Privacy
OpenTextプライバシーセンター
OpenText Privacy Statement
エンタープライズ情報管理(EIM)のリーダーとして、OpenTextは情報セキュリティとデータプライバシーに真剣に取り組んでいます。私たちは長年にわたり、データ保護とプライバシーを日々の業務に取り入れるための業界のベストプラクティスを維持してきました。また、お客様が私たちのソリューションと専門知識を導入し、独自の強力なコンプライアンスプログラムを構築するのを支援しています。
OpenTextでは、当社と関わってくださるお客様にパーソナライズされた体験を提供し、各インタラクションにおけるお客様の価値を最大化することに努めています。
OpenTextは、個人データまたは個人情報 (個人情報) の保護を確実にするために、包括的なプライバシープログラムを確立しています。現在のプライバシープログラムを効果的に運用するため、OpenTextは、一般データ保護規制(GDPR)、カリフォルニア州プライバシー法(CPRA)で改正されたカリフォルニア州消費者プライバシー法(CCPA)、およびAICPA/CICAのプライバシー成熟度フレームワーク、Nymityのプライバシーフレームワーク、米国国立標準技術研究所(NIST)のプライバシーフレームワークなどの業界標準を含む、主要な標準および規制に基づくプライバシーフレームワークを使用しています。
OpenTextのプライバシープログラムは、アカウンタビリティのフレームワークに基づいて構築されています:「お客様の権利、データの倫理的利用、法令遵守義務を組み込んだ持続可能なデータプライバシー&コンプライアンスプログラムを構築し、維持すること」です。
OpenTextでは、当社と関わってくださるお客様にパーソナライズされた体験を提供し、各インタラクションにおけるお客様の価値を最大化することに努めています。
OpenTextは、個人データまたは個人情報 (個人情報) の保護を確実にするために、包括的なプライバシープログラムを確立しています。現在のプライバシープログラムを効果的に運用するため、OpenTextは、一般データ保護規制(GDPR)、カリフォルニア州プライバシー法(CPRA)で改正されたカリフォルニア州消費者プライバシー法(CCPA)、およびAICPA/CICAのプライバシー成熟度フレームワーク、Nymityのプライバシーフレームワーク、米国国立標準技術研究所(NIST)のプライバシーフレームワークなどの業界標準を含む、主要な標準および規制に基づくプライバシーフレームワークを使用しています。
OpenTextのプライバシープログラムは、アカウンタビリティのフレームワークに基づいて構築されています:「お客様の権利、データの倫理的利用、法令遵守義務を組み込んだ持続可能なデータプライバシー&コンプライアンスプログラムを構築し、維持すること」です。
目的
本ステートメントは、OpenTextのグローバルプライバシープログラム、当社のガバナンス、および、当社が管理者として、また、当社の顧客または消費者のために処理者として行動する際に、個人情報を公正、合法的かつ安全に処理することを保証するために当社が実施する活動の概要を示すものです。
このページの目的上、当社は以下の一般データ保護規則(GDPR)用語を使用し、適用される義務を果たすための戦略を概説しています。
-
管理者:自然人または法人で、個人情報の処理に関する決定を行う公的または私的な者。
-
処理者:管理者によって任命され、管理者に代わって個人情報の処理を行う自然人または法人。
-
個人データおよび個人を特定できる情報(PII) 「個人情報」は、適用されるデータ保護法で定義されている意味を持つものとします。
データ保護およびプライバシー法の遵守
OpenTextでは、適用されるデータ保護法およびプライバシー法が、管理者または処理者としてOpenTextに適用される限りにおいて、確実に遵守することをお約束します。当社は、お客様、パートナー、ウェブサイト訪問者からお預かりした個人情報を保護することの重要性を認識しています。以下に詳述するOpenTextの慣行は、一般データ保護規則(GDPR)およびその他の適用される地域または国の法律など、関連するデータ保護法およびプライバシー法が定める要件を遵守するように設計されています。個人情報保護部門は、規制や法律の変更を追跡・監視し、個人情報保護プログラムを定期的に見直し、最新の状態に保つ責任を負います。
アプローチの概要
個人情報保護に関するOpenTextのプライバシープログラムの柱には、データ主体の権利の保護、プライバシー・バイ・デザイン、契約へのプライバシー条項の盛り込み、許可されたアクセス、紛失、誤用から個人情報を保護するための適切なセキュリティ対策の実施と維持が含まれます:
データ主体の権利
OpenTextは、データ主体が個人の権利を容易に行使できるような方針と手順を導入しています。データ主体は、適用されるデータ保護法に従って、OpenTextに対して、個人情報へのアクセス、個人情報の訂正、更新、および/または削除を要求することができ、特定の状況において個人情報の使用または共有に反対し、その他のデータ主体の権利を行使することができます。お客様のプライバシーの権利を行使する方法の詳細については、OpenText Privacy Policyをご参照ください。
OpenTextは、データ主体が個人の権利を容易に行使できるような方針と手順を導入しています。データ主体は、適用されるデータ保護法に従って、OpenTextに対して、個人情報へのアクセス、個人情報の訂正、更新、および/または削除を要求することができ、特定の状況において個人情報の使用または共有に反対し、その他のデータ主体の権利を行使することができます。お客様のプライバシーの権利を行使する方法の詳細については、OpenText Privacy Policyをご参照ください。
Privacy By Design
OpenTextは、すべての製品やサービスにプライバシーを組み込み、製品、サービス、システムの設計と開発に、最初から安全対策を組み込んでいます。当社の開発チームおよび製品管理チームは、セキュリティ・チームおよびプライバシー部門と緊密に連携し、開発プロセスに適切な専門知識が含まれるようにしています。さらに、該当するプロジェクト、新しいシステムの取得、およびプロセスの変更に際して、プライバシー・リスク・アセスメントが実施されます。
OpenTextは、すべての製品やサービスにプライバシーを組み込み、製品、サービス、システムの設計と開発に、最初から安全対策を組み込んでいます。当社の開発チームおよび製品管理チームは、セキュリティ・チームおよびプライバシー部門と緊密に連携し、開発プロセスに適切な専門知識が含まれるようにしています。さらに、該当するプロジェクト、新しいシステムの取得、およびプロセスの変更に際して、プライバシー・リスク・アセスメントが実施されます。
契約上のコミットメント
当社は、当社の製品およびサービスに関する契約上のコミットメントに個人情報保護義務が含まれるよう顧客と協力し、規制に準拠したデータ取扱いの枠組みを確立します。OpenTextが定めるデータ処理契約の詳細については、Customer Data Processing Agreement およびSupplier Data Processing Agreement の両方をご覧ください。
当社は、当社の製品およびサービスに関する契約上のコミットメントに個人情報保護義務が含まれるよう顧客と協力し、規制に準拠したデータ取扱いの枠組みを確立します。OpenTextが定めるデータ処理契約の詳細については、Customer Data Processing Agreement およびSupplier Data Processing Agreement の両方をご覧ください。
セキュリティ
OpenTextは、ISO/IEC 27001 情報技術セキュリティ技術や米国国立標準技術研究所(NIST)のサイバーセキュリティフレームワークなどの業界慣行モデルを採用しています。OpenTextは、ISO/IEC27001に基づく情報セキュリティマネジメントシステム(ISMS)の中に、ISO 27002情報セキュリティコントロールセットを組み込んでいます。詳細については、OpenTextのウェブサイト(Information Governance)をご参照ください。OpenTextは、サービス組織統制(「SOC」)レポートなどの監査を定期的に実施しています。業界標準が継続的に遵守され報告されていることを保証するため、ISO 27001、ISO 27017、ISO 27018、SOC 1 Type II、SOC 2 Type IIのサイバーセキュリティ・コンプライアンス認証が(サービスに該当する場合)利用可能です。選択された製品やサービスによっては、OpenTextの製品やサービスに関する第三者監査レポートを入手できる場合があります。
OpenTextは、ISO/IEC 27001 情報技術セキュリティ技術や米国国立標準技術研究所(NIST)のサイバーセキュリティフレームワークなどの業界慣行モデルを採用しています。OpenTextは、ISO/IEC27001に基づく情報セキュリティマネジメントシステム(ISMS)の中に、ISO 27002情報セキュリティコントロールセットを組み込んでいます。詳細については、OpenTextのウェブサイト(Information Governance)をご参照ください。OpenTextは、サービス組織統制(「SOC」)レポートなどの監査を定期的に実施しています。業界標準が継続的に遵守され報告されていることを保証するため、ISO 27001、ISO 27017、ISO 27018、SOC 1 Type II、SOC 2 Type IIのサイバーセキュリティ・コンプライアンス認証が(サービスに該当する場合)利用可能です。選択された製品やサービスによっては、OpenTextの製品やサービスに関する第三者監査レポートを入手できる場合があります。
データ保持
OpenTextが管理者である場合、OpenTextの記録を健全なビジネス、業務、および法的慣行に従って管理する方法に関するガイダンスを従業員に提供するため、データ保持ガイドラインを策定しました。本ガイドラインの目的は、必要なOpenTextの記録、文書、その他の資料が適切に維持され、OpenTextが不要になった場合は、適切な時期に安全に廃棄されるようにすることです(適用される法的または組織的な保存要件に従うものとします)。OpenTextがプロセッサーであり、サービスの一環として個人情報を保存している場合、適用法の定めに従い、お客様の書面による指示によりサービスが終了した時点で、OpenTextはデータを返却および/または削除します(適用法に別段の定めがある場合を除きます)。場合によっては、顧客との契約において保管スケジュールが定められ、その場合はそのスケジュールに従います。
OpenTextが管理者である場合、OpenTextの記録を健全なビジネス、業務、および法的慣行に従って管理する方法に関するガイダンスを従業員に提供するため、データ保持ガイドラインを策定しました。本ガイドラインの目的は、必要なOpenTextの記録、文書、その他の資料が適切に維持され、OpenTextが不要になった場合は、適切な時期に安全に廃棄されるようにすることです(適用される法的または組織的な保存要件に従うものとします)。OpenTextがプロセッサーであり、サービスの一環として個人情報を保存している場合、適用法の定めに従い、お客様の書面による指示によりサービスが終了した時点で、OpenTextはデータを返却および/または削除します(適用法に別段の定めがある場合を除きます)。場合によっては、顧客との契約において保管スケジュールが定められ、その場合はそのスケジュールに従います。
プライバシートレーニングおよび意識向上
OpenTextでは、企業情報セキュリティ、データ保護、コンプライアンス、倫理に関するトレーニングコースを全社員に義務付けています。カリキュラムは、個人情報の適切な使用と保護に関する従業員の義務を認識させ、教育するために必要な新しい内容に定期的に見直されます。新入社員研修では、すべての新入社員がこれらのコースを修了しなければなりません。全スタッフには年1回のリフレッシュ・コースが義務付けられています。
OpenTextでは、企業情報セキュリティ、データ保護、コンプライアンス、倫理に関するトレーニングコースを全社員に義務付けています。カリキュラムは、個人情報の適切な使用と保護に関する従業員の義務を認識させ、教育するために必要な新しい内容に定期的に見直されます。新入社員研修では、すべての新入社員がこれらのコースを修了しなければなりません。全スタッフには年1回のリフレッシュ・コースが義務付けられています。
プライバシーポリシー
OpenTextは、社内外の関連ポリシーを継続的に見直し、セキュリティ、IT、プライバシー、人事に関連するポリシーを含め、プライバシーに関する新しい要件を反映し、コンプライアンスに準拠するよう更新しています。OpenTextプライバシーポリシーおよびクッキーポリシーをご参照ください。
従業員向けの社内プライバシー・ポリシーでは、従業員に関してどのようなデータが収集され、そのデータがどのように使用され、会社のデータを安全に保つために従業員がどのような役割を担っているかについての概要を説明しています。
従業員向けの社内プライバシー・ポリシーでは、従業員に関してどのようなデータが収集され、そのデータがどのように使用され、会社のデータを安全に保つために従業員がどのような役割を担っているかについての概要を説明しています。
処理活動の記録
OpenTextは、OpenTextが管理者及び処理者として顧客に代わって個人情報を処理する機能分野について、処理活動の記録(ROPA)を保持します。ROPAには、OpenTextまたはその(サブ)プロセッサーが処理する個人情報の種類とカテゴリー、受領者のカテゴリー、データ移転、処理場所、保護措置等の概要が記載されています。ROPAが完全かつ正確に保管されるよう、プロセスが整備されています。
プライバシー影響評価
OpenTextは、顧客、従業員、サプライヤー、その他の利害関係者の個人情報の保護に全力で取り組んでいます。当社は、個人情報のプライバシーを非常に重要視しており、当社がどのようなデータを収集・処理し、そのデータがどのように保護されているかを確実に把握するために、さまざまな方法および管理を導入しています。このコミットメントの一環として、OpenTextは、必要に応じて、個人情報の使用を伴う事業活動やプロジェクトが、データ保護影響評価(「プライバシー影響評価」とも呼ばれます)の対象となることを保証します。このアセスメントの目的は、以下のことを確認することです:
-
個人情報の利用について
-
個人情報の処理に起因する自然人の権利と自由に対するリスクは、慎重に検討されます。
-
処理のライフサイクル全体を通じて、プライバシーリスクを軽減するための適切な措置が講じられます。
同意管理
OpenTextは、B2Bマーケティングに明示的な同意が必要な国において、Webフォーム、イベント、サードパーティシンジケーションなど、あらゆるマーケティング施策の同意収集を含む同意管理プロセスを導入しています。OpenTextは、OpenTextからのすべてのマーケティング・コミュニケーションにおいて、オプトアウト・オプションを提供しています。また、企業が個人情報を収集する際には、当社のプライバシーポリシーへのリンクが表示されます。
国境を越えたデータ転送
OpenTextはグローバル企業であり、カナダ、米国、インド、フィリピンなど、EU域外の国でも一部の処理活動を行っています。EEA 加盟国、英国、スイス以外の国で個人情報が処理される場合、OpenTextは、(1) 輸入国の妥当性決定、または (2) 輸出国と輸入国間の EU モデル条項のいずれかの保護措置が実施されていることを確認しています。データの国際的な移転に関するOpenTextの運用方法について詳しくは、OpenTextのポジションペーパーをご覧ください。OpenText International Data Transfersのポジションペーパーは、ご要望に応じて入手可能です。
ベンダー管理
OpenTextは、OpenTextの製品やサービスを提供するために必要な場合、OpenTextに代わって業務を行うベンダーと個人情報を共有することがあります。これには、個人情報を共有する場合のセキュリティ/プライバシーリスク評価の実施、契約における適切なデータ保護条項の設定が含まれます。一般データ保護規則((EU) 2016/679)(GDPR)が定める適切なレベルのデータ保護が提供されていないと考えられる国でベンダーが事業を行っている場合、OpenTextは、適用されるデータ保護規則に従ってデータ転送が行われるよう、ベンダーとともに適切な対策を実施します。
ガバナンスと責任
OpenTextのデータプライバシー戦略は、グローバルデータプライバシー担当副社長の直属のグローバルプライバシー専門チームが主導しています。チームにはデータ保護オフィサー(DPO)が含まれます。DPO事務局の連絡先はDPO@opentext.comです。
プライバシー機能
個人情報保護チームメンバーのデータ保護、プライバシー、コンプライアンス分野での経験は平均10年以上であり、チームメンバーの何人かはCIPP、CIPM、CISA、CISM、CISSPなどの専門的な認定を受けています。
この組織は、社内外の専門家のネットワークによって支えられています。
個人情報保護チームメンバーのデータ保護、プライバシー、コンプライアンス分野での経験は平均10年以上であり、チームメンバーの何人かはCIPP、CIPM、CISA、CISM、CISSPなどの専門的な認定を受けています。
この組織は、社内外の専門家のネットワークによって支えられています。
データ・プライバシー当局への登録必要に応じて
、当社は各国のデータ保護およびプライバシー規制当局に登録されており、登録はOpenTextのプライバシー機能によって確認・維持されています。
、当社は各国のデータ保護およびプライバシー規制当局に登録されており、登録はOpenTextのプライバシー機能によって確認・維持されています。
プライバシーステートメントの変更
OpenTextは、当社の慣行、技術、プライバシーに関する公約、およびその他の関連する考慮事項の変更を取り入れるために、事前の承諾なしに、本プライバシー・ステートメントを随時更新する権利を留保します。本プライバシー・ステートメントを定期的に確認し、OpenTextの取り組みについて常に最新の情報を入手されることをお勧めします。
本プライバシーステートメントの最終見直しは2023年9月に行われました。
本プライバシーステートメントの最終見直しは2023年9月に行われました。
方針と手続き
OpenTextのプライバシーポリシーと手順は、OpenTextのデータ処理慣行を説明し、個人データの収集、使用、開示に関するOpenTextの役割と責任を定義しています。詳細については、OpenTextが導入している主なルールと原則を以下に示します:
OpenText Privacy Policyは、OpenText Corporation およびその関連会社に適用され、OpenText Corporation が収集、使用、共有する個人情報を扱います。これには、当社のWebサイトおよびポータル(以下、「Webサイト」といいます)、製品、サービスを介して収集した個人情報や、対面、電話、電子メールなどを介してお客様から直接収集した個人情報、または当社が業務の過程でサードパーティを通じて間接的に収集した個人情報が含まれます。
OpenText中国プライバシーポリシーは、当社が中国居住者の個人情報をどのように取り扱うかを定めています。
OpenText Candidate Privacy Policy当社のオンラインおよび/またはオフラインの採用活動に関連して当社が収集する可能性のある情報を扱います。
OpenText Cookies Policyは、当社のウェブサイトおよびモバイルアプリケーションにおけるCookieおよびその他の類似技術の使用方法について定めています。
プライバシーインシデント対応プロセス: OpenTextは、インシデントや情報漏洩に関する法律が遵守されるよう、現地の規制を遵守することをお約束します。OpenTextは、情報セキュリティインシデントへの対応を管理・指示するセキュリティインシデント対応プロセス(SIRP)を定義しています。情報セキュリティ事故が個人データ/情報への不正アクセスを伴うと考えられる場合、 SIRPはプライバシー事故および侵害対応プロセス(PIBRP)を発動します。
OpenText政府アクセス要求ポリシーOpenTextは、公的機関のアクセス要求に対応し、必要に応じて異議を申し立てるための標準的な操作手順を定義した政府アクセスポリシーを維持しています。
データ処理に関する補遺
GDPR(または英国GDPR)が適用されるOpenTextの現行のデータ処理追加条項(以下、「DPA」)では、EEA地域については欧州委員会が、Brexit後の英国については情報委員会事務局(ICO)が、スイスについてはスイス連邦データ保護・情報委員会(FDPIC)がそれぞれ採択した最新の標準契約条項(SCC)を顧客に提供しています。これはOpenText Data Processing Addendum に掲載されています。
OpenTextの現在のSCCはこちらです:
既存のお客様で、以前に別のDPAを締結しており、このSCCの更新を反映させるためにDPAの更新を希望される場合は、OpenTextにご連絡の上、新しいSCCを反映させた新しいDPAの修正を締結してください。担当のアカウント・エグゼクティブにご連絡ください。当社のDPA修正条項のテンプレートは、こちらでご覧いただけます。
当社のオンラインDPAが契約書に組み込まれている既存のお客様については、DPAはその契約書の一部として自動的に更新されます。
