概要
EU 一般データ保護規制(GDPR)に基づき、企業は従業員の個人情報を、従業員の同意なしに LMS365 などの第三者ベンダーと共有することが認められています。ただし、この場合、企業は従業員の情報が第三者と共有されること、共有するに当たって正当な目的があること、共有が GDPRの要件 に従って行われることを従業員に通知する必要があります。
このことは、LMS365の機能の基本であることから、本ソリューションで従業員の個人情報を保存します。
これはお客様と弊社との同意事項に含まれています。
ここでは、弊社と従業員の個人情報を共有する上で、どのようにすれば情報の取り扱いに関する基準を満たすことができるかについてご案内します。
LMS365と共有する個人データ
LMS365は、受講者リスト、必須のトレーニング、個人への通知、個人のトレーニングの進捗などの機能を持つ学習管理システムとして正しく動作するために、個人データに依存しています。
ただし、LMS365は、この機能を提供するために必要最小限の個人情報のみを収集します。
これには、アカウント名、電子メールアドレス、所在地、役職などの情報が含まれます。
個々のお客様のデータは、それぞれのお客様が選択されたデータセンターの地域にある専用の Azure SQL データベースに保存されます。
LMS365 が収集するすべてのデータとその保存方法については「個人情報とデータの保存」をご参照ください。
すべてのお客様データは、GDPR の要件に完全に準拠して取り扱われます。
データ取り扱いについては「データプライバシー、情報セキュリティ、GDPR遵守のお約束」をご参照ください。
忘れられる権利の原則を遵守するための製品機能
お客様に「忘れられる権利」の原則を遵守する機能を提供するため、LMS365 にはコースカタログから選択した受講者のすべての記録を消去する機能(ユーザーの記録を消去)が用意されています。
この操作は、お客様の組織内の適切なアクセスレベルの担当者が行うことができます。
ユーザーのすべての記録を消去すると、コースカタログ内にある当該ユーザーのすべての情報と活動の記録が削除され、当該ユーザーのデータは MS365 に保存されなくなります。
このようにして、お客様の判断で、ユーザーを本製品から完全に消去することができます。
概要でご説明した通り、LMS365 は学習管理システムが適切に機能するために必要な個人情報のみを収集し、すべてのデータは GDPR の要件に従って取り扱われます。
これは、LMS365 と個人情報を共有する背景に正当な理由があり、データの共有が慎重に要件に従って行われることを意味します。
LMS365で従業員の個人情報を利用する際の推奨事項
LMS365との連携において、個人データの取扱いに関するGDPRの基準を遵守するため、次の事項を実践することを推奨しています。
1.個人情報がLMS365と共有されること、その個人情報が何に関するものか、その個人情報を使用する理由を従業員に知らせます。これによって必要な透明性を確保することができます。
2.LMS365で共有する個人情報を従業員が簡単に修正できるようにします。これにより、誤った個人情報を修正する権利を従業員に与えることができます。
3.従業員が退職した後、LMS365で「忘れられる権利」を簡単に要求できる機会を提供します。
これにより、組織に元従業員の個人情報を保持する正当な理由がない場合、元従業員はLMS365から個人情報を消去する権利が保証されます。
LMS 365のITセキュリティ管理の詳細については 「トラストセンター」 をご覧ください。
ここでは、セキュリティ、認証、LMS 365に保存されるデータ、プライバシー、データ処理のセキュリティ、データへのアクセス、および暗号化に関する情報がまとめられています。