ライトスピードトラスト
Lightspeed Systems®は信頼できるパートナーです
安全で安心
情報セキュリティとデータ保護は、当社の基本理念の不可欠な部分です。当社には、お客様の情報を安全かつ確実に保護することを約束する専任のセキュリティおよびコンプライアンス チームがあります。Lightspeed Systems は、顧客データの可用性、整合性、機密性を確保するために、厳格なポリシーと手順を採用しています。
Lightspeed Systemsのサービスステータス
サービスレベル契約 (SLA)
Lightspeed Systems は、学校向けのモバイル デバイス管理、Web フィルタリング、アプリ分析、教室管理などのホスト型サービスを提供しています。当社のサービスは少なくとも 99.9% の時間利用可能であり、サーバーのパフォーマンスと可用性は継続的に監視されています。
ライトスピードセキュリティ
行政上の安全策
従業員の身元調査
Lightspeed Systems の従業員は全員、採用前に身元調査を受け、秘密保持契約に署名します。
データ侵害通知
データ侵害が判明した場合、当社はインシデント対応計画に従い、遅滞なくお客様に通知します。
インシデント管理
当社には、Lightspeed Systems ネットワークおよび顧客データに影響を及ぼすセキュリティ インシデントの検出、報告、特定、分析、対応のプロセスを詳細に規定したインシデント対応計画が文書化されています。
従業員のプライバシーとセキュリティ意識向上トレーニング
採用時および継続的に、すべての従業員はプライバシーとセキュリティのトレーニングを受ける必要があります。このトレーニングでは、個人情報の使用、アクセス、共有、保持に制限を設ける必要性など、従業員による個人情報の取り扱いに適用されるプライバシー慣行と原則について取り上げます。
当社では、役割に応じて必要なセキュリティの特定の側面に関するトレーニングを提供しています。たとえば、製品開発チームは、プライバシー バイ デザインと安全なソフトウェア開発のトレーニングを受けています。また、従業員は定期的にフィッシング メールにさらされています。
ベンダー選定とリスク管理
Lightspeed Systems は、サービスを実行するためにサブプロセッサを使用することがあり、サービスを実行するために必要な場合にのみ顧客データにアクセスする権利を有し、Lightspeed および適用可能な規制で要求される厳格なレベルのデータ保護を提供することを要求する書面による契約に拘束されるものとします。 以下にサブプロセッサーのリストを示します。
ベンダーとの関係全体を通じて適切なデータ プライバシーとセキュリティの実践が実施されていることを確認するために、事前契約および継続的なベンダー評価が実施されます。 提供されるベンダー サービスの変更や既存の契約の変更には、変更によって追加または過度のリスクが発生しないことを確認するためのセキュリティ リスク評価が必要です。
ポリシーと手順の文書はNISTのプライバシー/セキュリティフレームワークに準拠しています
Lightspeed Systems は、CIS コントロールと NIST フレームワークに照らしてシステムをレビューし、特定されたリスクやギャップにはそれに応じて対処します。
当社には、データの整合性を確保するために定期的に会議を開催する専任のデータ ガバナンス チームがあります。
当社では、データ保護のために、インシデント対応計画、セキュリティ ポリシー、脆弱性修復ポリシー、IT 標準ポリシー、データ削除ポリシーなど、組織全体でさまざまなポリシー ドキュメントを実装しています。
事業継続と災害復旧
Lightspeed Systems は、重要なビジネス機能を維持し、システムとデータを保護することの重要性を認識しています。ビジネスの継続性を確保するために、Lightspeed は、すべての機能の全体的な管理プログラムを統制する、企業全体のビジネス継続性と災害復旧計画を開発しました。
変更管理
変更管理ポリシーは、システム変更とパッチの設計、開発、取得、テスト、承認、実装に対処するために文書化されています。
ライトスピードセキュリティ
技術的安全対策
外部監査
Lightspeed Systemsは、独立機関によるSOC 2 Type II監査を毎年受けており、SOC 2基準を満たしていることが検証されています。Lightspeed Systemsは、AICPAのTrust Services Criteria(信頼サービス基準)に準拠し、お客様に提供するサービスのセキュリティ、可用性、機密性、プライバシーを確保するためのポリシーとプロセスを確立しています。SOC 2 Type 2レポートのコピーをご希望の場合は、[email protected]までメールでご連絡ください。NDAにご署名いただいた後、レポートをご提供いたします。.
データ侵害通知
データ侵害が確認された場合は、インシデント対応計画に従い、遅滞なく学校に通知します。
保存時の暗号化
データは、Advanced Encryption Standard (AES) 暗号化を使用して保存時に暗号化されます。
転送中の暗号化
データは、トランスポート層セキュリティ (TLS) プロトコルを使用して転送中に暗号化されます。
データのバックアップ
当社では、データとシステムのバックアップを定期的に実行しています。バックアップ間隔はデータの種類によって異なり、数分から 1 日に 1 回までの範囲です。
脆弱性の修復
Lightspeed Systems には、脆弱性がもたらすリスクに応じて脆弱性を特定し、修正するための脆弱性修正ポリシーがあります。当社では、パッチ管理ソフトウェアを使用してシステムを監視し、パッチが確実に実装されるようにしています。
データの削除
Lightspeed Systems はデータ削除ポリシーを実装しています。適切な場合、当社のソリューションは自動化されたルールを利用して、ポリシーに従ってデータを消去します。
ログ記録と監視
Lightspeed Systems は、起こりうるセキュリティ イベントを識別して調査するためのログ記録および監視ソリューションを導入しました。
アイデンティティとアクセス制御
個人情報へのアクセスは、職務を遂行するためにそれを必要とする従業員のログイン認証情報を通じて制限されます。さらに、Lightspeed Systems は、多要素認証、シングル サインオン、必要に応じた最小限の権限とアクセス、強力なパスワード制御、管理アカウントへの制限付きアクセスなどのアクセス制御を活用しています。
当社のソリューションにより、お客様は必要な機能を実行するために必要な権限のみを付与する「管理者」ロールを作成できます。
ライトスピードセキュリティ
物理的な安全対策
職場のセキュリティ
Lightspeed Systems は、当社オフィスへの不正アクセスを防止するために、以下の制御を維持しています。
- 施設へのアクセスは、キー/キーフォブまたはアクセスバッジを使用する許可された個人に制限されます。
- Lightspeed のオフィスには、消火および火災検知システムまたは装置のほか、非常口と避難経路が備わっています。
データセンターのセキュリティ
データが処理・保管されるすべてのデータセンターは米国に設置されており、SOC 2、PCI DSS、ISO 27001の認証を取得しています。Lightspeedは、システムおよびソリューションにおけるイベントや異常を記録、監視し、対応するためのプロセスを導入しています。また、データのバックアップおよびリカバリソリューションも導入しています。
安全な設計原則
Lightspeed Systemsは設計段階からセキュリティを実践しています。当社は、 OWASP 方法論。
当社のシステムとプロセスは、情報セキュリティの中核である機密性、完全性、可用性を考慮しています。
コンプライアンス
ライトスピードシステムズ人工知能(AI)倫理と原則
ライトスピードシステムズは、人工知能がテクノロジーとビジネスの世界をより良い方向に変える方法を知っています。当社は、AIを責任ある方法で使用し、そのメリットを最大限に引き出し、お客様に貢献しながら倫理的に使用しています。当社は、当社の価値観と専門的基準に合致し、お客様、人々、コミュニティ、規制当局の信頼を築くAIソリューションの倫理原則に従います。当社は、公益のために行動し、公衆の信頼を尊重し、専門的卓越性へのコミットメントを示すという確固たる決意を持っています。詳細については、当社の AIの責任ある使用.
コンプライアンス
児童オンラインプライバシー保護法 (COPPA)
コッパ 米国管轄下の個人または団体による 13 歳未満の子供に関する個人情報のオンライン収集に適用されます。ユーザーの個人情報の収集または使用には、保護者の同意が必要です。
- Lightspeed Systemsは、児童のオンライン安全を確保するため、児童オンラインプライバシー保護法(COPPA)を遵守しています。生徒アカウントは、認証済みの教育機関、学校、または教育機関を通じてのみ提供されます。教育機関は、生徒にアカウントを発行する前に保護者の許可を得ることに同意します。 Lightspeed の COPPA 通知については、こちらをお読みください。
当社は、以下に記載する COPPA ガイドラインに準拠し、以下のことに同意します。
- 保護者または資格のある教育者や教育機関の同意なしにオンライン連絡先情報を収集しないでください。
- 個人を特定できるオフラインの連絡先情報を収集しません。
- 保護者の事前の同意なしに、個人を特定できる情報を第三者に配布しないでください。
- 特別なゲーム、賞品、またはその他のアクティビティの見込みで誘惑したり、アクティビティへの参加に必要以上の情報を漏らしたりしないでください。
- 学生への広告の行動ターゲティングのために学生の情報を使用または開示しないでください。
- 認可された教育/学校目的をサポートする場合を除き、生徒の個人プロファイルを作成しないでください。
コンプライアンス
家族教育権利とプライバシー法 (FERPA)
の 家族教育権利とプライバシー法 (FERPA) 学生の教育記録のプライバシーを保護する連邦法です。この法律は、米国教育省の該当プログラムに基づいて資金を受け取るすべての学校に適用されます。
- FERPAは企業ではなく学校に適用されますが、Lightspeed Systemsは「学校関係者」に指定される場合があります。そのため、当社はFERPAの要件を遵守し、学区から委託された生徒情報のプライバシー保護に尽力しています。すべての生徒データは学区が管理しており、当社はその指示に従って業務を進めています。FERPAに基づき、保護者または対象となる生徒は生徒記録にアクセスし、閲覧、確認、修正する権利を有しており、Lightspeedは学区から確認済みの書面による要請を受けた場合、これらの権利を遵守します。.
- Lightspeed Systems は生徒や保護者と直接連絡を取ることはありませんのでご了承ください。
コンプライアンス
ニューヨーク州教育法 2-D
教育法第2-d条 2014年4月に発効しました。この法律の焦点は、生徒の個人識別情報(PII)と教室の教師や校長に関連する特定のPIIのプライバシーとセキュリティを促進することでした。ライトスピードシステムは、NY ED法2-Dと 親の権利章典これには次のものが必要です。
- 学生の個人識別情報 (PII) は、いかなる商業目的でも販売または公開することはできません。
- 教育機関によって保管または維持されている学生の教育記録の全内容を閲覧および検討する権利。
- 学生の個人情報を保存または転送する場合は、暗号化、ファイアウォール、パスワード保護など、業界標準およびベストプラクティスに関連する保護手段を講じる必要があります。
- 個人情報の漏洩または不正な開示が発生した場合に、適用される法律および規制に従って通知を受ける権利。
- 保護者は、生徒のデータの漏洩の可能性について苦情を申し立てる権利を有します。
- PII を取り扱う教育機関の従業員は、PII を保護する業界標準およびベストプラクティスに関連する、適用される州法および連邦法、ポリシー、および保護対策に関するトレーニングを受けます。
- 教育機関は、PII を受け取るベンダーと契約を交わし、法定および規制上のデータ プライバシーとセキュリティの要件を遵守します。
コンプライアンス
学生データプライバシーコンソーシアム(SDPC)と国家データプライバシー協定(NDPA)
SDPCは最初の 国家データプライバシー協定 (NDPA) アプリケーション契約を合理化し、学校/学区とマーケットプレイスプロバイダーの間で共通の期待を設定します。
- Lightspeed は、参加しているすべての州の学区と協力して、データ処理プライバシー契約を確実に締結するよう努めています。
- SDPCとNDPAに署名したい学区は、電子メールでお問い合わせください。 プライバシー@lightspeedsystems.com.
- の SDPC は、増大するデータプライバシーの懸念に対する現実的で適応性があり実装可能なソリューションに取り組む、学校、学区、地域、領土、州の機関、政策立案者、業界団体、市場プロバイダーのユニークなコラボレーションです。
コンプライアンス
カリフォルニア州消費者プライバシー法 (CCPA)
の カリフォルニア州プライバシー権利法 (CPRA) カリフォルニア州消費者プライバシー法 (CCPA) を修正および拡張します。CPRA は 2023 年 1 月 1 日に発効しました。CCPA は、カリフォルニア州の従業員 (B2E) および企業間 (B2B) の連絡先の個人データを保護するために修正され、カリフォルニア州の居住者のデータを収集するすべての組織に、プライバシー リスク評価、データ最小化、保持ポリシーなどのより広範な保護を適用することを義務付けています。CPRA は現在、B2B 関係と従業員に関するデータ権利に重点を置いています。透明性のあるデータ開示から、データ収集と処理に関連するプライバシー リスクのより積極的な施行とより高い認識まで、またカリフォルニア州の従業員、企業、居住者に関連するすべてのデータの説明まで、さまざまな内容が含まれています。
カリフォルニア州プライバシー権利法は誰を保護するのでしょうか?
カリフォルニア州在住の従業員、サービスプロバイダー/ベンダー、請負業者、コンサルタント、応募者、フリーランサー、リモートワーカーである個人は、合理的に特定できます。
従業員およびB2Bデータの権利:
- 知る権利: 従業員、請負業者、サービス プロバイダーには、「特定の個人情報」のコピーにアクセスする権利があり、どのようなデータが収集および管理されているかを知る権利があります。
- アクセス権: 消費者と同様に、従業員は、いくつかの例外を除き、自分の情報にアクセスするために、雇用主にデータ主体アクセス要求 (DSAR) を提出することができます。
- 使用および開示の権利: 企業に対して、機密性の高い個人情報の利用および開示を制限または停止することを要求する権利。
- 訂正する権利: 事業者に対して不正確な情報の訂正を要求する権利。
- オプトアウトの権利: 個人情報の販売または共有を拒否する権利。
- 寛大な処置を受ける権利: データ権利を行使したことに対して報復を受けない権利。
Lightspeed Systems は、CCPA および CPRA への準拠を保証するために、以下の手順を実施しています。
- データ主体のアクセス要求: データ主体は、当社のプライバシーチームに電子メールを送信することで権利を行使することができます(プライバシー@lightspeedsystems.com)
- データマッピング: すべてのデータのマッピング、インベントリ、分類
- データの最小化: 当社は、使用されるデータの目的に対して適切かつ関連性があり、必要なものに限定されたデータのみを処理します。
- データ保持ポリシー: 当社は、すべての製品とプロセスにデータ保持ポリシーを導入しています。データは、処理活動を実行するために合理的に必要な期間を超えて保持されることはありません。
- プライバシー影響評価: 当社では、設計段階からプライバシーとセキュリティを確保するために、すべての製品とプロセスのリスク評価を実施しています。
コンプライアンス
一般データ保護規則 (GDPR)
の 一般データ保護規則 (GDPR) 欧州連合における個人の個人データの収集、使用、保管、転送に関する規則を定め、 英国GDPRこれは、個人データが EU および英国で処理される場合、または商品/サービスが EU および英国の居住者に提供される場合に適用されます。
GDPRがLightspeedに適用される方法
- 主な役割: 学校や学区に提供される製品については、Lightspeed Systems は「データ プロセッサ」として機能し、「データ コントローラ」(学校) の文書化された指示に従ってのみ個人データを処理します。
- 子供のデータ: 当社の顧客は教育機関であるため、当社は未成年者のデータに対する高い期待を尊重し、データ管理者が選択した法的根拠(正当な利益、教育機関が管理する同意など)に従うようにサービスを設計しています。
当社のGDPRプログラム:
- 合法的、公正かつ透明な処理
- 当社は、顧客との契約や製品ドキュメントに明確な目的を記載し、個人データを合法かつ公正に処理します。
- 透明性: 管理者は、当社のプライバシー ポリシーおよびデータ処理契約に詳述されている、データのカテゴリ、目的、受信者 (サブプロセッサーを含む)、および保持期間を説明する情報を受け取ります。
- 役割と責任
- 処理者の義務: 当社は、管理者の指示に従い、機密性を確保し、データ主体の要求に協力し、DPIA をサポートし、適切なセキュリティを実装します。
- データ処理契約(DPA):当社のDPA(EU SCCおよび英国IDTAを含む)は、処理、セキュリティ、侵害サポート、監査、およびサブプロセッサーについて規定しています。DPAの締結をご希望の場合は、[email protected]までメールでご連絡ください。
- データの最小化と目的の制限
- 最小化: サービスの提供とセキュリティの確保に必要なものだけを収集し、処理します。
- 厳密な目的の使用: 広告や無関係なプロファイリングに使用したり、個人データを販売したりすることはありません。
- データマッピングと分類
- 当社では、システム、目的、保管場所、法的根拠にリンクされた最新のデータ インベントリと分類を維持しています。
- 処理の記録(第30条「ROPA」):当社は、データ主体/データのカテゴリー、受信者、保持、セキュリティ対策などを含む、処理者と限定管理者の両方のコンテキストについてROPAを保持します。
- データの保持と廃棄
- 当社は、契約上および法的義務を満たすために必要な期間のみ個人データを保持し、その後安全に削除または匿名化します。
- コントローラーは、実行された DPA に詳述されている規定のタイムライン内に、データ削除要求が満たされていることを確認します。
- 処理のセキュリティ
- 組織的および技術的な制御: ロールベースのアクセス制御、MFA、最小権限、ログ記録と監視、脆弱性管理、転送中の暗号化 (TLS) と保存時の暗号化 (AES)、変更管理による安全な SDLC。
- ベンダーのセキュリティ リスク評価、契約上のセキュリティ要件、およびサブプロセッサの定期的なレビュー。
- プライバシーバイデザインとデフォルト
- 当社では、デフォルトでオフになっている、またはスコープ指定されたデータ機能、実行可能な場合のマスキング、コントローラーがニーズに合わせてデータ収集をカスタマイズできる構成オプションなど、プライバシーを製品設計に統合しています。
- DPIA、PIA、AIA
- 当社は、リスクが高まる可能性のある新しい機能や大幅に変更された機能(コンテンツ分析、監視機能など)について、プライバシー影響評価、データ保護影響評価、AI 影響評価を実施します。
- 当社は、製品情報、安全対策、リスク軽減策を提供し、管理者の DPIA を支援します。
- データ主体の権利サポート
- 当社は、管理者が法定期限内に EU/英国のデータ主体の要求を満たすことを支援します。
- アクセス、訂正、消去、制限
- 移植性(該当する場合)
- 特定の処理に対する異議
- 同意の撤回(管理者が同意を根拠とする場合)
- 当社は、管理者が法定期限内に EU/英国のデータ主体の要求を満たすことを支援します。
- 国際送金
- 当社のデータ処理契約には、EU 標準契約条項と、EU/英国外への転送に関する英国国際データ転送契約が含まれています。
- ライトスピードシステムズは、 EU-米国 + 英国拡張データプライバシーフレームワーク
- インシデントおよび侵害管理
- 個人データに影響を与えるセキュリティインシデントが発生した場合、当社は遅滞なく管理者に通知し、インシデントの詳細と修復情報を提供し、管理者が監督当局およびデータ主体の通知(管理者向けの72時間ルールなど)に対応できるように協力します。
- サブプロセッサーとベンダーガバナンス
- 当社は最新のサブプロセッサーリストを維持、共有しており、書面による承認、フローダウン義務、セキュリティ管理、機密保持、およびサービス終了時の削除を要求しています。
- トレーニング、ガバナンス、説明責任
- 関係者向けのプライバシーとセキュリティのトレーニング、定期的な意識向上プログラム、および文書化されたポリシー/標準。
- コンプライアンスを証明するための内部監査と制御テスト。
- EUと英国の第27条代表
- EU担当者 – EDPO EU: Avenue Huart Hamoir 71, 1030 Brussels, Belgium
- オンラインリクエストフォーム:https://edpo.com/gdpr-data-request/
- 英国代表 – EDPO UK: 8 Northumberland Avenue, LondonWC2N 5BY, UK
- EU担当者 – EDPO EU: Avenue Huart Hamoir 71, 1030 Brussels, Belgium
- 指定データ保護責任者(DPO) – ジョン・ジェンター プライバシー@lightspeedsystems.com
コンプライアンス
シンガポール個人情報保護法 2012
の 2012 年シンガポール個人データ保護法 (PDPA) シンガポール国内の個人データに対する基本的な保護レベルを確立し、「個人」(法律で指定)に、組織による個人データの収集、利用、開示方法に対する制御を強化します。
シンガポールPDPAに基づくデータ保護義務
Lightspeed Systems は、以下のように規定された義務を遵守することに尽力します。
- 説明責任当社はデータ保護ポリシーを策定し、定期的なトレーニングを通じて責任ある文化を奨励しています。
- 通知: 当社は、当社のプライバシーポリシーに記載されているとおり、ユーザーの個人情報を収集、使用、開示する目的についてユーザーに通知します。 プライバシーポリシー.
- 同意: 当社は、個人データを収集、使用、開示する前に、当社がサービスを提供する教育機関(顧客)から同意を得ています。データは同意を得た目的に使用され、顧客はいつでも同意を取り消すことができます。
- 目的の制限: 当社は、お客様に通知した目的のために個人情報を収集、使用、または開示します。
- データの正確性: 当社は個人情報が正確かつ完全であることを保証します。
- データ保護: 当社は、個人情報を不正アクセス、収集、使用、開示から保護するために必要なセキュリティ対策を実施しています。
- データ保持: データは、処理アクティビティを実行するために必要な期間保持されます。
- データ転送制限: 国境を越えたデータ転送は、PDPA に概説されているものと同様の基準を持つデータ保護法を有する国に対して行われます (PDPC によって免除されない限り)。
- データ主体の権利: 個人は、要求に応じて個人情報へのアクセス、修正、削除を要求する権利を有します。さらに、個人はデータのポータビリティの権利と、データの収集、使用、開示を拒否する権利を有します。
- データ侵害通知: データ侵害が発生した場合、Lightspeed Systems は遅滞なく顧客に通知します。
コンプライアンス
フィリピンデータプライバシー法2012年(共和国法第10173号)
の フィリピンデータプライバシー法2012(DPA) そしてその 実施規則および規制(IRR) 公共部門および民間部門における個人データ保護の枠組みを確立する。この法律は国家プライバシー委員会(NPC)によって施行され、フィリピンにおいて個人の個人データを収集、保管、処理、または送信するあらゆる事業体に適用されます。
Lightspeed Systems は、個人データの合法的、公正かつ透明な処理を保証し、使用を正当な教育目的に限定し、業界最先端のセキュリティ対策でデータを保護し、NPC ガイダンスと世界的なプライバシー標準に沿って説明責任、同意、およびデータ主体の権利を維持することにより、2012 年フィリピン データ プライバシー法の遵守に取り組んでいます。
Lightspeed Systemsは、世界中の学校や教育機関に教育テクノロジーとデジタルセーフティソリューションを提供しています。これらの機関に代わってデータを処理する際、Lightspeed Systemsはデータプライバシー法(DPA)に基づく「データ処理者」として機能し、学校や教育機関は「データ管理者」として機能します。
Lightspeed は、フィリピンの個人データに関連するすべての処理活動が、DPA および NPC ガイダンスで定められた以下の原則と要件に準拠することを保証します。
- 合法かつ公正な処理 – すべての個人データは、学校または教育機関からの明示的な許可を得て、合法的、公正かつ透明性のある方法で収集および処理されます。処理は、生徒のオンライン保護、授業活動の管理、技術サポートの提供など、正当な教育および安全目的に限定されます。データは、マーケティング、プロファイリング、または教育機能に関連しない目的には使用されません。
- 目的の制限 – データは、Lightspeedと顧客機関との契約に明示的に記載され、かつ当該機関のプライバシーに関する通知に準拠した目的にのみ処理されます。データは、当初の目的と矛盾する方法でさらに処理されることはありません。
- データセキュリティ – Lightspeedは、個人データの機密性、整合性、および可用性を確保するために、組織的、物理的、および技術的な安全対策を実施しています。主な対策には、転送中の暗号化(TLS 1.2+)および保存時の暗号化(AES-256)、ロールベースのアクセス制御、SOC 2 Type II環境、継続的な監視、インシデント対応プロトコルなどが含まれますが、これらに限定されません。
- データ保持 – Lightspeed Systemsは、契約上または法的義務を履行するために必要な期間のみデータを保持します。お客様から別途ご指定がない限り、標準の保持期間(ライセンス終了後90日間)が適用されます。この期間を過ぎると、データは安全に削除または匿名化されます。Lightspeed Systemsは、匿名化されたデータの再識別を試みません。
- データ主体の権利 – DPA に従い、Lightspeed は、以下を含む顧客機関を通じてデータ主体の権利の完全な行使をサポートします。
- 情報を受ける権利 – データ収集と使用の透明性
- アクセス権と訂正権 – 情報を確認または訂正する能力
- 消去またはブロックの権利 – 不要になったデータの削除または制限
- データポータビリティの権利 – ポータブル形式でのデータへのアクセス
- 異議申し立ておよび同意撤回の権利 – 特定の処理活動に対する同意に異議を唱えたり、撤回したりする能力
- 苦情を申し立てる権利 – 国家プライバシー委員会(NPC)
- 同意と透明性 – Lightspeedは、教育機関から取得した法的権限と同意に基づいてデータを処理します。お客様には、明確なプライバシー通知とデータ処理契約(DPA)を通じて、データ処理の性質、目的、範囲についてお知らせいたします。許可なく、または正当な教育目的なしにデータを処理することはありません。
- 説明責任とガバナンス – ライトスピードは、データ保護責任者(DPO)のジョン・ジェンター(プライバシー@lightspeedsystems.com)。当社は、処理活動の記録を保持し、定期的にプライバシー影響評価を実施し、すべてのサブプロセッサーが同等の基準を満たしていることを確認するためにベンダーのデューデリジェンスを実施しています。
- データ侵害管理 – ライトスピードは、以下の正式なインシデント対応および侵害管理計画を維持しています。 NPC 回覧 16-03。 個人データ漏洩が発生した場合:
- 影響を受ける管理者(学校/機関)には遅滞なく通知されます。
- Lightspeed は、コントローラーと協力して、必要な 72 時間以内に NPC への必須通知を実行します。
- 根本原因の分析、修復、および是正措置が文書化され、レビューされます。
- 国境を越えたデータ転送 – 個人データがフィリピン国外(例えば、ライトスピードの安全な米国クラウドインフラストラクチャ)に転送される場合、そのような転送は暗号化と安全な通信プロトコル、および NPC回覧16-01、および拘束力のある下請処理者契約により、機密保持、セキュリティ、および削除義務が確保されます。データの移転は、管理者が承認した目的に限定されます。
コンプライアンス
オーストラリアプライバシー法(1988年)
の オーストラリアプライバシー法 1988 オーストラリアにおける個人情報の取り扱いを規制する法律。この法律は、全国的なデータ収集および管理政策の基礎となる。この法律は13の項目を概説している。 オーストラリアのプライバシー原則(APP) 使用を管理するため 個人情報および機密情報
プライバシー法は誰に適用されますか?
プライバシー法は、オーストラリア居住者の個人情報を取り扱う、年間売上高が 300 万オーストラリアドルを超えるオーストラリア政府機関および組織に適用されます。
オーストラリアプライバシー法の基本原則(1988年)
Lightspeed Systems は、オーストラリアのプライバシー原則に概説されているデータ保護要件を次のように満たすことに尽力しています。
- 個人情報のオープンで透明な管理 – 当社は個人情報の管理方法について透明性を保っています。 プライバシーポリシー 当社が情報を収集、使用、開示、転送、保管する方法の詳細
- 匿名性と仮名性 – Lightspeed Systems は、データの処理に個人の身元が必要な場合を除き、可能な限り匿名化と仮名化を利用して個人の身元を保護します。
- 個人情報の収集 – 当社は、データの最小化と目的の限定を実践し、要求されたサービスと主な目的を果たすために必要なデータのみを収集します。二次的な目的でデータを利用する必要がある場合は、お客様に通知し、同意を取得します。
- 迷惑な個人情報への対処 – 不要な情報を自動的にブロックします。当社のウェブサイト上の Cookie については、厳密に必要な Cookie を除くすべての Cookie に対して、Cookie バナーをデフォルト設定としてオプトインに設定しています。
- 個人情報の収集に関する通知 – 教育機関には、収集される学生およびスタッフのデータが通知されます。これは、当社が顧客と締結するデータ処理契約に詳細が記載されています。また、当社では各製品についてデータスケジュールを維持しており、収集されるデータとその収集理由を詳細に説明しています。
- 個人情報の使用または開示 – 当社は、情報収集の本来の目的に関連する個人データを使用します。当社の「第三者:当社がお客様のデータを共有する方法」セクションを参照してください。 プライバシーポリシー データが開示される可能性がある状況の詳細を取得します。
- ダイレクトマーケティング – 当社は学生や保護者へのダイレクト マーケティングは行いません。マーケティングは教育機関のみを対象としており、教育機関にはすべてのマーケティング コミュニケーションをオプトアウトするための明確で目に見えるオプションが提供されます。
- 個人情報の国境を越えた開示 – 国境を越えたデータは、オーストラリアのプライバシー原則に準拠し、必要なプライバシーとセキュリティの慣行を遵守するデータ処理契約を締結した組織にのみ開示されます。
- 政府関連の識別子の採用、使用、開示 – 当社は、法律により許可されている場合、または個人の身元を確認するために識別子が必要な場合を除き、政府関連の識別子を当社自身のものとして使用したり、個人の識別子を開示したりすることはありません。
- 個人情報の質 – 当社は、受け取った個人情報の品質が正確、完全、最新であることを保証するためのシステムを導入しています。
- 個人情報のセキュリティ – 当社は、このページに詳述されているように、データ保護に必要な管理上、技術上、物理的な保護手段を採用しています。
- 個人情報へのアクセス – 個人は、当社の定めるところにより、個人情報にアクセスする権利を有します。 プライバシーポリシー 「国境を越えたデータ保護」セクションにあります。
- 個人情報の訂正 – 個人は、当社の定めるところにより、個人情報を訂正する権利を有します。 プライバシーポリシー 「国境を越えたデータ保護」セクションにあります。
コンプライアンス
ブラジルの一般データ保護法(LGPD)
の レイ・ジェラル・デ・プロテソン・デ・ダドス (LGPD)英語では一般データ保護法として知られるこの法律は、ブラジルにおける個人データの収集と利用を規制するために制定された法的枠組みです。この法律は2020年8月16日に施行され、その施行はブラジル国家データ保護局(ANPD)によって監督されています。
ブラジルのデータ保護法は誰に適用されますか?
Lightspeed Systems は、以下のとおり LGPD 原則に準拠することに尽力しています。
- 目的: 個人データは、データ主体に伝えられた正当かつ特定の明示的な目的のために処理され、その後の不適合な処理は行われません。
- 適切性: 個人データは、処理の状況を考慮し、データ主体に開示された目的に従って処理されます。
- 必要性: 個人データは、適切、適正、かつ過剰でないデータのみを利用して、関連する目的を達成するために必要な最小限の範囲で処理されます。
- 無料アクセス: データ主体は、個人データの処理方法や期間、および個人データの完全性について、簡単に無料で問い合わせる権利を有します。
- データ品質: データ主体は、関連する目的を達成するために必要な、正確、明確、関連性のある最新の情報を得る権利を有します。
- 透明性: データ主体は、商業秘密および産業秘密を保護しながら、処理活動およびそれぞれの処理エージェント(管理者および処理者)に関する明確で正確かつ容易にアクセスできる情報を得る権利を有します。
- 安全: Lightspeed Systems は、当社の信頼ページに詳述されているように、不正アクセス、および破壊、紛失、改ざん、伝達、または流布などの偶発的または違法な事象から個人データを保護するために必要な技術的および組織的対策を実施しています。
- 防止: 当社の信頼ページに詳述されているように、個人データ処理に関連するリスクを軽減するための予防措置が講じられています。
- 差別禁止: 個人データは差別目的、違法または不当な方法で処理されることはありません。
- 説明責任: 個人データ保護の要件に準拠するための効果的な対策が実施されており、変化する環境に応じて継続的に改善されています。
LGPD はデータ主体に主に以下の権利を規定しています。
- 個人データ処理の存在に関する確認を得るため;
- 個人データにアクセスする
- 不完全、不正確または古いデータを修正するため;
- 不要、過剰、または非準拠の個人データを匿名化、ブロック、または消去すること。
- データの移植性;
- 本法第16条に規定されている場合を除き、データ主体の同意を得て処理された個人データの削除
- 自分のデータが共有された第三者について通知を受ける権利。
- 個人データの提供を拒否する可能性とそれに伴う結果について通知を受ける権利
- 同意を撤回すること。
コンプライアンス
米国商務省のデータプライバシーフレームワーク(DPF)
2023年7月10日、欧州委員会によるEU-米国間データプライバシーフレームワーク(EU-US DPF)の適切性決定が発効しました。EU-米国間データプライバシーフレームワーク(EU-US DPF)とEU-米国間データプライバシーフレームワークの英国拡張(EU-US DPFの英国拡張)は、それぞれ米国商務省、欧州委員会、英国政府によって大西洋横断通商の促進を目的として策定されたもので、EUと英国の法律に準拠したデータ保護を確保しながら、欧州連合/欧州経済地域および英国から米国への個人データ転送のための信頼性の高いメカニズムを米国の組織に提供することを目的としています。Lightspeed Systemsは、米国商務省が定めたEU-米国間データプライバシーフレームワーク(EU-US DPF)とEU-米国間DPFの英国拡張に準拠しています。 Lightspeed Systemsは、EU-US DPFおよびEU-US DPFの英国拡張に基づいて欧州連合および英国から受け取った個人データの処理に関して、EU-USデータプライバシーフレームワーク原則(EU-US DPF原則)に準拠していることを米国商務省に認定しています。このプライバシーポリシーの条件とEU-US DPF原則の間に矛盾がある場合は、原則が優先されます。データプライバシーフレームワーク(DPF)プログラムの詳細と当社の認定を確認するには、次のサイトにアクセスしてください。 https://www.dataprivacyframework.gov/.
Lightspeed Systems は連邦取引委員会 (FTC) の調査および執行権限の対象となります。
Lightspeed Systems は、EU-US DPF および EU-US DPF の英国拡張に従って、雇用関係の文脈で EU-US DPF および EU-US DPF の英国拡張に依拠して受け取った人事データの取り扱いに関する未解決の苦情に関して、EU データ保護当局 (DPA) および英国情報コミッショナー事務局 (ICO) によって設置されたパネルのアドバイスにそれぞれ協力し、従うことを約束します。
データプライバシーフレームワークへの準拠に関する詳細については、当社の「国際データ転送」セクションをご覧ください。 プライバシーポリシー.
コンプライアンス
外国資産管理局 (OFAC)
外国資産管理局(OFAC) 米国財務省は、米国の外交政策と国家安全保障上の目標に基づき、対象となる外国や政権、テロリスト、国際麻薬密売人、大量破壊兵器の拡散に関連する活動に従事する者、および米国の国家安全保障、外交政策、経済に対するその他の脅威に対して経済制裁と貿易制裁を管理および執行します。
- Lightspeed Systems、その子会社および関連会社は、米国、欧州連合、英国による制裁を含むすべての国際制裁に完全に準拠することに尽力しています。
- 国際制裁とは、広範囲の商業取引や金融取引を禁止する法律、規制、行政命令、評議会の決定、その他の政府措置を指します。Lightspeed Systems は、適用されるすべての国際制裁に従うことを方針としています。
- Lightspeed Systems は、ポリシーと手順を使用して輸出管理に対処する効果的なコンプライアンス プログラムを、当社の事業運営と倫理行動規範の重要かつ不可欠な部分であると考えています。
- 当社では、受け入れ前にすべての国際注文を、制裁対象者および禁止対象者と目的地のさまざまなリストに照らして審査します。制裁対象者から直接的または間接的に受け取った注文、または制裁対象者による最終使用または制裁対象目的地での最終使用を意図した注文はすべて拒否されます。
- Lightspeed Systems の従業員は、コンプライアンスを確保するために毎年 OFAC 認識トレーニングを受けています。
Lightspeed Systems サブプロセッサ リスト
| エンティティ名 | サブプロセス活動 | エンティティの所在地(HQ) | セキュリティと補足対策 |
|---|---|---|---|
| Amazon Web Services, Inc. | アプリケーションホスティングとストレージ | アメリカ合衆国 | |
| ライトエッジ | データセンター | アメリカ合衆国 | |
| マイクロソフト株式会社 | メールとコラボレーションツール | アメリカ合衆国 |
| エンティティ名 | サブプロセス活動 | エンティティの所在地(HQ) | セキュリティと補足対策 |
|---|---|---|---|
| アブリー | プレゼンス監視 | イギリス | |
| アドビサイン | 電子署名プロバイダー | アメリカ合衆国 | |
| データドッグ | 品質目標と契約上のSLAを確実に満たすために、当社製品の監視とアラートを実施します。 | アメリカ合衆国 | |
| グリーンハウスソフトウェア株式会社 | 採用管理ソフトウェア | アメリカ合衆国 | |
| ハイブAI | 製品機能のテキストモデレーション | アメリカ合衆国 | |
| マイクロソフト株式会社 | メールとコラボレーションツール | アメリカ合衆国 | |
| イギリス | 給与管理ソフトウェア | アメリカ合衆国 | |
| ネットスイート | 会計システム | アメリカ合衆国 | |
| オープンAI | intelligence 製品機能のための生成 AI サービス プロバイダー | アメリカ合衆国 | |
| ペンド・アイオー株式会社 | ソフトウェアエクスペリエンス管理 | アメリカ合衆国 | |
| セールスフォース | カスタマーサポート – CRM プロバイダー | アメリカ合衆国 | |
| スノーフレーク | 製品使用状況分析、分類データベース | アメリカ合衆国 | |
| トゥイリオ | 通信技術プロバイダー | アメリカ合衆国 | |
| ズーム株式会社 | ビデオ会議プロバイダー | アメリカ合衆国 |
