2018年5月25日より、欧州連合（EU）において EU 一般データ保護規則（GDPR）の施行が開始されました。

この新たな法律は、EU居住者の個人データを取り扱う、あるいはEU圏内でビジネスを行うすべての人々に多大な影響を与えています。営業活動の中核には個人データが存在するため、Pipedriveおよび弊社ユーザーの皆様も、法令を遵守するための対応を進めてまいりました。

この記事では、CRMプラットフォームとしてPipedriveを選択された際のデータに関する役割と、責任の概要、およびGDPRの価値観と要件を満たすための弊社の取り組みについて解説します。

お客様が連絡先としてPipedriveに保存する人物は データ主体であり、お客様はその人物データの データ管理者（コントローラー） と見なされます。 弊社の利用規約およびプライバシー通知では、このデータを クライアントデータ（お客様がPipedrive内で処理するデータ）と呼んでいます。

Pipedriveアプリを使用して顧客管理を行うことは、お客様に代わって特定の処理活動を行う データ処理者（プロセッサー） としてPipedriveを起用することを意味します。

GDPR第28条に基づき、管理者と処理者の関係は書面で定める必要があります（同条第9項により電子形式も可）

ここで重要になるのが、弊社のデータ処理補足合意書（DPA）、利用規約およびプライバシー通知です。 これら3つの文書は データ処理契約 として機能し、お客様が管理する個人データの処理に関してPipedriveに与える指示を定め、両当事者の権利と責任を確立するものです。データ処理者であるPipedriveはデータ管理者であるお客様の指示に基づいてのみ、クライアントデータを処理します。

最後に、どのPipedrive法人がお客様の契約相手であるかを確認するため、弊社の利用規約第14.1条を必ずご確認ください。

すべてのEUのお客様は、エストニアに拠点を置く弊社のEU法人と契約関係にあります。

欧州経済領域（EEA）外へのデータ転送について、GDPRは、保護の及ぶ範囲外へのデータ転送に対して厳格な要件を設けています。これは法の目的を果たすための当然の措置です。

弊社のEUのお客様は弊社のEU法人と法的関係があるため、このデータ転送はEEA圏内に留まります。ただしPipedriveがその後、EEA外の 再処理者（サブプロセッサー） を起用する場合は、当社がデータを適法に転送する責任を負います。

データ転送に関する透明性を確保するため、弊社はサブプロセッサーの一覧ページにて、最新のリストを公開しています。このリストには、どのようなデータが関与しているか、またEEAを離れた後もデータが適切に保護されるよう弊社がどのような措置を講じているか、記載されています。

具体的には第三者サービスプロバイダーが、EU-米国データプライバシーフレームワークの認証を受けているか、もしくは弊社と EU標準契約条項（SCC） を締結していることを確認しています。 ただし、弊社はデータ転送メカニズムとしてDPFのみに依拠しているわけではない点にご注意ください。

弊社では地域間または国間でデータを転送する際、適用されるデータプライバシー関連法を遵守し、暗号化や契約合意（DPAや必要に応じたSCC）などの適切な保護措置を講じることで、クライアントのプライバシーを保護します。

Pipedriveは弊社Webアプリ、モバイルアプリ、およびWebサイトのユーザーである お客様 について収集する個人データの データ管理者 としても機能します。

第一に、弊社はお客様との契約を履行するために必要なデータを処理します（GDPR第6条(1)(b)）

第二に、法的な義務を果たすためにデータを処理します（GDPR第6条(1)(c)） これには主に、財務データやGDPRに基づく説明責任を果たすために必要な情報が含まれます。

第三に、GDPR第6条(1)(f)に基づき、弊社の正当な利益のために個人データを処理します。

ここで言う 正当な利益 とは、以下のようなものを指します。

これらの情報が、EUのデータ保護要件をより効果的に理解する助けとなれば幸いです。

ヨーロッパにルーツを持つ企業として、PipedriveはGDPRがビジネスに与える影響を深く理解しています。 弊社はPipedriveユーザーとその顧客の皆様のプライバシー要件を尊重し、GDPRに沿って個人データを保護するための技術的・組織的措置を導入しており、今後も継続的な改善を行ってまいります。

GDPR遵守において重要なことは、手順が適切に整備され、データの処理のプロセスが可視化され、確実に監査可能であることです。 そのため、弊社ではアプリケーションの開発サイクルに、設計段階からプライバシー保護を組み込む プライバシー・バイ・デザイン と 設計段階からセキュリティ対策を組み込むセキュリティ・バイ・デザイン の原則に基づいた機能構築を組み込んでいます。 弊社がお客様に代わって処理するクライアントデータへのアクセスは、厳格に制限されています。弊社の内部手順とログにより、この点に関するGDPRの説明責任要件を確実に満たしていることを保証します。

また、第三者サービスプロバイダーの採用やツールの導入にあたっては、プライバシーとセキュリティに関するPipedriveおよびお客様の高い期待に応えられるよう、ツール導入に厳格な選定プロセスを確立しています。

個人データの所有権がデータ主体（本人）にあるという考え方は、GDPRの核心です。そのため、弊社ではデータの削除、修正、または転送を求めるデータ主体からのリクエストにいつでも対応できる体制を整えています。

これは弊社カスタマーサポート担当者や技術スタッフが、日常のカスタマーサポートを提供するだけでなく、個人データに関するあらゆる事項について、的確にお客様を支援できるよう十分に体制を整えていることを意味します。

弊社の利用規約およびプライバシー通知は、透明性を高め、GDPRの要件を確実に遵守するために定期的に更新されています。

これらの文書はお客様との関係の基盤となるものであるため、弊社の取り組みとお客様の権利について、包括的かつ透明性の高い説明を提供しなければならないと考えています。

さらに、GDPRの説明責任要件を遵守するため、すべてのデータ処理活動の継続的な可視化を行っています。

上記のすべての取り組みは、社内で行われる広範なトレーニングによって支えられており、導入されたGDPR準拠のプロセスが確実に遵守されるよう徹底されています。

弊社の従業員は、ベストプラクティス、現在の脅威、および個人データの保護方法に関する知識を習得するため、プライバシーとセキュリティに関する定期的なトレーニングや意識向上プログラムを受けています。 例えば、データプライバシーとセキュリティのセッションは新入社員研修に不可欠な要素であり、各部門は個人データを取り扱う業務内容に合わせたトレーニングを受けています。

Pipedriveは、GDPRの要件を満たすことは、単にチェックリストの項目を埋める作業ではないと強く確信しています。 私たちにとってGDPRとは、個人のプライバシーを尊重し、個人データの取り扱いに責任を持つことへのコミットメントを意味します。