まずはじめに
Trello と GDPR - データ プライバシーへのコミットメント
Trello は、一般データ保護規則 (GDPR) の遵守に努めています。この規制には、過去 20 年間における欧州のデータ保護法の最も重要な変更が含まれています。自己データに対する EU (欧州連合) 加盟国の市民の主導権を強化する目的があり、多数存在する現行のプライバシーおよびセキュリティ関連法を 1 つの包括的な法律に統一することを目指しています。
Trello は GDPR に対して高い優先度で取り組み、GDPR への準拠にあたって多数のリソースを投入しています。この記事では、我々の取り組みと進捗状況について説明します。
Trello の取り組み
多くの他のソフトウェア企業と同様に、当社では全社的な GDPR コンプライアンス戦略を実施しています。当社は、当社のサービスの利用によって直接影響を受ける GDPR の要件を満たすお客様がいることを理解し、そのようなお客様が GDPR の要件を実現することを支援します。
以下は、お客様と私たちの両方に適用される、GDPR の要件を満たすために行った取り組みの例です。
新しいプライバシー ポリシーの公開 (2018 年 5 月 25 日に施行)。
GDPR で必要とされるセキュリティとプライバシー対策へのコミット。Trust @ Trello で、最新のセキュリティ対策の詳細をご確認いただけます。
EU 以外の地域にデータを転送する場合、GDPR の要求に応じた適切なデータ転送メカニズムに準拠します。これには、現在の Privacy Shield 認定 (当社のプライバシー ポリシーを参照) が含まれます。
Trust @ Trello に記載されているように、GDPR のデータ セキュリティおよびプライバシー要件を満たすようお客様を支援します。Trello のシステムに対する個人データ侵害があった場合は規制当局に報告し、そのような違反をお客様およびエンドユーザーに速やかにお伝えします。
Trello のスタッフによるお客様の個人データへのアクセスや、それらの処理は、そのデータの機密性とセキュリティを維持できる範囲でのみ行われます。
お客様の個人データを扱うサブプロセッサーは、GDPR で要求される範囲のデータ管理、セキュリティおよびプライバシー基準を保持します (現在のサブプロセッサーのリストについては Trello サブプロセッサーのボードを参照)。
必要に応じてデータ影響評価を実施し、EU 当局との協議を行います。
GDPR に関するよくある質問
ユーザーの個人データを処理していますか?
はい、私たちはサービスの提供や特定の目的のためにお客様の個人データを処理しています。プライバシー ポリシーおよび利用規約をご確認ください。
ユーザーのデータはどこに送信されますか?
アトラシアンの目標は、お客様に安全で高速な信頼性の高いサービスを提供することです。当社はグローバル サービスのプロバイダーとして、複数の管轄権に共通するオペレーション上の慣行と機能に基づいてサービスを運営しています。たとえば、現在、米国にある Amazon Web Services (AWS) が提供するデータ センターにデータを保存しています (AWS のセキュリティ プラクティスについては https://aws.amazon.com/security を参照してください)。また、当社は製品の開発およびカスタマー サポートやテクニカル サポートなどの目的のため、世界中の従業員や請負業者に特定のデータへのアクセスを許可する場合があります。当社のプライバシー ポリシーにて、個人情報が米国、および場合によっては他の国々に、商品やサービスの提供に関する目的で譲渡されることを開示しています。
データを特定の地域 (ヨーロッパなど) に保持することはできますか?
当社のサービス機能では、データを米国に転送する必要があります。さらに、当社の従業員および契約社員は、EU 以外の国 (米国またはオーストラリアなど) から、技術およびサポート関連の理由で EU に保管されたデータにアクセスする必要がある場合があります。Trello は、EU 外にデータが転送されるすべてのケースにおいて、そのような転送が GDPR を含む適用対象のデータ転送法に準拠していることを保証することをお約束します。
Individual Rights Request (Subject Access Request) に応じた支援を提供していますか?
多くの場合、お客様は、当社のサービスにログインし、サービス内で利用可能な機能または設定を使用することで、このようなタイプの要求に対処することができます。これが不可能な場合は、個人の権利要求のリクエストについて弊社に問い合わせ、サポートを依頼してください。
Privacy Shield の認定を受けていますか?
はい。Trello は、アトラシアンの Privacy Shield に従って認定を取得しています。Privacy Shield の認定についてはこちらをご確認ください。
標準的契約条項 (Standard Contractual Clauses、Model Clauses) に署名しますか?
Trello の最新の Data Processing Addendum には、顧客個人データの代替転送メカニズムとして、EU 管理者が処理者となる標準的契約条項 (SCC) が組み込まれています。 DPA によれば、SCC の条件は、EU からアトラシアンへの顧客個人データの転送が、別の適切な転送メカニズム (EU-US プライバシー シールド フレームワークなど) の対象とならない場合に適用されます。上記のように、Trello はデータを米国に保存し、EU 個人データの適切な転送メカニズムとして EU-US プライバシー シールド フレームワークを利用しています。DPA に SCC を組み込むことで、プライバシー シールド フレームワークが無効になった場合の追加の転送メカニズムを確実に維持しています。
アトラシアンはお客様にデータ処理補遺を提供していますか?
はい。Trello では、お客様、特にヨーロッパのお客様に対しては、Trello が EU の個人データを処理する場合、その EU の個人データの処理に関する GDPR の義務を満たす、追加の条件を実行する必要があることを理解しています。GDPR に基づく今後の転送要件を満たすために確認および使用するために、リクエストに応じて Trello Data Processing Addendum を利用できます。DPA のコピーを入手するには https://www.atlassian.com/ja/legal/data-processing-addendum にアクセスしてください。
GDPR に関する質問はどこに問い合わせればよいですか?
アトラシアンのサービスは、世界中の数百万ものユーザーによって使用されています。当社のユーザーおよびお客様に拡張性のあるサービスを提供するため、私たちは新しいプライバシー ポリシーに GDPR コンプライアンス情報を追加し、GDPR に関してよくある質問とその回答を同じページに記載しました。このページ、プライバシー ポリシー アップデート FAQ、およびプライバシー ポリシーを最初に確認することをお勧めします。ただし、私たちに直接ご連絡いただくことで疑問がスムーズに解消される場合ももちろんございます。詳細については、新しいプライバシー ポリシーの「お問い合わせ」のセクションをご覧ください。
その他のリソース
Trello は、お客様の成功と顧客データの保護に取り組んでいます。詳細については、Trust@Trello と、プライバシーおよびセキュリティについてのページ (下記リンク先) をご覧ください。
Trello に興味をお持ちいただきありがとうございます。
この内容はお役に立ちましたか?