close

Keeper Security は GDPR コンプライアンス遵守をお約束

GDPR 発効に伴う主な変更点

GDPR とは?

一般データ保護規則(GDPR)は、20 年間に欧州連合(EU)内で施行された欧州データ保護法案の中で最も大きな変更となり、1995 年以来のデータ保護指令(1995 Data Protection Directive)は当該新規則に置き換えられます。GDPR は EU 内に居住する個人の権利を強化し、データを取り扱う組織の義務を大幅に厳格化します。Keeper Security は GDPR の遵守をお約束いたします。

GDPR は、データの収集、保管、転送、使用などを含め、欧州連合内の居住者に関する個人データの取り扱いを規制します。GDPR では「個人データ」の概念を広く定義し、特定の個人あるいは特定可能な個人に関連するあらゆるデータを適用範囲に含め、総じて「データ主体」と定義します。ほとんどの企業において、従業員や顧客は適用範囲に含まれます。

GDPR では個人データを所有する可能性のある対象を 2 種類に分類しています。個人データの処理や収集するデータの決定を管理する対象はデータ管理者とされ、データ管理者の個人データ収集、保管、読出、削除を指示する対象はデータ処理者とされます。Keeper Security は、直接消費者にパスワードマネージャーを販売する場合はデータ管理者となり、データ管理者の役目を代行するビジネスへ販売する場合はデータ処理者となります。

弊社コミットメント

Keeper は GDPR に準拠しています。弊社は欧州連合内のお客様に対し、弊社のビジネスプロセスならびに製品が引き続きコンプライアンスを順守することをお約束いたします。

Keeper ウェブクライアント、Android アプリ、Windows 携帯アプリ、iPhone/iPad アプリ、ブラウザ拡張は、EU(欧州連合)と合衆国商務省との間で締結された EU-U.S. セーフハーバープログラムに準拠する EU セーフハーバーの認定を受けており、データ保護に関する欧州委員会の指令に適合しています。さらに、AICPA Service Organization Controls(SOC)フレームワークに従い、Keeper は SOC 2 Type 2 準拠の認定を受けています。Keeper は ISO27001 認証も取得済みです。

個人の権利を拡張

諸権利、とりわけ、忘れられる権利ならびに本人の個人データのコピーをリクエストする権利を供与することで、GDPR は欧州連合内に居住する個人の権利拡張を実現しています。データは一般的な機器で読み出せる形式を使用し、データ管理者はデータの転送を妨害しないものとされています。

コンプライアンス義務

GDPR では組織の適切なポリシーとセキュリティプロトコル実装、プライバシー影響評価の実施、詳細なデータアクティビティの記録保持、供給メーカーとの文書契約締結を義務付けています。

強制力を強化

GDPR では、発生した漏洩や損害の深刻度に応じ、当局は組織に対し 2 千万ユーロ、または当該企業の前会計期間における全世界売上高の 4%(より高い方の額)を過料として課すことができます。さらに GDPR においては、組織が EU 加盟国内に複数の拠点を持つ場合、国境をまたいだデータ保護問題に対処する主要監査局を導入して組織を監視します。

プロファイリングとモニタリングに関する新要件

GDPR は、EU 居住者の行動に関するプロファイリングとモニタリングに携わっている組織の追加責任を認定しています。GDPR の規定条項は、欧州連合内に居住する人の個人データを処理するあらゆる組織に対し、EU 内に物理的拠点を所有するか否かに関わらず、世界のどこに拠点があろうとも適用されます。

データ漏洩通知とセキュリティ

GDPR ではデータ漏洩があった場合、組織はデータ保護当局、特定の状況下において、影響を受けたデータ主体に対し報告することが義務付けられています。さらに、GDPR は組織における追加セキュリティ要件を認定しています。

Keeper データ処理補遺条項(DPA)

Business 版をご利用中のお客様は、GDPR コンプライアンスを補完するために、Keeper Security 使用に際しデータ処理補遺条項(DPA)へのご署名が必要になる場合がございます。Keeper Security 担当者へ DPA 条項をリクエストするか、以下へメールでご連絡ください: business.support@keepersecurity.com

データ処理補遺条項(DPA)をダウンロード

良くある質問

GDPR に関する Keeper Security の対応策は?

弊社はプライバシーコンプライアンスの世界的リーダーである TrustArc と協働し、弊社ビジネス業務、プライバシー慣行開示、製品要件の変更点を確認し、GDPR へ確実に準拠すべく努めています。

ゼロ知識セキュリティ企業である弊社が提供する主要製品やサービスと GDPR は密接に連携しています。弊社は、国際法の遵守ならびに弊社お客様のプライバシー保護を非常に重視しています。

ゼロ知識とは?

Keeper はゼロ知識セキュリティプロバイダです。ユーザーデータの暗号化や暗号解除を一括管理できるのは、Keeper ユーザー本人のみです。Keeper では、暗号化と暗号解除はボルトへログインしているユーザーデバイスのみで実行可能です。ユーザー専用ボルトに保管されているそれぞれの個人記録は、そのデバイスでランダムに生成される 256 ビット AES キーで暗号化されます。記録キーはデータキーと呼ばれる別のキーで保護されています。さらに使用デバイスでマスターパスワードから得たキーでこのデータキーを暗号化します。これに加え、ユーザーデバイス内に保管されているデータはクライアントキーと呼ばれる別のキーで暗号化されます。ユーザーのデバイス間で記録を安全に同期する際は、ネットワークレイヤーで暗号化され、Keeper の Cloud Security Vault 経由で送信されます。この多層暗号化モデルにより、業界内で入手可能な最も進化したデータ保護を実現しています。

GDPR に準拠するために Keeper Security が実装した変更点は?

ゼロ知識プラットフォームである弊社製品へ保管された情報は完全に暗号化されているため、ユーザー本人以外が利用することはできません。弊社は自社分析システムに変更を加えることでお客様の匿名性を確立し、ユーザーに関して収集された個人データの活用あるいは保管方法に関する同意許可をユーザー側で管理できるようにしました。

Keeper はデータ処理者、あるいはデータ管理者ですか?

GDPR では処理する可能性のある個人データを 2 種類に分類しています。データ管理者は収集するデータならびに個人データにどのような処理を行なうかを決定します。データ処理者はデータ管理者の個人データ収集、保管、読出、削除を指示します。Keeper Security は、直接消費者にパスワードマネージャーを販売する場合はデータ管理者となり、データ管理者の役目を代行するビジネスへ販売する場合はデータ処理者となります。

個人データをエクスポートする方法は?

ユーザーデータをエクスポートするには https://keepersecurity.com/vault で Keeper ウェブボルトへログインし、「もっと >> バックアップ >> エクスポート」とクリックしてください。保管されている情報は CSV か PDF 形式でダウンロード可能です。アカウントが失効している場合、support@keepersecurity.com へメールでご連絡ください。弊社サポートチームがボルトへのアクセスをお手伝いいたします。

マイデータの削除をリクエストする方法は?

support@keepersecurity.com へメールでご連絡し、Keeper アカウントで登録したメールアドレスをお知らせください。

データの保管場所は?

Keeper はアメリカやアイルランド国内のさまざまな地域でデータセンターを運営しています。ビジネス版のお客様は、Keeper ソリューションを開設するにあたり、US(米国)か EU(欧州)データセンターのどちらか一方を選択している場合があります。US Keeper ウェブボルト(https://keepersecurity.com/vault)、モバイルやデスクトップアプリケーション経由でサインアップした個人購入ユーザーの場合、US データセンターが初期値となります。EU ウェブボルト(https://keepersecurity.eu/vault)から直接サインアップしたユーザーは、EU データセンター内に情報が保管されます。

US(米国)データセンターから EU(欧州)データセンターへマイデータを転送する方法は?

当データ転送に関する指示やアシスタントが必要な方は、support@keepersecurity.com へメールでご連絡ください。

Keeper Security は GDPR コンプライアンスに役立ちますか?

ゼロ知識セキュリティアーキテクチャとセキュリティ: Keeper のパスワードマネージャーは、自分のデータへアクセスできるのはユーザー本人に限定するというアイデアをもとに一から開発されています。当アプリは GDPR の基本理念やデータ保護要件と完全に合致しています。暗号化はすべて各個人のデバイスで実行されます。暗号化されたデータは Transport Layer Security(TLS)で送信され、AES-256 で暗号化された暗号文として保管されます。データと暗号化キーが切り離されているため、Keeper 従業員がお客様のボルトデータへアクセスすることは一切できません。条項 34 の通り、Keeper ボルト内のデータが漏洩したとしても、保管されている暗号文は攻撃者にとって価値がないため、通知は必要ありません。

標準的なセキュリティ評価に加え、Keeper は毎年 SOC 2 Type 2 認証ならびに ISO27001 認証を取得しています。

Keeper は複数の地域において Amazon 社の「アマゾン ウェブ サービス(AWS)」強化型クラウドインフラストラクチャを活用し、Keeper ボルトとアーキテクチャをホストならびに運営しています。送受信中ならびに保存されているデータは、お客様が選択したグローバルデータセンター内で完全に隔離されています。言い換えるならば、EU 内のデータは EU から出ることはありません。このような仕様にすることで、最も安全かつ最も速いクラウドストレージをお客様に提供しています。

追加処理は不要: いかなる場合においても、Keeper がお客様のボルトデータを利用することはありません。第一に、Keeper の最優先ポリシーとして、お客様のプライバシー保護をお約束しています。第二に、ゼロ知識アーキテクチャを採用しているため、そのような行為を実行することは技術的に不可能です。個人データを保護するための組織ならびに技術ポリシーは GDPR の基本理念と一致しています。

データ管理: お客様はデータを(csv か pdf 形式で)エクスポートしたり、好きな時にボルト内の記録を修正あるいは削除したりできます。想定した使用を終了、同意の取消し、合法なビジネス目的の変更などを実行した直後に個人データを転送または削除することが可能となったおかげで、GDPR 要件に準拠可能となりました。データ主体は専用の Keeper ボルトをセルフサービスで使用できるため、データ管理者は GDPR コンプライアンスにおける膨大な仕事量から解放されます。データ主体のみがアクセスできるデータは暗号化され、従業員の目に触れることなく、アクセスできるのは本人だけになります。

ロールベースのアクセスコントロール: 最小特権のセキュリティコンセプトとは、従業員が職務を果たす必要がある際にデータへのアクセスを最低限とすることです。ロールベースのアクセスコントロール(RBAC)では最も頻繁に実行されています。

Keeper は Microsoft Active Directory(AD)を統合することでノード(組織単位)、チーム、ユーザーを同期しています。接続すると、Keeper はすべてのノードでロールベースのアクセスコントロールを有効化します。状況に応じ、これらのコントロールをすべての下位ノードへカスケード接続することが可能です。Keeper ボルトのコントロールにはマスターパスワードの強度、サイクルの回数、2 段階認証の要件、IP のホワイトリスト化などが含まれています。Keeper は AD で抹消されたアカウントをロックし、ロックしたアカウントを信頼できる管理者へ転送することが可能です。この仕様により、IT 管理者はデータアカウントや組織全体のアセットをコントロールできるようになります。

管理者インサイトと監査: Keeper Enterprise は従業員のパスワード強度、使いまわし、第 2 の認証使用に関するインサイトをご提供します。Keeper 側で完全なタイムスタンプとフィルターが付いた監査ログを提供いたしますので、迅速に異常、不正行為、科学捜査、コンプライアンスレポートを調査することが可能です。