GDPRとは?

欧州連合(EU)の一般データ保護規則(GDPR)は、2018年5月25日に発効した新しい規制です。この規制は、EU域内のデータプライバシー法の調和とEU居住者の個人データ処理に対する権利の保護を目的としています。EU居住者のデータプライバシー権を認め、個人情報処理に関する規則を定めています。

基本的に、GDPRはEU居住者が自身の個人データを完全に管理できるよう目指しています。

個人データとは?

GDPRでは、個人データを直接または間接的に自然人を識別できるデータと定義しています。個人データには名前、住所、電話番号、メールアドレス、IPアドレス、旅行傾向、写真などがありますが、これに限定されません。

GDPRの発効時期と適用範囲

GDPRは、EU居住者の個人データを収集、処理するすべての活動に適用されます。活動がEU域内で実施されるか否かは関係ありません。GDPRは、世界各地での活動に適用されます。

GDPR順守が必要な理由

EUのGDPRは、2018年5月25日に発効しました。GDPRには法的拘束力があります。所轄の監督当局(GDPRに定義されるとおり)は、GDPRを違反した者や組織に2000万ユーロ、または前会計年度の世界全体の年間売上の4%のいずれか高い額を罰金として科します。罰金は以下の2件の理由により科せられます。

  • 抑止力。これにより、データ管理者とデータ処理者が責任ある行動をし、GDPRガイドラインを順守するように図ります。
  • GDPR違反により、物質的または非物質的な損害を受けた者に対する補償。

GDPRに規定される主な役割

  • データ主体:自身が提供した、または自身に関するデータを収集/処理されたEU居住者。
  • データ管理者:データの収集と処理の目的と手段を定める個人または組織。
  • データ処理者:データ管理者に代わって収集したデータを処理する個人または組織。

ここでは、Zoho SitesによりWebサイトを構築する状況を考えます。

  • Webサイトを閲覧し、サイトでやり取りをするサイト訪問者は、データ主体として活動します。
  • テキスト、デザイン、フォームなどのWebサイトコンテンツを作成し、投稿するサイト管理者またはサイトオーサーは、データ管理者です。
  • Zoho SitesのWebサイトビルダーを使ってデータを処理し、供給するZoho Sitesは、データ処理者として活動します。

GDPR順守に役立つZoho Sitesの機能:

Zoho Sitesには、データ管理者のGDPR順守に役立つ以下などの機能があります。

  • データセキュリティ
    • セキュア通信:SSL/TLS暗号化により、通信中にWebサイトの安全を守ります。
    • セキュリティ監査:ZohoはISO 27001とSOC 2 Type II認証を取得しています。 
    • 暗号化:ログイン認証やパスワードなどのアクセストークンはすべて、保管時に暗号化されています。
    • アクセス制限
      • メンバーポータル これにより、訪問者が表示できるページを管理できます。
      • イントラネット アクセス制限により、組織内の全員または一部にページを非表示にして、Webサイトの可視性を制限できます。
  • プライバシー・バイ・デザイン
    • 匿名化

      訪問者の統計を表示する際に、Zoho Sitesでは各国コードに対するIPアドレスを匿名化します。匿名化データのみを保存し、IPアドレスは保存されません。

    • 役割

      共同編集者機能により、友人、家族、同僚に参加を依頼して、サイトのコンテンツとデザインを一括編集できます。

      以下の4レベルのアクセスを許可できます。

      1. Admin
      2. Author
      3. Developer
      4. Guest
      役割別に権限が定義されています。参加依頼を受けた人は、メールアドレスに送信された参加依頼を受けてから、サイトにアクセスできます。
  • 監査ログ

    データ管理者は、共同編集者と本人がサイトに入力したデータすべてを閲覧/管理できます。

  • データポータビリティ

    Webサイトに自身が入力したデータはすべて、パスワード保護したzipフォーマットでいつでもダウンロードできます。

  • フォームデータ

    データ管理者は、いつでもフォームデータをダウンロードできます。

  • 同意

    社内または外部サービスと連携する前に、許可が申請されます。許可を受けると、Zoho CRM、Zoho PageSense、Zoho Campaigns、Zoho Sales IQなどのZoho製品と連携が可能です。各Zoho製品はGDPRに対応しています。ここをクリックして、詳細をご覧ください。

データ主体の権利

以下に、GDPRで認められるデータ主体の権利と対応するZoho Sites機能をまとめました。

  •  

    アクセス権:

    訪問者は、Webサイトのフォームを通じて送信したデータを(データ管理者に)請求できます。請求されたデータをダウンロードして、データ主体に送信できます。

  •  

    訂正の権利:

    データ主体は、フォームに入力したデータの訂正を申請できます。申請に従って、フォームデータに必要な変更をします。ここをクリックして、フォームデータのダウンロード詳細をご覧ください。

  •  

    情報提供を受ける権利:

    Webサイトの訪問者には、個人データがどのように処理されたか、または処理されるかについて、情報提供を受ける権利があります。Webサイトのプライバシーポリシーをデータを収集した場所やWebサイトのフッターにリンクできます。このようにすると、GDPRの「通知」と「透明性」に対処できます。

  •  

    プライバシー:

    ブログのコメントとコメントボックスにはデータ主体の「ゲスト」オプションがあり、匿名でコメントできます。 

データホスティング(局所性)

Zohoのサーバーは、アメリカ、EU、CNの最も安全なデータセンターにあります。お客さまのサービスデータをホストする地域は、Zoho Sitesアカウントを登録したZohoドメインにより異なります。

以下の表にZohoドメインとホスティング場所を一覧で示しました。

Zohoドメイン - アカウント作成データセンターの場所
sites.zoho.comUS(アメリカ)
sites.zoho.euEU(欧州連合)
sites.zoho.com.cnCN(中国)