SurveyMonkeyは、グローバルなサブプロセッサーと協力して全世界でサービスを提供しています。当社は、お客様との契約の中で、当社への個人データの移転がすべて、適用されるデータ保護法に準拠することをお約束します。当社は、当社の制御下にある個人データに適用されている対策と同等の負担を伴う安全対策を講じてその個人データを保護するサブプロセッサーにのみ個人データを移転します。

さらに、当社は、事例C-311/18、「データ保護コミッショナー対Facebook Ireland Limitedおよびマクシミリアン・シュレムズ」における2020年7月16日の欧州司法裁判所の判決（「Schrems II」）および欧州データ保護委員会（「EDPB」）の補完措置に関するガイダンスに沿った追加措置を講じています。詳細は以下をご覧ください。

当社における個人データの処理全般については、プライバシーに関するお知らせをご覧ください。

パートI: SurveyMonkeyへの移転

パートII: サブプロセッサーへの移転

お客様が米国に居住する消費者である場合、お客様の契約には、SurveyMonkeyの米国事業体であるSurveyMonkey Inc.とのデータ保護補足契約（「DPA」）が含まれます。お客様がエンタープライズプランをご利用で、欧州経済領域（「EEA」）、英国（「UK」）あるいはスイスに居住するユーザーを持ち、SurveyMonkeyへのユーザーデータの移転メカニズムを必要とする場合は、当社に対し、該当する移転メカニズムの追加を要請することができます。セルフサービスをご利用のお客様は、当社のオンラインDPAにこれらの移転メカニズムが自動的に含まれます。

SurveyMonkey Inc.は、標準契約条項（「SCC」）に加え、EU米国間データ プライバシー フレームワーク、EU米国間データ プライバシー フレームワークの英国への拡張、およびスイス米国間データ プライバシー フレームワーク原則に基づいた自己認証も行います。これは、欧州、英国およびスイスのデータ保護管理機関がGDPR第45条3項（および対応する国内法）に基づいて当社のデータ処理を「適正」とみなしたことを意味します。

お客様がEEA、UKまたはスイスを拠点としている場合、お客様の契約には、SurveyMonkeyのアイルランド事業体であるSurveyMonkey Europe UCとのデータ保護補足契約（「DPA」）が含まれます。お客様からSurveyMonkeyへの移転は、欧州にある事業体間での転送である（または両事業体が相互の十分性を確認済みである）ため、それ以外の移転メカニズムを必要としません。

お客様がUS、EEA、UK、あるいはスイス以外の地域を拠点とする「顧客」で、EEA、UKあるいはスイスに居住するユーザーを持つために移転メカニズムを確保する必要がある場合は、お客様の契約に、SurveyMonkeyのアイルランド事業体であるSurveyMonkey Europe UCのDPAが含まれます。お客様がエンタープライズプランをご利用の場合は、該当する移転メカニズムの追加を要請することができます。セルフサービスをご利用のお客様は、当社のオンラインDPAにこれらの移転メカニズムが自動的に含まれます。

お客様がSurveyMonkeyに移転する個人データを、SurveyMonkeyは以下の目的で処理することができます。

お客様は、それ以外の目的のためにデータを移転するかどうかを検討する必要があります。

SurveyMonkeyに移転される「顧客」個人データには、お客様のアンケートおよびフォームに含まれる質問の中でお客様が自主的に収集する個人データしか含まれません。当社が提供しているプラットフォームの性質上、当社は、潜在的に特殊なカテゴリのデータを含め、さまざまな個人データがお客様によって収集されるものと想定しています。

当社が収集する情報は、プライバシーに関するお知らせの第2項に明記されています。

上記のとおり、お客様は、その居住地に従って米国またはアイルランドのSurveyMonkey事業体と契約を交わします。データ保護を専門とする外部顧問からの助言、およびSurveyMonkeyに適用される法律の分析に基づいて、当社は、データ主体にとって米国の法制度に関連するリスクは低く、アイルランドの法制度に関連するリスクは重大ではないと考えています。以下の「補完的措置: 組織」の節で米国法の詳細をご覧ください。

移転先国の法制度に関連して低いリスクまたは重大でないリスクしかないとしても、SurveyMonkeyは、個人データの安全をさらに保護するために補完的措置を実施しています。補完的措置は、 (I) 契約的、(ii) 組織的、および (iii) 技術的対策の3つのカテゴリに分類されます。 

上記のとおり、SurveyMonkeyは、顧客とSCCを締結することに同意します。Schrems II判決は、当事者が英国、スイス、および欧州経済領域にある個人データ（「欧州のデータ」）を米国に移転するためにSCCおよび（該当する場合は）追加の安全対策を使用できることを示しています。お客様がSurveyMonkeyと契約を結んだ場合、または契約は結んでいないがSurveyMonkeyからサービスを受けていて、そのサービスにおいてSurveyMonkeyが欧州のデータ主体の個人データを処理する必要がある場合、SurveyMonkeyは、（お客様の契約相手がどのSurveyMonkey事業体であるかに応じて） 

標準契約条項によって拘束される当社の契約に関する詳細は、利用規約（セルフサービスをご利用のお客様）、適用サービス契約（SurveyMonkeyエンタープライズもしくはGetFeedback Digitalをご利用のお客様）、またはお客様がSurveyMonkeyと取り決めたその他の契約をご覧ください。

米国へのデータ移転に関するCJEUの懸念は、米国大統領令12333号（「EO 12333」）および外国情報監視法の第702節（「FISA §702」）に基づく米国政府によるデータ収集、特にFISA §702に基づく「上流」での監視に基づいていました。 米国のこれらの法的条項がもたらすリスクは、SurveyMonkeyによる個人データの処理には該当しないか、SurveyMonkeyが提供する組織的安全対策によって十分に軽減できます。

さらに2023年7月10日、欧州委員会は、EU米国間のデータ プライバシー フレームワークに対する十分性認定を採択しました。この十分性認定で米国は、EUからEU米国間データ プライバシー フレームワークに参加している米国企業に移転される個人データに対し、EUと比較して適切なレベルの保護を保証していると結論付けられています。

この十分性認定は、2020年7月の欧州司法裁判所によるSchrems II判決で提起された点に対処するため、拘束力のある新たな保護措置を設けた「米国の信号諜報活動に対する保護措置の強化」に関する大統領令に米国が署名したことを受けて採択されました。特に、新たな義務では、米国の諜報機関が必要かつ相応な範囲でのみデータにアクセスできるようにすること、および国家安全保障上の目的で収集する個人データに関する欧州居住者からの苦情を処理および解決するための独立した公平な補償メカニズムを確立することが定められています（https://ec.europa.eu/commission/presscorner/Detail/en/qanda_23_3752を参照）。

SurveyMonkeyは、FISA § 702に基づく「上流」または一括の監視指令を受ける対象となりません。SurveyMonkey Inc.は、顧客に提供する特定のサービスまたは製品機能との関連において部分的に（合衆国法典第18編の第2510節および第2711節でそれぞれ定義されているところの）電子通信サービス（「ECS」）として、また、潜在的に遠隔情報処理サービス（「RCS」）として行動します。 そのため、SurveyMonkey Inc.は、合衆国政府がFISA § 702に基づいて指令を出す対象となり得る多数の企業の中に含まれます。 しかし、合衆国政府がFISA § 702を解釈し、適用するところにおいて、SurveyMonkeyは、Schrems II判決に関するCJEUの主要な懸念であった種類の指令（「上流」監視のためのFISA § 702指令）を受ける対象とはなりません。 合衆国政府は、FISA § 702を適用するにあたって、インターネットバックボーンプロバイダー（第三者、つまり通信事業者のためにインターネットトラフィックを運ぶプロバイダー）を介して流れるトラフィックのみを対象に「上流」指令を使用しています。 例として、プライバシー・市民的自由監視委員会（Privacy and Civil Liberties Oversight Board）の報告である「Report on the Surveillance Program Operated Pursuant to Section 702 of the Foreign Intelligence Surveillance Act」（2014年7月2日）、35～40ページをhttps://fas.org/irp/offdocs/pclob-702.pdfで参照してください。 SurveyMonkeyは、自社の顧客が関与するトラフィックしか運ばないため、インターネットバックボーンサービスを提供しているとはみなされません。 その結果、当社は、Schrems II判決で主に扱われ、問題とされている種類の指令を受ける対象にはなりません。

SurveyMonkeyは、FISA § 702に基づく指令を受けたことが一切なく、これからも受けることがあるとは考えられません。この表明を行っている時点で、SurveyMonkeyは、FISA § 702に基づくいかなる指令も受けたことがなく、そのような指令がSurveyMonkeyに対して下されると考える理由はまったくありません。 SurveyMonkeyが顧客のために処理する個人データ（フィードバックデータ）は、FISA § 702の適用対象である外国諜報活動に関連する可能性が非常に低いです。 また、そのような個人データがそのような調査に関連するものであった場合、政府は、Schrems II判決の中で政府によるデータへのアクセスに対して規定されているような高い水準を満たすよりも、他の形の法的プロセス（裁判官によって出された捜索令状など）を通じてそのようなデータを手に入れようとすると考えられます。 なぜなら政府にとって、FISA § 702に基づいてSurveyMonkeyに指令を出すために必要なメカニズムを実施するよりも、他の形で指令または令状を手に入れる方がずっと早くて簡単だからです。

SurveyMonkeyは、大統領令12333号に基づく情報の収集において合衆国当局を援助せず、援助を命令されることもありません。SurveyMonkeyは、EO 12333に基づいて合衆国当局が実施する監視を援助しません。 EO 12333は、そういった活動の支援を企業に強制する権限を合衆国政府に与えるものではなく、SurveyMonkeyが自発的に支援することもありません。 その結果、当社は、Schrems II判決で主に扱われ、問題とされている種類の指令を受ける対象にはなりません。

SurveyMonkeyは、前述のようにSchrems II判決で言及されている主要な欠陥（FISA § 702に基づく一括監視およびEO 12333に基づく一括傍受）について、それを克服するための技術的手段を広範に用意しています。  

SurveyMonkeyは、当社のデータセンターにあるすべてのデータをAES 256を使って暗号化しています。さらに、SurveyMonkeyは、移動中のすべてのデータを (i) SurveyMonkeyのデータセンターの外にある事業体との通信については、パブリック認証局を介して生成された鍵長2048ビットのRSA方式の証明書を使って暗号化し、 (ii) データセンター内のすべてのデータについては、内部認証局を介して生成されたRSA 256認証を使って暗号化します。 このような暗号化の取り組みの目的は、データが意味のわかる形式で不正に取得されるのを防ぐこと、および2つのエンドポイント間を移動しているデータが不正に盗聴・改ざんされるのを防ぐことです。 

SurveyMonkeyの一部の顧客（たとえば、GetFeedback Digitalの顧客）は、欧州連合内のみにデータを保管しています。そのような場合、データは米国に保管されず、米国内でのデータへのアクセスは限られた目的で最小限しか起こりません（たとえば、依頼に応じて即座に顧客サポートを提供するために各地に拠点を置いて24時間のサポート体制を敷く場合、または技術的問題やバグの解決もしくはシステムの構築のためにエンジニアを調達する場合）。

SurveyMonkeyは、また、厳格な管理的、技術的および物理的手続きを実施して当社サーバー上に保管された情報を保護しています。個人情報へのアクセスは、ログイン情報を通じて、職務を果たす上でアクセスを必要とする従業員のみに限定されています。SurveyMonkeyは、データ最小化技術を採用して、EUから第三者の管轄区域に移転される個人データの量を限定しており、これには、該当する場合、データの偽名化または匿名化が含まれます。さらにSurveyMonkeyは、多要素認証、シングルサインオン、必要に応じたアクセス、強力なパスワード制御、管理アカウントへのアクセス制限といったアクセス制御を使用しています。  

さらにSurveyMonkeyは、ECS/RCSとして米国の電子通信プライバシー保護法（Electronic Communications Privacy Act, 18 USC.§ 2701, et seq.）（「ECPA」）に従っており、それによりSurveyMonkeyの顧客が保護されます。 たとえば、ECPAは、政府機関に対し、SurveyMonkeyのようなサービスの顧客に関する情報を手に入れることを禁止しています。ただし、政府機関が基本的なサブスクライバー情報以外の情報のために裁判所命令または捜索令状を含む適切な法的プロセスを最初に入手した場合を除きます。 同様に、FISAおよびECPAはどちらも、SurveyMonkeyの顧客に対し、米国政府が顧客に関する情報を不適切に入手した場合に救済策（該当する政府当局に対する金銭賠償または懲戒処分の要求を含む）を提供します（18 USC.§ 2712を参照）。

さらに、永年にわたってSurveyMonkeyの外部顧問を務める弁護士は、FISA § 702に基づく米国国家安全保障要求を含めた合衆国政府からのユーザーデータの要求への応答に熟達しています。 SurveyMonkeyでは、このような要求があった場合にそれをSurveyMonkey社内のコンプライアンスチームに報告し、必要に応じて外部顧問に審査を依頼するようにしています。 SurveyMonkeyがFISA § 702を利用したデータアクセスの要求を受けるとは考えにくいですが、そのような要求を受けた場合、SurveyMonkeyには、適切であれば利用可能な法的メカニズムを利用して要求に異議を唱える意向があります。 その場合、要求は米国の法廷（FISA裁判所）の審査を受けます。 

SurveyMonkeyはまた、FISA § 702に基づくデータアクセスの提供命令を受けた場合、標準契約条項への準拠が不可能になることを顧客に通知し、顧客による契約の終了とSurveyMonkeyへのデータフローの停止を可能にしなければならないことを承知しています。 これまで、そのような通知が必要になったことは一度もありません。

当社は、上記の分析を考慮して、データ主体への危害のリスクは重大ではないと考えます。

下の表は、当社で行った移転の影響評価の結論をまとめたものです。

「重大でないリスク」とは、双方とも欧州経済領域（EEA）内に所在する事業体間で個人データが転送されることを意味します。

「低リスク」とは、移転先国がEEA外であるものの、GDPRで承認された方法で移転が行われ、補完的措置が実施されており、TIAで特定されている残留リスクが軽減されていることを意味します。

「中リスク」とは、移転先国がEEA外であるものの、GDPRで承認された方法で移転が行われ、補完的措置が実施されており、TIAで特定されている残留リスクの一部が残っていることを意味します。

「高リスク」とは、移転先国がEEA外であるものの、GDPRで承認された方法で移転が行われ、補完的措置が実施されており、TIAで特定されている残留リスクがかなり残っていることを意味します。

サブプロセッサーは、SurveyMonkeyがお客様にサービスを提供できるようにするため、SurveyMonkeyのベンダーとしてお客様のユーザーの個人データを処理します。SurveyMonkeyのサブプロセッサーはすべて、契約により、当社の制御下にある個人データに適用されている標準と同等の負担を伴う安全対策を講じてその個人データを保護する義務を負います。

SurveyMonkeyは、個人データをサブプロセッサーに移転する際、上記で概説されている手順のような移転影響評価（「TIA」）を行います。これは、お客様の個人データがすべての手順においてデータ保護法および当社とお客様の契約の要件に従って保護されていることを保証するためです。各サブプロセッサーに対するTIAの顕著な点を以下にまとめました。

ただし、すべての当社サービスの提供において、これらすべてのサブプロセッサーを利用するわけではありません。当社のサブプロセッサーリストは、具体的なSurveyMonkeyサービスに応じて区分されています。 

サブプロセッサーリストの更新通知をメールで受け取りたい場合は、こちらからご登録ください。

当社のサブプロセッサーの最新リスト（PDF）はこちらからダウンロードしてください。