GDPRとHubSpot
ハブスポットではさまざまな取り組みを進めています。
GDPRが施行の期限を迎えました。お客様が法令対策を進めやすくなるよう、HubSpotには数多くの新機能が追加されています。このページで紹介する機能は、ハブスポットのすべてのお客様がすぐにご利用いただけるものばかりです。新機能の詳細な内容については、右のボタンからハブスポットのGDPRガイドを参照してください。
欧州連合(EU)で新たに施行された一般データ保護規則(GDPR)については、B2B企業もB2C企業も、大企業も小規模企業も例外なく、だれもがきっと耳にしたことがあるはずです。GDPRはEU市民の個人データの保護強化を目的とする新たな法律で、こうしたデータの透明かつセキュアな取り扱いを企業各社に厳格に義務付けています。GDPRはEUを拠点とする企業のみならず、EU市民のデータを管理または処理するすべての企業に適用されます。
ハブスポットでは、当社自身がGDPRの要件を満たすべく、全社を挙げて業務手順の見直しを実施しています。また、当社のパートナー様とお客様がGDPRによってどのような影響を受けるのか理解し、独自のコンプライアンスプロセスを構築していただけるよう後押しすることも、同様に重要な課題として取り組んでいます。
その中で大きな部分を占めるのが、GDPRの要件にHubSpotプラットフォームを対応させることです。
GDPR対策をスムーズに進められるよう、HubSpotの機能更新に全力を尽くしています。
このページでは、ハブスポットの製品ロードマップについて説明します。このページで紹介される機能はすべて、既にリリース済みです。詳細についてはハブスポットのGDPR対策ガイドを参照してください。
免責事項:本ウェブサイトに記載されているのは、EUのデータプライバシー規制に関する大々的な調査結果でも、企業がGDPRのようなEUのデータプライバシー法の要件を満たすための法律的なアドバイスでもありません。法律上のいくつかの重要な要件について、ハブスポットがどのような対策を行っているかを理解しやすいよう、お客様に背景情報を提供することを目的としています。ここで示す法的な情報は、弁護士がお客様の固有の状況を踏まえて適用法に沿って提供する法律上のアドバイスに匹敵するものではありません。そのため、本情報の解釈または正確性に関して助言が必要な場合には、必ず弁護士にご相談ください。一言で言えば、本ウェブサイトの情報を法律上のアドバイスとして信頼することはできません。また、特定の法律上の了解事項として推奨するものでもありません。本ウェブサイト内で紹介する製品、サービス、およびその他の機能はあらゆる状況に適しているわけではなく、場合によって利用が制限されることがあります。
製品ロードマップ
以下に、GDPR対策のために開発した機能の詳しいリストを掲載します。現在、このページで紹介する機能はいずれも完成しており、ハブスポットのすべてのお客様にすぐにお使いいただけます。
機能の説明に入る前に、まずはGDPRに関する専門的な法律用語について簡単に確認しましょう。
EU域内に住むAnaが、あなたの企業(Acme社とします)のコンタクトとして登録されています。AnaはGDPRにおける「データ主体」に当たり、Acme社はAnaのデータの「管理者」です。Acme社はハブスポットの製品を顧客として使用しているため、ハブスポットはAcme社に代わってAnaのデータを扱う「処理者」に相当します。GDPRが施行されることで、Anaのようなデータ主体の権利が強化される一方、管理者であるAcme社や処理者であるハブスポットに課される規制は厳格化されます。
|
用語の定義 |
HubSpotの追加機能 |
|
|---|---|---|
|
法律上の理由(「法的根拠」と呼ばれる)がなければ、Acme社はAnaのデータを使用することができません。この法的根拠にはいくつかのタイプがあり、企業の通知に対する同意(Anaにオプトインの内容を知らせ、Anaがオプトインする)がその1つです。他にも、契約の履行(AnaがAcme社の顧客であり、Acme社がAnaに請求書を送る場合など)や、GDPRで「正当な利害関係」と呼ばれるもの(AnaがAcme社の顧客であり、購入済みの製品に関連する製品の情報をAcme社がAnaに提供しようとする場合など)も法的根拠として認められます。
企業は各コンタクトについての法的根拠を追跡管理できる必要があります。 |
||
|
同意
|
法的根拠の1つとなるのが、適切な通知に基づく同意です。
GDPRの規定によれば、Anaの同意を得るためには複数の要件が満たされていなければなりません。 • オプトインする内容についてAnaに知らせる必要があります。これを「通知」と呼びます。 • Anaが自ら積極的にオプトインする必要があります(チェックボックスをあらかじめオンにしておくのは無効)。Anaがフォームを送信しただけでは、企業から配信されるすべてのコンテンツの受信に同意していることにはなりません。 • 同意の内容を詳しく定義しておく必要があります。つまり、Anaの個人データをどのように処理して使用するかについて、さまざまな方法(マーケティングEメールや営業電話など)を明示しておかなくてはなりません。Acme社はAnaが何に同意し、何を通知され、いつ同意したかを記録し、監査用の証拠として残す必要があります。 |
HubSpotには、GDPR要件を満たしながら、できるだけ簡単に同意の収集、追跡、管理を行えるような機能が追加されます。
ハブスポットのお客様が新規顧客を獲得する手段として主に活用しているのは、フォーム(リードフローを含む)、メッセージ(コミュニケーション機能)、ミーティングの3つのツールです。AnaとAcme社との関係は、こうしたチャネルのいずれかを通じて始まります。 これらの3つのツールでは、AnaがAcme社に(フォーム上のテキストボックスを使用して)情報を提供する前に、Anaに対して必要な通知を行い、Anaに同意の意思がある場合に適切な同意を収集できるようになります。 通知に詳細情報を追加できるため、追加の通知条項(プライバシー通知など)の参照が必要な場合には、参照用のハイパーリンクをフォームに挿入できます。 Anaが情報を送信した後、HubSpotではAnaに対して表示された通知のメッセージ、Anaの同意内容に関する情報、情報を送信した日時のタイムスタンプが保管されます。 インポート、API、手入力といった他の形式によるコンタクトの作成についても、同レベルの同意追跡機能を提供します。 こうした変更と並行して、HubSpotのサブスクリプション設定ページを更新し、GDPR対応のニーズをサポートします。現在はサブスクリプション設定ページでAnaがさまざまなコミュニケーションタイプのオプトアウト設定を行えるようになっています。今後はこのページを更新し、オプトイン設定をサポートする予定です。 リリース済み 詳細を見る |
|
Anaが随時(データ主体として)自身の同意した内容を確認し、同意を取り消す(または自身のデータの処理方法に対して異議を申し立てる)ことができるようにする必要があります。同意を示すのと同じくらい簡単に同意を取り消せなくてはなりません。
|
HubSpotでは、AnaはAcme社のサブスクリプション設定ページで同意を取り消すことができます。このページで同意の取り消しを実行すると、各タイプのコミュニケーションに対するAnaの積極的オプトインの情報に反映されます。Anaは企業のサブスクリプション設定ページで、簡単に同意の取り消しを行えます。もう1つの方法として、Anaから同意の取り消し依頼を受け取った場合には、先ほど説明した法的根拠に関するコンタクトプロパティーを変更することができます。
さらに、Sales Hub経由で送信される1対1のEメールのすべて(シーケンスツールで送信されるメッセージを含む)に、サブスクリプション解除のためのリンクを挿入できるようになります。 リリース済み 詳細を見る |
|
|
Cookieを使用してAnaの行動を追跡する旨を(Anaが理解できる言語で)Anaに通知し、Cookieによる追跡に対してAnaの同意を得る必要があります。
*** 今後eプライバシー規則が施行されれば、Cookieに関する規制に影響を及ぼすことが予想されます。それに伴い、改めて製品を調整する予定です。 |
||
|
AnaにはAcme社に対し、自身に関して同社が保有するすべての個人情報を削除するよう要求する権利があります。Anaから削除を要求された場合、GDPRの規定により、Acme社にはEメールの追跡履歴、コールレコード、フォームの送信内容を含む、Anaのコンタクトレコードをデータベースから永久に削除することが求められています。
多くの場合、企業は個人情報の削除要求に30日以内に対応する必要があります。この削除の権利は絶対的なものではなく、要求の内容に応じて異なるため、常に適用されるとは限りません。 |
||
|
Anaは自身のデータの削除を要求できるのと同様に、Acme社が保有する自身の個人データへのアクセスを求めることができます。個人データとは、Anaの氏名やEメールアドレスなど、個人を特定可能なすべてのデータを指します。Anaからアクセスを要求された場合、Acme社は(管理者として)対象のデータの写しを提供する必要があり、場合によっては機械で読み取り可能な形式(CSVやXLSなど)で提供します。
Anaはさらに、データの処理に関する適法性の参照と確認を求めることもできます(前述の説明をご覧ください)。 |
HubSpotを使用すると、機械で読み取り可能な形式で簡単にAnaのコンタクトレコードをエクスポートし、アクセスまたはポータビリティーの要求に応えることができます。タスク、メモ、コールといったエンゲージメントデータはコンタクトレコードのエクスポートでは書き出せませんが、CRMのエンゲージメントAPIを使用すればアクセスできます。
Anaのデータの処理に関する適法性は、先ほど言及した、対応付けられているコンタクトプロパティーを使用して確認できます。 リリース済み 詳細を見る |
|
|
Anaは、自身のデータの削除やアクセスを要求できるだけでなく、自身の個人情報が不正確または不完全だった場合に、Acme社に対して情報の変更を求めることができます。Anaから要求があった場合、Acme社はそうした変更依頼に応えられなくてはなりません。
|
HubSpotを使用していてAnaに個人情報の変更を求められた場合、Acme社(または同社のポータル管理者)はAnaのコンタクトレコード内で情報変更に対応できます。
現在提供中 |
|
|
セキュリティー対策
|
GDPRでは、保管中および転送中のデータの暗号化からアクセス制御、データの仮名化および匿名化まで、多数のデータ保護対策の実施が義務付けられています。
|
ハブスポットは、GDPR対応の一環として、セキュリティー統制策の全般的な向上に取り組んでいます。
ハブスポットのインフラストラクチャーチームは、暗号化に関する業界の標準的な手法を採用する以外に、認証、許可、監査に関してシステムを大幅に強化することで、お客様データのさらなる保護を目指しています。 こうしたセキュリティー対策の詳細については、実装後に改めてこのページでお知らせします。 開発中 |
GDPRをチャンスとして活かすには
さて、製品の詳細についてはかなり説明したので、マーケティングの観点からハブスポットがGDPRをどのように捉えているのかについて簡単に述べたいと思います。
新しいルールが初めて導入されるとき、多くの人が最初に抱く感情はおそらく「不安」でしょう。法令対策への不安、罰則への不安、煩雑な手続きへの不安などが挙げられます。
しかし、こう考えてみてください。CAN-SPAMやCASL、GDPRなど、最近のデータ保護法はいずれも、実にシンプルな理由のために策定されています。それは、「既存の顧客や、自身のデータを託してくれた人たちに、より良いエクスペリエンスを提供する」というものです。
その姿勢は、インバウンドマーケティングの考え方とまったく同じだと言えます。関連性や有益性、透明性に配慮すれば、法令要件は自然と満たされます。反対に、望まれない大量のメッセージで煩わせたり、強引にアプローチしたりすれば困った事態に陥るでしょう。
GDPRへの準拠には多大な努力を要するため、施行を迎えるまで、ストレスを感じることも少なくないと思われます。しかし、GDPRによって顧客が快適にサービスを利用できるようになれば、結果としてビジネスの成長にもつながるのです。
今後数か月にわたってGDPR対策に取り組むにあたり、企業には次のようなメリットがあることを知っておいてください。
• GDPRでは、企業から受信を希望するコンテンツをコンタクトが正確に指定できるように、具体的なルールが決められています。これはビジネスの観点でも非常に理にかなった規定です。連絡を希望していないコンタクトは除外し、自ら受信を選択したコンタクトに確実にEメールを送るようにしましょう。目に見えてサブスクリプション解除の数が低減し、Eメールの到達可能性が向上します。
• GDPRではデータの収集と処理に関し、これまで以上の透明性が求められます。これは法律用語で言うと「アクセス権」と「ポータビリティー」に当たり、コンタクトが企業に対し、自身のデータの写しを一般的な形式で提供するように要求できることを意味します。つまり、コンタクトには自身が同意した内容の確認を要求し、正確かつわかりやすい回答を速やかに受け取る権利があります。結論から言えば、それほど無茶なルールではありません。透明性を向上すれば、信頼性とわかりやすさ、シンプルさも高まります。
• GDPRでは、企業がコンタクトの「忘れられる権利」を尊重するように規定されています。コンタクトは企業に対し、データベースから自身の情報を削除するように要求できます。こうした要求に応えることは、要求元のコンタクトを満足させるだけでなく、自社の製品やサービスに関心のない相手に対してマーケティング活動や営業活動を行って時間を浪費するのを避けることにもつながります。その結果、より有望なプロスペクトや顧客のために、より多くの時間を割けるようになります。
• おそらく最も重要な点として、GDPRではデータの処理に法的根拠が求められます。具体的には、コンタクトのデータを使用するために、同意や正当な利害関係といった法律上の理由が必要となります。コンタクトリストを購入している企業にとっては厄介なルールです。と言うのも、購入したリストの使用はハブスポット利用規定でも認められていませんでしたが、GDPRによって改めて禁止されてしまったからです。短期的に見れば、この変更によって企業は苦労を強いられかねませんが、長期的にはプラスになります。考えてみてください。インターネットからかき集められた、自社の名前を聞いたこともないかもしれない相手のEメールアドレスと、既に自社の製品やサービスに興味を持ち、自社に対する関心の高いコンタクトのうち、製品を買ってもらえる可能性がより高いのはどちらでしょうか? 当社なら後者に勝負を賭けます。法的根拠を確実に収集することで、自社への関心の高いコンタクトを増やし、Eメールの到達可能性を向上させ、コンタクトの不満を減らせるようになるのです。
ハブスポットを含めた多くの企業にとって、GDPRへの対応はストレスが多く、負荷の高い仕事です。GDPRに目を通し、社内プロセスを策定するのは長い道のりではありますが、この法律の背景にある目的を忘れないようにしてください。肝心なのは、自社の顧客に対し、より高品質かつセキュアな、透明性に優れたエクスペリエンスを提供することにほかなりません。
お客様の成功は、自社の成功でもあるのです。
よくある質問
ハブスポットは4月末にお客様利用規約(TOS)とデータ処理契約(DPA)を更新しました。最新のドキュメントは法務情報のページからご覧いただけます。変更点の詳細についてはハブスポットコミュニティー(英語)を参照してください。
従来のEUの法令(1995年のEUデータ保護指令)がEU内の事業体を統制するものであるのに対して、GDPRでは対象地域がはるかに広がり、a)EUの居住者に製品を販売する、またはb)EUの居住者の行動をモニタリングする、EU以外の企業も対象となります。言い換えれば、EU外に拠点を構えていても、EU市民のデータの管理や処理を行う企業はGDPRの適用対象です。
いいえ。GDPRはデータをEU内で保管するようには義務付けておらず、EU外への個人データの移転ルールはこれまでとほぼ変わりません。GDPRでは、所定の条件を満たしている場合に、EU外への個人データの移転を認めています。EUから米国への個人データの移転に関しては、EU・米国間プライバシーシールドが、依然として適切な保護策を確保するうえで有効な手段とされます。EUモデル条項も、個人データの合法的な移転の仕組みとして引き続き利用可能です。ハブスポットはEUおよびEEAのお客様向けに、前述のモデル条項を組み込んだデータ処理契約を提供しています。また、プライバシーシールドの認定(英語)も取得済みです。
しかし、一言お伝えしておきたいのは、法的根拠にはいくつかのタイプが存在するということです。オプトイン情報が記録されていなくても、コンタクトレコードを処理するための法的根拠がないとは限りません。
• 契約の履行の必要性:AnaがAcme社から製品を購入した場合には、導入支援や請求などを目的としたEメールを送信できます。
• 正当な利害関係:同じくAnaが製品を購入した場合には、Acme社はAnaに対して関連する製品やサービスについてのEメールを送信できます。
• (通知に対する)同意:データの取得目的および使用目的のわかりやすい説明に基づいて、コンタクトの自由意思によって積極的に示されるオプトインへの同意を指します。
ヒント:コンタクトのオプトイン状況に関する追跡情報が消失している場合や、そもそもオプトインの意思を確認していない場合は、承諾パスキャンペーン(英語)を実施し、未確認のコンタクトをEメールの送信先から除外できます。
承諾パスキャンペーンとは、まだいずれかの形でオプトインの意向を示していないすべてのコンタクトに対し、企業からのEメールの受信を引き続き希望するかどうかについて確認を求める単発のEメールキャンペーンです。サブスクリプションのステータスを確認したコンタクトのみをリストに残し、確認の取れなかったコンタクトはHubSpotのマーケティングEメールの送信先から除外します。その結果、引き続き企業からのマーケティングEメールを受信したいと意思表示した、企業への関心が高いコンタクトのみのリストが完成します。
承諾パスキャンペーンの具体的な実施方法は、こちらのヘルプ記事(英語)でご確認いただけます。
はい。いずれかのコンタクト(データ主体)から自身のデータの削除依頼を受けた場合、すばやく簡単に要求に応えられます。HubSpotでは5月25日までに、GDPR要件に沿ったデータの削除を実行できるようになり、対象のコンタクトのあらゆる痕跡をシステム上から永久に取り除くことができます。
はい。いずれかのコンタクト(データ主体)から自身のデータの削除依頼を受けた場合、素早く簡単に要求に応えることが可能です。
ここで強調しておきたいのは、ハブスポットのサービスをご契約されている皆様は、既に自社のポータル内でダブルオプトイン機能を利用できるという点です。この機能を活用すれば、必要な同意を得ていることを証明しなくてはならない場合に備えて、さらなる安全策を講じることができます。
ハブスポットはこの数か月間、GDPRの基礎に関する多数のリソースを作成して提供しています。
• ウェビナー「5月25日へのカウントダウン:GDPRをチャンスとして活かすには」(英語):ハブスポットの法務チームとマーケティングチームのメンバーを交え、GDPRについて詳しく掘り下げます。
• GDPRの基本情報:ハブスポットがGDPRについて説明しているメインのページです。
• GDPR用語集:GDPR(一般データ保護規則)は法律の専門家が書いたもの。当然ながら、法律の専門用語がそこかしこに使われています。この用語集があれば、最重要用語をマスターできます。
• GDPR対策確認シート:ハブスポットのお客様やパートナー様向けに無料の確認シートを作成しました。GDPRへの対応状況を確認し、今後の対応について検討できます。
• GDPRに関する調査結果(英語):GDPRへの他社の準備状況や、GDPRによる変更について消費者がどのように思っているかを調査しました。
• ハブスポットアカデミーのGDPR講座(英語):GDPRの概要と、GDPRによって必要になる変更点を学習します。
• EMEA Partner Dayのコンテンツ:このページでも紹介した機能に関する1時間の概要説明と、ハブスポットの法務チームおよび製品チームによる1時間の情報セッションを実施しました。
ハブスポットでは今後数か月にわたり、製品の詳細についての追加リソースを発行していきます。ハブスポットの関連イベントで使用された、GDPRに関するコンテンツも公開する予定です。
また、GDPRの詳細情報を取り上げている外部のウェブサイトをいくつかご紹介しますので、こちらも参考にしてください。
• アイルランドの個人情報保護機関(Data Protection Commissioner)によるGDPRのウェブサイト(英語)
• ドイツの個人情報保護機関(Federal Commissioner for Data Protections)によるGDPRのガイダンス(ドイツ語)
• EU Data Protection Supervisor(EDPS)のウェブページ(英語)
• 各国の監督機関をまとめたウェブページ(英語)
• GDPRの全文(英語)
• GDPRの全文(ドイツ語)
• EUによるGDPRのウェブサイト(英語)