{"en":"This page is not currently available in your language.","id":"Halaman ini sekarang belum tersedia dalam bahasa Anda.","ms":"Laman ini kini belum boleh didapati dalam bahasa anda.","es_ES":"Esta página no está disponible en tu idioma en este momento.","da_DK":"Denne side er i øjeblikket ikke tilgængelig på dit sprog.","fr":"Cette page n'est actuellement pas disponible dans votre langue.","de":"Diese Seite ist zurzeit nicht in Ihrer Sprache verfügbar.","en_GB":"This page is not currently available in your language.","pl":"Ta strona aktualnie nie jest dostępna w Twoim języku.","it":"Al momento questa pagina non è disponibile nella tua lingua.","nl_NL":"Deze pagina is momenteel niet beschikbaar in je taal.","nb_NO":"Denne siden er for øyeblikket ikke tilgjengelig på språket ditt.","ru":"На данный момент эта страница недоступна на вашем языке.","zh_TW":"此頁面目前沒有您語言的版本。","sv_SE":"Denna sida är för närvarande inte tillgänglig på ditt språk.","th_TH":"หน้านี้ยังไม่มีให้บริการในภาษาของคุณในขณะนี้","zh_CN":"本页面暂无您所需的语言版本。","ja":"申し訳ありませんが、このページは選択した言語ではご利用になれません。","pt_BR":"Esta página não está disponível no momento em seu idioma.","ko":"현재 이 페이지는 한국어 번역이 제공되지 않습니다.","es":"Esta página aún no está disponible en tu idioma.","uk_UA":"На даний момент ця сторінка недоступна на вашій мові.","en_AU":"This page is not currently available in your language."}

Dropbox の GDPR ガイダンス センターへようこそ

このガイダンス センターでは、2018 年 5 月 25 日までに組織が一般データ保護規則(GDPR)への準拠を達成する上で役立つインサイトと実用的なステップをいくつかご紹介します。

もちろん、GDPR に準拠するまでの道のりは組織によって異なり、特に企業の規模や処理するデータの種類と量、現在のセキュリティやプライバシー保護対策などの要因に応じた違いがあります。

GDPR に備える

EU に拠点を置く居住者の個人データを処理する EU 域内の組織は、ほとんどの場合、2018 年 5 月 25 日までに GDPR に準拠する必要があります。GDPR は、欧州連合(EU)内での個人データの処理に関する統一された新しい枠組みであり、組織に新たな義務を課し、個人に新たな権利を与えるものです。規模の大小を問わず、多くの組織がこの新しい規則に向けた対応を行ってきました。 

Dropbox は長年にわたってユーザーの皆様に信頼を寄せていただいており、Dropbox Business は ISO 27001/2、ISO 27018/17、SOC 2 など、世界で最も広く受け入れられているセキュリティとプライバシーの基準と規制に準拠していることが認定されています。 この度 Dropbox では、データ保護の専門家をさまざまな部署から集めてチームを編成し、 GDPR の準拠に役立つインサイトやリソースをまとめました。

GDPR とは

GDPR は欧州連合の規則であり、EU に拠点を置く居住者の個人データの取り扱いと保護に関する新たな枠組みを確立するものです。GDPR は 2018 年 5 月 25 日より施行されています。 

個人データは社会と経済に大きな役割を果たしています。個人のデータが組織で使用され、保護される際には、そのデータを提供した個人自身が主導権を握り、その方法を明確に把握していることが不可欠であり、主導権が自身にあることをその個人が承知している必要があります。また組織には、個人データを保護するための明確なガイドラインが与えられていることが重要です。

GDPR の目的の 1 つは、過去 20 年間における技術の急速な変化に対応し、ヨーロッパ全域でデータのプライバシーに関する法律を調整し、必要な情報を提供することです。GDPR は、1995 年に制定された EU データ保護指令など、欧州連合における現在の法的枠組みに基づいて制定されました。 

GDPR:基本情報

Dropbox は GDPR の要件を既に満たしています。しかし実施期限が過ぎても、お客様において引き続き対応状況を評価していただく必要があります。

Dropbox の GDPR 準拠の状況

  • Dropbox と世界中にいる数億人もの Dropbox ユーザーや企業との関係性を構築しているのは信頼です。皆様にご利用いただいていることを誇りとし、情報保護の責任を第一に考えています。
  • ​​Dropbox はデータ保護を何よりも重要であると考え、率先してコンプライアンスを満たしてきた実績があります。たとえば Dropbox は、クラウド プライバシーとデータ保護に関する主要な行動規範として国際的に認められている ISO 27018 を初めて達成したクラウド サービス プロバイダーの 1 つです。 ​​
  • Dropbox で法務、信頼、プライバシーを担当する各チームでは、GDPR を慎重に分析し、準拠のために必要な措置を講じました。
  • ​​Dropbox は、2018 年 5 月 25 日までに GDPR の要件を満たしています。
GDPR に基づく義務とは何か ​​
  • 企業のお客様やデータ管理者の皆様にとって重要な点は、GDPR に基づいて特定の法的義務が生じることです。
  • ​​企業は、協力を受けるすべてのプロバイダー(データ プロセッサー)がデータ保護に対して確固たる方策を採っており、GDPR の義務について理解し、それを満たす準備が万全であることを確信できなければなりません。
  • GDPR では、欧州連合(EU)外への個人データの持ち出しを全面的に禁止しているわけではありません。実際には、標準契約条項や、「欧州連合(EU)と米国間のプライバシー シールド」といった枠組みなど、複数の規定に基づいて非 EU 加盟国に個人データを移転することが許可されています。GDPR の下では、お客様、またはお客様に代わってデータを移転するプロバイダーが、必要な移転メカニズムのうち 1 つを使用している場合に限り、非 EU 加盟国でデータをホストし、処理することができます。 ​​
  • Dropbox の共有責任ガイドは、お客様のデータを安全に保つための協力態勢について詳しく説明した資料で、Dropbox の責任とお客様の責任を明確にするのに役立ちます。

GDPR:主な変更点

GDPR は考え方に変化をもたらすものであり、「説明責任の原則」や「プライバシー バイ デザイン」など、これまでデータ保護法の根拠となっていたいくつかの原則を明示的に採り入れ、組織が取り扱う個人データの保護に対して組織がより大きな責任を担うよう促しています。

プライバシー バイ デザイン:これは、個人データを扱う組織は、製品やプロセスが開発された後でプライバシーへの影響を確認するだけではなく、システムを設計する時点でデータ保護について考える必要があるということです。大量のデータを処理する場合や機密情報を扱う場合は、ほとんどのケースで、プライバシー バイ デザインの原則を満たすためにデータ保護に対する影響評価を行う必要もあります。

ユーザーの権利:GDPR はユーザーの既存の権利を拡大し、まったく新しい権利をいくつか作り出しています。企業は、これらの権利に効力を持たせるための効果的なシステムが整っているかどうかを見直し、それを確保する必要があります。

より厳格な違反通知ルール:GDPR に基づき、組織は強力な違反通知システムを整備したうえで、報告に関する具体的な義務を理解している必要があります。

説明責任:企業は GDPR に定められた原則を順守するだけでなく、説明責任の原則に沿ったコンプライアンスも実証する必要があります。これには、プライバシーに関する包括的で明確な内部ガバナンス構造が必要です。

データ保護責任者:GDPR では、EU 内で個人データの処理に従事する企業に対して、データ保護責任者(DPO)を任命するかどうかの決定を求めています。大量の情報や、特に機密情報を日常的に処理している企業は、DPO の任命を検討する必要があります。

Dropbox が GDPR に準拠するまでの経過

多くのお客様と同様に、Dropbox では GDPR への準備を積極的に進めてきました。

Dropbox と世界中にいる数億人もの Dropbox ユーザーや企業との関係性を構築しているのは「信頼」です。プライバシーとセキュリティを尊重することは、Dropbox のビジネスに初めから組み込まれていた考え方です。その後 Dropbox は成長を遂げましたが、お客様が信頼して預けてくださるデータの取り扱いと保護は今でも Dropbox の最優先事項です。

GDPR は、Dropbox の考え方や運営方法と一致しています。セキュリティに関する Dropbox の活動は、最も広く受け入れられている基準と規制を既に満たしています。また Dropbox は、クラウド プライバシーとデータ保護に関する主要な行動規範として国際的に認められている ISO 27018 を初めて達成したクラウド サービス プロバイダーの 1 つです。

Dropbox で法務、信頼、セキュリティを担当する各チームでは、GDPR を慎重に精査し、準拠や変更が必要な箇所を特定するために必要な措置を講じました。2018 年 5 月までに完全な準拠を達成した後も、お客様が義務を果たせるよう支援する取り組みを行っています。

Dropbox が GDPR に準拠するまでの経過についてはこちらをご覧ください。

サービス規約、プライバシー ポリシー、業務契約の改訂

Dropbox は皆様の信頼に応えられるよう、常に全力を尽くしています。このような理由から、Dropbox では、サービス規約、プライバシー ポリシー、業務契約を更新いたしました。その概要をご確認ください。

Dropbox はお客様の個人データの保護を第一に考えています

現代のビジネスにおいて、データ保護は重要な要素であると Dropbox は考えています。その後 Dropbox は成長を遂げましたが、お客様が信頼して預けてくださるデータの取り扱いと保護は、今でも Dropbox の優先事項です。

説明責任の原則:考え方改革

説明責任の原則を支えているのは、「プライバシー バイ デザイン」という概念と「プライバシー バイ デフォルト」という概念です。これらの概念が考え方改革の中心にあり、GDPR が目指す目標でもあるのです。

免責事項:このサイトは、包括的なソリューションや法的な助言としてではなく、GDPR に関してお客様に役立つガイダンスを提供することを目的としています。コンプライアンスを確保するには、各組織が独自の手順を踏む必要があります。