オープンテキストのGDPRコミットメント

一般データ保護規則

一般データ保護規則（GDPR） 欧州連合（EU）居住者の個人データの取り扱いに関する法律を近代化・改革するための新しい欧州連合のデータプライバシー法である。これは、この20年以上にわたって、世界の個人情報保護ルールの最大の見直しとなるものです。

GDPRに対する当社の取り組み

エンタープライズ情報管理のリーダーであるオープンテキストは、情報セキュリティとプライバシーを非常に重要視しています。私たちは、データ保護とプライバシーを日々の業務に取り入れるために、業界のベストプラクティスを長年維持してきました。また、お客様が私たちのソリューションと専門知識を導入して、独自の強力なコンプライアンスプログラムを構築するのを支援しています。

オープンテキストは、GDPRの要件と、データ管理者とデータ処理者の両方である当社との関連性を徹底的に分析しました。これを受けて、オープンテキストは、社内リソースのクロスファンクショナルチームを巻き込んで、規制のすべての要件を満たすことを目的とした組織全体のGDPRコンプライアンス戦略を実施しました。私たちのビジネスは、GDPRが施行される前に、これらの要件や原則の多くをすでに取り入れていたと自負しています。多くの組織がそうであるように、私たちもGDPRを、私たちの実践をさらに強化する機会として活用しています。

アプローチの概要

評価する

• エグゼクティブリーダーシップチームは、GDPRプログラムの開発を支持しました。
• グローバルデータ保護責任者の選任について
• グローバルリスクアドバイザリーファームであるEY LLPを中心に、企業のGDPR診断アセスメントを実施。

プラン

• エグゼクティブリーダーシップチームは、GDPRプログラムの開発を支持しました。
• グローバルデータ保護責任者の選任について

実行する

• 企業全体の個人情報のデータディスカバリーを実施。
• 処理活動の記録を棚卸しし、文書化する。
• マーケティング、人事、調達、ITなど、影響を受ける各ビジネスラインによるアクションプランの実施

メンテナンス

• 処理活動に関する登録簿の維持
• 定期的なプライバシー影響評価の実施
• リスクフレームワークを定期的に更新する
• リスクコントロールの運用の有効性を確認する

データコントローラーとしてのOpenText

お客様、パートナー、従業員の個人データを収集・処理する企業として、当社は以下のようなGDPR対策の主要な取り組みを実施しました：

同意管理 - GDPRのもとで同意の基準が上がっている。しかし、オープンテキストは、欧州諸国を含む他の管轄区域のデータプライバシー規制内の同様の既存要件にすでに準拠しています。当社のセールスおよびマーケティング組織は、同意管理の慣行を徹底的に見直し、GDPRに適合させました。これには、当社からの通信を継続的に受け取るための積極的なオプトイン、および当社が個人情報を収集する場合（例：研究論文を共有するため）にプライバシー目的声明を含むことが含まれます。

既存または将来のお客様として、当社のウェブページ、イベント案内、電子メールとのやり取りの中で、これらの変化のいくつかをご覧になったかもしれません。事前チェックや暗黙のオプトインは不十分であり、個人は自分が何に同意しているのか、そしていつでも同意を撤回できることを知らなければなりません。オープンテキストでは、私たちと関わってくださる方々にパーソナライズされた楽しい体験を提供し、各インタラクションにおいてお客様の価値を最大化すると同時に、この目的とセキュリティ、信頼、尊重のバランスを取ることに努めています。

人事 - GDPRは、お客様だけの問題ではありません。外部データに焦点を当てたGDPRの取り組みもありますが、新規制は、私たちが保有する求職者や従業員に関する個人データにも及びます。当社の人事チームは、GDPRを遵守するために、以下を含むいくつかの取り組みを実施し、現在も継続しています：

• GDPRに準拠した応募者情報および従業員情報を管理するための人事システムの最適化。
• 人事システムの見直しにより、保有する情報、保有理由、アクセス権者、保有期間をより適切に管理します。
• 当社が保有する情報、保有理由、アクセス権者、保有期間について、候補者や従業員に透明性を提供するため、同意書とプライバシー通知を作成する。
• データプライバシーが新しい法律に準拠しているかどうかを確認するために、人事関連のポリシーと手順を見直す。

記録管理 - 顧客情報が不活性、古くなった、または不要になった場合に処分を許可する保存スケジュールを、記録管理ポリシーに含めるよう取り組んでいます。これは、データ最小化の原則を支持し、必要以上にお客様の個人データを保持しないように支援するものです。

セキュリティ - データプライバシーとデータセキュリティは、包括的なデータ保護戦略において同様に重要な2つの部分です。オープンテキストは、ISO 27001:2013グローバル情報セキュリティマネジメントシステム（ISMS）で定義された情報セキュリティとリスク管理の業界ベストプラクティスにすでに従っていますが、GDPRが導入する新しいセキュリティ基準の増加について認識しており、業界標準に合致するように当社の慣行を評価し更新し続けていく予定です。当社のISMSは、継続的かつ厳格なリスク管理プロセスを提供し、オープンテキストが保管するすべての情報の継続的な機密性、完全性、可用性をサポートすることを支援します。

ポリシー、手順、トレーニング - 関連するポリシーと手順を見直し、セキュリティ、IT、プライバシー、人事に関するものを含め、新しいプライバシー要件を反映するよう更新しました。これらのレビューは継続中です。当社のウェブサイトでは、OpenText Privacy and Security Policy およびCookie Policy をご覧いただけます。オープンテキストでは、全スタッフを対象に企業情報セキュリティおよびコンプライアンスと倫理 のトレーニングを必須とすることを長年にわたって実践しています。GDPRに基づく義務について、従業員の意識向上と教育に必要な新しい内容を盛り込んだカリキュラムを見直しました。

データプロセッサーとしてのOpenText

私たちのような第三者を利用して個人データを処理しているデータ管理者であるお客様に対して、データ処理者としてGDPRに基づく約束を果たすことが重要である。この分野での主な活動としては、以下のようなものがあります：

データ主体の権利 - GDPRは、削除、修正、別の管理者への転送、処理への異議申し立てを含む目的で、管理者に提供され、管理者が処理したデータにアクセスする権利を個人に与えます。当社がお客様に代わって保有するデータは、データ管理者であるお客様が所有するものです。また、当社のお客様は、データへのアクセスコントロールを維持しています。つまり、ほとんどの場合、データ管理者として、データ対象者からのリクエストに対応し、対処することができます。データ処理業者である当社は、データ主体からの要求には直接応じません。当社は、お客様がデータ主体からの合法的な要求に対応できるよう、プロセスやアプリケーションをさらに強化し続けています。

契約上の約束事 - 私たちは、サブプロセッサーの使用と管理、タイムリーなセキュリティサポート、新しい要件に従った違反通知など、GDPRの義務が、お客様が満足するように私たちのクラウドサービスの契約上の約束事に含まれていることを確認するためにお客様と協力します。クラウドサービス契約には、当社がデータの保管者である間のデータの取り扱いや、サービス終了時の顧客への返還方法に関する記述が含まれています。また、データ処理契約（DPA）を見直し、GDPRの要求事項を盛り込むことを標準化しました。オープンテキストは、EUの弁護士と幅広く協力し、当社の契約書に合法的な個人データ処理に関する適切な条項が含まれていることを確認しています。

クラウドセキュリティ - 企業がビジネスクリティカルなアプリケーションや情報の管理にオープンテキストを信頼しているのは、その大部分がクラウドセキュリティ、プライバシー、コンプライアンスに対するオープンテキストの取り組みと専門知識によるものです。すべてのクラウドサービスは、業界標準の第三者機関によって管理され、独立した認証によって証明された技術的および組織的なセキュリティコントロールによって、プライバシーとセキュリティのベースライン基準を備えています。

オープンテキストは、当社が実施しているセキュリティ管理、プロセス、手順、ポリシーをお客様に保証するため、すべてのレベル（データセンター、インフラ、プラットフォーム-アプリケーション、サービスの認証は異なる場合があります）で認証を行っています。今後も、業界やお客様のご要望に応じて、認定資格の拡大や認定資格の追加を行っていく予定です。

当社のEIM製品およびサービスは、多くの業界および地域の規格egの認定を受けています。HIPAA、FDA 21 CFR Part 11、FINRA。業界標準の変化に合わせて、私たちのコントロールを進化させ続けます。現在のクラウド認定資格の一部を紹介すると、以下の通りです：

エンタープライズクラウド

• ISO 27001:2013
• SOC 1 タイプII
• SOC 2 タイプII
• SOC 3

ビジネスネットワーク

• ISO 27001:2013
• SOC 1 タイプII
• SOC 2 タイプII
• SOC 3
• ヒパア

ビジネスネットワーク - EasyLink

• SOC 1 タイプII
• SOC 2 タイプII
• SOC 3

Documentum（DaaS）クラウド

• SOC 2 タイプI
• SOC 2 タイプII

侵害報告 - インシデント管理の運用と72時間以内の侵害報告窓口の確保は、すべての組織にとって課題であり、今後も課題であるでしょう。オープンテキストのグローバル情報セキュリティチームは、情報漏えいの疑いが生じた時点から、事故後の対応終了ステップに至るまで、確立されたデータ漏えい対応プロセスを有しています。オープンテキストのデータ漏洩対策は、「発見」「評価」「対応」「保護」「復旧」という5つのステップで構成されています。違反報告要件と時間枠が決定されるのは、「対応」ステップです。オープンテキストは、GDPRに基づく要件を含め、当社が事業を展開するすべての地域のデータ侵害通知法を検討し、その遵守に努めています。

GDPRの旅でお客様をサポートする

企業情報管理（EIM）技術は、効果的で健全なプライバシーコンプライアンスとデータ保護戦略の鍵となるものです。オープンテキストは、EIMのリーダーとして、GDPRへの対応とコンプライアンスに向けたお客様の道のりを支援することを約束します。しかし、コンプライアンスは共有の責任であることを認識することが重要です。規制遵守には、適切なテクノロジーツールだけでなく、プロセス、ポリシー、専門知識、教育、トレーニングの組み合わせが必要です。コンプライアンスへの道には、プライバシーをめぐる共通認識と共通の文化が必要だと考えています。

お客様がGDPRに備えるための支援方法について：

• GDPRリソース - EIMと当社のサービスを使用して、組織がGDPRの主要原則に準拠する方法を説明するホワイトペーパー、ビデオ、ウェビナー・オンデマンド、ブログ記事を掲載しています。
• OpenText Product Security Assurance Program (PSAP) - GDPRよりずっと前から、OpenTextは製品セキュリティ保証プログラムを確立しています。PSAPは、当社の製品、ソリューションおよびサービスが、セキュリティを考慮して設計、開発および維持されていることを保証することを目的としています。
• Data protection by design and by default - GDPRの条件では、プライバシーは意図的に組み込まれ、処理システムにおいてデフォルトで採用されるべきです。オープンテキストでは、エンドツーエンドセキュリティなどのプライバシー・バイ・デザイン原則を常に見直し、ビジネスプロセスやシステムだけでなく、開発するソフトウェアにも取り込んでいます。