GDPR コンプライアンスプログラムの実施
学習の目的
この単元を完了すると、次のことができるようになります。
- Salesforce がお客様の GDPR 遵守にどう役立つかを説明する。
- 組織が GDPR への準備として実行できるさまざまな活動について説明する。
Salesforce のプライバシーへの取り組み
Salesforce は、信頼を最大の価値とし、お客様の成功とそのデータの保護を何よりも大切にしています。Salesforce は、お客様のデータを保護するための処理者の拘束的企業準則で欧州データ保護監督機関による承認を得た世界で最初のソフトウェア企業上位 10 社になりました。
Salesforce は、EU 全域でのデータ保護要件を合理化するための重要な前進として GDPR を歓迎しています。GDPR の開発および承認全体について、欧州議員、EU のデータ保護監督機関、および業界団体と緊密に連携しています。お客様へのサービス提供における GDPR 遵守に向け懸命に努力しています。さらに、お客様が GDPR を遵守しながら引き続き Salesforce のサービスを利用できるように取り組んでいます。既存の法的要件と同様、GDPR 遵守には Salesforce とお客様間のパートナーシップが必要です。
Salesforce は、業界最高の基準を満たす堅牢なセキュリティおよびプライバシープログラムを設けています。これにより、Salesforce に適用されるさまざまなデータ保護に関する法規制の遵守が可能になります。Salesforce のサービスは、お客様の個人データを保護するために使用する管理、技術、および物理面の防御対策に基づいて、数多くのセキュリティ関連の認証を取得しています。いくつかのサービスでは、ISO (国際標準化機構) 27001 および 27018 規格、AICPA (アメリカ公認会計士協会) SOC (System and Organization Controls) 報告書、PCIDSS (ペイメントカード業界データセキュリティ基準)、C5 (ドイツ連邦情報セキュリティ庁クラウドコンピューティングコンプライアンスコントロールカタログ)、UK Cyber Essentials Scheme などの認証を取得しました。サービスは、プライバシー認証機関の TRUSTe が Salesforce のプライバシーに関する実務を審査し、その認証基準に準拠していると認めたことを示す、TRUSTe 認証シールも取得しています。
さらに、Salesforce はお客様に堅牢なデータ処理に関する補遺を提供しています。このような強固なプライバシーへのコミットメントを提示できるソフトウェア企業はほとんどありません。この補遺には、拘束的企業準則または標準契約条項のいずれかを利用して、お客様が合法的に個人データを EU 域外の Salesforce に移転できるようにする、データ移転フレームワークが含まれます。
さらに、Salesforce は、主要なサービスごとに「トラスト及びコンプライアンスに関するドキュメンテーション」を公開しています。このドキュメントでは、各サービスのアーキテクチャ、サービスが受けているセキュリティおよびプライバシー関連の監査および認証、適用される管理、技術、および物理面での制御について説明しています。また、サービスのプロビジョニングに重要なインフラストラクチャ環境およびエンティティについても説明しています。
では、域外データ移転を容易にするために Salesforce が使用しているメカニズムを確認しましょう。
| 域外データ移転メカニズム | 説明 |
|---|---|
| 拘束的企業準則 | BCR とも呼ばれる、欧州データ保護監督機関によって承認された、欧州経済領域 (EEA) から EEA 外の国への個人データの移転を容易にするための全社的なデータ保護ポリシーです。BCR は、EU データ保護監督機関によって設定された厳格なプライバシー基準に基づいており、それらの監督機関との集中的な協議を必要とします。Salesforce は、世界のソフトウェア企業上位 10 社のうち、処理者 BCR の承認を得た最初の企業になりました。 |
| 標準契約条項 | 「モデル条項」とも呼ばれる、個人データを欧州から EEA 外の国に移転する当事者間の適法契約です。標準契約条項には個人データの保護に関連する詳細な義務事項が含まれ、欧州委員会が草案を作成し、承認しました。 |
GDPR 遵守に向けた準備
GDPR 遵守にはパートナーシップが必要です。Salesforce のお客様は、Salesforce だけに任せて GDPR を確実に遵守することはできません。GDPR の対象となる組織はすべて、この法律を遵守するための手順を踏む必要があります。そこで、組織に何ができるのかを確認していきましょう。
賛同を得てチームを結成する
どの組織でも最初にできることは、リーダーシップが GDPR 遵守の重要性を認識しているか確認することです。遵守を実現するには、組織が責任をもって多大なスタッフリソースと資金を投資することが必要です。リーダーシップがリスクと課題を正しく認識していなければ、それは難しくなります。
次にすることは、遵守のための作業に取り組むコアチームを決めることです。組織は、このイニシアチブを監督し、おそらくデータ保護最高責任者の役割も果たすリーダーを任命できます。社内の各部署が 1 人以上の責任者を任命できます。次に、これらの人々が、プライバシーの問題に熱心でプライバシーの擁護者を務めることを希望する同僚を見つけることができます。情報セキュリティ、調達、法務、人事、製品管理、マーケティングの各部署から代表をチームに集めて遵守のための作業を率いることが特に重要です。
組織を評価する
組織で部門横断型チームを結成したら、そのチームが組織の既存のプライバシーおよびセキュリティへの取り組みを分析して最重点領域を識別できます。分析の重要な要素の 1 つは、組織がどこに個人データを保管しているかを把握することです。多くの組織は、数百とまではいかなくても、数十ものさまざまなデータベースとシステムに個人データが保管されていると知ることになるでしょう。個人データは、従業員、求人応募者、Web サイトのフォームに入力した人、コンテストまたはロイヤルティプログラムへの参加者、購入者、イベントへの参加者、払い戻しまたは保証カードに記入した人、メール、電話、ソーシャルメディア経由でカスタマーサービスチームに問い合わせを行った人などから発生します。
個人データが保管されるデータベースまたはシステムは、社内のさまざまな部署で使用される可能性があります。マーケティング、営業、人事、財務、IT、調達、給与、リスク管理、安全衛生、監査、法務の各部署が独自のシステムを運用していたり、異なるベンダーと協力して個人データを管理していたりします。
組織がこのデータの保管場所を識別したら、チームは保管システムごとに、そこに保管されているデータの種類、その発生場所、使用目的、アクセス権を持つユーザー、保護方法、移転先の第三者、保管期間を示すデータインベントリを作成できます。この作業を通じて、チームは、組織が個人データを送受信する先の第三者もすべて識別できます。
この分析から、組織はデータ処理活動の登録簿を作成し、どの活動がデータプライバシーに高いリスクをもたらしているかを識別できます。高リスクの活動ごとに、組織はデータ保護影響評価を実施して、個人のプライバシー権を適切に保護するために実行が必要な措置を判別できます。
制御とプロセスを確立する
組織がデータについて理解を深めたら、チームは必要な業務上および技術上の変更のロードマップを作成できます。このロードマップにより、組織には適切な制御とプロセスがあることを確認できます。たとえば、次のようなものがあります。
プライバシー通知: プライバシー通知は、Web サイトの Cookie やタグを使用する場合も含め、個人データを収集するときには必ず提示する必要があります。
使用の制限: 管理または技術面の制御を使用して、組織のデータ使用を、データが収集された目的に制限することができます。
セキュリティ: 個人データの不正なアクセス、使用、変更、開示、削除を防止するために管理、物理、および技術面のセキュリティ対策が必要です。
データ主体の権利: データ主体の同意設定を管理し、苦情やアクセス、訂正、制限、可搬性、削除の要求に対応するためのメカニズムと手続きが必要です。
ベンダー管理: 組織は、個人データを収集または受信する関連会社、ベンダー、その他の第三者と契約を結ぶ必要があります。これには EU 域外へのデータ移転を合法化する標準契約条項またはその他のメカニズムなどが含まれます。
インシデント対応: セキュリティ侵害を検知して対応するためのプロセスを作成する必要があります。これには、侵害の修復やすべての必要な関係者への通知が含まれます。
トレーニング: プライバシーポリシー、プロセス、および要件に関する意識を高め、懸念事項や不審なデータ活動を報告できるように従業員とベンダーのトレーニングを実施する必要があります。
評価: 高リスクのデータ処理活動ごとに、データ保護影響評価を実施する必要があります。
遵守を文書化する
組織が遵守に向けて進み始めたら、チームは遵守への取り組みを文書化することに集中できます。組織は、プライバシー通知と同意フォーム、データインベントリとデータ処理活動の登録簿、書面でのポリシーと手続き、トレーニング資料、社内の会社データ移転に関する合意書、ベンダー契約のコピーを集めてまとめることができます。必要に応じて、組織はデータ保護最高責任者を任命し、該当する EU 監督機関を識別できます。組織がプライバシープログラムの定期的な評価または監査を実施して、すべてが計画どおり運用されていることを確認することも役に立ちます。
GDPR 遵守への道では、多くの質問、選択肢、および複雑な分析が発生します。これは長いながらも興味深いジャーニーであり、役員のサポートや、知識のある社内外のパートナーからの助言を受けながら実施する必要があります。ただし、GDPR の冒頭文に明記されている 1 つの包括的な原則「個人データの保護は基本的権利である」を常に念頭におくことで、それは容易になります。