GDPRの遵守

GDPRとは何ですか?

GDPRとは、EU諸国の在住者に関する個人データの使用を規制する包括的なデータ保護法であり、データ管理の行使権を各個人に与えるものです。

GDPRを遵守する必要があるのは誰ですか?

GDPRはヨーロッパ諸国の企業に適用されるだけでなく、EU諸国の在住者にサービスや製品を提供している（またはその対象としている）世界中の企業や組織にも適用されます。

GDPRはThoughtSpotのお客様に影響しますか?

ThoughtSpotのお客様とそのデータがGDPRの適用範囲に入るのは、ThoughtSpotが個人データを処理する場合のみですが、これはかなり大まかな定義です。「処理」には、個人データの収集、保存、移転、使用が含まれます。

GDPRでは、EU内に情報を保持または保存することを義務付けていますか?

いいえ。GDPRでは、データのローカライズやデータの保存場所については特に義務付けていません。簡単に言えば、EU内の個人データをEU以外に移転する場合は、GDPRと同レベルの保護が必要になります。これを実現するための法的枠組みは多数あり、ThoughtSpotはデータ移転についてそれらの法的枠組みに従っています。

ThoughtSpotはGDPRを遵守していますか?

はい。ThoughtSpotでは、ThoughtSpotとそのお客様がThoughtSpot Cloudを利用する際にGDPRを確実に遵守できるよう、導入済みのセキュリティープログラムやプライバシープログラムを定期的に評価および改訂しています。

データ処理補足契約書（「DPA」）とは、ThoughtSpotが個人データを処理する際に従う法的枠組みを定めた契約書です。DPAは、ThoughtSpotとお客様の間で締結するThoughtSpotクラウドサブスクリプション契約書に付属し、カスタマー契約の一部を成します。

DPAは、ThoughtSpotのマルチテナントサービスに固有のもので、サービスとインフラストラクチャーの動作方法に関する具体的なプロセスや手順を扱っています。また、DPAはカスタマー契約書やその他の関連文書とも矛盾しないように起草されます。

データ処理補足契約書のコピーはこちらからご覧いただけます。詳細については、ThoughtSpotお客様担当者までお問い合わせください。

GDPRでは、企業に個人データの使用に関する透明性と説明責任を義務付けるとともに、これを規制機関や当該個人にも実証できることを義務付けています。個人データをEU内に保持する義務付けはありませんが、欧州経済地域以外への移転は制限されています。具体的には、欧州委員会が当該国のプライバシー制度を評価し、「妥当」と表明しない限り、契約またはEUが承認したその他の手段でデータをさらに保護する必要があります。妥当と表明されていない国にデータを移転する場合は、かかるEU承認済みの手段、つまり欧州委員会が定める標準契約条項がThoughtSpotのデータ処理補足契約書に盛り込まれます。お客様が弊社のサービスを利用してEU内の個人データを移転する際には、これらの保護基準に従ってください。