ゼットスケーラーとGDPR

はじめに

2018年5月25日に施行された一般データ保護規則(GDPR)(規則(EU)2016/679)は、欧州議会、欧州理事会、および欧州委員会による、欧州連合(EU)における個人のデータ保護の強化と統合を目的とする法規制です。GDPRには、EU外への個人データの転送についても規定されています。GDPRの主な目的は、(i)EUの個人データの保護を強化することと、(ii)すべてのEU加盟国に統一されたデータ保護の要件を課すことで、国際ビジネスの法規制の環境を簡素化することです。

GDPRは、1995年に採択されたデータ保護指令(正式には、指令95/46/EC)に代わる新しい法規制です。GDPRは、EUのデータプライバシー環境の大きな変化であり、個人データの処理に関するデータコントローラ(ゼットスケーラーのお客様やパートナー)とデータプロセッサ(ゼットスケーラー)のそれぞれの責任範囲がこれまで以上に明確に定められています。GDPRでは、データコントローラとデータプロセッサの両方が、個人データの保護に対する追加の義務を負っており、GDPRの要件のコンプライアンスに違反して場合に責任を負うことになります。

ゼットスケーラーはGDPRを含むコンプライアンスを保証し、お客様の成功にコミットします。GDPRでは、ゼットスケーラーとお客様のサービスおよび製品の使用にあたって、これまで以上に緊密なパートナーシップが必要です。ゼットスケーラーは、GDPRの要件を詳細に分析し、GDPRへのコンプライアンスの支援を前提に、サービス、製品、ドキュメント、および契約の強化を図りました。ゼットスケーラーはさらに、お客様のGDPRコンプライアンスの取り組みを積極的に支援します。

GDPRのコンプライアンスを支援
 

  • プロセッサとコントローラの責任範囲チャート:ゼットスケーラーは、データコントローラとしてお客様の義務とデータプロセッサとしてのゼットスケーラーの義務を比較した包括的チャートを作成しました。このチャートは、GDPRのコンプライアンスにあたって、お客様に何が求められ、ゼットスケーラーからどのような支援を受けられるのかの理解を深めていただくツールとして役立ちます。  
  • 改訂版DPA(Data Processing Agreement):GDPRの要件に合わせて、ゼットスケーラーのDPAも改訂されました。お客様のGDPRコンプライアンスを支援するため、契約条項の一部を改訂・追加しています。署名済みDPAをここからダウンロードしていただき、1ページに記載されている指示に従ってください。DPAのレビューに役立つ便利なDPAカバーレターも作成しました。

ゼットスケーラーによるGDPRのコンプライアンス

Security-as-a-Serviceプロバイダであるゼットスケーラーにとって、データ保護は、ビジネスの中核であり、極めて重要な要素です。ゼットスケーラーは、最高水準のプライバシーとセキュリティへのコンプライアンスにより、個人データの保護に常に取り組んでいます。GDPRのいくつかの主要分野におけるゼットスケーラーのコンプライアンスの概要を、以下に説明します。

データ保護
 

  • データプロセッサとしてのゼットスケーラーは、データコントローラから書面による承認(すなわち、契約または注文)をいただいた場合のみ、データコントローラに代わって個人データを処理します。
  • ゼットスケーラーは、データコントローラとしてのお客様とパートナーがそれぞれの従業員とユーザ(つまりデータ主体)に対し、ゼットスケーラーによって実行される処理を通知し、ゼットスケーラーがそのような処理を実行することに対する同意を得ることを期待しています。
  • ゼットスケーラーは、処理する個人データの機密性と可用性を保証し、かかる個人データを保護するための技術的および組織的に適切な対策を講じます。
  • Zscalerは、限られた範囲の個人データ(たとえば、IPアドレス、URL、ユーザID、ユーザグループ、企業ディレクトリからの部門情報)だけを処理し、保存します。また、以下の条件に従うこととします。
     
    • ゼットスケーラーのサービスと製品の大半については、HTTP、HTTPS、および非HTTPのトランザクションコンテンツをゼットスケーラーが保存することもディスクに書き込むこともなく、すべてのインスペクションがメモリ内で実行されます。
    • ゼットスケーラーのクラウドサンドボックスをご利用のお客様の場合、ゼットスケーラーは、不正コンテンツをストレージディスクに記録します。ただし、ゼットスケーラーのサンドボックスに送信するファイルについては、(ファイルタイプ、URLカテゴリ、ユーザー/グループなどに基づき)お客様が決めることができます。
    • For Zscaler Client Connector software, customers can globally enable or disable the packet capture through policies with Zscaler, and delete the packet capture logs from the applicable laptop, desktop, or personal mobile device.
    • SSLインスペクションを有効にした場合も、ゼットスケーラーが処理または保存するデータが変わることはありません。実際には、暗号化されたトラフィックの背後に隠れている脅威に対するセキュリティ保護の追加レイヤが提供され、お客様の従業員や他のユーザに対する追加の保護も提供されます。
    • お客様は、ゼットスケーラーの運用チームやサポートチーム、あるいはお客様の管理者がユーザIDを目にすることのないようにするオプションを選択できます。
    • 顧客トランザクションログ(顧客ログ)は、生成時にインデックス付けされ、圧縮され、トークン化されます。これにより、履歴顧客ログのすべての文字列とゼットスケーラーのCA(認証局)に保存されているインデックスへのアクセス権がなければ、単一の顧客ログでは何も意味をなさなくなります。したがって、たとえ保存されたデータにアクセスできたとしても、ゼットスケーラーのユーザインターフェースが顧客ログの情報とCAの情報の両方を一緒に取得できなければ、個人データを取り出すことはできません。
    • 顧客のログが平文で保存されることはありません。
    • お客様は導入時に、自らの顧客ログがEUとスイスだけに保存されるようにすることを選択できます。さらに、追加料金をお支払いいただくことで、お客様の施設に置かれた、ゼットスケーラーが管理するサーバに顧客ログを保存することもできます。
  • Zscalerは、適切な権限を持つ承認済の管理者だけに個人データへのアクセスを許可しています。
  • Zscalerが、契約サービスを実行するために必要な個人データ以外をデータコントローラに代わって処理または保存することはありません。
  • ゼットスケーラーがデータコントローラに代わって処理する個人データは、技術的に可能な範囲で、正確かつ完全で、最新の状態に維持されます。
  • 法律によって求められた場合を除き、データコントローラに代わって契約サービスを実行する以外の目的で個人データが開示、提供、または使用されることはありません。
  • 欧州経済地域(EEA)外への個人データのすべての転送は、データコントローラに契約しているサービスを提供する目的でのみ行われることとし、EUとUSの間およびスイスとUSの間のPrivacy Shield、またはEU標準条項、あるいはその両方の原則の対象となります。
  • Zscalerは、製品によって異なるものの、少なくとも6か月間、顧客ログをZscalerのクラウドインフラストラクチャに保存します。この保存期間の経過後に、顧客ログは安全な方法で消去されます。また、お客様にZscalerのNanolog Streaming Service(NSS)を注文していただくことで、顧客ログの保存期間をお客様が選択していただくことができます。
  • サブプロセッサの利用にあたっては、Zscalerが事前にデータコントローラの同意を得ることとし、これには、契約上の同意または一般的な同意が含まれることがあります。かかるサブプロセッサが実施する作業については、Zscalerが責任を負うこととします。Zscalerは、最新のサブプロセッサの一覧をhttps://www.zscaler.com/legal/subprocessorsに掲載しています。
  • 契約の打ち切りまたは満了にあたり、顧客ログは、6か月(以下)の保存のサイクル、またはデータコントローラからの事前の書面による要求に従って、削除されます。
  • ゼットスケーラーはデータコントローラに対し、データコントローラがGDPRへのコンプライアンスを実証するにあたって合理的に必要であるすべての情報を提供します。
  • Zscalerは、GDPRの下で自らのコンプライアンスを保証する責任を負います。
  • ゼットスケーラーは、処理の特性とゼットスケーラーが利用できる情報を考慮し、データコントローラのGDPRの下でのコンプライアンス義務を果たすための支援をデータコントローラに提供します。

セキュリティ対策
 

  • Zscalerは、紛失や不正アクセス、破壊、使用、変更、開示などのリスクに対する合理的なセキュリティ保護を通じて、個人データを保護します。
  • Zscalerはマルチテナントクラウドを運用しており、Zscalerのクラウドのすべての顧客に対して一貫性ある堅牢なセキュリティコントロールと手順を維持する必要があることから、ISO 27001情報セキュリティフレームワークの認定を取得しています。また、SOC(System and Organization Controls)2、タイプIIを遵守しています。
  • Zscalerは、Zscalerのクラウドで、アンチウイルス、ファイアウォール、スケジュールに基づく定期的な脆弱性スキャン、侵入テスト、セキュリティコードのピアレビューなどの堅牢なセキュリティ対策を実施します。
  • ゼットスケーラーのクラウドインフラストラクチャは、DDoS攻撃の対策が強化されており、24時間、週7日間、365日間にわたって監視されています。
  • 個人データの処理が認められているすべてのゼットスケーラー担当者は、個人データの機密性とセキュリティについて、(雇用契約および機密保持契約で)コミットしています。
  • ゼットスケーラーは、技術的に可能な限りのデータの匿名化、仮名化、または難読化に加えて、クラウド上のすべてのトラフィック通信を暗号化します。
  • Zscalerが使用する最上位のグローバルデータセンタは、ISO 27001の基本方針に加えて、セキュリティ、高度入力制御システム、バックアップの発電機を備えたデュアル電源、ビデオ監視によって、Zscalerと同等のセキュリティ対策を実施しています。
  • ゼットスケーラーのデータセンタのグローバルネットワークとフェールオーバ機能により、リアルタイムの可用性と物理的または技術的な問題発生時の個人データへのアクセスを、タイムリーに復元可能にすることに加えて、処理システムおよびサービスの継続的な機密性、整合性、可用性、復元力を保証することができます。
  • ゼットスケーラーは、個人データの処理のセキュリティを確保するための技術的および組織的な手段での有効性を定期的にテストおよび評価するための社内プロセスを定めています。
  • 書面による事前の通知が存在することと、ゼットスケーラーの特定の要件とコントロールの対象となることを条件に、ゼットスケーラーのお客様とパートナーに対し、ゼットスケーラーのクラウドの年次監査と自動インスペクションを実施します。
  • Zscalerは、個人データの侵害を認識した後に、過度の遅延なくデータコントローラに通知し、データコントローラによる監督当局および影響を受けるEUのデータ対象者に対する個人データの侵害の報告を支援します。

GDPRのよくある質問

お客様やパートナーから最も多く寄せられる、Zscalerのプラットフォームに関する質問とその答えを以下にまとめました。

  • 1.Zscalerは、個人データをどのように保存、処理していますか?

    Zscalerは、限られた範囲の個人データ(たとえば、IPアドレス、URL、ユーザID、ユーザグループ、企業ディレクトリからの部門情報)だけを処理し、保存します。

    お客様から明示的に許可された場合を除き、Zscalerのサポート担当者がお客様の個人データにアクセスすることはありません。さらに、お客様が、ユーザIDを難読化するオプションを選択することで、自分のユーザIDが自分の管理者に開示されないようにすることもできます。

    ゼットスケーラーのサービスと製品の大半については、HTTP、HTTPS、および非HTTPのトランザクションコンテンツをゼットスケーラーが保存することもディスクに書き込むこともなく、すべてのインスペクションがメモリ内で実行されます。

    ゼットスケーラーのクラウドサンドボックスをご利用のお客様の場合、ゼットスケーラーは、不正コンテンツをストレージディスクに記録します。ただし、ゼットスケーラーのサンドボックスに送信するファイルについては、(ファイルタイプ、URLカテゴリ、ユーザー/グループなどに基づき)お客様が決めることができます。

    For Zscaler Client Connector software, customers can globally enable or disable the packet capture through policies with Zscaler and delete the packet capture logs from the applicable laptop, desktop, or personal mobile device.

    顧客トランザクションログ(顧客ログ)は、平文で保存されることはなく、生成時に索引付けされ、圧縮され、トークン化されます。これにより、履歴顧客ログのすべての文字列とZscalerのCA(認証局)に保存されているインデックスへのアクセス権がなければ、単一の顧客ログでは何も意味をなさなくなります。したがって、たとえ、保存されたデータにアクセスできたとしても、Zscalerのユーザインターフェースが顧客ログの情報とCAの情報の両方を一緒に取得できなければ、個人データを導き出すことはできません。

  • 2.Zscalerは、処理したり保存したりする個人データをどのように保護していますか?

    Zscalerは、GDPRの条項32の基準に基づき、物理的、技術的、および組織的なセキュリティ対策を実装することで、リスクに対する適切なセキュリティレベルを保証しています。Zscalerは、ISO 27001およびSOC(System and Organization Controls)2、タイプII標準に基づく認証を受けており、第三者による監査を毎年受けることで、これらの認証への継続的なコンプライアンスを保証しています。Zscalerは、自らのセキュリティ対策の有効性を定期的にテスト、評価、検証しています。書面による要求があり、機密保護が適切に実施されている場合、Zscalerはお客様に対して、最新のISO 27001証明書またはSOC 2、タイプIIレポートのいずれかまたは両方のコピーを提供します。詳細については、https://www.zscaler.com/company/complianceを参照してください。

  • 3.データの仮名化と匿名化の違いは何ですか?企業内のデータを仮名化するのではなく、完全に匿名化することを選択できますか?

    データの仮名化では、データを元のシステム、個人、または組織に再び結び付けることができるのに対し、データの匿名化では、データを元のシステム、個人、または組織に再び結び付けることができません。

    サイバーセキュリティの観点から、組織には、セキュリティの脆弱性や違反が明らかになった後に、調査、修復、または復元を実施する際にデータを元の属性に結び付ける機能が必要です(標的型フィッシング攻撃の隔離など)。ゼットスケーラーが製品をお客様に提供する場合、お客様の個人データを難読化または匿名化するオプションをお客様が選択できるため、セキュリティ違反や脆弱性が明らかになった後に、どのデバイスを修復する必要があるか報告する方法をお客様が選択できます。ゼットスケーラーは、「トークン化」の方法論を使って、個人データの仮名化を実行しています。

  • 4.Zscalerが提供できるのは、欧州連合(EU)からのサービスだけですか?

    いいえ。Zscalerはグローバルクラウドプラットフォームを提供する、米国に本社を置く企業であるため、世界中の150以上のデータセンタのネットワークの個人データを処理することで、サービスを提供しています。

    Zscalerは、お客様のユーザがいる場所に最も近いデータセンタで(すなわち、EUのユーザのデータはEUのデータセンタで、米国のユーザのデータは米国のデータセンタで)個人データを処理します。たとえば、EUのユーザが米国に旅行中である場合、Zscalerは、旅行先に最も近い米国のデータセンタから個人データを処理します。

    お客様のユーザがEUだけに限定される場合であっても、ゼットスケーラーは、米国、インド、コスタリカからグローバルサポートサービスを提供することで、24時間、週7日間、365日間のサービスを保証します(TAMサポートサービスのみ)。これは、ほとんどのクラウドベンダに該当します。

    ただし、他のほとんどのクラウドベンダとは異なり、Zscalerは、グローバルデータがどこで処理されるかに関係なく、EUおよびスイスのみに顧客ログを保存するオプションを提供しています。お客様は、導入プロセスで、これをZscalerとの間で設定できます。

  • 5.Zscalerが、EUの外部の個人データにアクセスしたり転送したりすることがありますか?

    はい。前述のとおり、Zscalerは、グローバルクラウドプラットフォームを提供する、米国に本社を置く企業です。

    GDPRは、EU以外への個人データのアクセスまたは転送を禁止しているわけではなく、かかるいかなる転送にあたっても、Privacy ShieldまたはEUモデル条項などの承認された法的枠組みが守られるようにすることを要求しています。

    Zscalerは、EU/米国間およびスイス/米国間のPrivacy Shieldフレームワークに加えて、EUモデル条項も準拠しています。いずれのフレームワークについても、ZscalerのDPA(Data Processing Agreement)に記載されており、www.zscaler.com/gdprからダウンロードして署名することでご利用いただけます。

  • 6.SSLインスペクションを有効にすることで、Zscalerが処理または保存する個人データの種類は変わりますか?

    いいえ。SSLインスペクションを有効にした場合も、Zscalerが処理または保存するデータが変わることはありません。実際には、暗号化されたトラフィックの背後に隠れている脅威に対するセキュリティ保護の追加レイヤが提供され、お客様の従業員や他のユーザに対する追加の保護も提供されます。暗号化されたトラフィックの背後に多くの脅威が隠れているため、GDPR(データセキュリティ)の条項32に基づくデータコントローラの義務にSSLインスペクションの実行を含めるべきであるという意見もあります。

  • 7.Zscalerは、サブプロセッサを使用してサービスを提供することがありますか?

    はい。他のすべてのクラウドベンダと同様、Zscalerも、少数のサブプロセッサを使用してサービスを提供しています。GDPRの規定に従い、新しいサブプロセッサの使用にあたっては、Zscalerが事前にお客様からの同意を得ることとし、これには、契約上の同意または一般的な同意が含まれることがあります。Zscalerはさらに、サブプロセッサのリストのいかなる変更にあたっても、お客様に対して事前に書面で通知することとします。サブプロセッサが実施する作業については、Zscalerが責任を負うこととします。Zscalerは、最新のサブプロセッサの一覧をhttps://www.zscaler.com/legal/subprocessorsに常に掲載します。

  • 7.Zscalerは、忘れられる権利(RTBF:Right to be Forgotten)要求に対応していますか?

    はい。 Zscalerは、RTBF要求に対応する内部プロセスを設けています。ただし、データコントローラとして重要である点として、お客様の責任において、要求を確認して検証し、サポートチケットをZscalerに送信していただく必要があります。RTBF要求が発生するのは、データの当事者(通常は、お客様の従業員またはユーザ)からお客様に対して、かかる要求が行われた場合だけに限定されることとします。Zscalerがお客様の従業員またはユーザからRTBF要求を直接受け取った場合、検証および対応にあたって、その人物をお客様に照会することとします。

https://gdpr-info.eu/

http://www.eugdpr.org/gdpr-faqs.html

https://ico.org.uk/media/about-the-ico/consultations/2013551/draft-gdpr-consent-guidance-for-consultation-201703.pdf

https://ec.europa.eu/info/law/law-topic/data-protection_en

:本サイトは、GDPRをZscalerのサービスおよび製品に関連してGDPRを理解する手助けになるよう作成されたものですが、本サイトに記載されている情報は、法的な助言として解釈されるべきものではなく、GDPRに基づく組織の義務の解釈については、それぞれの組織の弁護士に相談していただく必要があります。