GDPR対応

欧州の個人データ保護に関する新しい規則であるGDPR(General Data Protection Regulation:一般データ保護規則)を受け、日本の多くの企業も個人情報の保護に関する対策が求められています。 このGDPRでは、お客さまの個人情報を取り扱う際に、透明性と安全性が求められますが、Zoho CRMはGDPRの厳しい基準に準拠しています。 Zoho CRMを導入することで、GDPRに準拠したデータ収集・データ処理をはじめることが可能となります。

  • 機能
  • よくある質問

データ収集

顧客データの入手経路をデータ処理を開始する前に確認し、製品に対するお客さまの関心の有無を検証します。

顧客データの入手経路を追跡

Zoho CRMは、手動での登録はもちろん、Webフォーム、インポート、API、または外部サービス連携により、顧客データをCRMに保存できます。 どの経路から保存されたデータかを記録し、Webフォームの場合は、フォーム名やIPアドレスなどの詳細情報も取得します。

ダブルオプトイン

GDPRの準拠では、Webフォームから顧客データを収集する際、データが送信される前に、お客さまからデータ提供の意思を確認するプロセスが必要です。 Zoho CRMは、Webフォーム用のダブルオプトイン機能に対応しています。 このダブルオプトインを実施することで、GDPRに準拠するだけでなく、本当に興味のある質の高い見込み客に厳選し、情報を獲得できるようになります。

データ処理

顧客データの処理では、合法性・安全性を担保しなくてはなりません。 Zoho CRMは、顧客データに対して行われた各種処理活動を文書化し、説明責任を求められた際もスムーズに対応できます。

データ処理の法的根拠

同意、契約の履行、法的義務、重要な利益、正当な利益または公共の利益という6種の法的根拠のうち、 データに応じてもっとも適した1つの法的根拠に基づき、顧客データを分類、保存します。

同意書

GDPRへの準拠では、データ収集の目的と処理される個人情報に基づき、お客さまから同意を得る必要があります。 Zoho CRMは、同意を取得できるようにフォームを簡単にカスタマイズでき、お客さまへ確認メールを送信できます。  

個人情報をマーク

個人情報を含む項目にマークを付け、そのデータが機密情報であるかを判断できるようにします。 また、コンプライアンスの設定に基づき、エクスポート、API、および連携サービスに機密情報の項目データが渡らないよう制限できます。

データの暗号化(EAR:Encryption At Rest)

Zoho CRMは、最も強力でありかつ最も堅牢な暗号 (AES:Advanced Encryption Standard)の1つを使用し、機密データを暗号化します。 送信中のデータを保護するだけでなく、AES-256暗号化規格を使用してサーバーに格納されたデータを保護し、万一漏洩や収容違反が起こった際にも顧客データの匿名性を保証します。

監査ログ

Zoho CRMの監査ログには、いつ・誰が・どのデータに・何の操作をしたのかを確認するため、ユーザーが行ったデータの削除・変更に関するすべての操作が記録されます。

データ主体の権利

データ主体であるお客さまはGDPRの下で、いつでも自分のデータに関するさまざまな権利を行使できます。 Zoho CRMでは、権利を行使されたお客さまからの請求に対し、以下のように対応できます。

  • データへのアクセス (アクセスする権利) 

    お客さまは、カスタマーポータルを通じ、CRMに登録された自分のデータにアクセスできます。 メールテンプレートを使って、かんたんにお客さまへのカスタマーポータルの案内メールを作成・送信できます。

  • データの修正 (訂正する権利)

    顧客データをエクスポートしお客さまへ送信し、修正されたデータでCRMのデータを上書き更新できます。お客さまがカスタマーポータルへのアクセス権を持っている場合には、必要に応じて自らデータを更新できます。

  • エクスポート(持ち運ぶ権利) 

    顧客データをメールに添付した状態(csv形式)でエクスポートし、そのままお客さまへ送信できます。これにより、ローカルやその他の場所に顧客データが保存されることを防止できます。

  • 処理の停止(処理を制限する権利)

    お客さまがこの権利が行使した場合、顧客データは自動的にロックされ、以降のデータ処理も停止されます。

  • データの削除(忘れられる権利)

    「忘れられる権利」が行使された場合、Zoho CRMからかんたんに顧客データを削除できます。一度削除すると、顧客データはブロックリストに登録され、同じデータが再度システムに追加された際にはユーザーへ警告します。

よくある質問

1. GDPRとはどのようなもので、企業にどのような影響を与えますか?
GDPR(General Data Protection Regulation:EU一般データ保護規則)は、個人データの保護と自由な移動、および子供を含む個人の権利に関するEU(欧州連合)によって策定された新しい規制です。これは既存の個人情報保護指令(Directive 95/46/EC)に代わる一連の規則であり、EU全体で実施されます。GDPRは、EU居住者が個人情報の処理方法を直接制御できるようにし、個人情報のプライバシーを保護します。
2. GDPRは誰に適用されますか?
GDPRは、EUに所在する企業だけでなく、EU居住者と取引を行う企業にも適用されます。
3. GDPRはどのようなデータに適用されますか?
GDPRは個人情報にのみ適用されます。具体的には「識別された、または識別可能な人物に関する情報、またはデータ主体」の個人データです。これには、データ主体(お客さま)の氏名、メールアドレス、場所、およびIPアドレス、SNSプロフィール、およびWebサイトCookieの種類などのその他のオンライン識別子が含まれます。  
4. Zoho CRMのすべてのタブにGDPRが適用されますか?
GDPRは、組織内の人事関連タブにのみ適用されます。Zoho CRMでは、見込み客、連絡先、仕入先、カスタムタブにGDPRが適用されます。
5. GDPRの主要な利害関係者は誰ですか?
  • データ主体: 収集・処理される個人情報に該当する本人
  • データ管理者:データを処理する目的と方法を決定する者。
  • 共同管理者:共同でデータを処理する目的と方法を決定する者。個人データ処理の適法性とGDPR違反に対する責任を負います。
  • データ処理者:データ管理者に代わってデータを処理する個人または企業。
  • 副データ処理者:他社のデータ処理を実行し責任を負う第三者の個人または企業。
  • 監督当局: GDPRの適用を監視する公的機関。
6. GDPRにおいてデータ管理者が顧客データの処理を行うための法的根拠は何ですか?
データ管理者は以下の6件からデータ処理の根拠を選択できます:
  • 1. 契約: 契約上の義務を果たすために顧客の個人データを処理する必要がある場合、または顧客の要求に基づいて何らかの行動を取る必要がある場合(例:見積や請求書の送付など)に適用。
  • 2. 法的義務:適用法に基づく義務を遵守しなければならない場合に適用。(例:権限の調査など有効な要求に応じて情報を提供する場合)
  • 3. 重要な利益: 特に健康データに関する生死に関する緊急事項に適用
  • 4. 公共の利益: 公共機関や公的業務の活動に適用。 
  • 5. 正当な利益:データ管理者または第三者によって行われる正当な利益追及のためデータ処理が必要な場合に適用。(ただし基本的人権に従う)正当な利益には、ダイレクト・マーケティング、個人の利益、またはより広い社会的便益などの商業的利益が含まれます。データ管理者は正当な利益に依拠する場合は、正当な利益の規定とデータ主体の権利と正当な利益のバランスの評価の文書化・保管が必要です。
  • 6. 同意:同意もまたデータを処理するため法的根拠となります。データ主体の同意とは「自由意志に基づき、具体的で、十分に内容を知らされた上で、明示された、データ主体の声明または明白な肯定的な行為によるデータ主体の意志表示」を指します。 
7. 正当な利益の評価(LIA)とは何ですか?
正当な利益の評価(LIA:Legitimate Interests Assessment)は、組織が顧客の個人データを処理する根拠を指定するものです。 組織は、処理が必要であることを示すためにLIAを実施しなければなりません。
  • 正当な利益が存在するかどうかの評価
  • 処理の必要性の確立
  • バランシングテストの実施
 
8. データ保護責任者(DPO)とは何ですか?
データ保護責任者(DPO:Data Protection Officer) 内部コンプライアンスの監視、データ保護義務の通知と助言、データ保護影響評価(DPIA)に関する助言またはデータ主体と監督当局との接点としての役割を果たします。データ保護責任者は、データ処理に関連する活動を監督する監督当局(SA)との間の連絡窓口としても機能します。どの組織にもDPOを置くことをお勧めします。
9. 既存の顧客データに対してGDPRを有効にするにはどうすれば良いでしょうか?
既存の顧客データに対してGDPRを有効にするには、[ 設定 ] > [ ユーザーと管理 ]> [ コンプライアンス設定 ]をクリックします。コンプライアンス設定をオンにし、コンプライアンスが適用されるタブを選択してください。 
10. GDPRが有効になった後、Zoho CRMの既存のデータはどうなりますか?
GDPRが5月25日に発効した後、Zoho CRMのすべての既存データを適切な法的根拠に基づいてマークする必要があります。以下の場所から行うことができます:
  • 概要ページ
  • 関連するタブのリストビュー
  • 個別のデータ画面
11. Zoho CRMは、GDPRコンプライアンス対応においてどのように役立ちますか?
GDPR対応におけるZoho CRMのメリットは以下の通りです。

データ入手経路の管理: Zoho CRMでは、データの詳細画面でデータの入手経路(Webフォームやインポート、手入力、API、その他の外部サービスなどの直接的な入手元)、追加情報(URL、IPアドレスなど)を記録できます。これらの詳細情報は、リクエストに応じて顧客と共有しなければなりません。

個人情報項目の設定:個人情報を含む項目、および機密情報項目を設定すると、操作を制限できます。

データ主体の権利:お客さまは、データへのアクセス、修正、削除、エクスポート、およびデータの処理の制限を求める権利を保有しています。お客さまから要求があった場合、データ管理者としてこれらの処理を実行する必要があります。
12. Zoho CRMでGDPRの対象となるデータに関する権利はどのようなものでしょうか?
データ主体はZoho CRMにおいて、GDPRの8つの基本的な権利のうち5つを保有します:
  • アクセスする権利: データ主体は、どのような情報が保持され、どのように処理されているかを正確に把握する権利を保有しています。(GDPR第15条)
  • 訂正する権利:データ主体は、不正確または不完全な場合に備え、個人情報を訂正する権利を保有しています。(第16条)
  • 持ち運ぶ権利:データ主体は、一般的で読み取り可能な形式でデータを受け取る権利を保有しています。お客さま固有の情報は、他のデバイスにダウンロードされることなく、メールに添付ファイル(csv形式)として直接エクスポート、送信することができます(第20条)。
  • 処理を制限する権利:個人は、データ管理者がデータを処理できる目的を制限する権利があります。(第18条)
  • 削除する権利:「忘れられる権利」としても知られています。個人は個人情報をいつでも削除または削除する権利があります。(第17条)
13. 顧客からの同意を得る方法は何がありますか?
メール(メール本文またはメールに添付されている同意書)、ポータル、または口頭での対話を通じて、お客様から同意を得ることができます。
14. 組織がGDPRに準拠していないとどうなりますか?
データの処理に必要な顧客の承諾を得ていないか、または設計思想がプライバシーの核心を侵害しているなど、最も重大なデータ侵害または侵害の場合、組織は、年間売上高の4%、または2,000万ユーロ(いずれか高い方)の罰金を科せられることがあります。
監督当局および顧客に違反について通知したり、適切に正当な利益の評価を実施しなかった場合、年間売上高の2%、または1,000万ユーロ(いずれか高い方)の罰金を科せられることがあります。
15. EUに拠点がなく、EUの顧客もいない場合、GDPRに従う必要がありますか?
EU内で事業を行っていない場合、またはEU居住者と取引していない場合は、GDPRへの対応は必須ではありません。ただし、顧客データのセキュリティとプライバシー対策をより確実にしたい場合は、GDPRのコンプライアンスを有効にすることをお勧めします。 [ 設定 ] > [ユーザーと管理]> [コンプライアンス設定]から有効にできます。
16. GDPRではデータの暗号化は必須ですか?  
いいえ、GDPRでは顧客データの暗号化は強制ではありません。ただし、Zoho CRMでは、項目のプロパティ画面から手動で項目の暗号化をできます。
17. 暗号化された項目をWebフォームで使用できますか?
はい、Webフォームでは暗号化された項目を使用できます。
18. コンプライアンス設定をオフにした場合、既存のデータ処理基準にどのように影響しますか?
コンプライアンス設定をオフにすると、以前にデータ主体のデータで行った処理が無効になり、データは法的根拠なしに処理されることになります。
19. 顧客はZoho CRMからデータを削除または削除できますか?
お客さまは個人情報をCRMから削除または削除することが要請できる 削除する権利(忘れられる権利としても知られています)(第17条)を行使できます。データ管理者として、データを保持の法的義務がある限り、お客さまがデータを要求した場合はデータを削除する必要があります(詳細はGDPRの第17条を参照)。
20. データ管理者は、Zoho CRMで行われたさまざまなデータ処理を確認できますか?
データ管理者は、Zoho CRMの履歴画面から、個々のデータに対するデータ処理(更新や変更)を確認できます。  
21. データ処理にダブルオプトインは必須ですか?
いいえ、ダブルオプトインはデータ処理には必須ではありません。ただし、お客さまが製品に真に関心を持っていることを確認するために、ダブルオプトインをお勧めします。ダブルオプトインでは、Webフォームを通じて登録したお客さまに認証メールが送信されます。
22. 一定の期間内に顧客が同意メールに返信しない場合、データはどうなりますか?
お客さまが同意メールに返信しない場合、データ管理者は返答を待つ時間を決定できます。その期間を過ぎた場合、データのステータスは「返答なし」となり、データは処理されません。
23. データ管理者はZoho CRMの項目を個人情報かどうか分類できますか?  
データ管理者は、項目をZoho CRMで個人情報/機密情報として設定できます。管理者は、これらの項目に対するデータのエクスポート、API、およびそのほか外部連携サービス(Zoho Books、Zoho Finance、Zoho Campaigns 他)などの処理を制限することもできます。
24. データ処理の法的根拠に応じて、見込み客や連絡先を抽出できますか?  
はい、データ処理の法的根拠に応じて、見込み客や連絡先を抽出できます。
25. データ主体は、データ管理者に同意する前に、自分のデータを編集または削除できますか?
はい、データ主体は、訂正する権利(第16条)と削除する権利(第17条)に基づいて、個人データを編集し更新できます。  
26. Zoho CRMのコンプライアンス設定には誰がアクセスできますか?
管理者権限を持つユーザーが、Zoho CRMのコンプライアンス設定にアクセス可能です。
27. データ処理の法的根拠は定期的に見直す必要がありますか?
データ管理者として、データ処理の法的根拠を定期的に見直し確認する必要があります。これは、最初に設定した個人データ処理の法的根拠とデータ収集の目的が、時間とともに変化する可能性があるためです。
28. データが現在米国のデータセンターにあります。このデータをGDPRの遵守のためにEUデータセンターに移行するにはどうすればよいですか?
GDPRは、データがEUの国境内にのみ存在することを義務付けるものではありません。実際には、EU外の国々との間で自由にデータをやりとりするための転送の枠組みなのです。
 
転送の枠組みとは、拘束的企業準則(第47条)、Privacy Shield、モデル契約条項などを指します。 したがって、米国(zoho.com)にデータを持ち、データ処理補足契約書(DPA:Data Processing Addendum)に署名していれば、データは安全です。
 
EUモデル契約条項を参照しているデータ処理補足契約書は、依然として非EU諸国からのデータの転送に有用です。最新のデータ処理補足契約書が必要な場合は、zoho.comzoho.euにユーザー登録していることを明記の上、gdpr-compliance@zohocorp.comにメールをお送りください。
 
ただし、実際にEU DCにデータを移行する必要がある場合は、使用しているすべてのZoho サービスを明記の上、security@zohocorp.comにメールをお送りください。このメールは、記載されたサービスのチームに転送されます。
29. GDPRに関する資料はどこで確認できますか?
GDPRの追加情報を確認できるページ(英語)の一覧です。
  • bsi-assurance
  • Privacy Shield
  • TRUSTe
  • SOC

免責事項: ここに掲載された内容は、法的助言として依拠すべきものではありません。 GDPRの影響に関して、またGDPR準拠に必要なことについては法律顧問にご連絡ください。