Zoho CRM PlusにおけるGDPR準拠
このページでは、GDPR とは何か、および Zoho CRM Plus がどのように GDPR に準拠しているかを説明します。Zoho CRM Plus でお客様データを保護・防御するために実装している主な要件について順を追ってご紹介します。
What is GDPR?
一般データ保護規則(GDPR)は、EU 域内のすべての個人の個人データを保護することを目的として、欧州連合によって施行される法律です。この法律により、EU の市民および居住者は自らの個人データを管理できるようになります。この法律は 2018 年 5 月 25 日に施行されます。
GDPR は、EU 居住者からデータを収集する、または EU に拠点を置く組織や個人に代わってデータを処理するすべての組織に適用されます。また、EU 域外に所在しつつ、EU 域内の個人の個人データを収集・処理する組織にも適用されます。
GDPR in Zoho CRM Plus
このセクションでは、Zoho CRM Plus アプリケーションに実装されている主な GDPR 要件について説明します。これらにより、適法な根拠に基づくデータ処理、お客様のデータ主体の権利の実装、個人データおよびセキュリティ侵害への対応、適切な技術的・組織的対策によるデータ保護原則の実装を通じてプライバシーを保護することができます。
Lawful Bases for Processing Data
GDPR では、お客様の個人データを処理するための適法な根拠を 6 つ定義しています。自社の業務ニーズに基づき、Zoho CRM Plus の各アプリケーションでこれらを正しく理解し、適切に利用することが重要です。
同意(Consent) - Zoho CRM Plus では、各アプリケーションに適切な同意取得メカニズムが用意されており、データ処理の適法な根拠を確保できます。組織がお客様データを取り扱う場合は、個人データを処理する前にお客様から同意を取得する必要があります。同意は、書面、電子的手段、またはお客様が個人データの処理に同意していることを示す明確な肯定的行為によって得ることができます。同意管理は、CRM、SalesIQ、Campaigns、Projects、Social、Survey、Analytics に実装されています。
契約(Contract) - Zoho CRM Plus では、各アプリケーションで契約を管理できるため、GDPR ガイドラインに準拠するうえでの義務、責任、責務を把握できます。お客様の個人データを処理する場合、書面による契約は不可欠です。契約は、CRM、Desk、Social において、データ処理の適法な根拠として利用されています。
法的義務(Legal Obligation) - Zoho CRM Plus は、各アプリケーションにおいてお客様の個人データを処理する際に関わるあらゆる法的義務への対応を支援し、法令遵守を可能にします。データ処理の適法な根拠としての法的義務は、CRM と Survey に実装されています。
重大な利益(Vital Interests) - 緊急時に誰かの生命を守るために個人データを処理することができます。たとえば、生命の危険があるけがや感染症で人が入院した場合、その人の生命を救うために医療履歴を開示する必要が生じることがあります。また、自然災害時に個人のデータを収集する場合もあります。CRM では、データ主体の重大な利益を保護するために、適法な根拠に基づいて個人データを処理できます。
公益上の任務(Public Task) - 特定の任務を公益のために遂行する必要がある場合、個人データの処理が認められます。たとえば、統計目的、調査の実施、科学的研究などのために個人データを処理することができます。また、一定の法定、政府、議会の機能を遂行するために個人データを処理することも可能です。公益上の任務を遂行する必要性は文書化し、関連する任務を特定して、その目的をプライバシーポリシー内で適法な根拠として明示する必要があります。CRM では、個人データ処理の適法な根拠として公益上の任務を利用できます。
正当な利益(Legitimate Interests) - Zoho CRM Plus は、各アプリケーションにおいて正当な利益に基づく適法な根拠でデータ処理を行えるようにしています。たとえば、正当な利益に基づき、クライアントのデータをダイレクトマーケティング目的で処理することができます。Zoho CRM Plus では、CRM、Campaigns、Desk、Projects、Social、Survey、Analytics において、正当な利益に基づくデータ処理が可能です。
以下の表は、Zoho CRM Plus の各アプリケーションに実装されている、個人データ処理の 6 つの適法な根拠を示しています。
| Zoho CRM Plus アプリケーション | 適法な根拠に基づくデータ処理 | |||||
| Consent | Contract | Legal Obligation | Vital Interests | 公益上の任務 | Legitimate Interests | |
| CRM | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| SalesIQ | ✓ | - | - | - | - | - |
| Campaigns | ✓ | - | - | - | - | ✓ |
| Desk | - | ✓ | - | - | - | ✓ |
| プロジェクト | ✓ | ✓ | ✓ | - | - | ✓ |
| ソーシャル | ✓ | ✓ | - | - | - | ✓ |
| Survey | ✓ | - | ✓ | - | - | ✓ |
| 分析 | ✓ | - | - | - | - | ✓ |
メモ: Zoho CRM Plus の各アプリケーションで、データ処理の法的根拠がどのように扱われているかを確認するには、それぞれのアプリケーションで利用可能な GDPR ヘルプを参照してください。
データ主体の権利
GDPR で定められている主要な要件の 1 つが、データ主体の権利です。GDPR は、個人データが保護されプライバシーが維持されるよう、個人に一定の権利を付与しています。このセクションでは、Zoho CRM Plus が個人データを保護し、顧客のデータプライバシーを確保するために実装している、いくつかのデータ主体の権利について説明します。
通知を受ける権利(情報提供を受ける権利) - Zoho CRM Plus では、各アプリケーションで顧客データがどこで処理されているか、またどのような目的でデータが共有・処理されているかについて、顧客に詳細を提供することができます。例えば、顧客のメールアドレスを収集する場合、そのメールアドレスがどのような目的で使用されるのかを顧客に知らせる必要があります。通知を受ける権利は、CRM、SalesIQ、Campaigns、Desk、プロジェクト、Survey で実装されています。
データにアクセスする権利 - Zoho CRM Plus では、各アプリケーションで管理・処理されている自分のデータを、顧客が表示、エクスポート、およびコピーを取得できるようにすることができます。顧客は口頭または書面でリクエストを行うことができます。例えば、顧客は医療機関や図書館から、自身の個人データを要求し、会員の更新時期を把握することができます。データへのアクセス権は、CRM、Desk、プロジェクト、Survey で実装されています。
忘れられる権利/消去を求める権利 - 顧客は、個人的な理由から自分のデータの削除を求める場合があります。例えば、顧客が口座を保有している特定の銀行のサービスを今後利用したくない場合、口座を閉鎖し、その銀行に対して自分のデータの消去を依頼することができます。また、顧客は、自分のデータの処理に異議を唱える場合や、データが不正に処理されていると考える場合には、同意を撤回することもできます。Zoho CRM Plus では、処理に必要でなくなった場合に、CRM、Campaigns、Desk、プロジェクト、ソーシャル、Survey、分析で顧客の個人データを削除できるようになっています。
データポータビリティの権利 - Zoho CRM Plus では、顧客がデータの移転、コピー、または転送を求めた場合に、各アプリケーションで機械判読可能な電子形式で、安全かつセキュアにデータを取り扱うことができます。例えば、顧客は銀行に対して、現在の口座残高の詳細を送付するよう依頼したり、自分に送られた法的文書のコピーを要求したりすることができます。データポータビリティの権利は、CRM、Campaigns、Desk、プロジェクト、ソーシャル、Survey、分析で実装されています。
異議を唱える権利および処理の制限を求める権利 - 顧客は、自分の個人データがダイレクトマーケティング目的で使用されている場合や、公的な利益のため、または公的権限の行使、正当な利益のために行われる業務において処理されている場合に、その処理に異議を唱えることができます。リクエストは口頭または書面で行うことができます。
また、個人は、自分のデータが不正確である、または不正に処理されていると判断した場合に、個人データの処理を制限し、組織によるデータの利用方法を制限することもできます。さらに、個人がデータの消去は望まず、代わりに処理の制限のみを希望する場合も、口頭または書面でその旨を依頼できます。Zoho CRM Plus では、異議を唱える権利および処理の制限を求める権利は、CRM、Desk、プロジェクトで実装されています。
訂正を求める権利 - 顧客や個人は、自分のデータが不正確または不完全な場合に、その訂正を求めることができます。例えば、顧客が別の国、州、市区町村に引っ越した場合、銀行に対して現在の住所や電話番号の更新を依頼することができます。Zoho CRM Plus では、訂正を求める権利は CRM、Desk、プロジェクト、Survey で実装されています。
次の表は、Zoho CRM Plus の各アプリケーションで実装されているデータ主体の権利の詳細を示しています。
| Zoho CRM Plus アプリケーション | データ主体の権利 | |||||
| 通知を受ける権利/情報提供を受ける権利 | データにアクセスする権利 | 忘れられる権利/消去を求める権利 | 異議を唱える権利および処理の制限を求める権利 | 訂正を求める権利 | データポータビリティの権利 | |
| CRM | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| SalesIQ | ✓ | - | - | - | - | - |
| Campaigns | ✓ | - | ✓ | - | - | ✓ |
| Desk | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| プロジェクト | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Social | - | - | ✓ | - | - | ✓ |
| Survey | ✓ | ✓ | ✓ | - | ✓ | ✓ |
| 分析 | - | - | ✓ | - | - | ✓ |
メモ: Zoho CRM Plus の各アプリケーションで実装されているデータ主体の権利の詳細については、各アプリケーションで利用可能な GDPR ヘルプを参照してください。
データのプライバシー
Zoho CRM Plus は、データのプライバシーを効果的に管理するのに役立ちます。顧客や個人に関するあらゆる個人情報が、法的に収集され、そのデータが不正利用や悪用から守られるよう、収集・管理・保護されることを保証します。また、個人または組織が、どの種類のデータを共有するか、あるいは制限するかを決定できるようにします。データのプライバシー機能は、CRM、SalesIQ、Campaigns、Desk、プロジェクト、Social、Survey、分析で実装されています。
データ侵害通知
Zoho CRM Plus は、各アプリケーションに適切な対策を講じることで、データ侵害やセキュリティ侵害を効果的に処理できるようにします。個人データまたはセキュリティの侵害が発生した場合、Zoho CRM Plus は、当該事案の発生から 72 時間以内に、所轄監督機関に通知します。顧客のデータのプライバシーに影響を及ぼす可能性がある場合は、顧客にも侵害について通知されます。データ侵害の詳細およびデータ保護のために講じるべき是正処置についても通知されます。Zoho CRM Plus では、データ侵害通知機能は Desk とプロジェクトに実装されています。
プライバシー・バイ・デザインおよびプライバシー・バイ・デフォルト
Zoho CRM Plus は、アプリケーションでデータが処理される設計・開発の初期段階から、各アプリケーションにおいて適切なデータ保護およびプライバシー対策をデフォルトで効果的に実装できるようにします。データのセキュリティとプライバシーを保護・確保するため、関連するアプリケーションにはデフォルトのプライバシー設定が適用されます。プライバシー・バイ・デザインおよびプライバシー・バイ・デフォルトは、SalesIQ、Desk、Survey に実装されています。
以下の表は、Zoho CRM Plus において、データのプライバシー、データ侵害通知、プライバシー・バイ・デザインおよびデフォルトが実装されているアプリケーションを一覧にしたものです。
| Zoho CRM Plus アプリケーション | データのプライバシー | データ侵害通知 | プライバシー・バイ・デザインおよびデフォルト |
| CRM | - | - | |
| SalesIQ | - | ||
| Campaigns | - | - | |
| Desk | |||
| プロジェクト | - | ||
| Social | - | - | |
| Survey | - | ||
| 分析 | - | - |
Zoho CRM Plus の各アプリケーションにおける GDPR 対応の詳細については、以下のリンクをクリックしてご確認ください。
Zoho の GDPR 対応状況についての詳細は、Zoho の GDPR 対応をご覧ください。