Zoho MailはGDPRに準拠

一般データ保護規則(GDPR)は、欧州のデータ保護規則であり、個人データのセキュリティーを規制するために欧州委員会によって施行されました。GDPRは2018年5月25日に発効しました。EU居住者の個人情報を取り扱う組織は、その手段や所在地にかかわらず、データを保護する義務を負います。このページでは、GDPRに関するユーザーからの質問に対する回答の一部のほか、GDPRに対応するためにZoho Mailが行っていることの詳細や、ユーザーがコンプライアンス義務を果たせるように当社がすべてのユーザーにどのようなサービスを提供しているかをご説明します。

個人データの収集 - 常に準拠

Zoho Mailでは、プライバシーの重要性や、個人情報とユーザーのプライバシーをどのように守るべきかについて常に考えてきました。そのため、当社はGDPRの施行を歓迎しています。ユーザーに明確にしたいこととして、当社は広告を決して表示せず、収益源として広告に頼ることはありません。ユーザーが当社のサービスを利用するために必要な情報を除き、ユーザーの個人情報を収集する必要性は、これまでも、これからもありません。当社はユーザー情報を取得するたびに、データの目的とその使用方法を明確に説明します。

ユーザーは各自の要件に応じて、特定の機能を使用するかどうかを決定できます。

Zoho MailのGDPR対応

当社はユーザーのプライバシーを尊重しているため、個人情報の処理方法について明確なルールと戦略を定めています。ここでは、GDPRに関するポイントをいくつか示します。

データセキュリティー

Zoho Mailの各レイヤーには、セキュリティーが組み込まれています。特に、ISO 27001やSOC 2 Type 2の業界標準を満たすことで、データのプライバシーと保護に対する取り組みを証明しています。また、Zoho Corporation(当社)が参加し、EU-アメリカ間のコンプライアンスを認定しています。GDPRへの準拠は、お客さまのデータを保護するための最高水準の取り組みに着手する動機付けになると信じています。

データホスティング(局所性)

Zohoのサーバーは、アメリカ、EU、中国、インド、オーストラリアの最も安全なデータセンターにあります。お客さまのサービスデータをホストする地域は、管理者がZoho Mailアカウントを登録したZohoドメインによって異なります。

次の表に、Zohoドメインとホスティング場所を一覧で示しています。

Zohoドメイン - アカウント作成データセンターの場所
mail.zoho.comUS(アメリカ合衆国)
mail.zoho.euEU(EU)
mail.zoho.com.cnCN(中国)
mail.zoho.inIN(インド)
mail.zoho.com.auAU(オーストラリア)

データの暗号化

GDPRコンプライアンスの一環として、アメリカのデータセンターからEUのデータセンターにお客さまのサービスデータを移行できるように支援します。移行作業はユーザーからの要求に基づいて行い、移行開始日から最大5営業日かかる場合があります。データ移行中にサービスのダウンタイムが発生しないようにする必要があります。

POP/IMAP/SMTP経由でZoho Mailを使用する場合のデータ送信は、Transport Layer Security(TLS)プロトコルを使用して暗号化されます。メールの暗号化には、AES_CBC/AES_GCM 256ビット/128ビットキーなどの最新の安全な暗号も使用します。これらにより、Zoho Mailデータは不正なアクセス、開示、変更から保護されます。Webでのすべてのデータ転送は、セキュアモード(HTTPS)で行われます。

Zoho Mailに保存されるサービスデータは、保存時に暗号化されます(EAR:Encrypted At Rest)。すべてのデータも転送中に暗号化されます。データセンターでの高度に安全な物理制御と、転送レベルの暗号化により、データは確実に保護されると考えています。

データのアクセス

各ユーザーは、自分専用に作成されたメールアカウントにのみアクセスできます。ユーザーが管理者によって作成されたグループの一部である場合、ユーザーはグループに送信されたメールにアクセスできます。このメールは、管理者がグループのモデレーション設定を使用して制御できます。それ以外にも、メールまたはフォルダーを明示的に共有した場合、所有者がアクセスを許可するまでの間、そのデータにアクセスできます。

データの訂正

ユーザーは、管理者から提供されたメールアドレスを除き、自分のプロフィールの個人情報を編集できます。組織の管理者は、メールエイリアスの追加や削除、またはユーザーのメインのメールアドレスの変更を行う権限を持っています。

データの削除

Webインターフェイスには、ユーザーによるデータの削除を許可するための機能があります。ユーザーは削除オプションを使用して、メールデータを削除できます。ユーザーを削除すると、そのユーザーに関連付けられているデータは削除の予約がされ、実際にユーザーを削除した日から30日以内に削除されます。

データのポータビリティ

Zoho Mailには、アカウントからメールデータをエクスポートする機能があります。エクスポートされたメールは、ZIP形式で表示されます。管理者が組織内のユーザーのデータをエクスポートすることも、ユーザーが自分でエクスポートすることも可能です。管理者は、ユーザーがデータをエクスポートできるかどうかを制御できます。

データの保持

メールを削除すると、ごみ箱フォルダーに移動されます。ごみ箱のファイルは、システムによって自動的に削除される前であれば、復元可能です。Zoho Mailのデータ保存期間は30日です。その後、メールは完全に削除されます。

データの開示

データの開示とは、サービス内のアクセスレベルのことであり、権限を持つユーザーのみが、サービスデータへのアクセスや、その変更または削除を実行することが可能になります。組織の設定では、管理者は名前やプロフィール画像などのユーザーデータの一部を変更する権限を持っています。同様に、管理者は、ユーザーを削除したり、グループに追加したり、グループから削除したり、エイリアスを作成/削除したり、メールポリシーを設定したり、バックアップやコンプライアンスの目的でユーザーデータをエクスポートしたりできます。

監査ログ

データ監査は、システムを保護し、コントロールパネルで実行された組織管理関連のアクティビティーまたはコントロールパネルの使用傾向を監視するのに役立ちます。管理者のアクティビティーログには、管理者による操作がコントロールパネルに記録され、コントロールパネルにおけるさまざまなアクティビティーに関する情報が提供されます。また、CSV形式でコントロールパネルからエクスポートすることもできます。

免責事項:ここに掲載された情報は、法的助言として依拠すべきものではありません。GDPRの要件に準拠するために必要なことについては、法的助言を受けることをお勧めします。