新連邦データ保護法
nFADP とは?
nFADP とは、新連邦データ保護法の略で、2023 年 9 月 1 日に発効される予定です。nFADP はスイスの新しいデータ保護法で、同国の現在の法的枠組みを最新のものにし、GDPR などの他の法律と同等にすることを目的としています。
施行後は、スイス国民に商品やサービスを提供し、スイス国民の個人データを処理することになる、スイス国内外のすべての企業が nFADP の対象となります。GDPR と同様に、nFADP は域外適用の原則を採用しています。つまり、スイス国外に所在する組織がスイス国民の個人データを処理する場合、当該組織にも nFADP が適用されます。
特に、組織データの保護も包含していた従来の FADP とは異なり、nFADP は個人データの保護にのみ適用されます。また、法律立案者の意図がスイスの規制の枠組みを調和させ、GDPR に近づけることだったため、GDPR とは多くの類似点があります。ただし、GDPR と比較すると、nFADP は制裁措置、DPO (データ保護監督者) の任命、プライバシー ポリシーの要件など、特定の分野では GDPR ほど厳格ではありません。
nFADP の下でデータ主体に与えられる権利とは?
組織は、データ主体に個人データに関する以下の権利を提供しなければなりません。
1. 情報へのアクセス権
2. データ ポータビリティ権
3. 消去権
4. 訂正権
アトラシアンと nFADP
GDPR と同様、nFADP は管理者と処理者の役割を規定しています。アトラシアンは主に、当社の Cloud 製品の提供に関連して、当社のお客様に代わって処理する個人データの処理者として機能します。詳細については、データ処理補遺 の第 2 条 2 項、ならびに別紙 A、附属書 1(B)、およびパート A を参照してください。
nFADP に基づくデータ主体の権利
当社は、アトラシアンのプライバシー ポリシーにおいて、データ処理の実施、目的、その他の関連データに関する情報を、ユーザーやお客様に提供しています。
さらに、データ主体の要求に関連する nFADP に基づく義務をお客様が果たせるように当社のツールによってサポートしています。ツールの詳細については以下をご覧ください。
1. 削除権に関してお客様をサポートします。
- アトラシアン組織の管理者は、管理者ポータルのコントロールから管理対象ユーザーのアカウント削除を容易に実行できます。
- 管理対象外のエンド ユーザーは、Atlassian アカウントのプロファイル ページから アカウント削除リクエストを開始して、自分の個人データを削除するよう要求することもできます。
- 直接または間接的にアトラシアンに個人データを提供しており、Atlassian アカウントを保有していないユーザーも削除リクエストを開始する場合
2. アクセス権に関してユーザーをサポートします。
- アトラシアン組織の管理者は、アトラシアン サポートから、管理対象ユーザーのデータに容易にアクセスすることができます。
- 管理対象外のエンド ユーザーは、アトラシアン サポートからデータ アクセスのリクエストを開始することで、自分の個人データにアクセスするよう要求することもできます。
- また、直接または間接的にアトラシアンに個人データを提供したが Atlassian アカウントを保有していないユーザーは、アクセス リクエストを開始することができます。
選択肢と同意
当社は、情報を収集、使用、共有する方法に関する選択肢と透明性を重視して、さまざまな製品やアカウント設定において選択性をご提供します。これらの選択肢、その行使方法、関連する制限事項は、当社のプライバシー ポリシーに要約されています。
エンド ユーザーのデータに関連する権利の詳細については「個人データのプライバシー管理」をご確認ください。
スイスのエンド ユーザーには、情報の収集時に Cookie とマーケティング メッセージに関する同意を表示して、明確性と制御を提供することにご注意ください。
データ処理契約
当社は、nFADP に準拠するため、アトラシアンの顧客データ処理契約を更新しました。協定で定義されているスイスの FADP が組み込まれています。データ処理契約の最新版は、こちらでご確認いただけます。
データの国際的な移転
世界中に顧客を抱えて運営している企業として、アトラシアンは世界中のデータを移転でき、またこれにアクセスできる必要があります。アトラシアンは、スイス国外への個人データの国際的な移転に関する規則を理解して尊重します。また、アトラシアンの DPA(データ処理補遺)の一環として、強固な国際データ移転フレームワークをお客様に提供します。DPA によって、お客様は、標準契約条項に基づいて、スイスの法律に従って、関連する変更を考慮して、スイス国外の Atlassian Cloud 製品に合法的に個人データを移転できるようになります。
GDPR と同様、スイスのデータ保護法では、法律の要件が満たされている限り、国際的なデータ移転が認められています。連邦データ保護情報コミッショナー (FDPIC) によると、新しい EU 標準モデル条項も、スイスの法律を考慮するために必要な改正が含まれていれば、データ保護レベルが十分ではない国への国際的なデータ移転を保護するために使用することができます。
お客様のデータをアトラシアンの復処理者と共有する際は、当社は常に該当の組織におけるデータの使用方法についてお客様に対する説明責任を負います。すべてのサービス プロバイダーに対して、徹底したデュー デリジェンスのプロセスを実施して、お客様の個人データに適切な保護と保護対策を保証する契約の締結を義務付けています。アトラシアンでは、これに関連する法的要件と欧州データ保護当局によって発行されたその他の要件を引き続き分析します。その一方で、アトラシアンが行う以下の事項にご留意ください。
- データ転送に関連する情報を、データ転送影響評価で提供しています。
- お客様は保管中のスコープ内製品コンテンツを特定の場所にピン留めできます。データ レジデンシー プログラム (アプリや追加場所のデータ レジデンシーを含む) に追加される予定の拡張機能は、アトラシアンのクラウド ロードマップでハイライトされています。
- 転送中と保存中のデータを暗号化しています。
- 行政機関からのユーザーのデータの要求、および行政機関からのコンテンツ削除やアカウント停止の要求に関する情報を含む年次透明性レポートを公開しています。
- 法施行のためのガイドラインにおいて、ユーザー データの要求に対応するために、当社のポリシーと手順に関する追加情報を提供します。
データ処理補遺と標準契約条項の詳細については、アトラシアンの「プライバシーに関する FAQ」をご参照ください。
アトラシアンが GDPR に基づいて管理者として個人データを処理する方法の詳細については、「プライバシー ポリシー」をご覧ください。
最新の動向(データ移転法を含む)に関するニュースについてはデータ処理補遺ページをご覧ください。
その他のコミットメント
当社の Cloud 内で実施されているその他のイニシアチブをいくつかご紹介します。
- お客様の個人データに対するアクセス権を有して処理するアトラシアンの従業員にそのようなデータの取り扱いに関する訓練を実施して、データの機密性とセキュリティを維持するように徹底しました。
- 復処理者ページで復処理者のリストに加えて RSS フィードのサブスクリプションを用意しており、変更に関する最新情報を入手できます。
- データ インパクト評価を実施して、適宜、規制当局に相談することをお約束します。
- セキュリティ違反があった場合は管理者に報告して、その旨をお客様とユーザーにすみやかにお知らせします。
- 当社は、標準モデル条項に基づいてデータ移転先としての義務を遵守することをお約束します。
アトラシアンのチームがサポートします。
アトラシアンのコンプライアンスプログラムについてご質問がありますか?
Cloud の認定を取得済みですか? セキュリティとリスクに関する質問表に回答してもらうことはできますか? 詳しい情報はどこでダウンロードできますか?
信頼とセキュリティのコミュニティ
アトラシアン コミュニティの信頼とセキュリティのグループに参加すると、アトラシアンのセキュリティ チームと直接やりとりでき、アトラシアン製品を安全かつ信頼できる方法で使用するための情報、ヒント、ベスト プラクティスを共有できます。
アトラシアンサポート
ご質問がありましたら、高度な訓練を受けたサポート エンジニアにお問い合わせください。