ThoughtSpotトラストセンター

ISO 27001認証

ISO/IEC 27001:2013認証は、セキュリティーマネジメントのベストプラクティスと、情報セキュリティーマネジメントシステム（ISMS）の確立、実施、維持、および継続的な改善を行うための統制を定めたもので、組織が保有する情報資産の安全性を高めることを目的としています。これは、ThoughtSpotのISMSがセキュリティーの脅威の変化に合わせて調整されていることを認証するものであり、このような調整は、急速に変化するITセキュリティーの分野で不可欠なものです。ThoughtSpotでは、毎年の継続審査のほか、3年ごとに更新審査を受けています。ThoughtSpotの認証については、こちらを参照してください。

SOC 2、SOC 3

ThoughtSpotは、Service Organization Control (SOC) 2 Type II監査に問題なく合格しています。SOC 2報告書では、ThoughtSpotの情報セキュリティープラクティス、ポリシー、手順、オペレーションの設計および運用有効性が、セキュリティー、可用性、機密性の各基準を満たすのに適切であることが証明されています。

ThoughtSpotは、AICPAが定めるTrustサービスのセキュリティー、可用性、処理の整合性、秘密保持の原則と規準を満たしています。それを示すSOC 3の一般公開報告書はこちらから入手できます。

HIPAAの遵守

ThoughtSpotは1996年の医療保険の携行性と責任に関する法律（HIPAA）を遵守しており、機密データへのアクセス制限と患者情報の保護を実施しています。必要に応じて、ThoughtSpotビジネスアソシエート補足契約書を締結することも可能です。ThoughtSpot Analytics Cloudで利用可能なセキュリティーコントロールが、セキュリティーとプライバシーに関するHIPAA上の要件にどのように対応しているかについては、Security Infrastructure and HIPAA White Paperを確認してください。

Payment Card Industryデータセキュリティ基準

ThoughtSpotは、いかなるクレジットカード保有者情報についても自身で保管および処理することはなく、Payment Card Industryデータセキュリティ基準（PCI DSS）に記載されているとおり、プロセサー、加盟店、およびサービスプロバイダの資格がありません。ThoughtSpotはPCI-DSSの対象に属しませんが、私たちの既存のセキュリティープログラムはPCI-DSSの関連事項の多くに既に対応しています。私たちは、セキュリティープログラムとセキュリティープロセスを進化させることに伴い、コンプライアンス取得による利点の評価を続けます。ThoughtSpotの構成と使用方法はお客様の責任であるため、PCI-DSS（およびセキュリティーとプライバシー全般）はThoughtSpotとお客様の間の共同責任です。

リスク管理

ThoughtSpotでは、リスクガバナンスプログラムの一環として情報セキュリティーリスク評価を実施し、セキュリティプログラムの有効性を定期的にテストおよび評価しています。これらの評価では、リスクの影響を認識および評価します。それにより、リスク低減/緩和戦略を実施して、新しい/進化するセキュリティーテクノロジーや、業界標準プラクティスの変更、変化するセキュリティー脅威に対処します。このリスクプログラムは、独立した第三者による監査を年1回受けています。

脆弱性管理

ThoughtSpotでは、セキュリティーリスク評価を四半期ごとに1回実施して、情報資産に対する脅威の評価、潜在的な脆弱性の判別、改善措置を行っています。既知の脆弱性に対処するため、ソフトウェアパッチが定期的にお客様のインスタンスに導入されます。

ベンダーの脆弱性管理

ソフトウェアの脆弱性が判明し、ベンダーのパッチによって対処される場合は、ThoughtSpotがそのパッチを当該ベンダーから入手し、必ずすべての実動システムでパッチをテストし、インストールしても安全であることを判断してから、その時のThoughtSpotの脆弱性管理/セキュリティーパッチ管理の標準運用手順に従って、適切な期間内にパッチを適用します。

クラウドセキュリティーアライアンス（CSA）STARアセスメント

セキュリティー、信頼性、確実性、およびリスク（STAR）レジストリは、一般的なクラウドコンピューティングサービスで実施されているセキュリティーとプライバシーのコントロールについて記録している公開レジストリです。STARは、クラウドコントロールマトリックス（CCM）に記載される透明性、厳格な監査、基準の調和という主要原則を包含しています。ThoughtSpotは、CSAのConsensus Assessments Initiative Questionnaire（CAIQ）を提出しており、定期的に更新しています。CAIQは、こちらからダウンロードできます。

最大限のセキュリティー

ThoughtSpotの従業員、資産、データを保護するため、ThoughtSpotの建物と業務スペースは無許可で立ち入れないようセキュリティー対策が施されています。最大限のセキュリティーを確保するため、業務上ThoughtSpotの施設に立ち入る必要があるThoughtSpotの従業員、請負業者および第三者はすべて、セキュリティー要件に従う必要があります。

冗長構成

ThoughtSpotのデータセンターは、サービスレベルを維持するとともに、障害を予測し、障害に耐えられるよう設計されています。障害発生時には、影響を受けるエリアから自動プロセスでトラフィックが移行されます。また、障害が発生していないサイト間でトラフィックを負荷分散できるだけの十分なキャパシティーがあります。

利用開始について

重要なシステムコンポーネントは、分離された複数のロケーションでバックアップされており、高い信頼性で独立して稼動するよう設計されています。障害回復性の高いシステムにより、最高レベルのサービス可用性を実現し、障害発生時にはお客様が非常に短い目標復旧時間（RTO）と目標復旧時点（RPO）を達成できるようにします。

キャパシティー計画

可用性に対する弊社の取り組みと要件をサポートするため、サービスの利用状況は常にモニタリングされています。また、キャパシティー計画モデルと照合してサービスの利用状況が少なくとも月1回測定されます。このモデルは、将来的な需要計画をサポートするものであり、情報処理、通信、監査ログの保管などの考慮事項も加味しています。

アクセス

データセンターへのアクセスを必要とする従業員はすべて、まずアクセス権を申請し、業務上の正当な理由を示す必要があります。これらのリクエストは最小権限の原則に基づいて承諾され、レビューが行われます。

経歴調査

ThoughtSpotでは該当する法律および規制に従い、全従業員を対象に、業務要件、アクセスする情報の機密性、ThoughtSpotの経歴調査ポリシーに従って考えられるリスクに比例した経歴調査を実施しています。

セキュリティートレーニング

ThoughtSpotでは、従業員が過度のリスクを生じさせないよう、セキュリティートレーニングを実施しています。従業員は、雇用開始後の妥当な時期、およびそれ以降は四半期ごとに1回、情報セキュリティートレーニングを修了する必要があります。ThoughtSpotでは、セキュリティートレーニングの出席記録とトレーニング資料のコピーを保持し、必ず従業員が適切にトレーニングを修了してから、システムへのアクセス権が付与されるようにしています。

暗号化

弊社のデータセンターと各地域を相互接続するグローバルネットワークを通るデータはすべて、セキュリティー保護された弊社施設から出る前に、自動的に暗号化されます。ThoughtSpotはAWS提供のツールを使用して、送信時と保存時にデータを容易に暗号化し、許可されたユーザーしかデータにアクセスできないようにしています。暗号鍵はAWS Key Management Service（KMS）またはFIPS 140-2 Level 3認定HSMを使用したCloudHSMで管理されます。

データロケーション

ThoughtSpotでは、お客様が地域および現地のデータプライバシー法規制に従うために必要な制御と可視化を行うことができます。AWSグローバルインフラストラクチャーの設計により、お客様はデータが物理的に置かれている地域に対して完全な制御を維持できるため、データの保存要件を満たすのに役立ちます。

行レベルのセキュリティー

行レベルのセキュリティー（RLS）により、グループのアクセス権をテーブル行にまで絞って制限することができます。ルールが定義された後、グループメンバーが検索や回答表示などのデータ処理を行うと、ThoughtSpotがそのユーザーのアクセスをルールと照合して評価し、制限対象のデータが表示されないようにします。そのため、ユーザーは許可されているデータしか閲覧できません。

GDPRの遵守

ThoughtSpotはEUの一般データ保護規則（GDPR）を完全に遵守しています。ThoughtSpotのデータ処理補足契約書には、EU承認済みのデータ移転メカニズム、つまり欧州委員会が定める標準契約条項が盛り込まれています。お客様が弊社のサービスを利用してEU内の個人データを移転する際には、これらの保護基準に従ってください。GDPRの詳細については、こちらを参照してください。該当する各ThoughtSpot SaaSアプリケーション向けに、個人データの処理が承認されているサブプロセッサーのリストは、こちらから確認できます。

プライバシーシールド

ThoughtSpotでは、欧州司法裁判所の判決（Case C-311/18）を踏まえ、個人データの移転に関してEU・米国間プライバシーシールドを法的根拠としていませんが、プライバシーシールドに規定されるセキュリティーとプライバシーに関する原則に引き続き取り組むとともに、プライバシーシールドの要件に対する自己認証を継続的に行っています。ThoughtSpotによるプライバシーシールドの継続的遵守については、データプライバシーフレームワークのWebサイトおよびデータプライバシーフレームワークに関するポリシーを参照してください。

プライバシーステートメント

ThoughtSpotのWebサイトを介して、弊社の製品や関連サポートおよび専門サービスの購入および使用に関連して、および、登録者や出席者から情報を収集する弊社主催のイベントに関連して得られる個人情報の収集、使用、開示は、ThoughtSpotのプライバシーステータスに従って行われます。

クッキーに関するポリシー

ThoughtSpotでは、セッション型と永続型の両方のクッキーを使用します。セッション型クッキーは、Webセッション中にのみ存在し、インターネット・ブラウザーを閉じると有効期限が切れます。永続型クッキーは、お客様が手動で削除するまで、またはクッキーで指定された期間に基づいてブラウザーが削除するまで、ブラウザーのサブフォルダーに保持されます。

Schrems II事件後における個人データの越境移転

欧州司法裁判所による2020年7月16日の判決（C-311/18。いわゆる「Schrems II」事件）に従い、ThoughtSpotは、EEAまたはスイスから米国への越境データ移転に関して、EU・米国間およびスイス・米国間プライバシーシールド認証を法的根拠とすることを取りやめています。弊社は、2020年7月16日以前に当該認証に依拠して米国に移転されたすべての個人情報について、EU・米国間およびスイス・米国間プライバシーシールドの原則を引き続き遵守します。

ThoughtSpotは、EU法の適用対象となる個人データをお客様およびサブプロセッサーから、またお客様およびサブプロセッサーに移転するにあたり、移転機構として標準契約条項を使用します。Schrems II事件の判決およびEU監督機関による関連ガイダンスに従い、ThoughtSpotでは、特定の移転にあたり、標準契約条項の使用と併せて、適切と思われるさまざまな技術的および組織的保護措置を実施しています。Schrems II事件の判決に対するThoughtSpotの対応については、こちらを参照してください。

お客様のデータは売りません

ThoughtSpotがお客様のデータを売ることはありません。また、広告目的でお客様のデータをマイニングすることも、データにアクセスすることもありません。また、ThoughtSpotでは、ThoughtSpotの従業員や検証済みの認定請負業者が業務上必要な場合以外お客様のデータにアクセスしないことを契約で義務付けています。