Asana はグローバルなプライバシー基準へのコミットメントを示すために、ISO 27018:2019 (クラウドでの個人データの保護) および ISO 27701: 2019 (プライバシー情報管理) の認証を取得しています。
また、お客様との契約を最新の状態に保つよう努めており、当社のデータ処理補遺条項には、米国と EU 間、米国と英国間、米国とスイス間の最新のデータプライバシーフレームワーク、ならびに EU および英国の標準契約条項が組み込まれています。これにより、当社の契約上のプライバシー義務を明確にし、グローバルなデータ転送を促進しています。
EU / 英国
Asana は、包括的な GDPR および英国 GDPR のコンプライアンスプログラムを確立しており、お客様やベンダーと協力してコンプライアンスを推進することに取り組んでいます。GDPR および英国 GDP に準拠するために Asana が実践している重要な措置の一部を以下に示します。
法改正への対応を目的とした、パートナー、ベンダー、ユーザーとの契約やポリシーの見直し
セキュリティ対策と手順の強化
当社が収集、使用、共有するデータの綿密なレビューとマッピング
社内のプライバシーおよびセキュリティに関する強固な文書
グローバルポリシー要件とプライバシー / セキュリティのベストプラクティスに関する従業員の教育
データ主体の権利のポリシーと応答プロセスの慎重な構築
APAC
個人情報保護法 (Act on the Protection of Personal Information: APPI) は、個人情報の保護を規制する日本の主要なデータ保護法であり、日本国内で個人情報を取り扱う事業者に適用されます。日本国内で個人情報を取り扱う事業者に適用されます。APPI は、2003年に初めて成立して以来改正が重ねられており、最新の改正は 2022年 4月 1日に施行されました。
GDPR で「データ管理者」と「データ処理者」が区別されるのと同様に、APPI でも「事業者」、または取得した個人情報 (Asana のお客様の個人情報) の管理やそうした個人情報について意思決定を行う権限を持つ団体と、事業者 (Asana) の代わりに個人情報を取り扱うサードパーティのサービスプロバイダーが区別されます。
また、APPI では、個人情報の日本国外への転送が制限されます。個人情報の国外への転送は、日本のデータ保護基準への準拠を保証することが契約により合意されている場合にのみ行うことができます。
Asana は、APPI およびその修正条項の要求に従い、個人情報を処理および保護することをお約束します。Asana データ処理補遺条項では、以下の点が定義されています。
Asana のセキュリティとデータ保護に関する慣行について詳しくは、当社のトラストセンターをご覧ください。
米国 (連邦および州)
カリフォルニア州
CCPA (CPRA により改正) は、カリフォルニア州の消費者に対し、個人情報における特定の権利を付与する法律です。具体的には、この法律により、その規則の対象となる企業は、その消費者に各々のデータへのアクセスおよびそのデータの削除を依頼する権利、かつ各々の個人情報の特定の種類の開示からオプトアウトする権利を付与するものとします。また、同法は、企業の代理として個人情報を処理するサービスプロバイダーがその個人情報を使用する方法についても制限を課します。
CCPA の対象となる企業が Asana とのサービス契約またはサブスクリプション契約を締結する場合、Asana はその企業のサービスプロバイダーとしての役割を果たします。具体的には、Asana はそうしたお客様の個人情報を該当する契約に定められる目的でのみ処理し、お客様が削除やアクセスのリクエストに関する義務を果たせるよう協力します。
Asana データ処理補遺条項では、CCPA に基づく当社の義務が具体的に定義されています。お客様の組織が Asana のお客様であり、補遺を必要とする場合は、dpa@asana.com までお問い合わせください。
HIPAA
1996年の医療保険の相互運用性と説明責任に関する法律 (HIPAA, The Health Insurance Portability and Accountability Act of 1996) は、患者の同意や知識がないまま患者の健康に関する機密情報が開示されることを防ぐために、国家基準を制定することを定めた米国の連邦法です。HIPAA の対象となる企業は、Asana を使って HIPAA に準拠したワークマネジメントを行えます。
Asana の HIPAA コンプライアンスは、Asana のビジネスアソシエイト契約 (BAA) によって規定されています。HIPAA と Asana について詳しくは、HIPAA データシートを参照してください。
グラム・リーチ・ブライリー法
グラム・リーチ・ブライリー法 (GLBA) は、金融機関 (消費者に融資、金融、投資アドバイス、保険などの金融商品やサービスを提供する企業) に対して、情報共有の方法を顧客に説明し、機密データを保護することを義務付けています。また、金融機関から消費者の未公開個人情報 (NPI) へのアクセスを許可されているサービスプロバイダーも GLBA に準拠する必要があります。Asana は GLBA に対応しており、GLBA のプライバシールールおよびセーフガードルールに従って運用しています。セキュリティセーフガードの実施に加えて、当社は、お客様の仕事関連のコンテンツを当社のサービスを提供する目的以外では使用しません。お客様は、機密性の高い個人データ (金融機関の口座番号や社会保障番号を含む) を Asana に保存しないでください。
家族の教育権利とプライバシー法
家族の教育権利とプライバシー法 (FERPA) は、カレッジや大学などの教育機関が学生の教育記録に関するプライバシーを保護することを義務付ける連邦法です。Asana はお客様が「家族の教育権利とプライバシー法 (FERPA)」に準拠できるよう、個人データを安全に保管するとともに、その使用目的は当社の利用規約とプライバシーステートメントに基づくサービスの提供のみに限定します。当社は、お客様のデータを開示しないことを契約に基づきお約束しますが、契約先の教育機関による指示を受けた場合、当社の利用規約によって認められる場合、また法律により要求された場合はこの限りではありません。
データ保護機関や規制機関による法律、規制、ガイダンスが進化し、多くの国々で新たなデータ保護法や規制が可決されている現状を踏まえ、私たちはこれらの発展を注意深く追跡し、自社のプログラムを評価し、必要に応じて変更や強化を行っていきます。