Asana はお客様のグローバルなプライバシーの権利を守り、尊重します。数多くの法域において、企業による個人情報の取り扱いに影響を及ぼす法律が制定されました。このことを踏まえ、Asana では、絶えず変化する世界のプライバシー法および規制に準拠するために実践している措置のいくつかに焦点を当て、プライバシーに対する Asana の継続的な取り組みについてご紹介します。

継続的なコンプライアンスとコミュニケーション

データ保護機関や規制機関による法律、規制、ガイダンスが進化し、多くの国々で新たなデータ保護法や規制が可決されている現状を踏まえ、私たちはこれらの発展を注意深く追跡し、自社のプログラムを評価し、必要に応じて変更や強化を行っていきます。

当社はお客様とのコミュニケーションを大切にしています。当社のデータ保護慣行についてご質問のある方は、privacy@asana.com までお問い合わせください。

EU 一般データ保護規則 (GDPR)

「GDPR」は、EU 諸国居住者の個人データの保護を定めるヨーロッパの法律で、2018年 5月 25日に施行されました。GDPR の下で、EU 内居住者の個人データの収集、保持、使用、その他処理を行う組織は、(組織の所在地に関わらず) そのデータに対して決められたプライバシーとセキュリティ対策を講じる必要があります。Asana は包括的な GDPR コンプライアンスプログラムを確立し、お客様およびベンダーと協力して GDPR コンプライアンスに取り組んでいます。GDPR に準拠するために Asana が実践している重要な措置の一部を以下に示します。

• 要件の変化に応じた、当社のパートナー、ベンダー、ユーザーに関するポリシーと契約の改定

• セキュリティ対策と手順の充実

• 当社が収集、使用、共有するデータの綿密なレビューとマッピング

• より確固たる社内のプライバシーとセキュリティ文書の作成

• 世界各国のプライバシー要件とプライバシー / セキュリティのベストプラクティス全般に関する従業員の教育

• データ主体の権利のポリシーと応答プロセスの慎重な評価と構築

以下に、Asana の GDPR コンプライアンスプログラムの重要なポイントについて詳述します。また、お客様が自社の GDPR コンプライアンスイニシアチブに Asana を活用する方法を説明します。

データ処理契約

EU 一般データ保護規則 (GDPR) に従い、「データ管理者」(データ処理の目的と手段を判断する組織) は、「データ処理者」(データを代わりに処理するその他の組織) と契約を締結する必要があります。Asana は EU の個人データを管理するお客様に、Asana が GDPR の条件に従い個人データのプロセスと保護に取り組むことを約束する、データ処理補遺条項に同意するオプションを提供します。この契約には、データ管理者の指示に従って個人データを処理するという Asana の義務が含まれます。

国境をまたぐデータ転送

EU-USデータプライバシーフレームワークプログラム、EU-US DPFのUK Extension、およびスイス-USデータプライバシーフレームワーク

Asanaは、米国商務省が定めるEU-USデータプライバシーフレームワークプログラム（EU-US DPF）、EU-US DPFのUK Extension、およびスイス-USデータプライバシーフレームワークプログラム（Swiss-US DPF）を遵守しています。Asanaは、EU-US DPFに基づき欧州連合から受領した個人データ、およびEU-US DPFのUK Extensionに基づき英国（およびジブラルタル）から受領した個人データの処理に関して、EU-USデータプライバシーフレームワークプログラムの原則（EU-US DPFの原則）を遵守していることを米国商務省に証明しています。Asanaは米国商務省に対し、スイス-US DPFに基づきスイスから受領した個人データの処理に関して、スイス-USデータプライバシーフレームワークプログラムの原則（スイス-US DPFの原則）を遵守していることを証明しています。

EU-US DPF、EU-US DPFの英国拡張版、およびスイス-US DPFに従い、Asanaは、EU-US DPFの英国拡張版、およびスイス-US DPFに基づいて受領した個人データの取り扱いに関する未解決の苦情を、米国に拠点を置く裁判外紛争解決プロバイダーであるBBB National Programsに付託することを表明します。DPF原則に関連する苦情の確認通知が当社から適時に届かない場合、または当社がDPF原則に関連する苦情に満足のいく対応をしていない場合は、以下の紛争解決プロセスに関するBBB National Programsのウェブサイト（https://bbbprograms.org/programs/all-programs/dpf-consumers/ProcessForConsumers）にアクセスし、詳細を確認するか、苦情を申し立ててださい。BBB National Programsのサービスは無料で提供されます。

なお、かかる手段によっても苦情が解決されない場合、限られた状況下において、DPF原則の付属文書Iに定める拘束力のある仲裁オプションが利用できる場合があります。Asanaは、EU-US DPF、EU-US DPFの英国拡張版、およびスイス-US DPFの規定の遵守に関して、連邦取引委員会（FTC）の調査および執行権限の対象となります。

Asanaは、EU、英国、およびスイスの用語法における「データ処理者」として行動する第三者が、当社が委託する個人データの処理をDPF原則に一致する方法で行っていることを確認するために必要となる合理的かつ適切な措置を講じます。Asanaは、EU-US DPF、EU-US DPFの英国拡張版、およびスイス-US DPFのそれぞれに従って受領したEU、英国、およびスイスの個人のデータが第三者に転送された場合に責任を負う可能性があります。

本プライバシーステートメントの条項とEU-US DPF原則および／またはスイス-US DPF原則との間に矛盾がある場合は、当該原則に従うものとします。

データプライバシーフレームワーク（DPF）プログラムの詳細、および当社の認証については、https://www.dataprivacyframework.gov/をご覧ください。

EU-US DPF、EU-US DPのUK Extension、およびスイス-US DPFが適用されない場合、Asanaは、標準契約条項などの他のデータ転送メカニズムに依存し、EEA、英国、およびスイス国外に個人データを転送します。。

データアクセス、マネジメント、ポータビリティツール

GDPR では、一定の状況下において、各データ主体に自分の個人データにアクセスし、それを削除する、訂正するなどの権利が与えられます。Asana は、データ主体から受けるリクエストへの対応を GDPR の条件に沿う形で円滑に進めるよう努めています。詳細は、当社の プライバシーポリシー をお読みください。

プライバシー文書

GDPR は、その中核として透明性、公平性、説明責任に重点を置いています。組織は、そのプライバシー対策や個人データの扱いに関する決定を記した文書を保持することを法により義務付けられています。Asana は、そうした原則に対する GDPR のコミットメントを共有し、社内の GDPR コンプライアンスプログラムの文書にデータ収集や処理活動、GDPR に従い準拠しているさまざまなポリシーやガイドラインを継続的に記載しています。Asana による個人データの収集、使用、開示に関する詳細は、Asana のプライバシーステートメントをお読みください。

データセキュリティ

GDPR では、組織は個人データのセキュリティ、機密性、整合性を保護するための、適切な技術的かつ組織的な措置を採用することが義務付けられます。Asana にとってセキュリティは常に優先事項であり、当社の ISO 27018 (クラウドでの個人データの保護)、ISO 27701 (プライバシー情報管理)、およびその他の認証は、グローバルなプライバシー基準に対する当社のコミットメントを示しています。さらに、当社はセキュリティ、可用性、機密性に関する制御の監査である SOC 2 (タイプ I) および (タイプ II) を完了し、認証を取得しました。これは、独立したサードパーティが、こうしたトラストサービス規準に関する当社のプロセスおよび慣行を認め、かつ当社に自社で導入した管理体制へのコンプライアンスを維持する能力があると確認したことを意味します。同様に、当社は、データ送信を保護するためにウェブへの接続を暗号化したり、当社プラットフォームの信頼性を支持するために自社データベースを複製したり、当社施設やオフィスネットワークへのアクセスを制御したりするなど、当社プラットフォームのセキュリティを保護するためにさまざまな対策を講じています。Asana では、お客様のチームのデータのセキュリティをさらに強化できるよう、追加のセキュリティ管理を使用する機能も提供しています。詳しくは、当社の信頼に関するページをご覧ください。

関連するグローバルプライバシー法に基づく権利の行使

権利を行使されるお客様は、グローバルデータ保護権利リクエストフォームにご記入の上、リクエストを提出してください。Asana が CCPA に基づき、個々のお客様がご自身の個人情報にアクセスする手段および削除を依頼する手段を提供している方法に関する詳細は、当社のプライバシーステートメントに記載されているカリフォルニア州在住者向けプライバシー情報を参照してください。

カリフォルニア州消費者プライバシー法 (CCPA)

CCPA (CPRA により改正) は、カリフォルニア州の消費者に対し、個人情報における特定の権利を付与する法律です。具体的には、この法律により、その規則の対象となる企業は、その消費者に各々のデータへのアクセスおよびそのデータの削除を依頼する権利、かつ各々の個人情報の特定の種類の開示からオプトアウトする権利を付与するものとします。また、同法は、企業の代理として個人情報を処理するサービスプロバイダーがその個人情報を使用する方法についても制限を課します。

CCPA の対象となる企業が Asana とのサービス契約またはサブスクリプション契約を締結する場合、Asana はその企業のサービスプロバイダーとしての役割を果たします。具体的には、Asana はそうしたお客様の個人情報を該当する契約に定められる目的でのみ処理し、お客様が削除またはアクセス要求に関する義務を果たすために協力します。

CCPA データ処理補遺条項

Asana は、CCPA (CPRAによって改正) に基づく当社の義務を具体的に言及するために、データ処理補遺条項を更新しました。お客様の組織が Asana のお客様であり、補遺を必要とする場合は、dpa@asana.com までお問い合わせください。

グラムリーチブライリー法

グラムリーチブライリー法 (GLBA) は、金融機関 (消費者に融資、金融、投資アドバイス、保険などの金融商品やサービスを提供する企業) に対して、情報共有の方法を顧客に説明し、機密データを保護することを義務付けています。また、金融機関から消費者の未公開個人情報 (NPI) へのアクセスを許可されているサービスプロバイダーも GLBA に準拠する必要があります。Asana は GLBA のプライバシールールとセーフガードルールに準拠しています。セキュリティセーフガードの実施に加えて、当社は、お客様の仕事関連のコンテンツを当社のサービスを提供する目的以外では使用しません。お客様は、機密性の高い個人データ (金融機関の口座番号や社会保障番号を含む) を Asana に保存しないでください。

家族の教育権利とプライバシー法

家族の教育権利とプライバシー法 (FERPA) は、カレッジや大学などの教育機関が学生の教育記録に関するプライバシーを保護することを義務付ける連邦法です。Asana はお客様が「家族の教育権利とプライバシー法 (FERPA)」に準拠できるよう、個人データを安全に保管するとともに、その使用目的は当社の利用規約とプライバシーステートメントに基づくサービスの提供のみに限定します。当社は、お客様のデータを開示しないことを契約に基づきお約束しますが、契約先の教育機関による指示を受けた場合、当社の利用規約によって認められる場合、また法律により要求された場合はこの限りではありません。

HIPAA

1996年の医療保険の相互運用性と説明責任に関する法律 (HIPAA, The Health Insurance Portability and Accountability Act of 1996) は、患者の同意や知識がないまま患者の健康に関する機密情報が開示されることを防ぐために、国家基準を制定することを定めた米国の連邦法です。HIPAA の対象となる企業は、Asana を使って HIPAA に準拠したワークマネジメントを行えます。

Asana の HIPAA コンプライアンスは、Asana のビジネスアソシエイト契約 (BAA) によって規定されています。HIPAA と Asana について詳しくは、HIPAA データシートを参照してください。

個人情報保護法

個人情報保護法 (Act on the Protection of Personal Information: APPI) は、個人情報の保護を規制する日本の主要なデータ保護法であり、日本国内で個人情報を取り扱う事業者に適用されます。APPI は、2003年に初めて成立して以来改正が重ねられており、最新の改正は 2022年 4月 1日に施行されます。

GDPR で「データ管理者」と「データ処理者」が区別されるのと同様に、APPI でも「事業者」、または取得した個人情報 (Asana のお客様の個人情報) の管理やそうした個人情報について意思決定を行う権限を持つ団体と、事業者 (Asana) の代わりに個人情報を取り扱うサードーパーティのサービスプロバイダーが区別されます。

また、APPI では、個人情報の日本国外への転送が制限されます。個人情報の国外への転送は、日本のデータ保護基準への準拠を保証することが契約により合意されている場合にのみ行うことができます。

Asana は、APPI およびその修正条項の要求に従い、個人情報を処理および保護することを約束します。Asana のデータ処理補遺条項には、次の 3 点について記載しています。(1) APPI に準拠する形でデータを保護することに対する当社のコミットメント、(2) お客様が APPI に基づく義務を履行するにあたり当社が提供するサポート、(3) 当社が個人情報を保護する目的で実践している技術的および組織的な措置。Asana のセキュリティとデータ保護に関する慣行について詳しくは、当社の信頼に関するページをご覧ください。

関連リソース

• Asana プライバシーステートメント

• Asana データ処理補遺条項

• Asana の信頼に関するページ

• Asana の EU-US および Swiss-US プライバシーシールド認定

• GDPR 全文

• CCPA 全文 (CPRA により改正)