GDPRに対するOutSystemsの対応

ヨーロッパの居住者に対してより高いレベルのデータ保護と管理を提供するために導入されたGDPRは、全世界に影響を及ぼしています。GDPRは、個人情報の収集・利用方法の透明化を企業に義務付けることによって、データの利用における責任を明確にすることを目的としています。OutSystemsは設立当初から、このようなデータ利用に取り組んできました。OutSystemsは、ユーザーのデータをユーザーの希望に応じて利用するようにし、また、OutSystemsプラットフォームの使用によってユーザーがコンプライアンスを実現できるようにすることでユーザーとの関係を強化できると考えています。

データ保護に対するコミットメント

OutSystemsは、プラットフォームとサービスへの信頼に応えること、そしてプライバシー、セキュリティ、コンプライアンスへのアプローチを重要視しています。最も大切なのは、ユーザーが成功することであり、ユーザーのデータが保護されることです。セキュリティコンプライアンスに関しては、OutSystemsは業界でも最高水準のも包括的なポートフォリオを誇り、ISO 27001、ISO 22301、SSAE SOC 2 Type 2などの主要規格に対応しています。また、OutSystemsでは、Cloud Security Allianceの「GDPR 準拠の為の行動規範」を採用し、データ保護責任者(DPO)を配置しています。

 

データ処理に関わる当事者

「データ処理」は幅広い言葉です。基本的には、個人データを扱い、利用するすべての行動を指しています。たとえば、OutSystemsをクラウドで利用しているユーザーがエンドユーザー向けのアプリケーションを構築・管理している場合、OutSystemsはこうしたユーザーの代わりにデータを処理することがあります。GDPRによると、OutSystemsは、ユーザーが設定した目的に限定してデータを処理する必要があります。この場合、エンドユーザーがデータ主体、OutSystemsがデータ処理者、そしてユーザーがデータ管理者となります。

ユーザーが収集した個人データを処理しているため、OutSystemsには次のことを行う責任があります。

  • データ処理に関する合意に基づいてユーザーの指示に従うこと。
  • OutSystems Cloudに実装しているセキュリティ管理に関して詳細な情報を提供すること。
  • データを記録・管理する責任を果たすこと。
  • データ主体としてデータのアクセス権および消去権を行使するリクエストをエンドユーザーから受けた場合、ユーザーに通知すること。
  • EUの個人データ保護機関からリクエストを受けた場合、ユーザーに通知すること(法律によって禁止されている場合を除く)。

ユーザーによる管理

ユーザーは、OutSystemsの機能を活用してGDPRに対応することができます。OutSystemsに組み込まれたセキュリティ機能と利用可能なコンポーネントライブライリによって、アクセス管理、監視、ロギング、暗号化などを行うことが可能です。OutSystemsは、個人データの検出、データの匿名化、ルールベースのデータアクセス、静的なコード分析などのツールを提供しているか、またはこれらのツールと連携することができます。こうしたツールの多くは、GDPR対応を念頭に設計されています。

 

関連リソース

マネージドサービス、SaaS、その他のクラウドサービスプロバイダにGDPRが与える影響については、こちらの記事をご覧ください。OutSystemsにおける個人データの処理方法について質問、コメント、リクエストがある場合は、OutSystemsのプライバシーステートメントをご覧ください。