jp.diligent.com

プライバシー

Galvanize では、プライバシーを尊重し、お客様の個人データを保護することに全力を上げています。 弊社では、お客様が Galvanize の製品およびサービスに関連して使用する個人データのセキュリティ、機密性、および保全性を保護するために必要な技術的、組織的な対策を導入し、保持しています。 弊社では、弊社の再委託先業者も同じデータ保護義務を遵守していることを保証します。 それらのデータ保護対策の詳細については、本Galvanize セキュリティの各ページに渡って説明されています。

また、弊社では、弊社製品の各ユーザーの個人データを保護するため、アカウントの作成、製品リソースへのアクセス、およびシステム管理のために必要となる、最少限の個人識別情報しか収集しておりません。 詳細については、 プライバシーポリシーを参照してください。

GDPR - EU の一般データ保護規則(GENERAL DATA PROTECTION REGULATION)

EU の一般データ保護規則(General Data Protection Regulation:GDPR)は、2018年 5月 25日に発効しました。 GDPR により、EU における個人データの規制に重大な変更がもたらされました。 また、EU に在住する個人の個人データを処理する EU 外の組織も影響を受けています。

個人データの処理

GDPR は、EU 個人データの全体または一部に対する、自動化された方法による処理、または手動による処理(データが構造化ファイルシステムに格納されている場合)に適用されます。 ここで、「処理」とは個人データの収集、記録、整理、構造化、保管、調整または変更、取得、参照、使用、送信による開示、拡散あるいはそれら以外の方法による公開、整合または組み合わせ、一部の利用、削除または廃棄など、広範な活動を含みます。

弊社では、弊社のプラットフォームおよび関連するサービスをご使用になるお客様が、 EU 個人データをそうした形で処理することがあり、GDPR を遵守する必要があることを理解しております。 この場合、Galvanize がかかる EU 個人データの処理業者または下請け処理業者になります。

個人データのセキュリティ

セキュリティは、すべてのデータ保護の核心です。 Galvanize では、全世界のすべてのお客様のために、セキュリティおよびコンプライアンスへの対応能力を継続的に監視し、改善しています。 弊社では、年 1 回発行される SOC 2 レポートと弊社の堅牢な情報セキュリティプログラムにより、GDPR のセキュリティを遵守し続けています。 GDPR 発効に先立ち、弊社では個人データの保護に関連した弊社の技術的、組織的な統制を評価し、必要に応じてセキュリティ関連プロセスの更新を行いました。

個人データを処理するお客様に対し、弊社のAnalytics 製品は、HighBond にデータをアップロードする前に個人データフィールドに対して適用することができるハッシュ機能をご用意しています。 お客様はハッシュ機能を使用して、アップロードする個人データのフィールドを暗号化することで保護できます。 ハッシュ値は一方向暗号化機能によって保護されています。一方向暗号化機能は、暗号化結果から暗号化元のデータを逆算できないため、保管中も以後の処理中も個人データの機密性を保持できます。 どのようなデータを保管できるかが不明の場合は、御社のデータ保護担当者にお問い合わせください。

ハッシュ関数と弊社のセキュリティ管理の詳細については、 「セキュリティ管理」を参照してください。

お客様向けデータ処理補遺条項

Galvanize の HighBond 製品および関連サービスの使用して EU 個人データを処理するお客様に対し、Galvanize では、データ処理業者としての Galvanize との書面による契約を締結しなければならないという GDPR 上の義務に準拠するための、データ処理補遺条項をご提供しています。 このデータ処理補遺条項については、こちらを参照してください: Data Processing Addendum(データ処理補遺条項)

オンプレミスの Analytics 製品のみをご利用中のお客様の場合は、すべてのデータはお客様のシステムに残ります。 Galvanize によるデータへのアクセスや処理は行いません。

ベンダー管理

弊社のベンダー管理プログラムは、EU 個人データを処理する再委託先の全てのベンダーが、Galvanize と同じセキュリティ基準を遵守すると同時に、GDPR を遵守していることを保証します。 Galvanize では、かかるコンプライアンスを保証すると共に EU 個人データのいかなる転送も GDPR に従ってのみ行われるようにするため、各再委託先ベンダーとの書面によるデータ処理契約を締結するものとします。

HighBond プラットフォーム

弊社の GDPR コンプライアンスプログラムには、自社製品である HighBond プラットフォームを使用しています。

弊社では、HighBond の一部として、ISACA、SOC、ISO などお使いの既存フレームワークのプライバシー統制にマッピングできる、コンプライアンスマップ機能と統合されたコンテンツを提供しています。これらを利用して適用可能性と対象範囲を簡単に評価できるようになると同時に、コンプライアンス上の重大なギャップを発見できるようになります。 お客様は、アンケート機能を利用してデータプライバシー評価を作成できます。このデータプライバシー評価は、統制の所有者に割り当てることができ、システムやプロセスの評価に使用できます。

またお客様は、コンプライアンスに違反した行動が検出されたときに、適切なタイミングで適切な担当者に自動で警告を促すリアルタイムアラートを使った通知を送るメトリクスを作成できます。 これらを利用して、関連データの視覚化を使って組織全体と組織外(サード パーティのベンダーを使用)のコンプライアンスの状態を一括で監視して、リアルタイムに例外を特定できるロボットプロセスを実現できます。 お客様は、コンプライアンス施策を管理、実証するために展開された既存のあらゆる統制の一覧ビューを使っていつでもリスクを評価できます。

HighBond を GDPR やその他のコンプライアンス目的に使用する方法の詳細については、 jp.diligent.com をご確認下さい。