個人(データ主体)のプライバシーの権利に基づく要求への対応

個人(データ主体)のプライバシーの権利に基づく要求への対応

Zoho Deskには、GDPR(一般データ保護規則)に関する機能や、プライバシーに関する権利に基づく個人(データ主体)からの要求に対応するための機能が用意されています。このページでは、GDPR(一般データ保護規則)の概要、プライバシーに関して個人(データ主体)が有する権利、要求に対してZoho Deskで行える操作について説明します。

GDPR(一般データ保護規則)

GDPR(General Data Protection Regulation:一般データ保護規則)とは、EUの経済領域に所属する各国の個人のプライバシーにおいて、基本的な権利を保護するための法令です。主に個人情報の扱いについての規制であり、企業による個人情報の管理方法や説明責任など、個人のプライバシー保護に関するさまざまな規制が定められています。EUの経済領域に居住する顧客の個人情報を取り扱う場合、各権利について理解した上で、個人(データ主体)からの各権利に基づく要求に対して適切に対応する必要があります。

Info
GDPR(一般データ保護規則)は、EUの経済領域に居住する個人に対して商品やサービスを提供する組織/個人にのみ適用されます。個人情報を所有する個人自体には適用されません。 

GDPR(一般データ保護規則)に関する主な用語
  1. データ管理者(Data Controller) - 個人情報の処理において、その目的や手段を決定する人/組織です。通常、実施にデータを処理するのはデータ管理者ではなく、データ処理者と呼ばれる外部の組織/サービスです。収集した個人情報を管理する権限は、データ処理者ではなくデータ管理者にあります。
  1. データ処理者(Data Processor) - データ管理者に代わって実際にデータを処理する人/組織です。データ管理者とは異なり、データ処理における目的/手段を決定する権限はありません。データ処理者は、データ管理者によって定められた手順/方法に応じてデータを処理します。
  1. データ主体(Data Subject) - データ管理者によって収集/処理される個人情報を所有する個人です。企業においては、顧客/従業員がデータ主体として識別されます。個人情報とは、個人を特定できる可能性のある情報です。名前、携帯電話番号、メールアドレス、住所、クレジットカード番号などが個人情報に該当します。これらの個人情報は、企業が個人とやりとりを行う際に使用されます。

個人(データ主体)の権利

GDPR(一般データ保護規則)の第12条から第23条では、個人(データ主体)の権利が明確に定義されています。個人情報を取り扱う組織に対して個人(データ主体)が有する主な権利は、以下のとおりです。

権利
内容
通知を受ける権利(知らされる権利)
収集された個人情報の内容や、個人情報の使用目的などについて通知を受け取る権利です。
アクセスする権利
自身の個人情報が処理されているかを確認し、処理されている個人情報にアクセスできる権利です。該当の個人情報にアクセスするにあたって、データ管理者に対して対象の個人情報のコピーを要求することができます。
修正する権利 個人情報が正しくない場合に修正したり、完全でない場合に追加で入力したりできる権利です。 
削除する権利(忘れられる権利)
個人情報を取り扱う企業/組織に対して、個人情報の削除を要求する権利です。
処理を制限する権利
特定の条件において、個人情報の処理の制限を要求する権利です。
データポータビリティの権利
自身の個人情報を取得、コピー、移動、転送、再利用する権利です。サービス間において個人情報を移動させることができます。
異議を述べる権利
個人情報を取り扱う企業/組織に対して、個人情報の使用の制限を要求する権利です。
自動処理による個人の意思決定を拒否する権利
自動処理のみに基づいた個人の意思決定、個人の評価/判断を拒否する権利です。

Zoho Deskで可能なデータ主体の要求への対応 

データ主体の要求(DSR:Data Subject Requests)とは、データ管理者に代わって実際にデータを処理する人/組織(データ処理者)によって処理されるデータに関して、データ管理者に対して個人(データ主体)が上記の各権利に基づいて行う要求のことです。

Zoho Deskには、GDPR(一般データ保護規則)に関する機能や、個人(データ主体)からの各権利に基づく要求に対応するための機能が用意されています。データ主体の要求に対応するにあたって、Zoho Deskでは以下の2種類の権利に基づいた要求に対応することができます。
  1. アクセスする権利 - この権利において、個人(データ主体)はデータ管理者に対して、処理対象の個人情報のコピーを要求することができます。Zoho Deskでは、個人(データ主体)からの要求に応じて、Zoho Deskの各タブに保存されている個人情報のコピーを送信することが可能です。対象のデータはエクスポートされ、Zoho Deskの操作画面内からメールで送信できます。
  1. 削除する権利(忘れられる権利) - この権利において、個人(データ主体)は個人情報を取り扱う企業や組織に対して個人情報の削除を要求することができます。Zoho Deskでは、個人(データ主体)からの要求に応じて、Zoho Deskの各タブに保存されている対象の個人情報を完全に削除することが可能です。

データ主体からの要求に関する権限の有効化/無効化

個人(データ主体)からの要求に対応するにあたって、メールや電話を通じて個人(データ主体)からの要求を受け付ける必要があります。

要求を受け付けた後、管理者または担当者はZoho Deskで個人(データ主体)からの要求への対応を開始します。初期設定では、個人(データ主体)からの要求に対応するための権限が設定されているのは管理者のみです。担当者が個人(データ主体)からの要求に対応するには、管理者権限を付与する必要があります。

データ主体からの要求に関する権限を担当者に対して有効/無効にするには
  1. 画面右上の設定アイコン()をクリックします。
  2. [ユーザーと権限][権限]の順に移動します。
  3. 画面左側の[権限]のメニューから、[権限]をクリックします。
  4. [担当者]の権限を選択します。
  5. [管理者権限]の欄で、[プライバシー設定の管理]を有効/無効にします。
Notes
この設定は、すべての部門で適用されます。そのため、権限を持つ担当者/管理者は、所属する部門にかかわらず個人(データ主体)からの要求に対応できます。 

データのエクスポート - アクセスする権利に関する要求への対応

アクセスする権利において、個人(データ主体)から処理対象の個人情報のコピーに関する要求を受けた場合、Zoho Deskでは要件に合わせて対象のデータをエクスポートすることができます。データをエクスポートするにあたって、すべてのタブからデータを取得したり、データを取得するタブを選択したりできます。Zoho Deskの操作画面内から対象の個人(データ主体)にデータを送信することも可能です。

データをエクスポートするには
  1. 画面右上の設定アイコン()をクリックします。
  2. [データ管理][プライバシー設定]の順に移動します。
  3. [新しい個人情報の開示請求の申請]をクリックします。
  4. [申請の種類]の項目で、[データのエクスポート]を選択します。
  5. [タブ]の項目で対象の個人情報が保存されているタブを選択し、[連絡先のメールアドレス]に対象の個人(データ主体)のメールアドレスを入力します。
  6. [参照元の問い合わせ番号]の項目では、問い合わせと申請を関連付けることもできます(任意)。
  7. [データの詳細]の項目で、以下のいずれかを選択します。
    1. 特定のデータ - 指定した条件を満たすデータのみを取得します。
    2. すべてのデータ - 指定したタブから、[連絡先のメールアドレス]の項目に入力したメールアドレスに関連するすべてのデータを取得します。
  8. [データを取得する]をクリックします。
    データの一覧が表示されます。



  9. エクスポートするデータを選択し、[送信する]をクリックします。
    エクスポートの処理が完了すると、個人情報の開示請求の一覧画面に対象の申請が表示され、対象のデータをCSV形式のファイルで取得できるようになります。




  10. ファイルを取得するには、対象の申請にカーソルを合わせてダウンロードアイコン()をクリックします。




担当者/管理者は、個人(データ主体)に対してダウンロードしたファイルをZoho Deskの操作画面内から安全に送信できます。Zoho Deskからのメール送信に関する詳細については、こちらをご参照ください。

データの削除 - 削除する権利(忘れられる権利)に関する要求への対応


削除する権利(忘れられる権利)において、個人(データ主体)から処理対象の個人情報の削除に関する要求を受けた場合、Zoho Deskでは要件に合わせて対象のデータを削除することができます。削除した後、データを復元することはできませんのでご注意ください。

データを削除するには
  1. 画面右上の設定アイコン()をクリックします。
  2. [データ管理][プライバシー設定]の順に移動します。
  3. [新しい個人情報の開示請求の申請]をクリックします。
  4. [申請の種類]の項目で、[データの削除]を選択します。
  5. [タブ]の項目で対象の個人情報が保存されているタブを選択し、[連絡先のメールアドレス]に対象の個人(データ主体)のメールアドレスを入力します。
  6. [参照元の問い合わせ番号]の項目では、問い合わせと申請を関連付けることもできます(任意)。
  7. [データの詳細]の項目で、以下のいずれかを選択します。
    1. 特定のデータ - 指定した条件を満たすデータのみを取得します。
    2. すべてのデータ - 指定したタブから、[連絡先のメールアドレス]の項目に入力したメールアドレスに関連するすべてのデータを取得します。
  8. [データを取得する]をクリックします。
     データの一覧が表示されます。



  9. 削除するデータを選択し、[送信する]をクリックします。 


  10. 表示される確認画面で、[削除する]をクリックします。
    指定したデータが完全に削除されます。データの削除には時間がかかる場合があります。




要求の一覧の表示

Zoho Deskでは、これまでに受け付けた個人(データ主体)からの要求の履歴や対応状況を確認することもできます。個人(データ主体)からの要求の一覧を確認できるのは、管理者または管理者権限を持つ担当者のみです。

個人(データ主体)からの要求への対応状況を表示するには
  1. 画面右上の設定アイコン()をクリックします。
  2. [データ管理][プライバシー設定]の順に移動します。
  3. 画面右上のフィルターアイコン()をクリックし、フィルター条件を指定します。
  4. [フィルター]をクリックします。
     適用したフィルター条件に該当するデータが表示されます。