一般データ保護規則(GDPR)

一般データ保護規則(GDPR)は、EU域内の個人データの保護をさらに強化するために、既存のEUデータ保護法(1995年のデータ保護指令)に代わって、2016年5月に発効した包括的なEUデータ保護法で、2018年5月25日に全面施行されました。

GDPRは、EU域内の個人のデータを自らの目的のために収集および処理する組織(「管理者」Controller)、および他者に代わってデータを処理する組織(「処理者」Processor)に適用されます。これは、管理者のみに適用された従来のEUデータ保護法からの転換です。

はい。GDPRは、EU域内の個人のデータを収集または処理する法人であれば、EU域内に拠点がない法人にも適用されます。例えば、EUのデータ主体をターゲットとする商品やサービスを提供している場合や、EU域内における彼らの行動を監視している場合にも適用されます。

パロアルトネットワークスは、GDPRにおけるデータ管理者およびデータ処理者としての自社の責任に取り組むために、GDPR対応プログラムを立ち上げました。
また、パロアルトネットワークスがお客様のデータ処理者として行動する際に、お客様にとって適切な条件を整えるために、エンドユーザー ライセンス契約(EULA)の条項を更新し、監査権、データ侵害の報告、復処理者など、GDPR第28条の要件に対応する規定を盛り込みました。また、以前のバージョンのEULAに署名した既存のお客様には、データ管理者とデータ処理者間の契約に関するGDPR第28条の要件に対応した署名済みのデータ処理契約を提供しています(こちらからダウンロード可能)。
さらに、弊社製品のデータ保護影響評価の実施を希望するお客様は、弊社製品による個人情報の処理方法が詳しく記載されたプロダクト プライバシー データシート(www.paloaltonetworks.com/resources/datasheets/product-privacy-datasheets)をご覧ください。

パロアルトネットワークスは、EUから米国への顧客データの移転の根拠として、EUが承認した標準契約条項に基づく企業間の契約を締結しています。

特定の製品についてEU (またはその他の地域)内にデータを保管することを希望するお客様のために、パロアルトネットワークスの地域クラウドは、グローバルな脅威インテリジェンスと保護の力によって世界最高レベルのセキュリティと防御を提供すると同時に、お客様のデータ保管場所の要件に対応するためのオプションも用意しています。

GDPRは、組織に個人データを保護する対策を講じることを義務付けています。特に、法人は到達水準、実施コストおよび処理の性質、範囲、文脈、目的だけでなく、自然人の権利と自由に関するさまざまな可能性や重大性のリスクも考慮し、適切なセキュリティを選定し、導入することが求められています。パロアルトネットワークスは、弊社プラットフォームがどう役立つのかを概説したホワイト　ペーパー「How the Next-Generation Security Platform Contributes to GDPR Compliance」(次世代セキュリティ プラットフォームをGDPR準拠に活かす方法とは?)を作成しました。また、弊社の製品およびサービスには、プライバシー原則、お客様のポリシー、およびGDPRを遵守しながら実装できるように製品を設定するオプションが用意されています。例えば、どのデータをパロアルトネットワークスと共有するのか、誰がそのデータにアクセスできるのかをお客様が決めることができる管理機能があります。弊社の製品のプライバシーに関する影響について、詳しくはプロダクト プライバシー データシート(https://www.paloaltonetworks.com/resources/datasheets/product-privacy-datasheets)をご覧ください。

GDPRとパロアルトネットワークスについて上記以外の質問がございましたら、gdprinfo@paloaltonetworks.comまでお問い合わせください。