2019年5月
F‑Secure Cloud Protection for Salesforceは、Salesforceプラットフォームのネイティブセキュリティ機能を補完し、拡張するように設計されたクラウドベースのセキュリティソリューションです。このサービスは、Salesforce CloudにアップロードまたはSalesforce Clloudを通し共有されるファイルやWebリンク(URL)による脅威から組織を保護します。
本サービスでプライバシーに関わる主な内容は以下のとおりです。
このサービスに特化したポリシーは、お客様にもっとも関連があると思われる事項を重点的に取り扱うものです。係る事項には、特に ア)当該サービスが収集する個人データ及び私的データの種類、イ)それを何のために使うのか、 ウ)その理由、エ)典型的な開示、並びに オ)その保存期間があります。これらのテーマおよびその他、係る個人データの処理についての他の情報(データ主体の権利、連絡先情報等)の詳細は、埋め込まれたリンクからアクセスすることができます。
本ソリューションはネイティブSalesforceアプリケーションとF‑SecureのSecurity Cloudで構成されています。
F‑Secure Cloud Protectionアプリケーションは、顧客企業様のSalesforce組織にインストールされます。アプリケーションは、Salesforceプラットフォーム内のスタンダードまたはカスタムオブジェクトを使用し、Salesforceファイルまたは添付ファイルとしてアップロードおよび保存されたすべてのファイルを検査します。高度なマルウェア分析のため、F‑Secure Cloud Protectionアプリケーションは、F‑Secure Security Cloudに、評判が不明なファイルの実際のコンテンツを送信する場合があります。当該コンテンツはF‑Secure Security Cloudでスキャンされ、分析後ほぼ瞬時に削除されます。詳細については「保存」セクションをご覧ください。アプリケーションの構成で利用可能なプライバシーコントロール設定により、ファイルの実際のコンテンツの送信を無効にすることができます。
Webリンク(URL)は、チャターメッセージ、チャターコメント、ケースの説明、ケースのコメント、Emailメッセージの本文等の標準オブジェクトでのみ検査されます。 Webリンクのセキュリティ評価と分類を確認するため、F‑Secureクラウド保護アプリケーションはF‑Secureのセキュリティクラウドにそれを送信します。アプリケーションはWebリンクを含んでいる実際のメッセージまたは本文を送信することはありません。
F‑Secure Security Cloudは悪意のあるコンテンツまたは有害なコンテンツのデータをスキャンするクラウドベースの脅威分析および評価システムです。 セキュリティクラウドに送信されるデータは常に匿名化され、いかなる方法でも個々のユーザーに接続することはできません。
スキャンアクティビティによって収集されたデータのうち、結果については、アラートおよびスキャンイベントログを介し顧客企業様のSalesforceまたはIT管理者が利用可能になります。結果には以下が含まれますが、これらに限定されません。
顧客企業様のSalesforceまたはIT管理者は、従業員のIDと、本サービスにより提供される上記の結果を関連付けることができる可能性があります。それは、たとえば、管理者が本サービスにより検知されたセキュリティの問題に対処するために必要とされます。F‑Secure は、個人が特定できるような形式でこれらのデータにアクセスすることはできません。
サービスが意図していたように機能せず、問題の解決策が無い場合、顧客企業様のSalesforceまたはIT管理者はF‑Secureの専門知識を利用し問題を調査および解決することができます。こういった稀なケースでは、F‑Secureのサポートエンジニアは、Salesforceのサポートツールを介してリモートで顧客企業様のSalesforce組織のデータにログイン、アクセスすることがあります。リモートログインアクセス許可は、顧客企業様のSalesforce管理者によって明示的に与えられ、常に時間制限を有します。
リモートログインアクセスを介しF‑Secureサービスの問題を調査する際、F‑Secureサービスに関するデバッグログ以外のデータは、顧客企業様のSalesforce組織から収集されません。 F‑Secureは、当該データの管理人です。
顧客企業様の連絡先リストの連絡先データは、弊社ビジネスプライバシーポリシーに記述されている通りに処理されます。
F‑Secureおよび弊社の各顧客企業様の双方が、本サービスのコンテキスト内で行われるデータ処理の、それぞれに関連した領域に対して、独立したコントローラーとして操作を行います。
本サービスは、F‑Secureが本サービスで処理するデータが個人を特定しうる範囲において、以下の正当な利益を保護するためにデータを処理します。
本製品によるデータ処理は、顧客企業様のSalesforce組織内のデータに対する効率的な保護のために必須なものです。その一方で、個々の製品の設定により、Salesforce/IT管理者がF‑Secureによるセキュリティデータの処理を制限することができますが、そうした調整は推奨できません。なぜならば、それによって、本製品について意図されている上記の目的の達成が危険にさらされるからです。
サービスによって生成されたセキュリティデータは、その定められた目的により、顧客企業様のSalesforceやIT管理者が閲覧することができます。このサービスの監視を含め、会社がSalesforce/IT管理を外部委託している場合、当該外部請負業者もそのデータを利用できる可能性があります。
当社はお客様の個人情報の一部を当社のサービスのマーケティング、販売、管理、およびサポートをする販売パートナー(法人ITサービスのリセーラー、オペレーター、ウェブストア等)と交換(開示及び授受)します。当社はこれらの業者に対して、これらの業者が同意を得た活動を行うに際して必要な、そうした個人データへのアクセスを提供します。本データ共有のロジックはシームレスな顧客体験を提供することです。これには顧客マネジメント、サービスサポート、事故管理および問題解決、ダイレクトマーケティング、請求書発行等の活動が含まれています。
当社の販売パートナーは、お客様と、または当社の企業サービスの場合、お客様の雇用主と既存の顧客関係がある可能性があります。そのようなパートナーや法人顧客は、該当のプライバシーポリシーに基づき、お客様の個人データを独立したものとして処理します。お客様の個人データを扱う場合、私共の販売パートナーおよび法人顧客は、いかなる場合も、契約または法令を遵守しなければなりません。そのような各組織は、個人データの取り扱い、またその目的に関して独立して責任があると規定されています。
当社は、お客様の個人データの一部をF‑Secureグループ会社および当社のサービスを支援する当社の下請業者に転送または開示することがあります。
当社のクライアントの個人情報が下請業者に送信あるいは開示される必要がある場合、当社の下請業者との契約において、同意したサービス提供(サポート事案を解決するため、商品の発送において物流のパートナーに輸送するため、当社に代わりマーケティングメールを発送するため等)においてのみ、当該情報を使用することを求めます。当社は下請業者に対して、お客様に関連するデータを処理するにあたり、当社本文書における記述を遵守した方法で実施するように要求しています。
F‑Secureはグローバルに事業を展開しています。 そのため、当社の関連会社、下請け業者、流通業者、およびパートナーの中には、サービスを世界規模で展開するために、欧州経済地域外に拠点を置いているものがあります。F‑Secureの関連会社の住所などの情報は、F‑Secureの公式Webページから確認できます。
欧州経済地域外に個人データを転送する際は、当社は法の求めにしたがって個人データの転送を保護します。この保護は、関係する下請会社および F‑Secure グループ企業に対し、例えば欧州連合によって承認されたデータ転送に関する条項を使う等、適切な技術的安全対策または契約上保護条項を課すことにより実施しています。そのような条項の内容はこちらからご覧になれます。
当社は、正当な理由がある場合、または結果として生じるプライバシーのリスクを評価した後にのみ、グローバルまたは国をまたぐデータの転送を行います。
当社はフィンランドとヨーロッパの経済圏により機密性の高い顧客データを保有しており、当社の管理下に置いています。
個人情報の使用または開示が正当化または許可される場合、あるいはお客様の同意なしに、またはサービスの供給から独立して適用法により情報を開示する義務のある場合など、個人情報保護方針の対象とならない状況があります。
そのような例として、裁判所の命令または関連法域の当局が情報の作成を受け入れさせるために発行した令状に従うこと、すなわち裁判所のルールの順守があります。
同様に、限られた情報群を第三者に開示することが正当的、合法的な権利が発生する状況もあります。そのような開示の例としては、当社が責任に対して自らを保護する必要がある場合、不正行為を防ぐため、当社製品がお客様の期待通りに機能していることを確認するためにお客様の当社製品の使用状況を分析し、有害な経験に対応できるようにする場合、進行中の問題を解決または抑制するために必要な場合、あるいは保険会社や政府規制機関の正当な情報要求を満たす必要がある場合などがあります。そのような行為においては、適用される法律に従って行動します。
販売、合併、分割、または F‑Secure のその他の企業再編など、企業取引の一環としてお客様の個人データを転送する必要がある場合もあります。F‑Secure グループは、その時の運用モデルで要求されているとおり、内部でデータを開示し転送します。しかしながら、その情報開示は、処理する意図された目的のためにそれを知る必要があるグループ会社、部署、チーム、および個人にのみ限定します。
当社はお客様の個人情報の保管場所および方法を決める際に、各開示用件を慎重に検討し、そのような開示要求の可能性を考慮します。
お客様やデバイスから上記のデータの大部分を直接収集する一方、関連会社、販売パートナー(オペレーターや小売店等)、お客様がサービスを購入する会社などからデータを受け取ります。そのような会社は転売業者である可能性もありますが、当社の外部Webストアパートナーも含みます。基本的な個人情報(購入品の注文データ)や当社のサービスが販売された集計分析データも取得します。そのような他の情報源はお客様にサポートサービスを提供する下請業者、当社のマーケティング活動を支援する広告パートナーも含むことがあります。
シームレスなカスタマーエクスペリエンスを実現し、サポートケースの解決のために必要な情報を得るために行います。
「第三者収集」の典型例は以下の通りです。
当社のサービスは、当社とパートナーと共同で提供しており、当社のサービスおよびウェブサイトは、第三者のサービスの埋め込み、または相互運用の場合があります。 このプライバシー文書は、個人データが F‑Secure の影響範囲内にある限り、その個人データにのみ適用されます。お客様の個人データが他の組織によって個別の目的のために処理される場合、組織は、自身の方針に従うと共に、データ保護法の下でお客様の権利を遵守し、正当な方法でお客様の個人データを処理する責任を有します。
最も普及したシナリオは下記の通りです。
顧客企業様により管理されるデータ
アラートやファイル、URLスキャンイベント等のスキャンの結果は、F‑Secure Cloud Protectionアプリケーションで設定された保存期間に応じ、顧客企業様のSalesforce組織内に保存されます。顧客企業様のSalesforceまたはIT管理者はいつでも削除し、また必要に応じバックアップを作成できます。
F‑Secureにより管理されるデータ
匿名化されたセキュリティデータとサービス統計は、データが収集された目的に貢献する限り、予め決められた終了日なく保存されます。例外として、企業顧客様のファイルコンテンツの機密性とプライバシーを保護するため、サービスオートメーションは、分析後にほぼ瞬時に疑わしいと判断されないコンテンツを削除します。
上記に述べられているその他のデータの種類 (テクニカルサポートデータ、連絡先情報など) は、それぞれについて規定されているプライバシーポリシーに定める期間、保存され、その期間終了後は、削除または匿名化されます。
この記載はサービス別の保持期間について補足するものです。法律に基づく基本ルールとしては、個人データは使用目的のために必要なくなった時点で削除または匿名化することになっています。
ただし、一部の個人データの保持期間は、その理由に応じてそれぞれ延長される必要があります。
基本の保持期間を当社が変更する主な理由の例を以下に示します。
お客様と当社との間におけるその他のやりとりに支障をきたすことを避けるため、お客様のアカウントを最終的に削除するのが遅れる場合があります。これは、お客様が F‑Secure のアカウント(例:お客様のEメールアドレスを使用する当社の消費者サービスに申し込まれているような場合)をお持ちで、尚かつ F‑Secure コミュニティアカウントをお持ちの場合、または当社の広告メッセージの受信を継続される場合などです。F‑Secure コミュニティアカウントの削除規定はそのサービス規約内に記載されています。当社の広告メッセージの受信はいつでもオプトアウトすることができます。
オペレーターパートナーを通じてサービスを購入した場合、アカウントの削除は該当するオペレーターパートナーによって制御されます。パートナーがお客様の契約が終了したことを当社に通知した場合、F‑Secureはアカウントを削除し、アカウントに関連する個人データを削除または匿名化します。
テクニカルサポートの提供時にお客様から情報を受け取った場合、サポートケースが解決しない限り、その情報は保存されます。サポートケースが解決されると、該当する情報は解決してから2年以内に徐々に削除されるか、匿名化されます。
ユーザの同意を得て収集された分析データは、統計目的で保持され、個人データとユーザアカウントの削除時に削除されません。アカウントの削除後、分析データは識別可能なユーザまたはアカウントと関連付けすることはできません。
個人情報を含まないデータ(集積分析データ等)は収集された目的に対して有用であり続ける限り、保持されます。
データを安全に管理するために当社が採用しているセキュリティ対策についての情報
当社では、お客様の個人情報を転送、保管、取り扱う際、その機密性、完全性および可用性を保護するための、厳格なセキュリティ対策を適用しています。
お客様の個人情報の紛失、誤用、あるいは不正なアクセス、開示または変更のリスクを下げるために、物理的、行政的、技術的セキュリティ対策を講じています。
すべての個人データは、F‑Secureまたは当社のパートナーが運営する安全なサーバーに保管され、権限のあるセキュリティ担当者にのみアクセスが制限されています。
法律上の権利と当社への連絡方法についての情報
お客様について当社が有するデータについては権利はお客様に帰属します。特に、お客様について当社が有する個人情報には下記の権利を有します。
お客様はカスタマーケア機能を通して、権利を行使することができます。当社に連絡するためのリンクは「連絡先情報」にあります。
当社の守秘義務、企業秘密の権利、そして当社のサービスを提供する義務(例:お客様の雇用主)によって、お客様の個人情報の開示や削除、そしてお客様の当該権利の執行を妨げることがあります。お客様の上記の権利は、F‑Secure がお客様の個人情報を処理する根拠となる法的根拠にも依存しています。
もしお客様が、当社がお客様の法的権利を有効にしていないと感じられることがあれば、お客様は所轄官庁に苦情を申し立てる権利を有します。ほとんどの場合、当該官庁はフィンランドデータ保護オンブズマン(www.tietosuoja.fi)となります。
当社の個人情報保護方針に記載されている事項に関してご質問やご不明点がございましたら、下記までご連絡ください。
F‑Secure Corporation
Tammasaarenkatu 7
PL 24
00181 Helsinki
Finland
お問い合わせ方法:
定義と変更管理に関する情報。
本方針において、一定の言及を行う際に意味するものです。
「顧客」または「お客様」とは、当社のサービスを購入、利用登録、または利用し、また、当社のサービスによりそのデバイスおよびデータトラフィックが保護されている、あるいは当社に個人を特定できる情報を送信する可能性のある、個人または法人ユーザーあるいはその他のデータ主体を指します。この情報は、当社のサービス、Webサイト、電話、電子メール、登録フォーム、または他の類似手段を介して提供されています。
「個人情報」とは、個人またはその家族または世帯員に対して識別可能な、個人に関する情報のことです。かかる情報には、氏名、電子メールアドレス、住所、電話番号、請求や会計に関する情報、およびサービスの提供中に処理されるお客様とデバイス、あるいはそのいずれかの行動や動作に関連付けできる技術的な情報が含まれます。
「サービス」とは、ソフトウェア、Webソリューション、ツール、関連するサポートサービス等、 F‑Secure が製造または配布するサービスあるいは製品を指します。
「Webサイト」とはf-secure.comにあるWebサイトおよびサブサイトやブラウザベースのサービスポータルを含め、F‑Secureがホストあるいは管理しているその他のWebサイトを含みます。
本版の個人情報保護方針は既存の方針の内容を明確化、更新、またはそれにとって代わるものです。本方針を最新の状態とするために、将来に渡り適宜加筆修正を行います。
ポリシー文書が変更された場合には、Webサイトまたは以前掲示したインタラクションポイントにその旨を公開します。重大な変更の場合には、他の方法でお知らせすることもあります。 いかなる変更も、当社がWebサイトに改定したポリシー文書を掲示した日から適用が開始されます。