「お客様コンテンツ」とは、お客様またはお客様のユーザーが、お客様のアカウントに関連する処理、保存、またはホスティングのためにクラウドサービスにアップロードするあらゆるコンテンツを指します。サポート サービスの観点からは、「お客様コンテンツ」は、サポート サービスの一環として VMware に対してお客様からご提供いただくあらゆるコンテンツを指します。「お客様コンテンツ」の定義は、VMware 一般条項でご覧いただけます。たとえば、お客様またはお客様のユーザーが Workspace ONE に保存するデータなどがお客様コンテンツに該当します。ただし、お客様のアカウント情報（お客様の氏名、ユーザー名、電話番号、お客様のアカウントに関連付けられた請求情報など）は「お客様コンテンツ」の定義に含まれません。また、お客様のクラウドサービス使用に関連して VMware が収集する情報も「お客様コンテンツ」に含まれません。これらの情報は、VMware のプライバシー通知に従って処理されます。

お客様コンテンツの所有権は、常にお客様が保持します。お客様コンテンツを処理、保存、ホスティングする際にどの VMware Cloud Services を使用するか、およびどの情報をお客様コンテンツとしてクラウドサービスにアップロードするかはお客様が決定します。また、お客様にクラウドサービスを提供するために必要な場合、またはお客様と締結した VMware 一般条項で規定され、許可されている場合を除き、VMware がいかなる目的でもお客様コンテンツにアクセスしたり、お客様コンテンツを使用したりすることはありません。さらに、VMware がお客様コンテンツをマーケティングまたは広告用途に使用することもありません。

VMware は、複数のシステムおよび環境にわたるアプリケーションの構築、管理、保護、実行を可能にするエンタープライズ ソリューションをお客様に提供しています。VMware がお客様に提供するサービスの性質上、一般に、行政機関がお客様コンテンツへの直接的なアクセスを要求する正当な理由はないと考えていますが、Schrems II 判決に従い、お客様が管理者として処理するデータについてコンプライアンスを確保できるようにするため、VMware は以下の措置を講じました。

行政機関からのアクセス要求に関する契約義務を強化
VMware は VMware 一般条項の「要求される開示」項目を更新し、次の義務を追加することで、行政機関からのアクセス要求に VMware がどのように対応するかを明確にしました。

お客様への通知が法的に禁止されていない場合：

• お客様への通知：お客様のコンテンツに対する開示要求があることをお客様に通知します。

• 行政機関をお客様に誘導する：VMware はお客様の代理を務めるサービス プロバイダーであり、お客様のコンテンツに対するすべてのアクセス要求は、お客様が指定した担当者またはお客様の法務部門に書面で依頼する必要があることを当該行政機関に知らせます。

• アクセスの制限：お客様の許可を得た場合のみ、お客様のコンテンツへのアクセスを提供します。お客様が希望する場合、VMware は、お客様の費用負担で開示要求に異議を申し立てる合理的な措置を講じます。

VMware からお客様への通知が法的に禁止されている場合：

• 法的有効性の評価：VMware は開示要求を評価し、その要求が法的に有効で拘束力があるかどうかを判断します。

• 違法な要求への異議申し立て：開示要求が適用法に準拠していないと合理的に判断した場合、VMware はその開示要求に異議を申し立てます。

• 開示範囲の限定：VMware は、開示範囲を開示が義務付けられている情報のみに限定し、適用法に従って情報を開示します。

行政機関からのアクセス要求と米国当局への対応プロセスに関する透明性

VMware は、VMware の BCR で規定されている義務を含め、行政機関からのアクセス要求に対する VMware の義務とプロセスをお客様に深く理解していただくため、行政機関からお客様コンテンツへのアクセス要求を受けた場合の基本方針を定めています。

さらに VMware は、FISA 702 条および大統領令 12333 号の適用に関する VMware 声明を策定しました。これは Schrems II を考慮し、EU から米国に移転されるデータにアクセスする米国の情報機関についての懸念に対処するとともに、米国の 2 つの権限（大統領令（EO）12333 および外国情報監視法（FISA）702 条）が適用される可能性についてお客様の理解を深めることを目的としています。VMware が提供するサービスの性質から、VMware は、サービスの提供に関して 702 条または EO 12333 が適用される可能性は低いと考えています。

個人データの移転の法的根拠を確保するため、復処理者との契約を更新

EU と米国間のプライバシー シールドの無効判決を受け、VMware は、それまで EU と米国間のプライバシー シールドをデータ移転の仕組みとして用いていたすべての復処理者を対象に標準契約条項を策定しました。データ処理者である VMware は、VMware のデータ処理補足契約書の規定に従い、該当する VMware サービスを提供するにあたり、拘束的企業準則（BCR）に基づいて EU 域外へ個人データを移転します。

技術的および組織的な対策

VMware は、VMware のデータ処理補足契約書に規定に従い、適切な技術的および組織的対策を実装し、維持することを約束します。VMware Trust Center で、サービスを提供するにあたり VMware がサポートしているサードパーティの認定と監査についてご確認いただけます。VMware サービスの性質上、お客様はサービスの構成方法も制御することができ、管理上および技術上の必要な制御を実装して、目的のサービスを利用する際に処理されるデータを保護することができます。多くの場合、VMware はオンプレミス ソリューションとホスト型ソリューションの両方を提供します。お客様は、システムとインフラストラクチャを管理する際、どちらか必要なソリューションを選択できます。

データ移転影響評価（TIA）
VMware はデータ移転影響評価を実施するためのプロセスを実装しています。詳細については TIA に関する FAQ をご覧ください。さらに、VMware は、監督当局の承認を受け、処理者としての拘束的企業準則（BCR-P）を更新し、データ移転影響評価を実施する義務を規定しました。VMware のデータ移転影響評価手順については、弊社の BCR-P をご覧ください。

VMware サービスによって処理されるデータの種類に関する透明性：データシート
欧州データ保護委員会（EDPB）は「Schrems II」に関する FAQ で、EU 域外へ移転する個人データに適切なレベルの保護が適用されるかを判断する基準の一つとして、移転対象データの種類を考慮する必要があり、管理者はケースバイケース分析を実施し、その移転によってもたらされるリスクを判断するべきであると説明しています。 VMware サービスの利用に際して処理されるデータの種類につきご理解いただくために、VMware は各サービスの Service Descriptions を提供し、また、各サービスのデータシートを VMware Trust Center の「プライバシー」セクションで入手していただけるようにしています。Workspace ONE サービスの場合、Workspace ONE プライバシー開示もご確認いただけます。

VMware は、VMware サービスまたはサポートおよびサブスクリプション サービスを提供するにあたり、サードパーティに委託し、VMware のサービスを実行します。復処理者として個人データを処理するサードパーティの採用に関して（これらの用語はデータ処理補足契約書で定義されています）、VMware は次のプロセスと手順を実施します。

1. 契約上の責任と国家間でのデータ移転：VMware はすべての復処理者とデータ処理契約を締結します。これに従い、復処理者は、データ処理補足契約書に記載されている VMware のお客様に対する契約上の責任と実質的に同様の条件で、個人データのプライバシー、セキュリティ、機密性を適切に維持しなければなりません。別途の正当なデータ移転の仕組みがあり、復処理者が適切な契約責任を負うのでない限り、VMware は EU 標準契約条項を使用します。
   
   
2. プライバシーの審査プロセスとプライバシー バイ デザイン：VMware では、新しいサプライヤーを起用するための、一元化されたエンドツーエンドのサードパーティ ベンダー管理プロセスを設けています。このプロセスでは、一元化されたツールを使用して、サードパーティを対象とするプライバシーとセキュリティの審査を開始、追跡、実施し、コンプライアンス確保の取り組みを支援します。VMware プライバシー チームは、復処理者が提供するサービスについて、処理される個人データのカテゴリの決定や処理目的も含め、詳細なプライバシー審査を実施します。この審査には、復処理者が個人データにアクセスしたり、個人データを処理したりする際のリスクを軽減し、コンプライアンスを確実に確保するためのプライバシー管理の実施が含まれます。
   
   
3. セキュリティ審査プロセス：VMware は、復処理者のセキュリティ審査を実施するためのポリシーとプロセスを保持しています。VMware セキュリティ チームは、すべての新しい復処理者に対し最初のセキュリティ審査を実施し、その後特定されたセキュリティ リスク レベルに基づいて継続的な監視を行います。
   
   
4. 復処理者のリストと新しい復処理者の通知：VMware は、個々のサービスごとに使用される復処理者と、サポートおよびサブスクリプション サービスに関連して使用される復処理者のリストを保持しています。特定のサービスに関する通知を受信するよう登録しているお客様に対し、VMware は、新たに起用した復処理者について事前に通知します。

VMware では、サービスの提供か事業の運営かにかかわらず、VMware に適用される可能性のある新しい法律、規則、拘束力のあるガイドライン、判例を追跡、分析、評価する社内プロセスを定めています。プライバシー チームは、外部の弁護士、外部のプライバシー調査ツール、法律事務所のニュース アラートを通して、新たに制定された法律や規制を把握します。

たとえば中国、日本、カリフォルニア州、コロラド州、バージニア州、ユタ州の法律のように、特定のプライバシー法が VMware に適用されると判断された場合、VMware は法的要件を追跡し、コンプライアンスを確保するためのプロジェクト計画を実施します。このような実施プロセスの一環として、VMware プライバシー チームは社内の関連するステークホルダーと協力し、新しい法的要件に準拠するために更新する必要があるプロセスと管理を特定します。VMware プライバシー チームは、社内のプライバシー カウンセルのエコシステム（マーケティング、人事、営業などの業務領域によって運営される）を利用して、新しい法律や改訂された法律への対応をタイムリーかつ効率的に支援します。

また、VMware プライバシー チームは、標準のプライバシー トレーニングやその他の社内トレーニングを活用し、すべての従業員と契約社員が各自の業務に影響を与える可能性のある新しい法的要件について適切なトレーニングを確実に受けられるようにします。たとえば、VMware は、処理者としての拘束的企業準則へのコンプライアンス確保の一環として、セキュリティおよび意識向上トレーニングの毎年の実施を義務付け、必要なトレーニングを実施するとともに、ビジネス行動規範を更新して新しい要件を反映しています。

VMware にとって、クラウドサービスのセキュリティは最大の重要性を持ちます。VMware がクラウドサービスを保護する方法の詳細については、Trust Center の「セキュリティ」ページをご覧ください。VMware は、ISO 27001 規格に準拠した情報セキュリティ管理プログラムを有しており、適切な管理、手順、手続きが実施されていることを確認するための審査を年 1 回以上行っています。

お客様が VMware Cloud Services を利用するにあたり、処理するデータの種類に応じて、クラウドサービスの利用に適用される法律を順守するために必要な技術的、組織的、管理上の制御を構成し、実施する責任はお客様が担います。お客様コンテンツのセキュリティに関連するお客様の責任は該当する契約で定められており、これには、（a）お客様がお客様のユーザーに提供するアクセスの管理、（b）クラウドサービスの適切な構成、（c）クラウドサービスの内外にお客様コンテンツを移動させる際のお客様コンテンツのセキュリティの確保、（d）お客様コンテンツを保護するための、必要に応じた暗号化技術の使用、（e）お客様コンテンツのバックアップの作成が含まれます。