一般データ保護規則(GDPR)に関するFAQ

 

本書は、エンドユーザー使用許諾契約およびエンドユーザーサービス契約にシトリックスが加えた更新内容ならびにCitrix My Accountで利用可能なデータ処理補遺(Data Processing Addendum)に関してよく寄せられる質問、そして、GDPRに関する一般的な疑問にお答えするものです。

当社は、セキュリティおよびデータ保護に関する条項を、エンドユーザー使用許諾契約(EULA)およびエンドユーザーサービス契約(EUSA)に含めました。更新された条項には、シトリックスのサービス全般に使用されるセキュリティ制御に関する詳細な説明のほか、GDPRの該当するセクションに適合するデータ処理条項およびEUの標準契約条項が含まれます。これらの条項は、将来の購入または製品の更新に適用され、その場合、お客様におかれましては、GDPRで求められる、組織が保有している個人データがデータ処理契約に基づいて処理されることを保証する義務の遵守について、追加で対応いただく事項はございません。

この変更の結果、シトリックスの契約条項は、データ処理が契約に基づいて行われることを求めるGDPRの第28条の要件を満たし、また、シトリックスが自己のサービスの安全性を確保する方法に関する、より具体的な情報を提供するようになりました。

GDPRは、1995年以降における、欧州データ保護法改定の最大のものであり、個人情報の保護をより強化するものとなっています。

貴社がEU内に拠点を有する場合、またはEU内の個人データを利用して製品やサービスを提供している場合には、GDPRが適用されます。これは実質的に、EU内で事業を行うすべての企業にGDPRが適用されることを意味します。

個人を識別するために使用することができる、あらゆる種類の情報です。例としては、電話番号、メールアドレス、IPアドレスなどが挙げられます。

収集、保存、使用、その他個人データに関して行うことができる、ほぼ全ての行為が含まれます。

GDPRは、2018年5月25日に発効されました。

かかる要件には、適切なポリシーとセキュリティ対策の実施、当局(および、一定の状況においては、影響を受ける個人)に対するデータ漏洩の報告、プライバシー影響評価の実施、データ活動に関する記録の保持、ならびにデータ処理者との間におけるデータ処理契約の締結などがあります。

GDPRは、これまでのデータ保護指令に基づいたものとなっていますが、データ漏洩があった場合の通知、法令違反やデータ消失の際に課される高額な制裁金、個人データの取り扱い方法に関する個別管理などの点において、既存の法令を強化したものとなっています。

最大で、2,000万ユーロまたは全世界売上高の4%のいずれか高い方の金額となります。

法令遵守に関する簡単な対策はありません。(貴社がまだ対策に着手されていない場合には)まず最初に、GDPRが貴社に対してどのように適用されるか、そして貴社が、EUの個人データをどのように使用するかについて把握する必要があります。貴社のデータ処理者との間で、データ処理契約の締結が必要になることもあります。また、コンピューティングシステムやデータ処理オペレーションのセキュリティについて、注意深く確認する必要があります。 

貴社がデータを収集し、その処理方法について決定する責任がある場合(貴社が「データ管理者(data controller)」である場合)、GDPRは、貴社のためにデータを取扱う者(「データ処理者(data processor)」)との間で契約を締結することを求めます。データ処理契約とは、データ管理者とデータ処理者との間で締結される契約であり、両当事者が、GDPRの要件をどのように満たすかについて定めるものです。シトリックスは、この目的のためにデータ処理補遺(DPA)を提供しています。

シトリックスが貴社の個人データを処理するかどうかは、貴社とシトリックスとの間の関係性によって決まります。もし貴社がシトリックスからサービス(Citrixクラウドサービスなど)の提供を受けており、かつ、シトリックスがそのサービスの範囲内で貴社の個人データを保有する場合には、シトリックスは貴社のデータ処理者となります。

この Citrix データ処理補遺(DPA)は、本サービスに適用される Citrix EULA、EUSA、またはサービス契約(以下、「本契約」)の一部であり、執行を必要としません。  ただし、Citrix EU 標準契約条項は、お客様の任意で執行できます。

EUの法令は、EUの個人情報を欧州経済地域(EEA)(EU諸国ならびにアイスランド、リヒテンシュタインおよびノルウェー)から第三国に移転することを規制しています。EUは、モデル契約条項(欧州連合が定めた交渉不能な条項)を提供しています。この契約条項は、個人データのEEA外への移転が、GDPRを含むEUの法令を遵守した形で行われることを確保するために、データ管理者とEUやEEA以外の地域における処理者との間で締結される契約に組み入れることができます。

はい、適用される国際移転については、EU標準契約条項がリファレンスとして組み込まれています。SCCも正式に実行したいというお客様のために、いくつかの簡単なステップに従うことで実行可能バージョンが利用可能となります。

  • Citrix.comにアクセスし、ご自身のCitrix My Accountにログインします。
  • 左側にある「標準契約条項の表示(View Standard Contractual Clauses)」をクリックします。
  • 「受諾(Accept)」をクリックしてSCCを電子的に完了させます。

Podio、RightSignature、およびCitrix Content Collaborationをご利用のお客様のうち、Citrix Content Collaboration Enterprise Editionを使用していない方か、またはCitrix Enterprise製品を購入していない方は、Citrix My Accountをお持ちでない可能性があります。

あるいは、www.citrix.com上で簡単にMy Accountを設定することもできます。これにより、データ処理補遺が利用できるようになるほか、シトリックスの製品やサービスに関連するその他の多くのメリットを受けることも可能となります。

ブレグジット(英国のEU離脱)がCitrixサービスにいかなる影響をもたらすかについては、このドキュメントをご覧ください。

本FAQとその中に含まれているリンクは、EU General Data Protection Regulation(GDPR)の概要を提供するものです。これは法的助言の提供を目的としたものではなく、またそのようなものとして解釈されるべきではありません。シトリックスは、法律、会計、監査に関する助言を提供することはなく、弊社のサービスや製品が、顧客またはチャネルパートナーによる法令および規制の遵守を表明または保証するものではありません。

顧客およびチャネルパートナーは、GDPRを含む関連する法規制を自ら遵守する責任があります。顧客およびチャネルパートナーは、自己の事業に影響があり得る関連法規制の解釈、および/または当該法規制ならびにこれを遵守するための措置に関する適切な弁護士の助言の取得について責任を負うものとします。