Schrems II事件後における個人デー
タの越境移転

ThoughtSpotは、信頼によってお客様との関係を育むことを何よりも重視しています。そして、プライバシーを基本的権利と捉え、お客様のプライバシーとセキュリティーを常に最優先事項と位置付けています。

2020年7月16日、欧州司法裁判所(「CJEU」)により、一般データ保護規則(「GDPR」)の対象となる、欧州経済領域(「EEA」)外への個人データの移転に関する判決(「Schrems II事件」判決)が下されました。Schrems II事件において、CJEUは、EEAから米国への個人データの移転機構である、EU・米国間およびスイス・米国間プライバシーシールド(「プライバシーシールド」)が無効であるとの判決を下しました。

ただし、その判決において、CJEUは、EEA外への個人データの移転に対する有効な機構として、組織が標準契約条項(「SCC」)を引き続き使用できることを確認しています。

Schrems II事件に対してCJEUが2020年7月16日に下した判決に従い、ThoughtSpotは、EEAまたはスイスから米国への越境データ移転に関して、プライバシーシールド認証を法的根拠とすることを取りやめています。

ThoughtSpotのすべてのお客様に知っていただきたいことは、CJEUの判決により、EEAからの個人データの移転に対する機構として、SCCが引き続き有効であることが明確になったということです。SCCを使用することにより、お客様は、今後もThoughtSpotのサービスを通じてEUおよび英国から個人データを合法的に移転することができます。Schrems II事件の判決およびEU監督機関による関連ガイダンスに従い、ThoughtSpotでは、特定の移転にあたり、SCCの使用と併せて、送信中および保存中の暗号化、行レベルのセキュリティーなど、適切と思われるさまざまな技術的および組織的保護措置を実施しています。さらに、包括的なセキュリティープログラムの一環として、GDPRおよびCCPAの遵守のほか、ISO/IEC 27001、SSAE SOC 2 Type II、STAR、HIPAAなどの規格に準拠しています。ThoughtSpotは、ThoughtSpot Cloudプログラムガイド( www.thoughtspot.com/legal) において、各お客様との契約をもって技術的および組織的保護措置の実施を約束しています。

ThoughtSpotは、お客様がThoughtSpotを使用して保存および送信する特定の情報に対する保護がいかに重要であるかを認識しており、この点に関してお客様から信頼を得られるよう真摯に取り組んでいます。世界各地の政府機関は、個人データの保護を目的として新しい法律を可決し、判決を下しています。ThoughtSpotはこうした状況を踏まえ、弊社サービスに適用されるすべてのプライバシー法を引き続き遵守するとともに、法改正を注視しながらコンプライアンスを維持し、情報保護プログラムおよびコントロールを継続的に改善していきます。また、データソースで実施される分析の範囲、検索サジェストのインデックス作成、ユーザーアクセスとロール、およびセキュリティールールをお客様が完全に制御できるよう、管理上の制御機能への投資を継続的に行っています。ThoughtSpotは、プライバシーに関する状況と複数のEU監督機関の動向(欧州委員会による2021年6月の新しいSCCの発表など)を注視しています。

Schrems II事件の判決に基づく新たな推奨事項に従い、ThoughtSpotが今後どのようにGDPRを遵守していくのかについて質問をいただいていますので、下記に回答させていただきます。


よく寄せられる質問

Schrems II事件に対し、欧州司法裁判所(「CJEU」)はどのような判決を下したのですか?

2020年7月16日、CJEUの判決により、EU・米国間およびスイス・米国間プライバシーシールドの枠組みが無効とされました。標準契約条項については、データ移転機構として引き続き有効であることが確認されています。ただし、CJEUは、データ移転先の国の公的機関によるデータへのアクセスに関する法制度により、EEA内で保証されるものと実質的に同等の水準の保護が確保されない場合は、追加の保護措置が要求されうるとも述べています。

EEAから米国へのデータ移転に関して、ThoughtSpotはプライバシーシールドを法的根拠としていますか?

いいえ。EEAまたはスイスと米国との間における個人データの合法的な移転を進めるために、ThoughtSpotがEU・米国間またはスイス・米国間プライバシーシールドを法的根拠とすることはありません。

ThoughtSpotはどのような越境移転機構を使用していますか?

ThoughtSpotは、個人データの越境移転機構としてSCCを使用しています。SCCを使用することで、EEA外でもGDPRの基準に照らして個人データが保護されることが契約により保証されます。

ThoughtSpotがプライバシーシールドの枠組みに基づく認証を現在も受けているのはなぜですか?

米国商務省が発表したガイダンスには、CJEUの判決およびそれを受けたスイス連邦データ保護情報コミッショナー(「FDPIC」)の表明は、EU・米国間およびスイス・米国間プライバシーシールドの参加者に課せられているプライバシーシールドの枠組みの原則および要件の遵守義務を免除するものではないと記載されています。そのような状況において、米国商務省はプライバシーシールドプログラムの管理と適用を継続しています。プライバシーシールドは有効な移転機構ではなくなりましたが、プライバシーシールドへの参加を継続することは、ThoughtSpotがプライバシーシールドおよびEU/スイスの標準的な考慮事項の遵守に引き続き取り組んでいることを示すものです。

CJEUの判決にもかかわらず、米国のバイデン政権はプライバシーシールドと環大西洋データフローを最優先事項と位置付けています。2021年3月25日、米国商務長官と欧州委員会司法委員は共同声明を発表しました。その声明では、Schrems II事件に対する2020年7月16日のCJEUの判決に準拠するため、EU・米国間プライバシーシールドの枠組みの強化に向けた交渉を推進することが述べられています。この交渉により、米国とEUがプライバシー、データ保護および法の支配への取り組みを維持しており、環大西洋データフローの重要性を理解していることが示されました。

ThoughtSpotはデータ処理補足契約書を用意していますか?

はい。データ処理補足契約書は、ThoughtSpotのサービスに固有のもので、サービスとインフラストラクチャーの動作方法に関する具体的なプロセスや手順を扱っています。また、新しいSCCも追加しており、カスタマー契約書やその他の関連文書とも矛盾しないように起草されています。

ThoughtSpotの事前署名付きデータ処理補足契約書のコピーはこちらからご覧いただけます。データ処理補足契約書上の義務をThoughtSpot Cloudサブスクリプション契約書に追加するには、データ処理補足契約書に副署の上、ThoughtSpot営業担当者に返送していただく必要があります。

ThoughtSpotのデータ処理補足契約書には、新しい標準契約条項が追加されていますか?

はい。ThoughtSpotのデータ処理補足契約書は更新されており、2021年9月27日発効の新しいSCCが追加されています。

ThoughtSpotは十分な水準の保護を提供していますか?

ThoughtSpotは、 ThoughtSpotトラストセンターに記載されるとおり、管理上、技術的、および組織的なセキュリティー対策を設けて個人データを保護しています。

ThoughtSpotのセキュリティープログラムでは、各種の技術的および組織的措置を実施しています。たとえば、Schrems II事件の判決で指摘された中心的な欠陥(EO 12333に基づく大量傍受およびFISA第702条に基づく大規模監視)に対処する、送信中および保存中の暗号化などがあります。

FISA 702とEO 12333は何ですか? Schrems II事件にどう関係するのですか?

外国情報監視法第702条(「FISA 702」)は、特定種類のデータ取得(米国の国家安全保障を目的とする外国情報の取得)を承認する司法手続について定めた米国の法令です。FISA 702に基づき、独立裁判所は、米国政府が特定種類の外国諜報情報を取得するために、米国外に所在する特定の非米国人に関する通信データを開示するよう米国企業に求める命令を米国政府が発することを許可できます。大統領令12333(「EO 12333」)は、米国諜報活動についてまとめた総合的な指令です。FISA 702とは異なり、EO 12333は、米国政府が企業にデータの開示を要求することを認めていません。しかし、EO 12333は、対象となる企業の関与なく外国のデータアクセスに関する内密の諜報活動を認めるために適用される可能性があります。

CJEUは、米国への個人データの移転がFISA 702およびEO 12333の対象となる場合、これらの規定により、政府が正当な法執行目的で「必要かつ適当な」範囲を超えてアクセスすることが許可されるため、プライバシーシールドは本質的に同等の保護を提供しないという判決を下しています。

ThoughtSpotは、ThoughtSpotのサービスに関連してFISA 702に基づく要請の指令を受けることがありますか?

ThoughtSpotは、いずれの裁判所からも、FISA 702に基づく手続の対象となる種類の事業体(合衆国法典第50編第1881条(b)(4)の定義に該当する「電気通信事業者」または同定義内に記載される種類の事業体の構成員)に該当すると判断されていません。

FISA 702に基づく「アップストリーム」、大規模監視命令についてはどうですか?

仮にThoughtSpotがいずれかのThoughtSpotサービスに関連して電気通信事業者とみなされたとしても、米国政府によるFISA 702の解釈と適用から、ThoughtSpotは、Schrems II事件の判決でCJEUが主な懸念事項とした種類の命令(「アップストリーム」監視を求める702命令)の対象にはなりません。米国政府はFISA 702を適用しているため、米国政府によるアップストリーム命令は、第三者のトラフィックを伝送するインターネットバックボーン事業者(通信事業者)を介して流れるトラフィックのみが対象になります。ThoughtSpotはこのようなバックボーンサービスを提供しておらず、ThoughtSpotのお客様に関連するトラフィックのみを伝送しています。そのため、ThoughtSpotは、Schrems II事件の判決で中心的に取り上げられ、問題であると判断された種類の命令の対象にはなりません。