Commerce Cloudを導入すると、Web、ソーシャル、モバイル、店舗などショッピングのあらゆる場面で一貫したカスタマーエクスペリエンスを提供できます。 ショッピングからカスタマーサービスまで、一人ひとりの顧客を満足させるエクスペリエンスが実現。エンゲージメント、ロイヤリティ、コンバージョン率の向上につながります。 Salesforceにとって何より重要なのは、お客様の成功です。これは当社の信条であり、行動指針です。企業のGDPR対応を支援するツールや機能の開発においても、この姿勢は貫かれています。Salesforceはお客様のパートナーとして、コマースオペレーションの信頼性、コンプライアンス、安全性の強化に貢献してまいります。
 
 
購入客は、個人データの利用や変更を停止するよう店側にリクエストすることができます。 Salesforceは、処理の制限がリクエストされた場合に使用できるツールとして、データエクスポート用とデータ削除用にそれぞれ新しいAPIを提供しています。 消費者は、さまざまな理由から自分のデータの削除を希望します。 例えば、あるブランドとの取引を終了させたいときです。 このような場合、Salesforceを使用すれば購入客の注文データや追跡データを削除できます。EUの購入客によるリクエストの場合は、忘れられる権利の遵守にもつながります。
購入客は、コンピュータで読み取り可能な構造化された形式で個人データを取得し、それを他社に移転することができます。 こうしたリクエストがあった場合、販売店はSalesforceを通じ、新しいデータエクスポートカートリッジを使用して、セルフサービス型のデータエクスポート機能を購入客に提供することが可能です。 さらに、販売店側でも、データエクスポート用の新しいAPIを使ってデータをエクスポートできます。
 
購入客は、マーケティングコミュニケーションの配信、オンライン追跡、ユーザプロファイルの作成に個人データが使用されることを拒否できます。 Salesforceでは、Digital Script API for Session向けに「Do Not Track」フラグを新たに提供。販売店はこれを使い、店舗における同意管理ソリューションを管理することが可能です。
購入客は、個人データの利用や変更を停止するよう店側にリクエストすることができます。 Salesforceは、処理の制限がリクエストされた場合に使用できるツールとして、データエクスポート用とデータ削除用にそれぞれ新しいAPIを提供しています。 あとから制限が解除された場合は、該当のレコードを再度インポートできます。
 
Salesforceでは、プライバシー保護に対する意欲的な取り組みとして、データ処理補足契約書をお客様に提供しています。これは、Salesforceならではの取り組みといえるでしょう。 このデータ処理補足契約書には、拘束的企業準則、プライバシーシールド認証、標準契約条項に従ってサービスを利用することで、欧州経済地域外のSalesforceへ個人データを合法的に移転できることを保証する枠組みが示されています。 GDPRを確実に遵守できるよう、お客様を支援する条項も取り入れています。
顧客およびクレジットカード名義人のデータのセキュリティとプライバシーを保護することは、販売店だけでなく、SalesforceとCommerce Cloudにとっても優先すべき重要な事項です。 Commerce Cloudでは、技術面や運用面において堅牢なセキュリティ対策を定期的に実装しており、コマースオペレーションの信頼性、コンプライアンス、安全性を保証しています。お客様が追加コストやインフラの心配をする必要はありません。
 
 

Salesforceは、GDPRの遵守を含め、お客様の成功をあらゆる形で支援します。”

PRESIDENT, LEGAL AND GENERAL COUNSEL, AMY WEAVER
 
- 組織のリーダーと協力し、GDPR遵守の重要性について意識を高める
- 必要な人員と予算について経営陣の支援を取りつける
- GDPR遵守の取り組みを主導する担当者を選任する
- 各部門の主要な責任者で運営委員会を作る
- 組織全体からプライバシー保護の推進担当者を決定する 
- プライバシーとセキュリティに関する現行の取り組みを見直し、強みと改善点を特定する
- 組織が個人データを保管しているシステムをすべて特定し、データインベントリを作成する
- データ処理活動の記録を作成し、高リスクの活動についてプライバシーインパクト評価を実施する
- コンプライアンスに関する文書を作成する
- 個人データの収集時に必ずプライバシーに関する通知を表示する
- データの使用を収集目的に沿って制限する対策を導入する
- データ主体の同意を管理する仕組みを確立する
- 管理面・物理面・技術面で適切なセキュリティ対策とプロセスを導入し、セキュリティ違反の検出・対処を行う
- データ主体からの利用・訂正・反論・制限・可搬性・削除(忘れられる権利)に関するリクエストの処理手順を確立する
- 個人データを収集または受領する関連企業やベンダーと契約を締結する
- プライバシーインパクト評価のプロセスを決定する
- 従業員やベンダー向けにプライバシーとセキュリティに関する意識向上研修を実施する
- プライバシーに関する通知、同意フォーム、データインベントリ、データ処理活動の記録、ポリシー文書・手順書、トレーニング教材、社内データ移転合意書、ベンダー契約書のコピーを集める
- 必要に応じて、データ保護責任者を任命し、適切なEU監督機関を特定する
- リスク評価を定期的に実施する