IBMの従業員は何世代にもわたり、責任あるデータ管理を通じて、お客様や社会からの信頼を得てきました。私たちは、引き続き、倫理、信頼、透明性、説明責任を優先するとともに、世界のデータ・プライバシーに関する規制を確実に遵守すべく、ポリシーの策定とその実施に取り組んでいきます。
IBMは、プライバシー行動規範を採用し、チーフ・プライバシー・オフィサーを任命した最初の企業の1つです。脈々と受け継がれてきたプライバシーに係るリーダーシップの結果、IBMプライバシー&トラスト最高責任者は、プライバシーとAIガバナンスのための世界最大かつ最も包括的な専門家団体であるInternational Association of Privacy Professionals(IAPP)の理事を務めています。
IBMは、信頼と透明性を最優先するポリシーを策定して実施することにより、個人のプライバシーを保護することに取り組んでいます。
IBMプライバシー・ステートメントは、IBMがお客様の個人情報を収集、使用、共有する方法について説明しています。
IBMの管理者向け拘束的企業準則(BCR)は、IBMが企業の個人情報を収集、使用、共有する方法について説明しており、2017年以降、関係する欧州データ保護当局によって承認されています。
IBMデータ・プライバシー・フレームワークは、米国に移転される個人情報の収集、使用および保持に関して、IBMがEU-USデータ・プライバシー・フレームワークの原則をどのように遵守するかを説明しています。
お客様には、個人情報の取り扱いに関して一定の権利があります。お客様は、提供されたリンクを使用してプライバシー設定をカスタマイズして、IBMがお客様について収集し、使用する情報を管理することができます。
ご希望の連絡方法など、現在のIBMマーケティング・コミュニケーションの設定を確認し、更新できます。
特定の個人情報処理の種類をオプトアウトするために、データの権利に関する依頼ができます。
データの権利に関する依頼を送信しましたか。こちらをクリックすると、依頼のステータスが表示されます。
IBMのLaw Enforcement Requests Transparency Reportは、データに関する法執行機関からの問い合わせと、個人情報の完全性を保護するためにIBMが講じた措置について説明しています。このレポートは、2021年から6カ月ごとに発行されています。
CPRA Data Rights Metrics Report(データ権利に関するメトリクス・レポート)は、IBMがカリフォルニア州において消費者のデータの権利に関する依頼を管理し、履行する方法に関する透明性を明らかにし、概要を示します。お客様は、California Consumer Privacy Actに基づき、個人情報の削除、アクセス、修正、販売または共有のオプトアウトを要求することができます。
このセクションでは、規制の変更から生じるプライバシー条件の更新に関して、IBMがお客様に対して行うコミュニケーションについて説明します。お客様がアクティブなお客様コンタクトである場合、お客様の会社に送信された特定のプライバシー・コミュニケーションを表示することができます。
欧州委員会、英国個人情報保護監督機関、およびスイス連邦データ情報保護管理局(FDPIC)はそれぞれ、欧州経済領域(「EEA」)、英国(「UK」)、およびスイスからそれぞれ合法的に個人データを移転するための機構として、新規の標準契約条項(「SSC」)を承認および/または公開しています。
その結果、お客様とIBMとの既存の契約(「契約」)に含まれる旧バージョンの標準契約条項は、EEAでは2022年12月27日から、英国では2024年3月22日から、スイスでは2022年12月31日から有効な移転機構とはみなされず、該当するデータ保護法との整合を図るためにこれらの新しい条項に置き換える必要があります。新しい変更点については、FAQをご参照ください。
お客様に代わって個人データを処理する可能性のあるサービスの提供者であるIBMは、世界各地における新しいデータ保護法の施行に伴い、IBMがお客様に対して負う義務の内容が変更・更新されることを認識しています。
IBMがお客様に代わって個人データを処理する際に適用される諸規約は、IBMデータ処理補足契約書(DPA)に記載されています。IBMは、DPAおよび関連する別表の適用範囲を、IBM利用規約サイトに記載されているすべてのデータ保護法に拡大したことをお知らせします。これらの法律は、お客様に代わって個人データを処理する際に、当社に同様の要件を課すものとなります。
IBMは、ビジネスにとって最も良い結果とは、現在行われている英国のEU離脱(以下「BREXIT」といいます。)に関する交渉の結果としてビジネスを支援する移行期間および将来の調整に至ることであると確信しております。しかし、英国は離脱協定なしにEUおよび欧州経済領域から離脱する可能性があります。
お客様のデータを保護することは、IBMにとって最も重要なことです。お客様は、個人データの処理を含むサービスをIBMグループ会社との間で契約されているかもしれません。英国がEUから離脱した日に適用されるデータ保護法令をお客様およびIBMの双方が確実に遵守できるよう、以下の事項を適用します。
1. 適用を受ける範囲において、該当する契約書における「一般データ保護規則(GDPR)」への参照は、「英国の2018年データ保護法(UK Data Protection Act 2018)」を含むものとします。関連する範囲において、EUまたはEEA法令に関するその他の引用は、施工中または相当する英国法令を含むものとします。
2. EEAから英国への個人データの移転は、域外への移転として分類するものとします。これらのデータを支障なくGDPRで定義する「不適切」(non-adequate)な国に移転し続ける範囲において次のことが適用されます。
- 処理者または復処理者の務めを果たすIBM UKの事業体は、お客様の管轄地域に基づき、既存のEU標準契約条項に基づくデータ輸入者として追加されます。
- 英国に所在し、お客様との既存の契約に復処理者として記載されている外部ベンダーは、適用されるEU標準契約条項に基づいて、IBMに課されるものと同じ義務をIBMによって負うものとなります。
個人データとその保護は、個人や企業にとってますます重要になっています。欧州連合(EU)は2018年5月25日付で一般データ保護規則(GDPR)を可決しました。GDPRは、EUに所在する個人のデータ(「個人データ」)の処理に関してかかる個人の権利および自由についての保護レベルを均一に保ち、欧州経済領域(EEA)にわたり同一のデータ保護規則を確立することを目的に立案されています。
GDPRは、EEA域内に設立されたすべての組織に適用されるばかりでなく、データ処理活動がEEA域内の個人を対象とする商品やサービスの提供に関連している場合、またはEEA域内の個人の行動をモニタリングすることに関連している場合には、EEA域外で設立された組織にも適用されます。
IBMはGDPRへの対応に取り組んでいます。
お客様にご契約いただいております契約において、IBMグループ会社またはその関連会社(以下「IBM」といいます。)がお客様の個人データの処理を伴うサービスの提供を行っている可能性があります。
この場合、IBMはお客様の個人データの「処理者」とみなされます。GDPR(第28条)では、個人データの処理に関する契約を締結する義務が管理者・処理者双方に課されています。契約の内容に関する要件も、同規則に明記されています。また、かかる契約の内容に関する要件も、同規則に明記されています。
この法的要件を満たすため、IBMはIBMデータ処理補足契約書(Data Processing Addendum - DPA)および該当するDPA別表を準備いたしました。これらは既存のIBM契約の変更契約となり、GDPR対象となる個人データをIBMが処理する場合に適用されます。既存のデータ・プライバシーまたはデータ・セキュリティーの条件とDPAまたは該当するDPA別表との間に相違がある場合は、後者が優先されます。
責任あるデータの取り扱いには、堅牢なセキュリティー対策が必要です。お客様の組織を守る、IBMの包括的なデータ・セキュリティー・ソリューションの詳細をご覧ください。
IBMの包括的なデータ・プライバシー・ソリューションと、顧客の信頼を築くためのコンサルティング・サービスをご紹介します。
IBM Security Verifyは同意管理機能を提供し、プライバシーを意識した消費者IDおよびアクセス管理を提供します。
IBM Cloud Pak for Dataは、管理されたデータ基盤を構築してデータの成果を加速し、プライバシーとコンプライアンスの要件に対処するためのツールを提供します。