ソフトバンク法人サービス GDPRに対する取り組みについて

GDPRについて

GDPR※1とは、EEA※2域内で取得した個人データの処理と移転に関する法律です。EU(European Union)の法令ですが、EEA域内にいる個人※3に関する個人データを保護するため、日本企業においても適用される場合があります。

  • ※1
    GDPR : General Data Protection Regulation(一般データ保護規則)
  • ※2
    EEA : European Economic Area(欧州経済領域) EU全28カ国にノルウェー、リヒテンシュタイン、アイスランドを含めた31カ国をいいます。
  • ※3
    EEA域内にいる個人 : 国籍や居住の有無を問わず、現に所在する個人が対象になります。なお、GDPRで定義される「個人データ」とは、日本の個人情報よりも広い概念になっています。くわしくは以下の個人情報保護委員会のウェブサイトをご覧ください。

GDPRが適用されるケース

下記にあてはまる企業は、GDPR適用開始日までに所定の手続きを行う必要があります。お手続き方法などについては現在準備中です。

  • EEA域内で取得した個人データを処理する場合
  • 日本に個人データを移転する場合

GDPR適用開始日:2018年5月25日

参考:個人情報保護委員会 GDPRに関するウェブページ(外部サイトに移動します)
https://www.ppc.go.jp/enforcement/cooperation/cooperation/GDPR/

ソフトバンク法人サービスのGDPR対応について

ソフトバンクの法人サービスを用いて個人データの処理を行うお客さまは「管理者」になります。
ソフトバンクの法人サービス提供において、ソフトバンクは主に「処理者」になります。

主な立場 説明 主な役割
管理者
(法人のお客さま)
単独又は共同で個人データ処理の目的と手段を決定する法人のお客さまをいいます。 決定した個人データの処理全般において、個人データの主体およびEUデータ保護当局に対する直接的な責任を負います。
処理者
(ソフトバンク)
管理者である法人のお客さまからの委任を受けて、個人データの処理を行います。 管理者であるお客さまから指示を受けた範囲で処理を行う責任を負います。
  • ソフトバンクが提供主体となるサービス

GDPR遵守に向けて

法人のお客さま向けにGDPR遵守のため以下の条項および契約などを準備中です。

SCC(Standard Contractual Clauses:標準契約条項)

EEAに所在する個人データを、EEAの域外(日本を含みます)に移転する場合において、締結が必要な契約書式です。
お客さまからの申告に基づき締結いたします。ご契約書式は現在準備中です。

  • GDPRの規定により、英語版のみでの締結となります

処理契約

ご契約のソフトバンクサービスで取り扱う、EEA域内の個人データの処理について定める契約条項です。
ご利用のソフトバンクサービスの契約約款・利用規約と合わせてご提示する予定です。

  • ソフトバンクがサービスの提供主体にならない場合は、サービス提供元が「処理者」となりますので、上記どちらの契約も、サービス提供元と締結いただくことになります。

セキュリティ体制について

ソフトバンクは、以下のとおり情報の取扱に関して安全管理対策を行っております。

ポリシーの制定

情報セキュリティポリシー

「情報セキュリティ管理責任者」の設置、情報セキュリティ対策を徹底したシステムの実現、監査体制の整備など

プライバシーポリシー

個人情報保護のための行動指針、電気通信事業等における個人情報の取り扱いについてなど

  • GDPR遵守などの対応のため、改定する場合があります

外部認証の取得

ソフトバンク株式会社は、マネジメントシステムについて以下のとおり外部認証を取得しています。

規格の認証取得状況