財務諸表、Eメールの通信内容、住所、その他の連絡先の詳細など、ほとんどの組織は、顧客、従業員、公共機関の場合には市民に関する個人情報(PII)と呼ばれるデータを格納する複数のシステムを持っています。
ここ数ヶ月間、Nuxeo Content Services Platformは、多くの業界、特に金融サービスの顧客企業と協力して、「EU一般データ保護規則(General Data Protection Regulation:GDPR)」のコンプライアンスのための最良の方法を確立することに取り組んでいます。GDPRは来年5月に発効し、欧州連合(EU)全体でデータ保護法を調整しようとしています。
したがって、この課題に関する見解を共有する絶好の機会ではないかと考えています。
実は、GDPRの下では、どの組織も、収集するPIIデータの合法的な根拠、使用目的、および保持する期間を特定する責任があります。
GDPRがあなたの組織には適用されないと考えるなら、もう一度考え直してください!GDPRは、組織がEU内またはEU外に拠点を置いているかどうかにかかわらず、EUの住民に関連するデータを収集し処理するどの組織にも適用されます。
GDPRの違反は財務上のリスクが高いのです!GDPRのコンプライアンスを怠ると、年間最大2,000万ユーロ(年間売上高の4%)という重い罰金が科せられる可能性があります。
##あなたの組織はGDPRに対してどのような準備をされていますか?
ほとんどの組織がGDPRを認識しているようですが、GDPRの対策の緒に就いたばかりの組織が多いのです。GDPR導入の戦略について考えるときです。
最近、コンテンツサービスプラットフォーム(Content Services platform)がどのようにGDPRのコンプライアンスを支援することができるかをEMEAの顧客と検討しています。
「現在、GDPRをめぐり多くの混乱があり、組織がコンプライアンス・プロジェクトをどこで始めるべきかを知ることは困難な場合が多いのです。Nuxeoの製品は、組織が新しいデータ保護要件を満たすのを支援するための堅実な成果物を提供することにより、この混乱を解消するのに役立ちます。」と、GDPRコンサルタントのピーター・ブレンキンソップは語っています。
Nuxeoがどのように組織のGDPRコンプライアンスを支援するか、その例を紹介します。
##組織が保有する顧客情報を入手する顧客の権利
当社が取り組んでいる分野の1つは、データ主体のアクセス要求(Subject Access Requests:SAR)に関するものです。
SARは、個人が組織の保有するPIIへのアクセス権を取得するプロセスです。現在、英国では組織はSARを処理する料金を請求することができますが、GDPRの下ではこの情報を無料で提供する必要があり、企業が処理しなければならないSARの数量が増加する可能性があります。さらに、組織は、GDPRの下では30日以内にこうした要求に対応する必要があります。
このプロセスは、多数のシステムを持つ組織にとって、特に、適時に情報を削除するための適切なレコード管理および保存ポリシーがない組織にとって重要な意味を持ちます。
当社は、Nuxeoのケース管理(Case Management)機能を使用して、データ主体のアクセス要求の取得、処理、管理、監視を支援するソリューションを作成し、組織が複数のシステムからPIIを集計し、顧客のためにパーソナライズされたレポートを作成できるようにしました。
データ主体のアクセス要求(SAR)プロセスフロー
お客様は情報の削除を要求する権利があり、この作業はNuxeoが管理するフォローアッププロセスとなります。
その他の使用事例
包括的なコンテンツサービス機能を提供することによって、NuxeoがGDPRのコンプライアンスを支援できる分野が、他にもあります。
- PIIが盗難または紛失した場合のセキュリティ侵害に関連するものを含むGDPR関連の手続きの文書化および管理。GDPRは、このような違反が発生した場合に地方監督機関に通知する法的義務を定めています。
- 取引明細書、見積書、連絡文書、スキャン画像(パスポート、請求書、運転免許証等)をはじめとした顧客関連文書の安全管理。
NuxeoがどのようにGDPRのコンプライアンスのために企業を支援するのか知りたい場合は、お問い合わせください。