データ保護およびデータプライバシーに関する規制に対する Adobe Experience Manager の対応
このドキュメントの内容は法的な助言にはならず、その代用になるものでもありません。
データ保護およびデータプライバシー規制に関するアドバイスについては、自社の法務部門にお問い合わせください。
アドビのプライバシーに関する問題への対応と、アドビのお客様への影響について詳しくは、アドビのプライバシーセンターをご覧ください。
アドビは、お客様のプライバシー管理者または AEM 管理者がデータ保護およびデータプライバシーリクエストを処理するためのドキュメントおよび手順(利用可能な場合は API も)を提供しており、お客様がこれらの規則に準拠できるように支援をしています。ドキュメントに記載された手順を参照すれば、外部のポータルやサービスから手動で、または API が利用可能な場合は API を呼び出して、規制のリクエストを実行することができます。
ここで説明する詳細は、Adobe Experience Manager に限定されます。
別のアドビオンデマンドサービスからのデータは、関連するプライバシー要求とともに、そのサービスでの対応が必要となります。
詳しくは、アドビのプライバシーセンターを参照してください。
はじめに
Adobe Experience Manager のインスタンスと、それらで実行されるアプリケーションは、Adobe のお客様によって所有され、運用されています。
その結果、GDPR、CCPA などのデータ保護規制は、主に顧客の責任となります。
簡単に紹介すると、データのプライバシーと保護に関する規制には、次の役割を担う者が従うべき新しいルールが含まれます。
-
事業体(CCPA)および/またはデータ管理者(GDPR)
-
サービスプロバイダー(CCPA)および/またはデータ処理者(GDPR)
このような規則の主な条項は次の通りです。
-
個人データの定義を拡大してすべての固有の ID を含むようにし、直接および間接的に識別可能なデータとする。
-
同意に関する要件の強化。
-
削除権(データ消去)への重点的な取り組み。
-
データの販売のオプトアウト。
Adobe Experience Manager の場合:
-
インスタンスと、それらに対して実行されるアプリケーションは、顧客が所有および運用します。
-
これは、顧客が、事業体やサービスプロバイダー、データ管理者、データ処理者などの規制上の役割を効果的に管理することを意味します。
-
次の図に示すように、Adobe Experience Platform Privacy Service は AEM のワークフローには含まれていません。
-
-
AEM には、顧客のプライバシー管理者や AEM 管理者が、手動または API を使用して(使用可能な場合)、プライバシー規制のリクエストを実行するためのドキュメントと手順が含まれています。
-
新しいサービスや UI は追加されていません。
- 代わりに、プライバシー規制のリクエストを処理する顧客 UI/ポータルで使用する手順と API が文書化されています。
-
AEM には、プライバシーリクエストワークフローをサポートする標準のツールは含まれません。
- アドビは、顧客のプライバシー管理者や AEM 管理者向けのドキュメントや手順を提供し、プライバシー規制に関連するリクエストを手動で実行できるようにします。
Adobe は、Adobe Experience Manager のアクセス、削除、オプトアウトに関するプライバシーリクエストを処理する手順を提供しています。場合によっては、自動化に役立つように、顧客が開発したポータルまたはスクリプトから呼び出すことができる API が存在します。
次の図に、プライバシーリクエストワークフローを示します(Adobe Experience Manager 6.5 を使用した例)。
Adobe Experience Manager と規制への対応
AEM の製品範囲に関する規制ドキュメントについては、以下の節を参照してください。
AEM の基盤
AEM 基盤のデータ保護およびプライバシーリクエストの処理を参照してください。
集計した使用状況の統計の収集を AEM でオプトインする方法
集計した使用状況の統計の収集を参照してください。
AEM Sites
AEM Sites - データ保護とプライバシー対応を参照してください。
AEM Commerce
AEM Commerce - データ保護とプライバシー対応を参照してください。
AEM Mobile
AEM Mobile - データ保護とプライバシー対応を参照してください。
Adobe Target および Adobe Analytics との AEM 統合
これらの Adobe Experience Manager 統合は、データ保護およびプライバシー(GDPR や CCPA など)に対応したサービスと共に行われます。 Adobe Target や Adobe Analytics の個人データは、統合に関連して AEM に保存されません。
詳しくは、次のセクションを参照してください。
AEM Communities
AEM Communities はデフォルトの API を通じて、データのポータビリティ権、アクセス権および削除権をデータ主体に提供します。これらの API を使用すれば、ユーザー生成コンテンツの一括削除や一括書き出し、および許可可能 ID で識別されたユーザーアカウントの無効化が可能となります。ただし、CRXDE Lite でユーザーノードを削除してユーザーアカウントを永続的に削除することもできるので、システムからの容易なオプトアウト、という要求に応えることができます。
さらに AEM Communities では、一括モデレーションコンソールを通じて「プライバシーバイデザイン」が実現されます。このコンソールでは、権限を持つメンバーがユーザーの貢献や詳細を検索および削除できます。メンバー管理コンソールを使用すれば、制限を設けてある貢献者の参加を禁止することさえできます。このコンソールではさらに、データ主体が自身の作成した貢献を削除することもできます。
AEM Forms
AEM Forms に含まれるコンポーネントやワークフローは、ビジネスプロセスの調整やデジタルトランザクションの実行のためにデータをキャプチャ、処理および格納します。コンポーネントごとに異なるデータストアが使用されますが、コンポーネントをカスタムデータストアと統合することも可能です。次のドキュメントでは、コンポーネントのデータ保護およびプライバシー(GDPR や CCPA など)ワークフローをサポートするためのユーザーデータへのアクセスと処理に関する手順とガイドラインを説明します。
- フォームポータル
- Correspondence Management
- Adobe Sign との統合
- OSGi でのフォームに特化したワークフロー
- Forms JEE のワークフロー(AEM Forms JEE のみ)
- Document Security(AEM Forms JEE のみ)
- ユーザー管理(AEM Forms JEE のみ)
アドビアカウント
