GDPR よくある質問

1. プライバシーステートメントは、調査対象となるEU各国の言語に翻訳する必要がありますか?

少なくとも、調査が展開される全ての言語に翻訳することを推奨します。例えば、英語、フランス語、ドイツ語で調査を実施する場合は、GDPRのプライバシーおよびコンプライアンス情報を少なくともこれら3つの言語に翻訳することを推奨します。これは厳格な要件ではありませんが、推奨事項です。これにより、GDPRの「インフォームドコンセント」条項の精神を効果的に反映できます。

2. GDPRは、匿名で特定可能なデータを収集しない調査にも適用されますか?

適用されると考えています。EU裁判所は、IPアドレスを「個人データ」と判断しています。そのため、IPアドレスが使用または収集されないオンライン調査を実施することはほぼ不可能です。

3. パネルプロバイダーとのDPA(データ処理契約)は必要ですか?

はい。私たちの見解では、ユーザーのリダイレクトを行うパネルプロバイダーと契約する場合、彼らはあなたとDPAを締結する必要があります。既にQuestionPro Audienceを使用して調査に回答を集めている場合は不要です。QuestionProとあなたとの間の包括的なDPAが自動的にカバーするためです。

4. QuestionProツールを米国内で米国の顧客に対してのみ使用する場合、QuestionProのGDPRコンプライアンスを有効にして入力する必要がありますか?

いいえ。米国を拠点としており、全ての回答者が米国内にいる場合、GDPRは実際には適用されません。そのため、GDPRコンプライアンスはシステム上でオプション機能としています。これは通常、EU企業またはEU居住者からデータを収集する企業に対して必須となります。

5. 回答者がEU市民でEU非居住者の場合はどうなりますか? これらの規則は依然として適用されますか? その場合、サンプルからEU市民を単純に除外できますか?

一般的に、これは管轄権の問題になります。GDPRは市民権に関係なく、全てのEU居住者に適用されます。そのため、例えばシンガポールにいるEU市民は同じ保護を受けません。研究にGDPRの影響を受けたくない場合は、サンプルからEU居住者を除外することをお勧めします。

6. QuestionProのDPO(データ保護責任者)は誰ですか?

QuestionProのDPOはこちらに記載されています:https://www.questionpro.com/ja/gdpr

7. 地方自治体や州政府がGDPRについて懸念を示している事例はありますか? いくつか例を共有していただけますか?

これまでのところ、米国の州政府や地方自治体はGDPRによって大きな影響を受けていません。その理由の一つは、米国のほとんどの州、地方、連邦機関には、遵守すべき独自のデータ保護および人間を対象とする研究規則があるためです。多くの場合、これらはGDPR規制と矛盾する可能性さえあります。そのため、米国政府機関(連邦、州、地方)は、ガイダンスについて引き続き内部の法務顧問に相談することをお勧めします。

8. QuestionProの顧客として、当社のDPOの連絡先情報も入力する必要がありますか?

はい、必要です。データ保護責任者の連絡先情報を入力する画面をご用意しています。これは、回答者がデータやプライバシーに関してあなたに連絡を取ることを選択した場合に表示されます。

9. 侵害をどのように特定しますか? これは消費者が苦情を申し立てたときですか、それとも定期的なチェックメカニズムが必要ですか?

GDPRは、IDS(侵入検知サービス)デバイスのような侵害を特定するために必要なメカニズムについて具体的に定めていません。ただし、企業が侵害を特定してから72時間以内に消費者/影響を受ける当事者に通知することを義務付けています。この規制は侵害の開示に関するものです。企業がセキュリティ予防措置を講じ、データに対して多層的なセキュリティアプローチを取ることは期待されていますが、それは技術的な問題であり、規制上の問題ではありません。

10. 削除をリクエストするユーザーをどのように識別しますか? メールアドレスに基づいて識別しますか?

回答者のブラウザインスタンスにCookieを保存しています。全ての調査がメール経由で送信されるわけではありません。私たちはこれを接点、つまりオンラインブラウザ体験と見なしています。Cookieを使用して、回答者が受けた全ての調査を特定し、削除をリクエストしたり、回答者が提供したデータを表示したりするオプションを提供します。

11. 回答の削除に関するワークフローリクエストを自動削除または自動承認するメカニズムはありますか?

現時点ではありません。開始時には意図的に手動プロセスにしています。時間の経過とともに、GDPR体制が定着し、RTBF(忘れられる権利)リクエストの量に応じて、顧客がリクエストを自動承認できるツールを有効にする可能性があります。

12. 回答者が(QuestionProの)複数の顧客から調査を受けた場合、削除ワークフローはどのように機能しますか?

回答者がQuestionPro経由で受けた全ての調査を確認すると、単一の回答またはすべてのデータを削除するオプションがあります。
単一の回答の場合、その調査管理者のワークフローがトリガーされます。つまり、その調査を所有し管理するQuestionPro顧客にメールが送信されます。
回答者が全てのデータの削除をリクエストした場合、各QuestionPro顧客がGDPRコンプライアンスをオンにしているかどうかに応じて、複数のワークフローメールが送信されます。
ただし、いずれの場合でも、QuestionProはユーザーに関連付けられた全てのCookieを直ちに自動的に削除します。

13. 公表されている研究の多くは、役割、人員配置、契約に関するものです。これは本質的にデータの問題であることを考えると、GDPRに準拠するためにデータをどのように保護および送信する必要があるかについて説明していただけますか?

GDPRは、データの保存に関する標準や、さらに重要なことに暗号化の基準を具体的に要求していません。ただし、GDPRは「設計によるデータ保護」が必要であると述べています。私たちはこれを、保存時および転送時の両方での暗号化と解釈しています。つまり、システム間を移動するデータは暗号化され、データがシステムに保存される際には保存時に暗号化される必要があります。この2つの規則に従えば、「設計によるデータ保護」の義務に準拠していると考えます。
実際的な考慮事項としては、全てのデータ転送にSSLのみを使用することです。これには、システム間でデータを移動するための2つの主要なプロトコルとしてSFTPとHTTPSが含まれます。データが保存される場合(データベースまたはハードドライブ)、ユーザー生成キーまたは少なくともシステム生成キーなしではそのデータが表示または利用できないようにする保護が必要です。
QuestionProでは、全ての調査URLを自動的にSSLに移行しました。そのため、回答者が提供する全てのデータは安全なチャネルを経由します。QuestionProサーバーからローカルマシン(顧客)に送信される全てのデータも、同じSSLメカニズムにより安全です。QuestionProサーバーに保存されるデータは、データベース/ストレージレベルで自動的に暗号化されます。したがって、データはOS/アプリケーションレイヤーを通じてのみ利用可能で公開されます。
顧客がラップトップ/コンピューターにデータをダウンロードする場合、ログイン/パスワードに基づいてのみロック解除できるファイル/ファイルシステムを暗号化するために、ローカルストレージ暗号化を使用することをお勧めします。これにより「設計による保護」の理念が満たされます。

14. 回答者が回答を削除した場合、収集されている結果に影響しませんか?

回答者はデータを直接削除できません。削除のリクエストを送信でき、調査所有者がそれを承認することができます。

15. GDPRコンプライアンスには最低ライセンスレベルがありますか?

いいえ、GDPRコンプライアンスは全てのユーザーが利用できます。

16. QuestionProでデータ保護責任者を割り当てることはできますか?

はい。マイアカウント -> コンプライアンス -> GDPRから独自のDPOを割り当てることができます。

17. データ保護責任者はQuestionProのアカウントが必要ですか?

いいえ。

18. GDPRコンプライアンスのために、データをEUサーバーに保存する必要がありますか?

いいえ。

19. 回答者が回答を削除した場合、実際にQuestionProデータセンターから削除されますか?

いいえ、調査所有者が削除リクエストを承認する必要があり、その後回答がデータセンターから削除されます。