お客様のデータを安全に保護します

欧州と英国の GDPRに準拠したデータ管理

お客様のデータが米国でホスティングされている場合でも、EU一般データ保護規則（GDPR）の要件に準拠して管理されます。
EU内でホスティングされている場合は、ドイツ・フランクフルトで安全に保管され、オランダ・アムステルダムでバックアップが行われており、こちらもGDPRに完全準拠しています。  

ホスティングの詳細については、 こちらをご覧ください。

NAVEXはお客様のデータをさらに強固に保護します

Schrems II とデータプライバシーフレームワークについて

Schrems II の判決により米国企業へのデータ移転が注目されるようになりましたが、これが NAVEX の業務に直接影響を与えることはありません。NAVEX の優位性を支えているのは、新しいデータプライバシーフレームワーク (DFP) への厳格な遵守です。これにより、EU/英国と米国事業間のデータ転送において、コンプライアンスに準拠した安全な経路が確保されます。このため、当社のデータ転送は完全にコンプライアンスに準拠したものとなり、追加の対策を講じる必要がありません。 

さらに、Schrems II 判決で詳述されている米国の監視法は、当社には直接適用されません。そのため、NAVEXサービスをご利用いただく場合、データ移転やプライバシーに関する規制リスクは事実上存在しません。

その理由は以下の通りです

1. 問題となっているデータ収集の対象は、主に大手のメールサービスやSNS企業による通信データの収集であり、NAVEXのような企業にはほとんど該当しません。 
2. それ以外の組織は、米国法の下でセキュリティリスクとみなされる可能性があるため、対象範囲に入りますが、NAVEX はこのカテゴリーにも該当しません。 
3. NAVEX は米国法上、「U.S. person（米国人）」に分類されます。万が一、NAVEX が判決の範囲に入ったとしても、米国政府は非常に具体的で厳格な手続きを踏まなければ、NAVEX (およびその第三者) の通信を対象にすることができません。このような「米国人」分類による特別な保護は、米国人として分類されていない組織 (EU に拠点を置く組織を含む) には適用されません。

また、万一の場合に備え、最新の標準契約約款 (SCC) に加え、EDP（欧州データ保護委員会）が推奨する補完措置も採用しています。   

*これは社内外の法律専門家の助言に従った NAVEX の合理的な見解です。専門的な詳細については、当社のデータプライバシーチームにお問い合わせください。

徹底したセキュリティ対策でお客様の信頼に応えます

NAVEXは、お客様の信頼を得るために、日々セキュリティ対策を徹底しています。

• 毎月のWebアプリケーションスキャン
• 毎週の社内ネットワークスキャン
• 毎日の外部ネットワークスキャン

これらを通じて、システムとアプリケーションの安全性を継続的に確保しています。

さらに、すべてのWebアプリケーションとインフラに対して、第三者の専門機関による年次ペネトレーションテスト（侵入テスト）を実施しています。常に改善の余地はあるという信条のもと、専門家が常に警戒を怠らず、より高いセキュリティレベルを目指しています。

大切なデータを丁寧に取り扱います

データへのアクセスを制限することは、プライバシーと保護の水準を高めることにつながります。

NAVEXでは、ソフトウェアに組み込まれたセキュリティ機能や各種認証に加え、以下の方法によってお客様のデータへのアクセスを厳しく管理しています。  

• サービス提供の範囲内でのみ処理
  お客様のデータは、契約に基づくサービス提供のためにのみ処理いたします。
• 最小権限の原則に基づくアクセス管理
  従業員には、サービス提供に必要最低限のアクセス権しか付与しません。
• パートナーとの連携
  NAVEXのサブプロセッサー（外部委託先）にも、当社と同等の機密保持義務を理解・遵守してもらっています
• パスワード保護と多要素認証
  従業員がバックエンドシステムへアクセスする際には、厳格なパスワード要件と多要素認証を導入しています。これは、すべての企業が取り組むべき基本的な対策です

さらに、NAVEXでは全従業員に対して定期的なサイバーセキュリティ、データ保護、個人情報保護に関するトレーニングを実施し、常に最新の知識と意識を維持しています。