GDPR

はじめに

昨今、グローバルビジネスの拡大を目指すお客さまにとって、日本国内だけでなく海外子会社等による利用を視野に入れたグローバルなシステムの構築・運用が欠かせない要素となっており、当社においても、クラウドサービスとグローバルネットワークをベースとした、国内外から利用可能なシステム基盤をご提供しています。

一方で、EUでは、EU（EEA※1）及び UK※2域内の個人データ保護を規定する法として、「GDPR（General Data Protection Regulation：一般データ保護規則）」が2018年5月25日に施行されました。GDPRは、EU域内の事業者だけでなくEU域外の事業者にも適用されます。各組織・企業等の業務への影響について、あらかじめ備えておく必要があります。

※1 GDPRでは個人データがEEA（European Economic Area：EU加盟国＋ノルウェー、アイスランド、リヒテンシュタイン）＋スイス域外に移転することを「域外移転」と定義されていますが、本ドキュメントでは、用語の一般性等を考慮し、便宜上“EU”と記載します。
※2 UK GDPRでは個人データがグレート・ブリテンおよび北アイルランド連合王国域外に移転することを「域外移転」と定義されていますが、本ドキュメントでは、用語の一般性等を考慮し、便宜上“UK”と記載します。

今後本サイトにて、当社Smart Data Platformサービス(以下、「SDPF」)の提供におけるGDPRの対応方針について紹介いたします。

お客様の役割と義務

お客様はSDPF上に保管する個人情報データに関して管理者の役割を担います。データ管理者は個人データの取扱いの目的および手段を決定し、データ処理者は管理者の指示に従ってデータを処理する役割を担います。

SDPFのご利用にあたっては、基本的にお客様が管理者、当社が処理者となりますが、個々の状況により異なる場合もあります。GDPRにおけるお客様ご自身の役割と義務に関しては、お客様ご自身でご確認いただきますよう宜しくお願い致します。

本サイトに記載されている情報は、法的な助言を提供することを目的としたものではありません。

GDPRにおけるデータ管理者の責務に関するガイダンスについては、個人情報保護委員会のWebサイト（https://www.ppc.go.jp/enforcement/infoprovision/laws/GDPR/）をご確認ください。

SDPFのGDPR対応状況について

SDPF上でお預かりするお客様データの取り扱いに関して、NTTコミュニケーションズはGDPRの要件を満たせるように対応をしています。管理者であるお客様からの指示に基づくデータ処理を、GDPRの要件を満たす十分なセキュリティ・安全管理措置のもとに行えるように整備をしているため、お客様のグローバルな事業展開においても安心してご利用いただけます。

NTTコミュニケーションズのGDPR対応として、以下のような取組をおこなっています。

（１）組織・体制・品質マネージメントに関する取組

処理者としての義務

弊社は、管理者からの明確な指示に基づきSDPF保管データの処理を行う場合、GDPRの要求事項を順守し、データ主体の権利の保護を確実にするように処理を行います。

SDPF保管データのコンテンツの取り扱い

弊社は、SDPF保管データのコンテンツを把握することはできず、お客様との契約に基づくお客様からの明確な指示又は法令上効力と拘束力のある要請がない限り、SDPF保管データにアクセスすることは致しません。

従業員の機密保持義務

弊社はセキュリティレベルの向上を重視し、情報セキュリティ基本規定および各種個別規定、お客様情報保護規定を定め、すべての従業員にこれらを順守することへの同意、および誓約書への署名を必須としています。またセキュリティ研修を実施し、行動規範の順守を義務付けています。

データ管理者の支援／データ主体の権利行使の要求

お客様は、SDPFのカスタマーポータルおよびサービス機能を利用し、お客様とそのユーザーが SDPFに保管する保管データへのアクセス、修正、制限、処理、削除を行えます。この機能により、データ主体の権利行使の要求に応じる管理者としての義務を履行することができます。

データ管理者の支援／監督機関へのインシデント通知

SDPFは従来から、弊社の定める情報管理規程ルールに従って 適切なインシデント通知を行う体制を整備してきました。GDPR施行後は個人データに関するインシデントについて、「72時間以内の管轄監督機関への通知義務」を確実に実施するため、GDPRのインシデント発生時の条項に従って、適切な通知を行えるルールを整備しています。

委託先ベンダへの業務委託

SDPFの提供にあたり、一部業務を委託先ベンダと連携しています。委託先ベンダの選定においては、十分なセキュリティレベルを確保していることを確認しています。

弊社は、SDPFのサービス提供をサポートするすべての委託先ベンダの情報をWEBサイト上（https://sdpf.ntt.com/docs/files/itakul.pdf）で公開しています。

域外移転

GDPR では、一定の条件を満たした場合のみ、EU 域外およびUK域外への個人データの転送が可能となります。SDPFの利用によるEEA個人データの欧州経済地域から日本への移転は、GDPR第45条及びUK GDPR第45条に基づく十分制認定に依拠して行うものとします。

標準と認証

SDPFは、ISO27001、ISO20000の認証取得および、SOC1、PCIDSSに準拠しています。

SDPFの脆弱性管理は、PCIDSSの評価基準を満たした弊社規定に基づき、随時ソフトウェアの更新を実施し、かつ脆弱性検査を適宜実施しています。また、遵守していることを、資格を持つ第三者評価機関により評価頂いています。

認証取得状況の詳細はKnowledge Centerの　「外部認証取得状況」　をご確認ください。

（２）サービスプラットフォームの技術・運用マネージメントに関する取組

グローバル共通仕様／高品質のクラウドサービスを提供

SDPF クラウド/サーバーは、基幹系システムに求められる「堅牢性」「安全性」と、デジタルビジネスの展開に必要な「俊敏性」「柔軟性」双方のニーズを１つのクラウド基盤で実現可能な、グローバル共通仕様/高品質のクラウドサービスです。

世界トップクラスの安全で高品質なクラウドコンピューティングをワンストップで契約、保守運用ができ、グローバルに共通なICT基盤をスピーディーに構築・運用が可能です。

グローバル共通仕様であるため、セキュリティ・コンプライアンスレベルを統一でき、複雑化するICT環境のガバナンス強化や、リソース/コストを一元的に可視化することでICT環境の最適化が可能となります。

サービスのセキュリティ、技術的安全管理措置

GDPR に従い、データ管理者とデータ処理者は、リスクに応じた適切なセキュリティ レベルを提供できるよう、技術的および組織的な手段を講じる必要があります。

お客さまの大切なデータを取り扱う企業ユーザにとって、セキュアな環境構築は重要な要素です。我々は、SDPF クラウド/サーバーを「信頼性の高いクラウド基盤」「豊富なセキュリティオプション」「セキュリティ基準に対応/ガバナンス強化」の３つの特長を持つ「セキュアで信頼性の高いプラットフォーム」として提供しています。

また、SDPF クラウド/サーバーは、豊富なセキュリティメニューを、運用監視付きのセキュリティ対策を提供しています。運用監視はセキュリティ専門のリスクオペレーションセンターが行っており、安心・安全運用が行えます。さらに、SDPF クラウド/サーバーの基盤は、OCNバックボーンと直結しており、バックボーン側で DDos対策が標準装備されています。

運用監視について補足すると、NTTコミュニケーションズは、NTTセキュリティというセキュリティ専門会社をグループ会社に持ち、グローバルに提供する総合セキュリティサービス をSDPF クラウド/サーバーにデフォルト装備しています。お客さまは、豊富な実績のある高度なセキュリティサービスを利用することが可能です。

暗号化

弊社で提供するサービスは、インターネットへ流通させる際には暗号化を施すことをセキュリティ規程において定めています。SDPF クラウド/サーバーのGUIおよびAPIは、HTTPSによる暗号化通信で保護されています。

機密性、完全性、可用性および回復性

SDPF クラウド/サーバーの基盤は、冗長性を考慮した設計になっています。SDPF クラウド/サーバーのデーターセンターはリージョン単位に分散されており、特定地域の自然災害や広域停電に対する耐性があります。ハードウェア、ソフトウェア、ネットワークの障害が発生した場合、同一リージョン内で自動的に切り替わることで、サービスを継続します。

技術的・組織的対策の定期的な検査、評価および評定のための手順

SDPF クラウド/サーバーの各種機能は、自社開発チームが設計し、検証環境での負荷・障害試験を実施し、高可用性サービスを提供します。

アクセス管理

SDPF クラウド/サーバーの従業員等に対する基盤へのアクセス権限はセキュリティ誓約書に合意し、職務や役割によって必要最低限の範囲で付与されています。

脆弱性の管理

SDPF クラウド/サーバーの各種機能は、脆弱性試験、品質管理によって、脆弱性を確認しています。

データの返却と削除

保管データは随時 SDPF クラウド/サーバーが提供するカスタマーポータルを利用しお客様ご自身にて削除することが可能です。

サービス解約時においては、自動でデータ削除が行われます。

また契約の期間中、お客様が管理されている保管データのエクスポートをお客様ご自身で行うことが可能です。

ハイパーバイザーメニューにおいて、他基盤（クラウドやオンプレミス）に移行する際は、ハイパーバイザー固有のツールやAPIを利用した移行が可能です。

仮想サーバーイメージのエクスポートは、イメージ化して持ち出す方法や、各種バックアップツールをご利用いただくことが可能です。

弊社では、不要になった媒体を安全に破棄するため、保存データを再現できないよう、HDDの消磁やメモリの物理的な破壊を行い、回復不能にしています。破壊手続きはPCIDSSを遵守しており、PCIDSSの基準を満たしていることは審査資格を持つ第三者評価機関により、年次で評価を頂いています。PCIDSSの評価レポートは弊社規定の条件に基づき開示可能です。

FAQ

GDPRに関するFAQはこちら。