Logo - Full (Color)
メインコンテンツにスキップ

EU域外への移転データの保護に関‍するHubSpotの取り組み

Schremes II事件における欧州連合司法裁判所(CJEU)による2020年7月16日の判断と標準契約条項に伴う、HubSpotのお客さまとパートナーさまへの影響について

カスタマーコードの行動指針として言及しているように、HubSpotは顧客データの保護について常に正しい行いを心掛けることをお約束しています。その一環として、法令に則した安全な方法でお客さまが必要に応じてデータを転送できる枠組みの提供にも取り組んでいます。HubSpotがこのことを非常に大切な責任として受け止めていることは言うまでもありません。 

セキュリティーやデータプライバシーに対する世界的な取り組みが一層進展する中で2020年7月16日、欧州連合司法裁判所(以下、「CJEU」)は、EU・米国間のプライバシーシールドを無効とする判断を示し、同時に標準契約条項(SCC)は引き続きデータ移転の枠組みとして有効であることを認めました。2021年6月4日、欧州委員会は改正されたEUの標準契約条項(以下、「SCC」)を採択しました。

2021年9月27日、当社は新SCCを適用するためにHubSpotデータ処理契約(以下、「DPA」)を改定しました。SCCは自動的にDPAに組み込まれ、EU域内からのデータ移転の安全性は確保されているため、お客さまもパートナーさまもサービスの中断なく引き続きHubSpotをご利用いただけます。

よくあるご質問

  • 標準契約条項(SCC)とは、欧州委員会が公布した、企業がEU域外へのデータの越境移転を行うために使用できる枠組みです。

    2021年6月4日、欧州委員会は2つの新しいSCCを採択したことを発表しました。

  • 欧州連合司法裁判所(CJEU)による判断(「Schrems II」とも呼ばれます)は、SCCおよびEU・米国間のプライバシーシールドのEU域外への個人データの移転における合法性に関するものです。CJEUによって主に2つの判断が示されました。

    1. EU・米国間のプライバシーシールドを無効とする判断が示されました。つまり、EU域外へ移転されるデータの保護を検討している企業にとって、欧州連合(以下、「EU」)と米国(以下、「US」)間のプライバシーシールドを選択できなくなったことを意味します。
    2. 一方で、SCCはデータ移転の枠組みとして引き続き有効であることが認められました。ただし、SCCに基づくデータ移転は、事例ごとにEUのデータ保護基準への準拠を確認する必要があるという判断が示されています。

     

  • HubSpotは、オンラインのDPAの一部として組み込まれているSCCをはじめとして、データ移転(USへのデータ移転)のためにいくつかの枠組みを利用しています。 

    2021年6月4日、欧州委員会は2つの新しいSCCを採択したことを発表しました。新SCCは、GDPRの準拠要件との整合を図るとともに、Schrems II判決においてCJEUが提示した問題点に対処する内容となっています。HubSpotは、新SCCを適用するためにDPAを改定しました(2021年9月27日発効)。

  • いいえ。当社のDPA(新SCCを含みます)は、参照により、HubSpotお客さまサービス利用規約(以下、「サービス利用規約」)の一部として組み込まれます(サービス利用規約の第5.4条をご参照ください)。DPA第7(f)条に規定の通り、HubSpotはSCCに準拠して欧州データ(定義はDPA参照)を処理することに同意しています。新SCCは、DPAの付属書類4に規定されています。 

  • 現在HubSpot Inc.は、GDPRに基づく移転の手段としてEU・US間プライバシーシールドに依拠していませんが、HubSpot, Inc.がプライバシーシールドの自己認証を維持している限り、お客さまに対する契約上の追加的な取り組みとして(また、欧州データ保護会議(以下、「EDPB」)により要請される補足的な契約上の措置として)、プライバシーシールド原則(英語)に従ってEUおよびスイスからの個人データを処理します。なお、プライバシーシールド原則には、通知、選択、転送に対する責任、安全性、データの完全性および目的制限、アクセス、救済、実施、および責任が含まれます。プライバシーシールド(EU・US間およびスイス・US間)のHubSpotの自己認証についての詳細は、こちら(英語)でご覧いただけます。

ご不明な点はございませんか?