【GDPR対応】WordPessでCookie同意バナーを導入する手順

EUにおける個人情報保護に関する法律が「GDPR（一般データ保護規則）」です。海外の法律ではありますが、EU域内に営業所を持つ企業や、EU圏内に居住する人のデータを扱う企業はGDPRの適用対象になります。

海外でビジネス展開をしていない企業や事業規模が大きくない企業であっても、運営しているWebサイトやECサイトでEUからのアクセスがある場合はCookieを取得している可能性があるため対応が必要です。

本記事では、最低限知っておきたいGDPRの基本知識と実際にGDPR対応する際に役立つWordPressプラグイン「Cookie Notice & Compliance for GDPR / CCPA」を紹介します。

GDPRとは

GDPR（General Data Protection Regulation／一般データ保護規則）は、EU域内に居住する個人に関するデータを保護する法律です。EU内の人々を対象とするか、それに関連するデータを収集する組織に対して義務を課すもので、2018年5月25日に施行されました。

GDPRにおける「個人に関するデータ」の例として、以下のようなものがあります。

• （自然人の）氏名
• 識別番号
• 所在地
• メールアドレス
• オンライン識別子（IPアドレス、Cookie）
• 身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因

（引用元）日本貿易振興機構「「EU 一般データ保護規則（GDPR）」に関わる実務ハンドブック（入門編）」

GDPRでは、氏名やメールアドレスといった情報に加えてIPアドレスやCookieなど、「識別された、あるいは識別されうる自然人に関する全ての情報」を個人データとして定義し、個人に許可なく収集・保存・利用することを禁じています。日本の個人情報保護法では、IPアドレスやCookieは単体（他のデータと照合しない状態）では個人情報には該当せず、個人関連情報として扱う点で違いがあります。

なぜEUの法律に対応する必要があるのか

EU域内で適用される法律であるGDPRが日本で注目されているのには理由があります。なぜなら、GDPRはEU圏に居住する個人のデータを取り扱う企業が法律の適用対象になるためです。EUでビジネスをしていない日本企業であっても、GDPRを遵守する必要があります。

GDPRは世界で最も厳しいプライバシーとセキュリティに関する法律と言われており、違反した場合は厳しい罰金が科されます。過去にはMetaやWhatsapp、Googleなどの巨大テック企業に数億ユーロの罰金が科せられたほか、2022年11月にはNTTデータのスペイン子会社にも6万4000ユーロ（約1000万円）の制裁金が科せられました。自社には影響がないだろうと判断して放置するのは大きなリスクになりえます。

有名企業の違反に関するニュースが大きく取り上げられるため大手企業だけが対象だと誤解されることもありますが、実際は企業規模を問わず全ての企業が対象になります。そのため個人情報管理にリソースを避けない中小規模の企業にとっては大きな負担です。

そのため、敢えてEU域内からのアクセスをブロックするという選択をする企業も少なくありません。例えば、米地域ニュースを提供するWest Virginia’s Newsでは、EU圏内からサイトへアクセスすると、「451: Unavailable due to legal reasons（法的な理由により利用できません）」というエラーメッセージが表示されます。EU圏内の居住者からのアクセス比率が少ない場合は、こういった方法も選択肢になりえます。

出典：West Virginia’s NewsのWebサイト

国内では、LINEヤフーが2022年4月6日にEEA（欧州経済領域）とイギリスでYahoo!ニュースや検索などの各種サービス提供を終了しました。同社では法令順守の面から継続的なサービスの提供が困難だと説明していますが、少なからずGDPRの影響があると見られています。

GDPRの対応方法

GDPRへの対応を行う場合は、企業が取り組むべき内容はおおまかに以下のようなことです。法律に関する対応のため、不安を感じる点があればセキュリティ専門家にアドバイスを求めたほうが安心でしょう。

①現在の個人データ取り扱い状況を把握する
自社でどのような個人データを取得・管理しているのかを明確にします。個人情報保護法とは扱うデータの範囲が異なることに注意しましょう。

②データの取り扱いについて決定する
個人データの処理方法や管理体制など、データの取り扱い方法を決定します。

GDPRのサイトでは、データ管理者向けにチェックリストを公開しています。ここでは特に気をつけたい内容をピックアップして紹介します。自社の対応に漏れがある場合には、適切な措置を取るようにしてください。

【1】法的な根拠と透明性

• どのようなデータを処理するのか、誰がそのデータにアクセスできるのかを確認します
• データ処理を行う際に、法的に正当化できるようにします
  – 事前にユーザーに同意を取ります
  – 16歳未満の子供は、親の許可がある場合にのみ同意できます（国によって年齢を13歳まで引き下げ可能）
• プライバシーポリシーにデータ収集目的など法的根拠に関する情報を記載します

【2】データセキュリティ

• データの収集から処理までの間、常にデータ保護を考慮します
  – 不要なデータは削除します
  – 収集するデータの量を制限します
• 可能な限り個人データは暗号化、匿名化します
• データ侵害が発生した際の対応を整備します

【3】説明責任＆ガバナンス

• GDPRコンプライアンスを確保する責任者を任命します

【4】プライバシーの権利

• ユーザーがデータの削除をリクエストできるようにします
  – リクエストした人の本人確認を行います
• ユーザーが自身の情報をCSVなどの形式で受け取れるようにします
• ユーザーが自身のデータを簡単に修正または更新できるようにします

出典：GDPR checklist for data controllers

より詳しく知りたい場合は、上記のサイトをチェックしてみてください。

③訪問者に同意を取る仕組みを用意する
チェックリストにもあったように、利用者への事前同意はGDPRに準拠していることを示す根拠のひとつです。WebサイトにおけるCookie使用など、個人データを取得する際に事前同意を取るしくみを用意します。その際には、データ取得の目的やデータの保存期間などを明示します。また利用者の求めに応じてデータを消去できるようにします。

出典：任天堂ドイツのWebサイト

④社内体制を整える
GDPRの対応状況やデータ保護ポリシーを評価するデータ管理責任者の監督の下、安全にデータを管理する体制を整えます。

プラグイン「Cookie Notice & Compliance for GDPR / CCPA」設置手順

GDPRへの対応を実施するにあたり、訪問者へCookieや個人情報を取得するための許諾を得る仕組みを導入する必要があります。WordPressの場合は、Cookie同意バナーを表示するプラグイン「Cookie Notice & Compliance for GDPR / CCPA」を使用すると簡単に実装できます。

導入手順は、事前にプライバシーポリシーの固定ページを準備してから「プラグインをインストール・有効化」→「バナー表示内容の設定を行う」→「バナーの外観を調整する」の3ステップで行います。

【手順1】プラグインのインストール・有効化

WordPressの管理画面から「プラグイン」→「新規追加」を選択し、右上のキーワード欄に「Cookie Notice & Compliance for GDPR / CCPA」を入力して検索します。該当プラグインを見つけたら「今すぐインストール」をクリックしてインストールします。インストール後、「有効化」をクリックします。

【手順2】通知設定（Notice Setting）を行う

プラグインを有効化すると、WordPress管理画面の左メニューに「Cookies」というメニューが追加されます。「Cookies」→「設定」を開き、「コンプライアンス設定」の下にある「通知設定」部分に必要項目を入力していきます。

設定を完了すると、このようなCookie同意バナーがWebサイトに表示されます。

ここからは、基本的な設定方法を詳しく説明していきます。「通知設定」で設定できる項目は以下の14項目です。

【1】メッセージ

Cookie同意バナーに表示される文言を入力します。デフォルトでは、「よりよいエクスペリエンスを提供するため、当ウェブサイトでは Cookie を使用しています。引き続き閲覧する場合、Cookie の使用を承諾したものとみなされます。」というテキストが設定されていますが、必須Cookie以外を取得するのであれば、オプトインに対応した文言に変更するほうがよいでしょう。

【2】ボタンテキスト

バナーでCookie取得に同意するボタンの文言を入力します。デフォルトの「OK」でも問題ありませんが、後述する同意拒否ボタンを設定するのであれば、「同意する」など他の表現に変えたほうが自然です。

【3】プライバシーポリシー

「プライバシーポリシーのリンクを有効にする。」にチェックを入れると、以下のリンク設定項目が追加で表示されます。

以下を設定します。

1. プライバシーポリシーへリンクする際のアンカーテキスト
2. リンクするページの指定方法として「ページリンク」「カスタムリンク」のいずれかを選択します
   　　ページリンク：セレクトボックスで「公開済みの固定ページ名」が選択できます
   　　カスタムリンク：追加表示される入力欄に「https:// 」から始まるURLを入力します
3. 「WordPressのプライバシーポリシーと同期します。」にチェックを入れるとWordPressのプライバシーポリシーと連携できます
4. リンクを別タブで開くか同じタブで開くかを選択します
   　　_blank：リンクを別タブで開く
   　　_self：リンクを同一タブで開く
5. リンクを表示する形式を選択します
   　　バナー：同意ボタンの隣にボタン形式で表示
   　　メッセージ：許諾文言の末尾にテキスト形式で表示（選択するとメッセージ欄に [cookies_policy_link]というタグが追加されます）

【4】同意を取り消す（Refuse consent)

「サードパーティの追跡 Cookie を拒否する選択肢をユーザに提供します。」にチェックを入れると、Rerfuse consent（同意を拒否する）ボタンがバナーに表示されるようになります。追加の入力欄が表示されるので、ボタンに表示されるテキストを入力します。

【5】同意を取り消す（Revoke consent)

前項と同じ名称ですが、英語では同意を取り消す（Revoke consent）となります。「ユーザーに同意を取り消す可能性を与えることを有効化する(「同意を拒否」オプションを有効化する必要があります)。」にチェックを入れると、同意拒否の設定項目が追加で表示されます。

以下を設定します。

1. 同意を拒否できる旨を示す文言を入力します
2. 同意取り消しボタンに表示するテキストを入力します
3. 同意取り消しボタンの表示方法を選択します
   　　自動：バナーに自動で表示されます
   　　手動：表示したい位置にショートコード[cookies_revoke]を手動で追加します

【6】ブロックされるスクリプト

ユーザーからCookie使用を拒否された場合にブロックするコードを入力します。広告用の計測タグなどを使用している場合は、この欄に入力します。特に設定する必要がない場合は空欄にします。

【7】再読込

「承諾後にページが再読込みされるようにする。」にチェックを入れると、同意ボタンがクリックされた際にページを再読み込みします。

【8】スクロール時

同意ボタンを押す代わりに、ユーザーがページをスクロールした時に「Cookie利用に同意した」とみなすかどうかを設定します。

「訪問者がスクロールしたときに通知を受け入れることができるようにする。」にチェックを入れると、ピクセル数の入力欄が追加表示されます。設定したピクセル数（デフォルトは100px）だけユーザーがページをスクロールすると、Cookie使用に同意したとみなします。

【9】クリック時

同意ボタンを押す代わりに、ユーザーがページ内のいずれかをクリックした時に、Cookie利用に同意した」とみなすかどうかを設定します。「ページをクリックするたびに通知を受け入れる。」にチェックを入れると有効になります。

【10】承認された有効期限

ユーザーがCookie使用に同意した場合の有効期限を設定します。「1時間」から「無期限」まで選択でき、デフォルトは「1か月」です。

【11】有効期限を拒否

【10】の逆で、ユーザーがCookie使用に拒否した場合の有効期限を設定します。「1時間」から「無期限」まで選択でき、デフォルトは「1か月」です。

【12】条件表示

バナーを表示（または非表示）にするための条件を設定します。

以下を設定します。

1. 設定する条件が満たされた場合にバナーを表示するか、非表示にするかを選択します
2. 「ルールを追加」ボタンをクリックすると、以下の項目を設定できます

• ページタイプ：「ページ」「投稿タイプ」「投稿タイプアーカイブ」「ユーザーの種類」から選択します
• 等しい：「等しい」「等しくない」から選択します
• フロントページ：「フロントページ」「ホームページ」から選択します

【13】スクリプト位置

Cookie同意バナーの表示位置を選択します。ヘッダーまたはフッターを選択可能です。

【14】無効化

このプラグインを無効化した際に、プラグインに関する全てのデータを削除したい場合は、チェックを入れます。

最後に画面下にある「変更を保存」ボタンをクリックして、バナー表示内容の設定は完了です。

【手順3】通知デザインの設定を行う

最後に、バナーのデザインを設定します。特にデフォルトのままで問題ない場合は設定不要です。細かく調整したい場合には、以下の項目を設定できます。

【3】色
テキスト、ボタン、バーの色を選択
【4】ボタンのクラス
手動でCSSを設定する場合に入力

【1】位置

通知の位置を選択します。「上」を選択すると画面上部に、「下」を選択すると画面下部に同意バナーが表示されます。

【2】アニメーション

バナーにアニメーション表示を追加するかどうかを選択できます。「スライド」または「フェード」を選択するか、「なし」を選択できます。デフォルトは「フェード」です。

【3】色

バナーの色を選択します。

【4】ボタンのクラス

手動でCSSを追加したい場合、この欄にCSSのクラスを追加します。

国内における「改正電気通信事業法」にも気を付けよう

日本では、Cookieそのものは個人情報には該当しません。しかし、2023年6月16日に施行された「改正電気通信事業法」ではCookieを含む利用者の情報に関する規定があります。これは「外部送信規律」と呼ばれるもので、WebサイトやSNSなどのサービスが個人に関する情報を送信している場合に、利用者が確認できるようにするのが目的です。

事業者は、利用者の情報を第三者に送信している場合は目的や送信内容、用途などを公表または通知することを義務付けています。ニュースサイトやオンライン情報提供サービス、集客を目的としたWebサイトなどが適用対象になるため、対応が必要です。

（出典）総務省「外部送信規律について」

まとめ

個人データの保護規制は、GDPRをはじめとして世界的に厳しくなっています。国内でも個人情報保護法が改正され個人データの範囲が拡大されたほか、改正電気通信事業法では外部送信規律が規定されるなど、新しい規制が登場しています。

このような中で、GDPRをはじめとした各種個人データの保護規制について知らないまま放置するのは危険です。企業に対する信頼を損なわないためにも、サイト運営者は規制内容を正しく理解し、必要な対応を行うことが求められます。WordPressサイトでは、個人データ保護に役立つ便利なプラグインが多数提供されているので活用してみてください。

WordPress保守・運用のパートナーなら「wp.support」にお任せ！

WordPressサイトを運用していて、以下のようなお悩みはありませんか？

• 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
• サイトのUI/UXを改善したいけれど、自社内では難しい…
• WordPressサイトを高速化したいけれど、ノウハウがない…
• セキュリティ対策をしたいけれど、知識のある人材がいない…
• 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
• ちょっとしたトラブルを気軽に相談できる相手が欲しい…

「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。

既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。

WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。

>> wp.supportに無料相談する