個人データを含むすべての業務は、一般データ保護規則(GDPR)の影響を受けます。 そのため、事業運営と義務の観点でGDPR の影響を理解することが組織にとって重要です。
GDPR(一般データ保護規則)は、個人データの使用をより適切に管理および保護する個人の権利を拡大することを目的としたEU規則です。 GDPRは2016年に採択され、2018年5月25日に施行されました。GDPRはすべての企業と組織に適用され、リスクベースの個人データ管理を通じて消費者の信頼を向上させる新しい機会をもたらします。この規制は、EUの領域内だけでなく、EU市民の個人データを使用して運営するEU外の個人データを処理する組織にも適用されます。
急速に変化するデジタル時代では、名前、電子メールアドレス、インターネットプロトコル(IP)アドレス、Cookie ID、または個人に関連する情報などの個人データを保護する必要があります。 GDPRの下では、市民は個人データをより細かく管理できるようにする多くの権利を持っています。 これらの権利を履行するためには、データの処理に関する明確で理解しやすい情報、および処理されるデータとその理由に関する情報をユーザーに提供する必要があります。
GDPRは、個人データの処理の対象となるデータの明示的な同意を強調しています。ただし、この規則にはいくつかの例外があります。 GDPRによると、管理者の「正当な利益」または「契約の履行」の目的で処理が必要な場合は、同意は必要ありません。これには、建物のセキュリティを確保するためのデータ処理も含まれる場合があります。 正当な利益の概念を適用する前に、法律の専門家から助言を受けることをお客様に推奨することに配慮してください。
GDPRに準拠するために、データ管理者として運営に携わるお客様は、利用者に対して利用者としての権利について通知する必要があります。当社のソフトウェアにより、クライアントはプライバシーポリシーと利用規約の資料を掲載/編集および公開することができます。 アプリケーションで有効になっている言語ごとに、資料の個別のバージョンを保持できます。 お客様は、Velisの営業担当者からの提案とともに利用規約の例を受け取ることもできます。 資料を公開する場合、すべてのユーザーは次回のログイン時にその内容に関しての受諾を求められます。
Singuソフトウェアを使用すると、個人データの処理に対する同意の正確な内容を(使用可能な各言語による)編集できます。次回のログイン時に、ユーザーは同意するか、アプリケーションの使用を停止する必要があります。 GDPR要件によると、同意が有効であるためには特定の要件を満たす必要があります。 当社のソフトウェアには、お客様のニーズとポリシーに合わせてさらに変更できる同意の例が含まれています。
当社のソフトウェアはクラウドベースのソリューションであるため、Velisはそれに保存されているすべての個人データの処理を行っています。データ管理者は、リスク分析を実行し、処理が特定の要件を満たしているかどうかを判断する必要があります。 Velis Real Estate Techを選択することにより、適切な技術的および組織的対策が実施されていることを確認できます。
2014年、Velisは、情報セキュリティ管理システムの国際的に認められた標準であるISO 27001:2013規格を実装しました。年次監査では、物理的セキュリティ、アクセス制御システム、アプリケーション、暗号化、バックアップ、ソフトウェア監視、脆弱性管理、システム開発と保守、ソフトウェア開発とサポートプロセスのセキュリティ、情報管理、セキュリティインシデント、法的および契約上の要件の順守など、14の分野で114のセキュリティ項目を遵守していることが示されています。 適用されたセキュリティは、ソフトウェアの構築とサービス、Webホスティングサービス、ネットワークの構築と保守、ハードウェアサプライ、その他のITサービスなど、会社の業務のさまざまな領域をカバーしています。
GDPRに必要な技術的対策は、適切なソフトウェア開発プロセス、内部セキュリティ監査、トレーニング、およびITセキュリティと侵入テストを専門とする外部企業による監査により保証されています。
GDPRによると、個人データの処理は、個人データの種類、処理の目的、データ管理者の権利などの要素の設定を含んだ処理実行者との契約によって規定に準拠しなくてはなりません。 Velisの利用規約には、GDPRへの準拠を確実にするためのこれらの規定がすでに含まれています。 GDPRが導入される前に導入/運用されている既存のお客様については、元契約に対する覚書を締結いただきます。
GDPRでは、処理されるデータの最小化のために個人データを必要なものだけに限定するよう規定しています。各データ管理者(SinguゲストブックおよびSinguスマートセキュリティデスク用)は、これら目標を達成するために、ユーザーからのどのデータが必要かを熟考する必要があります。 この要件が満たされていることを証明する必要があるのはデータ管理者であることを覚えておくことが重要です。
SinguゲストブックおよびSinguスマートセキュリティデスクを使用すると、施設に入る来訪者に関して収集する必要のあるデータをパーソナライズできます。テナント/ゲストの種類ごとに設定情報を個別に編集して、より高度なフローとより高いレベルのコンプライアンスを実現できます。
SinguゲストブックおよびSinguスマートセキュリティデスクを使用すると、登録プロセス中にセルフサービスステーションに表示される個人データの処理に対する同意の内容を編集できます。その結果、建物に入る来訪者には、自分の権利と、データの管理者が誰であるかが通知されます。 併せて来訪者はデータを処理する目的も認識できます。
お客様のニーズに合わせて同意プロセスをカスタマイズすることができます。
GDPR規制における目標を達成するには、個人データの管理者は必要なデータのみを収集、処理、および使用する必要があります。
SinguゲストブックおよびSinguスマートセキュリティデスクでは、事前登録プロセスの中において、来訪者を招待するホストもデータの処理に確認/同意することになります。
データが処理される人々の権利を確実に守るために、GDPRは仮名化手法を実装しデータ消去の権利を確保するよう求めています。 SinguゲストブックおよびSinguスマートセキュリティデスクを使用すると、ゲストの個人データが削除されるまでの日数を定義することにより、要求事項を満足するデータ保持ポリシーを実装できます。建物ごとに、さらには建物内のテナントごとに、個別のポリシーを設定できます。 このように、「追加の情報を用いなければ、個人データを特定のデータ主体に連結することができない」というGDPRの要求事項に準拠します。
システムは、特定のテナントへの来訪者の登録された出口/入口における入退館数に関する統計情報を継続して記録します。 一方、姓名、メールアドレスなどの個人を特定するデータは完全に削除されます。
SinguゲストブックおよびSinguスマートセキュリティデスクを実装する場合、Velisは、駐車場の入口に標識を設置して、個人データの管理者と追加情報の入手先を表示することを提案しています。さらに、GDPRの要件を満たすために、駐車規則を設けることは効果的です。規則には、データ処理の目的、データが処理される期間、および各個人の権利が何であるかを明確に提示しておきます。Velisは、お客様の要望に応じて何を含めるべきかといった記載内容の事例を提供することができます。
あなたがお客様側のデータ管理者として運用するのに対し、Velisはデータの処理者であることを理解しておいてください。 従って、GDPR要件に従って個人データ保護ポリシーを実装するのはお客様の責任です。 そのため、GDPR要件への準拠について、法務部門に対策と設定に関する助言を求めることを推奨します。