• ホームページ
  • 記事
  • ガイド
  • Gravity Forms StopEntryプラグインはサイトがEUのGDPRに準拠するのを支援することを目的としています

Gravity Forms StopEntryプラグインはサイトがEUのGDPRに準拠するのを支援することを目的としています

公開: 2017-08-17
写真提供者:AJ Montpetit

Wider Gravity Forms StopEntrysは、エントリがデータベースに保存されないようにすることで、Webサイトの所有者がフォーム送信のプライバシーを保護するのに役立つ新しいプラグインです。 このプラグインは、英国を拠点とするWeb開発者のJonny Allbutが、WordPressクライアントのニーズを処理するために設立したWiderで内部使用するために作成されました。

EUの一般データ保護規則(GDPR)に準拠する1つの側面は、連絡フォームに個人を特定できるデータがサーバーに保存されないようにすることです。 規制は2018年5月に施行され、EU市民にサービスを提供するサイトは、監査とプライバシーの処理方法の変更を伴う期限の準備をしています。

Gravity Formsには、エントリがサーバーに保存されないようにする組み込みオプションはありませんが、GFの共同創設者であるCarl Hancockは、これを実現するためのさまざまな方法があると述べています。

「フォームの内容をメールで送信するだけで、GDPRに準拠するためのルートの一部としてデータをデータベースに保存しない場合は、このプラグインがその方法の1つになります」とHancock氏は述べています。言った。 彼はまた、GravityWizの商用のDisableEntryCreationプラグインについても言及しました。 開発者は、フックを介して送信した後にエントリデータを削除することもできます。

「ただし、GDPRは、フォームエントリをデータベースに保存することを排除するものではなく、保存するデータの種類や、設定したその他の保護手段や機能に完全に依存しています」とハンコック氏は述べています。 「これは複雑な問題であり、EUがそれに伴う負担と影響を完全に理解しているとは完全に確信していません。」

最終的に、コンプライアンスの要件は、データを収集するWebサイト管理者にあります。 ユーザーのプライバシーを保護するツールを選択するのはユーザーの責任です。

「それ自体ではGDPRコンプライアンスを提供しませんが、ジョニーの拡張は正しい方向への待望のステップです」とデジタル法の専門家であるヘザーバーンズは述べています。 Burnsは、サイトをGDPRに準拠させるための支援が必要な企業と相談しています。 「GDPRでは、設計上プライバシーの原則を順守する必要があり、その一部はデータの最小化と削除です。」

WordPressには、無料と商用の両方で、人気のある連絡フォームプラグインが多数あります。 それらの多くは、受信者の電子メールに問題が発生した場合に備えてデータベースにエントリを保存し、通信が失われるのを防ぎます。 GDPRへの準拠を懸念しているサイト管理者は、フォーム用に選択したソリューションを検討する必要があります。 Burnsは、コンタクトフォームプラグインは次の3つのことを行う必要があるとアドバイスしました。

  • フォームエントリの個人データおよび機密性の高い個人データがデータベースに保存されていないことを確認してください。
  • お問い合わせフォームのエントリを一定期間後に自動的に削除できるようにする構成オプションを提供します。
  • プラグインが非アクティブ化または削除されたときに、すべての連絡先フォームデータが削除されていることを確認してください。

「残念ながら、移動の方向は正反対でした。連絡フォームのエントリは、内容や必要性に関係なく、データベースに永続的に保存される傾向があります」とBurns氏は述べています。 「一定期間後にフォーム送信を自動的に削除するオプションを備えたコンタクトフォームプラグインはまれです。 別のテーブルにエントリを複製する連絡先フォームの拡張機能も見たことがありますが、これはすべて考慮されていることですが、狂気です。 保持や複製ではなく、データの最小化と削除に向けて開発する必要があります。」

先月、JJ Jayは、人気のあるWordPressコンタクトフォームプラグインがデータを保存する方法と場所の分析を公開しました。 これは、選択したソリューションがデータの収集と保存をどのように処理するかわからないサイト管理者にとって便利なリファレンスです。 彼女は、ユーザーが連絡フォームを調べるときに尋ねるいくつかの質問を提案しました。

  • データを保存するオプションのオンとオフを切り替えることはできますか?
  • どの程度の粒度で?
  • プラグインを削除したときにデータを削除できますか?
  • 各フォームのデータ以外に、どのような個人情報が保存されていますか? (つまり、ユーザーのIPアドレス)
  • アドホックベースまたはスケジュールベースで提出物を削除することは可能ですか?

他のプラグインからデータベースに何が残っているのかわからない場合は、Jayが「私のデータベースには何がありますか?」も作成しました。 管理者が[ツール]メニューからインストールしてアクセスできるプラグイン。 読み取り専用で、すべてのテーブルとその列が一覧表示されるため、ユーザーは驚きがあるかどうかを確認できます。

英国妊娠アドバイスサービス(BPAS)ハックは、データベースに連絡フォームエントリを保存することの危険性を浮き彫りにします

機密性の高い個人データを保存することの危険性についてWebサイトの所有者を教育する際に、Heather Burnsは、連絡先フォームのエントリをデータベースに保存した結果の最悪の例の1つとして、2012年英国妊娠アドバイスサービス(BPAS)のハッキングをしばしば挙げています。 後に投獄されたハッカーは、弱いパスワードで未知の古いCMSで実行されていた慈善団体から何千ものレコードを盗みました。 このサイトは、個人データの収集および保存方法に関するプライバシー影響評価を受けていませんでした。

「BPASが提供するサービスの1つは、中絶へのアクセスです」とバーンズ氏は述べています。 「彼らのサービスユーザーの多くはアイルランドからやって来ます。アイルランドでは、ほぼすべての状況で中絶が禁止されています。 このサイトには、女性が中絶について問い合わせることができる連絡フォームがありました。 BPASは、メッセージは単にサイトを通過しているだけだと考えていました。 組織内の誰も、各連絡フォームの送信のコピーがデータベースに保存されているという手がかりを持っていませんでした。 やや必然的に、データベースをダウンロードした中絶反対の活動家によってサイトが簡単にハッキングされました。 彼は、女性の名前、電子メールアドレス、電話番号、および中絶について問い合わせていたという事実を含む、5年以上前に提出された5,000を超える連絡フォームを所有していることに気づきました。 その後、彼は中絶反対フォーラムで女性のデータを公開する意向を発表しました。」

ハッカーは、リストを公開する前に逮捕されました。 彼は32か月の禁固刑を受け、BPASはデータ保護違反に対して20万ポンドの罰金を科されました。

「規制当局は、慈善団体の技術的な失敗を批判するだけでなく、スタッフの誰もが使用しているツールについて適切な質問をすることを考えていなかったという事実に注意を促しました。 彼らはまた、サイトが印刷されたピクセルの価値が明らかにないという法的なプライバシーポリシーを持っていることに腹を立てていた」とバーンズ氏は述べた。 「これらの障害はすべて、データ保護規制当局によって容認できず、許しがたいと見なされていました。 お問い合わせフォームが原因で女性が殺害された可能性があると言っても過言ではありません。」

お問い合わせフォームの監査は、GDPRコンプライアンスに取り組む人々にとってのパズルの一部にすぎません。 Burnsは、サイト管理者がフォームから送信された個人データおよび機密データのプライバシー影響評価を実施することをお勧めします。 プライバシーに関する通知では、このデータの処理方法と、削除されるまでの保持期間についても明確にする必要があります。

GDPRは治外法権であるように作成されており、規制はヨーロッパのユーザーがいるすべてのサイトまたはサービスに適用されると述べています。 これらのサイトは、欧州の規制に従ってEUユーザーのデータを保護することが期待されています。 多くのアメリカの会社の所有者は、これがEUの国境の外で強制可能であるとまだ確信しておらず、オンラインエンティティを準拠させるために投資していません。

「GDPRはユーザー保護のための非常に便利なフレームワークを提供します。これは今まで以上に重要です」とBurns氏は述べています。 「私はアメリカ人にGDPRに取り組むことを奨励しています。なぜなら、GDPRは建設的な説明責任のあるフレームワークであり、何もないよりもはるかに優れているからです。」

Wider Gravity Forms Stop Entrancesは現在、特定の連絡先フォームプラグインに関するGDPRの懸念に対処する公式WordPressディレクトリ内の唯一のプラグインです。 2018年5月の締め切りが近づくと、他のものが利用可能になる可能性があります。 Jonny Allbutは、FAQでユーザーに、プラグインをライブサイトに追加する前に、サードパーティのGF拡張機能でテストするよう警告しています。一部の拡張機能は、フォーム送信に保存されたデータエントリの参照に依存している場合があるためです。

私はCarlHancockに、Gravity Formsがデータベースへのフォームエントリの保存をオプション機能にするかどうかを尋ねたところ、彼はそれを検討していることを確認しました。

「はい、これは確かに可能です」とハンコックは言いました。 「GravityFormsの開発を促進するために、利用可能なサードパーティのアドオンとの競合を回避しようとしています」とハンコック氏は述べています。 「しかし、残念ながら、それは常に回避できるわけではありません。 これは過去に何度も要求されてきた機能であり、GDPRにより、今後さらに要求される機能になると思います。」