アカウント管理

アカウント管理 ヘルプ

私のビジネスにとってGDPRはどのような意味を持ちますか?

GDPRとは何ですか?

一般データ保護規則(GDPR)は、EUのすべての市民と居住者のデータ保護とプライバシーに焦点を当てたEUの法律です。 GDPRは、企業(GoDaddyを含む)がEU内の個人に関する個人データを処理する方法を規制しています。 GDPRは2018年5月25日に発効しました。GDPRとは何か、GoDaddyがGDPRに準拠しているかについての詳細は、プライバシーセンターの情報をご確認ください。

GoDaddyは法律事務所ではありません

本文書では、GDPRの概要とお客様にとってのその影響について説明しますが、GoDaddyは法的助言を行う組織ではなく、また、本文書はGDPRの包括的なガイドではありません。ビジネスの状況はそれぞれ異なり、法規としてのGDPRは非常に複雑です。お客様の事業運営に関する具体的な質問や、GDPR(および適用されるその他のプライバシー法)がどのように影響するのかについては、弁護士にご相談されることを強くお勧めします。

私たちはお客様のビジネスの専門家ではありません

GDPRへの準拠の扱い方についてお客様に具体的に提案できればよいのですが、どう考えてもそれは不可能です。ビジネスごとに、やり方もポリシーも手順も従業員も場所も違います。そのため、ここでは、GDPRに対するGoDaddyの取り組みについて概説します。ただし、規制にはニュアンスがいくつかあります。それらについては本文書で強調しているので、状況に応じてお客様独自が評価する必要があります。

GDPRは他の法規と何が違うのでしょうか?

GDPRは、世界中の他のプライバシー法とさほど違いはありません。GDPRが驚くほど注目されている理由は、EUの個人に関する個人情報を取り扱う世界中のあらゆるビジネス(EU圏内に留まらない)を対象としている点、さらには非準拠があった場合に膨大な額の罰金(最大で2000万ユーロまたは年間の全売上高の4%)が課される点です。つまり、適用国が多く、罰金が高く、対象範囲が広いために、より多くのメディアに報道されるわけです。まったく違いがないというわけではなく、GDPRは、適用対象の企業に、その顧客に対して特定の権利(「忘れ去られる権利」や「データポータビリティの権利」など)を与えること、さらには特定の法令遵守措置を実施することを義務付けています。

私のビジネスには影響ありますか?

いくつかの理由により、お客様のビジネスに影響を与える可能性があります。お客様のビジネス拠点が欧州経済領域(EEA)内である場合、または商品やサービスの販売時にEEA圏内の顧客とビジネスを行う場合は、そのまま読み進めてください。EEA圏内でビジネスを行わない場合、あるいはEUの個人を対象にしていない場合は、これ以上の準備は必要ありません(この場合もやはり、お客様の法律顧問にご確認ください)。

私が所有するGoDaddyの商品とサービスはGDPRに準拠していますか?

商品やサービスはそれだけでは「GDPRに準拠」しません。そうではなく、特定のビジネスニーズに合わせて適切に構成され、特定のビジネス(下記に一部を記載)の必要に応じて実装するその他の対策、ポリシー、プロセスと組み合わせて使用される場合に、GDPRに準拠した方法で使用することができます。お客様のビジネスは、お客様が一番よく知っています。GoDaddyは、お客様のビジネスをGDPRに準拠させるために役立つツールやリソースを提供することを望んでいますし、いつでもお力になります。しかし、お客様のビジネスに適用される法律の遵守を保証することはできません。

GDPRに準拠することはどのようなことを意味しますか?

GDPRは、個人情報のプライバシーに重点を置いています。簡単に言えば、お客様の顧客の個人情報を適切な方法で保護および使用するためのものです。具体的な内容を説明する前に、個人情報の取り扱いに関連する責任を明確にするための法律上の重要な定義を以下に示します。

  • データ主体:個人情報を提供する者。データ主体は、顧客、従業員、またはお客様のWebサイトにアクセスした人(お客様が「Cookieおよび同様のテクノロジー」を使用してアクセスした人の情報を収集する場合)のいずれかです。
  • データ管理者:個人情報処理の目的と手段を決定する当事者。
  • データ処理者:データ管理者の代わりに個人情報を処理する当事者。
  • 処理:収集、記録、整理、構成、保管、調整、変更、取得、コンサルテーション、使用、転送による開示、配布またはその他の形で利用可能にすること、整列または混合、制限、消去、破損など、自動であるかどうかに関わらず、個人情報に行われる操作または一連の操作。
  • 個人情報:GDPRは「個人情報」にのみ適用されます。個人情報とは、特に識別子を参照することによって直接的または間接的に特定できる識別可能な個人に関する情報を指します。この定義は、氏名、識別番号、位置データ、オンラインIDを含む個人情報を構成する広範な個人識別子に対応していて、テクノロジーや組織での人に関する情報収集方法の変化が表されています。基本的に、ユーザー、顧客、その他の人物を特定できる情報は、個人情報です。

これらの定義は私にとってどのような意味を持ちますか?

お客様と弊社の関係性においては、弊社がデータ管理者である場合(お客様の名称、所在地、メール、電話番号、クレジットカード情報など、弊社の商品およびサービスを販売する目的でお客様からデータを収集する場合)もあれば、弊社がデータ処理者で、お客様がデータ管理者である場合(たとえば、お客様がビジネス目的で弊社のホストするサービスを利用し、お客様の代わりに弊社がサービスを提供、管理、維持できるように弊社のサーバーに情報が渡される場合)もあります(詳しくは後で説明します)。

この法律によって求められていることは何ですか?

GDPRの正式版は全261ページで、173本の詳説と99本の条項で構成されており、(前述のように何ともありがたいことに)複雑で、内容が多岐にわたり、あいまいです。弊社はその重要な原則のほんの一部に対応しています。

  • 透明性

    どのようなデータを収集して、どのように使用するのか?この点を、顧客にわかりやすく簡単に説明することが、GDPRを含むあらゆるプライバシー法の重要な原則です。

    近頃、「弊社のプライバシーポリシーを更新しました」というメールを何百万件も受け取っていませんか?それは偶然ではありません。GDPRは、企業が顧客の情報をどのように収集および使用するかに関して、透明性を高めるように(つまり、利用者側の利便性を優先するように)求めています。プライバシーポリシーは、透明性を提供するための仕組みです。プライバシーポリシーでは、お客様の顧客の個人情報をどのように収集および使用するのか、顧客がお客様にどのように連絡すればよいのか、あるいは顧客の持つ権利をどのように行使すればよいのかを、明確かつ簡潔に説明する必要があります。

    GoDaddyは、プライバシーポリシーをお客様のWebサイトに組み込むツールを提供しており、お客様が使用できるテンプレートをご用意できる場合もあります。ただし、弊社ではお客様のビジネスの運営方法をすべて把握しているわけではないため、完全に準拠したプライバシーポリシーをお客様に提供することはできません。

  • 顧客管理と同意の管理

    透明性を確保することは重要ですが、お客様の販売する商品やサービスを提供するために不可欠な情報以外にも顧客から情報提供を受け、利用(または収集)する場合は、追加の利用に同意するためのオプションを確実に顧客に提供し、後でその同意を取り消すことのできる手段も提供する必要があります。

    最も顕著な例としては、顧客との連絡のために収集したメールアドレスや電話番号の利用方法です(通常、私たちは、そのような連絡/購読のオプトイン/オプトアウトの観点から利用方法について考えます)。このような情報は、通常、顧客がアカウントを作成したり、商品やサービスを購入したりする過程で提供されます。また、これには、Webサイトにアクセスした個人に関する情報を、「Cookie」と呼ばれるツール(およびピクセル、スクリプトなどの類似のテクノロジー)を使用して収集することも含まれます。おそらく、Webサイトにアクセスしたときに「Cookieバナー」を目にしたことがあるはずです。これも、プライバシーポリシーの使用と同様に、透過性を高めます。Cookieバナーを表示すると、個人が、個人情報の収集に使用されるツールを確認し、個人情報の使用を許可または拒否し、使用を受け入れるCookieを細かく制御することができます。

    GDPRの下では、お客様の顧客は個人情報の収集(およびその後の使用)に同意する権利を与えられなければならず、また、適切に同意を得るには、そのような同意を行うためのオプションをわかりやすく、具体的に(特定の用途に向けて)、かつ明示的に提示する必要があります。事前にチェックが入ったチェックボックスや、無視、非対応によって顧客の同意を示すことはできません。例えば、お客様のWebサイトに「第三者の広告主と自分のデータを共有する」というチェックボックスがある場合に、そのチェックボックスを事前選択して、データを処理することにデータ主体をオプトインさせてはなりません。EEA圏内のデータ主体が自発的にオプトインしたり、そのような処理への同意を表明したりするまで、チェックボックスはオフでなければなりません。

    つまり、お客様は顧客に対して、同意を取り消す権利を含め、顧客の個人情報、通信、同意の使用に対する制御を保証する必要があります。

  • 忘れ去られる権利

    前述のとおり、GDPRは世界中の他のプライバシー法ととてもよく似ていますが、お客様の顧客の権利であることが、GDPRがユニークな点です。GDPRは個人に「忘れ去られる権利」(本規則のもとでは「抹消権」)を与えます。これは、収集された顧客の個人情報がその収集目的またはその他の処理目的において不要になった場合に、顧客がその個人情報を削除する(それにより個人が忘れ去られる)ことを要求できるということです。

    権利が存在する場合は、お客様がお客様のシステムからデータ主体の個人情報を削除する必要があります(ただし、そのようなデータを保管しなければならない正当なビジネス上または法的理由があり、財務報告目的または法的な保持の必要性が認められる場合は除きます)。

    例えば、お客様との取引を止めることにしたお客様の顧客は、お客様がそれまで収集し保管してきたその顧客に関する情報を今後もお客様が保持し続けることを望まないでしょう。この権利には制限がありますが(例外や複雑なニュアンスも含まれます)、要求された場合にどのように応えるか、方法を検討しておく必要があります。

    GoDaddyも、対象企業として、前述のとおり、またデータ処理に関する追加契約に従い、お客様(データ管理者)から、お客様の顧客に関する情報を弊社システムから削除するように求める要求を受け取った場合、その要求を受け入れます。

  • データポータビリティの権利

    データポータビリティの権利は、GDPRに固有のもう1つの権利であり、個人が異なるサービス間で自らの目的のために各自の個人情報を入手して再利用できるようにします。これにより、ユーザビリティーに影響を与えることなく、安全かつ確実な方法で、IT環境間で容易に個人情報を移動、コピー、転送することができます。

    お客様がイベントプランナーだとしましょう。お客様の顧客が、詳しい連絡先と該当する個人設定をすべて提供しましたが、意志が変わり新しいイベントプランナーを採用することを決定しました。EEA圏内では、顧客は、簡単に新しいイベントプランナーとのやり取りを行えるように、自分の個人情報の電子コピーを入手できる必要があります。GoDaddyは、お客様の顧客の個人情報が存在していて、弊社が提供する商品またはサービスからお客様にエクスポートできる範囲において、そのような要求への対応をお手伝いします。

  • プライバシーバイデザイン

    プライバシーバイデザイン(またはプライバシーバイデフォルト)とは、基本的に、個人情報を取得、処理、保存、または使用する場合に必要な保護手段を計画して作り込むことを意味します。つまり、特別な考慮も追加手順も不要です。必要最小限のデータのみを収集し、安全な方法で(暗号化するなどして)受け取り、安全な場所に保管し、適切に訓練された人のみが正当な理由がある場合にのみアクセスします。これには、第三者に顧客の個人情報を送付する前に、その第三者も保護機能を備えていることを確認するプロセスが含まれます。

    これは本質的に病院で診察を受ける患者と同じです。患者は、自分の健康の記録、メモが取られること、医師から受けた助言が保護され、機密扱いされることを期待します。これと同じような警戒をデータ主体に向ければ、お客様の健康状態は良好でしょう。

    お客様の事業運営の調査には、プライバシーを念頭に置いたうえで、GoDaddyの商品やサービスをどのように活用できるか、という評価が含まれます。弊社は私たちの商品とサービスがお客様の特定のニーズを満たしていることを望んでいますが、適用されるデータプライバシーと保護法を遵守するにあたって、弊社のサービスの利用が適切であるかどうかについては、お客様自身が判断する必要があります。

  • データ漏えいの通知

    万が一、個人情報が漏えいした場合、企業は漏えい発覚後、原則72時間以内に、過度の遅延なく監督当局に通知する義務があります。開示方法や具体的な措置について詳しくは、お客様の担当弁護士に相談してください。

つまり、どうすればよいのでしょうか?

前述のとおり、GoDaddyは、ほとんどの場合、データ処理者です。私たちは、お客様が購入された弊社のサービスを提供するために不可欠なデータだけを処理します。または、お客様の指示に従ってデータを処理します。商品を販売するためのデータ収集目的で弊社のサービスを利用されますか?それとも予約情報や見込み客を集める目的で利用されますか?どちらも問題ありません。私たちが、お客様の代わりにデータを安全かつ保護された方法で処理します。

データ管理者は、データの使用方法と保存方法をお客様が管理します。弊社は、弊社の条件に従ってのみデータを処理します。データ処理補遺お客様に代わってサービスを提供および維持するための。つまり、サードパーティとデータを共有する方法や、誰かがデータ主体の情報に簡単にアクセスする方法など、レコードの内部ポリシーと従業員アクセスに細心の注意を払う必要があります。

上記の要点からわかるように、GDPR(およびその他のプライバシー法)は、ビジネスを成功させるために収集および使用するデータの安全を保証し、適切に保護するためのものです。