CareARはセキュリティとプライバシーに真剣に取り組んでいます
CareARでは、お客様の成功が当社の成功であることを理解しています。成功は信頼の上に築かれます。だからこそ、個人データ保護とプライバシーへの取り組みについて透明性を保つことは、当社にとって非常に重要です。
SOC 2 タイプ II
SOC2 Type2 レポートは、レポート対象期間中に CareAR が実施したセキュリティ管理について、独立監査人が証明するものです。この報告書は、ポリシー文書に文書化されたポリシーおよび手順に例外がないことを確認するために、顧客および見込み客にレビューするために提供されます。
GDPR(一般データ保護規則)
EU、スイス、英国におけるサービス提供におけるプライバシーおよびデータ保護に対するCareARのコミットメント
欧州連合の一般データ保護規則(GDPR)が2018年5月25日に発効しました。この規則は、EU市民の個人データ保護とプライバシー保護を強化し、EU市民が個人データをより自由に管理できるようにしようというEUの試みです。
CareARはGDPRの発効後に設立されたため、当初からプライバシー保護を盛り込んだサービスを設計できるという利点がありました。個人データの保護は、CareARのユーザーが当社のサービスを選択する際に期待する信頼の基本です。本書には、プライバシーとデータ保護に対する私たちのコミットメントのハイライトが記載されています。こちらのウェブサイトでご覧いただけます: https://carear.com/privacy-policy/
収集する情報
当社は、当社のサービスおよびそれを可能にするモバイルアプリを使用するために必要であるため、個人情報を含む以下の情報を収集し、処理します:
連絡先情報
・氏名、Eメールアドレス、電話番号(ユーザーの判断による)
アプリ使用中に収集されるデバイスデータ
・例えば、デバイスのモデル識別子、オペレーティングシステムの識別、ネットワーク信号、IPアドレス、サービスの利用日時、サービスのパフォーマンス、アプリで使用されている機能、GPS座標を含むネットワーク接続(ユーザーの判断による)
アプリの機能に必要なアクセス
・ユーザーのモバイルデバイスの通知、カメラ、マイクへのアクセス(前述の機能の使用に関する情報を収集します)
音声およびビデオ
・ユーザーが他のユーザーとサービス通話を行う場合、ユーザーはインターネットを介して音声とビデオを送信します。当社は通話の内容を見たり聞いたりすることはなく、音声やビデオが送信先に配信された後に保存することもありません。
・通話中にユーザーがアプリを使用して撮影した写真。
個人データはどこに送信され、どのように保護されますか?
CareAR Assistバージョン21.04以降では、管理ポータルからメディア(映像・音声)の送信地域を以下のように設定することができます:
- グローバル
- アジア
- ヨーロッパ
- インド
- 日本
- 北米
例えば、映像や音声をヨーロッパ圏内に限定したい場合、この設定により、音声や映像がヨーロッパ圏内のみで送信されるように設定することができます。
当社は、個人データの処理に、関連する個人データの種類に関連する機密性とリスクに見合った適切な物理的、技術的、管理的、組織的措置を適用します。個人データは静止状態で暗号化されます。個人データが安全に転送される当社のデータベースサーバーは、現在、米国のGoogle Cloud Platform(GCP)によってホストされています。GCPのクラウドプラットフォームのセキュリティについては、こちら(https://cloud.google.com/security)をご覧ください。
データ主権
データ主権は、物理的な地理的範囲内でのユーザーおよび使用データの物理的な保存を扱うものです。
CareAR Assistは、データ主権に対するアーキテクチャ上のサポートを提供します。より具体的には、利用者及び利用情報に関連する、利用者の E メールアドレスを除く個人識別情報(PII)を含むデータをお客様が永続的に保管する場所は、以下のいずれかの地域に指定することができます:
- 米国
- ドイツおよびベルギー
- カナダ
- 日本
ユーザーマッピングと認証
データ主権に対する当社のサポートにより、ユーザーの最初のログイン・シーケンスの一部として、当社はロケーション・データベースに照会し、ユーザーがどの地域に割り当てられているかを決定します。ロケーションデータベースのエントリは、1) ユーザーのEメールアドレス、2) ユーザーのテナントが属する地域です。指定がない場合、デフォルトの地域は米国です。
テナントの地域が決定されると、(ログイン中の)ユーザーによるその後のすべてのインタラクションは、その地域で実行されるサービスロジックに向けられます。現在、ユーザーの認証はグローバル認証サービスを使用して実行されます。
カナダまたはドイツでのテナント導入をご希望の場合は、CareARテクニカルサポートオペレーションチームまでお問い合わせください。詳細はAssist 22.02.002リリースノートをご参照ください。
その他の取り組み - コンプライアンス、ポリシー、プロセス
当初から、CareARはGDPRの精神と要件の両方を満たすために熱心に取り組んできました。以下は、私たちが遵守するために行っているいくつかの追加的なハイライトです。
まず、当社のプライバシーポリシーに記載されているように、個人データの保護とプライバシーに対する当社のコミットメントについて透明性を確保しています。プライバシーポリシーには、当社が個人データをどのように保存、保護、使用するかをユーザーが管理できるようにするために当社が取る措置が反映されています。 当社のポリシーは、https://carear.com/privacy-policy/、最新の改訂日と最新の変更点の概要が表示され、簡単にアクセスできます。 そこでは、当社が収集する個人データの種類、収集目的、個人データの安全な取り扱いと保存に関する当社のコミットメント、およびGDPRに基づく個人データに関する個人の権利の行使方法について説明しています。
CareARは、当社ウェブサイトのプライバシーページ(上記リンク)において、データ主体が権利を行使するためのプロセスを定め、データ主体が個人データのコピーを要求する場合、削除を要求する場合、または処理を制限する場合、または個人データの使用に対する同意を撤回する場合など、プライバシー関連のトピックについて当社と連絡を取るためのリンクを提供しています。法律で義務付けられているとおり、データ対象者の要求を処理する前に、データ対象者は合理的に本人確認を行い、個人データが本人のものであることを保証しなければなりません。 当社の顧客契約によって要求される範囲内で、データ対象者を特定の顧客と関連付けることができる場合、当社は顧客と協議し、データ対象者の要求に応じることができることを確認します。
また、当社のサブプロセッサーのリストは、http://carear.com/gdpr-subprocessors で公開されており、GDPR の要件を満たす契約上の取り決めを各サブプロセッサーと行っています。このリストは常時公開されており、新しいサブプロセッサーを当社の本番環境に導入する際には速やかに更新されます。
最後に、当社はゼロックスの一員として、ゼロックスのグローバル・チーフ・プライバシー・オフィサーおよび情報セキュリティ・チームと協議できるという利点があります。 これにより、データ保護とプライバシーに対する当社のコミットメントが強化され、当社が取り扱う個人データに対する社内のポリシー、プロセス、および保護が確実に実施されます。 さらに、当社の全従業員は、個人データの扱い方と保護方法を確実に理解するために、情報セキュリティとプライバシーのトレーニングを毎年受けることが義務付けられています。 また、従業員が潜在的なセキュリティ・インシデントを報告するための文書化された方法や、報復を恐れることなく不正行為を報告できる匿名の内部告発ホットラインも用意しています。
プライバシーとデータ保護への継続的な取り組み
CareARでは、このプロセスはGDPR規制で終わらないと考えています。当社は、当社が収集し処理する個人データの保護を継続的に改善することをお約束します。
プライバシーチームの連絡先
データプライバシーチーム
CareARホールディングス
201 Merritt 7
ノーウォーク, CT 06851-1056
担当:コンプライアンス部 - プライバシー
または
CareARPrivacy@carear.com
コメント
0件のコメント
記事コメントは受け付けていません。