この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
このプライバシーデータシートでは、Cisco Registered Envelope Service における個人データ(または個人を識別できる情報)の処理について説明します。
1. Cisco Registered Envelope Service 機能の概要
Cisco Registered Envelope Service(「CRES」)は、お客様の安全な E メールによるコミュニケーションをサポートします。このサービスによって、お客様は登録済みエンベロープを使用して暗号化されたメッセージを送信できます。登録済みエンベロープは、パスワードで保護することもできる暗号化された電子メールです。パスワードによって保護されたエンベロープは、自己の正当性を証明できる認可された受信者のみが開封できます。CRES の詳細については、https://www.cisco.com/c/ja_jp/products/security/registered-envelope-service/index.html?CCID=c000156&DTID=odicdc000016 を参照してください。
CRES は、そのユーザの特定の個人データを処理します。以下に、シスコが CRES サービスを提供するために処理する個人データ、その保管場所、ならびにプライバシーの原則および法令に従った安全管理措置を記載します。
以下の表に、CRES がサービスを提供するために利用する個人データと、その個人データを処理する目的を記載しています。
| 個人データのカテゴリ |
個人データの種類 |
処理の目的 |
| 顧客の連絡先情報 |
●
名前
●
電子メールアドレス
|
●
製品の管理:アカウントの作成、ライセンス付与の確認、通常の製品サポートおよび管理。
|
| 電子メールエンベロープヘッダー |
●
送信者
●
受信者
|
●
顧客登録とライセンス権限付与の確認
●
顧客の問題に関するトラブルシューティング
|
| 電子メールデータヘッダー |
●
差出人
●
宛先
●
件名
●
返信先ヘッダー(CC/BCC
を含む)
●
添付ファイルの名前/
タイトル(添付ファイルの内容ではない)
|
●
顧客の問題に関するトラブルシューティング
|
| 暗号化キー |
●
ユーザごとの一意の暗号化キー
|
●
適切な送信者と受信者が暗号化されたメッセージを開くために使用できる一意のメッセージ ID
。
|
| IP アドレス |
●
エンドユーザのデバイスの IP
アドレス
|
●
サービスおよび監査レポートへのユーザセッション接続を維持するために使用
|
| 暗号化されたエンベロープ |
●
暗号化形式の完全な電子メール
|
●
暗号化されたエンベロープの顧客向けクラウドストレージ(オプション。顧客が「Easy Open
」機能を有効にしている場合)。シスコではエンベロープを復号化できません。
|
顧客のアカウント情報および CRES によって処理されるデータに関して、クロスボーダー転送が発生します。新しい顧客が CRES サブスクリプションを購入すると、その顧客のアカウント情報は常に米国で作成、処理、保存されます。CRES 製品機能に関連付けられたこの顧客からの、後続のすべてのデータ(電子メールエンベロープヘッダー、電子メールデータヘッダー、暗号キー、IP アドレスデータ、および電子メールストレージが有効になっている場合は暗号化されたエンベロープ)は、CRES が使用するサードパーティのクラウド ホスティング プロバイダーが次のように米国にのみ所在するため、米国で処理されます。
| データセンター |
説明 |
場所 |
| Equinix 社 |
CRES クラウドの Equinix インフラストラクチャは、次の地域で稼働するコロケーション データセンターです。 |
カリフォルニア(米国) |
| スイッチ |
CRES クラウドのスイッチ インフラストラクチャは、次の地域で稼働するコロケーション データセンターです。 |
ネバダ(米国) |
シスコは、複数の司法管轄区域にまたがって合法的にデータを利用できるようにするため、さまざまな転送メカニズムに投資しています。その際、特に以下を考慮しています。
● 拘束的企業準則
● EU - 米国間のプライバシー シールド フレームワーク
● スイス - 米国間のプライバシー シールド フレームワーク
| 個人データのカテゴリ |
アクセス可能者 |
アクセスの目的 |
| 顧客の連絡先情報 |
顧客 シスコの従業員 - シスコのセールス管理者、ライセンスオペレータ、CRES オペレータおよびサポートスタッフのみ |
製品の管理:アカウントの作成、ライセンス付与の確認、通常の製品サポートおよび管理。 |
| 電子メールエンベロープヘッダー、電子メールデータヘッダー |
顧客管理者 |
製品管理、監査、レポート生成 |
| Cisco Dev オペレータ |
CRES の構成とトラブルシューティング、メンテナンス |
|
| IP アドレス |
Cisco Dev オペレータ |
CRES のトラブルシューティングとメンテナンス |
| 暗号化されたエンベロープ暗号化キー |
Cisco Dev オペレータ |
CRES のトラブルシューティングとメンテナンス |
| 個人データのカテゴリ |
保持期間 |
保持の理由 |
| 顧客の連絡先情報 |
現時点では、削除が要求されるまで保持 |
管理目的 |
| 電子メールエンベロープヘッダー 電子メールデータヘッダー 暗号化キー |
10 年 |
サービス提供 注:お客様は、暗号化キーをロックしたり、暗号化キーを期限切れに設定したりすることができます(たとえば、自動的にキーを期限切れにするポリシーを作成できます)。 |
| IP アドレス |
90 日間 |
監査 |
| 暗号化されたエンベロープ |
最大 15 日間で設定可能 |
モバイルデバイスでデバイス上のアプリケーションまたはソフトウェアを必要とせずにエンベロープを開く方法を提供するため。 |
削除
10 年間の保持期間が終了すると、CRES はすべての電子メールエンベロープヘッダー、電子メールデータヘッダー、および暗号キーを CRES から自動的に消去します。ロックまたは期限切れに設定された暗号キーは、引き続き 10 年間の削除期間の対象となります。すぐには削除されません。上記にかかわらず、お客様は Cisco TAC リクエストをオープンにして、シスコによる CRES ユーザアカウントの削除を要求することができます。お客様は、監査ログに含まれている IP アドレスを削除できません。CRES は、上記の保持期間の終了後に IP アドレスを消去します。
| 個人データのカテゴリ |
暗号化のタイプ |
| 顧客の連絡先情報 |
保管中のデータのディスクレベル(SAN 暗号化) 実行中のデータ(TLS 暗号化) |
| 電子メールエンベロープヘッダー |
保管中のデータのディスクレベル(SAN 暗号化) 実行中のデータ(TLS 暗号化) |
| 電子メールデータヘッダー |
保管中のデータのディスクレベル(SAN 暗号化) 実行中のデータ(TLS 暗号化) |
| 暗号化されたエンベロープ |
保管中のデータ(AES-256 を使用して暗号化されたペイロード) 保管中のデータ(キーサーバに保管されているキーは、暗号キーとソルトを組み合わせたハッシュ値です) |
| 暗号化キー |
保管中のデータのディスクレベル(SAN 暗号化) 実行中のデータ(TLS 暗号化) |
| IP アドレス |
保管中のデータのディスクレベル(SAN 暗号化) 実行中のデータ(TLS 暗号化) |
7. サードパーティ サービス プロバイダー(副データ処理事業者)
シスコは、同レベルのデータ保護を提供する契約を締結しているサードパーティのクラウド ホスティング プロバイダーと提携しています。
| 副データ処理事業者 |
個人データ |
サービスタイプ |
データセンターの場所 |
セキュリティアシュアランス |
| Equinix 社 |
電子メールエンベロープヘッダー 電子メールデータヘッダー 暗号化キー IP アドレス |
CRES は、Equinix データセンターを活用して、CRES のグローバル サービス フットプリント、セキュリティアシュアランス、柔軟なサービスおよび耐障害性を提供します。 |
カリフォルニア(米国) |
ISO 27001、SSAE 18 SOC 1 Type II、SOC 2 Type II |
| スイッチ |
電子メールエンベロープヘッダー 電子メールデータヘッダー 暗号化キー IP アドレス |
CRES は、スイッチデータセンターを活用して、CRES のグローバル サービス フットプリント、セキュリティアシュアランス、柔軟なサービスおよび耐障害性を提供します。 |
ネバダ |
SSAE 18 SOC I Type 2、SOC II Type 2 |
お客様が問題の診断および解決のために Cisco Technical Assistance Center(TAC)に連絡すると、Cisco TAC は、お客様が提供した個人データを CRES から取得して、処理する場合があります。Cisco TAC のサービス提供に関するプライバシーデータシートには、シスコによる個人データの処理方法が記載されています。シスコは、お客様の問題解決を支援する以外の目的で個人データを処理することはありません。詳細については、TAC Support Essentials Privacy Data Sheet を参照してください。詳細については、TAC Support Essentials Privacy Data Sheet を参照してください。
侵害およびインシデントの通知プロセス:シスコのセキュリティおよびトラスト部門内のデータ保護/プライバシーチームは、データインシデント対応プロセスを調整し、データ中心インシデントに対する全社的な対応を管理しています。インシデント対応リーダーが、Cisco Product Security Incident Response Team(PSIRT)、Cisco Security Incident Response Team(CSIRT)、Advanced Security Initiatives Group(ASIG)などの多様なチームを活用して、シスコの対応を調整して指示します。
PSIRT は、シスコ製品およびネットワークに関連するセキュリティ脆弱性の報告受付、調査、公表を担っています。また、お客様、独立したセキュリティ研究者、コンサルタント、業界団体、その他のベンダーと協力して、シスコ製品およびネットワークのセキュリティに関する潜在的な問題を特定します。シスコ セキュリティセンターでは、セキュリティインシデントの報告プロセスが詳しく説明されています。
シスコ通知サービスに登録すれば、重要なシスコ製品およびテクノロジーに関する情報を定期的に受け取れます。その中には、重要度が「緊急」または「重要」のセキュリティ脆弱性に関するシスコ セキュリティ アドバイザリなどが含まれています。このサービスでは、通知のタイミングおよび通知の方法(電子メールメッセージまたは RSS フィード)をお客様が選択できます。情報へのアクセスレベルは、お客様とシスコとの取引関係によって決まります。製品またはセキュリティ通知に関する質問や懸念がある場合は、シスコのセールス担当者にお問い合わせください。
セキュリティ & トラスト部門とシスコ法務部門は、リスクおよびコンプライアンスに関する管理サービスやコンサルティングサービスを提供し、シスコ製品/サービスの設計にセキュリティや規制遵守機能を組み込むための支援を行っています。シスコおよびシスコが実施するプロセスは、EU 一般データ保護規制および世界中の他のプライバシー保護法に基づいてシスコが責務を果たせるように設計されています。
シスコは複数の司法管轄区域にわたって合法的にデータを利用できるように、以下のプライバシー情報転送メカニズムを活用しています。
● 拘束的企業準則
● EU - 米国間のプライバシー シールド フレームワーク
● スイス - 米国間のプライバシー シールド フレームワーク
全般的な情報および、シスコのセキュリティ コンプライアンス プログラムや GDPR 対応に関連する FAQ(よくある質問)については、Cisco Trust Center をご確認ください。
シスコのプライバシーデータシートは、毎年(または必要に応じて)見直され、更新されます。プライバシーデータシートの最新バージョンについては、https://www.cisco.com/c/en/us/about/trust-center/solutions-privacy-data-sheets.html を参照してください。