運営方針と安全について, 一般

WordPress.com サイトと GDPR

私たちはユーザーのプライバシーとサイト訪問者のプライバシーに配慮しています。WordPress.com は GDPR に準拠して運営を行い、ユーザーが法律を理解し、それぞれのサイトが法律に準拠するうえでサポートとなるツールやリソースを提供することをお約束します。このガイドは、サイトが収集するデータおよびそのデータの使われ方について、サイトの訪問者に対して透明性を確保する取り組みをサポートするために作られています。

一般的に、責任を持って訪問者から収集した情報を取り扱っており、それを許可なく他の企業に共有したり、販売したりしていない場合は、GDPR によって現在の業務方法に大きな変更が必要となることはほとんどありません。WordPress.com は、訪問者に関する個人的または法的に機密性が高い、数多くの詳細情報をデフォルトで収集するツールではありません。

GDPR 要件はハードルが高いと思われるかもしれませんが、皆で協力すれば克服できないものではありません。私たちが提示している選択肢、作成したツールおよび機能についてご質問がある場合、またこれらすべてに関してより使いやすくするフィードバックがある場合は、https://wordpress.com/help/contact/ までぜひご連絡ください。


サイト所有者の方への GDPR に関する推奨事項

GDPR はサイトで収集する個人情報とその使い方に対して、サイト所有者に配慮を促すことを目的としています。サイト所有者ができることには以下のものがあります。

プライバシーポリシーを公開する

プライバシーポリシーでは、サイトで収集されるユーザーに関するデータの内容、データのトラッキング方法、無効にするオプションについて、ユーザーに伝えると同時に、最適な問い合わせ方法に関する情報を提供する必要があります。自分のサイトがどのようなデータを収集しているか、または訪問者がどのようにトラッキングされているかがわからない場合は、以下に役に立つリソースをまとめています。

プライバシーポリシーに関して何から手を付ければよいかわからない場合は、Automattic のプライバシーポリシーをテンプレートとしてご利用ください。Automattic のプライバシーポリシーはクリエイティブ・コモンズの継承ライセンスのもとリリースしています。つまり、自分用にコピーしたり、変更したり、再利用したり、ご自由にお使いいただけます。ただし、一部内容を変更して、ご自身の実際の状況を反映したポリシーとなるようにしてください。英国情報コミッショナー事務局のこちらのガイドも、プライバシーポリシー作成の際に含めるべきことを確認するうえで便利です。

サイトの訪問者が自分のデータにアクセスしたり、データを削除したりできる方法を提供する

サイト所有者に対する GDPR 要件の1つは、訪問者に関するどのような個人情報を収集しているかについて問われた場合に開示すること、リクエストに応じてデータを削除することです。

WordPress.com サイトでこの要件を実行する最も簡単な方法は、サイトのユーザーがこのようなリクエストができる方法を提供することです。お問い合わせフォームまたはメールアドレスをプライバシーポリシーに含めておくか、サイトにコメントを残せるようにしておきます。データの多くは、サイトのダッシュボードから直接収集したり、削除したりできます。例えば、サイトのコメント管理画面から特定個人によるコメントを検索し、削除できます。アクセスまたは削除のリクエストを受けたものの、どう対応すればよいかわからない場合は、https://wordpress.com/help/contact からサポートにお問い合わせください。

Cookie および同意のウィジェットを有効にする

Cookie ウィジェットはアップデートされ、新しい機能が追加されました。ウィジェットをサイトで有効にすると、サイトのプライバシーポリシーへのリンクを共有でき、サイトが使用しているトラッキング Cookie についてサイトの訪問者に通知できます。このウィジェットとバナーの通知は、無料プランレベルを利用しているすべてのサイトで自動的に有効になっています。ただし、WordPress Pro プランまたは従来の WordPress.com プラン (パーソナル、プレミアム、ビジネス、eコマース) のサイトでは、サイトでその通知を有効にするか無効にするかを選べます。このウィジェットの仕組みの詳細については、Cookie および同意のバナーウィジェットに関するガイドを参照してください。

GDPR に準拠したサードパーティ製のプラグインのみインストールする

本ガイドのこのセクションは WordPress.com のビジネスプランまたは eコマースプランを利用しているサイトを対象としています。レガシープランをご利用いただいているサイトの場合は、Pro プランでこの機能をご利用いただけます。

プラグイン対応サイトには、サードパーティのサービスによって構築されたプラグインをインストールするオプションがあります。サイト所有者は、サイトにインストールするプラグインのデータ取り扱い方法が GDPR に準拠していることを確認する責任があります。不明な場合は、プラグインの開発者に直接 GDPR に準拠しているかどうかを問い合わせます。

サイトの訪問者の個人情報を共有する前に許可を得る

一般的に、WordPress.com で収集されるサイトの訪問者に関するデータは、サイトを改善する目的で収集されています。例えば、誰かがサイトにコメントを投稿した場合、投稿した人の名前やメールアドレスなどのデータを収集します。このデータは、サイトの所有者がサイト運営のために使用するものであり、通常第三者と共有できません。例えば、メールでの広告キャンペーンサービスで、広告主からサイトのユーザーに対してマーケティングメールを送るといったことは、事前にサイトの訪問者から明確な承諾を得ていない限りはできません。

↑ 目次 ↑

GDPR 準拠のために必要だと言われていること

サイトが GDPR に準拠しているとはどういうことかについて、インターネット上では誤った情報が数多く流れています。以下に WordPress.com ユーザーが対応しなければならないと言われたこととして、よく挙げる項目の詳細をまとめています。

サイトのフォロワー全員に再登録を依頼する…必要がある

インターネット上の多くのサービスにおいて、訪問者は合意がないまま強制的にニュースレターやメールマガジンに登録されています。ずいぶん前に施行されている EU の法律では、メールなどのコミュニケーションは、以前からの顧客関係がない限りは事前の合意なく送信できません。GDPR も同様に、こういった条件を満たさない限りメール送信を認めていません。そのため、そういったサービスの多くはメーリングリストに合意を求めるメールを送って、登録を有効にするよう依頼しなければなりません。

WordPress.com フォロワーはそういったケースとは異なり、サイトへの登録を自主的に選択しています。サイトの更新についてメールで通知を受け取ることを希望しているため、すでにメール受信に合意しています。しかし、これに関して懸念がある場合は、購読者全員に簡単に連絡できます。具体的には、サイトに新たな投稿をして、送信している購読メールすべてに含まれている購読解除リンクを使って、購読者が望めばサイトのフォローを停止できることを伝えます。

コメントおよびお問い合わせフォームに合意チェックボックスを追加する…必要がある

コメントまたはお問い合わせフォームへのチェックボックスの追加は、ほとんどの場合必要ありません。

コメントフォームのような機能を有効にするためにサイトが使う Cookie に関して、透明性を確保し、GDPR に準拠する有効な方法はいくつかあります。私たちはこのケースを含め使用する Cookie に関する情報を、こちらで確認できる Cookie ポリシー内に記載するという方法を採っています。サイト上でのこのようなタイプの Cookie の使用について、ユーザーに対し注意喚起をする場合は、Cookie および同意のウィジェットを使って行えます。詳細は以下に記載しています。

/cookie-widget/

IP アドレスの収集をやめる…必要がある

GDPR に準拠しようとする場合、IP アドレスのような個人データの収集は認められていないとよく誤解されています。実際には、GDPR が規定する主な権利を尊重した保護対策が実施されている場合には許可されています。その権利のうち主なものは、サイトが収集するまたは移転するデータに関する透明性で、その透明性確保のためにプライバシーポリシーがあります。さらに、データの使用に対する選択肢とコントールについては、削除およびアクセスのリクエストを尊重することで、ユーザーの権利を保護しています。

EU 内にすべてのデータを保管しておく…必要がある

WordPress.com サーバーは、米国と EU の両方にあるサーバーで個人データを保管しています。サイトに関連するデータを1つの地理的な場所に限定することは、不可能です。

WordPress.com は別の場所に移転されるデータの適切な取り扱いに関する EU の法律を順守しています。データ処理契約において、そのようなデータ移転に関する標準契約条項を定めています。Automattic との DPA 締結に興味をお持ちの方は、ダッシュボードの「プライバシー設定」ページ、https://wordpress.com/me/privacy からリクエストできます。

バージョン 4.9.6 の WordPress コアに追加されたプライバシー機能を使う…必要がある

WordPress コアに追加されたプライバシー機能は、サイト所有者によるプライバシーポリシーの発行、サイトの訪問者からのアクセスおよび削除リクエストへの対応、サイトが収集しているデータに関する合意取得の際に便利です。ほとんどの WordPress.com サイトでは、これらの機能は無効になっています。それはこれらの機能が WordPress.com のような共有ホスティング環境向けに作られていないためです。私たちは意図している機能を提供できないツールをおすすめすることはありません。しかし、これらのツールが無効になっていても、WordPress.com で GDPR に完全に準拠したサイトを構築することはできます。プライバシーポリシーの追加などのプライバシー機能を WordPress.com サイトで実現する方法については、上述の推奨事項をご覧ください。

WordPress.com のプラグイン対応サイトでは、コアの WordPress プライバシー機能にアクセスできます。インストールされたプラグインは、コアのプライバシーツールを利用してコンプライアンスを管理することができるため、こういった機能がそれらのサイトでも利用可能になるようにしています。


注意: このガイドは法的アドバイスに代わるものではありません。ご自身のサイトが GDPR に準拠しているかどうか懸念がある場合は、資格を持つ弁護士にアドバイスを求めることをおすすめします。