一般データ保護規則 (GDPR) とデータ保護フレームワーク
一般データ保護規則 (GDPR) は、欧州経済領域 (EEA、EU の 27 の加盟国とアイスランド、ノルウェー、リヒテンシュタイン) の人々の個人データを、商品やサービスを提供したり、行動を監視したりする目的で処理するすべての組織に、所在地に関係なく適用される欧州連合の法律です。 GDPR では、組織は個人データを処理する法的根拠を特定し、収集されるデータの内容とその使用方法について個人に通知し、個人からの自分に関する情報へのアクセス、修正、または削除の要求を尊重し、個人データを不正アクセスから保護するための適切なセキュリティ制御を採用し、データ侵害を個人と当局に通知し、データ保護責任者を任命し、後から考えるのではなく活動の開始時にプライバシーを考慮することが求められています。 GDPR では、受信側の管轄区域で本質的に同等の保護を確保するための安全対策が講じられていない限り、EEA 外への個人データの転送も制限しています。
F5 は、プライバシー通知に詳述されているとおり、GDPR に準拠しています。 F5 は、コントローラーである分散クラウド プラットフォームの顧客に対してプロセッサーとして (またはプロセッサーである顧客に対してはサブプロセッサーとして) サービスを運営します。 したがって、F5 は、当社の各分散クラウド サービスについて第 28 条を遵守します。 F5 は、EU-US データ プライバシー フレームワークに参加しています。欧州委員会は、このフレームワークが米国の参加企業への転送に対して適切な保護を提供すると判断しており、サポートの目的で世界中の SOC 拠点に転送される個人データを保護するために標準契約条項を活用しています。 さらに、F5 は、顧客が GDPR に基づく義務を果たせるようにするための強力なプライバシーおよびセキュリティ プログラムを備えています。 営業担当者に連絡して、F5 が毎年発行する SOC 2 タイプ II レポートのコピーをリクエストしてください。このレポートは NDA に基づいて提供され、GDPR の要件に対する制御のマッピング表が含まれています。
よくある質問
F5 は顧客のためにどのような個人データを処理しますか?
多くのサービスにおいて、F5 はサービスを提供するために必要な個人データの「処理者」(管理者ではない)として機能します。 F5 が処理する個人データの詳細は、各サービスのプライバシー ステートメントに記載されています。 F5 のプライバシー通知の概要に関するすべてのサービス固有のプライバシー ステートメント リンクは、https ://www.f5.com/company/policies/privacy-notice で確認できます。
F5 は個人データに対してどのような具体的なセキュリティ対策を提供していますか?
F5 とそのサービスは、個人データの保護を最優先し、データ プライバシーの最高水準を維持します。 [TJ1] [AC2] F5 が収集した個人データを保護する技術的および組織的な管理は、特定のサービス契約 (たとえば、エンド ユーザー サービス契約に基づいて提供されるサービスに適用されるサービス固有の条件) および F5 の SOC2 タイプ II レポートに記載されています。 F5 グローバル サポートは ISO 27001 認定を受けており、F5 分散クラウド サービスは ISO 27017 および ISO 27018 の拡張版として ISO 27001 認定を受けています。 F5 は、F5 分散クラウド サービスのレベル 1 サービス プロバイダーとして PCI-DSS にも準拠しています。 追加のセキュリティ認定は、特定の F5 サービスおよび F5 ハードウェアに適用されます。 データ セキュリティの実践に関する詳しい情報は、https: //www.f5.com/company/policies/privacy-noticeをご覧ください。
F5 とその顧客は、米国およびその他の国への個人データの転送に関する GDPR の第 V 章の要件や、英国およびスイスの法律に基づく同様の要件にどのように対応していますか?
主な事業所がヨーロッパ、中東、またはアフリカ (総称して EMEA) にあるお客様は、F5 Networks, Ltd. との契約を通じてサービスを受けます。 F5 Networks は、英国に本社を置き、英国の法律に基づいて設立されており、F5 の EMEA 事業の中心です。 EUおよびスイス当局は、英国の法律が個人データを保護し、GDPRの第V章および同等のスイスの法律の要件を完全に満たしていることを認めています。
アジア太平洋 (APAC) 地域に本社を置く顧客は、シンガポールの F5 Networks Singapore Pte Ltd. と契約します。 その他のすべての顧客(北米に本社を置く顧客を含む)は、米国の F5, Inc. と契約します。 すべての F5 サービスについて、サービス固有の条件によって補足されるデータ保護補足条項 (DPA)には、F5 へのすべての法的に適用される転送に適用される標準契約条項と規定が含まれています。 これらの標準契約条項には、英国への転送については英国政府が発行した国際データ転送補足条項が、またスイスへの転送についてはスイス連邦データ保護および情報コミッショナーが発行した追加文言が付随します。 関連するサービスについては、F5はEU-USの認証も維持しています。 データプライバシーフレームワーク、EU-米国間の英国拡張 データプライバシーフレームワークとスイスと米国 データ プライバシー フレームワーク。
F5 はデータ プライバシー フレームワークの認定を受けていますか?
はい。 関連するサービスについては、F5 は EU-U.S. の認定を維持しています。 データ プライバシー フレームワーク、EU-米国間の英国拡張 データプライバシーフレームワーク、およびスイスと米国の データ プライバシー フレームワーク。
アメリカは シュレムス II 判決で議論された外国情報監視法 (FISA) 第 702 条および大統領令 (EO) 12333 は F5 に影響しますか?
いいえ。 Schrems II判決の焦点であったこれら 2 つの米国の法規定は、F5 には影響しません。 いずれにせよ、シュレムスII判決後の米国法の改善により、欧州委員会は、EU-米国間の個人データ保護協定の下での適切なレベルの保護に関する欧州議会および理事会の規則(EU)2016/679に基づく2023年7月10日の実施決定において、 データ プライバシー フレームワークにより、これらの規定に関する以前の懸念は解決されました。 欧州データ保護委員会(EDPB)は、欧州委員会の決定を分析し、( 2023年7月10日の十分性決定の採択後のGDPRに基づく米国へのデータ移転に関する情報ノートの中で)「米国政府が国家安全保障の分野で導入したすべての保護措置(救済メカニズムを含む)は、使用される移転ツールに関係なく、米国に移転されるすべてのデータに適用される」(つまり、データがデータプライバシーフレームワーク、標準契約条項、または別の移転ツールを介して米国に移転されるかどうかに関係なく)と指摘しました。
F5 は、FISA 702 に基づくデータ アクセス要求やその他のいかなる種類の指示も受けたことがありません。 F5 の多くのサービスは、FISA 702 指令の対象となるタイプのサービスではありません。 さらに、F5サービスのほぼすべての顧客に対して、F5は標的となる可能性のある種類のデータを処理しません。 FISA 702指令は、大量破壊兵器の拡散に関するデータ、外国の米国攻撃計画、外国スパイの秘密活動に関する情報、またはFISAの意味におけるその他の「外国諜報情報」に適用されます。
F5 は、EO 12333 命令というものが存在しないため、EO 12333 に基づく顧客データ提出命令を受けることもできません。 大統領令 12333 は、米国諜報機関内に一定の責任を割り当てていますが、民間部門に義務を課すものではありません。 F5 は、転送中のデータを暗号化し、追加のセキュリティ対策を使用して、前述の 2023 年の欧州委員会の適格性決定の前にシュレムス II裁判所が懸念した理論上の傍受活動からデータを保護します。
米国はどうだろうか 2018 年の海外におけるデータの合法的使用 (「CLOUD」) に関する法律の明確化は、米国政府のデータへのアクセス要求能力に影響しますか?
CLOUD法は、米国政府に米国内で事業を行う企業にデータを要求する新たな権限を与えたわけではない。 米国政府は「CLOUD Act 命令」を発行しておらず、F5 はこれまでそのような命令を受けたことはありません。 CLOUD 法は、米国政府が適切な既存の法的手続き (連邦地方裁判所の判事から命令を取得するなど) に従って、企業が所有、保管、または管理する特定のデータを提供するよう指示する場合、データの所在地は企業が命令に異議を申し立てる根拠にはならない (ただし、その所在地で施行されている法律との矛盾は依然として根拠となる可能性がある) ことを明確にしました。 CLOUD 法は、2020 年のSchrems II判決以前から施行されています。 シュレムス II判決の後、米国は政府によるデータへのアクセスに関する規則と慣行にさまざまな改善を加えました。 その後、欧州委員会はこれらの改善を評価し、米国政府のデータ要求に適用される米国法が、GDPR の意味において適切なレベルの保護を提供するようになったと判断しました。 見る 欧州議会および理事会の規則(EU)2016/679に基づく2023年7月10日の実施決定 EU-米国間の個人データ保護の適切なレベルについて データ プライバシー フレームワーク。 欧州データ保護委員会(EDPB)はこの決定を分析し、( 2023年7月10日の十分性決定の採択後のGDPRに基づく米国へのデータ移転に関する情報ノートの中で)「米国政府が国家安全保障の分野で導入したすべての保護措置(救済メカニズムを含む)は、使用される移転ツールに関係なく、米国に移転されるすべてのデータに適用される」(つまり、データがデータプライバシーフレームワーク、標準契約条項、または別の移転ツールを介して米国に移転されるかどうかに関係なく)と述べています。
政府データに対する政府の要求に対処するための F5 のポリシーは何ですか?
F5 の顧客関係の性質と、F5 が顧客のために処理するデータが限られている (通常は暗号化されている) ことを考慮すると、このような要求は極めてまれです。 F5 の顧客データに対するあらゆる要求に対するポリシーは、(i) 法的に許容される場合は速やかに顧客に通知し、顧客の解決に協力するか、(ii) 顧客への通知が違法である場合は、要求権限を顧客にリダイレクトすることを試みることです。 これらの取り組みによって問題が解決しない場合、F5 は要求の合法性を評価し、要求に従うことが GDPR またはその他の関連法に違反するかどうかを含め、要求に対するあらゆる合理的な異議 (控訴など) を申し立てます。 このプロセスの間、F5 は、管轄の司法当局が控訴手続きを含めてその正当性を判断するまで、要求の効果を停止するよう要求します。 F5 は、適用される手続き規則に基づいて要求されない限り、そのような状況でデータを開示することはありません。 その点に達した場合、F5 は当初の要求の残りを満たすために必要な最小限のデータのみを開示します。
顧客は、F5 で適切な国境を越えたデータ転送メカニズムが確立されていることをどのように確認できますか?
F5 のサービスに関するすべての顧客契約 (エンド ユーザー サービス契約 (EUSA) ) には、F5 のデータ保護補足契約 (DPA)を組み込んで補足するサービス固有の条件が含まれています。このデータ保護補足契約には、英国またはスイスの法律の対象となる転送に関する関連する追加言語を含む標準契約条項が含まれています。 場合によっては、特定の F5 サポート サービスの契約など、顧客と F5 の間に同じ保護を組み込んだ別の契約が締結されることがあります。 顧客は、 https://www.dataprivacyframework.gov/listを参照することもできます。これは、F5がEU-USの認定を受けていることを示しています。 データプライバシーフレームワーク、EU-米国間の英国拡張 データプライバシーフレームワークとスイスと米国 データ プライバシー フレームワーク。
F5 とその顧客は、英国のデータ保護法の対象となる個人データの転送にどのように対処しますか?
英国を含む「第三国」の F5 事業体への転送については、F5 とその顧客は、英国情報コミッショナーの Web サイトで入手可能で、英国法に準拠する関連する転送に関する F5 のDPAに参照により組み込まれている、EU 委員会の標準契約条項に対する国際データ転送補足条項に依存しています。 さらに、特定のサービスについては、F5はEU-US間の英国拡張の認定を受けています。 データ プライバシー フレームワーク。
