プライバシー：データ プライバシーの原則とコンプライアンス

2021年6月

テクノロジによって、私たちの生活とビジネスのあり方は大きく変わりました。私たちは、デジタル化されたワークフロー、サプライ チェーン、メディアを通じてオンラインで出会い、買い物をし、娯楽に興じています。新しいトランザクションが生じる度にデータが生成され、デジタルの世界に生まれたもう一人の自分が、インターネットの中を動き回ります。しかし、自分を守る術もなく物理的な世界を歩き回ることがないように、デジタルの世界でも自分自身の保護が必要です。

世界ではデータ プライバシー法によって、個人情報を扱う企業に具体的かつ多様な要求が突き付けられています。この個人情報には、デジタルの世界で個人の特定につながるデータも含まれます。NetAppは、ハイブリッド クラウド環境におけるデータ管理のオーソリティとして、すべてのユーザを対象に、プライバシーに関する権利の保護に長年取り組んでいます。お客様のデータの収集、使用、保管をお客様が自身で管理できる包括的なアプローチを採り、会社のポリシー、手続き、基準を守ることで、データ プライバシーの権利を保護しています。お客様は、NetAppのテクノロジを導入することで、従業員、パートナー、顧客のプライバシーを保護し、世界のさまざまなデータ保護法に準拠することができます。

NetAppのデータ プライバシーは、当社の行動規範に基づき、契約された約束とBinding Corporate Rulesによって裏付けられたプライバシー原則から始まります。原則を構成するのは、透明性、法令準拠、セキュリティ保護、説明責任など、一般に認められているプライバシー原則であり、当社はこの原則によって、製品やサービスで個人データがどのように管理され保護されるかを規定しています。国境を越えたデータ移転への対応や、約束を確実に果たすために使用するサービスの管理に関して、NetAppは透明性の確保に努めています。

データのプライバシーと保護は、世界のプライバシー法の基礎である基本原則に基づくものであり、NetAppは、GDPRやCCPAなど、データ保護やプライバシーに関する法や規則に準拠するよう製品とサービスを設計しています。

NetAppのプライバシー原則は、NetAppの行動規範に基づき、契約された約束とBinding Corporate Rulesによって裏付けられており、当社の製品とサービスによる個人データの管理と保護の方法を規定するものです。NetAppでは、GDPRなど、データ プライバシーに関する法の基本原則を基に、経済協力開発機構（OECD）などの組織が定める原則に沿った形で、このプライバシー原則を定めました。NetAppは、データ プライバシーの基本原則を何よりも重視することで、進化し続ける世界の法環境に合わせて拡張できるよう、プライバシー保護プログラムを設計しています。

NetAppは、Binding Corporate Rules（BCR; 拘束力のある企業規則）の中で、データ プライバシーとデータ保護の共通原則の遵守を約束しています。NetAppのBCRは、個人情報の取り扱いに、当社が企業としてどう取り組むかを定義するものであり、EU域外へのデータ移転など、国境を越えたデータ移転のあり方が具体的に規定されています。

BCRでは、ポリシーやトレーニング、ガバナンスや監査など、データ プライバシーとデータ セキュリティのための包括的なプログラムに対応することが求められます。NetAppはGDPRの施行時に、BCRの管理者としてGDPR要件に対応するようBCRを改正し、顧客データの処理者として活動できるよう新しいBCRを提出しました。

カリフォルニア州消費者プライバシー法（CCPA）とは、カリフォルニア州居住者（同法でいうところの「消費者」）に、各自の個人情報を管理する権利を認める法律です。2023年1月に施行されたカリフォルニア州プライバシー権法（CPRA） では、配慮を要する個人情報の取り扱いが新たなカテゴリとして追加されるなど、消費者個人の権利が拡大されました。また、個人情報を取り扱う事業者に新たな義務も課せられました。

両法の要件は多くがGDPRの基本原則と共通していることから、NetAppはGDPRへの準拠にあたっての取り組みを、CCPAとCPRAへの準拠にも応用していますが、当社のプライバシー ポリシーに記されている必要な開示については、明らかな違いが見られる場合もあります。

NetAppの製品とサービスには、カリフォルニア州のどちらの法律にもお客様が準拠できるよう、必要な機能が組み込まれています。もしくは構成や設定によって、両法に準拠できるようになっています。たとえば、一部のケースでは、NetAppが収集した情報へのアクセス、情報の削除や修正を要求する権利を、お客様がNetAppのサービスにご自身でアクセスして行使することが可能です。 

データ主体の世界で保護対策を推し進めるうえで重要なのが、データ プライバシーです。NetAppは、ハイブリッド クラウド環境におけるデータ管理のオーソリティとして、包括的な戦略でGDPRへの準拠を維持しています。NetAppが提供する一連の強力な製品とサービスには、GDPRに準拠するよう設計された機能や、GDPRに準拠する実装方法をお客様が任意で選択できる機能が備わっています。たとえば、GDPRではEU域外へのデータ移転が規制されており、移転するには条件のクリアが必要です。お客様が、GDPRの管轄区域にあるデータを移動するのは難しいと判断した場合、NetAppは、いくつかの機能を有効にして、その区域内のみでデータを扱えるようにします。

現代のグローバル企業では、データがどこにあるか、従業員や顧客がどこにいるかに関係なく、いつもでデータにアクセスできることが望まれます。グローバルなビジネスを確立して維持するには、異なる地域間で、確実にデータを移転できなければなりません。ただし、移転するデータが個人情報の場合は、データの収集元である個人のプライバシーを十分に保護できるだけの安全策を特別に講じることが必要です。

NetAppの製品とサービスには、データのプライバシーを保護し、データの地理的な保管場所を管理できる多くのオプションが用意されています。当社は、Binding Corporate Rulesの中で個人情報の保護を約束しており、この規則にはGDPR要件も反映されています。併せて、データをどのように移転するかを保証する、標準契約条項も提供しています。条項はすべて、管理、技術、運用に関する保護措置によって裏付けられ、保護措置は定期的にコンプライアンスが評価されます。