情報セキュリティ基準の遵守を怠ることは、どの企業も受容することを望まないリスクです。Dropbox Sign では、遵守を怠ることの重大な影響を理解しており、当社のサービスがお客様の事業に適用される基準の多くに準拠するようプロセスの構築に努めています。
当社の監査および査定については、当社(メール:compliance-reports@dropbox.com)までお問い合わせください。または、当社の情報セキュリティに関するホワイトペーパーをご確認ください。
Dropbox Sign は次のフレームワーク、基準、および規制に従っています。
SOC レポート
Service Organization Controls(SOC)レポートは、組織内で実施される内部統制に関する報告のために American Institute of Certified Public Accountants(AICPA)により確立されたフレームワークです。Dropbox Sign は独立した第三者である Ernst & Young LLP による監査を通じて、当社のシステム、アプリケーション、人材、およびプロセスを検証しています。
SOC 3(セキュリティ、可用性、機密保持)
SOC 3 保証レポートは、セキュリティ、可用性、および機密保持に関する Trust 規準(TSP セクション 100)を対象としています。一般使用を目的とした本レポートは Dropbox Sign の SOC 2 レポートの要旨をまとめたもので、効率的なデザインや当社の管理権限に関するオペレーションについての独立した第三者監査の査定評価が含まれています。Dropbox Sign の SOC 3 レポートをご覧ください。
SOC 2(セキュリティ、可用性、機密保持)
SOC 2 レポートでは、セキュリティ、可用性、および機密保持のための Trust サービス規準(TSP セクション 100)に対応した、細やかな管理策ベースの保証をお客様に提供しています。SOC 2 レポートには、Dropbox Sign がお客様のファイルを保護するために整備しているプロセスと 100 を超える管理策の詳細が記載されています。本レポートには、当社の管理策の効果的な設計や運用に関する独立した第三者監査人の意見に加えて、当該監査人のテスト手順と各管理策の結果も記載されています。SOC 2 認定審査の結果は、compliance-reports@dropbox.com 宛てのリクエストに応じて、当社の営業チームが提供します。
ISO 27001(情報セキュリティ マネジメント)
ISO 27001 は世界中で認識されている情報セキュリティ マネジメント システム(ISMS)の最高基準です。この基準は、ISO 27002 で説明されているセキュリティのベスト プラクティスも活用しています。当社では、お客様の信頼に応えるべく、Dropbox Sign における物理的管理策、技術的管理策、および法的管理策を持続的かつ包括的に管理および改善し続けています。Dropbox の監査を実施した Schellman Compliance LLC は、ANSI-ASQ National Accreditation Board(ANAB)の ISO 27001 認定を維持しています。
Dropbox Sign、Dropbox Fax、および Dropbox Forms の ISO 27001 認証証明書をご覧ください。
ISO 27018(クラウド プライバシーとデータ保護)
ISO 27018 とは、お客様に代わり個人情報を処理する Dropbox Sign のようなクラウド サービス プロバイダに適用されるプライバシーとデータ保護の国際規格で、お客様が一般的な規制上および契約上の要件や疑問に対処するための基礎になります。当社が ISO 27018 に準拠していることは、当社の ISO 27001 認証の一環として認定されています。
Dropbox Sign、Dropbox Fax、および Dropbox Forms の ISO 27018 認証証明書をご覧ください。
1996 年の医療保険の相互運用性と説明責任に関する法律(HIPAA)
Dropbox Sign は医療保険の相互運用性と説明責任に関する法律(HIPAA)と経済的および臨床的健全性のための医療情報技術に関する法律(HITECH)への準拠に対応しています。
これらの法律は、医療情報のセキュリティおよびプライバシーの保護を構築しながら、医療業界における技術の普及を促進することを目的としています。保護対象の医療情報(PHI)を扱う組織(病院、診療所、および歯科医院など)と個人は、HIPAA や HITECH の対象になる可能性があります。また、これらの組織と取引し、これらの組織に代わって PHI に接触することになる企業も HIPAA や HITECH の対象になる可能性があります。
Dropbox Sign は、HIPAA セキュリティ ルールおよび HITECH 違反通知要件に関連するレポートを提供しています。このレポートが必要なお客様は、当社の営業チーム(メール:compliance-reports@dropbox.com)にお問い合わせください。
2000 年米国 ESIGN 法
国際商取引および国内商取引における電子署名に関する法律は、取引のための電子記録および電子署名の有効性に関する一般的な規則を定めた連邦法です。とりわけ、米国 ESIGN 法は、署名する意図の証明、消費者に対する一定の開示、および記録の保持を義務付けています。
1999 年の米国統一電子取引法(UETA)
1999 年に統一州法委員会全国会議が可決した米国統一電子取引法は、紙への手書きの署名と同一の法的な重みを電子署名に与えることにより、電子通信取引の使用を可能にしています。UETA はニューヨークを除くすべての州で採択されています。
EU/米国間データ プライバシー フレームワーク、EU/米国間データ プライバシー フレームワークの英国拡張版、およびスイス/米国間データ プライバシー フレームワーク
Dropbox Sign は欧州連合(EU)、欧州経済地域、およびスイスから米国へ転送される個人データの収集、使用、および保持に関して、米国商務省が定める EU/米国間データ プライバシー フレームワーク、EU/米国間データ プライバシー フレームワークの英国拡張版、およびスイス/米国間データ プライバシー フレームワークに準拠しています。
データ プライバシー フレームワークの詳細については、こちらをご覧ください。
eIDAS と Dropbox Sign
Dropbox Sign は eIDAS に準拠した電子署名ソリューションであり、すべての EU 加盟国において署名者にオンラインでドキュメントに署名をしてもらう必要がある企業にとって有効な選択肢です。
eIDAS 規則(910/2014)は、オンライン サービス全体に安全にアクセスし、欧州連合(EU)全体で電子取引を実行するために、市民、企業、および行政機関が電子的な識別手段とトラスト サービスを使用することを可能にする規則です。eIDAS 規則は、EU 圏内での電子契約における電子署名の使用に関する欧州連合の指令である電子署名指令 1999/93/EC に取って代わるものであり、2016 年 7 月 1 日に発効しました。
eIDAS 規則は、EU 圏内における電子署名のための法的枠組みを定めています。また、eIDAS 規則は、EU 加盟国全体でサービスに安全にアクセスし、取引をデジタルで実行するための、市民、企業(特に中小企業)および行政機関を対象とした法的枠組みを定めています。特に、eIDAS 規則は、電子署名の 3 つのレベルを定義しています。そのレベルとは、簡易電子署名(SES)、高度な電子署名(AES)、および適格電子署名(QES)です。Dropbox Sign は、SES および QES の電子署名に対応しています。
簡易電子署名
簡易電子署名(SES)は、「電子形式の他のデータに添付または論理的に関連付けられ、署名者が署名する際に使用する電子形式のデータ」と定義されています。その結果、パスワード、PIN コード、およびスキャンした署名など、多くの電子ツールが SES を構成することができます。
高度な電子署名
高度な電子署名(AES)は、以下の特徴を有する電子署名です。
- 署名者に一意に結び付けられており、署名者を識別することができる。
- 署名者が、高い確信を持って、自らの単独の管理下で使用することができる電子署名作成データを使用して作成されている。
- 署名後のデータ変更を検出できる方法でドキュメントに結び付けられている。
適格電子署名(QES)
適格電子署名(QES)は、AES のより厳格な形式であり、手書きの署名と法律上同等である唯一の電子署名の種類です。QES は適格署名作成デバイス(QSCD)によって作成された適格デジタル証明書を備えています。QSCD は、欧州連合信頼リスト(EUTL)に掲載されている適格 EU トラスト サービス プロバイダ(TSP)によって発行される必要があります。
免責事項:この情報は一般的な情報提供のみを目的としています。電子署名の合法性に関して使用される法的枠組みについて、企業の理解を促すことを意図しています。法的な助言を目的としたものではなく、専門家による法的な助言に代わるものでもありません。法的な助言や法定代理については、資格を持った弁護士に相談してください。
EU 一般データ保護規則(GDPR)と Dropbox Sign
一般データ保護規則 2016/679(GDPR)は、EU に居住するデータ主体の個人データを処理するための既存の枠組みに対する著しい変更を示した欧州連合の規則です。GDPR には、個人データを取り扱う Dropbox Sign のような企業に適用される新しい要件や厳格化した要件が盛り込まれています。Dropbox Sign は GDPR に準拠していますので、お客様は GDPR の遵守を推進するために Dropbox Sign をご利用いただけます。詳細については、GDPR と Dropbox Sign の準拠に関するこちらの記事をご覧ください。
お客様に対する当社の確約とお客様データの保護
当社は、お客様の個人データを保護することを確約しています。Dropbox Sign の利用者として、お客様の組織は、お客様による Dropbox Sign サービスの利用に関連して Dropbox Sign に提供された個人データのデータ管理者に該当します。Dropbox は、お客様が Dropbox Sign サービスを利用した際に、お客様の組織に代わってデータを処理するデータ処理者に該当します。当社のプライバシー ポリシーでは、プライバシーに関わるユーザーに対する当社の確約を示しており、お客様が当社のサービスを利用した際に当社がお客様の個人データをどのように収集および利用し、取り扱うかを説明しています。また、当社のサービス利用規約では、データの処理および越境移転に関連する確約を示しています。
トレーニングおよびプライバシーに関する意識向上
Dropbox の全従業員には、雇用時およびその後 1 年に 1 回、セキュリティとプライバシーに関するトレーニングを修了することを義務付けています。さらに、従業員には、メール、講演、プレゼンテーション、および当社のイントラネット上で利用可能なリソースによって、セキュリティとプライバシーに関する意識向上のための情報を提供しています。
データ マッピングおよびプライバシー影響評価
当社のプライバシーに関する慣行が適切であることを確認するために、Dropbox は Sign サービスのための処理活動の記録を維持しています。また、当社は、データ保護影響評価(DPIA)を実施することで、当社が個人データを収集、処理、および保存している方法を評価し、プライバシーへの潜在的な影響を判断しています。
情報セキュリティ ポリシー
Dropbox には、従業員および請負業者がお客様のデータにアクセスできる方法とタイミングを定めている情報セキュリティ ポリシーとデータ保護ポリシーがあります。これらのポリシーは国際基準およびベスト プラクティスに基づいています。また、その時点のビジネス慣行に沿った最新の状態を維持し、法令の変更に対応するために、これらのポリシーを 1 年に 1 回見直しています。さらに、必要に応じて、これらのポリシーに臨時の変更を加えることもあります。新規雇用された従業員にこれらのポリシーを提示し、変更点は当社のイントラネットを介して従業員に伝達しています。
データの移転
欧州連合、欧州経済領域、英国、およびスイスからデータを移転する際に、Dropbox は、当社のお客様や関連会社との契約、標準契約条項、および特定の国に関する欧州委員会による十分性認定(該当する場合)を含むさまざまな法的メカニズムに依拠しています。
Dropbox Sign は、欧州連合(EU)、欧州経済地域、スイスから米国へ転送される個人データの収集、使用および保持に関して、米国商務省により定められている EU/米国間データ プライバシー フレームワーク、EU/米国間データ プライバシー フレームワークの英国拡張版、およびスイス/米国間データ プライバシー フレームワークに準拠しています。
インシデント対応
当社のインシデント対応手順は、潜在的なセキュリティ イベントを特定し、解決のために適切な担当者に報告すること、セキュリティ イベントを解決するための所定の手順に人員が従うこと、また、解決手順の文書化と見直しをセキュリティ チームが定期的に行うことを確実にするために設計およびテストされています。さらに、当社のポリシーおよび手順には、セキュリティ インシデントにおいて個人データの紛失または不正使用があった場合の違反通知が盛り込まれています。
製品レビュー
当社のソフトウェア開発ライフサイクル(以下「SDLC」)は、以下の領域においてプライバシーを考慮することを含め、システム変更が GDPR の要求事項に従って実施されることを確実にします。
- 計画立案
- ドキュメントの変更
- テスト計画の策定
- 変更のテストと結果の文書化
- 品質保証(以下「QA」)の審査と承認
- 第三者による審査と証明
- 定期的な見直しと更新
ベンダー審査
Dropbox の第三者リスク評価プロセスの一部として、個人データを処理または保存するベンダーを審査し、ベンダーが適切なセキュリティ管理策およびプライバシー管理策を整備し、データを保護していることを確認しています。当社の現在の復処理者はすべて、セキュリティとプライバシーの要件を満たしていることを確認するために、毎年審査を受けています。
契約による保護
Dropbox は、当社のお客様の個人データの米国への移転に対応するために、Dropbox International Unlimited Company と Dropbox, Inc. との間において新しい処理者間 SCC を導入しています。また、当社は、この導入を反映するために、当社のデータ処理契約を更新しました(https://assets.dropbox.com/documents/en/legal/hs-data-processing-agreement.pdf)。
なお、データ処理契約は、すでに Dropbox Sign サービス利用規約の一部になっています。
認定
Dropbox Sign では、コンプライアンスの重大な影響を理解しており、当社のサービスがお客様の事業に適用される基準に準拠するようプロセスを構築することに努めています。
Dropbox Sign が準拠および遵守している規格および認証の詳細については、当社のコンプライアンス ページをご覧ください。
製品セキュリティ
暗号化
デフォルト設定では、当社のサービスを使った通信にトランスポート レイヤー セキュリティ(TLS)が使用されています。これは最新の暗号化方式および TLS 構成を使用できるように定期的に更新されています。さらに当社は AES 256-T を使用して、保管中のすべてのお客様データを暗号化しています。
データの削除とデータへのアクセス
データ アクセス リクエストの送信またはお客様ご自身の個人データの削除の依頼を希望する場合は、当社(privacy@dropbox.com)にメールでお問い合わせください。詳細については、Dropbox Sign のプライバシー ポリシーをご覧ください。
Cookie に関する法令遵守
お客様が Dropbox Sign を利用する際に、お客様は、このページのフッターにある[サポート]の下の[Cookie & CCPA 設定]をクリックすることで、Dropbox が使用することにお客様が同意する Cookie を選択することができます。