GDPR に対するアトラシアンの取り組み

アトラシアンのデータプライバシー対策

アトラシアンは、お客様の成功とデータの保護を何よりも重視しています。この重要な目的を果たす一手段として、アトラシアンでは、お客様とユーザーが GDPR (一般データ保護規則) を理解し、必要な場合は順守する支援をしています。2018 年 5 月 25 日に施行された GDPR は、ヨーロッパのデータプライバシー法制に過去 20 年間で最大の変化をもたらしています。

GDPR には、自己データに対する EU (欧州連合) 加盟国の市民の主導権を強化する目的があり、多数存在する現行のプライバシーおよびセキュリティ関連法を、1 つの包括的な法律に統一することを目指します。GDPR の適用対象は、EU 域内の組織にとどまりません。EU 域内に居住するデータ主体の個人データを企業が処理および保有する場合は、その所在地にかかわらず、すべて GDPR が適用されます。

このページでは、GDPR 順守に対するアトラシアンのアプローチと投資、および GDPR の順守に関するお客様の支援方法について説明します。

GDPR コンプライアンス

私たちは、アトラシアンの製品とサービスを使用することによって直接的に関係してくる GDPR 要件が当社のお客様に課されることを十分に理解しています。だからこそ当社は多くのリソースを投入し、お客様が GDPR および各拠点地域の法律の要件を満たすことができるように支援いたします。

当社のクラウド製品について導入済みの GDPR イニシアチブを以下にいくつかご紹介します。

• セキュリティインフラストラクチャと認定に多額の投資を実行 (セキュリティと各種認証のセクションを参照)。
• Privacy Shield 認定を維持し、最新のデータ処理補遺を通じて標準契約条項を履行することにより、適切な国際データ転送メカニズムを支援。
• 次のようなデータポータビリティとデータ管理ツールを提供。
  • プロファイル削除ツール: お客様とエンドユーザーが個人情報 (名前やメールアドレスなど) を Atlassian アカウントから削除するための機能。ユーザーからの個人情報削除依頼への対応でお客様を支援。Atlassian アカウントを所有するエンドユーザーだけでなく Atlassian アカウントを所有していない個人の個人情報の削除依頼をサポート。
  • インポートツールおよびエクスポートツール: お客様はアトラシアンのツールを使用して、顧客データにアクセスし、インポート、エクスポートが可能。
• 関連する契約条項を適宜更新済み。
• お客様の個人データにアクセスし処理を行うアトラシアンのスタッフは、データの取り扱いに関するトレーニングを受けており、データの機密性とセキュリティを必ず確保することを保証。
• 個人データを扱うすべてのベンダーに対し、当社自身が従っているデータ管理、セキュリティ、およびプライバシーのプラクティスと基準に従うよう要請。
• 必要に応じて、データ影響評価の実施および EU 規制当局との合議に真摯に取り組む。

当社のセキュリティと各種認証

アトラシアンではお客様の情報とエンドユーザーのプライバシーの保護をきわめて重要ととらえています。貴重なデータをお預けいただくお客様の信頼に応えるために、Atlassian Cloud アーキテクチャのすべての階層にセキュリティ機能を組み入れています。再現、バックアップ、ディザスタリカバリ計画、転送中のデータと保存データの暗号化、高度な脅威検出はこうした機能の一部です。アトラシアンのセキュリティプラクティスページでセキュリティ対策の詳細をご確認ください。

さらに、アトラシアンでは多くのリソースを投じて、一般に認められる規格と認証に従ってクラウド製品を構築・設計するよう万全を期しています。こうした規格にはセキュリティとプライバシーに関する GDPR の多くの要件が反映されており、アトラシアンのソフトウェア開発とデータ管理実務を客観的に評価する基準となります。

アトラシアンは多数の製品について、ISO/IEC 27001、ISO/IEC 27002、ISO/IEC 27018 規格および SOC2 Type II 認証を取得しています。クラウド製品の現在の認証と法令順守の取り組みの詳細は Atlassian Trust サイトのコンプライアンスページをご覧ください。

データの国際的な移転

当社の DPA (データ処理補遺) では国際的なデータ移転に関して堅牢な枠組みを設定しており、お客様は当社の Privacy Shield 認定または標準契約条項に依拠することで、欧州経済領域外の Atlassian Cloud 製品に個人データを合法的に移転することができます。DPA には、GDPSR の順守に関してお客様を支援するための具体的な規定も盛り込まれています。アトラシアンの DPA (データ処理補遺) および標準契約条項の詳細は、GDPR FAQ のページを参照してください。

アトラシアンでは、付随的なサポートサービスのためにデータを提供していただく一部のケースを除き、Server と Data Center 製品の提供に関連して個人データにアクセスすることも、個人データを収集、保存、その他の方法で処理することもありません。そのため、データ処理者に適用される GDPR に基づく義務の多くは Server と Data Center 製品に関してはアトラシアンには適用されません。DPA ではアトラシアンが個人データ処理者の役割を担うことを前提としているため、Server と Data Center 製品のご利用時には DPA は提供されません。当社 Server および Data Center 製品に関する GDPR コンプライアンスの詳細は、Server および Data Center 製品に関する GDPR サポートガイドを参照してください。

データポータビリティと忘れられる権利

お客様がアトラシアン製品を利用者データのホスティングに使用しているケースで、利用者からデータのエクスポート依頼があった場合には、その実行をサポートするうえで、アトラシアン製品はデータを移行・管理する優れたツールとなります。Atlassian Cloud でのデータエクスポートについての詳細は、インポートとエクスポートに関するドキュメントを参照してください。

Atlassian Cloud 製品では個人データを削除しやすい仕組みを設けて、GDPR の忘れられる権利 (削除権) に基づく義務の履行にも配慮しています。

アトラシアンの組織管理者は、管理者ポータルから管理対象ユーザーのアカウントを容易に削除できます。エンドユーザーは Atlassian アカウントのプロファイルページからアカウント削除リクエストを提出して自分の個人データの削除を要求することもできます。自分のデータを直接または間接的にアトラシアンに提供した個人は Atlassian アカウントを所有していない場合でも削除リクエストを開始できます。

プライバシーと同意

アトラシアンでは、お客様のプライバシーだけでなく、お客様の情報を当社が収集、使用、共有する方法についても透明性の維持に努めています。当社の プライバシーポリシーでは、収集する情報の内容、データの使用・保存方法、本人による情報へのアクセス方法と管理方法について説明しています。

アトラシアンでは、Atlassian Server および Data Center 製品をダウンロード可能な形態で提供しています。こうしたダウンロード可能な製品を Server および Data Center のお客様に提供するうえで、アトラシアンが個人データにアクセスすることも、個人データを収集、保存、その他の方法で処理することもありません (付随的なサポートサービスのためにこうしたデータが提供される一部のケースを除きます)。アトラシアンによる Server および Data Center 製品に関する顧客データの取扱方法の詳細は、当社プライバシーポリシーおよび Server および Data Center 製品に関する GDPR サポートガイドを参照してください。