GDPRとは?

一般データ保護規則(General Data Protection Regulation:GDPR)は、組織による個人データの取り扱いにおける透明性の向上、アクセスと制御を提供することにより、欧州連合(EU)居住者に各種権限を与える規則です。したがって、すべての企業は、お客さまに対する透明性を保証し、必要な情報のみをお客さまから収集することが求められます。

この規則により、データの収集方法や収集目的、利用方法に対するEU居住者の管理権限が強化されます。また、EU居住者には自らの個人データにアクセスする権利に加え、不要となった情報の削除を要求する権利があります。

企業は、購読者情報の安全性についても責任を負い、データ漏洩はもとより、義務に対する違反についても罰則の対象となります。

この規則には、データ主体(そのデータを企業に管理される個人)が有する一連の権利が列挙されており、企業は必ずこれらに準拠する必要があります。

GDPRにおける重要な3つの役割

GDPRの下では、Zoho Bookingsのデータをやり取りする人々は、通常次の3つのカテゴリーに分類されます。

データ主体:予約の際に個人情報を記入するお客さまを指します。

データ管理者:情報を収集し、お客さまに予約を提供する企業(担当者)を指します。

データ処理者:データ管理者に代わって、収集したデータを取り扱うZoho Bookingsがこれに当たります。

データ主体の権利とZoho Bookingsによる準拠へのサポート

  •  

    情報提供を受ける権利

    Zoho Bookingsには、利用規約に関する項目があります。この項目に基づき、お客さまにデータの収集目的と利用方法を明示的に告知できます。また、この項目を通じて、組織が従い、管理するプライバシーポリシーについても明示できます。

  •  

    データ主体によるアクセスの権利とデータポータビリティ権

    予約完了後、予約概要に関するPDF(ダウンロード可能)がお客さまに提供されます。これは、Zoho Bookingsのメール通知設定を介して、送信することもできます。登録済みのお客さまは、「顧客ポータル」から必要に応じていつでも自らの個人情報にアクセスし、変更できます。

  •  

    訂正権

    ゲストユーザー(サインインまたはサインアップしないユーザー)は、必要に応じて、自らの情報の修正を予約担当者に要求できます。顧客ポータルのメンバーは、自らの手でプロフィール情報を更新できます。

  •  

    忘れられる権利(削除権)

    サインインまたはサインアップせずに予約を行ったお客さまのデータは、お客さまの要求に応じて予約担当者が削除できます。サインインまたはサインアップして予約を行ったユーザーのデータを削除するには、その要望を予約担当者からZoho Bookings宛てにメールで通知してください。

  •  

    処理を制限する権利と処理に反対する権利

    お客さまは、個人データのさらなる処理を制限するために予約をキャンセルできます。提供されたデータは、それ以降処理されません。たとえば、キャンセル後は予約に関するメールやSMS通知が送信されることはなくなります。また予約担当者は、データの処理を希望しないすべてのユーザーに関するリストを管理できます。ユーザーに通知を送信する前に、このリストを事前確認として使用できます。

データに関するベストプラクティス

  • データ収集

    データの収集にあたって、ユーザーから同意を求める場合は、ダブルオプトイン方式で意思確認を行うことをお勧めします。その他にも、正当な利益や契約の履行など、企業が根拠として利用できる合法的な基盤があります。また、データの収集理由についてユーザーに説明する義務があります。内部監査を実施することにより、既にあるお客さまデータの種類と、今後お客さまから収集しなければならないデータの種類を把握できます。わかりやすい言葉で同意を求め、必ず使用目的ごとに同意を得るようにしてください。同意は必ず、お客さまの自由意志により明確に示される必要があります。したがって、同意フォームのチェックボックスに事前にチェックを入れておいたり、項目に予め入力しておいたりすることはしないでください。

  • データ処理

    必要なデータを収集した後は、これをどう処理するかが重要となります。データ主体から収集した個人データは、データ主体が許可する際にデータ主体に明示した目的以外に使用してはなりません。それ以外の不適切な目的に使用した場合は、法律違反により罰せられる恐れがあります。

    データが最新であるか、定期的に見直してください。プライバシーに関する通知に変更を加えた場合は、必ず即座にユーザーに告知してください。保持されるデータ内容やその処理に問題がある場合、データ主体はデータの処理を制限できます。データ主体の制限要求に対応し、それに応じた準備を行う必要があります。

  • データの保存とデータへのアクセス

    企業には、ユーザーの個人データを保護する責任があります。データを紛失した場合や漏洩した場合は、罰せられる恐れがあります。データの保存場所について購読者に通知し、外部サービスや権限のない者による保存データへのアクセスは絶対に許可しないでください。

    同意に基づくアプローチでは、情報への関与は完全に相互に行われます。適用される法律によっては、ユーザーがいつでもサービスをオプトアウトできるようにすることが求められます。また、ユーザーには自らの情報を変更する権利があるため、必要に応じて、ユーザーが自身のデータにアクセスし、これを更新できるようにしておきます。

  • データの消去と移転

    ユーザーから要求があった場合は、システムから外部サービスへの個人データの移転を許可する必要があります。また、個人データが不適切に使用されていると判断した場合、ユーザーはこのデータの削除も要求できます。消去と移転のどちらの場合も、これを要求したユーザーに罰則を科すことはできません。要求に応じて、迅速な措置を講じ、早急に対応することが求められます。

    また(必須条件ではありませんが)、ユーザーが読み取り可能な形式のデータにアクセスし、パスワードで保護されたファイルを通じていつでもデータをダウンロードできるようにすることも重要です。

GDPRに準拠しなかった場合はどうなるか?

GDPRに準拠しない場合、巨額の罰金が科せられます。GDPRに準拠しない場合の制裁は非常に厳しく、2,000万ユーロ(€2,000万)、または組織の前会計年度における全世界年間売上高の4%のいずれか高い方が罰金として科せられます。

GDPR準拠の重要性は明らかです。これらのデータプライバシーに関する法律に従うことにより、お客さまの信頼を尊重している姿勢を示すことができます。

免責事項:ここに掲載された情報は、法的助言として依拠すべきものではありません。GDPRの要件に準拠するために必要なことについては、法的助言を受けることをお勧めします。