HelloSign と GDPR コンプライアンス
HelloSign は、お客様データのセキュリティとプライバシーを最優先します。
HelloSign と GDPR コンプライアンス
お客様とお客様データの保護に対する HelloSign のお約束
2018 年 5 月 25 日付で、すべての EU 加盟国の間で「一般データ保護規則」すなわち GDPR が施行されました。このコンプライアンス規則は、個人データの使用法および管理法に関する法規を統一し、すべての人にとって標準化された保護を提供するものです。GDPR に基づいて、消費者は自身の個人データに対して、より強化されたプライバシー保護を享受することになります。
研修とプライバシー意識
HelloSign の従業員は全員、オンサイトのコンプライアンス チームの監督下で、GDPR 研修を受けています。研修会は、すべての新入社員の入社時とその後毎年実施されます。
データ マッピングとプライバシー影響評価
HelloSign のプライバシー慣行が適切であることを確認するため、HelloSign は初期段階のデータ マッピング演習を実施しました。これには、HelloSign の個人情報の収集方法、処理方法および保管方法を評価し、プライバシーへの影響の可能性を判断するプライバシー影響評価(PIA)が含まれます。
情報セキュリティ ポリシー
HelloSign は、従業員および請負業者にお客様データへのアクセスを許可する状況やタイミングを管理する情報セキュリティおよびデータ保護のポリシーを定めています。
データの転送
HelloSign は、欧州連合(EU)と米国間のプライバシー シールド フレームワークおよびスイスと米国間のプライバシー シールド フレームワークに参加し、その認定を受けています。HelloSign は、それぞれのプライバシー シールド フレームワークに基づいて、自身が受け取った個人データの処理に責任を負い、その後、代理人として自身のために行為する第三者に対してデータを転送します。HelloSign は、EU およびスイスからのすべての個人データの転送について、転送責任規定を含め、プライバシー シールド フレームワークに準拠します。
インシデント対応
HelloSign のインシデント対応手順は、潜在的なセキュリティ イベントの特定と適切な担当者への報告による解決、セキュリティ イベントの解決を目的として決定されたプロトコルの遵守、セキュリティ チームによる定期的な文書化と検討が確実に実行されるよう、設計および検査されています。さらに、HelloSign のポリシーおよび手順には、セキュリティ インシデントの中に個人識別情報(PII)の消失または不正使用があった場合の違反通知が盛り込まれています。
製品の見直し
HelloSign のソフトウェア開発ライフサイクル(以下「SDLC」)は、システム変更が、以下の領域におけるプライバシーに関する考慮事項を含め、GDPR に従って行われることを保証します。
- 計画立案
- 変更の記録
- テスト計画の策定
- 変更のテストと結果の記録
- 品質保証(以下「QA」)の審査と承認
- 第三者の審査と証明
- 定期的な審査と更新
ベンダーの見直し
HelloSign の現在の代理処理者はすべて、セキュリティとプライバシーの要件を満たしていることを確認するために、毎年審査を受けています。
契約上の保護
HelloSign は、お客様が必要とする場合に備えて、GDPR に準拠するデータ処理合意書を作成しています。データ処理合意書についてのお問い合わせは、support@hellosign.com までお気軽にご連絡ください。
認定
HelloSign では、コンプライアンスの重大な影響を理解しており、HelloSign のサービスがお客様の事業に適用される基準に準拠するようプロセスを構築しています。
HelloSign は、以下に準拠しています。
- SOC 2 Type II
- ISO 27001 および ISO 27018
- HelloSign 製品を使用した HIPAA 実装のサポート
- 2000 年米国 ESIGN 法
- 1999 年統一電子取引法(EUTA)
- 以前の指令に代わって 2016 年に施行された EU の新しい eIDAS 規則(EU 規則 910/2014)
- 欧州指令 EC/1999/93
- プライバシー シールド
- GDPR(一般データ保護規則)
製品セキュリティ
暗号化
デフォルト設定では、当社のサービスを使った通信にトランスポート レイヤー セキュリティ(TLS)が使用されており、これは、最新の暗号化方式および TLS 構成を使用できるように定期的に更新されます。さらに HelloSign は AES 256-T を使用して、保管中のすべてのお客様データを暗号化しています。
データの削除とアクセス
GDPR により、消費者は企業に保管されている個人情報へのアクセスおよび削除をリクエストする法的な権利を有しています。
HelloSign は、処理が完了し、法的拘束力を持つ保持要件が満たされ、対象となる成果物に関連するすべての当事者が、削除に合意したときにいつでも、お客様が HelloSign の製品からデータを削除できるようにします。
データ削除イベントを開始するには、support@hellosign.com までお気軽にご連絡ください。
Cookie のコンプライアンス
HelloSign では主に、各訪問後に自動的に削除される「セッション Cookie」を使用しています。これらの Cookie によって、HelloSign はユーザーを認識し、同じ情報に関するリクエストの重複を防ぐことができます。
ただし、Cookie はデバイスに固有の属性となるため、個人を特定することが可能になります。そのため、HelloSign ではすべての Cookie を点検して、必要な同意が集められ、適宜 PII として扱われることを確認しました。