データを利用して、顧客を理解し、より優れたカスタマーサービスを提供している企業が増えています。 今後、データの収集や利用は、GDPRなど新たな規制の対象となっていきます。 世界No. 1のCRMプラットフォームが提供するService Cloudなら、顧客データの一元管理だけでなく、データに対する透明性を高め、コントロールも徹底できます。これにより、GDPRへの対応はもちろんのこと、新しいカタチで顧客とつながることができるでしょう。
 
 
データの保護やプライバシーに関する規制を遵守するために、顧客データの削除が必要になることがあります。 Service Cloudでは、Salesforce Platformの機能を利用し、GDPRで定められた義務を果たすことができます。 Salesforceインスタンス(組織)の削除は定期的に同期されます。 
Salesforce Platformを利用すると、顧客からのデータのエクスポート依頼に応えることができます。 データの抽出にはUIとAPIのいずれも利用可能。レポート、レポートおよびダッシュボードのAPI、データローダ、Apex、SOAP API、REST API、サードパーティのETLツールなどが使えます。 エクスポート形式は、CSV、JSON、XMLなどです。
 
データの保護やプライバシーに関する規制を遵守できるよう、Salesforce Platformは各種機能を提供。電話連絡拒否、メール送信拒否、Fax送信拒否を明示するための機能を搭載しているので安心です。。 カスタムオブジェクトやカスタムフィールドを利用すると、より詳細に同意を管理できます。個々のService Cloud製品では、関連する同意を管理します。
Service Cloudでは、処理の制限リクエストが受領・承認された時点でレコードを識別、エクスポート、削除することが可能。 あとから制限が解除された場合は、該当のレコードを再度インポートできます。
 
Salesforceでは、プライバシー保護に対する意欲的な取り組みとして、データ処理補足契約書をお客様に提供しています。これは、Salesforceならではの取り組みといえるでしょう。 このデータ処理補足契約書には、拘束的企業準則、プライバシーシールド認証、標準契約条項に従ってサービスを利用することで、欧州経済地域外のSalesforceへ個人データを合法的に移転できることを保証する枠組みが示されています。 GDPRを確実に遵守できるよう、お客様を支援する条項も取り入れています。
Salesforceは、プラットフォームの各層にセキュリティ対策を施しています。 インフラストラクチャ層は、データ複製、バックアップ、障害復旧計画に対応。 ネットワークサービスは、データを暗号化して転送する機能と高度な脅威検出機能を装備。 アプリケーションサービスには、アイデンティティ管理、認証、ユーザー権限を実装。 さらに、Platform Encryption、Event Monitoring、Field Audit Trailなどで構成されたSalesforce Shieldを通じ、信頼性を強化しています。
 
 

Salesforceは、GDPRの遵守を含め、お客様の成功をあらゆる形で支援します。”

PRESIDENT, LEGAL AND GENERAL COUNSEL, AMY WEAVER
 
- 組織のリーダーと協力し、GDPR遵守の重要性について意識を高める
- 必要な人員と予算について経営陣の支援を取りつける
- GDPR遵守の取り組みを主導する担当者を選任する
- 各部門の主要な責任者で運営委員会を作る
- 組織全体からプライバシー保護の推進担当者を決定する
- プライバシーとセキュリティに関する現行の取り組みを見直し、強みと改善点を特定する
- 組織が個人データを保管しているシステムをすべて特定し、データインベントリを作成する
- データ処理活動の記録を作成し、高リスクの活動についてプライバシーインパクト評価を実施する
- コンプライアンスに関する文書を作成する
- 個人データの収集時に必ずプライバシーに関する通知を表示する
- データの使用を収集目的に沿って制限する対策を導入する
- データ主体の同意を管理する仕組みを確立する
- 管理面・物理面・技術面で適切なセキュリティ対策とプロセスを導入し、セキュリティ違反の検出・対処を行う
- データ主体からの利用・訂正・反論・制限・可搬性・削除(忘れられる権利)に関するリクエストの処理手順を確立する
- 個人データを収集または受領する関連企業やベンダーと契約を締結する
- プライバシーインパクト評価のプロセスを決定する
- 従業員やベンダー向けにプライバシーとセキュリティに関する意識向上研修を実施する
- プライバシーに関する通知、同意フォーム、データインベントリ、データ処理活動の記録、ポリシー文書・手順書、トレーニング教材、社内データ移転合意書、ベンダー契約書のコピーを集める
- 必要に応じて、データ保護責任者を任命し、適切なEU監督機関を特定する
- リスク評価を定期的に実施する