プライバシーについてよく寄せられる質問
Smartsheet は、プライバシーとはお客様との信頼を構築し維持するための重要な要素だと考えています。組織のデータを Smartsheet に安心してアップロードしていただくことが Smartsheet の願いです。この Web ページをご覧いただくと、プライバシーと Smartsheet の使用方法について一般的に寄せられる質問に対処できます。
法的な助言を行うものでも、組織の法定代理人への相談に替わるものでもありません。Smartsheet の具体的な使用方法や、組織のデータ保護義務に関しては、適切な法律顧問にお問い合わせください。
ご不明な点がありましたら、Smartsheet プライバシー チーム (privacy@smartsheet.com) までお気軽にご連絡ください。
セクション
EU - 米国間データ プライバシー フレームワーク (DPF)
一般的な質問
お客様のコンテンツとは何ですか?
Smartsheet ユーザー契約の 12 項に記載のとおり、「お客様のコンテンツ」とは、お客様またはユーザーがアプリケーションにアップロードまたは送信し、お客様に代わって Smartsheet が処理する、あらゆるデータ、添付ファイル/リンク、テキスト、画像、レポート、個人情報、またはその他のコンテンツを意味します。
お客様のコンテンツの管理者は誰ですか?
Smartsheet アプリケーションにアップロードされたお客様のコンテンツの管理者は、Smartsheet のお客様です。Smartsheet はデータ処理者であり、送信されたデータやお客様のコンテンツに含まれるデータはお客様が管理します。処理されるデータはお客様の使用事例によって異なります。 特定のカテゴリの個人データが送信される際に適用法が順守されていることへの責任は、引き続きお客様にあります。
お客様のコンテンツを処理する際に、Smartsheet はどのような復処理者を起用していますか?
Smartsheet アプリケーションの復処理者は、こちらの Web ページに記載されています。
Smartsheet が新たに復処理者を追加した場合、どのようにして通知されますか?
Smartsheet 復処理者リストの変更通知をご希望のお客様は、こちらの Web フォームにご記入ください。
Smartsheet はお客様のコンテンツをどのように処理しますか?
Smartsheet ユーザー契約に記載のとおり、Smartsheet はお客様のコンテンツを次のいずれかの場合に限り処理できることとします。適用法で義務付けられている場合、書面でお客様から要求された場合またはサービスのアクセス制御を介してお客様から許可された場合、アプリケーションを提供、サポート、もしくは最適化するか、またはアプリケーションの技術的な問題やユーザー契約の違反を防止もしくはこれに対処するために必要な場合。
お客様のコンテンツはどこにホストされますか?
現在、Smartsheet プラットフォームは米国 (US) または欧州連合 (EU) でホストされています。お客様がホスト場所として EU 地域を選択した場合、お客様のコンテンツは EU 地域内で処理されます (主にドイツ、バックアップはアイルランド)。米国へのデータ アクセスやデータ転送の詳細については、Smartsheet Trust Center を参照してください。
カスタマー サポートはどこにありますか?
Smartsheet のプラットフォームは Web でホストされているので、地球上のどこからでもご利用いただけます。迅速にサポートするために、Smartsheet はお客様が選択したホスト地域以外のサポート スタッフを活用する場合があります。サポートの拠点は、米国、英国、フィリピン、コスタリカ、オーストラリアにあります。ユーザーは多くの場所から Smartsheet アプリケーションにアクセスする可能性があるため、データはユーザーの指示に応じて、選択された地域外で処理される場合があります。詳細については、Smartsheet Trust Center を参照してください。
Smartsheet はお客様のコンテンツをどのように保護しますか?
Smartsheet は技術的、組織的、管理上の措置を実施し、Smartsheet が処理するデータを保護しています。このような措置の多くは独立した第三者の監査人がレビューし、SOC2、ISO 27001:2013、ISO 27018:2019、ISO 27701:2019 標準に準拠していることが確認されています。詳細については、Smartsheet Trust Center を参照してください。
お客様のコンテンツに関わるセキュリティ インシデントが発生した場合、どのようになりますか?
Smartsheet は Smartsheet ユーザー契約またはお客様と Smartsheet 間の署名入り契約書に記載のセキュリティ慣行に従って、セキュリティ インシデントに対応し、通知します。
私が Smartsheet との関係を終了させると、私のお客様のコンテンツはどのようになりますか?
Smartsheet ユーザー契約に記載のとおり、期間の終了または満了後 180 日以内に、Smartsheet はお客様のコンテンツを削除して回復不能にし、お客様の書面による要求に応じて、かかるプロセスを書面で証明します。以上にかかわらず、Smartsheet は、Smartsheet が、かかるお客様のコンテンツの保持に関連して、ユーザー契約のすべての要件を引き続き順守することを条件として、Smartsheet の法的および財務的な法令順守義務に従って、記録、文書またはより広範なデータセットの一部としてお客様のコンテンツのコピーを保持する場合があります。
Smartsheet はお客様のコンテンツに対する法的な要求をどのように扱いますか?
Smartsheet は米国を拠点とする企業として、有効な法的命令を受けた場合に、該当するデータの開示を要求される可能性があります。ただしそのような開示要求に関して、Smartsheet は次に記すユーザー契約の 6.3 項に従うことにご注意ください。 「受領当事者は、法律または法的手続きで要求される範囲において、秘密情報を開示することができますが、ただし、受領当事者は (法律または法的手続きで禁止されていない限り) 以下を行います。(a) かかる開示に関する事前の書面通知を開示当事者に付与し、開示当事者が出廷し、異議を唱え、およびかかる開示に関する保護命令その他の適切な救済を取得する合理的な機会を与える。(b) 鋭意努力し、開示を法的に要求されるものに限定する。(c) 開示当事者と合理的に協力し、開示当事者の費用負担で、自ら努力を払い、保護命令その他の法的に認められる保護手段を取得する。」
データ処理付属書 (DPA)
Smartsheet は顧客と DPA を交わしますか?
Smartsheet は、個人情報を含むお客様のコンテンツの処理に特定の規約を必要とされるお客様に、データ処理付属書 (DPA) をご用意しています。Smartsheet の DPA は標準契約条項 (SCC) を包含しており、Smartsheet のサブスクリプション サービス固有の運営上および技術上の制御に合わせ、両当事者に適用される、特に GDPR と CCPA の両方に関するプライバシー義務と法的責任に対処するために入念にカスタマイズされています。
Smartsheet との DPA が必要であると判断された場合、こちらの Web フォームを送信してください。フォームに記入された権限のある署名者に DocuSign 経由で DPA の写しが送られます。署名が完了すると、フォーム送信者にも記録用の写しが送られます。
DPA はどのような範囲に適用されますか?
Smartsheet の DPA は、Smartsheet のサブスクリプション サービス固有の運営上および技術上の制御に合わせて入念にカスタマイズされています。両当事者に適用されるプライバシー義務に対処する Smartsheet の DPA の内容は、SaaS 業界の主要なサービス プロバイダーが提供する DPA に沿ったものです。DPA の草案は入念に検討されており、適用されるプライバシー法、特に GDPR と CCPA の下に、両当事者の法的責任に対処しているため、厳格なプライバシー法が適用されるお客様であっても、折衝することなく文書を受け入れることができます。すべての基本的な法的、商業的な規約 (Smartsheet の運営慣行に記載の規約を含む) は、すでにサービスの使用とアクセスを規定する契約で確立されています。
また、データ処理者であるため、送信されたデータやお客様のコンテンツに含まれるデータはお客様が管理します。処理されるデータはお客様の使用事例によって異なります。特定のカテゴリの個人データが送信される際に適用法が順守されていることへの責任は、引き続きお客様にあります。Smartsheet は、アプリケーションに送信された全データを同じように扱い、一般的な要件を満たすようサブスクリプション サービスにある種の制御を組み入れています。Smartsheet の DPA について具体的なご質問やご不明な点がある場合はお知らせください。
Smartsheet の DPA ではどのような法律が考慮されていますか?
Smartsheet の DPA の草案は入念に検討されており、両当事者に適用される、特に GDPR と CCPA に関する法的責任に対処しているため、厳格なプライバシー法が適用されるお客様であっても、折衝することなく文書を受け入れることができます。すべての基本的な法的、商業的な規約は、すでに当事者間で締結された Smartsheet ユーザー契約で確立されています。また、規約は SaaS プロバイダーとしての Smartsheet の技術上および運営上の現実を考慮に入れて、入念に検討されています。
Smartsheet は私の組織の DPA に署名しますか?
Smartsheet の DPA の草案は入念に検討されており、SaaS プロバイダーとしての Smartsheet の技術上および運営上の現実を考慮に入れて、両当事者に適用される、特に GDPR と CCPA に関する法的責任に対処しているため、厳格なプライバシー法が適用されるお客様であっても、折衝することなく文書を受け入れることができます。お客様の組織の DPA について検討が必要な場合は、営業担当者にお問い合わせください。
一般データ保護規則 (GDPR)
GDPR とは何ですか?
一般データ保護規則 (GDPR) は 2018 年 5 月 25 日に発効した欧州の規則で、個人データの保護と処理に関する標準を定めています。Smartsheet と GDPR に関する詳細情報や、データ処理者としての Smartsheet にデータ処理契約 (DPA) をリクエストする方法については以下の質問をご覧ください。
GDPR は Smartsheet にどのように適用されますか?
Smartsheet はグローバル企業であり、お客様のプライバシーを非常に重要視しています。Smartsheet とその関連会社は、GDPR などの適用されるデータ プライバシーに関する法令に沿った、世界クラスのプライバシー保証を提供しています。データの真偽に中立的な SaaS 企業として、Smartsheet は他の SaaS プロバイダー同様、お客様と Smartsheet 間で責任を共有するモデルを採用しています。すなわち、GDPR の順守とはお客様とベンダーとの提携におけることです。
Smartsheet はお客様の成功のために誠意を尽くしますが、それにはお客様の GDPR 順守への道のりのサポートも含みます。多くのお客様が、Smartsheet が GDPR 順守のニーズを満たしていると判断しています。GDPR 順守のニーズを満たすプラットフォームをお求めの場合は、ぜひ Smartsheet をご活用ください。
Smartsheet と GDPR の詳細については、こちらのデータシートを参照してください。
Smartsheet はデータ保護責任者 (DPO) を擁していますか?
Smartsheet は DPO を指名しています。Smartsheet プライバシーの連絡先情報は、すべて Smartsheet プライバシー通知に記載されています。
データ処理者として、Smartsheet は私の組織がデータ主体の要求を履行するサポートをしますか?
Smartsheet のデータ処理付属書に記載のとおり、Smartsheet は、Smartsheet によるお客様の個人データの処理と Smartsheet が入手可能な情報の性質を考慮の上、お客様に対し、監督当局とのデータ保護の影響度評価および協議に関する合理的な助力を提供します。
データ管理者として、Smartsheet はデータ主体の要求を履行しますか?
はい、Smartsheet はプライバシー権に関する合法的で合理的な要求のすべてを順守します。こちらの Web フォームに記入して、Smartsheet プライバシー チームにリクエストをお送りください。
標準契約条項とは何ですか?
標準契約条項 (SCC) とは欧州委員会が策定した一連の契約で、合法の国際的な個人データ転送を規定しています。欧州連合 (EU) 内に居住する個人のデータを EU 外に移動させる際の、組織のセキュリティとプライバシーの慣行を標準化したものです。Smartsheet は、データ転送メカニズムを必要とするすべてのベンダーと Smartsheet のお客様とともに、SCC を実行しています。
2023 年 7 月 10 日に、欧州委員会は EU - 米国間のデータ プライバシー フレームワークの適合性判断を承認しました。当面の間、Smartsheet は新規データと過去のデータの両方の転送が許可されている、現行の SCC の下で運営する予定です。この間に、Smartsheet は国際的なデータ転送に関して Smartsheet のポリシーと慣行をレビューして、次いで委員会からの更なる指示を待ちつつ、必要な更新を合理的に行います。
Smartsheet は標準契約条項 (SCC) またはモデル条項に署名しますか?
Schrems II 判決とプライバシー シールドの無効化に従い、Smartsheet は DPA を更新し、標準契約条項 (SCC) を、欧州司法裁判所が明示的に有効性を確認した合法的な転送システムとして採用しました。
Smartsheet の DPA の現行バージョンでは、欧州委員会が 2021 年 6 月 7 日に公開した、更新済みの SCC が採用されています。Smartsheet は過去のデータの転送が許可されている、更新前の SCC の下で運営する予定です。認められている移行期間中に、更新と特定のリクエストに応じて契約書を修正します。Smartsheet やお客様が適用されるデータ保護法における義務を順守するために必要な変更点については、既存の契約書の修正版としてお客様に提示します。ご質問がある場合は privacy@smartsheet.com までご連絡ください。
2023 年 7 月 10 日に、欧州委員会は EU - 米国間のデータ プライバシー フレームワークの適合性判断を承認しました。当面の間、Smartsheet は新規データと過去のデータの両方の転送が許可されている、現行の SCC の下で運営する予定です。この間に、Smartsheet は国際的なデータ転送に関して Smartsheet のポリシーと慣行をレビューして、次いで委員会からの更なる指示を待ちつつ、必要な更新を合理的に行います。
Smartsheet との DPA が必要であると判断された場合、こちらの Web フォームを送信してください。フォームに記入された権限のある署名者に DocuSign 経由で DPA の写しが送られます。署名が完了すると、フォーム送信者にも記録用の写しが送られます。
Smartsheet は、米国に転送された EU 内の個人データの保護を強化しますか?
Smartsheet は技術的、組織的、管理上の措置を実施し、Smartsheet が処理するデータを保護しています。このような措置の多くは独立した第三者の監査人がレビューし、SOC2、ISO 27001:2013、ISO 27018:2019、ISO 27701:2019 標準に準拠していることが確認されています。詳細については、Smartsheet Trust Center を参照してください。
カリフォルニア州消費者プライバシー法 (CCPA)
CCPA とは何ですか?
カリフォルニア州消費者プライバシー法とは、州で初めて可決されたデータ プライバシーに関する包括的な法律です。CCPA は 2020 年 1 月に施行されました。この法律は個人情報の収集、使用、保存の許容範囲を規定することを目的として策定されています。CCPA はまた、個人情報を販売する組織の透明性の要件についても規定しています。
CCPA は Smartsheet にどのように適用されますか?
Smartsheet のプライバシー慣行の詳細については、こちらのデータシートを参照してください。
Smartsheet は個人情報を販売しますか?
いいえ。Smartsheet は個人情報を販売しません。
EU - 米国間データ プライバシー フレームワーク (DPF)
DPF とは何ですか?
2023 年 7 月 10 日に、欧州委員会は EU - 米国間のデータ プライバシー フレームワークの適合性判断を承認しました。この判断は、新しいフレームワークにおいて EU 企業から米国企業へ個人データが転送される際に、米国で EU と同等レベルのデータ保護が確保されると結論づけるものです。これにより、Smartsheet のお客様は、欧州の個人データを米国に合法的に転送できるという、より強固な確証が得られます。
DPF は Smartsheet にどのように適用されますか?
Smartsheet は、新しいフレームワークでの契約につなげるために、プライバシー シールド認証を維持しています。Smartsheet のプライバシー シールドに引き続き従うことで、DPF への移行を迅速に行うことができます。企業が新しい DPF をデータ転送メカニズムとして採用していない場合でも、GDPR の下で、米国内の組織への個人データ転送すべて (標準契約条項を使用しているものを含む) に米国政府の新しい安全対策が適用されます。 この移行期間中に、Smartsheet は国際的なデータ転送に関して Smartsheet のポリシーと慣行をレビューして、次いで委員会からの更なる指示を待ちつつ、必要な更新を合理的に行います。
統合とフォーム
Smartsheet プライバシー通知が Smartsheet フォームのフッターに含まれているのはなぜですか?
Smartsheet アプリケーションの機能の中に、お客様がオンライン フォームを公開できるものがあります。フォームを使用すると、個人がデータを Smartsheet アプリケーションに送信できます。フォームを介して収集された個人提供のデータはお客様のコンテンツとみなされます。ユーザーがフォームを送信すると、Smartsheet は使用データ (たとえば IP アドレス、送信日時、ブラウザーの種類など) を収集し、分析および改善、法的権利の保護および不正利用の防止、法的義務の順守のために使用することがあります。詳細については、Smartsheet プライバシー通知に記載されています。
Microsoft と Smartsheet を統合すると、第三者サービスへのデータ共有の許可を求められるのはなぜですか?
Smartsheet アプリケーションにおけるプル型やプッシュ型の情報発信のためにコネクタおよび統合製品を使用することができます。また、それにより該当する第三者がアプリケーションから通知 (シートの更新など) を受け取ることができるようになります。たとえば、お客様が Microsoft (マイクロソフト) 製品 (Outlook や Teams など) で統合の設定をする場合、第三者サービスとのデータ共有を許可することを求める Microsoft からのプロンプトが表示されます (ヘルプ記事)。この場合、Smartsheet は第三者サービスであり、Microsoft がデータ共有の許可を要求します。さらに、アプリケーションから統合パートナーへの転送が許可された情報には、第三者のプライバシー ステートメントが適用されます。Smartsheet アプリケーションからの情報を受け取ることを許可した第三者のプライバシー ステートメントは注意深く確認することを推奨します。
監査と証明
Smartsheet は GDPR の認定を受けていますか?
Smartsheet は 2 種類の世界的なプライバシー標準の証明 (ISO 27018:2019 と ISO 27701:2019) を取得しており、GDPR の多くの要件を満たしています。詳細については、Smartsheet Trust Center を参照してください。
私の組織は Smartsheet のプライバシー慣行を監査できますか?
Smartsheet は世界中の数多くのユーザーをサポートしています。それぞれのお客様に Smartsheet の慣行の監査を許可することは、現実的ではありません。そのため、Smartsheet は世界的なプライバシー標準である ISO 27018:2019 と ISO 27701:2019 の証明を取得しています。詳細については、Smartsheet Trust Center を参照してください。
Smartsheet はどのようなプライバシー証明を取得していますか?
Smartsheet は 2 種類の世界的なプライバシー標準、ISO 27018:2019 と ISO 27701:2019 の証明を保持しています。詳細については、Smartsheet Trust Center を参照してください。
プライバシー シールドについてはどうですか?
2023 年 7 月 10 日に、欧州委員会は EU - 米国間のデータ プライバシー フレームワーク (DPF) の適合性判断を承認しました。Smartsheet は、プライバシー シールド原則に基づいた個人データの処理に関して、FTC および Smartsheet のお客様と結んだ規約を守り続けるため、プライバシー シールド認証を維持しています。Smartsheet のプライバシー シールドに引き続き従うことで、DPF への移行を迅速に行うことができます。 Smartsheet は、新しいフレームワークを順守するための要件に関する委員会の動向を引き続きモニタリングし、現行のプライバシー慣行とデータ保護対策を維持していきます。