GDPRが近づいています：デジタルフィードバック収集への影響2018年3月21日

GDPRの到来を考えて、夜は眠れなくなっていますか？ もしそうなら、あなたは一人ではありません。 特にデジタルフィードバックに関連するため、データ収集規制の今後の変更に備える方法を完全に確信していない組織（小規模および大規模）はまだたくさんあります。 しかし、心配しないでください。開始するのに遅すぎることはありません。

この記事では、 GDPRの基本（たとえば、GDPRとは何か、誰が影響を受けるか）、デジタルフィードバック収集の観点から知っておくべき最も重要な変更、これらの規制を遵守することが重要である理由、選択した場合の結果について説明します。私たち自身とクライアントが新しい法律に備えるために、ここMopinionで行っていることではありません。

基本から始めましょう。

GDPRとは何ですか？

一般データ保護規則（一般にGDPRと呼ばれる）は、2018年5月25日に発効する新しいヨーロッパのプライバシー規則です。この規則は、EUおよびEEA地域のすべての地域のプライバシー法に実装され、すべての人に適用されます。 EUおよびEEA市民に関する個人データを販売または保存している企業。 言い換えれば、企業が顧客データを収集、保存、使用する方法を恒久的に変えるでしょう。 その見返りとして、EUおよびEEAの市民は、個人データとそれを使って何が行われるかをより詳細に管理できるようになります。

「個人データ」とは何ですか？

GDPR指令で定義されているように、

「個人データとは、名前、写真、電子メールアドレス、銀行の詳細、ソーシャルネットワーキングWebサイトの更新、場所の詳細、医療情報、コンピューターのIPアドレスなどの個人に関連する情報です。」

GDPRは誰に影響しますか？

これを少し簡単にするために、GDPRの影響を直接受けるのは主に「コントローラー」と「プロセッサー」（データの）です。

コントローラー（例：Mopinionのクライアント）は、データの処理方法とその理由を決定する企業または政府機関です。

プロセッサー（例：Mopinion）は、コントローラーに代わってデータ処理（の技術的側面）を実行する企業です。

認識しておくべき重要なことは、新しい規制によれば、コントローラー/プロセッサーが世界のどこに配置されているか、または動作しているかは問題ではないということです。 EUの企業と取引を行ったり、EU市民からデータを収集したりする場合、EU / EEA地域で事業を行っている企業と同じようにGDPRを遵守する義務があります。

無料のホワイトペーパー：オンラインカスタマーフィードバックの未来

オンラインの顧客フィードバックの力を活用して、ウェブサイトやアプリを最適化する方法を学びましょう。

論文をダウンロードする

注：この記事ではデジタルフィードバックの収集のみに焦点を当てますが、特にこれらのタイプのツールは最近ニュースに頻繁に登場しているため、セッションの再生および記録ツールにとってこれが何を意味するかについても議論されていることを認識することが重要です。 「意図しないパスワード収集」の結果として。 これらのツールの詳細と、GDPRが導入された後のプライバシーの観点からツールが不足する可能性がある場所については、この記事を確認してください。

GDPRはフィードバックデータ収集にとって何を意味しますか？

デジタルファーストビジネスに対する数百万ドルの質問…この新しい規制は、現在オンラインでフィードバックデータを収集する方法にどのように影響しますか？ これをレイアウトする最も簡単な方法は、最も批判的で話題の主題/質問に取り組むことです。

1.データの同意/合法的な処理。 これはおそらく、これから起こる最大の変化の1つです。 GDPRでは、個人データの収集に関する同意（およびデータ処理の目的）は、顧客が簡単にアクセスできる形式で提供する必要があると述べています。 注：同意は、与えるのと同じくらい簡単に撤回する必要があります。

知っておきたいこと： GDPRが間近に迫っているため、ソフトコピーがない場合は、PDFの電子署名が不可欠です。 PDFファイルに署名を追加する方法と、PDFを編集する方法ガイドから、さらに多くのPDFのヒントとコツを学ぶことができます。

顧客からのフィードバックはデータ処理に該当するため、合法的に処理する必要もあります。 これは、（上記のように）訪問者が同意した場合にのみフィードバックを収集できることを意味します。 ただし、フィードバックの収集は正当な利益のためであると主張することはできます。その場合、同意は必要ありません。

注：GDPRは、組織がマーケティング活動の言い訳として「正当な利益」条項を使用することを禁止することについて非常に明確であるため、これらを分離しておくことが重要です。 マーケティングキャンペーンなどの目的でデータを使用する場合は、顧客に通知する必要があります。 さらに、顧客データを共有したい場合、顧客は最初に参加するかどうかを指定する必要があります。

要約すると：

機密データを扱っていますか？
次に、フィードバックを収集するための明示的な同意が必要になります。

そうでない場合、処理は「正当な利益」になります。

出典：CustomerSure

2.アクセスする権利。 あなたが収集しているデータを持っている個人は、彼らの個人データで何が行われているのかを確認するすべての権利を持っています。 注：この情報は、個人に無料で発行する必要があります。

3.忘れられる権利。 個人は、システムから個人データを削除するようにコントローラーに依頼したり、サードパーティによる処理を停止したりすることができます。 管理者は、データの可用性が公益の問題である場合にのみ抗議することができます。

4.プライバシーバイデザイン。 これには、最初からプライバシーとデータ保護のコンプライアンスを促進する必要性が含まれます。 これには、規制を満たすために技術的および組織的な対策を講じるデータ管理者が含まれます。 たとえば、操作に必要なデータのみを処理します。



5.DPO。 データ保護責任者とも呼ばれるDPOを任命する必要があります。 注：この場合にはいくつかの例外があります。 DPOの役割は、「データ保護に関する法律と慣行を維持し、内部でプライバシー評価を実施し、データに関連する他のすべてのコンプライアンス事項が最新であることを確認すること」です。

注：これは、大量の個人データを処理または保存する組織に適用されます。つまり、プロセッサーとコントローラーの両方が適用されます。ただし、コントローラーが「必須の指定の基準を満たしている」場合を除きます。この場合、プロセッサーはDPOを指定する必要はありません。


出典：Computing.co.uk

6.データの移植性。 これは、適切な個人がデータをコントローラーからコントローラーに切り替える必要があることを意味します。つまり、企業は顧客データを適切で機械可読な形式（CSVファイルなど）で配信できる必要があります。 コントローラは、1か月以内にこの要求に応答する必要があります。

7.データ侵害。 データ漏えいが発生した場合は、72時間以内にICO（情報コミッショナーオフィス）に通知を送信する必要があります（つまり、漏えいに気付いたら）。また、漏えいの影響を受けた個人に通知する必要があります。 ICOへの通知の中で、次のことを概説することが重要です：侵害されたデータの性質、影響を受ける人の数、侵害が影響を受ける人々にどのような影響を与えるか、そしてあなたがどのような行動をとるか違反に対応するために。

これに備えるための良い方法は、徹底的なデータマッピングを使用することです。 これは、フィードバックデータの管理者と処理者が、収集したデータ、データが保存されている場所、データの発信元、アクセスできるユーザー、および関連するリスクを認識していることを意味します。

Mopinionのデータ侵害の手順を確認するには、ここをクリックしてください。

ヒント：フィードバック応答で個人データを収集することは控えてください
ユーザーがフィードバックフォームのオープンコメントセクションで個人データを送信する可能性が非常に高くなります。 幸いなことに、これを防ぐにはいくつかの方法があります。 その1つは、フォームの直接リンクを介してユーザーをカスタマーサポートページに誘導することです。 または、フィードバックフォームにツールチップを組み込んで、個人データを含めないようにユーザーに通知することもできます。 たとえば、「このテキストフィールドに連絡先の詳細を含めないでください」などです。

なぜこれらの厳しい規制を遵守するのですか？

フィードバックデータの収集に関してGDPRに準拠することが非常に重要である理由はいくつかあります。 手始めに、従わなかった場合に課せられる可能性のあるさまざまな罰金があります。 ソースは言う：

データ保護機関は、最大2,000万ユーロ、または世界の年間売上高の4％のいずれか大きい方のペナルティを発行する可能性があります。

さらに、それはあなたのブランドの評判に非常に損害を与える可能性があります。 たとえば、規制を順守しなかったために罰金が科せられる場合、顧客はあなたが自分の利益を心から持っていない、またはプライバシーを尊重していないと考えるでしょう。

準拠するもう1つの理由は、合理化されたデータ保護規則により、発生するエラーの量が減少するという事実です。 言い換えれば、データの取り扱いを誤ることを恐れると、より構造化され組織化されたデータの保存と処理が可能になります。

注： GDPRの第5条には、次のように記載されています。 これは、企業が規制を遵守するだけでなく、遵守していることを示す必要があることを意味します。 多くの人が、これを行うには、すべてのデータ処理の決定を記録しておく必要があるとアドバイスしています。

結果は何ですか？

前述のように、GDPR内の条項に違反した場合の結果は、企業の評判と経済的両方に悪影響を与える可能性があります。 結果がどうなるかの詳細は、以下を含むいくつかの要因に基づいて異なります。

• 侵害が続いていた期間
• 影響を受けた個人の数
• 侵害がもたらした影響の全体的なレベル

注：コントローラーとプロセッサーの両方が結果の影響を受ける可能性があります。

GDPRに備えるためにMopinionは何をしていますか？

Mopinionは、GDPRに備えるための措置を積極的に講じています。 法務チームと緊密に協力して、Mopinionがデータを処理する方法の詳細を記載したプライバシーステートメントの補遺を公開する予定です。 これは4月上旬に利用可能になります。

プロセッサーとして、私たちは以下を保証/提供します：

• 既存のプライバシーポリシーと条件には、GDPRに従って、ポリシーの変更に関する詳細情報を提供する新しい補遺が付属します。
• データ保持に関しては、クライアントが契約を結んでいる限り、データを保存します。 企業のお客様の場合、セキュリティポリシーに基づいて、カスタムのデータ処理契約（DPA）を順守します。この契約では、カスタムの時間間隔に基づいてデータを自動的に削除できます。 また、お客様にDPAを提供します。 これは、カスタマーサクセスチームからの要求に応じて利用できる独自のテンプレートを使用して行われます。
• すべてのプライバシー機密データ（電話番号、電子メールアドレス、名前など、フィードバックフォームの連絡先の詳細など）は暗号化されます。 さらに、ビジュアルフィードバック機能を使用して入力フィールドにキャプチャされたデータは、スクリーンショットがレンダリングされると自動的にぼかし（またはマスク）されます。
• ヨーロッパのクライアントの場合：私たちはすべての個人データをアイルランドに保管します。
• すべての個人データが100％安全であることを保証するために、追加の専門的なセキュリティ評価を組織します。
• 処理されたすべてのデータの内部マッピング。上記の原則への準拠を文書化し、必要に応じて変更を加えます。

ここモピニオンでは、プライバシーを非常に重要視しています。 GDPRがドアをノックする前に、すべてが整っていることを確認するために、私たちは法律事務所と協力して取り組んできました。 現在、この新しい規制が施行されるまであと2か月もかかりませんが、Mopinionチームは、クライアントのデータを保護するために実施したプライバシーとセキュリティ対策に非常に自信を持っています。 それは確かに挑戦でしたが、インターネットのプライバシーのために私たちが進んで引き受けたものです。

Mopinion、共同創設者/マーケティング責任者、Kees Wolters

顧客フィードバックを使用する企業にとっての重要なポイント

Webサイトまたはモバイルアプリで顧客のフィードバックを収集していますか？ これらは、この記事からの最も重要なポイントです。

• プライバシーの状況は急速に変化しているため、ユーザーのプライバシーを保護し、GDPR要件を満たすための対策を遅らせないでください。
• すべてのコンプライアンス問題を処理するDPOを任命します。
• プライバシーポリシーと利用規約のドキュメントに、ウェブサイトまたはモバイルアプリでフィードバックツールをどのように使用しているかが明確に記載されていることを確認してください。
• 「正当な利益」のみにあるデータを処理します。 言い換えれば、あなたが必要としないデータを収集しないようにし、マーケティング目的で収集されたデータを使用しないようにしてください（あなたが同意しない限り）
• あなた（プロセッサ）とフィードバックソフトウェアプロバイダー（コントローラー）の両方がGDPRに準拠していることを確認してください。

新しい規制についてまだ衒学者だと感じていますか？

公式の一般データ保護規則を必ず確認してください。