一般データ保護規則(GDPR)に関するFAQ

本書は、エンドユーザー使用許諾契約およびエンドユーザーサービス契約にシトリックスが加えた更新内容ならびにCitrix My Accountで利用可能な新しいオンラインデータ処理契約に関してよく寄せられる質問、そして、GDPRに関する一般的な疑問にお答えするものです。

シトリックスは、お客様がGDPRに対応する準備ができるよう支援しています。その一環として、シトリックスは、GDPRに規定されているセキュリティおよび契約上の要件を満たすよう、契約条項を変更しました。

当社は、セキュリティおよびデータ保護に関する条項を更新し、エンドユーザー使用許諾契約(EULA)およびエンドユーザーサービス契約(EUSA)に含めました。更新された条項には、シトリックスのサービス全般に使用されるセキュリティコントロールに関する詳細な説明のほか、GDPRの該当するセクションに適合するデータ処理条項およびEUの標準契約条項が含まれます。これらの条項は、将来の購入または製品の更新に適用され、その場合、お客様におかれましては、GDPRで求められる、自組織が保有している個人データがデータ処理契約に基づいて処理されることを保証する義務の遵守について、追加で対応いただく事項はございません。

  • EULAまたはEUSA

  • データ処理条項

    欧州連合一般データ保護規則条項(「GDPR条項」)

  • 別紙1 - EU標準契約条項

    第三国における処理者に個人データを移転するための、EU委員会の標準契約条項

  • 別紙2 - セキュリティ

    実装された技術上および組織上のセキュリティ対策に関する記述

この変更の結果、シトリックスの契約条項は、データ処理が契約に基づいて行われることを求めるGDPRの第28条の要件を満たし、また、シトリックスが自己のサービスの安全性を確保する方法に関する、より具体的な情報を提供するようになりました。

GDPRは、1995年以降における、欧州データ保護法改定の最大のものであり、個人情報の保護をより強化するものとなっています。

貴社がEU内に拠点を有する場合、またはEU内の個人データを利用して製品やサービスを提供している場合には、GDPRが適用されます。これは実質的に、EU内で事業を行うすべての企業にGDPRが適用されることを意味します。

個人を識別するために使用することができる、あらゆる種類の情報です。例としては、電話番号、メールアドレス、IPアドレスなどが挙げられます。

収集、保存、使用、その他個人データに関して行うことができる、ほぼ全ての行為が含まれます。

GDPRは、2018年5月25日から適用されます。

かかる要件には、適切なポリシーとセキュリティ対策の実施、当局(および、一定の状況においては、影響を受ける個人)に対するデータ漏洩の報告、プライバシー影響評価の実施、データ活動に関する記録の保持、ならびにデータ処理者との間におけるデータ処理契約の締結などがあります。

GDPRは、これまでのデータ保護指令に基づいたものとなっていますが、データ漏洩があった場合の通知、法令違反やデータ消失の際に課される高額な制裁金、個人データの取り扱い方法に関する個別管理などの点において、既存の法令を強化したものとなっています。

最大で、2,000万ユーロまたは全世界売上高の4%のいずれか高い方の金額となります。

法令遵守に関する簡単な対策はありません。(貴社がまだ対策に着手されていない場合には)まず最初に、GDPRが貴社に対してどのように適用されるか、そして貴社が、EUの個人データをどのように使用するかについて把握する必要があります。貴社のデータ処理者との間で、データ処理契約の締結が必要になることもあります。また、コンピューティングシステムやデータ処理オペレーションのセキュリティについて、注意深く確認する必要があります。GDPRへの対策を講じる上で、シトリックスのGDPRリソースキットがお役に立つかもしれません。

貴社がデータを収集し、その処理方法について決定する責任がある場合(貴社が「データ管理者(data controller)」である場合)、GDPRは、貴社のためにデータを取扱う者(「データ処理者(data processor)」)との間で契約を締結することを求めます。データ処理契約とは、データ管理者とデータ処理者との間で締結される契約であり、両当事者が、GDPRの要件をどのように満たすかについて定めるものです。

シトリックスが貴社の個人データを処理するかどうかは、貴社とシトリックスとの間の関係性によって決まります。もし貴社がシトリックスからサービス(Citrixクラウドサービスなど)の提供を受けており、かつ、シトリックスがそのサービスの範囲内で貴社の個人データを保有する場合には、シトリックスは貴社のデータ処理者となります。

顧客
「データ管理者」

Citrix
「処理者」としてDPAに署名

シトリックスのパートナー様やベンダー様
「復処理者」としてDPAに署名

シトリックスでは、オンラインデータ処理契約を提供しています。この契約は、ほとんどのお客様が使い慣れた迅速で簡単かつ信頼できるプロセスである、当社のオンラインNDAから確認することができます。データ処理契約の締結を完了するには次の操作を行います。

  1. Citrix.comにアクセスし、ご自身のCitrix My Accountにログインします。
  2. 左側の「View Data Processing Agreement(データ処理契約の表示)」をクリックします。
  3. オンラインデータ処理契約に電子的に同意します。

Podio、RightSignature、およびCitrix Content Collaborationをご利用のお客様のうち、Citrix Content Collaboration Enterprise Editionを使用していない方か、またはCitrix Enterprise製品を購入していない方は、Citrix My Accountをお持ちでない可能性があります。  

データ処理契約の条項は、お客様の製品のEUSAに組み込まれており、アカウント所有者またはマスター管理者の方が初めてサービスにサインインするときに表示されます。これ以降、お客様によるアクションが求められることはありません。

あるいは、www.citrix.com上で簡単にMy Accountを設定することもできます。My Accountを設定することにより、オンラインデータ処理契約が利用できるようになるほか、シトリックスの製品やサービスに関連するその他の多くのメリットを受けることも可能となります。

データ処理契約のコピーが必要な場合は、こちらからご請求ください。  

EUの法令は、EUの個人情報を欧州経済地域(EEA)(EU諸国ならびにアイスランド、リヒテンシュタインおよびノルウェー)から第三国に移転することを規制しています。EUは、モデル契約条項(欧州連合が定めた交渉不能な条項)を提供しています。この契約条項は、個人データのEEA外への移転が、GDPRを含むEUの法令を遵守した形で行われることを確保するために、データ管理者とEUやEEA以外の地域における処理者との間で締結される契約に組み入れることができます。

はい。EULA/EUSAおよびオンラインDPAのGDPR条項には、シトリックスが署名済みの標準契約条項が含まれています。なお、この条項は変更することができません。

GDPRの適用が開始される時点で、英国はまだEUからの撤退を完了していないため、GDPRは依然として英国に適用されます。英国に所在する企業がEU居住者のデータを処理する場合には、英国がEUの加盟国であるか否かに関わらず、常にGDPRの適用を受けることになります。

本FAQとその中に含まれているリンクは、EU General Data Protection Regulation(GDPR)の概要を提供するものです。これは法的助言の提供を目的としたものではなく、またそのようなものとして解釈されるべきではありません。シトリックスは、法律、会計、監査に関する助言を提供することはなく、弊社のサービスや製品が、顧客またはチャネルパートナーによる法令および規制の遵守を表明または保証するものではありません。

顧客およびチャネルパートナーは、GDPRを含む関連する法規制を自ら遵守する責任があります。顧客およびチャネルパートナーは、自己の事業に影響があり得る関連法規制の解釈、および/または当該法規制ならびにこれを遵守するための措置に関する適切な弁護士の助言の取得について責任を負うものとします。