プロセッサーの義務に関するFAQ

1. 貴社には、レビューに利用可能な公開されたプライバシー通知/声明がありますか？

• HPの公式プライバシーに関する声明は、すべてのHP.com Webページで利用できます。複数の言語でのプライバシーに関する声明のリストは、こちらをご覧ください。

2. 実施したすべての活動に対して、処理記録を保存していますか？

• HPは、活動の処理記録を維持し、常に更新しています。プライバシー管理と記録管理ツールを導入し、処理記録、データ保護インパクト評価、設計によるプライバシーなど、多くのコンプライアンス活動の記録を運用および維持しています。

3. どの地域からサービスを提供しますか? EEA以外の国に個人情報を転送していますか？

• HPはグローバル企業であり、当社のビジネスプロセスの多くはグローバルオペレーションモデルを利用しています。HPに提供される個人データは、データの統合、保管、および簡素化された顧客情報管理の目的で、州および国境を越えて転送される場合があります。州または国の境界を越えて個人データのアクセスまたは転送をする場合、適用される各国の法律および契約上の要件を満たす必要があります。HPは、世界中のHP関連会社への個人データの国際転送を可能にするいくつかのプログラムに参加しています。これらのプログラムへの参加についてさらに詳しく知りたい方は、HPのプライバシーに関する声明をご覧ください。

4. データ転送のための合法的なメカニズムに依存していますか？

• GDPRと一致しており、HPはデータ転送の承認されたメカニズムに依存しています。
  • データコントローラーとして、HPは拘束的企業準則を承認しました。これは、HPの従業員、サプライヤー、および消費者の個人データが、HPの関連会社に転送される際に保護されることを保証することを目的としています。HPは、当社の拘束的企業準則に関して、EUデータ保護当局によって認められている世界100社未満の企業となっています。詳細と、HPのBCRを確認するには、こちらをご覧ください。
  • 21か国が加盟するアジア太平洋経済協力(APEC)は、域内の個人データの転送に対するプライバシー保護を提供する越境プライバシールール(CBPR)システムを実施しています。HPのプライバシー慣行は、透明性、説明責任、個人データの収集と利用に関する選択などを含め、APEC CBPRシステムに準拠しています。CBPRの詳細とHPの参加を確認するには、こちらをご覧ください。
  • HPはまた、EU/USプライバシーシールドによる自己認証も受けています。プライバシーシールドの詳細と、HPの参加を確認するには、こちらをご覧ください。
  • これらのプログラムへの参加についてさらに詳しく知りたい方は、HPのプライバシーに関する声明をご覧ください。

5. データ保護およびプライバシー責任者または同等の権限が割り当てられていますか？

• HPの最高プライバシーとデータ保護責任者は、プライバシー事務局の支援を受け、GDPRをはじめとする世界中のプライバシーとデータ保護法を確実に準拠するために、承認を受けています。HPのプライバシー事務局の代表は、EUに駐在しており、データ主体およびEUベースのデータ保護当局の連絡窓口として機能しています。

6. 個人データ違反を含む正式に文書化されたセキュリティインシデント管理計画がありますか？

• HPは、情報セキュリティ、物理的セキュリティ、およびプライバシーの認識を促進するセキュリティおよびプライバシー手順を確立し、維持しています。
• セキュリティインシデントは、物理的、技術的、または情報に基づいているかに関わらず、主にグローバルなインシデント報告プロセスを通じて対処されます。インシデント報告を受け取った後、チームはHP内の責任ある当事者にそれを指示し、すべての当事者は各タイプのインシデントに対して確立された手順に従います。これらの手順は、各契約における業界のベストプラクティス、法的要件、および顧客ベースの仕様に基づいています。
• サイバーセキュリティインシデントのすべてのインスタンスは、24×7のオンラインサポートプロセスを通じて、HP Cybersecurityに報告されます。HPは、セキュリティインシデントを管理するための文書化されたエスカレーションプロセスを持っていますが、一般的に言えば、インシデントが報告されたら、直ちに是正処置プロトコルを実行し、不正アクセスが発生したかどうかを徹底的に調査します。個人データへの不正アクセスが発見された場合、インシデントはHPプライバシー事務局、グローバル法務部およびその他の社内ステークホルダーにエスカレートされ、解決および通知に関する決定が行われます。

7. あなたは、データ主体の要求について顧客を支援する立場にありますか?また、権利のあるデータ主体の行動に対応するための正式に文書化されたプロセスを維持していますか？

• 個人は自らの権利を行使する、プライバシーに関する調査を提出する、またはHPプライバシー事務局を連絡によって苦情を申し立てることができます。
• HPが顧客に代わって個人データを処理している場合、一定の制限があることを条件に、HPは、契約上の要件に従って権利を行使しようとするデータ主体からの要請に応える義務を顧客が履行できるよう支援します。

8. 貴社には、貴社が運営する法域の該当するデータ保護法に準拠したデータプライバシー基準/ポリシーがありますか？

• HPは、プライバシーとデータ保護における業界のリーダーシップの長い歴史を持っています。お客様の個人情報保護、コンプライアンスへの取り組みを支援するため、製品、ソフトウェア・セキュリティサービスの充実を図っています。HPは、個人データのセキュリティ、アクセス、および正確性に関する社内方針を有しており、適切な措置を講じることなく、個人データの共有を禁止しています。HPは、顧客のプライバシーとセキュリティの要件を理解し、コンプライアンスのニーズを満たすように製品とサービスを提供するプロセスを確立することを最優先課題としています。

9. 貴社は従業員にプライバシー研修を実施していますか？

• HPの従業員と臨時従業員は、プライバシーとデータ保護を主要な構成要素とするビジネス倫理研修を毎年受けています。また、個人データを定期的に取り扱う職務や、特定の事業活動を支援する「必要に応じて」職務に対して、追加の必須研修が必要となる場合があります。

10. HPのベンダーは、HPに代わって取り扱う際に、個人データを保護する義務を負っていますか？

• HPでは、HPに代わって個人データを処理するベンダーやパートナーを含む第三者が、HPから受け取る個人データを保護する契約上の義務を負うことと、HPの指示に従ってサービスを遂行する以外の目的で個人データを使用することを禁止することを要求しています。HPはまた、HPまたはHP顧客のデータを取り扱うサプライヤーに対して、リスクベースのコンプライアンス評価を実施しています。

11. システムや製品の開発に際して、デザインおよびデータプライバシーインパクト評価によるプライバシーを実装していますか？

• 私たちは、すべてのHP製品、サービス、ウェブサイト、システム、およびアプリケーションが、プライバシーへの影響を慎重に考慮した上で設計、実装されるよう、業務においてプライバシーによるデザインを強化しています。重要なもう1つのプロセスは、データ保護インパクト評価です。データ保護インパクト評価を通じて、個人の権利に対するリスクを評価し、特定の処理活動に対する意思決定を文書化します。

12. HPは、お客様の個人情報の保護とコンプライアンスへの対応を支援するために、どのような活動を行っていますか？

• 私たちは、お客様が処理するデータにセキュリティ対策を施します。HPは、印刷およびパーソナル・システムの管理および技術サービスの提供者として、当社の義務を履行し、お客様のために処理する個人データを保護することに真剣に取り組んでいます。認証範囲を管理プリントサービスやデバイスアズサービスにまで拡大するなど、いくつかのカスタマーサービスをISO27001の認証規格に整合させています。
• HPはまた、GDPRコンプライアンスに関連する100以上の個別アクティビティを含むプライバシー管理フレームワークも導入しています。この制御フレームワークは、プライバシーとデータ保護プログラムの中核です。規制フレームワークは、法的要件および業界標準に基づいて独立した第三者によって審査されています。