よくある質問

このページには、Zscaler のデータ プライバシー プラクティスに関してお客様からよく寄せられる質問に対する回答を記載いたしました。

データ プライバシー プラクティスの詳細については、当社のデータ プライバシーと保護の概要サイトをご覧ください。
 

1.Zscalerのデータ処理契約 (DPA) はどこにありますか?

Zscaler DPAは、 zscaler.com/privacy/dpaからご確認いただけます。本DPAについてご質問がございましたら、Zscalerの連絡先または[email protected]にお問い合わせください。
 

2. Zscalerが個人情報を収集して使用するのはなぜですか?

当社製品により、お客様は正規ユーザーに、どこからでも、どのデバイスからでも、インターネットまたは特定のアプリケーションへの直接かつ安全なアクセス権を付与できます。したがって、当社製品は、コンテキスト ベースのIDといった個人情報を使用して、お客様が侵入者に対する安全対策を確立し、正規ユーザーのアクセス リクエストを認証できるようにします。
 

3. Zscalerはどのような個人データを収集しますか?

Zscalerは、限られた範囲の個人データ(たとえば、企業ディレクトリのIPアドレス、URL、ユーザーID、ユーザー グループ、および部門)だけを保存することとし、特別または機密性の高いカテゴリーの個人データ(例えば、クレジット カードや保護されている健康関連情報)は処理または保存しません。

詳細については、こちらからDPAの別紙Aをご覧ください。
 

4. Zcalerはクッキーを使用していますか?

はい、クッキーを使用することで、お客様を記憶し、当社Webサイトでのエクスペリエンスを強化し、関連製品やサービスを提供できます。当社はクッキーを使用して、サイトのナビゲーションを容易にし、広告への応答をモニタリングしてアカウント所有者と訪問者のためにWebサイトのデザインと機能を継続的に改善しています。

Zscaler Internet Access(ZIA)では、リモート ブラウザー分離にユーザー レベルのクッキーを使用しています。

詳細は、Zscalerのクッキー ポリシーをご覧ください。
 

5. Zscalerは、GDPRのデータ処理者としての責任を契約上どのように果たしていますか?

Zscalerは、データ処理者として業務を遂行するとき、データ管理者の代理として、データ管理者からの書面による承認がある（すなわち、契約または注文を通じて、DPAがそのような指示の詳細を提供する）場合にのみ個人データを処理します。

さらに、当社は復処理者と書面による契約を締結し、これらの復処理者の作為および不作為に対して引き続き責任を負います。当社のデュー デリジェンス対応には、当社のすべての復処理者がデータ保護法の遵守を維持することを保証することも含まれます。
 

6. Zscalerは、復処理者を使用してサービスを提供することがありますか？

はい、他のすべてのクラウド ベンダーと同様、Zscalerも復処理者を通してサービスを提供しています。ただし、復処理者と共有されるデータは、第三者の広告などの二次的な目的には使用されません。Zscalerは、復処理者が顧客データ(個人データを含む場合があります)へのアクセスおよび提供するサービスの範囲に適したレベルのセキュリティおよびプライバシーを提供することを保証するために、復処理者のセキュリティおよびプライバシー プラクティスに関するデュー デリジェンスを実施します。Zscalerは、Zscalerのプライバシー ポリシーに従って適切なデータ保護と機密性を提供するために、復処理者に書面による契約を締結することを求めています。

復処理者の現在のリストはこちらをご覧ください。
 

7. Zscalerは個人の顧客データを保存しますか?

Zscalerのサービスおよび製品の大部分では、HTTP、HTTPS、および HTTP以外のトランザクション コンテンツ (メッセージ、ファイルなど、要求の実質的な部分を含む) がZscalerによって保存されたり、ディスクに書き込まれたりすることはなく、すべてのインスペクションがメモリ内で実行されます。 

Zscaler Cloud Sandboxをご利用のお客様の場合、Zscalerは不正コンテンツをストレージ ディスクに記録します。ただし、Zscalerのサンドボックスに送信するファイルについては、(ファイルタイプ、URLカテゴリ、ユーザー/グループなどに基づき)お客様が決めることができます。

Zscaler Client Connectorの場合、お客様はZscalerのポリシーを使用してパケット キャプチャをグローバルに有効または無効にしたり、適用されるノートパソコン、デスクトップ、または個人のモバイル デバイスからパケット キャプチャ ログを削除したりできます。

顧客トランザクション ログ（顧客ログ）は、平文で保存されることはなく、生成時に索引付けされ、圧縮され、トークン化されます。つまり、トークンはユーザー名ではなくログの識別子として使用され、ログに残っている識別子は、ADグループ、IPアドレス、オフィスの場所といった無害なエントリーのみです。これにより、履歴顧客ログのすべての文字列とZscalerの認証局(CA)に保存されているインデックスへのアクセス権がなければ、単一の顧客ログでは何も意味をなさなくなります。特権ユーザー (顧客の管理者など) がログの難読化を解除したい場合、システムは、ダウンロード用のログを表示または提供する前に、トークンのユーザー名を再度置き換えます。したがって、保存されたデータへのアクセスがあっても、Zscalerのユーザー インターフェイスが顧客ログからの情報とCAからの情報をまとめない限り、個人データを取得することはできません。

8.データはどこで処理されますか?

Zscalerは、150か所以上に及ぶグローバル データ センターのうち、お客様のユーザーに最も近い場所にある1か所でトークン化および暗号化されたユーザー データを処理します, つまり、お客様が使用している場所に応じて、どのデータ センターを使用するかをコントロールできます (例えば, EUユーザーのためのEUデータ センター、米国ユーザーのための米国のデータ センター)。EUユーザーが米国に旅行する場合、Zscalerは最も近い、概ね米国内のデータ センターからそのユーザーの個人データを処理します。なお、データ センターは復処理者ではありません。これらは、Zscalerが常に処理をコントロールする同じ場所にある施設(つまり、レンタルされたラックスペース)です。

お客様のユーザーがEU内のみの場合でも、ZscalerはEUだけでなく、米国、インド、コスタリカ（米国に拠点を置く一部の企業向けのみ）からもグローバルなサポート サービスを提供し、24時間365日のカバレッジを確保します。これは、ほとんどのクラウド ベンダーの間で実践されている一般的な方法です。

9. 顧客ログとは何ですか？

顧客ログは、トランザクションごとに収集および保存されるネットワーク トラフィック メタデータの記録です。管理者は、管理ポータルを介して顧客ログにアクセスして確認し、顧客のユーザーWebリクエストを認証できます。顧客ログには、デバイス所有者、ユーザー、ホスト名などの個人データを含む可能性のあるさまざまなフィールドがあります。

Zscalerはグローバルなデータ処理がどこで発生しても、EUとスイスでのみ顧客ログを保存するオプションをお客様に提供し、お客様はこれをZscalerの導入プロセスの中で設定できます。

10. Zscalerは、ポリシーが変更された場合にユーザーに通知しますか？

お客様は、当社のプライバシー ポリシーの重要な変更について、変更が有効になる前に電子メールおよび/またはZscalerのWebサイトに掲載された通知を通じて連絡を受けます。変更後のWebサイト、コンテンツ、または製品の使用は、かかる変更に同意したものとみなされます。

11. Zscalerはデータ侵害についてユーザーに通知しますか?

Zscalerがデータ侵害に気付いた場合、Zscalerはインシデントを確認した後、不当な遅延なく影響を受けるお客様に通知します。Zscalerは、(a)セキュリティ インシデントの原因を特定し、(b)かかるセキュリティ インシデントの原因を修復するために必要かつ合理的な措置を講じるために、かかる改善がZscalerの合理的な管理範囲内にある範囲で合理的な措置を講じます。
 

12. Zscalerは、個人データをEU域外に転送するためにどのような承認された法的枠組みに依存していますか?

Zscalerは、サービスを提供するために、150か所以上のデータ センターのネットワークを通じて世界中の個人データを処理します。GDPRでは、EU域外への個人データの転送は、EU標準契約条項などの承認された法的枠組みによってカバーされる必要があります。したがって、Zscalerは、EU、スイス、または英国外への個人データの転送に関するEU標準契約条項および適切な補遺を遵守します。

EU標準契約条項で義務付けられているデータ保護を保証する方法のいくつかを次に示します。

• 個人データは、お客様に代わってお客様の指示に従ってのみ処理されます。
• 個人データを処理する前に、DPAに規定されている技術的および組織的なセキュリティ対策を実施します。たとえば、顧客ログを保護する方法の1つとしてトークン化を適用します。
• 特に禁止されていない限り、法執行機関から個人データの開示に関する法的拘束力のある要求があった場合はお客様に通知します。
• Zscalerでは、お客様が製品を初めて導入するときに、EU（ドイツ、オランダ）およびスイスのみでのログの保存を提供しています。
• Zscalerは、当社がデータ サブプロセッサを使用することにつき、必ずお客様からの同意を取得します。また当社は、それらのデータ サブプロセッサが当社に代わって処理するデータに当社と同等の保護が提供されることを保証します。
• 事前の書面による通知がある場合、Zscalerの特定の要件と管理が実施されることを条件として、Zscalerのお客様およびパートナーが当社のクラウドの年次監査および自動インスペクションを実施することを許可します。
• 当社は、EU標準契約条項の継続的な遵守を確保することを約束し、合理的な期間内に法的に必要な追加の措置を実施します。
• 当社は、個人データを確実に保護するための機密保持措置を約束し、実施します。

詳細については、 データ処理契約(DPA)をご覧ください。

当社は標準DPAの標準契約条項に依存していますが、Zscalerは、米国商務省が管理するEU-米国間およびスイス-米国間のPrivacy Shieldフレームワーク (以下「Privacy Shield」といいます) を自己認証することを選択しました。Zscalerは、Privacy Shieldに定められた、通知、選択、転送の説明責任、セキュリティ、データの完全性と目的の制限、アクセス、および請求、適用、責任の原則を遵守します。
 

13. Zscalerは個人データをどのように保護しますか?

Zscalerは、お客様が安心して当社のサービスを採用できるよう、セキュリティや可用性、機密性、プライバシーの厳格な標準を遵守しています。

適切なソリューションを提供することで、当社のコンプライアンス部門は、Zscalerの全製品が国際的に認められている公的機関や商用分野の標準に適合し、認証を受け、お客様の信頼を築くフレームワークとなるべく努めています。

Zscalerは、ISO27001およびSOC（System and Organization Controls）2、タイプII標準に基づく認証を受けており、第三者による監査を毎年受けることで、これらの認証への継続的なコンプライアンスを保証しています。Zscalerは、セキュリティ対策の有効性を定期的にテスト、評価、検証しています。Zscalerは、書面によるリクエストがあり機密保護が適切に実施されていることを条件に、お客様に対して、最新のISO27001証明書もしくはSOC2タイプIIレポートまたはその両方のコピーを提供することができます。

多数のプライバシーおよびセキュリティ認定の詳細については、こちらをクリックしてください 。
 

14. TLS/SSLインスペクションの有効化は、セキュリティ要件とプライバシー法の遵守にどのように分類されますか?

TLS/SSLインスペクションを有効にしても、Zscalerが処理または保存する限られた量のデータは変更されません。 むしろ、個人データの処理に適切なレベルのセキュリティを提供することにより、Zscalerのお客様がGDPRの第32条に基づく義務を果たす上で役立ちます。Zscalerのお客様は、SSLインスペクションの使用が、ビジネスやプライバシー、セキュリティに与える影響を検討する必要がありますが、同時に従業員の権利を脅威や攻撃から確実に保護するという義務と両立させなければなりません。そのため、SSLインスペクションは、プライバシーに対する脅威ではなく、組織のプライバシー コンプライアンスをサポートするツールだと考えるべきです。

Zscalerは総合的なSSL/TLSインスペクション機能を提供し、暗号化されたトラフィックに隠された脅威からお客様のデータ トラフィックを保護します。データ インスペクションが完了すると、データ フローは妨げられることなく継続され、トランザクション自体のログを超えたソースデータの記録は保持されません。
 

15. 個人データにアクセスし、修正し、削除する権利を行使するにはどうすればよいですか?

Zscalerは、データ主体のリクエストに対応する内部プロセスを設けています。ただし、データの管理者として、Zscalerのお客様にはリクエストの確認と検証、およびZscalerへのサポート チケットの送信に責任があることは念頭に入れておいてください。データ権利に関するリクエストが発生するのは、データの当事者（通常は、お客様の従業員またはユーザー）からお客様に対して、かかるリクエストが行われた場合だけに限定されることとします。Zscalerがデータ権利に関するリクエストを直接受け取った場合、検証と応答のためにそのユーザーをお客様にリダイレクトします。

追加のサポートが必要なお客様は、[email protected]@zscaler.comにお問い合わせください。
 

16. Zscalerはデータをどのくらいの期間保持しますか?

当社は、保存の目的を達成するために必要な期間、または法律で許可されている場合にのみ、個人データを処理および保存します。情報の保存期間を決定するために使用される基準は、それぞれの法定保存期間です。その期間の満了後、契約の履行に必要でなくなった限り、対応する情報は定期的に削除されます。
 

17. Zscalerには、プライバシーとデータ セキュリティのリスクを担当する執行機関がありますか?

はい、Zscalerの取締役会は、プライバシーを含むすべての企業リスクを監督する責任があります。理事会は、その責任の一部を常任委員会に委任し、常任委員会は理事会全体に報告します。監査委員会と指名・コーポレート ガバナンス委員会は、それぞれプライバシー リスクとサイバー セキュリティの脅威を監督する任務を負っています。
 

18. Zscalerにはコンプライアンスおよびデータ保護/プライバシー責任者がいますか?

はい、当社のプライバシー チームは、Zscalerがデータ保護法を遵守し、組織が個人データを処理する際に直面するリスクを回避することを保証する任務を負っています。プライバシー チームのメンバーは組織の専門家であり、個人情報の処理に関して一般の人々とZscalerの間のリンクを形成します。プライバシー チームは、データ保護クエリが送信される機関として機能し、チームのメンバーは、認定情報プライバシーのプロフェッショナル(CIPP)です。大まかに言うと、クラウド運用担当主任は、ポリシーへの準拠を監視する責任があります。
 

19.従業員と請負業者は、データ セキュリティおよび/またはプライバシー関連のリスクと手順についてトレーニングを受けていますか?

プライバシーはZscaler全体での最優先事項です。当社は、従業員と請負業者に、オンボーディング中にプライバシーとセキュリティのトレーニングを完了し、トレーニングを毎年更新するよう求めています。
 

20. Zscalerは世界中のプライバシー法にどのように遵守していますか?

Zscalerはコンプライアンスの維持に努めており、各国のプライバシー法や規制の動向を注意深くモニタリングしています。Zscalerがさまざまなプライバシー法をどのように遵守しているかの詳細については、zscaler.jp/privacy/global-privacy-lawsをご覧ください。

国際的なデータ転送の詳細については、 zscaler.jp/privacy/international-data-transfer-policyをご覧ください。
 

21.  Zscalerは電話番号を保存しますか?

Zscalerは、統合認証プラットフォームを使用することがあり、そのため第2要素認証の目的で電話番号を保存する場合があります。

Zscalerは電話番号をどのように使用しますか?

1. Zscalerは、プロモーション メッセージの送信にこれらの電話番号を使用することはありません。
2. Zscalerは、マーケティング コールの発信にこれらの電話番号を使用することはありません。
3. Zscalerは、エンドユーザーが当社のシステムに対して認証を行っている場合にのみ、これらの電話番号をセキュアOTPの送信に使用します。
 

22. さらに質問がある場合は、どこに連絡すればよいですか?

[email protected]@zscaler.com宛に電子メールでお問い合わせください。