Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > EU一般データ保護規則コンプライアンス > GDPRに準拠したフォームの作成方法
Blog Banner - How to Create GDPR-compliant Forms

GDPRに準拠したフォームの作成方法

by Robert Dougherty updated 1月 23, 2025 EU一般データ保護規則コンプライアンス
Reading Time: < 1 minutes

EUでビジネスを行い、ウェブフォームを通じてデータを収集している場合、送信された情報の送信、受信、保存において、組織がGDPRに準拠していることを確認する必要があります。

GDPRはどの組織に適用されますか? GDPRは、欧州連合でビジネスを行うすべての組織に適用されます。たとえ米国でビジネスを運営していても、EUの顧客に商品やサービスを販売している場合、ビジネスはGDPRに準拠しなければなりません。

GDPRとは何ですか?

一般データ保護規則は、消費者の個人データに関する権利を定義するために欧州連合によって制定および管理されているサイバーセキュリティおよびデータ保護法の一連の法律です。GDPRは、EU内でデジタル商取引を行う他国の企業を含む、EUの国で事業を行うすべての企業に管轄権を主張しています。

この法律の中心はデータの保護です。GDPRの施行以来、他の政府機関もこれに倣い、カナダの個人情報保護および電子文書法(PIPEDA)、カリフォルニア州消費者プライバシー法(CCPA)、2018年データ保護法(DPA)など、同様のデータプライバシー法を制定しました。

データ収集とビジネス運営に影響を与えるGDPRの重要な側面のいくつかは次のとおりです:

  • データ主体とデータ所有権:GDPRは「データ主体」を、ビジネス目的で使用される可能性のある個人データを持つ個々の消費者として定義しています。これらの主体は法律の基盤であり、データ保護とプライバシーに関するすべての権利は、これらの個人の権利に基づいています(たとえば、企業がデータを収集する権利ではなく)。
  • 開示と公正な使用:EUで事業を行うすべての企業は、いかなる目的であれデータを収集する際に、そのデータ収集の理由をデータ主体に明確に開示しなければなりません。さらに、収集したデータが製品やサービスに関連する明確に定義されたビジネス慣行に関連していることを、その主体およびGDPR監査に対して正当化しなければなりません。企業は、ユーザーデータを第三者に自由に販売することはできません。
  • セキュリティ:すべての個人データは、最新のサイバーセキュリティ対策を使用して保護されなければなりません。これには、データ自体と、その情報を使用した結果として作成されたデータ、すなわち監査ログ、IPアドレスなどのデータが含まれます。
  • 地域性:EU市民から情報を収集する企業は、管轄上の問題を避けるために、この情報をEUの国境外に送信することは許可されていません。たとえば、フランスのサーバーから米国のサーバーに情報を送信して、GDPRの下での罰則を回避することはできません。
  • 同意:すべてのデータ収集活動には、データ主体からの明確で曖昧さのない、強制されない同意が含まれていなければなりません。

これらのアプローチは、EU外の個人や企業にとって制限的で複雑に見えるかもしれません。しかし、基本的には、オンラインでのデータ管理に対する新しいアプローチを必要とするだけです。組織は、これらのデータプライバシーコントロールが統合リスク管理戦略の一部であることを確認しなければなりません。

GDPRは同意について何を述べていますか?

同意は、GDPRコンプライアンスの中で最も重要であり、かつ挑戦的な部分であることが多いです。なぜなら、企業がそのビジネス慣行について明確かつ具体的であることを保証する必要があるからです。

しかし、GDPRは、同意に関連する企業の義務を明確にしています:

  • データ収集の必要性:まず第一に、企業はデータを収集する正当な理由を持たなければなりません。組織がそのデータ収集活動を、その運営およびデータ主体へのサービス提供に直接関連するものに制限することは、法的コンプライアンスの問題です。
  • 自由に与えられた同意:同意は強制されることなく、また偽りの前提の下で得られるべきではありません。データの要求を製品やサービスの前提条件とすることはできますが、データを提供しない、または提供されたデータを取り消すことに対して、ユーザーに困難や罰則を課すことはできません。
  • 具体的かつユニーク:GDPRの下では、同意に関する包括的な通知はありません。各要求は、その媒体と目的に対して具体的でなければならず、各要求は個別の同意メカニズムを求めなければなりません。たとえば、クッキーを使用してデータを収集する許可を求めると同時に、メールを送信する許可を求める場合、これらは別々の要求でなければなりません。
  • 情報に基づいた明確な同意:どれだけ多くの要求を行っても、各要求は収集されるデータの詳細な説明、そのデータが収集される理由、目的、およびその範囲を提供しなければなりません。これには二つの目的があります:一つは、データ主体がそのデータの公開に関して情報に基づいた同意を行うことを可能にし、二つは、収集する組織がそのデータの使用の限界を厳密に定義することを強制します。
  • 同意の撤回:データ主体は、いつでも以前に提供された許可の同意を撤回することができます。これには、メールの停止やクッキーやその他のデータ収集フォームの削除が含まれます。

EU外のユーザーは、すでにこれらのルールの影響を目の当たりにしており、eコマースやニュース報道のウェブサイトでのクッキーやトラッキングの要求がますます詳細で普遍的になっています。

GDPRに準拠したフォームとは何ですか?

GDPRコンプライアンスを維持するための重要な部分は、情報の要求が上記の要件に従っていることを確認することです。これは、規制コンプライアンスの取り組みに合わせた準拠したフォームとデータセキュリティツールを持つことを意味します。組織は、サードパーティリスク管理ポリシーにウェブフォームの使用に関するポリシーを含める必要があります。

一般的に言えば、GDPRに準拠した同意および情報収集フォームには、以下のベストプラクティスが含まれています:

  • 事前にチェックされたフォームを避ける:すでに同意のチェックボックスが事前に記入されたフォームを実装することは、情報に基づいた非強制的な同意を制限するルールに違反します。消費者が通常同意しないかもしれないことに同意させようとすることは、欺瞞のように見えるかもしれません。さらに悪いことに、実際のチェックボックスに気づかない消費者を利用する方法として解釈される可能性があります。
  • 個別の同意フォームを提供する:組織は、回答者に長い同意リストを求める大規模なウェブフォームを作成すべきではありません。まず、これは悪いユーザーエクスペリエンスです。しかし、GDPRのいくつかの側面にも違反しています。受取人が何に同意しているのかを明確に定義する、異なる非常に詳細なフォームを使用することが重要です。
  • 同意オプションを細分化する:各個別の同意形式には、それ自身の説明と同意を示すためのメカニズムが必要です。たとえば、マーケティングメールの同意を他の種類のデータ収集と一緒に含める場合、それは独自のセクションであり、独自のチェックボックスやスイッチを持つべきです。疑わしい場合は、細分化してください。
  • オプトアウトを簡単にする:GDPRは「オプトイン」システムであり、ユーザーはデータ収集にオプトインしなければなりません。組織はまた、そのデータ収集や通信からオプトアウトすることを簡単かつ直感的にする必要があります。
  • 安全なシステムで同意を記録する:データ主体の同意のすべての記録は、監査とプライバシーのために安全なシステムで記録されなければなりません。したがって、組織のバックエンドシステムには、同意の記録を保護するためのセキュリティメカニズムが含まれていなければなりません。GDPRに準拠したセキュリティと暗号化を採用しています。

KiteworksでGDPRフォームを開始および維持する

EUでの業務を行っている、または計画している組織は、セキュリティと同意法を満たすデータストレージと収集をサポートするGDPR準拠のシステムを持たなければなりません。

Kiteworksプラットフォームは、これらの要件を満たすウェブフォーム機能を提供します。Kiteworksのファイルおよびドキュメント管理システムは、ユーザーエンゲージメントからサーバーストレージまでGDPRコンプライアンスを実現するための、簡単に作成できるフォームを備えた広範で柔軟なクラウドインフラストラクチャを提供します。

Kiteworksには以下も含まれています:

  • セキュリティとコンプライアンス:Kiteworksは、データの保存時にAES-256暗号化を、データの転送時にTLS 1.2+を使用しています。その強化された仮想アプライアンス、細かい制御、認証、その他のセキュリティスタックの統合、包括的なログと監査報告により、組織はセキュリティ基準へのコンプライアンスを簡単かつ迅速に示すことができます。HIPAA、PCI DSS、SOC 2、GDPRなどの業界および政府の規制と基準に対する即時のコンプライアンス報告を備えています。
     

    さらに、Kiteworksは、FedRAMP、FIPS(米国連邦情報処理規格)、FISMA(連邦情報セキュリティマネジメント法)、CMMC(サイバーセキュリティ成熟度モデル認証)、IRAP(情報セキュリティ登録評価者プログラム)など、さまざまな基準に対する認証とコンプライアンスを誇っています。

  • 監査ログ:Kiteworksプラットフォームの不変の監査ログにより、組織は攻撃が早期に検出され、法医学を実行するための正しい証拠の連鎖を維持することができます。システムはすべてのコンポーネントからのエントリを統合し標準化するため、その統一されたSyslogとアラートは、セキュリティオペレーションセンターチームの貴重な時間を節約し、コンプライアンスチームが監査の準備をするのを助けます。
  • SIEM統合:Kiteworksは、IBM QRadar、ArcSight、FireEye Helix、LogRhythmなどの主要なセキュリティ情報およびイベント管理(SIEM)ソリューションとの統合をサポートしています。また、Splunk Forwarderを備えており、Splunk Appも含まれています。
  • 可視性と管理:KiteworksのCISOダッシュボードは、情報がどこにあり、誰がアクセスしているのか、どのように使用されているのか、データの送信、共有、転送が規制や基準に準拠しているかどうかを組織に提供します。CISOダッシュボードは、ビジネスリーダーが情報に基づいた意思決定を行うことを可能にし、コンプライアンスの詳細なビューを提供します。
  • シングルテナントクラウド環境:ファイル転送、ファイルストレージ、ユーザーアクセスは、オンプレミスで展開された、組織のInfrastructure-as-a-Serviceリソース上で、またはKiteworks Cloudサーバーによってクラウドでホストされるプライベートシングルテナントインスタンスとして、専用のKiteworksインスタンスで発生します。これにより、共有ランタイム、共有データベースまたはリポジトリ、共有リソース、またはクロスクラウドの侵害や攻撃の可能性はありません。

Kiteworksプラットフォームとそのセキュアなウェブフォーム機能について詳しく知りたい場合は、特定のGDPR要件に合わせてカスタマイズされたデモをスケジュールしてください。

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

デモを予約
担当者に相談

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks