Cloudflareはプライバシーを優先する企業で、インドのIT法で求められるさまざまな対策を既に実施していました。当社では、処理する個人データを販売したり、サービス提供以外の目的で使用したりすることは決してありません。さらに、当社は、データ主体が自分の個人情報にアクセスして訂正や削除を行えるようにしており、当社のネットワークを通過する情報をお客様が制御できるようになっています。
詳しくは、IT法に関するよくある質問(FAQ)をご参考いただくか、Cloudflareのプライバシーポリシー全般をご確認ください。
Cloudflareはセキュリティ、パフォーマンス、信頼性を提供する企業で、米国を本拠とし、インドにもオフィスを置くなどグローバルに事業展開して、あらゆる地域であらゆる規模の企業に幅広いネットワークサービスを提供しています。当社は、お客様のWebサイトやインターネットアプリケーションの安全性を強化し、ビジネスクリティカルなアプリケーションのパフォーマンスを高め、個々のネットワークハードウェアを管理することの煩雑さとコストを解消します。Cloudflareのグローバルネットワークは、こちらで説明するように、世界中の200以上のエッジサーバーで稼働しており、お客様のために当社製品を速やかに開発してデプロイするための基盤を成しています。
お客様が当社のグローバルネットワークを介して送信、ルーティング、スイッチ、キャ ッシュすることを選択したデータに、Cloudflareがアクセスしたり制御したりすることはありません。Cloudflare製品がコンテンツの保存に利用されることがありますが、これは限られた場合です。どのCloudflareサービスを利用しているかにかかわらず、お客様がCloudflareグローバルネットワークで送信、ルーティング、スイッチ、キャッシュ、保存することを選択したデータに関しては、適用法および個々の契約上の取り決めを遵守する責任はすべてお客様が負うものとします。
お客様の代わりにCloudflareが処理する個人データの種類は、実装されるCloudflareサービスによって異なります。Cloudflareのネットワークを移動するデータの大部分はCloudflareのエッジサーバーに留まり、このアクティビティに関するメタデータは、お客様に代わって米国および欧州にある当社の主要データセンターで処理します。
Cloudflareは、当社ネットワークにおけるイベントに関するログデータを保持します。一部のログデータには、お客様のドメイン、ネットワーク、Webサイト、アプリケーションプログラミングインターフェース(「API」)、アプリケーション(Cloudflare製品のCloudflare Zero Trustも該当する場合あり)の訪問者や許可されたユーザーに関する情報が含まれます。このメタデータには、ごく限られた個人データが(たいていIPアドレスの形で)含まれます。当社はお客様に代わって、この種の情報を、米国および欧州にある当社の主要データセンターで一定期間にわたり処理します。
Cloudflareは、セキュリティをデータプライバシーを確保するための不可欠な要素と考えています。Cloudflareは2010年の創業以来、業界に先駆けて、プライバシーを強化する数々の最先端技術をリリースしてきました。特筆すべき点は、こうしたツールを使うと、お客様がUniversal SSLで通信内容を簡単に暗号化できたり、DNS-over-HTTPSまたはDNS-over-TLS、暗号化されたSNIを用いた通信でメタデータを暗号化してSSL鍵が保管される場所や、トラフィックを検査する場所の管理ができるということです。
Cloudflareは、業界標準を超えるセキュリティプログラムを整備しています。当社のセキュリティプログラムには、正式なセキュリティポリシーと手続きの整備、適切な論理的アクセス制御と物理的アクセス制御の確立、企業環境と実稼働環境における安全な設定、伝送と接続、ログ記録、監視の確立を含めた技術的な防護策の確立、個人データの保護に十分な暗号 化技術の使用が含まれます。
当社は現在、以下の認証を維持しています:ISO 27001、ISO 27701、ISO 27018、SOC 2 タイプ2、PCI DSSレベル1のコンプライアンス。当社の認証とレポートの詳細については、こちらをご覧ください。
インドから米国へ移転する個人データを含め、個人データを保護するためにCloudflareが提供するセキュリティ対策については、当社の標準データ処理補遺条項(「DPA」)の附則2をご覧ください。
Cloudflareの標準DPAは、Enterpriseサービス契約とセルフサーブサブスクリプション契約に参照によって組み込まれています。当社がDPAで表明しているデータ保護のコミットメントは、情報技術法で定めるのと同レベルの保護を約束し、処理する個人データと処理の目的を明記し、十分なセキュリティ対策を含んでいます。Cloudflareの「個人データ」の定義には、SPDI規則で定義される「機密データ」も含みます。
当社は、2013年に受けた法的手続きに関して2014年にCloudflare初の透明性レポートを発行した際、いかなる政府機関に対しても顧客データを提供する前に、緊急時でない限り法的手続きを要求することと、お客様や請求先に関する情報を開示する前に、法律で禁止されていない限り、当該のお客様に情報請求の法的手続きがとられている旨通知することをお約束しました。当社は、いかなる政府機関に対しても、暗号化キーや当社ネットワークを通過するコンテンツのフィードを提供したことは なく、ネットワークに法執行機関の設備をデプロイしたりしたこともないと公言しました。また、そうしたことを求められた場合は、「当社が違法または違憲と考える請求からお客様を保護するために、あらゆる法的救済措置を消尽する」と表明しています。Cloudflareの創立時から、透明性レポートでこうした表明(コミットメント)を年2回再掲載し、さらに拡大してきました。
当社は、透明性に対する信念とお客様保護のコミットメントを、必要に応じて訴訟を起こすことで実践してきました。2013年には、電子フロンティア財団の協力を得て、お客様の権利を保護するために米国政府発行の国家安全保障書簡(NSL:National Security Letter)に異議を申し立てました。申立理由は、NSLに関する情報を当社が関係するお客様に開示することを政府が制限できるという条項があったからです。Cloudflareがこの請求に応じてお客様の情報を提供することは一切ありませんでしたが、情報不開示の条項は2016年に裁判所が制限を撤廃するまで有効でした。
当社は、いかなる政府による個人データの請求も、その個人が居住する国のプライバシー保護法に抵触するような請求については法的な申立をすべきだという立場を明確にしてきました(たとえば、政府のデータ請求に関する透明性レポートとホワイトペーパー、データプライバシーと法執行機関の請求に関するCloudflareのポリシーなどで)。Cloudflareは、米国の判例法および制定法の現行枠組みに従い、法の抵触を根拠として米国当局の個人データ請求の棄却を米国裁判所に申し立てる場合があります。
当社はお客様向けの標準DPAに、上記の措置を契約上のコミットメントとして盛り込んでいます。それらの契約上のコミットメントは、DPA第7条でご確認いただけます。
第702条:外国情報監視法(FISA:Foreign Intelligent Serveillance Act)の第702条は、米国政府が対外諜報目的で、米国外に在住する、米国国籍を持たない「非米国民」の通信要求を許可するものです。米国政府は、この702条を使って特定の対外諜報対象に関連するメールアドレスといった特別な「セレクター」を通して通信内容を収集します。この権限は通常、通信内容の収集に用いられ、702条を順守するよう求めている「電子通信サービスプロバイダー」とは、多くの場合、メールプロバイダーや通信情報にアクセスできるそのほかのプロバイダーのことを指します。
透明性レポートに記載している通り、Cloudflareはコアサービスの提供で、この種の従来型カスタマーコンテンツにアクセスすることはできません。さらに、Cloudflareには、当社のネットワークを通過するお客様のコンテンツのフィードをいかなる政府にも提供せず、提供を求められた場合は、当社が違法または違憲と考える請求からお客様を保護するために法的救済措置を消尽するという長年のコミットメントがあります。
大統領命令12333号:大統領命令12333号は、米国外に在住する非米国民を対象にした米国諜報機関による海外の情報収集についてです。大統領命令12333号には、米国企業の協力を強要する規定はありません。
Cloudflareは長年、緊急時でない限り、いかなる政府機関に対しても顧客データを提供する前に法的手続きを要求するというコミットメントを守り続けています。したがって、大統領命令12333号に基づく自発的データ請求に従うことはありません。さらにCloudflareは、個人データが好奇の目にさらされないように伝送中データ(コンテンツとメタデータの両方)のセキュリティを追加するよう率先して奨励してきました。たとえば、当社 は2014年にUniversal SSLを発表し、Cloudflareのすべてのお客様のために、かつては高価で困難だった暗号化を無料にしました。発表したその週に、暗号化されたWebページが2倍に増えています。暗号を対象とする法律が増える中、当社は、政府や第三者の請求に応じた暗号の弱体化、改ざん、破壊は決して行わないと明言してきました。
CLOUD法海外データ合法的使用明確化法(CLOUD法)は、米国の調査権限を拡張するものではなく、法執行機関が有効な令状を取得しなければならないという厳しい要件に変わりはありません。CLOUD法はコンテンツへのアクセスにも適用されます(上記の通り、当社は一般的にコンテンツは保存しません)。法執行機関は通常、クライドプロバイダーではなくデータをコントロールできる主体(つまりお客様)からデータを得ようとするということに、注意する必要があります。
CLOUD法は、法の抵触を起こす法的請求の棄却または変更を裁判所に申し立てるメカニズムを、プロバイダーに提供しています。国民が影響を受ける外国の政府が米国とCLOUD法協定を締結している場合、プロバイダーはその申立を通じて、請求の存在を当該外国政府に開示することができます。Cloudflareは、このような法の抵触を起こす命令に対しては、法的な異議申し立てをすると約束してきました。今のところは、このような法の抵触を起こすと判断するような命令は受けていません。
最後に、当社はDPAで「当社がお客様に代わって処理する個人データを請求する第三者の法的手続きが法の抵触 を起こすと判断できた場合は、法律で禁じられていない限り、お客様に通知する」と公約しています。個人データの法的請求が係属中である旨を通知されたお客様は、個人データの開示を阻止すべく介入を試みることができます。
インド準備銀行(「RBI」)のガイドラインでは、支払システムのプロバイダーとそのサービスプロバイダー、中間サービスプロバイダー、サードバーティベンダー、および支払エコシステム内の他の主体が、運営する支払システムに関するすべてのデータを必ずインド国内に保存するよう義務づけています。支払システム関連のデータとは、エンドツーエンドの取引詳細や、支払メッセージまたは支払指示の一環として収集、伝送、処理される支払や決済に関する情報をいいます。これには、顧客データ(場合に応じて氏名、携帯番号、メールアドレス、Aadhaar番号、PAN番号など)、支払に関する機密データ(顧客と受取人の口座詳細)、支払資格情報(OTP、PIN、パスワードなど)、取引データ(支払元と支払先のシステムに関する情報、取引参照番号、タイムスタンプ、金額など)があります。
コンテンツ配信ネットワーク(CDN)など非常に人気の高いCloudflareアプリケーション層サービスをご利用のお客様については、お客様のコンテンツをCloudflareで保存することはありません。Cloudflareが保存するのは、エンドユーザー・Cloudflare・オリジン間のインタラクションに関するメタデータも含めたログデータだけです。通常、このデータにはリクエスト受付時刻、ブラウザタイプ、応答時刻、クライアントとサーバーのIPアドレスなどが含まれます。保存はログデータのみのため、CloudflareのサービスはRBIガイドラインに沿ってお使いいただけると考えています。しかし、RBIガイドラインはデータローカライゼーションを義務づけているとお考えのお客様もおられるでしょう。そこでお役に立つのが、以下でご紹介する当社のData Localization Suiteです。
インドには、特定種類の規制対象データはインド国内に留めて欲しい、処理のために米国へ移転して欲しくないというお客様もおられることを承知しています。そのご希望に沿うために、当社はData Localization Suiteを導入しました。Data Localization Suiteを使えば、企業はCloudflareのグローバルネットワークが提供するパフォーマンスおよびセキュリティ上のメリットを享受しつつ、エッジ側で簡単にルールを設定して、データの保管・保護場所を制御することができます。
Data Localisation Suiteは、既存のサービスにいくつかの新機能を追加したパッケージです。
Regional Services:Cloudflareは、100か国以上、270都市以上にデータセンターを設置しています。Regional ServicesとGeo Key Managerソリューションを組み合わせることで、TLSキーを保管するデータセンターとTLSターミネーションが行われるデータセンターのロケーションをお客様が選択できるようにします。トラフィックはグローバルに取り込まれ、L3/L4のDDoS軽減を適用します。一方、 セキュリティ、パフォーマンス、信頼性の機能(WAF、CDN、DDoS軽減など)は、指定のCloudflareデータセンターでのみ提供されます。
Keyless SSL:Keyless SSLは、お客様がCloudflareで使用するSSLプライベートキーを保管し、管理できる機能です。お客様は、ハードウェアセキュリティモジュール(HSM)、仮想サーバー、お客様の制御下でUnix/LinuxやWindowsを実行するハードウェアなどさまざまなシステムをキーストアに使用することができます。
Geo Key Manager:Cloudflareの顧客基盤は実に国際的です。プライベートキーの置き場所については、地域によって異なる規制や法律の要件とリスク特性があることを、当社は承知しています。当社はその概念を念頭に、キーの保存場所を決定するための極めて柔軟なシステムを設計することにしました。Geo key Managerを使うと、お客様はプライベートキーの公開を特定の場所に限定することができます。Keyless SSLと似ていますが、インフラストラクチャ内でキーサー バーを実行しなくてもよく、お客様が選んだ場所でCloudflareがキーサーバーをホストします。
Cloudflareは、インドの情報技術法(「IT法」)と情報技術(妥当なセキュリティ慣行・手続きと機密個人データ・情報)規則(SPDI規則)の要件に適合したさまざまな法的・契約的保護措置を講じています。
本ホワイトペーパーではシステム上のお客様およびエンドユーザーのデータの管理方法、また、データに関する行政機関・法的機関からの要請への対応方法を示すポリシーと手順についても概説しています。
Cloudflareのネットワークは、オ リジンサーバーからエンドユーザーへの移動を通じて、非常に最新のプロトコルを使用してデータを暗号化することができます。
Cloudflareのcodificationは、使用状況のメトリックスを収集するために、CookieやLocalStorageなどのクライアント側の状態を使用することはありません。また、個々のユーザー情報を特定する「フィンガープリント」を使用することはありません。
Cloudflareはインドを含む多くの地域で、どの地域データセンターでトラフィックの検査が行われ、ログが送信されるかを企業が制御できるようにしています。
企業はCloudflare Zero Trustを使って、国別のアクセスルールを適用し、危険なサイトやコンテンツをブロックし、社内のアプリケーションやデータに対するアクセスイベントをログに記録することができます。
Cloudflareのログは、すべてのHTTPリクエストに関する詳細な洞察を提供し、潜在的な侵害やその他のセキュリティインシデントを調査するのに役立ちます。
Cloudflareは、プライバシーと個人データ保護に関するものを含め、多くの業界標準セキュリティ認証の要件を満たしています。
セールス