このページでは、一般データ保護規則（GDPR）とは何か、また、GDPRに準拠してZoho CRM Plusを利用する方法について解説します。さらに、Zoho CRM Plusの利用に際して顧客の個人データやプライバシーの保護に役立つ主要な機能をご紹介します（GDPRにおいて個人データとは、個人の氏名、メールアドレスなどの個人情報に加え、位置情報、IPアドレス、Cookieの情報など、組み合わせることで個人の特定につながる可能性のあるデータを指します）。

一般データ保護規則（GDPR）とは？

一般データ保護規則（GDPR）は、EU圏内のすべての個人の個人データを保護する目的で欧州連合（EU）によって施行された法令です。EU圏内の市民と居住者の個人データの適切な取り扱いのために制定され、2018年5月25日に適用が開始されました。

GDPRは、EU圏内の居住者の個人データを収集／処理する組織、または、個人データの収集／処理対象となる個人が、EU圏内に活動拠点を置いている場合に適用されます。なお、たとえ組織の活動拠点がEU圏外にあったとしても、EU圏内の個人の個人データを収集／処理する組織に対しては、GDPRが適用されます。

GDPRに準拠するためのZoho CRM Plusの機能

このセクションでは、GDPRに準拠しながらZoho CRM Plusのアプリを利用するための機能について解説します。ご紹介する機能は、法的根拠に基づいたデータ処理、顧客データの保護、データの漏えいに関する適切な対処、プライバシーの保護に役立つものです。GDPRに準拠するには、適切な機能と運用を通じてデータの保護に努めることが大切です。

データ処理の法的根拠

GDPRでは、顧客の個人データの処理が合法と認められるための根拠として、6つの法的根拠が定められています。以下で説明する6つの法的根拠を理解し、業務上の要件に基づいてZoho CRM Plusの各アプリを利用することが重要です。

同意 - 組織が顧客データを処理する場合には、あらかじめ顧客から同意を得た範囲に限ってのみ、データを処理できます。また、個人データの処理に関する同意は、書面や電子的手段などを通じて、顧客によって明確かつ能動的な形で表明される必要があります。Zoho CRM Plusのアプリでは、同意確認のための機能を利用できます。これにより、顧客の同意に基づく、合法的なデータ処理が可能です。同意確認のための機能は、Zoho CRM、Zoho SalesIQ、Zoho Campaigns、Zoho Projects、Zoho Social、Zoho Survey、Zoho Analyticsで利用できます。

契約 - 顧客が当事者となっている契約の履行（サービスの提供）のために、顧客の個人データの処理が必要となる場合、契約に関連した必要性の範囲に限って、顧客の個人データを処理することが可能です。Zoho CRM Plusのアプリでは、契約を個人データ処理の法的根拠として設定したうえで、個人データを管理できます。対応アプリは、Zoho CRM、Zoho Desk、Zoho Socialです。

法的義務 - 法的義務の遵守から個人データの処理の必要性が生じた場合にも、Zoho CRM Plusでは適切な対処が可能です。法的義務を個人データ処理の法的根拠として設定したうえで個人データを管理できるアプリは、Zoho CRMとZoho Surveyです。

生命に関する利益 - 緊急時に個人の生命を保護する目的で個人データを処理できます。たとえば、生命を脅かすような怪我や病気で入院した患者について、救命目的で病歴を開示する必要がある場合などが該当します。その他、自然災害の際の個人データの収集なども該当します。生命に関する利益を個人データ処理の法的根拠として設定したうえで個人データを管理できるアプリは、Zoho CRMです。

公共の利益 - 公共の利益のために特定の作業を実行する必要がある場合、個人データの処理が認められます。たとえば、統計作成や調査実施、科学的研究などのために個人データを処理できます。また、法、行政、議会の特定の働きの遂行のために個人データを処理することも可能です。この場合、データ処理の必要性は文書化される必要があります。また、関連する作業を明確にし、プライバシー規約などを通じてデータ処理の目的を通知する必要があります。公共の利益を個人データ処理の法的根拠として設定したうえで個人データを管理できるアプリは、Zoho CRMです。

正当な利益 - 正当な利益のために個人データを処理することができます。たとえば、ダイレクトマーケティングのために顧客データを処理する場合などが該当します。Zoho CRM Plusの中で、正当な利益を個人データ処理の法的根拠として設定したうえで個人データを管理できるサービスは、Zoho CRM、Zoho Campaigns、Zoho Desk、Zoho Projects、Zoho Social、Zoho Survey、Zoho Analyticsです。

以下の表では、Zoho CRM Plusの各アプリと、6つの法的根拠の対応関係を示しています。

データ主体の権利

GDPRでは、データ主体（個人データを処理／収集される対象）の権利が保障されています。データ主体の権利は、データの処理対象となる個人のプライバシーを保護する目的で規定されています。このセクションでは、データ主体の権利の各内容を踏まえて、Zoho CRM Plusで個人データを適切に取り扱い、顧客のプライバシーを保護するための機能について解説します。

情報提供を受ける権利 - 個人データが収集される際に、データ主体が必要な情報提供を受ける権利です。たとえば、顧客のメールアドレスを収集する際には、収集したメールアドレスの使用目的を顧客に共有する必要があります。Zoho CRM Plusの一部のアプリでは、顧客に対してデータの処理場所や、データの共有／処理目的を提供することが可能です。情報提供を受ける権利に対応するための機能は、Zoho CRM、Zoho SalesIQ、Zoho Campaigns、Zoho Desk、Zoho Projects、Zoho Surveyで利用できます。

データへのアクセスの権利 - データ主体が自分の個人データにアクセスする権利です。Zoho CRM Plusの一部のアプリでは、顧客が自分の個人データを表示／エクスポートしたり、データのコピーを取得したりできます。顧客がデータへのアクセスを請求する際は、口頭または書面による申請が必要です。たとえば、医療機関で自分の医療情報の開示を請求したり、図書館で貸し出しカードに登録されている情報を確認したりする権利が該当します。データへのアクセスの権利に対応するための機能は、Zoho CRM、Zoho Desk、Zoho Projects、Zoho Surveyで利用できます。

忘れられる権利／消去の権利 - データ主体が、自分の個人データの削除を請求する権利です。たとえば、ある銀行の顧客が、口座を解約したい場合、銀行に対して口座と個人データの削除を請求する権利などが該当します。また、顧客は、個人データが適切に処理されていないなどの理由で、自分の個人データの処理の中止を希望する場合には、一度提供した同意を取り消すこともできます。Zoho CRM Plusで忘れられる権利／消去の権利に対応するための機能（個人データの削除申請の受け付けと管理機能）を利用できるアプリは、Zoho CRM、Zoho Campaigns、Zoho Desk、Zoho Projects、Zoho Social、Zoho Survey、Zoho Analyticsです。

データを持ち運ぶ権利（データポータビリティの権利） - データ主体が、自分が提供した個人データを適当な形式で受け取り、別の組織に移行する権利です。Zoho CRM Plusでは、顧客から個人データの移行、コピー、転送を求められた際に、一定のセキュリティを担保しながら個人データを処理し、対応することができます。たとえば、顧客が、自分の口座の残高明細の送付を請求したり、自分が締結した契約の契約書の写しを受領したりする権利が該当します。データを持ち運ぶ権利（データポータビリティの権利）に対応するための機能は、Zoho CRM、Zoho Campaigns、Zoho Desk、Zoho Projects、Zoho Social、Zoho Survey、Zoho Analyticsで利用できます。

異議を述べる権利と制限の権利 - 異議を述べる権利とは、データ主体が、自分の個人データの取り扱いに関して異議申し立てを行うことのできる権利です。たとえば、個人データが、同意なく、ダイレクトマーケティングの目的で使用されたり、公共の利益や正当な利益のために使用されたりした場合に、異議申し立てが可能です。顧客が自分の個人データの取り扱いに関して異議申し立てを行う際は、口頭または書面による申請が必要です。

制限の権利とは、データ主体が自分の個人データが誤った仕方や違法な仕方で処理された場合に、データの処理やデータの処理方法の制限を請求できる権利です。顧客が、データの削除ではなく、データの処理の制限を希望している場合には、口頭または書面で制限を請求する必要があります。Zoho CRM Plusで、異議を述べる権利と制限の権利に対応するための機能は、Zoho CRM、Zoho Desk、Zoho Projectsで利用できます。

訂正の権利 - 訂正の権利とは、データ主体が自分の個人データが不正確または不完全な状態で処理されている場合に、データの修正を請求できる権利です。たとえば、ある銀行の顧客が転居した場合などに、銀行に対して、自分の住所や電話番号の情報の更新を依頼できる権利などが該当します。Zoho CRM Plusで、訂正の権利に対応するための機能は、Zoho CRM、Zoho Desk、Zoho Projects、Zoho Surveyで利用できます。

次の表は、Zoho CRM Plusの各アプリと、データ主体の権利の対応関係を示しています。

プライバシーの保護

Zoho CRM Plusでは、顧客のプライバシー保護に役立つ機能を利用できます。顧客や個人に関する個人情報を適切に収集し、データの不正使用や漏えいを防止しながらデータを管理することが可能です。また、データの種類を指定して、種類ごとにデータへのアクセスを許可したり、制限したりすることも可能です。このような保護機能は、Zoho CRM, SalesIQ、Zoho Campaigns、Zoho Desk、Zoho Projects、Zoho Social、Zoho Survey、Zoho Analyticsで利用できます。

データの漏えいに関する通知

Zoho CRM Plusのアプリでは、データの漏えいに対する適切な対処に役立つ機能を利用できます。Zoho CRM Plusでは、個人データなどへの不正なアクセスがあった場合に、事象（インシデント）発生の72時間以内に管理者に通知が送信されます。また、顧客のプライバシーに関わる漏えいについては、顧客に対しても通知が送信されます。通知の内容として、データの漏えいと、データ保護のための対応措置に関する情報が共有されます。Zoho CRM Plusで、データ漏えいに関する通知機能を利用できるアプリは、Zoho DeskとZoho Projectsです。

プライバシーを保護するためのアプリ設計と初期設定（プライバシーバイデザイン、プライバシーバイデフォルト）

Zoho CRM Plusのアプリは、個人データとプライバシーを適切な仕方で保護するための機能が、企画や開発の段階からあらかじめ組み込まれて設計されています（プライバシーバイデザイン）。また、特別な設定を行わなくても、個人データやプライバシーが最初から保護されるようにあらかじめ設定されています（プライバシーバイデフォルト）。このような設計／設定は、Zoho SalesIQ、Zoho Desk、Zoho Surveyに対して適用されています。

以下の表は、Zoho CRM Plusの各アプリと、以上の機能（プライバシーの保護、データの漏えいに関する通知、プライバシーを保護するための設計と初期設定）の対応関係を示しています。

Zoho CRMの各アプリのGDPR対応機能については以下のリンクをご参照ください。

• Zoho CRM
• Zoho Campaigns
• Zoho SalesIQ
• Zoho Desk
• Zoho Projects
• Zoho Social
• Zoho Survey
• Zoho Analytics

また、Zohoサービス全体におけるGDPR対応については、 こちら をご参照ください。