WooCommerceGDPRコンプライアンスを確保する方法

公開: 2018-05-08
header image for WooCommerce GDPR article

最終更新日-2021年9月14日

WooCommerceストアの所有者であれば、GDPRについて聞いたことがあるはずです。 欧州連合によって施行されているのは、一般データ保護規則(GDPR)です。 欧州市場に販売し、欧州市民のデータを処理するすべての店舗所有者は、GDPRガイドラインに準拠する必要があります。 2018年5月25日は、WooCommerceストアがGDPRで指定されているすべてのデータプライバシーガイドラインに準拠していることを確認する期限です。 この記事は、ストアの所有者として注意を払う必要があるWooCommerceGDPRコンプライアンスのニュアンスを理解するのに役立つことを目的としています。 この記事を読んだ後は、GDPRのさまざまな側面と、実行する必要のある重要な対策について明確に理解する必要があります。

注:この記事の情報は、一般的な情報のみを目的としています。 特定のビジネスシナリオについて、専門的な法律上のアドバイスを得る必要がある場合があります。

GDPRの重要性

GDPRは、世界中のユーザー(特にEU市民)が企業と共有するデータをより適切に管理できるようにするために実施されます。 ほとんどの企業がこれに準拠することを保証するために、多額の罰金が提案されています。 罰金は最大2,000万ユーロ、つまり前会計年度の企業の年間売上高の4%に達する可能性があります。 ガイドラインに準拠していない企業には、ペナルティとしてより多くの金額が課せられます。

世界中で、企業はこれらのガイドラインを真剣に受け止めています。 PwCが米国企業を対象に実施した調査によると、77%以上の企業が、GDPRへの準拠を確保するために100万ドル以上を支払う用意があることが明らかになりました。 これは、問題にどの程度のグローバルな影響があるかについてのアイデアを与える重要な指針です。

WooCommerceGDPRの観点

WooCommerceストアの所有者は、ストアに関連する特定の側面に具体的に対処する必要がある場合があります。 ユーザーのデータを収集することに関しては、WordPressサイトごとに異なるアプローチがあります。 あなたはあなたのサイトに関連する様々な側面について徹底的な調査を行い、それに応じて計画を立てる必要があります。 一般的に、WordPressサイトはいくつかの方法でユーザーデータを収集する場合があります。 これらには、ユーザー登録、コメント、分析入力、連絡フォーム、セキュリティソリューションなどが含まれます。また、使用している他の多くのプラグインがユーザーの情報を収集している可能性があります。

ストアの所有者として、WooCommerce GDPRコンプライアンスの最も重要な側面は、データの収集方法と使用方法についてユーザーに効果的に伝えることです。 たとえば、GDPRに準拠するために行ったさまざまな対策を説明するために、プライバシーポリシーを更新する必要がある場合があります。 また、ユーザーから何らかの形式のデータを収集するたびに、ユーザーの同意を得ることが重要です。

WooCommerceGDPR記事のデータプライバシーを描いた画像
データプライバシーは、世界中のインターネットユーザーにとってますます懸念されています。

GDPRガイドライン

すべてのサイト所有者は、GDPRガイドラインに従わなければなりません。これには、以下にリストされているポイントのいくつかが含まれています。

透明性

データ収集の理由、データを保持する期間、誰がデータにアクセスできるかなどについて、ユーザーに明確に伝える必要があります。これは、ビジネスの可能性をユーザーに理解させるために重要です。彼らのデータを使用します。

同意

また、ユーザーから収集するデータについては、ユーザーからインフォームドコンセントを取得する必要があります。 また、データ収集に同意するのはユーザーの決定である必要があります。 たとえば、GDPRガイドラインによると、デフォルトで特定のフィールドを有効にすることはお勧めできません。

アクセスする権利

ユーザーには、常に自分のデータにアクセスする権利が必要です。 特定のデータポイント、それらのストレージと処理、および収集する理由について通知されることに加えて、ユーザーは要求時にデータのコピーを取得できる必要があります。 WooCommerceストアの所有者は、これらのガイドラインに準拠する必要のあるサードパーティのプラグインやソリューションをいくつか使用している可能性があるため、これはややトリッキーな側面です。 また、ユーザーデータを収集するすべてのツールが新しい規制に準拠していることを確認するのは、サイト所有者の責任です。

同意を撤回する権利

ユーザーは、これらのガイドラインに従って、データをより適切に制御できます。 ユーザーは常に、データを保持するためにサイトに与えられた同意を取り消す権利を有します。 また、必要に応じて、ユーザーはサイトからデータを削除できるようにする必要があります。

データ侵害の通知

GDPRガイドラインのもう1つの重要な側面は、サイトでのデータ侵害についてユーザーに迅速に通知する必要があることです。 ガイドラインによると、データ侵害に気付いてから72時間以内にユーザーに通知する必要があります。 この点では、Wordfenceなどの優れたセキュリティプラグインを使用してトラフィックとアクティビティログを監視することをお勧めします。

WooCommerceGDPRコンプライアンスのための手順

WooCommerceストアの所有者は、サイトがGDPR規制に準拠していることを確認するためにいくつかの手順を実行する必要があります。 これらの手順の一部を以下に示します。

プライバシーポリシーを更新する

GDPRに準拠するために行ったすべての手順をユーザーが確実に認識できるように、サイトのプライバシーポリシーを更新する必要があります。 ここでは、ユーザーから収集する情報と、それらを収集する理由も指定する必要があります。 さらに、データをどのように処理しているか、誰がデータにアクセスできるかをユーザーに知らせる必要があります。 ユーザーに伝える必要のあるもう1つの重要な情報は、ユーザーの情報を保持する期間です。 多くの人気のあるWebサイトからのプライバシーポリシーの更新通知をすでに見たことがあるかもしれません。

ユーザーが同意したことを確認します

あなたは、ユーザーがあなたのサイトに個人情報を収集して保存することに同意することを確認する必要があります。 これは、ユーザーに要求する特定の情報ごとに積極的に同意することで実現できます。 自動オプトインを有効にしていないことを確認するために、ここで焦点を当てる1つの側面。 ユーザーの同意を要求する特定の各フィールドは、デフォルトで無効のままにしておく必要があります。 ユーザーが積極的にあなたに提供することを選択した場合にのみ、ユーザーから個人情報を収集することができます。

関連情報のみを収集する

多くのサイトやビジネスオーナーは、自分のビジネスに実際には関係のない情報を収集して保存する傾向があります。 この傾向は、GDRPの導入で止まります。 基本的に、使用しなくなった情報は削除する必要があります。 また、将来役立つと思われる情報を収集する必要はありません。 実際、収集する情報の量が少ない場合は、データ侵害のリスクが軽減されます。

また、データのバージョンを1つだけ保持していることを確認してください。 ただし、バックアップを保存するときに複数のコピーを保持する必要がある場合があります。 標準として、最大4つのバックアップを保持できます。 また、データ監査に対して透過的になるように、バックアップを保存する場所を適切に記録する必要があります。

潜在的なデータ侵害のプロセスを作成する

サイト上のユーザーのデータが危険にさらされるシナリオがいくつかあります。 一般的なケースの1つは、攻撃者がデータにアクセスできるサイトハッキングです。 それとは別に、データプロセッサによる不正アクセスも問題を引き起こす可能性があります。 ユーザーのデータにアクセスするサイト上のすべてのプラグイン、ソフトウェア、およびその他のツールは、データプロセッサと呼ばれます。 場合によっては、ユーザーの個人情報へのアクセスを、それらを取得することを想定していないプロセッサに渡すことがあります。 これは、データ侵害と見なすこともできます。 同様に、GDPRに準拠していない国に個人情報を渡すことも、データ侵害と見なされます。

WooCommerceGDPRの記事のデータプロセッサを描いた画像
サイトで使用するプラグインとソフトウェアはデータプロセッサである可能性があり、サイトユーザーの個人情報へのアクセスは異なる場合があります。

あらゆる種類のデータ侵害に対処するために、事前に明確なプロセスを用意しておくことをお勧めします。 GDPRガイドラインによると、データ侵害について最初に知ってから72時間以内にユーザーに通知します。

ユーザーがデータを要求したときに処理するプロセスを作成します

GDPRに準拠することで、ユーザーは個人情報をより適切に管理できます。 これには、データのコピー、移植、削除のリクエスト、または以前に与えられた同意の撤回が含まれます。 ユーザーから追加のデータを収集せずに、これらすべてのリクエストを処理できるように準備する必要があります。

また、GDPRガイドラインは、大企業と中小企業に等しく適用できることに注意してください。

結論

GDPRまたは一般データ保護規則は、欧州連合の市民をユーザーとして持つすべてのWebサイトおよび企業に適用される一連の規制コードです。 実際、これは世界中でより良いデータプライバシーを確​​保するための取り組みです。 GDPRガイドラインの基本的な側面は、次のように要約できます。

  1. ユーザーから収集したすべての個人データについてユーザーに通知します。 また、データを収集する理由、すべての人がデータにアクセスできる人、サイトでデータを保持している期間などを伝える必要があります。
  2. 何らかの形でユーザーから情報を収集する前に、ユーザーからインフォームドコンセントを取得してください。
  3. データは、ビジネスに本当に関連する場合にのみ収集してください。 データが少ない場合は、より効果的にデータを保護できます。
  4. ユーザーがアクセスを要求するたびにデータをユーザーに提供するプロセスを作成します。
  5. データ侵害があった場合は、すみやかにユーザーに通知してください。

GDPRガイドラインによれば、WooCommerceストアの所有者はデータ管理者と見なされます。 ツールが異なればデータプライバシーへのアプローチも異なる可能性がありますが、すべてのプラグインとツールがガイドラインに準拠していることを確認するのはストアの所有者の責任です。 GDPRへの準拠の期限は2018年5月25日であり、必要な手順をまだ実行していない場合は、それに焦点を当てる時期です。

参考文献

  • WordPressセキュリティプラグイン
  • WooCommerceバックアッププラグイン