Logo - Full (Color)
メインコンテンツにスキップ

EU域外への移転データの保護に関するHubSpotの取り組み

欧州連合司法裁判所(CJEU)による2020年7月16日の判断と新しい標準契約条項
~ HubSpotのお客さまとパートナーさまへの影響について ~

カスタマーコードの行動指針として言及しているように、HubSpotは顧客データの保護について常に正しい行いを心がけることをお約束しています。その一環として、法令に則した安全な方法でお客さまが必要に応じてデータを転送できる枠組みの提供にも取り組んでいます。HubSpotがこのことを非常に大切な責任として受け止めていることは言うまでもありません。

セキュリティーやデータプライバシーに対する世界的な取り組みが一層進展する中で2020年7月16日、欧州連合司法裁判所(CJEU)は、EU・米国間のプライバシーシールドを無効とする判断を示し、同時に標準契約条項(SCC)は引き続きデータ移転の枠組みとして有効であることを認めました。そして2021年6月4日、欧州委員会は新しいSCCを採択しました。

HubSpotでは以前よりEU域内からのHubSpotの顧客データ移転について旧SCCに沿った規定を設けておりますが、2021年9月までに新SCCを基に改定することを予定しておりますので、どうぞご安心ください。2018年のGDPR(EU一般データ保護規則)発効後、当社としても「HubSpotお客さまサービス利用規約」の一部として組み込まれている「データ処理契約(DPA)」にプライバシーシールドとSCCの両方をEU域内からのデータ移転の法的な枠組みとして定めることで、データ移転に関する複数の条項をお客さまに提供してきました。

2020年のCJEUによる判断を受けてプライバシーシールドは適用外となっていますが、SCCが自動的に適用されるため、EU域内からのデータ移転の安全性は維持されています。また、新SCCへの切り替えは2021年9月以降に円滑に実施されますので、お客さまもパートナーさまも引き続きサービスを停止することなくHubSpotをご利用いただけます。

よくあるご質問

  • HubSpotでは「HubSpotデータ処理契約」において、欧州委員会の標準契約条項(SCC)に沿った規定を設けています。

  • 欧州連合司法裁判所(CJEU)による2020年7月16日の判断(Schrems IIとも呼ばれます)は、欧州委員会の標準契約条項(SCC)およびEU・米国間のプライバシーシールドのEU域外への個人データの移転における合法性に関するものです。CJEUによって主に2つの判断が示されました。

    1. EU・米国間のプライバシーシールドを無効とする判断が示されました。つまり、EU域外へ移転されるデータの保護を検討している企業にとって、プライバシーシールドを選択できなくなったことを意味します。
    2. 一方で、標準契約条項(SCC)はデータ移転の枠組みとして引き続き有効であることが認められました。ただし、SCCに基づくデータ移転は、事例ごとにEUのデータ保護基準への準拠を分析する必要があるという判断が示されています。
  • 標準契約条項(SCC)は、企業がGDPRの規制下において国境を越えるデータ移転を行うために使用できる枠組みの1つです。

  • 2021年6月4日、欧州委員会は2つの新しいSCCを採択したことを発表しました。新SCCは、GDPRの準拠要件との整合を図るとともに、Schrems IIでCJEUが提示した問題点に対処する内容となっています。

  • 新しい標準契約条項(新SCC)の導入に関する、重要な日程は次の通りです。

    • 2021年6月27日:新SCCの発効日。同日以降、新SCCの使用を開始できます。
    • 2021年9月27日:同日以降は顧客およびベンダーとの全ての新規契約に新SCCを組み入れる必要があります。
    • 2022年12月27日:旧SCCの失効日。データ輸入者(ここではHubSpot)とデータ輸出者(ここではHubSpotのお客さま)は、発効日から18か月が経過する同日までに旧SCCから新SCCに切り替える必要があります。

     

  • はい。2021年9月までに新SCCを基にデータ処理契約(DPA)を改定する予定です。当社の復処理者および他の第三者サービスプロバイダーと協力して、該当する契約に新しいSCCを追加します。

    • モジュール方式:新SCCは、データ輸出者(HubSpotのお客さま)が使用する条項を、該当データの移転に関連して担う役割と責任の性質に基づき、モジュール方式で規定しています。
    • 移転リスクの評価:新SCCは、データ輸出者に対してデータ移転のリスク評価を実施して文書化するよう求めています。移転リスク評価は、第三国の法律のデータ保護レベルと補完的保護措置の必要性を評価することにより、移転データの保護を強化するものです。
    • 補完的措置:新SCCは、企業が必要に応じて補完的に講じるべき、データ移転に関する技術的および組織的な安全措置の具体例を示しています(網羅的な内容ではありません)。
  • いいえ。HubSpotお客さまサービス利用規約には、参照という形で当社のデータ処理契約(DPA)が組み込まれています(第5.4条をご参照ください)。DPA第7(f)条に規定の通り、HubSpotは標準契約条項に準拠して欧州データを処理することに同意しています。標準契約条項は、DPAの付属書類3として規定されています。前述したように、HubSpotは2021年9月までにこの標準契約条項を改定する予定です。

  • いいえ。EU・米国間のプライバシーシールドは2020年7月16日付けで既に無効になっています。

  • いいえ。この判断は、EU・米国間のプライバシーシールドのみに適用されます。

  • いいえ。2021年6月28日、欧州委員会は英国の十分性認定を採択しました。従って、企業がEU域内から英国にデータを移転する上では、データ保護に関する変更を行う必要はありません。

ご不明な点はございませんか?