GDPR の簡略化: 小規模ビジネス向けのガイド
スモール ビジネス ヘルプとラーニングに関するすべてのスモール ビジネス コンテンツをご覧ください。
一般法人向け Microsoft 365 を使用して GDPR コンプライアンスの軽減と管理に役立てる
一般データ保護規則 (GDPR) は、組織が個人データを処理する方法を義務付ける欧州連合 (EU) 規制です。 ビジネスで欧州連合の市民に対して販売、サービスの提供、または雇用を行う場合、 GDPR による影響を受ける可能性があります。
小規模ビジネスの管理者として、「何から始めればいいのか?」と自問しているでしょう。 これは、コア ビジネス アクティビティとして個人データを処理しない場合、または GDPR などまったく気にしたことがなかった場合に特に当てはまります。
まず、GDPR とは何か、なぜそれが起きたのか、一般法人向け Microsoft 365 が組織が GDPR に準拠するのにどのように役立つかを理解するのに役立つこの記事を確認するところから始めましょう。
また、小規模ビジネスが抱いている可能性のある GDPR に関する一般的な質問への回答と、GDPR に備えるために小規模ビジネスが実行できる手順についても説明します。
重要
この記事が取り扱っている Microsoft 365 ソリューションと推奨事項は、データの管理と保護に役立つツールとリソースですが、GDPR コンプライアンスを保証するものではありません。 自社のコンプライアンス状態を評価するのはお客様の責任です。 必要に応じて、独自の法的事項のアドバイザーや専門アドバイザーに相談してください。
GDPR の概要
GDPR は、1995 年に最初に施行された以前のデータ保護指令 (DPD) を更新および拡張する EU 規制です。 GDPR は、個人、顧客、従業員、またはビジネス パートナーである個人のデータのプライバシーに関係します。 GDPR の目標は、EU 内に居住しているかどうかにかかわらず、EU 市民の個人データ保護を強化することです。 この規制は、期待を規定し、それらを達成する方法について進言しています。 組織は、GDPR の要件を満たす対策を講じる必要があります。
GDPR は、データとその使用方法に関することすべてです。 データはライフ サイクルがあると考えてください。 サイクルは、データを収集したときに開始され、データを保存して使用 (処理) を続け、システムから完全に削除すると終了します。
GDPR は、次の種類のデータに関係しています。
個人データ: データを個人にリンクして識別できる場合、そのデータは GDPR に関して個人データと見なされます。 個人データの例としては、名前、住所、生年月日、IP アドレスなどがあります。 GDPR では、データを個人にリンクできる場合、データがどの程度あいまいであるか技術的であるかに関係なく、エンコードされた情報 ("偽名" 情報とも呼ばれます) を個人データと見なします。
機密性の高い個人データ 個人データに詳細を追加するデータです。 たとえば、民族、労組のメンバーシップ、民族の由来などが挙げられます。 機密性の高い個人データには、生体認証データと DNA も含まれます。 GDPR では、機密データには個人データよりも厳しい保護規則が定められています。
GDPR の用語
GDPR で頻繁に言及されている用語がいくつかあります。 これらの用語を理解しておくことが重要です。
同意:
GDPR は、「個人データの処理は、人類にサービスを提供するように設計する必要がある」と述べています。GDPR は、個人データを処理するときに同意を使用して、この目標を達成したいと考えています。 これは、会社から電子メール メッセージの受信を希望するかどうかを顧客に尋ねる単純な操作である可能性があります。 また、マーケティングにデータを使用したい場合は、Web サイトのオプトアウト チェック ボックスがなくなるということです。 "明確で肯定的な行為" を使用して明示的な同意を得る必要があります。 また、同意が取れたとき、または取り消されたときの記録も保持する必要があります。
データ主体の権限:
GDPR によりデータ主体の権利が確立されます。つまり、個人データに関して、顧客、従業員、ビジネス パートナー、クライアント、請負業者、学生、サプライヤーなどには、次の権利があります。
自分のデータに関する情報を得る: データの使用について個人に通知する必要があります。
データへのアクセス権を持つ: 保持しているデータに対するアクセス権をデータ所有者個人に付与する必要があります (アカウント アクセスの使用や手動によるアクセスなどを介して)。
データの修正を求める: 個人は不正確なデータの修正を求めることができます。
データの削除を要求する: 「消去する権利」とも呼ばれるこの権利により、個人は、会社が収集した個人データを、それを使用するすべてのシステム全体で削除するか、共有するかを要求できます。
制限された要求の処理: 個人は、データの抑制または制限を求めることができます。 ただし、特定の状況でのみ適用されます。
データの移植性を持つ: 個人は、データを別の会社に転送するように要求できます。
反対の表明: 個人は、ダイレクト マーケティングなど、自分のデータが様々な用途に用いられることに反対することができます。
プロファイリングを含め、自動化された意思決定の対象にしないように求める: GDPR には、データを使用して個人のプロファイリングを行ったり、そのプロファイリングに基づく決定を自動化したりすることに対して厳格な規則があります。
GDPR に備える手順
このセクションでは、小規模ビジネスが GDPR の準備に役立てるために実行できる手順について説明します。 これらの手順に関する情報の多くは、欧州連合の発行局を通じて提供された文書『一般データ保護規則に向けて企業が準備しておくべき 7 つの手順』 を使って提供されました。
小規模ビジネスが GDPR への対策を始めるのに良い方法は、個人データを収集する際に次の重要な原則を確実に適用することです。
- 使用目的に明確に定義された目的で個人データを収集し、他の目的には一切使用しないことです。 たとえば、新しいオファーやプロモーションを受け取ることができるようにクライアントにメール アドレスを提供するように指示した場合、その特定の目的にのみメール アドレスを使用できます。
- 必要以上のデータを収集してはいけません。 たとえば、商品を配送するために郵送先住所が必要な場合は、顧客の住所と名前が必要ですが、その人の婚姻状態を知る必要はありません。
手順 1: 企業内で収集および使用する個人データと、必要な理由を把握することです。
小規模企業として、最初に実行する必要がある手順の 1 つは、収集してビジネス内で使用する個人データのインベントリと、必要な理由を作成することです。 これには、従業員と顧客の両方に関するデータが含まれます。
たとえば、雇用契約や法的な理由 (たとえば、米国内国歳入庁への税金の報告) に基づいて、従業員の個人データが必要になる場合があります。
別の例として、個々の顧客のリストを管理して、特別オファーに関する通知を送信することができます (顧客がこのことに同意している場合)。
手順 1 で役立つ Microsoft 365 機能
Microsoft Purview Information Protectionは、会社の機密情報を検出、分類、保護するのに役立ちます。 トレーニング可能な分類子を使用すると、個人情報を含むドキュメントの種類を識別してラベル付けすることができます。
手順 2: 個人情報を収集する必要がある場合に、顧客、従業員、その他の個人に通知する
個人は、自分の個人情報が取り扱われており、その取り扱いの目的を知っている必要があります。 たとえば、顧客がビジネスのオンライン サイトにアクセスするために顧客プロファイルを作成する必要がある場合は、その情報を使って何を行うかを具体的に示す必要があります。
ただし、データの使用方法が既にわかっている場合は、その個人に通知する必要はありません。 たとえば、注文した配送のために自宅住所の情報を提供するときなどです。
また、保持する個人データについて、要求に応じて所有者個人に通知し、所有者個人にデータへのアクセスを許可できる必要があります。 データの使用を整理すると、必要に応じてデータを簡単に提供できます。
手順 3: 必要な期間だけ個人データを保持する
従業員データの場合は、雇用関係が残っている限り、および関連する法的義務のために保持します。 顧客データの場合は、顧客関係が続く限り、および関連する法的義務 (税金の目的など) のために保持します。 収集した目的で不要になったデータを削除します。
手順 3 で役立つ Microsoft 365 機能
保持ポリシーとラベル を使用すると、特定の期間、個人データを保持し、不要になったときに削除することができます。
手順 4: 処理している個人データをセキュリティで保護する
IT システムに個人データを保存する場合は、強力なパスワードなどで、データを含むファイルへのアクセスを制限します。 システムのセキュリティ設定を定期的に更新します。
注:
GDPR には、特定の IT システムの使用に関する規定はありませんが、システムに適切なレベルのセキュリティがあることを要求しています。 詳細については GDRP 第 32 条: 処理のセキュリティ を参照してください。
個人データを含む物理的なドキュメントを保存する場合は、権限のない者がアクセスできないようにしてください。
Microsoft 365 などのクラウドに個人データを保存する場合は、ファイルとフォルダーへのアクセス許可の管理、ファイルを保存するための一元管理された安全な場所 (OneDrive または SharePoint ドキュメント ライブラリ)、ファイルの送信または取得時のデータ暗号化などのセキュリティ機能があります。
手順 4 で役立つ Microsoft 365 機能
コンプライアンス機能のセットアップを使用して、ビジネスの機密情報を保護できます。 コンプライアンス マネージャーを使用すると、すぐ使用を開始できます。 たとえば、GDPR テンプレートを使用するデータ損失防止ポリシーを作成して展開できます。
手順 5: データ処理アクティビティに関するドキュメントを保持する
保持する個人情報とその理由を説明する短いドキュメントを配布準備します。 必要に応じて、国のデータ保護機関がドキュメントを使用できるようにする必要がある場合があります。
このようなドキュメントには、以下の情報を含める必要があります。
| 情報 | 例 |
|---|---|
| データ処理の目的 | 自宅配送など特別なオファーに関する顧客へのアラート、サプライヤーへの支払い、従業員の給与と社会保障 |
| 個人情報の種類 | 顧客の連絡先の詳細、サプライヤーの連絡先の詳細、従業員データ |
| 関連するデータ主体のカテゴリ | 従業員、顧客、サプライヤー |
| 受取人のカテゴリ | 労働機関、税務署 |
| 保存期間 | 雇用契約 (および関連する法的義務) が終了するまでの従業員の個人情報、顧客/契約関係が終了するまで顧客の個人データ |
| 個人情報を保護するための適切な技術的および組織的な措置 | 定期的に更新される IT システム、セキュリティで保護された場所、アクセス制御、データの暗号化、データ バックアップ |
| EU 外の受信者に個人情報を転送するかどうか | EU 外のプロセッサ (クラウド内のストレージなど) の使用、プロセッサのデータの場所、契約上のコミットメント |
GDPR に関するマイクロソフトの契約上のコミットメントは、マイクロソフトのプライバシーとセキュリティに関するコミットメント、データ処理条件、および顧客がボリューム ライセンス契約でサブスクライブする Microsoft ホステッド サービスに関わる GDPR 条件を規定した Microsoft オンライン サービス データ保護補遺 に記載されています。
手順 6: 下請業者が規則を遵守していることを確認する
個人データの処理を別の会社に委託する場合は、GDPR の要件 (セキュリティ対策など) に準拠してデータ処理を行うことを保証しているサービス プロバイダーのみを使用します。
手順 7: 個人情報保護を監視する者を割り当てる
個人情報をより適切に保護するために、組織は データ保護責任者r (DPO)を任命する必要がある場合があります。 ただし、個人データの処理がビジネスの中核的な部分ではない場合や、小規模ビジネスの場合は、データ保護責任者を指定する必要がない場合があります。 たとえば、お客様の顧客に関するデータのみを自宅配送用に収集する場合は、DPO を指定する必要はありません。 DPO を利用する必要がある場合でも、これらの職務は、他のタスクに加えて既存の従業員に割り当てることができます。 または、必要に応じて、この職務のために外部コンサルタントを採用することもできます。
通常、データ保護影響評価を実行する必要はありません。 これは、個人情報により多大なリスクをもたらし得る企業などに限定されたものです (たとえば、ビデオ監視などの公共のアクセス可能なエリアを大規模に監視する場合)。
従業員の従業の給与や顧客のリストを管理しているだけの小規模企業では、通常、データ保護影響評価を行う必要はありません。
GDPR に関する一般的な小規模ビジネスの質問
私は個人事業主です。GDPR について心配する必要がありますか?
GDPR は、処理するデータに関する情報であり、従業員の数は関係ありません。 個人事業主であろうと大企業であろうとあらゆる規模の事業主に影響を与えます。 ただし、従業員数が 250 人未満の企業には、記録保持の削減など、一部の除外が適用されますが、これはデータ処理が個人の権利に影響を与えず、不定期に処理されることが確実な場合に限られます。
たとえば、個人以外のデータの処理は、除外されるか、軽減された対策が必要になります。 ただし、"特別なカテゴリの機密データ" と見なされるデータを処理する場合は、それがたとえ不定期処理であったとしても、このデータ処理を記録する必要があります。 "不定期処理" の定義はあいまいですが、1 回またはまれに使用されるデータに適用することを目的としています。
また、収集した個人データが保護されていることも確認する必要があります。 つまり、暗号化し、少なくともパスワードを使用してアクセスが制御されていることを確認する必要があります。 保護なしでデスクトップ上のスプレッドシートに顧客データを保持することは、GDPR の期待値を満たすことはできません。
会社の Web サイトが GDPR に準拠しているかどうかを確認するにはどうすればよいですか?
最初に自問してみるのは、次のとおりです。サイトのいずれかの場所で個人情報を収集しますか? たとえば、名前とメール アドレスを要求する連絡先フォームがあるとします。 マーケティング メールを送信する場合は、データの用途を正確に説明する [オプトイン] チェック ボックスを必ず追加してください。 受信者がそのボックスをオンにした場合にのみ、マーケティング目的で個人データを使用できます。
また、データを格納するデータベースが保護されていることを確認します。 Web ホスティング会社またはクラウド ストレージ ベンダーは、これについてアドバイスできます。 一般法人向け Microsoft 365 を使用する場合、データの保存は GDPR に準拠しています。
私の会社はヨーロッパ以外の場所にあります。 それでも GDPR は私たちに本当に影響しますか?
GDPR は、EU 市民を保護する規制です。 あなたの会社が現在 EU 市民と取引している場合、または将来その予定がある場合は、影響を受けます。 これは、EU 加盟国に住む市民と他の地域に住んでいる EU 市民の両方に適用されます。
たとえば、次のような場合があります。
EU 市民に車をレンタルで貸し出す米国の会社は、顧客のデータを収集して処理するときに GDPR 要件を満たす必要があります。 会社は、顧客のデータを取得するときに同意を得、顧客データが安全に保存されていることを確認する必要があります。 また、顧客がデータ主体のすべての権利を適用できることを確認する必要があります。
オーストラリアの会社がオンラインで製品を販売し、そのユーザーはオンライン アカウントを設定します。 GDPR データ主体の権利と同意は、アカウントを開く EU 市民に適用されます。 また、顧客がデータ主体のすべての権利を適用できることを確認する必要があります。
国際的なチャリティ団体が、寄付者に関するデータを収集し、それを使用して更新情報や寄付の要請を送信します。 GDPR の状態: '...ダイレクト マーケティング目的での個人データの処理は、正当な利益のために実行される場合があります。ただし、組織は、自分の興味がデータ主体の利益よりも優先されていることを証明する責任があります。 会社 (この場合は、チャリティ組織) は、常に通知を受け取り、明示的にオプトインの同意を得られるようにしておく必要があります。
GDPR は、顧客データが国境を越えて移動する場合にも適用されます。 データ ストレージにクラウド コンピューティングを使用する場合は、サービスが GDPR に完全に準拠していることを確認する必要があります。 データ ストレージが、データ保護の記録が不十分な場所にある場合、複雑になる可能性があります。 一般法人向け Microsoft 365 を使用している場合は、GDPR 要件を満たす適切な法的文書が用意されています。
確かに、私はデータを収集しますが、他の会社がそれを保存しています。 これで、私は対象外になりますか?
GDPR の規定では、データを収集すると、ある程度影響を受けます。 GDPR には、データ プロセッサとデータ コントローラーの概念があります。
データ コントローラー: データの収集方法、内容、および理由を決定する個人または組織 (共同管理者を持つことができます)。 別の会社のクラウド サーバーを使用してデータを保存する可能性もあります。 たとえば、顧客データを収集する Web サイトはコントローラーです。
データ プロセッサ: データ コントローラの代わりにデータを格納し、要求に応じてこれらのデータを処理する個人または組織。 たとえば、Microsoft 365 Apps for business のデータ ストレージはプロセッサとして機能し、GDPR に完全に準拠しています。
組織またはシステムは、コントローラーとプロセッサの両方として機能できます。 一般法人向け Microsoft 365 は、GDPR の両方として機能し、GDPR に準拠できます。
昔からの顧客にマーケティング メールを送信することはできますか?
顧客 (長年の顧客であっても) がデータをマーケティングに使用することに同意していることを確認する必要があります。 以前に同意と、それを表示するレコードをキャプチャした可能性があります。 その場合は、マーケティングを続行することができます。 そうでない場合は、その顧客からマーケティングを続行するためのアクセス許可を取得する必要があります。 これは通常、サイトに移動し、今後のメールを受信することに同意するオプションを選択するように顧客に求めるメールを送信する必要があります。
新しい従業員を採用するときに GDPR について心配する必要がありますか? 現在の従業員はどうでしょうか?
GDPR は顧客データに影響を与えるだけではありません。従業員データにも拡張されます。 新入社員は、多くの場合、LinkedIn などのソーシャル メディア プラットフォームを使って見つかります。 明示的な許可なしに、潜在的な採用データを保存しないようにしてください。
既存の従業員や新入社員の契約に関しては、特に契約で非肯定的でない条項が使用されている場合、契約の最後の署名は必ずしも同意を前提としているとは限りません。 この場合は、条項に関連付けられた明示的な方法で同意を得る必要があります。 この意味は従業員の契約によって異なりますが、場合によっては "正当な利益" を使用し、従業員のデータ処理に関する通知を追加して、従業員が自分のデータに対して何が行われているかを認識していることを確認できます。
一般法人向け Microsoft 365 を使用してプライバシーに関する懸念を満たす
GDPR への準拠は、個人情報が確実に保護されるようにすることです。 GDPR には、Privacy by Design and Default と呼ばれる概念があります。 つまり、プライバシーに関する懸念を満たすことが第 2 の性質になるように、データ保護をシステムと製品に "焼き付ける" 必要があるということです。
大規模な企業と同様に、小規模ビジネスにはセキュリティを犠牲にすることなく利便性を得ることが必要です。 一般法人向け Microsoft 365 は、従業員300人未満の企業を対象としています。 小規模企業は、Microsoft のクラウドベースのツールを使用して、ビジネスの生産性を向上させることができます。 一般法人向け Microsoft 365 では、小規模ビジネスはメール、ドキュメント、さらには会議やイベントを管理できます。 また、GDPR コンプライアンスに不可欠なセキュリティ対策とデバイス管理も組み込まれています。
一般法人向け Microsoft 365 は、次の方法で GDPR プロセスに役立ちます。
発見: GDPR コンプライアンスへの重要なステップは、どんなデータを保持しているかを把握することです。
管理: データへのアクセスを制御し、その使用を管理することは、GDPR の不可欠な部分です。 一般法人向け Microsoft 365 は、デバイスに適用するポリシーに基づいてビジネス データを保護します。 デバイス管理は、従業員がリモートで作業する時代には不可欠です。 一般法人向け Microsoft 365 には、すべてのデバイスでデータが確実に保護されるデバイス管理機能が含まれています。 たとえば、ビジネス内のすべての Windows 10 デバイスが Windows Defender を介して保護されるように指定できます。
保護: ビジネス向け Microsoft 365 はセキュリティのために設計されています。 デバイス管理とデータ保護の制御は、リモート デバイスを含むビジネス ネットワーク全体で動作し、データのセキュリティを維持するのに役立ちます。 ビジネス向け Microsoft 365 では、Microsoft 365 生産性アプリのプライバシー設定やドキュメントの暗号化などの制御が提供されます。 一般法人向け Microsoft 365 では、GDPR コンプライアンス監視を実行して、適切なレベルの保護が設定されていることを確認できます。
レポート: GDPR では、レポートに重点が置かれています。 1 人の従業員を持つビジネスであっても、そのビジネスが大量のデータを処理する場合は、手順を文書化して報告する必要があります。 一般法人向け Microsoft 365 は、小規模な組織に課せられるレポート要件という頭痛の種を取り除きます。
監査ログなどのツールを使用すると、データ移動の追跡とレポートを行うことができます。 レポートには、収集して格納するデータの分類、データの処理、データの転送が含まれます。
顧客、従業員、およびクライアントには、データ プライバシーの重要性に対する認識が高まってきており、いまや企業または組織がデータ プライバシーを尊重することを期待しています。 一般法人向け Microsoft 365 は、ビジネスに大きな混乱を生じさせることなく、GDPR コンプライアンスを達成し、維持するためのツールを提供します。
次の手順
GDPR に向けての準備をするために、次の手順を実行するためのいくつかの提案を次に示します。
アカウンタビリティ対応準備チェックリストを使用した GDPR プログラムの評価。
GDPR への準拠を実現し、維持するためのソリューションとして、一般法人向け Microsoft 365 を調査します。
重要
会社または組織に適した法的事項のアドバイスを受ける。
その他のリソース
Microsoft Trust Center: GDPR の概要
公式の Microsoft ブログ: GDPR に対する Microsoft の取り組み
欧州委員会のサイト: