Logo - Full (Color)

EU域外への移転データの保護に関するHubSpotの取り組み

欧州連合司法裁判所(CJEU)による2020年7月16日の判断
~ HubSpotのお客様とパートナー様への影響について〜

カスタマーコードの行動指針として言及しているように、HubSpotは顧客データの保護について常に正しい行いを心がけることをお約束しています。この心がけには、お客様が必要に応じてデータを転送できるように安全かつ合法的な枠組みを提供することも含まれています。HubSpotがこのことを非常に大切な責任として受け止めていることは言うまでもありません。 

セキュリティーやデータプライバシーに対する世界的な取り組みが一層進展する中で2020年7月16日、欧州連合司法裁判所(CJEU)は、EU・米国間のプライバシーシールドを無効とする判断を示し、同時に標準契約条項(SCC)は引き続きデータ移転の枠組みとして有効であることを認めました。 

しかしながら、HubSpotでは以前よりEU域内からのHubSpotのお客様データの移転について標準契約条項(SCC)上で規定しておりますので、どうぞご安心ください。2018年のGDPR(EU一般データ保護規則)発効後、当社としても「HubSpotお客様サービス利用規約」の一部として組み込まれている「データ処理契約(DPA)」に、プライバシーシールドと標準契約条項の両方をEU域内からのデータ移転の法的な枠組みとして定めることで、データ移転に関する複数の条項をお客様に提供してきました。 

CJEUによる今回の判断の結果、プライバシーシールドは今後適用されなくなりますが、SCCが自動的に適用されるため、EU域内からのデータ移転の安全性が維持されます。したがって、お客様もパートナー様も引き続きサービスを停止することなくHubSpotをご利用いただけます。

よくあるご質問

  • 欧州連合司法裁判所(CJEU)による今回の判断(Schrems IIとも呼ばれます)は、欧州委員会の標準契約条項(SCC)およびEU・米国間のプライバシーシールドのEU域外への個人データの移転における合法性に関するものです。CJEUによって主に2つの判断が示されました。

    1. EU・米国間のプライバシーシールドを無効とする判断が示されました。つまり、EU域外へ移転されるデータの保護を検討している企業にとって、今後はプライバシーシールドを選択できなくなったことを意味します。
    2. 一方で、標準契約条項(SCC)はデータ移転の枠組みとして引き続き有効であることが認められました。ただし、SCCに基づくデータ移転は、個々の事例ごとにEUのデータ保護基準への準拠を分析する必要があるという判断が示されています。 
  • いいえ。HubSpotお客様サービス利用規約には、参照という形で当社のデータ処理契約(DPA)が組み込まれています(第5.4条をご参照ください)。DPA第7(f)条に規定のとおり、HubSpotは標準契約条項に準拠して欧州データを処理することに同意しています。標準契約条項は、DPAの付属書類3として規定されています。

  • いいえ。EU・米国間のプライバシーシールドは2020年7月16日付けで無効になりました。

  • いいえ。今回示された判断には、EU・米国間のプライバシーシールドのみが該当します。

ご不明な点はございませんか?