データ処理に対するカスペルスキーのアプローチ
ユーザーデータの処理に関するカスペルスキーのアプローチは、お客様のプライバシー尊重と保護、および透明性と説明責任に対する取り組みに基づいています。
当社のデータ処理の主な目的は、お客様に最善のサイバーセキュリティソリューションを提供することにあります。この目的を達成するために、当社は通常、(a)製品の主要な機能をサポートする、(b)保護機能の効果とパフォーマンスを高める、(c)お客様に質の高いより適切なソリューションと適切なコンテンツを提供するという、3つの目標を念頭に置いてデータを処理しています。詳しくは、製品およびサービスに関するプライバシーポリシーをご覧ください。
ユーザーからカスペルスキーに送信されるデータは、特定の個人または組織に関連付けられることはなく、可能な限り匿名化されます。これを実行するための処理には、転送されたURLからアカウント詳細を削除する、ファイルそのものではなく脅威のハッシュ値を取得する、ユーザーのIPアドレスを隠す、などがあります。
カスペルスキー製品のユーザーは、使用する製品またはサービスの機能、および同意した各契約内容に基づいて、データを提供するかどうか、どの程度までのデータを提供するかを選択できます。
当社は常に、データ処理に関する情報を提供しています。これには特に、お客様が十分な情報に基づいて確実に判断を下せるよう処理対象となるデータの全リストが含まれます。当社では、6か月ごとに発行する透明性に関するレポートで、ユーザーから受け取って処理したデータ要求数に関する情報を公開しています。
処理または転送されたデータはすべて、暗号化、デジタル証明書、分離されたストレージ、厳格なデータアクセスポリシー、その他の方法を介して確実に保護されます。当社はまた、セキュアソフトウェア開発フレームワーク(SSDF)を適用するとともに、サプライチェーンリスク管理コントロールを実装することで、データ処理用のインフラストラクチャとシステムをセキュリティで保護しています。
当社は、お客様のプライバシーを保護し、ヨーロッパの一般データ保護規則(GDPR)など、最新の法的要件に準拠するように、自社のソリューションによって処理するデータの種別を定期的に見直しています。
個人データを処理しますか?
一部の法的フレームワーク(GDPRなど)に従って、カスペルスキーが処理する情報には、個人情報あるいは個人を特定できるとみなすことができるデータが含まれる場合があります。当社は、宗教、政治観、性的指向、健康状態、または個人データのその他の特別なカテゴリなどの「機密性の高い」個人データは一切処理しません。
当社は常に、データ処理に関する情報を提供しています。これには特に、お客様が状況をしっかり把握し、十分な情報に基づいて確実に判断を下せるよう処理対象となるデータの全リストが含まれます。処理されるデータの詳細は、使用許諾契約書(EULA)、Kaspersky Security Network(KSN)に関する声明、その他の契約書で確認できますが、これらは製品によって異なります。ユーザーからカスペルスキーに送信されるデータは、集計した統計の形式で使用され、可能な限り匿名化されるため、特定の個人に関連付けられることはありません。
どのようなデータを処理しますか?
当社は、サイバー脅威に関連するデータと統計を処理する場合があります。サイバー脅威に関連するデータには、疑わしいファイルや悪意あるファイル、およびいわゆる統計が含まれます。この統計は、メタ情報を表します。つまり、お客様のマシンで発生したイベントに関する補助的な技術情報です。これは、当社の製品がさまざまな要因に応じて送信する場合があります。これには、ユーザーの動作、カスペルスキー製品の設定、カスペルスキー製品がインストールされているオペレーティングシステムの設定、オペレーティングシステムにインストールされているその他のソフトウェアなどがあります。処理されるデータの詳細は、使用許諾契約書(EULA)、Kaspersky Security Network(KSN)に関する声明、その他のドキュメントで確認できますが、これらは製品によって異なります。
どのようにユーザーデータを保護しますか?
当社は、お客様のデータを常に保護することに取り組んでいます。これを実現するために、最高クラスのテクノロジーを使用しています。カスペルスキーが採用しているセキュリティ対策とセキュリティプロセスには、以下が含まれます。
- セキュリティ開発ライフサイクル。ソリューションをセキュアに開発し、潜在的な脆弱性にできるだけ早くパッチを適用することを目指しています。
- ユーザーデバイスとクラウド間でやり取りされるデータストリームを保護するための強力な暗号化。
- カスペルスキー パスワードマネージャーやカスペルスキー セーフキッズなどのサービス内のユーザー情報の暗号化。ユーザーは、メインキーを1つ持ちます。これは、そのユーザー以外の誰もその情報にアクセスできないことを意味します。
- 正規のセキュアなサーバーの認証と製品アップデートを確実に行うためのデジタル証明書。
- 分離されたストレージ。これは、制限されたアクセス権と厳格なデータアクセスポリシーを使用してさまざまなデータが異なるサーバーに保管されることを意味します。
- データはさまざまな方法によって可能な限り匿名化されます。これには、転送されたURLからアカウント詳細を削除する、ファイルそのものではなく脅威のハッシュ値を取得する、ユーザーのIPアドレスを隠す、などの方法があります。
処理するデータをどのように匿名化するのですか?
カスペルスキーは個人情報の取り扱いについて非常に真剣に考えています。当社は以下の手段を実施して、取得したデータを匿名化しています。
- 情報は、集計または匿名化された統計の形式で分析され、特定の個人に関連付けられることはありません。
- ログイン情報とパスワードは、ユーザーからの最初のブラウザー要求内に含まれていた場合でも、送信URLから除外されます。
- 脅威の可能性のあるデータを処理する場合、一意のファイル識別子を提供する一方向の数学関数であるハッシュ値を取得します。
- 可能な場合は、受信したデータのデバイス情報とIPアドレスを隠します。
- データは、アクセス権に関して厳格なポリシーを持つ個別のサーバーに保存され、ユーザーとクラウドとの間で転送される全情報が安全に暗号化されます。
カスペルスキーはどこにデータを保管しますか?
カスペルスキーはグローバル企業であり、データ処理用のインフラストラクチャは世界中(スイス、ドイツ、ロシア、カナダなど)に分散されています。このため、何らかの理由によってこれらのいずれかに障害が発生したとしても、情報を高速に処理し、サーバーの可用性を保証することが可能です。提供された個人データを処理できる国の詳細のリストは、こちら(https://www.kaspersky.co.jp/products-and-services-privacy-policy)をご覧ください。
グローバルな透明性への取り組み(GTI)の一環として、当社は、データ処理インフラストラクチャの一部を移転しました。ヨーロッパ、北米、ラテンアメリカ、中東、アジア太平洋地域の複数の国でカスペルスキー製品のユーザーから同意を得て共有された、悪意あるファイルや疑わしいファイルは、スイスのチューリッヒにある2か所のデータセンターで処理されます。これらのセンターは、業界トップクラスのセキュリティ基準に準拠した世界最高レベルの設備です。また、スイスは、EUの 十分性の認定を受けた数少ない国の1つです。これは、個人データを適切に保護していることを欧州委員会によって認められたことを意味します。
Kaspersky Security Networkとは何ですか?
Kaspersky Security Network(KSN)は、カスペルスキーの主要クラウドシステムの1つです。新規および未知のサイバー脅威を検知する効果を最大化し、これによって最短かつ最大の効果でユーザーを確実に保護する目的で作成されました。KSNは、このシステムの使用を決めたカスペルスキーをご利用中のユーザーが所有する数百万のデバイスから受信したサイバー脅威関連のデータを自動的に処理します。このクラウドベースのシステムのアプローチは、現在の業界標準であり、世界中のサイバー脅威対策製品のベンダーが採用しています。
「クラウドベースのシステム」とは何ですか?
これは、個人のデバイス上ではなく会社のサーバー上で動作するシステムであり、世界のどこからでもインターネット経由で使用できます。クラウドシステムの例として、メール、ファイル共有、ファイルホスティングが挙げられます。Kaspersky Security Networkのサービスは、世界中のさまざまな国(スイス、ドイツ、ロシア、カナダなど)で提供されています。このため、これらのいずれかに障害が発生したとしても、情報を高速に処理し、サーバーの可用性を保証することが可能です。
クラウドベースの保護の目的は何ですか?
ほとんどのサイバー脅威対策製品のベンダーは、保護レベルを向上させるためにクラウドを使用しており、ハイブリッドの保護モデル(アンチウイルス定義データベース+プロアクティブ防御+クラウド)が最も効果的です。
高い性能を持つセキュリティクラウドにより、サイバー脅威をより速く、より正確に分析できます。従来のアンチウイルス定義データベースとアンチフィッシングの定義データベースのアップデートは一般的に数時間かかっていましたが、クラウドでは、新しい脅威からのユーザーの保護を数分で実現できます。
また、クラウドを使用することで、セキュリティ製品を「軽く」することもできるため、ユーザーデバイスのメモリとリソースを使用しすぎることがありません。
データ処理を制限できますか?
お客様は、使用する製品やサービスの機能および同意する各契約書に基づいて、データを提供するかどうか、およびどの程度までのデータを提供するかを選択できます。当社は常に、データ処理に関する情報を提供しています。これには特に、お客様が十分な情報に基づいて確実に判断を下せるよう処理対象となるデータの全リストが含まれます。また、透明性に関するレポートで、ユーザーから受け取って処理したデータ要求数に関する情報を定期的に公開しています。最新のレポートは、こちらをご覧ください。
お客様は、データが一切共有されないようにソリューションを設定することも、当社(https://support.kaspersky.co.jp/general/privacy)に直接連絡することで、処理された個人データにアクセスする権利を行使することもできます。
カスペルスキーのソリューションで処理済みの個人データを第三者と共有していますか?
当社は、ユーザーデータのインフラストラクチャを含む当社のインフラストラクチャに対するアクセス権をいかなる第三者または政府機関にも一切提供していません。
当社は、ベンダーとのデータ処理契約を介してベンダーとデータを共有する場合があります。このようなベンダーは、サービスを提供し、これには、AmazonクラウドやMicrosoft Azureなどがあります。
カスペルスキーのデータ処理手段は認証されていますか?
企業としてユーザーに最高のセキュリティを適用していることを確認するために、 カスペルスキーのデータサービスは定期的に第三者のセキュリティ監査と評価に合格しています。具体的には、カスペルスキーのデータサービスはISO 27001の認証を受けており、 範囲の拡大に伴い2022年に再認証を受けました。 したがって、サイバー脅威関連のデータと統計の両方を処理するデータサービスは、この認証の対象に含まれています。この認証は、チューリッヒ、フランクフルト、トロント、モスクワ、北京のデータセンターで提供される当社のデータサービスに対して有効です。ISO/IEC 27001:2013への準拠(業界のベストプラクティスおよび適切なセキュリティ基準として国際的に認められました)は、情報セキュリティを導入して管理するためのカスペルスキーのアプローチの中核にあります。第三者の認証機関によって付与されたこの認証は、当社が強力な情報セキュリティに取り組んでおり、カスペルスキーのデータサービスが業界をリードするベストプラクティスに準拠していることを実証しています。再認証の最終レポートは、ご要望があればお客様とパートナーにお渡しできます。