概要

新しい個人情報保護法とOdooによるベストプラクティス

2018年5月25日より、 EU一般データ保護規則(GDPR) が施行され、すべての人のデータとプライバシーの保護について新たな時代が始まりました。GDPRに関する多くの情報を見聞きしたことがあっても、それが自社のビジネスにとって何を意味するのか、そして実際問題として、新しい規則に準拠するために、何をするべきかを正確に理解することは難しいかもしれません。

Odooではセキュリティとプライバシーに関してベストプラクティスを実践することを約束します。当社はすべてのユーザーと顧客に、所在地や市民権の区別なく、同レベルの保護を提供するよう努力します。また、個人情報に限らず、すべてのデータについて、これらのベストプラクティスを適用します。

Odoo SAおよびその子会社は、GDPRに準拠しています。

GDPRについて

ヒント
可能であれば、原文に目を通すことをお勧めします: GDPR原文.
長文(88ページ以上、99項目)ながら、専門家でなくても理解できるように書かれています。

GDPRは EUの規則で、 EUデータ・プライバシー指令などに代わり、既存のプライバシーに関する法律を一致 および 近代化するものです。個人データの処理に関する自然人の保護、および欧州内での個人データの自由な流通に関する規則を定めています。

GDPRは規則であり、指令ではないため、各国の国内法化を必要とせず、すべてのEU加盟国で直ちに適用されます。細かい点については、EU各国でごく限られた解釈の幅がありますが、 基本的な規則は万人に対して同一で、 EUではどこでも共通です。

GDPRはまた 次のミレニアムのための法を整備するべく、ソーシャルメディア、クラウドコンピューティング、サイバー犯罪、およびそれらが個人データのプライバシーとセキュリティの面で引き起こす主要な課題を考慮に入れています。

要するに慌てる必要はありません

GDPRは世界を揺るがすような目新しい法律ではなく、根本的には市民や企業のためになるものです。

GDPRは 有益なもの

当社は、GDPRが貴社や貴社のお客様に有益なものであることを強調します。GDPRへの対応にあたり、当初は大きな労力を要するかもしれませんが、GDPRにはプラス面もあります:

  • 貴社のお客様やユーザーからの信頼性が高まる
  • 全EU諸国で統一した規則が適応されることによる簡素化
  • 組織プロセスの合理化、集中化

GDPRの目的は、個人が自分の個人データについてより管理できるようにすることです。貴社が正しい戦略とシステムを導入すれば、今後数年間、より簡単に、確実に安全に管理することができるようになるでしょう。

準拠しない場合のリスク

違反した場合の罰則は、2,000万ユーロ、または全世界での年間売上高の4%のいずれかの高額な方が行政罰として科されます。より軽微な違反の場合は、1,000万ユーロまたは全世界の年間売上高の2%という、より少額な上限が適用されます。

これらの上限は、あらゆる規模の企業に対して抑制効果を意図したものですが、GDPRは同時に、罰金の額を相応に保つことも求めています。

監督当局(データ保護機関:通称DPA)は、違反の性質、重大性、期間など、各事例の状況を考慮しなければなりません。また、これらのデータ保護機関は、調査を行い、必ずしも罰金を課すことなく、侵害行為の制限を含む是正措置を課す権限も付与されています。

また、規則に従わない場合のリスクとして、データ処理の方法を気にする顧客および見込み客からの信頼を失うことも挙げられます。

多くの監査当局は、2018年にはまだ罰金を課さないことを示唆していますが、企業に対し規則の準拠に向け取り組む姿勢を示すことを期待しています。

GDPRの主要原則

範囲

GDPRはあらゆる組織個人 データのあらゆる処理に適用されます:

  1. 管理または処理を行う組織がEU圏内に所在する場合
  2. 組織がEUに所在していないが、処理の対象がEUに所在するデータ主体の個人データを含み、商業的提供または行動監視に関連している場合

そのため、旧法では対象外であった、EU域外の企業も範囲に含まれます。

役割

同規則では、主に2種類の事業体を区別しています:

  • データ管理者: 単独または共同で、データ処理の 目的および手段を決定するすべての事業者。原則として、すべての組織が自身のデータの管理者である
  • データ処理者: データ管理者に代わってデータを処理するすべての事業者

例えば、貴社がOdooクラウド上でホストされているデータベースを所有している場合、貴社は当該データベースの管理者であり、Odoo SAは データ処理者にすぎません。一方で、オンプレミスでOdooを使用する場合、貴社はデータの管理者かつ処理者となります。

個人データ

GDPRは、個人データの広範な定義として、識別された、または識別可能な自然人に関連するあらゆる情報を挙げています。特定可能な個人とは、氏名、Eメール、電話番号、生体情報、位置情報、財務データなどにより、直接的または間接的に特定できる人を指します。また、オンライン識別子(IPアドレス、デバイスID…)も範囲に含まれます。

これはビジネスの環境でも適用されます。info@odoo.com は個人情報とはみなされませんが、john.smith@odoo.com は企業内の自然人をの特定に使用可能なため、個人情報とみなされます。

また、GDPRでは、健康、遺伝、人種または宗教情報など、特定のカテゴリの個人データを含むセンシティブデータについても、より高いレベルの保護が求められています。

データ処理の原則

GDPRに準拠するためには、データ処理活動は以下の規則を遵守する必要があります:
(GDPRの第5条に記載されている内容)

  1. 法性、公正性、透明性:データを収集するには法的根拠、明確な 目的が必要であり、対象者にその旨を 通知しなければならない

    • 簡潔かつ明確なプライバシーポリシーを有し、データを収集するあらゆる場所でそれを参照する
    • 各データ処理活動の法的根拠を確認する

  2. 目的の制限: ある目的のために収集された情報を、別の目的のために使用する場合は、許可を求めること

    - 販売する目的のために収集した顧客データでない場合は、それらを販売することはできない。

  3. 最小化: 目的に必要なデータのみを収集すること

  4. 正確性: 目的に応じて、データが最新の状態に保たれるよう、妥当な手段を講じること

    - バウンスメールを必ず処理し、アドレスの訂正または削除を行うこと

  5. 保管期間の制限: 個人データはその主要な目的を果たすために必要な期間に限り保管すること

    目的に応じて、処理する個人データの消去または見直しの期限を定めること

  6. 完全性および機密性: データ処理者は、処理されるデータの種類と範囲に応じて、適切なアクセス制御、セ キュリティ対策、データ損失防止策を実施しなければならない

    -確実にバックアップシステムが機能しているか、適切なセキュリティ管理が行われているか、パスワードなどの機密データを暗号化して保護しているか等

  7. 説明責任: データ管理者は、上記すべての処理原則に責任を持ち、遵守していることを証明できなければならない

    • 自社のデータ処理活動がGDPRに準拠していることを説明するために参照できる組織のデータマッピングを作成し、それを維持すること
    • 明確なプライバシーポリシーを通して顧客に情報を提供すること
法的根拠

GDPR (第1原則)を遵守するには、個人データの処理は、第6条(1)に記載されている6つの可能な法的根拠のうちの1つに基づいている必要があります:

  1. 同意が得られていること。データ主体が 明記され かつ 具体的な目的を含む適切な 説明を受けた 後で 明確に かつ自由に同意を与えた場合に有効。これらすべての立証責任は、管理者にある
  2. 契約の履行または契約のための準備にあたり、データ主体からの要請に応じる場合
  3. 法的義務の遵守が管理者に課されている場合
  4. 生命に関する利益を守る。人命を守るためにデータ処理が必要な場合
  5. 公益または公務に関わる場合。
  6. 正当な利益。 データ管理者が、データ主体の利益および基本的権利が優先されない、正当な利益を有する場合に適用される。

GDPRと従来のデータプライバシー規制の大きな違いは、有効な同意 を得るための条件がより厳しくなったことです。

データ主体の権利

個人の既存のデータプライバシーの権利は、GDPRによってさらに拡大されます。組織は、データ主体からの要求に適時(1ヶ月以内)に無償で対応できるよう備えておかなければなりません:

  1. アクセス権利 - 個人は完全な透明性の下、自分の個人データの何がおよびどのように処理されているかについて知る権利を有する
  2. 修正の権利 - 個人は自分の個人データの修正または補完する権利を有する
  3. 削除する権利 - 個人は正当な理由(同意の撤回、目的のために必要ではなくなった等)により自分の個人データを削除する権利を有する
  4. 制限する権利 - 個人は管理者に対して、完全な削除を希望しない、または要求できない場合に、自分の個人データの処理を停止する権利を有する
  5. 反対する権利 - 個人は、ダイレクトマーケティングの目的など、自分の個人データの特定の処理に反対する 権利を有する
  6. データポータビリティの権利 - 個人は管理者が保有する個人データを本人または別の管理者に提供するよう要求する権利を有する

GDPRに向けた準備

免責事項
本項は情報提供を目的としたものであり、法的な助言を提供するものではありません。GDPRが貴社に実質的に及ぼす影響については、貴社の法律顧問にご相談下さい。

当社がご提案するGDPR対応のロードマップの重要なステップは以下の通りです:

  1. 組織のデータ処理活動のデータマッピングを実施し、状況を明確に把握する。データ保護機関がこの作業に役立つスプレッドシートのテンプレートを提供していることも多い。各処理について、個人データの種類と収集方法、処理の目的法的根拠および消去方針、実施されている技術的・組織的なセキュリティ対策 そして関連する委託業者(処理者)を文書化する

    このデータマッピングは、プロセスの変更に伴って、定期的に見直す必要があります。
  2. ステップ1に基づき、法的根拠がない(例:同意がない)、または適切なセキュリティ対策がなされていない処理に対する改善策を選ぶ。プロセス、内部手順、アクセス制御ルール、バックアップ、モニタリングなどを適応させる
  3. 明確なプライバシーポリシーを更新し、ウェブサイト上で公開する。どのような個人データをどのように処理するのか、また、個人データに関する個人の権利について説明をする
  4. 顧問弁護士と契約書を見直し、GDPRに適応させる
  5. 様々なデータ主体のリクエストに対してどのように対応するかを決定する
  6. データ漏洩に備えたインシデント対応手順を作成する

状況に応じて、データ保護責任者の任命など、他の要素をリストに追加します。社内のデータ処理に詳しい担当者および法律顧問に相談し、その他、関連する措置を決定して下さい。

重要
手順の明確なマッピングを行うことでGDPR準拠への行程があらゆる面でより容易になります

OdooとGDPR準拠

Odooでは、これまでもプライバシーとセキュリティのベストプラクティスを実施してきました。クラウドホスティングサービスを提供する企業として、卓越したかつ安全なプラットフォームを維持するため、当社は常にシステム、ツール、プロセスを見直し、改善し続けています。

GDPRの定義と当社の役割

個人データ保護に関する当社の責任は、当社の様々なデータ処理活動によって異なります:

当社の役割 データ処理 データの種類
データ管理者・処理者 Odoo.com上 当社の直接の顧客および見込み顧客、当社の協力会社、すべてのOdoo.comの直接のユーザーから当社に提供された個人データ(名前、Eメール、住所、パスワード...)
データ処理者 Odooクラウド上
(Odooオンライン、Odoo.shおよびOdoo企業版サービス) 		当社の顧客データベースに保存され、Odooクラウドでホストされている、または当社のあるサービスを利用する目的で当社に転送された個人データ。データベースの所有者がデータ管理者となる
該当無し オンプレミス オンプレミスでホストされているOdooデータベース、または当社が運営していないホスティングにあるすべてのデータ

当社のGDPR文書

データ管理者としての当社の活動は プライバシーポリシーに記載されており、当該プライバシーポリシーはGDPRに対応して更新されています。 当該プライバシーポリシーには可能な限り明確にどのデータを当社が取り扱い、なぜ取り扱うのか、そしてどのようにして取り扱うのかが明記されています。 これに密接に関連して、当社の セキュリティポリシー は、貴社のデータを安全かつ保護された方法で 処理することを保証するためにあらゆる(技術および組織)レベルで、当社がOdooで実施してきたセキュリティのベストプラクティスを明記したものです。

これらのポリシーに加え、当社の データ処理者としての活動は次に挙げる契約の受諾が条件となります: Odoo企業版サブスクリプション契約. この契約は必要なデータ保護条項(「データ処理契約」とも呼ばれる)を追加するために更新され、 GDPRに準拠するものです。
Odoo S.A.のお客様は、これらの変更承諾に関しての手続きは不要です。すでに新たに規定された保護の対象となっているため、 特にご連絡がない場合は、同意頂いたものとさせて頂きます。

これらの文書に加え、当社のウェブサイトを更新し、関連するすべての箇所にプライバシーに関する通知を加えることで、ユーザーに常に情報を提供できるようになりました。

GDPRベストプラクティスの実践をサポートするOdoo

GDPRは組織全体に適用される規則であるため、Odooを使用してビジネスを管理するだけではGDPRの遵守には不十分です。しかしOdooはデータを一元化し、データの冗長性を減らし、アクセス権やセキュリティをきめ細かく管理することができるため、GDPR遵守に非常に役に立ち得ます。

ここでは、オンプレミスおよびクラウドホスティングのOdooデータベースを対象に、GDPRの遵守に関してOdooがお客様のお役に立てると考えている事項をご紹介します。

免責事項:GDPRおよびデータ主体の要求への対応・判断に関しては、従来通り、法律顧問に相談して下さい。また、貴社がOdooの外でも個人データを処理している可能性があることを常に念頭に置いて下さい。

アクセス権利(第15条)、データポータビリティの権利(第20条)

  • Odooは、データ主体がセルフサービス方式で自分の個人情報にアクセスし、更新できるツールを提供しています:
    • カスタマーポータル:住所、連絡先、請求書、見積書、注文書、タスク、ヘルプデスクチケット、購入履歴、サブスクリプション、納品書、支払いなどの契約書類や、これらの書類に関連したコミュニケーションを閲覧することができます。
    • メーリングリストページ:サブスクリプションを管理できます。(例:odoo.com https://www.odoo.com/groups)
    • フォーラムプロフィール:フォーラムユーザーの活動を一目で確認することができます。
  • 全データをエクスポートする場合、またはポータルからアクセスできないプライベートなデータを通信する場合は、手動の手順が必要です。
    関連文書はすべて、ユーザーの連絡フォームのトップバーにリンクされており、通常はそこから直接アクセスできます。その後、ブラウザの「PDFとして印刷する」機能、またはアクション>エクスポートメニューで、連絡先や文書のリストからすべての情報をエクスポートすることができます。
    いずれも、GDPRに準拠した電子フォーマットで提供されます。
  • それに加えて、データ主体が別の状況で入力した可能性のある、連絡フォームにリンクされていない情報があるかもしれません。名前やEメールアドレスで検索して、それらを確認する必要があります。
    • イベントサブスクリプション
    • CRMのリードおよび見込み客

注意事項: Odooでは、ブラウザからデータをPDFでエクスポートできることに加え、あらゆる記録や記録のリストをCSVやExcelファイルにエクスポートし、その記録に関連する文書もエクスポートできるツールがあります。画面のリストビューで記録を選択し、アクション > エクスポートをクリックし、「すべてのデータをエクスポート」を選択します。そこから、エクスポートするフィールドを選択することができます。

忘れられる権利(第17条)

GDPRは、以下のような特定の条件の下、データ主体に個人データの消去を要求する権利を付与しています:

  • データが不要となった場合(目的を果たした場合)
  • 同意のみ に基づいて行われた処理について、同意を撤回する
  • そうではない場合、当該処理は違法となります

要求が正当なものであると判断し、データ主体の身元を確認した場合、Odooで該当する連絡先を削除できます。また、業務書類がまだその連絡先に関連している場合(請求書、連絡先、納品書、フォーラムへの投稿など)、システムはこの操作をブロックするため、安全です。この場合、該当書類を保管する他の義務があるかどうかを判断し、削除要求を拒否する必要があります。

個人情報を保持する法的な理由はないが、文書や連絡先を削除できない、または削除したくない場合、代わりに匿名化を検討して下さい。連絡先の名前を変更し、個人を特定できるデータ(Eメール、住所など)を変更したり、書類を一般的な匿名連絡先に割り当て直したりすることができます。適切に匿名化されれば、当該データは個人データではなくなります。

処理の制限(第18条)および同意の撤回(第7条)

ユーザーから広告宣伝メールの配信停止を求められた場合、Odoo経由で送信されたメールであれば、フッターの購読解除リンクを使ってユーザー自ら解除することができます。また、連絡先やリード/見込み客の「配信停止(オプトアウト)」欄に手動でチェックを入れることもできます。「配信停止」のマークが付いたデータは、自動的に一括メールキャンペーンの対象から除外されますが、ダイレクトメッセージ(見積書や請求書など)を受け取ることはできます。

修正の権利(第16条)およびデータの正確性(第5条(1)d)

無効あるいは変更されたメールアドレスによりデータエラーが発生することがよくあります。メールの統合処理が適切に設定されている場合(Odooクラウドではデフォルト設定されています)、Odooは一括送信の際にバウンスメールを処理し、バウンスフィールドにバウンスメッセージの数を追加(インクリメント)します。バウンス数0より大きい場合を設定してカスタム検索を行うことで、定期的に連絡先や見込み客を確認し、データのクリーンアップや削除を行うことができます。

Odoo Discussチャンネルのフォロワーは、10回バウンスされると自動的に配信停止になります。

修正に関しては、ユーザーおよび顧客はOdooポータルを通じて、自身の個人データ(名前、Eメール、住所)を修正することも可能です。

同意(第7条)

Odooのデフォルトメカニズム(例:連絡フォーム、メーリングリストの購サブスクリプション、イベントのサブスクリプション)で個人データを収集する場合、その処理の目的および法的根拠を定める必要があります。これには、データをどのように使用するかが大きく関与しています。

目的が具体的かつ明白な場合(例:登録したイベント参加者にイベントの開催期間に関する情報を提供する、選択したメーリングリストに登録するる等)、明確な同意を求める必要はありません(個人データが契約の締結に必要: 第6条(1)b ) ただし、ユーザーに対して目的を明確にし、プライバシーポリシーのページでより詳細な情報を提供し、参照できるようにする必要があります。Odooのウェブサイトビルダーを使用して、フォームを編集し、必要な説明を追加することができます。

ただし、収集したデータを他の目的で使用する予定がある場合は、ユーザーから目的ごとに明確な同意を得る必要があります。推奨される方法は、フォームにチェックボックスを追加して、特定の目的ごとに同意を得ることです。(例:「類似製品の割引やキャンペーンの情報をメールで受け取る」)Odooでは以下の方法で行うことができます:

  1. Odooスタジオを使用して、個人情報を収集する文書(例:リード/見込み客)に、この目的に関する同意を示すチェックボックスの(ブーリアン)フィールドを追加する
  2. Odooウェブサイトビルダーから、ウェブサイトのフォームにチェックボックスを追加する
  3. 当該フィールドをマーケティングキャンペーンのセグメントフィルターなど、当該目的のためにデータを処理する場合に使用する

プライバシー・バイ・デザイン(第25条)

セキュリティ・バイ・デザインは当社の研究開発の核であり、セキュリティのベストプラクティスを実施することでOdooのソフトウエアをすべての人にとって 安全・堅牢・弾力性のあるソフトウエアを提供しています。 ソフトウエアを提供しています。

アクセス制御 -Odooのあらかじめ設定されているグループ毎のアクセス制御機能により、各ユーザーの役割とニーズに応じて個人データへのアクセスを制限することができます。(例:プロジェクトマネージャーは求人情報にアクセスする必要はない等)ユーザーグループの割り当てを確認し、組織内で役割が変更された場合に適宜管理することで、強力なプライバシー基盤を維持することができます。ユーザーグループは簡単に追加・変更でき、組織に応じてカスタマイズすることができます。

記録ルール -個人データへのアクセスを細かく調整するために、記録ルールのコンセプトを活用しましょう。フィールド値に基づき、あらゆる基準に従って文書へのアクセスを制限することができます。記録ルールによって閲覧や書き込みの操作をブロックすることが可能で、ルールは文書単位で動作します。詳細については、以下を参照して下さい: Odooドキュメント.

パスワード - Odooは、業界標準のハッシュ化によりユーザーパスワードを保護しています。また、OAuth 2.0やLDAPなどの外部認証システムを利用することで、ユーザーのパスワードを一切保存しないようにすることも可能です。

Employee Data - One area where Odoo databases are likely to include sensitive personal data is the Private Information tab of the employee form and their contracts. This part of the Employees Directory is only visible to HR personnel ("HR Officer" group), who need it for their job. This protection extends to the personal address of employees: for Odoo 12 up to Odoo 17, it's stored as Contacts of type "Private" that are visible only to HR personnel. As of version 17.0, it's directly stored on the Employee record.

取り扱いの安全性(第25条・第32条)

OdooオンラインまたはOdoo.shのサービスをご利用の場合、当社はあらゆるレベルでセキュリティおよびプライバシーのベストプラクティスを実施しています。それに関しては以下をご覧下さい: セキュリティポリシー.
Odooオンプレミスをご利用の場合、貴社は以下のセキュリティについてのベストプラクティスを実践する責任があります。以下、当社のデプロイメント用文書に明記されている 推奨セキュリティ 設定から着手して下さい。