monday.com 法務ポータル

最終更新: 1月 06, 2021

monday.com および GDPR

最終更新: 1月 06, 2021
gdprready1

monday.com は GDPR 対応済み

monday.comにおいては、お客様の成功と個人データの保護ほど重要なことはありません。世界のほぼすべての国にお客様がいるため、当社は一般データ保護規則(GDPR)を順守しています。GDPRは、ヨーロッパの個人に付与されたプライバシー権利を拡大し、ヨーロッパ人の個人データを処理する特定の企業に一連の新規規制に準拠することを要求します。特に、GDPRは、欧州人の個人データを処理し、EUに存在する企業(例:オフィスや施設)、およびEUに存在しないが、欧州市場をターゲットとする(例:欧州市場に商品やサービスを提供する企業)か、欧州個人の行動をモニターする企業に適用されます。当社は、GDPRに応じようと努力するお客様を支援するために活動しています。

GDPRとは何ですか?
2016年、欧州連合(EU)は、一般的にGDPRとして知られている、一般データ保護規則と呼ばれる新しいプライバシー規則を承認しました。これは、EU個人のデータと情報を収集し、特定の地域の要件を満たすすべての企業に義務付けられた規則です。GDPRは、EU内の個人データのセキュリティと保護を強化するとともに、個人データの収集、処理、使用、共有の方法に関する構造化されたフレームワークを企業に提供することを意図しています。GDPRでは、「個人データ」の概念は非常に広く、特定の個人に関連するほぼすべての情報を対象としています。

これらの規制はいつから実施されていますか?
EU個人の個人データを収集または処理するすべての企業は、2018年5月25日までにGDPRに服従する必要があります。

管理者と処理者GDPRは、
個人データの収集と処理において、データ管理者とデータ処理者という2種類の当事者と責任を定義および区別しています。データ管理者は、個人データを処理する目的と方法を決定しますが、データ処理者は、管理者に代わってデータを処理する当事者です。つまり、管理者は任意の会社または組織になりえます。処理者は、管理者に代わって実際にデータを処理しているSaaS、 IT、またはその他の会社である可能性があります。monday.comはデータ処理者です。monday.comの顧客(monday.comを使用する組織)はデータ管理者です。管理者は、取引するすべての処理者がGDPRに準拠していることを確認する責任があり、処理者自体は処理アクティビティの記録を保持する必要があります。

GDPR要件に従ってmonday.comはどんな措置を講じましたか?
当社は、GDPRの到来を歓迎し、規則をデータの保護、セキュリティ、およびコンプライアンスの水準を引き上げるものと見なしています。当社は、お客様とユーザーがmonday.comをデータ処理者として利用しながら、GDPRに準拠できるよう支援することを引き続き約束いたします。

当社のエンジニアリング、製品、セキュリティ、法務の各チームと協力して、商品と法律上条件の両方をGDPRに準拠させ、今後も継続的にGDPRと歩調を合わせるようにします。当社は、monday.com GDPR準備プロジェクトの一環として、次の措置を取りました:

  • セキュリティー基盤とプラクティス、転送中および保存中のデータ暗号化、バックアップ、ログ、セキュリティアラートを再検討および強化しました。
  • 保存または処理される可能性のあるデータが GDPR の指示に従って処理および管理されるように、リスクアセスメントとデータマッピングプロセスが行いました。
  • ユーザーの削除後、ユーザーの分析データを削除または匿名化します
  • 米国公認会計士協会(AICPA)から  SOC 2 Type II  セキュリティ認証 を取得するために、E&Y社による外部監査を受けました
  • (クラウド内の個人データ保護のために)国際的に認められたセキュリティ認証 ISO 27001 ISMS  (情報セキュリティマネジメントシステム)および   ISO27018   を取得。
  • GDPR を遵守しながら、お客様のデータ処理者としての役割を果たすために、適切な契約条件が整っていることを確認しました。
  • GDPR への継続的なコンプライアンスを確保するための社内手続き、プロセス、統制、チームのための定期的なトレーニングセッションを実施しました。
  • GDPR の要件に対応するための利用規約とプライバシーポリシーを改訂しました。
  • サブのデータ処理者がすべて GDPR 要件に準拠していることを確認するために、セキュリティとプライバシーのアセスメントを実施しました。
  • データ保護オフィス(DPO)と EU での担当者を任命しました。
  • 私たちは、組織がデータの削除に対処することを可能にする製品機能を開発し、ここ数日間利用できるようにしています。
    • ユーザープロファイルの削除:管理者は、システムからユーザーの個人データを削除できるようになりました (自分のイニシアチブ、またはユーザーの要求に応じて)。これにより、組織は GDPR 要件を満たすことができます。これにより、ユーザー名、電話番号、電子メール、画像、住所、タイトル、ソーシャルネットワークの参照、およびその他の顧客フィールド(提供されている場合)が削除されます。ユーザーを削除しても、ユーザーの投稿やアップロードされたファイルは削除されません。ーこのファイルは、組織によって定義された匿名によって利用できます。
    • アカウントの削除:アカウントをキャンセルする際に、管理者は組織情報 (個人データを含む) を将来使用するために保持するか、完全に削除するかを選択できます。

GDPR 準拠に関するガイダンスを引き続き監視し、製品およびプロセスが有効になった時点でガイダンスに準拠していることを確認します。
また、当社では、 monday.com のセキュリティとプライバシーに関する慣行、認定、法的条件、ポリシー、手順について詳しく知ることができる「リーガル・セキュリティ・プライバシー」 ポータルを作成しました。
 
monday.com はデータ処理契約(DPA)を提供していますか?
はい。 当社のデータ処理契約/覚書(DPA)は オンラインで確認できます 。DPA の署名付きコピーが必要な場合は、それをダウンロードし、legal@monday.com に署名付きコピーを送信すると、署名付きコピーが提供されます。
 
monday.com ではデータ保護責任者(DPO)を任命していますか?
はい。当社は、プライバシーに関してベテランであるAner Rabinovitzをデータ保護責任者に任命し、monday.com の継続的なプライバシーコンプライアンスを監視、助言し、データに関す問題と監督当局に対するプライバシーに関する窓口機能を提供しています。Aner にはdpo@monday.com にて連絡することができます  
 
GDPR により、企業が EU 以外でデータを保存することはできませんか?

 GDPR では、データ処理者が必要な規制と保護を遵守していることを条件に、企業がEUの域外でデータを保持することを妨げません。monday.com では、米国に拠点を置くアマゾンウェブサービス(AWS)を使用してデータを保存します。monday.com 同様、AWS も GDPR に対応していると発表しています。
 
GDPR の詳細はどこで知ることができますか?
追加情報は、  欧州連合の公式 GDPR ウェブサイトで  入手できます  。
 
さらに質問があるのですが、誰に連絡すればよいですか?
GDPR についてさらにご質問がある場合は、 support@monday.com, +1 (201) 778-4567 までお問い合わせください

免責条項: このバージョンは、英語の原文を翻訳したものであり、便宜上の目的でのみ提供されています。この英語の原文は、正式な法的拘束力のあるバージョンであり、矛盾が生じた場合には英語の原文が優先されるものとします。

チームが協力してより多くのことを達成できるようにします

14 日間の無料トライアル | クレジットカード不要