Created with Sketch.

Recovery Email

Your account give you access to even more premium content, don't lose access to it. Provide a recovery email below.
  • Secondary E-mail

FAQ

ServiceNow のデータ処理アネックス (「DPA」) とデータセキュリティガイド (「DSG」) をご確認いただきありがとうございます。以下には、ServiceNow クラウドサービスに送信した個人データを保護するために設計された、ServiceNow のプライバシーおよびセキュリティプログラムに関する情報が記載されています。

ServiceNow の DPA と DSG は、関連するデータ保護法のもとでのデータ処理者としての当社の義務と、データ管理者としての御社の義務について言及しています。この FAQ では、DPA および DSG に関する一般的な質問に対する回答と、フォームの相違点について説明しています。具体的には、当社のサービスを運用する通常の過程において、当社が提供するクラウドベースのサービスを利用することで、お客様が入力したデータの内容を当社がレビューまたは分析することはありません。そのため、個人データがサービスのインスタンスにアップロードされているかどうかは当社側ではわかりません。したがって、お客様は、顧客およびデータ管理者として、データのレビューや分析を義務付けた関連するデータ保護法の義務への準拠に対する主な責任を負います。これらの理由により、お客様が規制要件を満たしながら、当社が提供するクラウドベースサービスの運用の現状を反映させるために、DPA と DSG が起草されています。

1.     個人データに関する ServiceNow のセキュリティ義務とはどのようなものですか?

ServiceNow は、堅牢なセキュリティプログラムを実装および維持することで、当社が処理する個人データの保護に取り組んでいます。DPA の 4.3 項 (データセキュリティ対策) および DSG の 2 項 (物理的、技術的、管理的なセキュリティ対策) で、ServiceNow がお客様のデータを保護するために採用している技術的、物理的、組織的なセキュリティ対策について具体的に詳しく説明しています。

標準化されたクラウドベースサービスの提供者として、ServiceNow はデータに依存しないセキュリティプログラムを維持しています。つまり、ServiceNow 環境内でお客様が処理するデータのカテゴリーや機密性にかかわらず、同じセキュリティ対策を実装しています。したがって、データの内容を把握しているのはお客様だけなので、お客様の環境内で処理あるいは処理予定のデータに対して当社のセキュリティプログラムが十分かどうかを精査して判断するのはお客様の責任です。これについては DPA の 2.2 項(セキュリティリスクアセスメント)で詳しく説明しています。

2.     ServiceNow は、データ保護法によって義務付けられているデータの所有権の遵守に関して、どのようにお客様を支援しますか?

ServiceNow クラウドソフトウェアは、個人データのアクセス、訂正、修正、消去およびブロックを支援する機能を提供し、さらにお客様が個人データを転送・移植することを可能にします。

3.     データ管理者としての顧客の監査権限はどのようなものですか?

ServiceNow は、データのプライバシーとセキュリティプログラムに関する透明性を強く確信しています。DSG の 4.2.1 項 (監査) に従って、現在のお客様は、情報および文書の包括的リポジトリである ServiceNow CORE へのアクセスを要求することができます。これには、ポリシー、手順に加え、ISO 27001 や ISO 27018 などの国際的に認められた規格に対する当時最新の第三者による監査レポート、および SSAE 18/SOC 1 および SOC 2 タイプ 2 などのセキュリティ規格に対する独立した第三者によるアセスメントが含まれます。

ServiceNow は、お客様によるオンサイトの監査または検査の実施を認めていません。そのような監査によって、当社のプライバシーおよびセキュリティプログラムに関して ServiceNow CORE に含まれる文書以上に詳細なインサイトが得られることはほとんどないからです。さらに、オンサイト監査は両者にとってコストがかかる上に、不要なセキュリティリスクが生じる可能性があります。

4.     ServiceNow はサブプロセッサを使用していますか?ServiceNow が使用を予定している今後のサブプロセッサについて、どのように通知しますか?

ServiceNow は、お客様に世界クラスのサービスを提供することに注力しています。これには 24 時間 365 日のライブテクニカルサポートが含まれます。当社のサービスを提供し、サポートするために、ServiceNow は米国、英国、オーストラリア、インドを含む世界中の関連会社と連携しています。

ServiceNow は、処理サービスを提供するために第三者に協力を依頼することもあります。ただし、新しいサブプロセッサを採用する前に、ServiceNow は DPA の 8.1.2 項 (新規サブプロセッサ) に従ってお客様にお知らせします。8.2 項 (異議を述べる権利) に従い、お客様は ServiceNow が提案するサブプロセッサの使用に対して異議を唱えることができます。

5.     ServiceNow はどのようにしてデータ侵害について顧客に通知しますか?

お客様のデータに影響を与えるセキュリティインシデントが発生した場合、ServiceNow は、カスタマーサポートポータルで指定されたお客様の連絡先に初期報告を提供します。お客様は、適切な担当者がサポートポータルにリストされていることを確認する責任を負います。

6.     欧州連合から個人データを転送するために ServiceNow が使用する法的機構はどのようなものですか?

ServiceNow は「Data Transfer and Processing Agreement (データ転送および処理契約)」をグループ内に導入しています。その中の「Standard Contractual Clauses (標準契約条項)」と追加のデータ保護対策は、DPA と DSG に詳しく規定されています。ServiceNow の製品、サービス、操作の手順は、製品ライフサイクルとシステムアーキテクチャ全体にわたり、堅牢なデータ保護対策を組み込むように設計されています。

ServiceNow の DPA および DSG について他の質問がある場合は、privacy@servicenow.com にお問い合わせください。