プライバシー チェックリスト
このページの翻訳はAIによって自動的に行われました。可能な限り正確な翻訳を心掛けていますが、原文と異なる表現や解釈が含まれる場合があります。正確で公式な情報については、必ず英語の原文をご参照ください。
このプライバシー ガイドは、データ プライバシー コンプライアンスをサポートするために開発者が Sitecore 製品の実装を設定する方法について技術的なガイダンスを提供します。このガイドは、網羅的なガイダンスを提供するものではなく、法律または規制の内容、解釈、または適用に関する法的アドバイスとして解釈または使用されるべきではありません。お客様は、ご自分のリスクを評価するのに常に最適な立場にあり、個人情報の処理方法を含め、お客様のビジネスへの法律や規制の適用性を把握するために独自の弁護士を探す必要があります。結果として得られる実装は、設定に関するお客様自身の選択に完全に基づいています。
このプライバシー チェックリストを出発点として使用して、Sitecore 実装が EU の GDPR やカリフォルニアの CCPA などのグローバル プライバシー規制に準拠しているかどうかを評価するのに役立ててください。
初期レビュー
プラットフォームのどの場所に、どのようにしてデータを保存するかを検討してください。
-
プラットフォーム全体の個人情報の流れと、各ロールで個人情報がどのように処理されるかを確認してください。
-
コンタクト、ユーザー、または顧客エンティティを補強するすべてのカスタマイズの監査を実行します。次に例を示します。
-
カスタム コンタクト ファセット。
-
カスタム メンバーシップ プロファイルのプロパティ。
-
フォームによってキャプチャされたデータ。
-
-
個人情報を保存および処理するための同意を要求する必要があるかどうか、また、同意の選択やその他のアクセス許可を (たとえば、コンタクト ファセットとして) 保存する必要があるかどうかを検討します。
-
プラットフォーム全体で個人情報の公開を制限します。たとえば、ログに個人情報を書き込まないように選択できます。
-
Sitecore 実装とサードパーティ アプリケーションの間のデータの同期を確認し、これがプライバシー ポリシーに含まれていることを確認します。
個人のデータ権利
実装で、適用法の下で個人に与えられたデータ権利が守られているかどうかを検討します。次に例を示します。
-
個人は、組織に連絡するか、またはセルフサービス ポータルを使用して、個人情報の削除を要求できます (削除の権利)。これには、ユーザー、コンタクト、顧客のデータのほか、個人情報を含む可能性のあるフォーム送信が含まれます。
-
個人は、組織に連絡するか、またはセルフサービス ポータルを使用して、データのコピーを要求できます。これには、ユーザー、コンタクト、顧客のデータのほか、個人情報を含む可能性のあるフォーム送信が含まれます。
-
個人は、組織に連絡するか、またはセルフサービス ポータルを使用して、個人情報を更新できます。ユーザー、コンタクト、および顧客のレコードが同期されていること、または個人が各レコードを自分で表示したり更新したりできることを確認します。
-
個人は、すべての Sitecore Web サイト、またはフェデレーション エクスペリエンス マネージャー ダッシュボードを使用する Web サイトに対して、アクティブなオプトインを実行できます。事前に選択されたチェック ボックスや、アクティブな選択を必要としないパッシブな通知は避けることをお勧めします。
-
個人は、組織が個人情報をどのように処理および保存するかに関する明確な情報を提供されます。開発の観点から、ビジネス ユーザーがプライバシー ポリシーとプライバシー警告を簡単に更新できるようにします。
-
サードパーティ アプリケーションと同期する前に、設定された同意またはアクセス許可を (たとえば、Data Exchange Framework を介して) 確認することをお勧めします。
-
プライバシー ポリシーは Sitecore Experience Database (xDB) だけでなく、プラットフォーム全体でデータをどのように保存および処理するかを示します。コンタクト、ユーザー、顧客のエンティティのほか、フォーム送信を検討します。
-
新しい形式の処理を有効にするか、プラットフォームに追加したときに、それらについてどのように個人に通知するかを検討します。
-
同意の選択をどのように (たとえば、コンタクト ファセットとして) 保存するかを決定します。
-
個人が (たとえば、組織に連絡するか、またはオンライン フォームを使用して) いつでも同意を取り消すことができるようにします。
-
処理は、同意を得ていないか、同意を取り消したか、または処理に反対した個人に対して無効にすることができます。または、処理を無効にできない場合は、忘れられることを個人が選択できます。
-
差別的と見なされる可能性のあるデータ プラクティスを禁止します。
セキュリティとアクセス
-
すべてのアプリケーション ロール、ストレージ ロール、およびインデックスをセキュリティ保護しました。セキュリティ手順のリストについては、「セキュリティ ガイド」を参照してください。
-
ユーザー インターフェイスへのアクセスが必要なユーザーに対して、アクセスを制限しました。
個人情報の販売
-
CCPA によって法制化された個人情報の販売に異議を唱える権利またはオプトアウトする権利に従って、個人が個人情報の販売をオプトアウトする機能を含めました。
要求の履歴の保存
-
要求の履歴にアクセス権を適用する方法と、これらの要求を Sitecore のコンタクト レポートに保存して、差別を防止するために個人に付与された CCPA の権利に対応する方法を検討します。
-
要求の履歴を確認して、データのセグメンテーションに関する決定がユーザーインター フェイスやカスタマー エクスペリエンスに悪影響を与えないことを確認します。