dynamics 365: プロジェクトにおけるGDPRの考慮事項

D365 Project

今回はdynamics 365のプロジェクトにおけるGDPRの考慮事項を紹介します。

・GDPRとは:General Data Protection Regulation。EU一般データ保護規則。EU内の全ての個人のためにデータ保護を強化し統合することを意図している規則である。

・MS dynamics 365は、GDPRに準拠するよう準備される。ただ、ユーザー側はGDPRを意識しながらdynamics 365のオペレーション一環として落とし込む必要がある。

・dynamics 365 MarketingはGDPRと関係が深いため、dynamics 365の他のアプリを割愛させて、Marketingにフォーカスしていきます。

GDPR と dynamics 365 Marketing

dynamics 365の多種多様なCRM/ERPアプリの中では、一番関係あるのはdynamics 365 Marketingです。

Marketing アプリではよく使われる主要機能は2つがある。

1、メールキャンペーン:個人に対して定期的に送信するようになるため、大量の顧客情報を持っている。

2、イベント管理:イベント開催の際に、そのイベントに関連するコンテンツや参加者の情報を管理している。

共通点:個人情報を保有し、かつ管理する機能を有する。

補足:

 Contact(取引先担当者)は対象、Account(取引先企業)はGDPRの対象外。

 GDPRの規定により、キャンペーンメールやイベントメールを送信する際に、サブスクリプションを解除するボタンの設置が必須。また、発信先の情報も載せるべきと決められる。

Dynamics 365 MarketingのGDPR機能の概要

GDPR では、同意のトピックが核心的原則になり、データ保護法に含まれています。

同意とは、”データ主体が、自分に関係する個人データの処理に対する承認を、声明または明確な肯定的行動で示すことによる、自発的になされた、具体的な、情報に基づく、明白な指示” のこと。

Dynamics 365 Marketing では、同意を要求、取得、保存することができます。 対象者が示した同意に従うように、マーケティング活動を設計することができます。 収集されるデータおよび処理の目的について対象者に明確に伝える関連情報を、マーケティング オブジェクト (ランディング ページや、電子メール マーケティング メッセージなど) に含めることが重要です。 対象者が、自由意思で同意し、情報に基づいて決定を下し、いつでも同意の確認、更新、取り消しができるようになっている必要があります。

Dynamics 365 Marketingが提供する各同意レベルとその標準的な使用方法をまとめた。同意レベルは階層的であり、上位レベルにはすべての下位レベルが含まれます。

レベル  同意      レベルの名前説明
0(なし)取引先担当者はいかなる同意も示していません。 同意が得られるまで、組織は、個人に連絡したり、データ処理や自動意思決定を行ったりしてはなりません。 特定の同意にかかわらず、ユーザーは組織によって提供されるオンライン フォーム (ランディング ページ) を使って情報を送信できます。
1同意ユーザーは組織に、同意の確認またはより高いレベルの同意の取得を目的としてのみ、連絡することを許可しています。 代表的な例は、ユーザーが同意を提供できるサブスクリプション センター ページへのリンクを含むメールを送信する顧客体験に再同意する場合です。
2トランザクションユーザーは、両当事者間の特定の既存ビジネスに関連するトランザクション メッセージの送信に同意しています。 これらのメッセージには、マーケティング コンテンツやプロモーション コンテンツを含めることはできません。 たとえば、銀行レポート、受注の受け取り、メンバーシップ ステータス メッセージなどです。
3サブスクリプションユーザーは、メーリング リストやサブスクライブ コンテンツへのサインアップの提供を含むメッセージの受け取りに同意しています。
4マーケティングユーザーは、マーケティング メッセージおよびプロモーション コンテンツの受け取りに同意しています。
5プロファイリングユーザーは組織に、自動意思決定のための人口統計情報と行動情報 (Webサイト アクセス、メール開封、メール クリックなど) の使用を許可しています。 処理活動と自動意思決定の対応は、組織が分類する必要があります。 たとえば、利用可能なデータに基づくクレジット限度額またはローン保証の自動計算や、ルールに基づく計算や予測計算を使用する計算メカニズムなどです。 子供をそのようなプロファイリングおよび自動意思決定の対象にしてはなりません。

Dynamics 365 for Marketing Data

GDPRで示されたデータの定義を念頭に、Dynamics 365 for Marketingに含まれるデータを見て、それらがどのように関連しているかを見てみましょう。

マイクロソフトは、Dynamics 365 for Marketingなどのオンラインサービスに関連する特定のデータカテゴリーを、Microsoft Online Privacy Statementで定義しています。

以下に記載するように、これらのデータの一部は、管理者であるお客様の責任において、GDPRに沿った方法で管理されます。

項目説明
Customer data 顧客データお客様のデータとは、お客様がマイクロソフトに提供した、テキスト、音声、動画、または画像のファイルおよびソフトウェアを含むすべてのデータをいいます。例えば、お客様が保存または処理のためにアップロードしたデータや、お客様がMicrosoft クラウドサービスを通じて配布するためにアップロードしたアプリケーションなどが含まれます。
お客様データには、管理者などの連絡先データ、支払データ、サポートデータは含まれません。
Content コンテンツコンテンツは、顧客データのサブセットであり、例えば、Exchange Onlineの電子メールと添付ファイル、Power BIレポート、SharePoint Onlineのサイトコンテンツ、IMでの会話、または顧客とのやり取りに関するデータなどが含まれます。
Administrator data 管理者データ管理者データとは、マイクロソフトのサービスへの登録、購入、または管理の際に提供された管理者に関する情報で、氏名、電話番号、電子メールアドレスなどが含まれます。
また、集計された使用情報や、お客様が選択したコントロールなど、お客様のアカウントに関連するデータも含まれます。マイクロソフトは、サービスの提供、取引の完了、アカウントのサービス、および不正行為の検出と防止のために管理者データを使用します。
Payment data 支払いデータ支払いデータとは、お客様がマイクロソフトでオンライン購入する際に提供する情報です。クレジットカード番号およびセキュリティコード、氏名および請求先住所、その他の財務データが含まれます。マイクロソフトは、支払データを、取引の完了、および不正行為の検出と防止のために使用します。
Support data サポートデータサポートデータとは、お客様がマイクロソフトに問い合わせをされる際に収集される情報で、サポートリクエストに記入された内容、自動トラブルシューティングの実行結果、またはお客様から送られてきたファイルを含みます。サポートデータには、管理者データや支払いデータは含まれません。

これらすべてのデータカテゴリーには、GDPRの対象となる個人データが含まれる可能性があります。

Dynamics 365 Marketing で GDPR 機能を有効にする

1、dynamics 365 Marketingで、設定の画面を開いて、電子メール マーケティング→データ保護に遷移します。

2、アクティブなデータ保護一覧が開きます。レコードまだ存在しない場合は、「New」をクリックし、新規作成します。

3、新しいデータ保護を作成します。

4、上書き保存し、同意を優先の欄をはいにする。そして、保存して閉じる。

5、作られたGDPRデータ保護のレコードを確認することが出来た。

6、GDPRを有効にすると、各取引先担当者のデータ保護オプションを表示し、設定できます。

監査履歴を確認

組織がGDPRの規則に準拠していることを実際に示すように求められる場合、監査対応が不可欠である。

dynamic 365 Marketingでは、監査記録を確認する場所は2箇所がある。

1、取引先担当者レコード。関連を選択し、監査履歴とGDPR同意変更レコードが確認できます。フィルター設定対象により、絞って検索することも可能。

2、詳細設定→システム→監査に遷移し、システム全般の監査操作は可能です。このページでは、監査の設定にアクセスし、監査レコードを確認することができます。この機能は、Dynamics 365の標準機能の一部です。

コメント

タイトルとURLをコピーしました