Salesforceは、GDPRの施行をマーケターにとって絶好のチャンスであると考えています。顧客や消費者により優れた価値を提供するとともに、信頼にもとづいた関係を築き、つながりを深めることができるでしょう。 ただし、GDPRに対応しながら、積極的なマーケティングを展開するには、顧客中心、ガバナンス、コンプライアンスのバランスを取る必要があります。 Marketing Cloudを導入すると、この3つの要素のバランスをうまく取りながら、GDPRに適切に対応することができます。
 
 

Marketing Cloudでは、主に取引先責任者を削除するフレームワークを利用して、忘れられる権利を管理します。 堅牢なデータ削除フレームワークを通じ、データ主体からのリクエストを受けて個々の個人データを削除できるようになっています。現在、さらなる機能の開発を進めているため、今後も継続的に機能強化を行っていきます。 2018年5月からは、すべてのチャネルとオーディエンスにわたって取引先責任者の削除が可能になります。

一部の機能については、Salesforce DMPの仕様を利用します。Salesforce DMPはMarketing Cloudの構成要素ですが、 データレコードをもれなく削除するだけでなく、特定のデータセットやデータ項目のみを指定して削除することも可能であるという特徴を持っています。 企業は、あるサービスの提供が終了したら、利用者のレコードが自動削除されるようにしておく必要があります。

Marketing Cloudは、データのエクスポートや抽出に役立つ機能のほか、顧客のニーズに合わせ、さまざまな形でデータを移植する機能を提供します。 データエクステンションや個々の取引先責任者データを、UIやAPIを利用した最新機能を通じてエクスポートできます。 Salesforceでは、ユーザーエクスペリエンスの改善に取り組んでおり、取引先責任者のエクスポートに関連する新たなインターフェイス機能を提供していきます。 GDPR対応のためのベストプラクティスをまとめたドキュメントでは、既存の機能を使用して、必要なデータを抽出する方法を概説します。

Salesforce DMPを利用すると、DMPアカウントにあるすべてのデータをエクスポートできます。 データフィードは、既存のデータフィード移行プロセスを使用して、コンピュータが解読できる形式で顧客に提供されます。 この管理は、APIを介して行うことも、UIから直接行うことも可能です。 
 
マーケターは、すべてのチャネルの同意を管理し、透明性を確保することができます。 Marketing Cloudの各製品には、バックグラウンドで動作する機能が装備されており、中には同意を必要とするものもあります。 そのため、法務顧問の協力を得て同意書の草案を作成し、収集する上で同意が必要な情報の種類をプライバシーに関する通知に記載することをお勧めします。 Salesforceがベストプラクティスをまとめたドキュメントには、実行に同意が必要になる可能性のあるMarketing Cloudの機能を製品別に掲載しています。法務顧問との作業時にお役立てください。

Salesforce DMPは、消費者から得た同意を管理・記録するためのさまざまな方法を用意。 貴社が提供する同意のシグナルに従って、同意済みユーザーに対してのみ機能を実行します。 この管理は、APIを介して行うことも、UIから直接行うことも可能です。 
Marketing Cloudでは、リクエストに応じて個々の取引先責任者レコードを制限することができます。 2018年5月までに、API機能も組み込まれる予定。 Marketing Cloudの処理の制限機能を使用して、登録解除情報は引き続き収集されます。

Salesforce DMP管理者は、特定のユーザーについてデータ処理を停止することができます。制限が解除されるまで、製品内で実行される分析に当該ユーザーのデータが反映されることはありません。 この管理は、APIを介して行うことも、UIから直接行うことも可能です。
 
Salesforceでは、プライバシー保護に対する意欲的な取り組みとして、データ処理補足契約書をお客様に提供しています。これは、Salesforceならではの取り組みといえるでしょう。 このデータ処理補足契約書には、拘束的企業準則、プライバシーシールド認証、標準契約条項に従ってサービスを利用することで、欧州経済地域外のSalesforceへ個人データを合法的に移転できることを保証する枠組みが示されています。 GDPRを確実に遵守できるよう、お客様を支援する条項も取り入れています。
Marketing Cloudでは、信頼性とコンプライアンスに関するドキュメントの内容に従って安全なソリューションを提供します。
 
 

Salesforceは、GDPRの遵守を含め、お客様の成功をあらゆる形で支援します。”

PRESIDENT, LEGAL AND GENERAL COUNSEL, AMY WEAVER
 
- 組織のリーダーと協力し、GDPR遵守の重要性について意識を高める
- 必要な人員と予算について経営陣の支援を取りつける
- GDPR遵守の取り組みを主導する担当者を選任する
- 各部門の主要な責任者で運営委員会を作る
- 組織全体からプライバシー保護の推進担当者を決定する
- プライバシーとセキュリティに関する現行の取り組みを見直し、強みと改善点を特定する
- 組織が個人データを保管しているシステムをすべて特定し、データインベントリを作成する
- データ処理活動の記録を作成し、高リスクの活動についてプライバシーインパクト評価を実施する
- コンプライアンスに関する文書を作成する
- 個人データの収集時に必ずプライバシーに関する通知を表示する
- データの使用を収集目的に沿って制限する対策を導入する
- データ主体の同意を管理する仕組みを確立する
- 管理面・物理面・技術面で適切なセキュリティ対策とプロセスを導入し、セキュリティ違反の検出・対処を行う
- データ主体からの利用・訂正・反論・制限・可搬性・削除(忘れられる権利)に関するリクエストの処理手順を確立する
- 個人データを収集または受領する関連企業やベンダーと契約を締結する
- プライバシーインパクト評価のプロセスを決定する
- 従業員やベンダー向けにプライバシーとセキュリティに関する意識向上研修を実施する
- プライバシーに関する通知、同意フォーム、データインベントリ、データ処理活動の記録、ポリシー文書・手順書、トレーニング教材、社内データ移転合意書、ベンダー契約書のコピーを集める
- 必要に応じて、データ保護責任者を任命し、適切なEU監督機関を特定する
- リスク評価を定期的に実施する