GDPRとビジネス

GDPRは顧客体験にさらに注力するためのまたとない機会です。

GDPRとエクスペリエンスビジネス
2018年5月25日より、EU一般データ保護規則(GDPR)が施行されます。アドビはこれが、企業にとって、消費者のプライバシーに注目することにより、ブランドロイヤルティを強化すると共に優れた顧客体験を提供できるまたとない機会になると考えています。これはエクスペリエンス重視のプライバシー、すなわちコンテクストに即した独自性のあるプライバシーに関する通知と対応を通して、プライバシーを顧客体験の重要な一部として取り扱うことにつながります。
Alisa Bergman、個人情報保護管理責任者、アドビ

「アドビは、エクスペリエンスビジネスへの変革を進める企業を積極的に支援しています。GDPRは、顧客中心主義へと舵を取り、透明性を高めて信頼を築き、プライバシーを念頭に置いて顧客体験を改善するまたとない機会になります」

Alisa Bergman
個人情報保護管理責任者、アドビ

space
GDPRの概要とビジネスへの影響

一般データ保護規則(GDPR)とは、EUで新たに定められたプライバシー法で、調和されかつ時流に沿ったデータ保護の要件を定めたものです。新たな要件や強化された要件も数多くありますが、中核となるのはデータ保護の一般的な原則です。新しいルールでは個人情報の定義が広範囲にわたっており、適用範囲が拡大されているので、EUに在住する個人に対して製品やサービスのマーケティングを展開するあらゆる企業が影響を受けます。アドビは、信頼されるべきデータ処理者(data processor)の立場としてGDPR遵守に努め、企業のGDPR対応への取り組みを支援します。
GDPR対応に向けたアドビの取り組み
アドビはデータ処理者に課せられる要件の多くを既に満たしており、残りの要件についても遵守に向けて取り組んでいます。アドビはセキュリティやプライバシー管理を考慮した設計にもとづく認証取得済みの強力な基盤を既に有していますが、2018年5月の規制施行に向けて今後も製品の強化を続けます。企業には、関連するポリシーや手順を更新すると共に、これらの機能強化に対応するための措置を講じる責任があります。
セキュリティとプライバシーを遵守する強固な基盤
セキュリティとプライバシーを遵守する強固な基盤
アドビは認定取得済みのセキュリティプロセスとセキュリティコントロールを実装し、Adobe Common Controls Frameworkを通じて企業からお預かりしたデータを保護しています。またそれらは、SOC-2、ISO 27001、EU/米国間Privacy Shieldをはじめとする、セキュリティおよびプライバシー関連の各種認定、標準規格、規則への対応にも役立てています。
プライバシーバイデザイン
プライバシーバイデザイン
アドビの使命は、企業がデータ管理者としての責任を果たしつつデータを最大限に活用できるようお手伝いすることです。アドビは長年にわたり、「プライバシーバイデザイン」と呼ばれるプロアクティブな製品開発理念を取り入れてきました。例えば、アドビの多くのサービスには、IPアドレスを難読化(obfuscate)し、個人レベルのオプトアウトを可能にする機能が組み込まれています。
データ転送
データ移転
アドビは個人に関わるデータの取り扱いに関し、EU/米国間およびスイス/米国間のPrivacy Shieldフレームワークの認証を取得しています。従って、アドビ製品を利用する企業は、データをEU諸国から米国へ移転するにあたり、これらのフレームワークを利用するか、標準契約条項(別名、EUモデル条項)にもとづく契約を結ぶかを選択することができます。詳しくはアドビの プライバシーセンターを参照してください(標準契約条項の申請方法についても記載されています)。
契約条件
契約条件
GDPRの要件を考慮してアドビのデータ処理契約を更新しました。
処理の記録
処理の記録
アドビは、記録保持要件の強化に対応できるよう、プライバシー保護に関わる活動をより正式な方法で文書化するよう取り組んでいます。
データ保護責任者
データ保護チーム
現在、アドビには、個人情報保護管理責任者、アイルランドデータ保護責任者、専任プライバシーチームが配置されており、今後も新たな要件を考慮した追加のステップが必要かどうかの評価を続けます。
製品とプロセスの刷新
製品と処理の刷新
アドビは常に企業の声に耳を傾け、製品やサービスの簡略化や自動化を進める方法を探り、GDPR関連のニーズへの対応に努めています。
GDPRへの対応:アドビと企業が協力して取り組まなければならない責任
 
個人情報の取り扱いに関与する各種事業者の義務を定めたGDPRの規程を遵守するにあたっては、関連事業者間の連携が重要となります。以下に示すAdobe Experience Cloudの例は、企業(データ管理者)とテクノロジープロバイダー(データ処理者)がそれぞれ担う役割を示しています。また、データ処理者がツール、プロセス、文書化を通じてデータ管理者を支援または協力する場面を示しています。
GDPRワークフロー
GDPRワークフロー
space
データ主体としての顧客の権利
データ主体としての個人の権利
GDPRにおいて特に重要となるポイントは、個人情報の取り扱い方法を消費者本人に選択させることです。個人は企業に対して以下のことを要求できます。
• 個人情報へのアクセスと誤りの訂正
• 個人情報の削除
• 個人情報の取り扱いに対する異議申し立て
• 個人情報のエクスポート
データ管理者としての企業の役割
アドビに処理と保管を委託する個人情報の種類を決定するのは、データ管理者である企業の役割です。アドビのクラウドソリューションをご利用の場合、お使いの製品やソリューションの種類、またアドビのアカウントやサービスに移転される情報の種類によっては、アドビが企業の代理として個人情報を処理する可能性があります。企業と情報をやり取りする個人に、情報の収集方法や利用方法の詳細を記したプライバシー通知を送付し、必要に応じて同意を得るのは、データ管理者である企業の責任となります。企業が保持する個人情報の開示を個人から求められた場合や、企業との関係の解消を求められた場合、それらの要求に応じる責任は企業にあります。
 
データ管理者としてのお客様の役割
データ処理者としてのアドビの役割
データ処理者としてのアドビの役割
アドビはソフトウェアやサービスを企業に提供する際、サービス提供の一環として企業から処理と保管を委託された個人情報に対し、データ処理者としての責任を負うことになります。アドビはデータ処理者として、企業との合意書などにもとづいた許可と指示に従って個人情報を処理します。アドビのクラウドソリューション内に企業のデータが存在し、個人からの要求に応じる場合、アドビはプロセス、製品、サービス、ツールなどを通じて企業が要求に対応できるよう支援します。
今こそ評価を
GDPRの施行により、データ収集のベストプラクティス、データ管理者としての透明性、消費者の選択の自由は今後ますます重要さを増します。これらすべてが、顧客体験における有意義な役割を果たします。顧客体験に目を向けつつ、GDPRの以下の原則が企業努力に与える影響について検討することをお勧めします。
 
不必要なデータ収集の削減
現在収集しているデータの種類を確認します。また、キャンペーンの実施に有効なデータのみを収集するようにします。
 
適切な同意の取得
どのような場面でどのような形式の同意が必要になるかを検討します。また、同意を得る際に不快感を与えることなく優れた顧客体験を提供するにはどうすればよいかを検討します。さらに、コンバージョンやロイヤルティの促進に役立つ消費者プライバシーの価値提案を検討します。
 
データ収集に関する必要な通知を提供
現在、データ収集の際に個人に提供しているプライバシー通知、ポリシー、情報を見直し、必要に応じて更新します。
 
一意の識別子の削除
ハッシュ化や暗号化、トークンなどの手段を通じて直接的な個人情報を別の識別子に置き換え、一部のデータを匿名化または仮名化することで、コンプライアンスの義務を最小化し、データ侵害、プライバシー侵害、賠償請求のリスクを極力抑えます。
 
データアクセス要求や削除要求への対応
データ主体である個人がデータアクセス要求やデータ削除要求をおこなう際の連絡方法を確認します。また、データの保持と削除に関連する社内のポリシーと手順をどのように定義すべきかを検討します。
 
今すぐ始める
GDPR対応に向けた5つのステップは次のとおりです。
デジタル資産の再点検
モバイルアプリやwebサイトなどのデジタル資産を再点検し、必要なCookie、タグ、データの種類を検討しましょう。
カスタマージャーニーの可視化
 
カスタマージャーニーを可視化し、適切な通知と選択肢を提供することにより、プライバシー保護に対する自社の取り組みを 消費者に伝えましょう。
 
同意管理プロセスの確立
顧客体験を考慮した、個人データ処理の同意管理戦略を確立しましょう。
ユーザーIDの認証
データ主体のアクセス要求に対応できるように、ユーザーIDを認証する方法を検討しましょう。
既存プロセスの活用
プライバシー担当者の任命を含め、データ主体のアクセス要求に応じられるように、既存のプロセスを見直して効果的に活用します。
プライバシー保護に求められる長期的な視野
現在のみならず、将来的なプライバシー保護までを見据えた戦略と設計が求められています。ヨーロッパでのGDPR施行が間近に迫った現在、他の地域や国々でもGDPRを意識したプライバシー規則が続々と登場しています。GDPR遵守に必要な作業に投資することで、将来的にアジアなどの他地域でもプライバシー遵守の取り組みにおいて優位に立つことができます。

顧客体験をビジネスの強みに変える

Adobe Experience Cloudを利用すれば、キャンペーンの構築や広告の管理、ビジネスについての深いインテリジェンスを得るために必要な、あらゆるソリューションを利用できます。また、GDPRへの対応をスムーズに進めるためのツールも用意されています。
Adobe Audience Manager
Adobe Analytics
Adobe Campaign