目的
本ステートメントは、OpenTextのグローバルプライバシープログラム、当社のガバナンス、および、当社が管理者として、また、当社の顧客または消費者のために処理者として行動する際に、個人情報を公正、合法的かつ安全に処理することを保証するために当社が実施する活動の概要を示すものです。
このページの目的上、当社は以下の一般データ保護規則(GDPR)用語を使用し、適用される義務を果たすための戦略を概説しています。
-
管理者:自然人または法人で、個人情報の処理に関する決定を行う公的または私的な者。
-
処理者:管理者によって任命され、管理者に代わって個人情報の処理を行う自然人または法人。
-
個人データおよび個人を特定できる情報(PII) 「個人情報」は、適用されるデータ保護法で定義されている意味を持つものとします。
データ保護およびプライバシー法の遵守
OpenTextでは、適用されるデータ保護法およびプライバシー法が、管理者または処理者としてOpenTextに適用される限りにおいて、確実に遵守することをお約束します。当社は、お客様、パートナー、ウェブサイト訪問者からお預かりした個人情報を保護することの重要性を認識しています。以下に詳述するOpenTextの慣行は、一般データ保護規則(GDPR)およびその他の適用される地域または国の法律など、関連するデータ保護法およびプライバシー法が定める要件を遵守するように設計されています。個人情報保護部門は、規制や法律の変更を追跡・監視し、個人情報保護プログラムを定期的に見直し、最新の状態に保つ責任を負います。
アプローチの概要
個人情報保護に関するOpenTextのプライバシープログラムの柱には、データ主体の権利の保護、プライバシー・バイ・デザイン、契約へのプライバシー条項の盛り込み、許可されたアクセス、紛失、誤用から個人情報を保護するための適切なセキュリティ対策の実施と維持が含まれます:
データ主体の権利OpenTextは、データ主体が個人の権利を容易に行使できるような方針と手順を導入しています。データ主体は、適用されるデータ保護法に従って、OpenTextに対して、個人情報へのアクセス、個人情報の訂正、更新、および/または削除を要求することができ、特定の状況において個人情報の使用または共有に反対し、その他のデータ主体の権利を行使することができます。お客様のプライバシーの権利を行使する方法の詳細については、
OpenText Privacy Policyをご参照ください。
Privacy By Design
OpenTextは、すべての製品やサービスにプライバシーを組み込み、製品、サービス、システムの設計と開発に、最初から安全対策を組み込んでいます。当社の開発チームおよび製品管理チームは、セキュリティ・チームおよびプライバシー部門と緊密に連携し、開発プロセスに適切な専門知識が含まれるようにしています。さらに、該当するプロジェクト、新しいシステムの取得、およびプロセスの変更に際して、プライバシー・リスク・アセスメントが実施されます。
契約上のコミットメント当社は、当社の製品およびサービスに関する契約上のコミットメントに個人情報保護義務が含まれるよう顧客と協力し、規制に準拠したデータ取扱いの枠組みを確立します。OpenTextが定めるデータ処理契約の詳細については、Customer Data Processing Agreement およびSupplier Data Processing Agreement の両方をご覧ください。
セキュリティOpenTextは、ISO/IEC 27001 情報技術セキュリティ技術や米国国立標準技術研究所(NIST)のサイバーセキュリティフレームワークなどの業界慣行モデルを採用しています。OpenTextは、ISO/IEC27001に基づく情報セキュリティマネジメントシステム(ISMS)の中に、ISO 27002情報セキュリティコントロールセットを組み込んでいます。詳細については、OpenTextのウェブサイト(
Information Governance)をご参照ください。OpenTextは、サービス組織統制(「SOC」)レポートなどの監査を定期的に実施しています。業界標準が継続的に遵守され報告されていることを保証するため、ISO 27001、ISO 27017、ISO 27018、SOC 1 Type II、SOC 2 Type IIのサイバーセキュリティ・コンプライアンス認証が(サービスに該当する場合)利用可能です。選択された製品やサービスによっては、OpenTextの製品やサービスに関する第三者監査レポートを入手できる場合があります。
データ保持
OpenTextが管理者である場合、OpenTextの記録を健全なビジネス、業務、および法的慣行に従って管理する方法に関するガイダンスを従業員に提供するため、データ保持ガイドラインを策定しました。本ガイドラインの目的は、必要なOpenTextの記録、文書、その他の資料が適切に維持され、OpenTextが不要になった場合は、適切な時期に安全に廃棄されるようにすることです(適用される法的または組織的な保存要件に従うものとします)。OpenTextがプロセッサーであり、サービスの一環として個人情報を保存している場合、適用法の定めに従い、お客様の書面による指示によりサービスが終了した時点で、OpenTextはデータを返却および/または削除します(適用法に別段の定めがある場合を除きます)。場合によっては、顧客との契約において保管スケジュールが定められ、その場合はそのスケジュールに従います。
プライバシートレーニングおよび意識向上
OpenTextでは、企業情報セキュリティ、データ保護、コンプライアンス、倫理に関するトレーニングコースを全社員に義務付けています。カリキュラムは、個人情報の適切な使用と保護に関する従業員の義務を認識させ、教育するために必要な新しい内容に定期的に見直されます。新入社員研修では、すべての新入社員がこれらのコースを修了しなければなりません。全スタッフには年1回のリフレッシュ・コースが義務付けられています。
プライバシーポリシー
OpenTextは、社内外の関連ポリシーを継続的に見直し、セキュリティ、IT、プライバシー、人事に関連するポリシーを含め、プライバシーに関する新しい要件を反映し、コンプライアンスに準拠するよう更新しています。
OpenTextプライバシーポリシーおよび
クッキーポリシーをご参照ください。
従業員向けの社内プライバシー・ポリシーでは、従業員に関してどのようなデータが収集され、そのデータがどのように使用され、会社のデータを安全に保つために従業員がどのような役割を担っているかについての概要を説明しています。
処理活動の記録
OpenTextは、OpenTextが管理者及び処理者として顧客に代わって個人情報を処理する機能分野について、処理活動の記録(ROPA)を保持します。ROPAには、OpenTextまたはその(サブ)プロセッサーが処理する個人情報の種類とカテゴリー、受領者のカテゴリー、データ移転、処理場所、保護措置等の概要が記載されています。ROPAが完全かつ正確に保管されるよう、プロセスが整備されています。
プライバシー影響評価
OpenTextは、顧客、従業員、サプライヤー、その他の利害関係者の個人情報の保護に全力で取り組んでいます。当社は、個人情報のプライバシーを非常に重要視しており、当社がどのようなデータを収集・処理し、そのデータがどのように保護されているかを確実に把握するために、さまざまな方法および管理を導入しています。このコミットメントの一環として、OpenTextは、必要に応じて、個人情報の使用を伴う事業活動やプロジェクトが、データ保護影響評価(「プライバシー影響評価」とも呼ばれます)の対象となることを保証します。このアセスメントの目的は、以下のことを確認することです:
同意管理
OpenTextは、B2Bマーケティングに明示的な同意が必要な国において、Webフォーム、イベント、サードパーティシンジケーションなど、あらゆるマーケティング施策の同意収集を含む同意管理プロセスを導入しています。OpenTextは、OpenTextからのすべてのマーケティング・コミュニケーションにおいて、オプトアウト・オプションを提供しています。また、企業が個人情報を収集する際には、当社のプライバシーポリシーへのリンクが表示されます。
国境を越えたデータ転送
OpenTextはグローバル企業であり、カナダ、米国、インド、フィリピンなど、EU域外の国でも一部の処理活動を行っています。EEA 加盟国、英国、スイス以外の国で個人情報が処理される場合、OpenTextは、(1) 輸入国の妥当性決定、または (2) 輸出国と輸入国間の EU モデル条項のいずれかの保護措置が実施されていることを確認しています。データの国際的な移転に関するOpenTextの運用方法について詳しくは、OpenTextのポジションペーパーをご覧ください。OpenText International Data Transfersのポジションペーパーは、ご要望に応じて入手可能です。
ベンダー管理
OpenTextは、OpenTextの製品やサービスを提供するために必要な場合、OpenTextに代わって業務を行うベンダーと個人情報を共有することがあります。これには、個人情報を共有する場合のセキュリティ/プライバシーリスク評価の実施、契約における適切なデータ保護条項の設定が含まれます。一般データ保護規則((EU) 2016/679)(GDPR)が定める適切なレベルのデータ保護が提供されていないと考えられる国でベンダーが事業を行っている場合、OpenTextは、適用されるデータ保護規則に従ってデータ転送が行われるよう、ベンダーとともに適切な対策を実施します。
ガバナンスと責任
OpenTextのデータプライバシー戦略は、グローバルデータプライバシー担当副社長の直属のグローバルプライバシー専門チームが主導しています。チームにはデータ保護オフィサー(DPO)が含まれます。DPO事務局の連絡先は
DPO@opentext.comです。
プライバシー機能
個人情報保護チームメンバーのデータ保護、プライバシー、コンプライアンス分野での経験は平均10年以上であり、チームメンバーの何人かはCIPP、CIPM、CISA、CISM、CISSPなどの専門的な認定を受けています。
この組織は、社内外の専門家のネットワークによって支えられています。
データ・プライバシー当局への登録必要に応じて
、当社は各国のデータ保護およびプライバシー規制当局に登録されており、登録はOpenTextのプライバシー機能によって確認・維持されています。
プライバシーステートメントの変更
OpenTextは、当社の慣行、技術、プライバシーに関する公約、およびその他の関連する考慮事項の変更を取り入れるために、事前の承諾なしに、本プライバシー・ステートメントを随時更新する権利を留保します。本プライバシー・ステートメントを定期的に確認し、OpenTextの取り組みについて常に最新の情報を入手されることをお勧めします。
本プライバシーステートメントの最終見直しは2023年9月に行われました。