この記事は「WordPressサイトの個人情報保護対応チェックリスト」として、章ごとにチェック項目を明示 → 詳細解説する形式です。
読みながら自分のサイトを点検できるので、法令対応にも、訪問者からの信頼獲得にも役立ってもらえれば嬉しいです。
目次
プライバシーポリシーの設置
【チェック項目】
□ プライバシーポリシーページを設置している
□ 収集する情報・利用目的・保存期間を明記している
□ 第三者提供・問い合わせ窓口を記載している
【解説】
WordPress 4.9.6以降には「プライバシーポリシーページ作成機能」が標準搭載されています。管理画面の 「設定」→「プライバシー」 から専用ページを作成可能です。

ただしテンプレートをそのまま使うのではなく、自サイトに即した内容へ修正したほうが良いです。
例えば「問い合わせフォームから得たメールアドレスは回答のみに利用します」といった具体的な利用目的の記載が必要です。
サイトが収集している個人情報の把握
【チェック項目】
□ 問い合わせフォームで入力される情報を把握している
□ コメント欄で保存されるデータを理解している
□ メルマガや会員登録で収集する情報を確認している
□ Google Analytics等の解析データ収集を把握している
【解説】
WordPressサイトでは、以下のように多様な情報が収集されます。
- 問い合わせフォーム – Contact Form 7、WPForms
- コメント機能 – 名前、メールアドレス、IPアドレス
- メルマガ登録 – Mailchimp for WordPress
- アクセス解析 – Google AnalyticsによるCookieやIPアドレス
- 会員登録機能 – WordPressのユーザー情報

どのプラグインでどのような情報を収集しているか、一覧表にまとめて把握しておくことが推奨されます。
Cookie利用の同意取得
【チェック項目】
- □ プライバシーポリシーにCookie利用とその目的を明記している
- □ Google Analyticsなど解析ツールでIP匿名化設定をしている
- □ ユーザーがオプトアウトできる方法を案内している
- □ 欧州など海外アクセスが想定される場合はCookie同意バナーを導入している
【解説】
日本の個人情報保護法や電気通信事業法では、Cookieを通じて個人関連情報を収集する場合、利用目的の明示と適切な同意取得が求められます。
国内サイトでは「Cookie利用をプライバシーポリシーに明記」+「Google AnalyticsのIP匿名化」+「オプトアウト案内」が最低限の対応です。
グローバルに対応する場合や、欧州ユーザーが多い場合には以下のプラグインでCookieバナーを設置すると安心です:
データベースと保存環境は安全
【チェック項目】
□ データベース接頭辞を「wp_」から変更している
□ DBユーザーの権限を最小限に制御している
□ SSL証明書を導入して通信を暗号化している
□ 不要なユーザーや古いデータを削除している
【解説】
WordPressの個人情報はデータベースに保存されます。
セキュリティを高めるには、以下を基本にしてはどうでしょうか。
- データベースの接頭辞を「wp_」以外に変更
- DBユーザーの権限を最小限に制御(DROP権限などは付与しない)
- Let’s Encrypt等でSSL証明書を導入し暗号化
- 古いユーザーや不要データは定期的に削除
また、プラグインを選ぶ際には「更新が継続されているか」「開発元が信頼できるか」を必ず確認します。
バックアップと復旧体制
【チェック項目】
□ データベースとファイルを定期的にバックアップしている
□ バックアップは外部ストレージに保存している
□ 復旧手順を事前に確認している
【解説】
個人情報保護において「データを守る」のと同じくらい重要なのが「万が一に備える」ことです。
おすすめプラグイン:
- UpdraftPlus – Google DriveやDropboxなど多様な保存先に対応
- BackWPup – 詳細なスケジュール設定が可能
- Duplicator – バックアップと同時にサイト移行にも活用可能
バックアップは必ずサーバー外に保存し、テスト復旧を試しておくよう心がけます。
削除要求
【チェック項目】
□ 個人データのエクスポート・削除機能を理解している
□ 削除要求に応じられるフローを整えている
□ 削除できないデータの例外を説明している
【解説】
WordPress 4.9.6以降には「個人データのエクスポート/消去」機能が搭載されています。管理画面「ツール」から操作可能です。

ただし、会計帳簿など法的に保存義務があるデータは削除対象外となるため、プライバシーポリシーに例外を明示しておくことを忘れないようにします。
第三者提供の管理
【チェック項目】
□ Google Analyticsなどの解析データ提供を把握している
□ メール配信サービスやSNS連携による情報提供を理解している
□ プライバシーポリシーに第三者提供の範囲を記載している
【解説】
WordPressでは外部サービスとの連携を通じてデータが第三者に渡る場合があります。
代表的な例:Google Analytics、Mailchimp、SendGrid、SNSシェアボタン、CDNサービスなど。
プライバシーポリシーにこれらの提供範囲を明記し、可能な限り匿名化設定を利用することが望ましいです。
アップデートとセキュリティ対策
【チェック項目】
□ WordPress本体・テーマ・プラグインを最新にしている
□ 不要なプラグイン・テーマを削除している
□ ログイン画面に二段階認証を導入している
□ セキュリティプラグインを導入している
【解説】
WordPressは更新を怠ると脆弱性が生じます。
セキュリティプラグインを併用するとより安心です:
- Wordfence Security – ファイアウォール・マルウェア検知
- iThemes Security – ログイン試行制限や二段階認証
総合チェックリスト
記事全体を一覧できる点検表です。
| カテゴリ | チェック項目 |
|---|---|
| プライバシーポリシーの設置 | □ プライバシーポリシーページを設置している □ 収集する情報・利用目的・保存期間を明記している □ 第三者提供・問い合わせ窓口を記載している |
| サイトが収集している個人情報の把握 | □ 問い合わせフォームで入力される情報を把握している □ コメント欄で保存されるデータを理解している □ メルマガや会員登録で収集する情報を確認している □ Google Analytics等の解析データ収集を把握している |
| Cookie利用の同意取得 | □ プライバシーポリシーにCookie利用とその目的を明記している □ Google Analyticsなど解析ツールでIP匿名化設定をしている □ ユーザーがオプトアウトできる方法を案内している □ 欧州など海外アクセスが想定される場合はCookie同意バナーを導入している |
| データベースと保存環境 | □ データベース接頭辞を「wp_」から変更している □ DBユーザーの権限を最小限に制御している □ SSL証明書を導入して通信を暗号化している □ 不要なユーザーや古いデータを削除している |
| バックアップと復旧体制 | □ データベースとファイルを定期的にバックアップしている □ バックアップは外部ストレージに保存している □ 復旧手順を事前に確認している |
| 削除要求(忘れられる権利) | □ 個人データのエクスポート・削除機能を理解している □ 削除要求に応じられるフローを整えている □ 削除できないデータの例外を説明している |
| 第三者提供の管理 | □ Google Analyticsなどの解析データ提供を把握している □ メール配信サービスやSNS連携による情報提供を理解している □ プライバシーポリシーに第三者提供の範囲を記載している |
| アップデートとセキュリティ対策 | □ WordPress本体・テーマ・プラグインを最新にしている □ 不要なプラグイン・テーマを削除している □ ログイン画面に二段階認証を導入している □ セキュリティプラグインを導入している |
PDF版チェックリスト
まとめ
WordPressサイトの個人情報保護対応は、定期的に見直すべき作業です。
このチェックリストを活用し、法令対応の抜け漏れを防ぎつつ、訪問者にとって「安心して利用できるサイト」を運営できます。
信頼はそのまま集客やリピーター獲得につながります。今日から少しずつチェックを入れ、改善を進めていくことをおすすめします。
