Close

英語以外で表示されているこれらの規約は、便宜上のみ提供されている翻訳版です。 訳語の間で不明確さや矛盾が生じた場合、英語版が正式なものとされ、優先されます。

データ転送影響評価

概要

本データ移転影響評価(以下、「DTIA」)は、アトラシアンのサービス(クラウド製品や Forge プラットフォームを含む)の提供に関連して、アトラシアンのお客様および Forge 開発者が個人データ移転のリスク評価を実施するのをサポートするためのものです。本 DTIA は、欧州連合司法裁判所の「Schrems II」の判決と欧州データ保護委員会の勧告に照らして、アトラシアン、その関連会社、復処理者による当該個人データの処理(移転を含む)に対処します。DTIA では、欧州データ保護法に基づいて個人データ移転規則を遵守するために必要な情報を提供しています。

欧州データ保護法では、個人データを欧州外に移転することはできません。ただし、(i)関連する政府機関が輸入国を十分性のある国だとみなした場合、または(ii)データ輸出者が適切な保護対策を講じており、移転される個人データに十分なレベルの保護が確保されている場合を除きます。これらの保護対策は「移転メカニズム」と呼ばれます。アトラシアンのお客様に適用される移転と移転メカニズムの詳細を以下に示します。

データ移転影響評価の範囲

データ処理の場所は、お客様にご購入いただいたクラウド製品によって異なることにご留意ください。たとえば、Jira Align をご購入いただいた場合、関連する復処理者と処理の場所は、Trello や Confluence に適用される復処理者と場所とは異なることがあります (復処理者ページに記載のとおり)。また、それらのクラウド製品の特定のデータにデータ レジデンシーを設定することもできます。これにより、本ページに記載されている移転の範囲がさらに狭まる可能性があります。そのため、ご購入いただいたクラウド製品に関連する復処理者ページデータ レジデンシー ページをご確認いただき、本ドキュメントで関連情報を入手してください。

アトラシアンの DTIA は、アトラシアンの本サービスに関連するデータの直接移転および再移転を対象としています。

アトラシアンは、EEA、英国、スイス(総称して、「欧州」)から個人データを、欧州データ保護法に基づいて十分性認定を受けた国と、十分性認定を受けていない国の両方に移転します。概要は次のとおりです。

欧州/EEA および十分性認定国

ブルガリア、カナダ、フランス、ドイツ、アイルランド、日本、ニュージーランド、オランダ、ポーランド、スウェーデン、英国、米国(データ・プライバシー・フレームワークに参加している商業組織のみ)

十分性認定を受けていない国

オーストラリア、ブラジル、インド、メキシコ、フィリピン、シンガポール、トルコ

十分性認定が適用されない場合、当社は移転メカニズムとして SCC(標準的契約条項)に引き続き依拠します。詳細については、以下の契約上の措置をご覧ください。

移転の範囲は、1)利用するサービス(例:Jira Align での複処理者や適用される場所は、Confluence での復処理者や適用される場所とは異なる場合があります)、および 2)それらのサービスでデータ・レジデンシーを設定しているかどうかによって制限されることがあります。ご利用のサービスに関連する復処理者ページデータ・レジデンシーのページをご確認いただき、本ドキュメントで関連情報を入手してください。

本サービスの、米国および十分性認定を受けていない国への移転に関する当社の分析は以下のとおりです。

オーストラリア

ステップ 2: 使用する転送ツールの特定

移転およびその後の処理の目的

直接移転: アトラシアンはオーストラリアにオフィスを構えており、従業員は本サービスと Forge プラットフォームを提供するために個人データにアクセスできます。

再移転: アトラシアンは、本サービスや Forge の提供をサポートする目的で、お客様の個人データを復処理者に移転します。詳細は復処理者ページに記載されています。また、アトラシアンは本ページに従って、データ レジデンシーを提供します。

移転の頻度

直接移転: 継続的。

再移転: 継続的。

移転される個人データのカテゴリ

直接移転: アトラシアンの DPA および Forge DPA でそれぞれ詳述しています。

再移転: 詳細については、アトラシアンの復処理者ページをご覧ください。

移転される機密データ (該当する場合)

直接移転: データ輸出者独自の裁量により決定されます。

再移転: データ輸出者独自の裁量により決定されます。

処理チェーンの期間

再移転: アトラシアンの復処理者ページをご覧ください。

適用される移転メカニズム

直接移転: アトラシアンとお客様、またはアトラシアンと Forge 開発者との間のそれぞれの標準的契約条項。

再移転: アトラシアンと復処理者間での標準的契約条項。アトラシアンは、適切な技術的および組織的な措置を講じる義務を復処理者に課し、適用されるデータ保護法で義務付けられている基準に従って個人データの再処理を確実に保護します。

移転のあらゆる状況を考慮した、関連する法律と慣行の特定

オーストラリアにはさまざまな法律、規制、行政権があり、個人データの開示を企業に強制するために利用され、または違反が疑われる場合に調査機関や執行機関がデータを取得できるよう規定しています。主要な法律の概要を以下に示します。

  • 1914 年犯罪法 (Crimes Act 1914) (Cth) と 1995 年刑法典 (Criminal Code Act 1995) (Cth) では、犯罪行為であると確信できる合理的な根拠がある場合に、政府機関が電子データと物理的データの両方を収集することを許可しています。

  • 2004 年監視装置法 (Surveillance Devices Act 2004) (Cth) および同等の州法や準州法では、当局に対して電子データおよび物理的データに秘密裏にアクセスすることを許可しています。

  • 1979 年電気通信 (傍受およびアクセス) 法 (Telecommunications (Interception and Access) Act 1979) (Cth) および 1997 年電気通信法 (Telecommunications Act 1997) (Cth) の第 15 部では、電気通信事業者、通信サービス プロバイダ、他の通信プロバイダに法執行機関と諜報機関を支援するよう義務付ける権限を政府機関に付与しています。

上記の各法律には、オーストラリア国外の人々に調査プロセスにおいて支援するよう理論上強制できる潜在的な域外の権限があります。しかし、実際には、刑事共助条約などの既存の二国間のプロセスによって活動することなく、法執行機関や監視当局が当該行為をする可能性は極めて低いです。実際に、政府当局がどのように権限のすべてを使用して監視を実施し、データを収集したか (その結果、いかなる状況においても不要または過度のデータ アクセスを伴うかどうか) を判断するのは困難なことがあります。その理由として、政府当局は自らの権限をいつ、どのように使用したかを公に報告する必要がないためです (ただし、独立した法定機関への報告など、独立した監視と審査は、監視法フレームワーク全体に組み込まれています)。また、現在はデータへのアクセスと監視に関するすべての要請が、事前の独立した司法承認の対象となっているわけではありません。ただし、オーストラリアの監視法の見直しと改革のプロセスは始まっているため、今後変更される可能性があります。

アトラシアンは、政府からのデータ提供要請に応じるにあたり、アトラシアンの法執行要求に関するアトラシアンのガイドラインを公表し、これに従っています。また、データ アクセスに関する政府からの要請に関する情報を掲載した、年次透明性報告書も公表しています。

ブラジル

移転およびその後の処理の目的

直接移転: 適用外。

再移転: アトラシアンは、本サービスや Forge の提供を支援する目的で、顧客の個人データを復処理者に移転します。詳細は復処理者ページに記載されています。

移転の頻度

直接移転: 適用外。

再移転: 継続的。

移転される個人データのカテゴリ

直接移転: 適用外。

再移転: 詳細については、アトラシアンの復処理者ページをご覧ください。

移転される機密データ (該当する場合)

直接移転: 適用外。

再移転: データ輸出者独自の裁量により決定されます。

処理チェーンの期間

再移転: 詳細については、アトラシアンの復処理者ページをご覧ください。

適用される移転メカニズム

直接移転: 適用外。

再移転: アトラシアンと復処理者間での標準的契約条項。アトラシアンは、適切な技術的および組織的な措置を講じる義務を復処理者に課し、適用されるデータ保護法で義務付けられている基準に従って個人データの再処理を確実に保護します。

移転のあらゆる状況を考慮した、関連する法律と慣行の特定

ブラジル政府は、以下に詳述するとおり、特定の目的 (刑法の執行や監視を含みますが、これらに限定されません) において、かつ裁判所の承認を得た後でのみ個人データにアクセス/傍受できます。

主要な法律の概要は以下のとおりです。

  • 通信傍受および情報システム監視法 (Wiretapping and Information Systems Surveillance Law) では、ブラジルの電話回線と情報システムの傍受を許可しています。傍受はすべて裁判所命令により承認され、かつ 15 日以内である必要があります。

  • ブラジル情報局 (Agência Brasileira de Inteligência - ABIN) では、ABIN はブラジルの諜報システム (Brazilian System of Intelligence) の一部である他の政府機関/当局のデータのみを要求できると定めています。

  • ブラジルのインターネット公民権フレームワーク (The Brazilian Internet Civil Rights Framework) (法律第 12,965 号) では、a) 非ブラジル企業がブラジルにデータ センターを所有している場合、ブラジルの法律が適用されること、b) インターネット接続プロバイダおよびアプリケーション プロバイダに、接続ログおよびアクセス ログ (IP、使用日時) を 12 か月間 (インターネット接続) および 6 か月間 (アプリケーション アクセス) 保存するよう要求すること、ならびに c) 企業がブラジルのインターネット公民権フレームワークに違反した場合、警告、罰金、停止、禁止などの制裁措置が適用されることを定めています。

  • 暗号化: 連邦最高裁判所は、暗号化データを取り消すまたは暗号化データへアクセスするという裁判所の命令に従わなかった場合に、裁判所が制裁措置を適用できるかどうかを決定する裁判を 2 件保留しています。

ブラジルの一般データ保護法 (「LGPD」) は、GDPR にほぼ準拠しているため、同様のレベルの保護が提供されますが、国家安全保障や刑事問題には適用されません。しかし、ブラジルは欧州データ保護委員会から十分性認定を取得するための評価をまだ受けていません。

アトラシアンは、政府からのデータ提供要請に応じるにあたり、アトラシアンの法執行機関からの要請に関するガイドラインを公表し、これに従っています。また、データ アクセスに関する政府からの要請に関する情報を掲載した、年次透明性報告書も公表しています。

インド

移転およびその後の処理の目的

直接移転: 適用外。

再移転: アトラシアンは、本サービスや Forge の提供を支援する目的で、顧客の個人データを復処理者に移転します。詳細は復処理者ページに記載されています。

移転の頻度

直接移転: 適用外。

再移転: 継続的。

移転される個人データのカテゴリ

直接移転: 適用外。

再移転: 詳細については、アトラシアンの復処理者ページをご覧ください。

移転される機密データ (該当する場合)

直接移転: 適用外。

再移転: データ輸出者独自の裁量により決定されます。

処理チェーンの期間

再移転: 詳細については、アトラシアンの復処理者ページをご覧ください。

適用される移転メカニズム

直接移転: 適用外。

再移転: アトラシアンと復処理者間での標準的契約条項。アトラシアンは、適切な技術的および組織的な措置を講じる義務を復処理者に課し、適用されるデータ保護法で義務付けられている基準に従って個人データの再処理を確実に保護します。

移転のあらゆる状況を考慮した、関連する法律と慣行の特定

インドには、監視、犯罪、セキュリティに関するさまざまな法律があり、これらの法律に基づき、関連する要因が当てはまる場合には、政府機関は個人から事前に同意を得ることなく、「個人情報」や「機密性の高い個人データまたは情報」を傍受してアクセスできます。

主要な法律の概要は以下のとおりです。これらの法律は、併用されることが多いため、刑法と監視特有の法律を区別できないことにご留意ください。

  • 2000 年情報技術法 (Information Technology Act, 2000) では、いかなるコンピュータ リソースで生成、転送、受信、または保存された、いかなる情報も政府機関が傍受できると規定しています。これは、インドの主権、完全性、セキュリティ、国防などにおいて利益になる可能性があります。同法のサブセクションでは、あらゆる政府機関による交通データの監視と収集を許可する権限を中央政府に付与し、サイバーセキュリティ、コンピュータ汚染物質の侵入や拡散に関する識別、分析、および防止を強化しています。

  • 1885 年インド電信法 (Indian Telegraph Act, 1885) では、電信線を監視する権利をインド政府に付与していますが、公共の緊急事態の発生時や公衆安全上の理由に限ります。

  • 2011 年情報技術 (合理的なセキュリティの実践と手順、および機密性の高い個人データまたは情報) 規則 (Information Technology (Reasonable security practices and procedures and sensitive personal data or information) Rules, 2011) (SPDI 規則) により、サイバー インシデント、訴追、犯罪に対する処罰を含む、身元の確認、防止、検出、調査の目的において法律で義務付けられている場合は、データ主体の事前の同意を得ることなく、機密性の高い個人データまたは情報を政府機関と共有できます。

  • 1973 年刑法および刑事訴訟法 (Criminal Laws and Code of Criminal Procedure, 1973) (CrPC) により、裁判所および捜査官は、調査、取り調べ、裁判、または他の手続きの目的で必要とみなした場合は、書面での命令により、文書または物の所有者または所有する権力に対して、同等のものを作成するよう要求することが許可されます。

インド当局による監視および傍受の権限の範囲は、インド国内で活動するあらゆる個人、企業、法人 (海外からインドで事業を行っている者を含む) に関して実施される調査にまで及ぶため、あらゆるデータ受領者が当該刑法執行の範囲に含まれる可能性があり、政府当局から要請された場合は、入手可能なデータを共有する義務があります。CrPC はインドの直轄領に適用されるため、オフショア法人は要求に応じる義務はありませんが、オフショア法人がインドに拠点を置く場合は、インド国内の当該事業に CrPC が適用されます。

アトラシアンは、政府からのデータ提供要請に応じるにあたり、アトラシアンの法執行機関からの要請に関するガイドラインを公表し、これに従っています。また、データ アクセスに関する政府からの要請に関する情報を掲載した、年次透明性報告書も公表しています。

メキシコ

移転およびその後の処理の目的

直接移転: 適用外。

再移転: アトラシアンは、サービスや Forge の提供をサポートする目的で、顧客の個人データを復処理者に移転します。詳細は復処理者ページに記載されています。

移転の頻度

直接移転: 適用外。

再移転: 継続的。

移転される個人データのカテゴリ

直接移転: 適用外。

再移転: 詳細については、アトラシアンの復処理者ページをご覧ください。

移転される機密データ (該当する場合)

直接移転: 適用外。

再移転: データ輸出者独自の裁量により決定されます。

処理チェーンの期間

再移転: 詳細については、アトラシアンの復処理者ページをご覧ください。

適用される転送メカニズム

直接移転: 適用外。

再移転: アトラシアンと復処理者間での標準的契約条項。アトラシアンは、適切な技術的および組織的な措置を講じる義務を復処理者に課し、適用されるデータ保護法で義務付けられている基準に従って個人データの再処理を確実に保護します。

移転のあらゆる状況を考慮した、関連する法律と慣行の特定

Protection of Personal Data held by Private Parties (民間団体が保有する個人データの保護) に関する法律 (「LFPDPPP」) を遵守する義務がある民間団体は、メキシコに関連して何らかの方法でデータを処理する必要があるため、メキシコ当局からの個人データの開示要求に応じる義務があります (要求が合法的であることが前提となります)。

データ輸入者が LFPDPPP の「データ処理」の定義に該当する個人データを取得する場合、アトラシアンは潜在的に輸入地域の政府のセキュリティおよび監視の権限の範囲に含まれます。メキシコのデータ保護法では、データを移転すると受信者がデータ管理者になります。LFPDPPP とその規制の適用範囲内に含まれるのは、次のような場合です。

  1. データ処理がメキシコにあるデータ管理者の施設で行われる場合。
  2. データ処理がメキシコを拠点とするデータ管理者に代わって、場所に関係なくデータ処理者によって行われる場合。
  3. データ管理者がメキシコを拠点としていないが、メキシコの法律に準拠する契約、または国際法に基づいてメキシコの管轄の対象となる契約を締結した結果、メキシコの法律を遵守する義務を負っている場合。
  4. データ管理者がメキシコを拠点としていないが、メキシコ国内にある機器/メディアを使用している場合。ただし、そのようなメディアが処理を伴わない輸送目的でのみ使用される場合を除きます。この場合、データ管理者は、関連する法律で課せられた義務を遵守するために必要なメディアを提供しなければなりません。

メキシコ当局は、データ輸入者がデータを所有しており、当局が権限を行使できると主張する可能性があります。

アトラシアンは、政府からのデータ提供要請に応じるにあたり、アトラシアンの法執行機関からの要請に関するガイドラインを公表し、これに従っています。また、データ アクセスに関する政府からの要請に関する情報を掲載した、年次透明性報告書も公表しています。

フィリピン

移転およびその後の処理の目的

直接移転: 適用外。

再移転: アトラシアンは、サービスや Forge の提供をサポートする目的で、顧客の個人データを復処理者に移転します。詳細は復処理者ページに記載されています。

移転の頻度

直接移転: 適用外。

再移転: 継続的。

移転される個人データのカテゴリ

直接移転: 適用外。

再移転: 詳細については、アトラシアンの復処理者ページをご覧ください。

移転される機密データ (該当する場合)

直接移転: 適用外。

再移転: データ輸出者独自の裁量により決定されます。

処理チェーンの期間

再移転: 詳細については、アトラシアンの復処理者ページをご覧ください。

適用される移転メカニズム

直接移転: 適用外。

再移転: アトラシアンと復処理者間での標準的契約条項。アトラシアンは、適切な技術的および組織的な措置を講じる義務を復処理者に課し、適用されるデータ保護法で義務付けられている基準に従って個人データの再処理を確実に保護します。

移転のあらゆる状況を考慮した、関連する法律と慣行の特定

フィリピンは、法執行機関や軍関係者がデータにアクセスできるようにする特定の法律を制定しました。これには、フィリピンで処理され、民間組織が保有する個人データが含まれます。さらに、政府当局の権限により、政府当局はヨーロッパに保存されているがフィリピンに居住する個人がアクセスするデータを要求/アクセスすることができます。ただし、要求された個人または法人がフィリピン政府の管轄下にある場合に限ります。

主要な法律の概要を以下に示します。

  • 1987 年の The Philippine Constitution (フィリピン憲法) - ここではプライバシーの権利に例外が認められています。つまり、データ (個人データを含む) にアクセスすることはできますが、法執行機関はまず適切な裁判所から令状を取得する必要があります。
  • Republic Act (R.A.) (共和国法) 第 11479 号または The Anti-Terrorism Act of 2020 (ATA) (2020 年のテロ対策法) – これにより、法執行機関または軍人は、テロリスト/テロ組織間で行われるあらゆる私的な通信、会話、議論、データ、情報、メッセージに、その形式、種類、性質を問わず、アクセスし、読み、収集し、または記録することができます。
  • Anti-Wiretapping Act (R.A. 4200) (盗聴防止法) - 個人間の私的な通信を盗聴、傍受、録音することは一般的に禁止されていますが、この法律では警察官が裁判所命令を受けた場合は例外が認められます。
  • Cybercrime Prevention Act (R.A. No. 10175) (サイバー犯罪防止法) - 法執行機関に対し、裁判所令状を確保した上で、コンピューター ネットワークまたは電子通信機器の使用を通じて行われた犯罪の訴追に関連して、個人または電気通信サービス プロバイダに、所有または管理する加入者情報、トラフィック データ、または関連データの保存、開示、または提出を要求することを許可しています。サービス プロバイダは、取引日から最低 6 か月間、トラフィック データと加入者情報の整合性を保持する必要があります。

アトラシアンは、政府からのデータ提供要請に応じるにあたり、アトラシアンの法執行機関からの要請に関するガイドラインを公表し、これに従っています。また、データ アクセスに関する政府からの要請に関する情報を掲載した、年次透明性報告書も公表しています。

シンガポール

移転およびその後の処理の目的

直接移転: 適用外。

再移転: アトラシアンは、本サービスや Forge の提供を支援する目的で、顧客の個人データを復処理者に移転します。詳細は復処理者ページに記載されています。

移転の頻度

直接移転: 適用外。

再移転: 継続的。

移転される個人データのカテゴリ

直接移転: 適用外。

再移転: 詳細については、アトラシアンの復処理者ページをご覧ください。

移転される機密データ (該当する場合)

直接移転: 適用外。

再移転: データ輸出者独自の裁量により決定されます。

処理チェーンの期間

再移転: 詳細については、アトラシアンの復処理者ページをご覧ください。

適用される移転メカニズム

直接移転: 適用外。

再移転: アトラシアンと復処理者間での標準的契約条項。アトラシアンは、適切な技術的および組織的な措置を講じる義務を復処理者に課し、適用されるデータ保護法で義務付けられている基準に従って個人データの再処理を確実に保護します。

移転のあらゆる状況を考慮した、関連する法律と慣行の特定

シンガポールは、政府がデータにアクセスできるようにする法律を制定しました。これには、シンガポールで処理される個人データが含まれます。

シンガポールにおいて関連する主要な法律の概要を以下に示します。

  • CSA(サイバーセキュリティ法):サイバーセキュリティの脅威やインシデントを防止、管理、対処するために、政府がデータにアクセスすることを許可します。
  • Protection from Harassment Act(ハラスメント保護法):個人または企業(公的機関を除く)が個人を監視することを禁止します。

  • Computer Misuse Act(コンピューター不正使用法):コンピューター・サービスの不正使用または傍受を禁止します。

  • PDPA(個人データ保護法):シンガポールで個人データを収集、使用、または開示する組織に、GDPR と同様の要件を遵守するよう義務付けています。同法は、シンガポール銀行法などの個別法を補完します。要件として、個人データを処理するには同意を得るか、他の特定の正当な利益に依拠すること、および域外の個人データ受領者に同レベルのデータ保護を義務付けることなどがあります。ただし、これらの要件は、民事、刑事、または行政上の手続きに関連する調査には適用されません。

アトラシアンは、政府からのデータ提供要請に応じるにあたり、アトラシアンの法執行機関からの要請に関するガイドラインを公表し、これに従っています。また、データ アクセスに関する政府からの要請に関する情報を掲載した、年次透明性報告書も公表しています。

トルコ

移転およびその後の処理の目的

直接移転: 適用外。

再移転: アトラシアンは、サービスや Forge の提供をサポートする目的で、顧客の個人データを復処理者に移転します。詳細は復処理者ページに記載されています。

移転の頻度

直接移転: 適用外。

再移転: 継続的。

移転される個人データのカテゴリ

直接移転: 適用外。

再移転: 詳細については、アトラシアンの復処理者ページをご覧ください。

移転される機密データ (該当する場合)

直接移転: 適用外。

再移転: データ輸出者独自の裁量により決定されます。

処理チェーンの期間

再移転: 詳細については、アトラシアンの復処理者ページをご覧ください。

適用される移転メカニズム

直接移転: 適用外。

再移転: アトラシアンと復処理者間での標準的契約条項。アトラシアンは、適切な技術的および組織的な措置を講じる義務を復処理者に課し、適用されるデータ保護法で義務付けられている基準に従って個人データの再処理を確実に保護します。

移転のあらゆる状況を考慮した、関連する法律と慣行の特定

トルコにおいて関連する主要な法律の概要を以下に示します。

  • Constitution of the Republic of Turkey (トルコ共和国憲法) - 基本的権利と自由へのいかなる干渉も、憲法の本質と民主的および世俗的な制度の必要条件に相応しており、これに準拠しなければならないと規定しています。ただし、極限状況 (戦争、動員、緊急事態など) では、状況に応じて必要な範囲において、国際法に基づく義務に違反しない限り、基本的権利と自由の行使が部分的または完全に停止される場合があります。
  • Criminal Procedural Code (CPC) (刑事訴訟法) 第 5271 号 – 犯罪の証拠となりうる原因がある場合、郵便局での通信を押収することを許可しています。証拠は、特定の条件 (代替手段の欠如、特定の犯罪との関係など) が満たされていれば、電気通信を介して通信を傍受することによっても入手できます。
  • Electronic Communications Law (ECL) (電気通信法) 第 5809 号 – 関係当局に対し、その職務に関連して、個人、民間および公共の団体にあらゆる種類の文書または情報を要求する権限を付与します。
  • Protection of Competition Law (競争保護法) 第 4054 号 (トルコ語のみ) – あらゆる組織のすべての情報、文書、台帳を監督および検査する競争当局の権利を規定しています。
  • State Intelligence Services and National Intelligence Organisation Law (国家情報局および国家情報機関法) 第 2937 号 (トルコ語のみ) (State Intelligence Services Law (国家情報サービス法)) – トルコの諜報機関は、個人、民間または公共の団体にあらゆる種類の文書または情報を要求する権利があります。また、裁判官が許可した場合、あるいは国家機密の開示やテロ行為の場合に関係当局の高官によって発行された書面による命令であれば、通信を傍受することもできます。

域外効果: 政府または州当局が組織に書類を要求する権限は、(サーバーが欧州にある場合) トルコ国内にある情報に限定されません。司法上の決定による個人の通信の盗聴にも同じ原則が適用されます。双方向の会話で、どちらかが欧州に居住しているか、欧州市民であっても、国家情報機関は必要な情報を収集できます。

アトラシアンは、政府からのデータ提供要請に応じるにあたり、アトラシアンの法執行機関からの要請に関するガイドラインを公表し、これに従っています。また、データ アクセスに関する政府からの要請に関する情報を掲載した、年次透明性報告書も公表しています。

アメリカ合衆国*

移転およびその後の処理の目的

直接移転: アトラシアンは米国にオフィスを構えており、従業員はサービスと Forge を提供する目的で個人データにアクセスできます。

再移転: アトラシアンは、サービスや Forge の提供をサポートする目的で、個人データを復処理者に移転します。詳細は復処理者ページに記載されています。

移転の頻度

直接移転: 継続的。

再移転: 継続的。

移転される個人データのカテゴリ

直接移転: アトラシアンの DPA および Forge DPA でそれぞれ詳述しています。

再移転: 詳細については、アトラシアンの復処理者ページをご覧ください。

移転される機密データ (該当する場合)

直接移転: なし。

再移転: データ輸出者独自の裁量により決定されます。

処理チェーンの期間

再移転: 詳細については、アトラシアンの復処理者ページをご覧ください。

適用される移転メカニズム

直接移転: アトラシアンとお客様、またはアトラシアンと Forge 開発者との間のそれぞれの契約関係に関するアトラシアンの DPF 認証。

再移転: アトラシアンと復処理者間での標準的契約条項。アトラシアンは、適切な技術的および組織的な措置を講じる義務を復処理者に課し、適用されるデータ保護法で義務付けられている基準に従って個人データの再処理を確実に保護します。

移転のあらゆる状況を考慮した、関連する法律と慣行の特定

Schrems II では欧州連合 (EU) 司法裁判所により、以下の米国の法律が米国において個人データの実質的に同等な保護を確保する上での潜在的な障害として特定されました。

  • FISA 第 702 条 (「FISA 702」) – 米国政府当局に、外国の情報収集を目的として、米国外に居住する外国人に関する情報の開示を強制することを許可しています。
  • 大統領令 12333 (「EO 12333」) - 諜報機関 (米国国家安全保障局など) が米国外で監視を行うことを許可しています。特に、無線、有線、その他の電磁的手段で送受信される、またはアクセス可能な通信やその他のデータから収集された情報である、外国の「信号情報」を収集する権限を米国の諜報機関に与えます。

これらの米国の監視法の詳細については、2020 年 9 月の U.S. Privacy Safeguards Relevant to SCCs and Other EU Legal Bases for EU-U.S. Data Transfers after Schrems II (Schrems II 以降の SCC に関連する米国のプライバシー保護措置および EU - 米国間のデータ移転に関するその他の EU の法的根拠) ホワイトペーパーに記載されています。クラウド法については、クラウド法の範囲を概説している BSA | The Software Alliance (BSA | ザ ソフトウェア アライアンス) の What is the CLOUD Act? をご覧ください。

データ プライバシー フレームワークにより、欧州は DPF に基づく自己認証を行う米国企業向けの十分性枠組みを導入しました。十分性認定の重要な要素は、更新された米国の法的枠組みでした。たとえば、10 月 7 日にバイデン大統領によって署名された Enhancing Safeguards for United States Signals Intelligence Activities (米国の信号諜報活動に対する保護措置の強化) に関する大統領命令です。司法長官が採択した規則も添付されています。これらの文書は、司法裁判所が Schrems II の判決で提起した課題に対処するために採択されました。

個人データを米国に移転するヨーロッパ人に対しては、大統領令で次の内容が規定されています。

  • 米国の諜報機関によるデータへのアクセスを、国家の安全を守るために必要かつ相応のものに制限する拘束力のある保護手段。
  • 監視活動の制限を確実に遵守することを目的とした米国の諜報機関による活動の監視の強化。
  • 米国の国家安全保障当局によるデータへのアクセスに関する苦情を調査し、解決するための新しいデータ保護審査裁判所を含む、独立した公平な救済メカニズムの確立。

Atlassian US, Inc. とその米国の関連会社は、データ プライバシー フレームワーク原則に参加し、その遵守を認証しています。当社の米国法人は、十分性認定に依拠して EU の個人データを受け取ることができるようになりました。詳細については、「データ プライバシー フレームワークに関するお知らせ」セクションのプライバシーに関するお知らせをご覧ください。

アトラシアンは、政府からのデータ提供要請に応じるにあたり、アトラシアンの法執行機関からの要請に関するガイドラインを公表し、これに従っています。また、データ アクセスに関する政府からの要請に関する情報を掲載した、年次透明性報告書も公表しています。

補足措置

適用されるデータ保護法に従って個人データを保護するために、アトラシアンは以下の技術的、契約的、組織的な補足措置を講じています。

技術的措置

アトラシアンは、個人データのセキュリティを強化するために、以下の技術的措置を講じています。

契約的措置

アトラシアンの契約的措置は、SCC を組み込んだデータ処理補遺と、SCC に関する英国補遺とスイスによる修正条項に定められています。特に、当社は以下の要件の対象となっています。

  • 技術的措置: アトラシアンは、個人データを保護するための適切な技術的および組織的な措置を講じることを、契約上 (お客様および Forge の DPA、ならびにアトラシアンがお客様、サービス プロバイダー、およびアトラシアン グループの事業体間で締結する SCC の両方において) 義務付けられています。
  • 透明性: アトラシアンは、政府機関から政府によるお客様の個人データへのアクセス要求を受けた場合、SCC に基づきお客様と Forge 開発者に通知する義務があります。アトラシアンがそのような開示を行うことが法的に禁止されている場合、アトラシアンは、当該禁止に異議を申し立てて権利放棄を求めるよう契約上義務付けられています。
  • アクセスに異議を申し立てる措置: SCC に基づき、アトラシアンは政府機関によるアクセス要求の合法性を検討し、違法と見なされる要求に異議を申し立てる義務があります。

組織的措置

データを保護するためのアトラシアンの組織的措置には以下が含まれます。

  • 政府によるアクセスに対するポリシー: 政府からのデータ提供要求に応じるにあたり、アトラシアンは、法執行機関からの要請に関するアトラシアン ガイドラインを公表し、これに従っています。アトラシアンからデータを取得するために、法執行機関は、召喚状、裁判所命令または令状など、求められる情報の種類に対して適切な法的手続きを踏む必要があります。
  • アトラシアンでは、政府からのデータ アクセス要求に関する情報を掲載した、年次透明性報告書も公表しています。
  • データの転送: アトラシアンは、お客様のデータをアトラシアンのサービス プロバイダーと共有する場合は、常にデータの使用方法についてお客様に対する説明責任を負います。当社のお客様および Forge 開発者の個人データを適切に保護することを保証するために、すべてのサービス プロバイダーに対して、当社のセキュリティ、プライバシー、リスク & コンプライアンスの各チームにおける対象分野のエキスパートによる徹底した部門横断型なデュー デリジェンスのプロセスを実施することを義務付けています。このプロセスには、アトラシアンがサービス プロバイダーとの共有を計画しているデータや関連するリスク レベル、サプライヤーのセキュリティ ポリシー、措置、サードパーティの監査、ならびにサプライヤーがデータ主体の権利を尊重する成熟したプライバシー プログラムを保有しているかどうかの確認が含まれます。当社の復処理者のページに掲載されている復処理者のリストをご覧ください。
  • プライバシー バイ デザイン: アトラシアンのプライバシー原則では、アトラシアンのプライバシーに対するアプローチを概説しています。機械学習のインテリジェントなエクスペリエンスにおけるプライバシーに関するより詳細な情報は、こちらをご覧ください。
  • 従業員トレーニング: アトラシアンは、世界中のすべてのアトラシアン スタッフにデータ保護研修を提供しています。

適切な間隔での再評価

アトラシアンは、ヨーロッパ外への個人データの転送に関連するデータ プライバシー規制とリスク環境の変化に対応するために、関連するリスクと実施した措置を確認し、必要に応じて再検討します。

法的注意事項: お客様と Forge 開発者は、本書に記載されている情報を独自に評価する責任があります。本書は、(a) 情報提供のみを目的としており、(b) 予告なしに変更される可能性のある現時点でのアトラシアンの製品、サービス、プラクティスについて説明しており、(c) アトラシアンとその関連会社、サプライヤー、またはライセンサーにいかなる義務または保証も負わせないものとします。お客様に対するアトラシアンの責任は、アトラシアンの契約で規定されており、本書はアトラシアンとお客様またはアトラシアンと Forge 開発者との間の契約の一部となるものではなく、またそれを修正するものでもありません。


関連する内容

クラウド利用規約

製品別規約

データ処理補遺

Business Associate Agreement

Stay informed

Subscribe to receive notifications from us about updates to our legal terms (including our legal policies) and our list of sub-processors.