WordPressサイトの個人情報保護対応チェックリスト

WordPressサイトの個人情報保護対応チェックリスト

この記事は「WordPressサイトの個人情報保護対応チェックリスト」として、章ごとにチェック項目を明示 → 詳細解説する形式です。
読みながら自分のサイトを点検できるので、法令対応にも、訪問者からの信頼獲得にも役立ってもらえれば嬉しいです。


プライバシーポリシーの設置

【チェック項目】

□ プライバシーポリシーページを設置している
□ 収集する情報・利用目的・保存期間を明記している
□ 第三者提供・問い合わせ窓口を記載している

【解説】
WordPress 4.9.6以降には「プライバシーポリシーページ作成機能」が標準搭載されています。管理画面の 「設定」→「プライバシー」 から専用ページを作成可能です。

プライバシーポリシーページ作成

ただしテンプレートをそのまま使うのではなく、自サイトに即した内容へ修正したほうが良いです。
例えば「問い合わせフォームから得たメールアドレスは回答のみに利用します」といった具体的な利用目的の記載が必要です。


サイトが収集している個人情報の把握

【チェック項目】

□ 問い合わせフォームで入力される情報を把握している
□ コメント欄で保存されるデータを理解している
□ メルマガや会員登録で収集する情報を確認している
□ Google Analytics等の解析データ収集を把握している

【解説】
WordPressサイトでは、以下のように多様な情報が収集されます。

  • 問い合わせフォームContact Form 7WPForms
  • コメント機能 – 名前、メールアドレス、IPアドレス
  • メルマガ登録Mailchimp for WordPress
  • アクセス解析 – Google AnalyticsによるCookieやIPアドレス
  • 会員登録機能 – WordPressのユーザー情報
 Contact Form 7

どのプラグインでどのような情報を収集しているか、一覧表にまとめて把握しておくことが推奨されます。


Cookie利用の同意取得

【チェック項目】

  • □ プライバシーポリシーにCookie利用とその目的を明記している
  • □ Google Analyticsなど解析ツールでIP匿名化設定をしている
  • □ ユーザーがオプトアウトできる方法を案内している
  • □ 欧州など海外アクセスが想定される場合はCookie同意バナーを導入している

【解説】
日本の個人情報保護法や電気通信事業法では、Cookieを通じて個人関連情報を収集する場合、利用目的の明示と適切な同意取得が求められます。
国内サイトでは「Cookie利用をプライバシーポリシーに明記」+「Google AnalyticsのIP匿名化」+「オプトアウト案内」が最低限の対応です。

グローバルに対応する場合や、欧州ユーザーが多い場合には以下のプラグインでCookieバナーを設置すると安心です:


データベースと保存環境は安全

【チェック項目】

□ データベース接頭辞を「wp_」から変更している
□ DBユーザーの権限を最小限に制御している
□ SSL証明書を導入して通信を暗号化している
□ 不要なユーザーや古いデータを削除している

【解説】
WordPressの個人情報はデータベースに保存されます。
セキュリティを高めるには、以下を基本にしてはどうでしょうか。

  • データベースの接頭辞を「wp_」以外に変更
  • DBユーザーの権限を最小限に制御(DROP権限などは付与しない)
  • Let’s Encrypt等でSSL証明書を導入し暗号化
  • 古いユーザーや不要データは定期的に削除

また、プラグインを選ぶ際には「更新が継続されているか」「開発元が信頼できるか」を必ず確認します。


バックアップと復旧体制

【チェック項目】

□ データベースとファイルを定期的にバックアップしている
□ バックアップは外部ストレージに保存している
□ 復旧手順を事前に確認している

【解説】
個人情報保護において「データを守る」のと同じくらい重要なのが「万が一に備える」ことです。

おすすめプラグイン:

  • UpdraftPlus – Google DriveやDropboxなど多様な保存先に対応
  • BackWPup – 詳細なスケジュール設定が可能
  • Duplicator – バックアップと同時にサイト移行にも活用可能

バックアップは必ずサーバー外に保存し、テスト復旧を試しておくよう心がけます。


削除要求

【チェック項目】

□ 個人データのエクスポート・削除機能を理解している
□ 削除要求に応じられるフローを整えている
□ 削除できないデータの例外を説明している

【解説】
WordPress 4.9.6以降には「個人データのエクスポート/消去」機能が搭載されています。管理画面「ツール」から操作可能です。

ただし、会計帳簿など法的に保存義務があるデータは削除対象外となるため、プライバシーポリシーに例外を明示しておくことを忘れないようにします。


第三者提供の管理

【チェック項目】

□ Google Analyticsなどの解析データ提供を把握している
□ メール配信サービスやSNS連携による情報提供を理解している
□ プライバシーポリシーに第三者提供の範囲を記載している

【解説】
WordPressでは外部サービスとの連携を通じてデータが第三者に渡る場合があります。
代表的な例:Google Analytics、Mailchimp、SendGrid、SNSシェアボタン、CDNサービスなど。

プライバシーポリシーにこれらの提供範囲を明記し、可能な限り匿名化設定を利用することが望ましいです。


アップデートとセキュリティ対策

【チェック項目】

□ WordPress本体・テーマ・プラグインを最新にしている
□ 不要なプラグイン・テーマを削除している
□ ログイン画面に二段階認証を導入している
□ セキュリティプラグインを導入している

【解説】
WordPressは更新を怠ると脆弱性が生じます。
セキュリティプラグインを併用するとより安心です:


総合チェックリスト

記事全体を一覧できる点検表です。

カテゴリチェック項目
プライバシーポリシーの設置□ プライバシーポリシーページを設置している
□ 収集する情報・利用目的・保存期間を明記している
□ 第三者提供・問い合わせ窓口を記載している
サイトが収集している個人情報の把握□ 問い合わせフォームで入力される情報を把握している
□ コメント欄で保存されるデータを理解している
□ メルマガや会員登録で収集する情報を確認している
□ Google Analytics等の解析データ収集を把握している
Cookie利用の同意取得□ プライバシーポリシーにCookie利用とその目的を明記している
□ Google Analyticsなど解析ツールでIP匿名化設定をしている
□ ユーザーがオプトアウトできる方法を案内している
□ 欧州など海外アクセスが想定される場合はCookie同意バナーを導入している
データベースと保存環境□ データベース接頭辞を「wp_」から変更している
□ DBユーザーの権限を最小限に制御している
□ SSL証明書を導入して通信を暗号化している
□ 不要なユーザーや古いデータを削除している
バックアップと復旧体制□ データベースとファイルを定期的にバックアップしている
□ バックアップは外部ストレージに保存している
□ 復旧手順を事前に確認している
削除要求(忘れられる権利)□ 個人データのエクスポート・削除機能を理解している
□ 削除要求に応じられるフローを整えている
□ 削除できないデータの例外を説明している
第三者提供の管理□ Google Analyticsなどの解析データ提供を把握している
□ メール配信サービスやSNS連携による情報提供を理解している
□ プライバシーポリシーに第三者提供の範囲を記載している
アップデートとセキュリティ対策□ WordPress本体・テーマ・プラグインを最新にしている
□ 不要なプラグイン・テーマを削除している
□ ログイン画面に二段階認証を導入している
□ セキュリティプラグインを導入している

PDF版チェックリスト


まとめ

WordPressサイトの個人情報保護対応は、定期的に見直すべき作業です。
このチェックリストを活用し、法令対応の抜け漏れを防ぎつつ、訪問者にとって「安心して利用できるサイト」を運営できます。

信頼はそのまま集客やリピーター獲得につながります。今日から少しずつチェックを入れ、改善を進めていくことをおすすめします。