Bentley GDPRコンプライアンスステートメント
GDPR関連のBentleyの取り組み
GDPRは、すべての人のためになる、さらに強固な保護基盤を構築する機会となるものです。Bentleyは、自社の製品およびサービスがGDPRに準拠するよう取り組んでいます。
GDPR準拠に関する声明
このステートメントは、Bentleyのお客様に、GDPRの影響、BentleyがGDPRの遵守を徹底するための対策、アカウントおよびユーザー(データ管理者となる)のGDPRの義務遂行を支援するBentleyのアプローチに関する情報を記載しています。
GDPRの概要
一般データ保護規則(以下「GDPR」といいます)は、EU居住者の個人データの使用を規制し、個人が自分のデータを制御する権利を提供する包括的なデータ保護法です。GDPRは、欧州の企業だけでなく、EU居住者にサービスや製品を提供する世界中のあらゆる組織に適用されます。
GDPRでは、企業が個人データの使用について透明性と説明責任を果たすこと、また、規制当局と関係者の双方にそのことを実証できることが求められます。個人データをEU域内に保持する義務はありませんが、欧州経済圏外への移転は制限されます。つまり、欧州委員会が移転先の国の個人情報保護体制を評価して「十分性」が認定されない限り、契約やその他のEUが承認した措置によってデータをさらに保護する必要があります。十分性認定を受けていない国への移転については、Bentleyのデータ処理補足条項 にて、EUが承認している措置、すなわち欧州委員会の標準契約条項を組み込んでいます。お客様はこの条項による保護を基に、Bentleyのサービスを利用してEUの個人データを移転することができます。
BentleyのGDPRコンプライアンスについて詳しくは、以下をお読みください。
コンプライアンス、アカウントおよびユーザーのサポート
Bentleyは、Bentleyの製品およびサービスをユーザーに提供するにあたりGDPRを遵守しています。Bentleyは、当社ユーザーがGDPRに定められたそれぞれの義務を履行するための支援にも尽力しています。これらの取り組みを推進するために、専任のデータ保護責任者を含む専門チームを設立、整備しています。さらに、GDPRに定められた義務を履行するうえで必要に応じて、サービス、契約、ポリシー、および内部プロセスを強化してきました。
お客様からの指示の遵守
Bentleyは、データ処理者として、該当するアカウントおよびユーザーの指示に従う形でのみ個人データの処理に当たることを徹底しています。Bentleyは、個人データにアクセスできるBentleyのすべての従業員が、関連するアカウントおよびユーザーの代理として、その書面による指示に従った形でのみ個人データの処理に当たることを徹底するために、内部ポリシーを更新しました。さらに、確実にBentleyのアカウントおよびユーザーがGDPR要件を遵守できるように、データ処理補足条項 を契約書に組み込んでいます。
Bentleyは、データの種別に応じて異なる役割を担いますが、GDPRの義務以上の対策を講じるよう取り組んでいます。
データ最小化
Bentleyは、当社ユーザーの代理として関連するサービスを提供するうえで必要な最小限の個人データのみ収集し、処理します。また、Bentleyは機密または特殊データに分類される個人データの収集または処理は行いません。
データ保護影響評価
データプロセッサとして、Bentleyは、データ移転影響評価や必要となる可能性のある事前協議など、お客様のデータ保護影響評価のサポートに取り組んでいます。データ管理者として、BentleyはGDPRにより課される義務を遵守しており、Bentleyのデータ保護チームは、個人データが使用または収集される領域に関してプライバシー影響評価を定期的に行います。
データ保護に関するトレーニングおよび意識向上
Bentleyは、すべての従業員がGDPRの義務を認識し、各自の役割が担う責任について年次トレーニングを完了することを確実にしています。データ保護に関するトレーニングと意識向上への取り組みは、GDPRの義務以上の対策を講じるというBentleyの取り組みに寄与するものです。
個人の権利
Bentleyは、データ主体からのGDPRに基づく自らの権利の行使を目的とする要請に対応する当社の義務の履行を促進するために、ITシステムおよび内部ポリシーを更新しました。
セキュリティ
Bentleyは、個人データの処理においてGDPRの要件を満たすための適切な技術的および組織的対策を導入し、運用しています。こうした対策には、個人データのセキュリティ、機密性、可用性、および完全性を確保するための技術的および組織的対策(個人データの不正や違法な処理および偶発的または違法な破壊、損失、改変、破損、不正開示、またはアクセスの防止策など)も含まれます。かかる技術的および組織的対策には以下のものが含まれます(データ主体へのリスクに基づいて適宜導入されます)。(a)個人データの偽名化および匿名化、(b)処理システムおよびサービスの継続的な機密性、完全性、可用性、および信頼性を確保する能力、(c)物理的または技術的なインシデントの発生時に個人データの可用性やアクセス性を速やかに回復する能力、および(d)技術的および組織的対策の有効性を定期的に検証および評価し、個人データの処理におけるセキュリティを確保するためのプロセス。
Bentleyは、Bentleyユーザーの代理として処理するすべての個人データを機密情報として扱い、Bentleyにおいて個人データの処理に従事するすべての従業員、エージェント、および請負業者がかかる個人データに機密性があることを認識するよう万全を期しています。Bentleyは、(a)個人データへのアクセスが関連するアカウントおよびユーザー契約に従ってサービスを実施する者のみに制限されること、および(b)かかるすべての従業員、エージェント、および請負業者が機密保持について確約し(または適切な法律上の守秘義務を負い)、それぞれの責任に関する適切なトレーニングを受けていることを保証します。
Bentleyは、BentleyのアカウントおよびユーザーがGDPRに定められたそれぞれのセキュリティ義務を遵守できるよう支援します。
Bentleyは複数のセキュリティ認定を取得しており、Bentleyがセキュリティのベストプラクティスを実践していることが第三者により保証されています。
Bentleyのセキュリティの詳細をご確認ください。
監査権
Bentleyは、業界標準の証明や認定を取得するなど、さまざまな理由から、内部および外部の監査を定期的に行っています。データ処理補足条項 において、BentleyがGDPRの義務などのデータ保護義務を遵守していることを、お客様が検証することを認める監査権に対する当社のアプローチを詳細に説明しています。
個人データの漏洩への対応
Bentleyは、個人データの漏洩を発見した場合、不当な遅延なくアカウントおよびユーザーにかかる個人データの漏洩を通知できるよう、必要な変更をポリシーに加えました。Bentleyは、アカウントおよびユーザーの指示に従い、内部調査または法執行機関などの第三者による外部調査を伴う合理的な支援や協力も行います。
サブプロセッサの利用
Bentleyは、慎重に選定したサブプロセッサに業務を委託します。委託業務によっては、実施のために追加のサブプロセッサへの委託が必要となる場合があります。その場合、Bentleyは追加のサブプロセッサを こちらに掲載します。Bentleyでは、セキュリティおよびプライバシーを最優先事項に位置付けています。そのため、コンプライアンス確保のために、業務を委託する各サブプロセッサにデータ保護条項の遵守を義務付けています。
越境データ移転
Bentley has incorporated the latest European Commission’s standard contractual clauses into our Data Processing Addendum. Further, Bentley has issued a notice regarding its Certification Under the Data Privacy Framework Program.
法執行機関の要請
Bentleyは、管轄の法執行機関から有効な法的手続きを受けた場合、Bentleyがホストするデータを開示することが法的に義務付けられています。データ処理補足条項 では、政府からの、Bentleyのアカウントやユーザーに関するデータの開示要求について、Bentleyの方針と実務について詳しく説明しています。
お問い合わせ
Please contact Bentley’s Data Protection Officer (DPO) with any questions or concerns.
Email:
[email protected]
Address:
Data Protection Officer
Bentley Systems International Ltd.
6th Floor, 1 Cumberland St, Fenian St
Dublin 2, D02 AX07
Ireland