最近、さまざまな企業からプライバシーポリシーの変更について知らせるメールが大量に届いているかもしれません。これらのメールは頻繁に届き、しばしば無視されます。今回は、これらのメールの一般的な原因があり、それはあなたのビジネスに影響を与える可能性があります。それについて話しましょう。
これらのメールをいくつか読んだ後、おそらく「個人データ」という言葉が繰り返し使われていることに気づいたでしょう。これは、EU域内の個人の個人データを保護し、それらの個人が自分の個人データをより多く制御できるようにするために設計された、新しい欧州連合(EU)の規制である一般データ保護規則(GDPR)によるものです。
GDPRの公式施行日は2018年5月25日です。世界中の(文字通り)企業が、施行日までに新しい要件を満たすための努力を重ねています。あなたが受け取ったメールは、GDPRを明示的に言及しているかどうかにかかわらず、GDPR要件を満たすために行われた変更について通知するために書かれている可能性が最も高いです。
Easy Digital Downloadsのユーザーとして、あなたもGDPR要件を満たす必要がある可能性が高いです。Easy Digital Downloadsプラグインは個人データとして分類される情報を顧客から収集するだけでなく、ウェブサイト訪問者から個人データを収集する他のプラグインやツールを使用している可能性もあります。
この新しい規制があなたに影響を与えるために、あなたのビジネスがEUに拠点を置いている必要はありません。EU居住者があなたのウェブサイトを訪問する可能性がある場合は、GDPRに準拠したいと思うでしょう。
以下では、これがあなたのウェブサイトにとって何を意味するのか、Easy Digital Downloadsが新しい要件を満たすのにどのように役立ったのか、そして利用可能なすべてのツールを活用していることを確認する方法について説明します。
GDPRの理解
GDPRは、データ管理者(あなたの個人データを保持しているビジネス)があなたの個人データをどのように管理するか、そしてあなたの個人データがどのように扱われているかを知る権利、ならびに要求に応じてあなたの個人データを削除する権利を規制するガイドラインのセットです。
GDPRの下で満たされなければならない一般的な要件のリストを次に示します。
- あなたのウェブサイトで収集される個人識別可能な情報(プライバシーポリシー経由)を開示する。
- あなたのウェブサイトが個人識別可能な情報を収集する理由(プライバシーポリシー経由)を開示する。
- 個人識別可能な情報が保持される期間(プライバシーポリシー経由)を開示する。
- 個人識別可能な情報が第三者エンティティと共有されるかどうか(プライバシーポリシー経由)を開示する。
- 要求に応じて個人識別可能な情報へのアクセスを提供する(エクスポート経由)。
- 要求に応じて個人識別可能な情報の消去手段を提供する。
- GDPRに基づく個人の権利について通知する(プライバシーポリシー経由)。
これらの要件を満たすには、専門的なツールセット、プライバシーポリシーの詳細な情報、および処理されているデータの種類についての明確な理解が必要です。
GDPRの全体的な焦点は、個人データの収集と処理に関する標準を作成することです。
WordPressとGDPR
Easy Digital DownloadsはWordPressプラグインです。チェックアウトシステムなどの機能を通じて個人データを収集しますが、WordPressは、ウェブサイトのエコシステムを通じて、個人データを収集するだけでなく、保存、管理、使用する上で重要な役割を果たしています。
とはいえ、WordPress自体がGDPR要件を満たすために必要なツールを提供する措置を講じています。
WordPress 4.9.6 プライバシーとメンテナンスリリース
WordPressユーザーとしてGDPRコンプライアンスに向けた最初の一歩は、GDPR要件を満たすために必要な機能に主に焦点を当てたリリースであるWordPress 4.9.6(またはそれ以降)にウェブサイトをアップデートすることです。このリリースについてはこちらでお読みいただけます。
プライバシーポリシーページを作成および表示するための新しいツール、コメント投稿者が個人識別情報を公開コメントに表示するかどうかを決定できるようにする機能、および個人データ処理機能がこのリリースで実装されました。
プライバシーポリシーページ機能により、1つのページをプライバシーポリシーとして指定し、ログインおよび登録フォームからそのページに自動的にリンクし、ウェブサイト訪問者/ユーザーがウェブサイトとやり取りする際に収集される個人データの種類に関する概要を提供する時間があったプラグインやテーマから、提案されたプライバシーポリシーテキストをコピーすることもできます(これについては後述します)。
データ処理機能は、ユーザーのリクエストに応じて個人データをエクスポートまたは削除するためのツールを提供します。WordPress自体はGDPR要件に従ってデータを処理する準備ができていますが、拡張性もあり、プラグインやテーマが収集されたデータをエクスポートおよび削除プロセスに含めることができます。
これらのツールはカスタムで実装することも可能ですが、GDPRコンプライアンスに向けた最初の一歩として、WordPressの最新バージョンにアップデートすることを強くお勧めします。
すべてのEasy Digital Downloads GDPR拡張機能は、WordPress 4.9.6以降で提供される機能を通じてアクセスされます。アップデートしてください。
次に、Easy Digital DownloadsとそのGDPRコンプライアンスのためのツールを見てみましょう。
Easy Digital DownloadsとGDPR
Easy Digital Downloadsは、主にチェックアウトプロセスおよび関連機能を通じて、顧客に関する個人データを収集します。個人データには、名前、メールアドレス、住所(必要な場合)、IPアドレスなどが含まれます。
WordPressは個人データを簡単にエクスポートおよび削除するためのツールを提供していますが、Easy Digital Downloadsによって収集された追加データを自動的に認識するわけではありません。代わりに、プラグインをWordPressのツールと統合するように努めました。これらの拡張機能は、Easy Digital Downloads 2.9.2(またはそれ以降)で利用可能です。
Easy Digital Downloads 2.9.2 リリース
Easy Digital Downloads ユーザーとして GDPR コンプライアンスへの最初のステップは、WordPress 4.9.6 以降に更新した後、Easy Digital Downloads をバージョン 2.9.2 以降に更新することです。2.9.2 の変更履歴はこちらで確認できます。
Easy Digital Downloads を GDPR に準拠させるために、以下の一般的な機能強化を行いました。
- WordPress コアのプライバシーエクスポート機能と削除機能のサポートを追加し、個人を特定できるすべての顧客情報が WordPress のエクスポートおよび削除プロセスに含まれるようにしました。
- WordPress コアのプライバシーポリシーエディター用のサンプルテンプレートを追加しました。これにより、Easy Digital Downloads が収集する個人を特定できる顧客情報とその理由を概説する、推奨されるプライバシーポリシーのテキストを提供します。
- Easy Digital Downloads の設定画面に新しいプライバシー設定を追加し、ストアが個人データをどのように処理するか、またプライバシーポリシーを顧客にどのように表示するかについて、より詳細な制御を可能にします。
お考えかもしれませんが、顧客が情報の削除を要求する場合、ビジネス取引の正確な履歴を維持することは非常に困難です。これは正当な懸念事項であり、データ匿名化を理解することが重要です。
顧客データの匿名化
Easy Digital Downloads 2.9.2 では、個人を特定できるすべての顧客情報が構造化されており、すべてのデータを一度にエクスポートまたは削除することが容易になりました。データの書き出しにはデータ自体に変更が必要ない場合がありますが、削除リクエスト中のデータ削除はストアのレポート履歴を妨げる可能性があります。ここで、個人を特定できる情報を暗号化または削除する方法である データ匿名化 機能を紹介します。これにより、個人データを削除するだけで、購入金額やその他の非個人データはそのまま残すことができます。
GDPR では、顧客は個人データすべてをウェブサイトから削除するよう要求する権利があります。当社のデータ匿名化機能により、ストアは履歴の支払い記録や財務データなどを維持しながら、個人を特定できるすべての顧客情報を匿名化し、事実上、特定の個人またはエンティティをデータ履歴から削除することができます。
当社のツールを使用すると、顧客レコード、支払いレコード(支払いステータス別)、ファイルダウンロード履歴などを匿名化できます。必要に応じて、そのようなデータを完全に削除することも選択できます。
個人を特定できる顧客情報を収集する Easy Digital Downloads の拡張機能も、エクスポートおよび削除機能に含まれるように更新されました。公式の拡張機能について質問や懸念がある場合は、お気軽にサポートチケットを開いてください。
繰り返しますが、これらのツールは WordPress 4.9.6(以降)および Easy Digital downloads 2.9.2(以降)でのみ利用可能です。Easy Digital Downloads の GDPR ツールに関する詳細については、ドキュメントを参照してください。
次に何をすべきか
この情報はあなたにとって新しいかもしれませんが、あなたのウェブサイトがGDPRに準拠していることを確認するプロセスは複雑である必要はありません。以下の手順に従って、作業を開始してください。
- GDPRについてさらに学ぶために、ご自身で一般的な調査を行ってください。欧州委員会のデータ保護ページは、始めるのに最適な場所です。
- あなたのビジネスに特化したGDPR要件をすべて満たすために、弁護士に相談することを検討してください。一般的なツールは、ある程度までしか役に立ちません。あなたのビジネスが完全にGDPRに準拠していることを確認するのは、あなた次第です。
- WordPressまたはEasy Digital Downloadsを更新する前に、データベースとファイルをバックアップしてください。バックアップの実行にヘルプが必要な場合は、WordPress Codexを参照してください。
- ウェブサイトをWordPress 4.9.6以降に更新してください。新しいツールと機能に慣れてください。
- ウェブサイトをEasy Digital Downloads 2.9.2以降に更新してください。新しい機能強化の使用方法を理解するために、ドキュメントをお読みください。
- プライバシーポリシーページに必要な調整を行い、必要に応じてポリシーの変更についてユーザーに通知してください。
いつものように、ご不明な点がございましたら、お気軽に下記のコメント欄にご記入いただくか、サポートチケットを開設してください。
開発者情報
拡張機能やカスタム機能を新しいツールと統合する方法の詳細については、開発ブログ投稿をお読みください。
