GDPRとコンテンツサプライチェーン

GDPRジャーニーおよびコンテンツの作成、翻訳、デジタルエクスペリエンス、配信への影響

「欧州の今後のデジタル環境は、信頼の上にのみ成り立ちます。データを保護するための確固たる共通基準があれば、人々は自分の個人情報を確実に管理することができます」(デジタル単一市場担当副委員長のAndrus Ansip氏による2015年12月の発言)

欧州連合の一般データ保護規則(GDPR)

欧州を「デジタル時代に適合させる」ためのデータ保護改革に関する欧州委員会の計画を受けて、一般データ保護規則(GDPR)の枠組みが策定され、すでに法律が施行されています。

GDPRは、個人が自身の個人データをより詳細に管理できるようにするために制定された欧州連合(EU)の法律です。個人データとは、識別された人物もしくは識別可能な人物に関連するデータ、または別の言い方をすれば、それ自体もしくは他のデータとの組み合わせにおいて個人を識別することができるデータをいいます。

GDPRでは、EUおよび欧州経済地域(EEA)内外の組織による商品やサービスのマーケティングまたは販売を目的とした個人データの利用方法に関する一連の規則が定められており、情報の安全な保護、処理および保存について保証しています。  GDPRは、EU/EEA内に居住するすべての人々のデータプライバシー、およびEU/EEAの組織が世界中の人々の個人データを処理する際のデータプライバシーを強化および統一することを目的としています。 

GDPRのコンプライアンスに関する見通しは困難に見えますが、実際には、GDPRによって、顧客や見込み客との信頼関係を構築し、それをデータ戦略の最前線に位置付け、新たなデジタル時代において成功するための真のチャンスを得ることができます。

GDPRの複雑さに関する理解

理解の時代においては、GDPRの4つの重要な概念、ならびに個人データおよびこのデータの処理が実際に意味する内容を理解することをお勧めします。

個人データ

識別された、または識別可能な自然人に関するあらゆる情報。

処理

個人データまたは一連の個人データに対して行われるあらゆる操作または一連の操作。

データ管理者

個人データを処理する目的および手段を決定する自然人または法人。

データ処理者

管理者に代わって個人データを処理する自然人または法人。

GDPRの課題に対する取り組み

GDPRの課題に対して取り組み、遵守すべき適切な要素を確実に実施するために、GDPR第5条では、すべての個人データに関する6つの原則と、それにどう対応すべきかについて明確に説明されています。データ管理者は、これらの原則を遵守することについて責任を負うとともに、それを実証することができ、人々が自身のデータについて行う要求に対応する手段を備えていなければなりません。  しかし、データ管理者は、GDPRの規定に依拠して、そのような要求に対応する範囲を制限することができる場合があります。

  • データ主体に関して、合法かつ公正で、透明性のある方法で処理を行うこと。
  • 特定かつ明示的で正当な目的で収集し、その目的外の方法で追加処理を行わないこと。
  • 処理を行う目的に関して、適切かつ関連性があり、必要な範囲に限定するよう努めること(データの最小化)。
  • 正確性を確保し、必要に応じて最新の状態に保つこと。
  • 個人の詳細情報を処理する目的において、必要な期間を超えてデータ主体の識別を許可しないこと。
  • 個人データの適切なセキュリティを確保して処理を行うこと。

プライバシーバイデザインとプライバシーバイデフォルト

処理している個人データの内容を把握し、正しいプロセスを実施して顧客に対して透明性を確保することにより、GDPRとコンテンツサプライチェーンを通じたナビゲーションが成功します。コンテンツジャーニーに関して、SDLは、御社を適切な方向に導き、GDPRを遵守するための適切な措置を講じることを支援します。

GDPRでは、データ管理者が「データ保護バイデザインとデータ保護バイデフォルト」を実施することを法律上義務づけています。これは、あらゆるプロジェクトにおけるデータの収集からデータの破棄に至るデータ処理のライフサイクル全体を通して、個人データのプライバシー管理を基本的な考慮事項とすることを意味します。 

ソフトウェアを開発する際にプライバシーバイデザインを遵守するために、当社では安全なソフトウェア開発の原則に基づき、データを取得するプロセスとシステムに匿名性を組み込んで設計を行いました。当社が基準を達成した結果、現在では、当社のソフトウェアは諜報機関、銀行、政府機関など、世界で最もプライバシー意識の高い組織で、データのプライバシーを守るプロセスに不可欠な要素として使用されています。 

SDLソフトウェアを使用している場合、御社の組織は、SDLソフトウェア(オンプレミスまたはクラウド)を通じて処理されるあらゆる個人データのデータ管理者です。御社がSaaS(Software as a Service)サービスとしてSDLのソフトウェアを利用する場合、当社が個人データの保存または送信に関するデータ処理者となります。プライバシーバイデザインを達成するために、当社では適切なセキュリティを実現するための安全な環境においてSaaSの導入を行うように努めています。

SDLは御社によるGDPRコンテンツジャーニーのナビゲーションを約束します

SDLでは、御社が必要とする機能を提供することによって、GDPRの遵守を支援し、作成、翻訳、配信といったコンテンツサプライチェーンのプロセス全体で御社を導くことに取り組んでいます。  当社では、GDPRの遵守に役立つよう、SDLソフトウェアの機能を責任ある方法で活用するためのガイダンスを提供しています。

下のボックスをクリックし、当社のソフトウェアがどのように御社をサポートできるのかについて理解を深めてください。

SDL - 翻訳ソフトウェアとサービス

まずは、当社のソフトウェアを利用する方々のプライバシーに関する問題について考えてみましょう。 

プライバシーバイデザインに従って、当社の翻訳ソフトウェアでは、ユーザーに関して保持するデータを最小限に抑えており、保持される内容をユーザーが制御できます。例えば、他の場所に保持されている情報を参照せずに、ユーザーを特定することのないユーザー名(基本的に仮名)をユーザーに選択させます。 

翻訳対象の資料に含まれる個人データの取り扱い方法によって、問題が複雑化しています。 

個人データが存在する場合、プライバシーバイデザインを適用する最も単純で信頼できる方法は、次のとおりです。

  1. ファイル作成中にコンテンツを仮名化する:すなわち、ソースコンテンツファイルを翻訳者、サービスプロバイダ、その他のユーザーに渡す前に、プロジェクトマネージャー(または同等の役割の者)にファイル内の個人データを仮名列に置き換えさせます。
  2. 仮名化を反転させたら、キーを削除する:仮名化を実施して翻訳済みのコンテンツが確定および承認されると、プロジェクトマネージャーは、必要に応じて最終的な成果物に個人データが含まれるようプロセスを反転させます。その後、プロジェクトマネージャーは、仮名化キーを安全に削除できます。

最後に、当社のソフトウェアまたは翻訳者にコンテンツを取り扱わせる人物であるデータ管理者は、そのコンテンツ内のデータとGDPRの遵守について責任を負うことを忘れないでください。   これは、管理対象となる当社のソフトウェアまたはデータ処理者の手段を超えていますが、当社はいくつかの簡単な方法で御社によるGDPRの遵守をサポートすることができます。 


コンテンツを仮名化する方法

仮名化の対象となる個人データをまったく見落とすことなく、100%の精度で自動的に特定する方法はありません。ただし、サポートを受けることは可能です。当社では、SDL AppStoreから無料で利用できるアプリを開発しました。このアプリを利用することによって、以下のことが行えます。 

  • 個人データの存在を示す可能性がある正規表現(regex)を使用したソースコンテンツに対する高度な検索を実行する。 
  • 特定の識別子をランダムなトークンに置き換える。 
  • その後、訳文ファイルにアプリを適用することによって、仮名化を反転させる。 

このアプリを利用するには、ファイルをエクスポートしてXLIFF形式に変換する必要があります(翻訳対象となるファイルを準備するのに使用するソフトウェアによって異なります)。御社の知的所有権その他の機密情報はもちろんのこと、SDLソフトウェアを通じて処理される個人データを保護するために、多層化されたセキュリティおよびセキュリティコントロールが望まれます。 

御社の翻訳サプライチェーンがGDPRを遵守しているかどうかを評価するには、SDLの評価を受けてください。これは、翻訳とローカリゼーションプロセスにおけるGDPRの遵守を簡素化するために導入可能なテクノロジーと手順を特定することによって組織をサポートするために考案されたものです。


機械翻訳と個人データ

SDLのSaaS機械翻訳(MT)製品は、翻訳用に提出された顧客コンテンツを永続的に保存することはありません。コンテンツは、翻訳を行うために必要とされる期間のみ、こうしたサービスに存在します。 

御社の翻訳されたコンテンツでトレーニングされた言語ペア対応のSDL MTを購入される場合、トレーニングコンテンツに個人データがないようにしてください。御社は、個人データが含まれないようにするために、トレーニング用データを仮名化しなければならない場合があります。

SDL Tridion DX(SDL Tridion SitesおよびSDL Tridion Docs)とプライバシーバイデザイン

SDL Tridion DXスイートの一部であるSDL Tridion SitesまたはSDL Tridion Docsのお客様は、GDPRのコンプライアンスに関する導入をレビューし、プライバシー、セキュリティ、および暗号化に関するベストプラクティスを確実に行わなければなりません。ドキュメントとコンテンツに関して、御社のウェブサイトには、御社の最新のプライバシーポリシーが含まれている必要があります。また、訪問者には、個人データがいつ収集されるのかを通知しなければならず、必要に応じて明示的な許可を得なければなりません。また、御社の訪問者が以下のことをできるように顧客対応も考慮してください。


  • 明示的なオプトインまたは登録プロセスによって個人データの処理に同意する。
  • セルフサービスのPreference Centerを通じて設定を管理する。
  • 配信停止、取り消し、同意、またはその他データ処理に対する異議申し立てを行えるようにする。

免責事項を追加することで、訪問者に対するウェブサイト全体のトーンや要求を設定することができます。また、個人のプライバシーに影響を与える新しいテクノロジーを有効利用する新しいサイトを構築することを検討している場合や、個人データに関連する実際の活動を監視している場合には、適切なプライバシー対策の実施に役立つデータ保護影響評価を完了するようにしてください。さらに、セキュリティ、行動規範および認証に関する透明性を確保し、セキュリティバックアップと主要関係者に対するプライバシートレーニングによってリスクを最小限に抑えてください。

特にSDL Tridion Sitesでは、個人データの処理に関する限り、任意の機能を使用できます。しかし、訪問者のコンテキスト、エクスペリエンスの最適化、または合理化に関連する機能については、取り扱いにより注意を必要とします。これらには以下が含まれます。

  • Ambient Data Framework
  • Context Cartridge
  • Audience Manager
  • CRM Accelerators and Connectors
  • ユーザー生成コンテンツ
  • BluePrinting
  • Contextual Templating
  • コンテンツ配信API
  • Experience Optimization

GDPRを遵守してこれらの機能を利用する方法に関する詳細については、当社のウェビナーを視聴するか、最寄りのTridionサポート担当者にお問い合わせください。   GDPRとSDL Tridion DXの詳細については、当社のコミュニティブログシリーズをこちらからご覧ください。

データ保護のセキュリティ

インフラストラクチャの確保 

SDLでは、データの機密性、完全性および安全性を確保するために適切なセキュリティを提供しています。当社では、御社のデータが安全であることを保証するために、特に厳格なセキュリティプロセスを実施しています。

SDLソフトウェアをオンプレミスで導入する場合、御社のインフラストラクチャについては御社が責任を負います。御社のIT部門は、SDLソフトウェアをホストするサーバーとコンピューターが(データ管理者によって評価される)リスクに対して適切に守られるようにする必要があります。 

SDLがホストする(クラウドベースの)ソフトウェアとサービスの場合、SDLはデータ処理者であり、インフラストラクチャにおいて最高基準のセキュリティを確保します。SDLが管理するすべての製品は、ISO27001、ISO9001、ISO27018などに準拠したインフラストラクチャとサービスを維持するクラウドサービスプロバイダのサービスに導入されていますが、すべてのSDLサイトは、ISO 27002のベストプラクティス規範に従って管理されており、一部はISO 27001認定を取得しており、当社はISO 27001認定取得の拡大に積極的に取り組んでいます。 

当社は、顧客のセキュリティ要件を満たすために高度な柔軟性を実現します。詳細についてはお気軽にお問合せください。当社は、御社と合意するベースラインのセキュリティコントロール以外に、管理されたセキュリティサービスを通じて、オプションで高度なセキュリティ機能も提供します。

情報漏洩があった場合 

当社のクラウドベースのソフトウェアに関して、GDPRに定められた通知を必要とする情報漏洩の積極的な検出や通知を希望される場合、ISO 27035規格に従って設計された当社のセキュリティインシデント管理プロセスについて、当社にご相談ください。 

セキュアなソフトウェア開発 

当社の開発プロセスにおいては、決してセキュリティ面を後回しにすることはありません。当社は最初からセキュリティ関連のエンジニアおよび設計者を関与させており、適切で信頼できるセキュリティがソフトウェアに組み込まれるようにするために、固有のリスク評価、セキュリティコントロール開発、セキュリティ試験を含む(インフラストラクチャ層、アプリケーション層、データベース層をカバーする)計画に従っています。

クラウド環境に関する考慮事項

SDLのクラウドオペレーションチームは、当社の開発チームやアーキテクトと緊密に連携し、プライバシーバイデザインの原則を採用することにより、データプライバシーとデータセキュリティを念頭に置いたソリューションを展開しています。SDLがホストする(クラウドベースの)ソフトウェアとサービスの場合、SDLはデータ処理者であり、インフラストラクチャにおいて最高基準のセキュリティを確保します。SDLが管理するすべての製品は、SOC(1、2、3)およびISO(27001、9001、27018など)に準拠したインフラストラクチャとサービスを維持するクラウドサービスプロバイダのサービスに導入されていますが、すべてのSDLサイトは、ISO-27002のベストプラクティスに従って管理されており、一部は現在ISO-27001認定を取得しています。SDLはISO-27001認定取得の拡大に積極的に取り組んでいます。

クラウドにおけるデータのプライバシーおよびセキュリティに積極的な立場を築くため、SDLでは次のことをお勧めします。 

  • ISO認定の確立:コンテンツのライフサイクルにおけるプロセスの各段階の管理、データの保護、監査証跡の提供、セキュリティイベント発生時における対応プロセスの説明。 
  • 適切な構成の管理やデータのトレーサビリティの確立:監視する各サーバーについて、当該サーバーに関連する顧客/データを完全に把握する。 
  • 包括的なセキュリティポリシー、ツールセットおよびロードマップの整備:
        - 最小権限によるアクセス
        - 完全なIDおよびアクセス管理(IAM)ポリシー
        - 必要に応じ、多要素およびマルチレベルの認証
        - 強力なパスワードポリシー - すべてのアクセスログおよび使用されていないアカウントを定期的に監査する
        - データプライバシー責任者およびセキュリティ委員会がポリシーやツールを定期的に審査し、今後のロードマップを定義する 
  • 侵入検知/防止(可能な場合)の確立 
  • 送信中および保存中の暗号化(可能な場合)を確実に実施する 
  • クラウドの全スタッフに対して、データのプライバシーと保護に関する必須トレーニングの受講を義務づける。 
  • すべてのデータセンターとホスティングプロバイダが関連するすべての証明書を保持し、すべての必要なセキュリティ機能を確実に提供する 
  • データ保管ポリシーを理解して明確に表現し、バックアップの結果として保存されるデータの維持管理を行う。
        - 安全で完全な削除手順の実行 
  • アクティブなデータは、追跡、凍結、ダウンロード、修正、削除が可能であることを確認する。
ウェビナーとプレゼンテーション
インフォグラフィック
ブログ

SDLは、データプライバシーとGDPRを当社の事業の中核に組み込んでいます。

SDLは、デジタルエクスペリエンスを実現し、優れたカスタマージャーニーを提唱する企業として、データプライバシーとGDPRを当社の事業の中核に組み込み、以下の内容に取り組んでいます。

  • 個人データの公平かつ合法的な取り扱い
  • データの安全な保存
  • データ漏洩に関する報告
  • 必要な期間に限定した情報の保存
  • データにアクセスした者の記録の保存
  • 要求に基づくデータの提供