ナレッジベース

2018年5月25日は、欧州連合（EU）の一般データ保護規則（GDPR）の施行開始日です。

この新たな法律は、EU居住者に関する、またはEU域内での個人データを取り扱う事業に関わるすべての者に大きな影響を及ぼしました。個人データは営業活動の核心にあるため、Pipedriveと当社のユーザーもGDPR準拠のための対応に努めてきました。

この記事では、PipedriveをCRMプラットフォームとして選択した際のデータに関する役割と責任の概要を示すとともに、PipedriveがGDPRの価値観と要件に沿うために行っている取り組みを説明します。

データ処理者としてのPipedrive

Pipedriveに連絡先として保存する人物はあなたのデータ主体であり、これらの個人データについてあなたがデータ管理者（コントローラー）と見なされます。当社の利用規約およびプライバシー通知では、このデータをクライアントデータ（Pipedrive内であなたが処理するデータ）と呼んでいます。

Pipedriveアプリを使って顧客を管理するということは、Pipedriveをデータ処理者（プロセッサー）として任命し、あなたに代わって特定の処理活動を実行するよう委託したことを意味します。

GDPR第28条によれば、管理者と処理者の関係は書面で定める必要があり（同条第9項により電子形式も可）、その旨が規定されています。

ここで当社のData Processing Addendum (DPA)、利用規約およびプライバシー通知が該当します。これら3つの文書はあなたのデータ処理契約として機能し、あなたがPipedriveに対して行う個人データの処理に関する指示を定め、両当事者の権利と責任を確立します。データ処理者であるPipedriveは、データ管理者であるあなたの指示に基づいてのみクライアントデータを処理します。

最後に、どのPipedrive法人があなたの契約上の相手方であるかを確認するために、当社の利用規約の第14.1節を必ずご確認ください。

すべてのEUのお客様は、エストニアに拠点を置く当社のEU法人との契約関係にあります。

データの転送

お客様からよく寄せられる話題の一つがEEA（欧州経済領域）域外へのデータ転送です。

GDPR（一般データ保護規則）は、その保護の範囲外へデータを転送する際に厳格な要件を定めています。これは当然のことで、さもなければ法の目的を果たすことができません。

これらのデータ転送要件を満たす責任は誰にあるのでしょうか。 当社のEUのお客様は当社のEU法人と法的関係にあるため、このデータ転送はEEA内で行われます。ただし、Pipedriveがその後EEA外のサブプロセッサを利用する場合は、当社がデータを適法に転送する責任を負います。

これらの転送についての透明性を確保するため、当社のサブプロセッサ一覧ページに最新のリストを掲載します。このリストには、どのデータが関係するか、またEEAを出た後もデータが適切に保護されていることをどのように担保しているかが説明されています。

これを実現するために、当社はサードパーティのサービスプロバイダがEU-US Data Privacy Framework（DPF）の認証を受けているか、または当社とのデータ転送に関してEU委員会の標準契約条項に署名していることを確認しています。ただし、当社はデータ転送の仕組みとしてDPFに依存しているわけではない点にご留意ください。

地域間または国間でデータを転送する際、当社は適用されるデータプライバシー法および規制を順守し、準拠性を確保して顧客のデータプライバシーを保護するために、データ暗号化や契約上の取り決め（該当する場合はDPAs（データ処理契約）やSCCs（標準契約条項）など）といった適切な安全対策を実施します。

データ管理者としてのPipedrive

さらに、Pipedriveは、当社のウェブアプリ、モバイルアプリおよびウェブサイトの利用者であるあなたに関して当社が収集する個人データのデータ管理者としての役割を果たします。

まず第一に、当社はあなたとの契約を履行するために必要なデータを処理します（GDPR第6条1項(b)）。

第二に、当社は法令に基づく義務を果たすためにデータを処理します（GDPR第6条1項(c)）。これは主に、財務データやGDPRに基づく説明責任を果たすために必要な情報を含みます。

第三に、当社はGDPR第6条1項(f)に基づく正当な利益のためにあなたの個人データを処理します。

ここでいう「正当な利益」とは何ですか？

• アプリを改善して、あなたの生産性を高めること
• あなたのデータとPipedriveのシステムの安全性を確保すること
• 製品およびその機能の責任あるマーケティング

この情報が、EUのデータ保護要件により適切に対応するのに役立てば幸いです。

PipedriveはGDPRにどのように対応していますか？

ヨーロッパにルーツを持つ企業として、PipedriveはEU一般データ保護規則（GDPR）が企業にもたらす影響を理解する立場にあります。

Pipedriveのユーザーおよびその顧客のプライバシーに対するニーズを重視しており、そのためPipedriveが処理する個人データを保護するために、GDPRに沿った技術的・組織的対策を実施しており、今後も改善を続けていきます。

内部プロセス、セキュリティおよびデータ転送

GDPR遵守の重要な部分は、手順が整備され、データ処理が可視化され監査可能であることを確保することです。そのため、当社はアプリケーション開発サイクルに要素を組み込み、Privacy by DesignおよびSecurity by Designの原則に従って機能を構築しています。

お客様に代わって処理するクライアントデータへのアクセスは厳しく制限されています。当社の内部手順とログにより、この点に関してGDPRの説明責任要件を満たしていることを保証します。

当社では、サードパーティのサービスプロバイダーの導入と、これらの第三者がPipedriveおよびその顧客がプライバシーおよびセキュリティについて抱く高い期待に応えることを確認するためのツール導入のプロセスを確立しています。

データ主体からのアクセス要求への対応準備

データ主体が自身の個人データを所有することはGDPRの中核です。したがって、データ主体によるデータの削除、修正、移転の要求に対応する準備が整っています。

つまり、当社のカスタマーサポート担当者とそれを支援するエンジニアは、日頃ご期待いただいている優れたカスタマーサポートを提供するだけでなく、個人データに関するあらゆる事項について的確に対応できる体制を整えています。

ドキュメント

当社の 利用規約 および プライバシー通知 は、透明性を高め、GDPR の要件への準拠を確保するために定期的に更新されています。

これらの文書はお客様との関係の基盤を成すため、当社の取り組みとお客様の権利について包括的かつ透明性のある説明を提供する必要があります。

さらに、GDPR の説明責任要件への準拠を確実にするため、当社はすべてのデータ処理活動を継続的に把握しています。

トレーニング

上記のすべては、社内で行われている幅広い研修活動によって支えられており、導入したGDPR準拠のプロセスが順守されるようにしています。

当社の従業員はプライバシーおよびセキュリティに関する定期的な研修・啓発プログラムを受講し、ベストプラクティスや現在の脅威、個人データの保護方法について十分に理解できるようにしています。例えば、データプライバシーおよびセキュリティに関するセッションは入社時研修の不可欠な一部であり、各部署は個人データを扱う業務に応じた研修を受けます。

Pipedriveは、GDPRの要件を満たすことは単にチェックリストにチェックを入れる以上の意味があると強く確信しています。当社にとって、GDPRは個人のプライバシーを尊重し、個人データの取り扱いに責任を持つことへのコミットメントを意味します。