タグ: 個人情報

EUではじまるGDPRって何?日本のマーケターに必要な対応は?

EUではじまるGDPRって何?日本のマーケターに必要な対応は?

Benchmark • 2018.04.30

2018年5月25日からEUで適用開始となるGDPRについての基本的な内容と、日本のマーケターが注意すべきこと、またBenchmark Emailがどのような対応を行っているかについて簡単にまとめます。 *当記事はBenchmark Emailの欧州支社Raquel Herreraの記事を元に、日本向けに編集したものです。 Adapt your email marketing strategy to the GDPR General Data Protection Regulation (GDPR): Everything You Need To Know GDPRって何? 「GDPR(General Data Protection Regulation)」は「EU一般データ保護規則」と訳される、個人データ保護のための新たな規則で、2018年5月25日からEU加盟国全てに適用される予定の規則です。*英国はEU離脱が決定しているため対象となりません。 現在もEU域内には個人データ保護の条例がありますが、加盟国28カ国がそれぞれ独自の規制を適用しており、国際取引において運用が困難な面がありました。 そこで、今回のGDPR導入によって、EU域内での個人データ保護ルールを一本化し、運用をスムーズに、強固なものにしようという訳です。 また、GDPR導入によって現在各国が定める個人データ保護条例が無効になる訳ではなく、GDPRより限定的な内容は引き続き適用可能です。 メールマーケターが対応しなければならないことは? 適用対象は? GDRPはEU域内の「個人データ」の「移転」を規制するものです。つまり、EU域内で個人データを取得している場合、ビジネスの規模を問わず対象となります。そのため、日本企業が日本でビジネスをしていても、メールマーケティングを行う対象者・読者がEU域内にいるのならば対象となります。 国籍や居住地を問わず、EU域内にいる個人のデータを取り扱う場合に対象となりますので、EU域内に事務所を構えてビジネスをする場合はもちろんですが、そうでなくても日本からEU域内のユーザーに商品やサービスを販売したり、メールを配信するために個人データを取得しているのならば適用対象となります。該当される場合、法務部や、法律の専門家へのご相談をおすすめします。 詳しくはこちらもご参照ください。 「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(JETRO) EU一般データ保護規則(GDPR)の概要と企業が対応すべき事項(EY Advisory) 個人データとは? 「識別された、または識別され得る自然人に関するすべての情報」と定義されていますが、例えば「氏名」「識別番号(カード番号など)」「住所」「メールアドレス」、その他にも個人を識別できる様々な情報が含まれます。 個人データの移転とは? 例えば、日本企業がEU域内でビジネスを展開する場合に、現地法人の従業員の人事情報を日本で扱いたければ(つまり日本へ移転したければ)、EUから「EUと同じ基準でプライバシー保護をしている」と承認を得る必要があります。 日本は残念ながらEUから十分性認定を受けていないからです。そこで、EU域内の個人データを日本へ「移転」するためには、データ移転毎に結ぶ「標準契約条項」(SCC)、企業グループ内で包括的に結ぶ「拘束的企業準則」(BCR)に関する承認、本人の同意などが求められます。 Benchmark Emailの対応は? 前出の適用対象になるマーケターの方々の為に、Benchmark Emailがグローバルにどのような対応をしているかをご説明します。 「忘れられる権利」への対応 今回の規制の中でも、マーケターに最も大きな意識的変化が必要になるのが第17条の\"right to be forgotten\"「消去の権利(忘れられる権利)」への対応です。 データ管理者は、データの持ち主から個人データ削除の要望があれば、そのデータをすぐに削除されなければなりませんし、もし拒否するならばその理由を説明しなければなりません。 (参考記事)「忘れられる権利をめぐる動向」 ではメールマーケティングの実務においてはどのようなケースが想定されるでしょうか?Benchmark Emailに登録されたデータが削除されるシナリオは2パターン考えられます。 パターン①Benchmark Emailユーザー→Benchmark社 Benchmark Emailユーザーが登録しているデータを消したい場合、Benchmark社が削除する パターン②購読者→Benchmark Emailユーザー→Benchmark社 購読者が登録した情報を削除したい場合、Benchmark Emailユーザーは対応しなければなりません。唯一、既に購読者が購読解除していて「配信停止リスト(Unsubscribe List)」に入っている場合、Benchmark Emailユーザー側では削除ができないため、Benchmark社のサポートへ該当アドレスを通知していただき、Benchmark社側で削除を行います。 購読者による、購読の解除・登録情報編集への対応 情報管理責任者へは、配信するメールへの登録情報更新(Manage Subscription)の表記が義務付けられており、Benchmark Emailではフッター表示項目に追加することができます。 FAQ:フッターを英語で表示するには メール上での表記(\"Manage Subscription\" の箇所は日本語では「登録情報更新」と表記されます) (英語) (日本語) 登録情報の編集機能は、現在は氏名とメールアドレスのみが変更可能ですが、今後はその他の項目も変更が可能になる予定です。 購読者が登録情報を編集できる画面 (英語) (日本語) 購読者の同意 GDPRが適用される5月までに、登録フォーム内で、発行者のプライバシーポリシーへのリンクに対するチェックボックスの設置機能を実装予定です。 また、英語での解説となりますが、GDPRのBenchmark対応に関するウェビナーも公開しております。 Benchmark社では、GDPR規制の基準を満たすためにプライバシーポリシーをアップデートして参ります。 Privacy Policy for Benchmark Email (関連記事) 世界一厳しい? ヨーロッパの個人情報に関する新協定『Privacy Shield』を知っておこう! スイス‐米国間のプライバシーシールドフレームワーク対応について


記事を読む
世界一厳しい? ヨーロッパの個人情報に関する新協定『Privacy Shield』を知っておこう!

世界一厳しい? ヨーロッパの個人情報に関する新協定『Privacy Shield』を知っておこう!

メールマーケティングノウハウ • 2017.09.04

皆さんが普段から利用しているクラウドサービス、例えば、顧客情報を管理するCRMツールやBenchmark Emailの様なメール配信サービスには、個人情報を保存する必要があることから一定のセキュリティレベルが求められています。 Benchmark Emailは元々TRUSTeを取得しておりましたが、この度新たにEU-米国間の個人情報移転に関する新協定である「Privacy Shield」のデータ保護要件に準拠している企業に選ばれました。 ヨーロッパ諸国は日本と比べてもプライバシー保護の意識がとても高いと考えられています。 本記事では、ヨーロッパの個人情報保護規制のレベルや内容がどのようなものであるのかをマーケターの皆さまに知っておいていただくことで、日本でも今後厳格化することが考えられる規制への備えになればと思います。 1. Privacy ShieldとはEUーアメリカ間におけるデータの取り扱いに関する枠組み Privacy Shieldとは、欧州で取り扱われている個人データを米国に移すことを許容する法的枠組みのことで、その中では米国企業により重い責任を課すことが盛り込まれています。また商務省と米連邦取引委員会(FTC)が厳しい監視と取締りを行うことも条件に含まれています。 そもそもヨーロッパでは日本以上に「プライバシーの尊重」の考えが進んでおり、GDPR(EU一般データ保護規制)の施行を来年に控えたりと個人情報の厳守を重く捉えています。現在はEU加盟国がそれぞれ独自の法規制で情報の厳守を行なっていますが、EU全体で1つの法に則る方針に進むなど、プライバシー保護に対する意識の高さが顕著なのがEUなのです。 参照:EUの個人情報保護法「GDPR」施行まであと1年、対応は「経営課題」 2.それってつまりどういう意味? Privacy Shieldが定めるルール(data protection rules and safeguards)に則り、個人データを扱う限り(例:使用、保管、転送など)、EU圏内にある個人データをアメリカ国内に安全に移動させることができるというものです。 これにより、EU圏内の市民権の有無にかかわらず、データに与えられた保護が適用されます。 Benchmark Emailなど、クラウドサービス型のメール配信ツールにおいてはクラウド上にアップロードする配信リストの情報がこの協定に則って取り扱われることで、データ保護の安全性の1つの基準となり、GoogleやAmazon、salesforceといった企業も認証を受けています。 3.どのように機能しますか? Privacy Shieldの要件を満たしていると認められるには認定を受ける必要があります。 さらに、この認証は毎年更新されるもので、更新を行わない場合、この特定の枠組みの下でEUからデータを受信、​​使用することはできなくなるのです。 4.Privacy Shield認証されているの企業であるかどうかを知るには? Privacy Shield公式HPより検索することができます。 検索ボックスに企業名を入力し、Privacy Shield認定を受けている場合、次のような結果が表示されます。 (Benchmark Emailは認定されていることが確認できます。) 5.契約書に記載されている権利と義務とは何ですか? Privacy Shieldに関する全ての権利や義務についてこちらのページで確認することができますが、どのようなものが盛り込まれているのか、キーポイントをご紹介します。 データの利用用途とその理由、個人データにアクセスする方法、または権利を侵害された際などにおける苦情の提出方法といった情報を得る権利。 あらゆる目的におけるデータの使用には現在制限がある。 企業で保有するデータは最小限に抑え、必要である間だけそのデータを保持する義務がある。 データを保有する企業はそのデータを安全に管理する必要がある。 データを別の会社に転送する必要がある場合、Privacy Shield認証を受けている会社がデータを保護する必要がある。 個人はデータにアクセスし編集する権利がある。 個人がデータ管理に関する問題などが見つかった場合、苦情を提出する権利があり、またその解決策を受けることができる。申し立ての方法はいくつかある。 米国の公的機関により個人のデータへアクセスされた場合、保証される権利がある。 その他知っておくべきことは? 実はこの協定に遵守する上で、ヨーロッパのデータを扱う米国企業はヨーロッパにサーバーを立てる必要があるのではないか、という憶測があるのですが、これは事実ではありません。 条件は、米国に本拠を置く企業がPrivacy Shieldを遵守していることで、Privacy ShieldのHPにて掲載されている企業(=Privacy Shield認証を受けている企業)が管理するデータは安全であることが証明されています。 ビジネスシーンでは日々多くの個人情報を取り扱います。Privasy Shieldなどの公的機関から認証を受けているということは、1つの信頼要素になるかもしれませんね。 ということで今回はEU-米国間の個人情報移転に関するPrivacy Shieldについてお伝えしました。 より詳しい内容を知りたい方はこちら: ・Factsheet ・Guide to the EU-U.S. Privacy Shield 合わせて読みたい: 法律違反になる前に!メルマガとして宣伝・広告メールを配信する際に押さえておくべき「特定電子メール法」   //<![CDATA[ (function(d){ if(typeof(window.NINJA_CO_JP_ONETAG_BUTTON_2f4e138f7719a5c3092c7264effeaf88)=='undefined'){ document.write("\"); }else{ window.NINJA_CO_JP_ONETAG_BUTTON_2f4e138f7719a5c3092c7264effeaf88.ONETAGButton_Load();} })(document); //]]>


記事を読む
クラウドサービスを安全に利用するために、セキュリティについて導入時に確認しておくべき5つのポイント

クラウドサービスを安全に利用するために、セキュリティについて導入時に確認しておくべき5つのポイント

メールマーケティングノウハウ • 2017.03.06

こんにちは。Benchmark Email(以下、ベンチマーク)エバンジェリスト笠原です。 普段はベンチマークの操作サポートの責任者をしております。お客様の利用方法を伺い、適切かつ効果的な運用のアドバイスを心がけています。基本的にオンラインでご契約を進めるサービスですが、お客様と直接お話をする機会が多い立場です。 その中でも特に懸念点としてご相談いただく点がセキュリティに関するところです。 ベンチマークのサービスはデータを皆様のPCにダウンロードする必要がなく、インターネット接続さえあれば、前に作業した内容をすぐに引き出せるいわゆる「クラウドサービス」です。 クラウドサービスは手軽に利用ができアクセスも容易ということでメリットを感じて導入する企業が増えています。すでに出来上がったサービスであり、ゼロから開発するよりもコストが安いという点も魅力の一つになっています。私たちも業務に関する様々な場面でクラウドサービスを利用しています。 今は当然のようにツールの便利さを享受していますが、導入の前には社内で様々な検討事項がありました。そのほとんどがセキュリティに関する事柄です。 お客様の情報や業務の機密情報を扱うため、絶対に確認をないがしろにできない部分だと思います。 そこで今回のブログでは、クラウドサービスを初めて検討する方に、セキュリティのどういった点を検討する必要があるのか。「そもそもどういう事を確認すればいいか分からない」という方へ紹介・解説をしていきたいと思います。 合わせてクラウドサービス提供側であるベンチマークのセキュリティについてもご紹介します。クラウドサービスを検討する上で、判断材料になればと思います。 導入前の知っておくべき注意点 経済産業省がクラウドサービス導入を検討している企業向けに、チェックリストを公開しています。「クラウドサービス利用のための情報セキュリティマネジメントガイドライン(以下、ガイドライン)」という名称です。クラウドサービスを利用するユーザー側と、サービスを提供する側に確認するべき事項がまとまっています。 全107ページの長いガイドラインとなり、読み進めるのは少し骨が折れます。 そこで普段のサポート業務から私が感じる、サービスの安全性を確認するために特に注目して欲しい点を以下にまとめました。 アプリケーション運用 ウィルススキャン 脆弱性検査は行っているか 個人情報の取り扱いの基準 サポート それぞれ確認をしていきましょう。 1.アプリケーションの運用(可用性・信頼性) サービスがどの期間稼働しているのか、またもしサービスが停止する場合はどの程度で復旧するのか、といった点は必ず確認しましょう。 導入したサービスがいきなり使えなくなったら、元も子もありませんね。 どんなに完璧で高度なシステムでも、何かが原因で不動作が発生することはあります。しかし事前にどの程度で復旧するのか、またこれまでどのような事象が発生していたのかを知ることでサービスの信頼性を計ることができます。 例えばベンチマークは24時間365日稼働しています。 メンテナンスが入る場合は事前に1週間前にアナウンスをします。 (操作画面にアクセスされたらポップアップで注意を出しています) また稼働状況については障害発生など5分間隔で監視を行っています。 2.ウィルススキャン 「アクセスしたら急にPCがブラックアウトした!」「身に覚えのない画面が急に出てきた!」なんてことがあったら、業務どころではありません。ウィルス攻撃がきっかけで、個人情報や機密情報が盗まれてしまうなど考えたくもありませんね。 検討しているサービスが定期的なウィルススキャンを行っているか、また預けている機密情報の漏えい防止に勤めるなど、どのような対策を取っているのか必ずチェックをしましょう。 ベンチマークのサーバーは24時間365日監視下に置かれ、不正なアクセスの侵入を常に監視しています。ウィルスが入らないように複数のファイアウォールを設置し、McAfeeのウィルススキャンを行っています。 もちろん配信するメールも保護の対象です。少しでも怪しいファイルが紛れ込むのを防ぎ、安全に受信がされるように添付ができないよう、フィルタリングを行います。 参考FAQ:「メールにファイルを添付できますか」 3.脆弱性検査とは 「完璧です」「万全です」といくら謳っていても、客観性がないと頼りなく見えますよね。 セキュリティの対策に問題がないか、客観的に確認をするのが脆弱性検査です。 この点を見定めるには、セキュリティーソフトを導入しているかどうかを確認する必要があります。 ベンチマークではMcAfee Security Auditorというプログラムを利用し、常に脆弱性の分析・保護を行っています。ウィルスに侵入されるきっかけとなるセキュリティホール(システム上の盲点や不具合)がないか、最新の規格に合わせてシステムを検証を行っています。万一脆弱性が明らかになった場合は、最優先で改善を行う体制となっております。 ベンチマークのセキュリティー対策についてはこちらをご覧ください。 セキュリティー & プライバシー 4.個人情報の取り扱い基準 セキュリティ面で問題がないと分かったら、次に提供元企業のサービス体制を確認しましょう。いくら万全なシステムであったとしても、サービス提供側が信頼できる管理体制であるか確認することをおススメします。 通常であれば個人情報を取り扱う業者は、顧客の許可がない場合、個人情報を第三者に販売・共有することはできません。個人情報が守られているかどうかを確認するための基準がセキュリティマーク、第三者評価となります。例えばプライバシーマークや、ISMSといった認証が一般的です。そのような文言が利用規約やプライバシーページに記載があるかを確認しましょう。 ベンチマークにおける個人情報の取り扱い基準は国際レベルに遵守しており、TRUSTeという国際認証ライセンスを取得しています。これは個人情報が万全の体制で保守され、的確に運用されている事を示すライセンスとなっております。 *実際のベンチマークのライセンスはこちらから確認いただけます。 またベンチマークは最も個人情報保護の基準が厳しいEU圏でもサービスを提供しています。 そのため、”EU-米国間におけるプライバシー・シールド協定”に準じた運用を行っております。 関連FAQ:Benchmark Emailにインポートしたデータは安全でしょうか? 5.サポート体制 セキュリティーとは少し、異なりますが、はじめてサービスを使う場合のトラブルシューティングはどうするのか、わからない事があったらどこに頼ればいいのか確認をしましょう! サポート体制があることで、安心してツールの導入を進めることにも繋がりますね。 ベンチマークには、頼れるスタッフが多くいます。 メールとチャットで、幅広く利用方法をサポートしております。 さいごに 私も今ではSlack、Jira、Teachme、Misoca、Zendeskとさまざまなクラウドサービスを活用して日々の業務に当たっています。 仕事柄、それらツールを使って社外には出すことのできない重要な内部情報のやり取りを行うこともあります。 そんな時、ツールの安全性を疑うことなく利用できるのは、ツール提供側がセキュリティー面でも安全対策を構築してくれている方に他なりません! このブログをきっかけにクラウドサービス導入を検討、決定する方の後押しになれば嬉しいです。 // <![CDATA[ (function(d){ if(typeof(window.NINJA_CO_JP_ONETAG_BUTTON_2f4e138f7719a5c3092c7264effeaf88)=='undefined'){ document.write("\"); }else{ window.NINJA_CO_JP_ONETAG_BUTTON_2f4e138f7719a5c3092c7264effeaf88.ONETAGButton_Load();} })(document); // ]]>


記事を読む