- GDPRは、EUユーザーから個人データを収集または処理するあらゆるチャットボットに適用され、透明性、ユーザーの権利、厳格なデータ保護措置が求められる。
- チャットボットがどのようなデータを収集するのか、その理由、保存や共有の方法、データにアクセスしたり削除したりするユーザーの権利について、前もってユーザーに明確に知らせる必要があります。
- データは、同意、契約の履行、または正当な利益などの法的根拠に基づいて、特定の宣言された目的のためにのみ処理することができます。
- ユーザーは、自分のデータへのアクセス、修正、削除といったGDPRの権利を、理想的にはチャットボットのフローを通じて直接行使できなければならない。
チャットボットを企業に導入しようと考えているなら、この記事を参考にしてほしい。
GDPR(一般データ保護規則)が顧客データを扱う企業に影を落とす中、企業の技術的側面への対応への危機感が高まっている。
お客様からよく寄せられる質問に、 Botpress のチャットボットを GDPR に準拠させるには どうすればよいかというものがあります。GDPRへの準拠は難しいかもしれませんが、私たちがお手伝いします。
GDPRが貴社に適用される場合、チャットボットの継続的なコンプライアンスを確保するためのヒントとコツをいくつかご紹介します。
GDPRクラッシュコース
GDPRとは何か?
GDPRは、データ保護とプライバシーを中心としたEU規制である。EUおよび欧州経済地域(EEA)域内の個人および企業に影響を与え、EUおよびEEA域外へのデータ移転も含まれる。
GDPRの目的は、個人データの管理を個人に委ね、EU全体で統一された規制を提供することです。これらの分野で事業を展開する場合、GDPRに準拠する必要があります。
GDPRを遵守しないことにはコストがかかります。最大2,000万ユーロまたは前会計年度の全世界売上高の4%(いずれか高い方)に達する多額の罰則が課される可能性があります。
目標は、ユーザーが約束したとおりにデータを正確に処理することを示せるようにすることです。これによって、chatbots に対する顧客の信頼が構築され、最終的に企業の収益性と成功が高まることは間違いない。
1.透明であること
チャットボットを通じて顧客データを収集している場合、そしてこのデータがGDPRの下で個人データとみなされている場合、チャットボットユーザーに対して透明性を確保する必要があります。誰が、何を、どこで、いつ、なぜ」データを収集するのかを説明する必要があります。
これは、どのような顧客データを収集し、それをどのように使用し、誰と共有するのかをユーザーに知らせることを意味します。これらの要素は、顧客データを収集する前に、常にユーザーに提示する必要があります。
回収前に利用者に知らせる
チャットボットで顧客データを管理する前に、明確でわかりやすい通知を提供する必要があります。
これは多くの場合ポップアップのように見え、ユーザーから収集するデータ、収集する理由、個人データ収集に対するユーザーの権利を説明します。
プライバシーに関する声明を公開する
また、オンライン・プライバシー・ポリシーまたはステートメントにデータ処理慣行の詳細を記載し、必要に応じて更新する必要があります。例として、Botpress' プライバシーステートメントを参照することができます。
プライバシー・ステートメントには、以下を含める必要があります:
- ユーザーから収集される情報
- 個人データを処理する理由(すなわちデータ収集の目的)
- 個人データの保存および転送方法
- 個人情報の保護と取り扱い
- ユーザーのプライバシー権
顧客データの使用と取り扱いに関する透明性は、信頼と好意の感覚を育みます。
2.真実であること
明示された目的のためにのみデータを処理すべきである。これには、貴社およびその従業員が、明示された目的のためにのみ顧客データを処理するよう警戒することも含まれます。
例えば、商業通信の送信、アルゴリズムの訓練、製品改良のためのデータ分析、技術サポート、顧客サービス、またはサービスのパーソナライゼーションのために顧客データを使用すると述べた場合、そのような目的のためにのみデータを使用することができ、それ以上のことはできません。
3.賢くなる
適切な法的正当性がある場合にのみ、データを処理する必要があります。
一歩下がって、顧客データを処理する法的根拠を社内で評価してください。この分析はGDPRで義務付けられています。
顧客データを管理できるのは、以下の条件の1つ以上を満たす場合のみです:
- チャットボット・ユーザーの明示的な同意に基づいている。
- ユーザーとの契約の一部であり、処理は不可欠である
- 法的義務を果たす
- それは、ユーザーの重要な利益を守るためである(生死を分ける状況と読め!)。
- 公共の利益の ために仕事をする
- それはあなたの公的権限の一部です
- 正当な利益を追求するため(そのような利益が利用者の利益または基本的権利および自由によって優越されない限り)。
顧客データを処理する最も一般的な理由は、同意、契約の履行 、正当な利益です。
4.顧客主導であること
ユーザーがデータ・プライバシーの権利を行使できるようにしなければなりません。
オンラインchatbots のGDPRチェックリストの1項目は、チャットボットユーザーがGDPRの下で与えられた様々なデータプライバシーの権利の1つ以上を行使できるようにすることに関するものです。
チャットボットのユーザーは、チャットボットが収集した顧客データにアクセスし、修正し、処理を制限し、それに異議を唱え、データの削除を要求し、またはポータブル形式で取得できなければならない。
理想的なのは、chatbots の会話フローを通じて、インタラクティブな質疑応答プロセスを通じて、ユーザーがこれらの権利を直接行使できることです。ありがたいことに、Botpress 。
5.人間であれ
自動化された決定には人間が関与していることを示すようにする。
Botpress 提供するチャットボットは、AI技術を使用しています。具体的には、 LLMsAIエージェントです。
一定の条件を満たさない限り、AIがユーザーについてだけ重要な決定を下すようなチャットボットの構成はできません。ユーザーについて下された決定は、法的効果を生じさせたり、ユーザーに大きな影響を与えたりすることはできません。
つまり、GDPRのコンプライアンスを確保するために、エージェント型AIを使用するチャットボットを展開するどの段階においても、人間の監視が必要です。これらの決定を形成する上で人間の関与が役割を果たしたことをユーザーに示すことができることが不可欠です。
6.ログを嫌う
チャットボットを通じてどのようなログを管理しているかを評価しましょう。エラーログはありますか?アクセスログはありますか?セキュリティ監査ログはありますか?
その場合、これらのログにIPアドレス、識別情報、フルネームなどの顧客データが含まれているかどうかを判断してください。答えが「はい」の場合、この顧客データを削除するプロセスを導入する必要があるかもしれません。GDPRは、適切な正当性がない限り、このようなデータを保管・保持することを禁じています。
保存が不当である場合は、ログを通じて取得した個人情報を削除する。
Botpress では、明示的に定義された期間が経過すると、ログを通じて取得した個人データを自動的に削除します。
7.安全であること
他のすべての要素に加えて、チャットボットを通じて処理される情報を保護するための技術的、組織的、物理的、管理的な対策を確実に実施する必要があります。
これは、確実にすることを意味する:
- 静止時および転送時の顧客データの暗号化
- 顧客データの匿名化または仮名化
- 従業員の顧客データへのアクセスを、知る必要性に基づいて適切に管理する。
- 適切なバックアップを取ること。
これらはすべて、託されたデータを保護するための適切な措置です。チャットボットの目的や収集するデータによって異なります。
その他の例として、Botpress' Data Processing AgreementのSchedule 2をご覧いただくと、私たちの助けを借りてチャットボットを構築する際に私たちが実施するセキュリティ対策のリストをご覧いただけます。
コンプライアンスに準拠したチャットボットの構築
チャットボットがGDPRに準拠していることを確認することは、法的または経済的な理由で重要なだけではありません。ユーザーとの信頼関係と透明性を確立することは、御社のパブリックイメージと個々の顧客との関係にとって不可欠です。疑問がある場合は、貴社の製品やサービスがGDPRチェックリストに従って いることを確認し、コンプライアンスを確保しましょう。
AIチャットボットが必要な規制に準拠していることを確認するお手伝いをさせていただきます。GDPR コンプライアンスの多くの機能がBotpress にそのまま組み込まれているため、ボット構築に集中することができます。
よくあるご質問
1.EU圏外の企業がチャットボットを利用する場合、GDPRへの対応は必須か?
はい、御社のチャットボットがEU内のユーザーとやりとりする場合、またはEU居住者のデータを処理する場合は、御社の所在地にかかわらず、GDPRへの準拠が必須です。
2.チャットボットのデータ保護影響評価(DPIA)を実施するにはどうすればよいですか?
チャットボットのデータ保護影響評価(DPIA)を実施するには、チャットボットがどのような個人データを処理するのか、それに伴うリスク、それを軽減するための対策を特定することから始めます。これは、プライバシーへの影響とその対処方法を考え抜いたことを示す構造化された方法です。
3.デバッグ中や分析中にチャットボットが機密データを記録しないようにするにはどうすればよいですか?
デバッグ中や分析中にチャットボットが機密データをログに残さないようにするには、会話内容のログを無効にし、保存するログを匿名化し、デバッグツールが個人データを除外または編集するようにしてください。ログの内容を常に確認し、厳格なアクセス制御を適用してください。
4.データ法の異なる地域向けにチャットボットをローカライズする必要がありますか?
そうです、地域ごとにチャットボットをローカライズする必要があります。GDPRは厳格ですが、カリフォルニアやブラジルのような他の地域には独自のルールがあるため、各地域に合わせてチャットボットのデータプラクティスを調整することで、グローバルにコンプライアンスを維持することができます。
5.LLMs 介したリアルタイムのユーザープロファイリングはGDPRに準拠すると考えられるか?
LLMs 介したリアルタイムのユーザープロファイリングがGDPRに準拠しているとみなされるかどうかについては、ケースバイケースです。プロファイリングは認められますが、それがユーザーに重大な影響を与えたり、人間の入力なしに自動化された決定を行う場合は、強力な正当化と明示的な同意が必要です。透明性と人間の監視が鍵となります。
.png)
