- データ記録とダブルオプトインを管理
- 同意の取得と管理
- 個人情報の暗号化と保護
- データ対象者からのリクエストに
簡単に対応 - 他のアプリケーションとの情報共有を管理
- 機能
- よくある質問
データの収集
顧客データの獲得元を記録し、本当に興味を持っている顧客かを判別した上で顧客情報の処理を開始します。
データ入手経路を追跡
顧客データの獲得経路が複数ある場合、(Webフォーム、インポート、手動登録、API、他サービスとの連携)顧客データの詳細情報で獲得元を追跡することができます。
Webフォームの場合は、フォーム名やアクセス元のIPアドレスも合わせて記録します。
ダブルオプトイン
Zoho CRMはWebフォームのダブルオプトインに対応。Webフォームから顧客データを収集してZoho CRMに登録する前に、個人情報の提供に関する同意をデータ主体(本人)に確認します。
データ処理
顧客の個人データが合法的かつ安全に処理されるよう保証します。
顧客データに対して行われた処理を文書化することで、説明責任も果たすことができます。
データ処理の根拠
データ処理に関するGDPRの6つの適法根拠「契約の履行」「法的義務」「重大な利益」「公共の利益」「正当な利益」「同意」に基づいて、データ処理を管理し追跡できます。
同意フォーム
Zoho CRMには、メール(メール内またはメールに同意書を添付)、カスタマーポータル、電話を通じてデータ主体から同意を得る機能が搭載されています。 データ管理者は、データ主体に同意をリクエストし、同意を得るまでの期間を指定できます。 指定期間を超過すると同意ステータスが「未回答」となり、データがロックされて処理できなくなります。 同意フォームを作成し、フォームへの回答をメールで依頼することもできます。
個人情報項目としてマーク
重要な個人情報を「機密個人情報」としてマーク付けし暗号化。 さらに[コンプライアンス設定]からエクスポート、API処理、連携サービスへの送信時に機密個人情報としてマークされた情報が送信させないよう制限することもできます。
保存時のデータ暗号化(EAR)
Zoho CRMでは、AES(Advanced Encryption Standard)によって機密データが暗号化されます。 送信中のデータだけではなく、サーバーに格納されたデータもAES-256暗号化規格に基づいて保護され、万一漏洩や侵害が発生した場合でも顧客データの匿名性が保証されます。
監査ログ
データの削除や変更など、ユーザーが行ったあらゆる操作を
監査ログによって追跡・監視します。
データ主体の権利
データ主体(本人)は、GDPRで保護された権利をいつでも行使するリクエストを送信できます。
これらのリクエストを受けたら速やかに記録し、すぐに対応されるように監視します。
アクセス(アクセスする権利)
カスタマーポータルを通じて、顧客が自分のデータに自由にアクセスすることができます。アクセスができることに関する案内をメールで個別に送信することができます。
訂正 (訂正する権利)
顧客がデータを訂正するため、顧客データをエクスポートして送信することができます。カスタマーポータルに顧客がアクセスできる場合は、CRMに登録された情報を自身で訂正することができます。
エクスポート (データを移行する権利)
顧客情報をCSVファイルとしてエクスポートし、メールに添付して顧客に送信します。このエクスポートでは、外部デバイスに情報が保存されることはありません。
処理の停止(データ処理を制限する権利)
顧客が自身の顧客データを処理(利用)することを制限することができます。これが実行されると以降、データを処理することができなくなります。
消去(忘れられる権利)
忘れられる権利を行使することで、Zoho CRM に記録された顧客情報の削除を求めることができます。一度削除された顧客データはブロックリストに登録され、同じデータを再びCRMに登録しようとすると警告が表示されます。
免責事項 : ここに記載された情報は、法的助言として取り扱わないようご注意ください。GDPR準拠については、法的助言を得ることを推奨します。
GDPR コンプライアンス基準に関するよくある質問
GDPRとは何ですか?企業にどのような影響を与えますか?
一般データ保護規則(GDPR)は、欧州連合(EU)が策定した、個人データの保護と自由な移動、および子供を含む個人の権利保護のために設立された規則です。これは、既存のデータ保護指令(指令95/46/EC)に代わる規則であり、EU全域で施行されます。
GDPRは、EU居住者が自分の個人情報データの処理方法を直接、コントロールできるようにする権限を与えることによってデータプライバシーを保護します。
GDPRの個人情報保護が適用される国はどこですか?
GDPRの対象国は、欧州経済領域(EEA:European Economic Area)です。
EEAとは、EU加盟国*にEFTA(エフタ)のノルウェー、アイルランド、リヒテンシュタインの3か国を加えた合計31か国です。
*EU加盟国(28か国)
オーストリア、ベルギー、ブルガリア、キプロス、チェコ、デンマーク、エストニア、フィンランド、フランス、ドイツ、ギリシャ、ハンガリー、アイルランド、イタリア、ラトビア、リトアニア、ルクセンブルク、マルタ、オランダ、ポーランド、ポルトガル、ルーマニア、スロバキア、スロベニア、スペイン、スウェーデン、クロアチア、英国
EU圏に所在しない企業にはGDPRは適用されませんか?
いいえ、GDPR対象国の個人情報を取り扱うすべての企業に適用されます。
GDPRによって保護される個人情報の定義はどこまでですか?
GDPRは個人データにのみ適用されます。 個人データとは「識別された又は識別され得る自然人 (データ主体) に関するあらゆる情報」と定義されています。 これには、データ主体の氏名、メールアドレス、所在地、オンライン識別子(IPアドレス、ソーシャルメディアのプロファイル、Cookie情報など)が含まれます。
GDPRに違反した場合はどのような罰則がありますか?
GDPRに違反した場合は、違反内容に応じて、巨額の制裁金が課せらます。
顧客から十分な同意を得ずにデータ処理を行った場合やプライバシーバイデザインの基本概念の違反など、深刻なデータ違反や侵害に対しては、年間売上高の4%または2,000万ユーロ(約26億円)のいずれか高額な方が制裁金として課せられる可能性があります。
規制に従って記録を管理していない場合、監視当局や顧客に違反を報告しなかった場合、または正当利益アセスメント(LIA)を正しく実施しなかった場合は、年間売上高の2%または1,000万ユーロ(約13億円)のいずれか高額な方が制裁金として課せられる可能性があります。
GDPR 対応は、Zoho CRM のすべてのタブに適用されますか?
GDPR は、「人」の情報を保護することを目的とした規則です。そのため、対象となる情報を管理するタブにはGDPR対応が適用されます。具体的には見込み客、連絡先、取引先、カスタムタブに適用されます。
GDPR の主な関係者は誰ですか?
- データ主体者(本人)- あなたが収集・処理するすべての個人情報の主体者(本人)
- データ管理者 - データを処理する目的やその処理方法を決定するデータの管理者
- 共同管理者 - データを処理する目的やその処理方法を共同で決定する2人以上の管理者
- データ処理者 - データ管理者に代わってデータを処理する個人または企業
- データの二次処理者 - データ処理を請け負う第三者の個人または企業。(データ処理に関する説明責任を負う)
- 監督省庁 - GDPRの適用を監視する公的機関。
データ管理者が顧客データを処理できる根拠として合法になるのはどういうケースですか?
データ管理者は、以下6つのデータ処理基準から処理の根拠を選択できます。
- 契約 - 契約上の義務を果たすため、または顧客からの要求に基づく対応のため、顧客の個人情報データを処理する場合。(例:見積書、請求書の送付)
- 法的義務 - 法的な義務を順守するために顧客の個人情報データを処理する場合。(例:政府機関からの調査)
- 重要な利益 - 健康データに関して、生命に関わる緊急自体に対応する場合。
- 公的業務 - 公的機関が活動を行う場合。
- 正当な利益 - ダイレクトマーケティングなど商業的利用、個人の利益または社会的利益が該当します。管理者は、正当な利益に関する決定を正当な利益評価という形で文書化し、記録しておく必要があります。
- 同意 - データの対象者から同意を得ている場合。この同意とは、「データ対象者が声明または明確な肯定行動によって、地震の個人データを処理することを同意する」ことを意味します。この同意には、具体的な情報に基づく明確な意思表示であり、対象者が自由にそれを選択できる必要があります。
LIA とは?
LIAとは、Legitimate Interests Assessment(正当な利益の評価)の略。これは、組織が顧客の個人データを処理したい理由を特定するものです。また、組織は、処理が必要であることを示すために、LIAを実施する必要があります。
- 正当な利益が存在するかどうかの評価。
- 処理の必要性の確立。
- バランス・テストの実施。
DPOとは?
データ保護責任者(DPO)は、内部コンプライアンスの監視、データ保護義務の通知と助言、データ保護影響評価(DPIA)に関する助言、データ対象者と監督当局の間の連絡窓口としての役割を担います。
また、DPOは、企業とデータ処理に関連する活動を監督する監督官庁(SA)との間の連絡窓口としての役割も果たします。すべての組織にDPOを設置することが推奨されています。
既存の顧客にGDPRを有効化することはできますか?
設定 > ユーザーとコントロール > コンプライアンス設定をクリックし、コンプライアンス設定をオンにし、コンプライアンスが適用されるタブを選択すると、既存顧客にもGDPRを有効にすることができます。
GDPRを適用する前の顧客情報をどこから処理できますか?
以下のページから、データ処理の合法的根拠を記録していく必要があります。
- 概要ページ
- 関連タブの一覧ビュー
- 個々のデータ
GDPR コンプライアンスに準拠した顧客管理を実現する機能一覧
「これまで“点“でしか見ることができていなかった営業成果が、今は施策の最初から結果までを定量化し“線”で捉えられます。」
株式会社レアジョブ
御園 氏
Zoho CRM のサポートについて
Zoho では、さまざまな日本語サポートをご用意しています。