GDPRとは?

GDPRは、個人のプライバシーおよびデータの保護について規定した、EU全体に適用される法律であり、企業がEU居住者のデータを保護する方法について定めるとともに、EU居住者が自身の個人データを管理する権限を強化しています。

GDPRは、EUを拠点とする事業者やEU居住者だけでなく、国際的に事業を展開するあらゆる企業に関係します。お客さまのデータは、所在地にかかわらずすべて重要です。当社が全世界におけるすべての業務の基本的な基準として、GDPRの管理策を導入しているのはそのためです。GDPRは、2018年5月25日から施行されています。

個人データとは?

識別可能な個人あるいは識別された個人に関する、あらゆるデータをいいます。それだけで個人を識別できる情報だけでなく、他の情報と組み合わせて個人を識別できる情報など、GDPRは幅広い情報に適用されます。個人データは、個人の氏名やメールアドレスだけにとどまりません。個人データの例には、金融情報や政治的見解、遺伝子データ、生体認証データ、IPアドレス、住所、性的指向、民族性なども含まれます。

ZohoのGDPRへの対応

この新しい規制を遵守するために、当社は、さまざまな面で対策を講じています。

  •   組織全体で従業員の意識を高めるため、社内のコミュニケーションチャネルを用いて頻繁に話し合い、データを適切に取り扱うための従業員研修を実施しています。それにより従業員は、情報セキュリティの重要性とGDPRが定める高い基準について理解できるようになりました。
  •  Zohoの全製品について、GDPRの要件に照らして個別に評価し、新しい機能を導入することで、お客さまのデータ管理権限を強化するとともに、GDPRに準拠する際のお客さまの負担を軽減しています。
  • 一部製品のGDPRへの対応をご確認ください。

  •  当社では情報資産台帳(IAR: Information Asset Register)を作成していますが、これには、データ管理者や処理者など、Zohoが担うすべての役割に関する情報が記載されています。IARは、当社組織が処理するさまざまなカテゴリーの個人データや、どの部門がどのような目的でどのデータにアクセスしているかについての詳細を記録します。当社が行うデータ処理および手順のすべてが包括的にその対象となっています。
  •  サードパーティーサービスプロバイダーやパートナーなどの副処理者を起用する際には評価を行い、副処理者が現在のセキュリティおよびプライバシー分野の差し迫った必要性に対処していることを確認するために、副処理者との契約プロセスを合理化しています。
  •  当社の全チームにプライバシー責任者を任命するとともに、データ保護責任者(DPO: Data Protection Office)も任命しています。
  •  当社のアプリケーションチームは、プライバシーバイデザイン(PbD)のコンセプトを採用し、当社システムにお客さまが保存したデータに対するお客さま自身の管理権限を強化しています。このような強化は、製品の特徴や領域によって異なる場合があります。当社は、さらなる強化を提供できるよう絶えず努力し、こうした強化を段階的に展開していきます。
  •  GDPRのデータ処理要件を遵守するために、当社のデータ処理補足条項を(モデル契約条項に基づき)修正しました。

    お客さまが組織の管理者であり、当社との間でデータ処理補足条項に署名することを希望される場合には、legal@zohocorp.com宛てのメールによりデータ処理補足条項の写しを請求してください(英語対応)。その際、いずれのデータセンターでお客さまのZohoアカウントにサインアップしたかをお伝えください。

  •  当社は、データ保護影響評価(DPIA: Data Protection Impact Assessment)を実施しました。その結果に基づいて、データ処理および管理に関する適切な管理を行っています。
  •  当社の製品、プロセス、業務および経営に対する内部監査を実施しました。監査結果は各チームに伝えられ、チームは、特定された問題の解決策を打ち出しています。
  •  DPIAと内部監査に基づき、当社のデータセキュリティの手法およびプロセスを改善しました。これには、秘密性のレベルやリスクの可能性に基づいて保存データを暗号化することが含まれます。当社は、データのガバナンスおよび検出を改善するための社内ツールを開発しました。
  •  当社が最新かつ正確な情報だけを保持するよう徹底するため、データベースのクリーンアップを実施しました。このクリーンアップのプロセスには、当社のサービス規約に定めるとおり、終了したアカウントと休眠アカウントを削除することが含まれています。
  •  必要な場合には、社内のプライバシーインシデント対応ポリシーに従って侵害の通知が行われます。Zohoが侵害を認識してから72時間以内に、お客さまにその侵害について通知します。一般的なインシデントの場合には、ブログ、フォーラム、ソーシャルメディアを通じてユーザーに通知します。個人ユーザーに固有または組織に固有のインシデントの場合には、(主要なメールアドレスへの)メールにより関係者に通知します。
  •   当社のデータインベントリー、データフロー、データ取扱慣行に基づいて、適用されるプライバシー関連法の要件を盛り込むために、当社のプライバシーポリシーを改定しました。

ライブフォーラムでのQ & Aセッションにご参加ください。GDPRに対応するために改定されたZohoのプライバシーポリシーに関するご質問に回答します。今すぐ質問する(英語対応)

FAQ:

1. GDPRとは?

  • EUの一般データ保護規則(GDPR: General Data Protection Regulation)により、データ保護法やプライバシー関連法が大幅に変わりました。EUは、過去数十年間でテクノロジーが著しく進化したにもかかわらず、プライバシー関連法は古いままであることを認識していました。2016年、時代の変化に対応するために、EUの規制機関は当時の現行法であったデータ保護指令の改定を決定しました。この法律は、EU居住者の個人データの処理に適用される一連の包括的な規制を定めています。

2. GDPRの適用対象者は?

  • GDPRは、EU居住者の個人データを扱うすべての組織に適用されます。この法律によって、データ処理者の新しい義務が導入されるとともに、データ管理者の説明責任が明確に規定されました。

3. GDPRが適用される地域は?

  • この法律に国境はありません。組織の所在国にかかわらず、EU内のデータ主体の個人データを処理する場合には、この法律が適用されます。

4. GDPRに違反した場合の罰則は?

  • GDPRに違反した場合には、最大で全世界での年間売上高の4%、または2,000万ユーロ(いずれか大きい方の額)の罰金が発生します。

5. 主要な利害関係者は?

  • データ主体 - データの主体である、EUに居住する自然人
  • データ管理者- データ処理の目的と手段を決定する者
  • データ処理者- 管理者の指示に基づきデータを処理する者
  • 監督当局- 規制の適用を監視する公的機関

6. 個人データ、または個人識別情報(PII: Personally Identifiable Information)とは?

  • 識別されたまたは識別可能な自然人に関する情報をいいます。識別子は、直接的なもの(氏名、メールアドレス、電話番号など)と間接的なもの(生年月日、性別など)の2種類に分類されます。

7. 前身法からの主な変更は?

  • データ主体の権利の新設および強化- この法律は、個人に自らの個人データに対する完全な権限を行使する権利を付与することを定めています。 同法律が定める主要な権利には、以下のものがあります。
  • 明示的な同意:データ主体の個人データがどのように処理されるかについて、データ主体に通知する必要があります。 組織は、データ主体が同意したときと同程度に容易に同意を撤回できる方法を定めておかなければなりません。
  • アクセスの権利:データ主体は、いつでも、自分自身について、どのような個人データが保管・保持されているかを管理者に確認することができます。
  • 消去の権利(忘れられる権利):データ主体は、データ管理者のシステムから自らの個人情報を削除するようデータ管理者に要求することができます。
  • 処理者の義務 - GDPRに定めるデータ処理者の責任と義務の基準も引き上げられました。 データ処理者は、GDPRを遵守していることを証明できなければならず、また、データ管理者の指示に従う必要があります。
  • データ保護責任者- 組織は、GDPRや一般的なプライバシー管理におけるコンプライアンスおよびデータ保護慣行の監督責任者として、従業員または外部サービスプロバイダーを任命しなければならない場合があります。
  • プライバシー影響評価(PIA: Privacy Impact Assessment)- 組織は、その大規模なデータ処理についてプライバシー影響評価を実施することで、リスクを最低限に抑え、その軽減措置を特定する必要があります。
  • 侵害通知 - データ管理者は、侵害を知り得た場合はその後72時間以内に、利害関係者(監督当局と、該当する場合にはデータ主体)に通知しなければなりません。
  • データポータビリティ:データ管理者は、データ主体の個人データのコピーを機械可読形式でデータ主体に提供することが可能でなければなりません。可能であれば、データ管理者は、別のデータ管理者にデータを転送することができるものとします。

8. データ管理者が顧客のデータを処理できる法的根拠は?

  • データ管理者は、データ処理の根拠を以下の6つの中から選択することができます。
  • 契約 - 契約上の義務を履行するため、または顧客の要求に基づき何らかの行為(見積書や請求書の送付など)をするために、顧客の個人データを処理する必要がある場合がこれに該当します。
  • 法的義務 - 適用法に基づき義務を遵守しなければならない場合(当局による捜査など、正当な要請に応じて情報を提供する場合)がこれに該当します。
  • 重大な利益 - 生死にかかわる緊急の重大な問題、特に健康データに関する場合などが該当します。
  • 公的作業 - 公的機関による活動が該当します。
  • 正当な利益 - 正当な利益には、ダイレクトマーケティング、個人的利益、より広範囲な社会的利益など、商業上の利益が含まれることがあります。データ管理者は、正当な利益の評価(LIA: Legitimate Interests Assessment)の形で、正当な利益に関する決定を文書化し、記録に残す必要があります。
  • 同意 - 同意もデータ処理の適法な根拠になります。データ主体の同意とは、「自由に与えられ、具体的で、事前に説明を受けた上での、不明瞭ではない、データ主体の意思の表示であり、これによってデータ主体が、その陳述又は明確な積極的行為により、自身に関連する個人データの処理に対する同意を表明すること」を意味します。

9. LIAとは?

  • LIAは、Legitimate Interests Assessment(正当な利益の評価)の略称です。LIAには、組織が顧客の個人データの処理を必要とする理由を明記します。組織は、個人データの処理が必要であることを示すためにも、LIAを実施する必要があります。
  • 正当な利益が存在するか否かの評価。
  • 処理の必要性の証明。
  • バランシングテストの実施。

10. GDPRは、EUの個人データをEU域内にとどめておくことを義務付けているか?

  • いいえ、GDPRは、EUの個人データをEU域内にとどめておくことを義務付けておらず、EU域外への個人データの移転に対し、新しい制限も課していません。当社のデータ処理補足条項は、欧州委員会のモデル条項を参照しており、今後も、お客さまがEUの個人データをEU域外に移転できるようにしています。

11. GDPRに関する追加情報はどこで得られるか?

リソース:

Our Continuing Commitment to Your Privacy - Sridhar Vembu, CEO Zoho Corp.

GDPR - The Essentials

ご質問やご懸念があれば、privacy@zohocorp.comまで、お気軽にご連絡ください(英語対応)。

プライバシーを保護するために、Zohoをお選びください。

  • bsi-assurance
  • SOC

免責事項:このページに記載する情報は、法的助言とみなされるべきものではありません。GDPRの要件を遵守するために取らなければならない措置については、専門家の法的助言を求めることをお勧めします。

お客さまと弊社の契約関係には、本文書の英語版が適用されます。本文書はお客さまの利便性の向上を目的として提供されており、本文書の英語版が規定する契約関係には影響を与えません。本文書の英語版についてはこちらをご覧ください。