WordPress 4.9.6から追加されたGDPR対応機能を実際に試してみた

欧州連合 (EU) のGDPR(General Data Protection Regulation)がいよいよ2018年5月25日に施行とですが、もちろんご存知ですよね。

GDPRへの対応についてはこの1ヶ月程度の間に様々なWEBサービスから「利用規約の変更」などのメールが届いて来ているかと思います。

GDPR(General Data Protection Regulation)はEUのデータ保護に関する法律なので、日本は無関係かなと思いきや、その影響範囲と「 最大で2000万ユーロ(約26億円)または全世界の売上高の4%のうち、いずれか大きい方 」 という高額な制裁金のインパクトから週末の報道特集などで話題になっているかもしれません。

EUの法律なので当然日本語での詳しい説明は少ないのですが、Wikipediaによると「 初回かつ意図的でない違反の場合は、書面による警告 」とあるので真摯に対応する準備を用意していれば法律施行後でも大丈夫かと思いますが、一応確認はされてください。

GDPRはEUの法律ですが、日本でも個人情報保護に関する法律は年々厳しくなる方向で改正されてきていますので事前準備として無駄にはならないと思います。

さて、世界のCMSの約6割が利用していると言われるWordPressも当然このGDPRへの対応を行いました。
詳しくはWordPressの日本語公式ブログ 「WordPress 4.9.6 プライバシー・メンテナンスリリース」(https://ja.wordpress.org/2018/05/19/wordpress-4-9-6-privacy-and-maintenance-release/) を参考いただくとして、実際に必要になった時に備えてテスト用WordPressを用意しで試してみました。

まず、WordPress 4.9.6へアップデート

WordPress管理者権限ユーザーには「個人データとプライバシー」と言う通知が表示されたかと思います。
これは以下の内容についてのお知らせです。
・個人データをエクスポート(抽出)する機能と消去する機能が増えました
・プライバシーポリシーページについて設定するように促す

プライバシーポリシーページについて

追加された「プライバシー設定」というページは上の通りで、原則としてWordPress側はプライバシーポリシーを適切に設定するように促して、そのページがどの固定ページになるかを指定するだけにです。
プライバシーポリシーの内容については各サイト所有者が適切に作成し、定期的に見直しましょうとだけ案内されています。

重要なのは「定期的な見直し」という事で、意外と多くのサイトとが制作当時のままで見直されずに放置されていませんか。
この「個人情報の取扱い」に関してはWEBサイト上でだけではなく、その後の社内(または関連先)での利用実態まで含めた確認が本来必要になるので、制作会社に丸投げせずに一度しっかり社内確認した上で対応をオススメします。

個人データのエクスポートの流れ

GDPRでは個人から求められた場合は保存しているデータを提供するように求められています。
そのための手続きとして以下の様に依頼者とメールアドレスでのやり取りを通じた流れになっていました。

依頼者のメールアドレスを入力します。
このメールアドレスを受け取る機能はWordPress標準ではありませんので、現実的には各種メールフォームやE-mailでの依頼、電話等での依頼の場合はE-mailを別手段で確認した後になると思われます。

メールアドレスを入力して「リクエストを送信」すると「保留中」の状態になります。

リクエストしたメールアドレス宛に上記のようなE-mailが送信されるので、依頼者本人が確認用リンクから専用ページにアクセスしてもらうことになります。

確認用リンクにアクセスすると上記のようなページが表示されます。

WordPress管理画面上では「保留中」から「確認済み」の状態に変わり、次のステップとして「データをメールで送信」が可能になります。
(管理者用にダウンロードリンクも有るようです)

「データをメールで送信」をクリックするとメールアドレス宛に上記のようなE-mailが送信されます。
ファイルの保持期間と、そのダウンロード用リンク先のURLが記載されているので自分でアクセスしてデータを取得します。
ダウンロードファイルはHTML形式のファイルをZIP圧縮したもので、ファイル解凍する手間がありますが、検索エンジンなどから意図せず情報流出しないようにするなどの目的があるのだと思います。

ダウンロードしたZIPファイルを解凍して表示したHTMLファイルはこんな感じです。
テスト用なのでほとんど情報は入っていませんでした。

データ送信後は「完了」の状態になります。

個人データの消去の流れ

エクスポートと同じようにデータ消去の手続きも用意されていました。
消去もエクスポートと同じように依頼者とメールアドレスでのやり取りを通じた流れになっていました。

依頼者のメールアドレスを入力します。
このメールアドレスを受け取る機能はWordPress標準ではありませんので、現実的には各種メールフォームやE-mailでの依頼、電話等での依頼の場合はE-mailを別手段で確認した後になると思われます。

メールアドレスを入力して「リクエストを送信」すると「保留中」の状態になります。

リクエストしたメールアドレス宛に上記のようなE-mailが送信されるので、依頼者本人が確認用リンクから専用ページにアクセスしてもらうことになります。

確認用リンクにアクセスすると上記のようなページが表示されます。

WordPress管理画面上では「保留中」から「確認済み」の状態に変わり、次のステップとして「個人データの消去」が可能になります。

「個人データの消去」をクリックすると結果が下に表示されます。
ここでは該当する個人データが無かったので「見つかりませんでした」となりました。

削除後は「完了」の状態になります。

リクエストしたメールアドレス宛に上記のようなE-mailが送信されて、消去手続きが完了したことが伝えられます。

以上が、エクスポートとデータ削除の流れにです。
意外と簡単でした。

注意するポイント

ここまでは WordPress 4.9.6 で用意されたGDPR対応についです。
WordPressのバージョンによっては変更があったり、利用しているテーマやWEBサイトの作り方、サーバーの状態などで全く同じとは限りません。

また、これだけでは不足する場合が考えられます。

WordPress以外で社内に保存されている個人データ

依頼者としては同然これも対象になると考えられるので社内での適切なデータ管理が必要です。

WordPressのプラグインが保存したデータ

WordPress 4.9.6 が用意したGDPR対応についてはWordPress本体の機能として持つ部分に関してが対象です。
インストールしたプラグインによっては個別にデータベーステーブルを用意して保存している可能性が考えられ、それらの対応GDPR対応に関してはそれぞれのプラグイン製作者の対応次第です。
サーバーのデータベースに直接アクセスして調査することも可能ですが、かなり高度な作業になってしまいますので、セキュリティ面でも定期的に更新されているプラグインを利用することをオススメいたします。

APIなどの外部WEBサービスの利用

GoogleAnalyticsやSNS連携など、外部のWEBサービスをページ内に組み込んでいる場合、それらについても適切に把握して対応することが求められています。
このためにWEBサービス側もいろいろな準備や変更が必要となったために「利用規約変更」の案内メールが増えたことにつながっています。

まとめ

今回のGDPR(General Data Protection Regulation)も、以前に話題となった「個人情報保護法」も法律施行直後は大きなニュースになりますが、しばらくすると当たり前の事になって大きな混乱にはなっていません。
メディア側も大きく報道するのと同時に分かりやすい説明をしてくれると思いますので、無駄に恐れずに最初は知ることから初めましょう。