コンテンツ管理
プロダクトマネージャーのPOVパート2からのGDPR—範囲の決定
By Martin Michalik
前回の記事では、GDPRおよび法令遵守に焦点を当てたプロジェクトについて説明しました。今日は、そのような法律に対処する際にすべての製品マネージャーが下さなければならない重要なビジネス上の決定について見ていきます。必要な最小限の範囲を実装しますか、それともそれを拡張してビジネスチャンスを獲得しますか?
GDPRなどの法律は、それを遵守しなければならないすべての企業にとって重要な課題です。通常、彼らは(少なくとも最初は、時には永遠に)愚かで不必要な官僚的な悪であり、会社にかなりの金額を費やすと認識されています。ただし、コインの裏側は常にあります。同じ法律はビジネスチャンスと見なすこともできます。
GDPR(または一般的にビジネスに影響を与える新しい法律)を扱うすべての製品マネージャーは、最終的に同じ決定に直面します。法律で定められた最小要件を実装するか、さらに一歩進んで、新しいデータの影響を受ける顧客に特定のサポートを実装します。保護ルール。
今日のブログ投稿では、GDPRが製品ポートフォリオに与える影響をどのように評価したかを示し、特定のGDPR指向の機能を製品に提供するという決定の背後にあるものを説明したいと思います。しかし、最初に、法律が製品にどれほど大きな影響を与えたかを理解することが非常に重要です。
同様の製品、異なる状況
GDPRに対応する必要のない製品を想像するのは難しいです。他に何もないとしても、少なくともユーザーまたは顧客のアカウントデータを維持していることになります。これは、疑いなく、個人データと見なすことができます。異なるのは、特定の法律が製品に与える影響です。さらに、法律はポートフォリオのさまざまな製品にさまざまな影響を与える可能性があります。実は、ケンティコでもそうだったので、状況がどう違うのかをお見せしたいと思います。しかし、最初に、少しコンテキストを説明しましょう。
Kenticoでは、コンテンツ管理システムの1つでコンテンツを簡単に作成できるようにすることで、人々がストーリーを語れるように支援しています。 Kentico EMSと呼ばれるオンプレミスソリューションと、サービスとしてのソフトウェアとして提供されるKenticoCloudと呼ばれる別の製品があります。さて、どちらも本質的に非常に類似した製品ですが、大したことは何ですか?
機能性
さて、最初の違いは機能にあります。どちらの製品もコンテンツに重点を置いていますが、 Kentico EMSは、その存在の年月を経て、デジタルマーケティングとeコマース機能も含むオールインワンソリューションに進化しました。ご想像のとおり、この機能は、追加機能が機能するために必要なすべての情報を保持する訪問者や顧客などのエンティティなしでは機能しません。そして、おそらく正しくお察しのとおり、これはEMSが多くの個人データを処理していることを意味します。したがって、GDPRはこのソリューションを使用する顧客に大きな影響を与えます。一方、Kentico Cloudを選択した顧客は、Webサイトの訪問者に関するデータの収集を必要とするパーソナライズ機能が製品に含まれていても、自由に使えるマーケティング機能はそれほど多くありません。したがって、これらの顧客でさえGDPRに対処する必要がありますが、それほどではありません。
役割と責任
2つ目の違いは、関係者の役割と、法律で定義されている責任です。各企業は、異なる商業モデルと顧客との関係を持っています。 B2BまたはB2Cの顧客に焦点を当てることを選択するか、これらの市場の両方で事業を行うことができます。顧客に直接販売したり、パートナーネットワークを活用したり、セルフサービスとして運営したりできます。さらに、あなたの顧客はあなたの製品のエンドユーザーでさえないかもしれません。たとえば、CMSをデジタルエージェンシーに販売し、デジタルエージェンシーはそれを使用してエンドクライアント向けのWebサイトを構築します。そして、それは私を最初に驚かせたほんの数例です。ただし、製品への影響を分析する際には、法律の観点から関係における役割を定義するため、クライアントとの関係を考慮することが非常に重要です。
GDPRには3つの主要な役割が必要です。まず、データ管理者、自然人または法人、公的機関、機関、または他の人と単独でまたは共同で個人データの処理の目的と手段を決定するその他の機関があります。処理の目的と手段が決定される場所。第二に、データ管理者に代わって個人データを処理する自然人または法人、公的機関、機関、またはその他の機関を代表するデータ処理者がいます。最後に、個人データまたは個人データのセットが処理されている自然人を表すデータサブジェクトがあります。
では、これらの役割の役割は製品ごとにどのように異なるのでしょうか。例として、KenticoEMSとCloudをもう一度使用してみましょう。
役割とKenticoEMS
現在、EMSでの役割は次のとおりです。
- Kentico EMS上に構築されたWebサイトに訪問者がアクセスし、効果的にデータ主体にします
- Webサイトは、追跡するデータと、エンドクライアントをデータコントローラーにする方法(エンドクライアントが処理の目的と手段を決定することを意味します)を決定するエンドクライアントによって所有されます。
- ウェブサイトは開発機関によって開発され、継続的に更新されます(データはパートナーによってアクセスおよび処理されます)。つまり、開発機関はデータ処理者です。
- このウェブサイトは、開発機関が所有および管理するデータセンターでホストされており、データ処理者となっています。
- そして最後に、ソリューションのプロバイダーとしてのKenticoは、法律で定義された関係において正式な役割を果たしていません。
上記の説明から推測できるように、GDPRは、エンドクライアント向けのウェブサイトを実装している代理店に大きな圧力をかけています。特に、実装機関は、広範なマーケティングおよびeショップ機能を使用しているクライアントが準拠するのを支援する必要があるためです。一方、ソリューションプロバイダーとしてのKenticoは、この場合、法律が私たちに影響を与えないため、非常に良い状況にあります。
役割とKenticoクラウド
それでは、同じ関係を分析しましょう。ただし、今回はKenticoCloudについて説明します。
- Kentico Cloud上に構築されたWebサイトは、訪問者によってアクセスされ、再びデータ主体になります
- Kentico Cloud上に構築されたWebサイトは、追跡するデータとその方法を決定するエンドクライアントによって所有されており、それによってデータコントローラーになります。
- ウェブサイトは開発機関によって開発され、継続的に更新されているため、データ処理者になっています
- Webサイトは、開発機関(機関はデータ処理者)またはサードパーティ(ホスティングプロバイダーはデータ処理者)が所有するデータセンターでホストされています。
- Kentico Cloud aは、サードパーティのデータセンターでホストされるSaaSとしてエンドクライアントに提供されるサービスであり、Kenticoをデータプロセッサにします。
- さらに、Kenticoはサービスを実行し、Kenticothe Data Controllerを作成する内部サブスクリプション管理の目的で、どの個人データを処理するのか、その理由と方法を決定します。
この場合、Kenticoが開発機関とデータコントローラーとデータプロセッサーの役割を共有しているため、状況は少し異なります。したがって、Kenticoは、この法的関係において本格的な役割を果たし、法律の規則に従わなければならないため、新しい責任を負います。
上記の2つの例は、クライアントやパートナーとの関係の設定だけではないことに注意してください。最終的な責任を形作る他の多くのものがあります(たとえば、別のホスティングプロバイダー、別のテクノロジーパートナーなど)。したがって、常にすべての関係者とそれらの相互接続を特定するように努める必要があります。
この例が、クライアントとの関係におけるベンダーとしての役割を理解することの重要性と、GDPRなどの新しい法律がこの関係に与える影響を理解するのに役立つことを願っています。役割を理解することは、法律に準拠するために満たす必要のある最小限の要件を特定するのに役立つ監査にとって非常に重要です。そのため、前回の記事で分析と監査の重要性を強調しました。結局のところ、関係者の特定と、私が示した役割は、分析の結果の1つです。
顧客を模倣する
監査と分析は、「GDPRに準拠する」プロジェクト全体で非常に重要な役割を果たしていることは間違いありませんが、最小限の要件を特定して対処するのに役立つだけです。弁護士や専門家は決してあなたに言うことはありません:「ちなみに、同じ法律を扱うときに顧客がより簡単に生活できるように、機能XとYのサポートを実装する必要があります。」顧客が直面するすべてのニーズと苦労を特定するのに役立つのは1つだけです。つまり、顧客を模倣する必要があります。
では、Kenticoでどのようにそれを行ったのでしょうか?構築済みのサンプルWebサイトは、当社の製品提供の一部として提供されます。私たちはそれをダンシングゴートと呼び、地元のカフェにコーヒーやアクセサリーを販売する小さな焙煎会社を表しています。 Webサイトは簡単に展開でき、リリース間で更新され、通常はCMS機能のデモンストレーションとして機能します。今回はそれを採用し、架空の企業背景を作成し、法律の専門家を雇ってこの会社の監査をモックアップしました。
まず、弁護士と数時間かけて、ダンシングゴートの事業について説明するインタビューを行いました。架空の会社のマーケティング部門がどのように機能したか(役割、プロセスなど)、およびそれらが当社の製品をどのように活用しているかについて説明しました。コンサルティング会社はエンドクライアントの通常のビジネスシナリオ、特に製品の仕組みを理解する必要があったため、これはプロセス全体の重要な部分でした。コンテキストがなければ、監査の次の部分を実行したり、情報に基づいた推奨事項を提供したりすることは不可能です。
次に、Dancingヤギのマーケティングプロセスをマッピングし、すべての個人データを特定し、それらがどのように処理されるかを説明する必要がありました。言うまでもなく、このタスクは非常に困難であり、十分に文書化されたソリューションの重要性を示しています。さらに、製品に含まれる個人データの量、特にGDPR法の影響を受けるとは予想していなかったデータの量を理解するのに役立ちました。
最後に、プロセスとデータマッピングに基づいて、監査会社はギャップ分析を作成し、会社の正当な利益と特定のアクション(同意の収集、収集データの量の削減など)を必要とするプロセスを特定し、影響を受ける個人データを特定しました。それらの中で処理されたものは合法的に取り扱われます。推奨事項がわかったら、それをWebサイトに実装して、顧客にとってどれほど簡単か難しいかを理解しようとしました。このステップにより、製品のどの部分が不足していて改善できるかについての洞察が得られ、監査全体の中で最も価値のある部分だったと思います。
仮想DangingGoat会社の「マーケティング部門」に焦点を合わせていたことに注意してください。これは、Webサイトとプロモーションを担当する部門になる可能性が高いためです。あなたの会社が受ける可能性のある実際の監査は、確かにもっと複雑で、かなり長く、私が説明したもの(私たちも受けなければならなかったもの)ほど単純ではありません。それでも、模擬監査は、顧客と、コンプライアンスを遵守するために顧客が何をしなければならないかをよりよく理解するのに役立ちます。それは間違いなく持つ価値のある経験です。
範囲の決定
コンプライアンスを実現するために企業として実装する必要があるものと、顧客が必要とするものの2つの視点が得られたので、実装するものを決定できます。最終的に、いくつかの機能と製品の改善を実装することにしました。
- 私たちはドキュメントに重点を置きました-前に述べたように、顧客になりすましたおかげで、高品質のドキュメントを利用できるようにすることがいかに重要であるかを理解しました
- オンプレミス製品に同意管理を実装することを決定しました。この製品は多くの個人データを処理するため、同意の管理はお客様にとって非常に重要です。
- 両方の製品でデータ主体の権利をサポートしています-カスタム実装なしで、製品に簡単にアクセスする権利と忘れられる権利をトリガーするオプションをパートナーに提供しました
- Kentico Cloudに複数のデータセンターのサポートを実装したため、お客様はEUの境界内でプロジェクトデータをホストするかどうかを選択できます
正直なところ、市場の状況やリリースまでの残り時間など、実装への投資を最終的に決定した要因もありましたが、本日お話しした2つの要因が最も影響力があったと思います。
この記事で、GDPRなどの法律が(不必要な)悪としてだけでなく、ビジネスチャンスとしても認識される可能性があることを示していただければ幸いです。このシリーズの次の最後の記事では、この巨大なプロジェクトで学んだ私たちの過ちと教訓を皆さんと共有します。それまでは、GDPRまたはその他の法律プロジェクトの範囲を選択した経験をコメントでお知らせください。 MVPを使用しましたか、それとも1マイル進みましたか?
