GDPRとコンテンツサプライチェーン

GDPRジャーニーおよびコンテンツの作成、翻訳、デジタルエクスペリエンス、配信への影響

欧州連合の一般データ保護規則(GDPR)

欧州を「デジタル時代に適合させる」ためのデータ保護改革に関する欧州委員会の計画を受けて、一般データ保護規則(GDPR)の枠組みが策定され、すでに法律が施行されています。

GDPRは、個人が自身の個人データをより詳細に管理できるようにするために制定された欧州連合(EU)の法律です。個人データとは、識別された人物もしくは識別可能な人物に関連するデータ、または別の言い方をすれば、それ自体もしくは他のデータとの組み合わせにおいて個人を識別することができるデータをいいます。

GDPRでは、EUおよび欧州経済地域(EEA)内外の組織による商品やサービスのマーケティングまたは販売を目的とした個人データの利用方法に関する一連の規則が定められており、情報の安全な保護、処理および保存について保証しています。  GDPRは、EU/EEA内に居住するすべての人々のデータプライバシー、およびEU/EEAの組織が世界中の人々の個人データを処理する際のデータプライバシーを強化および統一することを目的としています。 

GDPRのコンプライアンスに関する見通しは困難に見えますが、実際には、GDPRによって、顧客や見込み客との信頼関係を構築し、それをデータ戦略の最前線に位置付け、新たなデジタル時代において成功するための真のチャンスを得ることができます。

GDPR

GDPRの複雑さに関する理解

理解の時代においては、GDPRの4つの重要な概念、ならびに個人データおよびこのデータの処理が実際に意味する内容を理解することをお勧めします。

  • 個人データ - 識別された、または識別可能な自然人に関するあらゆる情報。
  • 処理 - 個人データまたは一連の個人データに対して行われるあらゆる操作または一連の操作。
  • データ管理者 - 個人データを処理する目的および手段を決定する自然人または法人。
  • データ処理者 - 管理者に代わって個人データを処理する自然人または法人。

GDPRの課題に対する取り組み

GDPRの課題に対して取り組み、遵守すべき適切な要素を確実に実施するために、GDPR第5条では、すべての個人データに関する6つの原則と、それにどう対応すべきかについて明確に説明されています。データ管理者は、これらの原則を遵守することについて責任を負うとともに、それを実証することができ、人々が自身のデータについて行う要求に対応する手段を備えていなければなりません。  しかし、データ管理者は、GDPRの規定に依拠して、そのような要求に対応する範囲を制限することができる場合があります。

  • データ主体に関して、合法かつ公正で、透明性のある方法で処理を行うこと。
  • 特定かつ明示的で正当な目的で収集し、その目的外の方法で追加処理を行わないこと。
  • 処理を行う目的に関して、適切かつ関連性があり、必要な範囲に限定するよう努めること(データの最小化)。
  • 正確性を確保し、必要に応じて最新の状態に保つこと。
  • 個人の詳細情報を処理する目的において、必要な期間を超えてデータ主体の識別を許可しないこと。
  • 個人データの適切なセキュリティを確保して処理を行うこと。

プライバシーバイデザインとプライバシーバイデフォルト

処理している個人データの内容を把握し、正しいプロセスを実施して顧客に対して透明性を確保することにより、GDPRとコンテンツサプライチェーンを通じたナビゲーションが成功します。コンテンツジャーニーに関して、RWSは、御社を適切な方向に導き、GDPRを遵守するための適切な措置を講じることを支援します。

GDPRでは、データ管理者が「データ保護バイデザインとデータ保護バイデフォルト」を実施することを法律上義務づけています。これは、あらゆるプロジェクトにおけるデータの収集からデータの破棄に至るデータ処理のライフサイクル全体を通して、個人データのプライバシー管理を基本的な考慮事項とすることを意味します。 

ソフトウェアを開発する際にプライバシーバイデザインを遵守するために、当社では安全なソフトウェア開発の原則に基づき、データを取得するプロセスとシステムに匿名性を組み込んで設計を行いました。当社が基準を達成した結果、現在では、当社のソフトウェアは諜報機関、銀行、政府機関など、世界で最もプライバシー意識の高い組織で、データのプライバシーを守るプロセスに不可欠な要素として使用されています。 

RWSソフトウェアを使用している場合、御社の組織は、RWSソフトウェア(オンプレミスまたはクラウド)を通じて処理されるあらゆる個人データのデータ管理者です。御社がSaaS(Software as a Service)サービスとしてRWSのソフトウェアを利用する場合、当社が個人データの保存または送信に関するデータ処理者となります。プライバシーバイデザインを達成するために、当社では適切なセキュリティを実現するための安全な環境においてSaaSの導入を行うように努めています。

RWSは御社によるGDPRコンテンツジャーニーのナビゲーションを約束します

RWSでは、御社が必要とする機能を提供することによって、GDPRの遵守を支援し、作成、翻訳、配信といったコンテンツサプライチェーンのプロセス全体で御社を導くことに取り組んでいます。  当社では、GDPRの遵守に役立つよう、RWSソフトウェアの機能を責任ある方法で活用するためのガイダンスを提供しています。

下のボックスをクリックし、当社のソフトウェアがどのように御社をサポートできるのかについて理解を深めてください。


これはRWS Groupの一部であるSDL Limitedのビデオです。

RWS - 翻訳支援ソフトウェアとサービス

まずは、当社のソフトウェアを利用する方々のプライバシーに関する問題について考えてみましょう。 

プライバシーバイデザインに基づき、当社の翻訳ソフトウェアは、ユーザーに関するデータの保有を最小限に抑え、保有されるデータをコントロールできるようにしています。例えば、他の場所で保有されている情報を参照することなく個人を特定できないユーザー名(基本的には仮名)を選択できるようにしています。 

翻訳対象の資料に含まれる個人データの取り扱い方法によって、問題が複雑化しています。 

個人データがある場合、プライバシーバイデザインを適用する最もわかりやすく信頼性の高い方法は以下のとおりです。

  1. ファイル作成中にコンテンツを仮名化する:すなわち、ソースコンテンツファイルを翻訳者、サービスプロバイダ、その他のユーザーに渡す前に、プロジェクトマネージャー(または同等の役割の者)にファイル内の個人データを仮名列に置き換えさせます。
  2. 仮名化を反転させたら、キーを削除する:仮名化を実施して翻訳済みのコンテンツが確定および承認されると、プロジェクトマネージャーは、必要に応じて最終的な成果物に個人データが含まれるようプロセスを反転させます。その後、プロジェクトマネージャーは、仮名化キーを安全に削除できます。

最後に、当社のソフトウェアまたは翻訳者にコンテンツを取り扱わせる人物であるデータ管理者は、そのコンテンツ内のデータとGDPRの遵守について責任を負うことを忘れないでください。   これは、管理対象となる当社のソフトウェアまたはデータ処理者の手段を超えていますが、当社はいくつかの簡単な方法で御社によるGDPRの遵守をサポートすることができます。 


コンテンツを仮名化する方法

仮名化の対象となる個人データをまったく見落とすことなく、100%の精度で自動的に特定する方法はありません。ただし、サポートを受けることは可能です。当社では、RWS AppStoreから無料で利用できるアプリを開発しました。このアプリを利用することによって、以下のことが行えます。 

  • 個人データの存在を示す可能性がある正規表現(regex)を使用したソースコンテンツに対する高度な検索を実行する。 
  • 特定の識別子をランダムなトークンに置き換える。 
  • その後、訳文ファイルにアプリを適用することによって、仮名化を反転させる。 

このアプリを利用するには、ファイルをエクスポートしてXLIFF形式に変換する必要があります(翻訳対象となるファイルを準備するのに使用するソフトウェアによって異なります)。RWSソフトウェアで処理される個人データを保護するためには、知的財産やその他の機密情報はもちろんのこと、何重ものセキュリティとセキュリティコントロールが必要です。 

御社の翻訳サプライチェーンがGDPRに準拠しているかどうかを評価するためには、RWSのアセスメントを受けてみてください。このアセスメントは、翻訳およびローカリゼーションプロセスにおけるGDPR準拠の取り組みを簡素化するために導入可能なテクノロジーと手順を特定し、組織を支援するために考案されました。


機械翻訳と個人データ

RWSのSaaS機械翻訳(MT)製品は、翻訳用に提出された顧客コンテンツを永続的に保存することはありません。コンテンツは、翻訳を行うために必要とされる期間のみ、こうしたサービスに存在します。 

御社の翻訳されたコンテンツを使用してトレーニングされた言語ペア対応のLanguage Weaverの機械翻訳機能を購入される場合、トレーニングコンテンツに個人情報が含まれていないことを確認してください。御社は、個人データが含まれないようにするために、トレーニング用データを仮名化しなければならない場合があります。

RWS Tridion DX(RWS Tridion SitesおよびRWS Tridion Docs)とプライバシーバイデザイン

RWS Tridion DXスイートの一部であるRWS Tridion SitesまたはRWS Tridion Docsを使用しているお客様は、GDPRのコンプライアンスを確認し、プライバシー、セキュリティ、暗号化のベストプラクティスを確保する必要があります。文書やコンテンツの面では、ウェブサイトに現行のプライバシーステートメントを掲載するとともに、個人情報を収集する際には訪問者にその旨を伝え、必要に応じて明確な許可を得る必要があります。また、御社の訪問者が以下のことをできるように顧客対応も考慮してください。


  • 明示的なオプトインまたは登録プロセスによって個人データの処理に同意する。
  • セルフサービスのPreference Centerを通じて設定を管理する。
  • 配信停止、取り消し、同意、またはその他データ処理に対する異議申し立てを行えるようにする。

免責事項を追加することで、訪問者に対するウェブサイト全体のトーンや要求を設定することができます。また、個人のプライバシーに影響を与える新しいテクノロジーを有効利用する新しいサイトを構築することを検討している場合や、個人データに関連する実際の活動を監視している場合には、適切なプライバシー対策の実施に役立つデータ保護影響評価を完了するようにしてください。さらに、セキュリティ、行動規範および認証に関する透明性を確保し、セキュリティバックアップと主要関係者に対するプライバシートレーニングによってリスクを最小限に抑えてください。

特にRWS Tridion Sitesでは、個人データの処理に関する限り、任意の機能を使用できます。しかし、訪問者のコンテキスト、エクスペリエンスの最適化、または合理化に関連する機能については、取り扱いにより注意を必要とします。これらには以下が含まれます。

  • Ambient Data Framework
  • Context Cartridge
  • Audience Manager
  • CRM Accelerators and Connectors
  • ユーザー生成コンテンツ
  • BluePrinting
  • Contextual Templating
  • コンテンツ配信API
  • エクスペリエンスの最適化

GDPRを遵守してこれらの機能を利用する方法に関する詳細については、当社のウェビナーを視聴するか、最寄りのTridionサポート担当者にお問い合わせください。   GDPRとRWS Tridion DXの詳細については、当社のコミュニティブログシリーズをこちらからご覧ください。

データ保護のセキュリティ

インフラストラクチャの確保 

RWSでは、データの機密性、完全性および安全性を確保するために適切なセキュリティを提供しています。当社では、御社のデータが安全であることを保証するために、特に厳格なセキュリティプロセスを実施しています。

RWSソフトウェアをオンプレミスで導入する場合、御社のインフラストラクチャについては御社が責任を負います。御社のIT部門は、RWSソフトウェアをホストするサーバーとコンピュータが(データ管理者によって評価される)リスクに対して適切に守られるようにする必要があります。 

RWSがホストする(クラウドベースの)ソフトウェアとサービスの場合、RWSはデータ処理者であり、インフラストラクチャにおいて最高基準のセキュリティを確保します。RWSが管理するすべての製品は、ISO27001、ISO9001、ISO27018などに準拠したインフラストラクチャとサービスを維持するクラウドサービスプロバイダのサービスに導入されていますが、すべてのRWSサイトは、ISO 27002のベストプラクティス規範に従って管理されており、一部はISO 27001認定を取得しており、当社はISO 27001認定取得の拡大に積極的に取り組んでいます。 

当社は、顧客のセキュリティ要件を満たすために高度な柔軟性を実現します。詳細についてはお気軽にお問い合わせください。当社は、御社と合意するベースラインのセキュリティコントロール以外に、管理されたセキュリティサービスを通じて、オプションで高度なセキュリティ機能も提供します。

情報漏洩があった場合 

当社のクラウドベースのソフトウェアに関して、GDPRに定められた通知を必要とする情報漏洩の積極的な検出や通知を希望される場合、ISO 27035規格に従って設計された当社のセキュリティインシデント管理プロセスについて、当社にご相談ください。 

セキュアなソフトウェア開発 

当社の開発プロセスにおいては、決してセキュリティ面を後回しにすることはありません。当社は最初からセキュリティ関連のエンジニアおよび設計者を関与させており、適切で信頼できるセキュリティがソフトウェアに組み込まれるようにするために、固有のリスク評価、セキュリティコントロール開発、セキュリティ試験を含む(インフラストラクチャ層、アプリケーション層、データベース層をカバーする)計画に従っています。

クラウド環境に関する考慮事項

RWSのクラウドオペレーションは、当社の開発チームやアーキテクトと緊密に連携し、データプライバシーとデータセキュリティを念頭に置いたソリューションを展開しています。当社ではプライバシーバイデザインに従って業務を行っています。RWSがホストする(クラウドベースの)ソフトウェアとサービスの場合、RWSはデータ処理者であり、インフラストラクチャにおいて最高基準のセキュリティを確保します。RWSが管理するすべての製品は、ISO27001、ISO9001、ISO27018などに準拠したインフラストラクチャとサービスを維持するクラウドサービスプロバイダのサービスに導入されていますが、すべてのRWSサイトは、ISO 27002のベストプラクティス規範に従って管理されており、一部はISO 27001認定を取得しており、当社はISO 27001認定取得の拡大に積極的に取り組んでいます。

しかし、クラウド環境において業務を行う場合には、プライバシーバイデザインを確保するために以下の役割を理解する必要があります。

  • ISO認定の確立:コンテンツのライフサイクルにおけるプロセスの各段階を管理する。
  • 構成管理の確立:当社が監視する各サーバーについて、当該サーバーに関連する顧客/データを完全に把握する。 
  • 包括的なセキュリティツールセット/ロードマップの整備: 
        - 最小権限によるアクセス
        - 認証ポリシー 
  • 侵入検知/防止(AWSのみ)を確実に実施する。
  • 送信中および保存中の暗号化を確実に実施する(一部の製品では利用不可)。
  • ISO認定の取得: 
        - データの保護
        - 監査証跡
        - セキュリティイベント発生時における対応プロセスの説明 
  • クラウドの全スタッフに対して、データのプライバシー/保護に関する必須トレーニングの受講を義務づけています。
  • 当社のデータセンター/プロバイダが関連するすべての証明書を保持し、すべての必要なセキュリティ機能を提供していることを保証します。
  • アプリケーションのバックアップデータは28日間(バックアップに)保持され、その後削除されます。
        - 削除に関する手順の実行 
  • アクティブなデータは削除可能です。
ウェビナーとプレゼンテーション
インフォグラフィック
ブログ
GDPR

RWSは、データプライバシーとGDPRを当社の事業の中核に組み込んでいます。

RWSは、デジタルエクスペリエンスを実現し、優れたカスタマージャーニーを提唱する企業として、データプライバシーとGDPRを当社の事業の中核に組み込み、以下の内容に取り組んでいます。

  • 個人データの公平かつ合法的な取り扱い
  • データの安全な保存
  • データ漏洩に関する報告
  • 必要な期間に限定した情報の保存
  • データにアクセスした者の記録の保存
  • 要求に基づくデータの提供