Dropbox の GDPR ガイダンス センターへようこそ

このガイダンス センターでは、2018 年 5 月 25 日までに組織が一般データ保護規則(GDPR)に準拠するための準備に役立つインサイトと実用的なステップをいくつかご紹介します。

もちろん、GDPR に準拠するまでの道のりは組織によって異なり、特に企業の規模や処理するデータの種類と量、現在のセキュリティやプライバシー保護対策などの要因に応じた違いがあります。

GDPR に備える

EU に拠点を置く居住者の個人データを処理する EU の組織は、ほとんどの場合、2018 年 5 月 25 日までに GDPR に準拠する必要があります。GDPR は、欧州連合(EU)内での個人データの処理に関する統一された新しい枠組みであり、組織に新たな義務を課し、個人に新たな権利を与えるものです。規模の大小を問わず、多くの組織が現在この新しい規則に向けて準備しています。

Dropbox は長年にわたってユーザーの皆様に信頼を寄せていただいており、ISO 27001/2、ISO 27018/17、SOC 2 など、世界で最も広く受け入れられているセキュリティとプライバシーの基準と規制に準拠していることが認定されています。このたび Dropbox では、データ保護の専門家をさまざまな部署から集めてチームを編成し、GDPR の準拠に役立つインサイトやリソースをまとめました。

はじめに

GDPR とは

GDPR は欧州連合の規則であり、EU に拠点を置く居住者の個人データの取り扱いと保護に関する新たな枠組みを確立するものです。GDPR は 2018 年 5 月 25 日から施行されます。

個人データは社会と経済に大きな役割を果たしています。個人のデータが組織で使用され、保護される際には、そのデータを提供した個人自身が主導権を握り、その方法を明確に把握していることが不可欠であり、主導権が自身にあることをその個人が承知している必要があります。また組織には、個人データを保護するための明確なガイドラインが与えられていることが重要です。GDPR の目的の 1 つは、過去 20 年間における技術の急速な変化に対応し、ヨーロッパ全域でデータのプライバシーに関する法律を調整し、必要な情報を提供することです。GDPR は、1995 年に制定された EU データ保護指令など、欧州連合における現在の法的枠組みに基づいて制定されました。

GDPR:基本情報

Dropbox は、2018 年 5 月 25 日までに GDPR の要件を満たします。お客様におかれましては、事前に GDPR への対応の準備をお願いいたします。

Dropbox はどのようにして GDPR に準拠するのか

  • Dropbox と世界中にいる数億人もの Dropbox ユーザーや企業との関係性を構築しているのは信頼です。皆様にご利用いただいていることを誇りとし、情報保護の責任を第一に考えています。
  • ​​Dropbox はデータ保護を何よりも重要であると考え、率先してコンプライアンスを満たしてきた実績があります。たとえば Dropbox は、クラウド プライバシーとデータ保護に関する主要な行動規範として国際的に認められている ISO 27018 を初めて達成したクラウド サービス プロバイダーの 1 つです。 ​​
  • Dropbox で法務、信頼、プライバシーを担当する各チームでは、GDPR を慎重に分析して、準拠のために必要な措置を講じています。
  • ​​ヘルプセンターのページで発表しているように、Dropbox は 2018 年 5 月 25 日までに GDPR の要件を満たします。
GDPR に基づく義務とは何か ​​
  • 企業のお客様やデータ管理者の皆様にとって重要な点は、GDPR に基づいて特定の法的義務が生じることです。
  • ​​企業は、協力を受けるすべてのプロバイダー(データ プロセッサー)がデータ保護に対して確固たる方策を採っており、GDPR の義務について理解し、それを満たす準備が万全であることを確信できなければなりません。
  • ​​ただし、GDPR のコンプライアンスに関する企業側の問題を「解決してくれる」プロバイダーはいません。 ​​
  • Dropbox の共有責任ガイドは、お客様のデータを安全に保つための協力態勢について詳しく説明した資料で、Dropbox の責任とお客様の責任を明確にするのに役立ちます。

GDPR:主な変更点

GDPR は考え方に変化をもたらすものであり、「説明責任の原則」や「プライバシー バイ デザイン」など、これまでデータ保護法の根拠となっていたいくつかの原則を明示的に採り入れ、組織が取り扱う個人データの保護に対して組織がより大きな責任を担うよう促しています。

プライバシー バイ デザイン:これは、個人データを扱う組織は、製品やプロセスが開発された後でプライバシーへの影響を確認するだけではなく、システムを設計する時点でデータ保護について考える必要があるということです。大量のデータを処理する場合や機密情報を扱う場合は、ほとんどのケースで、プライバシー バイ デザインの原則を満たすためにデータ保護に対する影響評価を行う必要もあります。

ユーザーの権利:GDPR はユーザーの既存の権利を拡大し、まったく新しい権利をいくつか作り出しています。企業は、これらの権利に効力を持たせるための効果的なシステムが整っているかどうかを見直し、それを確保する必要があります。

より厳格な違反通知ルール:GDPR に基づき、組織は強力な違反通知システムを整備したうえで、報告に関する具体的な義務を理解している必要があります。

説明責任:企業は GDPR に定められた原則を順守するだけでなく、説明責任の原則に沿ったコンプライアンスも実証する必要があります。これには、プライバシーに関する包括的で明確な内部ガバナンス構造が必要です。

データ保護責任者:GDPR では、EU 内で個人データの処理に従事する企業に対して、データ保護責任者(DPO)を任命するかどうかの決定を求めています。大量の情報や、特に機密情報を日常的に処理している企業は、DPO の任命を検討する必要があります。

Dropbox が GDPR に準拠するまでの経過

多くのお客様と同様に、Dropbox では GDPR への準備を積極的に進めています。

Dropbox と世界中にいる数億人もの Dropbox ユーザーや企業との関係性を構築しているのは「信頼」です。プライバシーとセキュリティを尊重することは、Dropbox のビジネスに初めから組み込まれていた考え方です。Dropbox は成長を遂げましたが、お客様が信頼して預けてくださるデータの取り扱いと保護については、最優先事項として今でも重要視しています。

GDPR は、Dropbox の考え方や運営方法と一致しています。セキュリティに関する Dropbox の活動は、最も広く受け入れられている基準と規制を既に満たしています。また Dropbox は、クラウド プライバシーとデータ保護に関する主要な行動規範として国際的に認められている ISO 27018 を初めて達成したクラウド サービス プロバイダーの 1 つです。

Dropbox で法務、信頼、セキュリティを担当する各チームでは、GDPR を慎重に精査し、準拠や変更が必要な箇所を特定するために必要な措置を講じています。Dropbox は、2018 年 5 月以前の完全な順守に向けて作業を進めるとともに、お客様が義務を果たせるようにするための支援に取り組んでいます。

GDPR 準拠に向けた サプライヤーとの連携

GDPR に準拠するにはサプライヤーと連携することが重要です。その理由をご確認ください。

GDPR:データについて理解する

GDPR の基本情報と、GDPR に備えるために考慮すべき手順について説明しています。ぜひお読みください。

データのセキュリティに関する方針を考え直すチャンス

GDPR の本質は、データについて理解し、データのセキュリティに関する方針を立てることです。

免責事項:このサイトは、包括的なソリューションや法的な助言としてではなく、GDPR に関してお客様に役立つガイダンスを提供することを目的としています。コンプライアンスを確保するには、各組織が独自の手順を踏む必要があります。