該当する標準契約条項を含む本データ処理補遺条項 (以下「DPA」) は、Asana, Inc (以下「Asana」) および上本契約において特定される事業体 (以下「お客様」) (以下各々を「当事者」、まとめて「両当事者」) との間で締結されました。 本 DPA は、参照することで両当事者の間に結ばれる、サービスの使用に関するサブスクリプション契約 (以下、「本契約」) の一部と見なされます。 本 DPA で使用されるが定義されていないすべての用語は、本契約に定める意味を有するものとします。 本 DPA、以前に締結されたデータ処理契約、および本契約の残りの条件の間に矛盾抵触がある場合は、本 DPA が優先するものとします。
本 DPA は、本契約に基づいて、個人データが Asana によって処理される際に適用される条件を定義したものです。 本 DPA は、当該の処理が適用される法令に従って行われ、かつ本契約に基づいて個人データが処理される個人の権利が尊重されることを保証することを目的とします。
「適用法」とは、プライバシー、データ保護、セキュリティ、または個人データの処理に関連するすべての適用法、規制、およびその他の法的または規制要件を意味します。これらの法律等には、以下が含まれますが、それらに限定されません。(i) カリフォルニア州消費者プライバシー法、 Civ. Code § 1798.100 et seq. (以下「CCPA」およびその後の 2020年カリフォルニア州プライバシー権法は以下「CPRA」)、(ii) 一般データ保護規則、規則 (EU) 2016/679 (以下「GDPR」)、(iii) 英国については 2018年データ保護法 (以下「英国 DPA 2018」) および英国の EU 離脱法 2018 のセクション 3 に基づいて英国法に記録されている GDPR (以下「英国 GDPR」)、(iv) スイス連邦データ保護法 (以下「スイス DPA」) および (v) 個人情報保護法 (以下「APPI」)。 なお、Asana による個人データを含む処理行為が適用される法令の適用外である場合、当該の法令は本 DPA の目的においては適用されません。
「Asana」とは、デラウェア州で設立された会社 Asana, Inc. およびその関連会社を意味します。
「コントローラー」、「事業者」、「個人データ」、「処理」、「データ処理」、「プロセッサー」、および「データ主体」は、適用法によって定義される意味を有します。 「ビジネス」「ビジネス目的」「消費者」「個人情報」「販売」(「販売する」「販売中」「販売済み」およびその他の変形を含む)、「サービスプロバイダー」「共有」「クロスコンテキスト行動ターゲティング広告」、および「第三者」などその他の関連用語は、適用法に基づいてこれらの用語に付与された意味を持ちます。
「お客様の個人データ」とは、お客様が本サービスにアップロードまたはその他の方法で入力し、本契約に基づく本サービスの提供に関連して、お客様に代わって Asana によって処理される個人データ、個人情報、または個人を特定できる情報を意味します。 書面で別途合意がない限り、本契約に従って処理されるお客様の個人データには、制限データは明示的に含まれません。
「データプライバシー原則」とは、データプライバシーフレームワークの原則 (補足原則によって補完されるもの) を意味します。
「データプライバシーフレームワーク」とは、米国商務省が管理する EU - 米国間データプライバシーフレームワーク (「EU - 米国間 DPF」)、スイス - 米国間データプライバシーフレームワーク (「スイス DPF」)、および英国向けの EU - 米国間 DPF の拡張 (「英国向けの拡張」) を意味します。
「EEA」とは、欧州連合の加盟国およびノルウェー、アイスランド、およびリヒテンシュタインから成る欧州経済地域を意味します。
「制限データ」とは、適用される法令に基づき「特殊なカテゴリのデータ」に分類される可能性のある個人データを意味します。これには、社会保障番号、金融機関の口座番号、クレジットカード情報、健康に関する情報が含まれますが、これらに限定されません。
「制限付き転送」とは、次の (i)~(iii) を意味します。(i) GDPR が適用される場合: EEA から EEA 以外の国々への個人データの転送で、欧州委員会による妥当性確認の対象にならないもの。(ii) 英国 GDPR が適用される場合: 英国から他の国々への個人データの転送で、英国 DPA 2018 の第 17A セクションに従って採用された妥当性の規定の対象にならないもの。(iii) スイス DPA が適用される場合: スイス国内から、スイス連邦データ保護情報コミッショナーによって発行された妥当な法域の一覧に含まれていない国への個人データの転送。
「セキュリティインシデント」とは、サービスの提供に関連して Asana および / またはそのサブプロセッサーによって処理される顧客個人データの、偶然または不法な破壊、損失、変更、無断の開示、またはアクセスをもたらす、確認されたセキュリティ侵害を意味します。
「標準契約条項」とは、次の (i)~(iii) を意味します。(i) GDPR が適用される場合: 欧州議会および欧州理事会規則 (EU) 2016/679 に基づく第三国への個人データの転送に関する標準契約条項に関する欧州委員会の 2021 年 6 月 4 日付実施決定 2021/914 (2021 年 6 月時点でhttps://eur-lex.europa.eu/eli/dec_impl/2021/914/oj で入手可能) に添付された標準契約条項 (「EU SCC」)。(ii) 英国 GDPR が適用される場合: 英国 GDPR の第 46 条第 2 項 (c) または (d) に従って採用された適用可能な標準データ保護条項で、英国 DPA 2018 の第 119A 条第 1 項に基づきコミッショナーによって発行された標準データ保護条項を含み、随時改訂される (「英国補遺」)。(iii) スイス DPA が適用される場合: スイス連邦データ保護情報コミッショナーによって発行、承認、または認識された適用可能な標準データ保護条項 (「スイス SCC」)。いずれの場合も、以下のセクション 9 (データ転送) に記載されているとおりに完了したもの。
2.1 処理者およびサービスプロバイダーとしての Asana。 両当事者は、お客様の個人データに関して、適用される法令によって定義される通り、お客様がコントローラーおよび事業者であり、Asana がプロセッサーおよびサービスプロバイダーであることを認め、これに同意するものとします。
2.2 サブプロセッサーとしての Asana。 お客様がプロセッサーとなる可能性のある状況において、お客様は Asana をお客様のサブプロセッサーとして任命します。これにより、本 DPA に基づくお客様または Asana の義務は変更されません。
3.1 目的の制限。 Asana は、(a) 本契約に基づいてサービスを提供するため、(b) セクション 3.3 に定められているお客様の合法的な指示に従って、(c) 適用される法令を遵守するために必要な場合、および (d) その他書面で合意された場合に、お客様の個人データを処理します。 お客様は、管理者として、提供される本サービスが制限データの保管または使用を目的としたものではないことを認めます。 お客様は、自らの裁量により、本サービスを通じて Asana に提出および転送することができるお客様の個人データのすべてのカテゴリおよび種類を決定するものとします。 お客様は、お客様の個人データに関するリスクに適したレベルのセキュリティを確保するために、サービスを安全かつ適切に使用する責任を負い、本契約および本 DPA に定めるコンプライアンスおよびセキュリティ対策が、お客様がサービスに提供するかかる制限データの処理に十分な保護措置とみなされることに同意するものとします。
3.2 個人情報の販売禁止 / ターゲット広告のための共有禁止。 Asana は、適用法に基づいて義務付けられている場合を除き、お客様の個人データを販売 (適用法で定義されているとおり) したり、クロスコンテキスト行動ターゲティング広告の目的でお客様の個人データを共有したり、本契約に定められている目的以外の目的でお客様の個人データを処理したりすることはありません。 このような場合、Asana は、法的に禁止されている場合を除き、当該処理の前にその法的要件をお客様に通知します。 Asana は、本サービスの提供以外の商業目的 (適用法で定義) で、お客様の個人データを保持、使用、または開示することはありません。 Asana は、このセクションに定める義務を理解し、これを遵守するものとします。 Asana の処理業務に関する詳細については、別紙 A に記載されています。
3.3 合法的な指示。 お客様は、お客様の指示に従ってお客様を代理してお客様の個人データを処理するプロセッサー (またはサブプロセッサー) として Asana を任命します。 お客様は、適用される法令に違反する方法でお客様の個人データを処理するよう Asana に指示しないものとします。 Asana は、Asana の見解でお客様からの指示が適用法に違反する場合、速やかにお客様に通知します。 本 DPA を含む本契約およびお客様による本サービスの設定 (お客様が随時変更できる場合があります) は、書面で別段の合意がない限り、お客様個人データの処理に関するお客様から Asana への完全かつ最終的な指示を構成するものとします。
4.1 サブプロセッサー。 お客様は、サービスを提供するために、Asana の関連会社および特定のサードパーティが、Asana に代行してお客様の個人データを処理するサブプロセッサー (「サブプロセッサー」) として雇用される可能性があることを了承し、これに同意するものとします。 Asana のサブプロセッサーは、Asana のサブプロセッサーページに記載されています。 Asana は、Asana が任命するサブプロセッサーに対し、本 DPA に定める基準と同等以上の基準でお客様の個人データを保護することを義務付ける契約上の義務を課すものとします。 Asana は、本 DPA に基づくサブプロセッサーの履行について、Asana が自らの履行に対して責任を負うのと同程度の責任を負うものとします。 お客様が Asana のサブプロセッサーページで提供される最新情報の受信を登録している場合、Asana が新しいサブプロセッサーに対しお客様個人データの処理を許可する 10 営業日前 (または緊急の場合は合理的に実行可能な限り速やかに) に、お客様に新しいサブプロセッサーについて自動的に通知されます。 標準契約条項の第 9 項に基づき提供されるサブプロセッサー契約は、お客様と共有する前に、すべての商業情報または標準契約条項に関連しない規定が削除されている場合があり、お客様は、かかる写しがお客様の書面による要求に応じてのみ提供されることに同意するものとします。
4.2 異議を申し立てる権利。 お客様は、セクション 4.1 に記載されている Asana からの通知を受領してから 30 日以内に、Asana に対し、dpa@asana.com 宛に書面で速やかに通知することにより、Asana が新しいサブプロセッサーを利用することに (データ保護に関連する合理的な理由に基づき) 異議を申し立てることができます。 お客様が新しいサブプロセッサーに異議を申し立てた場合、Asana は、商業的に合理的な努力を尽くして、お客様の個人データが異議申し立ての対象となった新しいサブプロセッサーによって処理されることを回避するために、本サービスまたはお客様の本サービスの構成または使用の変更をお客様に提供します。 Asana が合理的な期間 (30 日を超えないもの) 内に当該の変更を提供できない場合、いずれの当事者も書面による通知により、該当するオーダーフォームまたは本契約をペナルティなしで終了することができます。
5.1 セキュリティ。 Asana は、Asana が処理するお客様の Personal Data を保護するための適切な技術的および組織的な措置を講じます。 当該の措置は、個人データ処理の最新技術、導入コスト、性質、スコープ、コンテキストおよび目的、ならびに自然人の権利および自由に対してさまざまな可能性および重要度のリスクがあることを考慮して、当該のリスクに適したレベルのセキュリティを確保するものとします。 Asana は、お客様の個人データを処理する許可を Asana が与える人物が、本契約に定める守秘義務と同等以上の保護を提供する書面による守秘義務契約または法的守秘義務の対象となることを保証するものとします。
5.2 セキュリティインシデントの通知および対応。 適用される法令で義務付けられている範囲内で、処理の性質および Asana が利用できる情報を考慮して、Asana は、セキュリティインシデントを遅延なく、または適用される法令で義務付けられている期間内に、お客様に通知することにより、お客様を支援します。 可能な範囲で、この通知には、その時点における Asana の以下に関する評価が含まれます。
(a) セキュリティインシデントの性質。可能な場合は、関与するデータ主体のカテゴリおよびおおよその人数、対象となる個人データ記録のカテゴリおよびおおよその数を含める。
(b) セキュリティインシデントにより起こるであろう結果。
(c) セキュリティインシデントに対処するために Asana が実行した措置または実行を提案する措置。該当する場合は、当該のインシデントによって生じ得る悪影響を緩和する措置を含める。
Asana は、セキュリティインシデントに関する追加情報が入手可能になった場合、お客様に速やかに定期的な最新情報を提供するものとします。 お客様は、更新が不完全な情報に基づいている可能性があることを了承するものとします。 Asana は、顧客データが適用法に基づく要件の対象となるかどうかを判断する目的で、そのような顧客データの内容を評価することはありません。 本 DPA または標準契約条項のいかなる規定も、Asana がセキュリティインシデントまたはその他のセキュリティインシデント全般に関して負う可能性のある法的義務に違反すること、またはその遵守を遅らせることを要求するものと解釈されることはありません。
法的に許可されている範囲において、Asana は、個人データに関して適用される法令に基づき付与された権利の行使を求める個人からの要求を受領した場合、その個人をお客様に差し戻すものとします。当該の権利には、アクセス、修正、処理の制限、消去 (「忘れられる権利」)、データポータビリティ、処理に対する異議申し立て、または自動化された個人意思決定の対象とならない権利が含まれる場合があります (それぞれを「データ主体の要求」とします)。 お客様が本サービスの使用においてデータ主体の要請に対応できない場合、Asana は、お客様の要請に応じて、Asana が法的に許可されている範囲で、かつ適用される法令に基づき当該のデータ主体の要請への対応が義務付けられている範囲で、当該のデータ主体の要請への対応においてお客様を支援するために商業的に合理的な工数を提供するものとします。 法的に許可されている範囲で、お客様は、データ主体の要求を支援するためにお客様が要求した追加機能を Asana が提供することにより生じる費用を負担するものとします。
処理の性質および Asana が入手可能な情報を考慮した上で、Asana は、お客様が Asana を関与させたお客様の個人データの処理または提案された処理が及ぼす、法的に要求されるデータ保護へのインパクト評価を実施するにあたり、お客様に合理的なサポートを提供し、協力するものとします。また、必要に応じて監督当局またはその他の規制当局と協議し、サービスに関する公的に入手可能な文書をお客様に提供するか、または以下のセクション 10 (監査) を遵守することにより、上記の協力を行うものとします。 データ保護へのインパクト評価または規制当局との関係に関する追加サポートが提供される場合があり、その場合は、料金、Asana の関与の範囲、および両当事者が適切とみなすその他の条件について相互に合意する必要があります。
法的に許可されている範囲で、法執行機関または政府機関からのデータまたは記録の要求に対し、Asana は Asana の法執行機関ガイドラインに記載されているガイドラインに従って対応します。 Asana は、確立された法的手続きや該当する法律に則した要請にのみ対応します。
9.1お客様は、Asana およびそのサブプロセッサーが、本データ処理補遺条項および適用法に従って、お客様の個人データを国際的に転送することを許可します。
9.2お客様は、適用法の遵守を条件として、Asana、その関連会社、またはそのサブプロセッサーがデータ処理業務を行う場所で、Asana がお客様の個人データを処理する可能性があることを了承し、同意するものとします。 お客様 (「データエクスポーター」) から Asana (「データインポーター」) へのお客様の個人データの転送において、特定の適切な保護措置 (「転送メカニズム」) の導入が必要な場合、両当事者は、以下のフレームワークおよび転送メカニズムに従うことに合意するものとします。これらは、以下のとおりに本 DPA に盛り込まれ、その一部を構成するとみなされます。
(a)優先順位。 当サービスが複数の移転メカニズムの対象となる場合、個人データの移転は、該当する場合、以下の優先順位に従って、単一の移転メカニズムの対象となります。(a) データプライバシーフレームワーク、(b) セクション 9.2(c)-(e) に定める標準契約条項、および、上記のいずれにも該当しない場合は、(c) 適用法で許可されるその他の代替データ移転メカニズムが適用されます。
(b)データプライバシーフレームワーク。 Asana が EEA、英国、またはスイスからのお客様の個人データを処理する範囲において、Asana はデータプライバシーフレームワークに基づく自己認証を受けており、データプライバシー原則を遵守することを表明します。
(c) EU 標準契約条項。 EU SCC は、GDPR によって保護されるお客様の個人データの制限付き転送に適用され、以下のように完成されるものとします。
(i) モジュール 2 (コントローラーからプロセッサー) に規定されている条項は、お客様がコントローラーであり、Asana がプロセッサーである場合にのみ適用されます。
(ii) モジュール 3 (プロセッサーからプロセッサー) に記載されている条項は、お客様がプロセッサーであり、Asana がサブプロセッサーである場合にのみ適用されます。
(iii) 「データエクスポーター」はお客様であり、エクスポーターの連絡先情報は以下の通りです。
(iv) 「データインポーター」は Asana であり、Asana の連絡先情報は以下の通りです。
(v) 第 7 条では、オプションの結合条項が適用されます。
(vi) 第 9 条では、オプション 2 が適用され、サブプロセッサー変更に関する事前通知の期間は、本 DPA のセクション 4.1 に定める期間となります。
(vii) 第 11 条では、オプションの言語は適用されません。
(viii) 第 17 条では、オプション 1 が適用され、EU SCC はアイルランド法に準拠します。
(ix) 第 18(b) 条の紛争はアイルランドの裁判所で解決されます。
(x) 付録の付属書類 I および II は、以下の別紙 A に定められます。
(d)英国の国境をまたぐデータ転送に関する補遺。 英国補遺条項は、英国 GDPR によって保護される顧客個人データの制限付き転送に適用され、以下のように完成されるものとします。
(i) 表 1 は、別紙 A に定める付属書類 I の関連情報を用いて完了します。
(ii) 表 2 は、選択されたモジュールおよび本 DPA の第 9.2(c) に指定される EU SCC の条項を用いて作成されます。
(iii) 表 3 は、別紙 A に定める付属書類 I および II の関連情報ならびに本 DPA のセクション 4.1 の関連情報を用いて作成されます。
(iv) 表 4 では、インポーターは、英国補遺条項の条件に従って英国補遺条項を締めくくることができます。
(e)スイスの標準契約条項。 スイス DPA によって保護される顧客個人データの制限付き転送に関連して、EU SCC は、上述のパラグラフ (c) および以下の条件に従って、当該のデータ転送にも適用されるものとします。
(i) EU SCC における「ディレクティブ 95/46/EC」または「規則 (EU) 2016/679」への参照は、すべてスイス DPA への参照として解釈されます。
(ii) 「欧州」「連合」および「加盟国法」への参照は、すべてスイス法への参照として解釈されます。
(iii) 「法的能力を有する監督機関」および「管轄権を有する裁判所」への参照は、すべてスイス国内の関連するデータ保護機関および裁判所への参照として解釈されます。
ただし、上述のとおりに実行される EU SCC を使うとスイス DPA の条件に準拠する形で当該の顧客個人データを合法的に転送できない場合は、スイス SCC が参照されることによって本 DPA に組み込まれ、本 DPA の不可分の一部となり、当該のデータ転送に適用されます。 その場合、スイス SCC の関連する付属文書または付録は、本 DPA の別紙 A に記載される情報を用いて作成されるものとします (該当する場合)。
9.3標準契約条項に定められる規定を矛盾または制限することは、どちらの当事者の意図でもないため、標準契約条項の内容が本契約の内容 (本 DPA を含む) と矛盾する場合は、その範囲内で、当該の標準契約条項が優先するものとします。
9.4本 DPA を締結することにより、両当事者は、該当する標準契約条項および該当する付属書類および付属書類に署名したものとみなされます。
10.1 監査。 Asana は、お客様 (または両当事者が相互に合意した第三者監査人 (以下「監査人」)) が、Asana によるお客様の個人データの処理に関連する文書、データ、認証、レポート、および記録 (以下「記録」) について、本セクション 10 の条件に従い、Asana が本データ処理補遺条項を遵守しているかどうかを判断することのみを目的として、監査を実施できるようにし、かつそれに貢献するものとします。ただし、本契約が有効であり、当該の監査の費用はお客様が単独で負担することを条件とします (以下「監査」)。
10.2 書面による通知。 お客様は、Asana に 14 日前に書面で通知することにより、年に 1 回まで監査を要求することができます。ただし、Asana のシステムでセキュリティインシデントが発生した場合は、お客様は当該セキュリティインシデントの後、妥当な期間内に監査を要求することができます。
10.3 追加の書面によるリクエストおよび検査。 記録の提供により、お客様が Asana が本 DPA の条項を遵守しているかどうかを判断するのに十分な情報が得られない場合、お客様は必要に応じて、(i) Asana に書面で追加情報を要求することができ、Asana はそのような書面による要求に合理的な期間内に対応するものとします (「書面による要求」)。また、(ii) そのような書面による要求に対する Asana の対応により、お客様が必要とするレベルの情報が得られない場合に限り、Asana に 21 日前に書面で通知することにより、Asana の施設、システム、およびスタッフへのアクセスを要求することができます (「検査」)。ただし、その場合、両当事者は、(a) 検査の範囲、タイミング、および期間、(b) 検査を実施するための監査人の使用、(c) 検査は Asana の通常の営業時間内にのみ、Asana の業務への影響を最小限に抑えて行うこと、および (d) 検査に関連するすべての費用はお客様が負担すること (Asana が検査を円滑に進めるために費やす時間に対して、その時点における Asana の現行料金で請求されることも含む) について相互に合意する必要があります。 セキュリティインシデントが発生した場合を除き、検査は年に 1 回までとします。
10.4 秘密保持。 本セクション 10 に従って実施される監査または検査に関連して、監査人は、本契約に定めるものと同等以上の保護を提供する機密保持義務に拘束されるものとします。 監査人は、Asana の他のクライアントに関するデータまたは情報、あるいは監査または検査の許可された目的に直接関連しない Asana のその他の機密情報を受け取る権利を有しません。
10.5 是正措置。 監査または検査によって重大なコンプライアンス違反が特定された場合、Asana はそのようなコンプライアンス違反を是正するための迅速な措置を講じます。
本契約が終了し、お客様の正式代表者 (本セクションの目的において、正式代表者とは、請求管理者、本サービスの管理者、またはお客様を代理して意思決定を行う権限があることを書面で確認したお客様の従業員のいずれかを指す) から書面による確認済みの要請があった場合、Asana は、適用される法令によって禁止されている場合を除き、お客様の個人データを削除するものとします。 契約終了後に Asana がそのような要求を受け取らなかった場合、Asana は適用される法令に基づく義務に従って、お客様の個人データを削除することができます。
別紙 A
標準契約条項の付属書類 I
A. 当事者一覧
モジュール 2: コントローラーからプロセッサーへの転送
モジュール 3: プロセッサーからプロセッサーへの転送
データエクスポーター: | 詳細/説明 |
|---|---|
名称: | お客様、サービスのユーザー |
住所: | 本契約書に記載されている住所 |
担当者の氏名、役職、連絡先詳細: | 本契約書に記載の連絡先情報 |
これらの条項に基づいて転送されるデータに関連する活動: | 関連する活動は以下セクション B で説明 |
署名および日付: | DPA の第 9.4 セクション参照 |
役割 (コントローラー / プロセッサー): | コントローラーおよび / またはプロセッサー |
データインポーター: | 詳細 / 説明 |
|---|---|
名称: | Asana, Inc.、サービスのプロバイダー |
住所: | 633 Folsom Street, Suite 100, San Francisco, CA 94107 |
担当者の氏名、役職、連絡先詳細: | |
これらの条項に基づいて転送されるデータに関連する活動: | 関連する活動は以下セクション B で説明 |
署名および日付: | DPA の第 9.4 セクション参照 |
役割 (コントローラー / プロセッサー): | プロセッサー |
B. 転送の説明
モジュール 2: コントローラーからプロセッサーへの転送
モジュール 3: プロセッサーからプロセッサーへの転送
個人データが転送されるデータ主体のカテゴリ
個人データが転送されるデータ主体のカテゴリは、データエクスポーターによってのみ決定されます。 データインポーターのサービスの通常の過程において、データ主体のカテゴリには、データエクスポーターの従業員、顧客、サービスプロバイダー、ビジネスパートナー、関連会社、およびその他のエンドユーザーが含まれる場合がありますが、これらに限定されません。
転送される個人データのカテゴリ
転送される個人データのカテゴリは、データエクスポーターによってのみ決定されます。 データインポーターのサービスの通常の過程において、転送される個人データのカテゴリには、氏名、メールアドレス、電話番号、役職、フリーテキストプロジェクト、およびデータエクスポーターまたはそのエンドユーザーが入力したタスクリストが含まれる場合がありますが、これらに限定されません。
転送される機密性の高いデータ (該当する場合) および、データの性質および伴うリスクを完全に考慮して適用された制限または保護措置。たとえば、厳密な目的制限、アクセス制限 (特別な研修を受けたスタッフだけにアクセス権を付与することを含む)、データへのアクセス履歴の記録、転送の制限または追加のセキュリティ措置など。
お客様は、自らの裁量により、本サービスを通じて Asana に提出および転送することができるお客様の個人データのすべてのカテゴリおよび種類を決定するものとします。 お客様は、お客様の個人データに関するリスクに適したレベルのセキュリティを確保するために、本サービスを安全かつ適切に使用する責任を負い、本契約および本 DPA に定めるコンプライアンスおよびセキュリティ措置が、お客様が本サービスに提供する当該のデータの処理に対する十分な保護措置とみなされることに同意するものとします。
転送が行われる頻度 (1 回限りの転送か継続的な転送かなど)。
サービスの使用に伴って続く。
処理の性質
本契約に基づいたお客様に対するサービスの提供。
データ転送および更なる処理を行う目的
本契約に記載されるサービスをお客様に提供するため。
個人データが保持される期間、またはその期間保持するのが不可能な場合に保持する期間を決定する条件
本契約に記載されるサービスを提供するのに必要となる期間、法的または契約上の要件に従う期間、またはお客様からの書面による削除の要請を受領した時点まで。
(サブ) プロセッサーへの転送について、処理の主題、性質および期間も指定する 処理の主題、性質および期間は、上述されているほか、本契約にも明記されています。
C. 法的能力を有する監督機関
モジュール 2: コントローラーからプロセッサーへの転送
モジュール 3: プロセッサーからプロセッサーへの転送
第 13 節に基づいて、法的能力を有する監督機関を指定する
顧客は、法的能力を有する監督機関がアイルランドのデータ保護委員会 (DPC) であることに同意する。
標準契約条項の付属書類 II
データセキュリティを確保するための技術的および組織的措置を含む技術的および組織的措置
モジュール 2: コントローラーからプロセッサーへの転送
モジュール 3: プロセッサーからプロセッサーへの転送
処理の性質、スコープ、コンテキストおよび目的、ならびに自然人の権利および自由に対するリスクを考慮した上で、データインポーターが適切なレベルのセキュリティを確保する目的で導入する技術的および組織的措置 (関連する認定書を含む) の説明。
Asana は、セキュリティプログラムおよび対策の設計と実装において、以下の原則を重視しています: (a) 不正なアクセス、利用、改ざんから当サービスを保護するための物理的および環境的セキュリティ。(b) 当サービスの運用および利用のための可用性の維持。(c) お客様のデータを保護する守秘義務、および、(d) ライフサイクル全体にわたるデータの正確性と一貫性を保つ整合性。
Asana の現在の技術的および組織的なセキュリティ措置の説明は、Asana のデータセキュリティ基準でご��認いただけます。
具体的な措置:
対策 | 説明 |
|---|---|
個人データの仮名化および暗号化の措置 | Asana は、顧客データの転送時および保存時に、転送のメカニズムに適した業界標準の暗号化アルゴリズム (たとえば、TLS 1.2、AES-256) を使用して暗号化するものとします。 |
処理システムおよびサービスの機密性、整合性、可用性および回復力を持続するための措置 | Asana は、顧客データの機密性、整合性および可用性を保護する目的で設計された管理上、技術上および組織上の保護措置を含む、リスクに基づく情報セキュリティプログラムを運用し、維持するものとします。 Asana は定期的に評価を行い、情報セキュリティプログラムを監視してリスクを特定し、侵入テスト、社内監査、リスク評価を実施することで、コントロールが効果的に機能していることを確認しています。 Asana は、リスク管理プログラムを運用し、顧客データの機密性、整合性、および可用性に影響を与えるリスクを特定、監視、および管理します。 |
物理的または技術的な事象が発生した場合に、個人データの可用性とアクセスを適時に回復する機能を確保するための措置 | Asana は、災害後に最重要な技術インフラストラクチャとシステムを復旧または持続させるために、一連の災害復旧ポリシーと手順を文書化して、それを実施および維持します。 さらに、Asana は災害復旧計画のテストを毎年実施し、その結果をまとめたものをお客様に提供します。 Asana は顧客データの定期的なバックアップを行い、バックアップが本番環境のデータベースと同じ方法で保護されていることを確認します。 |
個人データ処理のセキュリティを確保するための技術的および組織的措置の効果を定期的に試験および評価するためのプロセス | Asana は定期的に評価を行い、情報セキュリティプログラムを監視してリスクを特定し、侵入テスト、社内監査、リスク評価を実施することで、コントロールが効果的に機能していることを確認しています。 Asana は、公認外部監査人を採用し、AICPA の Trust サービス規準 SOC 2 (セキュリティ、可用性、機密性の 3 領域)、および ISO/IEC 27001:2013、ISO/IEC 27017:2015、ISO/IEC 27018:2019、ISO/IEC 27701:2019 標準に照らして情報セキュリティプログラムの評価を実行します。 評価は毎年実施され、SOC 2 Type 2 レポートおよび前述の ISO 認証の証拠が作成され、それぞれの契約に従ってお客様に提供されます。 |
ユーザーの識別および承認のための措置 | 顧客データにアクセスできるのは、サービスを提供する上で顧客データにアクセスする必要がある、権限を与えられた Asana の従業員に限定されています。 顧客データにアクセスするには、固有のユーザー名とパスワードを使用し、多要素認証を有効にする必要があります。 従業員が退職した場合、1 営業日以内にアクセスできなくなります。 |
送信中のデータ保護のための措置 | Asana は、顧客データの転送時および保存時に、転送のメカニズムに適した業界標準の暗号化アルゴリズム (たとえば、TLS 1.2、AES-256) を使用して暗号化するものとします。 |
保管中のデータ保護対策 | お客様のデータは、AWS のクロスリージョンバックアップを用いて保管されています。 データのバックアップは暗号化されます。 顧客データは、転送時および保存時に、転送のメカニズムに適した業界標準の暗号化アルゴリズム (たとえば、TLS 1.2、AES-256) を使用して暗号化されます。 |
個人データが処理される場所の物理的セキュリティを確保するための措置 | Asana は、顧客データを処理、保管、または転送するすべての物理的拠点が安全な物理的設備に設置されていることを保証するものとします。 Asana は、サードパーティのクラウドホスティングプロバイダーのセキュリティ証明書 (たとえば、SOC 2 Type 2) を少なくとも年 1 回レビューし、適切な物理的セキュリティ管理が行われていることを確認します。 |
イベントの記録を確保するための措置 | Asana の情報セキュリティ管理システムへのすべてのアクセスは制限され、監視され、ログに記録されます。 ログエントリには、最低限の情報として、日付、タイムスタンプ、実行されたアクション、およびアクションを実行したユーザー ID またはデバイス ID が含まれます。 各監査ログに記録される追加の詳細情報のレベルは、そのシステムで保存および / または処理される情報の量や機密性に応じて適切に管理されます。 すべてのログは変更されないように保護されています。 |
デフォルト構成を含むシステム構成を確保するための措置 | Asana のシステムに対する脅威の可能性を防ぎ、最小限に抑えるために、ユーザー、ネットワーク、または本番環境の機器の展開前にベースライン構成が必要です。 強力な暗号化を確保し、ネットワークデバイスの展開の一環としてベンダーのデフォルト設定を置き換えるために、ワイヤレスセキュリティ設定のベースライン構成が設けられています。 システムは一元管理され、不審な活動を検出してアラート通知を行うように構成されています。 |
社内 IT および IT セキュリティのガバナンスと管理のための措置 | IT セキュリティガバナンスおよび管理の構造とプロセスは、データ保護の原則への準拠を確保するために設計されており、効果的に実施されています。 Asana は、情報セキュリティマネジメントシステムに沿ったセキュリティ保護措置の実装、維持、監視、実施を担当するセキュリティ専門チームを設置します。 |
プロセスおよび製品の認証 / 保証のための措置 | Asana の情報セキュリティのフレームワークは、ISO 27001 情報セキュリティマネジメントシステムに基づき、セキュリティリスク管理、ポリシーと手順、セキュリティインシデント管理、アクセスコントロール、脆弱性管理、物理的セキュリティ、運用上のセキュリティ、コーポレートセキュリティ、インフラセキュリティ、製品セキュリティ、事業継続・災害復旧、人事セキュリティ、セキュリティコンプライアンス、ベンダーセキュリティなどの領域を対象とします。 Asana は、公認外部監査人を採用し、AICPA の Trust サービス規準 SOC 2 (セキュリティ、可用性、機密性の 3 領域)、および ISO/IEC 27001:2013、ISO/IEC 27017:2015、ISO/IEC 27018:2019、ISO/IEC 27701:2019 標準に照らして情報セキュリティプログラムの評価を実行します。 評価は毎年実施され、SOC 2 Type 2 レポートおよび前述の ISO 認証の証拠が作成され、それぞれの契約に従ってお客様に提供されます。 |
データの最小化を確保するための措置 | Asana は、当社の利用規約、プライバシーステートメント、および顧客契約に定めるサービスの提供に必要な情報のみを収集します。 当社の従業員は、担当のタスクを実施する上で必要な、最小限の情報のみにアクセスするよう指示を受けます。 |
データの品質を確保するための措置 | Asana は、機密性の高い構成設定やファイルの変更を含む、ウェブサーバーおよびアプリケーションのログの詳細を保持しています。 ログエントリには、最低限の情報として、日付、タイムスタンプ、実行されたアクション、およびアクションを実行したユーザー ID またはデバイス ID が含まれています。 ログは変更されないように保護されています。 適用される法令に基づく権利を行使して、期限切れまたは不正確な情報を更新することを希望されるユーザーは、こちらのフォームを使用して、いつでも更新を行うことができます。 データ主体の権利に関する詳細は、プライバシーステートメントをご覧ください。 |
データ保持期間の制限を確保するための措置 | Asana は、当社プライバシーステートメントに定める目的を履行するために必要な期間にわたって情報を保持します。ただし、より長い保持期間が法律で要求または許可されている場合、またはお客様契約で特定の保持期間または削除期間が要求または許可されている場合を除きます。 お客様は、いつでもデータの削除を要求することができ、お客様の個人データは、本契約の終了時に削除または匿名化されます。 |
説明責任を確保するための措置 | Asana は包括的な GDPR コンプライアンスプログラムを確立し、お客様およびベンダーと協力して GDPR コンプライアンスに取り組んでいます。 GDPR に準拠するために Asana が実践した重要な措置の一部を以下に示します。 GDPR に準拠するために Asana が実践した重要な措置の一部を以下に示します。 当社のパートナー、ベンダー、ユーザーに関するポリシーと契約の改定。 当社のセキュリティプラクティスと手順の強化。当社が収集、使用、共有するデータの綿密なレビューとマッピング。より確固たる社内のプライバシーとセキュリティ文書の作成。GDPR 要件とプライバシー / セキュリティベストプラクティス全般に関する従業員の教育。データ主体の権利のポリシーと応答プロセスの慎重な評価と構築。 また、Asana の GDPR コンプライアンスプログラムの主要分野に関する追加の詳細と、お客様が自社の GDPR コンプライアンスイニシアチブに Asana を活用する方法を説明します。 データ保護責任者 (DPO) の任命。データ保護責任者へのお問い合わせの際は、dpo@asana.com までメールでご連絡ください。 EU の個人データを管理するお客様は、Asana が GDPR の要件に従って個人データを処理、保護する堅牢なデータ処理補遺条項 (「DPA」) を Asana と締結できます。 この契約には、現在の標準契約条項およびデータ管理者の指示に従って個人データを処理する Asana の義務が含まれます。 |
データポータビリティを可能にし、消去を確実にするための措置 | Asana は、個人が適用法に従ってプライバシーに関する権利を行使するための仕組みを提供しています。 個人は、このフォームを使用していつでも Asana に連絡することができます。 詳細は、プライバシーステートメントをご覧ください。 |
(サブ) プロセッサーへの転送について、コントローラーに支援を提供できるように (サブ) プロセッサーが講じるべき具体的な技術的および組織的措置についても説明する。また、プロセッサーからサブプロセッサーへの転送について、データエクスポーターに支援を提供できるように (サブ) プロセッサーが講じるべき具体的な技術的および組織的措置についても説明する。
データ処理補遺条項に記載されているとおり、Asana は必要に応じて管理者に支援を提供するための対策を講じています。 このような措置には、ドメインに関連付けられたすべての顧客の Personal Data を削除する機能、および管理者がデータをより適切に管理および制御できるようにするための API を提供することが含まれますが、これらに限定されません。 データ主体の要請に関して、管理者が本サービスの利用においてデータ主体の要請に対応できない場合、Asana は、要請があれば、Asana が法的に許可されている範囲で、また適用される法令により当該のデータ主体の要請への対応が義務付けられている範囲で、当該のデータ主体の要請への対応において管理者を支援するために商業的に合理的な工数を費やします。 データ主体は、このフォームを使用していつでも Asana に連絡することで、権利を行使することもできます。