GDPR対策を万全に

最高レベルのデータ保護基準に適合します

GDPR

Boxを活用したGDPRへの対応

Boxは、最近発効された一般データ保護規制(GDPR)に対応しているため、GDPRコンプライアンスプログラムの施行を推進するクラウドコンテンツ管理プラットフォームとして、すべてのお客様にご活用いただけます。データプライバシーの非常に高い基準に適合するとともに、世界各地のデータプライバシー規制に適合しつつ、Boxを使って企業をサポートいたします。すべての企業はBoxを利用することで、場所やデータプライバシー規制にかかわらず、ひとつになってビジネスを行うことができます。

世界的な影響

GDPRの世界的な影響

GDPRは、EU各国におけるデータプライバシーに関する法律および規制を融合し、EU住民のデータ保護を強化し、データプライバシーに対する企業の対策を再構築するものです。GDPRの対象はEUのすべての住民の個人情報で、データに関する問題に対して包括的な権利を提供します。ヨーロッパにおける従業員、顧客、パートナーとビジネス行っているすべての企業は、この規制を順守する義務があります。GDPRの要件を順守しなかった場合、2000万ユーロ、またはその企業の前会計年度における世界の年間売上高の最大4%のいずれか高い方を罰金として支払う必要があります。

DPAに署名

Boxは、確実なGDPRコンプライアンス、および、英国のEU離脱への備えとして、欧州経済領域(EEA)内におけるデータの移送をお客様が容易に行えるよう、対策を講じています。 

個人データの移送については、お客様にできるだけ柔軟なオプションを提供できるよう、最新版のデータ処理補足契約書(DPA)に標準契約条項(SCC)を追加しました。DPAにはBoxによる事前署名が施されており、お客様はセルフサービスで電子署名をするだけで容易に実行できます。

お客様によって実行されたDPAは、自動的にBoxの法務部門に送信されます。正しく作成されたDPAは、法的拘束力を持ちます。  詳しくは、DPA中のセクション「How to Execute this DPA」(DPAの実行方法)をご参照ください。問題がある場合には、Boxからお客様にご連絡を差し上げます。

英国のEU離脱により影響を受けるお客様には、2020年7月21日に、該当する最新版のデータ処理補足契約書(DPA)または標準契約条項(SCC)(以下、「本契約」という)が添付されたメールをお送りします。2020年9月21日までに本契約をご確認のうえ、ご署名をお願いいたします。お客様がDPA関連またはその他の契約に基づくBoxのサービスを2020年9月21日以降も継続して利用される場合、本契約が適用されるものとします。ご質問は、privacy@box.comまでメールでお問い合わせください。

英国のEU離脱、および、Boxの最新版DPAについては、ブログ記事でも詳しく解説しています。

GDPRに関するBoxのコメント

Boxの拘束的企業準則(BCR)—プロセッサおよびコントローラ用BCR(Processor Binding Corporate Rules; Controller Binding Corporate Rules)、標準契約条項(SCC)、EU/スイスと米国間のそれぞれのプライバシーシールドフレームワークは、データを欧州域外に持ち出すための法的枠組みです。Boxは、ドイツのC5(Cloud Computing Compliance Controls Catalog)およびTCDP(Trusted Cloud Data Protection Profile)の認定も受けています。これは、Boxがセキュリティとデータ保護のための高い基準を満たしていることが、ドイツの組織による独立した監査によって認められていることを示しています。

 

Boxが保持する各証明書について詳しくは、コンプライアンスのページをご覧ください。

GDPRの重要な要件への対応

情報
完全に透明性のある情報利用

企業はGDPRにより、個人情報の使用方法について詳細な情報を提出することが求められています。Boxを利用すると、管理コンソールを使って管理者がアクセス権の付与または取り消しができるアクセスコントロールなど、コンテンツおよびコンテンツへのアクセス方法を完全に制御できます。

プロセス
処理の可視性の向上

GDPRにより、データのコピーにアクセス可能なことと、データがどこで処理されているかを把握することが求められています。Boxを利用すると、このような権限を簡単に実行できます。使用履歴はアクセス可能で、ダウンロードが簡単、サードパーティとのあらゆる統合を簡単に管理できます。

個人情報を破棄させる権利
個人情報を破棄させる権利

GDPRでは、個人は関係した企業に対し、個人情報を削除するように要求する権利を有しています。Boxでは、ごみ箱の設定と回復を使ってコンテンツの削除を制御できます。さらに、Box Governanceを使って保存スケジュールを設定することもできます。

GDPR対応を乗り越える

Boxを利用すると、データレジデンシ要件への対応、主要な暗号化オプションの選択、保持および法的保存ニーズへの対応が可能になり、データプライバシーおよびGDPRへの対応はもちろん、コンプライアンスへの対応を包括的に向上できます。Boxの企業レベルのガバナンス製品、リスク製品、コンプライアンス製品を導入すれば、組織のGDPRとデータ保護を強化できます。お客様のデータ保護処理で、Box Zones、Box KeySafe、Box Governanceを活用する方法をご覧ください。

Box ConsultingチームとBox Complianceチームが協力し、クラウドコンテンツ管理を使って、進化するコンプライアンス要件を把握、準備、対応するお手伝いをいたします。

ホワイトペーパー: 「Get GDPR-ready with Box」(Boxの支援によるGDPRへの対応)

GDPRの順守に必要な機能