2018年5月25日より適用されるGDPR(EU一般データ保護規則)に関して、サイトやブログを所有していたり、メールアドレスやパスワードなどを使ってサービスを受けているいろいろなところからメールなどが来ているかと思います。
何だろう・・・そんなときは何でも載ってるインターネット!!ということで調べるもなかなか的を射ているものはないですし、個人サイトではどうする?というようなものはないし、Twitterなどでも「#GDPR」などのハッシュタグを集めてリツイートしているものはあっても独自見解でも「こうすればいい」というものの存在もない。
・・・ということは様子見でいい??となりそうですが、今回の法律に違反すると結構な罰金が科せられるようなので、様子見では済まない気も・・・
そんなさ中に今日もThe Google Team(Google Adsense)から英語のメールが来ました。内容はGDPRに対応するために検証をしてきた結果、対策用として広告の配信を選択できるようにしましたよ!5月7日から設定できるので確認してくださいねという内容でした(読んだ方いるかな?まさか英語だからってそのまま捨ててませんよね??)
やっぱり何等かの措置をする必要がありそうです。
ということで、今回は至って独自判断ではありますが、EU一般データ保護規則(GDPR)の解釈とWordPressで作成したサイトでどんな対策ができるのかについて書いておこうと思います。残念ながら私は法律家ではありませんのであくまでも個人の見解と対策として参考程度に見ていただき、確実なところは法律家の方へ相談するようお願いします。
いつものように長い記事になってしまうと思いますがご容赦くださいね
EU一般データ保護規則(GDPR)って何?
まずはGDPRについて調べておく必要があります。そんなときは何でも載ってるWikipediaでしょうということで、
EU一般データ保護規則(GDPR)の概要については、EU一般データ保護規則(ウィキペディア)のページで確認ください(私は法律家ではありませんのでこれが正しいのかどうかの判断はできません)
内容をあくまでも独自解釈すると・・・
- 個人情報を取得することを伝えること
- 取得した個人情報の使い道を伝えること
- 個人情報の開示に応じること
- 個人情報を自身で削除できる、または要望に応じて削除すること
が要件のようです。読んだ限りでは日本の個人情報保護法をスーパーハイパーバージョンにしたものかな?という印象でした。
そして日本の個人情報保護法と違うのは、単独の情報も個人情報として扱われること。日本の法律では個人が特定できてしまう要件を満たすものを「個人情報」としているので、例えばニックネームとメールアドレスなどといった組み合わせでは「個人情報」に当たらない(個人が特定できるものではない)という判断ができるのですが、今回EU加盟国で発動されるGDPRではメールアドレスのみも「個人情報」の対象となることです
※私は法律家ではありませんので参考程度に読んでください(正しい解釈は法律の専門家に相談してください)
つまり、ブログなどでコメントを求めるのにメールアドレスの入力を求める場合には、日本の法律では「個人」となる可能性が低いため個人情報保護に関する記述や同意は必要ありませんが、EU加盟国の方(EU加盟国のIPアドレス)からアクセスされたものについてはばっちり「個人情報」になってしまうということになります。これは当然WordPressで作ったサイトでも同様になると言えるでしょう。
※私は法律家ではありませんので参考程度に読んでください(正しい解釈は法律の専門家に相談してください)
ということはWordPressで作っている個人のサイトでも、コメントや問い合わせフォームを使用している場合、対応が必要ということになるようです。
次の項でWordPressのサイトではどう対処すればいいか?ということを紹介しようと思います。
WordPressサイトにおけるGDPRへの対処方法
何度も書きますが、私は法律家ではありませんので参考程度に読んでください(正しい解釈は法律の専門家に相談してください)
上の必要要件の中でサイトで実現できそうな要件とそうでない要件を考えてみました。
1と2については一方的な通知なので何とかなりそうです。
3についてはどういう仕組みで開示に応じていくのか以前にどうやって開示請求された方と同一人物なのかを特定するのか?というのが問題となります(個人を特定するための個人情報が必要となるのでは??)
4についてはユーザー登録情報では退会処理を行うプラグインなどで実装すれば可能ですが、コメントや問い合わせフォームからいわば一方通行でなされたものに関してはやはり対処は不可能かと思われます。
こうしたことを考えると対処は以下の2つになると思われます。
1つ目は、コメントや問い合わせフォームを一切使わないことです。単純明快ではあるものの、サイトによっては設置せざるを得ない場合もあると思います。
2つ目は、EU加盟国からのアクセスを拒否することです。確かにこの方法だと対応できそうな気がしますが、法律はEU加盟国に籍のある個人とEU加盟国に居住する人のためのものですから、例えばその国籍の人が日本からアクセスしたらどうなる?という問題が起きる可能性があります。
その辺りを踏まえ、今できる最善の方法としてこのサイトで行った方法を紹介していきます。
※何度も書きますが、私は法律家ではありませんので参考程度に読んでください(正しい解釈は法律の専門家に相談してください)
EU加盟国に居住する人からのアクセスを防止する
まずは触らぬ神に祟りなし!!EU加盟国からのアクセスを禁止します。逆に日本以外からのアクセスを禁止する(ホワイトリスト)という考え方もあるかと思いますが、海外からサイト内にアクセスが必要なサービス(Google Analyticsなどもそうかもしれません)もあるでしょうし、EU加盟国以外に在住する日本語の分かる方が閲覧することもあるでしょうから、やはりブラックリスト(特定の国からのアクセスを禁止する方法)の方が無難だと思います。
そこでWordPressのプラグインマスター(自称)としてはプラグインを使わない手はない!ということで早速調べてみました。
「GDPR」というキーワードで検索すると結構たくさん出てきました。いくつかのプラグインの説明を読みましたがやはり混乱しているようですね。ほとんどがプライバシーに関する説明を追加するか、EU加盟国からのアクセスを拒否するかというもの。やっぱり解釈は間違っていないようです。
※何度も書きますが、私は法律家ではありませんので参考程度に読んでください(正しい解釈は法律の専門家に相談してください)
で、EU加盟国からのアクセス拒否を行える(指定した国からのアクセスを防止する)プラグインもいくつかありましたが、どれも年間ライセンス制でそのサービスのapiを使って都度アクセス可否の判断をしていくような仕様のものでした。有料というのも気になりますし、何より使用する人が増えると表示スピードにも多大な影響が出るかもしれないと思い、apiを使わないものを模索。すると私が調べた限りでは1つだけありました。
プラグイン名は「IP2Location Country Blocker」です。詳細については
の紹介記事を見ていただきたいと思います。
このプラグインはIP2Location LITEという無料のサービスから国別のグローバルIPアドレスデータを自サイト内に保存し、それに応じてアクセス拒否を行うというもの。
設定も簡単ですから上のリンク先ページを参考に設定してみてくださいね。
ちなみにグローバルIPアドレスによってアクセス拒否をするプラグインがありますが、あまりにもIPアドレスの範囲が多いため管理が大変になると思いますから、素直にこの専用プラグインを使った方が無難だと思います。
※ちょっと詳しい方ならご存知かと思いますが、国には独自のドメイン(日本ならjp)があり、国別ドメインからアクセス拒否すれば?と思われるかもしれませんが、今回はそのドメインからのアクセスであるとは限らないためグローバルIPアドレス範囲でのアクセス拒否が必要だと思われます。
上の紹介記事で書いている通り、グローバルIPアドレスのデータベースを最新にした上で国を指定してアクセス拒否すれば100%ではないものの対策とはなりそうです。
EU加盟国に国籍のある個人へ通知(表示)する
次にもう1つの要件、国籍のある人がその国以外からのアクセスをする場合の対処。前述したように個人情報を確認するための個人情報??みたいな感じになってしまうと思われますので、メールアドレスを入力して何かをするところへEU加盟国に国籍のある方からの投稿がないようにお願いするという手段しかないと思われます。
このサイトで使っている「メールアドレスの入力が必要なもの」はコメント(一部のページ)とコンタクトフォーム。
コンタクトフォームについては有名な「Contact Form 7」を使用しているので使っているフォームに「EU加盟国に在住またはEU加盟国に国籍はありません」などという必須のチェック項目と説明を加えればいいと思います。
次にコメントですが、このサイトで使用しているSimplicity2であれば
というちょっと関係なさそうな記事の中にある標準のコメント欄にない文字列の追加をすれば確認はできると思います。
チェック機能などを追加したい場合には
などコメント欄をカスタマイズできるようなものを使用するか、初めから標準のコメント欄を使わずにSNSなどのコメントやツイートなどを埋め込む形にすればサイト内に入力してもらう必要がなくなります。個人的にはSNSを使うのが妥当だと思います。
ちなみにFacebookのコメントを埋め込むには
を使えば実装できます。
さいごに
いかがでしたか?最後にもう一度書きますが私は法律家ではありませんので参考程度に読んでいただきたい記事でしたが何となくやらなきゃなぁ、知る必要があるなぁという認識になっていただければと思います。
実際に当事国からアクセスしていないので本当に大丈夫なのか?本当に機能するのか?といった疑問が残ってしまうものの「知らなかった」ではすまない事柄だと思い、当サイトではこの記事のような対応をしました。
そのうちレンタルサーバーなどでこうした機能を提供するようになるのかもしれませんが今のところ情報がないため掲載することにしました。
「うちのサーバーに確かそんなような項目あったなぁ」という方、その機能はブルートフォースアタック対策のバックエンドへのアクセスを制限する機能ではありませんか?GDPRはフロントエンド/バックエンド問わずEU加盟国籍の方、または在住の方の個人情報を保護するための法律ですからフロントエンドこそ対策が必要となりますのでご注意ください。