GDPR について
GDPR は、欧州連合議会によって制定された包括的なプライバシーおよびセキュリティ法で、2018 年 5 月 25 日から施行されています。この規制は、欧州居住者の「個人データ」(識別されたまたは識別可能な自然人、または「データ主体」に関連するあらゆる情報) を保護する既存のプライバシー法を強化することを目的としています。当該規制の範囲は域外にも及び、欧州居住者のデータを管理または処理するあらゆる事業体に適用されます。
Smartsheet と GDPR
目的
Smartsheet は設立当初より、お客様のプライバシーとデータ セキュリティの確保に精力的に取り組んでまいりました。このコミットメントは、EU 一般データ保護規則 (「GDPR」) の制定以降、ますます強化され、Smartsheet は拡大し続けるユーザー ベースにグローバルで世界クラスのサービスを提供し続けています。
このページは、GDPR の概要を説明し、ユーザーのデータおよび Smartsheet のプラットフォームに入力またはアップロードされたデータに関してよく寄せられる質問に対応することを目的としています。なお、このページは法的助言を提供するものではありません。Smartsheet では、資格のある弁護士または法律顧問に相談して、お客様の特定の状況を統括する正確な規制を把握することを推奨しています。
GDPR は Smartsheet 内の個人データにどのように適用されますか?
GDPR は、物理的または地理的な場所に関係なく、お客様の企業が欧州連合 (「EU」) の居住者に関連する個人データを Smartsheet 内で処理している場合、またはお客様自身が EU の居住者である場合に適用される可能性があります。欧州連合の法律では、データを処理する者を「管理者」 (収集された個人データを管理し、個人データを処理する目的および手段を決定する者) および「処理者」(管理者の書面による指示に従って個人データを処理する事業体) の 2 つに区分しています。GDPR は両方の区分に適用され、相互に排他的ではありません (つまり、データ セットによっては、事業体が管理者と処理者の両方の役割を果たす場合があります)。Smartsheet は、事業運営およびお客様へのサービス提供において、個人データの管理者および処理者になることができ、同時にその両方の役割を果たす場合もあります。管理者、処理者、またはその両方としての Smartsheet の役割は、通常、目の前の処理に関連する契約において特定されるか、Smartsheet のプライバシー通知で定められます。
GDPR が定義する「処理」とは、自動化された方法によるか否かを問わず、個人データまたは一連の個人データについて実行する業務または一連の業務を意味し、これには収集、記録、整理、構造化、保管、修正または変更、検索、参照、使用、送信、頒布もしくはその他の方法で利用可能にすること、調整または結合、制限、消去、または破棄による開示が含まれます。
Smartsheet は、GDPR およびその他の世界的なプライバシー法に基づいて、個人データの管理者および処理者の両方としての義務を負います。管理者として、Smartsheet はすべてのデータ主体の権利を尊重し、一般に公開されている「プライバシー通知」においてその慣行 (特に収集、使用、共有される個人データの種類) を概説しています。処理者として、Smartsheet はデータ主体の権利を尊重し、個人データを処理する際は以下のガイドラインに従います。GDPR は欧州居住者にのみに適用されますが、Smartsheet は欧州連合内外のユーザーを区別せず、プライバシーとセキュリティの慣行にグローバルなアプローチを採っています。
GDPR の下で、Smartsheet は顧客に対しどのような義務を負っていますか?
GDPR の第 5 条では、管理者と処理者が常に遵守しなければならない EU 居住者の 7 つの基本的権利 (プライバシー原則) が以下の通りに定められています。
- 1.適法性、公平性、透明性: 処理はデータ主体に対して、常に適法、公正かつ透明性のある方法で行わなければなりません
- 2.目的の制限: データは、収集時に顧客に表明した目的に従って処理される必要があります
- 3.データの最小化: 指定された目的のために必要十分な量のデータのみを収集と処理しなければなりません
- 4.正確性: 個人データは正確かつ最新の状態に維持しなければなりません
- 5.記録保存の制限: 指定された目的の範囲でのみ、関連データを保存できます
- 6.完全性と機密性: 処理は、適切な安全性、完全性、機密性を確保できる方法で行わなければなりません
- 7.説明責任: データ管理者 (つまり Smartsheet のお客様) は、これらの原則すべてにおいて GDPR を遵守していることを証明できる責任を負います
Smartsheet は、管理者および/または処理者として定期的に慣行を見直し、すべてのデータを第 5 条の基準に従って取り扱うことを徹底しています。Smartsheet のデータ プライバシー慣行に関する最新情報の詳細については、Smartsheet Trust Center をご覧ください。
GDPR に基づく個人の権利
EU が GDPR を成立させた後の、プライバシー法における最大の変化の一つが、個人の権利の拡大でした。GDPR は、以下の権利を含む、拡大された個人の権利を提供します。
アクセス
消去
異議申し立て
ポータビリティ (移行)
訂正
制限
同意の撤回
Smartsheet は、すべての個人に対してこれらの権利を尊重し、これらの要求を簡単かつ効率的に処理する方法を提供しています。エンド ユーザーからデータについて質問がある場合は、このフォームからお問合せいただくか、privacy@smartsheet.com 宛に電子メールでご連絡ください。
有効な移転メカニズム
欧州経済領域 (「EEA」) に居住し、外国企業とやり取りするデータ主体は、自国で提供されているものと同等の保護を提供するデータ プライバシー法を持たない可能性のある管轄区域にデータが移転される危険があります。GDPR は、EEA 域外に個人データを移転または処理する際に、管理者および処理者に対して、承認された「有効な移転メカニズム」の実施を義務付けることで、このようなデータ安全性の不備に対処することを目的としています。適切な安全対策の 3 つの主要な方法は、(1) 標準契約条項 (「 SCC」)、(2) 拘束的企業準則 (「 BCR 」)、および (3) 認証メカニズム (無効判決前のプライバシー シールドなど)です。
SCC は、事業体間で移転される個人データを保護するために欧州委員会が承認した具体的な条項であり、多くの場合、データ輸出者とデータ輸入者間の契約に含まれています。シュレムス II の判決を受けて、欧州委員会は 2021 年 6 月 7 日に新しい SCC を発表しました。その後、Smartsheet は GDPR に準拠した有効な移転メカニズムを確保するために DPA の締結を選択した欧州のお客様に新しい SCC を組み込むよう、データ処理付属書 (「DPA」) を更新しました。もう一つの有効な移転メカニズムである「拘束的企業準則」は、欧州のデータ保護機関の承認の対象となる企業が採用する内部行動基準を通じて、一定の水準のプライバシー保証を提供するものです。
2020 年 7 月 16 日、欧州司法裁判所はシュレムス II において、欧米間プライバシー シールド自己認証プログラム (Smartsheet を含む米国の多くの企業で利用されているデータ移転メカニズム) を無効とする判決を下しました。無効判決が下されましたが、Smartsheet は引き続きプライバシー シールド認証を維持し、プライバシー シールド原則に従って個人データを継続的に保護することをお約束します (プライバシー シールド原則の詳細は、こちらでご覧いただけます)。
シュレムス II 後の Smartsheet のプライバシー慣行に関する詳細については、「Smartsheet への国際的なデータ移転」をご覧ください。
GDPR に基づいて、Smartsheet は顧客データをどのように扱いますか?
Smartsheet はグローバル企業であり、お客様のプライバシーを非常に重要視しています。Smartsheet およびその関連会社は、GDPR や CCPA など、適用されるデータ プライバシーに関する法令に準拠した世界クラスのプライバシー保証を提供しています。また、Smartsheet は独自の顧客ベースに影響を与える可能性がある他国の法令も監視しています。
場合によって、さまざまなビジネス目的で、企業がユーザー データを第三者と共有することもあります。ただし、Smartsheet は、別段の合意がない限り、お客様からの明確な許可なしにお客様のデータを第三者に販売することはありません。ベンダーは、Smartsheet の「ベンダーのプライバシーとデータの取り扱いに関する期待事項」に従うものとし、これは、ビジネスを行う際のデータの整合性および目的の制限に関する GDPR のガイドラインに沿ったものです。Smartsheet のベンダー ポリシーの取り扱いに関する詳細は、こちらをご覧ください。