CloudflareとGDPR

一般データ保護規則（General Data Protection Regulation：GDPR）は、企業がEU市民の個人データをどのように収集、保存、削除、修正、その他の処理を行うかを義務付ける、EUの包括的な新しい法律です。企業がEU圏内に物理的に所在するかどうか、またはEU圏内に顧客を持つかどうかにかかわらず、EU市民の個人データを処理するすべての企業に適用されます。また、企業はEU市民の個人データを扱う可能性がある世界各国のすべてのベンダーやサプライヤーに、これらの義務を承継することが求められます。

GDPRは2018年5月25日に欧州連合全域で施行されます。これは（指令よりはむしろ）規制であり、前述の日付にすべてのEU加盟国において即時に立法化されます。英国はEUを離脱しますが、引き続きGDPRに準拠することを確約しています。

通知：ベンダーのリストを見直し、ビジネス全体におけるデータの流れ、収集される個人データの種類、アクセス権を持つ人物を把握します。Cloudflareがベンダーの1つであり、CloudflareとのDPA実施が必要と判断した場合、上のリンクからGDPRに準拠したDPAをダウンロードして署名します。

評価：ビジネス内でのリスク評価を実施し、GDPRのコンプライアンス達成に向けて実行すべき項目を特定します。

プラン：当社にご連絡いただくことで、Cloudflareの製品がコンプライアンスのニーズをどのように満たすかを把握し、2018年5月25日の施行に配慮したアクションプランを策定します。

実行：GDPRコンプライアンスプログラムを実行し、GDPRコンプライアンスを継続的な規律にします。

最も重要な点は、EUの「個人データ」の概念が米国の「個人情報保護（PII）」の概念よりはるかに広範ということです。EU法において、個人データとは特定または特定可能な自然人に関する情報（以下「データ主体」という）を意味します。特定可能な自然人とは、氏名、個人識別番号、位置データ、オンライン識別子などの識別子から、あるいは当該自然人の身体的、生理学的、遺伝的、精神的、経済的、文化的または社会的アイデンティティを含む1つ以上の固有の要素を参照することにより、直接的または間接的に特定できる人物を指します。個人データとして認められる情報が、必ずしも秘密または慎重な取り扱いを要するとは限りません。

通常、Cloudflareのお客様は、CloudflareのWeb最適化およびセキュリティサービスの利用に関連して、Cloudflareに利用を許可した個人データのデータ管理者としての役割を持ちます。データ管理者は個人データを処理する目的と手段を決定し、データ処理者はデータ管理者に代わってデータを処理します。データ処理者としてのCloudflareは、お客様へのサービス提供に関連して、お客様に代わって個人データを処理します。

一般に当社は他者が管理する情報のパイプラインにすぎず、当社のネットワークを介して送信、ルーティング、切り替え、キャッシュに保存されたコンテンツ（画像、記載内容、グラフィックなど）を管理する主体は、顧客とそのユーザーです。また当社は、顧客のWebサイトの使用に関する特定の情報を収集し、顧客が送信したデータ、または当社において処理するよう指示されたデータを処理することがあります。どのようなデータを受け取るかは当社が決定するものではありませんが、一般的に、連絡先情報、IPアドレス、セキュリティフィンガープリント、DNSログデータ、ブラウザーのアクティビティから導かれるWebサイトのパフォーマンスデータなどの項目が含まれます。当社は、顧客にサービスを提供するため、またGDPRを含む適用法に基づき、これらのデータを処理します。