2005年4月よりスタートする個人情報保護法。内容は至極まっとうですがすげえええええええええええ面倒。
まず、今回dpost.jpにて「個人情報」とするものは、メールアドレスとAIM/Yahoo/MSNなどのIMアカウント。ウェブサイトURLは微妙だが、本人が個人情報とするなら対象でしょう。
ポイントとして考えなければいけないのは以下の条項。
- 15条、16条:利用目的の特定、利用目的による制限
これについては、ユーザ登録時に「メールアドレスは本人確認の為だけに使い、管理者からのDMは送らない」とする。管理者からの、と言うふうに明記したのは、管理者以外が不正な方法でデータを盗み出された場合を想定。この場合は不正アクセスということになるはず・・・(20条で盗まれぬよう適切に措置を、とあるがこれはバージョンアップを常に行うというところで満たしているでしょう)。また、いままではフリーメールをはじいていましたが、上記のみの内容であるし、かつdpost.jpの新規ユーザ登録頻度を考えフリーメールでもOKとする。過去の経緯を見ると、リンク登録のためだけにアカウント登録した人が9割以上。登録後はログインした形跡なしってのがほとんどでした。まーそりゃそうだろってかんじですけどね。このサイトの場合登録者とAnonymousの違いは記名投稿だけですから。
- 19条:データ内容の正確性の確保
- 25条:データ内容の本人への開示
- 26条:データ内容の訂正
さて、上記19条と26条が問題。「個人情報保護」っていう観点だと対象はメールアドレスになるはず。メールアドレスの修正は、ユーザ情報設定の「ユーザ自身のEmailアドレス変更を許可する」をYesにしておく必要がある。これはいいとします。削除と言うことになると、「ユーザが自分自身のアカウントを削除できる」というものをYesにしないといけない、が、XOOPSでこれやると多分その人の発言全てが削除対象になるはず。この部分は、メールアドレス/AIMアカウント等の削除はログイン後管理者にメール、と言うことをやってもらう必要があるわけだ。 で、19条。要するにオレオレ自分がどのメールアドレス登録したかわかんないから教えて局長、って来たときに如何にそれが本当に本人なのか、ということを確認できるかというお話。オレオレって使った時点でNGではあるんですが。実はこれ、いままでも何回か個別メールであったんですよね。。。確認大変だった。今後はそれを言われたタイミングでアカウントロック、新規アカウント作成なんだろうなあ。メールアドレスは絶対教えない、と。
ということで、XOOPS等、ユーザの個人情報を保持するようなCMSを使い続ける上では、上記は最低限頭に入れないといけないはず。MovableTypeやtDiaryのように管理人が一人でがんばる系よりもハードルが高くなってしまいました。しかし、そこまでしてdpost.jp=コミュニティサイトを続ける意義があるか、と言うのが一番の疑問。最新25件のほとんどが管理人一人の書き込みって事実考えるとコミュニティサイト続ける意味もないだろって気がするのですが・・・。
#ちなみにクローズを前提とした場合のメモ。
まず、方針は個人情報を削除しつつコンテンツはパーフェクトに残す。しかし、管理者以外のコメント、ニュース投稿等何も行えないようにする。 その場合、まずメールアドレスについてはphpmyadminを使い、dummy@dummy.jpなど適当なものに変更(全部管理人のメールアドレスにするという手もあるな)。本来はここの部分、ユニークな文字列が入っている必要があるのでXOOPSの仕様的には微妙。その後、AIMアカウント等の列は全てnullにUpdate(これもphpmyadminからSQLを発行して作業)。さらに、ユーザ情報設定で「新規ユーザの登録を許可する」をいいえに、ニュースモジュールの一般設定、「匿名ユーザによるニュース記事の投稿を許可する」をいいえに、「管理者の介在しない新規ニュース記事の自動承認」もいいえに、「匿名によるコメント投稿を許可しますか?」をいいえにすることで、ログインしないとニュースも登録できないしコメントも投稿できない設定にする。さらに、メインモジュールのブロック設定で、ログインブロックを非表示に。これでログインできないので実質コメントもニュースも投稿できない状態になる。そーなると管理者もログインできないんですが、user.phpを直にアクセスすることでログインは可能(当然登録ユーザはその方法でログインできちゃうんですが、最悪管理者以外をAnonymous userグループに入れておいて、Registered userを0人にしておけばログインしても影響なし)。
で、今後はdstyle側で活動継続する、と。これ重要。R.I.P. kyokucho。
update:
ということでとうとうdpost.jpをクローズリニューアルしました。ディズニーファンサイトといえばリヌでしょう(苦笑)。XOOPSはこれで勉強できたから次はNucleusかなー。ちなみに実際に使ったSQLスクリプトはこんな感じ。xoopsprefixは各自が設定したプレフィクスに変更してください。
UPDATE xoopsprefix_users SET `user_viewemail`=0;
update xoopsprefix_users
set `user_icq`=null,
`user_aim`=null,
`user_yim`=null,
`user_msnm`=null;
update xoopsprefix_users
set `email`=concat(uname,"@no-spam.hogehoge.jp")
where `uname` not in ("kyokucho","mtakeshi");
最後のは、kyokuchoとmtakeshi以外のメールアドレスを、ユーザ名@no-spam.hogehoge.jpに変更するもの。修正したくないアカウントはnot inの中に記述すること。