前回の記事では、GDPRの要件に対応する際に、製品の範囲をどのように選択したかを説明しました。このPMPOVシリーズのこの最後の記事では、GDPRコンプライアンスのプロジェクト全体を振り返り、私たちが失敗した場所、私たちが学んだこと、そして私たちに将来が期待されることを共有したいと思います。

GDPRが発効し、デジタル環境が根本的に変化してから1か月以上が経過しました。 GDPRコンプライアンスプロジェクトに携わったすべての人は、プロジェクトが特に簡単なものではなかったことにおそらく同意するでしょう。多くの人にとって「GDPRに取り組んでいる」が「当時は別のキャリアを選択したかった」の同義語になっている理由の1つは、コンプライアンスプロジェクトが多くの要件と対処すべき未知数が増えています。通常、プロジェクト中にトラブルや障害につながる未知のもの。 Kenticoも例外ではありませんでした。このシリーズのコンテンツの多くは、実際にはコンプライアンスプロジェクト全体で犯した過ちに基づいていました。そして、私たちが望む範囲をほぼ時間どおりに提供することができたとしても、GDPRマニュアルがなかったため、いくつかの困難な方法を学ぶ必要がありました。では、物事は正確にどこに南下したのでしょうか？

学んだ3つの教訓

類似の製品、異なるスコープ

まず、私たちの最大の過ちは、オンプレミスソリューションの経験に基づいてクラウド製品のプロジェクトスコープを予測したことだと思います。最初に、リリース日が固定されたオンプレミス製品の開発を開始しました。これをパイロットとして使用して、リリースサイクルがはるかに柔軟な（2週間ごと）クラウドソリューションへの道を切り開きました。クラウドソリューションが個人データを処理するエンティティの数が少なくなることを期待し、以前の経験に基づいて、必要な作業の概算を作成しました。その後、深く掘り下げていくと、さまざまな役割に起因する他の要件（前回の記事で説明したように）と、クライアントからの1つの重要な要件であるヨーロッパのローカルデータセンターが明らかになりました。その結果、スコープが予測していなかったサイズに膨れ上がり、製品開発の組織に大きな圧力がかかりました。もちろん、この要件を実装しないことを決定することもできましたが、この機能がなければ、一部のヨーロッパのクライアントが新しい規制に準拠するのを助けることができず、それらを失うリスクがあった可能性があります。はい、リスクはありましたが、最終的にはメリットがデメリットを上回り、エンドユーザーに独自の価値を提供するのに役立ったと思います。したがって、このプロジェクトからの私の最初のポイントは、常に製品の範囲を個別に評価することです。

忍耐はあなたが持っている必要がある美徳です

思ったほどスムーズに進まなかったもう一つのことは、当社の製品が含まれている会社全体の監査でした。私たちの期待が現実とは大きく異なっていたことは明らかです。対処しなければならない明確に定義された実行可能なアクションアイテムがすぐに得られることを期待していました。会話が非常に長くなることを私たちはほとんど知りませんでした。出力が非常に漠然と提供されたため、最終化して実行可能にするために、明確化を数回繰り返す必要がありました。誤解しないでください。監査が役に立たなかった、または必要でなかったと言っているわけではありません。データ処理のアジェンダを形式化し、データ処理をガイドする新しいプロセスとベストプラクティスを定義するのに間違いなく役立ちました。間違いなく、よりスムーズで高速なプロセスになると期待していました。したがって、このプロジェクトからの2番目のポイントは、早めに開始し、特に関係するサードパーティとの監査または協議がある場合は、すべての情報がすぐに得られるとは思わないことです。また、期待を明確にします。事前に出力のサンプルを求めます。

製品とプロセス

私の最後の失敗は前のものと密接に関連しています：それは製品のすべてではありません。 GDPRは多くの変更と要件をもたらしましたが、それらの多くは実際には製品ではなくプロセスに関係しています。そのため、監査中に製品領域が延期され、人事や営業など、より多くの個人データを処理する他の部門が優先されました。これは、製品マネージャーとして、考え方を製品優先から企業優先に切り替え、遅延を受け入れる必要があることを意味します。さらに、すべての要件に製品で直接対処する必要があるわけではありません。新しい法律は、採用されなければならない新しいプロセスをもたらしますか？このプロセスの予想される頻度は低いですか？そうですね、製品にコストのかかるサポートを実装するよりも、プロセスを手動で処理する方がよい場合があります。したがって、私の最後のポイントは、製品に焦点を合わせるだけでなく、プロジェクト全体の優先順位を理解することも重要であるということです。

まだ終わった？

さて、シャンパンをポップし、GDPRコンプライアンスプロジェクトに関連するすべての資料をパックしてアーカイブする前に、注意してください。まだ終わっていません。実際、私たちはまだ始まったばかりだと思います。いいえ、私は心を失っていません。結局のところ、これは奇妙に聞こえるかもしれませんが、新しい法律に準拠するためにかなりの投資をしましたが、将来的にはまだ多くのことを行う必要があります。正確には？

まず、そして最も重要なこととして、開発プロセスにプライバシーを設計によって具体化する必要があります。さまざまなデータを収集していた時代は終わりました。「将来的には便利かもしれないからです」。必要なデータとその理由を正式な方法でより正確に定義する必要があり、そのコレクションを顧客に伝える必要があります。さらに、構築しているクールな新機能が、データを公開したり、新しい役割に就いたりして、より多くの責任をもたらすことによって、GDPRが確立した原則のいずれにも違反していないかどうかを常に評価する必要があります。 。さらに、製品に取り組むすべての新入社員にデータのプライバシーとセキュリティの原則を教える必要があり、それらのルールを厳しくする必要があります。開発者がテスト用のデータを必要とするため、本番データベースのコピーを作成することは望ましくありません。結局のところ、そもそもコンプライアンスになるために費やした貴重なリソースをすべて無駄にしたくないのではないでしょうか。

次に、企業プロセス（できれば製品開発プロセスを含む）を更新したばかりであり、新しい個人データ処理アジェンダが組み込まれるため、途中で調整が必要になります。また、法律自体は時間の経過とともに変化すると確信しています。個人データ処理の要件に対する新しい修正と変更が見られ、これらの新しい義務に適応する必要があります。

最後に、GDPRは、これから登場する多くの法律の最初のものにすぎない可能性があります。特にケンブリッジアナリティカなどのデータプライバシースキャンダルが発生した後、太平洋地域から米国プライバシーシールドまたは同様の法律にいくつかの変更が加えられる可能性はまったくありません。したがって、GDPRがヨーロッパの顧客にサービスを提供する企業にのみ影響を及ぼしているという事実に依存している場合（そして、極端にそれを行わずに決定したとしても）、すぐに同じ課題に直面する可能性がありますいずれかの方法。

だから、すべてを考慮して、それはまだ終わっていません。しかし、私はかなり確信しています、あなたは今何をすべきかを知っています、そしてそれは6ヶ月前ほど大きな挑戦になることはないでしょう。

一度に1つのデジタルステップ

大きな変化は大きな宣伝を伴います。しかし、ネガティブな宣伝によって、ポジティブなことが後回しにされることもあります。 GDPRでも違いはありませんでした。特に、プライバシーポリシーが更新された大量のメールの重みで全員のメールボックスが爆発的に増加した、法律のD-dayの数日前です。残念ながら、これは法律を悪い見方にしていますが、それは主に1つのことについてでした。それは、顧客データを倫理的で顧客に優しい方法で扱うことです。デジタルデータの荒野に少なくともいくつかの秩序と基準をもたらしたのは、長い間必要とされていた規制でした。それは完璧ではないかもしれませんし、途中で微調整が必要かもしれませんが、それでも正しい方向への確かな第一歩です。

GDPRへの準拠が非常に困難なプロジェクトだったと言っても嘘はつきません。あなたに完全に正直に言うと、私は過去数か月の間に何度か罵倒していることに気づいたことを認めます。あなたもそうだったと思います。しかし、この狂気全体には非常に良い動機があり、顧客がデータの処理方法を心配する必要がないデジタルの未来のための確固たる基盤を築きました。結局のところ、あなたはあなたの個人データをどのように扱いたいですか？

GDPRプロジェクト全体でのあなたの経験をコメントで教えてください。何を学びましたか？