本FAQガイドは、(a)情報提供のみを目的として提供されるものであり、法的な助言となるものではなく、(b)現在のZendeskのサービスおよび実務慣行を表しており、変更される可能性があり、(c)Zendeskおよびその関連会社または副処理者が負う義務または保証を構成するものではありません。「契約者」に対するZendeskの責任と義務は、Zendeskメインサービス契約（「MSA」）およびData Processing Agreement（「DPA」）によって規制されています。本文書は、Zendeskとお客様と間で締結される契約の一部ではなく、またその内容を変更するものでもありません。本文書の英語原本において大文字で表記されている用語は、本文書で別途定義されている場合を除き、MSAおよびDPAで定められている意味を持つものとします。

Zendeskは、シュレムス IIの判決および新しい標準契約条項（「SCC」）の観点から、国家間における個人データの移転については扱いが複雑な領域であると認識しています。このFAQは、お客様のZendeskサービスのご利用にあたって、欧州データ保護評議会の勧告に関わる主要な疑問に回答することを目的としたものです。この件に関してさらにご質問がある場合は、euprivacy@zendesk.comまでお気軽にメールをお送りください。

1.国際的なデータ移転に関して、GDPRはどのように規定していますか？

GDPRの対象となる個人データは、GDPR水準のデータ保護が損なわれていないことを保証するための認可されたメカニズムが存在する場合にのみ、EEA圏外に移転することができます。

これは、第一に組織がEEA圏外への個人データの移転をすべて把握し、その所在を確認できることが重要であるということを意味します（EDPB勧告のステップ1）。

2.国際的なデータ移転に関して、Zendeskはどのようなメカニズムを採用していますか？

次に、組織は、それぞれのデータ移転がどのような移転メカニズムに依存しているのかを把握しておく必要があります（EDPB勧告のステップ2）。EEA圏外の一部の国（例：英国）は、EUデータ保護機関による決定の便益を受けています。Zendeskは、可能な場合にはこのメカニズムを採用しています。

また、EEA圏外の国または適合外の国における個人データの移転については、Zendeskは、ZendeskサブスクライバーとZendeskの復処理者との間の国際的なデータ移転のメカニズムとしてSCCを採用します。これにより、EEA圏外の国においても個人データがGDPR基準で保護されることが契約上保証されます。

Zendeskは、異なるZendesk事業体間での国際的なデータ移転に関して、シュレムスIIの保護を含む拘束的企業準則（「BCR」）を採用しています。こちらおよびこちらを参照してください。BCRは、監督当局によって承認された、企業グループ内のデータ保護事項を規定する方針であり、これにはグループ企業間の国際的なデータ移転に関する規定も含まれます。

3.シュレムスIIの判決は、SCCおよびBCRの採用にどのように影響しますか？

データ移転を行う者は、データ移転先の国が、個々のデータについて、特に政府による監視に関して、本質的にEUと同等の保護を提供していることを保証する必要があります（EDPB勧告のステップ3）。本質的に同等の保護が提供されない場合、データ移転を進めるには、データ移転を行う者がデータ保護のレベルを本質的に同等の水準まで引き上げるための「補完的措置」を実施する必要があります（EDPB勧告のステップ4）。

なお、重要な点として、シュレムスIIの判決では、データのローカリゼーションやEU圏内専用のサポートは義務付けられていません。一部の企業では、これを優先事項または補完的な技術的措置としてみなしていますが、明確な法的要件ではありません。

4.新しいSCCとシュレムスIIの関係は何ですか？

新しいSCCは、以前のバージョンの旧態化に伴い登場したものです。さらに、シュレムスIIの判決が、新しいSCCを発展させる要因となりました。新しいSCCは、データ移転影響評価（「TIA」）を実施するためのシュレムスIIの要件を成文化したものです。また、政府から開示請求を受けた場合、データ移転先は特定のデータ保護手順を実行する必要があります。新しいSCCは、すでに最新のZendesk DPAに組み込まれています。

5.TIAとは何ですか？また、どのように実施されますか？

TIAとは、移転される個々のデータについて、データ移転先の国において本質的に同等の水準の保護が提供されるかどうかを評価する方法です（EDPB勧告のステップ3および4）。これには、移転先の各国における個人データの監視に関する法令が、監視措置に関するEUの本質的保証、政府の監視措置に関するあらゆる現実的証拠（データ移転先が以前に政府から受け取った開示請求など）、また必要に応じて、本質的に同等の水準を満たすための補完的措置の条件を、満たすものであるかどうかの評価も含まれます。

Zendeskでは、Zendeskサービスの利用に関するTIAを策定するためのガイドを作成しました。このガイドには、Zendeskまたはその復処理者がサブスクライバーの個人データを移転する可能性がある各国における、政府機関による監視に関する法令に関わる情報が詳しく記載されています。このガイドのコピーの入手については、Zendeskのアカウントエグゼクティブにお問い合わせください。

6.政府からのデータ開示請求に対するZendeskの取り組みについて教えてください。また、過去に開示請求を受けたことはありますか？

上記に沿って、TIAは、政府のデータ開示請求に対してデータ移転先がどのようなプロセスで対応するか、データ移転先が以前にそのような要請を受け取ったことがあるかどうか、およびデータ移転先がそのような要請に関する情報を提供することを実際に許可されているかどうかを考慮する必要があります。

Zendeskでは、政府からのデータ開示請求を受け取った場合、当社の「政府データ要請ポリシー」および新しいSCCの第15条に従って対応します。政府からデータ開示請求を受け取った場合は、この新しいSCCを15か国に許可する必要があります。これには、まずデータ管理者に連絡するよう当局に求めること、それができない場合には要請の有効性について慎重な法的検討を行うことが含まれます。多くのテクノロジー企業と同様に、Zendeskも米国やその他の国の法執行機関から、サブスクライバーに代わってZendeskが保管しているデータの開示を請求されることがあります。Zendeskがこれまでに受け取ったそのような要請に関する詳細情報は、当社の透明性レポートに記載されています。

7.シュレムスIIの観点から、ZendeskのFISA 702に対する取り組みはどのようなものですか？

FISA 702は、国家安全保障を目的とした特定の種類の外国情報の収集を認めています。「外国諜報監視裁判所」と呼ばれる独立した特別な連邦裁判所が、情報収集がFISA法および合衆国憲法（特に、不当な捜索や押収を禁じる合衆国憲法修正第4条）に準拠して行われるように監視しています。

Zendeskは米国デラウェア州で設立、登記された米国法人であり、米国法の影響下にあります。Zendeskは、サブスクライバーに対するサービスの提供において、電子通信プライバシー法（「ECPA」）（合衆国法典第18編第2711条）に定義されるリモートコンピューティングサービス（「RCS」）に該当します。ECPAは、法執行機関が令状、召喚状、または裁判所命令を事前に取得しない限り、RCSプロバイダーに保存されているデータの開示を受けることを許可していません。また、リモートコンピューティングサービスのプロバイダーは、電子通信を保存する場合には外国諜報監視法第702条（「FISA 702」）の適用を受けます。

状況にもよりますが、第一に、お客様はTIAの一環として、Zendeskを処理者として使用しているデータについて、特にZendeskがお客様に代わって処理するデータの種類を根拠として、FISA 702が実際に適用されると信じるに足る理由がないと結論付けることができます。この点に関して、シュレムスIIの判決以降、米国政府は次のように保証しています。「ほとんどの米国企業は、米国の諜報機関にとって関心のあるデータを扱っておらず、また、扱っていると信じるに足る根拠もない。ほとんどの米国企業は、シュレムスIIの判決においてECJが懸念したと思われる種類のプライバシーに関わるリスクをもたらすようなデータ移転には関与していない。」

第二に、Zendeskの透明性レポートは、この種の要請が発生する可能性が非常に低いことを示しています。このことからも、お客様がZendeskを処理者として利用しているデータに対して、FISA 702が実際に適用されると考える根拠がないと結論付けることが可能です。

第三に、お客様には、データの管理者として、お客様のデータに関連するログをチェックし、不正アクセスがあったかどうかを確認する権利があります（なお、通常の状況では、Zendeskのスタッフがお客様の承認を得ることなくお客様のデータにアクセスすることはありません）。したがって、この補完的措置により、本質的な同等性に関する問題の可能性を排除することができます。

8.シュレムスIIの判決の観点から、ZendeskのEO 12333に対する取り組みはどのようなものですか？

大統領命令（EO）12333は、海外情報の収集を行うために米国政府が企業に支援を要求することを実際に認めておらず、Zendeskが自発的にこれを行うこともありません。政府は、対外情報収集を行うために企業に支援を求めていますが、Zendeskが自発的にそれを行うことはありません。これまで、大量の個人データへのアクセスの命令をZendeskが受けたことはありません。EO 12333による一切のリスクは、データ移転先が移転に際して十分に強力な暗号化を使用することによって排除できます。これはEO 12333が、データが米国内の企業サーバーに到達する前の傍受を想定しているためです。暗号化が十分に強力であれば、傍受されるデータは読み取り不能のままになります。

Zendeskはこの点に関して十分な暗号化を行っています。 ZendeskのUIおよびAPIによる通信はすべて、業界標準のHTTPS/TLS（TLS 1.2以上）を介してパブリックネットワーク上で暗号化されています。サービスデータは、AWSでの保存時にAES-256キー暗号化を使用して暗号化されます。さらにZendeskは、政府当局がセキュリティ対策を回避してサービスデータにアクセスできるようなバックドアを設けていません。このことから、ZendeskはEO 12333によって生じる本質的な同等性のリスクに適切に対処するための補完的措置を実施していると言えます。

9.Zendeskが他の国でデータを処理する際に、その国の監視法の下でデータが適切に保護されることをどのように保証できるのですか？

前述のようにZendeskは、当社のTIAガイドにおいて、関連する現地法令の概要を提供しています。これらの国の法令の中には、お客様のデータに対してEUと本質的に同等水準の保護を提供していると評価できるものもあります。その場合、そのような国々では補完的な措置は必要ないと考えられます。

これらの国の法令がお客様のデータに対して本質的にEUと同等の保護を提供していないと評価される場合、状況によっては（データのタイプなど）、それらの法令がお客様のデータに対して実際に適用されると信じるに足る根拠がないと判断される可能性もあります。また、Zendeskが導入している補完的措置（たとえば、政府データ要請ポリシーや強化された安全対策）によって、本質的な同等性の問題に適切に対処できていると考えられる可能性もあります。

10.シュレムスIIの判決を受けて、Zendeskでは他にどのような対策を講じていますか？

Zendeskのサブスクライバーの中には、プライバシーの問題に関する進化が絶えない環境において、より高いレベルのコンプライアンスを提供するソリューションに関心をお持ちの方もいらっしゃいます。このことを念頭に置いて、Zendeskでは、高度な暗号化のソリューションと、より詳細なデータローカライゼーションサービスの双方の構築に取り組んでいます。

Zendeskでは、高度な暗号化への注力に加えて、お客様のZendeskインスタンス内におけるデータ保持ポリシーの実装、エージェントのアクセス状況の可視性の向上、詳細な権限設定、およびデータの最小化を支援するツールの追加をかなえるためのプライバシー機能とコンプライアンス機能の構築に投資しています。

Zendeskはこれらのプロジェクトに懸命に取り組んでおり、近日中に最新情報をお届けする予定ですが、これらの対策やシュレムスIIの判決に関わるZendeskのコンプライアンスの状況、またはデータ保護に関する一般的な問題に関して何かございましたら、Zendeskのアカウントエグゼクティブまたはeuprivacy@zendesk.comまでお問い合わせください。