メインコンテンツにスキップ

私たちのGDPR準拠方法

当社のGDPR準拠ガイド。

対応者:Thibault Candebat

Finでは、EU一般データ保護規則(GDPR)に準拠するために努力し、その義務を果たし、顧客メッセージングおよびデータの使用方法について透明性を維持しています。

こちらはGDPRの概要と、Finでの準拠達成方法です:

GDPRとは何ですか?

GDPRは2018年5月25日に施行された包括的なデータ保護法です。個人データの保護と個人の権利を強化するために既存のEU法を置き換えました。EUデータの処理と監視を規定する単一のルールセットです。

私に影響はありますか?

はい、おそらくあります。EU内の個人のデータを保有または処理する場合、EU内外に関わらずGDPRが適用されます。

私たちのGDPR準拠方法

お客様のデータポータビリティ要件を支援します。個人に紐づくすべてのデータを簡単にエクスポートし、個人ユーザーに紐づくすべてのデータを永久に削除できます。

9か月間訪問がない訪問者のデータは自動的に期限切れとなり、GDPRの保持要件に準拠します。

GDPR - 米国監視保護

Finは法執行機関や国家安全保障機関からの要請を含むすべての第三者からのデータ要請を慎重に検討します。

当社の方針として、第三者に属さない情報は提供せず、法的義務がある場合のみ対応します。つまり、Finは裁判所命令、召喚状、令状、またはその他の有効な法的要請に基づき顧客アカウントのデータを提供します。

法的に許可されている場合、受け取った要請について常に通知し、要請に異議を唱えたり開示を制限したい場合は協力します。

当社のデータ処理付属契約(DPA)

DPA(2021年6月4日に欧州委員会が発行した新SCCを含む)は、利用規約に組み込まれており、Finサービスの管理下にあり、別途署名は不要です。

強力なデータ保護の約束はGDPRの要件の重要な部分です。当社のデータ処理契約はプライバシーの約束を共有し、Finとお客様がGDPR要件を満たすための条件を定めています。ご要望に応じて署名可能です。

当社のDPAに対する変更は受け付けておりません。カスタマイズDPAを締結できる規模ではないためです。DPAに関するご質問はMessenger経由でお問い合わせください。

カスタマイズDPAについて

当社の方針は、GDPR DPAに基づいてのみ契約することです。
​
この確立されたアプローチは法的および運用上の理由に基づき、SaaS提供者の一般的な慣行を反映しています。
​
法的観点から、EU GDPRはFinのようなプロセッサーに対し、顧客契約に含まれる特定のデータ保護義務をサブプロセッサーに流すことを要求しています。当社はGDPR準拠のためにDPAを準備し、サブプロセッサーに流せる義務を含んでいます。カスタマイズDPAを締結すると、この流通要件を満たせません。特にAmazon Web Servicesのような大規模サブプロセッサーは標準条件の交渉余地がほとんどありません。
​
運用面では、Finは数万人の顧客を持ち急成長中の企業です。各顧客ごとに異なるDPAを締結する余裕や柔軟性はありません。これはFinに過度な負担を強いるためスケーラブルではありません。Fin GDPR DPAを使用することで、データ保護義務をより良く管理し、個人データを準拠して処理し、顧客に効率的なサービスを提供できます。
​

国際データ転送の認証を取得しています:

GDPRの国際データ転送要件に準拠するため、Finは米国商務省が定めるEU-米国データプライバシーフレームワーク(DPF)、英国のEU-米国DPF拡張、およびスイス-米国データプライバシーフレームワークに参加しています。詳細はプライバシーポリシーをご覧ください。

当社のデータ保護責任者

専任のデータ保護責任者がデータ管理を監督・助言しています。メッセンジャーまたはdataprotection@intercom.ioまでご連絡ください。

ベンダーとの連携

適切な場合、すべての第三者ベンダーに対し、GDPRおよび当社の義務に従い顧客データを保護するデータ処理契約の締結を求めています。

暗号化

当社との間で送受信されるすべてのデータは256ビット暗号化で転送されます。APIおよびアプリケーションのエンドポイントはTLS/SSLのみで、Qualys SSL Labsのテストで「A+」評価を獲得しています。強力な暗号スイートのみを使用し、HSTSやPerfect Forward Secrecyなどの機能を完全に有効にしています。また、業界標準のAES-256暗号化アルゴリズムでデータを保存時にも暗号化しています。

当社のセキュリティ対策

セキュリティは当社の最優先事項です。定期的な外部監査、ペネトレーションテスト、bugバウンティを実施しています。国際的なコンプライアンス基準(SOC2、ISO27001、ISO27701、ISO27018、HIPAA、HDS)を達成し、内部アクセス設計を見直して適切な担当者が適切なレベルの顧客データにアクセスできるようにしています。詳細はセキュリティページをご覧ください。

お客様および見込み顧客の準拠支援を継続しています。取れるステップは以下の通りです:

  • GDPRの要件と自社への影響を理解しましょう。

  • データ処理場所をマッピングし、ギャップ分析を行いましょう。

  • 当社のGDPR準拠支援をご覧ください。監査報告書、ペンテスト、セキュリティ文書はご要望に応じて提供します。

  • 製品ロードマップを見直し、計画時にプライバシーを考慮しましょう。

  • 弁護士に会社の対応すべきことを相談しましょう。

  • 欧州データ保護委員会の最新ガイドラインを注視しましょう。

CJEUの判決により、データ慣行に追加変更が必要かどうかを判断するため、新たなガイダンスの監視を継続します。

関連記事
GDPRのためにIntercomデータをエクスポートする方法
データに関するお問い合わせ方法
Intercomがデータを追跡および保存する方法
セキュリティおよびコンプライアンス文書へのアクセス方法
EU/AUホスト型ワークスペースの変更について
こちらの回答で解決しましたか?