事業主の方は、日々の事業を続けるなかで、複雑な要素がいくつも絡んでいることをよくご存じでしょう。慌ただしい日々の中では、プライバシーポリシーの策定のような重要なタスクを見落としがちです。そもそもどこから初めてよいのか、どのような要素を盛り込むのかもわかりにくいものです。
今年の初め、EUのGDPR(一般データ保護規則)が施行されました。この規則では、EU市民のために企業が消費者データをどのように扱うかが詳細に規定されています。インターネットは世界につながっているため、多くの企業は、EU市民が自社サイトにアクセスする可能性があることを念頭に、プライバシーポリシーの更新を行わなければなりませんでした。
あなたの会社はGDPRの影響を受けないと思っていても(Forbesではおそらく影響を受けるであろうと書かれていますが)、御社のビジネスを保護し、個人情報の扱いにおいて信頼できる会社であることを顧客に示すためにも、プライバシーポリシーは更新すべきです。
以下に、企業のプライバシーポリシーに含めるべき5つの重要な要素と、より強力に顧客のプライバシーを保護するためのヒントを示します。これらの要素を含めれば、顧客に安心感を与えるような条項を策定することができるでしょう。それにより顧客のサイト滞在時間が伸び、家族や友人にも安心して紹介してもらえるようになるでしょう。
収集するデータのタイプ
もし御社が個人情報を収集しているならば、州法あるいは連邦のガイダンスによって、収集する個人情報の項目明細を記載することを要求される可能性があります。以下を含む収集するすべてのデータの種類を顧客に通知します。
-
氏名
-
Eメールアドレス
-
生年月日
-
住所
-
電話番号
-
クレジットカード情報
多くの企業はさまざまな事情で顧客から情報を収集します。個人情報保護法は、必要な個人情報のみを収集し、それが必要な理由を明記することを義務付けています。たとえば、通信販売では、顧客の氏名、住所、またおそらくは電話番号が必要です。
電話で収集した情報についても忘れないようにしてください。カスタマーサービスやセールスは、電話を使用して顧客の個人情報を収集することがよくあります。電話でデータを収集する理由についても詳しく記述してください。
ポリシーの枠を超えて:他にもデータを収集しているデバイスがある場合は、それについてできるだけ率直に記載するようにします。たとえば、ディズニーはマジックバンドという腕輪でユーザーデータを収集しています。同社のWebサイトには、同社のシステムでどのようなデータを何の目的で収集しているかに関するユーザーからの質問に答えるためのページが設けられています。
データの用途(Cookieを含む)
収集したデータをどのように使用しているかを明記し、顧客が何のために御社にデータを提供しているのかを理解できるようにします。Webサイトへのログインからオンラインカスタマーサービスへのアクセスまでのあらゆるプロセスに個人データの収集が必要となります。
サードパーティパートナーとのデータ共有についても明記する必要があります。御社が他の会社にデータを提供する場合は、必ずパートナーシップおよびプラットフォームの高い安全性を確保するための投資をするようにしてください。顧客の個人情報を他社と共有する場合には、御社がしかるべき努力をしたことを顧客に知らせるべきです。
御社のWebサイトの閲覧者を追跡するためにCookieを使用しているのであれば、そのことを明記します。これらのテキスト形式の一時ファイルは、御社のサイトやサードパーティから閲覧者のコンピューターに保存され、閲覧者のエクスペリエンスをカスタマイズするために使用されます。Cookieは閲覧の利便性を高めますが、ユーザーがどのようにインターネットを使用しているかを追跡するためにも使うことができます。広告宣伝用に収集されるデータおよびそれを責任をもって使用する方法に関する詳しい情報は、Digital Advertising Alliance(DAA)のSelf-Regulatory Programで学ぶことができます。
ポリシーの枠を超えて:最近のEUのプライバシー保護規制が刷新されたことにより、多くの企業がポップアップの形でcookieのポリシーを明示するようになってきています。ただし、すべての企業がそうしているわけではありません。チャンネル4の例(こちらのホームページの上部)を見習って、率直でわかりやすいCookie通知を作成してください。
情報の保管とセキュリティポリシー
データの用途に加え、あなたの会社がユーザーデータを保管しているかどうかも必ずユーザーに通知するようにします。保管している場合は、ユーザーデータの安全確保のためにどのような対策をとっているかについても周知を図ります。
保管しているデータが支払いに関するものであれば、このことは特に重要です。PCI データセキュリティ基準(PCI DSS)は、クレジットカードによる決済を受け付けて処理する加盟店が、それを安全な環境で行えるようにすることを念頭に策定されています。サービスや製品の支払いをWebサイト経由で受け付けている場合には、PCIへの準拠を確認し、準拠していることをサイト上に示すようにします。暗号化から従業員に関する手順まで、さまざまなベストプラクティスがあります。御社のサイトのフッターにコンプライアンスについて表記し、チェックアウト時に顧客に表示されるようにしましょう。
ポリシーの枠を超えて:御社が個人情報を日常的に扱っているならば、御社のセキュリティプロトコルを説明するための専用ページを設置することを検討しましょう。Mailchimp社のSecurityのページはいいお手本になります。
オプトアウトの実施方法と企業の連絡先情報
広告宣伝メールを送信する企業は、米国連邦取引委員会(FTC)より、各Eメール内にオプトアウトのオプションを記載することを義務付けられています。また、御社のプライバシーに関する声明の中に、オプトアウトポリシーについても明記し、顧客が自分たちの情報をコントロールする方法を知ることができるようにします。
オプトアウトの方法がすぐにわかるようにしておくと、御社が宣伝広告やデータ収集を行う際にも、顧客の利益を最優先に考えていることを顧客に信じてもらうことができるでしょう。
さらに、御社の社名、Webサイト、住所、Eメールアドレスなどを表記し、プライバシーポリシーや個人情報の利用に関して顧客が質問したいときのための連絡先を前もって提供します。
ポリシーの枠を超えて:サポート対応窓口を用意して、対応時間や連絡先情報がオンラインで簡単に確認できるようにしましょう。Verizonの例では、専用のカスタマーサービスページを設置して、対応時間と電話番号を明記しています。
発効日を明記する
プライバシーポリシーの発行日を明記し、御社のポリシーがいつ有効になったのか顧客が確認できるようにします。テクノロジーやデータ収集方法が変わったときにも、ポリシーを更新することになるでしょう。
ポリシーの枠を超えて:御社のプライバシーポリシーやサービス利用規約を変更する際には、顧客にEメールで通知することを検討してください。変更の通知は人間味のあるものにし、御社のブランドに沿ったものであるようにします。チケットマスター社の変更通知メールはその非常に優れた例です。
プライバシーポリシーを策定済みの企業にも、現在作成中である企業にも、以上のヒントが顧客の信頼を構築するプライバシーポリシーを策定するうえでの助けになると思います。
もし御社がクラウドベースのソフトウェアやコンタクト管理システムを使用しているのであれば、『Ensuring Security in the Cloud(クラウドのセキュリティを確保するには)』の記事も是非ご一読ください。
