個人データ – 名前や住所など、個人を特定できるようなもの – を扱うプラグインを書いていますか ? そのようなデータには注意を払い、ユーザーや訪問者のプライバシーを保護したいと思うでしょう。
プライバシーとは ?
WordPress.org は、ヨーロッパの一般データ保護規則 (General Data Protection Regulation、略して GDPR) に先立ち、いくつかの機能強化を行いました。この作業の開始後、私たちはプライバシーを trac のコア開発における恒久的な焦点とし、特定の法律以外でもプライバシーとデータ保護に関する機能強化を継続できるようにしました。
しかし、どのような問題が「プライバシー」の定義の対象となり、そして、どのように定義すればよいのでしょうか ? プライバシーの要件は国や文化、法制度によって大きく異なりますが、どのような状況でも適用できる一般原則がいくつかあります:
- 同意と選択: ユーザー (およびサイト訪問者) にデータの使用に関する選択肢とオプションを与え、明確で具体的、かつ十分な情報にもとづいたオプトインを要求すること;
- 目的の正当性とその範囲: 個人データを収集し利用するのは、それが意図され、利用者に事前に明確に通知された目的のためだけです。
- 収集の制限: 必要なユーザーデータのみを収集します; 避けられる場合、データの余分なコピーを作成したり、他のプラグインからのデータとあなたのデータを組み合わせたりしません。
- データの最小化: データの処理とそれにアクセスできる人の数を、必要最小限の用途と人に制限します。
- 使用、保持および開示の制限: 現行使用およびアーカイブの両方において、受信者と第三者の両方によって、不要となったデータは削除されます。
- 正確性と品質: 特に、不正確または不十分なデータが利用者に悪影響を及ぼす可能性がある場合は、収集され使用されるデータが正しく、適切で、最新のものであることを保証すること。
- 公開性、透明性および通知: 自分のデータがどのように収集、使用、共有されているか、また、それらの使用に関してユーザーが有する権利をユーザーに通知します。
- 個人の参加とアクセス: ユーザーが自分のデータにアクセスしたり、ダウンロードしたりする手段を提供します。
- 説明責任: データの使用をドキュメント化し、転送中および第三者による使用中のデータを保護し、誤用や違反を可能な限り防止します。
- 情報セキュリティ: 適切な技術的およびセキュリティ対策によって、データを保護すること。
- プライバシー遵守: 個人情報の収集および処理に使用される場所の、プライバシー規定に適合していることを確認します。
(出典: ISO 29100/プライバシー・フレームワーク標準)
これらの原則のすべてが、すべての状況や用途に適用できるわけではありませんが、開発プロセスで使用することで、ユーザーの信頼を確保できます。
設計によるプライバシー
これらの原則の多くは、「設計によるプライバシー」フレームワークで支持されており、以下のように提唱されています:
- プライバシーは、事後的なものではなく、事前的なものであるべきで、プライバシーに関する問題がユーザーに到達する前に、それを予測しなければなりません。また、プライバシーは、改善策ではなく、予防策でなければなりません。
- プライバシーは、デフォルト設定であるべきです。ユーザーは、プライバシーを確保するために行動を起こす必要はなく、データ共有の同意は前提とされるべきではありません。
- プライバシーは、アドオンではなく、コア機能として設計に組み込まれるべきです。
- プライバシーは、非ゼロサム (互いが利益を得る) であるべきです。プライバシーとセキュリティ、プライバシーと安全性、プライバシーとサービス提供の間にトレードオフがあってはなりません。
- プライバシーは、データの最小化、最小限のデータ保持、不要になったデータの定期的な削除を通じて、エンドツーエンドのライフサイクル保護を提供すべきです。
- プラグイン (および該当する場合はサービス) で使用されるプライバシー標準は、可視化され、透明性があり、オープンで、ドキュメント化され、独立して検証可能であるべきです。
- プライバシーは、ユーザー中心であるべきです。きめ細かなプライバシーの選択、最大化されたプライバシーのデフォルト設定、詳細なプライバシー情報の通知、ユーザーフレンドリーなオプション、明確な変更通知などのオプションが、人々に与えられるべきです。
あなたのプラグインに役立つヒント
プラグインを準備するために、プラグインを作成する都度、以下の質問リストを確認することをおすすめします:
- あなたのプラグインは、個人情報をどのように扱いますか ?
wp_add_privacy_policy_content()を使用して、以下のいずれかをユーザーに開示してください:- プラグインは、個人情報を第三者 (たとえば、外部の API/サーバーなど) と共有しますか ? もしそうであれば、どのようなデータをどのような第三者と共有し、その第三者には、リンクを提供できるような公開されたプライバシーポリシーがありますか ?
- ラグインは個人情報を収集しますか ? もしそうなら、どのようなデータをどこに格納していますか ? ユーザーデータ/メタ、オプション、投稿メタ、カスタムテーブル、ファイルなどの場所を考えてください。
- プラグインは、他者が収集した個人情報を使用しますか ? もしそうなら、どのようなデータですか ? プラグインは、個人情報を SDK に渡しますか ? SDK は、そのデータで何をしますか ?
- プラグインは、直接または間接的に遠隔測定データを収集しますか ? たとえば、インストールするたびに第三者のソースから画像を読み込むと、間接的にログに記録され、インストールしたすべてのプラグインの利用データが追跡される可能性があります。
- プラグインは、第三者からの Javascript、トラッキングピクセル、iframe をエンキューしますか (第三者の Javascript、トラッキングピクセル、iframe は、訪問者のデータ/アクションを収集したり、Cookie を残したりできます) ?
- プラグインは、ブラウザに何かを格納するのですか ? もしそうなら、どこに何を格納しますか ? Cookie やローカルストレージなどについて考えてください。
- プラグインが、個人情報を収集する場合…
- 個人データ・エクスポーターを提供していますか ?
- 個人データを消去するためのコールバックを提供していますか ?
- プラグインは、(もしあれば) どのような理由で個人情報の消去を拒否しますか ? (たとえば、注文が完了していないなど) – これらについても開示する必要があります。
- プラグインは、エラーログを使用しますか ? 可能であれば、個人情報のログを避けていますか ?
wp_privacy_anonymize_data()のようなものを使って、個人情報のログを最小限にできますか ? ログの保存期間は ? 誰がアクセスできますか ? - wp-admin で、個人情報にアクセス/閲覧するために必要な権限グループ/権限は何ですか ? それらは十分ですか ?
- プラグインによって、サイトのフロントエンドで、どのような個人情報が公開されますか ? ログインしているユーザー、ログアウトしているユーザーに表示されますか ? 表示されるべきですか ?
- プラグインによって REST API エンドポイントにどのような個人情報が公開されますか ? ログインしているユーザー、ログアウトしているユーザーに表示されますか ? それを見るにはどのような権限グループ/権限が必要ですか ? それらは適切ですか ?
- プラグインは、特に個人情報を含むデータを適切に削除/後始末していますか:
- プラグインのアンインストール時ですか ?
- 関連項目が削除されたときですか (たとえば、投稿メタや他のテーブルの投稿参照行から) ?
- ユーザーが削除されたときですか (たとえば、テーブルのユーザー参照行から) ?
- プラグインは、必要な個人情報の量を減らすためのコントロールを提供していますか ?
- プラグインは、SDK または API が要求する場合にのみ個人情報を SDK または API と共有しますか ? または、プラグインは、任意である個人情報も共有しますか ?
- 他のプラグインもインストールされている場合、このプラグインによって収集または共有される個人情報の量は変化しますか ?