LGPD に対するアトラシアンの取り組み
LGPD とは?
Lei Geral de Proteção de Dados (LGPD) とは、2018 年にブラジル国民会議で可決されたブラジルのプライバシー法です。2020 年 8 月、ブラジル大統領は、国の監督機関としての役割に加えて、LGPD の解釈と執行を行う連邦独立規制機関、Authoridad Nacional de Protecao de Dados (ANPD) の設立を承認しました。LGPD は 2020 年 9 月 18 日に発効し、2021 年半ばに施行が開始されました。
LGPD は、ブラジルのデータ主体の個人データの収集、使用、処理、保存、転送を規制しています。LGPD は、欧州連合の一般データ保護規則 (GDPR) を厳密に踏襲しており、域外適用範囲を含んでいます。つまり、ブラジルのデータ主体のデータを処理する事業者は、その事業者がブラジル国外にあっても、LGPD の対象となることを意味しています。さらに、監督機関や影響を受けるデータ主体へのデータ侵害の通知、処理の法的根拠の定義、同様の法律違反に対する重い罰則の適用などは、GDPR と同様です。
アトラシアンと LGPD
データ主体の権利
アトラシアンは、LGPD の要件事項を遵守することを約束します。当社は、以下を含むこの法律の構成要素を包含するために、プライバシー プログラムを改正しました。
次に示す、データポータビリティとデータ管理ツールを提供。
- プロファイル削除ツール: 当社は、お客様とエンド ユーザーが名前やメール アドレスなど、個人情報を削除できるようにしてします。お客様がユーザーからの個人情報の削除依頼に対応できるようにしています。また、Atlassian アカウントをお持ちのエンド ユーザーが、ご自身で個人情報を削除できるようにしており、Atlassian アカウントをお持ちでないユーザーもご自身で個人情報を削除できます。
- データ アクセス リクエスト: アトラシアンの組織管理者は、アトラシアン サポートから管理対象ユーザーのデータに容易にアクセスできます。また、管理対象外のエンド ユーザーは、アトラシアン サポートからデータ アクセスのリクエストを開始して個人データに対するアクセスを依頼できます。また、直接または間接的にアトラシアンに個人データを提供したが Atlassian アカウントを保有していないユーザーは、アクセス リクエストを開始できます。
- インポートおよびエクスポートツール: お客様が自分のデータへのアクセスやインポート/エクスポートが可能。
- データの削除またはアクセスを電話でリクエストする、または特別な対応が必要な場合は、1 (800) 804-5281 にお掛けいただいてメッセージを残してください。プライバシー サポート チームが速やかにご連絡いたします。
データ転送メカニズム
アトラシアンは最新のデータ処理補遺を通じて標準契約条項を実行することで、適切な国際データ転送メカニズムをサポートしています。
データ セキュリティとコンプライアンス
GDPR と同様に、LGPD では個人データを保護するために技術的および組織的なセキュリティ対策を講じるよう、企業に求めています。
アトラシアンではお客様の情報とエンド ユーザーのプライバシーの保護をきわめて重要なものとして捉えています。貴重なデータをお預けいただくお客様の信頼に応えるために、Atlassian Cloud アーキテクチャのすべての階層にセキュリティ機能を組み入れています。再現、バックアップ、ディザスタ リカバリ計画、転送中のデータと保存データの暗号化、高度な脅威検出は、このような機能の一部です。アトラシアンのセキュリティ プラクティス ページでセキュリティ対策の詳細をご確認ください。
さらに、アトラシアンでは、広く認められている規格と認証に従ってクラウド製品の構築・設計を行うよう、多大なリソースを投じています。こうした規格にはセキュリティとプライバシーに関する LGPD と GDPR の多くの要件が反映されており、当社のソフトウェア開発とデータ管理プラクティスを客観的に評価する基準となります。現在、多くの製品で ISO/IEC 27001、ISO/IEC 27018 規格、SOC 2、SOC 3 認定を受けています。また、当社のデータ センター、コロケーション、マネージド サービス プロバイダーは評価プロセスの一環として徹底したセキュリティ アセスメントを受け、その後も定期的に SOC 1、SOC 2、ISO/IEC 27001 監査を受けています。
リスク管理プログラム、現時点の認定、Cloud 製品に対する当社のコミットメントの詳細については、Trust Center のコンプライアンス ページをご確認ください。
その他の LGPD の考慮事項
2020 年 8 月に、ブラジル大統領がブラジルのデータ保護機関である ANPD を設立するという法令を発表しました。ANPD は、LGPD に関する明確なガイドラインの発行、データ主体からの苦情の受け入れと対処、法律違反に対する制裁の適用を担当します。
LGPD の要件をさらに明確にするために、当社は ANPD の動向を引き続き注視いたします。