データリクエストの概要

本書は、お客様のご参考のために作成された英語版の参考訳であり、可能な限り正確であるように努めていますが、誤りを含む可能性があることをご了承ください。英語版と齟齬がある場合、英語版の定めが優先し適用されるものとします。

Slack では、信頼と透明性を大切にしています。

以下の文書およびよくある質問では、政府機関や法執行機関からのデータリクエスト、および民間の第三者からのデータリクエストに関する当社のポリシーとガイドラインを確認していただけます。また、当社が受けたリクエストの数とその対応についての年次報告書も確認していただけます。

データリクエストのポリシー

信頼と透明性を向上させるための取り組みの一環として、Slack のデータリクエストのポリシーでは、当社が顧客データに関するリクエストに対応する際のポリシーと手順を概説しています。このポリシーは、第三者のデータに関するリクエストや、データに関する法務当局からの要求、お客様への通知、および国際的な要請に対する当社の実務対応の指針を示すものです。

透明性レポート

Salesforce では、法的規制に基づき、また Slack を含む Salesforce 傘下の企業が前年に受け取った法執行機関や政府機関からの要求に基づいて、毎年情報を公開しています。この透明性レポートには、顧客の秘密を守るための Salesforce の基本原則、毎年受け取る依頼の数、返信に関連するデータが説明されています。過去の透明性レポートは、Slack の法的アーカイブにあります。

よくある質問

Slack は政府機関や法執行機関からの要求にどのように対応していますか。

Slack は、当社のプライバシーポリシーおよびサービス利用規約で説明しているように、職場生産性の向上に寄与するオンラインプラットフォームです。当社は、政府機関または法執行機関からの有効な法的令状を受領した場合、適用法に従ってユーザーデータを提示する義務を負うことがあります。当社のデータリクエストのポリシーは、そのような要求に対する当社の要件を概説しており、当社の透明性レポートは、当社が各年に受ける政府機関や法執行機関からの要求の種類と件数を示しています。

法的令状をどこに送付すればよいですか？

法執行機関や政府機関による要求書（国際的な政府機関や法執行機関を含む）はすべて、当社の法的令状用メールエイリアス（legalprocess@slack.com）に送信することができます。

Slack がデータに関する要求を処理するためには、どんな情報が必要ですか？

適用される必須の法的要件すべてに加えて、すべての法的手続きの要求書には、次の情報が記載されている必要があります。（a）当該政府機関または法執行機関、（b）関連する刑事事件または民事事件、ならびに（c）該当するお客様の名前とユーザー名、日付範囲、Slack のワークスペース URL（slackname.slack.com）を含む、Slack ワークスペースに関する身元識別情報、および要求するデータの種類。また、この要求書は、政府機関が発行したメールアカウントから送信される必要があるほか、要求を行う担当者の詳細な連絡先情報を記載していなければなりません。

Slack が法執行に関する要求を受けた場合、どのように対応しますか？

当社はすべての要求を慎重に確認し、法的に十分なものであるか、ユーザーの皆さまのプライバシーを考慮しながら検討します。Slack は、不明瞭である、要求の範囲が広すぎる、または適正でない要求については、拒絶したり、異議を申し立てたりする場合があります。

Slack はどの程度の頻度でデータを政府機関や法執行機関に提出していますか？

Slack の透明性レポートには、当社が各年に受ける要求の件数について詳しく記載されています。最新のレポートは 2019 年 1 月 1 日から 12 月 31 日までの期間を対象としており、データに関してその年に受領した召喚状、命令状その他の令状の数を明記しています。このレポートには、コンテンツデータと非コンテンツデータを含む、当社が提出した情報の種類も記載されています。

Slack は通信に対する情報監視の実施に関して法執行機関や政府当局を支援しますか？

Slack はお客様に対してリアルタイムの情報監視を実施することはありませんし、情報監視を目的としてユーザーに関するデータへのアクセス権を政府に対して自発的に提供することもありません。詳細については、当社の透明性レポートをご覧ください。

Slack は外国情報監視法第 702 条に基づく「アップストリーム」または一括情報監視を受ける対象者ですか？

いいえ。米国内のその他すべての通信プラットフォームと同様、Slack は、お客様にサービスを提供する時、電子通信サービス（「ECS」）または遠隔情報処理サービス（「RCS」）を提供しています（これらのサービスについては、それぞれ合衆国法典第 18 編第 2510 条と第 2711 条に定義されています）。そのため、外国情報監視法第 702 条に基づき、米国政府が Slack に的を絞った命令を送達する可能性は考えられます。

ただし、Slack は「アップストリーム」情報監視に関する 702 条に基づく命令を受ける対象者ではありません。米国政府は外国情報監視法第 702 条を適用している時、第三者のためにトラフィックを伝送するインターネットバックボーンプロバイダーを介したトラフィックの流れのみを対象とするアップストリームを命令します。プライバシー・市民的自由監視委員会が公表した「外国情報監視法第 702 条に基づき運営される情報監視プログラムに関する報告書」（2014 年 7 月 2 日）の 35～40 ページをご覧ください（同報告書は https://fas.org/irp/offdocs/pclob-702.pdf で入手できます）。Slack は、当社のお客様が関わるトラフィックのみを伝送するため、そのようなバックボーンサービスを提供していません。そのため、Slack は、Schrems II 判決において主に取り扱われ、問題があるとみなされた種類の命令を受ける対象者ではありません。

Slack は行政命令 12333 号に基づく情報の大量収集に関して米国当局を支援しますか？

Slack が、行政命令 12333 号に基づく情報監視を実施する米国当局に支援を提供することはありません。さらに、行政命令 12333 号は監視活動への支援提供を米国政府が企業に強制できるようにするものではなく、Slack がそのような支援を自主的に行うこともありません。そのため、Slack が行政命令 12333 号に基づく種類の一括情報監視を補助する措置をとることはなく、Slack がそのような措置をとるよう命令されることもありません。

Slack は送信中のデータと保存時のデータをどのように保護していますか？

Slack では、転送中のデータの傍受や監視といった、転送中のデータに許可なくアクセスしようとする試みを阻止するための技術的および組織的な対策を幅広く実施しています。例えば、転送中のデータを第三者が取得するのを防止するために、Slack はすべてのデータ転送を暗号化しています。ここでいう第三者には、データが送信されている間に送信機器に物理的にアクセスできるようになる可能性がある政府当局も含まれます。Slack では、HTTPS を介した TLS 1.2 を使用する安全なデータ転送のみを利用しています。この機能は常に有効になっており、2 つのエンドポイント（Slack とお客様）間のデータ転送に対する第三者の不正な干渉や接続を制限することができます。

Slack の Enterprise Key Management ワークスペースは、変更不能の監査ログを作成することにより、お客様のデータがアクセスされた時は毎回お客様に通知が届くようにすることで、さらなる安全対策を提供しています。EKM のコンテンツを保存または作成する行為は、お客様が利用できるアクセスログ上に識別しやすい形で記録されます。また、お客様は暗号化キーを無効にすることで、暗号化されていないコンテンツへのアクセスを防止できます。

米国で CLOUD 法が可決されたことは、米国政府の法的要求に対する Slack の対応方法に影響を与えますか？

いいえ。2018 年に制定された CLOUD 法は、米国の法執行に関する要求の地理的範囲を明確にするとともに、一定の状況において外国の法律に抵触する要求に Slack のような企業が異議を申し立てるための法的根拠を創出しました。以前からユーザーデータに与えられていた法的なプライバシー保護が CLOUD 法により変更された点はなく、Slack は、CLOUD 法に基づいて発行された法的令状も含め、送達されたすべての法的令状に対して同様の厳格な審査を適用します。

法執行機関や政府機関からの法的令状に応じて、どのような種類のデータが開示される可能性がありますか？

コンテンツデータには、パブリックメッセージやプライベートメッセージ、投稿、ファイル、ダイレクトメッセージなどの、ユーザーが生成したデータが含まれます。Slack がそのようなデータを法執行機関に提示するには、捜査令状を必要とします。

非コンテンツデータとは、基本的なアカウント情報（名前やメールアドレス、プロフィール情報、登録情報、ログイン履歴、課金情報など）、およびコンテンツ以外のその他のメタデータ（日付や時刻、メッセージやファイルの送信者/受信者など）を指します。要求されたデータの種類によっては、Slack はそのようなデータを提示するにあたって強制召喚状または裁判所命令を必要とする場合があります。

捜査令状、裁判所命令、法執行機関の召喚状には、それぞれどのような違いがあるのでしょうか？

捜査令状とは、相当の根拠が発見された場合に裁判官または判事が発行する命令のことをいいます。通信の内容を取得するには捜査令状が必要です。

裁判所命令とは、要求する情報が継続中の犯罪捜査に関連があり、重要であると判断するに足る相当の理由があることを政府機関が立証したと認定される場合に出される命令です。政府機関は裁判所命令により、ワークスペースに関する基本的な非コンテンツデータおよびメタデータを取得できますが、コンテンツを取得することはできません。

法執行機関の召喚状とは、許可を得て行われている犯罪調査を支援するために政府機関により発せられる、一定のまとまった情報の提出を求める強制力のある請求のことで、その請求対象の情報には、顧客の名前、住所、勤続年数、支払いの手段と原資などが含まれます。

政府機関や法執行機関は削除済みのデータを Slack から取得できますか？

一般には「いいえ」です。削除済みのデータをお客様が保存設定に基づき保持していない限り、そのデータは削除後ただちに Slack のシステムから消去されます。データが削除されても、当社のセキュリティバックアップに一定期間（最大 14 日間、通常はそれより短期間）残る場合もあります。このバックアップ期間が過ぎ次第、Slack は当社のプロダクションシステムからすべての情報を物理削除します。データが一度完全に削除されると、政府機関や法執行機関の要求に対応するための場合も含め、Slack はいかなる目的であれそのデータを取り出すことはできません。

Slack は緊急性のある要求にはどのように対応していますか？

死亡または重大な人身事故の危険を伴う緊急事態が生じ、その被害を緩和するために必要となる可能性のあるデータを Slack が保有していると判断した場合、権限のある法執行機関の職員は、legalprocess@slack.com に宛てて当社に連絡する必要があり、その要求が当社で審査されます。

Slack は政府機関や法執行機関にデータを提示する前に顧客に通知しますか？

Slack が通知を禁じられていないか、違法な行為や危害のリスクが明らかに示されていない限り、Slack は通常、データを開示する前にプライマリーオーナーにメールで通知することにより、お客様が速やかに法的救済を求められるようにします。

データに関する第三者または民間からの要求については、どのように対応しますか？

データを要求する第三者は、Slack ワークスペースのオーナーに直接お問い合わせください。可能な場合は常に、当社が関与することなく関係者間で要求に対応することを推奨します。ワークスペースのオーナーは、適正な法的要求に従うために、自分のデータのエクスポートを実行できる必要があります。これらのエクスポートに関してサポートが必要な場合、プライマリーオーナーは当社に連絡して、法律上の必要性に基づきエクスポートを認められるかどうかを確認します。

合衆国法典第 18 編交信保存法第 2701 条その他により、Slack などのプロバイダーが通信内容を第三者に開示することは厳格に禁止されていることにご留意ください。民事上の召喚状や民事上の裁判所命令は、交信保存法上、Slack ワークスペースのコンテンツを取得するには十分ではありません。