私たちについて
このセクションには、サイトの URL、サイトを運営している会社名、組織名、もしくは個人名と、正確な連絡先情報を記載する必要があります。
表示する必要がある情報の量は、地域または国の事業規制によって異なります。たとえば、物理アドレス、登録住所、または会社登録番号の表示が必須かもしれません。
このサイトが収集する個人データと収集の理由
このセクションでは、どのような個人データをユーザーとサイト訪問者から収集するのか言及する必要があります。これには、名前、メールアドレス、個人アカウント設定などの個人データ、購買情報などのトランザクションデータ、 Cookie 情報といった技術データなどが含まれるかもしれません。
また、健康に関するデータなど、機密性の高い個人データの収集と保持についても言及する必要があります。
収集する個人データの一覧だけでなく、収集の理由も言及する必要があります。説明内で、データの収集と保持の法的根拠またはユーザー自身からの能動的な同意のいずれかに言及しなければなりません。
ユーザーとサイトとのやりとり以外においても個人データは作成されます。個人データは、お問い合わせフォーム、コメント、 Cookie、アナリティクス、サードパーティの埋め込みなどからも生成されます。
デフォルトでは、 WordPress は訪問者に関する個人データは収集せず、登録ユーザーのユーザープロフィール画面に表示されるデータだけを収集します。しかし、お使いのプラグインの中には個人データを収集するものがあるかもしれません。その場合には適切な情報を下に追加するべきです。
コメント
このサブセクションでは、コメントを通して収集される情報について言及する必要があります。WordPress がデフォルトで収集するデータは記載してあります。
メディア
このサブセクションには、メディアファイルをアップロードすると、ユーザーがどのような情報を晒してしまう可能性があるのか言及する必要があります。通常、すべてのアップロードファイルは公開 (一般的にアクセス可能) となります。
お問い合わせフォーム
デフォルトでは、 WordPress にはお問い合わせフォームが含まれていません。お問い合わせフォームのプラグインを使用する場合は、このサブセクションを使ってフォームから送信すると収集される個人データと保持期間について言及してください。例えば、お問い合わせフォームからの情報をカスタマーサービス用に特定の期間保持するが、マーケティング目的には使用しないことを言及しておくなどです。
Cookie
このサブセクションでは、プラグイン、ソーシャルメディア、およびアナリティクスが設定した Cookie を含め、サイトが使用する Cookie の一覧を記載する必要があります。WordPress がデフォルトでインストールする Cookie の情報はすでに提供されています。
アナリティクス
このサブセクションには、ご利用中のアナリティクスパッケージ、ユーザーによるアナリティクス追跡のオプトアウト方法、アナリティクスプロバイダーのプライバシーポリシーへのリンク (もしあれば) を記載する必要があります。
デフォルトでは、 WordPress はアナリティクスデータは収集しません。しかし、多くのホスティングアカウントは匿名アナリティクスデータを収集しています。また、アナリティクスサービスを提供する WordPress プラグインをインストールしているかもしれません。その場合はプラグインからの情報をここに追加してください。
あなたのデータの共有先
このセクションでは、共同運営者、クラウドベースのサービス、支払い処理業者、サードパーティのサービスプロバイダなど、あなたがサイトデータを共有するすべてのサードパーティサービスプロバイダを記載し、彼らと共有するデータとその理由を言及する必要があります。 可能であれば、彼ら自身のプライバシーポリシーへのリンクを貼ってください。
デフォルトでは、WordPress は個人データを誰とも共有しません。
データを保存する期間
このセクションでは、このサイトが収集または処理した個人データを保持する期間について説明する必要があります。各データセットの保持期間と保持理由を決めるのはあなたの責任ですが、保持期間と保持理由をここに記載しておく必要があります。たとえば、お問い合わせフォームから送られた情報は6ヶ月間保持、アナリティクスの記録は1年間保持、お客様の購入履歴は10年間保持、と表示するなどです。
データに対するあなたの権利
このセクションでは、ユーザーが自身のデータに対して持っている権利と、それらの権利を行使する方法を説明する必要があります。
あなたのデータの送信先
このセクションでは、欧州連合外へのサイトデータの転送をすべて記載し、それらのデータが欧州のデータ保護基準と同じ基準で保護されている手段を説明する必要があります。これには、ウェブホスティング、クラウドストレージ、または他のサードパーティサービスが含まれます。
欧州のデータ保護法は、欧州連合外に移管された欧州の住民に関するデータを、欧州にデータがある場合と同じ基準で保護することを義務付けています。したがって、データの保管場所を記載するだけでなく、自分自身またはサードパーティプロバイダが基準への準拠を行っていることをあなたがどうやって確認しているかを説明する必要があります。たとえば「プライバシーシールド」のような同意、契約書内のモデル条項、または拘束的企業準則を通してなのか、といったことです。
連絡先情報
このセクションには、プライバシーに特化した懸念事項についての問い合わせ方法を記載する必要があります。データ保護責任者の任命が必須とされている場合には、その方の名前と詳細な問い合わせ情報を記載してください。
追加情報
サイトが商業目的であり、個人データのより複雑な収集または処理をしている場合は、すでに私たちが説明した情報に加えて以下をプライバシーポリシーに追加する必要があります。
データの保護方法
このセクションでは、ユーザーのデータを保護するためにどのような対策をしているか説明する必要があります。暗号化といった技術的な対策、2要素認証といったセキュリティ対策、そして、スタッフにデータ保護についてのトレーニングをするといった対策なども含まれます。もしあなたがプライバシー影響評価を実施しているなら、ここでそれについて言及することもできます。
データ漏洩対策手順
このセクションでは、内部報告制度、問い合わせの仕組み、または、バグ発見報奨金制度といった、潜在的または実際に発生したデータ漏洩への対策として整えている手段を説明する必要があります。
データ送信元のサードパーティ
もしサイトが広告主を含む第三者からユーザーについてのデータを受け取っている場合は、プライバシーポリシーのサードパーティデータの取り扱いについてのセクションにデータ受領についての情報を含めなければなりません。
ユーザーデータに対して行う自動的な意思決定およびプロファイリング
もしサイトが自動的な意思決定を含むサービス (たとえば、お客様が信用貸しの申し込みをできるようにしていたり、お客様のデータを広告プロフィールへ集計しているなど) を提供している場合は、自動処理が行われていることに必ず言及しなければなりません。その際、情報の使われ方、集計データによって行われる判断、人間が介入しない意思決定に対してユーザーが持つ権利などを含めてください。