GDPR 施行

本日(2018.5.25)から GDPR が施行されます。
GDPR は一般データ保護規則と訳され、大まかに以下の特徴があります。

  • EU市民の個人情報保護を目的とする
  • 罰則がある
  • ネットワーク経由でも適用される

ウェブサイトなどで不特定多数の個人情報を扱う際は、EU市民の個人情報を扱う可能性があるため、適用前提で考える必要がでてきます。

base on GDPR - 個人情報保護委員会

EU(*1)では、EU域内の個人データ保護を規定する法として、1995年から現在に至るまで適用されている「EUデータ保護指令(Data Protection Directive 95)」に代わり、2016年4月に制定された「GDPR(General Data Protection Regulation:一般データ保護規則)」が2018年5月25日に施行されます。

*1 EU:EU加盟国、及び欧州経済領域(EEA)の一部であるアイスランド、ノルウェー、リヒテンシュタイン

Read our WordPress and GDPR Compliance Guide

WordPress の管理画面の上部に「New Resource(新情報)」というトピックスが上がっていたので気がつきました。

確かに最近、騒がしかった気がする...。

WordPress 管理画面

New Resource: WordPress and GDPR Compliance (in Plain English)
Are you confused by GDPR, and how it will impact your WordPress site? We have gotten dozens of emails from users asking us to explain GDPR in plain English and share tips on how to make your WordPress site GDPR compliant. So we created an ultimate guide to explain everything you need to know about GDPR and WordPress (without the complex legal jargon).

新しいリソース:WordPressとGDPRへの準拠(平易な英語)
あなたはGDPRに惑わされていますか?それがWordPressサイトにどのような影響を与えますか?私たちは、GDPRを簡単な英語で説明し、WordPressサイトをGDPRに準拠させるためのヒントを共有するために、ユーザーから数十通の電子メールを受け取りました。そこで、GDPRとWordPressについて知っておく必要があるすべてのことを説明する究極のガイドを作成しました。

[Read our WordPress and GDPR Compliance Guide]ボタンを押すと、WordPress の総合サイト Wpbeginner の説明ページに遷移しました。

重要だと思われる部分を抜粋して、ご紹介したいと思います。

GDPR : 罰則

base on The Ultimate Guide to WordPress and GDPR Compliance (in Plain English)

Basically after May 25th, 2018, businesses that are not in compliance with GDPR’s requirement can face large fines up to 4% of a company’s annual global revenue OR €20 million (whichever is greater).

基本的に2018年5月25日以降、GDPRの要件に準拠していない企業は、企業の年間売上高の2,000万ユーロ(いずれか大きい方)の最大4%の大きな罰金に直面する可能性があります。

GDPR : 適用範囲

Does GDPR apply to my WordPress site?

The answer is YES. It applies to every business, large and small, around the world (not just in the European Union).

If your website has visitors from European Union countries, then this law applies to you.

GDPRは私のWordPressサイトにも適用されますか?

答えはYESです。これは、世界中の大小のあらゆる事業に適用されます(欧州連合のみならず)。

あなたのウェブサイトにEU加盟国の訪問者がいる場合は、この法律が適用されます。

GDPR : 目的

Their goal is to protect consumers, average people like you and me from reckless handling of data / breaches because it’s getting out of control.

彼らの目標は、あなたと私のような平均的な人々が、制御不能になっているためデータ/侵害の無謀な取り扱いから消費者を守ることです。

GDPR : 保護の対象となるデータ

What is required under GDPR?
The goal of GDPR is to protect user’s personally identifying information (PII) and hold businesses to a higher standard when it comes to how they collect, store, and use this data.

The personal data includes: name, emails, physical address, IP address, health information, income, etc.

GDPRには何が必要ですか?
GDPRの目標は、ユーザーの個人識別情報(PII)を保護し、このデータを収集、保管、使用する方法について、ビジネスをより高い基準に保つことです。

個人データには、名前、電子メール、物理アドレス、IPアドレス、健康情報、所得などが含まれます。

GDPR : 個人情報を得る上での心構え

GDPR Personal Data

While the GDPR regulation is 200 pages long, here are the most important pillars that you need to know:

Explicit Consent – if you’re collecting personal data from an EU resident, then you must obtain explicit consent that’s specific and unambiguous. In other words, you can’t just send unsolicited emails to people who gave you their business card or filled out your website contact form because they DID NOT opt-in for your marketing newsletter (that’s called SPAM by the way, and you shouldn’t be doing that anyways).

For it to be considered explicit consent, you must require a positive opt-in (i.e no pre-ticked checkbox), contain clear wording (no legalese), and be separate from other terms & conditions.

Rights to Data – you must inform individuals where, why, and how their data is processed / stored. An individual has the right to download their personal data and an individual also has the right to be forgotten meaning they can ask for their data to be deleted.

GDPR個人データ

GDPR規制は200ページですが、ここではあなたが知る必要がある最も重要な柱があります:

明示的同意 - EUの居住者から個人情報を収集する場合は、具体的かつ明白な同意を得る必要があります。言い換えれば、名刺を贈った人や、ウェブサイトの連絡フォームに記入した人に迷惑メールを送ることはできません。マーケティングニュースレターを選んでいないからです(途中で迷惑メールと呼ばれ、とにかくやっている)。

明示的同意とみなされるためには、正のオプトイン(すなわち、事前チェックなしのチェックボックス)が必要で、明確な文言(法的根拠がない)が含まれていて、他の利用規約とは別にしてください。

データに対する権利 - データをどこに、なぜ、どのように処理/保存するかを個人に通知する必要があります。個人は自分の個人データをダウンロードする権利を持ち、個人は自分のデータが削除されることを頼むことができるという意味を忘れてしまうこともあります。

GDPR : WordPress の対応状況について

Is WordPress GDPR Compliant?
Yes, as of WordPress 4.9.6, the WordPress core software is GDPR compliant.

WordPress GDPRに準拠していますか?
はい、WordPress 4.9.6以降、WordPressのコアソフトウェアはGDPRに準拠しています。