ユーザーとコントロール - コンプライアンス(GDPR、HIPAA)

ユーザーとコントロール - コンプライアンス(GDPR、HIPAA)

お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。

GDPR

1. GDPRとは何であり、なぜ重要なのか?

一般 データの保護 Regulation(GDPR)は、2018年5月25日に施行されたEUの包括的なデータ保護法です。これは、EU居住者の個人データを、組織がどのように収集・処理・保管するかを規定しています。個人情報の取り扱いにおける透明性、同意、説明責任が求められます。
 
2. GDPRの遵守が求められるのは誰か?

EU居住者の個人データを処理するすべての組織が対象となります。これは、会社自体がEU域外に所在していても該当します。遵守は地理的な位置だけでなく、どのデータを処理するかに基づいて判断されます。
 
3. Biginで個人データを処理する際の正当な根拠は何か?

GDPRでは、同意、契約、法的義務、重大な利益、公開するタスク、正当な利益の6つの正当な根拠が定められています。Biginでは、これらの根拠をデータとして管理し、必要に応じて正当な利益評価を実施できます。
 
4. EU域外かつEU顧客がいない場合もGDPR準拠は必須か?

EU居住者のデータを処理しない場合、GDPRの遵守は必須ではありません。ただし、Zohoでは、すべてのユーザーに対して高いプライバシー基準を維持するため、コンプライアンス設定の有効化を推奨しています。
 
5. BiginでGDPR準拠をオフにした場合はどうなりますか?

以前に確立された適法な処理根拠は無効となります。その後、データは適法な根拠が定義されていないものとして扱われます。

6. GDPRにより個人に付与されている具体的な権利と、Biginでのサポート方法について

Zoho Biginにおけるデータ件名の権利(第12~23条):
  • 知る権利– 個人は自分のデータがどのように、なぜ処理済みであるかを知る必要があります。Bigin では同意書やプライバシー取引明細を通じて情報提供が可能です。
  • アクセス権– 連絡先は自身の保存データのコピーを請求できます。Bigin 内で直接 CSV エクスポートを生成・メール送信でき、システムへのダウンロードは不要です。
  • 訂正権– 個人はデータの更新を要請できます。CSV を送信し、修正後に正しいファイルを再インポートしてください。
  • 消去権(「忘れられる権利」)– 連絡先のデータをロックおよび削除し、そのメールアドレスをブロックリストに追加することで再インポートや同期を防止できます。
  • 処理の制限・異議申立権– データはロック中にすることで追加処理を停止できます(例:編集不可、通話不可、メール不可)。
  • データポータビリティ権– データは機械可読な CSV 形式でエクスポート済みとなり、Bigin から直接送信できます。
  • 通知を受ける権利– データ侵害が発生した場合、管理者は72時間以内に個人へ通知する必要があります。Bigin のツールやヘルプドキュメントが適切な対応を支援します。
7. Bigin で GDPR コンプライアンスを有効にし、データプライバシーツールを設定するには?

設定 → ユーザー & Control → Compliance 設定に移動し、GDPR complianceをオンにしてください。これはすべてのデータのプライバシー機能を有効にするために必須です。連絡先のデータ内には、リクエストを直接管理できるデータのプライバシーセクションが表示されます。
 
8. BiginはGDPRコンプライアンスをサポートするためにどのような機能を提供していますか?
  • カスタム同意フォーム:パーソナライズしたフォームを作成・送信し、オプトイン同意を収集できます。カスタム言語やプライバシー取引明細も埋め込むことが可能です。
  • 手動同意記録:電話・対面・郵送などオフラインで取得した同意の詳細を、連絡先データ内のデータのプライバシーセクションから入力できます。
  • データ件名リクエスト対応:Biginの組み込みデータのプライバシー機能を使用して、連絡先からのアクセス・エクスポート・訂正などのリクエストを管理できます。
9. データ対象者向けのGDPR同意フォームをカスタマイズするにはどうすればよいですか?

Compliance設定内で操作します。
  1. カスタマイズする」をConsent Formセクションでクリックします。
  2. form 言語を選択し、communication 設定(メール・電話番号)、consent 取引明細、privacy 支払明細テキスト、備考セクションを指定し、プレビューします。
  3. 保存」をクリックします。いつでも初期設定に戻すことができます。
10. 手動で連絡先のconsent詳細を更新するには?

連絡先データを開き、「データのプライバシー」をクリックします。そこから操作してください。
  1. Data Processing Basis」を適用対象に設定し、Consentを選択します。
  2. 更新する consent 詳細」を使用し、Communicationの各種設定、日付、備考、方法(メールまたは通話)を記録します。
  3. 保存」をクリックします。
11. Data Processing Basisで連絡先をフィルターできますか?

はい。連絡先タブで:
  1. フィルターアイコンをクリックし、「Data Processing Basis」を選択します。
  2. 希望する条件を選択し、一致するデータを表示します。
12. BiginでData 件名リクエスト(DSR)を提出するには?

連絡先データ内のデータのプライバシーから行います。
  1. 「+ Request」をクリックします。
  2. リクエストの種類(例:Access Data、エクスポートするData、Rectify、停止するProcessing、削除Data)を選択し、「保存」をクリックします。
13. データ件名に対してどのようなリクエストが行えますか?

Biginを通じて、次のGDPR権利を行使できます。
  • Access Data(アクセス権)
  • Rectify Data(訂正権)
  • エクスポートするData(データポータビリティ権)
  • 停止するProcessing(処理の制限または異議申立て権)
  • 削除Data(消去権/忘れられる権利) 
14. 「Access Data」リクエストはどのように対応すればよいですか?

リクエストの作成後:
  1. アクセスリクエスト用のメール送信をクリックします。
  2. テンプレートを選択するか、メッセージを作成します。データはCSVとして添付されます。送信済みメールは関連リストで表示できます。
  3. 完了したらリクエストを閉じます。
15. 「データの修正」リクエストの対応方法
  1. 修正リクエストを作成します。
  2. 件名宛てにCSVファイル付きのメールを送信します。
  3. 修正済みデータを返送してもらい、それをBiginへインポートします。
  4. その後、リクエストを閉じるか削除できます。
16. 「エクスポートするデータ」(ポータビリティ)の対応方法
  1. リクエスト作成後、「エクスポートするデータ用メール送信」をクリックします。
  2. マシンリーダブル形式のCSVファイルが添付されて送信されます。ローカルへのダウンロードは不要です。
  3. リクエストの表示、閉じる、または削除が可能です。
17. 「停止するデータ処理」リクエストの対応方法
  1. ユーザーデータを開き、「データのプライバシー」をクリックします。
  2. 「Data 件名 Requests」セクションで「+ Request」をクリックします。
  3. 「新規 Request」ポップアップで「Request to 停止する processing data」を選択します。
  4. 「保存」をクリックします。リクエストがデータに追加されます。
  5. リクエストの「Lock」をクリックして、データ処理を停止します。データはロック中となり、編集、メール送信、通話、キャンペーンの開始はできません。
  6. 再開する場合は「Unlock」をクリックします。
18. 「削除 Data」リクエストの仕組み

リクエストを作成し、「Lock」をクリックした後、「Move to block list」をクリックします。
データは削除され、メールアドレスは今後のインポートや同期からブロックされます。
ブロックリストに登録されたアドレスを再度追加しようとすると、注意が表示されます。

19. 同意管理のステージとは

顧客の返答に基づき、同意リクエストのステータスが処理されます。各ステージの詳細は以下の通りです。
  • 保留中:同意リクエストがデータ件名に送信済みでない場合。
  • 待機中: 同意フォームを送信した後、回答を待っている状態。
  • 取得済み: 同意がデータ件名から受領済みの場合。
  • 未回答: Consent設定で定義された待機期間内に同意が受領済みでない場合。
参照 ドキュメント:
https://ヘルプ。Zoho。com/ポータル/en/kb/Bigin/explore-設定/articles/gdpr#Bigin_as_a_Data_Processor
https://ヘルプ。Zoho。com/ポータル/en/kb/Bigin/explore-設定/articles/管理-compliance#Raise_Data_Subject_Request
https://ヘルプ。Zoho。com/ポータル/en/kb/Bigin/explore-設定/articles/data-件名-rights-16-4-2024#Request_to_access_dataRight_to_access

HIPPAコンプライアンス

1. HIPAAはZohoおよびそのユーザーに何を求めていますか?

HIPAAは、カバードエンティティおよび法人アソシエイトに対し、保護対象医療情報(PHI)および電子的保護対象医療情報(ePHI)を保護するためのセキュリティ、プライバシー、漏洩通知、管理規則などの措置を講じることを義務付けています。Zoho自体は自社の目的でPHIを収集または保有しませんが、Bigin内で顧客のHIPAAコンプライアンスをサポートするツールを提供しています。
 
2. Biginで法人関連付ける契約(BAA)は利用可能ですか?

はい。Zohoは貴社組織とHIPAA準拠のBAAを締結いたします。BAAのテンプレートをご希望の場合は、legal@zohocorp.comまでご連絡ください。

3. BiginはどのようにHIPAAコンプライアンスを具体的にサポートしていますか?

Biginは以下の機能を提供しています:
  • 連絡先タブでPHI項目を設定(1アカウントにつき最大30項目まで)。
  • API、データエクスポート、Zohoアプリ連携およびサードパーティ連携によるPHIへのアクセス/エクスポートを制限
  • PHI項目の暗号化によるセキュリティ強化。暗号化は任意ですが、強く推奨されます。
 
4. PHI(個人健康情報)としてマークできる項目はどれですか?

連絡先タブ内のカスタム項目および標準項目は、合計30項目までPHIとしてマークできます。Lookup項目および自動番号項目は、PHIに指定することはできません。
 
5. BiginにおけるPHI‑restriction 設定とは何ですか?

管理者は、法人のニーズに応じて以下の制限を切り替えることができます。
  • APIによるPHIの制限
  • PHIのエクスポートを防止
  • PHIを他のZoho サービスへ転送することを停止
  • PHIのthird‑party integrationsへの移行をブロック
6. Bigin アカウントでHIPAA準拠を有効にする方法は?
  1. 設定」→ユーザー and ControlsComplianceへ移動します。
  2. HIPAA Compliance」トグルを有効にします。
  3. Personal Health Data Handling」セクションで、必要な制限設定を有効化します。 
7. 項目をPHIとして設定するには?

「設定」→「項目」→「連絡先」タブへ移動します。該当する項目を編集し、Contains Personal Health Data(PHI)にチェックを入れます。このオプションは、HIPAAコンプライアンスが有効な場合のみ表示されます。
 
8. HIPAAコンプライアンスが無効の場合はどうなりますか?

HIPAAコンプライアンスを無効にすると、以前PHIとしてマークされたすべての項目のマークが自動的に解除されます。PHIコントロールを再度有効にするには、HIPAAコンプライアンスを再度有効にし、必要に応じて手動で項目を設定してください。
 
 
9. ユーザーはどのようにPHIマーク済みデータを表示できますか?

データ内で、PHIマークが付いた項目はHealthタブにまとめられています(データのプライバシーセクション、データ詳細ページ内)。

参照ドキュメント:
https://ヘルプ。Zoho。com/ポータル/en/kb/Bigin/explore-設定/articles/hipaa-compliance-with-Bigin