メインコンテンツにスキップする

カスペルスキーのデータ処理への取り組み

カスペルスキーのユーザーデータ処理への取り組みは、ユーザーのプライバシーの尊重と保護、および透明性と説明責任を徹底する姿勢に基づいています。

当社におけるデータ処理の主な目的は、お客様に最高のサイバーセキュリティソリューションを提供することです。この目標を達成するため、当社は原則として次の3つの主要な目的を念頭に置いてデータを処理します:(a) 主要な製品の機能性をサポートすること、(b) 保護コンポーネントのパフォーマンスと効果を高めること、(c) 改善され、より適切なソリューションおよび適切なコンテンツをお客様に提供すること。詳細は、当社の製品およびサービスに関するプライバシーポリシーを参照してください。

こうした目標を達成するために、データは必ずしも特定の個人と結びつける必要はなく、可能な限り匿名化することが可能です。カスペルスキーは、送信URLからアカウント情報を削除する、正確なファイルの代わりに脅威のハッシュ値を取得する、ユーザーのIPアドレスを秘匿するなどの方法により、前述の内容を達成しています。

ほとんどの場合、カスペルスキー製品のユーザーは、製品、サービス、Webサイトの機能に応じて、個人データの提供の可否や、提供する場合はその範囲を選択することができます。また、カスペルスキーに情報を直接送信することを拒否することもできます。

カスペルスキーは、データ処理に関する明確な情報を常時提供しています。特に、処理対象となるデータの完全なリストを公開し、お客様が十分な情報に基づいて判断できるように配慮しています。カスペルスキーは、自社ソリューションが処理するデータの種別を常に検証し、お客様のプライバシーを保護するとともに、最新の法的要件を遵守しています。

処理や転送の対象となるデータはすべて、暗号化、デジタル証明書、分離保管、厳格なデータアクセスポリシー、その他の方法によって強固に保護されています。同社はまた、セキュアソフトウェア開発フレームワーク(SSDF)を適用し、サプライチェーンリスクマネジメントの管理体制を導入しており、データ処理のためのインフラやシステムを保護しています。

当社は6か月ごとに透明性レポートを公開し、ユーザーから受け取ったデータ開示請求の件数と処理状況に関する情報を公表しています。




個人データを処理していますか?

GDPRなどの法律フレームワークに従い、カスペルスキーが処理する情報には、個人データまたは個人を特定できる情報と判断される可能性のあるデータが含まれる場合があります。カスペルスキー製品は、宗教、政治的見解、性的嗜好、健康状態、その他の特別なカテゴリーの個人データなど、お客様の「センシティブな」個人データを処理することはありません。

個人データの処理が製品またはサービスの目的達成に必要である場合、カスペルスキーは適用される法令に基づき、個人データ処理の目的、内容、法的根拠を慎重に分析します。一連の個人データを処理する際は、その処理の目的との適合性が常に考慮されます。当社の製品またはサービスが、必要以上の個人データを収集または処理することはありません。また、カスペルスキーはデータ処理に関するあらゆる関連情報を常に提供しています。特に、処理対象となるデータの完全なリストを公開し、お客様がその内容を把握した上で、十分な情報に基づいた判断ができるように配慮しています。処理されるデータの詳細は、使用許諾契約書(EULA)、Kaspersky Security Network(KSN)に関する声明、カスペルスキーのWebサイトとWebサービスに関するプライバシーポリシー、およびその他の提供されるドキュメントに記載されています。これらは製品やサービスによって異なります。当社が収集し処理するデータは、集約された統計情報の形で使用され、可能な限り匿名化されるため、特定の個人に帰属することはありません。

どのようなデータが処理されますか?

現代のあらゆるITサービスの効率的な運用には、大規模なデータの処理が不可欠です。処理対象となるデータの構成は、個々の製品やサービスによって異なります。世界のサイバーセキュリティを牽引する企業として、カスペルスキーは各種のサイバー脅威関連のデータや統計情報を処理する場合があります。サイバー脅威関連のデータには、不審なファイルや悪意のあるファイルに加え、既知のIS脅威、および新種のマルウェアと攻撃者の手法の両方を特定可能な統計情報などがあります。これらの統計情報は、メタ情報としても知られています。これは、ユーザーのマシン上で発生したイベントに関する補足的な技術情報です。当社の製品は、各種の要因(例:ユーザーの活動、カスペルスキー製品の設定、カスペルスキー製品がインストールされているオペレーティングシステムの設定、システムにインストールされているその他のソフトウェアなど)に応じて、この情報を送信する場合があります。処理されるデータの詳細は、使用許諾契約書(EULA)、Kaspersky Security Network(KSN)に関する声明、およびその他のドキュメントに記載されています。これらは製品やサービスによって異なります。

ユーザーデータをどのように保護していますか?

ユーザーデータのセキュリティと安全性は、カスペルスキーの最優先事項です。当社は、あらゆるリスクの可能性を緩和する方法として、多角的なアプローチを採用しています。カスペルスキーのセキュリティポリシーは成熟度が高く、専任の情報セキュリティ部門によって運用されています。同部門は企業のセキュリティポリシーと戦略の導入を主導し、セキュリティパフォーマンスの継続的な監視とセキュリティプロセスの有効性の評価を実施しています。

ユーザーデータは最新の保護アルゴリズムを使用して保護されています。当社はネットワークおよびアクセスに関するセキュリティを確保し、ユーザーデータへの不正アクセスを防止するとともに、監視システムや警報システムでセキュアなデータインフラへの物理的アクセスを厳重に管理しています。 当社のネットワークおよびシステムの総合的なセキュリティの基盤となっているものは、継続的なアセット管理、包括的なリスクと脆弱性の管理プロセス、定期的なコンプライアンスチェック、および常時実施される従業員トレーニングなどの対策ですが、これらに限定されません。お客様のプライバシーとデータの保護に関する詳細は、カスペルスキーの製品およびサービスに関するプライバシーポリシーをチェックしてください。

処理対象データはどのように匿名化していますか?

カスペルスキーはユーザーのプライバシーを非常に重視しています。当社は、次の措置を講じて処理対象データを匿名化しています:

  • 保護を強化し、再識別リスクを低減する多層的アプローチ:一般化、ランダム化、差分プライバシーなどのテクニックを併用します。
  • 処理対象データ(URL、ファイルなど)から、すべての直接識別子(例:名前、ID番号)を除去します。
  • 情報は匿名化および集約された統計情報として処理され、特定の個人に帰属することはありません。
  • 個人が再識別される可能性がある他のデータセットとの関連付けを防止するため、匿名化されたデータはアクセス権に関する厳格なポリシーに従って別々のサーバーに保管されます。
  • 脅威の可能性が存するデータを処理する際、当社はハッシュ値を使用しています。これは一方向の数学的関数であり、ファイルに固有の独自の識別子を付与します。
  • 匿名化プロセスの文書化と定期的な監査を実施しています。

カスペルスキーがデータを保管する場所はどこですか?

カスペルスキーはグローバル企業であり、データ処理のためのインフラが世界中に分散して配置されています(例:スイス、ドイツ、ロシア、カナダなど)。これにより情報の処理が高速化され、万一いずれかのサーバーが何らかの理由で停止した場合でも、サーバーの可用性が保証されます。個人データが処理される可能性が存在する国々の詳細なリストは、カスペルスキーの公式ポリシー(製品およびサービスのプライバシーポリシーなど)に記載されています。

グローバルな透明性への取り組み(GTI)の一環として、カスペルスキーはデータ処理インフラの一部を移転しました。欧州、北米、中南米、中東、およびアジア太平洋地域の複数の国々において、カスペルスキー製品のユーザーから同意を得た上で共有された悪意のあるファイルや不審なファイルは、スイスのチューリッヒにある2か所のデータセンターで処理されます。これらのセンターには、最先端のセキュリティ基準に準拠した業界トップクラスの設備が完備されています。さらに、スイスはEUから十分性の認定を受けている数少ない国の1つです。これは、スイスが個人データを適切に保護していると欧州委員会から認められたことを意味します。

Kaspersky Security Networkとは何ですか?

Kaspersky Security Network(KSN)は、カスペルスキーの主要なクラウドシステムの1つです。新種のサイバー脅威や未知のサイバー脅威を検知する効果を最大化し、最短の時間で最大の効果をもってユーザーを保護することを目的にして開発されています。KSNは、サイバー脅威関連のデータを自動的に処理します。このデータは、本システムの使用に同意したカスペルスキー製品やソリューションのユーザーが所有する数百万台のデバイスから受信されます。現在、このクラウドベースのシステムアプローチは業界標準となっており、世界中で多くのサイバーセキュリティベンダーが採用しています。

「クラウドベースのシステム」とは何ですか?

個々のデバイスではなく、企業のサーバー上で動作するシステムであり、インターネット経由で世界中のどこからでも使用することができます。クラウドシステムの例として、メール、ファイル共有、ファイルホスティングシステムが挙げられます。Kaspersky Security Networkのサービスは世界各国の拠点(カナダ、ドイツ、スイス、ロシアなど)に分散して配置されています。これにより情報の処理速度が向上し、いずれかの拠点に障害が発生した場合でもサーバーの可用性が保証されます。

クラウドベースの保護の目的は何ですか?

カスペルスキーは、ハイブリッド保護モデル(ウイルス対策データベース+プロアクティブディフェンス+クラウド)が最も効果的であると考えています。

セキュリティクラウドの高いパフォーマンスによって、サイバー脅威の分析がより短時間で、より正確に行えるようになります。従来のウイルス対策データベースやフィッシング対策データベースのアップデートには、通常は数時間を要します。一方、クラウドを使用すると、新種の脅威からユーザーを保護できる状態を数分で実現することが可能になります。

クラウドの活用は、セキュリティ製品の「軽量化」も実現します。これにより、ユーザーデバイスのメモリやリソースの過剰な消費を防ぐことができます。

データ処理を制限することはできますか?

当社のお客様は、使用する製品やサービスの機能、およびそれぞれに適用される契約内容に基づき、データの提供可否や、提供する場合はその範囲を選択することができます。カスペルスキーは、データ処理に関する情報を常時提供しています。特に、処理対象となるデータの完全なリストを公開し、お客様が十分な情報に基づいて判断できるように配慮しています。また、定期的にカスペルスキーが公開する透明性レポートでは、ユーザーから受け取り処理したデータ要求の件数に関する情報を開示しています。最新のレポートは、こちらを参照してください。

一部の法人向け製品では、データを一切共有しないようソリューションを設定することができます。また、https://support.kaspersky.com/general/privacyから直接ご連絡いただくことで、処理対象となった自身の個人データへのアクセス権を行使することも可能です。

カスペルスキーのソリューションが処理する個人データは第三者に共有されますか?

当社は、当社のインフラ(ユーザーデータのインフラなど)へのアクセスを、いかなる第三者や政府機関にも決して許可することはありません。

カスペルスキーは、ベンダーとの間で締結したデータ処理契約に基づき、データをベンダーと共有する場合があります。このようなベンダーの選定に際して、当社は法的要件が遵守されるかどうかを入念に確認し、当社のデータ処理の取り組みが正しく遂行されるよう細心の注意を払っています。こうしたベンダーが提供するものには、たとえばクラウドストレージやその他の関連サービスがあります。

カスペルスキーは国際的な法執行機関とも連携し、サイバー犯罪の捜査に必要な情報を共有しています。当社は、こうした機関からの要請や依頼などを公開しており、ユーザーデータや技術的な専門知識に対する法執行機関からの要請に関するデータを、透明性レポートで公表しています。

また、これらのレポートでは、世界の政府機関や法執行機関からの要請に対応する際の当社の基本原則を説明しているほか、当社が受けた要請をそれぞれ評価するための数段階にわたる手順も公開しています。したがって、当社が受けたユーザーデータに関するリクエストはすべて、法的な見地から必ず検証されています。この検証では、リクエストが法的根拠を有し、適用される法律に従って発行されており、カスペルスキー製品やソリューションのユーザーのセキュリティやプライバシーを侵害しない方法で履行可能であることが確認されます。

データ処理方法は認証を受けていますか?

当社がユーザーに対して最高水準のセキュリティを適用していることを確認するため、カスペルスキーのデータサービスは、第三者機関によるセキュリティ監査および評価を定期的に受けています。具体的には、当社のデータサービスはISO 27001の認証を取得しており、認証範囲を拡大して2022年に再認証を受けました。これにより、サイバー脅威関連データと統計情報の両方を処理するデータサービスが認証の対象となっています。この認証が有効なのは、チューリッヒ、フランクフルト、トロント、モスクワ、北京のデータセンターに設置された当社のデータサービスです。ISO/IEC 27001:2013(国際的にベストプラクティスとして認められ、適用可能なセキュリティ基準)への準拠は、カスペルスキーの情報セキュリティの実装と管理におけるアプローチの中心的な要素です。この認証は、第三者認証機関が認可したものであり、カスペルスキーの情報セキュリティに対する徹底した取り組みと、カスペルスキーのデータサービスが業界をリードするベストプラクティスに準拠していることを証明しています。再認証の最終レポートは、ご依頼に応じて法人顧客およびパートナーに開示させていただいております。