WordPressサイトでGDPRに対応するためのおすすめプラグイン

2018年5月25日より「EU一般データ保護規則」(GDPR:General Data Protection Regulation)が施行されました。EU圏内の個人・法人に対して何らかの商品・サービスを提供しているのであれば必ず対応する必要があります。非対応のままですと、場合によっては最低でも2000万ユーロの制裁金が課されてしまいます。Wordpressでサイトを運営しているのであればGDPR対応のためのプラグインがいくつかリリースされていますので、それらのプラグインを上手に利用して対応しましょう。

GDPR対応のポイント

いろいろなサイトでGDPRのポイントについて説明されていますので、ここではGDPRの大原則だけお話しします。

GDPR対応で大事なことは大枠では次の3つでしかありません。

GDPR対応3原則
  • 同意を得ること
  • 預かった情報を適切に管理すること
  • 求められたら情報を削除すること

 

これらの大原則を仕組みとして対応できれば、あとは雛形に従ってプライバシーポリシー等の文章を用意し当たり前の情報取り扱いをすればよいだけです。

細かい規則を学んでおくことは重要ですが、それこそ大きな企業で個人情報を大量に取得するような企業でない限りはそれほど心配することはありません。

例えば数多くの個人情報を扱う「楽天」のBCRページはこんな感じです。

非常にシンプルですね。

ちなみにプライバシーポリシーも分かりやすく作られています。楽天ではサービスごとに作られており、以下は楽天市場の例です。

このように体裁は結構シンプルで問題はないのです。

ですので、裏で動く仕組みさえしっかり整えれば、GDPR対応はそれほど難しくないのです。

2000万ユーロの制裁金云々という話も、そもそもそれだけの制裁金を科すとしたらよほどの悪質な団体(サイト)もしくは大企業です。中小企業や個人が心配すべきは「対応していないサイト」として判断されることから生じる信頼性の低下のほうでしょう。


GDPR対応プラグイン選択のポイント

ワードプレスサイトのためのGDPR対応プラグインは一見すると無料でも数多くリリースされています。しかしながら、その中身を見てみると非常に中途半端なものも多いのも事実。そこで、GDPRに対応するプラグインを選択する際のポイントをまとめておきます。

① 入力フォームに連動して表示・データ保管できること

個人情報等を収集する最たるものは「入力フォーム」です。入力フォームといえばContactForm7というプラグインが有名ですが、ContactForm7はGDPRに対応していません。

そのほかにも様々な入力フォームプラグインや外部サービスなどがありますが、それらと連動してGDPRに必要な表示やデータの保管ができるようにする必要があります。

数多くのGDPR対応プラグインがありますが、GDPR対応といいつつ実は単なるポップアップ表示やプライバシーポリシーへのリンクの仕組みの提供だけ・・・といったものもあります。そうしたプラグインを導入して対応したつもりにならないように気を付けましょう。

② Cookie(クッキー)対応

そもそもCookie(クッキー)って何?という人もいるかと思いますが、ザックリいうとWEBサイトにアクセスするとわかってしまうデータのようなものです。例えばどこの地域からのアクセスでどんなブラウザを使っているのかとか、どのページにアクセスしてどのくらい滞在していたかとか、そんなデータです。WEBサイトを運営していればGoogleAnalyticsとかその他のWEB解析サービスを見ればわかると思いますが、かなり詳細なアクセスデータをサイト運営者側は知ることができます。

サイト解析サービスを利用していれば確実にこれらのデータをトラッキングすることになるわけで、GDPR(というよりはクッキー法)に対応するにはCookie利用に対する同意ができない限りはサイトを利用できませんという形をとらざるを得ません。(実際にヨーロッパのサイトは面倒な「同意しますか?」ポップアップ表示が増えています)

このCookie問題に対応しているかどうかも確認しておきましょう。

③ できるだけ自動対応

GDPRによって面倒になりそうなのが「個人情報の開示・訂正もしくは削除」の請求です。

WordPressのデータベースにすべて保管されるようになっているのであれば、これらのプロセスを自動化することができます。

外部のデータベースに保管している場合でも、請求があった旨の通知や対応状況の確認をプラグインで自動化することができます。

それほど請求がないようであれば問題ありませんが、多くの個人情報を扱うような団体は検討の必要があるでしょう。

 


おススメ無料GDPR対応プラグイン

まずはあまたある無料のプラグインからおススメ・・・というかまだまともに使えるプラグインをご紹介します。

 

GDPR

gdprplugin

2万件以上インストールされているGDPR対応プラグイン。未検証ですが説明を見る限りは一通りの機能はサポートされている模様。Wordpress内で情報を保管している場合(メンバーサイト・Woocommerce等)はこれでも十分かもしれない。

リンク GDPR

機能一覧 GDPR機能一覧

 

WP-GDPR-CORE

gdprplugin2

5,000件以上インストールされているGDPR対応プラグイン。こちらも説明を見る限り一通りの機能はサポートしている。正直個人的には前述のプラグインよりも有料版の開発が進むこちらのプラグインをお勧めしたい。UIも分かりやすいと思う。対応する入力フォーム系サービスもこちらのほうが多い。

リンク WP-GDPR-CORE

参考 詳細サイトへ


おススメ有料GDPRプラグイン

法人など本格的にGDPR対応が必要な人は無料プラグインより有料プラグインをお勧めします。無料のものよりも明らかに機能が充実していますし、デモサイト・マニュアルなどがあるためわかりやすいです。

 

① WordPress-GDPRプラグイン

wordpressgdprplugin

リンク WordPress-GDPR

リンク デモサイト

WordPress-GDPRプラグインはオールインワン型で機能を提供している有料GDPRプラグインです。

英語にはなりますがセットアップドキュメントも充実しており、比較的使いやすいプラグインです。

※デモサイト内でセットアップドキュメントを確認できます。また管理者権限でログインしてどのようなつくりなのか確認もできます。安心して導入の判断ができるはず。

対応する入力系フォームは

  • ContactForm7
  • MailChimp
  • Buddypress
  • Woocommerce

ですが、上記フォーム以外でも十分に活用できます。(上記フォームだと対応の自動化がやりやすいということです)

② Ultimate GDPR Compliance Toolkit for WordPress

Ultimategdprplugin

リンク Ultimate GDPR Compliance Toolkit for WordPress

Ultimate GDPR Compliance Toolkit for WordPressプラグインは有料系GDPR対応プラグインの中で最も売れているオールインワン型GDPRプラグインです。

その特徴は・・・

a)対応フォーム・サービスが多い

  • WooCommerce,
  • Contact Form 7
  • Gravity Forms
  • Mailchimp
  • Events Manager
  • BuddyPress
  • Formidable Forms
  • GoogleAnalytics
  • CleanTalks
  • MailSter
  • FacebookPixel
  • etc・・・

b)見た目(UI)がシンプル

c)多言語対応(でも日本語は×)

というところがあります。個人的には前述のWordpress-GDPRプラグインよりお勧めです。

ドキュメントサイトはありませんがPDFでセットアップマニュアルが配布されています。マニュアル見てみないと判断できないよ!って人は以下からダウンロードしてみてください。

UltimateGDPRセットアップマニュアル


GDPRプラグインによる運用時のポイント

最後に、プラグイン等を利用してGDPR対応する場合のポイントというか私なりの考えを紹介しておきます。

① できれば別のデータベースに保存・管理されるようにする

ワードプレスはオープンソースということもありその構造などが世界中に知れ渡っています。そしてCMSとして最も普及してます。何が言いたいかというと、ハッキングされ個人情報等が洩れる可能性が非常に高いということです。

「パナマ文書」として大量の資産家の情報が漏洩し世界中に拡散された事件がありましたが、あれもワードプレスの脆弱性を突いた攻撃でサーバーに侵入を許したためといわれています。

それを考えると、ワードプレス内に情報を格納して対応を自動化させたいのであれば、最低でも入力フォームページは別のDBに格納されるようにしたいところです。

もっとも手ごろな方法は同じドメイン内の下層のディレクトリにもう一つワードプレスを構築して、入力フォーム関連はそこで動かすということです。攻撃は主にデフォルトの階層にあるプラグインや連動するデータベースに対して行われますので、多少安全性が増すと思います。

② セキュリティプラグインと一緒に

それから、セキュリティプラグインを導入することをお勧めします。いろいろありますが、やはり有料プラグインが良いです。無料のプラグインも数多くありますが、重要な機能を使うなら有料で・・・というものがほとんどです。

③危険かつ不要なエリアからのアクセスを遮断しておく

私の経験上の話にはなりますが、おおよそハッキング攻撃元の国というのは決まっています。例えば中国やロシアが非常に多いです。

もしビジネスに影響がないのであればサーバー上でこれらの国からのアクセスを遮断しておくというのも一つの手です。

※やり方はサーバー運営会社に聞いてください。結構簡単です。

 


最後に・・・

GDPR対応はやってみると結構簡単です。自分でやろうとすると大変ですが、文章と仕組み(プラグイン等)が準備できて入ればすぐできます。

大事なことは「GDPRに対応しているな」と見た目で分かることです。WEB担の方、頑張りましょう!




コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*

© 2019 ~いまどきワードプレスデザイン研究所 by Ganapati