Privacy Trust Center

Akamai のデータ保護

Akamai は、高速でインテリジェント、かつ安全なデジタル体験を実現する企業であると信頼されています。Akamai の個人データの処理方法が、その信頼の重要な要素を担っており、お客様、お客様のエンドユーザー、従業員、およびオンラインユーザーのプライバシー保護に努めています。Akamai は、北米・南米、ヨーロッパ、およびアジアでのデータ保護法を含め、Akamai が事業を運営しているすべての国での法律を順守しています。

Akamai のデータ保護とプライバシー保護プログラムは、グローバルプライバシー原則を順守することで、Akamai が処理する個人情報を保護します。この重要な取り組みは、Akamai の Chief Data Protection Officer が代表を務める Global Data Protection Office で管理しています。

Akamai のデータ保護とプライバシー保護プログラム。 詳細はこちら。

Akamai の個人データおよび機微な情報の保護。 詳細はこちら。

Akamai ベンダー向けのデータ保護規則。 詳細はこちら。

Identity Cloud と GDPR

Identity Cloud は、カスタマーアイデンティティとプロファイルデータを安全に取得して管理し、アプリケーションやサービスへのカスタマーアクセスを制御します。

きめ細かいデータアクセス制御から、企業によるお客様からの同意の管理にいたるまで、Akamai の導入によってグローバルブランドはお客様のプライバシー保護に対する期待を超え、データ保護に関する規制要件を満たすことができました。

ホワイトペーパー「Akamai Identity Cloud によるデータプライバシー要件への対応ガイド」をご覧ください。

CIAM による GDPR コンプライアンスのニーズを満たす方法について詳しくは、Identity Cloud のページをご覧ください。

詳細はこちら

リソース

Akamai データ処理契約 — 顧客向け
この契約により、顧客との Akamai 契約条件が補完および修正されます。

詳細はこちら


Akamai データ処理契約 – パートナー様向け
この契約により、Akamai とパートナー様とのチャネル契約が補完および修正されます。

詳細はこちら


Akamai データ処理契約 – ベンダー向け
この契約により、Akamai とベンダーとの Master Service Agreement(マスターサービス契約)および/または購入条件が補完および修正されます。

今すぐダウンロード


個人データのセキュリティを確保する技術的かつ組織的な対策
この概要では、サービス提供時に処理する個人情報のセキュリティを確保するために、Akamai が講じている技術的かつ組織的な対策について概説します。

詳細はこちら


Akamai がサーバーを保有する国
このドキュメントには、Akamai がサーバーの接続拠点を持つ国と、Akamai サーバーを所有する子会社の一覧が記載されています。

詳細はこちら


Akamai のサービスプロビジョニングのためのサブプロセッサー

詳細はこちら


HIPAA および HITECH への適合

詳細はこちら


Akamai の個人データ処理の概要

詳細はこちら


Akamai による国境を超えたデータ転送

概要

世界のデータ保護およびプライバシー法には、特定の司法管轄区域の組織から別の司法管轄区域の別の組織にデータを転送する際に、個人情報を保護するためのメカニズムが規定されている場合があります。この国境を超えたデータ転送に関するメカニズムは、転送先の司法管轄区域に転送元の司法管轄区域と同等の保護が用意されていない場合に個人情報を適切に保護するためのものです。

例:
アルゼンチンの法律では、このメカニズムは「Argentina Model Clauses on International Data Transfer」に該当し、保護が適切な水準に達していない区域(米国など)に向けたアルゼンチンからのすべての個人データ転送に適用されます。

EU の法律のもとで最も一般的に使用されている転送メカニズムは次のとおりです。

  • 拘束的企業準則
  • EU 標準契約条項

Akamai のデータ転送

Akamai は、サービスを提供、開発、改善するうえで、さまざまな形で国境を超えたデータ転送を行っています。例えば、セキュリティ分析、脅威分析、請求、サービス提供などを目的として、IP トランザクション・ログ・ファイルに含まれる個人データ(エンドユーザーの IP アドレスなど)を、現地の Akamai 営業法人と米国本社である Akamai Technologies, Inc. の間で転送し処理することがあります。

Akamai は、お客様へのサポートサービスを実施する際にも、IP トランザクション・ログ・ファイル内の個人データを転送します。24 時間体制のサポートを保証するため、Akamai では、米国、EU、インドの主要サポート拠点が連携し、「24 時間対応」方式でサポート業務を行っています。サポートサービスを提供している Akamai 関連会社のリストは Privacy Trust ポータルの Akamai サブプロセッサー一覧 でご確認いただけます。

お客様が使用するインターネットサイトおよびアプリケーションがお客様の個人情報を収集もしくは処理する場合、またはサービスを利用するユーザーに個人情報を送信する場合、Akamai はコンテンツ配信サービスの一環として個人情報を転送することもあります。このようなトラフィックに関連したセキュリティルールの処理以外に、Akamai は基本的にこうしたデータの伝達手段として機能しています。この機能の性質は完全に、お客様の Web サイトやアプリケーションの設計およびエンドユーザーとのやり取りによって決まります。

各地域のデータ転送メカニズム

アルゼンチン
Argentinian Model Clauses on International Data Transfer

Akamai は、Akamai Technologies Argentina S.R.L. と Akamai Technologies Inc. の間で、Argentina Model Clauses on International Data Transfer を締結し、Akamai サービスをお客様に提供する際に行われるアルゼンチンから米国への個人データの転送において、アルゼンチンのエンドユーザーの利益が適切に保護されるようにしています。お客様とパートナーの皆様は、 Akamai が署名した Argentinian Model Clauses on International Data Transfer をダウンロードして連署できます。

ブラジル
標準契約条項

ブラジルから第三国に個人データを転送する場合、LGPD と GDPR が類似していることから、ブラジルのデータ保護監督機関から国際データ転送に関するガイダンスが出されるまで、Akamai はヨーロッパで承認されているデータ転送メカニズムに準拠します。Akamai は Akamai Tecnologias e Serviços do Brasil Ltda. と Akamai Technologies Inc. の間に国際データ転送に関する EU 標準契約条項に基づいた契約上の義務を定めています。ブラジルのお客様とパートナーの皆様は 国際データ転送に関する EU 標準契約条項に基づいた同様の契約条項 をダウンロードして連署できます。

EU
EU 標準契約条項 

Akamai は、EU における国境を超えたデータ転送メカニズムについては、EU 標準契約条項(「EU SCCs」)に従っています。1

Akamai では、データ転送元である EU の Akamai 営業法人と、データ転送先の Akamai Technologies, Inc. が EU SCCs Module 3 Processor to Processor を締結し署名しています。 
Akamai は、SCC の第 7 条に従い、お客様とパートナーの皆様が 付属文書 I Aに署名するだけで、これらの SCC に同意できるようにしています。

お客様またはパートナーの皆様が Akamai と直接 EU SCC を締結することを希望される場合は、以下の署名に対応いたします。

または

Akamai は、 Schrems II 事案の判決を受け、米国に転送されるデータを保護するために導入していた契約、技術、および組織上の保護策を見直すとともに、CJEU の判決対象となった特定の政府監視法の適用性についても検討しました。その結果は以下のとおりです。

  • Akamai は、米国適用法で定めるところの「電子通信サービスプロバイダー」ではないため、FISA 702 に基づくアクセスリクエストの適用対象外となります。
  • Akamai は、お客様が Akamai サービスを設定する際に、お客様の Web プロパティに含まれる個人データが伝達経路としての Akamai エッジサーバーを通過して、Akamai エッジサーバーに保存されないようにすることを推奨しています(つまり、Akamai Edge で個人データを「キャッシュ可能」に設定しないようにする必要があります)。
  • お客様の Web プロパティに含まれる個人データの転送時には、お客様が選択および設定した暗号化メカニズムによって保護されます。 Akamai の情報セキュリティプログラム の概要に、お客様の Web プロパティに Akamai が適用しているセキュリティ対策についてのおおまかな説明があります。NDA を締結されているお客様およびパートナーの皆様には、ご要望に応じて、このプログラムの全情報を提供しています。
  • Akamai サービスの実行時に処理される個人データを保護する目的で更新された技術上および組織上の対策については、Privacy Trust Center でご確認いただけます。更新版では、データの処理目的を妨げることなく、(また Akamai の DPA で定められている「記録された個人データ」の一部として)エンドユーザーの IP アドレスを処理する際に Akamai はエンドユーザーを特定しないという事実にも抵触しない場合、Akamai は保存する個人データを匿名化することが強調されています。
  • Akamai が米国に転送するデータは、エンドユーザーがお客様の Web プロパティにアクセスする際に作成されるログファイル内に記録されているエンドユーザー IP アドレスとその他のメタデータです(Akamai の DPA における「記録された個人データ」に該当します)。転送される個人データを第三者による不正アクセスから保護するために、Akamai のネットワークおよびシステムには厳格なアクセス制御が適用されています。
  • Akamai は、エンドユーザーを特定せず、エンドユーザーのプロファイルも作成しないため、Akamai にとってエンドユーザーの IP アドレスは匿名化されたデータです。
  • Akamai は、サービス提供、トラフィックおよびセキュリティの分析を目的として、エンドユーザーの IP アドレスを処理します。この目的に関して、エンドユーザーの特定は必要とされません。
  • この問題に関するガイダンスにおいて、米国の政府機関は、監視を目的としたメタデータ(記録された個人データ)には関知しないことを認めています。2
  • Akamai は、Akamai インフラに対する米国またはその他の国の政府機関によるアクセスを自発的に許可していません。
  • Akamai は、法律上正当である場合、法執行機関からの要求に異議を申し立てます。Akamai が法執行機関から頻繁に受ける要求は、IP アドレスに関する詳細情報の要求です。Akamai はお客様のエンドユーザーを特定していないので、要求されたデータを保持していません。そのため、こうした要求に意義を唱え、当社の業務について説明しています。
Akamai は、お客様とパートナー様がデータ転送リスクを評価できるようにするため、Akamai サービスの概要や、それぞれのデータフローとデータ転送を 提供しています
 
英国
Akamai は、保護が十分な水準に達していない国に対する英国からのデータ転送について英国のデータ保護当局である ICO が英国の SCC を発行するまでの間、英国からこのような国(特に米国)への英国の個人データの転送に対し、 2021 年以前に発行された EU SCC を適用します。

プライバシー・シールド・プログラム
欧州司法裁判所は Schrems II 事案の判決において、プライバシー・シールド・プログラムは無効であるとしましたが、これにかかわらず、Akamai は、引き続きプライバシー・シールド・プログラムの義務を遵守し、転送データを適切に保護します。

サブプロセッサーを使用したデータ転送メカニズム
Akamai のサブプロセッサーおよび該当する転送メカニズムの全リストは、Privacy Trust Center の Akamai サブプロセッサー一覧 でご確認いただけます。

締結条項
必要事項の把握と登録のため、お手数ですが、お客様とパートナーの皆様は、Akamai が提供する上記の該当条項について、完全にご署名のうえ、 privacy@akamai.com までお送りください。

質疑応答
Akamai のデータ転送に関するご質問につきましては、Akamai の Global Data Protection Office までお問合せください:privacy@akamai.com

1Akamai は、拘束的企業準則など、その他のメカニズムの有効性を継続的に評価したうえで、最も効果的なメカニズムを採用していきます。

2例「Information on U.S. Privacy Safeguards Relevant to SCCs and Other EU Legal Bases for EU-U.S. Data Transfers after Schrems II」(https://www.commerce.gov/sites/default/files/2020-09/SCCsWhitePaperFORMATTEDFINAL508COMPLIANT.PDF)、ページ 1 の概要(1)、ページ 12 に記載されている FISA 範囲の更新、脚注 44 の該当判例法など。