Zoho CRMでGDPR(一般データ保護規則)に準拠

お客様の個人データを保護するだけでは充分ではありません。欧州の個人データ保護に関する規則であるGDPRでは、お客様の個人データを取り扱う際に、透明性と安全性が求められます。Zoho CRMを使用し、GDPRに準拠してデータ収集、データ処理を行いましょう。

ビデオを見る

  • 機能
  • よくある質問

データ収集

顧客データの処理を開始する前に、データの入手経路を追跡し、製品に対するお客様の関心の有無を検証します。

データの入手経路を追跡ダブルオプトイン
データの入手経路を追跡

Zoho CRMには、顧客データ入手に複数の経路(Webフォーム、インポート、API、または外部サービス連携)があり、それらをすべて顧客データの詳細で追跡します。Webフォームの場合は、フォーム名やIPアドレスなどの詳細情報も取得します。

ダブルオプトイン

Zoho CRMは、Webフォーム用のダブルオプトイン機能に対応しており、Webフォームから顧客データを収集する際、データがZoho CRMに送信される前に、お客様のデータ提供の意思を確認します。ダブルオプトインを使用することでリードを厳選できるため、時間とリソースを本当に関心を持った質の高い見込み客に集中できるようになります。

データ処理

顧客データを処理する際には、合法性と安全性を確保する必要があります。顧客データに対して行われた各種の処理を文書化し、説明責任に対応します。

データ処理の根拠同意書個人情報フィールドをマーク保存データの暗号化監査ログ
データ処理の根拠

正当な利益、同意、契約の履行、法的義務、重大な利益、公共の利益というデータ処理の6種類の法的根拠の1つに基づき、顧客データを判別、分類、マークします。

同意書

お客様の種類と処理される個人情報に基づき、お客様から同意を得る必要があります。Zoho CRMでは、カスタマイズされたフォームでかんたんにお客様の同意を得ることができます。フォームはメールで送信できます。

個人情報フィールドをマーク

個人情報が含まれたフィールドをマークし、その情報が機密情報かどうかを判断します。また、コンプライアンス設定の構成に基づき、エクスポート、API、そして連携サービスの際に、それらのフィールドの情報が渡されないように制限することもできます。

保存時のデータ暗号化(EAR)

Zoho CRMでは、最も強力で最も堅牢な暗号であるAES(Advanced Encryption Standard)の1つを使用して機密データを暗号化します。送信中のデータを保護するだけでなく、Zoho CRMでは、AES-256暗号化規格を使用してサーバーに格納されたデータを保護し、万一漏洩や侵害が発生した場合でも顧客データの匿名性を保証します。

監査ログ

監査ログを使用してチームの活動を記録し、誰がいつ何をしたのかを追跡できます。たとえば、レコードの削除や変更に関しユーザーが行ったあらゆる操作が監査されます。

データ主体の権利

お客様はGDPRの下で、いつでも自身のデータに関するさまざまな権利を行使できます。Zoho CRMでは、お客様からの請求を追跡し、適時に対応できます。

  • データへのアクセス(アクセスする権利)

    お客様は、カスタマーポータルを通じ、CRMに登録された自身のデータにアクセスできます。お客様がデータにアクセスできることを、メールでお客様にお知らせできます。このメールは、テンプレートに必須の結合フィールドを挿入してかんたんに作成できます。

  • データの修正(修正する権利)

    かんたんに顧客データをエクスポートしてお客様へ送信し、修正されたデータでCRMのデータを上書き更新できます。お客様がカスタマーポータルにアクセスできる場合には、お客様は必要に応じてポータルでデータを確認し、更新できます。

  • エクスポート(データを携帯する権利)

    顧客データをCSVファイルとしてエクスポートし、それをメールに添付してお客様に送信できます。このようにエクスポートすることで、外部デバイスに顧客データが保存されることがありません。

  • 処理の停止(処理を制限する権利)

    お客様がこの権利を行使した場合、そのお客様の顧客データが自動的にロックされ、それ以降のデータ処理が停止されます。

  • データの削除(忘れ去られる権利)

    「忘れ去られる権利」が要求された場合、Zoho CRMから顧客データをかんたんに削除できます。いったん削除されると、その顧客データはブロックリストに登録されます。同じデータが再度システムに追加された場合にはユーザーに警告が表示されます。

よくある質問

1. GDPRとは何ですか。組織にどのような影響をもたらしますか?
一般データ保護規則(GDPR)は、欧州連合(EU)によって作成された、個人データの保護と自由な移動、ならびに子供を含む個人の権利に関する新しい規制です。既存のEUデータ保護指令(指令95/46/EC)を置き換える規制であり、EU全体で施行されます。GDPRにより、EU居住者は各自のデータの処理方法をコントロールできるようになり、データプライバシーが保護されます。
2. GDPRは誰に適用されますか?
GDPRは、EU地域に所在する組織ならびに、その所在地にかかわらず、EU居住者と取引を行う組織に適用されます。
3. GDPRはどのような種類のデータに適用されますか?
GDPRは個人データのみに適用されます。個人データとは、「識別された、または識別され得る人間またはデータ主体に関するあらゆる情報」と定義されています。これには、データ主体の(顧客の)氏名、メールアドレス、所在地、その他のオンライン識別子(IPアドレス、ソーシャルメディアのプロファイル、WebサイトのCookieの種類など)が含まれます。
4. GDPRコンプライアンスは、Zoho CRMのすべてのモジュールに適用されますか?
GDPRコンプライアンスは、組織内の、人に関連するモジュールのみに適用されます。Zoho CRMでは、GDPRは、リード、連絡先、ベンダー、カスタムモジュールに適用されます。
5. GDPRの主な利害関係者は誰ですか?
  • データ主体-貴社が個人データを収集し、処理する対象の人。
  • データ管理者-データ処理の目的と方法を決定する人。
  • データ連帯管理者-データ処理の目的と方法を連帯して決定する2人以上の管理者。
  • データ処理者-データ管理者の代わりにデータを処理する人または組織。
  • 下請けデータ処理者-他の組織のためにデータ処理を実施する、データ処理の責任を負う外部の個人または会社。
  • 監督当局- GDPRの適用を監視する公共機関。
6. データ管理者が顧客データを処理するための法的根拠は何ですか?
データ管理者は、データを処理する際にその根拠を以下の6つから選択できます。
  • 1. 契約- これは、契約の義務を達成するため、またはお客様の要求(見積書や請求書の送付など)に基づいて何らかの行動をとるためにお客様の個人データを処理する際に該当します。
  • 2. 法的義務- これは、該当法の義務に準拠する際に該当します(当局による捜査で情報が要求され、それに対して情報を提供する場合など)。
  • 3. 重要な利益- これは生死にかかわる緊急時に該当します。特に健康上のデータに該当します。
  • 4. 公共の利益- これは公的機関の業務に該当します。
  • 5. 正当な利益- 正当な利益には、ダイレクトマーケティング、個人の利益、または広範な社会的利益などの商業的利益が含まれます。管理者は、「正当な利益」を根拠として決定した事実を正当な利益の評価のフォームに文書化し、記録を保存する必要があります。
  • 6. 同意- 同意もデータを処理するための法的根拠のうちの1つです。データ主体の同意とは、「声明または明らかに積極的な行為により、その者が同人に関する個人データの処理への同意を表明することによる、データ主体の自由意志に基づく、十分に情報を知らされた上での、具体的でかつ明確な意思表示」を意味します。
7. LIAとは何ですか?
LIAとは、正当な利益の評価を意味します。組織が顧客の個人データを処理する理由を指定するものです。また組織は、データ処理の必要性を示すためにもLIAを実施する必要があります。
  • 正当な利益が存在するかどうかの評価
  • 処理の必要性の証明
  • 釣り合い試験のパフォーマンス
8. DPOとは誰/何ですか?
DPOとはデータ保護責任者のことで、内部コンプライアンスの監視を支援し、データ保護義務についてアドバイスならびに支援し、データ保護の影響評価(DPIA)についてアドバイスし、データ主体と監視当局の間の連絡点として機能します。
さらにDPOは、組織と、データ処理に関する活動を監視する監視当局(SA)の間の連絡点としても機能します。各組織でDPOを設置することが望まれます。
9. 既存のお客様には、どのようにGDPRを適用できますか?
既存のお客様にGDPRを適用するには、[設定] > [ユーザーとコントロール] > [コンプライアンス設定]をクリックし、コンプライアンスの設定をオンにし、コンプライアンスが該当するモジュールを選択します。
10. GDPRの施行後、Zoho CRMにある既存データにはどのような影響がありますか?
5月25日のGDPR施行後、Zoho CRMアカウントにあるすべての既存レコードは、該当する法的処理根拠に基づいてマークされる必要があります。これは以下で実行できます。
  • 概要ページ
  • 該当モジュールのリストビュー
  • 個々のレコード
11. Zoho CRMは、どのようにGDPRコンプライアンスを支援しますか?
Zoho CRMは、以下の方法でGDPRコンプライアンスを支援しています。

データソースの追跡- Zoho CRMはデータのソース(Webフォームのような直接的なソースやUI/インポート/API/外部サービス提携などの非直接的なソース)と追加情報(URL、IPアドレスなど)をレコードの[詳細]ページに記録します。これらの詳細は、お客様から要請があった場合に共有されます。

個人フィールドのマーク- ユーザーは、個人データを含むこれらのフィールドをマークしたり、機密情報フィールドをマークしたりすることができます。

データ主体の権利- さらにお客様は、データのアクセス、修正、削除、エクスポート、処理の制限を依頼する権利を持ちます。そしてデータ管理者はこれらの作業を実施する必要があります。
12. GDPRに基づきデータ主体はZoho CRMでどのような権利を持ちますか?
データ主体は、GDPRに基づきZoho CRMで8の基本的権利のうちの5つを持ちます。
  • アクセスする権利- お客様には、自分に関してどのような情報が保持されており、それがどのように処理されるかを正確に知る権利があります。(GDPRの15条)
  • 修正する権利- 個人/お客様には、個人データが不正確または不完全な場合に、その修正を求める権利があります。(16条)
  • 携帯する権利- 顧客特有の情報は、別のデバイスにダウンロードすることなく、機械で読み取り可能な形式で(CSV)エクスポートし、メールに添付し、お客様に送信することができます(20条)。
  • 処理を制限する権利- 個人は、自身のデータがデータ管理者によって処理される目的を制限する権利を持ちます。(18条)
  • 消去の権利- 「忘れ去られる権利」とも呼ばれます。個人は、いつでも自身の個人データの削除を求める権利を持ちます。(17条)
13. お客様から同意を得る他の方法にはどんなものがありますか?
メール(メール内またはメールに添付された同意書で)、ポータル、または電話で口頭でお客様から同意を得ることができます。
14. 組織がGDPRに準拠しないとどのような罰則がありますか?
データ処理のために顧客から十分な同意を得ていない場合やプライバシーバイデザイン(Privacy by Design)の基本概念違反を含む、最も深刻なデータ違反や侵害では、世界中での年間売上高の4%、または2000万ユーロのいずれか大きい額が罰金として課せられます。
規制に従って記録を整理していない場合、違反について監視当局や顧客に通知しなかった場合、またはLIAを正しく実施しなかった場合には、世界中での年間売上高の2%、または1000万ユーロのいずれか大きい額が罰金として課せられます。
15. 私のビジネスの所在地はEUではなく、EUの顧客もいません。それでもGDPRに準拠する必要がありますか?
EUでビジネスを行っていない場合や、EU居住者との取引がない場合には、GDPRは必須ではありません。しかし、より良い顧客データのセキュリティとプライバシーを希望している場合には、GDPRコンプライアンスをオンにすることをお勧めします。[設定] > [ユーザーとコントロール] > [コンプライアンス設定]の順にクリックしてコンプライアンスをオンにできます。
16. GDPRでは、データの暗号化は必須ですか?
いいえ、顧客データの暗号化は、GDPRで義務付けられていません。ただしZoho CRMでは、フィールドのプロパティのページでフィールドを手動で暗号化することができます。
17. Webフォームで暗号化されたフィールドを使用できますか?
はい、Webフォームで暗号化されたフィールドを使用できます。
18. コンプライアンスをオフにしました。これは既存のデータ処理原則にどのように影響しますか?
コンプライアンス設定ページでをコンプライアンスをオフにすると、データ主体のデータに対して以前に行った処理は無効になり、そのデータの処理には何の原則も使用されなくなります。
19. お客様はZoho CRMから各自のデータを削除することはできますか?
お客様は、消去の権利(「忘れ去られる権利」とも呼ばれる)(17条)を行使し、CRMから自身の個人データを削除するように求めることができます。データを維持する優先的な法的義務がない限り、データ管理者は、そのような要求がお客様からあった場合、データを削除する必要があります(EU GDPRの17条を参照のこと)。
20. データ管理者は、Zoho CRMで発生するさまざまなデータ処理活動をどのようにして追跡できますか?
データ管理者は、Zoho CRMで既存のタイムラインビューを表示し、データ処理活動や個々のレコードに対して行われたアップデートや変更を追跡できます。
21. ダブルオプトインはデータ処理で必須ですか?
いいえ、ダブルオプトインはデータ処理で義務付けられていません。しかし、お客様が本当に製品に関心を持っているかどうかを確認するため、ダブルオプトインをお勧めします。ダブルオプトイン機能では、お客様がWebフォームで登録した後に、お客様の身元を確認するためのもう一通のメールが送信されます。
22. 特定の期間内にお客様が同意のメールに返信しなかった場合、データはどうなりますか?
お客様が同意のメールに返信しなかった場合、データ管理者は、返答を持つ時間を決定できます。その期間が経過すると、レコードのステータスが「未返信」となり、データは処理されなくなります。
23. データ管理者はZoho CRMのフィールドをどのようにして分類しますか?
データ管理者は、Zoho CRMでユーザーのフィールドを個人データや機密データとしてマークできます。またデータ管理者は、エクスポート/API/その他のZoho CRM関連サービス(Books、Finance、Campaignsなど)の処理の対象とならないようにフィールドに制限をかけることもできます。
24. データ処理原則に従ってリードや連絡先をフィルターできますか?
はい、データ処理原則に従ってリードや連絡先をフィルターすることができます。
25. データ主体はデータ管理者に同意を与える前に自身のデータを編集または削除することはできますか?
はい、データ主体は、修正する権利(16条)ならびに削除する権利(17条)に基づいて自身の個人データを編集または更新できます。
26. Zoho CRMのコンプライアンス設定には誰がアクセスできますか?
管理者プロファイルを持つユーザーがZoho CRMのコンプライアンス設定にアクセスできます。
27. データ処理の法的根拠は、どのくらいの頻度で確認すればよいですか?
データ管理者は、データ処理の法的根拠を定期的に確認すべきです。これは、個人データの処理に使用している法的根拠やデータ収集の目的が変化する可能性があるためです。
28. 私のデータは現在米国のデータセンターにあります。GDPRに準拠するためには、EUデータセンターにデータをどのように移行したらいいですか?
GDPRでは、データをEU内のみで保存するように義務付けられていません。GDPRでは、外部からEUへの、そしてEUから外部への自由なデータ移動のための転送メカニズムを提供しています。

これらの転送メカニズムには、拘束的企業準則(47条)、プライバシーシールド、そしてモデル契約条項などが含まれます。よって、米国(zoho.com)にデータがあり、データ処理補足契約(DPA)に署名している場合には、データは安全です。

EUモデル契約条項を参照するDPAは、非EU諸国からデータを移動する場合にも役立ちます。最新のDPAの送付をご希望の場合には、gdpr-compliance@zohocorp.comまでご連絡ください。その際に、zoho.comまたはzoho.eu

に登録済みであることを明記してください。ただし、データをEU DCに移行する必要がある場合には、security@zohocorp.comまでお問い合わせください。その際、ご使用のサービスをすべてお知らせください。このメールは、該当する製品チームに転送されます。
29. GDPRに関する詳細な資料はどこにありますか?
以下に、GDPRに関する詳細資料へのリンクを挙げます。
注:Zoho Corporationは、これらのページの内容について責任を負うものでも、これらのリンクを推奨するものでもありません。
30. データを個人データとしてマークできますか?
はい、データを個人データとしてマークできます。いったんそのようにマークしたら、通常としてマークするフィールドと機密情報としてマークするフィールドをさらに選択できます。
31. 何個のフィールドを個人データとしてマークできますか?
各モジュールで、最大30までフィールドを個人データとしてマークできます。
32. どのフィールドタイプを個人データとしてマークできますか?
検索、ユーザー検索、式、自動番号フィールドを除くあらゆるフィールドを個人データとしてマークできます。
33. データを個人データとしてマークするにはどうしたらいいですか?
データを個人データとしてマークするには以下の手順に従います。
  • [設定] > [カスタマイズ] > [モジュールとフィールド]の順に移動します。
  • データ主体の個人情報が含まれたモジュールの上にポインターを置きます。
  • ドロップダウンリストから、[個人データフィールドの管理]をクリックします。
  • [個人データフィールドの管理]セクションで、[個人データフィールドのマーク]をクリックします。
  • [通常]または[機密情報]のデータタイプを選択します。
  • [完了]をクリックします。
34. いったんデータを個人データとしてマークすると、それはどのようにデータ処理に影響しますか?
データを個人データとしてマークすると、そのデータは、エクスポート、API、その他のZoho CRM関連サービス(Books、Finance、Campaignsなど)の活動から除外されます。
35. サブフォームのフィールドも個人データとしてマークできますか?
はい、サブフォームで処理用にサポートされているフィールドも個人データとしてマークできます。
36. Webフォームのダブルオプトインを有効にするにはどうすればいいですか?
ダブルオプトインを有効にするには以下の手順に従います。
  • [設定] > [開発者スペース] > [Webフォーム] > [Webフォームの作成]の順に移動します。
  • Webフォームに使用するフィールドをドラッグ&ドロップで追加します。
  • [次のステップ]をクリックします。[フォームの詳細]ページで、該当するフォームの詳細を入力します。
  • [個人データフィールドの管理]セクションで、[個人データフィールドのマーク]をクリックします。
  • [ダブルオプトインを有効にする]スライダを選択し、変更を保存します。
37. 個人データがZoho CRM外からアクセスされないように制限できますか?
はい、データ主体の個人データがZoho CRM外からアクセスされないように制限できます。データを通常または機密情報としてマークしたら、以下のことができるようになります。
  • Zohoアプリ/連携機能へのデータ転送の制限
  • APIを通じたデータアクセスの制限
  • エクスポートでのデータの制限
  • 外部サービスアプリへのデータアクセスの制限
38. 個人データが共有されないように制限するにはどうすればいいですか?
個人データが共有されないように制限するには以下の手順に従います。
  • [設定] > [ユーザーとコントロール] > [コンプライアンス設定]の順にクリックします。
  • [設定]タブをクリックします。
  • [個人データの取扱い]で、どこでデータ転送を制限するか(Zohoアプリ、外部サービスアプリ、API、エクスポート)を選択します。
39. データ処理原則はどこでアップデートできますか?
お客様のデータの処理原則は、レコード詳細のページでアップデートできます。[データプライバシー]タブをクリックし、データ処理原則を選択または編集します。または、モジュールのリストビューからレコードを選択して、データ処理原則をアップデートすることもできます。三番目の方法は、同意概要ダッシュボードを使用することです。[設定] > [コンプライアンス設定]に行き、[概要]タブをクリックし、レコードを選択してデータ処理原則をアップデートします。
40. 待機期間とは何ですか?
これは同意のメールへの返信を待つ期間です。組織は、この待機期間を設定できます。この待機期間が経過すると、そのレコードに関するすべての処理活動が停止します。
41. 以前にブロックリストに加えられたレコードをCRMに追加し直すことはできますか?
はい、以前にブロックリストに加えられたレコードをCRMに新規レコードとして追加し直すことができます。レコードを追加する前に、そのレコードが以前にブロックリストに加えられたレコードであることを知らせるアラートが届きます。
42. データ主体は、ポータルを使用して自身の同意をアップデートできますか?
はい、ポータルを通じてお客様の同意を得ることができます。
43. データ主体の権利をポータルを通じて取り上げることはできますか?
はい、データ主体の権利をポータルを通じて取り上げることができます。
  • bsiアシュアランス
  • プライバシーシールド
  • TRUSTe
  • SOC

免責事項:ここに掲載された情報は、法的助言として依拠すべきべきものではありません。GDPRの要件に準拠するために必要なことについては、法的助言を受けることをお勧めします。