Heroku と GDPR

この記事の英語版に更新があります。ご覧の翻訳には含まれていない変更点があるかもしれません。

最終更新日 2019年07月23日(火)

Salesforce では、信頼が最も重要な価値であり、お客様のデータの保護を最優先に考えています。当社では、多くの組織が GDPR についての疑問と、GDPR による新しい義務を抱えていらっしゃることを認識しています。このドキュメントは、お客様の GDPR 準拠対応を支援するために作成しました。

EU の一般データ保護規則 (GDPR) は、2018 年 5 月25 日に施行された包括的な欧州のプライバシー法です。 Salesforce では、欧州連合 (EU) 域内でのデータ保護要件の効率化を進める重要な一歩として、また Salesforce がデータ保護への対応を強化する機会として、この法律を歓迎しています。

当社の GDPR に対する取り組み

当社では、GDPR 準拠を含め、お客様の成功に尽力しています。

既存のプライバシー法と同様に、GDPR に準拠するには、Salesforce と当社のサービスを利用するお客様との間の協力関係が必要です。Salesforce では、お客様へのサービス提供において GDPR に準拠します。また、お客様の GDPR 準拠についても全力を尽くして支援します。当社では GDPR の要件を詳細に分析しており、GDPR 準拠をサポートするために製品、契約、ドキュメントの強化に取り組んでいます。

自組織が GDPR の影響を受けるかどうか

EU 域内に拠点を置いている組織という文脈で個人データを処理している場合は、個人データの処理を EU 域内で行っているかどうかに関係なく、GDPR が適用されます。「処理」とは、個人データに対して行われる収集、保管、移転、共有、削除などの操作を意味します。

EU 域内に拠点がなくても、EU のデータ主体に (有償 / 無償に関係なく) 商品またはサービスを提供している場合や、EU 域内での EU のデータ主体の行動を監視している場合は、GDPR が適用されます。監視には、データ主体の閲覧行動を追跡するために Web サイトに Cookie を配置することから、先端技術を駆使した監視アクティビティまで、あらゆるものが含まれます。

欧州のデータ保護法のもとでは、個人データを処理する組織は「管理者」(個人データを管理する組織) と「処理者」(データ管理者の指示によってのみ個人データを処理する組織) に分類されます。GDPR は、管理者と処理者の両方に適用されます。

お客様における GDPR 対応

お客様における GDPR 対応に役立つ情報として、次のようなリソースがあります。各トピック内に、いくつかの考慮事項が記されています。

​​ ​​ ​​ ​​ ​​ ​​ ​​ ​​ ​​ ​​
​リソース​​説明​
​​​Heroku のデータ削除​​​​データ保護およびプライバシーに関するさまざまな規制に準拠するため、顧客の個人データの削除が必要な場合があります。適用される規制に準拠できるように、一般的な顧客の要求の例を挙げ、考慮事項について説明します。​
​​​Heroku の同意管理​​​​お客様の会社から顧客への連絡方法に関する顧客の承認を追跡します。データ保護およびプライバシーに関するさまざまな規制への準拠の評価に役立つように、一般的な顧客の要求の例を挙げて説明します。また、お客様の会社に適用される規制に準拠する最適な方法を判断するために役立つ詳細な情報も用意しています。​
​​​Heroku のデータ処理の制限​​​​顧客のデータの処理を防止することが必要になる場合があります。その場合に検討すべきアクションについて説明します。それによって、会社にとって重要な法律への準拠に取り組むことができます。​
​​​Heroku のデータの可搬性​​​​顧客は、当社が顧客から受信したデータのコピーを要求できます。データ保護およびプライバシーに関するさまざまな規制に準拠するために、データをエクスポートし、まとめます。ここでは、一般的な顧客の要求の例を挙げ、考慮事項について説明します。それによって、お客様の会社に適用される規制に準拠するための最善の方法を判断できます。​

その他のリソース

当社は、お客様の GDPR 準拠への取り組みにご協力できることを願っております。詳細について、​GDPR に関するリソースの Web サイト​を参照し、​Trailhead​ で​「EU のプライバシー法の基本」のモジュール​を学習することをお勧めします。

「Heroku のセキュリティ」Web サイト​では、お客様を保護するために確立しているセキュリティプロセスについて説明しています。また、​「Heroku のセキュリティ、プライバシー、コンプライアンス」Web サイト​では、セキュリティに関する追加オプションを構成して実装する方法を示しています。

当社の GDPR、Salesforce の処理者に義務付けられる企業規則、プライバシーシールド、標準条項については、​「Data Processing Addendum」Web サイト​を参照してください。Heroku のアーキテクチャ、機能、制限、通知、インフラストラクチャ環境、サブ処理者などについては、​Heroku の信頼性とコンプライアンスの Web サイト​を参照してください。

その他の情報

Salesforce Heroku のお客様は、最適なセキュリティ対策の実現方法や Heroku でのアプリケーションデプロイの管理方法についてご不明な点がある場合、​Heroku サポート​にご連絡ください。