SalesforceのGDPR対応について

本サイトでも、初回訪問された際には、以下のようなメッセージが表示されていたと思いますが、Cookie（クッキー）等を利用して、お客様の閲覧追跡など行う場合には、GDPR対応が必要となってきます。

2021年になって、GDPRの対応を実施したいというお客様も増えてきておりますので、SalesforceのGDPR対応する場合に、どのような対応が必要なのか整理してみました。

GDPRとはなにか

GDPRの正式名称は、General Data Protection Regulationで、日本では（一般データ保護規則）と呼ばれています。

ウェブサイトを訪問されたお客様の個人情報を取得する場合には、事前にお客様に用途を説明し許可してもらう必要があるということになります。また、お客様が許可した場合にも、その後のお客様の要請に応じて、お客様の個人情報を削除する義務が発生します。※そのほかにもいろいろあります。

GDPRに違反すると罰金が課せられるため、個人情報を取り扱う場合には、早急に対応したほうがよいでしょう。GDPR事態はEUの法律となりますが、EU域外の企業にも適用されるものとなるため注意が必要です。

詳細は以下をご確認ください。

EU（※）では、EU域内の個人データ保護を規定する法として、1995年から現在に至るまで適用されている「EUデータ保護指令（Data Protection Directive 95）」に代わり、2016年4月に制定された「GDPR（General Data Protection Regulation：一般データ保護規則）」が2018年5月25日に施行されました。

GDPRは個人データやプライバシーの保護に関して、EUデータ保護指令より厳格に規定します。
また、EUデータ保護指令がEU加盟国による法制化を要するのに対し、GDPRはEU加盟国に同一に直接効力を持ちます。

「出典：PPC　個人情報保護委員会（GDPR（General Data Protection Regulation：一般データ保護規則））」より。公式HPはこちら

具体的な対応要件を確認して、それぞれの項目に対してどこまでどのように対応するのか検討しておく必要があります。

SalesforceのGDPR対応状況

GDPR対応により、顧客から要請があった場合、もしくは保存しておく必要がなくなった場合には、Salesforce（および関連システム）に格納されているお客様の個人データを削除する必要がでてきます。

特にSalesforceでは、お客様の個人情報を管理する場合が多いと思います。個人情報については情報漏洩しないように厳重に管理する必要があります。また今後は、必要に応じて削除する義務も発生します。

顧客データ保護に関連する重要な規制（一部のみでほかにもあるそうです）

• 一般データ保護規則 (GDPR)、EU
• 個人情報保護法 (PIPA)、日本
• プライバシー法、オーストラリア

トレイルヘッドで基本から学習

Salesforceの無料オンライントレーニングのTrailheadでプライバシー法に関するモジュールが用意されているため、まずはこちらを学習することをお勧めします。

セールスフォース公式のトレイルヘッド「EU のプライバシー法の基本」は以下よりアクセスいただけます。

trailhead.salesforce.com

 

1 User

EU のプライバシー法の基本

https://trailhead.salesforce.com/ja/content/learn/modules/european-union-privacy-law-basics

一般データ保護規則 (GDPR) とその遵守方法について学習します。

※Trailheadをまだ利用したことがないという方は、こちらの記事を参考に進めてください。

データ保護とプライバシー

これまではGDPRに対しての内容を説明してきましたが、GDPRだけではなく、データ保護とプライバシーに関しては、包括的に対応する必要があります。

例えば、日本では個人情報保護法があります。アメリカやカナダにも独自の法律があったりします。

Salesforceの公式Helpサイトでは、重要な法規と対処方針（指針）が提示されているので、こちらも合わせて確認しておくとよいでしょう。

詳細は、以下Salesforceの公式HELPサイトを参照ください。

help.salesforce.com

Help And Training Community

https://help.salesforce.com/s/articleView?id=sf.data_protection_and_privacy.htm&type=5

データ保護とプライバシーに対する基本対応

Salesforceの公式HELPサイトでは、基本的な対応方針として主に以下のような内容が書かれています。

1. 個人情報（Salesforce上のデータ）削除：お客様が要求した場合もしくはデータが不要となった場合には、Salesforce上に格納されている顧客データを削除する必要があります。
2. 同意管理：顧客の個人情報を取得する場合には、お客様への同意確認が必要。また不要となった場合にオプトアウトの対応が実施可能なこと。
3. データ提供要求対応：顧客が要求した場合には、取得した個人情報のデータ開示・提供を実施すること

個人情報のデータ削除

お客さまから要求があった場合には、取得jした個人情報を削除する必要があります。

削除対象のデータは、Salesforceをどのように利用されているかによって異なります。

公式のＨＥＬＰサイトを確認すれば、ライセンスの種類によってどのようなデータを削除するべきか開示されています。

help.salesforce.com

Help And Training Community

https://help.salesforce.com/s/articleView?id=sf.data_deletion.htm&type=5

ただし、カスタムオブジェクトで作成したものなどは削除が必要かどうか調査する必要があるため注意が必要です。

例）デジタルエクスペリエンスサイトでGDPR対応する場合の例

例えば、デジタルエクスペリエンスサイト（旧Community）では、主に外部（一般のお客様）向けのサイトとなるため、例えば、アンケートやキャンペーンなどのページを作成して、お客様の個人情報を収集することも多いと思います。

そのため、GDPR対応として以下のような対応が必要となります。

• お客様がサイトへアクセスした際に、CMPツールなどを利用して、Cookieを利用して顧客情報を収集することを明示し、同意許可を得る（サイトにGDPRのタグを追加など）
• お客さまから要請があった場合には、該当する個人情報をシステム上から消去する

help.salesforce.com

Help And Training Community

https://help.salesforce.com/s/articleView?id=sf.data_deletion_communities.htm&type=5

まとめ

個人情報やプライバシーに関する対応については、Salesforceの公式HELPサイトの情報を参考にして対応するのがよいでしょう。