Keeper は GDPR コンプライアンスに準拠したゼロ知識プラットフォームです

Keeper の GDPR コンプライアンスに関する重要点

GDPR とは?

一般データ保護規則(GDPR)は、欧州連合(EU)でこの 20 年間に導入された欧州データ保護法の中で最も重要なもので、1995 年のデータ保護指令に取って代わるものです。GDPR は、EU の個人プライバシー権を強化し、データを扱う組織に対して大幅に強化された義務を課しています。弊社では、Keeper Security において、GDPR を成功させるよう取り組んでいます。

GDPR は、データの収集、保管、転送、使用などを含め、欧州連合内の居住者に関する個人データの取り扱いを規制します。GDPR では「個人データ」の概念を広く定義し、特定の個人あるいは特定可能な個人に関連するあらゆるデータを適用範囲に含め、総じて「データ主体」と定義します。ほとんどの企業において、従業員や顧客は適用範囲に含まれます。

GDPR では個人データを所有する可能性のある対象を 2 種類に分類しています。個人データの処理や収集するデータの決定を管理する対象はデータ管理者とされ、データ管理者の個人データ収集、保管、読出、削除を指示する対象はデータ処理者とされます。Keeper Security は、直接消費者にパスワードマネージャーを販売する場合はデータ管理者となり、データ管理者の役目を代行するビジネスへ販売する場合はデータ処理者となります。

弊社コミットメント

Keeper は GDPR に準拠しています。弊社は欧州連合内のお客様に対し、弊社のビジネスプロセスならびに製品が引き続きコンプライアンスを順守することをお約束いたします。

Keeper ウェブクライアント、Android アプリ、Windows Phone アプリ、iPhone/iPad アプリおよびブラウザ拡張機能は、米国商務省が定める EU-米国データプライバシー・フレームワーク(「EU-米国 DPF」)、EU-米国 DPF の英国拡張版およびスイス-米国データプライバシー・フレームワーク(「スイス-米国 DPF」)により認定されています。 Keeper は米国公認会計士協会(AICPA)Service Organization Control フレームワークに従い、SOC 2 タイプ 2 に準拠しています。また、ISO27001 認証も取得しています。

個人の権利を拡張

諸権利、とりわけ、忘れられる権利ならびに本人の個人データのコピーをリクエストする権利を供与することで、GDPR は欧州連合内に居住する個人の権利拡張を実現しています。データは一般的な機器で読み出せる形式を使用し、データ管理者はデータの転送を妨害しないものとされています。

コンプライアンス義務

GDPR では組織の適切なポリシーとセキュリティプロトコル実装、プライバシー影響評価の実施、詳細なデータアクティビティの記録保持、供給メーカーとの文書契約締結を義務付けています。

強制力を強化

GDPR では、発生した漏洩や損害の深刻度に応じ、当局は組織に対し 2 千万ユーロ、または当該企業の前会計期間における全世界売上高の 4%(より高い方の額)を過料として課すことができます。さらに GDPR においては、組織が EU 加盟国内に複数の拠点を持つ場合、国境をまたいだデータ保護問題に対処する主要監査局を導入して組織を監視します。

プロファイリングとモニタリングに関する新要件

GDPR は、EU 居住者の行動に関するプロファイリングとモニタリングに携わっている組織の追加責任を認定しています。GDPR の規定条項は、欧州連合内に居住する人の個人データを処理するあらゆる組織に対し、EU 内に物理的拠点を所有するか否かに関わらず、世界のどこに拠点があろうとも適用されます。

データ漏洩通知とセキュリティ

GDPR ではデータ漏洩があった場合、組織はデータ保護当局、特定の状況下において、影響を受けたデータ主体に対し報告することが義務付けられています。さらに、GDPR は組織における追加セキュリティ要件を認定しています。

Keeper データ処理補遺条項(DPA)

Business 版をご利用中のお客様は、GDPR コンプライアンスを補完するために、Keeper Security 使用に際しデータ処理補遺条項(DPA)へのご署名が必要になる場合がございます。Keeper Security 担当者へ DPA 条項をリクエストするか、以下へメールでご連絡ください: business.support@keepersecurity.com

データ処理補遺条項(DPA)をダウンロード

よくある質問

GDPR に関する Keeper Security の対応策は?

弊社はプライバシーコンプライアンスの世界的リーダーである TrustArc と協働し、弊社ビジネス業務、プライバシー慣行開示、製品要件の変更点を確認し、GDPR へ確実に準拠すべく努めています。

ゼロ知識セキュリティ企業である弊社が提供する主要製品やサービスと GDPR は密接に連携しています。弊社は、国際法の遵守ならびに弊社お客様のプライバシー保護を非常に重視しています。

ゼロ知識とは?

Keeper はゼロ知識セキュリティプロバイダです。Keeper ユーザー自身が自分のデータの暗号化と復号を完全に制御することができる唯一の人物です。Keeper では、暗号化と復号はボルトにログインしたユーザーのデバイス上でのみ行われます。ユーザーのボルトに保管された個々の記録は、デバイス上でランダムに生成された 256 ビットの AES キーで暗号化されます。記録鍵はデータキーと呼ばれる追加の鍵で保護されています。マスターパスワードで Keeper にログインするユーザーのために、データキーは、1,000,000 反復回数の PBKDF2 を使用して、ユーザーのマスターパスワードからデバイス上で派生された鍵によって暗号化されます。SSO でログインするユーザーの場合、データキーは楕円曲線秘密鍵によって暗号化されます。ユーザーのデバイスに停止状態で保存されているデータも、クライアント鍵と呼ばれる別の 256 ビット AES キーによって暗号化されます。ユーザーのデバイス間での安全な記録同期の際もネットワーク層で暗号化され、Keeper の Cloud Security Vault を経由します。この多層暗号化モデルは、業界で利用可能な最も高度なデータ保護機能を提供しています。

Keeper Security は GDPR コンプライアンスを維持するために、どのような変更を実装しましたか?

ゼロ知識プラットフォームである弊社製品へ保管された情報は完全に暗号化されているため、ユーザー本人以外が利用することはできません。弊社は自社分析システムに変更を加えることでお客様の匿名性を確立し、ユーザーに関して収集された個人データの活用あるいは保管方法に関する同意許可をユーザー側で管理できるようにしました。

Keeper はデータ処理者、あるいはデータ管理者ですか?

GDPR では処理する可能性のある個人データを 2 種類に分類しています。データ管理者は収集するデータならびに個人データにどのような処理を行なうかを決定します。データ処理者はデータ管理者の個人データ収集、保管、読出、削除を指示します。Keeper Security は、直接消費者にパスワードマネージャーを販売する場合はデータ管理者となり、データ管理者の役目を代行するビジネスへ販売する場合はデータ処理者となります。

個人データをエクスポートする方法は?

ユーザーデータをエクスポートするには https://keepersecurity.com/vault で Keeper ウェブボルトへログインし、「もっと >> バックアップ >> エクスポート」とクリックしてください。保管されている情報は CSV か PDF 形式でダウンロード可能です。アカウントが失効している場合、exportme@keepersecurity.com へメールでご連絡ください。弊社サポートチームがボルトへのアクセスをお手伝いいたします。

マイデータの削除をリクエストする方法は?

deleteme@keepersecurity.com へメールでご連絡し、Keeper アカウントで登録したメールアドレスをお知らせください。

データの保管場所は?

Keeper operates data centers in multiple regions throughout the world with Amazon AWS. Enterprise customers may elect to establish their Keeper tenant in any supported primary region including: United States (US), United States GovCloud (US_GOV), Europe (EU), Australia (AU), Canada (CA) and Japan (JP). Customer data and access to the platform are isolated to that specific region. From each primary region, Keeper utilizes multi-zone and multi-region replication to ensure high availability. In the United States commercial region, Keeper utilizes East and West locations. In the US GovCloud data center, Keeper utilizes East and West locations. In Europe, Keeper utilizes Ireland and Frankfurt locations. In Australia, Keeper utilizes Canada as a DR region. In Canada, data is replicated within the country. In Japan, the primary region is Tokyo and replicated to Osaka. Individual consumer users who sign up through the Keeper Web Vault, desktop app or mobile apps may select the desired data center location on the account creation screen.

US(米国)データセンターから EU(欧州)データセンターへマイデータを転送する方法は?

当データ転送に関する指示やアシスタントが必要な方は、exportme@keepersecurity.com へメールでご連絡ください。

Keeper Security は GDPR コンプライアンスに役立ちますか?

ゼロ知識セキュリティアーキテクチャとセキュリティ: Keeper のパスワードマネージャーは、自分のデータへアクセスできるのはユーザー本人に限定するというアイデアをもとに一から開発されています。当アプリは GDPR の基本理念やデータ保護要件と完全に合致しています。暗号化はすべて各個人のデバイスで実行されます。暗号化されたデータは Transport Layer Security(TLS)で送信され、AES-256 で暗号化された暗号文として保管されます。データと暗号化キーが切り離されているため、Keeper 従業員がお客様のボルトデータへアクセスすることは一切できません。条項 34 の通り、Keeper ボルト内のデータが漏洩したとしても、保管されている暗号文は攻撃者にとって価値がないため、通知は必要ありません。

標準的なセキュリティ評価に加え、Keeper は毎年 SOC 2 Type 2 認証ならびに ISO27001 認証を取得しています。

Keeper は複数の地域において Amazon 社の「アマゾン ウェブ サービス(AWS)」強化型クラウドインフラストラクチャを活用し、Keeper ボルトとアーキテクチャをホストならびに運営しています。送受信中ならびに保存されているデータは、お客様が選択したグローバルデータセンター内で完全に隔離されています。言い換えるならば、EU 内のデータは EU から出ることはありません。このような仕様にすることで、最も安全かつ最も速いクラウドストレージをお客様に提供しています。

追加処理は不要: いかなる場合においても、Keeper がお客様のボルトデータを利用することはありません。第一に、Keeper の最優先ポリシーとして、お客様のプライバシー保護をお約束しています。第二に、ゼロ知識アーキテクチャを採用しているため、そのような行為を実行することは技術的に不可能です。個人データを保護するための組織ならびに技術ポリシーは GDPR の基本理念と一致しています。

データ管理: お客様はデータを(csv か pdf 形式で)エクスポートしたり、好きな時にボルト内の記録を修正あるいは削除したりできます。想定した使用を終了、同意の取消し、合法なビジネス目的の変更などを実行した直後に個人データを転送または削除することが可能となったおかげで、GDPR 要件に準拠可能となりました。データ主体は専用の Keeper ボルトをセルフサービスで使用できるため、データ管理者は GDPR コンプライアンスにおける膨大な仕事量から解放されます。データ主体のみがアクセスできるデータは暗号化され、従業員の目に触れることなく、アクセスできるのは本人だけになります。

ロールベースのアクセスコントロール: 最小特権のセキュリティコンセプトとは、従業員が職務を果たす必要がある際にデータへのアクセスを最低限とすることです。ロールベースのアクセスコントロール(RBAC)では最も頻繁に実行されています。

Keeperは Microsoft Active Directory (AD) を統合することでノード (組織単位)、チーム、ユーザーを同期しています。接続すると、Keeperはすべてのノードでロールベースのアクセスコントロールを有効化します。状況に応じ、これらのコントロールをすべての下位ノードへカスケード接続することが可能です。Keeperボルトのコントロールにはマスターパスワードの強度、サイクルの回数、二要素認証の要件、IP のホワイトリスト化などが含まれています。Keeperは AD で抹消されたアカウントをロックし、ロックしたアカウントを信頼できる管理者へ転送することが可能です。この仕様により、IT 管理者はデータアカウントや組織全体のアセットをコントロールできるようになります。

管理者インサイトと監査: Keeper Enterprise は従業員のパスワード強度、使いまわし、第 2 の認証使用に関するインサイトをご提供します。Keeper 側で完全なタイムスタンプとフィルターが付いた監査ログを提供いたしますので、迅速に異常、不正行為、科学捜査、コンプライアンスレポートを調査することが可能です。

日本語 (JP) お問い合わせ