トラストセンター

プライバシーとGDPR

一般データ保護規則(GDPR)

2018年5月、欧州の個人情報保護法である一般データ保護規則(GDPR)が施行された。GDPRは、欧州連合(EU)の人々に商品やサービスを提供する企業、政府機関、非営利団体、およびEU居住者に紐づくデータを収集・分析するその他の組織に規則を課すものです。GDPRは、あなたがどこにいても適用されます。

Dotdigitalは、データ保護、プライバシーの擁護、複雑な規制への対応において豊富な専門知識を持っています。私たちは、GDPRが個人のプライバシー権を明確化し、可能にするための重要な前進であると考えています。私たちは、お客様がGDPRに効率的に対応しながら、コアビジネスに集中できるようお手伝いしたいと考えています。

私たちは、クラウドの信頼、データ保護、データセキュリティの原則にコミットしています。私たちは、お客様のプライバシー要求に対応するプラットフォーム機能を提供するつもりです。GDPRの施行が本格化する中、私たちに期待できるその他のことは以下の通りです:

  • お客様のニーズを満たすテクノロジー:個人データの削除、修正、移転、アクセス、処理に対する異議申し立てなど、GDPRの義務を果たすために、当社の特定のプラットフォーム機能を活用することができます。
  • 契約上のコミットメントDotdigitalとの関係は、セキュリティ基準、サポート、新しいGDPRの要件に従ったタイムリーな通知など、当社のサービスに関する契約上のコミットメントでサポートされています。
  • 経験の共有:私たちは、データ保護当局やその他の信頼できる組織を通じて収集した情報を共有します。

Dotdigitalは、GDPRへの準拠を成功させるために全面的に支援しますが、準拠は共有の責任であることを認識することが重要です。データへのアクセスと削除のルールの強化、リスクアセスメントの手順、多くの組織におけるデータ保護責任者の役割、データ侵害通知プロセスなどの新しい要件は、組織にとっての変化を意味します。GDPRのコンプライアンスに関しては、影響を受けるのは欧州の組織だけでなく、EU居住者への商品やサービスの提供、またはEU居住者の行動の監視に関連してデータを処理するEU域外の組織も含まれます。そのため、組織の所在地にかかわらず、GDPRに関連する義務を理解することが重要です。

GDPRを遵守するには、時間、ツール、プロセス、専門知識が必要です。そのためには、プライバシーとデータ管理の慣行を変更する必要があります。

モデル契約条項

欧州連合(EU)のデータ保護法は、EUの顧客からEU域外の国への個人データの移転を規制しています。dotdigitalは、プラットフォームサービスの個人データの移転に関する特定の保証を提供するEU標準契約条項を導入しています。これらのモデル契約は、dotdigitalとデータを処理する第三者サービスプロバイダー、およびdotdigitalのすべての子会社(北米、オーストラリア、南アフリカを含む)の間の契約上のプライバシー保護として存在します。dotdigitalのクライアントのための個々のモデル契約条項も、必要に応じてご利用いただけます。

オーストラリアのプライバシー原則

オーストラリアのプライバシー原則の遵守を懸念するお客様のために、dotdigitalは、国際的、業界的、地域的な基準、ベストコモンプラクティス、規制、法律、およびポリシーを幅広く遵守しています。これらの多くは、dotdigitalトラストセンターで確認することができます。データ主権が懸念される場合、dotdigitalは、オーストラリア、北米、ヨーロッパを含む様々な地域でのインスタンスの送信を選択できるようにすることで、データの保存場所を制御する機能を提供しています。

dotdigitalプラットフォームは、オーストラリアが特定するコンプライアンス、セキュリティ、プライバシーの要件に対応していますが、一部の要件はお客様の責任であり、お客様が責任の共有について理解することが重要です。

カナダのプライバシー法

プライバシー法や個人情報保護・電子文書法(PIPEDA)などのカナダのプライバシー法は、個人のプライバシーを保護し、収集された情報にアクセスする権利を与えることを目的としています。これらの法律は、組織が保管または管理する情報を保護するために合理的な措置を講じることを義務付けており、政府や民間組織がデータファイルや登記簿などに保管し、処理する個人情報を対象としています。

最終的に個人データの責任と所有権は、Dotdigitalの利用規約に従い、当社の法人のお客様にあります。しかしながら、Dotdigitalは、第三者サービスが、確立された業界標準に基づき、個人のプライバシーを保護するためのセキュリティ保護措置を導入していることを約束します。当社は、リスク、セキュリティ、インシデント管理、アクセス制御、データ完全性保護、およびカナダ個人情報保護委員会事務局からの勧告に関連するその他の分野における当社の慣行を評価し、対象サービスはこれらの勧告を満たすことができると判断しました。

拡張性、保護、認定

エンゲージメント・クラウド・プラットフォームは、コミュニケーションを管理する際に、御社とそのデータを保護するように構築されています。

  • ページはTLSを介してデータを渡す。
  • エンゲージメントクラウドは暗号化されたデータ転送をサポートしています。
  • エンゲージメント・クラウド・プラットフォームへのアクセスは、オプションの二要素認証によるウェブフォーム・ログインで行います。
  • Engagementクラウドプラットフォームのすべてのユーザーは、90日ごとにパスワードを変更する必要があります。
  • パスワードは、NISTが承認した暗号化実装を使用してハッシュ化される。
  • 当社のウェブログインページとAPI 、ブルートフォース攻撃から保護するためにレート制限を実施しています。
  • アカウントのアクセス権(インポート、エクスポート、読み取り、書き込み、送信)は、ニーズに合わせて設定でき、管理者ユーザーによって管理されます。
  • すべてのユーザーは、管理者ユーザーによってプラットフォームに設定されます。認証はメール と SMS で行います。
  • すべてのデータは、プラットフォームにアップロードされる際にウイルススキャンされる。
  • ウォッチドッグサービスは、顧客コンタクトのアップロードを常に監視しています。通常のパターンと異なる場合は、自動的にアップロードを停止します。このプロセスはまた、配信に影響を与える可能性のあるスパムトラップへの送信からお客様を保護します。
  • 電子メールは、DKIMやDMARCなどの認証・検証システムを採用し、日和見的TLSを使用して送信される。
  • 決済プロセスはPCI-DSSに完全に準拠しています。
  • 管理対象ユーザーには、きめ細かなアクセス制御権限を割り当てることができる。
  • キャンペーンリンクは、プラットフォームの悪意ある利用を防ぐため、リスクの高いドメインのリストと照合されます。

お客様のデータを信頼してお任せください

我々はインフラとそれを支えるチームが世界トップクラスであることを保証するために努力してきた。

  • 私たちはサイバー・エッセンシャルズ・プラス認証を受けています。
  • お客様の地域に応じて、EU、米国、またはオーストラリア内の安全なデータセンターを使用しています。すべてのデータセンターは、ISO27001、ISO9001、List Xなどの業界標準の認定を幅広く取得しています。
  • 当社のデータセンターは冗長インターネットリンクでインターネットに接続されており、帯域幅は要件に応じて簡単にアップグレードできます。
  • すべてのコンポーネントとサービス・レベルに冗長性があり、予備容量もあり、オンデマンドでサーバーを拡張することができます。つまり、エンゲージメント・クラウドは、コンポーネントに大きな障害が発生しても、長期にわたって稼働し続けることができ、スペースが不足することもありません。
  • 利用可能な場合、dotdigitalの新入社員はバックグラウンドチェックを受けます。
  • 当社のインフラはファイアウォールで保護されており、すべての管理アクセスには2要素認証が必要です。
  • 私たちは、メール イメージやその他多くのアプリケーションリソースをホストするために、主要なクラウドプロバイダーやコンテンツ配信ネットワークを利用しています。
  • ウイルススキャン技術は、当社のインフラ全体に導入されています。
  • 毎年、独立した第三者機関にセキュリティ評価を依頼している。
  • 継続的な脆弱性スキャンと管理プログラムが実施されている。
  • マシンは、承認された硬化イメージから構築され、サードパーティのセキュリティ評価で検証されている。
  • 最新のセキュリティ・アップデートが適用されていることを確認するため、毎月のパッチ適用サイクルが実施されている。
  • 私たちは重要なデータの復元ポイントを設けており、5分ごとに取得している。
  • バックアップ・データは同じ地域に安全に保管されるが、災害が発生してもデータが失われないよう、十分な距離を保ちつつ、現地のデータ保護規制を遵守している。
  • 私たちのチームには、熟練した情報セキュリティとデータ・プライバシーのスペシャリストがおり、セキュリティが常に最優先事項であることを保証しています。
  • EUモデル契約は、dotdigitalとその子会社、およびデータを処理する下請け業者との間で締結されています。
  • 役割ベースのアクセス許可は、システムやデータへのスタッフのアクセスを制御するために使用されます。
  • インフラへの管理アクセスは厳重に管理され、多要素認証による保護が採用されている。
    侵入検知技術を導入しています。

目次

お問い合わせください!