Liferayトラストセンター/データ保護

ライフレイは、見込み顧客やお客様にとって、ビジネスニーズに対して安全でコンプライアンスに準拠したデジタルソリューションを見つけることがいかに重要であるかを理解しています。また、単なるベンダーではなく、お客様にとって信頼できるパートナーであることをお約束します。
 
当社は、お客様からお預かりした貴重な情報を安全に保護し、適用されるデータ保護法に従って取り扱うことに注力しています。FOSSコミュニティの一員として、IPとFOSSライセンスに関してベストプラクティスを適用します。また、誠実に事業を行い、最終的にはお客様や地域社会との強固な関係を築くことを信条としています。
 
本トラストセンターでは、各お客様のデューデリジェンスプロセスを支援し、セキュリティ及びコンプライアンスに対する当社の取り組みを実証するために設計された包括的なリソースコレクションを提供します

データ保護

当社は、データ保護コンプライアンスの複雑性を認識しています。そのため、当社では組織としてのデータ保護法の遵守と、当社製品に組み込まれている機能とを区別しています。当社の製品は、お客様が自社の業務内でコンプライアンスを遵守するための取り組みをサポートするよう設計されています。 
クラウドベースのサービスの一環として個人データを取り扱う場合、当社は適用されるデータ保護法に従ってデータを処理することを約束します。なお、本誓約は契約書に明記されています。  

  • 強固なセキュリティ対策:当社は、個人データのセキュリティを確保するために、強固な技術的及び組織的措置を採用し、維持することに尽力します。
  • 目的に基づいたデータ処理:当社は、お客様の指示に基づいて、お客様にサービスを提供するために必要な範囲でのみ、個人データを処理します。
  • 審査済みの復処理者:当社の契約は、同等のデータ保護基準及び厳格なベンダー・デューディリジェンスを条件とする復処理者との契約のみを認めており、該当する場合は、関連するデータ転送メカニズムを保証します。
  • 個人データ等のエクスポートと削除:当社は、サブスクリプション期間の終了時に個人データ等のエクスポート又は削除を容易にし、お客様がデータ主体の要求に対応できるようサポートします。
  • 監査協力:コンプライアンスに準拠したデータ処理方法を確認するための監査において、お客様と協力することをお約束します。
  • データ侵害時のコミュニケーション:データ侵害が発生した場合、当社は影響を受ける顧客とのタイムリーかつ包括的なコミュニケーションを確保し、潜在的な影響を最小限に抑えます。
契約書に記載されている当社のコミットメントは、データ保護に対する当社の積極的な姿勢及びお客様のデータ保護コンプライアンスへの取り組みをサポートする当社の献身的な姿勢を反映しています。
データ保護:Liferay SaaS
データ保護:Liferay PaaS
データ保護:Liferay Self Hosted
データ保護:Liferay Analytics Cloud
プライバシー規約
ライフレイの復処理者
技術的及び組織的措置
プライバシー通知
ホワイトペーパー:データ保護

データ保護:Liferay SaaS

一般的な質問

LiferayはGDPR/LGPDに準拠していますか。
回答の範囲が広いので、適切に答えるのが難しい質問ではありますが、当社は、組織として適用されるデータ保護法に準拠していることと、お客様の組織のコンプライアンスへの取り組みをサポートする利用可能な製品機能とを区別しています。当社がクラウドベースのサービスを提供する際、お客様に代わって個人データを処理する範囲において、当社はその処理が契約上の義務に従って行われることを保証するものとします。

  • 当社は、適切な技術的及び組織的措置を実施します。
  • 当社は、お客様の指示に従ってのみ個人データを処理します。
  • 当社は、同レベルの保護を提供する復処理者のみを関与させることを許可されており、そのような復処理者へのすべてのデータ移転が適用されるデータ移転要件に準拠していることを保証する義務を負います。
  • 当社は、サブスクリプションサービスの満了時にデータのエクスポート又は削除を可能にすることを約束し、受信したデータ主体の要求に従うためのお客様の取り組みを支援します。
  • 当社は、当社による個人データの処理が準拠したものであることを証明するために、適用されるデータ保護法に基づき要求される監査について、お客様と協力する義務を負います。
  • 当社は、いかなるデータ侵害についても不当な遅延なくお客様に通知することを約束します。

ホスティング

情報/システムはどこでホスティングされますか。
Liferay SaaSは、ホスティングプロバイダーとしてGoogle Cloud EMEA Ltd.(アイルランド)のGoogle Cloud Platform(GCP)を使用します。また、お客様データのバックアップにAmazon Web Services EMEA SARL(AWS)を使用します。

データセンターは欧州にありますか。
Liferay SaaSについては、Google Cloud EMEA Ltd. (アイルランド)がホスティングプロバイダーです。データのホスティング場所は、顧客が選択した地域によって異なります。利用可能な地域はこちらで確認できます。
お客様データのバックアップには、Amazon Web Services EMEA SARL(AWS)を使用します。AWS KMSを利用してBYOK暗号化を適用し、AWSとその復処理者による個人データへのアクセスを防ぎます。キーは、お客様が本番環境用に選択したGoogle Cloud Platform(GCP)リージョンに対応するAWSリージョンのHSMに保存されます。
 
ライフレイとDPAを締結する必要がありますか。
付属文書6の第9条に基づき、お客様が欧州経済領域(EEA)、スイス、英国、中南米、メキシコに設立されている場合、及び該当するオーダーフォームにおいて当事者間で別段の合意がない限り、オーダーフォーム効力発生日時点でwww.liferay.com/legalにて入手可能なデータの処理に関する添付文書(DPA)の条件が、当社によるお客様の個人データの処理に適用されます。付属文書9及びDPAは、https://www.liferay.com/legalにてご覧いただけます。
他の地域のお客様がDPAの締結を希望される場合、当社はご要望に応じてこれを可能にします。

個人データの国境を越えた移転

個人データの国境を越えた移転はありますか。また、データはどの国でホスティングされますか。
当社は外部のプロバイダー及び当社の関連会社を復処理者として利用します。一部の復処理者はEEA域外に所在するため、このような復処理者を利用すると、復処理者がメンテナンスを実施したりお客様にサポートを提供したりする際に必要な場合など、特定の理由でEU/EEA域内に保存されているお客様データにEU/EEA域外からリモートアクセスする必要がある場合があります。かかる移転のために、当社ではGDPRで要求される適切な保護措置を実施します。この件に関する詳細、及び国境を越えたデータ移転の場合に当社が採用するコンプライアンス措置、データの移転先国については、https://www.liferay.com/legal/cloud-services-dataをご参照ください。

サービスが、移転の対象となる適切な保護措置を満たしているかどうかを提示してください(監督機関によって採用され、欧州委員会によって承認された標準データ保護条項、拘束的企業準則、承認された認証メカニズム、承認された行動規範など)。
データ保護法で要求される場合、当社は適切な保護措置を実施します。適用される転送メカニズムは、https://www.liferay.com/legal/cloud-services-dataで確認できます。


第三者による論理的なアクセスに加えて、データの物理的な移転があるかどうかを提示してください。
お客様データのバックアップには、Amazon Web Services EMEA SARL(AWS)を使用します。AWS KMSを利用してBYOK暗号化を適用し、AWSとその復処理者による個人データへのアクセスを防ぎます。キーは、お客様が本番環境用に選択したGoogle Cloud Platform(GCP)リージョンに対応するAWSリージョンのHSMに保存されます。

お客様は、第三国からデータにアクセスする可能性のある一部の復処理者の使用を許可します。

EMEA、ブラジル、日本のお客様の場合、EEA及びEU十分性認定域外への移転はブラジルへの移転に限定されます。これに関して、弊社はブラジルの信頼できる法律事務所から法的意見を取得し、EUデータ保護法によって個人データに与えられる保護レベルを妨げる可能性のある法律はブラジルの法律に存在しないことを確認しました。 

お客様が当社製品であるLiferay SaaS、Liferay PaaS(デフォルトでは無効)又はAnalytics Cloudのアナリティクス機能をスタンドアロン製品として使用することを決定する範囲において、Liferay, Inc(米国)がデータにアクセスできます。Liferay, Inc. (US) は、EU-米国間及びスイス-US間のデータプライバシーフレームワークの認定を受けているため、EEAからLiferay, Inc.への個人データの移転は、 2023年7月11日付の欧州委員会による十分性認定の対象となります。さらに、デフォルトでは、Analytics Cloudはシステムが生成した識別子に関連するイベントデータのみを収集します。それ以外の場合、お客様はそのLiferay DXP/Liferay SaaS及びLiferay PaaSインスタンスに保存されている他の識別子や情報の同期を完全に管理することになりますが、お客様側でのリスク評価が必要になります。Liferay, Inc.は、これまで同社のサービスに保存されているお客様のデータに関するいかなる要求も受けたことはなく、またそれに応じたこともありません。
 

政府機関によるデータ要求ポリシー

政府機関によるアクセス処理に関して、ライフレイはどのような対策と手順を講じていますか。
お客様が当社製品であるLiferay SaaS、Liferay SaaS(デフォルトでは無効)又はAnalytics Cloud(AC)のアナリティクス機能をスタンドアロン製品として使用することを決定する限度において、Liferay, Inc(米国)がデータにアクセスできます。Liferay, Inc.は、大統領令(EO)12.333号に基づき当局に自発的に協力しない間は、FISA702条の適用を受ける可能性があります。しかし、EO14.086が発効し、EEA諸国が「適格国」に指定されて以来、欧州委員会は(2023年7月11日付の米国に対する十分性認定に従って)、米国の監視法及び慣行には、欧州のデータ保護法の下でデータ主体に与えられる保護を妨げるようなものはないと考えています。Liferay, Inc.は、EU-米国間及びEU-スイス間のデータプライバシーフレームワークの認定を受けています。さらに、デフォルトでは、ACはシステムが生成した識別子に関連するイベントデータのみを収集します。それ以外の場合、お客様はそのLiferay SaaSインスタンスに保存されている他の識別子や情報の同期を完全に管理することになりますが、お客様側でのリスク評価が必要になります。 Liferay, Inc.は、これまで同社のサービスに保存されているお客様のデータに関するいかなる要求も受けたことはなく、またそれに応じたこともありません。
 当社はグループ会社として、このような要求を処理するためのプロセスを導入しています。
受領したデータ要求はすべて、プライバシーオフィスに移転する必要があります。プライバシーオフィスはデータ要求を確認し、必要に応じて法務部門及び/又は管轄の外部アドバイザー、及び/又はデータ保護監督者(DPO)に相談し、次の事項を確認します:(i) 適用法及び規制に基づき、データ要求の有効性及び執行可能性、(ii) データ要求がいかなる法律の下でも違法であると考える合理的な根拠があるかどうか、(iii) 管理者、データ主体又は管轄当局に通知又は協議するライフレイの潜在的な法的又は契約上の義務、及びかかる通知の法的許容性。

受信者である当社は、データ要求に応じる際、データ要求の合理的な解釈とプライバシーオフィスによる法的評価に基づき、許容される最小限の情報を提供するものとします。 プライバシーオフィスは、各データ要求について、その法的評価を文書化し、データ要求の受領から最低5年間、その文書を保存するものとします。

復処理者

個人データ処理のための復処理者はいますか。
はい、当社は、https://www.liferay.com/legal/cloud-services-dataのリストに記載されている復処理者を利用しています。本リストでは、法人情報及び連絡先の詳細、所在地、処理の機能及び詳細、該当する場合はデータ転送メカニズム(GDPR)を確認できます。
DPAに従い、当社は新規の復処理者の選任をお客様に事前に通知するものとします。その通知を受領してから10暦日以内に、お客様が(合理的な根拠に基づいて)提案された選任に反対する旨を書面で当社に通知した場合、Liferay又はLiferay関連会社は、お客様から提起された異議に対処するための合理的な措置が講じられるまで、提案された復処理者を選任(又はお客様の個人データを開示)しないものとします。当社がお客様からの通知を受領してから30日以内に商業上合理的な方法で異議に対処でき当社場合、お客様は、(i) 当社が提案する本サービスの使用を決定するか、又は (ii) 当社に書面で通知することにより、提案された復処理者の使用を必要とする本サービスに関連する範囲で本契約を直ちに終了し、当該終了の発効日時点で未使用の本サービスに対する前払い料金の日割り計算による払い戻しを受けることができます。

第三者によるアクセス
第三者がお客様データにアクセスできますか。できる場合、その方法はどのようなものですか。
できません。当社が採用する技術的及び組織的措置(TOM) (https://www.liferay.com/legal/cloud-services-data)は、お客様から提出された個人データの機密性、完全性、可用性を確保するために実施されます。個人データの処理に使用される主なシステムはGoogle Cloud Platformであり、従業員のワークステーション、BYOD、データキャリアなど、その他の電子デバイスに個人データを保存することは禁止されています。また、お客様データのバックアップにAmazon Web Services EMEA SARL(AWS)を使用します。AWS KMSを利用してBYOK暗号化を適用し、AWSとその復処理者による個人データへのアクセスを防ぎます。 キーは、お客様が本番環境用に選択したGoogle Cloud Platform(GCP)リージョンに対応するAWSリージョンのHSMに保存されます。復処理者による個人データの処理に先立ち、復処理者が提供する各サービス又は各システムは、ベンダー評価、DPA、技術的かつ組織的な対策(TOM)文書、及び各システムの保護対策や適用データ保護法の遵守について記載した追加の補足文書に基づき、見直され承認されるものとします。

セキュリティ対策
ライフレイのTOMはGDPRの観点から「適切」ですか。
当社は、Liferay DXP Cloudサービスに対して取得したISO 27001、SOC 2、HIPAA、CSA STAR認証によって証明されているように、業界標準に沿ったTOMを講じています。詳細はhttps://www.liferay.com/legal/cloud-services-dataをご確認ください。

セキュリティ対策(認証)
GDPR、プライバシー、セキュリティ、ディザスタリカバリに関する認証はありますか。 ISO27001などのセキュリティ認証やSOC2などの監査報告書を提供できますか。 可能であれば、有効なドキュメントのコピーをお送りください。
当社の認証プログラムには、ISO 27001/ 27017/ 27018、SOC 2 Type 2、HIPAA、CSA STAR Level 2が含まれています。当社の情報セキュリティプログラムの詳細については、https://www.liferay.com/resources/product-info/Liferay+Liferay DXP+Cloud+Data+Security+and+Protectionのホワイトペーパーをご覧ください。ご要望に応じて証明書の発行も可能です。

セキュリティ対策(暗号化)
ライフレイはお客様のデータを保護するために暗号化を使用していますか。
GDPRでは、暗号化は一般的な必須要件ではありません。ただし、特定の状況下では暗号化技術の使用が「適切」である場合もあります。例えば、移転中のデータはすべて、最低限、AES-256の暗号化を用いた強制SSL接続を使用します。Liferay SaaSに保存されたデータは、保存時に暗号化されます。

個人データ等の削除
Liferayのサービスからすべてのお客様データが回復不能に削除されるのはいつですか。
お客様は、お客様のサブスクリプションの満了又は終了に際し、14日以内に、お客様データの検索を目的としてLiferayサービスへのアクセスを要求することができます。要求に応じて、当社はかかる要求の受領後14日間、これらの目的のためのサービスへのアクセスをお客様に提供します。また、お客様のサブスクリプションの満了又は終了から30日後に、お客様のデータをシステムから回復不能に削除します。
 
データを完全に削除するプロセスについて教えてください。
Liferayには、企業がGDPR規制に対応し、プラットフォームがユーザーデータを管理する方法を制御し続けるためのデータ保護ツールが含まれています。詳細については、https://www.liferay.co.jp/capabilities/securityをご覧ください。

秘密保持

ライフレイは、個人データを処理する権限を持つ担当者が秘密保持を徹底していることを保証していますか。
はい、当社のポリシーでは、従業員が職務を遂行する際に秘密保持を負うことを保証しています。すべての従業員は、該当する場合、雇用契約又は請負契約に含まれる秘密保持の対象となります。


ライフレイは個人データを第三者に開示しますか。
いいえ、当社の従業員、請負業者及び承認された復処理者に対してのみ、必要に応じて開示されます。

身元調査
ライフレイは、従業員の身元調査を行っていますか。
当社では、現地の適用法で認められている範囲で、クラウドサービスの履行に関わる従業員のセキュリティチェック及び身元調査を行います。

トレーニング
ライフレイは、従業員にプライバシーに関するトレーニングを提供していますか。従業員の修了を証明するものはありますか。
はい。従業員は、個人データの処理及び情報セキュリ ティに関するオンデマンドのプライバシートレーニングを毎年受講することが義務付けられています。トレーニング修了については記録され、証明も可能となります。

PIA及びDPIA

ライフレイでは、サービスのプライバシー影響評価(PIA)やデータ保護影響評価(DPIA)を実施していますか。
クラウドサービスの目的上、当社は処理者として、管理者であるお客様に代わってデータを処理します。従って、適用されるデータ保護法又はお客様の社内規定に基づいて、PIA/DPIAを実施する必要がある場合は、管理者であるお客様がその責任を負うものとします。ただし、当社は必要に応じて、文書化など合理的にお客様をサポートします。


お客様は、Liferay製品についてDPIAを実施する必要がありますか。
お客様は、Liferayを使用する際にDPIAを実施する必要はありません。 実際には、顧客によるLiferayサービスの使用状況によって異なります。
GDPR第35条に従い、データ保護影響評価は、以下の状況を含め、処理が自然人の権利及び自由に対して高いリスクをもたらす可能性がある場合にのみ必要とされます。

  1. お客様によるサービスの利用が、データ主体に関連する個人的側面の体系的かつ広範な評価につながり、データ主体に重大な影響を及ぼす意思決定の根拠として使用される場合。
  2. お客様が本サービスを利用することにより、特定の機密情報(健康、一般情報又は生体情報、民族的出身、政治的意見、宗教的又は哲学的信条に関するデータなど)が大量に処理される場合。
  3. お客様が当社のサービスを利用する際に、公共エリアに対する大規模な組織的監視を伴う可能性がある場合。
  4. 当社は、多くの異なるユースケースで使用できる汎用性の高いソリューションをお客様に提供しているため、当社がお客様に代わりそのような評価を行う立場にないことは明らかです。
ただし、DPIAが必要かどうかの判断とDPIAの実施については、管理者であるお客様が主に責任を負いますが、当社はお客様に適切な支援(提供した機能の文書化)を提供します。

データ侵害
ライフレイには、データ侵害に対処するための正式なプロセスが用意されていますか。
はい、データインシデント対応ポリシーを制定しており、データ侵害が発生した場合には遅滞なく顧客に通知するという契約上の義務を負っています。この通知は、お客様が当社に緊急連絡先を提供していない限り、お客様のアカウント(管理者)に関連付けられた電子メールアドレスに送信されます。

データ主体の権利
ライフレイには、データ侵害に対処するための正式なプロセスが用意されていますか。
はい、当社は管理者としてDSRを受け取った場合、データ主体の要請(DSR)ポリシーを設けています。ただし、当社が処理者として機能する場合、Liferayのクラウド製品は、お客様がDSRに準拠するための機能を提供します。Liferayのクラウド製品がコンプライアンスを実現できない場合、当社はご要望に応じてお客様をサポートします。したがって、お客様は管理者として、DSRの取り扱いに責任を負います。DSRは通常、お客様を対象としていますが、当社は契約文書に従い、DSRを受領した場合、お客様が今後の対応方法を決定できるよう、不当な遅延なくお客様に通知する義務を負います。

内部統制
ライフレイには、プライバシー管理を担当する専任のロールやチームはありますか。
はい、当社にはグローバルプライバシーオフィス(dataprotection@liferay.com)があります。
 
ライフレイはデータ保護責任者(DPO)を任命し、データ保護当局に通知していますか。
はい、当社は適用法に従って義務付けられている地域でDPOを任命しています。
ご参考までに、お客様の所在地に応じて、関連する連絡先は下記のようになります。
ブラジル:Grupo Adaptalia Brasil (dpo-br@liferay.com)
スペイン:Grupo Adaptalia Spain (dpo-es@liferay.com)
アイルランド:ByteLaw (dpo-ie@liferay.com)
フランス:ByteLaw (dpo-fr@liferay.com)
ハンガリー:ByteLaw (dpo-hu@liferay.com)
ドイツ:ByteLaw (dpo-de@liferay.com)
 
正式なデータ保護プログラムはありますか。
当社では、適用されるデータ保護法に準拠して個人データを処理し、Liferayの革新的なテクノロジーがお客様のコンプライアンス目標の達成に役立つよう、データ保護プログラムを導入しています。
 
データ保護プログラムマニュアルを共有していただけますか。
はい、ご要望に応じて提供可能です。

二次利用
ライフレイはお客様の個人データを二次的な目的で使用しますか。
当社は、サービスを提供し、お客様との契約関係を維持するために、プライバシー通知(https://www.liferay.co.jp/privacy-policy)に従い、Liferayサービスを利用するお客様の個人データを管理者として処理します。当社は、適切な請求に必要な範囲で匿名化された集計統計を作成するため、及びLiferayサービスと製品を改善するためにデータを使用する場合を除き、お客様の指示に従ってのみお客様のエンドユーザーの個人データを処理します。その他の目的では処理しません。また、サーバーログを使ってかかる統計を作成します。

個人データ等の範囲
ライフレイはどのカテゴリーの個人データを処理しますか。また、ライフレイが実行するデータ処理には機密データが含まれますか。
範囲は完全にお客様により決定されます。機密データに関する一般的なカテゴリーは https://www.liferay.com/legal/cloud-services-dataに記載されており、お客様のユースケースによって異なります。

ROPA
処理活動の記録(Record of Processing Activities(ROPA))を維持していますか。
当社はGDPR第30条に従ってROPAを維持します。

監査

顧客はコンプライアンス監査を実施できますか。
監査は、DPAに定められた一定の範囲及び条件のもとで許可されます。
 
当社は、お客様のために行われたお客様個人データの処理に関する処理者の記録を含め、コンプライアンスを証明するために必要なすべての情報を、求めに応じて、お客様に提供するものとします。また、お客様の個人データの処理に関して、お客様やお客様の監査人による監査(検査も含む)を認め、これに貢献するものとします。
 
監査を実施するお客様は、実施される監査又は検査について、当社に合理的な通知を行うものとし、かかる監査又は検査の過程で、当社従業員が当該施設にいる際に、当社の施設、備品、人員及び事業に対して、いかなる損害、危害又は混乱を生じさせないよう合理的な努力をするものとします。
 
下記の場合、当社又は復処理者は、かかる監査や査察のために、その施設へのアクセスを許可する必要はありません。

  1. 本人の身元及び権限について、合理的な証拠を提示しないすべての者に対して。
  2. 監査又は検査を緊急に実施する必要がある場合を除き、当該施設における通常の営業時間外。
  3. DPAに記載されている例外を除き、12カ月間に1回を超える監査又は検査の目的。

要求された監査範囲が、過去12ヶ月以内に適格な第三者監査人により実施されたSOC 2 Type I又は類似の認証又は報告書で扱われ、該当する場合、当社が、監査対象のコントロールに既知の重大な変更がないことを確認した場合、お客様は、適用法の下で合理的に可能な範囲で、報告書の対象となるコントロールの監査を要求する代わりに、それらの調査結果を受け入れることに同意するものとします。 

当社のDPAに関しては、https://www.liferay.com/legalをご確認ください。
 

保険
ライフレイは、セキュリティ侵害に対する賠償責任保険に加入していますか。
当社は、データ侵害を対象とした一般賠償責任保険(GL)とエラーズ・アンド・オミッションズ保険(E&O)に加入しています。
 
保険証券を共有していただけますか。
要請に応じて、また秘密保持の義務に従って、証券を提供できます。

法的根拠
個人データ処理の法的根拠及び目的は何ですか。
目的及び法的根拠を定めることは、管理者としてのお客様の義務です。お客様は、クラウドサービスを介してお客様の個人データを処理する目的で、当社がデータ処理者となり、お客様の指示に従い、クラウドサービスをお客様に提供するために必要な範囲でのみ(但し、それ以外の目的を含まない。)、お客様に代わって当該個人データを処理することを任命され、権限を付与されることに同意します。

データ保護当局への登録
ライフレイはデータ保護当局に登録されていますか。
Liferay UK Ltd.はICO(英国)に登録されています。それ以外は、当該要件は適用されません。

プライバシー・バイ・デザイン
ライフレイはプライバシー・バイ・デザインの原則を考慮していますか。
はい、新しい製品、サービス、プロセス(PIA/DPIA)の機能については対応しています。

ベンダー管理
ライフレイには、サービスプロバイダーや復処理者との契約に関するベンダー管理ポリシーがありますか。
はい、あります。 当社では、プライバシーとセキュリティのレビュー、及び適切な契約とDPAの締結のための法的レビューを行っています。 セキュリティレビューは毎年情報セキュリティ部門が実施します。

データ保護:Liferay PaaS

一般的な質問

LiferayはGDPR/LGPDに準拠していますか。
回答の範囲が広い質問のため、適切に答えにくいのですが、当社は、組織として適用されるデータ保護法に準拠していることと、お客様の組織のコンプライアンスへの取り組みをサポートする利用可能な製品機能とを区別しています。当社がクラウドベースのサービスを提供する際、お客様に代わって個人データを処理する範囲において、当社はその処理が契約上の義務に従って行われることを保証するものとします。 

  • 当社は、適切な技術的及び組織的措置を実施します。
  • 当社は、お客様の指示に従ってのみ個人データを処理します。
  • 当社は、同レベルの保護を提供する復処理者のみを関与させることを許可されており、当社はそのような復処理者へのすべてのデータ移転が適用されるデータ移転要件に準拠していることを保証する義務を負います。
  • 当社は、サブスクリプションサービスの満了時にデータのエクスポート又は削除を可能にすることを約束し、受信したデータ主体の要求に従うためのお客様の取り組みを支援します。
  • 当社は、当社による個人データの処理が準拠したものであることを証明するために、適用されるデータ保護法に基づき要求される監査について、お客様と協力する義務を負います。
  • 当社は、いかなるデータ侵害についても不当な遅延なくお客様に通知することを約束します。

ホスティング

情報/システムはどこでホスティングされますか。
Liferay PaaSは、ホスティングプロバイダーとしてGoogle Cloud EMEA Ltd.(アイルランド)のGoogle Cloud Platform(GCP)を使用します。
 
データセンターは欧州にありますか。
Liferay AC、Liferay PaaS、Liferay SaaSについては、Google Cloud EMEA Ltd. (アイルランド)がホスティングプロバイダーです。データのホスティング場所は、顧客が選択した地域によって異なります。 欧州で利用可能な地域は、ロンドン(イギリス)とフランクフルト(ドイツ)です。
 
ライフレイとDPAを締結する必要がありますか。
付属文書4の第11条に基づき、お客様が欧州経済領域(EEA)、スイス、英国、中南米、メキシコに設立されている場合、及び該当するオーダーフォームにおいて当事者間で別段の合意がない限り、オーダーフォーム効力発生日時点でwww.liferay.com/legalにて入手可能なデータの処理に関する添付文書(DPA)の条件が、当社によるお客様の個人データの処理に適用されます。付属文書4及びDPAは、https://www.liferay.com/legal でご覧いただけます。
他の地域のお客様がDPAの締結を希望される場合、当社はご要望に応じてこれを可能にします。

個人データの国境を越えた移転

個人データの国境を越えた移転はありますか。また、データはどの国でホスティングされますか。
当社は外部のプロバイダー及び当社の関連会社を復処理者として利用します。一部の復処理者はEEA域外に所在するため、このような復処理者を利用すると、復処理者がメンテナンスを実施したりお客様にサポートを提供したりする際に必要な場合など、特定の理由でEU/EEA域内に保存されているお客様データにEU/EEA域外からリモートアクセスする必要がある場合があります。かかる移転のために、当社ではGDPRで要求される適切な保護措置を実施します。この件に関する詳細、及び国境を越えたデータ移転の場合に当社が採用するコンプライアンス措置、データの移転先国については、https://www.liferay.com/legal/cloud-services-dataをご参照ください。
 
サービスが、移転の対象となる適切な保護措置を満たしているかどうかを提示してください(監督機関によって採用され、欧州委員会によって承認された標準データ保護条項、拘束的企業準則、承認された認証メカニズム、承認された行動規範など)。
データ保護法で要求される場合、当社は適切な保護措置を実施します。適用される転送メカニズムは、https://www.liferay.com/legal/cloud-services-dataで確認できます。
 
第三者による論理的なアクセスに加えて、データの物理的な移転があるかどうかを提示してください。
お客様データのバックアップには、Amazon Web Services EMEA SARL(AWS)を使用します。AWS KMSを利用してBYOK暗号化を適用し、AWSとその復処理者による個人データへのアクセスを防ぎます。キーは、お客様が本番環境用に選択したGoogle Cloud Platform(GCP)リージョンに対応するAWSリージョンのHSMに保存されます。
 
お客様は、第三国からデータにアクセスする可能性のある一部の復処理者の使用を許可します。

EMEA、ブラジル、日本のお客様の場合、EEA及びEU十分性認定域外への移転はブラジルへの移転に限定されます。これに関して、弊社はブラジルの信頼できる法律事務所から法的意見を取得し、EUデータ保護法によって個人データに与えられる保護レベルを妨げる可能性のある法律はブラジルの法律に存在しないことを確認しました。 

お客様が当社製品であるLiferay SaaS、Liferay PaaS(デフォルトでは無効)又はAnalytics Cloudのアナリティクス機能をスタンドアロン製品として使用することを決定する範囲において、Liferay, Inc(米国)がデータにアクセスできます。 Liferay, Inc. (US) は、EU-米国間及びスイス-US間のデータプライバシーフレームワークの認定を受けているため、EEAからLiferay, Inc.への個人データの移転は、 2023年7月11日付の欧州委員会による十分性認定の対象となります。 さらに、デフォルトでは、Analytics Cloudはシステムが生成した識別子に関連するイベントデータのみを収集します。 それ以外の場合、お客様はそのLiferay DXP/Liferay SaaS及びLiferay PaaSインスタンスに保存されている他の識別子や情報の同期を完全に管理することになりますが、お客様側でのリスク評価が必要になります。 Liferay, Inc.は、これまで同社のサービスに保存されているお客様のデータに関するいかなる要求も受けたことはなく、またそれに応じたこともありません。

政府機関によるデータ要求ポリシー

政府機関によるアクセス処理に関して、ライフレイはどのような対策と手順を講じていますか。
お客様が当社製品であるLiferay SaaS、Liferay SaaS(デフォルトでは無効)又はAnalytics Cloud(AC)のアナリティクス機能をスタンドアロン製品として使用することを決定する限度において、Liferay, Inc(米国)がデータにアクセスできます。Liferay, Inc.は、大統領令(EO)12.333号に基づき当局に自発的に協力しない間は、FISA702条の適用を受ける可能性があります。しかし、EO14.086が発効し、EEA諸国が「適格国」に指定されて以来、欧州委員会は(2023年7月11日付の米国に対する十分性認定に従って)、米国の監視法及び慣行には、欧州のデータ保護法の下でデータ主体に与えられる保護を妨げるようなものはないと考えています。Liferay, Inc.は、EU-米国間及びEU-スイス間のデータプライバシーフレームワークの認定を受けています。さらに、デフォルトでは、ACはシステムが生成した識別子に関連するイベントデータのみを収集します。それ以外の場合、お客様はそのLiferay SaaSインスタンスに保存されている他の識別子や情報の同期を完全に管理することになりますが、お客様側でのリスク評価が必要になります。Liferay, Inc.は、これまで同社のサービスに保存されているお客様のデータに関するいかなる要求も受けたことはなく、またそれに応じたこともありません。
 
当社はグループ会社として、このような要求を処理するためのプロセスを導入しています。
 
受領したデータ要求はすべて、プライバシーオフィスに移転する必要があります。プライバシーオフィスはデータ要求を確認し、必要に応じて法務部門及び/又は管轄の外部アドバイザー、及び/又はデータ保護監督者(DPO)に相談し、次の事項を確認します:(i) 適用法及び規制に基づき、データ要求の有効性及び執行可能性、(ii) データ要求がいかなる法律の下でも違法であると考える合理的な根拠があるかどうか、(iii) 管理者、データ主体又は管轄当局に通知又は協議するライフレイの潜在的な法的又は契約上の義務、及びかかる通知の法的許容性。

受信者である当社は、データ要求に応じる際、データ要求の合理的な解釈とプライバシーオフィスによる法的評価に基づき、許容される最小限の情報を提供するものとします。プライバシーオフィスは、各データ要求について、その法的評価を文書化し、データ要求の受領から最低5年間、その文書を保存するものとします。

復処理者

政府機関によるアクセス処理に関して、ライフレイはどのような対策と手順を講じていますか。

はい、当社は、https://www.liferay.com/legal/cloud-services-dataのリストに記載されている復処理者を利用しています。本リストでは、法人情報及び連絡先の詳細、所在地、処理の機能及び詳細、該当する場合はデータ転送メカニズム(GDPR)を確認できます。

DPAに従い、当社は新規の復処理者の選任をお客様に事前に通知するものとします。その通知を受領してから10暦日以内に、お客様が(合理的な根拠に基づいて)提案された選任に反対する旨を書面で当社に通知した場合、Liferay又はLiferay関連会社は、お客様から提起された異議に対処するための合理的な措置が講じられるまで、提案された復処理者を選任(又はお客様の個人データを開示)しないものとします。 当社がお客様からの通知を受領してから30日以内に商業上合理的な方法で異議に対処でき当社場合、お客様は、(i) 当社が提案する本サービスの使用を決定するか、又は (ii) 当社に書面で通知することにより、提案された復処理者の使用を必要とする本サービスに関連する範囲で本契約を直ちに終了し、当該終了の発効日時点で未使用の本サービスに対する前払い料金の日割り計算による払い戻しを受けることができます。

第三者によるアクセス
第三者がお客様データにアクセスできますか。できる場合、その方法はどのようなものですか。
できません。当社が採用する技術的及び組織的措置(TOM) (https://www.liferay.com/legal/cloud-services-data)は、お客様から提出された個人データの機密性、完全性、可用性を確保するために実施されます。個人データの処理に使用される主なシステムはGoogle Cloud Platformであり、従業員のワークステーション、BYOD、データキャリアなど、その他の電子デバイスに個人データを保存することは禁止されています。また、お客様データのバックアップにAmazon Web Services EMEA SARL(AWS)を使用します。AWS KMSを利用してBYOK暗号化を適用し、AWSとその復処理者による個人データへのアクセスを防ぎます。 キーは、お客様が本番環境用に選択したGoogle Cloud Platform(GCP)リージョンに対応するAWSリージョンのHSMに保存されます。復処理者による個人データの処理に先立ち、復処理者が提供する各サービス又は各システムは、ベンダー評価、DPA、技術的かつ組織的な対策(TOM)文書、及び各システムの保護対策や適用データ保護法の遵守について記載した追加の補足文書に基づき、見直され承認されるものとします。

セキュリティ対策
ライフレイのTOMはGDPRの観点から「適切」ですか。
当社は、Liferay DXP Cloudサービスに対して取得したISO 27001、SOC 2、HIPAA、CSA STAR認証によって証明されているように、業界標準に沿ったTOMを講じています。詳細はhttps://www.liferay.com/legal/cloud-services-dataをご確認ください。

セキュリティ対策(認証)
GDPR、プライバシー、セキュリティ、ディザスタリカバリに関する認証はありますか。 ISO27001などのセキュリティ認証やSOC2などの監査報告書を提供できますか。 可能であれば、有効なドキュメントのコピーをお送りください。
当社の認証プログラムには、ISO 27001/ 27017/ 27018、SOC 2 Type 2、HIPAA、CSA STAR Level 2が含まれています。当社の情報セキュリティプログラムの詳細については、https://www.liferay.com/resources/product-info/Liferay+Liferay DXP+Cloud+Data+Security+and+Protectionのホワイトペーパーをご覧ください。ご要望に応じて証明書の発行も可能です。

セキュリティ対策(暗号化)
ライフレイはお客様のデータを保護するために暗号化を使用していますか。
GDPRでは、暗号化は一般的な必須要件ではありません。ただし、特定の状況下では暗号化技術の使用が「適切」である場合もあります。例えば、移転中のデータはすべて、最低限、AES-256の暗号化を用いた強制SSL接続を使用します。Liferay SaaSに保存されたデータは、保存時に暗号化されます。

個人データ等の削除

Liferayのサービスからすべてのお客様データが回復不能に削除されるのはいつですか。
お客様は、お客様のサブスクリプションの満了又は終了に際し、14日以内に、お客様データの検索を目的としてLiferayサービスへのアクセスを要求することができます。要求に応じて、当社はかかる要求の受領後14日間、これらの目的のためのサービスへのアクセスをお客様に提供します。また、お客様のサブスクリプションの満了又は終了から30日後に、お客様のデータをシステムから回復不能に削除します。

 
データを完全に削除するプロセスについて教えてください。
Liferay DXPには、企業がGDPR規制に対応し、プラットフォームがユーザーデータを管理する方法を制御し続けるためのデータ保護ツールが含まれています。これらのツールにより、ユーザーの個人データを消去し、要求に応じてユーザーの個人データを機械可読形式でエクスポートできます。データを消去する場合、管理者は、シンプルなインターフェースから、個人情報が含まれている可能性のあるコンテンツを確認し、必要に応じてコンテンツの編集・削除が行えます。Liferayには、サードパーティ製品のアプリケーションでこうした機能を実装する、又はすぐに使えるアプリケーションの既定の動作を無効にするAPIが含まれています。詳しくはhttps://help.liferay.com/hc/ja/articles/360018156151-GDPR-Toolsをご覧ください。
Liferay Analytics Cloudでは、デフォルトで13ヶ月間データを保持します。顧客は、アプリケーション設定のコントロールパネルで、保存期間を7ヶ月に変更することができます。13ヶ月以上データを保持する必要がある場合は、Liferay Analytics Cloudカスタマーサポートに連絡して、カスタム保持期間を定義することができます。さらに、ライフレイでは顧客の連絡先の有効期限が切れてから30日間、すべてのデータを保持します。顧客のサブスクリプションの終了から14日以内に、顧客はこのデータへのアクセスを要求することができます。本データは、さらに14日間、データ検索の目的で提供されます。データはすべて、顧客のサブスクリプション期間が終了してから30日後に復元不可能な形で削除されます。また、当社のお客様は、期間中いつでも個人データの削除を要求することができます。

秘密保持

ライフレイは、個人データを処理する権限を持つ担当者が秘密保持を徹底していることを保証していますか。
はい、当社のポリシーでは、従業員が職務を遂行する際に秘密保持を負うことを保証しています。すべての従業員は、該当する場合、雇用契約又は請負契約に含まれる秘密保持の対象となります。


ライフレイは個人データを第三者に開示しますか。
いいえ、当社の従業員、請負業者及び承認された復処理者に対してのみ、必要に応じて開示されます。

身元調査
ライフレイは、従業員の身元調査を行っていますか。
当社では、現地の適用法で認められている範囲で、クラウドサービスの履行に関わる従業員のセキュリティチェック及び身元調査を行います。

トレーニング
ライフレイは、従業員にプライバシーに関するトレーニングを提供していますか。従業員の修了を証明するものはありますか。
はい。従業員は、個人データの処理及び情報セキュリ ティに関するオンデマンドのプライバシートレーニングを毎年受講することが義務付けられています。トレーニング修了については記録され、証明も可能となります。

PIA及びDPIA

ライフレイでは、サービスのプライバシー影響評価(PIA)やデータ保護影響評価(DPIA)を実施していますか。
クラウドサービスの目的上、当社は処理者として、管理者であるお客様に代わってデータを処理します。従って、適用されるデータ保護法又はお客様の社内規定に基づいて、PIA/DPIAを実施する必要がある場合は、管理者であるお客様がその責任を負うものとします。ただし、当社は必要に応じて、文書化など合理的にお客様をサポートします。


お客様は、Liferay製品についてDPIAを実施する必要がありますか。
お客様は、Liferayを使用する際にDPIAを実施する必要はありません。 実際には、顧客によるLiferayサービスの使用状況によって異なります。
GDPR第35条に従い、データ保護影響評価は、以下の状況を含め、処理が自然人の権利及び自由に対して高いリスクをもたらす可能性がある場合にのみ必要とされます。

  1. お客様によるサービスの利用が、データ主体に関連する個人的側面の体系的かつ広範な評価につながり、データ主体に重大な影響を及ぼす意思決定の根拠として使用される場合。
  2. お客様が本サービスを利用することにより、特定の機密情報(健康、一般情報又は生体情報、民族的出身、政治的意見、宗教的又は哲学的信条に関するデータなど)が大量に処理される場合。
  3. お客様が当社のサービスを利用する際に、公共エリアに対する大規模な組織的監視を伴う可能性がある場合。
  4. 当社は、多くの異なるユースケースで使用できる汎用性の高いソリューションをお客様に提供しているため、当社がお客様に代わりそのような評価を行う立場にないことは明らかです。
ただし、DPIAが必要かどうかの判断とDPIAの実施については、管理者であるお客様が主に責任を負いますが、当社はお客様に適切な支援(提供した機能の文書化)を提供します。

データ侵害
ライフレイには、データ侵害に対処するための正式なプロセスが用意されていますか。
はい、データインシデント対応ポリシーを制定しており、データ侵害が発生した場合には遅滞なく顧客に通知するという契約上の義務を負っています。この通知は、お客様が当社に緊急連絡先を提供していない限り、お客様のアカウント(管理者)に関連付けられた電子メールアドレスに送信されます。

データ主体の権利
ライフレイには、データ侵害に対処するための正式なプロセスが用意されていますか。
はい、当社は管理者としてDSRを受け取った場合、データ主体の要請(DSR)ポリシーを設けています。ただし、当社が処理者として機能する場合、Liferayのクラウド製品は、お客様がDSRに準拠するための機能を提供します。Liferayのクラウド製品がコンプライアンスを実現できない場合、当社はご要望に応じてお客様をサポートします。したがって、お客様は管理者として、DSRの取り扱いに責任を負います。DSRは通常、お客様を対象としていますが、当社は契約文書に従い、DSRを受領した場合、お客様が今後の対応方法を決定できるよう、不当な遅延なくお客様に通知する義務を負います。

内部統制
ライフレイには、プライバシー管理を担当する専任のロールやチームはありますか。
はい、当社にはグローバルプライバシーオフィス(dataprotection@liferay.com)があります。
 
ライフレイはデータ保護責任者(DPO)を任命し、データ保護当局に通知していますか。
はい、当社は適用法に従って義務付けられている地域でDPOを任命しています。
ご参考までに、お客様の所在地に応じて、関連する連絡先は下記のようになります。
ブラジル:Grupo Adaptalia Brasil (dpo-br@liferay.com)
スペイン:Grupo Adaptalia Spain (dpo-es@liferay.com)
アイルランド:ByteLaw (dpo-ie@liferay.com)
フランス:ByteLaw (dpo-fr@liferay.com)
ハンガリー:ByteLaw (dpo-hu@liferay.com)
ドイツ:ByteLaw (dpo-de@liferay.com)
 
正式なデータ保護プログラムはありますか。
当社では、適用されるデータ保護法に準拠して個人データを処理し、Liferayの革新的なテクノロジーがお客様のコンプライアンス目標の達成に役立つよう、データ保護プログラムを導入しています。
 
データ保護プログラムマニュアルを共有していただけますか。
はい、ご要望に応じて提供可能です。

二次利用
ライフレイはお客様の個人データを二次的な目的で使用しますか。
当社は、サービスを提供し、お客様との契約関係を維持するために、プライバシー通知(https://www.liferay.co.jp/privacy-policy)に従い、Liferayサービスを利用するお客様の個人データを管理者として処理します。当社は、適切な請求に必要な範囲で匿名化された集計統計を作成するため、及びLiferayサービスと製品を改善するためにデータを使用する場合を除き、お客様の指示に従ってのみお客様のエンドユーザーの個人データを処理します。その他の目的では処理しません。また、サーバーログを使ってかかる統計を作成します。

個人データ等の範囲
ライフレイはどのカテゴリーの個人データを処理しますか。また、ライフレイが実行するデータ処理には機密データが含まれますか。
範囲は完全にお客様により決定されます。機密データに関する一般的なカテゴリーは https://www.liferay.com/legal/cloud-services-dataに記載されており、お客様のユースケースによって異なります。

ROPA
処理活動の記録(Record of Processing Activities(ROPA))を維持していますか。
当社はGDPR第30条に従ってROPAを維持します。

監査

顧客はコンプライアンス監査を実施できますか。
監査は、DPAに定められた一定の範囲及び条件のもとで許可されます。
 
当社は、お客様のために行われたお客様個人データの処理に関する処理者の記録を含め、コンプライアンスを証明するために必要なすべての情報を、求めに応じて、お客様に提供するものとします。また、お客様の個人データの処理に関して、お客様やお客様の監査人による監査(検査も含む)を認め、これに貢献するものとします。
 
監査を実施するお客様は、実施される監査又は検査について、当社に合理的な通知を行うものとし、かかる監査又は検査の過程で、当社従業員が当該施設にいる際に、当社の施設、備品、人員及び事業に対して、いかなる損害、危害又は混乱を生じさせないよう合理的な努力をするものとします。
 
下記の場合、当社又は復処理者は、かかる監査や査察のために、その施設へのアクセスを許可する必要はありません。

  1. 本人の身元及び権限について、合理的な証拠を提示しないすべての者に対して。
  2. 監査又は検査を緊急に実施する必要がある場合を除き、当該施設における通常の営業時間外。
  3. DPAに記載されている例外を除き、12カ月間に1回を超える監査又は検査の目的。

要求された監査範囲が、過去12ヶ月以内に適格な第三者監査人により実施されたSOC 2 Type I又は類似の認証又は報告書で扱われ、該当する場合、当社が、監査対象のコントロールに既知の重大な変更がないことを確認した場合、お客様は、適用法の下で合理的に可能な範囲で、報告書の対象となるコントロールの監査を要求する代わりに、それらの調査結果を受け入れることに同意するものとします。 

当社のDPAに関しては、https://www.liferay.com/legalをご確認ください。
 

保険
ライフレイは、セキュリティ侵害に対する賠償責任保険に加入していますか。
当社は、データ侵害を対象とした一般賠償責任保険(GL)とエラーズ・アンド・オミッションズ保険(E&O)に加入しています。
 
保険証券を共有していただけますか。
要請に応じて、また秘密保持の義務に従って、証券を提供できます。

法的根拠
個人データ処理の法的根拠及び目的は何ですか。
目的及び法的根拠を定めることは、管理者としてのお客様の義務です。お客様は、クラウドサービスを介してお客様の個人データを処理する目的で、当社がデータ処理者となり、お客様の指示に従い、クラウドサービスをお客様に提供するために必要な範囲でのみ(但し、それ以外の目的を含まない。)、お客様に代わって当該個人データを処理することを任命され、権限を付与されることに同意します。

データ保護当局への登録
ライフレイはデータ保護当局に登録されていますか。
Liferay UK Ltd.はICO(英国)に登録されています。それ以外は、当該要件は適用されません。

プライバシー・バイ・デザイン
ライフレイはプライバシー・バイ・デザインの原則を考慮していますか。
はい、新しい製品、サービス、プロセス(PIA/DPIA)の機能については対応しています。

ベンダー管理
ライフレイには、サービスプロバイダーや復処理者との契約に関するベンダー管理ポリシーがありますか。
はい、あります。 当社では、プライバシーとセキュリティのレビュー、及び適切な契約とDPAの締結のための法的レビューを行っています。 セキュリティレビューは毎年情報セキュリティ部門が実施します。

データ保護:Liferay Self Hosted

一般的な質問

LiferayはGDPR/LGPDに準拠していますか。
回答の範囲が広い質問のため、適切に答えにくいのですが、当社は、組織として適用されるデータ保護法に準拠していることと、お客様の組織のコンプライアンスへの取り組みをサポートする利用可能な製品機能とを区別しています。当社がクラウドベースのサービスを提供する際、お客様に代わって個人データを処理する範囲において、当社はその処理が契約上の義務に従って行われることを保証するものとします。 

  • 当社は、適切な技術的及び組織的措置を実施します。
  • 当社は、お客様の指示に従ってのみ個人データを処理します。
  • 当社は、同レベルの保護を提供する復処理者のみを関与させることを許可されており、当社はそのような復処理者へのすべてのデータ移転が適用されるデータ移転要件に準拠していることを保証する義務を負います。
  • 当社は、サブスクリプションサービスの満了時にデータのエクスポート又は削除を可能にすることを約束し、受信したデータ主体の要求に従うためのお客様の取り組みを支援します。
  • 当社は、当社による個人データの処理が準拠したものであることを証明するために、適用されるデータ保護法に基づき要求される監査について、お客様と協力する義務を負います。
  • 当社は、いかなるデータ侵害についても不当な遅延なくお客様に通知することを約束します。

DXP(個人データ等へのアクセス)

ライフレイがDXP製品の個人データにアクセスしないのはどのような理由からですか。 これについては、どこで合意されましたか。 なぜ個人データ処理契約(DPA)を締結しなかったのですか。
当社は、Liferay DXP製品を介してお客様のために個人データを処理することはありません。また当社では、個人データを開示することなく利用できるよう、プレミスベースのソフトウェアを中心としたサービスを提供しています。個人データの処理を回避することを目指しており、収集した個人データの開示を最小限に抑えることは、個人データの処理に関して自然人の利益を保護する最も基本的で効果的な方法です。したがって、データの最小化は、効果的なデータ保護の中核とまでは言わないまでも、最も重要な原則のひとつです。

このため、当社のエンタープライズ サービス契約(ESA)の第13.10条には、お客様がLiferayサービスを使用する際に、個人データ(契約関係を確立するために必要な連絡先データを除く)の提供、開示、又はアクセス権の付与は必要ないことを文書で確認する条項が含まれています。

当社はお客様の代理として個人データを処理することはないため、DPAに署名する必要はありません。
Liferay Analytics Cloudをオンプレミスベースのアドオンとして購入するLiferay DXPのお客様は、当社とDPAを確立する必要があります。

データ保護:Liferay Analytics Cloud

一般的な質問

LiferayはGDPR/LGPDに準拠していますか。
回答の範囲が広い質問のため、適切に答えにくいのですが、当社は、組織として適用されるデータ保護法に準拠していることと、お客様の組織のコンプライアンスへの取り組みをサポートする利用可能な製品機能とを区別しています。当社がクラウドベースのサービスを提供する際、お客様に代わって個人データを処理する範囲において、当社はその処理が契約上の義務に従って行われることを保証するものとします。 

  • 当社は、適切な技術的及び組織的措置を実施します。
  • 当社は、お客様の指示に従ってのみ個人データを処理します。
  • 当社は、同レベルの保護を提供する復処理者のみを関与させることを許可されており、当社はそのような復処理者へのすべてのデータ移転が適用されるデータ移転要件に準拠していることを保証する義務を負います。
  • 当社は、サブスクリプションサービスの満了時にデータのエクスポート又は削除を可能にすることを約束し、受信したデータ主体の要求に従うためのお客様の取り組みを支援します。
  • 当社は、当社による個人データの処理が準拠したものであることを証明するために、適用されるデータ保護法に基づき要求される監査について、お客様と協力する義務を負います。
  • 当社は、いかなるデータ侵害についても不当な遅延なくお客様に通知することを約束します。

ホスティング

情報/システムはどこでホスティングされますか。
Liferay PaaSは、ホスティングプロバイダーとしてGoogle Cloud EMEA Ltd.(アイルランド)のGoogle Cloud Platform(GCP)を使用します。
 
データセンターは欧州にありますか。
Liferay AC、Liferay PaaS、Liferay SaaSについては、Google Cloud EMEA Ltd. (アイルランド)がホスティングプロバイダーです。データのホスティング場所は、顧客が選択した地域によって異なります。 欧州で利用可能な地域は、ロンドン(イギリス)とフランクフルト(ドイツ)です。
 
ライフレイとDPAを締結する必要がありますか。
付属文書4の第11条に基づき、お客様が欧州経済領域(EEA)、スイス、英国、中南米、メキシコに設立されている場合、及び該当するオーダーフォームにおいて当事者間で別段の合意がない限り、オーダーフォーム効力発生日時点でwww.liferay.com/legalにて入手可能なデータの処理に関する添付文書(DPA)の条件が、当社によるお客様の個人データの処理に適用されます。付属文書4及びDPAは、https://www.liferay.com/legal でご覧いただけます。
他の地域のお客様がDPAの締結を希望される場合、当社はご要望に応じてこれを可能にします。

個人データの国境を越えた移転

個人データの国境を越えた移転はありますか。また、データはどの国でホスティングされますか。
当社は外部のプロバイダー及び当社の関連会社を復処理者として利用します。一部の復処理者はEEA域外に所在するため、このような復処理者を利用すると、復処理者がメンテナンスを実施したりお客様にサポートを提供したりする際に必要な場合など、特定の理由でEU/EEA域内に保存されているお客様データにEU/EEA域外からリモートアクセスする必要がある場合があります。
かかる移転のために、当社ではGDPRで要求される適切な保護措置を実施します。この件に関する詳細、及び国境を越えたデータ移転の場合に当社が採用するコンプライアンス措置、データの移転先国については、https://www.liferay.com/legal/cloud-services-dataをご参照ください。

サービスが、移転の対象となる適切な保護措置を満たしているかどうかを提示していください(監督機関によって採用され、欧州委員会によって承認された標準データ保護条項、拘束的企業準則、承認された認証メカニズム、承認された行動規範など)。

データ保護法で義務付けられている場合、当社はEU標準契約条項(UE SCC)を採択します。適用される転送メカニズムは、https://www.liferay.com/legal/cloud-services-dataで確認できます。
 
第三者による論理的なアクセスに加えて、データの物理的な移転があるかどうかを提示してください。
また、お客様データのバックアップにAmazon Web Services EMEA SARL(AWS)を使用します。AWS KMSを利用してBYOK暗号化を適用し、AWSとその復処理者による個人データへのアクセスを防ぎます。キーは、お客様が本番環境用に選択したGoogle Cloud Platform(GCP)リージョンに対応するAWSリージョンのHSMに保存されます。
 
お客様は、第三国からデータにアクセスする可能性のある一部の復処理者の使用を許可します。

EMEA、ブラジル、日本のお客様の場合、EEA及びEU十分性認定域外への移転はブラジルへの移転に限定されます。これに関して、弊社はブラジルの信頼できる法律事務所から法的意見を取得し、EUデータ保護法によって個人データに与えられる保護レベルを妨げる可能性のある法律はブラジルの法律に存在しないことを確認しました。 

お客様が当社製品であるLiferay SaaS、Liferay PaaS(デフォルトでは無効)又はAnalytics Cloudのアナリティクス機能をスタンドアロン製品として使用することを決定する範囲において、Liferay, Inc(米国)がデータにアクセスできます。Liferay, Inc. (US) は、EU-米国間及びスイス-US間のデータプライバシーフレームワークの認定を受けているため、EEAからLiferay, Inc.への個人データの移転は、 2023年7月11日付の欧州委員会による十分性認定の対象となります。さらに、デフォルトでは、Analytics Cloudはシステムが生成した識別子に関連するイベントデータのみを収集します。それ以外の場合、お客様はそのLiferay DXP/Liferay SaaS及びLiferay PaaSインスタンスに保存されている他の識別子や情報の同期を完全に管理することになりますが、お客様側でのリスク評価が必要になります。Liferay, Inc.は、これまで同社のサービスに保存されているお客様のデータに関するいかなる要求も受けたことはなく、またそれに応じたこともありません。

法的及びNDAの対象、RFP目的、監査または協議(要求された場合にのみGoogleに関する説明を提供):データ移転 (ホスティングサービスを提供する復処理者Google EMEA Ltdによる受信者の所在地および目的)については、https://cloud.google.com/terms/subprocessors をご参照ください。受信者に応じて適用可能な転送メカニズムは、十分性認定又はSCCのいずれかです。また、いずれの復処理者も、継続的又は定期的にデータにアクセスする必要はなく、またアクセスしていないことにもご注意ください。メンテナンスとサポート活動は、下位のデータ・ストレージ・レベルで実施されています。データはそのレイヤーで保存時に暗号化されます。しかし、お客様によって有効化された場合、メンテナンス又は技術サポートのコンテキスト内で、お客様によってデータへのアクセスが提供される可能性があります(管理コンソールを通じて、または例えば、 スクリーンショットやデータダンプで)。当社は、お客様データへのアクセスを必要とする「音声転写」、「データラベリング」、「apigeeテクニカルサポートサービス」と呼ばれるサービスをLiferay DXP Cloudの提供目的では使用しません。Googleの透明性レポートは、https://transparencyreport.google.com/user-data/enterpriseでご確認いただけます。

政府機関によるデータ要求ポリシー

政府機関によるアクセス処理に関して、ライフレイはどのような対策と手順を講じていますか。
お客様が当社製品であるLiferay SaaS、Liferay SaaS(デフォルトでは無効)又はAnalytics Cloud(AC)のアナリティクス機能をスタンドアロン製品として使用することを決定する限度において、Liferay, Inc(米国)がデータにアクセスできます。Liferay, Inc.は、大統領令(EO)12.333号に基づき当局に自発的に協力しない間は、FISA702条の適用を受ける可能性があります。しかし、EO14.086が発効し、EEA諸国が「適格国」に指定されて以来、欧州委員会は(2023年7月11日付の米国に対する十分性認定に従って)、米国の監視法及び慣行には、欧州のデータ保護法の下でデータ主体に与えられる保護を妨げるようなものはないと考えています。Liferay, Inc.は、EU-米国間及びEU-スイス間のデータプライバシーフレームワークの認定を受けています。さらに、デフォルトでは、ACはシステムが生成した識別子に関連するイベントデータのみを収集します。それ以外の場合、お客様はそのLiferay SaaSインスタンスに保存されている他の識別子や情報の同期を完全に管理することになりますが、お客様側でのリスク評価が必要になります。Liferay, Inc.は、これまで同社のサービスに保存されているお客様のデータに関するいかなる要求も受けたことはなく、またそれに応じたこともありません。
 
当社はグループ会社として、このような要求を処理するためのプロセスを導入しています。
 
受領したデータ要求はすべて、プライバシーオフィスに移転する必要があります。プライバシーオフィスはデータ要求を確認し、必要に応じて法務部門及び/又は管轄の外部アドバイザー、及び/又はデータ保護監督者(DPO)に相談し、次の事項を確認します:(i) 適用法及び規制に基づき、データ要求の有効性及び執行可能性、(ii) データ要求がいかなる法律の下でも違法であると考える合理的な根拠があるかどうか、(iii) 管理者、データ主体又は管轄当局に通知又は協議するライフレイの潜在的な法的又は契約上の義務、及びかかる通知の法的許容性。

受信者である当社は、データ要求に応じる際、データ要求の合理的な解釈とプライバシーオフィスによる法的評価に基づき、許容される最小限の情報を提供するものとします。プライバシーオフィスは、各データ要求について、その法的評価を文書化し、データ要求の受領から最低5年間、その文書を保存するものとします。

復処理者

政府機関によるアクセス処理に関して、ライフレイはどのような対策と手順を講じていますか。

はい、当社は、https://www.liferay.com/legal/cloud-services-dataのリストに記載されている復処理者を利用しています。本リストでは、法人情報及び連絡先の詳細、所在地、処理の機能及び詳細、該当する場合はデータ転送メカニズム(GDPR)を確認できます。

DPAに従い、当社は新規の復処理者の選任をお客様に事前に通知するものとします。その通知を受領してから10暦日以内に、お客様が(合理的な根拠に基づいて)提案された選任に反対する旨を書面で当社に通知した場合、Liferay又はLiferay関連会社は、お客様から提起された異議に対処するための合理的な措置が講じられるまで、提案された復処理者を選任(又はお客様の個人データを開示)しないものとします。 当社がお客様からの通知を受領してから30日以内に商業上合理的な方法で異議に対処でき当社場合、お客様は、(i) 当社が提案する本サービスの使用を決定するか、又は (ii) 当社に書面で通知することにより、提案された復処理者の使用を必要とする本サービスに関連する範囲で本契約を直ちに終了し、当該終了の発効日時点で未使用の本サービスに対する前払い料金の日割り計算による払い戻しを受けることができます。

第三者によるアクセス
第三者がお客様データにアクセスできますか。できる場合、その方法はどのようなものですか。
できません。当社が採用する技術的及び組織的措置(TOM) (https://www.liferay.com/legal/cloud-services-data)は、お客様から提出された個人データの機密性、完全性、可用性を確保するために実施されます。個人データの処理に使用される主なシステムはGoogle Cloud Platformであり、従業員のワークステーション、BYOD、データキャリアなど、その他の電子デバイスに個人データを保存することは禁止されています。また、お客様データのバックアップにAmazon Web Services EMEA SARL(AWS)を使用します。AWS KMSを利用してBYOK暗号化を適用し、AWSとその復処理者による個人データへのアクセスを防ぎます。 キーは、お客様が本番環境用に選択したGoogle Cloud Platform(GCP)リージョンに対応するAWSリージョンのHSMに保存されます。復処理者による個人データの処理に先立ち、復処理者が提供する各サービス又は各システムは、ベンダー評価、DPA、技術的かつ組織的な対策(TOM)文書、及び各システムの保護対策や適用データ保護法の遵守について記載した追加の補足文書に基づき、見直され承認されるものとします。

セキュリティ対策
ライフレイのTOMはGDPRの観点から「適切」ですか。
当社は、Liferay DXP Cloudサービスに対して取得したISO 27001、SOC 2、HIPAA、CSA STAR認証によって証明されているように、業界標準に沿ったTOMを講じています。詳細はhttps://www.liferay.com/legal/cloud-services-dataをご確認ください。

セキュリティ対策(認証)
GDPR、プライバシー、セキュリティ、ディザスタリカバリに関する認証はありますか。 ISO27001などのセキュリティ認証やSOC2などの監査報告書を提供できますか。 可能であれば、有効なドキュメントのコピーをお送りください。
当社の認証プログラムには、ISO 27001/ 27017/ 27018、SOC 2 Type 2、HIPAA、CSA STAR Level 2が含まれています。当社の情報セキュリティプログラムの詳細については、https://www.liferay.com/resources/product-info/Liferay+Liferay DXP+Cloud+Data+Security+and+Protectionのホワイトペーパーをご覧ください。ご要望に応じて証明書の発行も可能です。

セキュリティ対策(暗号化)
ライフレイはお客様のデータを保護するために暗号化を使用していますか。
GDPRでは、暗号化は一般的な必須要件ではありません。ただし、特定の状況下では暗号化技術の使用が「適切」である場合もあります。例えば、移転中のデータはすべて、最低限、AES-256の暗号化を用いた強制SSL接続を使用します。Liferay SaaSに保存されたデータは、保存時に暗号化されます。

個人データ等の削除

Liferayのサービスからすべてのお客様データが回復不能に削除されるのはいつですか。
お客様は、お客様のサブスクリプションの満了又は終了に際し、14日以内に、お客様データの検索を目的としてLiferayサービスへのアクセスを要求することができます。要求に応じて、当社はかかる要求の受領後14日間、これらの目的のためのサービスへのアクセスをお客様に提供します。また、お客様のサブスクリプションの満了又は終了から30日後に、お客様のデータをシステムから回復不能に削除します。

 
データを完全に削除するプロセスについて教えてください。
Liferay DXPには、企業がGDPR規制に対応し、プラットフォームがユーザーデータを管理する方法を制御し続けるためのデータ保護ツールが含まれています。これらのツールにより、ユーザーの個人データを消去し、要求に応じてユーザーの個人データを機械可読形式でエクスポートできます。データを消去する場合、管理者は、シンプルなインターフェースから、個人情報が含まれている可能性のあるコンテンツを確認し、必要に応じてコンテンツの編集・削除が行えます。Liferayには、サードパーティ製品のアプリケーションでこうした機能を実装する、又はすぐに使えるアプリケーションの既定の動作を無効にするAPIが含まれています。詳しくはhttps://help.liferay.com/hc/ja/articles/360018156151-GDPR-Toolsをご覧ください。
Liferay Analytics Cloudでは、デフォルトで13ヶ月間データを保持します。顧客は、アプリケーション設定のコントロールパネルで、保存期間を7ヶ月に変更することができます。13ヶ月以上データを保持する必要がある場合は、Liferay Analytics Cloudカスタマーサポートに連絡して、カスタム保持期間を定義することができます。さらに、ライフレイでは顧客の連絡先の有効期限が切れてから30日間、すべてのデータを保持します。顧客のサブスクリプションの終了から14日以内に、顧客はこのデータへのアクセスを要求することができます。本データは、さらに14日間、データ検索の目的で提供されます。データはすべて、顧客のサブスクリプション期間が終了してから30日後に復元不可能な形で削除されます。また、当社のお客様は、期間中いつでも個人データの削除を要求することができます。

秘密保持

ライフレイは、個人データを処理する権限を持つ担当者が秘密保持を徹底していることを保証していますか。
はい、当社のポリシーでは、従業員が職務を遂行する際に秘密保持を負うことを保証しています。すべての従業員は、該当する場合、雇用契約又は請負契約に含まれる秘密保持の対象となります。


ライフレイは個人データを第三者に開示しますか。
いいえ、当社の従業員、請負業者及び承認された復処理者に対してのみ、必要に応じて開示されます。

身元調査
ライフレイは、従業員の身元調査を行っていますか。
当社では、現地の適用法で認められている範囲で、クラウドサービスの履行に関わる従業員のセキュリティチェック及び身元調査を行います。

トレーニング
ライフレイは、従業員にプライバシーに関するトレーニングを提供していますか。従業員の修了を証明するものはありますか。
はい。従業員は、個人データの処理及び情報セキュリ ティに関するオンデマンドのプライバシートレーニングを毎年受講することが義務付けられています。トレーニング修了については記録され、証明も可能となります。

PIA及びDPIA

ライフレイでは、サービスのプライバシー影響評価(PIA)やデータ保護影響評価(DPIA)を実施していますか。
クラウドサービスの目的上、当社は処理者として、管理者であるお客様に代わってデータを処理します。従って、適用されるデータ保護法又はお客様の社内規定に基づいて、PIA/DPIAを実施する必要がある場合は、管理者であるお客様がその責任を負うものとします。ただし、当社は必要に応じて、文書化など合理的にお客様をサポートします。


お客様は、Liferay製品についてDPIAを実施する必要がありますか。
お客様は、Liferayを使用する際にDPIAを実施する必要はありません。 実際には、顧客によるLiferayサービスの使用状況によって異なります。
GDPR第35条に従い、データ保護影響評価は、以下の状況を含め、処理が自然人の権利及び自由に対して高いリスクをもたらす可能性がある場合にのみ必要とされます。

  1. お客様によるサービスの利用が、データ主体に関連する個人的側面の体系的かつ広範な評価につながり、データ主体に重大な影響を及ぼす意思決定の根拠として使用される場合。
  2. お客様が本サービスを利用することにより、特定の機密情報(健康、一般情報又は生体情報、民族的出身、政治的意見、宗教的又は哲学的信条に関するデータなど)が大量に処理される場合。
  3. お客様が当社のサービスを利用する際に、公共エリアに対する大規模な組織的監視を伴う可能性がある場合。
  4. 当社は、多くの異なるユースケースで使用できる汎用性の高いソリューションをお客様に提供しているため、当社がお客様に代わりそのような評価を行う立場にないことは明らかです。
ただし、DPIAが必要かどうかの判断とDPIAの実施については、管理者であるお客様が主に責任を負いますが、当社はお客様に適切な支援(提供した機能の文書化)を提供します。

データ侵害
ライフレイには、データ侵害に対処するための正式なプロセスが用意されていますか。
はい、データインシデント対応ポリシーを制定しており、データ侵害が発生した場合には遅滞なく顧客に通知するという契約上の義務を負っています。この通知は、お客様が当社に緊急連絡先を提供していない限り、お客様のアカウント(管理者)に関連付けられた電子メールアドレスに送信されます。

データ主体の権利
ライフレイには、データ侵害に対処するための正式なプロセスが用意されていますか。
はい、当社は管理者としてDSRを受け取った場合、データ主体の要請(DSR)ポリシーを設けています。ただし、当社が処理者として機能する場合、Liferayのクラウド製品は、お客様がDSRに準拠するための機能を提供します。Liferayのクラウド製品がコンプライアンスを実現できない場合、当社はご要望に応じてお客様をサポートします。したがって、お客様は管理者として、DSRの取り扱いに責任を負います。DSRは通常、お客様を対象としていますが、当社は契約文書に従い、DSRを受領した場合、お客様が今後の対応方法を決定できるよう、不当な遅延なくお客様に通知する義務を負います。

内部統制
ライフレイには、プライバシー管理を担当する専任のロールやチームはありますか。
はい、当社にはグローバルプライバシーオフィス(dataprotection@liferay.com)があります。
 
ライフレイはデータ保護責任者(DPO)を任命し、データ保護当局に通知していますか。
はい、当社は適用法に従って義務付けられている地域でDPOを任命しています。
ご参考までに、お客様の所在地に応じて、関連する連絡先は下記のようになります。
ブラジル:Grupo Adaptalia Brasil (dpo-br@liferay.com)
スペイン:Grupo Adaptalia Spain (dpo-es@liferay.com)
アイルランド:ByteLaw (dpo-ie@liferay.com)
フランス:ByteLaw (dpo-fr@liferay.com)
ハンガリー:ByteLaw (dpo-hu@liferay.com)
ドイツ:ByteLaw (dpo-de@liferay.com)
 
正式なデータ保護プログラムはありますか。
当社では、適用されるデータ保護法に準拠して個人データを処理し、Liferayの革新的なテクノロジーがお客様のコンプライアンス目標の達成に役立つよう、データ保護プログラムを導入しています。
 
データ保護プログラムマニュアルを共有していただけますか。
はい、ご要望に応じて提供可能です。

二次利用
ライフレイはお客様の個人データを二次的な目的で使用しますか。
当社は、サービスを提供し、お客様との契約関係を維持するために、プライバシー通知(https://www.liferay.co.jp/privacy-policy)に従い、Liferayサービスを利用するお客様の個人データを管理者として処理します。当社は、適切な請求に必要な範囲で匿名化された集計統計を作成するため、及びLiferayサービスと製品を改善するためにデータを使用する場合を除き、お客様の指示に従ってのみお客様のエンドユーザーの個人データを処理します。その他の目的では処理しません。また、サーバーログを使ってかかる統計を作成します。

個人データ等の範囲

ライフレイはどのカテゴリーの個人データを処理しますか。また、ライフレイが実行するデータ処理には機密データが含まれますか。
以下のデータは、ブラウザによってクライアントサイドでキャプチャーされ、Analytics Cloudサービス内で処理・保存されます。
 
イベントデータ: Liferay Analytics Cloudは、クライアントサイドJavaScriptを使用して、該当する場合、Liferay DXP、Liferay SaaS-SM又はLiferay SaaSでの訪問者のアクティビティから取得した訪問者のインタラクションデータを追跡します。これには、クリック数、スクロール距離、ビュー数、ダウンロード数、送信数、ページロードに関するデータが含まれます。インタラクションデータは、レポート作成のためにAnalytics Cloudサービスに送信されます。
 
位置情報とテクノロジーデータ:Liferay Analytics Cloudサービスのサードパーティライブラリは、キャプチャーされたイベントデータに基づいて、訪問者の位置情報とテクノロジー(ブラウザの種類、オペレーティングシステム)の2種類のデータを決定します。訪問者のデータがLiferay Analytics Cloudの外部に公開されないようにするため、ライブラリは内部でホスト及び実行されます。
 
個人データ:個人データとは、従業員、学生、寄付者などの個人に関連する情報です。個人データを含むすべてのデータは、送信時にHTTPSで暗号化され、保存データはバックエンドで暗号化されます。
認証されていない訪問者については、Liferay Analytics CloudによりIPアドレス及びブラウザのセッション情報を追跡します。
既知の訪問者や認証済み訪問者の場合、Liferay Analytics Cloudに必要なのは、その訪問者の識別子フィールドとして追跡される電子メールアドレスのみです。その他の個人データ等はすべて、Liferay Analytics Cloudの顧客がACに同期するか、しないかを選択します。例えば、顧客が名前、住所、電話番号をACに同期させたくない場合、データマッピングインターフェースにより、顧客はこれらのフィールドを削除することができます。これにより、ACはデータソースからこの属性の追跡を停止します。


個人のプロファイル情報:Webサイト訪問者からのアナリティクスイベントデータの追跡に加えて、顧客は、Liferay DXP、Liferay SaaS-SM、Liferay SaaS(該当する場合)、Salesforce、又はCSVファイルをインポートして保存されている情報で、個人のプロファイル情報を充実させることができます。 これにより、行動データやプロファイルデータを集計し、サイト訪問者をより深く理解することができます。 Analytics Cloudにインポートされたプロフィール情報は、より正確なパーソナライゼーションのための多次元的なオーディエンスセグメントの作成に利用できます。 最終的には顧客によって制御され、サービスは機密情報を処理しないように設定されています。
 

ROPA
処理活動の記録(Record of Processing Activities(ROPA))を維持していますか。
当社はGDPR第30条に従ってROPAを維持します。

監査

顧客はコンプライアンス監査を実施できますか。
監査は、DPAに定められた一定の範囲及び条件のもとで許可されます。
 
当社は、お客様のために行われたお客様個人データの処理に関する処理者の記録を含め、コンプライアンスを証明するために必要なすべての情報を、求めに応じて、お客様に提供するものとします。また、お客様の個人データの処理に関して、お客様やお客様の監査人による監査(検査も含む)を認め、これに貢献するものとします。
 
監査を実施するお客様は、実施される監査又は検査について、当社に合理的な通知を行うものとし、かかる監査又は検査の過程で、当社従業員が当該施設にいる際に、当社の施設、備品、人員及び事業に対して、いかなる損害、危害又は混乱を生じさせないよう合理的な努力をするものとします。
 
下記の場合、当社又は復処理者は、かかる監査や査察のために、その施設へのアクセスを許可する必要はありません。

  1. 本人の身元及び権限について、合理的な証拠を提示しないすべての者に対して。
  2. 監査又は検査を緊急に実施する必要がある場合を除き、当該施設における通常の営業時間外。
  3. DPAに記載されている例外を除き、12カ月間に1回を超える監査又は検査の目的。

要求された監査範囲が、過去12ヶ月以内に適格な第三者監査人により実施されたSOC 2 Type I又は類似の認証又は報告書で扱われ、該当する場合、当社が、監査対象のコントロールに既知の重大な変更がないことを確認した場合、お客様は、適用法の下で合理的に可能な範囲で、報告書の対象となるコントロールの監査を要求する代わりに、それらの調査結果を受け入れることに同意するものとします。 

当社のDPAに関しては、https://www.liferay.com/legalをご確認ください。
 

保険
ライフレイは、セキュリティ侵害に対する賠償責任保険に加入していますか。
当社は、データ侵害を対象とした一般賠償責任保険(GL)とエラーズ・アンド・オミッションズ保険(E&O)に加入しています。
 
保険証券を共有していただけますか。
要請に応じて、また秘密保持の義務に従って、証券を提供できます。

法的根拠
個人データ処理の法的根拠及び目的は何ですか。
目的及び法的根拠を定めることは、管理者としてのお客様の義務です。お客様は、クラウドサービスを介してお客様の個人データを処理する目的で、当社がデータ処理者となり、お客様の指示に従い、クラウドサービスをお客様に提供するために必要な範囲でのみ(但し、それ以外の目的を含まない。)、お客様に代わって当該個人データを処理することを任命され、権限を付与されることに同意します。

データ保護当局への登録
ライフレイはデータ保護当局に登録されていますか。
Liferay UK Ltd.はICO(英国)に登録されています。それ以外は、当該要件は適用されません。

プライバシー・バイ・デザイン
ライフレイはプライバシー・バイ・デザインの原則を考慮していますか。
はい、新しい製品、サービス、プロセス(PIA/DPIA)の機能については対応しています。

追跡技術
Analytics Cloudで追跡に使用される技術は何ですか。
ローカルストレージとCookieです

ベンダー管理
ライフレイには、サービスプロバイダーや復処理者との契約に関するベンダー管理ポリシーがありますか。
はい、あります。 当社では、プライバシーとセキュリティのレビュー、及び適切な契約とDPAの締結のための法的レビューを行っています。 セキュリティレビューは毎年情報セキュリティ部門が実施します。

プライバシー規約

当社がお客様に代わってお客様の個人データを処理する際の法的条件は、下記をご覧ください。

データの処理に関する添付文書
データの処理に関する添付文書
ライフレイのデータの処理に関する添付文書(DPA)は、EEA、英国、ラテンアメリカ、メキシコに所在するLiferay SaaS、Liferay PaaS、Liferay Analytics Cloudのお客様にデフォルトで適用され、お客様のご要望に応じて契約に組み込むことができます。
Liferay PaaS(旧称:Liferay Experience Cloud Self-Managed):
本付属文書には、Liferay PaaS サービスのサブスクリプション提供に関連する個人データを管理する条件が記載されています。

ライフレイの復処理者

復処理者
ライフレイは、サービスを提供する目的で特定の復処理者を利用しています。

技術的及び組織的措置

技術的及び組織的措置
ライフレイはお客様のデータを保護するため、技術的及び組織的措置を継続的に強化しています。

プライバシー通知

お客様の情報管理に対する当社の取り組み

Webサイトプライバシー通知
本プライバシーポリシーは、Liferayウェブサイト(www.liferay.com)における個人情報の取り扱いについてお知らせするために作成されたものです。
求人応募者のプライバシー通知
このLiferay求人応募者プライバシー通知(以下「プライバシー通知」)では、当社の募集職種に応募する際に、当社が応募者の個人データをどのように収集し、使用するかについてお知らせします。

ホワイトペーパー:データ保護

Liferayサービスとソフトウェアのデータ保護
© Liferay Inc.