トラストセンター

はい、SurveyMonkeyは安全にご利用いただけます。SurveyMonkeyではお客様のデータの安全を守るために、SSOや多要素認証といったセキュリティを強化する製品機能を含め、何層ものセキュリティ制御を実装しており、侵入防止システムやデータ漏洩防止ツール、脆弱性報奨金制度などの対策も講じています。

これらに加え、ISO 27001、SOC2、PCI-DSSなどの基準にも準拠しています。

はい。SurveyMonkeyは、欧州連合で適用される一般データ保護規則（GDPR）、および英国やスイスなどの地域で適用される類似規則に準拠しており、お客様も同様に準拠するよう支援しています。GDPRの要件を確実に満たすために実施している対策として、データの暗号化、EU域内のデータセンターでの安全なデータ保管、実用的なプライバシー制御など、さまざまな機能が備わっています。さらには、同意やデータへのアクセス、データ保持について管理するツールも提供しており、コンプライアンスを遵守しやすくなっています。

SurveyMonkeyのデータセンターは、アイルランド（EU）、カナダ、米国にあり、Amazon Web Services（AWS）を使用したクラウドベースのアーキテクチャ内で運用されています。エンタープライズユーザーは、一部のデータの保管場所として物理的な場所を選択できます。データの保存場所がどこであれ、SurveyMonkeyのプライバシーとセキュリティ設定により、オーストラリア、カナダ、英国、EUなどの該当地域のデータ保護規則に準拠しています。

はい。HIPAAに準拠するための機能をアドオンとして提供しているので、必要に応じてご利用ください。このアドオンは、SurveyMonkeyエンタープライズでのみ利用できます。SurveyMonkeyとの提携事業者契約の締結方法など、SurveyMonkeyのHIPAA準拠に関する詳細情報をご覧ください。

はい。SurveyMonkeyを使用して機密情報を収集・保管するために、セキュリティレベルをさらに強化する高度な機密データ保護アドオンを提供しています。このアドオンは、SurveyMonkeyエンタープライズでのみ利用できます。このサービスは現在、ApplyおよびGetFeedback製品にはご利用いただけません。

SurveyMonkeyではプライバシー・バイ・デザインとデータ最小化を優先するアプローチを採用しています。業界の慣行およびSurveyMonkeyのプライバシーに関するお知らせに従い、非特定化された顧客データまたは合成データを使用して独自のAIモデルのトレーニングと構築を行いつつ、お客様のセキュリティとプライバシーを保護しています。

SurveyMonkeyでは長年にわたり、侵害性や人の目によるレビューを最小限に抑えて、モデルを安全に改善するための方法を開発してきました。これには、モデルのトレーニングに使用する前にデータを集計して非特定化する、完全に自動化された方法が含まれます。このデータセットから個人データを除外し、この目的で使用されるすべてのデータの保持期間を厳しく制限して、使用後一定の期間内にデータを削除することを徹底しています。他にも、データに対する最小権限の原則を適用するなど、厳格なアクセス制御を実施しています。 

一部のAI機能では、OpenAIやその他のサードパーティプロバイダーを使用してインサイトを生成します。これらのサードパーティプロバイダーと共有されるデータが、そのAIモデルをトレーニングするために使用されることはありません。

SurveyMonkeyではAES 256に基づいた暗号化を使用して、データセンターに保管されているすべてのデータを暗号化しています。さらに、転送されるデータについてはすべて、(i) SurveyMonkeyのデータセンター外との通信には、パブリック認証機関を介して作成された鍵長2048ビットのRSAを使用した証明書、(ii) データセンター内のすべてのデータには、内部認証局を介して作成されたRSA 256証明書を使用して暗号化しています。

はい。SurveyMonkeyでは脆弱性を確認するため、第三者機関による侵入テストを年1回実施しています。

SurveyMonkeyは、SOC II、ISO 27001、PCI DSS 3.2、EU米国間データ プライバシー フレームワーク認証を取得しています。

SurveyMonkeyをご利用のお客様は、回答者の個人データの管理者（または事業者）として行動することになり、弊社ではお客様がユーザーによるデータ主体の要求に応えることを支援しています。

いいえ。詳細については、地域別のプライバシーに関するお知らせをお読みください。

サブプロセッサーに関する詳しい説明をご覧ください。

はい。SurveyMonkeyでは適用される国内および国際的な規制に準拠するよう、セキュリティおよびプライバシーの慣行について半年ごとに監査を実施しています。

SurveyMonkeyは、国際的なデータの移転を標準契約条項に基づいて行います。これには、EEA、英国、およびスイスの個人データを移転中および移転後に保護するための適切な技術的・組織的措置が含まれます。 

さらに、EU米国間データ プライバシー フレームワーク（DPF）、英国拡張、およびスイス米国間DPFの原則に基づいて自己認証を行っており、顧客データを処理する際に厳格なデータ保護基準を遵守しています。
詳細については、EUデータ移転に関する声明をご覧ください。

オーストラリアにお住まいのお客様は、SurveyMonkeyのサービスを利用するために当社のアイルランド法人であるSurveyMonkey Europe UCと契約を結びます。SurveyMonkey Europe UCは、一般データ保護規則（GDPR）を含む、アイルランドおよび欧州連合で適用される法律に準拠しています。しかし、SurveyMonkeyではできる限り、お客様が懸念する法律に幅広く準拠する契約条件、データ保護、セキュリティ制御を提供できるよう努めています。たとえば、透明性のあるプライバシーに関するお知らせや、当社製品内でのユーザー制御/プライバシー・バイ・デザイン、データ保護のための業界標準の技術的・組織的なセキュリティ対策、倫理的なAI開発とAIガバナンス慣行などを実践しています。また、SurveyMonkeyのデータ処理契約には、オーストラリアのお客様向けにオーストラリア補足契約書があります。