CloudflareとGDPR

Cloudflareの企業使命はよりよいインターネットの構築をサポートすることです。Cloudflareはお客様とエンドユーザーのデータを保護することがこの使命の基本であると信じています。

一般データ保護規則(General Data Protection Regulation:GDPR)は、2018年5月25日に施行される欧州連合(EU)の包括的なプライバシーに関する新しい法律です。GDPRは、EU全域のデータプライバシー法を統一し、企業がEU市民の個人データをどのように収集、保存、削除、修正、その他の処理を行うかを義務付けるものです。企業が物理的にEU圏内に所在するかどうか、またはEU圏内に顧客を持つかどうかにかかわらず、EU市民の個人データを処理するすべての企業に適用されます。

Cloudflareの責務

CloudflareのチームはGDPRの要件への準拠に全力で取り組みます。新しいプライバシー法の順守は容易ではありませんが、GDPRに準拠した最先端のサービスの提供により、お客様のGDPRコンプライアンスに関する取り組みを支援します。

当社の法務およびポリシーの専門チームは、GDPRの要件を綿密に分析し、GDPRの要件を実施するためのベストプラクティスに関する新しい指針を継続的にモニタリングしています。これらの新しい要件を念頭に置いて製品、契約、ポリシーの変更を行い、2018年5月25日までにGDPRコンプライアンスを徹底することを確実にしました。お客様がGDPRへの準拠に成功するためのサポートにも全力を尽くします。

お客様にできること

こちらのリソースをご覧ください。

データ処理補遺

お客様がGDPRにおけるデータ管理者としての資格要件を満たし、認定ベンダーとの間でデータ処理補遺(DPA)の実施が必要と判断した場合、これを容易にするサポートを提供します。

GDPRに準拠したDPAは、こちらからダウンロードして署名できます。

GDPRに関するリソース

GDPRに関するより詳細な情報については、欧州委員会のWebサイトおよびこちらの当社ブログをご覧ください。

GDPRに関するよくある質問

GDPRに関するよくある質問については、以下をご覧ください。

よくある質問

  1. GDPRとは何ですか?

    一般データ保護規則(General Data Protection Regulation:GDPR)は、企業がEU市民の個人データをどのように収集、保存、削除、修正、その他の処理を行うかを義務付ける、EUの包括的な新しい法律です。企業がEU圏内に物理的に所在するかどうか、またはEU圏内に顧客を持つかどうかにかかわらず、EU市民の個人データを処理するすべての企業に適用されます。また、企業はEU市民の個人データを扱う可能性がある世界各国のすべてのベンダーやサプライヤーに、これらの義務を承継することが求められます。

  2. GDPRはいつ施行されますか?

    GDPRは2018年5月25日に欧州連合全域で施行されます。これは(指令よりはむしろ)規制であり、前述の日付にすべてのEU加盟国において即時に立法化されます。英国はEUを離脱しますが、引き続きGDPRに準拠することを確約しています。

  3. GDPRコンプライアンスのプロセスを開始するにはどうすればいいですか?

    通知:ベンダーのリストを見直し、ビジネス全体におけるデータの流れ、収集される個人データの種類、アクセス権を持つ人物を把握します。Cloudflareがベンダーの1つであり、CloudflareとのDPA実施が必要と判断した場合、上のリンクからGDPRに準拠したDPAをダウンロードして署名します。

    評価:ビジネス内でのリスク評価を実施し、GDPRのコンプライアンス達成に向けて実行すべき項目を特定します。

    プラン:当社にご連絡いただくことで、Cloudflareの製品がコンプライアンスのニーズをどのように満たすかを把握し、2018年5月25日の施行に配慮したアクションプランを策定します。

    実行:GDPRコンプライアンスプログラムを実行し、GDPRコンプライアンスを継続的な規律にします。

  4. GDPRにおける「個人データ」の定義とは何ですか?

    最も重要な点は、EUの「個人データ」の概念が米国の「個人情報保護(PII)」の概念よりはるかに広範ということです。EU法において、個人データとは特定または特定可能な自然人に関する情報(以下「データ主体」という)を意味します。特定可能な自然人とは、氏名、個人識別番号、位置データ、オンライン識別子などの識別子から、あるいは当該自然人の身体的、生理学的、遺伝的、精神的、経済的、文化的または社会的アイデンティティを含む1つ以上の固有の要素を参照することにより、直接的または間接的に特定できる人物を指します。個人データとして認められる情報が、必ずしも秘密または慎重な取り扱いを要するとは限りません。

  5. データ管理者かデータ処理者のどちらに該当するかを判断するにはどのようにすればいいですか?

    通常、Cloudflareのお客様は、CloudflareのWeb最適化およびセキュリティサービスの利用に関連して、Cloudflareに利用を許可した個人データのデータ管理者としての役割を持ちます。データ管理者は個人データを処理する目的と手段を決定し、データ処理者はデータ管理者に代わってデータを処理します。データ処理者としてのCloudflareは、お客様へのサービス提供に関連して、お客様に代わって個人データを処理します。

  6. Cloudflareが処理するデータの種類には何がありますか?

    一般に当社は他者が管理する情報のパイプラインにすぎず、当社のネットワークを介して送信、ルーティング、切り替え、キャッシュに保存されたコンテンツ(画像、記載内容、グラフィックなど)を管理する主体は、顧客とそのユーザーです。また当社は、顧客のWebサイトの使用に関する特定の情報を収集し、顧客が送信したデータ、または当社において処理するよう指示されたデータを処理することがあります。どのようなデータを受け取るかは当社が決定するものではありませんが、一般的に、連絡先情報、IPアドレス、セキュリティフィンガープリント、DNSログデータ、ブラウザーのアクティビティから導かれるWebサイトのパフォーマンスデータなどの項目が含まれます。当社は、顧客にサービスを提供するため、またGDPRを含む適用法に基づき、これらのデータを処理します。

Cloudflareのお客様

8,000,000を超えるインターネットアプリケーションとAPI