FreshserviceのGDPRコンプライアンス:2026年に知っておくべきこと
Stevia Putri
Stanley Nicholas
Last edited 2026 3月 11
Expert Verified
一般データ保護規則(GDPR: General Data Protection Regulation)は、ヨーロッパだけの問題ではありません。これは、あらゆる組織が個人データをどのように取り扱うかに影響を与えるグローバルな基準であり、お客様のITサービス管理プラットフォームはこの課題の中心に位置しています。すべてのサポート・チケット、ユーザー・プロファイル、およびサービス・リクエストには、適切な保護が必要な個人情報が含まれています。
Freshserviceは、GDPRに対応したITSMソリューションとしての地位を確立していますが、これは実際にお客様のコンプライアンスの取り組みにとって何を意味するのでしょうか?このガイドでは、FreshserviceのGDPR機能について詳しく説明し、それらが実際にどのように機能するかを説明し、それらを効果的に実装する方法を示します。
GDPRとは何か、そしてそれはお客様の組織に適用されるのか?
GDPRは、2018年5月に施行された欧州連合のデータ保護フレームワークです。これにより、個人は自分の個人データをより詳細に管理できるようになり、組織はそのデータを責任を持って処理する必要があります。
この規則は、以下の場合にお客様に適用されます。
- お客様の組織がEU内に所在している
- お客様がEU外にいるが、EU居住者の個人データを処理している
- お客様がEU居住者に商品またはサービスを提供している
- お客様がEU居住者の行動を監視している
これは、世界中のほぼすべての主要な組織を網羅しています。米国またはアジアに拠点を置いている場合でも、EUの顧客または従業員がいる場合は、GDPRが適用されます。
この規則は、ITSMツールがどのように動作する必要があるかを形作るいくつかの重要な原則を導入しています。
- 合法的、公正、かつ透明性のある処理 データを収集する理由を明確にする必要があります
- 目的の制限 特定の正当な目的でのみデータを収集します
- データの最小化 実際に必要なものだけを収集します
- 正確性 データを最新の状態に保ち、エラーを迅速に修正します
- ストレージの制限 必要な期間を超えてデータを保持しないでください
- セキュリティ 適切な対策を講じてデータを保護します
- 説明責任 ドキュメントを通じてコンプライアンスを実証します
お客様のITSMプラットフォームは、これらの原則すべてをサポートする必要があります。Freshserviceはまさにそれを実行すると主張しています。どのように実行するかを見てみましょう。
FreshserviceのGDPR対応機能
Freshserviceには、組織がGDPR要件を満たすのに役立つように特別に構築されたいくつかの機能があります。これらは後付けではありません。それらはプラットフォームのコア機能に統合されています。
「ユーザー削除(Forget User)」機能
GDPRは個人に「忘れられる権利(right to be forgotten)」、つまり個人データを消去する権利を与えます。Freshserviceは、この問題を"ユーザー削除(Forget User)」機能で解決します。
その仕組みは次のとおりです。誰かが削除を要求すると、管理者はユーザーのプロファイルに移動し、「ユーザー削除(Forget User)」を選択します。システムは次のことを行います。
- 個人識別子(名前、メール、電話など)を完全に削除します
- ユーザーの名前を履歴レコードの「削除されたユーザー(Forgotten User)」タグに置き換えます
- リクエスターによって作成されたチケットとメモを削除します(コア・サービスデスクのアクティビティに関連付けられていない場合)
- ビジネスおよび法的な目的で、匿名化されたアクティビティ・データを保持します
このプロセスは、リクエスター(従業員/エンド・ユーザー)またはエージェントを削除するかどうかによって若干異なります。
| ユーザー・タイプ | 削除されるもの | 保持されるもの |
|---|---|---|
| リクエスター | PII、チケット、メモ、通話 | 匿名化された属性を持つコア・サービスデスクのアクティビティ(承認、変更要求) |
| エージェント | PII、インシデント、メモ、サービス・リクエスト | 「削除されたユーザー(Forgotten User)」タグ付きのヘルプデスク・アクティビティ・データ、監査ログ・エントリ |
このアプローチは、コンプライアンスと実用的なビジネス・ニーズのバランスを取ります。必要に応じて個人データを消去しますが、IT運用の履歴コンテキストを失うことはありません。
データのエクスポートとポータビリティ
GDPRは、個人に自分のデータにアクセスし、構造化された機械可読形式でそれを受け取る権利を付与します。Freshserviceは、そのエクスポート機能を通じてこれをサポートします。
管理者は以下をエクスポートできます。
- 完全な顧客レコード
- チケット履歴
- 関連する添付ファイルとコミュニケーション
エクスポートは、他のシステムに転送できる形式で利用でき、ポータビリティ要件を満たします。複雑なリクエストについては、包括的なデータ抽出についてFreshworksサポートにお問い合わせください。
同意管理
同意は、GDPRに基づく個人データ処理の法的根拠の1つです。Freshserviceは、同意を追跡および管理するためのツールを提供します。
- Webフォームのオプトイン:リクエスター・ポータルに同意チェックボックスを含めます
- メールの同意追跡:同意が得られた時期と方法を記録します
- アクティビティ・タイムライン:連絡先ごとの完全な同意履歴を表示します
- 登録解除管理:「おやすみモード(Do Not Disturb)」フラグは、不要なコミュニケーションを防ぎます
アクティビティ・タイムラインは特に便利です。同意アクションがいつ発生したか、およびどのソースがそれらをトリガーしたか(Webフォーム、メール、手動入力)を正確に示します。この監査証跡は、質問された場合にコンプライアンスを実証するのに役立ちます。
アナリティクスのオプトアウト
GDPRでは、個人はアナリティクスを含む特定の目的でのデータの処理に異議を唱えることができる必要があります。Freshserviceは、2つのレベルのオプトアウトを提供します。
ユーザー・レベルのオプトアウト:管理者は、プロファイル設定を通じて個々のユーザーのアナリティクス追跡を無効にできます。これにより、特定の人に対するデータ共有が停止しますが、他の人に対しては維持されます。
アカウント・レベルのオプトアウト:組織は、Freshworksサポートに連絡して、アカウント全体のアナリティクス追跡を終了できます。これは、ビジネス・アナリティクスのためにデータの使用を完全にオプトアウトしたい企業向けのより広範なオプションです。
データ・セキュリティとコンプライアンス認証
機能はGDPRストーリーの一部にすぎません。また、基盤となるインフラストラクチャがセキュリティ基準を満たしているという保証も必要です。Freshserviceは、GDPRコンプライアンスにとって重要な、いくつかの認証を保持しています。
| 認証 | 意味 |
|---|---|
| SOC 2 Type II | 時間の経過に伴うセキュリティ・コントロールの独立監査 |
| ISO 27001 | 情報セキュリティ管理の国際規格 |
| GDPR | EUデータ保護規則への直接準拠 |
| HIPAA | 医療データ保護(医療機関に関連) |
| PCI DSS | 決済カード業界のセキュリティ基準 |
| FedRAMP | 米国連邦政府のクラウド・セキュリティ認証 |
Freshserviceは、データの所在地に関しても柔軟性を提供します。米国、EU、インド、およびオーストラリアでデータセンターを運営しています。これは、GDPRに国境を越えたデータ転送に関する特定の要件があるため重要です。EUデータ・レジデンシーが必要な場合は、セットアップ時にそれを指定できます(プランによって異なります)。
EU外への転送の場合、Freshworksは以下を使用します。
- EU-USプライバシー・シールド認証
- モデル契約条項
- 転送影響評価
また、データ・プロセッサとしての義務を概説するデータ処理補遺を維持し、契約上のデータ保護コミットメントを含むサブ・プロセッサのリストを公開しています。
FreshserviceでのGDPRコンプライアンスの実装:実践的な手順
機能を知っていることは1つのことです。それらを実践することは別のことです。FreshserviceでGDPRコンプライアンスを実装するための実践的なアプローチを次に示します。
データ保持ポリシーを設定する
さまざまな種類のデータを保持する期間を決定します。Freshserviceでは保持期間を構成できますが、以下に基づいてそれらを定義する必要があります。
- お客様の業界における法的要件
- 履歴分析のビジネス・ニーズ
- ストレージ制限の原則(必要以上にデータを保持しないでください)
保持スケジュールを文書化し、毎年見直してください。
同意ワークフローを構成する
個人データを収集する場所をマッピングし、同意メカニズムが整っていることを確認します。
- リクエスター・ポータルでオプトイン・チェックボックスを有効にします
- メール通信の同意追跡を設定します
- 電話で取得した場合に口頭での同意を記録するようにエージェントをトレーニングします
- 完全性を定期的に監査します
チームをトレーニングする
GDPRコンプライアンスは、人々が自分の責任を理解していない場合に失敗します。エージェントを以下についてトレーニングします。
- データ主体要求を認識して処理する方法
- プライバシーに関する懸念をエスカレートする時期
- 「ユーザー削除(Forget User)」機能の適切な使用
- 共有できるデータと共有できないデータ
プロセスを文書化する
GDPRには説明責任が必要です。規制当局(およびお客様自身の経営陣)に、お客様のアプローチについて検討したことを示す必要があります。以下を文書化します。
- アクセス要求の処理方法
- 削除要求の手順
- 「ユーザー削除(Forget User)」機能の使用を許可されている人
- 個人情報を開示する前に身元を確認する方法
GDPRアシスタント・アプリを検討する
Freshworks Marketplaceは、一部のコンプライアンス・タスクを自動化するSynerityによるGDPRアシスタント・アプリを提供しています。それは:
- 設定された期間後に非アクティブなエージェントを自動的に削除できます
- 指定された期間後に無効化されたリクエスターを削除します
- 更新されていない古いチケットをクリーンアップします
- スケジュールされた間隔(毎日または毎週)で実行します
これは、保持ポリシーを手動で処理するのではなく、自動化したい組織に役立ちます。
AI機能とGDPRに関する考慮事項
Freshserviceは、多くのプラットフォームと同様に、Freddy AIを通じてAI機能を統合しています。これらの機能は効率を向上させることができますが、自動化された意思決定とデータの使用に関するGDPRの考慮事項が発生します。
AIとデータに対するFreshworksのアプローチには、以下が含まれます。
- AIトレーニングは、デフォルトで顧客データを使用する場合があります
- 顧客は、コラボレーティブ・モデルのAIトレーニングをオプトアウトできます
- コラボレーティブ・モデルとカスタム・モデルの両方で完全にオプトアウトできます
- AIサービスは、管理コンソールから完全にオフにできます
- AIシステムからのデータ削除は、オプトアウトから180日以内に行われます
AI機能を使用している場合は、補足条項を確認して、AIトレーニングがデータにどのように影響するかを理解してください。サポート・ワークフローでの自動化された意思決定に、GDPR第22条に基づく追加の透明性が必要かどうかを検討してください。
AIチームメイトによるFreshserviceの補完
FreshserviceはGDPRコンプライアンスのインフラストラクチャを処理しますが、実際にはサポートのやり取りを管理する必要があります。AIチームメイトはそれを支援できます。
eesel AIはFreshserviceと統合して、コンプライアンス・フレームワークを尊重しながら、最前線のサポートを処理します。その仕組みは次のとおりです。
- eesel AIは、Freshserviceのチケット履歴とナレッジベースから学習します
- GDPR関連の質問を含む、一般的な質問への回答を起草します
- エージェントは送信前に確認および承認し、人間の監督を維持します
- eesel AIがアクセスおよび使用できるデータを正確に制御します
これは、多くの組織が受け取るGDPR関連のクエリの流入を処理するのに特に役立ちます。「私に関するどのようなデータをお持ちですか?」や「削除をリクエストするにはどうすればよいですか?」などの一般的な質問にエージェントが手動で回答を起草する代わりに、eesel AIは文書化された手順に基づいて正確な回答を起草できます。
組み込みのAI機能との主な違い:eesel AIは、意思決定を行う自律エージェントではなく、レビューのために起草するチームメイトとして動作します。これにより、データ主体に伝達される内容をより詳細に制御できます。
当社の価格は、最大3つのボットと1,000回のAIインタラクションを含むチーム・プランで月額299ドルから始まります。大量のGDPRリクエストを処理する組織の場合、ビジネス・プランは月額799ドルで、一括シミュレーションやEUデータ・レジデンシーなどの機能が追加されます。
Freshservice GDPRコンプライアンス・チェックリスト
このチェックリストを使用して、FreshserviceでのGDPRコンプライアンスを評価および維持します。
データ主体要求の処理:
- 要求の受信と検証のために定義されたプロセス
- 応答のために確立されたタイムライン(GDPRでは30日が必要)
- 実施されている身元確認手順
- 維持されているすべての要求のログ
ユーザー削除手順:
- 「ユーザー削除(Forget User)」プロセスが文書化されている
- 適切な使用についてトレーニングされた承認済みユーザー
- 誤った削除を防ぐための確認ワークフロー
- 定義された削除後の検証手順
同意管理:
- すべてのデータ収集ポイントでアクティブなオプトイン・メカニズム
- 完全で監査可能な同意記録
- テスト済みで機能的な登録解除プロセス
- 定期的な同意監査がスケジュールされている
データ・エクスポート・プロセス:
- エクスポート手順が文書化されている
- エクスポートの生成についてトレーニングされたスタッフ
- 確立された安全な配信方法
- エクスポートに必要なすべてのデータが含まれていることの検証
セキュリティ構成:
- 役割ベースのアクセス制御が四半期ごとに見直される
- すべてのユーザーに対してSSOとMFAが有効になっている
- 該当する場合はIP制限が構成されている
- データ・レジデンシー設定が検証されている
スタッフ・トレーニング:
- すべてのエージェントに対して完了した初期GDPRトレーニング
- 毎年スケジュールされているリフレッシャー・トレーニング
- すべてのスタッフがアクセスできるプロセス・ドキュメント
- 明確に定義されたエスカレーション・パス
よくある質問
この記事を共有
Article by
Stevia Putri
Stevia Putri is a marketing generalist at eesel AI, where she helps turn powerful AI tools into stories that resonate. She’s driven by curiosity, clarity, and the human side of technology.
