万全のセキュリティのもとで業務を行えます。クラウド環境、ハイブリッド環境、オンプレミス環境で、お客様の保存データと転送中のデータの安全性を維持するための VMware の取り組みをご確認ください。
お客様のデータについて、どのようなアクセスや使用方法を許可するかをお客様が決定できる、VMware のポリシーをご覧ください。
あらゆる領域で包括的なコンプライアンスを実現できます。VMware のコンプライアンス基準および規制の詳細なリストをご覧ください。
お使いのソリューションの最新のステータスをご確認ください。製品とサービスのグローバルな可用性について、透明性の高い方法で情報を提供しています。
行政機関から防衛機関、世界最大規模のデータセンターにいたるまで、VMware は長年、世界各地の機密性の高い環境の提供において信頼されるパートナーの役割を果たしています。この定評ある能力が、クラウドサービスにまで拡張されました。
VMware は、すべてのクラウド ソリューションの基盤にセキュリティを組み込んでいます。弊社のサービスは、主要なコンプライアンス認定に準拠することで、業界のベスト プラクティスを反映した標準を維持しています。
クラウドへの移行、モダン アプリケーションの作成、データセンターの拡張、マルチクラウド運用の自動化などを、自信を持って俊敏に進めることができます。
世界レベルのセキュリティ パートナーと業界をリードするセキュリティ開発ライフサイクル プロセスにより、業界のベンチマークとベスト プラクティスに基づくクラウド運用とセキュリティ管理を実現します。
VMware は、厳格なデータ保護標準に従って、データの処理から保管、伝送、破棄に至るまで、すべての分類レベルで適切な処理を行っています。クラウド内のデータは責任共有の対象となります。VMware では、お客様の組織データの所有権と管理権をお客様自身が保持できるようにしています。
VMware のクラウド ソリューションは、弊社の IaaS パートナーが提供する基本的なネットワーク セキュリティの上に構築されています。ネットワーク環境は論理的に分離され、ファイアウォールで保護されています。これにより、ビジネス セキュリティ要件を確保して、適切な保護と分離を実現できます。
最小権限の原則に基づき、VMware のクラウド ソリューションは、ID とアクセス管理のコントロールを使用して、すべての担当者に適切なレベルのアクセス権を付与することで、お客様のデータとシステムを安全かつセキュアに保ちます。
VMware の包括的な脆弱性管理プログラムには、ネットワーク、アプリケーション、ローカル オペレーティング システムの各レイヤーを対象とするサードパーティの脆弱性スキャンと侵入テストが含まれており、新たに発生するセキュリティ ギャップにすみやかに対応できます。
VMware のクラウド ソリューションは、パブリックとプライベートの両方の脅威フィードに相関付けられた環境ログを継続的に収集して監視することで、疑わしい活動や異常な活動を検知します。これは、業界団体、リスクおよびコンプライアンス組織、各国/地域の当局、規制機関との継続的な連携によってサポートされ、新しい脅威の迅速な捕捉を可能にしています。
VMware のセキュリティ リーダーと専門家が、企業のセキュリティ維持に役立つ最新のトレンド、ヒント、テクノロジーをご紹介します。
個人情報の収集、使用、開示、転送、保管方法における透明性を確保
個人情報の収集、使用、開示、転送、保管方法における透明性を確保
お客様が VMware 製品およびサービスを使用するにあたって、VMware が収集、使用する個人情報に適用されます。以下のようなものが対象となります。
VMware の製品およびサービスに関するカスタマー エクスペリエンスの改善と分析のためのプログラムについては、こちらをご覧ください。
VMware が以下のときに収集する個人情報の取り扱いについてお知らせするものです。
お客様が VMware の Web サイトやオンライン プロパティを利用、またはこれらを操作するときに、VMware が Cookie とこれに類似するその他のトラッキング技術を使用する方法についてお知らせするものです。
VMware は、特定の Web サイト、イベント、モバイル アプリケーションについて、追加のプライバシー通知を提示する場合があります。「ジャストインタイム」の情報開示や製品内でのプライバシー通知などがこれにあたります。こうした通知は、VMware のプライバシー取り扱い方針を補足または明確化するため、あるいは VMware によるデータの処理方法についてお客様に追加の選択肢を提供するために行われます。
VMware は、お客様やエンドユーザーが VMware のサービスにアップロードしたコンテンツを、「お客様のコンテンツ」(VMware サービス利用条件またはその他の該当する契約書に定義)として処理、保存、ホストします。VMware は、お客様の指示に基づいて行動する「サービス プロバイダー」または「処理者」として、「お客様のコンテンツ」に含まれる個人データを処理します。詳しくは、FAQ を参照してください。
データ処理者としての VMware の義務と責任は、データ処理補足契約書(DPA)に定められています。VMware は、この DPA と該当する契約に従って、お客様のコンテンツに含まれる個人データを処理します。各製品およびサービスの標準契約は、エンドユーザー利用条件に定められています。
VMware は、データ処理者としての拘束的企業準則(BCR)を定めており、お客様コンテンツに含まれる個人データの国家間移転について、EU の一般データ保護規制の基準を満たしていることが認められています。
VMware は、VMware の代理として特定のサービスを提供するサードパーティ企業を利用する場合があります。お客様のコンテンツに含まれる個人データを処理するサードパーティのサービス プロバイダー(副処理者)は、データ処理補足契約書の規定に従って個人データを保護するために、書面による契約を締結し、データ転送の仕組みを整える必要があります。
VMware では、お客様のコンテンツに含まれる個人データを確実に保護し、製品やサービスのセキュリティの脆弱性を特定、防止、解決するためのプログラム、ポリシー、慣行を設けています(従業員によるデータの取り扱いに関する定期的なトレーニングや機密保持契約など)。これらのプログラムは、随時、見直しと改訂が行われています。
VMware は、会社所有または個人所有のデバイスからアクセスして利用される組織の情報やシステムを、管理制御機能によって保護するためのソリューションを提供しています。Workspace ONE のプライバシーとセキュリティのプログラム、および統合エンドポイント管理で収集され、使用されるデータに関する開示について、詳細をご確認ください。
VMware Cloud Disaster Recovery サービスに関連して、VMware がお客様の個人データをどのように処理し、保護しているかをご覧ください。
セキュア Web ゲートウェイによってどのような個人データが収集されるか、またそのデータを VMware がどのように処理および保護しているかをご確認ください。
VMware が、マルチクラウド環境を最適化するための信頼性の高いプラットフォームに関連して、個人データをどのように処理および保護しているかをご確認ください。
このクラウドネイティブのセキュリティ ソリューションによって収集される個人データの種類と、VMware がそのデータをどのように処理および保護しているかをご確認ください。
このネットワーク オーバーレイ ソリューションによって収集される個人データの種類と、VMware がそのデータを保護するために果たしている役割をご確認ください。
このデジタルワークスペース プラットフォームによって収集される個人データの種類と、VMware がそのデータをどのように処理および保護しているかをご確認ください。
VMware Cloud on AWS SDDC の個人データに関する責任の所在と、VMware がそのドメインのデータをどのように保護しているかをご確認ください。
VMware のコンプライアンスに関心をお寄せいただきありがとうございます。
VMware のコンプライアンス プログラムの詳細については、VMware の営業担当者までお問い合わせください。営業担当者は、通常はダウンロード用に提供されていないコンプライアンス レポートへのアクセスをお客様に提供することもできます。
VMware Cloud Trust Center について詳しくは、VMware の営業担当者までお問い合わせください。お客様のご要望に応じて必要な情報を入手し、最適なサポートを提供いたします。
はい、あります。こちらをご覧ください。
「お客様コンテンツ」とは、お客様がサービスにアップロードするあらゆるコンテンツを指し、詳細な定義はお客様と VMware の間で交わされる契約(VMware サービス利用条件など)に記載されています。これには、お客様またはお客様のエンドユーザーが、お客様のアカウントに関連する処理、保存、またはホスティングのためにサービスにアップロードするすべてのテキスト、音声、ビデオ、または画像ファイル、およびソフトウェア(マシン イメージを含む)、またはその他の情報が含まれます。たとえば、お客様またはお客様のエンドユーザーが Workspace ONE に保存するデータなどがお客様コンテンツに該当します。ただし、お客様のアカウント情報(お客様の氏名、ユーザー名、電話番号、お客様のアカウントに関連付けられた課金情報など)は「お客様コンテンツ」の定義に含まれません。また、お客様のサービス使用に関連して VMware が収集する情報も「お客様コンテンツ」に含まれません。これらの情報は、VMware のプライバシー通知に従って処理されます。
お客様コンテンツの所有権は、常にお客様が保持します。お客様コンテンツを処理、保存、ホスティングする際にどの VMware サービスを使用するか、およびどの情報をお客様コンテンツとして VMware サービスにアップロードするかはお客様が決定します。また VMware は、お客様にサービスを提供するために必要な場合、およびお客様と締結した VMware サービス利用条件で規定され、許可されている場合を除き、いかなる目的でもお客様コンテンツにアクセスしたり、使用したりすることはありません。さらに、弊社はお客様コンテンツをマーケティングまたは広告用途に使用しません。
サービス利用条件の「必要開示」項で定められているように、提出命令、裁判所命令、行政機関による措置、その他の法律または規制上の要求によってお客様コンテンツを開示するよう求められた場合、VMware は次のように契約上の責任を果たします。
お客様への通知が法的に禁止されていない場合:
- お客様への通知:お客様のコンテンツに対する開示要求があることをお客様に通知します。
- 行政機関をお客様に差し向ける:VMware はお客様の代理を務めるサービス プロバイダーであり、お客様のコンテンツに対するすべてのアクセス要求は、お客様が指定した担当者またはお客様の法務部門に書面で依頼する必要があることを当該行政機関に知らせます。
- アクセスの制限:お客様の許可を得た場合のみ、お客様のコンテンツへのアクセスを提供します。お客様が要求する場合は、お客様の費用負担で、お客様の要求を満たすための合理的な措置を講じます。
VMware からお客様への通知が法的に禁止されている場合:
- 法的有効性の評価:VMware は開示要求を評価し、法的に有効で拘束力があるかどうかを判断します。
- 違法な要求への異議申し立て:開示要求が適用法に準拠していないと合理的に判断した場合、VMware は開示要求に異議を申し立てます。
- 開示範囲の制限:VMware は、開示範囲を開示が義務付けられている情報のみに制限し、適用法に従って情報を開示します。
VMware は適用法に準拠しつつお客様のコンテンツを保護することをお約束します。したがって、行政機関からのアクセス要求に VMware がどのように対応するかについては、VMware サービス利用条件(必要開示)および拘束的企業準則(BCR):データ処理者ポリシーに準拠するものとします。詳しくは以下のとおりです。VMware は、VMware の BCR で規定されている義務を含め、行政機関からのアクセス要求に対する VMware の義務とプロセスをお客様に深く理解していただくため、行政機関からお客様コンテンツへのアクセス要求を受けた場合の基本方針を定めています。
VMware サービス利用条件の「必要開示」項で規定されているとおり、行政機関からのアクセス要求にどのように対応するかについて、VMware は具体的に以下の契約上の責任を果たします。
お客様への通知が法的に禁止されていない場合:
- お客様への通知:お客様のコンテンツに対する開示要求があることをお客様に通知します。
- 行政機関をお客様に差し向ける:VMware はお客様の代理を務めるサービス プロバイダーであり、お客様のコンテンツに対するすべてのアクセス要求は、お客様が指定した担当者またはお客様の法務部門に書面で依頼する必要があることを当該行政機関に知らせます。
- アクセスの制限:お客様の許可を得た場合のみ、お客様のコンテンツへのアクセスを提供します。お客様が要求する場合は、お客様の費用負担で、お客様の要求を満たすための合理的な措置を講じます。
VMware からお客様への通知が法的に禁止されている場合:
- 法的有効性の評価:VMware は開示要求を評価し、法的に有効で拘束力があるかどうかを判断します。
- 違法な要求への異議申し立て:開示要求が適用法に準拠していないと合理的に判断した場合、VMware は開示要求に異議を申し立てます。
- 開示範囲の制限:VMware は、開示範囲を開示が義務付けられている情報のみに制限し、適用法に従って情報を開示します。
いかなる場合も、VMware は、民主主義社会で必要とされる範囲を超えた大規模、過剰、かつ無差別な方法で個人データを開示することはありません。
Case C-311/18(データ保護委員会 v. Facebook アイルランドおよび Maximillian Schrems)(Schrems II)における欧州司法裁判所(ECJ)の判決を受け、VMware は、FISA 702 条および大統領令 12333 号の適用に関する Schrems II を考慮した VMware 声明を策定しました。これは、EU から米国に転送されるデータにアクセスする米国の情報機関についての懸念に対処するとともに、米国の 2 つの権限(大統領令(EO)12333 および外国情報監視法(FISA)702 条)が適用される可能性についてお客様の理解を深めることを目的としています。弊社が提供するサービスの性質から、VMware は、サービスの提供に関して 702 条または EO 12333 が適用される可能性は低いと考えています。
VMware はグローバル企業であり、国際法の適用対象となります。特定のサービスに関して、お客様コンテンツに含まれる個人データが処理される国/地域の一覧は、該当する副処理者リストに記載されています(こちらをご覧ください)。VMware は、行政機関からのアクセス要求および必要な開示について、VMware サービス利用条件で規定されている義務を順守する能力に影響を与える適用法を認識していません。
お客様に VMware サービスを提供するにあたり、VMware はデータ処理者として、お客様コンテンツに含まれる個人データ(これらの用語は VMware データ処理補足契約書で定義されています)を欧州経済領域(EEA)、スイス、英国から第三国へ転送する場合があります。英国の国内法には一般データ保護規制(GDPR)が組み込まれているため、EEA 域外への個人データの転送について GDPR で許可されているデータ転送手段は、英国からのデータ転送にも適用されます。スイスに関しては、連邦データ保護法(「FADP」)は GDPR と同様のフレームワークに従っていることから、スイスからの転送にも同じデータ転送手段が適用されます(相違に対応するため必要な修正が加えられています)。
お客様の個人データの受信者または輸入者には、サービスを提供するために VMware に代わって個人データを処理する一部のサードパーティ ベンダー(「副処理者」)と VMware グループ企業が含まれます。VMware サービスの提供およびお客様サポートに関して、お客様の個人データの処理を委託している副処理者と VMware グループ企業のリスト、およびそれらの場所の詳細は、こちらでご確認ください。
グループ内での転送:EEA で生成された個人データを VMware が処理者として共有する場合は必ず、アイルランド国データ保護委員会とピア レビューによる承認を受けた拘束的企業準則である VMware の拘束的企業準則(「VMware の EEA BCR」)に基づいて行われます。これは、かかる個人データを適切に保護するとともに、VMware グループ企業を法的に拘束するものです。
VMware の BCR は、2018 年 5 月 23 日付で欧州各国のデータ保護機関から承認されました。当該レビューが完了したことを示す確認書はこちらからご覧いただけます。VMware の拘束的企業準則について詳しくは、VMware の拘束的企業準則をご覧ください。このページから、『処理者としての VMware の拘束的企業準則』にもアクセスできます。VMware の EEA BCR への同意を示すグループ内同意書に署名した VMware 関連会社の一覧は、こちらでご覧いただけます。さらに詳しい情報は、こちらをクリックしてご確認ください。
英国における拘束的企業準則(「VMware の UK BCR」)の適用は現在保留となっており、UK BCR の発効時に VMware のデータ処理補足契約書が更新されます。詳しくは、FAQ の「英国の EU 離脱をふまえた VMware のデータ転送手段を教えてください」をご覧ください。
サードパーティである副処理者への転送:VMware は副処理者とデータ処理契約(DPA)を締結しています。この契約は、管理者とデータ処理者間における SCC の最新バージョンを取り入れており、EEA、スイス、英国からの安全かつ合法的なデータ転送を保証するとともに、その後のあらゆるデータ転送を保護します。欧州委員会は最新バージョンの SCC を公開しています(こちらで入手可能)。新しい SCC が承認され、発効された時点で、欧州委員会によって定められた新しい要件に従い、VMware は副処理者とともに新しい SCC を実装するために必要な措置を講じます。
英国の EU 離脱に関する VMware のデータ転送方針、具体的には拘束的企業準則(BCR)および標準契約条項(SCC)の適用に関するお客様の懸念を解消するため、VMware は「FAQ:英国の EU 離脱と国家間でのデータ転送」(こちら)を作成しました。
個人データの転送を適切に保護するために VMware が実装している手段について詳しくは、FAQ の「EEA、スイス、英国以外で VMware がデータ処理者となる場合、個人データの転送を適切に保護するためにどのような手段を講じていますか?」をご覧ください。
VMware サービスのセキュリティは、VMware にとって最大の重要性を持ちます。VMware のサービスに関連して導入されているセキュリティ対策の一覧は、Trust Center の「セキュリティ」ページをご覧ください。
お客様が VMware のサービスを利用するにあたり、その際に処理するデータの種類に応じて、サービスの利用に適用される法律を順守するために必要な技術的、組織的、管理上の制御を構成し、実装する責任はお客様が担います。お客様コンテンツのセキュリティに関連するお客様の責任は該当する契約で定められており、これには、(a) お客様がお客様のユーザーに提供しているアクセスを管理する、(b) サービスを適切に構成する、(c) サービスの内外にお客様コンテンツを移動させるときにお客様コンテンツのセキュリティを確保する、(d) 必要に応じて暗号化技術を使用してお客様コンテンツを保護する、(e) お客様コンテンツのバックアップを作成することが含まれます。
VMware は、ISO 27001 規格に準拠(該当する場合)した情報セキュリティ管理プログラムを有しており、適切な管理、手順、手続きが実施されていることを確認するための審査を年 1 回以上行っています。VMware のサービスに関連して導入されているセキュリティ対策の一覧は、Trust Center の「セキュリティ」ページをご覧ください。
VMware は、VMware サービスまたはサポートおよびサブスクリプション サービスを提供するにあたり、サードパーティに依頼して弊社のサービスを実行します。詳しくはこちらをご覧ください。副処理者として個人データを処理するサードパーティの採用に関して(これらの用語はデータ処理補足契約書で定義されています)、VMware は次のプロセスと手順を実施します。
1.契約上の責任と国家間でのデータ転送:VMware はすべての副処理者とデータ処理契約を締結します。これにより副処理者は、データ処理補足契約書に記載されている VMware のお客様に対する契約上の責任と実質的に同様の条件で、個人データの適切なプライバシー、セキュリティ、機密性を維持する必要があります。別の正当なデータ転送手段があり、それに関連して副処理者が適切な契約上の責任を負うことが合意されない限り、VMware は EU 標準契約条項を使用します。
2.プライバシーの審査プロセスとプライバシー バイ デザイン:VMware は新しいサプライヤーのオンボーディングを目的として、一元化されたエンドツーエンドのサードパーティ ベンダー管理プロセスを設けています。このプロセスでは、一元化されたツールを使用して、サードパーティを対象とするプライバシーとセキュリティの審査を開始、実施、追跡し、コンプライアンス確保の取り組みを支援します。VMware プライバシー チームは、副処理者が提供するサービスについて、処理される個人データのカテゴリや処理目的などを対象とする詳細なプライバシー審査を実施します。この審査には、副処理者が個人データにアクセスしたり、個人データを処理したりする際のリスクを軽減し、規制を確実に順守するためのプライバシー管理方法の実装が含まれます。
3.セキュリティ審査プロセス:VMware は、副処理者のセキュリティ審査を実施するためのポリシーとプロセスを保持しています。VMware セキュリティ チームは、新しい副処理者の最初のセキュリティ審査を実施し、特定されたセキュリティ リスク レベルに基づいて継続的に監視します。
4.副処理者のリストと新しい副処理者の通知:VMware は、個々のサービスの提供時や、サポートおよびサブスクリプション サービスに関連して使用される副処理者のリストを保持しています。各サービスに対応するリストには、こちらからアクセスできます。VMware が提供する手段を使用して、お客様が特定のサービスに関する通知を受信するよう登録している場合、VMware は、新たな副処理者との提携に先立ちお客様に通知します。新しい副処理者の通知をご希望の場合は、こちらにアクセスして、該当する副処理者リストの通知を有効にしてください。
VMware では、該当するプライバシー原則と法的要件に確実に準拠する方法でオンプレミスの製品とサービスを設計するため、プライバシー バイ デザインのフレームワークを適用しています。プライバシー審査プロセスは、VMware のオンプレミス製品およびサービスの設計ライフサイクルに組み込まれています。これには、製品やサービスをプライバシー審査に提出する際の指示書、プライバシー審査を実施する指定法律顧問、データ処理の影響評価(必要な場合)、該当するデータ保護法とプライバシー法に準拠して製品/サービスを設計するための一般的なプライバシー要件が含まれます。
さらに VMware は、新しいサプライヤーのオンボーディングを目的として、一元化されたエンドツーエンドのサードパーティ ベンダー管理プロセスを設けています。このプロセスでは、一元化されたツールを使用してサードパーティのプライバシー審査とセキュリティ審査を開始、実施、追跡し、コンプライアンス確保の取り組みを支援します。VMware プライバシー チームは、副処理者が提供するサービスについて、処理される個人データのカテゴリや処理目的などを対象とする詳細なプライバシー審査を実施します。この審査には、副処理者が個人データにアクセスしたり、個人データを処理したりする際のリスクを軽減し、規制を確実に順守するためのプライバシー管理方法の実装が含まれます。
VMware では、外部のデータ保護コンサルティング会社の弁護士兼ディレクターがデータ保護責任者(DPO)を務めています。DPO の役割は、GDPR の第 38 条と第 39 条に記載されています。DPO に求められる役割は、個人データの保護に関するすべての問題に関与し、GDPR に基づく義務に関する組織への助言、コンプライアンスの監視、データ保護の影響評価に関するアドバイスの提供、監督当局との連絡窓口としての活動を担当するというものです。VMware プライバシー チームは、必要に応じて VMware の DPO に協力を依頼します。VMware の DPO へのお問い合わせがある場合は、dpo@vmware.com にメールを送信してください。このお問い合わせには VMware プライバシー チームが対応し、必要に応じて DPO に協力を依頼します。
EU の一般データ保護規制(「GDPR」)の下では、VMware はお客様コンテンツについて「処理者」の役割を果たします。GDPR の下での処理者としての VMware の義務と責任は、弊社のデータ処理補足契約書に記載されており、VMware は、お客様コンテンツに含まれる個人データを、適用される契約およびデータ処理補足契約書に従って処理します。さらに VMware は、処理者として処理する個人データについて拘束的企業準則(「BCR」)の承認を受けています。VMware の BCR はこちらでご確認いただけます。また、VMware が承認を受けた証拠は欧州委員会の Web サイトに掲載されています。
VMware は先日、Schrems II 判決と EU 標準契約条項の改訂を踏まえた「GDPR 補完的措置に関する補足契約書」(「捕捉契約書」)を発表しました。詳細については、こちらをクリックしてご確認ください。
VMware は、複数のシステムおよび環境にわたるアプリケーションの構築、管理、保護、実行を可能にするエンタープライズ ソリューションをお客様に提供します。VMware がお客様に提供するサービスの性質上、一般に、行政機関がお客様コンテンツへの直接的なアクセスを要求する正当な理由はないと考えていますが、Schrems II 判決に従い、お客様が管理者として処理するデータについてコンプライアンスを確保できるようにするため、VMware は以下の措置を講じました。
行政機関からのアクセス要求に関する契約義務を強化
VMware は利用条件の「必要開示」項目を更新し、次の義務を追加することで、行政機関からのアクセス要求に VMware がどのように対応するかを明確にしました。
お客様への通知が法的に禁止されていない場合:
- お客様への通知:お客様のコンテンツに対する開示要求があることをお客様に通知します。
- 行政機関をお客様に差し向ける:VMware はお客様の代理を務めるサービス プロバイダーであり、お客様のコンテンツに対するすべてのアクセス要求は、お客様が指定した担当者またはお客様の法務部門に書面で依頼する必要があることを当該行政機関に知らせます。
- アクセスの制限:お客様の許可を得た場合のみ、お客様のコンテンツへのアクセスを提供します。お客様が要求する場合は、お客様の費用負担で、お客様の要求を満たすための合理的な措置を講じます。
VMware からお客様への通知が法的に禁止されている場合:
- 法的有効性の評価:VMware は開示要求を評価し、法的に有効で拘束力があるかどうかを判断します。
- 違法な要求への異議申し立て:開示要求が適用法に準拠していないと合理的に判断した場合、VMware は開示要求に異議を申し立てます。
- 開示範囲の制限:VMware は、開示範囲を開示が義務付けられている情報のみに制限し、適用法に従って情報を開示します。
行政機関からのアクセス要求と米国当局への対応プロセスに関する透明性
VMware の BCR で規定されている義務を含め、行政機関から受けたアクセス要求への対応に関する VMware の義務とプロセスをお客様に十分理解していただくために、VMware は行政機関からお客様コンテンツに対するアクセス要求を受けた場合の基本方針を策定しました。
さらに VMware は、FISA 702 条および大統領令 12333 号の適用に関する Schrems II を考慮した VMware 声明を策定しました。これは、EU から米国に転送されるデータにアクセスする米国の情報機関についての懸念に対処するとともに、米国の 2 つの権限(大統領令(EO)12333 および外国情報監視法(FISA)702 条)が適用される可能性についてお客様の理解を深めることを目的としています。弊社が提供するサービスの性質から、VMware は、サービスの提供に関して 702 条または EO 12333 が適用される可能性は低いと考えています。
個人データの転送の法的根拠を確保するため、副処理者との契約を更新
EU・米国間プライバシー シールドの無効判決を受け、VMware は、それまで EU・米国間プライバシー シールドをデータ転送手段として用いていたすべての副処理者を対象に標準契約条項を策定しました。データ処理者である VMware は、VMware のデータ処理補足契約書に規定されているように、該当する VMware サービスを提供するにあたり、拘束的企業準則(BCR)に基づいて EU 以外へ個人データを転送します。VMware の BCR について詳しくは、こちらおよび VMware Trust Center をご覧ください。
技術的および組織的な対策
VMware は、VMware のデータ処理補足契約書に規定されているとおり、適切な技術的および組織的対策を実装し、維持することを約束します。VMware Trust Center の Web サイトでは、サービスを提供するにあたり、VMware がサポートしているサードパーティの認定と監査をご確認いただけます。VMware サービスの性質上、お客様はサービスの構成方法も制御することができ、目的のサービスを利用する際に処理されるデータを保護するため、管理上および技術上の必要な制御を実装できます。多くの場合、VMware はオンプレミス ソリューションとホスト型ソリューションの両方を提供します。お客様は、システムとインフラストラクチャを管理する際、そのなかから必要なソリューションを選択できます。
VMware サービスによって処理されるデータの種類(データセット)に関する透明性
欧州データ保護委員会(EDPB)は「Schrems II」に関する FAQ で、EU 域外へ転送する個人データに適切なレベルの保護が適用されるかを判断する基準の一つとして、転送対象データの種類を考慮する必要があり、管理者はケースバイケース分析を実施し、その転送によってもたらされるリスクを判断するべきであると説明しています。VMware サービスの利用に際して処理されるデータの種類は、各サービスの詳細が掲載されているこちらでご確認いただけます。また、各サービスのデータシートは VMware Trust Center の「プライバシー」セクションで入手できます。Workspace ONE サービスの場合、Workspace ONE プライバシー開示もご確認いただけます。
カリフォルニア州消費者プライバシー法(「CCPA」)は、カリフォルニア州の消費者にサービスを提供する企業に適用されます。これは、個人データの処理に関する一定の権利を個人に付与するものです。CCPA の下では、お客様コンテンツに含まれる個人データを処理するにあたり、VMware は「サービス プロバイダー」としての役割を果たします。VMware は、適用される契約の規定に従い、お客様へのサービス提供に必要となる場合を除き、いかなる目的にも、このような個人データにアクセスしたり、データを使用したりすることはありません。また、データ処理補足契約書の規定に従い、CCPA の下、データ主体のアクセス要求に応じるお客様を支援します。CCPA の下、VMware が「事業者」として活動するにあたり、VMware のカリフォルニア州プライバシー通知およびその他のプライバシー通知には、VMware が事業者としてこれらの個人情報をどのように取り扱うかが詳しく記載されています。 これには、データの収集と使用に付随して必要となる開示や、個人情報の販売などが含まれます。VMware のサービス提供に対する CCPA の適用について詳しくは、こちらをご覧ください。