データ主体の権利 - GDPR

GDPR（一般データ保護規則）の第12条から第23条では、個人（データ主体）の権利が明確に定義されています。したがって、個人情報を取り扱う組織や個人は、各権利について理解した上で、個人（データ主体）からの各権利に基づく要求には適切に対応する必要があります。Zoho CRMのGDPRコンプライアンス設定で対応可能な権利とその要求内容は、次のとおりです。

アクセスの権利：データ管理者に自分の個人情報の処理に関して確認する権利、個人情報へのアクセスを要求する権利。
修正の権利：自分の正確な個人情報が管理され、必要に応じて修正するように要求する権利。
削除の権利（忘れられる権利）：データ管理者に個人情報を遅滞なく削除するように要求する権利。
データ処理の中止の権利：自分の個人情報の処理に反対し、制限を要求する権利。
データのエクスポートの権利：機械が読み取り可能な形式で自分の個人情報を取得する権利、また個人情報を含むデータを別の組織に転送する権利。
知らされる権利：自分の個人情報が処理される方法と理由を知らされる権利。また、個人情報を含むデータが他の外部サービスに共有されているかどうかを知る権利も有します。これには、データを処理するための適切な法的根拠を確認することで対処できます。「同意」がある場合は、以下の権利も生じます。
通知を受ける権利：個人情報の漏洩が発生した場合、データ主体は、最初に侵害を認識してから72時間以内に通知を受ける権利を有します。

データ主体の要求の追加

上記の権利に基づく要求をZoho CRMで受け付けるには、2つの方法があります：

手動
- 個人（顧客／データ主体）が、Zoho CRMを利用してデータを管理する組織（データ管理者）に対して、要求をメールで個別に送信します。
- または、要求を電話や口頭で、直接データ管理者に伝えます。データ管理者は、その内容をZoho CRMに手動で記録し、適切な対応を行います。

自動
- Zoho CRMを利用してデータを管理する組織（データ管理者）が、個人（顧客／データ主体）に対して、要求を受け付けるためのリンクをメールで送信します。
  個人は、リンクを通じて自分自身で要求を直接送信できます。送信された要求は、Zoho CRMに自動的に取り込まれ、対応履歴が記録されます。

データ主体の要求の手動による追加

要求の受け付け時に、Zoho CRMアカウントで該当の内容を記録し、必要な対応を実行する必要があります。

データ主体の要求を手動で追加するには

対象の個人（データ主体）のデータを選択して、詳細ページを開きます
（GDPRコンプライアンス設定を有効にしているタブ内のデータが対象です）。
データの［プライバシー］をクリックします。［データ主体の要求］セクションで、
［要求を追加する］をクリックします。
表示された［新しい要求］画面で、対象の要求を選択して［完了する］をクリックします。
選択した要求がデータに追加されます。

Zoho CRMでの要求への対応

個人（データ主体）からの要求に、Zoho CRMで対応する方法を見てみましょう。

データへのアクセスの要求（データへのアクセスの権利）

差し込み項目を使用したメールテンプレートを作成すると、Zoho CRM上で管理している顧客の情報を手軽に挿入できます。個人（データ主体）から情報へのアクセスの要求があった場合に、メールテンプレートを使用し、求められている情報が記載されたメールを作成して送信することで、簡単に対応できます。また、個人（データ主体）に顧客ポータルから自分の情報に直接アクセスしてもらうことも可能です（エンタープライズプラン以上を利用している場合）。（関連情報：メールテンプレート、 顧客ポータル）。

データ主体の情報を含むメールを送信するには

対象の個人（データ主体）のデータを選択して、詳細ページを開き、［プライバシー］セクションをクリックします。
［データ主体の要求］セクションで、［要求を追加する］をクリックします。
表示された［新しい要求］画面で、［データへのアクセスの要求］を選択します。
［完了する］をクリックします。選択した要求がデータに追加されます。
［データへのアクセスの要求］にカーソルを合わせると表示される、［メールを送信する］ボタンをクリックします。
メール作成画面の右上にあるテンプレートの挿入メニューから、あらかじめ差し込み項目を追加して作成したメールテンプレートを選択して適用し、作成したメールを送信します。

データの修正の要求（データの修正の権利）

データの修正の要求があった場合、個人（データ主体）の個人情報を含むCSVファイルを添付したメールを送信し、その内容をもとに修正内容を共有してもらうことができます。個人（データ主体）によってCSVファイルの情報が修正され、メールで返信された後、データ管理者は修正された情報をZoho CRMアカウントにインポートし、該当のデータを更新する必要があります。また、個人（データ主体）に顧客ポータルから自分の情報を直接修正してもらうことも可能です（エンタープライズプラン以上を利用している場合）。（関連情報：顧客ポータル）。

データ主体のデータを修正するためにメールで送信するには

対象の個人（データ主体）のデータを選択して、詳細ページを開き、［プライバシー］セクションをクリックします。
［データ主体の要求］セクションで、［要求を追加する］をクリックします。
表示された［新しい要求］画面で、［データの修正の要求］を選択します。
［完了する］をクリックします。選択した要求がデータに追加されます。
［データの修正の要求］にカーソルを合わせると表示される、［メールを送信する］ボタンをクリックします。
メールの作成画面が表示され、添付ファイルとしてCSVファイルが追加されます。添付ファイルには、選択したタブに保存されている個人（データ主体）の情報が含まれています。
メール作成画面で、メールの本文を作成してから送信します。

データのエクスポートの要求（データのエクスポートの権利）

データのエクスポートの要求があった場合、個人（データ主体）の情報が機械で読み取り可能な形式（CSV形式）でZoho CRMからファイルをエクスポートし、そのままメールに添付して送信できます（データ管理者の端末にダウンロードする必要はありません）。

データ主体のデータのコピーを送信するには

対象の個人（データ主体）のデータを選択して、詳細ページを開き、［プライバシー］セクションをクリックします。
［データ主体の要求］セクションで、［要求を追加する］をクリックします。
表示された［新しい要求］画面で、［データのエクスポートの要求］を選択します。
［完了する］をクリックします。選択した要求がデータに追加されます。
［データのエクスポートの要求］にカーソルを合わせると表示される［メールを送信する］をクリックします。
メールの作成画面が表示され、添付ファイルとしてCSVファイルが追加されます。添付ファイルには、選択したタブに保存されている個人（データ主体）の情報が含まれています。
メール作成画面で、メールの本文を作成してから送信します。

データ処理の中止の要求（データ処理の中止の権利）

この要求を受け付けた場合、個人（データ主体）の情報の処理を中止する必要があります。この要求への対応として、Zoho CRMには個人（データ主体）の情報をロックし、処理できないようにす機能があります。データがロックされると、Zoho CRMで詳細を使用または処理できなくなります。たとえば、ワークフローからメールが送信されなくなり、データの編集、共有、マクロの実行、重複データとの統合などの処理を実行できなくなります。

データをロックするには

対象の個人（データ主体）のデータを選択して、詳細ページを開き、［プライバシー］セクションをクリックします。
［データ主体の要求］セクションで、［要求を追加する］をクリックします。
表示された［新しい要求］画面で、［データ処理の中止の要求］を選択します。
［完了する］をクリックします。選択した要求がデータに追加されます。
［データ処理の中止の要求］の［ロックする］をクリックします
［はい、進めます］をクリックして確定します。
データがロックされます。以後、該当のデータに対して処理を実行できなくなります。

データの削除の要求（データの削除の権利／忘れられる権利）

この要求を受け付けた場合、個人（データ主体）の情報はデータ管理者のサービス規約に定義された保持期間、ロックされます。この期間、データはZoho CRMでは処理されなくなり、その後、データ管理者は個人（データ主体）の情報を削除できます。データが削除されると、メールアドレスは削除対象リストに登録され、インポートや同期などで同じメールアドレスのデータは再追加できなくなります。ただし、手動で追加することは可能です。

メモ

データを削除対象リストに移動するには、コンプライアンス設定の管理権限が必要です。
データが削除対象リストに登録されると、GDPRコンプライアンス設定を有効にしたすべてのタブで同じメールアドレスのデータが削除されます。
削除対象リストに登録されたデータは、復元も表示もできません。
データは、削除対象リストに登録されると、最終的にZoho CRMから削除されます。ただし、削除対象リストのデータに関連付けられているデータは削除されません。関連付けの情報は削除されます。たとえば、削除対象リストの見込み客に関連付けられているタスクはZoho CRMアカウントに残りますが、見込み客への関連付けの情報は削除されます。

データをロックし、削除対象リストに移動するには

対象の個人（データ主体）のデータを選択して、詳細ページを開き、［プライバシー］セクションをクリックします。
［データ主体の要求］セクションで、［要求を追加する］をクリックします。
表示された［新しい要求］画面で、［データの削除の要求］を選択します。
［保存する］をクリックします。

選択した要求がデータに追加されます。
- ［ロックする］をクリックすると、データを削除する前に処理を中止できます。
- ［削除対象リストに移動する］をクリックすると、Zoho CRMアカウントからデータを削除できます。
  表示された［削除対象リストのデータ］画面で、［削除対象リストに移動する］をクリックします。
  データが削除され、メールアドレスが削除対象リストに追加されます。
［はい、進めます］をクリックして、処理を確定します。

データ主体の要求の自動追加

個人（データ主体）の要求を受け付けるためのリンクを個別メールまたはメールテンプレートに追加して、個人（データ主体）宛てに送信できます。これで、個人（データ主体）が自分でZoho CRM内で要求を送信できるようになります。

データ主体による要求を受け付けるためのリンクをメールテンプレートに追加するには

［設定］→［カスタマイズ］→［テンプレート］の順に移動します。
［メール］タブを選択し、［＋新しいテンプレート］をクリックします。
表示された［メールテンプレートの作成］画面で、対象のタブを選択して［次へ］をクリックします。
［テンプレートのギャラリー］から、対象のテンプレートを選択します。
（リンクを追加する）アイコンをクリックします。
［リンクを追加する］画面で、次の手順を実行します：
1. ［リンクの種類］一覧から、［データに関する要求］を選択します。
2. ［データに関する要求の種類］で、対象のチェックボックスを選択します。
  ［すべて選択］をクリックすると、すべての種類を追加できます。
3. 一覧から［言語］を選択し、［保存する］をクリックします。
［保存する］をクリックして、テンプレートを保存します。

データ主体による要求を受け付けるためのリンクをメールに追加するには

対象のデータの詳細ページに移動して、［メールを送信する］をクリックします。
メールの作成画面で（リンクを追加する）アイコンをクリックし、（データに関する要求）アイコンを選択します。
［データに関する要求の種類］で、対象のチェックボックスを選択します。
［すべて選択］をクリックすると、すべての種類を追加できます。
一覧から［言語］を選択し、［保存する］をクリックします。
［送信］をクリックします。

データ主体による要求の送信

データ主体による要求を受け付けるためのリンクを使用することで、個人（データ主体）はリンクを通じて自分自身で直接要求を送信できます。要求はZoho CRMに自動的に記録されます。個人（データ主体）は指定された手順に従って、要求を送信できます。

データ主体が要求を送信するには

個人（データ主体）は、メールに記載された［データに関する要求のリンク］をクリックする必要があります。
要求を選択して、追加します。
要求の送信を確定します。
送信した要求は、各データの［プライバシー］セクションに記録されます。

すべての未完了の要求の表示

［GDPRコンプライアンス設定］の［概要］セクションには、要求されたすべてのタブが並べ替えられて表示されます。特定の要求のすべてのデータを一覧表示できます。

すべての未完了の要求を表示するには

［設定］→［セキュリティ管理］→［コンプライアンス設定］→［GDPRコンプライアンス］→［概要］の順に移動します。
［未完了のデータ主体の要求］セクションで、対象の要求をクリックして、対応するデータを表示します。
制限した場合の影響についての確認画面が表示されます。［個人情報の共有を制限する］をクリックして、設定を完了します。

こちらに記載されている内容は、法律上の助言ではありません。GDPRに準拠するために必要な対応については、自身の組織の法務担当にお問い合わせください。