企業が顧客を理解し、より優れたサービスを提供する方法として、データインテリジェンスの活用が進んでいます。こうした状況のもと、個人のプライバシーとセキュリティの権利に対し説明責任を果たすことが、企業の重要な課題となっています。 世界No.1のCRMプラットフォームSalesforceなら、顧客データの透明性を確保しながら管理もできるため、GDPRなどの法規制への対応も万全。同時に、顧客データが持つパワーを活かし、顧客と新たな方法でつながることもできます。 
 
 
データの保護やプライバシーに関する規制を遵守するために、顧客データの削除が必要になることがあります。 Salesforce Platformは、GDPRで定められた義務を果たす上で役立つ機能を豊富に備えており、 組織レベルでもユーザーレベルでも個人データを削除することが可能です。 Salesforceインスタンス(組織)の削除は定期的に同期されます。
Salesforce Platformを利用すると、顧客からのデータのエクスポート依頼に応えることができます。 データの抽出にはUIとAPIのいずれも利用可能。レポート、レポートおよびダッシュボードのAPI、データローダ、Apex、SOAP API、REST API、サードパーティのETLツールなどが使えます。 エクスポート形式は、CSV、JSON、XMLなどです。
 
データの保護やプライバシーに関する規制を遵守できるよう、Salesforce Platformはさまざまな支援を提供。電話連絡拒否、メール送信拒否、Fax送信拒否を表明するためのサポートが統合されているので安心です。 組織内の複数の役割にまたがるプライバシー設定を追跡するIndividual Objectも追加されており、1つ以上の取引先責任者、リード、個人取引先、カスタムオブジェクトの各レコードと関連付けることが可能です。
Salesforce Platformでは、処理の制限リクエストが受領・承認された時点でレコードを識別、エクスポート、削除することが可能。 あとから制限が解除された場合は、該当のレコードを再度インポートできます。
 
Salesforceでは、プライバシー保護の強力なコミットメントを含む、堅牢なdata processing addendum(データ処理に関する追加契約書) をお客様に提供しています。同等の対応をしているソフトウェア企業は、少数しか存在していません。 このデータ処理に関する追加契約書には、サービスによって、拘束的企業準則、プライバシーシールド認証又は標準契約条項に依拠することで、欧州経済地域外のSalesforceへ個人データを合法的に移転できることを保証する枠組みが含まれています。この追加契約には、お客様が GDPRを遵守できるように支援するための特定の条項も定められています。
Salesforceは、プラットフォームの各層にセキュリティ対策を施しています。 インフラストラクチャ層は、データ複製、バックアップ、障害復旧計画に対応。 ネットワークサービスは、データを暗号化して転送する機能と高度な脅威検出機能を装備。 アプリケーションサービスには、アイデンティティ管理、認証、ユーザー権限を実装。 さらに、Platform Encryption、Event Monitoring、Field Audit Trailなどで構成されたSalesforce Shieldを通じ、信頼性を強化しています。
 
 

Salesforceは、GDPRの遵守を含め、お客様の成功をあらゆる形で支援します。”

PRESIDENT, LEGAL AND GENERAL COUNSEL, AMY WEAVER
 
- 組織のリーダーと協力し、GDPR遵守の重要性について意識を高める
- 必要な人員と予算について経営陣の支援を取りつける
- GDPR遵守の取り組みを主導する担当者を選任する
- 各部門の主要な責任者で運営委員会を作る
- 組織全体からプライバシー保護の推進担当者を決定する 
- プライバシーとセキュリティに関する現行の取り組みを見直し、強みと改善点を特定する
- 組織が個人データを保管しているシステムをすべて特定し、データインベントリを作成する
- データ処理活動の記録を作成し、高リスクの活動についてプライバシーインパクト評価を実施する
- コンプライアンスに関する文書を作成する
- 個人データの収集時に必ずプライバシーに関する通知を表示する
- データの使用を収集目的に沿って制限する対策を導入する
- データ主体の同意を管理する仕組みを確立する
- 管理面・物理面・技術面で適切なセキュリティ対策とプロセスを導入し、セキュリティ違反の検出・対処を行う
- データ主体からの利用・訂正・反論・制限・可搬性・削除(忘れられる権利)に関するリクエストの処理手順を確立する
- 個人データを収集または受領する関連企業やベンダーと契約を締結する
- プライバシーインパクト評価のプロセスを決定する
- 従業員やベンダー向けにプライバシーとセキュリティに関する意識向上研修を実施する
- プライバシーに関する通知、同意フォーム、データインベントリ、データ処理活動の記録、ポリシー文書・手順書、トレーニング教材、社内データ移転合意書、ベンダー契約書のコピーを集める
- 必要に応じて、データ保護責任者を任命し、適切なEU監督機関を特定する
- リスク評価を定期的に実施する