Legal Stuff
Talk legal to me
EU・米国間データ プライバシー フレームワーク|2023年の十分性認定
2023年7月10日のデータ プライバシー フレームワークの十分性認定に伴う、HubSpotのお客さまとパートナーさまへの影響について
欧州委員会は、新しいEU・米国間データ プライバシー フレームワーク(以下、「EU・米国間DPF」)の十分性認定を採択しました。EU・米国間DPFの概要とお客さまおよびパートナーさまへの影響について、以下をご確認ください。
本ページは情報提供のみを目的としており、HubSpotお客さまサービス利用規約の一部として含まれるものではありません。また、法的助言を提供するものではないため、HubSpotはお客さまに対し、自社のビジネスに適用される法的義務を把握するためにご自身で担当の弁護士に相談されることをお勧めしています。本ページに記載されている情報は変更される可能性があります。
経緯
2023年7月10日、欧州委員会はEU・米国間DPFの十分性認定を採択しました。十分性認定の発表については、こちらのページ(英語)をご覧ください。十分性が認定されたことで、追加の保護措置や契約上の合意なしに、EUから当該国への自由な個人データ流通が認められます。EU・米国間DPFに参加して順守する企業について、EUは、米国が個人データへの適切な水準の保護を実施していることを確認し、米国・EU間の安全かつ信頼あるデータ流通を許可しました。今回の十分性認定は、ジョー・バイデン大統領が2022年10月に署名した大統領令(米国の諜報機関によるEUデータへのアクセスを制限し、データ保護審査裁判所を設立するという内容)を支持するものです。大統領令については、こちらのページ(英語)をご覧ください。この大統領令と十分性認定は、個人データの保護に関する米国とEU双方の誓約を反映したものです。
HubSpotへの影響
HubSpotは、長く待ち望まれていた十分性認定の採択を嬉しく思っています。HubSpot, Inc.の認証については、データ プライバシー フレームワーク プログラムのウェブサイト(英語)でご確認いただけます。
お客さまへの影響
お客さまによるHubSpotの使用には、(i)EU・米国間DPF(英語)、または(ii)当社のデータ処理契約(以下、「DPA」)を組み込んだお客さまサービス利用規約(以下、「サービス利用規約」)で移転の仕組みとして規定される標準契約条項(以下、「SCC」。スイスや英国からの移転などが該当)が適用されます。
欧州委員会による参考資料
よくあるご質問
今回の十分性認定は国際データ移転にどのような影響を及ぼしますか?
十分性が認定されたことで、追加の保護措置や契約上の合意なしに、個人データの処理および第三国または国際組織への移転が認められます。十分性認定では、EU域内から、DPFに参加している米国企業に移転される個人データについて、米国が適切な水準の保護を確保していると結論付けています。この判断は国際データ移転を支持するものであり、HubSpotのお客さまにとって朗報です。
EU・米国間データ プライバシー フレームワークとは何ですか? プライバシーシールドとどのような関係がありますか?
前述のように、EU・米国間データ プライバシー フレームワーク(「EU・米国間DPF」)とはEUと米国間の個人データの移転に関する枠組みであり、その実施に関する大統領令にバイデン大統領が署名しました。欧州委員会は、新しいEU・米国間データ プライバシー フレームワークの原則に基づき、十分性を認定しました。その結果、EU・米国間データ プライバシー フレームワークは、以前に通称「Schrems I」および「Schrems II」事件で欧州連合司法裁判所(CJEU)によって無効とされた前身の「セーフハーバー」および「プライバシーシールド」に代わるものとなりました。
今回の十分性認定はHubSpotにどのような影響を及ぼしますか?
2023年9月1日付のサービス利用規約およびDPAの更新に反映されているように、HubSpotはEU・米国間DPF(英語)の認証を取得しています。当社の法的文書の更新の詳細については、こちらのコミュニティー投稿(英語)をご覧ください。
HubSpotは現在どのような移転の仕組みを利用していますか?
HubSpotはEU・米国間DPF(英語)の認証を取得しており、EU・米国間のデータ移転についてはEU・米国間DPFに依拠します。また、十分性が認定されていない国への越境データ移転について、HubSpotは引き続きSCCに依拠します。EU・米国間DPFを反映させるために、当社のサービス利用規約とDPAを更新しました。これらの法的文書の更新の詳細については、こちらのコミュニティー投稿(英語)をご覧ください。
顧客データは保護されますか?
はい。HubSpotは今後もお客さまのデータを保護するための信頼とセキュリティーの水準を維持します。全ての個人データは、当社のDPAの付属書類2に規定されている物理的対策、技術的対策、および組織的対策によって保護されます。詳細については、HubSpotのTrust Center(英語)をご覧ください。
新しいフレームワークを順守していることを確認するために、HubSpotの顧客やパートナーが何らかの対応を行う必要はありますか?
いいえ。現在のお客さまやパートナーさまがEU・米国間DPFに基づいて対応を行う必要はありません。HubSpotはEU・米国間DPF(英語)の認証を取得しており、EU・米国間のデータ移転についてはEU・米国間DPFに依拠します。また、十分性が認定されていない国への越境データ移転について、HubSpotは引き続きSCCに依拠します。EU・米国間DPFを反映させるために、当社のサービス利用規約とDPAを更新しました。お客さま向け文書の更新の詳細については、こちらのコミュニティー投稿(英語)をご覧ください。
HubSpotは、当社のビジネス パートナー データ処理契約をEU・米国間DPF(英語)に基づいて更新しました。ビジネス パートナー データ処理契約の更新の詳細については、こちらのコミュニティー投稿(英語)をご覧ください。
英国の顧客にはどのような影響がありますか?
2023年9月26日、HubSpotはEU・米国間DPF(英語)の英国への拡張(UK Extension)の認証を取得し、2023年10月12日に英国が独自のDPFの十分性規制を採択しました。英国・米国間のデータ移転について、HubSpotはEU・米国間DPFの英国への拡張に依拠します。また、越境データ移転の代替となる仕組みとして、引き続きSCCを組み込みます。
スイスの顧客にはどのような影響がありますか?
2023年7月17日、スイス・米国間DPF(英語)が発効し、以前にスイス・米国間プライバシーシールドの認証を取得していた企業が自動的に移行されました。英国と同様に、スイスによるDPFの十分性認定が行われるまでは、DPFに基づくスイス・米国間の移転は開始されません。