対象にお仕事をしている人には関係がないかもしれません。
しかし今回「プライバシーポリシー」を自動的に作ってくれる内容を見ると、日本でいうとプライバシーマークに通じるものがあります。個人情報の開示や消去などはプライバシーマークでも必要とされていました。
これからどんどん、個人情報については世の中全体が厳しくなってくると思いますので、まだプライバシーポリシーをWebサイトに掲示していない場合は、これを機会にWordPressのプライバシー機能を利用してプライバシーページを作っておくのもいいのでは?と思いました。
コメント