ServiceNow® データプライバシーフレームワークポリシー
2023 年 9 月 28 日発効
ポリシーの目的
本ポリシーの目的は、ServiceNow, Inc. (以下、「ServiceNow」) EU‑U.S. Data Privacy Framework (EU‑U.S. DPF)、UK Extension to the EU‑U.S. DPF、Swiss‑U.S.Data Privacy Framework (Swiss‑U.S. DPF) は、本書で詳述されているとおり、欧州連合、英国 (およびジブラルタル)、スイスから、米国に転送される個人データの収集、使用、保持に関して米国商務省 (DOC) が定めるものであると確認することです (総称は「DPF ポリシー」)。 本 DPF ポリシーは、DPF 原則 (以下、「原則」) に対する当社のコミットメントと、原則を実施する際の概要を定めたものです。
ServiceNow は、DoC が定めた EU‑U.S. Data Privacy Framework (EU‑U.S. DPF)、UK Extension to the EU‑U.S. DPF、Swiss‑U.S. Data Privacy Framework (Swiss‑U.S. DPF) に準拠しています。 ServiceNow は、EU‑U.S. DPF に依拠して欧州連合から受領した個人データ、および UK Extension to the EU‑U.S. DPF に依拠して英国 (およびジブラルタル) から受領した個人データの処理に関して、EU‑U.S. Data Privacy Framework Principles (EU‑U.S. DPF 原則) を遵守していることを DoC から認定されています。 ServiceNow は、Swiss‑U.S. DPF に依拠してスイスから受領した個人データの処理に関して、Swiss‑U.S. Data Privacy Framework Principles (Swiss‑U.S. DPF 原則) を遵守していることを DoC から認定されています。 本プライバシーポリシーの条件と EU‑U.S. DPF 原則、UK Extension to the EU‑U.S. DPF、Swiss‑U.S. DPF 原則との間で矛盾が生じた場合は、原則が優先されます。 DoC Data Privacy Framework (DPF) プログラムの詳細と、ServiceNow の DPF 認定については、こちらをご覧ください。 DoC Data Privacy Framework List はこちらから入手できます。 ServiceNow は、以下の使用に関連して、欧州連合、英国(およびジブラルタル)、スイスのお客様またはそのユーザーから受領する個人データに関して、本原則に準拠しています。 (i) ユーザーのモバイルデバイスにダウンロードされたアプリケーション (以下、「モバイルアプリケーション」)、 (ii) ServiceNow のホスト型ソフトウェアアプリケーション (以下、「サブスクリプションサービス」) および関連サポートサービス (以下、「サポートサービス」)、ならびに当社がお客様およびユーザーに提供するエキスパートサービス (プロフェッショナルサービス、トレーニングと認定制度を含む) (以下、「エキスパートサービス」)。 本 DPF ポリシーでは、サブスクリプションサービス、サポートサービス、およびエキスパートサービスは、「本サービス」と総称されます。
収集される個人データの種類
ServiceNow は、処理者として ServiceNow のお客様の方針に基づき、また指示に従い、顧客データ (当該顧客データに含まれる個人データの一切を含む) をホストし、処理します。
ServiceNow は、お客様から他の種類の情報を収集し、これらのデータを管理者として処理する場合があります。これには次のものが含まれます。
- サポートサービスおよびエキスパートサービス、または当社の本サービスに関するその他の要求に関連して当社に提出された、当社のお客様およびユーザーの情報および通信内容。
- 当社のお客様およびユーザーによるサービスの利用または当社のビジネスパートナーが提供したサービスに関連して、当社がお客様またはビジネスパートナーから直接取得した情報 (サブスクリプションサービスの構成を含む)。
- ユーザーによるモバイルアプリケーションの使用に関連する情報 (位置情報、ならびにユーザーのデバイス、OS 識別、ログイン認証情報、言語およびタイムゾーンに関する情報を含む)。
- お客様に関する一般情報 (お客様の会社名と住所、クレジットカード情報、請求/マーケティング/契約を目的とするお客様代表者の連絡先情報を含む) (以下、「一般情報」)。
収集および利用の目的
ServiceNow は、サービスおよびモバイルアプリケーション (サブスクリプションサービスおよびモバイルアプリケーションのアップデート、改良、セキュリティ確保、およびメンテナンスを含む) を提供し、お客様に対する ServiceNow の契約上の義務を履行する必要に応じて、お客様およびユーザーが提供した個人データを使用する場合があります。 また、ServiceNow は、サービスの提供および ServiceNow とお客様との関係維持に関連して、一般情報を取得します。 データは、法律または契約書により別途要求される場合を除き、記録保持に関する社内ポリシーに従って保持されます。
第三者への開示
当社は、お客様およびユーザーが本サービスおよびモバイルアプリケーションに提供した個人データを以下の開示先に対し、または以下の場合において開示することができます。
- 当社の子会社および関係会社
- 当社が本サービスのサポートために利用する請負業者、ビジネスパートナーおよびサービスプロバイダー
- ServiceNow が当社の事業もしくは資産の全部もしくは一部を売却または移転する場合 (合併、買収、合弁会社設立、組織再編、解散または清算の場合を含む) において、当社が保持する当社のユーザーまたはお客様に関する個人データが買収者または取得者に移転する資産に含まれるとき
- 法律または法的手続により必要とされる場合
- 公的機関による適法な要請に応じる場合 (安全保障、公共の利益および法執行を目的とする場合を含む)
- こちらに公開されている ServiceNow の Data Processing Addendum (データ処理補遺) および Data Security Addendum (データセキュリティ補遺) には、サブスクリプションサービスを提供する過程でのデータ保護と違反通知の要件に関する詳細情報が記載されています。
アクセスと訂正
欧州連合、英国 (およびジブラルタル)、およびスイスに在住する個人は通常、自身の個人データにアクセスする権利を有します。 ServiceNow は、サブスクリプションサービスを提供する過程でお客様の個人データを処理する処理者として、かかるデータを所有または管理せず、サブスクリプションサービスの提供に関連して個人データが処理される可能性のあるユーザーと直接的な関係を有しません。 ユーザーから収集する情報の内容 (個人データを含む)、利用および開示方法ならびに変更方法については、それぞれお客様が定めるため、サブスクリプションサービスのユーザーは、顧客データに含まれる個人データへのアクセスまたはその訂正方法については、該当するお客様の管理者に問い合わせるものとします。 ユーザーがアクセスまたは訂正を ServiceNow に要望した場合、当社は、当該要望を該当する ServiceNow のお客様に転送し、また、当該要望に応じるため必要に応じて当該お客様をサポートします。
お客様から提供された一般情報、または ServiceNow が管理者として機能するその他の個人データにアクセスまたは訂正するには、該当する個人が ServiceNow アカウント担当者に直接連絡するか、privacy@servicenow.com までご連絡ください。
選択式
次の規定に従うことを条件として、ServiceNow は原則に従い、お客様およびユーザーに対し、ServiceNow が以下に示す範囲内で個人データの使用および開示を制限するように要求する機能を提供します。 (i) 第三者の管理者に個人データを開示する場合、または (ii) お客様またはユーザーが個人データを最初に収集した目的、またはその後承認した目的とは大きく異なる目的で個人データを使用する場合。 また、ServiceNow は、当社が機密データの利用または開示に関与する場合、原則および準拠法が求める範囲においてオプトインの同意を取得します。 ServiceNow は、準拠法および原則で許可される場合を除き、本ポリシーに記載する目的と実質的に同一の目的にのみ個人データを利用します。
ServiceNow は、オプトアウトの機会を提供することなく、お客様およびユーザーの個人データを開示する場合があり、以下の提供先または条件に基づき、個人データの開示を要求される場合があります。 (i) ServiceNow が、ServiceNow の指示に従い、ServiceNow に代わってサービスを実行するために雇用した第三者の処理者、 (ii) 法律または法的手続により許可または必要とされる場合、または (iii) 公的機関による適法な要請に応じる場合 (安全保障、公共の利益および法執行を目的とする場合を含む)。 また、ServiceNow は、監査を実施する場合、または当社の事業もしくは資産の全部または一部を売却または移転する場合 (合併、買収、合弁会社設立、組織再編、解散または清算の場合を含む) に個人データを移転する権利を留保します。
第三者提供に係る法的責任
ServiceNow は、お客様との契約、サブプロセッサーおよびベンダーとの契約に明記されているとおり、転送先の説明責任に関する DPF の原則に準拠しています。 ServiceNow は、第三者提供における提供先が原則に従わない方法で個人データを処理した場合、損害の原因について当社に責任がなかったことを証明しない限り、原則に基づく法的責任を負います。
異議申し立ての解決
ServiceNow が当社の DPF 認定の範囲内でお客様の個人データをいずれかのサービスにおいて保持する場合、当社の DPF コンプライアンスに関する問い合わせまたは苦情は、privacy@servicenow.com までお寄せください。 ServiceNow は 45 日以内に返答いたします。
ServiceNow の内部プロセスで苦情を解決できない場合、ServiceNow は、こちらの ICDR‑AAA Web サイトから入手できる、該当の ICDR‑AAA 手順に従い、国際紛争解決センター ‑ 米国仲裁協会 (ICDR‑AAA) と協力して解決を図ります。 ServiceNow は、EU‑U.S. DPF および UK Extension to the EU‑U.S. DPF と Swiss‑U.S. DPF に従い、EU‑U.S. DPF および UK Extension to the EU‑U.S. DPF と Swiss‑U.S. DPF に依拠して受領した個人データの取り扱いに関する未解決の苦情については、米国に拠点を置く代替紛争解決機関である国際紛争解決センター ‑ 米国仲裁協会 (ICDR‑AAA) に付託することを約束します。 DPF 原則に関連する苦情の通知が当社から適時に届かない場合、または当社が DPF 原則に関連する苦情に満足のいく対応をしていない場合は、こちらから詳細を確認するか、苦情を申し立ててください。 ICDR‑AAA のサービスは無料で提供されます。
ICDR‑AAA 代替紛争解決プロセスは、関連する ICDR‑AAA ルールおよび手順の規定に従って開始できます。 ICDR‑AAA は、中立的立場から、関連する個人データの削除、違反事実の公表、違反により生じた損失に対する金銭的賠償、または異議を申し立てたお客様もしくはユーザーの個人データの処理の中止等、何らかの適切な救済手段を提案することができます。 ICDR‑AAA 中立者、あるいはお客様またはユーザーは、この問題を米国連邦取引委員会 (FTC) に付託することもできます。 FTC は、ServiceNow による EU‑U.S. Data Privacy Framework (EU‑U.S. DPF)、UK Extension to the EU‑U.S. DPF、および Swiss‑U.S. Data Privacy Framework (Swiss‑U.S. DPF) への準拠を管轄しているため、ServiceNow は FTC の調査および執行権限の対象となります。 お客様およびユーザーは、状況に応じて、ServiceNow による原則の遵守状況に関する異議申立ての手段として、拘束力のある仲裁を求めることができます。 DPF の下で拘束力のある仲裁が発動される場合の詳細については、こちらをご覧ください。
ServiceNow への連絡方法
ServiceNow は、EU‑U.S. DPF、UK Extension to EU‑U.S. DPF、および Swiss‑U.S. DPF に従い、お客様の個人データの収集および使用に関する DPF 原則関連の苦情を解決することを約束します。 欧州、英国、およびスイスに在住の個人は、EU‑U.S. DPF、UK Extension to the EU‑U.S. DPF、および Swiss‑U.S. DPF に準拠して受領した個人データの取り扱いに関して問い合わせ (情報の更新、変更、削除が必要な場合を含む) または苦情がある場合、まず ServiceNow (privacy@servicenow.com) までご連絡ください。
privacy@servicenow.com から ServiceNow に連絡できない場合は、次のアドレス宛に通常のメールでご連絡ください。
ServiceNow, Inc.
宛先:プライバシー
2225 Lawson Lane
Santa Clara, CA 95054
また、郵便により、欧州連合域内に所在する当社の子会社、ServiceNow Nederland B.V.にご連絡いただくことも可能です。宛先は以下のとおりです。
ServiceNow Nederland B.V.
宛先:Legal Department
Hoekenrode 3
1102 BR Amsterdam
オランダ
ポリシーと手順の遵守
すべての ServiceNow の従業員および請負業者は、随時改正される ServiceNow の確立されたポリシー、手順、および基準をすべて遵守する必要があります。 これを怠った場合、解雇を含む懲戒処分の原因と見なされます。 ServiceNow および以下に示す米国法人および/または米国子会社は、原則を遵守します。
ServiceNow Delaware LLC
ポリシーの配布と認識
当社は、すべての ServiceNow ポリシーをポリシー管理システムに保持し、有効な ServiceNow ポリシーを従業員ポータル、イントラネット、および外部サイトで利用できるようにする予定です。 特定の ServiceNow ポリシーは、ポリシーが適用される当事者に対し、トレーニングを完了すること、またはポリシーを読み、理解し、ポリシーの遵守に同意することを求める場合があります。 かかるトレーニング、証明書、またはコミュニケーションは、ポリシーオーナーおよび所有部門によって決定および管理されます。
ロール |
説明 |
頻度 |
ドキュメントの保持 |
全従業員 |
Web ベースのトレーニング |
毎年 |
学習管理システムのトレーニング記録 |
プログラムガバナンス
本ポリシーは、欧州連合、英国 (およびジブラルタル)、スイスから、米国に転送される個人データの収集、使用、保持に関して米国商務省が定めた EU‑U.S. Data Privacy Framework、UK Extension to the EU‑U.S. DPF、および Swiss‑U.S.Data Privacy Framework への準拠に関する一般的指針です。データ転送に関する ServiceNow のロールと責任について詳しくは、お客様との契約をご覧ください。
以下のロール、部門、およびチームは、本ポリシーの実施において重要であり、この文書に記載されている活動を完了する責任を負う関係者、および/または本ポリシーを実施、配布、または遵守しなければならない関係者を含みます。
ロール |
名前 |
責任 |
プライバシーチーム |
|
· 本ポリシーを毎年見直す · ベンダーのリスクアセスメント、契約合意書、データ保護影響アセスメント、および欧州連合、英国、スイスから米国への個人データの移転に関わるその他の領域を検討する場合は、本ポリシーを遵守する |
データ保護担当者 |
|
ServiceNow または関連会社が欧州連合、英国、スイスから米国に個人データを転送する場合は、本ポリシーの施行に関連してビジネスに助言する |
補足資料
本書には、以下の用語が記載されています。
- 管理者:単独または他者と共同で、個人データを処理する目的および方法を決定する個人または組織
- お客様 (顧客):サービスを購入する法人
- お客様の (顧客) データ:お客様もしくはそのユーザーにより、またはお客様もしくはそのユーザーのためにサブスクリプションサービスにアップロードされた電子データ
- デバイス:モバイルデバイス
- ICDR‑AAA:国際紛争解決センター ‑ 米国仲裁協会
- 個人データ:次に該当する機密データを含むあらゆる情報。 (i) 個人を特定するまたは特定できる情報、および (ii) サービスに関連して、欧州連合、英国、スイスの ServiceNow が米国内で受領した情報
- 処理者:管理者に代わって個人データを処理するあらゆる自然人、法人、公的機関、行政機関またはその他の組織
- 機密データ:医学的または健康状態、人種または民族、政治的見解、宗教または哲学的信条、労働組合への加盟の有無、性生活、犯罪または犯罪と疑われる行為、犯罪または犯罪と疑われる行為に対する訴訟または当該訴訟に係る処分もしくは裁判所の判決に関する個人データ
- ユーザー:お客様によりサブスクリプションサービスのアクセスと利用が承認された個人
- ポリシー:基本原則、概要レベルの目的を記録し、全体的な管理の方向性と組織の目標を設定する文書。 その目的は、組織の経営陣が確立した理念、目標、戦略的計画 (プログラムやプロセスを導入する「理由」) に沿って、現在と将来の意思決定に影響を与え、導くことです。