今回はTeachableでGDPRへの対応状況について解説します。GDPRは、欧州のプライバシー法に関する取り組みです。2018年に施行されたEU域内の個人データ保護を規定する法で、いろんな会社でGDPRに対応する必要が出てきました。TeachableもGDPRに対応しているのかどうかということです。
今回お届けするノウハウはこちら
Step1. TeachableはEUのGDPRに完全に準拠している
どうしてGDPRの話をするのか、「欧州のことは関係ないじゃん」と思うかもしれませんが、Schoolが大きくなってくると海外在住のお客さんが購入することが起こります。海外の日本人のお客さん、例えばブラジルから買いましたとか、ドイツから買いましたというふうなお客さんがちょこちょこ出てきます。そうなったときにEUのGDPRに準拠しているのかということが気になってくると思います。なのでそういうときのために知っておきましょう。結論から言うと、TeachableはEUのGDPRに完全に準拠していると言っています。準拠するためにTeachable側は様々なことをやりましたと書いています。
- GDPRに確実に準拠するために外部の弁護士を雇いました。
- 必要な情報の開示を含めるために利用規約とかプライバシーポリシー変更しました。
- Schoolの所有者がTeachableでデータを表示したり、署名を送信するためのデータの処理規約であるDPA(データプロセッシングアグリーメント)を提供しました。
- サブプロセッサとの契約を見直しました。サブプロセッサというのは、Teachableのシステムの中で動いているものを指します。例えばTeachableのデータ管理はAWSというAmazonのデータの管理の仕組みを使っていたり、MailChimpと連携していたらMailchimpの方にもデータを流していたりとか、決済にStripeやPayPalを使っていたらそちらにも情報が波及しますよね。これらのようにデータの二次下請けをしているサービスをサブプロセッサと言います。そのサービスとの契約を見直して、データ保護ポリシーや手順がGDPRが準拠されてるかということを確認しましたということです。
- EUユーザーが個人データへのアクセスまたは削除を要求するための手順や方法を用意しました。
- コースのチェックアウトページ、つまりコースの決済ページのところに、メールのオプトインをするかしないかというチェックボックスも追加しました。ユーザーが自分で選べるようにしましたということですね。
- 生徒が学校の所有者に直接連絡するためのネイティブの連絡フォームを作っておきました。スクール所有者がわざわざ用意しなくても最初からTeachableが実装しているということです。
- ZapierまたはWebhookを介して購読解除のイベントをサードパーティサービスに渡す機能が向上しました。これは少しわかりにくいかもしれません。例えばTeachableから届くメールを解除したいときに、ユーザー側で解除しますよね。だけどTeachableとMailChimpとかConvertKitなど他のサービスが繋がっている場合、Teachableの購読解除ができたものの、Mailchimpからまだメールが届いてしまう状況が起こります。ユーザーはそういうのも含めて全部解除したい場合に、Zapierなどを使って、例えばTeachableのメール購読をお客さんが解除したのをトリガーにして、連携しているMailchimpの方でも、そのお客さんの購読を解除することができるようになったということです。
Step2. スクールの所有者としてもっと厳密にGDPR対応していくにはどうするか
次に、Schoolの所有者として、もっと厳密にGDPR対応していくにはどうしたらいいかということですね。Teachableのこの仕組みとしてはやれるだけのことはやったということで所有者はどうしたらいいのかについてです。
2-1. 法務の専門家に相談する・GDPRの要件をよく理解する
まずはGDPRの要件が複雑なので、Schoolの規約やプライバシーポリシーにどんなふうに影響してくるかを専門家に相談してみてください。と言っても専門家と顧問契約をする必要は全然なくて、クラウドワークスやランサーズなどのクラウドソーシングサイトでお願いしてもいいですし、ネットで検索するなどして相談してみてください。当然ですがGDPRはどういう要件で成り立ってるかを所有者が理解しておく必要があります。
2-2. サブプロセッサがGDPRに準拠しているかを確認する
前述したサブプロセッサ、例えばStripeやMailchimp、ZapierなどTeachableに付随して使っているサービスもGDPRに準拠しているかどうかというのも大事になってきます。
2-3. WebhookまたはZapierの購読解除トリガーを利用して電子メールの購読解除を自動化する
最後に、Zapierを使ってTeachableの購読解除とMailchimpなどのメールレスポンダ―の購読解除を自動化すると、より厳密になります。
Step3. 受講生がスクールのデータを削除してほしい場合は
GDPRはお客さんのデータを保護するものなので、お客さんがもう僕のデータはあなたのシステムから削除して欲しいという場合には削除する必要があります。その場合、 privacy@teachable.com というメールアドレスにお客さんがメールを送ると、そのお客さんのデータを丸々削除してもらうことができます。Teachableのブログに、今言ったようなGDPRに関する内容が全部書かれています。2018年5月25日に更新されているもので、どんな感じのことかが画像付きで説明されていたり、GDPRの要件についてのリンクが貼られているので、よくわからない場合はGoogle翻訳を使うなどして読んでみてください。今回は以上です。