1.はじめに

1.1 本政府データ要求ポリシーは、1) 個人データの開示に関する既存の第三国の要求事項または公的機関によるアクセス許可措置の事前評価、および 2) 法執行機関またはその他の政府機関（以下「要求機関」という）からの、Zendeskが処理した個人データの開示要求（以下「データ開示要求」）に対応する手順を規定しており、これは当社の拘束的企業準則「政府データ要求手順」と一致したものです。また、本ポリシーでは、「政府データ要求手順」に基づき、Zendeskが処理した個人データ（以下「ダイレクト・アクセス」）に対して、法執行機関やその他の政府機関がダイレクト・アクセス（事前要求やZendeskによる承認・協力なしに個人データにアクセスすること）をしたことを知った場合のZendeskの通知手順についても規定しており、これは当社の拘束的企業準則「政府データ要求手順」と一致したものです。

1.2 Zendeskは、データ開示要求を受けた場合、本ポリシーに従ってそのデータ開示要求に対応します。適用されるデータ保護法が本ポリシーで要求されるよりも高い水準の個人データの保護を要求している場合、Zendeskは、当該の適用されるデータ保護法の関連要件にしたがいます。

 

2.事前評価

2.1 Zendeskは、この管理者／処理者ポリシーの要件にしたがって個人データの国際的転送を行う前に、データ開示要求の要件およびダイレクト・アクセス（転送中を含む）を許可するための手段について、データの転送先となる第三国の法律および慣行の評価を行います。これらは、たとえば、基本的な権利および自由の本質を尊重していない慣行や、民主主義社会において必要かつ適切なレベルを超えた慣行のように、Zendeskが個々の管理者／処理者ポリシーにおける義務を果たすことを妨げる可能性のあるものです。また、適用される制限や保護措置の評価も行います。このような評価は、当該の転送および想定される転送の具体的な状況（転送の目的、転送とそれに関連する処理が行われる場所およびセクター、処理に関与する事業体の種類、転送される個人データのカテゴリ／形式、使用される転送チャネルなど）に照らして行われ、（個人データの転送中であれ保管中であれ）契約上、技術上または組織上の追加的な保護措置が必要であるかどうかを判断するものです。この評価（および、該当する場合は保護措置）は、プライバシーチームのメンバーによってグループメンバー全員に伝えられます。Zendeskは、転送先の国の法律に関する将来の動向を合理的に監視し、必要に応じて、そのような変更がZendeskの実施した最初の評価に与える影響を考慮します。この管理者／処理者ポリシーの下でデータ輸入者となるグループメンバーは、データ輸出者となるグループメンバー／顧客、およびデータ保護責任を委任されたEEAのグループメンバーに対し、認識した変更について合理的に伝達するものとします。

 

2.2 Zendeskが、2.1 項の評価結果に対処するために追加の保護措置を講じる必要があると判断した場合、Zendesk は、データ保護責任を委任された当該のEEA のグループメンバーに通知します。そして、プライバシー協議会のメンバーおよび広範なプライバシーチームの関連メンバーが関与して、当該保護措置に関する見解を反映します。

 

2.3 Zendeskは、2.1項に概説した評価および2.2項にしたがった追加的措置を文書化し、管轄の監督当局の要請に応じてこれを提供します。

 

2.4 Zendesk が、個々の管理者／処理者ポリシーに基づく義務を果たすために効果的な補完的措置が必要であると判断したもののそれを特定できなかった場合、または管轄の監督当局から指示があった場合、プライバシーチームは、当該の転送（同じ評価および理由によって同じ結論に至る転送を含む）を停止し、関係するグループメンバー全員にその旨を通知します。そのような停止措置を受けた場合、本管理者／処理者ポリシーに基づいて個人データの輸出を行っている事業体は、そのような個人データの転送を終了することができます。また、管理者／処理者ポリシーで要求される十分な保護の対象とならなかったそのような個人データは、輸出者である事業体に返却するか、破棄することができます。

3.データ開示要求に関する一般原則

3.1 一般的な原則として、Zendeskは、以下のいずれかに該当する場合を除き、データ開示要求に対して個人データを開示することはありません。

 

• 当該の開示を行う法的義務を負っている場合、または

• データ開示要求の性質、背景、目的、範囲および緊急性、ならびに影響を受ける個人のプライバシーの権利および自由を考慮した上で、とにかくデータ開示要求に従うに値する深刻な損害の差し迫ったリスクが存在する場合

3.2 このような理由から、法律で禁止されている場合や、深刻な損害の差し迫ったリスクがある場合を除いて、Zendeskは、データ開示要求に対応するため、管轄のデータ保護当局に（お客様の代理で個人データを処理する場合は、お客様に）通知して協議します。

 

4.データ開示要求の処理

4.1 Zendeskのグループメンバーがデータ開示要求を受けた場合、要求を受け付けた者は、受け付け後直ちに法務部門にその旨を伝え、受け付けた日付と、法務部門による当該要求への対応を助けるその他の情報を提供しなければなりません。同様に、Zendeskのグループメンバーがダイレクト・アクセスに気付いた場合は、直ちに法務チームにその旨を伝え、発生した日付と、法務チームによる本ポリシーに従った対応を助けるその他の情報を提示します。

 

4.2 要求機関の要求は、必ずしも書面であるとは限らず、裁判所の命令に基づくものとは限らず、データ開示要求としての資格を与えるデータ保護法に言及しているとは限りません。ただし、発生したいかなるデータ開示要求も、法務チームに通知され、その確認を受ける必要があります。

 

4.3 Zendeskの法務チームは、すべてのデータ開示要求およびダイレクト・アクセスについて、一件ずつ慎重に確認します。法務チームは、プライバシーチームおよび必要に応じて外部の法律顧問と連絡をとり、データ開示要求／ダイレクト・アクセスの性質、背景、目的、範囲、緊急性、ならびに適用法および国際礼譲の原則に基づくその有効性を判断し、データ開示要求／ダイレクト・アクセスに異議を唱えるために必要な措置（要求機関に対する訴え、管轄の司法当局がその価値について判断するまでの間要求の効力を停止することを目的とした暫定的措置の追求、または、必要に応じて、適用される手続法の下での開示の要求など）があるかどうかを特定し、および／または、第4項に従ってお客様および／または管轄のデータ保護当局に対する通知を行います。

 

5.データ開示要求／ダイレクト・アクセスに関する通知

5.1 お客様への通知

 

5.1.1 データ開示要求が、お客様が管理者となっている個人データに関するものである場合、Zendeskは通常、要求機関に対し、該当するお客様に対して直接データの開示を要求するように依頼します。要求機関が同意した場合、Zendeskは、契約の条件に従って、お客様がデータ開示要求に対応するためのサポートを行います。

 

5.1.2 これが不可能な場合（例えば、要求機関がお客様に対して直接データ開示要求を行うことを拒否した場合や、お客様の個人情報を知らない場合など）、Zendeskは個人データを開示する前に、お客様への通知および当該データ開示要求に関する詳細情報の提供を行います。ただし、それが法的に禁止されている場合や、深刻な損害の差し迫ったリスクがあり事前通知が不可能な場合などは除きます。

 

5.1.3 Zendeskは、お客様が管理者となっている個人データに関するダイレクト・アクセスに気付いた場合、法的に禁止されている場合、または深刻な損害の差し迫ったリスクが存在するために当該の通知ができない場合を除き、当該のダイレクト・アクセスについてお客様に通知し、その詳細情報を提供します。

 

5.2 管轄のデータ保護当局への通知

 

5.2.1 当該要求に関する個人データに対し、適用されるデータ保護法に従った適切なレベルの保護を提供していない国に要求機関が存在する場合、Zendeskは、法的に禁止されている場合または深刻な損害の差し迫ったリスクが存在し事前通知を妨げる場合を除き、当該要求を保留して、管轄のデータ保護当局に通知し協議します。

 

5.2.2 ダイレクト・アクセスを実行した法執行機関またはその他の政府機関が、当該要求に関する個人データに対して適用されるデータ保護法に従った適切なレベルの保護を提供していない国にある場合も、Zendeskは、法的に禁止されている場合または深刻な損害の差し迫ったリスクが存在し事前の通知を妨げる場合を除き、管轄のデータ保護当局に通知し協議します。

 

5.2.3 Zendeskが管轄のデータ保護当局に通知すること、および／または要求を保留することを禁止されている場合、Zendeskは、（要求の性質、背景、目的、範囲、緊急性を考慮した上で）当該のダイレクト・アクセスを実行した要求機関／当局に対し、適用されるデータ保護法上のZendeskの義務について通知し、当該の禁止を撤回する権利を獲得するために最善の努力を尽くします。このような努力には、Zendeskが管轄のデータ保護当局と協議できるようにするために、ダイレクト・アクセスを実行した要求機関／当局に対して要求の保留を依頼することや、Zendeskのお客様の特定の担当者に対する開示の許可を依頼すること、また適切な状況下においては、この趣旨の裁判所命令を求めることが含まれます。Zendeskは、法的に禁止されている場合を除き、自社で確立された業務記録維持の慣行にしたがって、自社が行った努力の記録を書面で維持し、合理的な要求があればお客様や管轄のデータ保護当局に提供します。

 

6.透明性レポート

6.1 Zendeskは、適用される法律または裁判所の命令により制限される場合がありますが、半年ごとに、過去6ヶ月間に受け付けたデータ開示要求の数と種類を反映した半期報告書（「透明性レポート」）を作成することを約束します。Zendeskは透明性レポートを自社のWebサイトで公開し、管轄のデータ保護当局の要求に応じてこのレポートを提示します。

 

7.一括転送

7.1 いかなる場合にも、グループメンバーは、民主主義社会において必要とされる範囲を超えた大規模、過度、無差別な方法によって個人データを要求機関に転送することはありません。