OneTrust 同意管理 : 同意レコードに通知情報を追加する

はじめに

OneTrustの同意管理機能では、同意を適切に取得および管理するための様々な機能が含まれています

今回のブログでは、同意取得時に同意レコードにプライバシー通知を含める機能を紹介したいと思います。

ちなみに、日本では、社外向けに公開している個人情報保護のポリシーは「プライバシーポリシー」という用語を使用することが多いように思いますが、IAPPのトレーニング(CIPM)では、Privacy Notice(プライバシー通知)は社外向け、Privacy Policy(プライバシーポリシー)は従業員向けという分け方になっており、OneTrustの機能名もそのようになっています。(OneTrustでは、通知またはプライバシー通知となっています。)

なぜプライバシー通知を記録するのか?

EU GDPRでは、EDPBよりオンラインの同意取得に関するガイドラインが出されており、データ主体に対して同意取得時にいつ、どういった情報提供を行ったかについて、オンラインでは同意の意思表示がなされたセッション情報、ワークフロー、その際にデータ主体(個人)提示された情報のコピーを保管するといった同意取得が適切であったことを証明するための証拠保全の内容が示されています。

108. For instance, the controller may keep a record of consent statements received, so he can show how consent was obtained, when consent was obtained and the information provided to the data subject at the time shall be demonstrable. The controller shall also be able to show that the data subject was informed and the controller´s workflow met all relevant criteria for a valid consent. The rationale behind this obligation in the GDPR is that controllers must be accountable with regard to obtaining valid consent from data subjects and the consent mechanisms they have put in place. For example, in an online context, a controller could retain information on the session in which consent was expressed, together with documentation of the consent workflow at the time of the session, and a copy of the information that was presented to the data subject at that time. It would not be sufficient to merely refer to a correct configuration of the respective website.

出典:Guidelines 05/2020 on consent under Regulation 2016/679 No.108

OneTrustの同意管理は、こうした要件にも対応できるようにデザインされています。

OneTrustの収集ポイント(同意取得を行うWebフォームなどのポイント)にプライバシーポリシー(OneTrustでは「通知」と呼ぶ)を追加することで、ユーザーがその収集ポイントで同意した際に、どういった「通知」をユーザーに表示し、同意を得たかの情報が同意レコードの一部として保管するように設定することが可能です。

同意レコードに通知情報を連動させる

同意を取得する際に、どういったプライバシー通知をユーザーに提供したかについて同意レコードに追加して管理することができます。これは企業や組織が、顧客など個人から同意が適切に取得されたことを証明する上で重要なエビデンスとなります。

連携方法の選択肢は、すでに存在しているプライバシーポリシーに対してリンク情報を設定するか、サイトへの埋め込みを選択する方法があります。Embeded(埋め込み)の場合、OneTrustの「ポリシーと通知管理」で作成したポリシー(または通知)から選択します。

特定の目的ごとに個別のプライバシー通知が用意されている場合は、「目的へのリンクを張る」で目的を選択して個別の通知とのリンクを設定することが可能です。

OneTrustの「ポリシーと通知管理」モジュールで作成したPrivacy Noticeであれば、そのバージョンなどについても自動的に同意レコードに反映され、どのバージョンのプライバシー通知が同時に提供され、同意が取得されたかまで記録することが可能です。

実際の同意レコードでは、以下のようにプライバシーポリシーのバージョンが表示されます。

さいごに

OneTrustの同意管理モジュールには、今回紹介した機能以外にも各地域、国のプライバシー法規制や提示されているガイドラインに対応するためのさまざまな仕組みが提供されています。

同意管理ソリューションに興味のある方や現在検討されている方は、ぜひ以下のリンクよりお問い合わせください。

この記事をシェアする

OneTrust は、プライバシー分野でNo.1のソリューションです。

その理由は、機能の網羅性にあります。

OneTrustのソリューションに興味がありましたら

お気軽にお問い合わせください