データ転送影響評価
最終更新日:2023 年 12 月 7 日
概要
本データ移転影響評価(以下、「DTIA」)は、アトラシアンのサービス(クラウド製品や Forge プラットフォームを含む)の提供に関連して、アトラシアンのお客様および Forge 開発者が個人データ移転のリスク評価を実施するのをサポートするためのものです。本 DTIA は、欧州連合司法裁判所の「Schrems II」の判決と欧州データ保護委員会の勧告に照らして、アトラシアン、その関連会社、復処理者による当該個人データの処理(移転を含む)に対処します。DTIA では、欧州データ保護法に基づいて個人データ移転規則を遵守するために必要な情報を提供しています。
欧州データ保護法では、個人データを欧州外に移転することはできません。ただし、(i)関連する政府機関が輸入国を十分性のある国だとみなした場合、または(ii)データ輸出者が適切な保護対策を講じており、移転される個人データに十分なレベルの保護が確保されている場合を除きます。これらの保護対策は「移転メカニズム」と呼ばれます。アトラシアンのお客様に適用される移転と移転メカニズムの詳細を以下に示します。
データ移転影響評価の範囲
データ処理の場所は、お客様にご購入いただいたクラウド製品によって異なることにご留意ください。たとえば、Jira Align をご購入いただいた場合、関連する復処理者と処理の場所は、Trello や Confluence に適用される復処理者と場所とは異なることがあります (復処理者ページに記載のとおり)。また、それらのクラウド製品の特定のデータにデータ レジデンシーを設定することもできます。これにより、本ページに記載されている移転の範囲がさらに狭まる可能性があります。そのため、ご購入いただいたクラウド製品に関連する復処理者ページとデータ レジデンシー ページをご確認いただき、本ドキュメントで関連情報を入手してください。
アトラシアンの DTIA は、アトラシアンの本サービスに関連するデータの直接移転および再移転を対象としています。
アトラシアンは、EEA、英国、スイス(総称して、「欧州」)から個人データを、欧州データ保護法に基づいて十分性認定を受けた国と、十分性認定を受けていない国の両方に移転します。概要は次のとおりです。
| 欧州/EEA および十分性認定国 | ブルガリア、カナダ、フランス、ドイツ、アイルランド、日本、ニュージーランド、オランダ、ポーランド、スウェーデン、英国、米国(データ・プライバシー・フレームワークに参加している商業組織のみ) |
|---|---|
| 十分性認定を受けていない国 | オーストラリア、ブラジル、インド、メキシコ、フィリピン、シンガポール、トルコ |
十分性認定が適用されない場合、当社は移転メカニズムとして SCC(標準的契約条項)に引き続き依拠します。詳細については、以下の契約上の措置をご覧ください。
移転の範囲は、1)利用するサービス(例:Jira Align での複処理者や適用される場所は、Confluence での復処理者や適用される場所とは異なる場合があります)、および 2)それらのサービスでデータ・レジデンシーを設定しているかどうかによって制限されることがあります。ご利用のサービスに関連する復処理者ページとデータ・レジデンシーのページをご確認いただき、本ドキュメントで関連情報を入手してください。
本サービスの、米国および十分性認定を受けていない国への移転に関する当社の分析は以下のとおりです。
オーストラリア
ステップ 2: 使用する転送ツールの特定
| 移転およびその後の処理の目的 | 直接移転: アトラシアンはオーストラリアにオフィスを構えており、従業員は本サービスと Forge プラットフォームを提供するために個人データにアクセスできます。 再移転: アトラシアンは、本サービスや Forge の提供をサポートする目的で、お客様の個人データを復処理者に移転します。詳細は復処理者ページに記載されています。また、アトラシアンは本ページに従って、データ レジデンシーを提供します。 |
|---|---|
| 移転の頻度 | 直接移転: 継続的。 再移転: 継続的。 |
| 移転される個人データのカテゴリ | 直接移転: アトラシアンの DPA および Forge DPA でそれぞれ詳述しています。 再移転: 詳細については、アトラシアンの復処理者ページをご覧ください。 |
| 移転される機密データ (該当する場合) | 直接移転: データ輸出者独自の裁量により決定されます。 再移転: データ輸出者独自の裁量により決定されます。 |
| 処理チェーンの期間
| 再移転: アトラシアンの復処理者ページをご覧ください。 |
| 適用される移転メカニズム
| 直接移転: アトラシアンとお客様、またはアトラシアンと Forge 開発者との間のそれぞれの標準的契約条項。 再移転: アトラシアンと復処理者間での標準的契約条項。アトラシアンは、適切な技術的および組織的な措置を講じる義務を復処理者に課し、適用されるデータ保護法で義務付けられている基準に従って個人データの再処理を確実に保護します。 |
| 移転のあらゆる状況を考慮した、関連する法律と慣行の特定 | オーストラリアにはさまざまな法律、規制、行政権があり、個人データの開示を企業に強制するために利用され、または違反が疑われる場合に調査機関や執行機関がデータを取得できるよう規定しています。主要な法律の概要を以下に示します。
上記の各法律には、オーストラリア国外の人々に調査プロセスにおいて支援するよう理論上強制できる潜在的な域外の権限があります。しかし、実際には、刑事共助条約などの既存の二国間のプロセスによって活動することなく、法執行機関や監視当局が当該行為をする可能性は極めて低いです。実際に、政府当局がどのように権限のすべてを使用して監視を実施し、データを収集したか (その結果、いかなる状況においても不要または過度のデータ アクセスを伴うかどうか) を判断するのは困難なことがあります。その理由として、政府当局は自らの権限をいつ、どのように使用したかを公に報告する必要がないためです (ただし、独立した法定機関への報告など、独立した監視と審査は、監視法フレームワーク全体に組み込まれています)。また、現在はデータへのアクセスと監視に関するすべての要請が、事前の独立した司法承認の対象となっているわけではありません。ただし、オーストラリアの監視法の見直しと改革のプロセスは始まっているため、今後変更される可能性があります。 アトラシアンは、政府からのデータ提供要請に応じるにあたり、アトラシアンの法執行要求に関するアトラシアンのガイドラインを公表し、これに従っています。また、データ アクセスに関する政府からの要請に関する情報を掲載した、年次透明性報告書も公表しています。 |
ブラジル
| 移転およびその後の処理の目的 | 直接移転: 適用外。 再移転: アトラシアンは、本サービスや Forge の提供を支援する目的で、顧客の個人データを復処理者に移転します。詳細は復処理者ページに記載されています。 |
|---|---|
| 移転の頻度 | 直接移転: 適用外。 再移転: 継続的。 |
| 移転される個人データのカテゴリ | 直接移転: 適用外。 再移転: 詳細については、アトラシアンの復処理者ページをご覧ください。 |
| 移転される機密データ (該当する場合) | 直接移転: 適用外。 再移転: データ輸出者独自の裁量により決定されます。 |
| 処理チェーンの期間
| 再移転: 詳細については、アトラシアンの復処理者ページをご覧ください。 |
| 適用される移転メカニズム
| 直接移転: 適用外。 再移転: アトラシアンと復処理者間での標準的契約条項。アトラシアンは、適切な技術的および組織的な措置を講じる義務を復処理者に課し、適用されるデータ保護法で義務付けられている基準に従って個人データの再処理を確実に保護します。 |
| 移転のあらゆる状況を考慮した、関連する法律と慣行の特定 | ブラジル政府は、以下に詳述するとおり、特定の目的 (刑法の執行や監視を含みますが、これらに限定されません) において、かつ裁判所の承認を得た後でのみ個人データにアクセス/傍受できます。 主要な法律の概要は以下のとおりです。
ブラジルの一般データ保護法 (「LGPD」) は、GDPR にほぼ準拠しているため、同様のレベルの保護が提供されますが、国家安全保障や刑事問題には適用されません。しかし、ブラジルは欧州データ保護委員会から十分性認定を取得するための評価をまだ受けていません。 アトラシアンは、政府からのデータ提供要請に応じるにあたり、アトラシアンの法執行機関からの要請に関するガイドラインを公表し、これに従っています。また、データ アクセスに関する政府からの要請に関する情報を掲載した、年次透明性報告書も公表しています。 |
インド
| 移転およびその後の処理の目的 | 直接移転: 適用外。 再移転: アトラシアンは、本サービスや Forge の提供を支援する目的で、顧客の個人データを復処理者に移転します。詳細は復処理者ページに記載されています。 |
|---|---|
| 移転の頻度 | 直接移転: 適用外。 再移転: 継続的。 |
| 移転される個人データのカテゴリ | 直接移転: 適用外。 再移転: 詳細については、アトラシアンの復処理者ページをご覧ください。 |
| 移転される機密データ (該当する場合) | 直接移転: 適用外。 再移転: データ輸出者独自の裁量により決定されます。 |
| 処理チェーンの期間
| 再移転: 詳細については、アトラシアンの復処理者ページをご覧ください。 |
| 適用される転送メカニズム
| 直接移転: 適用外。 再移転: アトラシアンと復処理者間での標準的契約条項。アトラシアンは、適切な技術的および組織的な措置を講じる義務を復処理者に課し、適用されるデータ保護法で義務付けられている基準に従って個人データの再処理を確実に保護します。 |
| 移転のあらゆる状況を考慮した、関連する法律と慣行の特定 | インドには、監視、犯罪、セキュリティに関するさまざまな法律があり、これらの法律に基づき、関連する要因が当てはまる場合には、政府機関は個人から事前に同意を得ることなく、「個人情報」や「機密性の高い個人データまたは情報」を傍受してアクセスできます。 主要な法律の概要は以下のとおりです。これらの法律は、併用されることが多いため、刑法と監視特有の法律を区別できないことにご留意ください。
インド当局による監視および傍受の権限の範囲は、インド国内で活動するあらゆる個人、企業、法人 (海外からインドで事業を行っている者を含む) に関して実施される調査にまで及ぶため、あらゆるデータ受領者が当該刑法執行の範囲に含まれる可能性があり、政府当局から要請された場合は、入手可能なデータを共有する義務があります。CrPC はインドの直轄領に適用されるため、オフショア法人は要求に応じる義務はありませんが、オフショア法人がインドに拠点を置く場合は、インド国内の当該事業に CrPC が適用されます。 アトラシアンは、政府からのデータ提供要請に応じるにあたり、アトラシアンの法執行機関からの要請に関するガイドラインを公表し、これに従っています。また、データ アクセスに関する政府からの要請に関する情報を掲載した、年次透明性報告書も公表しています。 |
メキシコ
| 移転およびその後の処理の目的 | 直接移転: 適用外。 再移転: アトラシアンは、サービスや Forge の提供をサポートする目的で、顧客の個人データを復処理者に移転します。詳細は復処理者ページに記載されています。 |
|---|---|
| 移転の頻度 | 直接移転: 適用外。 再移転: 継続的。 |
| 移転される個人データのカテゴリ | 直接移転: 適用外。 再移転: 詳細については、アトラシアンの復処理者ページをご覧ください。 |
| 移転される機密データ (該当する場合) | 直接移転: 適用外。 再移転: データ輸出者独自の裁量により決定されます。 |
| 処理チェーンの期間
| 再移転: 詳細については、アトラシアンの復処理者ページをご覧ください。 |
| 適用される転送メカニズム
| 直接移転: 適用外。 再移転: アトラシアンと復処理者間での標準的契約条項。アトラシアンは、適切な技術的および組織的な措置を講じる義務を復処理者に課し、適用されるデータ保護法で義務付けられている基準に従って個人データの再処理を確実に保護します。 |
| 移転のあらゆる状況を考慮した、関連する法律と慣行の特定 | Protection of Personal Data held by Private Parties (民間団体が保有する個人データの保護) に関する法律 (「LFPDPPP」) を遵守する義務がある民間団体は、メキシコに関連して何らかの方法でデータを処理する必要があるため、メキシコ当局からの個人データの開示要求に応じる義務があります (要求が合法的であることが前提となります)。 データ輸入者が LFPDPPP の「データ処理」の定義に該当する個人データを取得する場合、アトラシアンは潜在的に輸入地域の政府のセキュリティおよび監視の権限の範囲に含まれます。メキシコのデータ保護法では、データを移転すると受信者がデータ管理者になります。LFPDPPP とその規制の適用範囲内に含まれるのは、次のような場合です。
メキシコ当局は、データ輸入者がデータを所有しており、当局が権限を行使できると主張する可能性があります。 アトラシアンは、政府からのデータ提供要請に応じるにあたり、アトラシアンの法執行機関からの要請に関するガイドラインを公表し、これに従っています。また、データ アクセスに関する政府からの要請に関する情報を掲載した、年次透明性報告書も公表しています。 |
フィリピン
| 移転およびその後の処理の目的 | 直接移転: 適用外。 再移転: アトラシアンは、本サービスや Forge の提供を支援する目的で、顧客の個人データを復処理者に移転します。詳細は復処理者ページに記載されています。 |
|---|---|
| 移転の頻度 | 直接移転: 適用外。 再移転: 継続的。 |
| 移転される個人データのカテゴリ | 直接移転: 適用外。 再移転: 詳細については、アトラシアンの復処理者ページをご覧ください。 |
| 移転される機密データ (該当する場合) | 直接移転: 適用外。 再移転: データ輸出者独自の裁量により決定されます。 |
| 処理チェーンの期間
| 再移転: 詳細については、アトラシアンの復処理者ページをご覧ください。 |
| 適用される移転メカニズム
| 直接移転: 適用外。 再移転: アトラシアンと復処理者間での標準的契約条項。アトラシアンは、適切な技術的および組織的な措置を講じる義務を復処理者に課し、適用されるデータ保護法で義務付けられている基準に従って個人データの再処理を確実に保護します。 |
| 移転のあらゆる状況を考慮した、関連する法律と慣行の特定 | フィリピンは、法執行機関や軍関係者がデータにアクセスできるようにする特定の法律を制定しました。これには、フィリピンで処理され、民間組織が保有する個人データが含まれます。さらに、政府当局の権限により、政府当局はヨーロッパに保存されているがフィリピンに居住する個人がアクセスするデータを要求/アクセスすることができます。ただし、要求された個人または法人がフィリピン政府の管轄下にある場合に限ります。 主要な法律の概要を以下に示します。
アトラシアンは、政府からのデータ提供要請に応じるにあたり、アトラシアンの法執行機関からの要請に関するガイドラインを公表し、これに従っています。また、データ アクセスに関する政府からの要請に関する情報を掲載した、年次透明性報告書も公表しています。 |
シンガポール
| 移転およびその後の処理の目的 | 直接移転: 適用外。 再移転: アトラシアンは、本サービスや Forge の提供を支援する目的で、顧客の個人データを復処理者に移転します。詳細は復処理者ページに記載されています。 |
|---|---|
| 移転の頻度 | 直接移転: 適用外。 再移転: 継続的。 |
| 移転される個人データのカテゴリ | 直接移転: 適用外。 再移転: 詳細については、アトラシアンの復処理者ページをご覧ください。 |
| 移転される機密データ (該当する場合) | 直接移転: 適用外。 再移転: データ輸出者独自の裁量により決定されます。 |
| 処理チェーンの期間
| 再移転: 詳細については、アトラシアンの復処理者ページをご覧ください。 |
| 適用される転送メカニズム
| 直接移転: 適用外。 再移転: アトラシアンと復処理者間での標準的契約条項。アトラシアンは、適切な技術的および組織的な措置を講じる義務を復処理者に課し、適用されるデータ保護法で義務付けられている基準に従って個人データの再処理を確実に保護します。 |
| 移転のあらゆる状況を考慮した、関連する法律と慣行の特定 | シンガポールは、政府がデータにアクセスできるようにする法律を制定しました。これには、シンガポールで処理される個人データが含まれます。 シンガポールにおいて関連する主要な法律の概要を以下に示します。
アトラシアンは、政府からのデータ提供要請に応じるにあたり、アトラシアンの法執行機関からの要請に関するガイドラインを公表し、これに従っています。また、データ アクセスに関する政府からの要請に関する情報を掲載した、年次透明性報告書も公表しています。 |
シンガポール
| 移転およびその後の処理の目的 | 直接移転: 適用外。 再移転: アトラシアンは、本サービスや Forge の提供を支援する目的で、顧客の個人データを復処理者に移転します。詳細は復処理者ページに記載されています。 |
|---|---|
| 移転の頻度 | 直接移転: 適用外。 再移転: 継続的。 |
| 移転される個人データのカテゴリ | 直接移転: 適用外。 再移転: 詳細については、アトラシアンの復処理者ページをご覧ください。 |
| 移転される機密データ (該当する場合) | 直接移転: 適用外。 再移転: データ輸出者独自の裁量により決定されます。 |
| 処理チェーンの期間
| 再移転: 詳細については、アトラシアンの復処理者ページをご覧ください。 |
| 適用される転送メカニズム
| 直接移転: 適用外。 再移転: アトラシアンと復処理者間での標準的契約条項。アトラシアンは、適切な技術的および組織的な措置を講じる義務を復処理者に課し、適用されるデータ保護法で義務付けられている基準に従って個人データの再処理を確実に保護します。 |
| 移転のあらゆる状況を考慮した、関連する法律と慣行の特定 | シンガポールは、政府がデータにアクセスできるようにする法律を制定しました。これには、シンガポールで処理される個人データが含まれます。 シンガポールにおいて関連する主要な法律の概要を以下に示します。
アトラシアンは、政府からのデータ提供要請に応じるにあたり、アトラシアンの法執行機関からの要請に関するガイドラインを公表し、これに従っています。また、データ アクセスに関する政府からの要請に関する情報を掲載した、年次透明性報告書も公表しています。 |
トルコ
| 移転およびその後の処理の目的 | 直接移転: 適用外。 再移転: アトラシアンは、本サービスや Forge の提供を支援する目的で、顧客の個人データを復処理者に移転します。詳細は復処理者ページに記載されています。 |
|---|---|
| 移転の頻度 | 直接移転: 適用外。 再移転: 継続的。 |
| 移転される個人データのカテゴリ | 直接移転: 適用外。 再移転: 詳細については、アトラシアンの復処理者ページをご覧ください。 |
| 移転される機密データ (該当する場合) | 直接移転: 適用外。 再移転: データ輸出者独自の裁量により決定されます。 |
| 処理チェーンの期間
| 再移転: 詳細については、アトラシアンの復処理者ページをご覧ください。 |
| 適用される転送メカニズム
| 直接移転: 適用外。 再移転: アトラシアンと復処理者間での標準的契約条項。アトラシアンは、適切な技術的および組織的な措置を講じる義務を復処理者に課し、適用されるデータ保護法で義務付けられている基準に従って個人データの再処理を確実に保護します。 |
| 移転のあらゆる状況を考慮した、関連する法律と慣行の特定 | トルコにおいて関連する主要な法律の概要を以下に示します。
域外効果: 政府または州当局が組織に書類を要求する権限は、(サーバーが欧州にある場合) トルコ国内にある情報に限定されません。司法上の決定による個人の通信の盗聴にも同じ原則が適用されます。双方向の会話で、どちらかが欧州に居住しているか、欧州市民であっても、国家情報機関は必要な情報を収集できます。 アトラシアンは、政府からのデータ提供要請に応じるにあたり、アトラシアンの法執行機関からの要請に関するガイドラインを公表し、これに従っています。また、データ アクセスに関する政府からの要請に関する情報を掲載した、年次透明性報告書も公表しています。 |
アメリカ合衆国*
| 移転およびその後の処理の目的 | 直接移転: アトラシアンは米国にオフィスを構えており、従業員はサービスと Forge を提供する目的で個人データにアクセスできます。 再移転: アトラシアンは、サービスや Forge の提供をサポートする目的で、個人データを復処理者に移転します。詳細は復処理者ページに記載されています。 |
|---|---|
| 移転の頻度 | 直接移転: 継続的。 再移転: 継続的。 |
| 移転される個人データのカテゴリ | 直接移転: アトラシアンの DPA および Forge DPA でそれぞれ詳述しています。 再移転: 詳細については、アトラシアンの復処理者ページをご覧ください。 |
| 移転される機密データ (該当する場合) | 直接移転: なし。 再移転: データ輸出者独自の裁量により決定されます。 |
| 処理チェーンの期間
| 再移転: 詳細については、アトラシアンの復処理者ページをご覧ください。 |
| 適用される転送メカニズム
| 直接移転: アトラシアンとお客様、またはアトラシアンと Forge 開発者との間のそれぞれの契約関係に関するアトラシアンの DPF 認証。 再移転: アトラシアンと復処理者間での標準的契約条項。アトラシアンは、適切な技術的および組織的な措置を講じる義務を復処理者に課し、適用されるデータ保護法で義務付けられている基準に従って個人データの再処理を確実に保護します。 |
| 移転のあらゆる状況を考慮した、関連する法律と慣行の特定 | Schrems II では欧州連合 (EU) 司法裁判所により、以下の米国の法律が米国において個人データの実質的に同等な保護を確保する上での潜在的な障害として特定されました。
これらの米国の監視法の詳細については、2020 年 9 月の U.S. Privacy Safeguards Relevant to SCCs and Other EU Legal Bases for EU-U.S. Data Transfers after Schrems II (Schrems II 以降の SCC に関連する米国のプライバシー保護措置および EU - 米国間のデータ移転に関するその他の EU の法的根拠) ホワイトペーパーに記載されています。クラウド法については、クラウド法の範囲を概説している BSA | The Software Alliance (BSA | ザ ソフトウェア アライアンス) の What is the CLOUD Act? をご覧ください。 データ プライバシー フレームワークにより、欧州は DPF に基づく自己認証を行う米国企業向けの十分性枠組みを導入しました。十分性認定の重要な要素は、更新された米国の法的枠組みでした。たとえば、10 月 7 日にバイデン大統領によって署名された Enhancing Safeguards for United States Signals Intelligence Activities (米国の信号諜報活動に対する保護措置の強化) に関する大統領命令です。司法長官が採択した規則も添付されています。これらの文書は、司法裁判所が Schrems II の判決で提起した課題に対処するために採択されました。 個人データを米国に移転するヨーロッパ人に対しては、大統領令で次の内容が規定されています。
Atlassian US, Inc. とその米国の関連会社は、データ プライバシー フレームワーク原則に参加し、その遵守を認証しています。当社の米国法人は、十分性認定に依拠して EU の個人データを受け取ることができるようになりました。詳細については、「データ プライバシー フレームワークに関するお知らせ」セクションのプライバシーに関するお知らせをご覧ください。 アトラシアンは、政府からのデータ提供要請に応じるにあたり、アトラシアンの法執行機関からの要請に関するガイドラインを公表し、これに従っています。また、データ アクセスに関する政府からの要請に関する情報を掲載した、年次透明性報告書も公表しています。 |
補足措置
適用されるデータ保護法に従って個人データを保護するために、アトラシアンは以下の技術的、契約的、組織的な補足措置を講じています。
| 技術的措置 | アトラシアンは、個人データのセキュリティを強化するために、以下の技術的措置を講じています。
|
|---|---|
| 契約的措置 | アトラシアンの契約的措置は、SCC を組み込んだデータ処理補遺と、SCC に関する英国補遺とスイスによる修正条項に定められています。特に、当社は以下の要件の対象となっています。
|
| 組織的措置 | データを保護するためのアトラシアンの組織的措置には以下が含まれます。
|
適切な間隔での再評価
アトラシアンは、ヨーロッパ外への個人データの転送に関連するデータ プライバシー規制とリスク環境の変化に対応するために、関連するリスクと実施した措置を確認し、必要に応じて再検討します。
法的注意事項: お客様と Forge 開発者は、本書に記載されている情報を独自に評価する責任があります。本書は、(a) 情報提供のみを目的としており、(b) 予告なしに変更される可能性のある現時点でのアトラシアンの製品、サービス、プラクティスについて説明しており、(c) アトラシアンとその関連会社、サプライヤー、またはライセンサーにいかなる義務または保証も負わせないものとします。お客様に対するアトラシアンの責任は、アトラシアンの契約で規定されており、本書はアトラシアンとお客様またはアトラシアンと Forge 開発者との間の契約の一部となるものではなく、またそれを修正するものでもありません。
情報を常に把握する
登録して、当社の法的規約 (法的ポリシーを含む) および復処理者のリストに関する最新情報を受け取りましょう。