Genesys CloudとGDPRコンプライアンス

Genesys CloudがGDPRにどのように対応しているか、およびGenesys Cloud GDPRの実装について組織が知っておくべきことについては、この記事をお読みください。 GDPRの一般的な概要については、 GDPR 概要をご覧ください。

GDPR教育

一般データ保護規則(GDPR)は、データプライバシー規制の重要な変更点です。 Genesys Cloudは、セキュリティとコンプライアンスチーム向けのGDPRトレーニングに多大な時間を費やしました。 からのトレーニングと認定 国際プライバシー専門家協会(IAPP) 2017年初めに始まりました。 GDPRの詳細については、 GDPRコンプライアンス

GDPRプロジェクト

Genesys CloudはGDPRプロジェクトを次の目的で委託しました。

  • 更新されたデータインベントリを完了し、Genesys CloudがPIIを保存/処理/送信するすべての場所を決定する
  • カスタマーの要求を実行するためのカスタマーの要求を実装するために、カスタマーのためのGDPR APIを設計および実装します。 基本データ主体権
  • データ保護の影響評価を完了する

Genesys Cloud GDPRは準拠していますか?

Genesys Cloudの法律および技術の専門家は、GDPRを確認し、 国際プライバシー専門家協会(IAPP)。  Genesys Cloudのデータ処理者としての役割において、GenesysCloudは規制の要件を満たすための措置を講じています。

GDPRは第28条で、データ管理者は「適切な技術的および組織的措置を実施するために十分な保証を提供するプロセッサのみを使用すること」を要求しています。 Genesys Cloudは、これらの対策を実施しています。 対象分野の専門家がそれらについて話し合うことができます。  詳細については、dataprivacy@genesys.comにお問い合わせください。 

Genesys Cloud GDPRは認定されていますか?

Genesys CloudなどのクラウドサービスプロバイダーのGDPR認定はありません。 しかし、Genesys Cloudは、以下のような他のデータ保護規制について、当社の管理上、物理的、および技術的な管理について、 HIPAA などの複数の独立した審査を受けています。

データ処理者として、Genesys Cloudは適切な技術的および組織的対策を実施します。 詳しくは、 セキュリティとコンプライアンスについてをご覧ください。

Genesys CloudはGDPRコンプライアンスをどこでサポートしていますか?

Genesys Cloudは、Genesys Cloudが展開するAmazon Web Services(AWS)の全リージョンにおいて、GDPRのコンプライアンスをサポートしています。

GDPRコンプライアンスを有効にする必要がありますか?

GDPRコンプライアンスのためにGenesys Cloud内で有効化や設定を行う必要はありません。 GDPR APIはすべてのカスタマーにご利用いただけます。 ただし、GDPRはカスタマーとGenesys Cloudとの間のデータ処理契約(DPA)を要求する場合があります。 DPAは個人データ処理をカバーしています。

予測エンゲージメントに関するGDPRの要件は何ですか?

組織が 予測エンゲージメント ウェブサイト上の訪問者の活動に関するデータを収集するには、GDPRコンプライアンスの手順に従ってください。 詳細については、予測エンゲージメントとGDPRを参照してください。

DPAまたはデータ処理契約とは何ですか?

GDPRは、第28条において、「加工業者による処理は、連合または加盟国の法律に基づく契約またはその他の法的行為によって管理されるものとし、これは、管理者に関して加工業者を拘束し、主題と期間処理の内容、処理の性質と目的、個人データの種類とデータ主体のカテゴリ、そして管理者の義務と権利

GDPRの対象であると思われる場合は、Genesys Cloudがこれらの要件を満たすDPAについて話し合う準備が整っています。 Genesys Cloud DPAを受け取るには、 dataprivacy@genesys.comにご連絡ください。

GDPRデータ要求にどのように応答すればよいですか?

Genesys Cloudは、 GDPR API GDPRリクエストに対応する、Genesys Cloud カスタマー向けのセルフサービスソリューションとして推奨されています。 GDPR APIは、データ主体のGenesys Cloudにおける個人データへのアクセス、修正、または削除の要求への対応を可能にします。 

GDPR APIの制限事項

GDPR APIは、個々のデータ主体の要求に対応する必要のある顧客向けに設計されている。 GDPR APIは、一括データ削除のような一括リクエストに対応するようには設計されていません。 GDPR API には、API ドキュメント に記載されているレート制限が適用されます。 これらのレート制限により、プラットフォームの可用性を維持するために、バルク操作が制限される場合がある。

Genesys Cloud GDPRサービスの仕組みは? 

Genesys Cloud GDPR APIについて知っておくべきこと。

GDPRサービスエンドポイント

GDPRサービスは2つのエンドポイントを識別します。 科目 特定の検索語が一致すること、および実際にGDPRを開始するための2番目のエンドポイント リクエスト。 これは 被験者 エンドポイントは、名前の単一検索用語を受け入れます。, 住所, 電話番号, またはEメールアドレス, ソーシャルメディアハンドル, ユーザーIDから構成される0以上の一致する被験者のリストを返します。, 外部ContActid, コンタクトコンタクト の リクエスト エンドポイントは、第15条(アクセス)、第16条(修正)、および第17条(消去)の要求に応答するために、単一の検索語と要求タイプGet、Export、Update、またはDeleteを受け入れます。 要求エンドポイントは、名前の単一検索用語を受け入れます。, 住所, 電話番号, Eメールアドレス, ソーシャルメディアハンドル, ユーザID, 外部接触ID, 指定されたGDPRリクエストタイプを開始するためのダイアラーコンタクトIDです。 用語がIDの場合、サービスはまずそれを対応するリソース(ユーザー、外部連絡先、ダイヤラー連絡先)に解決し、GDPRリクエストに既知のフィールドを含めます。

主題のエンドポイントは主題と検索語の一致を識別します

主題 エンドポイントは、4つのタイプの単一の検索語を受け入れます。 名前、住所、電話番号、または電子メールで、検索語に一致するすべての件名のリストを返します。  サブジェクトは、userId、externalContactId、またはdialerContactIdの場合があります。 返されるリストには、0件の件名、単一の件名、または多数の件名を含めることができます。 

Genesys Cloudは、潜在的なGDPRリクエストごとに主題エンドポイントを使用して、後続の要求トエンドポイントが影響を与える個人を特定することをお勧めします。  Genesys Cloudのカスタマーは、検索用語に一致するサブジェクトを見つけることで、特定のGDPRリクエストの予期しない影響のリスクを軽減できます。 主題エンドポイントは、特定の検索語が複数の対象に一致する場合に結果を明確にするためにも使用できます。 具体的には、主題エンドポイントは特定の検索語に対してすべての一致するサブジェクトを返すので、APIユーザーは後続のGDPR要求に対してより正確な検索基準を見つけることができます。 

一部のGenesysCloud機能およびサービスによって保存されるデータの場合、件名とともにGDPRAPIを使用する必要があります。  GDPRAPIリクエストにサブジェクトを含める必要があるこれらのサービスは次のとおりです。

要求エンドポイントは単一の検索語と特定の要求タイプを受け入れます

リクエスト エンドポイントは、任意のタイプの単一の検索語(名前、住所、電話、電子メール、ユーザー ID、外部コンタクト ID、ダイヤラーコンタクト ID)と単一のリクエストタイプ(Get、Export、Update、または Delete)を受け付け、作成および起動された GDPR リクエストを返します。 エクスポートは第15条(アクセス)要求に対応し、更新は第16条(修正)要求に対応し、削除は第17条(消去)要求に対応します。 リクエストタイプが「削除」の場合、一部のサービスでは、個人データを削除せずに匿名化することがあります。 その要求の実際の処理は非同期的に行われます。  与えられた用語がユーザーIDまたは外部連絡先IDである場合、GDPRサービスはまずそのIDを対応するユーザー、外部連絡先、またはダイヤラー連絡先に解決し、提供されたIDに加えて、ユーザー、外部連絡先、またはダイヤラー連絡先のすべての既知のフィールドをリクエストに含めます。

カスタマーは要求エンドポイントを使用して実際のGDPR要求を作成します。 彼らが使用する検索語が意図したデータ主題だけに影響を与えることを確実にするために、彼らは最初に主題の終点を使うべきです。 複数の基準が知られている場合、それらは用語ごとに1つずつ、複数の要求を送信する必要があります。 個人が知っているすべての識別子について、カスタマーがリクエストを送信することを強くお勧めします。  たとえば、個人またはデータ主体がカスタマーにリクエストを送信する場合、カスタマーは個人の名前、電話番号、および電子メールアドレスを収集し、それぞれについてGenesysCloudにGDPRリクエストを送信する必要があります。

Genesys Cloud GDPR APIレート制限

GDPRは欧州連合のデータ主体に適用されますが、Genesys Cloud GDPR APIはすべてのGenesys Cloud地域のカスタマーにご利用いただけます。 ただし、GDPR APIには、ソリューションのパフォーマンスを維持するための厳密なレート制限があります。

シングルカスタマービュー を使用している場合はどうなりますか?  

組織で単一顧客ビューを使用している場合、2つ以上の外部連絡先が同一人物を代表しているときは、 をマージすることができます。 これは、GDPR APIにとって2つの意味を持つ。 

まず、 の被験者 のエンドポイントでは、同じ人物に対応する(言い換えれば、同じマージセットに属する)複数の外部コンタクトIDを表示することができます。 subject エンドポイントからの応答を調べる場合、呼び出し側は外部コンタクト API を使用して、外部コンタクト ID のどれが同じマージセットに属しているかを判断する必要があります。 これを行うには、各連絡先を取得し、どの連絡先が同じ canonicalContact を共有しているかを判断します。 

次に、 requests エンドポイントにリクエストを行う場合、マージセットごとに、そのマ ージセット内の正規のコンタクトIDに対して1つのリクエストのみを行う。 GDPR APIは、そのコンタクトのマージセット 、各外部コンタクトIDのリクエストを透過的に複製し、、関連するリクエストを応答本文の「relatedRequests」フィールドに返します。 

関連する要望は、独立した、本格的な要望です。 関連する各要求は、他の要求とは独立して成功または失敗し、各関連する要求の結果を個別に検査する必要があります。 関連するリクエストの1つが失敗した場合、すべての関連するリクエストが終了するまで待ってから、リクエストを再試行します。 これにより、機内リクエストのセットを分かりやすくしています。 関連するすべての要求が終了する前に再試行すると、重複チェックにより、マージセット内の他の連絡先に対する要求がまだ進行中であっても、システムが重複した要求を生成することを防ぐことができます。 

連絡先データモデル 、正規の連絡先 、マージセットの詳細については、Developer Center の連絡先マージ を参照してください。

検索は外部連絡先内のデータに基づいて伝播しますか?

いいえ。顧客は、件名として externalContactId を使用できます。一致する externalContactID を持つ連絡先には、勤務先の電話番号、携帯電話番号、ソーシャル メディア チャネル情報など、1 つ以上の追加の種類の個人データが含まれる場合があります。externalContactID 件名で GDPR API リクエストに応答する場合、Genesys Cloud は、それらのフィールドにある連絡先に関連付けられた個人データをプラットフォームで自動的に検索しません。このシナリオでは、Genesys Cloud は、一致する連絡先と連絡先に含まれる個人データを確認し、それらの件名を含む追加の GDPR API リクエストを送信することをお客様に推奨します。前述のように、Genesys Cloud では、すべての潜在的な GDPR リクエストに対してサブジェクト エンドポイントを使用して、後続のリクエスト エンドポイントがどの個人に影響を与えるかを識別することを推奨しています。検索用語に一致する主題を見つけることで、Genesys Cloud のお客様は、特定の GDPR 要求による予期しない影響のリスクを軽減できます。

GDPR APIは添付ファイルも検索しますか?

電子メールのインタラクションやメッセージのインタラクション(Facebook Messenger、WhatsApp、Twitterダイレクトメッセージ、Genesys Cloud Webメッセージング、オープンメッセージングなどのサードパーティのメッセージプラットフォーム)などのACDインタラクションは、添付ファイルの形式で個人データを受信する場合があります。 Genesys Cloudは、そのような添付ファイルのコンテンツで個人データを検索しません。 代わりに、GDPRリクエストは外部IDで機能し、その特定のIDがリクエストで使用されている場合は、会話と関連する添付ファイルを見つけます。 後で、関連する添付ファイルは、後続のデータ主体の要求に対するGDPRAPI応答に含まれるか削除されます。

たとえば、データ主体がFacebook Messengerを介して画像をアップロードすると、Genesys Cloudは外部IDを使用して会話と関連する添付ファイルを検索し、アップロードします。 その後、データ主体が第17条の消去要求を行って情報を削除すると、Genesys Cloud APIは、コンテンツに関係なく、そのデータ主体によってアップロードされたすべてのファイルを削除します。  この例では、GenesysCloudはGDPRAPIリクエストに応答し、画像の実際のコンテンツに関係なく、FacebookMessengerを介してデータ主体によってアップロードされた画像を削除します。 

添付ファイルの形式で個人データを含むすべてのACDインタラクションは、 連絡先プロファイル に保存 外部連絡先。 外部の連絡先に関係なく、 Web チャットやり取りに保存されている個人データを検索方法はありません。 個人データが格納されている場合Web チャットのカスタム変数を介して、それはGDPR APIを介して見つけることができない場合を除きWeb チャット接触プロファイルに関連付けられています。

GDPRデータサブジェクト要求応答の例を教えてください。

この例は、 Genesys Cloud GDPR API

リクエスト

データサブジェクトからデータを削除するための有効な要求を受け取りました。 データの件名には名前とEメールアドレスが記載されていました。  

Response

  1. データサブジェクトが提供した2つの別々の識別子(名前とEメールアドレス)を使用して、2つの別々のサブジェクトAPIを呼び出します。
  2. 結果を明確にし、一致する主題を見つけるための主題エンドポイント要求の結果を確認します。 データ主体によって提供された識別子と相関することができる主体のみが、一致する主体と見なされる。
  3. ステップ2で識別された一致するサブジェクトごとに個別の要求API呼び出しを行います。 2つのサブジェクトエンドポイント呼び出しが複数のオブジェクトを返した場合は、必ず一致するサブジェクトごとに1つずつ、複数の要求API呼び出しを行ってください。 そうでなければ、あなたの応答は不完全になります。
  4. "単一顧客ビューを使用している場合は?"で説明したように、GDPR APIで関連する要求が生成されたかどうかを確認します。

Genesys Cloud GDPR APIを使用できない場合は?

Genesys Cloudは、GDPRリクエストに応答するためのセルフサービスオプションとして、GDPR APIを使用することを推奨します。 GDPR APIの使用でエラーが発生した場合は、 マイサポートポータル. GDPR APIを使用できず、GDPRリクエストに対応する必要がある場合は、当社のプロフェッショナルサービスチームがサポートいたします。 カスタマーサクセスマネージャーに連絡して、この取り組みの作業明細書を作成してください。

GDPRデータ主体の要求にGenesys Cloudが対応するのにどのくらいの時間がかかりますか?

アクセスまたはポータビリティ要求に対するGenesys Cloudによるすべての個人データの読み出しの典型的な応答時間は1~2日です。 GDPRに基づく削除または「忘れる」リクエストについては、Genesys Cloudは、個人データの削除または要請による匿名化に14日を超える日数を要しません。

従業員が第17条の消去要求を提出した場合はどうなりますか? 

Genesys製品を使用するには、Genesysソリューションが適切に機能するために、従業員の個人データ(ユーザーの名前、勤務先の電話番号、勤務先の電子メール)を処理する必要があります。 従業員に関連付けられたこの個人データを保存せずに、 GenesysCloudはその機能の実行を停止する可能性があります。 したがって、現在の従業員にとって、個人データの処理は、カスタマーが追求する正当な利益のために必要です。 さらに、カスタマーは、他の規制要件を満たすために、従業員のインタラクションの記録を保持する必要がある場合があります。 この処理の合法性とGenesys製品の設計に基づいて、Genesysは継続中のユーザーに関連する個人データを消去することを推奨していません。

カスタマーは個人データを削除するか匿名にするかを指定できますか?

いいえ。 いいえ。一部のGenesys Cloudサービスは、要請に応じて個人データを削除します。 他のサービスは、要求に応じて個人データを匿名にします。

GDPRに準拠した形でGenesys Cloudを使用する責任はありますか?

はい。 個人データを保存する特定のサービスを誤って構成することができます。 これにより、Genesys Cloudがそのデータを検索、アクセス、または削除できなくなります。

  • Genesysクラウドプラットフォーム  カスタム属性キーに個人データを保存しないでください。 このフィールドは、GDPR API機能によって検索、更新、または削除されることはありません。
  • Architect : フロー名、フローの説明、状態名、タスク名、アクション名、またはプロンプトテキスト読み上げの値に個人データを保存しないでください。
  • ディレクトリ: 個人データを個人ステータス保存しないでください。
  • Webメッセージングのインタラクション: 個人データを含むすべてのウェブメッセージングのやり取りは、 連絡先プロフィール 保存 外部連絡先. 外部の連絡先とは関係なく、ウェブメッセージングのやり取りで保存された個人データを検索する方法はありません。 個人データがカスタム変数を介してWebメッセージングインタラクションに格納されている場合、Webメッセージングインタラクションが連絡先プロファイルに関連付けられている場合を除き、GDPR APIを介して検索することはできません。
  • Webチャットのインタラクション: 個人データを含むすべてのWeb チャット インタラクションは、 連絡先プロファイル ( 外部連絡先に保存). 外部の連絡先に関係なく、 Web チャットやり取りに保存されている個人データを検索方法はありません。 個人データがカスタム変数を介してウェブチャットに保存される場合、ウェブチャットのやり取りが連絡先のプロファイルに関連付けられている場合を除き、GDPR APIを介して検索することはできません。

GenesysでのGDPRの役割

GDPRに関連する役割を持つGenesysの従業員:

  • 最高プライバシー責任者 - William Dummett
  • 欧州データプライバシー責任者 - Shahzad Muhammad Naveed Ahmad 
  • GenesysクラウドSCIM PureCloudセキュリティ&コンプライアンス担当シニアディレクター - Eric Cohen CISSP、CIPM、CIPP / E