Logo - Full (Color)
メインコンテンツにスキップ
 

ハブスポット
GDPR対策ガイド

GDPRの要件を簡単に満たせるように、ハブスポットでは多数のツールを用意しました。本ガイドでは、そうしたツールについてわかりやすく紹介します。

  1. GDPR(EU一般データ保護規則)への対応期限を前に、ハブスポットも着々と準備を進めています。当社は現在、お客様によるGDPR対策をご支援するために各種の新機能を構築中です。本ガイドでは、こうした新機能の設定方法について詳しく説明します。紹介する機能は2018年5月22日までにリリースされる予定で、本ガイドはリリース後直ちに更新されます。

    GDPR対策の概要は次のとおりです。

    Cookie

    GDPRでは、ウェブサイトの訪問者にCookieを使用していることを(訪問者が理解できる言語で)通知し、Cookieによる追跡に対して同意を得るよう求めています。

    • HubSpotでは、Cookieによる追跡に対して訪問者の同意を得ることができます。さらに、リリースしたばかりの新機能では、ウェブページ(フランス語版のサイトなど)に応じて異なるバージョンの同意バナーを表示できるようになりました。

    お客様のCookie設定の更新をご検討ください。

    法的根拠

    GDPRの規定では、個人データを使用するには法律上の理由(本規定では法的根拠と呼ばれる)がなければなりません。HubSpot内ではこの法的根拠が大きく2つのカテゴリーに分類され、処理の法的根拠(CRM内にデータを格納する、要求されたeBookを提供するなど)とコミュニケーションの法的根拠(マーケティング目的のEメールを送信する、セールス担当者が電話をかけるなど)として扱われます。

    • 処理の法的根拠を格納するための既定のコンタクトプロパティーをHubSpotに追加しました。

    お客様のコンタクトに関し、このプロパティーの更新をご検討ください。

    • また、コミュニケーションの法的根拠(同意など)を追跡しやすくするためにサブスクリプション設定を改良し、HubSpot内で(オプトアウトだけでなく)オプトインを追跡できるようになりました。こうしたサブスクリプション設定はコンタクトレコードに追加されており(そのため、簡単に追跡および監査でき)、フォーム経由でもアクセスできるようになっています。

    コンタクトへの連絡に、法的根拠が求められる場合があります。まだ対応が済んでいない場合は、サブスクリプションタイプの作成、作成したサブスクリプションタイプによる(承諾パスキャンペーンまたは他の手法を通じた)既存のデータベースの更新、法的根拠を収集するためのフォームのセットアップについて、ご検討ください。

    メモ:サブスクリプション設定ページは5月25日よりも前に更新されますが、まだ更新されていません(5月14日現在)。そのため、新しい「オプトイン」サブスクリプション設定にリンクされた承諾パスキャンペーンはまだ開始できません。当面の対応策として、既存のコンタクトから、Eメールを通じて同意を得るための新機能を用意しました。これは、サブスクリプション設定へのリンクをEメール内に挿入できる機能です。このリンクは[Insert(挿入)]の[Insert Subscription confirmation link(このリンクは[Insert(挿入)]の[Insert Subscription confirmation link(サブスクリプション確認リンクを挿入)]から任意のEメールに追加できます。コンタクトがこのリンクをクリックすると、すべてのサブスクリプションタイプが自動的にオプトインされます。

    削除

    GDPRの規定では、企業がコンタクトの求めに応じ、そのコンタクトに関して保持しているすべての個人データの写しを提示するほか、データの削除または変更を行うことが義務付けられています。

    • HubSpotに新しくGDPR用の削除機能が追加され、コンタクトを永久に削除できるようになりました(従来では再コンバージョンされる場合のため削除した履歴もデータベースに残りましたが、本削除機能ではコンタクトに紐づくデータはすべて削除できます)。

    GDPRに準拠するには、コンタクトの要求に応えるためのプロセスを備えておく必要があります。まだお済みでなければ、プロセスの整備をご検討ください。

     

具体的な事例はこちら。

技術的な詳しい内容を確認したい場合には読み進めてください。

  1. 欧州連合(EU)で新たに一般データ保護規則(GDPR)が施行されたニュースについては、B2B企業もB2C企業も、大企業も小規模企業も例外なく、だれもがきっと耳にしたことがあるはずです。GDPRはEU市民の個人データの保護強化を目的とする新たな法律で、こうしたデータの透明かつセキュアな取り扱いを企業各社に求めています。GDPRはEUを拠点とする企業のみならず、所在地がどこであれEU市民のデータを管理または処理するすべての企業に適用されます。

    ハブスポットではこの数か月間、当社のパートナー様とお客様がGDPRによってどのような影響を受けるのか理解し、独自のコンプライアンスプロセスを構築していただけるよう後押しすることを最優先課題として取り組んできました。

    その一環として、お客様のGDPR対策を支援するために、HubSpotプラットフォームにいくつかの改良を加えました。「支援」という言葉を使ったのは、どのようなソフトウェアプラットフォームも、それ単体ではGDPRの要件を満たせないからです。企業はそれぞれ、自社のデータプライバシーの専門家やアドバイザー、弁護士と相談しつつ、それぞれ固有のアプローチと諸事情に基づいてGDPRの要件を満たす必要があります。

    本ガイドでは、あるコンタクトと企業のやり取りの例を見ながら、GDPRに関連する新機能について解説していきます。

    舞台設定は次のとおりです。

    ドイツに住む加藤さんが、あなたの企業(田中商事としましょう)のコンタクトとして登録されています。加藤さんはGDPRにおける「データ主体(data subject)」に当たり、田中商事 加藤さんのデータの「管理者(controller)」です。田中商事はハブスポットの製品を顧客として利用しているため、ハブスポットは田中商事に代わって加藤さんのデータを扱う「処理者(processor)」に相当します。

    加藤さん田中商事のやり取りを4つの場面に分けて見ていきましょう。

    1. 加藤さん田中商事のウェブサイトを初めて訪問する
    2. 加藤さんがフォームを送信する(または、田中商事のデータベースに手動またはAPI経由で登録される)
    3. 田中商事加藤さんにEメールを送信する
    4. 加藤さん田中商事に対し、自身に関する情報の開示、変更、削除を依頼する

    各場面での加藤さんとのやり取りに、HubSpotソフトウェアを使用してどう対処すればよいのか、GDPRの要件を念頭に置きながら説明していきます。

  1. HubSpotでGDPR機能を有効化する

    各機能の詳細に入る前に、有効化について簡単に説明します。GDPR関連の機能は、設定内にある単一のスイッチでオン/オフを切り替えることができます。このスイッチをオンにすると、GDPRに関連した機能がポータル内に表示されるようになったり、特定の機能の既定動作が変更されたりします。

    スイッチ

    GDPR機能のスイッチをオンにすると、HubSpotアカウントが次のように変更されます(後で詳しく説明しますので、すぐに飲み込めなくても大丈夫です)。

    • Cookieの同意バナーが既定でオンに設定されます。
    • GDPRの削除機能がコンタクトレコードに表示されます。
    • GDPR対応のフォームが有効化されます。
    • 1対1のセールスEメールで、サブスクリプション解除のリンクが有効化されます。
    • メッセージに「コミュニケーションへの同意」通知が既定で追加されます。つまり、ウェブチャットを利用しようとするコンタクトに対し、チャット開始前に同意を求める通知が表示されます。
    • 新しいミーティングリンクが有効化され、通知および同意に関するメッセージが既定でサポートされます。
    • GDPRに基づく削除項目の再追加に対する警告が有効化されます。具体的には、GDPRに基づいて以前削除されたコンタクトをデータベースに再度追加しようとした場合に、警告メッセージが表示されます。
    • メール受信者にコミュニケーションの法的根拠がない場合、セールス向けの拡張機能により、受信トレイのコンタクトサイドバー上にバナーが表示されます。

    なお、GDPR機能のスイッチをオンにしただけで、ビジネスプロセスがGDPRに準拠するわけではありません(ハブスポットの私たちも、HubSpotプラットフォームを最も活用している身として、それほど簡単ならどれだけよいかと思っています)。GDPRへの準拠に役立つ機能が有効化されるにすぎないので、ご注意ください。

    前述のグローバルスイッチのほかに、Eメール機能の拡張スイッチもあります。このスイッチをオンにすると、法的根拠の有無がEメールツールに反映されます。つまり、コミュニケーションの法的根拠がないコンタクトに対してはEメールを送信できなくなります。加えて、コンタクトのサブスクリプション設定画面に新機能の「サブスクリプションタイプ」が表示される代わりに、引き続き「Eメールタイプ」が表示されます。これについても後ほど詳しく説明します。

    前置きはこれぐらいにして、加藤さんの例を見ていきましょう。

加藤さんが田中商事のウェブサイトを訪問する

  1. 加藤さん田中商事の関係は、ウェブサイトから始まります。GDPRは、企業が自社ウェブサイト上での訪問者の行動を追跡する方法について規定しています。特に、田中商事がCookieを使用したソフトウェア(HubSpotやGoogleアナリティクスなど)を通じて加藤さんの行動を追跡する場合、GDPRの規定により、追跡について(加藤さんが理解できる言語で)加藤さんに通知し、Cookieによる追跡に対して加藤さんの同意を得ることが義務付けられます。また、Cookieによる追跡については、オプトインと同じくオプトアウトも簡単に行えるようにしておかなくてはなりません。

    HubSpotでCookie設定ページを開くには、ナビゲーションバーの歯車アイコンをクリックして[レポート] > [レポートとアナリティクストラッキング] > [Cookieポリシー]の順に移動します。

    Cookieポリシーの設定には3つのオプションがあります。

    • Cookieを使用:Cookieを使用しないと、田中商事はウェブサイト上での加藤さんの行動を追跡できません。GDPRはCookieの使用を禁じているわけではなく、所定のルールに従ってCookieを使用するよう求めているだけです。
    • サイトでCookieが使用されていることを訪問者に告知する:書かれているとおりの内容です。
    • オプトインが必要:この設定をオンにすると、ウェブサイトでCookieを使用していることを加藤さんに通知します。Cookieの使用について加藤さんの許可を得るために使用されます。

    Cookieポリシー設定

    GDPRに従ってHubSpotでCookieを使用するには、この3つをすべてオンに設定する必要があるでしょう(詳しくは自社の法律顧問にご確認ください)。

    既に述べたように、田中商事加藤さんに対してCookieの使用をただ通知するのではなく、「加藤さんが理解できる言語で」通知しなくてはなりません。この点を踏まえ、[Cookieポリシー]の下の方には翻訳版の通知を作成するためのオプションが用意されています。

    Cookieの通知テキスト

    [Add another translation(翻訳を追加)]をクリックしたら、次の2項目について指定します。

      • このバージョンの通知を表示するページ:たとえば、自社サイトの構成に応じてyoursite.frまたはfr.yoursite.comにフランス語版の通知を表示するように設定できます。
      • 通知の具体的な文言:既定の翻訳文を使用することも、新たに翻訳文を作成することも可能です。

    最終的に、どの訪問者にどのバージョンのCookie通知を表示させるかは、ご自身のチームと法務チームで相談のうえ決定してください。

演習①適切なCookie設定を見極めて実装する

  1. 自社ウェブサイトの訪問者に対してCookie使用の同意を求めるかどうかを決定します(法務チームと相談)。
  2. Cookieのバナーを表示するページを決定します。
  3. Cookieバナー用の翻訳文を作成します。
  4. Cookieポリシーの設定を自社のHubSpotアカウントに適用します。

加藤さんが田中商事のウェブサイトでフォームを送信する

  1. 加藤さんのフォーム送信へと話を進める前に、2つの重要なポイントについてご理解いただく必要があります。それは法的根拠のコンセプトと、HubSpotで同意を収集・追跡する方法です。

    法的根拠

    GDPRの規定では、法律上の理由がなければ加藤さんのデータを使用することはできません。本規定ではこれを法的根拠と呼びます。企業の通知に対し(加藤さんにオプトインの内容を知らせ)、同意を得る(加藤さんがオプトインする)ことで法的根拠が成立します。

    ただし、同意はGDPRで示す法的根拠の1つにすぎません。この規定には6種類の法的根拠が挙げられており、ここではセールスおよびマーケティングの観点から重要となる2つを取り上げます。

    • 契約の履行(performance of a contract):たとえば、加藤さん田中商事の顧客である場合、田中商事加藤さんに対してEメールで請求書を送付できます。
    • 正当な利害関係(legitimate interest)加藤さん田中商事の顧客である場合、田中商事加藤さんが使用している同社製品と関連する製品についてダイレクトマーケティングの資料を加藤さんにEメールで送付できます。

    HubSpotプラットフォーム内では、この法的根拠が大きく2つのカテゴリーに分類され、処理の法的根拠(CRM内に加藤さんのデータを格納する、加藤さんに要求されたeBookを提供するなど)とコミュニケーションの法的根拠(加藤さんにマーケティング目的のEメールを送信する、セールス担当者が電話をかける)として扱われます。念のために申し上げると、処理の法的根拠があっても、コミュニケーションの法的根拠がないケースもあります。この場合、GDPRの適用下では加藤さんと連絡を取ることができません。

    HubSpotには、データ処理の法的根拠を追跡するために[コンタクトのデータを処理するための法的根拠]という既定のコンタクトプロパティーが新たに追加されました。このプロパティーは手動または自動で設定できるほか、フォーム送信時やインポート時に設定することも可能です。詳細については後述します。

    [コンタクトのデータを処理するための法的根拠]コンタクトプロパティー

    なお、法的根拠のフィールドでは、同意、正当な利害関係、契約の履行のほかに、[Not applicable(対象外)]も選択できます。これは、対象のコンタクトについて法的根拠が不要であると判断したことを示す値です(EU在住ではないコンタクトなど)。

    コミュニケーションの法的根拠については、新たに導入された「サブスクリプションタイプ」を使用して追跡します。詳しくは、次のセクションをご覧ください。

    正当な利害関係に関する補足

    正当な利害関係を法的根拠とする場合には、データ主体である個人の利益の保護責任を十分に果たすことが求められます。特にデータ主体が未成年なら、利益保護に対するいっそうの配慮が必要です。

    単に他の法的根拠よりも利用しやすそうだからという理由で、正当な利害関係を法的根拠としてはなりません。実際のところ、正当な利害関係に基づいてデータ処理および個人に与える影響を正当化するのは、他の法的根拠よりも手間がかかります。他の法的根拠の方が明らかに目的に沿っている場合、正当な利害関係の選択は適切とは言えません。

    正当な利害関係は3つの要素で構成され、いずれか1つでも欠けると法的根拠と見なされないため、注意が必要です。

    1. 正当な利害関係を特定する
    2. 正当な利害関係の成立に、データの処理が不可欠であることを証明する
    3. 正当な利害関係と、データ主体の利害、権利、自由を両立させる

    ウェブサイト訪問者に同意を求めている場合は、個人の選択を尊重し、正当な利害関係を予備の根拠として使用してはなりません。

    正当な利害関係を法的根拠とするべきかどうかについては、本規制の関連ガイダンスを参考にすることをお勧めします。たとえば、英国のInformation Commissioner’s Office (ICO)が作成した正当な利害関係に関するガイダンス(英語)を参照するとよいでしょう。

    コミュニケーション設定の追跡

    GDPRへの対応により、HubSpotが備えるコンタクトのコミュニケーション設定の追跡機能が大幅に強化されました。ここからは従来の「Eメールタイプ」と新しい「サブスクリプションタイプ」の違いについて簡単に説明します。これらはGDPRに準拠したフォームを作成するうえで、きわめて重要になる概念です。その理由はすぐにおわかりいただけると思います。

    従来のEメールタイプ

    HubSpotでは過去数年にわたり、コンタクトを特定のカテゴリーのEメールと関連付けるために「Eメールタイプ」が使用されてきました。Eメールタイプを使用すると、HubSpot内で2つのことが可能になります。

    1つ目に、HubSpotのコンタクトが企業からの特定のタイプのEメール(新製品の案内など)をオプトアウトできるようになります。

    2つ目に、HubSpotのEメールツールを使用する企業が、Eメールのテーマや目的とオーディエンスを合致させやすくなります。HubSpot Marketing HubからEメールを送信するときにEメールタイプが選択されていると、特定のEメールタイプをオプトアウトしているコンタクトが、送信対象から自動的に除外されます。

    Eメールタイプは長い間、十分にその役割を果たしてきましたが、1つだけ足りない機能がありました。それは、コンタクトの「積極的な許可」を得られない点です。つまり、HubSpotシステムに登録されるコンタクトは、既定では各Eメールタイプを「オプトアウトしていない」状態にすぎません。企業から特定のタイプのメッセージを受信することについて、具体的なアクションによって許可していないため、単に「オプトアウトしていない」だけで「オプトインしている」わけではないのです。さらに別の言い方をするなら、Eメールタイプでは、コンタクトが「オプトアウトしていない」状態か「オプトアウトした」状態のどちらかに分類されます。コンタクトがいずれかのEメールタイプを「オプトアウトした」状態になるのは、コンタクト自身がアクションを起こして設定を変更した場合のみです(企業からのEメール内でサブスクリプション設定へのリンクをクリックし、チェックボックスをオフにするなど)。

    このように、従来のEメールタイプの仕組みには「オプトイン」の概念がありません。そのため、フォーム送信時(またはインポート時)にEメールタイプを直接関連付けることができませんでした。加藤さんが田中商事のウェブサイトを訪問してフォームを送信するとき、田中商事からの特定のタイプのEメールを「オプトインする」ことはできず、フォームを送信した段階では各Eメールタイプを「オプトアウトしていない」と見なされるだけだったのです。受信設定を解除するには、自分で方法を調べてEメール設定にアクセスし、たくさんのチェックボックスをオフにする必要がありました。

    GDPRが施行されると、こうしたシステムは問題となりかねません(処理またはコミュニケーションの法的根拠として同意を使用する場合。正当な利害関係に基づく場合は別のルールが適用されます)。この点を踏まえ、GDPR施行後もお客様の成功を後押しできるよう、ハブスポットはEメール設定のシステムを改良しました。

    新しいサブスクリプションタイプ

    サブスクリプションタイプは今後、HubSpot Marketingのすべての製品でEメールタイプの代わりに使用される概念です。名称も働きもEメールタイプと似ていますが、いくつかの点で大きく異なります。

    最も影響力の大きい改良点は、サブスクリプションタイプではコンタクトのサブスクリプションの状態を3つに分類できるところです。従来のEメールタイプでは2つ(既定の「オプトアウトしない」状態と「オプトアウト」の状態)でしたが、サブスクリプションタイプでは、オプトイン、オプトインもオプトアウトもしていない(既定)、オプトアウトの3つの状態を扱えるようになります。基本的には「イエス」「どちらでもない」「ノー」を表していると考えることができます。

    サブスクリプションタイプの実装により、田中商事加藤さんが特定のサブスクリプションタイプをオプトインするためのフィールドをフォームに追加できるようになります。加藤さんはすべてをオプトインする必要はなく、希望するサブスクリプションタイプのチェックボックスのみを選択できます。一方、インポートまたはAPI経由で加藤さんのデータが田中商事のデータベースに登録される場合、田中商事はそれぞれのチャネル経由で加藤さんにサブスクリプションタイプを割り当てることができます。

    簡単に言うと、サブスクリプションタイプではコンタクトが実際にオプトインした時点を把握できます。これは大きなメリットであり、インバウンドにうってつけです。

    注:サブスクリプションタイプでは名前と説明だけでなく、プロセスとオペレーションという2つの属性も指定できます。これらは、お客様がGDPRについて考えるうえで重要な概念です。サブスクリプションタイプを作成する場合は、これらの両方の属性を設定することになります。この2つの概念の適用方法は、お客様が自由に決められます。たとえば、「マーケティングEメール」のサブスクリプションタイプを作成するなら、プロセスは「マーケティング」、オペレーションは「Eメール」を指定します。

    サブスクリプションタイプの作成

    更新後は、コンタクトレコードの左側にサブスクリプションタイプのセクションが追加されます。

    コンタクトレコードのサブスクリプションセクション

    この新しいセクションで[サブスクリプションを追加]をクリックすると、サブスクリプションの追加、表示、削除を行えます。

    サブスクリプションを追加

    前項で説明したとおり、サブスクリプションタイプは特定のコミュニケーションカテゴリーについて、コミュニケーションの法的根拠として使用されます。処理の法的根拠と同じように、コミュニケーションの法的根拠には同意を適用できますが、これに限定されません(コンタクトが顧客であれば、契約の履行も適用可能です)。そのため、加藤さんのコンタクト情報に法的根拠を手動で適用する場合は、ただサブスクリプションタイプを選択するだけでなく、コミュニケーションの法的根拠を選択する必要があります。

    重要な点として、加藤さんが示した同意の意思は加藤さんのコンタクトのタイムラインに表示され、加藤さんに対して表示された通知とタイムスタンプも確認できます。

  2. さて、法的根拠について理解を深め、HubSpotの新しいサブスクリプションタイプの機能をしっかりと把握していただいたところで、次はフォームの説明に入ります。

    GDPR施行後のフォームの作成で最も忘れてはならないのは、フォームの送信時に法的根拠を収集する必要があるということです。フォーム経由では通常、(通知に対する)同意、または正当な利害関係が法的根拠とされます。具体的にどうやって法的根拠を得て、どのタイプの法的根拠を使用するかについてはチームでの話し合い(およびデータのプライバシーまたは法律顧問のアドバイス)に基づいて決定してください。HubSpotでは新たにGDPR対応のフォームがサポートされ、処理およびコミュニケーションの法的根拠を収集できるようになりました。

    HubSpotのフォームには、法的根拠を収集するためのセクションを簡単に追加できます。フォームの編集画面を開くと[通知と同意/正当な利害関係(GDPR)]というセクションが表示されます(最終版では変更される可能性があります)。ドロップダウンリストから希望するオプションを選び、必要事項を入力すれば作業は完了です。

    フォームのオプション

    HubSpotには、フォーム経由で法的根拠を得るための方法が3種類用意されています。

    1. コミュニケーションの同意チェックボックス、フォームを送信すると処理に同意したと見なされます

      コミュニケーションの同意チェックボックス、フォームを送信すると処理に同意したと見なされます
      このオプションでは、最初のチェックボックス(または一連のチェックボックス)でコミュニケーションへの同意を求めます。ここで表示する一連のチェックボックスは、既に説明したサブスクリプションタイプに対応しています。フォームごとにどのサブスクリプションタイプの同意を求めるかを選択できるので、すべてのフォームにすべてのタイプを表示する必要はありません。加藤さんがいずれかのチェックボックスをオンにした場合、該当するタイプのコミュニケーションの受信を自ら      「オプトイン」したことになります。

      コミュニケーションへの同意を得れば、加藤さんにEメールを送信することはできますが、加藤さんに関する情報をHubSpot内で保管するためには、処理の法的根拠も必要です。このオプションでは、加藤さんはデータの処理を暗黙的にオプトインしていることになります。通知に目を通して[送信]を押した時点で(チェックボックスをオンにしていなくても)積極的な同意があったと見なされます。

      加藤さん田中商事のウェブサイト上でこのタイプのフォームを送信した場合、田中商事のCMR内では加藤さんのコンタクトレコードが次のように更新されます。

      • [コンタクトのデータを処理するための法的根拠]のプロパティーが[Freely given consent from contact(コンタクトからの自由意志に基づく同意)]に設定されます。
      • 同じく、コンタクトレコードに新たに追加されたサブスクリプションのセクションでも、[コンタクトとコミュニケーションするための法的根拠]が[コンタクトからの自由意志に基づく同意]に設定されます。

    2. コミュニケーションおよび処理の同意チェックボックス

      コミュニケーションおよび処理の同意チェックボックス
      これも、サブスクリプションタイプのチェックボックスを使用して加藤さんにコミュニケーションへの同意を求めるオプションです。ただし、処理に対しても(暗黙的ではなく)明示的に同意を求める点が1つ目のオプションとは異なります。このオプションが使用されている場合、加藤さんは通知に目を通して[送信]を押すだけでなく、チェックボックスを自らオンにすることで同意を示します。

      加藤さんがチェックボックスをオンにしなければ田中商事は彼女のデータを処理できないということは、単純明快でしょう。そのため、HubSpotには加藤さんのコンタクト情報が登録されません。加藤さんがチェックボックスをオンにせず(必須ではありません)、[送信]をクリックすると、情報を送信することなくコンテンツにアクセスできます(注:この機能はオプションです)。

      コミュニケーションおよび処理の同意チェックボックス

      加藤さん田中商事のウェブサイト上でこのタイプのフォームを送信した場合、田中商事のCMR内では加藤さんのコンタクトレコードが次のように更新されます。

      • [コンタクトのデータを処理するための法的根拠]のプロパティーが[Freely given consent from contact(コンタクトからの自由意志に基づく同意)]に設定されます。
      • 同じく、コンタクトレコードに新たに追加されたサブスクリプションのセクションでも、[コンタクトとコミュニケーションするための法的根拠]が[コンタクトからの自由意志に基づく同意]に設定されます。

    3. 正当な利害関係(同意以外)

      前述のとおり、加藤さんの情報を処理し、加藤さんに連絡するためには、必ずしも彼女の同意を得る必要はありません。3つ目のオプションはまさに、このことに関係しています。このオプションではチェックボックスが1つも表示されません。それは、処理とコミュニケーションの法的根拠として、正当な利害関係を適用するからです。正当な利害関係が自社に最適な選択肢であるかどうかを判断するのは難しいので、データプライバシーのアドバイザーや法律顧問に相談することをお勧めします。

      正当な利害関係

      加藤さん田中商事のウェブサイト上でこのタイプのフォームを送信した場合、田中商事のCMR内では加藤さんのコンタクトレコードが次のように更新されます。

      • [コンタクトのデータを処理するための法的根拠]のプロパティーが[Legitimate interest – prospect/lead(正当な利害関係 – プロスペクト/リード)]に設定されます。
      • フォームに関連するサブスクリプションタイプについて、[コンタクトとコミュニケーションするための法的根拠]のプロパティーが[正当な利害関係 - プロスペクト/リード]に設定されます。

演習②処理の法的根拠を判断し、サブスクリプションタイプを作成し、フォームを実装する

  1. ナビゲーションバーの歯車アイコンをクリックして[マーケティング] > [Eメール] > [サブスクリプションタイプ]タブに移動し、サブスクリプションタイプを作成します。
    • プロセスとオペレーションの2つの属性について検討します(詳細は前述のとおりです)。サブスクリプションタイプを作成するには、これらの属性の両方を設定します。
  2. GDPRの対象に含まれるコンタクトと、含まれないコンタクトを確認します。
    • 対象外となるコンタクトについては、コンタクトのホーム画面、ワークフローまたはインポート画面の一括編集機能を使用して[コンタクトのデータを処理するための法的根拠]プロパティーを[Not applicable(該当しない)]に設定します。
    • 対象となるコンタクトについては、処理およびコミュニケーションの法的根拠としてどのタイプを使用するかを決定し、コンタクトのホーム画面の一括編集機能で適用します。
  3. サブスクリプションタイプと決定した法的根拠を使用し、プライバシー通知を有効化して、フォームを作成または更新します。
  4. フォームをテスト送信し、同意および法的根拠の情報が、意図したとおりHubSpotに格納されていることを確認します。

  1. 加藤さんの情報をデータベースに追加する方法はフォームだけではありません。

    新しい同意機能の仕組みは次のとおりです。

    • 同意と法的根拠に関する機能は、フォームと同様にリードフローにも反映されます。
    • コンタクトリストをインポートするとき、サブスクリプションタイプと法的根拠を指定できます。アカウント内でGDPR機能のスイッチをオンにすると、法的根拠の指定が必須になります。
    • HubSpot内に手動でコンタクトを登録するとき、サブスクリプションタイプと法的根拠を指定できます。アカウント内でGDPR機能のスイッチをオンにすると、法的根拠の指定が必須になります。
    • ハブスポット製のAPIを介してコンタクトの登録と更新を行うとき、サブスクリプションタイプと法的根拠を指定できます。アカウント内でGDPR機能のスイッチをオンにすると、法的根拠の指定が必須になります。
    • コミュニケーション機能やミーティング機能でも同意チェックボックスを使用できるため、すべてのチャネルでのコミュニケーションに対するオプトインを加藤さんに求めることができます。

      コミュニケーション機能での同意

田中商事が加藤さんにEメールを送信する

  1. さて、加藤さん田中商事のウェブサイトを訪問し、Cookieによる追跡に同意し、フォームを送信する(と同時に特定のタイプの連絡の受信に同意する)ところまで来ました。

    こうなれば、次は加藤さんへのEメール送信です。

    新しいサブスクリプションタイプの仕組みによって、Eメールの送信とコンタクトの同意を簡単に関連付けることができます。Eメールを送信するときは[設定]タブでサブスクリプションタイプを選択してから、[受信者]タブで対象のEメールを送信するコンタクトのリストを指定します。まだカスタムのサブスクリプションタイプを作成していない場合は、既定の[Marketing Information]を使用できます。

    Eメールの送信には、次のルールが適用されます。

    • アカウントの設定でGDPR機能のスイッチがオフになっている場合は、リスト内の全コンタクトにEメールを送信できます(オプトアウト済みのコンタクトを除く)。リスト内のコンタクトにコミュニケーションの法的根拠があるかどうかは考慮されません。
    • アカウントの設定でGDPR機能のスイッチがオンになっている場合は、同意などのコミュニケーションの法的根拠が確立されたコンタクトのみにEメールを送信できます。リスト内にコミュニケーションの法的根拠がないコンタクトが含まれているときは、アラートで通知されます。別の法的根拠(正当な利害関係など)を適用しない限り、対象のコンタクトにはメールを送信できません。ただし、[コンタクトのデータを処理するための法的根拠]プロパティーが[Not applicable(当てはまらない)]に設定されているコンタクトは、GDPRの適用対象外と見なされるため、コミュニケーションの法的根拠は不要です。

     

    加藤さんが自身の設定を変更したいときや、サブスクリプションを解除したいときはどうすればよいですか?

    注:サブスクリプション設定ページは、5月25日までに更新されますが、5月14日時点ではまだ更新されていません。

    GDPRでは、同意を示すのと同じくらい簡単に同意を取り消せることが求められています。このため、ハブスポットでは、HubSpot経由で送信された田中商事のEメールから、加藤さんが自分の受信設定を簡単に編集できるようにしています。

    HubSpot経由で送信されたEメールの末尾には、加藤さんのEメール設定ページへのリンクが自動的に追加されます。

    このリンクをクリックすると、Eメールの設定ページが開きます。Eメールタイプからサブスクリプションタイプへの移行に伴い、この設定ページでは各サブスクリプションタイプについて次の3つの状態が扱えるようになりました。

    1. オプトイン
    2. オプトインもオプトアウトもしていない
    3. オプトアウト

    各サブスクリプションタイプのチェックボックスがオンになっていればオプトインした状態、オフになっていれば、どちらでもない(オプトインもオプトアウトもしていない)またはオプトアウトした状態を表します。

    現時点では、設定ページを多言語化する機能や、設定ページのデザインを大幅にカスタマイズする機能は実装されていません。当社はサブスクリプション設定に関するエクスペリエンスの向上を目指し、有効な手段を積極的に検討しています。近いうちに、さらなる機能強化を実施する予定です。

    新しいサブスクリプションタイプの仕組みが実装される前に、既にデータベースに登録されていたコンタクトはどうなりますか?

    GDPR原則の適用下でコンタクトにEメールを送信するには、コンタクトとのコミュニケーションに対する法的根拠が必要です。

    データベース内の既存のコンタクトについてこの要件を満たすには、いくつかの対処方法があります。

    1. インポートまたはコンタクトの一括編集機能を使用して、コミュニケーションの法的根拠を手動で割り当てることが可能です。このとき、処理の法的根拠についても、同意、正当な利害関係、契約の履行のいずれかを指定する必要があります。
    2. コミュニケーションの法的根拠として同意を使用する予定で、まだコンタクトの同意を得ていない場合は、承認パスキャンペーンを実施してコンタクトの同意を集めることをお勧めします。

      これを踏まえ、Eメール経由で既存のコンタクトの同意を得るための新機能として、Eメール内にサブスクリプション設定へのリンクを挿入できるようにしました。

      insert_sub_link-2
      コンタクトがこのリンクをクリックすると、すべてのサブスクリプションタイプが、先ほど説明した3つの状態のうち「オプトイン」に自動で設定されます。

    過去(サブスクリプションタイプが実装される以前)に再エンゲージメントキャンペーンを実施したことがある場合は、チームで協力し、収集したオプトインまたはオプトアウトの情報を(カスタムプロパティーなどを使用して)新しいサブスクリプションタイプと関連付けます。この作業は手動、ワークフロー経由、インポートによって実行できます。

    セールス関連のEメールはどう取り扱われるのでしょうか?

    「同意を示すのと同じくらい簡単に同意を取り消せる」ことは、すべてのEメールに共通して求められます。CRMレコードやシーケンス機能から送信される1対1のEメールも例外ではありません。

    Eメールシーケンスのサブスクリプション解除

     

演習③各コンタクトにコミュニケーションの法的根拠を割り当てる

コンタクトにEメールを送信するには、コミュニケーションの法的根拠が必要です。同意、正当な利害関係、契約の履行のいずれかを適用できます。

  1. 各サブスクリプションタイプに対し、どの法的根拠を適用するかを決めます。一般的には同意が適用されますが、場合によって異なります(「請求案内」のサブスクリプションタイプには契約の履行を使用するなど)。
  2. 決定した法的根拠を、手動またはワークフローを通じて適宜割り当てます。
  3. まだ法的根拠がなく、同意を適用したい場合には、前述の手順に従って承諾パスキャンペーンを実施します。

加藤さんが個人の権利の行使を要求する

  1. GDPRでは、さまざまな方法で個人の権利が強化されています。

    アクセスとポータビリティー

    加藤さんは田中商事が保有する、自身に関する個人データへのアクセスを求めることができます。個人データとは、氏名やEメールアドレスなど、個人を特定可能なデータのことです。加藤さんからアクセスを要求された場合、田中商事は(管理者として)対象データの写しを提供する必要があり、場合によっては機械で読み取り可能な形式(CSVやXLSなど)で提供します。

    加藤さんはさらに、データの処理に関する適法性の参照と確認を求めることもできます(前述の説明をご覧ください)。

    HubSpotを使用すると、機械で読み取り可能な形式で簡単に加藤さんのコンタクトレコードをエクスポートし、アクセスまたはポータビリティーの要求に応えることができます。タスク、メモ、コールといったエンゲージメントデータはコンタクトレコードのエクスポートでは書き出せませんが、CRMのエンゲージメントAPI(英語の参考情報はこちら)を使用してアクセスできます。

    加藤さんのデータの処理に関する適法性は、先ほど言及した、対応付けられているコンタクトプロパティーを使用して確認でき、こうしたプロパティーもエクスポート可能です。

    変更

    加藤さんは、自身のデータへのアクセスを要求できるだけでなく、自身の個人情報が不正確または不完全だった場合に、田中商事に対して情報の変更を求めることができます。GDPRの規定では、加藤さんから要求があった場合、田中商事はそうした変更依頼に応えられなくてはなりません。

    HubSpotを使用していて、加藤さんに個人情報の変更を求められた場合、田中商事(または同社のポータル管理者)は加藤さんのコンタクトレコード内で情報変更に対応できます。

    削除

    GDPRの適用下では、加藤さんには田中商事に対し、自身に関して同社が保有するすべての個人情報を削除するよう要求する権利があります。加藤さんから削除を要求された場合、GDPRの規定により田中商事には、Eメールの追跡履歴、コールレコード、フォームの送信内容を含む、加藤さんのコンタクトレコードをデータベースから永久に削除することが求められます。

    多くの場合、企業は個人情報の削除要求に30日以内に対応する必要があります。この削除の権利は絶対的なものではなく、要求の内容に応じて異なるため、常に適用されるとは限りません。

    GDPRに従ってHubSpot内のデータを削除するには、次の手順に従います。

    1. 削除するコンタクトのレコードを開く
    2. [アクション]をクリックする
    3. [削除]をクリックする

    自社のアカウントでGDPR機能のスイッチがオンになっている場合は、「ソフト」な削除と、GDPRに準拠した「ハード」な削除のどちらかを選択できます。ハードな削除を実行すると、加藤さんの個人情報はHubSpotアカウントから全て削除されます。

    :加藤さんの個人データは削除されても、加藤さんに関する匿名のアナリティクス(解析)データは残ります。たとえば、加藤さんが田中商事のウェブサイトを複数回にわたって訪問している場合、該当するセッションは引き続き匿名データとしてソースレポートに反映されます。加藤さんによるセッションかどうかは特定できません。また、田中商事が加藤さんに対してEメールを送信した後で個人情報を削除した場合、加藤さんに関するアナリティクスデータは送信済みEメール情報(開封率やクリック率など)に引き続き反映されますが、加藤さんの個人情報(名前)は表示されなくなります。

    GDPRに準拠した削除

    削除に関してはもう1つ機能があります。ハードな削除によって加藤さんのコンタクトレコードを完全に削除した場合、別のだれかが会社のデータベースに再度加藤さんを追加しようとすると、以前に依頼を受けて削除されたコンタクトであることがアラートで通知されます。

演習④アクセス、変更、削除のためのプロセスを判断する

次の手順に従い、適切な削除プロセスを判断します。

  1. 加藤さんが個人データの削除を求めている場合に自社チーム内のどの担当者に連絡する必要があるのか確認します。
    • 連絡すべき相手を加藤さんはどうやって見つけるでしょうか?
    • たとえば、privacy@acme.comに送信してくるなどの方法が考えられます。
  2. ほとんどの場合、企業は個人情報の削除要求に30日以内に対応する必要があります。自社チームでこの要求にどうやって対処するか検討します。
    • こうした要求に対処する担当者としてだれを指名していますか?
  3. こうした削除プロセスを文書化する方法について検討します。

ハブスポットのGDPR機能についての説明は以上です。

  1. GDPR対策に関する各社固有の質問事項については、データプライバシーのアドバイザーや法律顧問に相談することをお勧めします。HubSpotアカウントに関する質問は、ハブスポットの窓口担当者にご連絡いただくか、サポートに電話でお問い合わせください。

    HubSpotとGDPRについてもっと詳しく知りたい方は、以下のリソースもご参照ください。

     

    免責事項:本ガイドに記載されているのは、EUのデータプライバシー規制に関する大々的な調査結果でも、企業がGDPRのようなEUのデータプライバシー法の要件を満たすための法律的なアドバイスでもありません。法律上のいくつかの重要な要件について、ハブスポットがどのような対策を行っているかを理解しやすいよう、お客様に背景情報を提供することを目的としています。ここで示す法的な情報は、弁護士がお客様の固有の状況を踏まえて適用法に沿って提供する法律上のアドバイスに匹敵するものではありません。そのため、本情報の解釈または正確性に関して助言が必要な場合には、必ず弁護士にご相談ください。一言で言えば、本ガイドを法律上のアドバイスとして信頼することはできません。また、特定の法律上の了解事項として推奨するものでもありません。本ガイド内で紹介する製品、サービス、およびその他の機能はあらゆる状況に適しているわけではなく、場合によって利用が制限されることがあります。