本FAQガイドは、(a)情報提供のみを目的として提供されるものであり、法的な助言となるものではなく、(b)現在のZendeskのサービスおよび実務慣行を表しており、変更される可能性があり、(c)Zendeskおよびその関連会社または副処理者が負う義務または保証を構成するものではありません。「契約者」に対するZendeskの責任と義務は、Zendeskメインサービス契約(「MSA」)およびData Processing Agreement(「DPA」)によって規制されています。本文書は、Zendeskとお客様と間で締結される契約の一部ではなく、またその内容を変更するものでもありません。本文書の英語原本において大文字で表記されている用語は、本文書で別途定義されている場合を除き、MSAおよびDPAで定められている意味を持つものとします。
Zendeskは、個人データの国家間の移転について、シュレムス IIの判決と新しい標準契約条項(「SCC」)に照らし、扱いが複雑な領域であると認識しています。このFAQは、欧州データ保護評議会の勧告に関して、お客様のZendeskサービスの利用と関係する項目について主なQ&Aをまとめたものです。この件に関してさらにご質問がある場合は、euprivacy@zendesk.comまでお気軽にメールをお送りください。
1. 国際的なデータ移転に関して、GDPRはどのように述べているか?
GDPRの対象となる個人データは、GDPR水準のデータ保護が損なわれていないことを確認するための承認された仕組みが存在する場合にのみ、EEA圏外に移転することができます。
これは、まず第一に組織がEEA圏外への個人データの移転をすべて把握し、所在を確認することが重要であることを意味しています(EDPB勧告のステップ1)。
2. 国際的なデータ移転に関して、Zendeskはどのような仕組みを採用しているか?
組織は次に、各移転についてどのような移転の仕組みが採られているかを把握しておく必要があります(EDPB勧告のステップ2)。EEA圏外の一部の国(例:英国)は、EUデータ保護機関による決定の便益を受けています。適格性のある国では、Zendeskはこの仕組みを採用しています。
また、EEA圏外の国または不適格な国における個人データの移転については、Zendeskは、Zendeskの「契約者」とZendeskの副処理者との間の国際的なデータ移転の仕組みとしてSCCを採用します。これにより、EEA圏外の国においても個人データがGDPR標準で保護されることが契約上保証されます。
Zendeskでは、グループ会社間で国際的なデータ移転を行なう場合、拘束的企業準則(「BCR」)(シュレムスIIの保護を含む)を使用しています。詳しくはこちらと こちらをご覧ください。BCRは、監督官庁によって承認された、企業グループ内のデータ保護事項を規定する方針であり、グループ企業間の国際的なデータ移転に関する規定も含まれます。
3. シュレムスIIの判決はSCCとBCRの使用にどのように影響するか?
データ移転元の国は、データ移転先の国が個々のデータについて、特に政府による監視に関し、本質的にEUと同等の保護を提供していることを保証する必要があります(EDPB勧告のステップ3)。本質的に同等の保護が提供されない場合、データ移転を進めるには、データ移転元が、データ保護のレベルを本質的に同等の水準まで引き上げるための「補完的措置」を実施する必要があります(EDPB勧告のステップ4)。
なお、重要な点ですが、シュレムスIIの判決では、データのローカリゼーションやEUのみのサポートは義務付けられていません。一部の企業では、これを優先事項または補完的な技術的措置としてみなしていますが、明確な法的要件ではありません。
4. 新しいSCCとシュレムスIIの関係は?
新しいSCCは、以前のバージョンの旧態化に伴い、登場したものです。そしてさらに、シュレムスIIの判決が、新しいSCCを発展させる刺激となりました。新しいSCCは、移転影響評価(「TIA」)を実施するためのシュレムスIIの要件を成文化したものです。また、政府から開示請求を受けた場合、データ移転先が特定のデータ保護手順を実行する必要があります。新しいSCCは、すでに最新Zendesk DPAに取り込まれています。
5. TIAとは何か、どのように実施するのか?
TIAとは、移転される個々のデータについて、データ移転先の国において本質的に同等の水準の保護が提供されるかどうかを評価する方法です(EDPB勧告のステップ3および4)。これには、移転先の国々における個人データの監視に関する法令が監視措置に関するEUの必須保証を満たしているか、政府の監視措置に関するあらゆる関連実務証拠(データ移転先が以前に政府から受け取った開示請求など)、必要な場合は本質的に同等の水準を満たすための補完的措置を講じることが含まれます。
Zendeskでは、Zendeskサービスの利用に関するTIAを策定するためのガイドを作成しました。このガイドには、Zendeskまたはその副処理者が「契約者」の個人データを移転する可能性がある各国における、政府機関による監視に関する法令に関する情報が詳しく記載されています。このガイドの入手については、Zendeskのアカウントエグゼクティブにお問い合わせください。
6. 政府からのデータ開示請求に対するZendeskの取り組みはどのようなものか?
上記に沿って、TIAは、政府のデータ開示請求に対してデータ移転先がどのようなプロセスで対応するか、データ移転先が以前にそのような要請を受け取ったことがあるかどうか、およびデータ移転先がそのような要請に関する情報を提供することを実際に許可されているかどうかを考慮する必要があります。
Zendeskは、政府からデータ開示請求を受け取った場合、当社の政府データ要請ポリシーおよび新SCCs第15条の手続きに従って対応します。 これには、まずデータ管理者に連絡するよう当局に求め、それができない場合には、要請の有効性について慎重な法的検討を行うことが含まれます。多くのテクノロジー企業と同様に、Zendeskも米国やその他の国の法執行機関から、「契約者」に代わってZendeskが保管している個人データの開示を請求されることがあります。Zendeskが受け取ったこのような要請に関する詳細は、透明性レポートに記載されています。
7. シュレムスIIを考慮したZendeskのFISA 702に対する取り組みはどのようなものか?
FISA 702は、国家安全保障を目的とした特定の種類の対外情報収集を認めています。外国諜報活動監視裁判所(Foreign Intelligence Surveillance Court)と呼ばれる独立した特別連邦裁判所が、情報収集がFISA法および合衆国憲法、特に合衆国憲法修正第4条による不当な捜索および押収を禁じる規定に従って行われるように監督しています。
Zendeskは米国デラウェア州で設立、登記された米国法人であり、米国法に準拠します。Zendeskは、電子通信プライバシー法(「ECPA」)(合衆国法典第18編第2711条)に定義されるリモートコンピューティングサービス(「RCS」)に該当し、「契約者」にサービスを提供します。ECPAは、法執行機関が令状、召喚状、または裁判所命令を事前に取得しない限り、RCSプロバイダーに保存されているデータの開示を受けることを許可していません。リモートコンピュータサービスのプロバイダーは、電子通信を保存する際に、外国諜報活動偵察法(FISA 702)の第702条の適用を受けます。
状況次第ですが、TIAの一環として、まずZendeskを処理者として使用しているデータについて、特にZendeskがお客様に代わって処理するデータの種類から、FISA 702が実際に適用されると信じるに足る理由がないと結論付けることができます。この点に関して、シュレムスIIの判決以降、米国政府は次のように保証しています。「ほとんどの米国企業は、米国の諜報機関にとって関心のあるデータを扱っておらず、扱っていると信じる根拠もない。ほとんどの米国企業は、シュレムスIIの判決でECJが懸念したと思われる種類のプライバシーに対するリスクをもたらすようなデータ移転には関与していない。」
第二に、Zendeskの透明性レポートは、この種の要請が発生する可能性が非常に低いことを示しています。このことからも、Zendeskを処理者として使用しているデータに対して、FISA 702が実際に適用されるとお客様が考える根拠がないと結論付けることが可能です。
第三に、データの管理者として、お客様はデータに関連するログをチェックして、不正アクセスがあったかどうかを確認する権利があります(なお、通常の状況では、お客様の承認を得ずに、Zendeskのスタッフがお客様のデータにアクセスすることはありません)。したがって、この補完的措置により、本質的な同等性に関するお客様の疑念を払しょくすることができます。
8. シュレムスIIの判決を考慮したZendeskのEO 12333に対する取り組みはどのようなものか?
大統領令(EO)12333は、対外情報収集を行うために米国政府が企業に支援を要求する権限を実際には認めておらず、Zendeskが自発的にそれを行うことはありません。これまで、大量の個人データへのアクセスの命令をZendeskが受けたことはありません。EO 12333によるリスクは、データ移転先が移転中に十分に強力な暗号化を使用すれば改善できます。これは、EO 12333は、データが米国内の企業サーバーに到達する前に傍受することを想定しているからです。暗号化が十分に強力である場合、傍受されたデータは読み取り不能のままになります。
Zendeskはこの点に関して十分な暗号化を行っています。ZendeskのUIおよびAPIによる通信はすべて、業界標準のHTTPS/TLS(TLS 1.2以上)を介してパブリックネットワーク上で暗号化されています。サービスデータは、AES-256キー暗号化を使用してAWSで暗号化されて保管されます。さらに、Zendeskは、政府当局がセキュリティ対策を回避してサービスデータにアクセスできるようなバックドアを設けていません。このことから、ZendeskはEO 12333によって生じる本質的な同等性リスクに適切に対処する補完的な措置を実施していると考えられます。
9. 他の国でZendeskがデータを処理する際に、その国の監視法のもとで、データが適切に保護されることをどのように確認できるか?
前述のように、ZendeskはTIAガイドで、関連する現地の法令の概要を提供しています。これらの国の法令の中には、お客様のデータに対してEUと本質的に同等水準の保護を提供していると評価できるものもあります。その場合、そのような国々では補完的な措置は必要ないと考えられます。
これらの国の法令のどれもが、お客様のデータに対して本質的にEUと同等の保護を提供していないと評価されうる場合、状況によっては(データのタイプなど)、それらの法令がお客様のデータに実際に適用されると信じる根拠がないと判断できる場合があります。また、Zendeskが導入している補完的措置(たとえば、政府データ要請ポリシーや強化された安全対策)は、本質的な同等性の問題に適切に対処していると考えることもできます。
10. ZendeskはシュレムスIIの判決に対応するために、他にどのような対策を講じているか?
Zendeskの「契約者」の中には、常に進化し続けるプライバシーを取り巻く環境において、より高いレベルのコンプライアンスを提供するソリューションに関心をお持ちの方もいらっしゃいます。このことを念頭に置き、当社は高度な暗号化リューションと、より詳細なデータローカリゼーション製品の両方の構築に取り組んでいます。
高度な暗号化に注力しているだけでなく、データ保持ポリシーの導入、エージェントによるデータアクセスの可視性の向上、詳細な権限設定、Zendeskインスタンス内でのデータ最小化を支援する追加ツールなど、プライバシーとコンプライアンス機能のさらなる構築にも投資しています。
Zendeskはこれらのプロジェクトに懸命に取り組んでおり、近日中に最新情報をお知らせいたします。しかし、これらの対策やZendeskのシュレムスIIの判決への遵守状況、または一般的なデータ保護に関してご相談等ありましたら、Zendeskのアカウントエグゼクティブまたはeuprivacy@zendesk.comまでお問い合わせください。