最高レベルのデータ保護 

Zohoでは、データのプライバシーと保護に努めています。長年にわたり、ISO 27001やSOC 2 Type IIなどの業界標準に準拠し続け、米国へのデータ転送に関するEU - 米国間のプライバシーシールドフレームワークの認定を受けています。

Zoho WorkDriveはGDPR準拠にどう役立つか

同意[7条]

GDPRに準拠するための最初のステップは、収集する個人データとその保管場所、個人データを処理する方法、個人データにアクセスできる人を把握することです。すでに所有しているデータを整理するには、情報資産台帳(IAR)を保守することがかんたんです。チームでZoho WorkDriveにIARを作成し、定期的に更新します。プロセスに関与する各メンバーに適切な役割を割り当てます。組織の各チームはそれぞれのIARを保守できますが、お客様は管理者としてチームのIARを監督します。

管理者であるお客様にとって、あらゆるデータ処理活動が法律、契約、または自由意志に基づく、十分に情報を知らされた上での、具体的な同意に裏付けられたものであることを保証することが重要です。準拠していることを示すため、データ処理の目的、該当するすべての契約と同意を文書化しなければなりません。

Zoho WorkDriveには、すべてのファイルとフォルダーをきめ細かくアクセス制御できる、安全なチームコンテンツのコラボレーションプラットフォームが用意されています。つまり、ユーザー権限を制御したり、契約にいつ誰がアクセスしたかを追跡したりできます。サブフォルダーレベルの共有を利用すれば、チームメンバーが参加しているチームフォルダー内の特定のファイルやフォルダーに対して、チームメンバーに高次のアクセス権限を付与できます。たとえば、あるチームメンバーに対してチームフォルダー内のファイル1つだけを操作してもらう場合は、そのメンバーを閲覧者としてチームフォルダーに追加し、編集してもらうファイルに対してのみ編集者権限を与えることができます。 

処理のセキュリティ[32条]

保有しているデータの監査を終えたら、次に、データがセキュリティ違反にさらされている可能性があるかどうか評価します。適切な技術的対策によって、保有する個人データが侵害から保護されることを確認します。Zoho WorkDriveに保管されるすべてのファイルは、保存時は256ビットAES(Advanced Encryption Standard)で暗号化され、送信時はSSL(Secure Socket Layer)とTLS(Transport Layer Security)で暗号化されます。

次に、すべての外部サービスベンダーや請負業者もGDPRに準拠しているかどうか評価する必要があります。外部サービスベンダーや請負業者との間で適切な条件の契約を結んでいること、そして意図しないデータ侵害を最小限に抑えるために、厳格なデータ共有方法を明確にすることが不可欠です。これを容易にするのが高度な外部共有機能です。ファイルやフォルダーに対してさまざまな外部共有リンクを作成し、パスワードや有効期限日などのリンクプロパティを適用し、名前やメールのフィールドを必須にすることができます。リンクにラベルを付けてかんたんに参照したり、リンクを個別に追跡したりすることもできます。さらに、特定のチームフォルダーに対して、またはチーム全体に対して、外部共有を無効にすることもできます。 

保有しているデータのセキュリティをさらに強化するため、Zoho Directoryには次のような機能があります。

  • 2要素認証やパスワードポリシーをチーム全体に強制する
  • Microsoft Active DirectoryをZoho Directoryと接続して、ユーザー、グループ、ポリシーを同期する
  • ドメインを検証し、ドメインが同じユーザーのみをアカウントに参加させる
  • ドメインのすべてのユーザーを、新しいアカウントを作る代わりにエンタープライズアカウントに参加させることにより、組織内のあらゆるデータ処理活動を監督できるようにする

注:最善を尽くしたにもかかわらずデータ侵害が発生した場合、72時間以内に国のデータ保護機関にその事実を報告する義務があります。侵害の結果、影響を受ける個人に高いリスクをもたらす危険性がある場合は、その個人に遅延なく通知しなければなりません。Zohoの社内プライバシーインシデント対応ポリシーでは、お客様が侵害の事実を知らされるようになっています。ZohoによるGDPRへの対応の詳細はこちらでご確認ください。

GDPRに準拠するための道のりは、1回のデータ監査とリスク評価で終わるものではありません。保有している個人データを定期的に確認し、不要になったデータや長期間使用されていないデータがあれば削除することが重要です。 

削除する権利[17条]

データ主体は、自身の個人データの削除を求める権利を持ちます。そのような場合にお客様が行う必要があるのは、Zoho WorkDriveのユニバーサル検索機能を使用して、特定の主体の個人データを見つけ、プラットフォーム上のすべてのファイルからその個人データを削除することだけです。この検索機能は、さらなる処理のために、データ主体が不正確なデータまたはオブジェクトの訂正を要求しているときにも役立ちます。 

匿名化/偽名化[4(5)条]

個人データが分析で使用されている場合、その個人データを削除すると結果が変わってしまいます。GDPRでは、データ管理者が分析前にそのようなデータを匿名化または偽名化することを強く推奨しています。自分のデータを匿名化または偽名化するツールを使用してから、Zoho WorkDriveデスクトップアプリを使用してZoho WorkDriveアカウントに同期して戻します。Zohoのバージョン管理機能を使用して、ファイルの新しいバージョンをアップロードすることもできます。Zoho WorkDriveに保管されているデータを手動で匿名化または偽名化するには、Zohoの組み込みOffice SuiteであるWriter、Sheet、Showを使用してください。

主体のアクセス要求の権利[15条]

データアクセスの権利により、主体には自分の個人データが処理されているかどうか、個人データが主体から直接収集されたものでない場合のデータソース、データの処理方法を知る権利が与えられます。データ管理者は、処理中のデータのコピーを提供できなければなりません。Zohoの詳細な活動レポートではデータ処理活動ログを追跡、エクスポートできます。外部共有機能を使用すれば、データ主体に自身の個人データへのアクセス権を付与しながら、セキュリティを維持することができます。 

データを携帯する権利[20条]

データ主体は自身の個人データを、構造化され、コンピューターが認識可能な形式で要求する権利を持ちます。データ主体は、技術上可能な場合、管理者間で自身の個人データを移動することもできます。Zoho WorkDriveでは、お客様がこのような要件を満たすことができるように、データ主体に属するすべての個人データを見つけ、構造化されたダウンロード可能な形式で提供できるようにしています。 

GDPRへの準拠をかんたんなものにする管理機能

Zoho WorkDriveには、データ主体が行う可能性のあるあらゆる要求をお客様が満たせるようにするための機能が用意されています。たとえば、組織を離れている従業員の個人ファイルを扱う場合、正当な利益に基づいて行動しますか。それとも従業員のプライバシーに基づいて行動しますか。そのような場合は、正当な利益の評価を実行し、正当な利益が見当たらない場合は、従業員のプライバシーを保護することを選択する必要があります。Zoho WorkDriveでは、決定が下されるまで従業員による自分のファイルへのアクセス権を一時的に失効させることができます。その後、従業員に必要なファイルをダウンロードさせるか、または正当な利益を行使してファイルを削除したり所有権を他の従業員に移転したりします。

どのデータも意図せず失わないようにすることも重要です。削除されたファイルは、担当者または管理者がファイルを復元または削除するまで、チームフォルダーのごみ箱リストから常に参照できます。チームフォルダーのごみ箱リストから削除されたファイルは、チームのごみ箱リストから参照できます。チームのごみ箱リストでは、チーム管理者がファイルを復元することも、永久に削除することもできます。 

これは始まりにすぎません!

Zohoでは、お客様のユーザーエクスペリエンスを継続的に改善し、お客様の期待を超えることができると確信しています。Zohoはプライバシーを強化する方法を追及し続けており、これからも、お客様がGDPRだけでなく世界中のデータ保護機関の定める標準に準拠できるような機能を追加し続けます。たとえばまもなく導入する機能では、お客様がごみ箱に入れたファイルの保持ポリシーをカスタマイズできるようになります。また、メンバーの役割のカスタマイズにも取り組んでおり、チームフォルダー内のあらゆる処理を細かく制御できるようにします。WorkDriveの機能更新に注目してください!

免責事項:ここに記載されている情報は、法的助言または法的助言に代わるものとして解釈されるべきものではありません。Zohoは、読者による内容の誤解や考え違いの責任を負いません。Zohoはここに記載されている情報に関して、明示的、黙示的、または制定法上のいずれであるかにかかわらず、一切の保証をいたしません。GDPRに準拠する最適な方法については、法的なコンサルタント/アドバイザーによる助言を求めてください。