GDPRに対するOutSystemsの対応

データ保護に対するコミットメント

OutSystemsは、プラットフォームとサービスへの信頼に応えること、そしてプライバシー、セキュリティ、コンプライアンスへのアプローチを重要視しています。最も大切なのは、ユーザーが成功することであり、ユーザーのデータが保護されることです。セキュリティコンプライアンスに関しては、OutSystemsは業界でも最高水準のも包括的なポートフォリオを誇り、ISO 27001、ISO 22301、SSAE SOC 2 Type 2などの主要規格に対応しています。また、OutSystemsでは、Cloud Security Allianceの「GDPR 準拠の為の行動規範」を採用し、データ保護責任者（DPO）を配置しています。

データ処理に関わる当事者

「データ処理」は幅広い言葉です。基本的には、個人データを扱い、利用するすべての行動を指しています。たとえば、OutSystemsをクラウドで利用しているユーザーがエンドユーザー向けのアプリケーションを構築・管理している場合、OutSystemsはこうしたユーザーの代わりにデータを処理することがあります。GDPRによると、OutSystemsは、ユーザーが設定した目的に限定してデータを処理する必要があります。この場合、エンドユーザーがデータ主体、OutSystemsがデータ処理者、そしてユーザーがデータ管理者となります。

ユーザーが収集した個人データを処理しているため、OutSystemsには次のことを行う責任があります。

• データ処理に関する合意に基づいてユーザーの指示に従うこと。
• OutSystems Cloudに実装しているセキュリティ管理に関して詳細な情報を提供すること。
• データを記録・管理する責任を果たすこと。
• データ主体としてデータのアクセス権および消去権を行使するリクエストをエンドユーザーから受けた場合、ユーザーに通知すること。
• EUの個人データ保護機関からリクエストを受けた場合、ユーザーに通知すること（法律によって禁止されている場合を除く）。
  
  

ユーザーによる管理

ユーザーは、OutSystemsの機能を活用してGDPRに対応することができます。OutSystemsに組み込まれたセキュリティ機能と利用可能なコンポーネントライブライリによって、アクセス管理、監視、ロギング、暗号化などを行うことが可能です。OutSystemsは、個人データの検出、データの匿名化、ルールベースのデータアクセス、静的なコード分析などのツールを提供しているか、またはこれらのツールと連携することができます。こうしたツールの多くは、GDPR対応を念頭に設計されています。