データ保護を万全に
ヨーロッパの最高レベルのデータ保護基準に適合
コンテンツクラウドによる地域内のデータ保護
Boxは、お客様のコンテンツを保護することを最優先に考えています。お客様が欧州経済領域(EEA)や英国からデータの処理や転送を容易に行えるよう、Boxはお客様のデータ保護要件への対応を支援します。Boxのソリューションは、シームレスなエンドユーザーエクスペリエンスに加えて、比類のないフリクションレスなセキュリティ、確実な可視性、きめの細かい制御機能を備えています。
ヨーロッパのデータ保護法が世界に与える影響
欧州連合(EU)のGDPRと英国のデータ保護法は、地域全体のデータプライバシーに関する法律および規制を融合させ、 EUおよび英国の データ主体のデータ保護を強化し、データプライバシーに対する企業の対策を再構築するものです。EUや英国でビジネスを行う場合には これらのデータ保護法を遵守する必要があります。 以下に、データプライバシーの規制やガイダンスに関する最近の動向と、お客様が必要とするプライバシー、セキュリティ、コンプライアンスを確実に提供するためのBoxの取り組みをご紹介します。
2023年7月11日、弊社は欧州委員会によるEU米DPFの十分性に関する決定を歓迎いたします。Boxは、事業顧客の組織に代わって処理する個人データの移転について、EU米DPFに準拠しています。 Boxはまた、スイス米国DPFと呼ばれるスイスで採用される予定の類似のデータプライバシーフレームワークの認証も予定しています。詳しくはブログで解説しています。
2020年11月、EEAのデータ保護機関はガイダンスの草案を発表し、欧州委員会は改定したSCCの草案を発表しました。欧州委員会はまた、英国に対する十分性認定の可能性についても審議しました。詳しくはブログで解説しています。
2021年6月、欧州データ保護委員会(EDPB)は、補完的措置と保護水準の確保に関するガイダンスを発表しました。これに加え、欧州委員会は、データ転送に関する新たなSCCを採択しました。詳しくはブログで解説しています。
Boxと弊社の顧客がEEAにおける共通の法的義務を確実に順守するため、一部の顧客は2022年12月27日までにEU SCCに移行する必要があります。 2022年3月21日、イギリスの個人情報保護監督機関(ICO)は、第三国への国境を越えたデータ転送の際のデータ転送方式として、新規顧客については2022年9月21日、既存顧客については2024年3月21日を発効日とする、UK SCCを発行しました。詳細については、弊社のブログ記事でご確認ください。また、イギリスの補遺が掲載された最新のDPAに署名する場合は、下記をご覧ください。
DPAへの署名をリクエスト
Boxは個人情報のプライバシー保護に努めています。プライバシーシールドを無効にするCJEUの「Schrems II」判決、英国のEU離脱(Brexit)、欧州委員会による改定SCCの発行など、状況の変化に関わらず、お客様が合法的なデータ転送手法を容易に維持できるようにしています。
個人データの転送に関して顧客に最大限に柔軟な選択肢を提供するべく、弊社の「データ処理に関する補足情報」(DPA)に、欧州委員会により2021年6月27日に発行された最新のEU ECC、ならびにイギリスの個人情報保護監督機関(ICO)により2022年3月21日に発行されたUK SCCが掲載されています。Boxと弊社の顧客がEEAにおける共通の法的義務を確実に順守するため、Boxとの既存の契約のある一部の顧客は2022年12月27日までにEU SCCに移行する必要があります。 イギリス国内で事業を営む顧客については、新規顧客は2022年9月21日、既存顧客は2024年3月21日がUK SCCの発効日となります。 BoxのDPAをご覧になるは、こちらをクリックしてください。 DPAの署名プロセスを開始するには、下記のリンクからご要望を送信してください。他に必要な情報について、弊社の担当チームが直ちに返答いたします。
データプライバシーへの取り組み
Boxは、お客様とエンドユーザーのプライバシー権を尊重し、情報を保護することの重要性を認識しています。そのためBoxでは、業界標準を満たすだけでなく上回るクラウドベースのコンテンツ管理プラットフォームと製品をお客様に提供することを以前から公約してきました。
欧州データ保護委員会(EDPB)のガイダンスの発行を受けて、Boxは、Boxにおける個人データ保護に関するお客様の懸念を理解しています。Boxは、お客様が管理者としてのデューデリジェンスの義務を果たすことを支援し、また処理者(プロセッサ)として当社の第28条の義務に適応するために、「デューデリジェンスと補完的措置に関するレポート」を作成しました。このレポートは、お客様のご希望に応じて提供しています。レポートをご希望の方は、 privacy@box.com宛てにご連絡ください。
EDPBによる国際間のデータ転送のための補完的措置と保護水準の確保に関するガイダンスの発行以降におけるBoxの対応については、下記の更新情報をご覧ください。
コンプライアンスをシームレスに維持
Box Zones
複数の地域をまたぐデータレジデンシー要件への対応を支援します。
Box KeySafe
暗号キー管理戦略を強化
Box Governance
データ保持義務に対応
Box Shield
マルウェア攻撃を検知・防御
各地域固有の規制に対応
カリフォルニア州消費者プライバシー法(CCPA)
Boxは、CCPAへの対応が大きな課題であることを理解しています。Boxは、コンテンツ管理、コラボレーション、ワークフローを単一のセキュアな環境で行うためのプラットフォームを提供し、データの保存場所やアクセス方法の制御を容易にすることに加え、データの最小化やセキュリティ対策の強化、カリフォルニア州の消費者の要求にタイムリーに対応することで、CCPAに求められる要件を満たします。Boxがお客様のCCPA対応をどのようにサポートできるかについて詳しくは、こちらをご覧ください。
アジア太平洋経済協力会議(APEC)
Boxは、データプライバシーの地域別コンプライアンスのゴールドスタンダードである、APECの越境プライバシールール(CBPR)システム、および、プロセッサ向けプライバシー識別(PRP)システムの認証を受けています。APEC、CBPR、PRPの各システムへのコンプライアンスを維持することで、APEC参加国・地域の間で転送される個人データが確実に保護されます。BoxのAPEC、CBPR、PRPの認証について詳しくは、地域情報のページをご覧ください。
Boxのプライバシー、セキュリティ、コンプライアンスに関するコミットメントについて詳しくは、Box Trust Centerをご覧ください。