Community Cloudは、ブランド独自のインテリジェントなコミュニティやポータルを簡単に構築し、顧客やパートナー、従業員に提供することができます。信頼性の高いSalesforce Platformを基盤とし、各種システムやアプリ、複数部門にわたって存在している顧客接点をつなぎ、顧客情報の一元管理を実現します。また、Salesforce Platformに組み込まれた機能を活用することで、顧客ライフサイクル、エンドユーザーの情報取り扱いに対する意向や同意を記録、管理することが可能。安全性と信頼性の高さこそが、Salesforce Platformの基盤です。
 
 
データの保護やプライバシーに関する規制を遵守するために、顧客データの削除が必要になることがあります。 Salesforce Platformは、GDPRで定められた義務を果たす上で役立つ機能を豊富に備えており、 Salesforceインスタンス(組織)の削除は定期的に同期されます。
Community Cloudを利用すると、顧客からのデータのエクスポート依頼に応えることができます。 データの抽出にはUIとAPIのいずれも利用可能。レポート、レポートおよびダッシュボードのAPI、データローダ、Apex、SOAP API、REST API、サードパーティのETLツールなどが使えます。 エクスポート形式は、CSV、JSON、XMLなどです。
 
データの保護やプライバシーに関する規制を遵守できるよう、Salesforceは各種機能を提供。電話連絡拒否、メール送信拒否、Fax送信拒否を明示するための機能を搭載しているので安心です。カスタムオブジェクトやカスタムフィールドを使用して、同意をより詳細に管理することもできます。 Community Cloudを通じ、顧客と直接データを共有できます。また、顧客は自身の裁量によって同意を表明できます。
Salesforce Platformでは、処理の制限リクエストが受領・承認された時点でレコードを識別、エクスポート、削除することが可能。 あとから制限が解除された場合は、該当のレコードを再度インポートできます。
 
Salesforceでは、プライバシー保護に対する意欲的な取り組みとして、データ処理補足契約書をお客様に提供しています。これは、Salesforceならではの取り組みといえるでしょう。 このデータ処理補足契約書には、拘束的企業準則、プライバシーシールド認証、標準契約条項に従ってサービスを利用することで、欧州経済地域外のSalesforceへ個人データを合法的に移転できることを保証する枠組みが示されています。 GDPRを確実に遵守できるよう、お客様を支援する条項も取り入れています。
Salesforceは、プラットフォームの各層にセキュリティ対策を施しています。 インフラストラクチャ層は、データ複製、バックアップ、障害復旧計画に対応。 ネットワークサービスは、データを暗号化して転送する機能と高度な脅威検出機能を装備。 アプリケーションサービスには、アイデンティティ管理、認証、ユーザー権限を実装。 さらに、Platform Encryption、Event Monitoring、Field Audit Trailなどで構成されたSalesforce Shieldを通じ、信頼性を強化しています。
 
 

Salesforceは、GDPRの遵守を含め、お客様の成功をあらゆる形で支援します。”

PRESIDENT, LEGAL AND GENERAL COUNSEL, AMY WEAVER
 
- 組織のリーダーと協力し、GDPR遵守の重要性について意識を高める
- 必要な人員と予算について経営陣の支援を取りつける
- GDPR遵守の取り組みを主導する担当者を選任する
- 各部門の主要な責任者で運営委員会を作る
- 組織全体からプライバシー保護の推進担当者を決定する
- プライバシーとセキュリティに関する現行の取り組みを見直し、強みと改善点を特定する
- 組織が個人データを保管しているシステムをすべて特定し、データインベントリを作成する
- データ処理活動の記録を作成し、高リスクの活動についてプライバシーインパクト評価を実施する
- コンプライアンスに関する文書を作成する
- 個人データの収集時に必ずプライバシーに関する通知を表示する
- データの使用を収集目的に沿って制限する対策を導入する
- データ主体の同意を管理する仕組みを確立する
- 管理面・物理面・技術面で適切なセキュリティ対策とプロセスを導入し、セキュリティ違反の検出・対処を行う
- データ主体からの利用・訂正・反論・制限・可搬性・削除(忘れられる権利)に関するリクエストの処理手順を確立する
- 個人データを収集または受領する関連企業やベンダーと契約を締結する
- プライバシーインパクト評価のプロセスを決定する
- 従業員やベンダー向けにプライバシーとセキュリティに関する意識向上研修を実施する
- プライバシーに関する通知、同意フォーム、データインベントリ、データ処理活動の記録、ポリシー文書・手順書、トレーニング教材、社内データ移転合意書、ベンダー契約書のコピーを集める
- 必要に応じて、データ保護責任者を任命し、適切なEU監督機関を特定する
- リスク評価を定期的に実施する