家族の教育の権利とプライバシーに関する法律 (FERPA) は、学生の教育記録へのアクセスと管理を制御する米国の連邦法です。 FERPA は、これらの記録のプライバシーに関して、学生とその親に特定の権利を付与します。これには、学生の教育記録を検査および確認する権利、親または資格のある学生が不正確であると考える記録の修正を要求する権利、教育記録からの個人情報 (PII) の開示をある程度制御する権利などがあります。
Esri の ArcGIS 製品とサービスは、教育機関において、研究、指導、管理など、さまざまな目的で利用されています。 一般的に、ArcGIS は教育機関による教育記録の処理には利用されませんが、FERPA コンプライアンスの要求を最小限に抑えるように構成することができます。 ただし、これらの製品やサービスが教育記録の保存、処理、送信に使用される場合は、FERPA の範囲内となる可能性があります。 そのため、ワークフローが FERPA の要件に適合しているかどうかを判断するのは、お客様の手にゆだねられています。
お客様のデータのセキュリティーとプライバシーを保護するための Esri の取り組みには、次のものがあります。
- Esri のプライバシー慣行を独立した評価および認定機関に提出する
- 資格のある独立した第三者機関による年次の FedRAMP 監査を受ける
- 少なくとも 30 日ごとに脆弱性スキャンを実行し、セキュリティー環境の評価と新しい脅威の特定のためにテストする
- ターゲティング Cookie を無効にして、K-12 の学生のプライバシーを保護する
FERPA の FAQ
FERPA 認定プログラムはありますか?
- いいえ。現在、第三者機関のコンプライアンスを評価するための特定の FERPA 認定プログラムはありません。 学術機関は、製品やサービスがコンプライアンスの能力に影響するかどうかを判断するために、独自の評価を実行する必要があります。
FERPA コンプライアンスに役立つ ArcGIS Online のセキュリティーとプライバシー対策は何ですか?
- ロールベースのアクセス制御など、ArcGIS Online 製品のさまざまなセキュリティー機能を提供しています。
- 送信中のデータは TLS 1.2、保存中のデータは 256-bit AES-256 (Advanced Encryption Standard) を使用して保護します。
- クラウド プロバイダーを物理的および環境的に保護しています。Esri のホスティング施設はスタッフが常駐し、周囲のフェンス、スタッフ常駐のロビー、監視カメラ (CCTV)、侵入者を捕獲する装置、施錠されたケージ、動作感知装置、生体認証アクセス要件など、複数のレイヤーからなる物理的セキュリティー制御を通じて、24 時間年中無休でセキュリティーが守られ監視されています。
- お客様の承認を受けたセキュリティー インシデントまたはサポート ケースへの対応の一部である場合を除き、お客様の ArcGIS Online の非公開コンテンツを閲覧しません。
- 顧客データを第三者機関と共有しません。
- テクニカル サポートへのリクエストに応じて、訴訟ホールドのためにお客様データを「フリーズ」(読み取り専用アクセス) します。
- 電子メール アドレスとユーザー名から構成されるアカウント情報以外のお客様データは保存しません。
- 製品の再アクティベーションを支援するために (お客様が要求した場合)、終了後最大 60 日間のみアカウントを保持します。この期間を過ぎると、アカウントは完全に削除されます。
PII の収集を最小限に抑えるには、ArcGIS Online 組織をどのように構成すればよいですか?
- 組織の管理者は、個人情報の転送を最小限に抑えるために、オプションのユーザー プロフィール フィールド (姓名、会社名、電話番号、プロフィール写真など) の設定をブロックできます。
- K-12 学校での Esri 製品の使用に関する詳細なプライバシー ガイダンスについては、Quick Start for ArcGIS Schools Bundle ガイドをご参照ください。
COPPA は ArcGIS Online のコンプライアンスとどのような関係がありますか?
- 児童オンライン プライバシー保護法 (COPPA) は、児童のプライバシーを保護することを目的とした追加法です。ただし、ArcGIS Online に直接適用されることはありません。 児童オンライン プライバシー保護法 (COPPA) は、13 歳未満の児童のプライバシーを保護するために制定された米国連邦法です。 これは連邦取引委員会 (FTC) によって管理されています。
- COPPA は児童向けの Web サイトおよびオンライン サービスに適用され、これらのサイトやサービスでは、児童に属する個人情報の収集および使用に対して親の同意が必要であると規定しています。
- お客様は、該当する場合、エンド ユーザーによる ArcGIS Online の使用について親の同意を得る責任があります。
- ArcGIS Online は、13 歳未満の児童を特に対象にしていませんが、学校の教育プログラムの一環として、そのような児童によって利用される可能性があります。 Quick Start for ArcGIS Schools Bundle ガイドに従うことで、教育機関は COPPA、FERPA、さらには GDPR などの一般的な学生のプライバシー規制への適合性を高めることができます。
教育機関は、ArcGIS の実装で COPPA および学生のデータ保護要件の順守をどのように継続的に監視し確保することができますか?
- 教育機関とお客様は、COPPA や他の学生のデータ保護要件に適合するための継続的な監視作業の一環として、Security and Privacy Adviser ツールを活用できます。 このツールを利用することで、教育機関とお客様は、ArcGIS の実装を積極的に評価でき、プライバシー構成を適切に設定できるようになります。 Security and Privacy Adviser は、自動化されたセキュリティー チェック、ポリシーの推奨事項、プライバシー設定に関するリアルタイムの情報を提供します。 この積極的なアプローチにより、オンライン マッピングおよび GIS のアクティビティーで 13 歳未満の学生の個人情報が間違って収集または公開されないようにして、COPPA の順守を維持できます。
- 未成年者のプライバシーを保護するために、Esri は ArcGIS for Schools Bundle アカウントを使用している学生のターゲティング Cookie を自動的にオフにします。
Esri のデータ処理に関する追加契約
データ処理に関する追加契約 (DPA) は、個人データを処理および取り扱う際の当事者の役割、責任、義務に関する概要を記述する法的拘束力のある文書です。 DPA は、基本的な考え方として、お客様が自分のデータを管理し、その使用方法と使用目的を決められることを明確にしています。 Esri は、教育組織などのお客様が使用する目的で事前に署名された DPA を提供します。
ArcGIS Online HECVAT Lite
Esri の自己評価は、ArcGIS Online 向けの Higher Education Information Security Council (HEISC) Higher Education Community Vendor Assessment Tool (HECVAT Lite) に対する答えです。 これにより、HECVAT Lite を使用して ArcGIS Online で実装されたセキュリティー対策を包括的に理解することができます。 義務教育機関から高等教育機関まで、HECVAT Lite により、強力な情報セキュリティーとセキュリティー制御の実施、更新されたセキュリティー プログラム、効果的なインシデント対応計画を確保できます。 これは、高等教育の IT 専門家と管理者向けに設計され、ArcGIS Online のセキュリティーの使用に関して、機関のポリシーを遵守しながら情報に基づく意思決定を下す機関を支援します。
- Quick Start for ArcGIS Schools Bundle ガイド (パブリック)
- Esri のデータ処理に関する追加契約 (DPA) (パブリック)
- HECVAT Lite 2024 (Trust Center のパブリック ドキュメント)
- ArcGIS Security Adviser の検証ツール (Trust Center のパブリック ページ)
- ArcGIS Online および Enterprise のベスト プラクティスのチェックリスト (パブリック)
- Esri の製品とサービスのプライバシー ステートメントの補足 (パブリック)
- ArcGIS Location Sharing のプライバシーのベスト プラクティス (Trust Center のパブリック ドキュメント)