GDPRコンプライアンスなどのCOVIDの問題をきっかけに、ウエストサイドが低下しました。それほど人気のあるトピックではありませんが、すべてのホテル経営者がEUプライバシー法に関する基本的な概念を理解することは依然として重要です。
あなたのホテルは、一般データ保護規則(より一般的にはGDPRとして知られています)に準拠していますか?おそらく、ホテルをコンプライアンスに準拠させるための主要な実装を行ったことがあるでしょう。あるいは、そのようなプロジェクトを犠牲にして、小さなブランドがコンプライアンス監査の対象にならないという「指を交差させた」アプローチを採用したかもしれません。
その範囲に到達する場合は常に、ホテルに対するGDPRに準拠しないリスクが比較的高くなります。 GDPRの最初の年に281,000件の訴訟が規制当局に提出され、企業は最大2,000万ユーロまたは年間収益の4%のいずれか大きい方の罰金を科せられます。そして2019年7月、ホテルのコンプライアンス違反のリスクは、1億2500万米ドルの記録的な罰金によって強調されました。規制に基づく重大なデータ侵害についてマリオットに請求されました。 PRダメージだけでも、罰金よりもコストがかかる可能性があります。
ウェブサイト、チャネルマネージャー、サードパーティの予約エンジン間でデータをクラスター化して共有する業界にとって、GDPRは大きな苦痛でした。また、フォーブスは世界のコンプライアンスコストを90億米ドル以上と見積もっており、非常に高額です。そして、それは大企業のためだけです!中小企業は、コンプライアンスに多大な時間とお金を費やしています。
この投資にもかかわらず、規制は単に設計どおりに機能していません。それはひどく実行された善意のイニシアチブです。この簡単な「ダミーのためのGDPR」入門書では、それがどのように強力に始まったのか、どこで失敗したのかを探り、ホテルの完全なGDPRチェックリストを提供して、銀行を壊すことなく準拠できるようにします。
データ保護法(GDPR)とは何ですか?
一般データ保護規則の略であるGDPRは、2018年5月25日にEUで発効しました。この法律の成立は、規制を通じて消費者のプライバシーを保護する上での政府の役割を信じる人々の間の激しい対立によって特徴づけられました。そして、自由市場が勝たなければならないと信じている人々。
GDPRは、「個人データの処理およびそのようなデータの自由な移動に関する自然人の保護」を提供します。企業がデータを処理、処理、保存する方法の大幅な見直しとして、GDPRは個人がデータをよりきめ細かく制御できるようにしました。
GDPRでは、データとは、名前やIPアドレスなど、個人を特定するために使用できるあらゆる個人データと、遺伝物質、政治的見解、性的指向などの機密性の高い個人データの両方を指します。
個人データの管理者または処理者として機能する組織は、GDPRの対象となります。データコントローラーは、プロセスを開始するためにデータをどのように使用するかを決定するエンティティですが、データプロセッサーは、コントローラーに代わってデータを処理するデータコントローラーの従業員ではないエンティティです。
ホテルの場合、ベンダーはデータの「処理者」(つまり、サードパーティのプラットフォームで行われた予約)と見なされますが、ホテルはデータの「管理者」(つまり直接予約)として機能する可能性があるため、この区別は重要です。契約に別段の定めがない限り、データ管理者はGDPRへの準拠に責任を負います。
最大2500万ユーロまたは収益の4%の罰金が科せられる可能性があるため、ホテルはすべてのデータ保護戦略の中心にゲストを配置する必要があります。これについては、ホテルのGDPRチェックリストで詳しく説明します。
ホテルGDPRチェックリスト
ホテルをコンプライアンスに準拠させ、そのコンプライアンスを長期にわたって維持するには、思慮深く全体的なアプローチが必要です。内部システム間でデータがどのように共有されるか、およびそのデータが直接制御されていないサードパーティのシステムとどのようにやり取りされるかを慎重に検討する必要があります。
GDPRはデータ管理者としてホテルに責任を負わせるため、各時点でデータがどのように流れるかを理解することが重要です。ホテルのGDRチェックリストは次のとおりです。
監査。内部プロセス、ベンダーとの契約、既存のデータベース、およびシステム間でのデータの流れを確認するための分析を実施します。自分が所有している情報と、それにアクセスできる人を理解する必要があります。この明確さは、この時点からあなたがするすべてのことを知らせるはずです。
伝える。データコンプライアンスポリシーについては、既存のベンダーに問い合わせてください。ホテルのデータがシステムとどのように相互作用するかを明確に把握し、脆弱性や情報不足のベンダーを特定する必要があります。既存のベンダーと話し合った後、他のオプションを評価する時期かもしれません。 GDPRに準拠したベンダーと連携する場合、TravelClickのGMS(CRM)、 iHotelier Booking Engine 、またはホテルのWebサイトビルダーを使用すると、指を離さずにコンプライアンスのストレスを解消できます。コンプライアンスは製品に組み込まれているため、安心してご利用いただけます。
プラン。監査と更新された技術スタックを取得したら、次のステップはガバナンスの青写真を作成することです。ホテルがゲストデータを処理する方法の潜在的なギャップを排除するためのポリシーやプロセスなど、データを管理するためのフレームワークが必要です。消費者からのインバウンドデータ要求を処理する責任を割り当てるなど、スタッフに明確に定義された役割と責任が必要になります。また、データ関連のインシデント、ハッキング、または侵害が発生した場合に制定するための段階的なデータ侵害アクションプランを作成することもできます。
実行する。さあ、計画を立てましょう!必ず含めたいもの:
明示的な同意:Cookieを自動的にインストールしてオプトアウトするのではなく、Webサイトの訪問者にCookieをオプトインするように依頼します。また、各人がいつどこで同意したか(またはその同意を取り消したか)を追跡する必要があります。
プライバシーポリシー:プライバシーポリシーを更新して、データの使用方法やユーザーがオプトアウトする方法など、関連するGDPRコンプライアンス情報を含めます。
フロントデスク:オフラインで収集するものはすべてGDPRにも準拠する必要があるため、フロントデスクでのデータ収集ポリシーが準拠していることを確認してください。
既存のデータ。 GDPRは、いつキャプチャされたかに関係なく、すべての個人データに適用されます。データにも新しい規則や規制が適用されるため、データも確実に準拠する必要があります。
訓練。コンプライアンスはあなたの最も弱いリンクと同じくらい良いだけです。これらのポリシーを順守するようにスタッフをトレーニングすることで、GDPR関連の問題に対する脆弱性が低くなります。情報漏えいにつながる可能性のあるものと、それを防ぐためにどのように役立つかについてスタッフを教育します。これには、危険信号の監視も含まれます。スタッフが間違いやその他の苦情に関連する問題を経営陣に報告するための明確なプロセスを実行します。罰よりも透明性を優先する恐れのない環境があるべきです。
維持。メンテナンスはコンプライアンスよりもはるかに負担が少ないです。データ保護プログラムの各側面を定期的に見直して、予期しない変更や新しいコンプライアンスの問題がないか確認してください。
データ保護法は善意のイニシアチブです...
データ保護法の背後にある意図は良かった:それはすべて、今日のデータ主導のデジタル時代の消費者のためにより多くのコントロールを作成することでした。ほとんどの国と地域では、インターネットが引き継ぐ前に既存のプライバシー法が制定されました。この規制は、商取引に至るまでの規制に対応することを目的としていました。
今日のデジタル時代におけるより優れた管理というこの目的を達成するために、規制は、 コアデータ保護の原則に基づいて7つの個人の権利を祀っています。
通知を受ける権利。企業は、収集されるデータ、収集される理由、データの使用目的、および保存期間を指定する必要があります。企業はまた、その期間データを保存する明確な理由を持っている必要があります。
アクセス権。個人は、要求に応じて、読みやすい形式で個人データにアクセスできます。
是正する権利。個人は、企業が保持しているデータを確認、変更、および修正できます。
忘れられる権利。個人は自分に関する情報の削除を要求でき、企業は削除要求を許可するときに個人の利益と公共財のバランスをとる必要があります。
処理を制限する権利。個人には、制限を希望する特別な理由がある場合、個人データの処理を制限する権利があります。
データの移植性に対する権利。個人は、要求に応じて個人データを転送する権利があります。
異議を唱える権利。企業は、個人から明示的に同意を取得し、一元化された場所でその同意を追跡しながら、その同意を取り消すオプションを提供する必要があります。個人には、自動化されたアルゴリズムによって行われた決定に抗議する権利もあります。
データとその使用方法を個人で管理することでこのような強力なメリットが得られたとしても、このイニシアチブは意図しない結果をもたらしました。
...多くの意図しない結果を伴う
GDRにはいくつかの重大な意図しない結果がありました。つまり、コンプライアンスの現実がヨーロッパでビジネスを行う経済学にどのように浸透し、ビッグテックの力をさらに定着させたか。
ビッグテックは最大の受益者です。
最も広く使用されているデータトラッカーを備えたブランドは、GDPRにより市場シェアを獲得しました。中小企業が新法に適応するにつれて、彼らは最も多くのリソースを持っている企業に負けました。 Ghosteryの調査によると、GoogleやFacebookがなかった上位50社のアドテクベンダーのWebサイトリーチが20%減少しました。 GDPRは、すでに支配的な立場にある人々の手に、より多くの力を与えているようです。
複雑さは混乱を生みます-そして弁護士にとっては急降下です。
法律自体は、個人と企業の両方にとって非常に複雑です。多くの企業がコンプライアンス予算の少なくとも40%を法律上のアドバイスに費やしているため、全面的に勝利を収めているのは弁護士だけです。
ヨーロッパの競争力の低下-そして仕事の減少。
複雑さの法則は、この地域の新興企業に多大な影響を及ぼしました。ある調査によると、「EUベンチャーが州ごとに、粗産業カテゴリごとに1週間に調達する総額は338万ドル減少し、1週間のベンチャー取引数は17.6%減少しました。 、およびGDPRの展開後の平均的な取引で調達された金額が39.6%減少しました。」その投資の損失は、ヨーロッパで3,604から29,819の仕事のどこかで生じました。
新しい合併のリスク。
スターウッドの慣行に関連するマリオットの罰金の記録からも明らかなように、他のホテルを買収するホテルは、GDR関連のリスクを負います。そのため、Merrill Corpの調査の55%で、取引は崩壊しています。ターゲット企業のデータ保護ポリシーとGDPRへの準拠に関する懸念のために崩壊した取引に取り組んだと述べています。
ホテルのコンプライアンスのコスト。
最も遠く離れた場所にあるホテルでもコンプライアンスを考慮する必要があるため、ホスピタリティ業界は特にGDPRの影響を受けます。アドバイスを保持し、システムを実装するコストは高額です。 GDPRに準拠するには、IT、サイバーセキュリティ、デジタルフォレンジック、システム設計におけるベンダーと従業員間のコラボレーションが必要です。やるべきことがたくさんあるので、最大のブランドは、規模の経済を利用して全体的な実装コストを削減できるため、大きな利点があります。
これらの意図しない結果にもかかわらず、GDPRは依然としてホテルにとって大きな問題です。コンプライアンス要件と戦略的アプローチのバランスをとることにより、あらゆる規模のホテルが手頃な価格で効果的なフレームワークを構築できます。
GDPRに目を向けるときは、ベンダーがデータを収集して操作する方法についてホテルが責任を負うことに注意してください。すべてのタッチポイントは準拠している必要があります。準拠していないと、罰金が科せられます。したがって、ベンダーがホテルのGDPRについて情報を入手し、積極的に対応していることを確認する必要があります。そうしないと、自分の側でどれだけ準備をしても、ホテルは脆弱性にさらされたままになります。コンプライアンスに違反したり、データ侵害のようなものが発生したりすると、経済的およびPR的な影響が発生します。
データ保護法 (GDPR) とは?データ保護法 (GDPR) とは?
一般データ保護規則の略である GDPR は、2018 年 5 月 25 日に EU で施行されました。この法律の可決は、消費者の保護における政府の役割を信じる人々の間の激しい対立によって特徴づけられました。 ™ 規制によるプライバシー保護、および自由市場が普及しなければならないと信じる人々。
GDPR は、「個人データの処理およびそのようなデータの自由な移動に関する自然人の保護」を提供します。企業が期待されるデータの処理、処理、保存方法の大幅な見直しとして、GDPR は個人にもデータをより細かく制御できます。
GDPR では、データとは、名前、IP アドレス、または個人を特定するために使用できるものなどの個人データと、遺伝物質、政治的見解、性的指向などの機密性の高い個人データの両方を指します。
個人データの管理者または処理者として機能する組織はすべて、GDPR の対象となります。データ管理者は、プロセスが開始されるためにデータがどのように使用されるかを決定するエンティティですが、データ処理者は、データ管理者に代わってデータを処理するデータ管理者の従業員ではないエンティティです。
ホテルの場合、この区別は重要です。ホテルはデータの「管理者」として機能する可能性があり (直接予約など)、ベンダーはデータ (サードパーティのプラットフォームで行われる予約など) の「処理者」と見なされるからです。契約によって別途規定されていない限り、データ管理者は GDPR の遵守に責任を負います。
最大 2,500 万ユーロまたは収益の 4% の罰金が科せられる可能性があるため、ホテルはすべてのデータ保護戦略の中心にゲストを置かなければなりません。これについては、ホテルの GDPR チェックリストで後ほど説明します。
ホテルの GDPR チェックリストホテルの GDPR チェックリスト
ホテルをコンプライアンスに準拠させ、長期にわたってコンプライアンスを維持するには、思慮深く総合的なアプローチが必要です。内部システム間でデータがどのように共有されるか、また、直接制御できないサードパーティ システムとの間でデータがどのようにやり取りされるかを慎重に検討する必要があります。
GDPR はホテルにデータ管理者としての責任を課しているため、各時点でデータがどのように流れるかを理解することが重要です。ホテルの GDR チェックリストは次のとおりです。
監査。分析を実施して、内部プロセス、ベンダーとの契約、既存のデータベース、およびシステム間のデータ フローを確認します。どのような情報を所有し、誰がその情報にアクセスできるかを理解する必要があります。この明確さは、この時点からあなたが行うすべてのことを知らせるはずです。
伝える。データ コンプライアンス ポリシーについては、既存のベンダーに問い合わせてください。ホテルのデータがシステムとどのように相互作用するかを明確に把握し、脆弱性や情報不足のベンダーを特定する必要があります。既存のベンダーと話し合った後、他の選択肢を検討する時期かもしれません。 GDPR 準拠のベンダーと連携する場合
、またはを使用すると、指一本動かさずにコンプライアンスのストレスを解消できます。コンプライアンスは製品に組み込まれているため、より安心できます。
実行する。今こそ計画を実行する時です!必ず入れておきたいもの:
明示的な同意: Cookie を自動的にインストールしてオプトアウトするのではなく、Web サイトの訪問者に Cookie をオプトインするように依頼します。また、各人がいつどこで同意したか (またはその同意を取り消したか) を追跡する必要があります。
プライバシー ポリシー: プライバシー ポリシーを更新して、データの使用方法やユーザーがオプトアウトする方法など、関連する GDPR コンプライアンス情報を含めます。
フロント デスク: オフラインで収集するものはすべて GDPR にも準拠する必要があるため、フロント デスクでのデータ収集ポリシーが準拠していることを確認してください。
既存のデータ: GDPR は、取得時期に関係なく、すべての個人データに適用されます。データは新しい規則や規制の対象にもなるため、準拠していることも確認する必要があります。
列車。コンプライアンスは、あなたの最も弱いリンクと同じくらい良いものです.これらのポリシーを順守するようにスタッフをトレーニングすることで、GDPR 関連の問題に対する脆弱性を軽減できます。危険信号の監視を含め、データ侵害につながる可能性のあるものと、それを防ぐ方法についてスタッフを教育します。スタッフが間違いやその他の苦情に関連する問題を経営陣に報告するための明確なプロセスを展開します。処罰よりも透明性を優先する恐れのない環境が必要です。
維持。メンテナンスは、コンプライアンスよりもはるかに負担が少なくなります。データ保護プログラムの各側面を定期的に見直して、予期しない変更や新しいコンプライアンスの問題がないか確認してください。
世界有数のホテルブランドの10万人以上のエグゼクティブに加わり、最新の洞察を週に1回メールで受け取りましょう。
データ保護法は善意のイニシアチブです...データ保護法は善意のイニシアチブです...
データ保護法の背後にある意図は良好でした。それは、今日のデータ主導のデジタル時代において、消費者により多くの管理を行うことでした。ほとんどの国や地域では、インターネットが普及する前に既存のプライバシー法が制定されました。この規制は、規制を商取引にまで追い込むことを目的としていました。
今日のデジタル時代におけるより強力な管理というこの目的を達成するために、この規則は、 中核となるデータ保護原則に基づいて 7 つの個人の権利を定めています。
通知を受ける権利。企業は、収集するデータ、収集する理由、使用目的、および保存期間を指定する必要があります。企業は、その期間データを保存する明確な理由も必要です。
アクセス権。個人は、要求に応じて、読みやすい形式で個人データにアクセスできます。
修正の権利。個人は、企業が保持するデータを確認、変更、修正することができます。
忘れられる権利。個人は自分に関する情報の削除を要求できます。企業は、削除要求を許可する際に、個人の利益と公共の利益とのバランスを取らなければなりません。
処理を制限する権利。個人は、制限を希望する特定の理由がある場合、個人データの処理を制限する権利を有します。
データポータビリティの権利。個人は、要求に応じて個人データを転送する権利を有します。
反対する権利。企業は、個人から明示的に同意を得て、その同意を撤回するオプションを提供し、その同意を一元的に追跡する必要があります。個人は、自動化されたアルゴリズムによって下された決定に抗議する権利も持っています。
データとその使用方法を個人が制御できるという大きなメリットがあるにもかかわらず、このイニシアチブは意図しない結果ももたらしました。
...多くの意図しない結果を伴う...多くの意図しない結果を伴う
GDR の意図しない重大な結果がいくつかありました。つまり、コンプライアンスの現実がヨーロッパでビジネスを行う経済学に浸透し、ビッグテックの力をさらに定着させた方法です。
Big Tech は最大の受益者です。
最も広く使用されているデータ トラッカーを持つブランドは、GDPR により市場シェアを獲得しました。中小企業が新しい法律に適応するにつれて、彼らは最も多くのリソースを持つ企業に負けました。 Ghostery の調査では、Google や Facebook 以外の上位 50 のアドテク ベンダーのウェブサイト リーチが 20% 減少したことが示されました。 GDPR は、すでに支配的な勢力の手に、より大きな力を与えているようです。
Â
Â
複雑さは混乱を生み、弁護士にとっては思いがけない幸運をもたらします。
法律自体は、個人にとっても企業にとっても非常に複雑です。多くの企業がコンプライアンス予算の少なくとも 40% を法的な助言に費やしているため、全面的な勝利を得ているのは弁護士だけです。
ヨーロッパの競争力が低下し、雇用も減少します。
複雑性の法則は、この地域の新興企業に多大な影響を与えました。ある調査によると、「州ごとの原油産業カテゴリごとの週あたりの EU ベンチャーによって調達された総額が 338 万ドル減少し、毎週のベンチャー取引の数、および GDPR の展開後の平均的な取引で調達された金額の 39.6% の減少.」 その投資の損失は、ヨーロッパで 3,604 から 29,819 の間のどこかで発生しました。
新しい合併のリスク。
スターウッドの慣行に関連する記録的なマリオットの罰金によって証明されるように、他のホテルを買収したホテルは、GDR 関連のリスクを負います。そのため、取引は崩壊しており、Merrill Corp の調査の 55% が、対象企業のデータ保護ポリシーとGDPRへの準拠に関する懸念のために、崩壊した取引に取り組んでいたと述べています。
ホテルのコンプライアンス費用。
ホスピタリティ業界は GDPR の影響を特に受けており、最も遠い場所にあるホテルでもコンプライアンスを考慮する必要があります。アドバイスを保持し、システムを実装するためのコストは莫大です。 GDPR コンプライアンスには、IT、サイバーセキュリティ、デジタル フォレンジック、およびシステム設計におけるベンダーと従業員間のコラボレーションが必要です。やるべきことがたくさんあるため、規模の経済を利用して実装の全体的なコストを削減できるため、最大のブランドは大きな利点があります。
Â
Â
これらの意図しない結果にもかかわらず、GDPR は依然としてホテルにとって大きな問題です。コンプライアンス要件と戦略的アプローチのバランスを取ることで、あらゆる規模のホテルが手頃な価格で効果的なフレームワークを構築できます。
GDPR に目を向ける際は、ベンダーがデータを収集して操作する方法についてホテルが責任を負うことに注意してください。すべてのタッチポイントが準拠している必要があります。準拠していない場合、罰金が科せられます。そのため、ベンダーがホテルの GDPR について十分な情報を得て積極的に対応していることを確認する必要があります。そうしないと、どれだけ準備をしても、ホテルは脆弱性にさらされたままになり、コンプライアンス違反やデータ侵害のような事態が発生した場合、財務上および PR 上の結果につながります。
