GDPRとは?
欧州連合(EU)の一般データ保護規則(GDPR)は、2018年5月25日に発効した新しい規制です。この規制は、EU域内のデータプライバシー法の調和とEU居住者の個人データ処理に対する権利の保護を目的としています。EU居住者のデータプライバシー権を認め、個人情報処理に関する規則を定めています。
基本的に、GDPRはEU居住者が自身の個人データを完全に管理できるよう目指しています。
個人データとは?
GDPRでは、個人データを直接または間接的に自然人を識別できるデータと定義しています。個人データには名前、住所、電話番号、メールアドレス、IPアドレス、旅行傾向、写真などがありますが、これに限定されません。
GDPRの発効時期と適用範囲
GDPRは、EU居住者の個人データを収集、処理するすべての活動に適用されます。活動がEU域内で実施されるか否かは関係ありません。GDPRは、世界各地での活動に適用されます。
GDPR順守が必要な理由
EUのGDPRは、2018年5月25日に発効しました。GDPRには法的拘束力があります。所轄の監督当局(GDPRに定義されるとおり)は、GDPRを違反した者や組織に2000万ユーロ、または前会計年度の世界全体の年間売上の4%のいずれか高い額を罰金として科します。罰金は以下の2件の理由により科せられます。
- 抑止力。これにより、データ管理者とデータ処理者が責任ある行動をし、GDPRガイドラインを順守するように図ります。
- GDPR違反により、物質的または非物質的な損害を受けた者に対する補償。
GDPRに規定される主な役割
- データ主体:自身が提供した、または自身に関するデータを収集/処理されたEU居住者。
- データ管理者:データの収集と処理の目的と手段を定める個人または組織。
- データ処理者:データ管理者に代わって収集したデータを処理する個人または組織。
ここでは、Zoho SitesによりWebサイトを構築する状況を考えます。
- Webサイトを閲覧し、サイトでやり取りをするサイト訪問者は、データ主体として活動します。
- テキスト、デザイン、フォームなどのWebサイトコンテンツを作成し、投稿するサイト管理者またはサイトオーサーは、データ管理者です。
- Zoho SitesのWebサイトビルダーを使ってデータを処理し、供給するZoho Sitesは、データ処理者として活動します。
GDPR順守に役立つZoho Sitesの機能:
Zoho Sitesには、データ管理者のGDPR順守に役立つ以下などの機能があります。
- データセキュリティ
- セキュア通信:SSL/TLS暗号化により、通信中にWebサイトの安全を守ります。
- セキュリティ監査:ZohoはISO 27001とSOC 2 Type II認証を取得しています。
- 暗号化:ログイン認証やパスワードなどのアクセストークンはすべて、保管時に暗号化されています。
- アクセス制限
- メンバーポータル これにより、訪問者が表示できるページを管理できます。
- イントラネット アクセス制限により、組織内の全員または一部にページを非表示にして、Webサイトの可視性を制限できます。
- プライバシー・バイ・デザイン
- 匿名化
訪問者の統計を表示する際に、Zoho Sitesでは各国コードに対するIPアドレスを匿名化します。匿名化データのみを保存し、IPアドレスは保存されません。
- 役割
共同編集者機能により、友人、家族、同僚に参加を依頼して、サイトのコンテンツとデザインを一括編集できます。
以下の4レベルのアクセスを許可できます。
- Admin
- Author
- Developer
- Guest
- 匿名化
- 監査ログ
データ管理者は、共同編集者と本人がサイトに入力したデータすべてを閲覧/管理できます。
- データポータビリティ
Webサイトに自身が入力したデータはすべて、パスワード保護したzipフォーマットでいつでもダウンロードできます。
- フォームデータ
データ管理者は、いつでもフォームデータをダウンロードできます。
- 同意
社内または外部サービスと連携する前に、許可が申請されます。許可を受けると、Zoho CRM、Zoho PageSense、Zoho Campaigns、Zoho Sales IQなどのZoho製品と連携が可能です。各Zoho製品はGDPRに対応しています。ここをクリックして、詳細をご覧ください。
データ主体の権利
以下に、GDPRで認められるデータ主体の権利と対応するZoho Sites機能をまとめました。
アクセス権:
訪問者は、Webサイトのフォームを通じて送信したデータを(データ管理者に)請求できます。請求されたデータをダウンロードして、データ主体に送信できます。
訂正の権利:
データ主体は、フォームに入力したデータの訂正を申請できます。申請に従って、フォームデータに必要な変更をします。ここをクリックして、フォームデータのダウンロード詳細をご覧ください。
情報提供を受ける権利:
Webサイトの訪問者には、個人データがどのように処理されたか、または処理されるかについて、情報提供を受ける権利があります。Webサイトのプライバシーポリシーをデータを収集した場所やWebサイトのフッターにリンクできます。このようにすると、GDPRの「通知」と「透明性」に対処できます。
プライバシー:
ブログのコメントとコメントボックスにはデータ主体の「ゲスト」オプションがあり、匿名でコメントできます。
データホスティング(局所性)
Zohoのサーバーは、アメリカ、EU、CNの最も安全なデータセンターにあります。お客さまのサービスデータをホストする地域は、Zoho Sitesアカウントを登録したZohoドメインにより異なります。
以下の表にZohoドメインとホスティング場所を一覧で示しました。
Zohoドメイン - アカウント作成 | データセンターの場所 |
---|---|
sites.zoho.com | US(アメリカ) |
sites.zoho.eu | EU(欧州連合) |
sites.zoho.com.cn | CN(中国) |