ソフトバンク法人サービス GDPRに対する取り組みについて

GDPRについて

GDPR※1とは、EEA※2域内で取得した個人データの処理と移転に関する法律です。EU(European Union)の法令ですが、EEA域内にいる個人※3に関する個人データを保護するため、日本企業においても適用される場合があります。

  • ※1
    GDPR : General Data Protection Regulation(一般データ保護規則)
  • ※2
    EEA : European Economic Area(欧州経済領域) EU全28カ国にノルウェー、リヒテンシュタイン、アイスランドを含めた31カ国をいいます。
  • ※3
    EEA域内にいる個人 : 国籍や居住の有無を問わず、現に所在する個人が対象になります。なお、GDPRで定義される「個人データ」とは、日本の個人情報よりも広い概念になっています。くわしくは以下の個人情報保護委員会のウェブサイトをご覧ください。

GDPRが適用されるケース

下記にあてはまる企業は、所定の手続きを行う必要があります。お手続き方法は弊社営業担当までご連絡ください。

  • EEA域内で取得した個人データを処理する場合
  • 日本に個人データを移転する場合

GDPR適用開始日:2018年5月25日

参考:個人情報保護委員会 GDPRに関するウェブページ(外部サイトに移動します)
https://www.ppc.go.jp/enforcement/cooperation/cooperation/GDPR/

ソフトバンク法人サービスのGDPR対応について

ソフトバンクの法人サービスを用いて個人データの処理を行うお客さまは「管理者」になります。
ソフトバンクの法人サービス提供において、ソフトバンクは主に「処理者」になります。

主な立場 説明 主な役割
管理者
(法人のお客さま)
単独又は共同で個人データ処理の目的と手段を決定する法人のお客さまをいいます。 決定した個人データの処理全般において、個人データの主体およびEUデータ保護当局に対する直接的な責任を負います。
処理者
(ソフトバンク)
管理者である法人のお客さまからの委任を受けて、個人データの処理を行います。 管理者であるお客さまから指示を受けた範囲で処理を行う責任を負います。
  • ソフトバンクが提供主体となるサービス

GDPR遵守に向けて

法人のお客さま向けにGDPR遵守のため以下の条項および契約などを用意しています。

SCC(Standard Contractual Clauses:標準契約条項)

EEAに所在する個人データを、EEAの域外(日本を含みます)に移転する場合において、締結が必要な契約書式です。
お客さまからの申告に基づき締結いたします。

  • GDPRの規定により、英語版のみでの締結となります

処理契約

ご契約のソフトバンクサービスで取り扱う、EEA域内の個人データの処理について定める契約条項です。
GDPR対応をしている法人サービスの契約約款・利用規約とあわせてご提示いたします。
個別契約となるサービスについては、個別に締結いたします。

  • ソフトバンクがサービスの提供主体にならない場合は、サービス提供元が「処理者」となりますので、上記どちらの契約も、サービス提供元と締結いただくことになります。

GDPR対応のソフトバンク法人サービス(50音順)

GDPR対応をしている法人サービスの契約約款及び利用規約において、処理契約の規定を追加する改定を行いました。

適用開始日:2018年5月25日

  • ULTINA On Demand Platform シェアードホスティング
  • アクセスコントロール
  • AirWatch
  • M2M管理プラットフォーム
  • エフセキュアPSB
  • グループメッセンジャー
  • グローバルM2M管理プラットフォーム
  • ソフトバンク ビジネス・コンシェル
  • PrimeDrive
  • PrimeLibrary
  • ホワイトクラウド ASPIRE
  • ホワイトクラウド PrimeMeeting
  • ホワイトクラウド VMwarevCloud® Datacenter Service
  • ホワイトクラウド コンタクトセンター
  • ホワイトクラウド スマートフリート
  • ホワイトクラウド デスクトップサービス Viewタイプ
  • ホワイトクラウド デスクトップサービス スタンダードタイプ
  • ホワイトクラウド デスクトップサービス プレミアム
  • ホワイトクラウド ビジュアモール クイックサイネージ
  • ホワイトクラウド ビジュアモール スマートカタログ
  • ホワイトクラウド ビジュアモール ムービーライブラリ
  • ホワイトクラウド ビデオカンファレンス
  • ホワイトクラウド ファイルサーバ
  • ホワイトクラウド ホスティング for Enterprise
  • ホワイトクラウド マネージド メール・Webホスティング
  • ホワイトクラウド メールサービス
  • ホワイトクラウド メールセキュリティ for Enterprise
  • ホワイトクラウド メールフィルタリング for Enterprise
  • ホワイトクラウド ワンタイムパスワード
  • ホワイトクラウド 仮想サーバ
  • マネージドyarai
  • 安否確認
  • 一斉メッセージ配信
  • 共有電話帳
  • 電話帳移行サービス (法人)
  • 電話帳配布

データ処理に関する別紙

本データ処理に関する別紙(以下「本別紙」という。)は、管理者(第1条で定義される。)であるお客様の指示に基づいて、処理者(第1条で定義される。)であるソフトバンク株式会社(以下「ソフトバンク」という。)が行う、GDPR(第1条で定義される。)が適用される個人データの処理に適用される。本別紙は、お客様が申し込む以下のサービス(以下「本サービス」という。)の利用規約(以下「利用規約」という。)の一部をなすものとし、本別紙に定める事項については、GDPRの適用範囲に関し、本別紙が利用規約に優先して適用される。ソフトバンクが、お客様に対し、GDPR(第1条で定義される。)の遵守に関して負う義務及び責任は、本別紙に定めるものに限られるものとする。

対象サービス:(ソフトバンクにおいて記載)

第1条 定義

本別紙において下記用語は、下記に定める意味を有するものとする。ただし、本別紙において定義されていないものについては、GDPR(第1条で定義される。)第4条における定義が適用される。

(1) 「GDPR」とは、 EU一般データ保護規則2016/679(以下「GDPR」という。)をいう。GDPRならびに自然人に関するプライバシー又はデータの使用若しくは処理に関するEU法および欧州連合加盟国の国内法を「GDPR等」と総称する。

(2) 「欧州監督当局」とは、GDPR第51条に基づいて欧州連合加盟国により設立された独立した監督当局をいう。

(3) 「個人データ」とは、識別された又は識別されうる自然人(以下「データ主体」という。)に関するあらゆる情報をいう。

(4) 「処理」とは、自動的な手段であるか否かに関わらず、個人データまたは個人データの集合に対して行われるあらゆる作業又は一連の作業をいう。

(5) 「管理者」とは、単独で又は他と共同して、個人データの処理の目的及び手段を決定する自然人、法人、公的機関、行政機関又はその他の団体をいう。

(6) 「処理者」とは、管理者のために個人データの処理を行う自然人、法人、公的機関、行政機関又はその他の団体をいう。

第2条 当事者の義務

1. ソフトバンクは、本別紙に関連して個人データを処理する際は、GDPR等に定められる規定及び義務を遵守するものとし、かかる規定及び義務は、[別添1]記載の個人データの種類、データ主体のカテゴリー、処理の性質及び目的に及ぶものとする。ソフトバンクは、[別添1]記載の処理の目的のためにのみ処理を実施するものとする。

2. ソフトバンクが個人データを処理する場合、ソフトバンクは、GDPR第28条3項に従い、以下の各号に定める義務を遵守するものとする。

(a) ソフトバンクは、EU法または欧州連合加盟国の国内法により処理が義務付けられている場合を除き、お客様の書面による指示(本別紙又は利用規約に定められるものを含む。)にのみ従い、個人データの処理を行うものとする。ソフトバンクは、当該指示がGDPR等に違反するものと考える場合には、直ちにお客様に通知するものとする。また、ソフトバンクがEU法または欧州連合加盟国の国内法により処理が義務付けられている場合には、重要な公共の利益に基づいて当該EU法または欧州連合加盟国の国内法により通知が禁止される場合(例:捜査遂行上、EU法または欧州連合加盟国の国内法により通知が禁止されている場合)でない限り、ソフトバンクは、処理を行う前に、当該法律要件についてお客様に通知するものとする。

(b) ソフトバンクは、個人データの処理権限が与えられたすべての役員又は従業員に対し、秘密保持義務を負わせるものとする。ただし、これらの者が、欧州連合加盟国の国内法上の秘密保持義務を負っている場合はこの限りではないものとする。

(c) ソフトバンクは、GDPR第32条に規定される個人データの保護のための適切な技術的及び組織的対策を講じなければならない。当該対策の具体的内容は、最新版の情報セキュリティポリシー(https://www.softbank.jp/corp/group/sbm/security/)において定めるものとする。ただし、これらの対策について、各サービス仕様書に追加記載がある場合には、当該追加記載が適用されるものとする。

(d) ソフトバンクが他の処理者(以下「復処理者」という。)に個人データの処理を委託する場合には、本条第6項の定めに従うものとする。

(e) ソフトバンクは、処理の性質を考慮したうえ、お客様が、GDPR第3章に規定されるデータ主体の権利行使に応じる義務を履行するために合理的に要求される適切な技術的及び組織的対策を講じることによって、お客様を支援するものとする。ソフトバンクが、データ主体の権利行使に関する要求を受領した場合、お客様に直ちに通知するものとする。

(f) ソフトバンクは、処理の性質及びソフトバンクが取得可能な情報を考慮したうえ、お客様が、GDPR第32条(個人データ処理における保護)、第33条(個人データ侵害の欧州監督当局への通知)、第34条(データ主体への個人データ侵害の通知)、第35条(データ保護影響評価の実施)、及び第36条(データ保護影響評価の結果、高リスクであると判断される場合の欧州監督当局との事前協議)の各条文に規定される義務を履行するため、お客様を支援するものとする。

(g) ソフトバンクは、本サービス提供の終了後、すべての個人データを、お客様の選択に応じて削除又は返却し、法令が個人データの保存を義務付けている場合(例:税法上、一定期間の保存が義務づけられている場合)を除き、既存のコピーを削除しなければならない。お客様が、本サービス提供の終了後30日以内に削除又は返却の選択をソフトバンクに書面で通知しない場合には、ソフトバンクは、すべての個人データを削除するものとする。お客様は、本サービス提供の終了までの間に、お客様自身の責任で、データのバックアップ及び移管を行うものとする。ただし、本サービス提供の終了により自動削除される仕様のサービスについては、本別紙において、お客様は削除を選択したものとする。この場合において、お客様は、必要に応じて、本サービス提供の終了前にダウンロードによるデータ返却を各自行うものとする。

(h) ソフトバンクは、GDPR第28条の義務の遵守を証明するために合理的に必要とされるすべての情報(ソフトバンクにおいて、セキュリティ上の観点その他の理由により機密として保持する必要性がある情報を除く)を、お客様から書面により、別途指定する時期までに依頼があった場合には、お客様が入手可能な状態におくものとする。なお、お客様又は監査人による監査は、お客様から書面により、別途指定する時期までに依頼があった場合かつ、ソフトバンクがGDPR第28条の処理者の義務の遵守を証明できなかったと合理的に認められる場合に限り、ソフトバンクの営業時間内において、ソフトバンクの内部手続に従って行うことができる。

3. ソフトバンクは、GDPR第33条2項に従い、個人データの侵害を発見したときは、遅滞なく、お客様に必要な事項を通知するものとする。

4. ソフトバンクは、GDPR第30条2項に従い、処理行為に関する記録を保存するものとする。

5. お客様以外の管理者(お客様の親会社、子会社、関連会社等を含む。)が本サービスを利用する場合においては、お客様は、本別紙上の権利義務につき、お客様以外の管理者の代理人となるものとし、お客様以外の管理者がソフトバンクに対して直接請求できる権利を有する場合には、お客様が当該権利を行使するものとし、お客様以外の管理者から取得が必要なすべての承諾をお客様が取得するものとする。ソフトバンクが、お客様に対して情報を通知又は提供した場合には、ソフトバンクは、お客様以外の管理者に対しても当該情報を通知又は提供する義務を履行したものとする。

6. お客様は、ソフトバンクが適切であると判断する復処理者を利用して特定の処理業務を実施させることにつき、あらかじめ包括的に承諾する。この場合において、ソフトバンクは、復処理者を追加又は変更する場合には、あらかじめ、お客様に対し通知するものとする。お客様は、当該通知から30日以内に、書面にて異議を申し立てることができる。当該期間内にお客様が異議を申し立てなかった場合には、ソフトバンクは当該復処理者を利用して、特定の処理業務を実施させることができる。お客様の正当な異議申立てに対し、ソフトバンクによる合理的な対応がなされない場合、お客様は異議申立てから30日以内に書面でソフトバンクに通知することにより、違約金等の追加の金員を支払うことなく、本サービス契約を解約することができる。当該復処理者は、ソフトバンクがお客様に負うものと同一のデータ保護義務を負うものとする。当該復処理者が当該データ保護義務を遵守しないときは、ソフトバンクがお客様に対して当該データ保護責任を負うものとする。

第3条 不可抗力

ソフトバンクは、天災地変、ストライキ、暴動、戦争その他の不可抗力により、本別紙で規定する義務の履行ができなかった場合又は義務の履行が遅滞した場合、お客様に対し損害を賠償する責を負わない。

[別添1]

個人データの種類:

 氏名

 個人の住所

 仕事上の住所

 個人の電話番号

 仕事上の電話番号

 電子メールアドレス

 ソフトウェア/システムユーザーアカウント

 ネットワークに関する情報(IPアドレス、ネットワーク名)

 電子メール、通信及びファイル

 仕事上の情報及び文書(例えば、作業ファイル)

 財務に関する情報及び文書(例えば、勘定、給与、財務諸表)

 個人に関する情報及び文書(例えば、写真、個人用文書)

 その他

データ主体のカテゴリー:

 データ輸出者の従業員

 データ輸出者の取引先の従業員

 データ輸出者の顧客の従業員

 データ輸出者の最終消費者/ユーザー

 データ輸出者の顧客/取引先の最終消費者/ユーザー

 その他

処理の性質及び目的:本サービスの提供及び改善

処理の期間:本サービスの利用契約の有効期間中

セキュリティ体制について

ソフトバンクは、以下のとおり情報の取扱に関して安全管理対策を行っております。

ポリシーの制定

情報セキュリティポリシー

「情報セキュリティ管理責任者」の設置、情報セキュリティ対策を徹底したシステムの実現、監査体制の整備など

プライバシーポリシー

個人情報保護のための行動指針、電気通信事業等における個人情報の取り扱いについてなど

  • GDPR遵守などの対応のため、改定する場合があります

外部認証の取得

ソフトバンク株式会社は、マネジメントシステムについて以下のとおり外部認証を取得しています。

規格の認証取得状況

復処理者について(50音順)

ソフトバンクは、以下の企業が復処理者としてソフトバンクの処理者としての業務の一部を担うことを認めています。

日本

  • 株式会社アイティートゥモロー
  • 株式会社 AXSEED
  • インフォームシステム株式会社
  • 伊藤忠テクノソリューションズ株式会社
  • ヴイエムウェア株式会社
  • 株式会社ウィルウェイ
  • 株式会社エージェンテック
  • 株式会社エーピーエス
  • SCSK株式会社
  • エス・アンド・アイ株式会社
  • 株式会社エスティーエーアスト
  • 株式会社OKUSYSTEM
  • キヤノンITソリューションズ株式会社
  • クーバ株式会社
  • 株式会社クオリティア
  • サイバーソリューションズ株式会社
  • CTCシステムマネジメント株式会社
  • 株式会社SHT
  • 株式会社シンクスバンク
  • ジールズ株式会社
  • 株式会社GEクリエイティブ
  • ジェイエムテクノロジー株式会社
  • 株式会社JSシステムズ
  • JBSテクノロジー株式会社
  • JBサービス株式会社
  • 株式会社セシオス
  • 株式会社ゼネックITソリューションズ
  • 都築電気株式会社
  • 株式会社電縁
  • 東芝ITサービス株式会社
  • トレンドマイクロ株式会社
  • ドリームビジョン株式会社
  • 日本アイ・ビー・エム株式会社
  • 日本ビジネスシステムズ株式会社
  • 日本ヒューレット・パッカード株式会社
  • 株式会社ネオシステム
  • パスロジ株式会社
  • PSソリューションズ株式会社
  • 株式会社ヒューマンシステム
  • 株式会社日立ソリューションズ
  • 株式会社菱友システムサービス
  • 株式会社菱友システムズ
  • 株式会社美職カンパニー
  • FutureOne株式会社
  • Plesk株式会社
  • 株式会社Vエスティーエー
  • 株式会社ブレーンネット
  • 株式会社ベルシステム24
  • 株式会社ボードルア
  • メディアリンク株式会社
  • 株式会社ユキシステムデザイン
  • ラ・ハイナ株式会社
  • 株式会社ラスターワークス
  • 株式会社リアルテック
  • 株式会社リンクアット・ジャパン

アメリカ

  • Amazon Web Services, Inc
  • AirWatch,LLC
  • Cradlepoint, Inc
  • CommuniGate Systems, Inc.
  • Jasper Technologies LLC
  • Microsoft Corporation

ロシア

  • Plesk Ru LLC

イギリス

  • IDRsolutions Ltd.

全世界共通