ビジネスを中断せずに GDPR に準拠する

GDPR に基づく義務は、お客様がデータ処理者であるかデータ管理者であるかによって異なります。Dropbox Business のお客様の場合は、データ管理者となり、GDPR に基づいて特定の法的義務が生じます。この場合、Dropbox はお客様のデータ処理者となります。Dropbox Basic、Plus、Professional プランをご利用の場合は、Dropbox がお客様のデータ管理者となります。GDPR には、その点に関して特定の法的義務があることにも注意してください。お客様の会社がデータ管理者またはデータ処理者のどちらである場合も、弊社はお客様の会社の GDPR 準拠に関して法的助言を提供することはできません。お客様側で独立した法的助言を受けることをお勧めします。

GDPR 要件への準拠が必要なのは、大規模のグローバル企業だけではありません。企業規模や収集する個人データの種類にかかわらず、準拠が必要となります。GDPR は 2018 年に施行されており、企業は GDPR 規制に準拠することが法的に求められています。

Dropbox Business のお客様の場合は、データ管理者となり、GDPR に基づいて特定の法的義務が生じます。この場合、Dropbox はお客様のデータ処理者となります。

Dropbox Basic、Plus、Professional プランをご利用の場合は、Dropbox がお客様のデータ管理者となります。GDPR には、その点に関して特定の法的義務があることにも注意してください。お客様の会社がデータ管理者またはデータ処理者のどちらである場合も、弊社はお客様の会社の GDPR 準拠に関して法的助言を提供することはできません。お客様側で独立した法的助言を受けることをお勧めします。GDPR への準拠に関して、Dropbox が提供できる支援の詳細については、共有責任ガイドをご参照ください。

GDPR による主な変更点は、「説明責任の原則」や「プライバシー バイ デザイン」など、これまでデータ保護法の根拠となっていたいくつかの原則を取り入れて、組織が取り扱う個人データの保護に対して組織がより大きな責任を担うよう促している点です。

プライバシー バイ デザイン：これは、個人データを扱う組織は、製品やプロセスが開発された後でプライバシーへの影響を確認するだけではなく、システムを設計する時点でデータ保護について考える必要があるということです。

ユーザーの権利：GDPR はユーザーの既存の権利を拡大し、まったく新しい権利を作り出します。企業は、これらの権利に効力を持たせるための効果的なシステムが整っているかどうかを見直し、それを確保する必要があります。

より厳格な違反通知ルール：GDPR に基づき、組織は強力な違反通知システムを整備したうえで、具体的な報告義務を理解している必要があります。

説明責任：企業は GDPR に定められた原則を順守するだけでなく、説明責任の原則に則ったコンプライアンスも実証する必要があります。これには、プライバシーに関する包括的で明確な内部ガバナンス構造が必要です。

データ保護責任者：GDPR では、EU 内の個人データ処理に従事する企業に対して、データ保護責任者（DPO）を任命するかどうかの決定を求めています。大量の情報、特に機密情報を日常的に処理している企業は、DPO の任命を検討する必要があります。

Dropbox は、信頼という基盤の上に、世界中にいる数億人ものユーザーや企業との関係を築いています。皆様にご利用いただいていることを誇りとし、情報保護の責任を第一に考えています。プライバシーとセキュリティの尊重は、Dropbox のビジネスに当初より組み込まれていた考え方です。Dropbox は成長を遂げましたが、お客様が信頼して預けてくださるデータの取り扱いと保護については、最優先事項として今でも重要視しています。たとえば、Dropbox は、クラウド プライバシーとデータ保護に関する主要な実践として国際的に認められている ISO 27018 を初めて取得したクラウド サービス プロバイダの 1 つです。

さらに、チーム用 Dropbox プランの Standard、Advanced、Enterprise、Education は、EU クラウド行動規範の遵守を宣言しており、「レベル 2」のコンプライアンス マークを取得しています。これはつまり、これらのサービスがこの規範の要件に沿って技術、組織、契約において対策を実施していることを意味しています。EU クラウド行動規範と、この規範に関する Dropbox のコンプライアンスについて詳しくは、この規範の公式ウェブサイトをご覧ください。