GDPR に対するアトラシアンの取り組み
データ プライバシーに対する取り組み
アトラシアンは、お客様の成功とデータの保護を何よりも重視しています。この重要な目的を果たす一手段として、アトラシアンではお客様とユーザーが GDPR (一般データ保護規則) を理解して、必要に応じて順守するためのサポートをしています。
GDPR には自己データに対する EU (欧州連合) 加盟国の市民の主導権を強化する目的があり、EU 域内に多数存在する現行のプライバシーおよびセキュリティ関連法を 1 つの包括的な法律に統一することを目指します。GDPR の適用対象は EU 域内の組織にとどまりません。EU 域内に居住するデータ主体の個人データを企業が処理して保有する場合は、その所在地にかかわらず GDPR が適用されます (いわゆる治外法権の原則)。
次のセクションでは、お客様と個々のデータ主体に対するサービスに関する当社の GDPR コンプライアンスに対するアプローチと投資について概説しています。
データの国際的な移転
世界中に顧客を抱えて運営している企業として、アトラシアンは世界中のデータを転送してアクセスできる必要があります。アトラシアンは、欧州経済地域、英国、およびスイス外への個人データの国際的な移転のルールを理解して尊重します。また、アトラシアンのデータ処理補遺 (DPA) の一環として、強固な国際データ転送フレームワークを顧客に提供します。この DPA によって、顧客は標準契約条項に基づいて、EEA 外の Atlassian Cloud 製品に合法的に個人データを転送できるようになります。
お客様のデータをアトラシアンの復処理者と共有する際は、常に当社は該当の組織におけるデータの使用方法についてお客様に対する説明責任を負います。すべての復処理者に対して徹底したデュー デリジェンスのプロセスを実施して、当社のお客様の個人データに適切な保護と保護対策を保証する契約の締結を義務付けています。アトラシアンでは、これらの法的要件と欧州データ保護当局によって発行されたその他の要件を引き続き常に把握していきます。その一方で、アトラシアンが行う以下の事項にご留意ください。
-
データ転送に関連する情報を、データ転送影響評価で提供しています。
-
お客様はスコープ内製品コンテンツの保管先を特定の場所にピン留めできます。データ レジデンシー プログラムに追加される予定の拡張機能は、アトラシアンの クラウド ロードマップでハイライトされています。
- 転送中と保存中のデータを暗号化します。
- 行政機関からのユーザーのデータの要求、および行政機関からのコンテンツ削除やアカウント停止の要求に関する情報を含む年次透明性レポートを公開しています。
- 法施行のためのガイドラインにおいて、ユーザー データの要求に対応するために、当社のポリシーと手順に関する追加情報を提供します。
データ処理補遺と標準契約条項の詳細については、アトラシアンの「プライバシーに関する FAQ」をご参照ください。
アトラシアンが GDPR に基づいて管理者として個人データを処理する方法の詳細については、「プライバシー ポリシー」をご覧ください。
最新の動向 (データ転送法を含む) に関するニュースについては「プライバシー最新情報」ページをご参照ください。
データの場所とポータビリティ
データのホスティング場所を決定する際は、遅延を低減してお客様とそのユーザー様にとって最適なパフォーマンスを実現することを念頭に置きます。お客様のデータのホスティング場所については (リクエストに応じてではなく) 全世界でのアクセス状況に基づいて最適化します。初期設定でお客様のデータを特定の場所でホスティングするという保証はしておりませんが、データ レジデンシーを使用して、スコープ内の製品コンテンツの保存先を特定の場所にピン止めすることはできます。データ レジデンシー プログラムに追加される予定の拡張機能は、アトラシアンのクラウド ロードマップでハイライトされています。
また、お客様が Atlassian 製品を利用者データのホスティングする必要があるケースで、利用者からデータのエクスポート依頼があった場合は容易に行えます。Atlassian では、製品データとユーザー データをエクスポートするための強固なデータ ポータビリティとデータ管理ツールをご用意しています。Atlassian Cloud のデータ エクスポートの詳細については、「インポートとエクスポートに関するドキュメント」をご確認ください。
個人のプライバシー権と同意
データ主体の権利
Atlassian Cloud 製品では個人データを削除しやすい仕組みを設けることで、お客様はツールを利用して GDPR の忘れられる権利 (削除権) に基づく義務を履行できるようになります。
- アトラシアン組織の管理者は、管理者ポータルのコントロールから管理対象ユーザーのアカウント削除を容易に実行することができます。
- また、管理対象外のエンド ユーザー (組織が管理していないアカウント) も、Atlassian アカウントのプロファイル ページからアカウント削除リクエストを開始して個人データの削除を依頼できます。
- また、直接または間接的に Atlassian に個人データを提供したが Atlassian アカウントを保有していないユーザーは、削除リクエストを開始できます。
アクセス リクエストにも同様のツールをご利用いただけます。
- Atlassian 組織の管理者は、Atlassian サポートから管理対象ユーザーのデータに容易にアクセスできます。
- また、管理対象外のエンド ユーザーは、Atlassian サポートからデータ アクセスのリクエストを開始して個人データに対するアクセスを依頼できます。
- また、直接または間接的に Atlassian に個人データを提供したが Atlassian アカウントを保有していないユーザーは、アクセス リクエストを開始できます。
削除とアクセスの両リクエストはお電話で承ります。1 (800) 804-5281 までお問い合わせいただき、メッセージを残してください。
ご存知でしたか? アトラシアンは、データ アクセスまたは削除リクエストの開始方法に関するユーザー向け情報をこちらで提供しています。
選択肢と同意
当社は、情報を収集、使用、共有する方法に関する選択肢と透明性を重視して、さまざまな製品やアカウント設定において選択性をご提供します。これらの選択肢、その行使方法、関連する制限事項は、当社のプライバシー ポリシーに要約されています。
エンド ユーザーのデータに関連する権利の詳細については「個人データのプライバシー管理」をご確認ください。
EU のエンド ユーザーには、情報の収集時に Cookie とマーケティング メッセージに関する同意を表示して、明確性と制御を提供することにご注意ください。アトラシアンの社内プロセスでは同意を一元化して、製品スイート全体におけるお客様の選択を一貫して尊重しています。
その他のコミットメント
当社の Cloud 内で実施されているその他の GDPR イニシアチブをいくつかご紹介します。
- お客様の個人データに対するアクセス権を有して処理するアトラシアンの従業員にそのようなデータの取り扱いに関する訓練を実施して、データの機密性とセキュリティを維持するように徹底しました。
- 復処理者ページで復処理者のリストに加えて RSS フィードのサブスクリプションを用意しているため、お客様はいかなる変更に関する最新情報を入手できます。
- データ インパクト評価を実施して、適宜、EU 規制当局に相談することをお約束します。
- セキュリティ違反があった場合は管理者に報告して、その旨をお客様とユーザーにすみやかにお知らせします。
-
当社は、EU 標準モデル条項に基づいてデータ移転先としての義務を遵守することをお約束します。
