こんにちは。おおたにです。

今回は、Liferay 7が備えるGDPR対応を補助する機能を紹介したいと思います。

GDPRとは

GDPR（General Data Protection Regulation）は一般データ保護規則と呼ばれるもので、EU域内の個人データの取り扱いや保護について規定された法令です。詳しくは各所で説明されているので割愛しますが、対応を迫られている方も多いかと思います。

GDPR対応を補助するLiferay 7の機能

LiferayはWebサイトをホストするアプリケーションなので、そのWebサイト上で様々な個人データを取得/管理することがあります。その個人データがGDPRの対象となれば、Liferay上でもそれらの個人データをGDPRに準じて取り扱う必要があります。

Liferay 7では以下のような機能がGDPR対応の助けになります。

• 個人データのエクスポート
• 個人データの削除

では、それぞれの機能を見ていきましょう。

個人データのエクスポート

個人データのエクスポートは、GDPRが定める「データポータビリティの権利」への対応に役立ちます。

Liferayの管理者は、特定のユーザの個人データをアプリケーション毎にエクスポートすることができます。ファイル実体（Liferayにアップロードしたファイル）とXMLデータ（Liferay上で作成したデータ）がアプリケーション毎にZIPファイルにまとめられた形でダウンロードできます。エクスポートの具体的な手順は以下のとおりです。

1. コントロールパネル → ユーザーと組織 に移動する

2. ユーザーのアクションメニューから「個人データをエクスポート」をクリックする

3. 「エクスポートプロセスを追加」アイコンをクリックする

4. 個人データの一覧が表示されるので、エクスポートする必要があるアプリケーションを選択して「エクスポート」をクリックする

5. エクスポートに成功したら、各アプリケーションのデータをダウンロードする

個人データを簡単にエクスポートすることができることが分かると思います。

個人データの削除

個人データの削除は、GDPRが定める「忘れられる権利」への対応に役立ちます。

Liferayの管理者は、特定のユーザの個人データの一覧をレビューし、それぞれを削除もしくは匿名化することができます。その具体的な手順は以下のとおりです。

1. コントロールパネル → ユーザーと組織 に移動する

2. ユーザーのアクションメニューから「個人データの削除」をクリックする（ユーザーが無効化されていない場合はダイアログが表示されるので無効化する）

3. データのレビュー画面が表示されるので、匿名化もしくは削除を行う

4. アプリケーション毎に個別のデータを確認したりデータ毎に処理を行うこともできる

5. 匿名化すると、作成者/編集者がAnonymousユーザとなる

6. 全ての個人データの匿名化・削除が完了すると以下のようなダイアログが表示されるので、ユーザーを削除する場合はOKをクリックする

このような形で、個人データの確認と消去、ユーザの削除を行うことができます。

なお、コントロールパネル → インスタンス設定 → ユーザー → 匿名ユーザー にて匿名ユーザを設定することもできます（予め匿名用ユーザを作成しておき、そのユーザーIDを指定する）。

まとめ

今回の紹介は以上です。なお、Web界隈でGDPR対応と言えばCookie利用の同意取得かと思いますが、Liferayはこの機能を備えていません。一方で、世の中にはCookie同意の取得管理のため便利なサービスがあり、Liferayはそれらと簡単に連携することができます。具体的な連携方法については別の記事で紹介したいと思います。