WordPressテレメトリの提案は、GDPRコンプライアンスの期限が迫る中、長年にわたるプライバシーの懸念に対処します

2016年10月末に、Morten Rand-Hendriksenは、コアにテレメトリを追加するためのWordPress tracに関する提案を作成しました。これは、人々がソフトウェアをどのように使用しているかに関する匿名データを収集するオプトイン機能です。 彼は、新しい機能が最初のインストールまたは更新時に表示され、管理者ではデフォルトで無効にされ、[設定]-> [一般]でコントロールを使用できるようにすることを提案しました。 彼が提案するオプションの1つは、オプトイン時に自動インストールし、オプトアウト時に自動アンインストールするプラグインとして出荷することです。 また、インストールされているテーマとプラグインの数、特定のビュー（設定、カスタマイザーなど）の使用頻度、現在のバージョン、更新ステータス、ロケール、言語など、追跡できるコアデータの例をいくつか特定しました。

「WordPressは、ユーザーがユーザーのために構築したアプリケーションであることに誇りを持っています」とRand-Hendriksen氏は述べています。 「問題は、今日のWordPressの人気とリーチにあり、WordPress 1％（または.1％）と平均的なユーザーとの距離は非常に大きくなり、私たち（WordPressコアに貢献する人々）はほとんど何も知りません。 WordPressを実際に使用している人、またはアプリケーションの使用方法。」

WordPress 4.7の開発サイクル中に、Rand-Hendriksenは、参加者が意見を裏付けるデータなしで機能の使用を想定するいくつかの会話に関与したと述べました。 彼は、WordPressの寄稿者は、ユーザーがアプリケーションとその機能をどのように操作しているかを知るために必要なデータを持っていないと主張しています。

「一般的な議論は、80/20の法則に基づいて、特定の機能を追加し、他の機能を削除する必要があるというものでした」とRand-Hendriksen氏は述べています。 「WordPressユーザーの80％、さらには20％が実際に使用している機能がわからないというよく知られた事実を取り上げ続けたので、80/20ルールの有効性の主張はせいぜい当て推量です。」

彼の提案では、収集されたすべてのデータは透明性のために公開され、管理者とWordPress.orgのエンドユーザーも利用できるようにする必要があると述べています。

アイデアはマリネするのに数ヶ月かかり、プロトタイプが何を伴うかについての議論を生み出しました。 コアコミッターのEllaVan Dorpeは、エディターとのいくつかの簡単な相互作用を追跡するための実験的なwp-dataスタンドアロンプ​​ラグインを作成しました。 ディスカッションの参加者は、WordPress.orgシステムチームが以前に展開したテクノロジーであるデータを保存するためのElasticsearch / Logstashセットアップを作成することを推奨しました。

AutomatticのデータラングラーであるGregBrown氏は、3週間前のチケットに関するフォローアップディスカッションで、「良い要約は、障害がたくさんあり、現在、誰もそれに取り組む時間がないということだと思います」と述べています。 「結局のところ、最大の阻害要因は、時間、傾向、粘り強さを持った人にこれに取り組むようにさせることだと思います。 最終的には.orgにデプロイするのが正しいことですが、かなり時間がかかると思います。」

WordPressのリード開発者であるDionHulseは、WordPressがすでにこれらの統計の多くを追跡しており、WordPress.orgインフラストラクチャでプロトタイプを作成することが最善の選択肢であることを確認しました。

「しかし、私たちの既存の統計システムがどのように補完するか、ここでの提案に置き換えることができるかを見ることも価値があります」とHulseは言いました。 「元の説明からの統計のほとんどはすでに追跡されており、いかなる形式でも公開されていないため、これについて言及します。 ここで言及されている唯一の新しいことは、特定のビュー（設定、カスタマイザーなど）と透明性の部分（正確なデータではなく、匿名化された要約のみである可能性があります）の使用頻度です。」

WordPress Telemetry Projectは、長年にわたるプライバシーの懸念に対するソリューションを提供します

WordPressの現在のデータ追跡をより透明性の高いオプトイン機能に移行することで、6年前のtracチケットで寄稿者が提起した長年のプライバシー問題に対する解決策も提供されます。 WordPressは、特に大規模なマルチサイトインストールの場合に問題となる可能性のある更新要求を容易にするために、特定のインストールのブログとユーザーの数をヘッダーのインストールURLとともに追跡します。

「コア、プラグイン、またはテーマのバージョンチェックのために一部のデータを渡す必要があることをユーザーが知っている場合でも、リモートに渡されるデータの量は明らかにバージョンチェックを行うために必要な量を超えています」とある寄稿者はチケットにコメントしました。 「しかし、ユーザーは、使用状況データでプロジェクトをサポートすることを余儀なくされるのではなく、自分で自由に決定できるように、事前に認識しておく必要があります。 彼らはそうするためのオプトインを提供される可能性があります。」

「トラッキングリクエストで送信されるURLに関連付けられたサイトの登録ユーザー数は、私のビジネスがどれだけうまくいくかについての重要な情報を提供します。これは私のものと私のものだけです」とWordPressプラグイン開発者のDanny vanKooten氏は述べています。 。 「少なくとも、WordPressがこの情報を追跡していて、それを使って正確に何をしているのかを明確にすることができます。 そのための言い訳は本当にないと思います。」

開発者はプライバシーの懸念を満たすためにデータをフィルタリングできますが、大規模なマルチサイトインストールの更新プロセスからはある程度切り離せません。 また、データ収集をオプトアウトできるシンプルなUIを使用したほうがよいほとんどの通常のユーザーにとっては、技術的なハードルが大きすぎます。

Rand-HendriksenのWordPressテレメトリ提案は、収集されているデータを形式化し、その背後にある目的を述べ、ユーザーが含めるかどうかを選択できるようにする機会をプロジェクトに提供します。

ヨーロッパの一般データ保護規則（GDPR）は、WordPressをより透明性の高いデータ収集に向けて推進する可能性があります

テレメトリプロジェクトとプライバシーの懸念に関するチケットの両方の進捗は遅いです。 どちらも寄稿者の間で優先事項ではないようですが、ヨーロッパの一般データ保護規則（GDPR）は、WordPressをより透明で責任あるデータ収集に向けて推進するために必要な推進力を提供する可能性があります。

GDPRは、ヨーロッパのデータ保護法の見直しであり、以前の法律よりもはるかに厳しい要件があります。 ユーザーがデータがどこでどのように使用されているかを理解できるように、データ収集と標準化されたプライバシー通知を完全に開示する必要があります。 データを収集することに同意する必要があり、ユーザーは自分のデータにアクセスする権利があります。 また、ユーザーがWebからデータを削除できるようにする消去権または「忘れられる権利」も含まれます。 GDPRは2018年5月に発効します。

インターネットの法律やポリシーについて幅広く相談し、話すデジタル法の専門家であるHeather Burnsは、WordPressの寄稿者に、特定のフレームワークへの準拠に向けた取り組みの観点からプライバシーの懸念に関する議論を組み立てるように促しました。

「この議論の目的のために、コアは2つの理由でGDPR標準に準拠する必要があります」とBurns氏は述べています。 「最初の理由は文化の違いにあります。 米国には、使用、形式、またはセクターに関係なくすべての個人データに適用されるこのデータ保護体制があるヨーロッパとは異なり、単一の包括的なデータ保護およびプライバシー規制はありません。 そのため、GDPRは、開発者（EU域外の開発者も含む）に、堅牢で健全な、非常に厳しい一連の基準を提供します。 先週ホワイトハウスから出てきたものを考えると、GDPRは、防御的なユーザー保護のための出発点としても最適です。

「2つ目は、GDPRが治外法権であるということです。 これは、オンラインサービスの場所に関係なく、ヨーロッパのすべての人の個人データに適用されます。 ビジネスが米国、オーストラリア、イスラエルにあるが、ヨーロッパのユーザーがいる場合は、ヨーロッパのGDPR基準に従ってデータを保護する必要があります。」

プライスウォーターハウスクーパースは最近、500人以上の従業員を抱える米国を拠点とする200の多国籍企業を調査し、77％がGDPRコンプライアンスに100万ドル以上を費やす計画であることがわかりました。 調査対象者の半数以上が、データプライバシーとセキュリティのアジェンダの最優先事項としてGDPRの準備状況を挙げています。

違反による多額の罰則は、この新しい欧州規制の要件を満たすために数百万ドルを費やしている米国企業の背後にある推進要因の1つです。

「GDPRはダイヤルアップ時代（1995年）の前身を完全に見直したものであり、強化された分野の1つはその歯です」とバーンズ氏は述べています。 「欧州加盟国のデータ保護規制当局によって違反していることが判明した企業は、Automatticに至るまでの小規模なアプリスタジオであるかどうかにかかわらず、企業の世界の年間売上高の最大4％のペナルティに直面する可能性があります。 今、哲学的な議論には確かな背景があります。」

ただし、GDPRが消費者にとって有益であると誰もが確信しているわけではありません。 市場データの調達を専門とする国際企業であるInfocoreIncのCEO兼社長であるKittyKoldingは、GDPRが「消費者のデータのプライバシーとセキュリティの神聖さ」を損ない、世界中のマーケティングと広告を妨げるとExchangeWireに語った。

彼女は、「忘れられる権利」のような規定は、顧客データがアクティブに使用されている期間を超えて保持されることを要求するため、そのデータがハッキングされやすくなると主張しています。 さらに、新しい法律の執行機関は、企業に対する権限を主張し、監視や上訴なしに記録を検索して押収する権利を持っています。

「EU市民に関するデータを扱うあらゆる企業も、自動的にこのグループの絶対的な権力の対象となります。ただし、EUが、国境を越えてこのような広範な権限を行使できるとEUがどのように信じているかは誰にもわかりません」とKolding氏は述べています。

現在、GDPRについて言及しているtracチケットは2つだけであるため、WordPressコアが新しい法律の要件にどのように対応するかはまだ明確ではありません。 Burnsは、WordPressのコアコントリビューターがプライバシー影響評価を実施して、正しい方向を決定するプロセスを実行することをお勧めします。

WordPressの対応に関係なく、ソフトウェアに依存する企業や組織は、これらの要件がコアをはるかに超えているため、独自のコンプライアンスの責任を負う必要があります。 GDPRは、ユーザーのデータを収集するウェブサイトまたはアプリに追加されたものすべてに適用されます。 たとえば、多くの連絡フォームプラグインはWordPressデータベース内に送信を保存し、サイト所有者はユーザーにこれがどのように通知されるかを再検討したいと思うでしょう。

「GDPRの主な変更点の1つは、説明責任の原則と呼ばれています」とバーンズ氏は述べています。 「個人データを収集する企業は、収集するデータ、データの保存方法、保存場所、データの受け渡し先（サードパーティなど）、アクセス権を持つユーザー、およびデータの期間について、完全に透明性と説明責任を果たす必要があります。保持されます。 ユーザーには、ユーザーに関して収集されたデータを削除するよう要求する権利もあります。」

サイトをGDPRと即座に互換性のあるものにするWordPressプラグインはありません。 Drupalには、サイトがEUによって設定されたガイドラインと法律に準拠していることを確認することを目的としたGDPRモジュールがありますが、すべての要件を網羅しているわけではありません。 CMSと潜在的に数十のサードパーティ拡張機能を使用してサイトのプライバシーへの影響の評価を自動化することは、複雑な取り組みです。 これは、ビジネスオーナーが自分自身を教育し、ユーザーの利益を最優先するプライバシー慣行を実装することを要求する1つの規制です。

コンプライアンスの期限が迫る中、WordPressには、プロジェクトがユーザーのプライバシーをどのように処理するかを再評価し、透明性を高めるための措置を講じる機会があります。 Rand-Hendriksenのテレメトリ提案で概説されているように、寄稿者が機能に関する意思決定を支援するためにさらに多くのデータを収集することを検討している場合、このプロジェクトはGDPRコンプライアンスに向けて取り組むための手段を提供します。 これらのプライバシーの懸念は、政府、医療機関、教育機関、およびその他のデータに敏感なWebサイトでWordPressを検討する際に対処することが特に重要です。

Burnsは、GDPRのコンプライアンス期限を、WordPressがすべてのユーザーの健全なベースラインとして規制を使用して、より良いプライバシー構造と法的確実性を構築するための新しい機会と見なしています。

「WPコードで行う必要のある変更に加えて、いずれの場合も締め切り日前に、すべての人が自分のビジネスとサイトの実装に取り​​組む必要があります」とバーンズ氏は述べています。 「GDPRへの準拠は、来年4月に絞ることができるチェックボックスではないことを覚えておくことが重要です。 これは、プロセス、ワークフロー、および説明責任のシステムに関するものです。 今すぐ始めましょう。」