MynewsdeskのGDPR対応について

EU一般データ保護規則 General Data Protection Regulation (GDPR）は、欧州連合における新しい個人情報保護の枠組みであり、個人データの処理と移転に関するルールを定めた規則です。2016年4月に制定されたGDPRが2018年5月25日に施行されます。

MynewsdeskはGDPRに対してどのように対応していますか？

2018年5月25日、EU内でGDPRが発効します。そのため、MynewsdeskはGDPRをシームレスに遵守するためにプロダクトを改善、アップデート、適合させることを決定しました。私たちは、匿名化および完全性ポリシーを真摯に受け止め、この開発に取り組んでいます。

下記に、MynewsdeskがGDPRの発行にあたってどのように準備・対応しているかまとめています。

お客様とMynewsdeskの間で、データコントローラとしての責任はどのように区別されていますか？

基本的にお客様は、Mynewsdeskにアップロードするデータに関しては責任を負う必要があります。しかし、責任の定義はどのような目的と用途が意図されているかによって大きく左右されます。連絡先情報をアップロード、ダウンロード、保存、更新するときは、データコントローラとしての責任はお客様側に存在します。同時に、この文脈においてMynewsdeskが担うデータコントローラとしての役割は、インフラ部分と、場合によっては管理者といったものがあります。これらに関する内容は、Mynewsdeskの法定代理人によって現在作成中の新しい利用規約で詳細に記載されます。

Mynewsdeskとの契約はGDPRに準拠していますか？

現在、利用規約の改訂に取り組んでおり、新しい利用規約は2018年の春に展開予定です。更新された利用規約は、データコントローラーがお客様とMynewsdeskの間でどのように分割されているかを説明しており、この点においてデータ処理契約としての機能を果たすものとなります。これに伴い、私たちはプライバシーポリシーに関しても更新を予定しています。

バックエンド画面のContacts（リスト管理機能）にアップロードするデータの責任は誰にありますか？

データの責任はお客様にあります。この役割は、新しい利用規約でより明確になります。新しい利用規約は、2018年春に展開される予定です。

情報が個人から直接収集される場合に通知が提供されますか？

サインアップして個人データを入力する際、ユーザーは利用規約に同意します。なお、GDPR遵守への準備の一環として、ユーザーがサインアップされる際に、データの扱い方やその目的に関する説明をより詳しく行うように心がけます。

Mynewsdeskは文書化されたプライバシーポリシーを持っていますか？

はい。文書化されたプライバシーポリシーがあります。ポリシーの中で、クライアントとユーザーの個人データを処理するプロセスを定義しています。現在のプライバシーポリシーはGDPRに応じて更新する予定です。

個人情報の収集が必要最小限に制限されていることを確実にするための管理が行われていますか？

はい、私たちには内部プロセスがあり、個人データの処理は特定の目的に限定されています。さらに下請け業者がGDPRの要件を確実に満たすように手順を定義しました。

外部データコントローラへのデータ転送に関するMynewsdeskのポリシーはどのようなものですか？

個人データを転送する手順が確立されており、文書化されています。基本ルールとして、お客様のデータコントローラやデータ保護担当者への通知なしに個人データが外部のデータコントローラに転送されることはありません。

国外における個人データの転送は、EUまたはEECに所属する国と米国（データ処理業者がPrivacy Shield認定を取得している場合）にのみ許可されます。その他の転送に関しては、お客様のデータ保護担当者に通知され、ケースバイケースで行われます。

Mynewsdeskの主なデータ処理業者はどの会社ですか？

データのホスティングと格納を行っている主な業者はAmazon WebservicesとHerokuです。これらの業者は、EU（アイルランド）内でデータを処理しています。

どの国で個人データを処理していますか？

EU（スウェーデン、ノルウェー、ドイツ、アイルランド）、また場合によっては米国でデータを処理しています。米国でのデータ処理に関して、当社の方針はPrivacy Shield認定業者と協力することです。データ処理という用語は、ストレージ、転送、計算などあらゆる種類のデータ処理を表します。

データが格納されている特定のアドレスに関する情報を提供できますか？

セキュリティ上の理由から、ほとんどのホスティングプロバイダはこれに関する詳細な情報を提供していません。 GDPRに遵守するためにMynewsdeskがサーバーの特定住所などを提供する必要はないと考えています。

保管された個人データを物理的および電子的に保護していますか？データ暗号化を使用していますか、侵入防止はどのように行われていますか？

データの保護は、ホスティングパートナーのHeroku（Amazon経由）によって管理されます。詳細については、www.heroku.com/policy/security を参照してください。

データ消去のプロセスはありますか？

私たちは、一定以上のストレージが不要になったとき、または法律上の理由で削除する必要がある場合にデータが確実に削除されるようにプロセスを定義しています。

本人の要請に応じて個人データの削除をサポートしていますか？

私たちはこれをサポートしており、現在、削除要求のプロセスと手順を定義しています。

保存された個人データのバックアップコピーがありますか？それらのコピーを削除する過程ですか？

当社は、データベースのバックアップコピーをホスティングパートナーのHerokuを通じて保管しています。これらのコピーは、削除されるまで3年間保存されています。現在、元のデータベース上のデータの削除に関連して、バックアップコピーから個人データを削除する過程を改訂しています。新しい過程は、GDPRが効力を発する前に実装されます。

データ処理に関するセキュリティリスクが確認されていますか？

見つかった可能性のあるセキュリティリスクを修正するために、継続的な識別、評価、フォローアップを実施しています。

セキュリティインシデントを検出して報告するプロセスはありますか？

データベース内のセキュリティリスクとインシデントを識別するプロセスを部分的に自動化しています。さらに、スウェーデンのデータ保護機関（Datainspektionen）と関係者全員に72時間以内に報告するための手順を定義しました。

私たちのデータ処理契約にMynewsdeskが署名することができますか？

GDPRに関連するものはすべて、2018年春に発行される予定の更新された利用規約の一部となるため、個々の契約に署名することはありません。

データ・コントローラーおよびデータ保護担当者は誰ですか？

NHST Media Groupのデータコントローラは議長　Anette Olsen、Petter Irgens Gustafsonは企業グループおよびすべての関連会社のデータ保護責任者に任命されています。さらに、企業グループ内のすべてのビジネスには、それぞれのビジネスに対する委任された責任を持つ独自のデータコントローラが存在します。 MynewsdeskのデータコントローラはCEOのMattias Malmströmです。