EU一般データ保護規制(GDPR)に基づき、企業は従業員の個人情報を、従業員の同意なしにLMS365などの第三者ベンダーと共有することが認められています。ただし、企業は、従業員の情報が第三者と共有されること、共有するに当たって正当な目的があること、共有がGDPRの要件に従って行われることを従業員に通知する必要があります。
LMS365を使用するには、これが不可欠であるため、このソリューションを使用して従業員の個人情報を保存します。これはお客様と弊社との契約事項に含まれています。ここでは、お客様が弊社と情報を共有するにあたり、弊社が従業員の個人情報の取り扱いに関する基準を満たしていることを確認する方法をご案内します。
LMS365で共有した個人情報:
LMS365は、受講者一覧、必須トレーニング、個人への通知、個々のトレーニングの進捗などの機能を備えた学習管理システムとして適切に動作するために個人情報に依存しています。
LMS365では、これらの機能を提供するために必要最小限の個人情報のみを収集します。これには、アカウント名、Eメールアドレス、所在地、役職などの情報が含まれます。お客様のデータは、お客様が選択したデータセンターの場所にある専用のAzure SQLデータベースに保存されます。弊社が収集しているデータの一覧とその保存方法についてはこちらの「個人情報とデータの保存」をご覧ください。
すべてのお客様データは、GDPRの要件に従って適切に取り扱われます。弊社のデータ取り扱いについての詳しい情報は、こちらのデータプライバシー、情報セキュリティ、GDPR遵守への取り組みをご覧ください。
忘れられる権利の原則を遵守するための製品機能:
お客様に「忘れられる権利」の原則を遵守する機能を提供するため、LMS365にはコースカタログから選択した受講者のすべてのレコードを消去する機能が用意されています。お客様の組織内の適切なアクセス・レベルの担当者がこの操作を行うことができます。
「受講者の記録を消去する」は、その受講者のコースカタログ内にあるすべての情報と活動履歴を削除し、その受講者のデータがLMS365に保存されていないことを保証します。
このようにして、お客様が望めば、ユーザーを製品から完全に消し去ることができます。
ここで概説したように、LMS365は学習管理システムが正しく動作するために必要な個人情報のみを収集し、すべてのデータはGDPRの要件に従って取り扱われます。
つまり、LMS365との個人情報の共有には正当な目的があり、情報の共有は要件に従って慎重に行われているということです。
LMS365における従業員の個人情報使用に関する推奨慣行:
LMS 365との共同作業で個人情報を扱う際にGDPRの基準を遵守するには、以下の方法を推奨します。
- 個人情報がLMS365と共有されること、その個人情報が何に関するものか、およびその理由を従業員に知らせます。これによって必要な透明性を確保することができます。
- LMS365で共有する個人情報を従業員が簡単に修正できるようにします。これにより、誤った個人情報を修正する権利を従業員に与えることができます。
- 従業員が退職した後、LMS365で「忘れられる権利」を簡単に要求できる機能を用意します。
これにより、組織に元従業員の個人情報を保持する正当な理由がない場合、元従業員はLMS365から個人情報を消去する権利を確保できます。
LMS 365のITセキュリティ管理の詳細については 「トラストセンター」 をご覧ください。
ここでは、セキュリティ、認証、LMS 365に保存されるデータ、プライバシー、データ処理のセキュリティ、データへのアクセス、および暗号化に関する情報がまとめられています。