アカウント管理 ヘルプ

私のビジネスにとってGDPRはどのような意味を持ちますか?

GDPRとは何ですか?

一般データ保護規制(GDPR)は、欧州連合(EU)圏内のあらゆる市民および居住者のデータ保護およびプライバシーに焦点を当てたEUの法律です。GDPRは、GoDaddyを含む企業がEU内の個人に関する個人情報を扱う方法を規定しています。GDPRは2018年5月25日に施行されました。GDPRとGoDaddyのGDPRへの準拠について詳しくは、弊社のプライバシーセンターをご確認ください。

GoDaddyは法律事務所ではありません

本文書では、GDPRの概要とお客様にとってのその影響について説明しますが、GoDaddyは法的助言を行う組織ではなく、また、本文書はGDPRの包括的なガイドではありません。ビジネスの状況はそれぞれ異なり、法規としてのGDPRは非常に複雑です。お客様の事業運営に関する具体的な質問や、GDPR(および適用されるその他のプライバシー法)がどのように影響するのかについては、弁護士にご相談されることを強くお勧めします。

私たちはお客様のビジネスの専門家ではありません

GDPRへの準拠の扱い方についてお客様に具体的に提案できればよいのですが、どう考えてもそれは不可能です。ビジネスごとに、やり方もポリシーも手順も従業員も場所も違います。そのため、ここでは、GDPRに対するGoDaddyの取り組みについて概説します。ただし、規制にはニュアンスがいくつかあります。それらについては本文書で強調しているので、状況に応じてお客様独自が評価する必要があります。

GDPRは他の法規と何が違うのでしょうか?

GDPRは、世界中の他のプライバシー法とさほど違いはありません。GDPRが驚くほど注目されている理由は、EUの個人に関する個人情報を取り扱う世界中のあらゆるビジネス(EU圏内に留まらない)を対象としている点、さらには非準拠があった場合に膨大な額の罰金(最大で2000万ユーロまたは年間の全売上高の4%)が課される点です。つまり、適用国が多く、罰金が高く、対象範囲が広いために、より多くのメディアに報道されるわけです。まったく違いがないというわけではなく、GDPRは、適用対象の企業に、その顧客に対して特定の権利(「忘れ去られる権利」や「データポータビリティの権利」など)を与えること、さらには特定の法令遵守措置を実施することを義務付けています。

私のビジネスには影響ありますか?

いくつかの理由により、お客様のビジネスに影響を与える可能性があります。お客様のビジネス拠点が欧州経済領域(EEA)内である場合、または商品やサービスの販売時にEEA圏内の顧客とビジネスを行う場合は、そのまま読み進めてください。EEA圏内でビジネスを行わない場合、あるいはEUの個人を対象にしていない場合は、これ以上の準備は必要ありません(この場合もやはり、お客様の法律顧問にご確認ください)。

私が所有するGoDaddyの商品とサービスはGDPRに準拠していますか?

No products or services are alone 'GDPR compliant'. However, when properly configured for your particular business needs, and used in combination with other measures, policies and processes you implement as necessary to your specific business (some of which are described below), they can be used in a GDPR-compliant manner. No one knows your business better than you. Though GoDaddy hopes to offer the tools and resources to help your business attain GDPR compliance, and we are here for you, we are not suited to ensure your compliance with any laws applicable to your business.

GDPRに準拠することはどのようなことを意味しますか?

GDPRは、個人情報のプライバシーに重点を置いています。簡単に言えば、お客様の顧客の個人情報を適切な方法で保護および使用するためのものです。具体的な内容を説明する前に、個人情報の取り扱いに関連する責任を明確にするための法律上の重要な定義を以下に示します。

  • データ主体:個人情報を提供する者。データ主体は、顧客、従業員、またはお客様のWebサイトにアクセスした人(お客様が「Cookieおよび同様のテクノロジー」を使用してアクセスした人の情報を収集する場合)のいずれかです。
  • Data Controller: The party that determines the purposes and means for processing personal data.
  • データ処理者:データ管理者の代わりに個人情報を処理する当事者。
  • 処理:収集、記録、整理、構成、保管、調整、変更、取得、コンサルテーション、使用、転送による開示、配布またはその他の形で利用可能にすること、整列または混合、制限、消去、破損など、自動であるかどうかに関わらず、個人情報に行われる操作または一連の操作。
  • 個人情報:GDPRは「個人情報」にのみ適用されます。個人情報とは、特に識別子を参照することによって直接的または間接的に特定できる識別可能な個人に関する情報を指します。この定義は、氏名、識別番号、位置データ、オンラインIDを含む個人情報を構成する広範な個人識別子に対応していて、テクノロジーや組織での人に関する情報収集方法の変化が表されています。基本的に、ユーザー、顧客、その他の人物を特定できる情報は、個人情報です。

What do these definitions mean for me?

In our relationship, there are times when we are a Data Controller (when we collect data from you for the purpose of selling you our products and services - such as your name, address, email, telephone and credit card information), and times when we are a Data Processor and you are the Data Controller (such as when you use our hosted services for your own business purposes and information happens to be passed on to our servers so that we can provide, manage and maintain the services for you (more on all this below)).

この法律によって求められていることは何ですか?

GDPRの正式版は全261ページで、173本の詳説と99本の条項で構成されており、(前述のように何ともありがたいことに)複雑で、内容が多岐にわたり、あいまいです。弊社はその重要な原則のほんの一部に対応しています。

  • 透明性

    どのようなデータを収集して、どのように使用するのか?この点を、顧客にわかりやすく簡単に説明することが、GDPRを含むあらゆるプライバシー法の重要な原則です。

    近頃、「弊社のプライバシーポリシーを更新しました」というメールを何百万件も受け取っていませんか?それは偶然ではありません。GDPRは、企業が顧客の情報をどのように収集および使用するかに関して、透明性を高めるように(つまり、利用者側の利便性を優先するように)求めています。プライバシーポリシーは、透明性を提供するための仕組みです。プライバシーポリシーでは、お客様の顧客の個人情報をどのように収集および使用するのか、顧客がお客様にどのように連絡すればよいのか、あるいは顧客の持つ権利をどのように行使すればよいのかを、明確かつ簡潔に説明する必要があります。

    GoDaddyは、プライバシーポリシーをお客様のWebサイトに組み込むツールを提供しており、お客様が使用できるテンプレートをご用意できる場合もあります。ただし、弊社ではお客様のビジネスの運営方法をすべて把握しているわけではないため、完全に準拠したプライバシーポリシーをお客様に提供することはできません。

  • 顧客管理と同意の管理

    透明性を確保することは重要ですが、お客様の販売する商品やサービスを提供するために不可欠な情報以外にも顧客から情報提供を受け、利用(または収集)する場合は、追加の利用に同意するためのオプションを確実に顧客に提供し、後でその同意を取り消すことのできる手段も提供する必要があります。

    最も顕著な例としては、顧客との連絡のために収集したメールアドレスや電話番号の利用方法です(通常、私たちは、そのような連絡/購読のオプトイン/オプトアウトの観点から利用方法について考えます)。このような情報は、通常、顧客がアカウントを作成したり、商品やサービスを購入したりする過程で提供されます。また、これには、Webサイトにアクセスした個人に関する情報を、「Cookie」と呼ばれるツール(およびピクセル、スクリプトなどの類似のテクノロジー)を使用して収集することも含まれます。おそらく、Webサイトにアクセスしたときに「Cookieバナー」を目にしたことがあるはずです。これも、プライバシーポリシーの使用と同様に、透過性を高めます。Cookieバナーを表示すると、個人が、個人情報の収集に使用されるツールを確認し、個人情報の使用を許可または拒否し、使用を受け入れるCookieを細かく制御することができます。

    GDPRの下では、お客様の顧客は個人情報の収集(およびその後の使用)に同意する権利を与えられなければならず、また、適切に同意を得るには、そのような同意を行うためのオプションをわかりやすく、具体的に(特定の用途に向けて)、かつ明示的に提示する必要があります。事前にチェックが入ったチェックボックスや、無視、非対応によって顧客の同意を示すことはできません。例えば、お客様のWebサイトに「第三者の広告主と自分のデータを共有する」というチェックボックスがある場合に、そのチェックボックスを事前選択して、データを処理することにデータ主体をオプトインさせてはなりません。EEA圏内のデータ主体が自発的にオプトインしたり、そのような処理への同意を表明したりするまで、チェックボックスはオフでなければなりません。

    つまり、お客様は顧客に対して、同意を取り消す権利を含め、顧客の個人情報、通信、同意の使用に対する制御を保証する必要があります。

  • 忘れ去られる権利

    前述のとおり、GDPRは世界中の他のプライバシー法ととてもよく似ていますが、お客様の顧客の権利であることが、GDPRがユニークな点です。GDPRは個人に「忘れ去られる権利」(本規則のもとでは「抹消権」)を与えます。これは、収集された顧客の個人情報がその収集目的またはその他の処理目的において不要になった場合に、顧客がその個人情報を削除する(それにより個人が忘れ去られる)ことを要求できるということです。

    権利が存在する場合は、お客様がお客様のシステムからデータ主体の個人情報を削除する必要があります(ただし、そのようなデータを保管しなければならない正当なビジネス上または法的理由があり、財務報告目的または法的な保持の必要性が認められる場合は除きます)。

    例えば、お客様との取引を止めることにしたお客様の顧客は、お客様がそれまで収集し保管してきたその顧客に関する情報を今後もお客様が保持し続けることを望まないでしょう。この権利には制限がありますが(例外や複雑なニュアンスも含まれます)、要求された場合にどのように応えるか、方法を検討しておく必要があります。

    GoDaddyも、対象企業として、前述のとおり、またデータ処理に関する追加契約に従い、お客様(データ管理者)から、お客様の顧客に関する情報を弊社システムから削除するように求める要求を受け取った場合、その要求を受け入れます。

  • データポータビリティの権利

    データポータビリティの権利は、GDPRに固有のもう1つの権利であり、個人が異なるサービス間で自らの目的のために各自の個人情報を入手して再利用できるようにします。これにより、ユーザビリティーに影響を与えることなく、安全かつ確実な方法で、IT環境間で容易に個人情報を移動、コピー、転送することができます。

    お客様がイベントプランナーだとしましょう。お客様の顧客が、詳しい連絡先と該当する個人設定をすべて提供しましたが、意志が変わり新しいイベントプランナーを採用することを決定しました。EEA圏内では、顧客は、簡単に新しいイベントプランナーとのやり取りを行えるように、自分の個人情報の電子コピーを入手できる必要があります。GoDaddyは、お客様の顧客の個人情報が存在していて、弊社が提供する商品またはサービスからお客様にエクスポートできる範囲において、そのような要求への対応をお手伝いします。

  • プライバシーバイデザイン

    プライバシーバイデザイン(またはプライバシーバイデフォルト)とは、基本的に、個人情報を取得、処理、保存、または使用する場合に必要な保護手段を計画して作り込むことを意味します。つまり、特別な考慮も追加手順も不要です。必要最小限のデータのみを収集し、安全な方法で(暗号化するなどして)受け取り、安全な場所に保管し、適切に訓練された人のみが正当な理由がある場合にのみアクセスします。これには、第三者に顧客の個人情報を送付する前に、その第三者も保護機能を備えていることを確認するプロセスが含まれます。

    これは本質的に病院で診察を受ける患者と同じです。患者は、自分の健康の記録、メモが取られること、医師から受けた助言が保護され、機密扱いされることを期待します。これと同じような警戒をデータ主体に向ければ、お客様の健康状態は良好でしょう。

    お客様の事業運営の調査には、プライバシーを念頭に置いたうえで、GoDaddyの商品やサービスをどのように活用できるか、という評価が含まれます。弊社は私たちの商品とサービスがお客様の特定のニーズを満たしていることを望んでいますが、適用されるデータプライバシーと保護法を遵守するにあたって、弊社のサービスの利用が適切であるかどうかについては、お客様自身が判断する必要があります。

  • データ漏えいの通知

    万が一、個人情報が漏えいした場合、企業は漏えい発覚後、原則72時間以内に、過度の遅延なく監督当局に通知する義務があります。開示方法や具体的な措置について詳しくは、お客様の担当弁護士に相談してください。

つまり、どうすればよいのでしょうか?

前述のとおり、GoDaddyは、ほとんどの場合、データ処理者です。私たちは、お客様が購入された弊社のサービスを提供するために不可欠なデータだけを処理します。または、お客様の指示に従ってデータを処理します。商品を販売するためのデータ収集目的で弊社のサービスを利用されますか?それとも予約情報や見込み客を集める目的で利用されますか?どちらも問題ありません。私たちが、お客様の代わりにデータを安全かつ保護された方法で処理します。

As the Data Controller, you control how the data is used and stored, and we will only process it per the terms of our Data Processing Addendum in providing and maintaining the services on your behalf. This means you need to pay close attention to your internal policies and employee access of records, including how you share data with 3rd parties and how easily someone could access the data subject's information.

上記の要点からわかるように、GDPR(およびその他のプライバシー法)は、ビジネスを成功させるために収集および使用するデータの安全を保証し、適切に保護するためのものです。


この記事は役に立ちましたか。
フィードバックへのご協力ありがとうございました。 お客様サービススタッフとお話しになりたい場合は、上記のサポート用電話番号またはチャット機能をご利用ください。
お役にたてて光栄です! 何か他にできることはありませんか。
それはすみません。 わかりにくい点や、解決策で問題が解決できなかった理由等を教えてください。