GDPRおよびプライバシーシールドポリシー

発効日:2018年11月20日

はじめに

GDPRおよびPrivacy Shieldに関する本規定(「規定」)は、Zscaler, Inc.およびその子会社(「ゼットスケーラー」または「「我々」 )が、アメリカ合衆国(「米国」)で欧州連合(EU)またはスイス、あるいはその両方から受け取る、個人を特定できる情報(「個人データ」 )をどのような方法で収集、使用、開示するかを説明するものです。本規定は、www.zscaler.com/company/privacy-policyに掲載されているゼットスケーラーのプライバシーポリシーを補足するものです。本規定で特に定義されていない限り、本規定の用語は、ゼットスケーラーのプライバシーポリシーでの意味と同じです。 

ゼットスケーラーは、EUまたはスイス、あるいはその両方が、EUまたはスイス、あるいはその両方の外部に転送される個人データを適切に保護するための要件を始めとして、個人データの取り扱いに関して厳格な保護を確立していることを認識しています。ゼットスケーラーが米国で受け取る、法人顧客、パートナー、ベンダ、および従業員に関連する特定の個人データの適切な保護を提供するため、ゼットスケーラーは、米国商務省が管理する、EU-米国間およびスイス-米国間のPrivacy Shieldフレームワーク( 「Privacy Shield」)を自己認証することを選択しました。 

ゼットスケーラーは、Privacy Shieldに定められた、通知、選択、転送の説明責任、セキュリティ、データの完全性と目的の制限、アクセス、および請求、適用、責任の原則を順守します。本規定の条件とPrivacy Shieldの原則との間に矛盾がある場合、Privacy Shieldの原則が適用されることとします。 

Privacy Shieldの順守を保証する目的により、ゼットスケーラーは、米国連邦取引委員会の調査機関および執行機関の調査対象となります。Privacy Shieldの詳細については、米国商務省のPrivacy ShieldのWebサイト、https://www.privacyshield.govを参照してください。ZscalerがPrivacy Shield認定を受けていることを確認するには、 https://www.privacyshield.gov/listに記載されている米国商務省のPrivacy Shield認証企業のリストを参照してください。 

本規定には、一般データ保護規則(Regulation (EU) 2016/679)(「GDPR」)のコンプライアンスに対するZscalerのコミットメントを反映する条件も含まれます。

個人データの収集と使用

ゼットスケーラーは、ゼットスケーラーのプライバシーポリシーに記載されている個人情報に加えて、EUまたはスイス、あるいはその両方から、以下のカテゴリの個人データを受け取る場合があります。
 

  • お客様の企業ディレクトリから取得され、お客様の組織内のユーザ、グループ、および部門を識別するユーザID。
  • お客様が実施した、HTTP/HTTPSおよび非HTTP/HTTPSのすべてのトランザクションのトランザクションログ。
  • お客様が製品を使用するためにプロビジョニングされた場所を推測するためのパブリックIPアドレス。
  • お客様がSSL通信を選択して傍受できるようにするための証明書と鍵。
  • お客様がきめ細かいアクセスコントロールポリシーを作成し、セキュリティインシデントをログに記録できるようにするための、ユーザの電子メールアドレスや組織グループや部門情報などのユーザIDを含む、お客様の従業員の認証情報。 
  • パートナーやベンダからの請求や連絡先の情報(名前、住所、電話番号、電子メールアドレスなど)。
  • ゼットスケーラーによる製品のプロビジョニングを容易にしたり、ゼットスケーラーがサービスを受けられるようにしたりするための、お客様、ベンダ、またはパートナーから提供されるその他のデータ。

ゼットスケーラーはさらに、雇用関係のさまざまな面を管理するために、EU内やスイス国内、あるいはその両方のゼットスケーラーの従業員から、人事データを受け取ります。ゼットスケーラーによる、このデータの処理は、Privacy Shieldと一致する社内の会社規定の対象となります。ゼットスケーラーは、EUのデータ保護当局およびスイスのFDPIC(Federal Data Protection and Information Commissioner)に協力すること、また、雇用関係に関連してEUおよびスイスから転送された人事データに関する、かかる当局からの勧告に従うことをコミットしています。

ゼットスケーラーは、お客様にサービスを提供する目的、および、データの当事者またはデータコントローラが承認したその他の目的でのみ、個人データを処理します。ゼットスケーラーは、ゼットスケーラーが個人データを収集した目的、または個人データを提供する個人または団体が後に許可する目的に適合する方法でのみ、個人データを処理します。収集された目的または後に許可した目的と実質的に異なる目的で個人データを使用する際には、使用に先立ち、ゼットスケーラーがお客様に対して、オプトアウトの機会を提供します。ゼットスケーラーは、合理的な手順を維持することで、個人データが意図した使用に対して信頼性があるものであり、正確、完全、かつ最新であることを保証するよう努めます。

ゼットスケーラーは、GDPRまたはPrivacy Shieldにおいて機密個人情報と見なされる個人データを収集しません。 

第三者へのデータ転送

サードパーティのエージェントまたはサービスプロバイダ

ゼットスケーラーのプライバシーポリシーに記載されているように、Zscalerは、ゼットスケーラーに代わって機能を実行するサードパーティのエージェントまたはサービスプロバイダに個人データを転送する場合があります。GDPRおよびPrivacy Shieldによって要求される場合、ゼットスケーラーは、GDPRおよびPrivacy Shieldによって要求されているのと同じレベルの保護を提供すること、また、データの使用をZscalerに代わって指定されたサービスを提供することのみに限定することを要求する書面の契約をサードパーティのエージェントおよびサービスプロバイダと締結します。ゼットスケーラーは、(i)サードパーティのエージェントおよびサービスプロバイダがGDPRおよびPrivacy Shieldの義務に従って個人データを処理することを保証し、(ii)いかなる不正処理も停止し、修復するための合理的かつ適切な措置を講じます。一定の状況においては、サードパーティに転送する個人データの取り扱いに関して、ゼットスケーラーに代わってサービスを実行するサードパーティのエージェントまたはサービスプロバイダの行為に対し、ゼットスケーラーが責任を負うことがあります。

国家安全保障または法執行機関への開示

一定の状況においては、国家安全保障または法執行機関の要件を満足するなどの理由による、公的機関からの有効な要求に応じるために、個人データを開示するよう、ゼットスケーラーに求められることがあります。

セキュリティ

ゼットスケーラーは、GDPRおよびPrivacy Shieldに従って、個人データを損失、誤用、不正アクセス、開示、改変、または破壊から保護するための合理的かつ適切なセキュリティ対策を常に実施します。

データのアクセスと可搬性の権利

ゼットスケーラーが保持する個人データに対し、その当事者である個人は、アクセスする権利、さらには、不正確あるいはGDPRまたはPrivacy Shieldに違反する方法で処理された場合に、ゼットスケーラーに対して、それを修正、訂正、または削除するよう要求する権利があります。これらのアクセスの権利が状況によって適用されない場合があり、具体的には、アクセスの提供が、かかる状況において不当であるほどに負担または費用を強いられるものである場合、あるいは、アクセスを要求する個人以外の誰かの権利を侵害する場合などが、これに該当します。個人データへのアクセス、修正、訂正、または削除を要求する場合は、以下の「お問い合わせ」セクションに記載されている連絡先情報を使用し、書面で要求を送付することができます。ゼットスケーラーはお客様に対し、本人確認の目的で、お客様に関する情報を要求することがあります。限られた状況においては、お客様の情報へのアクセスに対して、合理的な料金をゼットスケーラーが請求する場合があります。

お客様は、構造化され、一般的に使用されている、機械で読み取り可能な形式のご自分の個人データを受け取る権利と、Zscalerに妨害されることなく、ご自分の個人データを別のデータコントローラに送信する権利を有します。

データの保持

Zscalerは、Zscalerのプライバシーポリシーおよび本規定で定められた目的に必要な場合に、Zscalerが収集した個人データを保持します。法律上および会計上の理由から、お客様の個人データを保持する必要がある場合がある点をご理解ください。

質問または申立

Privacy Shieldの原則に従い、Zscalerは、お客様の個人データの収集または使用に関する申立の解決に取り組むことをお約束します。 

Zscalerはさらに、Privacy Shieldに関する未解決の申立については、米国のアメリカ仲裁協会の国際部門である国際紛争解決センター(「ICDR/AAA」)に照会することもお約束します。申立の受領の連絡をZscalerから妥当な時期に受け取ることができなかった場合、または申立への対応に満足できない場合は、ICDR/AAAにお問い合わせいただくか、http://go.adr.org/privacyshield.htmlに記載されている、申立の提出に関する詳細を参照してください。ICDR/AAAのサービスは、無料で提供されます。

拘束力ある仲裁

特定の状況下で申立を解決する方法として、以下の条件を満たしている場合に、拘束力ある仲裁を選択することができます。(1)Zscalerに対する直接の申立を行っていて、その問題を解決するための機会をZscalerに与えたこと、(2)上記の第三者による紛争解決の方法をすでに使用していること、かつ、(3)関連するデータ保護機関を通じて、かかる問題を提起し、米国商務省に申立を無料で解決する機会を与えたこと。拘束力ある仲裁の詳細については、http://ec.europa.eu/justice/data-protection/files/annexes_eu-us_privacy_shield_en.pdfに記載されている、米国商務省のPrivacy Shieldフレームワーク:附属書I(拘束力ある仲裁)を参照してください。  

お問い合わせ

本規定に関するお問い合わせやお客様の個人データへのアクセスの依頼の送付先は、以下のとおりです。 

Zscaler, Inc.
Attn: Privacy Department
120 Holger Way
San Jose, CA 95134, USA
Email: [email protected]

本規定の変更

Zscalerは、Privacy Shieldの要件およびGDPRに合わせて本規定を随時修正する権利を留保します。