データ転送影響評価
最終更新日: 2022 年 11 月 15 日
概要
この文書には、欧州連合司法裁判所の Schrems II の判決と欧州データ保護委員会の勧告に照らして、アトラシアンのお客様と Forge 開発者がアトラシアンの製品とサービスの使用に関連してデータ転送の影響評価を実施するのに役立つ情報を記載しています。
この文書では特に、米国でアトラシアンに適用される法制度、お客様と Forge 開発者の個人データの欧州経済地域 (EEA)、イギリス、スイス (「ヨーロッパ」) からの転送に関連してアトラシアンが講じる保護措置、および標準契約条項 (SCC) に基づき「データ輸入者」としての義務を履行するアトラシアンの能力について説明しています。
アトラシアンの GDPR コンプライアンス プログラムの詳細については、このページをご覧ください。
ステップ 1: 転送内容の把握
アトラシアンが (お客様と Forge 開発者に代わって) ヨーロッパのデータ保護法が適用される個人データをデータ処理者として処理する場合、アトラシアンはこのページに記載されているお客様のデータ処理補遺 ("DPA") と、このページに記載されている Forge の DPA のそれぞれに基づく義務を履行します。
アトラシアンのお客様の DPA と Forge の DPA の両方に SCC が含まれ、以下の情報が記載されています。
- アトラシアンによるお客様と Forge 開発者の個人データの処理の説明 (別紙 A)
- アトラシアンのセキュリティ対策の説明 (別紙 B)
サービスの提供に関連するアトラシアンの処理活動の性質、アトラシアンが処理および転送するお客様と Forge 開発者の個人データの種類、およびデータ主体のカテゴリに関する情報については、各 DPA の別紙 A を参照してください。
変更に関する最新の情報を確認できる、当社のすべての副処理者のリストおよび RSS フィード サブスクリプションについては、副処理者をご覧ください。
当社は、当社またはサードパーティのサービス プロバイダーがお客様に本サービスを提供するあらゆる場所で、お客様および Forge 開発者の個人データを転送する可能性があります。この場所は、以下の表のとおり、お客様が使用する特定のアトラシアンのサービスによって異なります。
| 製品とサービス | アトラシアンがお客様の個人データを保管する国 | アトラシアンがお客様の個人データの処理 (アクセス、転送、またはハンドリング) を行う国 |
|---|---|---|
| Atlassian Cloud アカウント プロファイル (ID) | アメリカ合衆国 | オーストラリア、ドイツ、インド、オランダ、米国 |
| Jira および Confluence Cloud | アジア太平洋、ヨーロッパ (EEA)、米国 | オーストラリア、ブラジル、ドイツ、インド、日本、マレーシア、メキシコ、オランダ、ニュージーランド、フィリピン、ポーランド、トルコ、イギリス、米国 |
| Jira Service Management / Jira Work Management | アジア太平洋、ヨーロッパ (EEA)、米国 | オーストラリア、ブラジル、ドイツ、インド、日本、マレーシア、メキシコ、オランダ、ニュージーランド、フィリピン、ポーランド、トルコ、イギリス、米国 |
| Bitbucket Cloud | アメリカ合衆国 | オーストラリア、ブラジル、ドイツ、インド、日本、マレーシア、メキシコ、オランダ、ニュージーランド、フィリピン、ポーランド、トルコ、イギリス、米国 |
| Compass | アジア太平洋、ヨーロッパ (EEA)、米国 | オーストラリア、ブラジル、ドイツ、インド、日本、マレーシア、メキシコ、オランダ、ニュージーランド、フィリピン、ポーランド、トルコ、イギリス、米国 |
| Trello | アメリカ合衆国 | オーストラリア、ブラジル、ドイツ、インド、日本、マレーシア、メキシコ、オランダ、ニュージーランド、フィリピン、ポーランド、トルコ、イギリス、米国 |
| Opsgenie | ヨーロッパ (EEA)、米国 | オーストラリア、ブラジル、オランダ、フィリピン、トルコ、イギリス、米国 |
| Statuspage | アメリカ合衆国 | オーストラリア、ブラジル、ドイツ、インド、日本、マレーシア、メキシコ、オランダ、ニュージーランド、フィリピン、ポーランド、トルコ、イギリス、米国 |
| Jira Align | 米国、ヨーロッパ (EEA) | オーストラリア、ブラジル、ドイツ、インド、日本、マレーシア、メキシコ、オランダ、ニュージーランド、フィリピン、ポーランド、トルコ、イギリス、米国 |
| Halp | アメリカ合衆国 | アメリカ合衆国 |
| アトラシアンの業務と分析 (「利用データ」) | アメリカ合衆国 | オーストラリア、ブラジル、ドイツ、インド、日本、マレーシア、メキシコ、オランダ、ニュージーランド、フィリピン、ポーランド、トルコ、イギリス、米国 |
| アトラシアンサポート | アジア太平洋、ヨーロッパ (EEA)、米国 | オーストラリア、ブラジル、ブルガリア、ドイツ、インド、日本、マレーシア、メキシコ、オランダ、ニュージーランド、フィリピン、ポーランド、トルコ、イギリス、米国 |
| Forge | アメリカ合衆国 | オーストラリア、ブラジル、ドイツ、インド、日本、マレーシア、メキシコ、オランダ、ニュージーランド、フィリピン、ポーランド、トルコ、ウクライナ、イギリス、米国 |
ステップ 2: 使用する転送ツールの特定
ヨーロッパから送信された個人データがアトラシアンに転送される場合、アトラシアンは欧州委員会の SCC に従って転送に対して適切な保護措置を講じます。アトラシアンのお客様の DPA (SCC を含む) については、このページをご覧ください。アトラシアンの Forge の DPA (SCC を含む) については、このページをご覧ください。
ヨーロッパから送信されたお客様または Forge 開発者の個人データがアトラシアン グループ企業間で転送されるか、アトラシアンによってサードパーティの副処理者に転送される場合、アトラシアンはそれらの当事者と SCC を締結します。
ステップ 3: 使用している転送ツールが、転送の状況に照らして有効かどうかの評価
米国の監視法
FISA 702 と大統領令 12333
Schrems II では欧州連合 (EU) 司法裁判所により、以下の米国の法律が米国において個人データの実質的に同等な保護を確保する上での潜在的な障害として特定されました。
- FISA 第 702 条 ("FISA 702") – 米国政府当局は、外国の情報収集を目的として、米国外に居住する外国人に関する情報の開示を強制することを許可しています。この情報収集には、ワシントン D.C. の外国情報監視裁判所の承認が必要です。FISA 702 の対象となるプロバイダーは、50 U.S.C. § 1881 (b) (4) の定義における電子通信サービス プロバイダー ("ECSP") で、これには米国 18 U.S.C. § 2510 および 18 U.S.C. § 2711 で定義されているリモート コンピューティング サービス プロバイダー ("RCSP") が含まれます。
- 大統領令 12333 ("EO 12333") - 諜報機関 (米国国家安全保障局など) が米国外で監視を行うことを許可しています。特に、無線、有線、その他の電磁的手段で送受信される、またはアクセス可能な通信やその他のデータから収集された情報である、外国の "信号情報" を収集する権限を米国の諜報機関に与えます。これには、米国への転送中にインターネット データを運ぶ水中ケーブルへのアクセスが含まれます。EO 12333 は、サービス プロバイダーの強制された支援ではなく、電気通信インフラの脆弱性を悪用することに依存していると考えられます。
これらの米国の監視法の詳細については、2020 年 9 月の Schrems II 以降の SCC に関連する米国のプライバシー保護措置および EU - 米国間のデータ転送に関するその他の EU の法的根拠 (U.S. Privacy Safeguards Relevant to SCCs and Other EU Legal Bases for EU-U.S.Data Transfers after Schrems II) ホワイトペーパーに記載されています。このホワイトペーパーは、米国の公的機関によるデータへのアクセスに関する制限と保護措置を詳述しており、Shrems II の判決を受けて発行されました。
このホワイトペーパーには、FISA 702 について以下のように記載されています。
- ほとんどの企業にとって、Schrems II により注目を集めた企業データへの国家安全保障上のアクセスに関する懸念は、「扱っているデータに米国の諜報機関は関心がないので、生じる可能性は低い」、「従業員、お客様、販売記録などの通常の商業情報を扱う企業には、米国の諜報機関がそのデータを収集しようとすると信じるに足る根拠はない」
- Shrems II の判決において裁判所で対処されない措置により FISA 第 702 条の違反に対して、補償的および懲罰的損害賠償のための民事訴訟を許可する FISA 規定を含む、EU 市民を含む個人の救済がある。
このホワイトペーパーには、大統領令 12333 について以下のように記載されています。
- EO 12333 それ自体は、「米国政府があらゆる企業や個人にデータ開示を要求することを許可する」わけではない。EO 12333 は FISA 702 などの法律に基づいてデータを収集しなければならない。
- Schrems II で問題となったデータ収集の一種である大量データ収集は、EO 12333 で明示的に禁止されている。
クラウド法
クラウド法の詳細については、クラウド法の範囲を概説している BSA | ザ・ソフトウェア・アライアンスの What is the CLOUD Act? をご覧ください。
このホワイトペーパーには、以下のように記載されています。
- クラウド法では、特定の犯罪行為の推定原因に基づいて独立裁判所によって承認された令状を取得した後にのみ、犯罪捜査における米国政府によるデータへのアクセスを許可している。
- クラウド法では、国家安全保障調査におけるアクセスは許可しておらず、一括監視も許可していない。
アトラシアンは FISA 702 や EO 12333 の対象ですか?
アトラシアンは、米国を拠点とする大多数の SaaS 企業と同様に、RCSP と見なされた場合には技術的に FISA 702 の対象となる可能性があります。ただし、アトラシアンは、米国の諜報機関が関心を持つと考えられる個人データを処理しません。
さらに、アトラシアンが FISA 702 に基づく上流監視命令の対象となる可能性は低いです。FISA 702 は、主に Schrems II の判決で争点となり、問題と見なされた種類の命令です。アトラシアンは、インターネット バックボーン サービスを提供せず、当社のお客様に関連するトラフィックのみを転送しています。これまで、米国政府は FISA 702 の上流命令を解釈し、インターネット バックボーン経由のトラフィックをサードパーティ (電気通信事業者など) に転送する対象市場のプロバイダーのみに適用してきました。
EO 12333 には、米国当局への個人データの開示を民間企業 (アトラシアンなど) に強制する権限は含まれていません。FISA 702 は、一般的に商業情報とは無関係な、特定の種類の外国情報データ取得を許可するよう独立裁判所に要求します。アトラシアンが処理する種類のデータに米国の諜報機関が関心を持った場合、独立裁判所による承認の要件および必要性と比例性の要件などの保護措置により、データを過度な監視から保護します。
政府からのアクセス要求に対応したアトラシアンの実際の経験はどのようなものですか?
アトラシアンでは、政府からのデータ アクセス要求に関する情報を掲載した、年次透明性報告書も公表しています。これまで、アトラシアンは、お客様または Forge 開発者の個人データに関連する米国の国家安全保障上の要求 (FISA 702 に基づくアクセスまたは EO 12333に基づく直接アクセスの要求を含む) を受け取ったことはありません。
したがって、アトラシアンは厳密には Schrems II で定められた監視法の対象となる可能性がありますが、日常業務においてこのような要求を受けたことはありません。
ステップ 4: 転送されたデータの保護のために適用される技術的、契約上および組織的な措置の特定
アトラシアンは、データを保護するために以下の技術的措置を講じています。
- データ レジデンシー: アトラシアンは、お客様が対象となる製品コンテンツを特定の場所にピン留めすることを許可しています。データ レジデンシー プログラム (アプリや追加場所のデータ レジデンシーを含む) に追加される予定の拡張機能は、アトラシアンのクラウド ロードマップでハイライトされています。
- 暗号化: アトラシアンは保管中および転送中のデータの暗号化を提供しており、アトラシアンのクラウド ロードマップでハイライトされている BYOK 暗号化を構築しています。
- セキュリティと認定: 当社は正式なセキュリティ管理プログラムを実施しており、情報セキュリティ管理プログラム (ISMP) を毎年見直しています。アトラシアンのセキュリティ プラクティスと認定に関する追加情報は、お客様の DPA の Exhibit B (別紙 B)、Forge の DPA の Exhibit B (別紙 B)、およびアトラシアンの Trust サイトをご覧ください。
アトラシアンの契約上の措置は、SCC を含むデータ処理補遺に定められています。特に、以下の要件の対象となっています。
- 技術的措置: アトラシアンは、個人データを保護するための適切な技術的および組織的な措置を講じることを、契約上 (お客様および Forge の DPA、ならびにアトラシアンがお客様、サービス プロバイダー、およびアトラシアン グループの事業体間で締結する SCC の両方において) 義務付けられています。
- 透明性: アトラシアンは、政府機関から政府によるお客様の個人データへのアクセス要求を受けた場合、SCC に基づきお客様と Forge 開発者に通知する義務があります。アトラシアンがそのような開示を行うことが法的に禁止されている場合、アトラシアンは、当該禁止に異議を申し立てて権利放棄を求めるよう契約上義務付けられています。
- アクセスに異議を申し立てる措置: SCC に基づき、アトラシアンは政府機関によるアクセス要求の合法性を検討し、違法と見なされる要求に異議を申し立てる義務があります。
データを保護するためのアトラシアンの組織的措置には以下が含まれます。
- 政府によるアクセスに対するポリシー: 政府からのデータ提供要求に応じるにあたり、アトラシアンは、法執行機関からの要請に関するアトラシアン ガイドラインを公表し、これに従っています。アトラシアンからデータを取得するために、法執行機関は、召喚状、裁判所命令または令状など、求められる情報の種類に対して適切な法的手続きを踏む必要があります。
- 再移転: お客様のデータをアトラシアンのサービス プロバイダーと共有する場合は、常にデータの使用方法についてお客様に対する説明責任を負います。すべてのサービス プロバイダーに対して、当社のセキュリティ、プライバシー、リスクとコンプライアンスの各チームの対象分野のエキスパートによる徹底した組織横断的な調査プロセスを実施して、当社のお客様および Forge 開発者の個人データを適切に保護することを保証します。このプロセスには、アトラシアンがサービス プロバイダーとの共有を計画しているデータや関連するリスク レベル、サプライヤーのセキュリティ ポリシー、措置、サードパーティの監査、ならびにサプライヤーがデータ主体の権利を尊重する熟慮されたプライバシー プログラムを保有しているかどうかの確認が含まれます。副処理者ページで副処理者のリストをご用意しています (RSS フィードをサブスクライブすると、変更に関する最新情報を入手できます)。
- プライバシー バイ デザイン: アトラシアンのプライバシー原則では、アトラシアンのプライバシーに対するアプローチを概説しています。機械学習のインテリジェントなエクスペリエンスにおけるプライバシーに関するより詳細な情報は、こちらをご覧ください。
- 従業員トレーニング: アトラシアンは、すべてのアトラシアンのスタッフにデータ保護研修を提供しています。
ステップ 5: 効果的な補足措置を実施するために必要な手順のステップ
政府からの要求に対応したアトラシアンの実際の経験や、アトラシアンがお客様や Forge 開発者の個人データを保護するために実施した技術的、契約上、組織的な措置など、この文書に記載されている情報を踏まえて、アトラシアンは、ヨーロッパの個人データを米国内でまたは米国に転送および処理することに伴うリスクは、SCC に基づくアトラシアンの義務を ("データ輸入者" として) 履行する能力、または個人の権利を確実に保護する能力に影響を与えないと考えています。したがって、現時点では追加の捕捉措置は必要ありません。
ステップ 6: 適切な間隔での再評価
アトラシアンは、ヨーロッパ外への個人データの転送に関連するデータ プライバシー規制とリスク環境の変化に対応するために、関連するリスクと実施した措置を確認し、必要に応じて再検討します。
法的注意事項: お客様と Forge 開発者は、この文書に記載されている情報を独自に評価する責任があります。この文書は、(a) 情報提供のみを目的としており、(b) 予告なしに変更される可能性のある現在のアトラシアン製品、サービス、プラクティスを説明しており、(c) アトラシアンとその関連会社、サプライヤー、またはライセンサーはいかなる義務および保証も負いません。お客様に対するアトラシアンの責任は、アトラシアンの契約で規定されており、本文書はアトラシアンとお客様またはアトラシアンと Forge 開発者との間の契約の一部となるものではなく、またそれを修正するものでもありません。