Cloudflareはプライバシーを優先する企業で、当社ではEU一般データ保護規則(「GDPR」)で求められるさまざまな対策を既に実施していました。当社では、処理する個人データを販売したり、サービス提供以外の目的で使用したりすることは決してありません。さらに、当社は、データ主体が自分の個人情報にアクセスして訂正や削除を行えるようにしており、当社のネットワークを通過する情報をお客様が制御できるようになっています。
詳しくは、GDPRに関するよくある質問(FAQ)をご参考いただくか、Cloudflareのプライバシーポリシー全般をご確認ください。
Cloudflareはセキュリティ、パフォーマンス、信頼性を提供する企業で、米国を本拠とし、欧州にも5つのオフィスを置くなどグローバルに事業展開しており、あらゆる地域であらゆる規模の企業に幅広いネットワークサービスを提供しています。当社は、お客様のWebサイトやインターネットアプリケーションの安全性を強化し、ビジネスクリ ティカルなアプリケーションのパフォーマンスを高め、個々のネットワークハードウェアを管理することのコストと煩雑さを解消します。Cloudflareのグローバルネットワークは、こちらで説明するように、世界300都市以上にあるエッジサーバーで稼働しており、当社がお客様のために速やかに製品を開発して展開するための基盤を成しています。
Cloudflareがお客様に代わって処理する個人データのタイプは、実装されるCloudflareサービスによって異なります。最もよく利用されるアプリケーションサービスやネットワークサービスについては、Cloudflareでお客様のコンテンツを保存することはしませんし、お客様が当社のグローバルネットワークで伝送、ルーティング、スイッチ、キャッシュすることを選択したデータは、当社では制御できません。Cloudflare製品がコンテンツの保存に利用されるケースもありますが、その数は限定的です。どのCloudflareサービスを利用しているかにかかわらず、お客様がCloudflareグローバルネットワークで伝送、ルーティング、スイッチ、キャッシュ、保存することを選択したデータに関しては、適用法および個々の契約上の取り決めを遵守する責任はすべてお客様が負うものとします。
アプリケーションサービスとネットワークサービスの場合、Cloudflareのネットワークを移動するデータの大部分はCloudflareのエッジサーバーに留まります。このアクティビティに関するメタデータは、お客様に代わって米国と欧州の当社データセンターで処理します。
Cloudflareは、当社ネットワーク上のイベントに関するログデータを保持します。一部のログデータには、お客様のドメイン、ネットワーク、Webサイト、アプリケーションプログラミングインターフェース(「API」)、アプリケーション(場合によってはCloudflare製品のCloudflare Zero Trustを含む)の訪問者や許可されたユーザーに関する情報が含まれます。このメタデータには、ごく限られた個人データが(たいていはIPアドレスの形で)含まれます。当社はお客様に代わり、このタイプの情報の処理を、米国と欧州の当社データセンターで有限期間行います。
Cloudflareは、セキュリティをデータプライバシーを確保するための不可欠な要素と考えています。Cloudflareは2010年の創業以来、業界の先駆けとしてプライバシーを強化する数々の最先端技術をリリースしてきました。このツールを使うと、お客様は簡単にUniversal SSLで通信内容を暗号化したり、DNS-over-HTTPS、DNS-over-TLS、Oblivious HTTPなどの新しいプロトコルを使い暗号化その他の方法で通信のメタデータを保護したり、SSLキーの保管場所やトラフィックの検査場所を管理したりできます。
Cloudflareは、業界標準を超えるセキュリティプログラムを整備しています。当社のセキュリティプログラムには、正式なセキュリティポリシーと手続きの整備、適切な論理的アクセス制御と物理的アクセス制御の確立、企業環境と実稼働環境における安全な設定、伝送と接続、ログ記録、監視の確立を含めた技術的な防護策の確立、個人データの保護に十分な暗号化技術の使用が含まれます。
当社は現在、以下の認証を維持しています:ISO 27001、ISO 27701、ISO 27018、SOC 2タイプII、PCI DSSレベル1のコンプライアンス。当社は、欧州クラウド行動規範とドイツのC5 2020基準に基づく認証も取得しています。当社の認証とレポートの詳細については、こちらをご覧ください。
欧州経済領域(「EEA」)から米国へ転送される個人データを含め、個人データ保護のためにCloudflareが提供するセキュリティ対策について、当社の標準DPAの付属書類2をお読みください。
EU一般データ保護規則(「GDPR」)は、EEAから第三国(GDPR対象外の国、または適切なデータ保護法を施行していると考えられる国)へ転送される個人データに関して、欧州のデータ主体が適切な保護対策、執行可能な権利、適切な法的救済措置を利用可能にするための法的メカニズムを多数提供しています。
こうしたメカニズムには、以下が含まれます。
EU委員会は、移転先の第三国の法規 範、人権と基本的自由の尊重、その他の要因を評価した上で、その国が適切なレベルの保護を確保しているか、判断している。
データ管理者または処理者が拘束的企業準則(BCR)を導入している。
データ管理者または処理者がEU委員会に採択された標準データ保護条項を導入している。
データ管理者または処理者が承認された行動規範または承認された認証メカニズムを導入している。
Cloudflareが個人データをEEA、スイス、英国(「UK」)から越境移転する際は、欧州委員会のEU標準契約条項(「SCC」、必 要に応じて補完的措置を含む)に依拠します。米国への移転については、EU・米国データプライバシーフレームワーク(「EU・米国DPF」)、スイス・米国データプライバシーフレームワーク(「スイス・米国DPF」)、およびEU・米国DPFの英国拡張へのコンプライアンス認証も取得しています。当社の標準データ処理補遺条項(「DPA」)には引き続きEU SCCを盛り込み、当社のデータ処理が複数の法的根拠に基づくようにします。
はい。Cloudflareが個人データをEEA、スイス、または英国から米国へ移転する場合は、それぞれEU・米国データプライバシーフレームワーク、スイス・米国データプライバシーフレームワーク、およびEU・米国データプライバシーフレームワークの英国拡張 に基づく認証に依拠しています。これらの認証の期限が切れた場合、あるいは他の事情で無効となった場合、CloudflareはEUの標準契約条項(必要に応じて補完的措置を含む)に依拠して米国への移転を行います。当社ではEEA、スイス、英国からの他の越境移転に関しても標準契約条項を使っています。
2022年10月、米国のバイデン大統領が大統領命令14086号(「EO14086」)に署名しました。この命令は、EU・米国データプライバシーフレームワーク(DPF)を成立させるために、米国の信号諜報活動に対する新たな保護措置を導入するもので、欧州委員会はEO14086による保護を根拠にEU・米国DPFの十分性を認定しました。重要なのは保護がすべてのデータ移転に適用される点で、DPFの一つに従った移転も、EU標準契約条項(欧州データ保護会議(EDPB)の「2023年7月10日の十分性認定決定後にGDPRに基づき行われたデータ移転に関するインフォメーションノート」参照)に基づく移転も対象になります。
EO14086による新たな保護には、プライバシーと市民の自由に必ず配慮し、(i) 信号諜報活動は、妥当性を確認済みの諜報上の優先事項の推進に「必要」な場合に限り、(ii) 当該優先事項に「相応の」程度と方法に限って行うものとするといった保護措置が含まれます。また、EO14086は、個人が独立した拘束力あるレビューを得て、米国信号諜報活動により収集された自身の個人情報がプライバシー権を侵害する方法で処理されたと主張し、救済を求めることができる多層救済請求メカニズムも創設しています。
Cloudflareは、お客様の信頼を獲得し、それを維持することが極めて重要と考え、シュレムスII事件(事件番号C-311/18、データ保護委員会 対 フェイスブックアイランドとマクシミリアン・シュレムス)のずっと前からデータ保護措置を設けていました。それには、EDPBがシュレムスII事件後のガイダンス(移転ツールを補完してEUで定める個人データ保護レベルに適合させる措置に関する勧告01/2020(2021年6月18日採択))で推奨した追加措置も含まれます。
上記の通り、Cloudflareは個人データの処理に関して透明性の確保と説明責任の遂行に強くコミットしています。DPAはそのコミットメントの多くを拘束力のある契約にするものです。当社は、2013年に受けた法的手続きに関して2014年にCloudflare初の透明性レポートを発行した際、いかなる政府機関に対しても顧客データを提供する前に、緊急時でない限り法的手続きを要求することと、お客様や請求先に関する情報を開示する前に、法律で禁止されていない限り、当該のお客様に情報請求の法的手続きがとられている旨通知することを約束しました。当社は、いかなる政府機関に対しても、暗号化キーや当社ネットワークを通過するコンテンツのフィードを提供したことはなく、ネットワークに法執行機関の設備をデプロイしたこともないと公言しました。また、そうしたことを求められた場合は、「当社が違法または違憲と考える請求からお客様を保護するために、あらゆる法的救済措置を消尽する」と表明しています。Cloudflareの創立時から、透明性レポート