JaCSとGDPR

共同責任

GDPRによれば、お客様と共にデータ管理者とデータ処理者の責任をお持ちしております。Ruijieは、お客様がGDPRの準備とコンプライアンスプロセスを完了できるよう支援することに全力を尽くしていますが、重要なのは、RuijieとクライアンがGDPRの下で果たすべき役割と責任についてコンセンサスに至ることです。

データ管理者―単独で、または他者と共同で個人データの目的とその処理方法を決定する法人または自然人、代理機関、公的機関、またはその他の機関。

データ処理者―データ管理者に代わって個人データを処理する法人または自然人、機関、公的機関、またはその他の機関。

ネットワーク運用保守（「O&M」）ソリューションとサービスをお客様に提供するにあたり、JaCSは主にお客様のネットワークユーザの個人データ（通常はお客様のネットワークによって収集される）のデータ処理者の役割を果たすことに留意すべきです。Ruijieは、ネットワークのO&Mサービスを提供するために必要な範囲で、お客様に代わってこのような個人データを処理します。

どのようなデータが収集されるのか、またその理由は？

Ruijieは、以下を含むお客様ネットワークユーザおよびお客様ネットワーク管理者の個人データを収集および処理します。

ネットワークユーザに対して、Ruijieは以下のデータを収集、処理します。

• デバイスIPアドレス、デバイスMACアドレス、デバイスメーカー、デバイストラフィック使用状況、デバイスのオンライン・オフライン時間

ネットワーク管理者に対して、Ruijieは以下のデータを収集、処理します。

• Ruijieのお客様のネットワーク管理者がRuijieに対し提供する、アカウント登録時の一般的な個人情報（電子メール、会社名、国/地域、アカウントパスワード（暗号化）を含む）。
• ネットワーク識別情報（システムアカウント、IPアドレス、電子メールアドレスおよびこれらに関連するパスワードや、パスワードで保護された暗号キーを含む）。
• 個人の閲覧記録（ウェブサイトの閲覧記録やクリック記録を含む、ログに保存されているユーザの操作記録を指す）。
• 一般的に使用される個人デバイス情報（ハードウェアのシリアル番号、デバイスのMACアドレス、デバイスIP、デバイスのオペレーティングシステム、デバイスの製造元、デバイスのトラフィック使用状況、デバイスのオンライン・オフライン時間、ソフトウェアリスト、デバイスの固有識別子などを含む）

管理者がRuijieによるユーザ資料に関するアンケートに回答することを選択した場合、Ruijieは管理者の業種、職務、事業規模、および業界に関するユーザ資料も収集します。

Ruijieによる個人データの取り扱いおよび保持方法の詳細については、プライバシーポリシーを参照します。

データ管理者としてのお客様がGDPRコンプライアンスを達成できるよう支援する製品機能

Ruijieの製品は、プライバシーとセキュリティを基本的な考慮事項として設計されており、次のようなGDPR準拠の特定ソリューションとツールを導入しています。

• データ主体による要求への対応

GDPRは、欧州連合（「EU」）の居住者に個人データを管理する権利を与えています。この権利を行使するために、GDPRはEU居住者がデータ管理者に要求を送信することを許可しています。データ管理者であるお客様がデータ主体からの要求に対応するのを支援するため、ならびにデータ主体の権利行使を促進するため、Ruijieは以下のサポート機能を導入しています。

• アクセス権と「忘れられる権利」

お客様は、検索ボックスにMac、SN、SSIDなどのキーワードを入力することで、クラウドに保存されているデータ主体とそれに関連する個人データを特定/検索できます。アクセス権を獲得するために、お客様は現在処理中の個人データのコピーを提供することにより、データ主体へのアクセスを可能にすることができます。「忘れられる権利」については、Ruijieは通常、ネットワークユーザのデータをクラウドに15日間保存し、15日後にデータを自動的に削除します。自動削除の前にネットワークユーザが出した削除要求について、日本国外のお客様はservice_rj@ruijienetworks.comに、日本のお客様はsupport_jp@ruijienetworks.comに連絡することで、Ruijieが技術サポートを提供し、データ主体の要求を満たす支援を行います。

• 処理の制限

JaCSでは、検証済みの要求に基づいてデータを識別、非表示化、削除して処理を制限することができます。お客様がこのようなデータ主体からの要求を受けた場合、Ruijieは技術サポートを専門に提供して、お客様によるこれらのGDPR関連の義務履行を支援することができます。

また、JaCSはこれらのアクションを追跡するためのログも提供し、お客様がそれらをより適切に記録できるようにします。お客様は「操作ログ」上でデータの消去、変更、および設定イベントを直感的に追跡できます。

• 同意ツール

ポータルページ機能により、JaCSお客様がそのネットワークユーザに対し、ネットワークユーザデータの収集、処理、および保存に必要な通知を発信し、同意を得ることを許可します。

• データ管理委託の可視性

新しいアカウントを作成する際、JaCSのお客様はデータを保存するエリアを選択することができます。検証を行うため、製品は委託管理エリアを表示します。

データセキュリティを強化するためにRuijieが講じる技術的措置

Ruijieのクラウドインフラについて、JaCSは次のような包括的なセキュリティ措置を講じることで、クラウド内のあらゆるデータを保護します。

• 脅威に対する予防措置、ファイアウォール、侵入テストを含む、GDCおよびRDCのデータ保護
• クラウドインフラへのアクセスを、少数の指定されたJaCSエンジニアに厳しく制限し、そのクラウドインフラにおける作業時のアクティビティを監視、追跡
• 暗号化により、JaCS内のデータストレージを保護

JaCSサービス委託管理は、Googleデータセンター内で、データセンターレイヤのセキュリティとコンプライアンス能力を利用する。JaCSは、Ruijieのクラウドベースのアプリケーションを保護するために、次のような追加措置を講じています。

• ファイアウォール。インバウンドとアウトバウンドのトラフィックを制御および保護
• 脅威の検出。未許可のシステムアクセスやブルートフォース攻撃を含む、悪意ある行為や未許可の行動を継続的に監視
• 業界をリードするツールでDDoS攻撃とトラフィック制御を防ぐ
• JaCSのすべてのバージョンとパッチを保持し、アプリケーションの脆弱性を継続的にスキャンすることで、生産活動中に実際に導入する前に問題が出現するのを未然に防ぐ
• 生産用サーバ導入における業界標準オペレーティングシステム強化プロセス
• VPC、NAT、TLS暗号化、レポートツール、自動パスワード保護などの機能により、基盤となるコンピューティングインフラへの安全なアクセスを確保
• クラウドインフラへのアクセスを、少数の指定された鋭捷ネットワークDevOpsエンジニアに厳しく制限
• サーバ/アプリケーションの監査追跡を通じて、クラウド環境におけるDevOps担当者の活動を監視、追跡

違反監視と警告

Ruijieは、データ漏えいが発生した場合、ただちにお客様に通知する必要があることを理解しています。