デジタルサービス法（DSA）

主な事業所がヨーロッパ、中東、またはアフリカ (総称して EMEA) にあるお客様は、F5 Networks, Ltd. との契約を通じてサービスを受けます。 F5 Networks は、英国に本社を置き、英国の法律に基づいて設立されており、F5 の EMEA 事業の中心です。 EUおよびスイス当局は、英国の法律が個人データを保護し、GDPRの第V章および同等のスイスの法律の要件を完全に満たしていることを認めています。 

アジア太平洋 (APAC) 地域に本社を置く顧客は、シンガポールの F5 Networks Singapore Pte Ltd. と契約します。 その他のすべての顧客（北米に本社を置く顧客を含む）は、米国の F5, Inc. と契約します。 すべての F5 サービスについて、サービス固有の条件によって補足されるデータ保護補足条項 (DPA)には、F5 へのすべての法的に適用される転送に適用される標準契約条項と規定が含まれています。 これらの標準契約条項には、英国への転送については英国政府が発行した国際データ転送補足条項が、またスイスへの転送についてはスイス連邦データ保護および情報コミッショナーが発行した追加文言が付随します。 関連するサービスについては、F5はEU-USの認証も維持しています。 データプライバシーフレームワーク、EU-米国間の英国拡張 データプライバシーフレームワークとスイスと米国 データ プライバシー フレームワーク。

はい。 関連するサービスについては、F5 は EU-U.S. の認定を維持しています。 データ プライバシー フレームワーク、EU-米国間の英国拡張 データプライバシーフレームワーク、およびスイスと米国の データ プライバシー フレームワーク。

いいえ。 Schrems II判決の焦点であったこれら 2 つの米国の法規定は、F5 には影響しません。 いずれにせよ、シュレムスII判決後の米国法の改善により、欧州委員会は、EU-米国間の個人データ保護協定の下での適切なレベルの保護に関する欧州議会および理事会の規則（EU）2016/679に基づく2023年7月10日の実施決定において、 データ プライバシー フレームワークにより、これらの規定に関する以前の懸念は解決されました。 欧州データ保護委員会（EDPB）は、欧州委員会の決定を分析し、（ 2023年7月10日の十分性決定の採択後のGDPRに基づく米国へのデータ移転に関する情報ノートの中で）「米国政府が国家安全保障の分野で導入したすべての保護措置（救済メカニズムを含む）は、使用される移転ツールに関係なく、米国に移転されるすべてのデータに適用される」（つまり、データがデータプライバシーフレームワーク、標準契約条項、または別の移転ツールを介して米国に移転されるかどうかに関係なく）と指摘しました。

F5 は、FISA 702 に基づくデータ アクセス要求やその他のいかなる種類の指示も受けたことがありません。 F5 の多くのサービスは、FISA 702 指令の対象となるタイプのサービスではありません。 さらに、F5サービスのほぼすべての顧客に対して、F5は標的となる可能性のある種類のデータを処理しません。 FISA 702指令は、大量破壊兵器の拡散に関するデータ、外国の米国攻撃計画、外国スパイの秘密活動に関する情報、またはFISAの意味におけるその他の「外国諜報情報」に適用されます。

F5 は、EO 12333 命令というものが存在しないため、EO 12333 に基づく顧客データ提出命令を受けることもできません。 大統領令 12333 は、米国諜報機関内に一定の責任を割り当てていますが、民間部門に義務を課すものではありません。 F5 は、転送中のデータを暗号化し、追加のセキュリティ対策を使用して、前述の 2023 年の欧州委員会の適格性決定の前にシュレムス II裁判所が懸念した理論上の傍受活動からデータを保護します。

CLOUD法は、米国政府に米国内で事業を行う企業にデータを要求する新たな権限を与えたわけではない。 米国政府は「CLOUD Act 命令」を発行しておらず、F5 はこれまでそのような命令を受けたことはありません。 CLOUD 法は、米国政府が適切な既存の法的手続き (連邦地方裁判所の判事から命令を取得するなど) に従って、企業が所有、保管、または管理する特定のデータを提供するよう指示する場合、データの所在地は企業が命令に異議を申し立てる根拠にはならない (ただし、その所在地で施行されている法律との矛盾は依然として根拠となる可能性がある) ことを明確にしました。 CLOUD 法は、2020 年のSchrems II判決以前から施行されています。 シュレムス II判決の後、米国は政府によるデータへのアクセスに関する規則と慣行にさまざまな改善を加えました。 その後、欧州委員会はこれらの改善を評価し、米国政府のデータ要求に適用される米国法が、GDPR の意味において適切なレベルの保護を提供するようになったと判断しました。 見る 欧州議会および理事会の規則（EU）2016/679に基づく2023年7月10日の実施決定 EU-米国間の個人データ保護の適切なレベルについて データ プライバシー フレームワーク。 欧州データ保護委員会（EDPB）はこの決定を分析し、（ 2023年7月10日の十分性決定の採択後のGDPRに基づく米国へのデータ移転に関する情報ノートの中で）「米国政府が国家安全保障の分野で導入したすべての保護措置（救済メカニズムを含む）は、使用される移転ツールに関係なく、米国に移転されるすべてのデータに適用される」（つまり、データがデータプライバシーフレームワーク、標準契約条項、または別の移転ツールを介して米国に移転されるかどうかに関係なく）と述べています。

F5 の顧客関係の性質と、F5 が顧客のために処理するデータが限られている (通常は暗号化されている) ことを考慮すると、このような要求は極めてまれです。 F5 の顧客データに対するあらゆる要求に対するポリシーは、(i) 法的に許容される場合は速やかに顧客に通知し、顧客の解決に協力するか、(ii) 顧客への通知が違法である場合は、要求権限を顧客にリダイレクトすることを試みることです。 これらの取り組みによって問題が解決しない場合、F5 は要求の合法性を評価し、要求に従うことが GDPR またはその他の関連法に違反するかどうかを含め、要求に対するあらゆる合理的な異議 (控訴など) を申し立てます。 このプロセスの間、F5 は、管轄の司法当局が控訴手続きを含めてその正当性を判断するまで、要求の効果を停止するよう要求します。 F5 は、適用される手続き規則に基づいて要求されない限り、そのような状況でデータを開示することはありません。 その点に達した場合、F5 は当初の要求の残りを満たすために必要な最小限のデータのみを開示します。

F5 のサービスに関するすべての顧客契約 (エンド ユーザー サービス契約 (EUSA) ) には、F5 のデータ保護補足契約 (DPA) を組み込んで補足するサービス固有の条件が含まれています。このデータ保護補足契約には、英国またはスイスの法律の対象となる転送に関する関連する追加言語を含む標準契約条項が含まれています。 場合によっては、特定の F5 サポート サービスの契約など、顧客と F5 の間に同じ保護を組み込んだ別の契約が締結されることがあります。 顧客は、 https://www.dataprivacyframework.gov/listを参照することもできます。これは、F5がEU-USの認定を受けていることを示しています。 データプライバシーフレームワーク、EU-米国間の英国拡張 データプライバシーフレームワークとスイスと米国 データ プライバシー フレームワーク。

英国を含む「第三国」の F5 事業体への転送については、F5 とその顧客は、英国情報コミッショナーの Web サイトで入手可能で、英国法に準拠する関連する転送に関する F5 のDPAに参照により組み込まれている、EU 委員会の標準契約条項に対する国際データ転送補足条項に依存しています。 さらに、特定のサービスについては、F5はEU-US間の英国拡張の認定を受けています。 データ プライバシー フレームワーク。