GDPR(一般データ保護規則)が顧客データを扱う企業に影を落とす中、企業の技術的側面への対応への危機感が高まっている。
お客様からよく寄せられる質問に、 Botpress のチャットボットを GDPR に準拠させるには どうすればよいかというものがあります。GDPRへの準拠は難しいかもしれませんが、私たちがお手伝いします。
GDPRが貴社に適用される場合、チャットボットの継続的なコンプライアンスを確保するためのヒントとコツをいくつかご紹介します。
GDPRクラッシュコース
GDPRとは何か?
GDPRは、データ保護とプライバシーを中心としたEU規制である。EUおよび欧州経済地域(EEA)域内の個人および企業に影響を与え、EUおよびEEA域外へのデータ移転も含まれる。
GDPRの目的は、個人データの管理を個人に委ね、EU全体で統一された規制を提供することです。これらの分野で事業を展開する場合、GDPRに準拠する必要があります。
GDPRを遵守しないことにはコストがかかります。最大2,000万ユーロまたは前会計年度の全世界売上高の4%(いずれか高い方)に達する多額の罰則が課される可能性があります。
目標は、ユーザーが約束したとおりにデータを正確に処理することを示せるようにすることです。これによって、chatbots に対する顧客の信頼が構築され、最終的に企業の収益性と成功が高まることは間違いない。
個人データとは何か?
GDPRの下では、個人データは「特定または識別可能な生存する個人に関連するあらゆる情報」と定義されています。これには以下が含まれます:
- 電話番号
- クレジットカード番号
- 人員数
- 口座データ
- ナンバープレート
- 外観
- 顧客番号
- 住所
しかし、GDPRの定義は広範であり、情報が個人データとしてカウントされるべきかどうか不明な場合は、個人データとして扱われるべきと考えた方がよいでしょう。
透明であること
チャットボットを通じて顧客データを収集している場合、そしてこのデータがGDPRの下で個人データとみなされている場合、チャットボットユーザーに対して透明性を確保する必要があります。誰が、何を、どこで、いつ、なぜ」データを収集するのかを説明する必要があります。
これは、どのような顧客データを収集し、それをどのように使用し、誰と共有するのかをユーザーに知らせることを意味します。これらの要素は、顧客データを収集する前に、常にユーザーに提示する必要があります。
回収前に利用者に知らせる
チャットボットで顧客データを管理する前に、明確でわかりやすい通知を提供する必要があります。
これは多くの場合ポップアップのように見え、ユーザーから収集するデータ、収集する理由、個人データ収集に対するユーザーの権利を説明します。
プライバシーに関する声明を公開する
また、オンライン・プライバシー・ポリシーまたはステートメントにデータ処理慣行の詳細を記載し、必要に応じて更新する必要があります。例として、Botpress' プライバシーステートメントを参照することができます。
プライバシー・ステートメントには、以下を含める必要があります:
- ユーザーから収集される情報
- 個人データを処理する理由(すなわちデータ収集の目的)
- 個人データの保存および転送方法
- 個人情報の保護と取り扱い
- ユーザーのプライバシー権
顧客データの使用と取り扱いに関する透明性は、信頼と好意の感覚を育みます。
真実であれ
明示された目的のためにのみデータを処理すべきである。これには、貴社およびその従業員が、明示された目的のためにのみ顧客データを処理するよう警戒することも含まれます。
例えば、商業通信の送信、アルゴリズムの訓練、製品改良のためのデータ分析、技術サポート、顧客サービス、またはサービスのパーソナライゼーションのために顧客データを使用すると述べた場合、そのような目的のためにのみデータを使用することができ、それ以上のことはできません。
賢くなる
適切な法的正当性がある場合にのみ、データを処理する必要があります。
一歩下がって、顧客データを処理する法的根拠を社内で評価してください。この分析はGDPRで義務付けられています。
顧客データを管理できるのは、以下の条件の1つ以上を満たす場合のみです:
- チャットボット・ユーザーの明示的な同意に基づいている。
- ユーザーとの契約の一部であり、処理は不可欠である
- 法的義務を果たす
- それは、ユーザーの重要な利益を守るためである(生死を分ける状況と読め!)。
- 公共の利益の ために仕事をする
- それはあなたの公的権限の一部です
- 正当な利益を追求するため(そのような利益が利用者の利益または基本的権利および自由によって優越されない限り)。
顧客データを処理する最も一般的な理由は、同意、契約の履行 、正当な利益です。
顧客主導であること
ユーザーがデータ・プライバシーの権利を行使できるようにしなければなりません。
オンラインchatbots のGDPRチェックリストの1項目は、チャットボットユーザーがGDPRの下で与えられた様々なデータプライバシーの権利の1つ以上を行使できるようにすることに関するものです。
チャットボットのユーザーは、チャットボットが収集した顧客データにアクセスし、修正し、処理を制限し、それに異議を唱え、データの削除を要求し、またはポータブル形式で取得できなければならない。
理想的なのは、chatbots の会話フローを通じて、インタラクティブな質疑応答プロセスを通じて、ユーザーがこれらの権利を直接行使できることです。ありがたいことに、Botpress 。
人間であれ
自動化された決定には人間が関与していることを示すようにする。
Chatbots powered byBotpress は、AIを燃料とするテクノロジーを使用しています。特定の条件が満たされない限り、AIが単独でユーザーについて重要な決定を下すような方法でチャットボットを構成することはできません:ユーザーについて行われた決定は、法的効果を生じさせたり、ユーザーに大きな影響を与えたりすることはできません。
つまり、GDPRのコンプライアンスを確保するためには、AIを搭載したチャットボットを展開するどの段階においても人間の監視が必要です。これらの決定を形成する上で人間の関与が役割を果たしたことをユーザーに示すことができることが不可欠です。
丸太を嫌う
チャットボットを通じてどのようなログを管理しているかを評価しましょう。エラーログはありますか?アクセスログはありますか?セキュリティ監査ログはありますか?
その場合、これらのログにIPアドレス、識別情報、フルネームなどの顧客データが含まれているかどうかを判断してください。答えが「はい」の場合、この顧客データを削除するプロセスを導入する必要があるかもしれません。GDPRは、適切な正当性がない限り、このようなデータを保管・保持することを禁じています。
保存が不当である場合は、ログを通じて取得した個人情報を削除する。
Botpress では、明示的に定義された期間が経過すると、ログを通じて取得した個人データを自動的に削除します。
安全であること
他のすべての要素に加えて、チャットボットを通じて処理される情報を保護するための技術的、組織的、物理的、管理的な対策を確実に実施する必要があります。
これは、確実にすることを意味する:
- 静止時および転送時の顧客データの暗号化
- 顧客データの匿名化または仮名化
- 従業員の顧客データへのアクセスを、知る必要性に基づいて適切に管理する。
- 適切なバックアップを取ること。
これらはすべて、託されたデータを保護するための適切な措置です。チャットボットの目的や収集するデータによって異なります。
その他の例として、Botpress' Data Processing AgreementのSchedule 2をご覧いただくと、私たちの助けを借りてチャットボットを構築する際に私たちが実施するセキュリティ対策のリストをご覧いただけます。
適合建築物chatbots
チャットボットがGDPRに準拠していることを確認することは、法的または経済的な理由で重要なだけではありません。ユーザーとの信頼関係と透明性を確立することは、御社のパブリックイメージと個々の顧客との関係にとって不可欠です。疑問がある場合は、貴社の製品やサービスがGDPRチェックリストに従って いることを確認し、コンプライアンスを確保しましょう。
AIチャットボットが必要な規制に準拠していることを確認するお手伝いをさせていただきます。GDPR コンプライアンスの多くの機能がBotpress にそのまま組み込まれているため、ボット構築に集中することができます。
ご質問は、[email protected]まで。
.svg)
