GDPR に対するアトラシアンの取り組み
データ プライバシーに対する取り組み
Atlassian は、お客様の成功とデータの保護を何よりも重視しています。この重要な目的を果たす一手段として、Atlassian ではお客様とユーザーが GDPR (一般データ保護規則) を理解して、必要に応じて順守するためのサポートをしています。GDPR には自己データに対する EU (欧州連合) 加盟国の市民の主導権を強化する目的があり、多数存在する現行のプライバシーおよびセキュリティ関連法を 1 つの包括的な法律に統一することを目指します。GDPR の適用対象は EU 域内の組織にとどまりません。EU 域内に居住するデータ主体の個人データを企業が処理して保有する場合は、その所在地にかかわらず GDPR が適用されます。
次のセクションでは、お客様と個々のデータ主体に対するサービスに関する当社の GDPR コンプライアンスに対するアプローチと投資について概説しています。
セキュリティと資格認定
Atlassian ではお客様の情報とエンド ユーザーのプライバシーの保護をきわめて重要なものとして捉えています。貴重なデータをお預けいただくお客様の信頼に応えるために、Atlassian Cloud アーキテクチャのすべての階層にセキュリティ機能を組み入れています。再現、バックアップ、ディザスタ リカバリ計画、転送中のデータと保存データの暗号化、高度な脅威検出、共通制御は、このような機能の一部です。Atlassian のセキュリティ プラクティス ページで、セキュリティ対策の詳細をご確認ください。
さらに、Atlassian では莫大なリソースを投じて、一般に認められる規格と認証に従ってクラウド製品を構築して設計するように万全を期しています。こうした規格にはセキュリティとプライバシーに関する GDPR の多くの要件が反映されており、Atlassian のソフトウェア開発とデータ管理プラクティスを客観的に評価する基準となります。現在、多くの製品で ISO/IEC 27001、ISO/IEC 27018 規格、SOC 2、SOC 3 認定を受けています。また、当社のデータ センター、コロケーション、マネージド サービス プロバイダーは評価プロセスの一環として徹底したセキュリティ アセスメントを受けて、その後も定期的に SOC 1、SOC 2、ISO/IEC 27001 監査を受けています。
リスク管理プログラム、現時点の認定、Cloud 製品に対するアトラシアンのコミットメントに関する詳細については、Trust Center のコンプライアンス ページをご参照ください。
データの国際的な移転
世界中に顧客を抱えて運営している企業として、アトラシアンは世界中のデータを転送してアクセスできる必要があります。アトラシアンは、欧州経済地域および英国外への個人データの再移転のルールを理解して尊重します。また、データ処理補遺 (DPA) の一環として、強固な国際データ転送フレームワークを顧客に提供します。この補遺によって、顧客は、英国で行われた最新のアップデートを含めて、欧州外の Atlassian Cloud 製品に合法的に個人データを転送できるようになります。
お客様のデータを Atlassian のサービス プロバイダーと共有する際は、常に当社は該当の組織におけるデータの使用方法についてお客様に対する説明責任を負います。すべてのサービス プロバイダーに対して徹底したデュー デリジェンスのプロセスを実施して、当社のお客様の個人データに適切な保護と保護対策を保証する契約の締結を義務付けています。当社は、欧州データ保護委員会が最近 GDPR の要件に準拠するための補足措置に関する更なるガイダンスを発行したことを確認しました。当社では、これらの要件と欧州データ保護当局によって発行されたその他の要件が発生した場合は、引き続き分析します。その一方で、Atlassian が実施する次の事項にご留意ください。
- 転送中と保存中のデータを暗号化します。
- 行政機関からのユーザーのデータの要求、および行政機関からのコンテンツ削除やアカウント停止の要求に関する情報を含む年次透明性レポートを公開しています。
- 法施行のためのガイドラインにおいて、ユーザー データの要求に対応するために、当社のポリシーと手順に関する追加情報を提供します。
データ処理補遺と標準契約条項の詳細については、アトラシアンの「プライバシーに関する FAQ」をご参照ください。アトラシアンが個人データを転送して処理する方法の詳細については「プライバシー ポリシー」をご参照ください。最新の動向 (データ転送法を含む) に関するニュースについては「プライバシー最新情報」ページをご参照ください。
データの場所とポータビリティ
データのホスティング場所を決定する際は、遅延を低減してお客様とそのユーザー様にとって最適なパフォーマンスを実現することを念頭に置きます。お客様のデータのホスティング場所については (リクエストに応じてではなく) 世界中のアクセス状況に基づいて最適化します。初期設定でお客様のデータを特定の場所でホスティングするという保証はいたしかねますが、新しい Standard または Premium のサブスクリプション、または Enterprise 製品 (Jira または Confluence) の組織管理者であれば、範囲内の製品コンテンツの保存先を特定の場所にピン止めできるようになりました。データ レジデンシー プログラム (アプリや追加場所のデータ レジデンシーを含む) に追加される予定の拡張機能は、アトラシアンの Cloud ロードマップでハイライトされています。
また、お客様が Atlassian 製品を利用者データのホスティングする必要があるケースで、利用者からデータのエクスポート依頼があった場合は容易に行えます。Atlassian では、製品データとユーザー データをエクスポートするための強固なデータ ポータビリティとデータ管理ツールをご用意しています。Atlassian Cloud のデータ エクスポートの詳細については、「インポートとエクスポートに関するドキュメント」をご確認ください。
個人のプライバシー権と同意
データ主体の権利
Atlassian Cloud 製品では個人データを削除しやすい仕組みを設けることで、お客様はツールを利用して GDPR の忘れられる権利 (削除権) に基づく義務を履行できるようになります。
- Atlassian 組織の管理者は、管理者ポータルのコントロールから管理対象ユーザーのアカウント削除を容易に実行できます。
- また、管理対象外のエンド ユーザーは、Atlassian アカウントのプロファイル ページからアカウント削除リクエストを開始して個人データの削除を依頼できます。
- また、直接または間接的に Atlassian に個人データを提供したが Atlassian アカウントを保有していないユーザーは、削除リクエストを開始できます。
アクセス リクエストにも同様のツールをご利用いただけます。
- Atlassian 組織の管理者は、Atlassian サポートから管理対象ユーザーのデータに容易にアクセスできます。
- また、管理対象外のエンド ユーザーは、Atlassian サポートからデータ アクセスのリクエストを開始して個人データに対するアクセスを依頼できます。
- また、直接または間接的に Atlassian に個人データを提供したが Atlassian アカウントを保有していないユーザーは、アクセス リクエストを開始できます。
削除とアクセスの両リクエストはお電話で承ります。1 (800) 804-5281 までお問い合わせいただき、メッセージを残してください。
ご存知でしたか? アトラシアンは、データ アクセスまたは削除リクエストの開始方法に関するユーザー向け情報をこちらで提供しています。
選択肢と同意
当社は、情報を収集、使用、共有する方法に関する選択肢と透明性を重視して、さまざまな製品やアカウント設定において選択性をご提供します。これらの選択肢、その行使方法、関連する制限事項は、当社のプライバシー ポリシーに要約されています。
エンド ユーザーのデータに関連する権利の詳細については「個人データのプライバシー管理」をご確認ください。
EU のエンド ユーザーには、情報の収集時に Cookie とマーケティング メッセージに関する同意を表示して、明確性と制御を提供することにご注意ください。アトラシアンの社内プロセスでは同意を一元化して、製品スイート全体におけるお客様の選択を一貫して尊重しています。
その他のコミットメント
当社の Cloud 内で実施されているその他の GDPR イニシアチブをいくつかご紹介します。
- お客様の個人データに対するアクセス権を有して処理する Atlassian の従業員にそのようなデータの取り扱いに関する訓練を実施して、データの機密性とセキュリティを維持するように徹底しました。
- 復処理者ページで復処理者のリストに加えて RSS フィードのサブスクリプションを用意しているため、お客様はいかなる変更に関する最新情報を入手できます。
- データ インパクト評価を実施して、適宜、EU 規制当局に相談することをお約束します。
- 違反があった場合は管理者に報告して、その旨をお客様とユーザーにすみやかにお知らせします。