一般データ保護規則(GDPR)

一般データ保護規則(GDPR)は、欧州連合(EU)で採択され、EU域内のすべての個人のデータ保護を強化するために2018年5月25日に発効したデータプライバシー規則です。GDPRは、取引先の企業に関係なく、次のようなEU居住者の個人データの保護を規定する共通の規則を定めています。

  • データ収集および処理に関する同意の取得方法
  • データ主体が個人データに関する権利を行使する方法
  • データがGDPRに従って処理され、保護されていることを証明するために何をしなければならないか

規制の詳細については、EUの公式サイトをご覧ください。

誰に影響があるのでしょうか?

Pendoのほとんどのお客様に影響があります。

Pendoはデータプロセッサですか、それともデータコントローラですか?

Pendoはデータプロセッサであり、データコントローラでもあります。Pendoはお客様の顧客データを処理し、Pendoにログインしたお客様のデータを管理しています。この両方に対して、Pendoには一定の要件と責任があります。

個人の権利

GDPRには、8つのデータ主体の権利があります。

  • 情報提供を受ける権利
    個人に対する透明性を強調するもので、お客様が個人データの収集を開始することに同意を得た時点で、明確で平易な言葉を用いながら「公正な処理情報」を提供する義務を規定します。

  • アクセス権
    個人が自分の個人データにアクセスし、処理の合法性を認識および/または検証できるようにする権利です。

  • 自動化された意思決定に関する権利。
    人の介入なしに、損害を与える可能性のある意思決定が行われるリスクから、個人を保護します。

  • 異議申し立ての権利
    特定の根拠に基づき、個人がプロファイリングやダイレクトマーケティングを目的としたデータ処理に異議を申し立てられることを規定します。

  • 修正の権利
    個人データが不正確であったり、不完全であったりする場合に、修正を受ける権利を有することを示します。

  • 消去の権利
    必要性がなくなった場合、またはデータ主体が同意を撤回した場合に、個人が個人データの削除を依頼できます。

  • 処理を制限する権利。
    個人データの処理を「ブロック」または抑制する権利を個人に与えます。

  • データ可搬性の権利。
    個人が自分の個人データを取得し、異なるサービス間で自分の目的のために再利用することを認めます。

権利を行使する方法

上記のような権利を行使する場合は、Pendoサポートに連絡し、リクエストを提出してください。リクエストを提出した後は、提出したサポートチケットで完了を確認することができます。

注意:Pendoはデータプロセッサでもあるので、Pendoのアカウントからお客様の顧客データを削除する必要がある場合も、Pendoサポートにお問い合わせください。

Pendoは、GDPRのプロセスを可能な限り効率化するように努めています。スムーズにリクエストを処理するため、以下のガイドラインをご参照ください。

  1. リクエストには、訪問者IDを入力してください。
  2. データを削除またはリクエストするPendoサブスクリプションの名前を記載してください。複数のサブスクリプションをお持ちの場合は、データのリクエストまたは削除を希望するすべてのサブスクリプションの名前を記載してください。

    Pendo様

    このメッセージは、次の訪問者が「アクセス権」を行使するためにGDPRリクエストを提出したことをお知らせするために送信されました。

    訪問者ID:uniqueIdentifier-abcde12345
    :メールアドレスは、お客様の設定により異なるため、訪問者IDとは限りません。ランダムな英数字で構成されている場合もあります)

    サブスクリプション名:acme-solutions(データをリクエストまたは削除するすべてのPendoサブスクリプションの名前を入力してください)

    よろしくお願い致します。
    Pendoのお客様

リクエストを提出した後はどうすればよいですか?

Pendoのサポートチームが各リクエストに対応し、リクエストが届いたかどうか、処理が初期化されたかどうかを確認します。

注: 消去の権利およびデータ可搬性の権利のリクエストは、コンプライアンス上のタイムラインを満たす必要があるため、最大21日かかります。
  • 消去のリクエスト:削除が確認されると、リクエストチケットを介して削除についての連絡が届きます。複数のリクエストを送信した場合は回答がまとめて処理される場合があります。なお、どの訪問者の削除リクエストに対応したかは記録されます。

  • アクセスリクエスト:アクセスリクエストごとに、.jsonファイルを含む.zipファイルが届きます。複数のリクエストを送信した場合、処理を早めるために、訪問者IDごとに作成された個別の.jsonファイルを1つのzipファイルにまとめることがあります。
注:空の.jsonファイルは、そのユーザーのデータがないことを意味します。または、そのユーザーのデータがないことを通知するメールが届くこともあります。

データ漏洩が発生した場合

漏洩が発生した場合、Pendoは影響を受けたPendoのアカウント管理者および指定された連絡先に連絡し、直ちに是正措置を発動してコンプライアンスを確保します。Pendoが定める漏洩対応では、影響を受けたお客様に対して継続的に最新情報を連絡することで、効果的なコミュニケーションを確保するように規定されています。

その他の質問

その他の情報については、Pendoの「GDPRのプロセスと取り組み」のホワイトペーパーをご覧ください。

その他、Pendoのプライバシーへの取り組み、セキュリティ、認証、GDPRコンプライアンス計画に関する一般的なご質問やご相談については、gdpr@pendo.ioまでご連絡ください。