EU 以外の政府による、EU に保持されているデータへのアクセスまたは転送を防ぐために、Dropbox が講じる管轄権および措置
お客様が米国、カナダおよびメキシコ(以下「北米地域」)以外にお住まいの場合、本サービスは Dropbox International Unlimited Company が提供し、そのインフラストラクチャはアイルランド共和国の管轄権に服します。お客様が北米地域にお住まいの場合、本サービスは Dropbox, Inc. が提供し、そのインフラストラクチャは米国の管轄権に服します。
欧州連合、欧州経済領域、英国、スイスからデータを転送する場合、Dropbox は、国際的な政府機関による Dropbox ユーザーデータへのアクセスが欧州連合法または関連する加盟国の国内法と矛盾する場合に、そのようなアクセスを防止するための技術的、組織的、および契約上の措置を複数講じています。
技術的措置
Dropbox は、バックエンドネットワークのセキュリティの維持に徹底的に取り組んでいます。Dropbox のネットワークとセキュリティ監視技術は、複数の保護レイヤーを提供しています。Dropbox は、ファイアーウォール、ネットワークセキュリティの監視、侵入検出システムを含む業界標準の保護技術を導入して、許可された悪意のないトラフィックのみが Dropbox のインフラに到達できるようにしています。
Dropbox の内部プライベートネットワークは、用途とリスクレベルに基づいて分けられています。一次ネットワークは次のとおりです。
- インターネット接続 DMZ
- 優先インフラストラクチャ DMZ
- プロダクションネットワーク
- 企業ネットワーク
- Dropbox のサービスとアプリケーションは、可能な場合はコンテナを介して分離されます
プロダクション環境へのアクセス権限は承認された IP アドレスに制限されており、すべてのエンドポイントで多要素認証が必要です。アクセス権限のある IP アドレスは、企業ネットワークまたは承認された Dropbox 担当者と関連付けられています。承認された IP アドレスは年 4 回審査され、安全なプロダクション環境を確実にしています。IP アドレスリストを変更するためのアクセス権限は、承認されたユーザーのみに制限されています。
インターネットから当社のプロダクションネットワークに送信されるトラフィックは、複数のファイアウォールとプロキシの階層を使用して保護されています。
Dropbox の内部ネットワークと公共のインターネットの間は常に厳格な制限が設けられています。すべてのインターネットとプロダクションネットワークとの双方向トラフィックは、専用プロキシサービスで入念に管理され、それに伴う制限付きのファイアウォールルールにより保護されています。
組織と契約上の措置
Dropbox, Inc. は、欧州連合(EU)、欧州経済領域、英国、およびスイスから米国に転送される個人データの処理に関しての、米国商務省が定めるEU / 米国間およびスイス / 米国間のデータプライバシーフレームワーク、ならびにEU / 米国間データプライバシーフレームワークの英国拡張版に準拠しています。Dropbox は、このようなデータに関してこれらのデータプライバシーフレームワークに準拠していることを米国商務省に対して証明していますが、これにはサービスの FormSwift 部分は含まれていません。Dropbox のプライバシーポリシーとデータプライバシーの間に矛盾がある場合、当該原則が優先されるものとします。本原則に従い、 Dropbox は データ処理者が本原則に沿わない方法で個人データを処理した場合でも、転送に対する責任を引き続き 負うものとします。
データプライバシーフレームワークの詳細と当社の認証については、https://www.dataprivacyframework.gov/ をご覧ください。
