GDPRとは?

GDPRは、EU全体に適用されるプライバシーおよびデータ保護法であり、企業がEU居住者のデータを保護する方法について定めるとともに、EU居住者が自身の個人データを管理する権限を強化しています。 

GDPRは、EUを拠点とする事業者やEU居住者だけでなく、国際的に事業を展開するあらゆる企業に関係します。お客様のデータは、お客様の所在地にかかわらずすべて重要です。当社がその基本水準として、GDPRの管理策を世界全体のすべての業務に導入しているのはそのためです。GDPRは、2018年5月25日から施行されています。

個人データとは?

識別可能な個人あるいは識別された個人に関するデータをいいます。GDPRは、そのままで個人を識別できる情報だけでなく、他の情報と組み合わせて個人を識別できる情報など、幅広い情報に適用されます。個人データは、個人の名前やメールアドレスだけにとどまりません。個人データの例には、金融情報や、政治的見解、遺伝子データ、生体認証データ、IPアドレス、住所、性的指向、民族性なども含まれます。

ZohoのGDPR対応状況

この新しい規制を遵守するために、当社は、さまざまな面で対策を講じています。

  • 内部チャネルでの頻繁な協議を通じて組織全体で意識を高め、データを適切に取り扱うための従業員研修を実施しています。現在、従業員は、情報セキュリティの重要性とGDPRが定める高い基準について理解しています。
  • Zohoの全製品をGDPRの要件に照らして個別に評価し、新しい機能を導入することで、お客様のデータ管理権限を強化するとともに、GDPRに準拠するためのお客様の負担を軽減しています。
  • 一部製品のGDPRへの対応をご確認ください。

  • データ管理者や処理者など、Zohoが担うすべての役割に関する情報を記載した、情報資産台帳(IAR:Information Asset Register)を作成しています。これには、当社が処理するさまざまなカテゴリーの個人データや、どの部門がどのような目的でどのデータにアクセスしているかについての詳細が記載されています。当社のすべてのプロセスと手順を包括的に対象としています。
  • 現在のセキュリティやプライバシー分野の差し迫った必要性に副処理者(外部サービス提供業者、パートナー)が対処していることを確認するために、副処理者を評価し、副処理者との契約プロセスを効率化しています。
  • 全チームの内部にプライバシー責任者を任命するとともに、データ保護責任者(DPO:Data Protection Office)も任命しています。 
  • 当社のアプリケーションチームは、プライバシーバイデザインのコンセプトを採用し、当社システムに保存されたお客様のデータに対する管理権限を強化しています。このような強化は、製品の特徴やドメインによって異なる場合があります。当社は、さらなる強化に絶えず努めており、こうした強化を段階的に展開していきます。
  • GDPRのデータ処理要件に準拠するために(標準的契約条項に基づいて)データ処理補足条項を修正しました。お客様がGDPRの義務を遵守できるように、ご要望に応じて、改訂後のデータ処理補足条項を共有します。 

    お客様が組織の管理者であり、当社との間でデータ補足条項に署名することを希望される場合には、いくつかの簡単なステップでデータ補足条項に電子署名することができます。

  • データ保護影響評価(DPIA:Data Protection Impact Assessment)を実施しました。その結果に基づいて、データ処理と管理に関する適切な措置を実施しています。
  • 製品、プロセス、業務、経営の内部監査を実施しました。監査結果は各チームに伝えられ、チームは、特定された問題の解決策を打ち出しています。
  • DPIAと内部監査に基づいて、データセキュリティの手法とプロセスを改善しました。これには、機密レベルおよびリスクの発生可能性に基づいて保存データを暗号化することが含まれます。データのガバナンスと発見を向上するための社内ツールを開発しました。
  • 最新かつ正確な情報のみの保持を徹底するため、データベースのクリーンアップを実施しました。このクリーンアッププロセスには、サービス規約に定めるとおり、終了されたアカウントと休眠アカウントを削除することが含まれています。
  • 必要な場合には、社内のプライバシーインシデント対応ポリシーに従って侵害の通知が行われます。Zohoが侵害を認識してから72時間以内にお客様に侵害を通知します。全体的なインシデントの場合には、ブログ、フォーラム、ソーシャルメディアを通じてユーザーに通知します。特定の個人ユーザーまたは組織に生じたインシデントの場合には、(主要なメールアドレスへの)メールにより当事者に通知します。
  • 当社のデータインベントリー、データフロー、データ取扱慣行に基づいて、適用されるプライバシー法の要件を組み込むために、プライバシーポリシーを改訂しました。

ライブフォーラムでのQ & Aセッションにご参加ください。GDPRに対応するために更新したZohoのプライバシーポリシーに関するご質問に回答します。今すぐ質問する

FAQ:

1. GDPRとは?

  • EUの一般データ保護規則(GDPR:General Data Protection Regulation)により、データ保護法やプライバシー関連法が大幅に変わりました。過去数十年間で技術が著しく進化したにもかかわらず、プライバシー関連法は変わっていないことをEUは認識していました。EUの規制機関は、2016年に、時代の変化に対応するために当時の現行法であったデータ保護指令の改定を決定しました。この法律は、EU居住者の個人データの処理に適用される一連の包括的な規制を定めています。

2. GDPRの適用対象者は?

  • GDPRは、EU居住者の個人データを扱うすべての組織に適用されます。この法律によって、データ処理者の新しい義務が導入されるとともに、データ管理者の説明責任が明確に規定されました。

3. GDPRが適用される地域は?

  • この法律に国境はありません。組織の所在地にかかわらず、EUのデータ主体の個人データを処理する場合には、この法律が適用されます。

4. 不遵守の罰則は?

  • GDPRに違反した場合には、最大で全世界の年間売上高の4%、または2,000万€(いずれか大きい方の額)の罰金が発生します。

5. 主要な利害関係者は?

  • データ主体- データの主体である、EUに居住する自然人
  • データ管理者- データ処理の目的と手段を決定する者
  • データ処理者- 管理者の指示に基づきデータを処理する者
  • 監督当局- 規制の適用を監視する公的機関

6. 個人データまたは個人識別情報(PII:Personally Identifiable Information)とは?

  • 識別されたまたは識別可能な自然人に関する情報をいいます。識別子は、直接的なもの(氏名、メールアドレス、電話番号など)と間接的なもの(生年月日、性別など)の2種類に分類されます。

7. 前身法からの主な変更は?

  • データ主体の権利の新設および強化- この法律は、個人が自分の個人データに対して完全な権限を行使する権利を認めています。同法が定める主要な権利には、以下のものがあります。
  • 明示的な同意:データ主体の個人データがどのように処理されるかについての情報を、データ主体に通知しなければなりません。組織は、データ主体が同意したときと同じくらい簡単に同意を撤回できるようにする必要があります。
  • アクセス権:いかなる時点でも、データ主体は、自分自身について、どのような個人データが保管されているかを管理者に尋ねることができます。
  • 忘れ去られる権利:データ主体は、データ管理者のシステムから自分の個人情報を削除するようデータ管理者に要求することができます。
  • 処理者の義務 - GDPRでは、データ処理者の責任と義務についての基準も引き上げられました。処理者は、GDPRを遵守していることを証明できなければならず、また、データ管理者の指示に従う必要があります。
  • データ保護責任者- 組織は、GDPRや、一般的なプライバシー管理の遵守およびデータ保護慣行の監督責任者として、従業員または外部サービス提供業者を任命することが必要になる場合があります。
  • プライバシー影響評価(PIA:Privacy Impact Assessment)- 組織は、リスクを最低限に抑えるために大規模なデータ処理のプライバシー影響評価を実施して、リスク軽減措置を特定する必要があります。
  • 侵害通知- データ管理者は、侵害を認識してから72時間以内に利害関係者(監督当局と、該当する場合にはデータ主体)に通知する必要があります。
  • データポータビリティ:データ管理者は、データ主体の個人データのコピーを機械可読形式でデータ主体に提供できる必要があります。可能な場合には、別のデータ管理者にデータを転送できる必要があります。

8. データ管理者が顧客のデータを処理できる法的根拠は?

  • データ管理者は、データ処理の根拠を6つの中から選択することができます。これには、以下のものがあります。
  • 契約 - 契約上の義務を履行するためや顧客の要求に基づき何らかの行為(見積書や請求書の送付など)をするために顧客の個人データを処理する必要がある場合には、これが該当します。
  • 法的義務 - 適用される法律に基づき義務を遵守しなければならない場合(当局による捜査など、正当な要請に応じて情報を提供する場合など)には、これが該当します。 
  • 重大な利益  - 生死にかかわる緊急の重大問題、特に健康データに関する場合には、これが該当します。
  • 公的作業  - 公的機関の活動には、これが該当します。 
  • 正当な利益  - 正当な利益には、ダイレクトマーケティング、個人的利益、より広範囲な社会的利益などの、商業上の利益が含まれることがあります。データ管理者は、正当な利益の評価(Legitimate Interests Assessment)により、正当な利益に関する決定を文書化し、記録に残す必要があります。
  • 同意  - 同意もデータ処理の適法な根拠になります。データ主体の同意とは、「データ主体が自分の要望を、十分な情報に基づき具体的かつ明確に自ら表示することにより、自分に関する個人データの処理に同意することを明言するか、明確な積極的行動によって表明すること」を意味します。 

9. LIAとは?

  • LIAは、Legitimate Interests Assessment(正当な利益の評価)の略称です。LIAによって、組織が顧客の個人データの処理を希望する理由を特定します。また、処理が必要であることを示すためにも、LIAを実施する必要があります。
  • 正当な利益が存在するかどうかの評価。
  • 処理の必要性の証明。
  • バランステストの実施。

10. GDPRは、EUの個人データをEU内にとどめておくことを義務付けているか?

  • いいえ、GDPRは、EUの個人データをEUにとどめておくことを義務付けておらず、また、EU域外への個人データの移転に対し、新しい制限も課していません。当社のデータ処理補足条項は、欧州委員会の標準的条項を参照しており、今後も、お客様がEUの個人データをEU域外に移転できるようにしています。

11. 私のデータが格納されている場所は?

  • zoho.comのお客様のデータは、米国のデータセンターに格納されており、zoho.euの場合には、EUのデータセンターに格納されています。

12. GDPRに関する追加リソースの参照先は? 

リソース:

Our Continuing Commitment to Your Privacy - Sridhar Vembu, CEO Zoho Corp.

GDPR - The Essentials

ご質問やご懸念があれば、privacy@zohocorp.comまで、お気軽にご連絡ください。

プライバシーを選択するならZohoを選択してください。

ZohoのGDPRへの対応状況についての詳細はこちらを参照してください。

  • bsi-assurance
  • Privacy Shield
  • TRUSTe
  • SOC

免責条項:このページに記載する情報は、法的助言とみなされるべきものではありません。GDPRの要件を遵守するために何をすべきかについて、法的助言を求めることをお勧めします。