個人情報保護法改正に向けてSalesforceで準備しましょう

皆さんは「個人情報保護法」をご存じですか？
その名の通り個人情報を保護することを目的とした法律で、2003年に公布され2005年より全面施行されています。
2020年3月10日に改正案が閣議決定し、通常国会の中で審議がなされています。
改正案については以下となります。

改正法案は成立後2年以内の施行を目指しており、早めの準備が必要です。
今回の記事では改正法案の中でも、個人データの利用停止を本人が企業に求めることができる「使わせない権利」に焦点を当てたいと思います。
そして上記をSalesforceで解決する個人オブジェクトとそれに紐づく同意管理オブジェクトについて説明します。

皆さんは個人オブジェクトについてご存じですか？
このオブジェクトは一般データ保護規則(GDPR)の施行に合わせ、Spring'18でリリースされました。
GDPRはEU域内の個人データ保護を規定する規則ですが、個人情報保護法の改正案はGDPRを追いかけている形になるので十分転用できます。
個人オブジェクトには顧客のデータプライバシーに関するレコードが格納されます。そして個人オブジェクトに紐づく形で同意管理オブジェクトが存在し、顧客がどのような内容に同意したかを管理します。この同意管理オブジェクトは複数存在し、Spring'20でも新しいオブジェクトが出てきています。

これらのオブジェクトですが、何か特別な機能があるの…？と思った方がいたかもしれません。しかし現状特別な機能は無く、データプライバシー保護に関するオブジェクト群と項目が用意されているだけとなっています。ただ現在新しいオブジェクトが次々とリリースされているため、そのうち新機能が出てくる可能性は大いにあると思います。
特別な機能はありませんが、素晴らしい特性を持っています。それは「同意管理オブジェクトレコードは、ストレージ使用量にはカウントされない」ということです。データプライバシーに関するレコードは保存期間の関係上安易な削除は難しく、この特性だけでもこれらのオブジェクトを積極的に使用した方が良い理由になると思います。
同意管理オブジェクトにはさまざまな種類がありますが、詳細は以下のヘルプをご参照ください。

同意管理オブジェクトの全体構成は以下リンクをご参照ください。

標準項目と説明を記載した構成図が以下となっています。今回は同意管理オブジェクトの中でも認証フォーム同意オブジェクト群に焦点を当てたため、コミュニケーション登録オブジェクト群は記載していません。

上記に簡易なフロー例を載せてみました。こちらはSalesforceコミュニティ上にある顧客向けサイトのアカウント作成時のフローとなります。番号順に説明していきますので、ぜひオブジェクト構成図も参考にしてください。

①まず顧客がアカウント作成画面を表示します。画面にはID・パスワード入力フィールド、利用規約へのリンク、「利用規約に同意する」チェックボックス、「アカウント作成」ボタンが配置されている想定です。顧客が利用規約へのリンクをクリックすると、利用規約画面へ遷移します。
②利用規約画面の文言は"有効開始日"項目が今日以前かつ"リビジョン番号"項目が最新の[認証フォーム]レコードに紐づけられた[認証フォームテキスト]レコードを表示します。
③顧客はアカウント作成画面に必要事項を入力し、「アカウント作成」ボタンをクリックすると、[取引先責任者][ユーザ][個人][認証フォーム同意]レコードが作成されます。[認証フォーム同意]レコード内には利用規約に同意した情報や日時が格納され、[個人]と同意した[認証フォームテキスト]レコードに紐づきます。

このように[ユーザ]または[取引先責任者]に[個人]が紐づき、[個人]に[認証フォーム]と紐づいた[認証フォーム同意]が紐づくことで、いつ・誰が・何に対して同意したかを追うのが容易になりました。

これらのオブジェクトを上手く利用すれば、顧客がいつ、どのような内容に同意したのかを容易に探し出すことが可能になります。
そのため改正法案に出てきた個人データの利用停止を本人が企業に求める「使わせない権利」を顧客が行使した時、迅速な対応を取ることができます。
改正法案施行前でも、個人情報の取り扱いを明確にすることで顧客に不信感を与えず、企業のクリーンなイメージを印象付けることができます。ぜひ積極的に活用してみてください。