家族の教育の権利とプライバシーに関する法律 (FERPA) は、学生の教育記録へのアクセスと管理を制御する米国の連邦法です。 FERPA は、これらの記録のプライバシーに関して、学生とその親に特定の権利を付与します。これには、学生の教育記録を検査および確認する権利、親または資格のある学生が不正確であると考える記録の修正を要求する権利、教育記録からの個人情報 (PII) の開示をある程度制御する権利などがあります。
Esri の ArcGIS 製品とサービスは、教育機関において、研究、指導、管理など、さまざまな目的で利用されています。 一般的に、ArcGIS は教育機関による教育記録の処理には利用されませんが、FERPA コンプライアンスの要求を最小限に抑えるように構成することができます。 ただし、これらの製品やサービスが教育記録の保存、処理、送信に使用される場合は、FERPA の範囲内となる可能性があります。 そのため、ワークフローが FERPA の要件に適合しているかどうかを判断するのは、お客様の手にゆだねられています。
お客様のデータのセキュリティとプライバシーを保護するための Esri の取り組みには、次のものがあります。
- Esri のプライバシー慣行を独立した評価および認定機関に提出する
- 資格のある独立した第三者機関による年次の FedRAMP 監査を受ける
- 少なくとも 30 日ごとに脆弱性スキャンを実行し、セキュリティ環境の評価と新しい脅威の特定のためにテストする
- ターゲティング Cookie を無効にして、K-12 の学生のプライバシーを保護する
FERPA の FAQ
FERPA 認定プログラムはありますか?
- いいえ。現在、第三者機関のコンプライアンスを評価するための特定の FERPA 認定プログラムはありません。 学術機関は、製品やサービスがコンプライアンスの能力に影響するかどうかを判断するために、独自の評価を実行する必要があります。
FERPA コンプライアンスに役立つ ArcGIS Online のセキュリティとプライバシー対策は何ですか?
- ロールベースのアクセス制御など、ArcGIS Online 製品のさまざまなセキュリティ機能を提供しています。
- 送信中のデータは TLS 1.2、保存中のデータは 256-bit AES-256 (Advanced Encryption Standard) を使用して保護します。
- クラウド プロバイダーを物理的および環境的に保護しています。Esri のホスティング施設はスタッフが常駐し、周囲のフェンス、スタッフ常駐のロビー、監視カメラ (CCTV)、侵入者を捕獲する装置、施錠されたケージ、動作感知装置、生体認証アクセス要件など、複数のレイヤーからなる物理的セキュリティ制御を通じて、24 時間年中無休でセキュリティが守られ監視されています。
- お客様の承認を受けたセキュリティ インシデントまたはサポート ケースへの対応の一部である場合を除き、お客様の ArcGIS Online の非公開コンテンツを閲覧しません。
- 顧客データを第三者機関と共有しません。
- テクニカル サポートへのリクエストに応じて、訴訟ホールドのためにお客様データを「フリーズ」(読み取り専用アクセス) します。
- 電子メール アドレスとユーザー名から構成されるアカウント情報以外のお客様データは保存しません。
- 製品の再アクティベーションを支援するために (お客様が要求した場合)、終了後最大 60 日間のみアカウントを保持します。この期間を過ぎると、アカウントは完全に削除されます。
PII の収集を最小限に抑えるには、ArcGIS Online 組織をどのように構成すればよいですか?
- 組織の管理者は、個人情報の転送を最小限に抑えるために、オプションのユーザー プロフィール フィールド (姓名、会社名、電話番号、プロフィール写真など) の設定をブロックできます。
- K-12 学校での Esri 製品の使用に関する詳細なプライバシー ガイダンスについては、Quick Start for ArcGIS Schools Bundle ガイドをご参照ください。
COPPA は ArcGIS Online のコンプライアンスとどのような関係がありますか?
- 児童オンライン プライバシー保護法 (COPPA) は、児童のプライバシーを保護することを目的とした追加法です。ただし、ArcGIS Online に直接適用されることはありません。 児童オンライン プライバシー保護法 (COPPA) は、13 歳未満の児童のプライバシーを保護するために制定された米国連邦法です。 これは連邦取引委員会 (FTC) によって管理されています。
- COPPA は児童向けの Web サイトおよびオンライン サービスに適用され、これらのサイトやサービスでは、児童に属する個人情報の収集および使用に対して親の同意が必要であると規定しています。
- お客様は、該当する場合、エンド ユーザーによる ArcGIS Online の使用について親の同意を得る責任があります。
- ArcGIS Online は、13 歳未満の児童を特に対象にしていませんが、学校の教育プログラムの一環として、そのような児童によって利用される可能性があります。 Quick Start for ArcGIS Schools Bundle ガイドに従うことで、教育機関は COPPA、FERPA、さらには GDPR などの一般的な学生のプライバシー規制への適合性を高めることができます。
- 未成年者のプライバシーを保護するために、Esri は ArcGIS for Schools Bundle アカウントを使用している学生のターゲティング Cookie を自動的にオフにします。
Esri のデータ処理に関する追加契約
データ処理に関する追加契約 (DPA) は、個人データを処理および取り扱う際の当事者の役割、責任、義務に関する概要を記述する法的拘束力のある文書です。 DPA は、基本的な考え方として、お客様が自分のデータを管理し、その使用方法と使用目的を決められることを明確にしています。 Esri は、教育組織などのお客様が使用する目的で事前に署名された DPA を提供します。
ArcGIS Online HECVAT Lite
Esri の自己評価は、ArcGIS Online 向けの Higher Education Information Security Council (HEISC) Higher Education Community Vendor Assessment Tool (HECVAT Lite) に対する答えです。 これにより、HECVAT Lite を使用して ArcGIS Online で実装されたセキュリティ対策を包括的に理解することができます。 義務教育機関から高等教育機関まで、HECVAT Lite により、強力な情報セキュリティとセキュリティ制御の実施、更新されたセキュリティ プログラム、効果的なインシデント対応計画を確保できます。 これは、高等教育の IT 専門家と管理者向けに設計され、ArcGIS Online のセキュリティの使用に関して、機関のポリシーを遵守しながら情報に基づく意思決定を下す機関を支援します。
- Quick Start for ArcGIS Schools Bundle ガイド (パブリック)
- Esri のデータ処理に関する追加契約 (DPA) (パブリック)
- HECVAT Lite 2024 (Trust Center のパブリック ドキュメント)
- ArcGIS Security Adviser の検証ツール (Trust Center のパブリック ページ)
- ArcGIS Online および Enterprise のベスト プラクティスのチェックリスト (パブリック)
- Esri の製品とサービスのプライバシー ステートメントの補足 (パブリック)
- ArcGIS Location Sharing のプライバシーのベスト プラクティス (Trust Center のパブリック ドキュメント)