プライバシーについてよく寄せられる質問
Smartsheet は、プライバシーとはお客様との信頼を構築し維持するための重要な要素だと考えています。組織のデータを Smartsheet に安心してアップロードしていただくことが Smartsheet の願いです。この Web ページをご覧いただくと、プライバシーと Smartsheet の使用方法について一般的に寄せられる質問に対処できます。
法的な助言を行うものでも、組織の法定代理人への相談に替わるものでもありません。Smartsheet の具体的な使用方法や、組織のデータ保護義務に関しては、適切な法律顧問にお問い合わせください。
ご不明な点がありましたら、Smartsheet プライバシー チーム (privacy@smartsheet.com) までお気軽にご連絡ください。
項目
EU - 米国間データ プライバシー フレームワーク (DPF)
一般的な質問
Smartsheet はデータ処理者ですか、それともデータ管理者ですか?
処理者とは、管理者の指示に従って個人データの処理または使用、保存、送信等のみを行う事業体です。
対照的に、管理者とは、データ処理の目的と手段を決定する事業体です。つまり、管理者が個人データを処理する理由と処理方法を決定します。
個人データの使用目的、データ開示の有無 (開示する場合は誰に)、データ保管期間は、管理者だけが決定できます。
組織は、単なる管理者や処理者である必要はありません。異なるデータに関して異なる役割を果たすことができます。たとえば、クラウド ホスティング プロバイダーは、顧客のためにホストするデータの処理者かもしれませんが、自社の従業員に関するデータの管理者である場合や、顧客に関する特定の種類のアカウント データの管理者である場合もあります。
これは Smartsheet にも当てはまりますか?
Smartsheet についても同様です。SaaS プロバイダーとして、Smartsheet は処理者と管理者の両方の役割を果たしています。
Smartsheet が使用状況データの管理者である必要があるのはなぜですか?
Smartsheet がサービスの使用状況データを処理する目的は、サービスの使用量に対して顧客に正確に請求すること、ネットワークで発生する問題のトラブルシューティングを行うこと、不正使用や悪用を防止すること、税金を支払うこと、および法律を遵守することです。このデータを使ってビジネス運営を行い、サービスのセキュリティを確保し、製品の機能強化を行っています。
Smartsheet が管理者である理由は、使用状況データの処理が必要な理由と方法を決定するためです。これは、Smartsheet が顧客データを自由に使用できるという意味ではありません。弊社は法律および顧客との契約条件によって制約されています。たとえば、Smartsheet は、サービスの運営に厳密に必要な場合以外は、エンドユーザー データを販売したり、処理したりすることはできません。
また、Smartsheet は、使用状況データの保持期間も決定します。上記で概説した目的でデータを処理する必要がなくなった場合、Smartsheet は保持慣行に従い、データを安全に廃棄します。そのため、Smartsheet が使用状況データの管理者として機能する必要がありますが、それは限られた目的と期間においてのみとなります。
お客様のコンテンツとは何ですか?
Smartsheet ユーザー契約の第 12 条に記載のとおり、「お客様のコンテンツ」とは、お客様またはユーザーがアプリケーションにアップロードまたは送信し、お客様に代わって Smartsheet が処理する、あらゆるデータ、添付ファイル/リンク、テキスト、画像、レポート、個人情報、またはその他のコンテンツを意味します。
お客様のコンテンツの管理者は誰ですか?
Smartsheet アプリケーションにアップロードされたお客様のコンテンツの管理者は、Smartsheet のお客様です。Smartsheet はデータ処理者であり、送信されたデータやお客様のコンテンツに含まれるデータはお客様が管理します。処理されるデータはお客様の使用事例によって異なります。 特定のカテゴリの個人データが送信される際に適用法が順守されていることへの責任は、引き続きお客様にあります。
Smartsheet では、ユーザーがアプリケーションにアップロードしたデータをマーケティングまたは販売目的で使用しますか?
いいえ。お客様がアプリケーションに入力またはアップロードしたデータは、お客様のコンテンツといいます。Smartsheet は、Smartsheet ユーザー契約の第 2.2 条に記載されているお客様のコンテンツのみを使用します。お客様は、この質問をされる際に Smartsheet プライバシー通知を引き合いに出されることがありますが、弊社のプライバシー通知はお客様のコンテンツに適用されないため、マーケティングまたは販売活動に関するプライバシー通知の内容は、Smartsheet に入力またはアップロードされたデータには適用されません。
お客様のコンテンツを処理する際に、Smartsheet はどのような復処理者を起用していますか?
Smartsheet アプリケーションの復処理者は、こちらの Web ページに記載されています。
Smartsheet が新たに復処理者を追加した場合、どのようにして通知されますか?
Smartsheet 復処理者リストの変更通知をご希望のお客様は、こちらの Web フォームにご記入ください。
Smartsheet はお客様のコンテンツをどのように処理しますか?
Smartsheet ユーザー契約に記載のとおり、Smartsheet はお客様のコンテンツを次のいずれかの場合に限り処理できることとします。適用法で義務付けられている場合、書面でお客様から要求された場合またはサービスのアクセス制御を介してお客様から許可された場合、アプリケーションを提供、サポート、もしくは最適化するか、またはアプリケーションの技術的な問題やユーザー契約の違反を防止もしくはこれに対処するために必要な場合。
Smartsheet AI ツールの仕組みを教えてください。
Smartsheet の AI ツールは、ユーザーの Smartsheet データを利用した大規模な言語モデルを用い、データ プライバシーに重点を置いた強力なコンテキスト認識型 AI 機能を提供します。
Smartsheet の AI ホワイトペーパーおよびヘルプ記事で詳細情報をご覧ください。
パブリック AI モデルのトレーニングに私のデータが使用されますか?
Smartsheet はお客様の AI データを所有していないため、パブリック モデルのトレーニングに使用されることはありません。
Smartsheet の AI ホワイトペーパーで詳細情報をご覧ください。
お客様のコンテンツはどこにホストされますか?
現在、Smartsheet プラットフォームは米国 (US) または欧州連合 (EU) でホストされています。お客様がホスト場所として EU 地域を選択した場合、お客様のコンテンツは EU 地域内で処理されます (主にドイツ、バックアップはアイルランド)。米国へのデータ アクセスやデータ移転の詳細については、Smartsheet トラスト センターを参照してください。
カスタマー サポートはどこにありますか?
Smartsheet のプラットフォームは Web でホストされているので、地球上のどこからでもご利用いただけます。迅速にサポートするために、Smartsheet はお客様が選択したホスト地域以外のサポート スタッフを活用する場合があります。サポートの拠点は、米国、英国、フィリピン、コスタリカ、オーストラリアにあります。ユーザーは多くの場所から Smartsheet アプリケーションにアクセスする可能性があるため、データはユーザーの指示に応じて、選択された地域外で処理される場合があります。詳細については、Smartsheet トラスト センターを参照してください。
Smartsheet はお客様のコンテンツをどのように保護しますか?
Smartsheet は技術的、組織的、管理上の措置を実施し、Smartsheet が処理するデータを保護しています。このような措置の多くは独立した第三者の監査人がレビューし、SOC2、ISO 27001:2013、ISO 27018:2019、ISO 27701:2019 標準に準拠していることが確認されています。詳細については、Smartsheet トラスト センターを参照してください。
お客様のコンテンツに関わるセキュリティ インシデントが発生した場合、どのようになりますか?
Smartsheet は Smartsheet セキュリティ慣行またはお客様と Smartsheet 間の署名入り契約書に記載のセキュリティ慣行に従って、セキュリティ インシデントに対応し、通知します。
Smartsheet の利用を終了した場合、お客様のコンテンツはどのようになりますか?
Smartsheet ユーザー契約に記載のとおり、期間の終了または満了後 180 日以内に、Smartsheet はお客様のコンテンツを削除して回復不能にし、お客様の書面による要求に応じて、かかるプロセスを書面で証明します。以上にかかわらず、Smartsheet は、Smartsheet が、かかるお客様のコンテンツの保持に関連して、ユーザー契約のすべての要件を引き続き順守することを条件として、Smartsheet の法的および財務的な法令順守義務に従って、記録、文書またはより広範なデータセットの一部としてお客様のコンテンツのコピーを保持する場合があります。
Smartsheet はお客様のコンテンツに対する法的な要求をどのように扱いますか?
Smartsheet は米国を拠点とする企業として、有効な法的命令を受けた場合に、該当するデータの開示を要求される可能性があります。ただし、このように必要な開示に関して、Smartsheet は Smartsheet ユーザー契約の第 6.3 条に従います。
マーケティングおよび販売コミュニケーションの組織登録をすべて解除できますか?
はい。Smartsheet では、お客様のアカウントへのマーケティングおよび販売に関するお知らせの配信を解除することができます。アカウントのシステム管理者を通じて、このフォームに配信停止リクエストを送信してください。
データ処理付属書 (DPA)
Smartsheet は顧客と DPA を交わしますか?
Smartsheet は、個人情報を含むお客様のコンテンツの処理に特定の規約を必要とされるお客様に対し、データ処理付属書 (DPA) をご用意しています。Smartsheet の DPA は、EU および英国の両方の標準契約条項 (SCC) を包含しており、Smartsheet のサブスクリプション サービス固有の運営上および技術上の制御に合わせ、特に GDPR と CCPA といった米国データ保護法の両方に関して、両当事者に適用されるプライバシー義務と法的責任に対処するために入念にカスタマイズされています。
2023 年 7 月 10 日に、欧州委員会は EU - 米国間のデータ プライバシー フレームワーク (DPF) の適合性判断を承認しました。当面の間、Smartsheet は新規データと過去のデータの両方の移転が許可されている現行の SCC を使用して、引き続き DPA を提供する予定です。Smartsheet は、国際的なデータの移転に関する展開を引き続き監視し、委員会からの今後の指示を待ちながら、必要な更新を合理的に行っていきます。
Smartsheet との DPA が必要であると判断された場合、こちらの Web フォームを送信してください。フォームに記入された権限のある署名者に DocuSign 経由で DPA の写しが送られます。署名が完了すると、フォーム送信者にも記録用の写しが送られます。
DPA はどのような範囲に適用されますか?
Smartsheet の DPA は、Smartsheet のサブスクリプション サービス固有の運営上および技術上の制御に合わせて入念にカスタマイズされています。両当事者に適用されるプライバシー義務に対処する Smartsheet の DPA の内容は、SaaS 業界の主要なサービス プロバイダーが提供する DPA に沿ったものです。DPA の草案は入念に検討されており、適用されるプライバシー法、特に GDPR と CCPA の下に、両当事者の法的責任に対処しているため、厳格なプライバシー法が適用されるお客様であっても、折衝することなく文書を受け入れることができます。すべての基本的な法的、商業的な規約 (Smartsheet の運営慣行に記載の規約を含む) は、すでにサービスの使用とアクセスを規定する契約で確立されています。
また、データ処理者であるため、送信されたデータやお客様のコンテンツに含まれるデータはお客様が管理します。処理されるデータはお客様の使用事例によって異なります。特定のカテゴリの個人データが送信される際に適用法が順守されていることへの責任は、引き続きお客様にあります。Smartsheet は、アプリケーションに送信された全データを同じように扱い、一般的な要件を満たすようサブスクリプション サービスにある種の制御を組み入れています。Smartsheet の DPA について具体的なご質問やご不明な点がある場合はお知らせください。
Smartsheet の DPA ではどのような法律が考慮されていますか?
Smartsheet の DPA の草案は入念に検討されており、両当事者に適用される、特に GDPR と CCPA に関する法的責任に対処しているため、厳格なプライバシー法が適用されるお客様であっても、折衝することなく文書を受け入れることができます。すべての基本的な法的、商業的な規約は、すでに当事者間で締結された Smartsheet ユーザー契約で確立されています。また、規約は SaaS プロバイダーとしての Smartsheet の技術上および運営上の現実を考慮に入れて、入念に検討されています。
Smartsheet の現在のプライバシーおよびコンプライアンス慣行の詳細については、オンラインのトラスト センターをご覧ください。また、Smartsheet の既存の処理活動または現時点で契約上遵守できるデータ保護法についてご質問がある場合は、データ処理付属書をご確認ください。
Smartsheet は私の組織の DPA に署名しますか?
Smartsheet の DPA は、サブスクリプション サービス独自の運用上および技術上の制御に加え、マルチテナントのデータに依存しない SaaS プロバイダーとしての弊社のビジネス モデルを叙述するために特別に調整されています。この場合、Smartsheet はすべてのお客様のすべてのデータを同様に扱い、適用されるデータ プライバシーに関する法律のコンプライアンスを考慮して、サブスクリプション サービスに特定の制御を組み込みます。
サブスクリプション サービスの使用に DPA が必要であるとお客様が判断した場合、このフォームをご記入いただけます。Smartsheet では、GDPR や適用される米国データ保護法 (CCPA など) を含む主なデータ保護法に関連する場合は特に、Smartsheet の既存プロセスおよび機能を最も正確に反映するため、DPA の使用が必要です。お客様によってはご自身の DPA や補足的なデータ プライバシー条件の使用を好まれるケースがあることも理解していますが、Smartsheet はお客様からの文書の使用を受け入れません。これは、当事者間でのデータの移転方法および Smartsheet によるデータの処理方法に関する正確性と透明性を確保することを目的としています。Smartsheet のプライバシー慣行に関する詳細については、Smartsheet トラスト センターをご確認ください。
一般データ保護規則 (GDPR)
GDPR とは何ですか?
一般データ保護規則 (GDPR) は 2018 年 5 月 25 日に発効した欧州の規則で、個人データの保護と処理に関する標準を定めています。Smartsheet と GDPR に関する詳細情報や、データ処理者としての Smartsheet にデータ処理契約 (DPA) をリクエストする方法については以下の質問をご覧ください。
サービス プロバイダーとして Smartsheet はどのように GDPR に準拠していますか?
Smartsheet は、運用上および技術上の制御を行う際に、お客様のプライバシーを考慮するグローバル企業です。Smartsheet とその関連会社は、GDPR などの業界基準や適用されるデータ プライバシーに関する法令に沿ったプライバシー保証を提供しています。Smartsheet は、他の SaaS プロバイダーと共に、リスク評価と移転影響評価に関して責任共有モデルを採用しているため、GDPR コンプライアンスは顧客とベンダー間のパートナーシップです。
Smartsheet はお客様の GDPR コンプライアンスにおけるサポートも含め、お客様の成功のために誠意を尽くします。多くのお客様が、Smartsheet が GDPR コンプライアンスのニーズを満たしていると判断しています。お客様の GDPR コンプライアンスのニーズを満たすプラットフォームをお求めの場合は、ぜひ Smartsheet をご活用ください。
弊社の提供製品の移転影響評価 (TIA) を含むセキュリティ パケットへのアクセスをご希望の場合は、アカウント担当者にお問い合わせいただくか、このフォームを送信してください。Smartsheet と GDPR の詳細については、こちらのデータシートを参照してください。
Smartsheet はデータ保護責任者 (DPO) を擁していますか?
Smartsheet は DPO を指名しています。Smartsheet プライバシーの連絡先情報は、すべて Smartsheet プライバシー通知に記載されています。
データ処理者として、Smartsheet は私の組織がデータ主体の要求を履行するサポートをしますか?
Smartsheet のデータ処理付属書に記載のとおり、Smartsheet は、Smartsheet によるお客様の個人データの処理と Smartsheet が入手可能な情報の性質を考慮の上、お客様に対し、監督当局とのデータ保護の影響度評価および協議に関する合理的な助力を提供します。
データ管理者として、Smartsheet はデータ主体の要求を履行しますか?
はい、Smartsheet はプライバシー権に関する合法的で合理的な要求のすべてを順守します。こちらの Web フォームに記入して、Smartsheet プライバシー チームにリクエストをお送りください。
標準契約条項とは何ですか?
標準契約条項 (SCC) とは欧州委員会が策定した一連の契約で、合法の国際的な個人データ移転を規定しています。SCC は、欧州連合 (EU) 内に居住する個人のデータを EU 外に移動させる際の、組織のセキュリティとプライバシーの慣行を標準化したものです。Smartsheet は、データ移転メカニズムを必要とするすべてのベンダーと Smartsheet のお客様とともに、SCC を実行しています。
2023 年 7 月 10 日に、欧州委員会は EU - 米国間のデータ プライバシー フレームワークの適合性判断を承認しました。当面の間、Smartsheet は新規データと過去のデータの両方の移転が許可されている、現行の SCC の下で運営する予定です。この間に、Smartsheet は国際的なデータ移転に関して Smartsheet のポリシーと慣行をレビューして、次いで委員会からの更なる指示を待ちつつ、必要な更新を合理的に行います。
Smartsheet は標準契約条項 (SCC) またはモデル条項に署名しますか?
Schrems II 判決とプライバシー シールドの無効化に従い、Smartsheet は DPA を更新し、標準契約条項 (SCC) を、欧州司法裁判所が明示的に有効性を確認した合法的な移転システムとして採用しました。
2023 年 7 月 10 日に、欧州委員会は EU - 米国間のデータ プライバシー フレームワークの適合性判断を承認しました。Smartsheet は、新規データと過去データの両方の移転について許可された最新の SCC に基づいて運営する予定です。Smartsheet は、国際的なデータの移転に関する展開を引き続き監視し、委員会からの今後の指示を待ちながら、必要な更新を合理的に行います。
Smartsheet との DPA が必要であると判断された場合、こちらの Web フォームを送信してください。フォームに記入された権限のある署名者に DocuSign 経由で DPA の写しが送られます。署名が完了すると、フォーム送信者にも記録用の写しが送られます。ご質問がある場合は privacy@smartsheet.com までご連絡ください。
Smartsheet は、米国に移転された EU 内の個人データの保護を強化しますか?
Smartsheet は技術的、組織的、管理上の措置を実施し、Smartsheet が処理するデータを保護しています。このような措置の多くは独立した第三者の監査人がレビューし、SOC2、ISO 27001:2022、ISO 27018:2019、ISO 27701:2019 標準に準拠していることが確認されています。詳細については、Smartsheet トラスト センターを参照してください。
EU - 米国間データ プライバシー フレームワーク (DPF)
データ プライバシー フレームワーク (DPF) とは何ですか?
2023 年 7 月 10 日に、欧州委員会は EU - 米国間のデータ プライバシー フレームワークの適合性判断を承認しました。この判断は、(プライバシー シールドに代わり、) 新しいフレームワークにおいて EU 企業から米国企業へ個人データが移転される際に、米国で EU と同等レベルのデータ保護が確保されると結論づけるものです。データ プライバシー フレームワークの詳細と認定を確認するには、https://www.dataprivacyframework.gov にアクセスしてください。
データ プライバシー フレームワークは Smartsheet にどのように適用されますか?
Smartsheet とその関連会社は EU - 米国データ プライバシー フレームワーク (以下「EU - 米国 DPF」)、EU - 米国 DPF の英国への拡張、および米国商務省によって定められたスイス ー 米国データ プライバシー フレームワーク (以下「スイス - 米国 DPF」) に参加しています (以下総称して「データ プライバシー フレームワーク」)。弊社は、欧州経済領域 (EEA)、英国 (UK)、およびスイスから米国に移転される個人データに関して、データ プライバシー フレームワーク原則を遵守することを約束します。データ プライバシー フレームワークの詳細と認定を確認するには、https://www.dataprivacyframework.gov にアクセスしてください。データ プライバシー フレームワーク原則に基づく Smartsheet の取り組みは、米国連邦取引委員会 (FTC) の調査権限および執行権限の対象になっています。
Smartsheet は、データ移転メカニズムとしてプライバシー シールド認証に依拠していませんでしたが、プライバシー シールド原則に基づく個人データの処理について FTC およびお客様に対して行ったコミットメントを継続していたため、既存の認証を維持しました。適格な参加者として、私たちはデータ プライバシー フレームワークに迅速に移行することができました。
カリフォルニア州消費者プライバシー法 (CCPA)
CCPA とは何ですか?
カリフォルニア州消費者プライバシー法とは、州で初めて可決されたデータ プライバシーに関する包括的な法律です。CCPA は 2020 年 1 月に施行されました。この法律は個人情報の収集、使用、保存の許容範囲を規定することを目的として策定されています。CCPA はまた、個人情報を販売する組織の透明性の要件についても規定しています。
CCPA は Smartsheet にどのように適用されますか?
Smartsheet のプライバシー慣行の詳細については、こちらのデータシートを参照してください。
Smartsheet は個人情報を販売しますか?
いいえ。Smartsheet は個人情報を販売しません。Smartsheet が個人情報をどのように収集、使用、共有するかについての詳細は、プライバシー通知をご参照ください。
Smartsheet は他州のプライバシー法に準拠していますか?
Smartsheet は、今後多くの州法の影響を受けることを想定しており、適宜ポリシーと慣行を監視して更新し続けます。弊社は、契約における「データ保護法」の定義を拡大し、米国における Smartsheet によるお客様の個人データの処理に適用される連邦または州のデータ保護法を含めました。
統合とフォーム
Smartsheet プライバシー通知が Smartsheet フォームのフッターに含まれているのはなぜですか?
Smartsheet アプリケーションの機能の中に、お客様がオンライン フォームを公開できるものがあります。フォームを使用すると、個人がデータを Smartsheet アプリケーションに送信できます。フォームを介して収集された個人提供のデータはお客様のコンテンツとみなされます。ユーザーがフォームを送信すると、Smartsheet は使用データ (たとえば IP アドレス、送信日時、ブラウザーの種類など) を収集し、分析および改善、法的権利の保護および不正利用の防止、法的義務の順守のために使用することがあります。詳細については、Smartsheet プライバシー通知に記載されています。
Microsoft と Smartsheet を統合すると、第三者サービスへのデータ共有の許可を求められるのはなぜですか?
Smartsheet アプリケーションにおけるプル型やプッシュ型の情報発信のためにコネクタおよび統合製品を使用することができます。また、それにより該当する第三者がアプリケーションから通知 (シートの更新など) を受け取ることができるようになります。たとえば、お客様が Microsoft (マイクロソフト) 製品 (Outlook や Teams など) で統合の設定をする場合、第三者サービスとのデータ共有を許可することを求める Microsoft からのプロンプトが表示されます (ヘルプ記事)。この場合、Smartsheet は第三者サービスであり、Microsoft がデータ共有の許可を要求します。さらに、アプリケーションから統合パートナーへの移転が許可された情報には、第三者のプライバシー ステートメントが適用されます。Smartsheet アプリケーションからの情報を受け取ることを許可した第三者のプライバシー ステートメントは注意深く確認することを推奨します。
監査と証明
Smartsheet はどのようなプライバシー証明を取得していますか?
Smartsheet は 2 種類の世界的なプライバシー標準、ISO 27018:2019 と ISO 27701:2019 の証明を保持しています。詳細については、Smartsheet トラスト センターを参照してください。
Smartsheet は GDPR の認定を受けていますか?
Smartsheet は 2 種類の世界的なプライバシー標準の証明 (ISO 27018:2019 と ISO 27701:2019) を取得しており、GDPR の多くの要件を満たしています。詳細については、Smartsheet トラスト センターを参照してください。
私の組織は Smartsheet のプライバシー慣行を監査できますか?
Smartsheet は世界中の数多くのユーザーをサポートしています。それぞれのお客様に Smartsheet の慣行の監査を許可することは、現実的ではありません。そのため、Smartsheet は世界的なプライバシー標準である ISO 27018:2019 と ISO 27701:2019 の証明を取得しています。詳細については、Smartsheet トラスト センターを参照してください。