Box Trust Center

Boxにおけるデータ暗号化では、HIPAA/HITECH法、PCI DSS、ISO 27001などの標準規格に基づき、NISTが推奨するアルゴリズムや手法などを遵守しています。 Boxにアップロードされたコンテンツは、TLS 1.2以降によって転送中に暗号化されます。 また、保存データは、AESアルゴリズムによるキーサイズ256ビットのAES-256で暗号化されます。

Boxには、セキュリティインシデントに対処する専任のレスポンスチームを中核とするインシデント管理プロセスがあります。これにより、セキュリティ(機密性を含む)や可用性に関わるインシデントに対処するための一貫した組織的なアプローチを提供します。 お客様のデータに関わるインシデントが確認された場合には、該当する法律あるいはBoxとそのお客様との契約内容に基づいて、定められた時間内にお客様(アカウントリストで指定されているBox管理者)に通知します。

Boxでは、以下のセキュリティコンプライアンス認証、基準、レポートを取得・維持しています。

• Cloud Computing Compliance Controls Catalogue (C5)
• 米国国防総省のセキュリティ要件ガイド
• FedRAMP Moderate
• FINRA/SEC 17a-4
• FIPS 140-2
• G-Cloud Framework
• GxP Validation
• HIPAA/HITECH
• 国際武器取引規則(ITAR)と米国輸出管理規則(EAR)
• IRS-1075
• ISO 27001
• ISO 27017
• ISO 27018
• NIST 800-53
• NIST 800-171
• PCIデータセキュリティ基準
• SOC 1 (SSAE 18) Type II
• SOC 2 Type II
• SOC 3

Boxでは、エンタープライズレジリエンスチームにより、事業継続、災害復旧、緊急対応、危機管理に関する計画を策定しています。これには、有害事象による障害が発生した場合に使用する戦略、手順、連絡先情報などが含まれます。 これらの計画は、適切に実施できることを確認するために毎年テストされ、プロセスや環境の重大な変更については文書化されます。

Boxでは、複数のデータセンターから同時にコンテンツをサポートするアクティブ/アクティブのデータセンターモデルを採用しています。 特定のデータセンターに影響を及ぼす有害事象が発生した場合には、影響を受けていないデータセンターがBoxのサービスをサポートします。 広範な地域で有害事象が発生し、主要なデータセンターに影響が及ぶようなケースでは、Boxのサービスは代替拠点によって運営されます。

Boxのサービス稼働状況は、status.box.comで確認できます。 このページでは、Boxがインシデントを作成、更新、解決した際にメール通知を受け取るよう設定できます。

Boxは、お客様のプライバシー権を尊重し、お客様の情報を保護することの重要性を認識しています。 Boxがどのように情報を収集、保持、使用、開示、転送しているかについて詳しくは、プライバシーポリシーをご覧ください。

Boxは、一般データ保護規則(GDPR)、アジア太平洋経済協力会議(APEC)、越境プライバシールール(CBPR)、プロセッサ向けプライバシー識別(PRP)、カリフォルニア州消費者プライバシー法(CCPA)など、地域固有のデータプライバシー規制を遵守しています。 詳しくは、地域情報のページをご覧ください。

Boxは、初期の段階から、業界標準を満たすだけでなく、それを上回るクラウドベースのコンテンツ管理プラットフォームと製品をお客様に提供することを公約してきました。 また、これまでに、EEA(欧州経済領域)域外へのデータ転送について、重複を含む一連の法的メカニズムとフレームワークをお客様に提供してきました。これには、(1)コントローラとプロセッサの拘束的企業準則(BCR)および、(2)標準契約条項(SCC)が含まれます。 CJEUは、データ転送手法におけるプライバシーシールドを無効化しました。しかし、Boxでは、今後もプライバシーシールドの原則を遵守し、コンプライアンス維持のための年次の独立評価を引き続き実施します。 Boxにおけるデータ保護に関する法的な取り組みと、データプライバシー保護に関するコミットメントについて詳しくは、 ブログ記事で説明しています。

Boxでは、データ処理業務を補完するためのサブプロセッサを使用しています。使用しているサブプロセッサの一覧は、 こちらに記載されています。 このページでは、各サブプロセッサが提供するサービスとサービス提供場所の概要および、サブプロセッサを採用する際にBoxが実施するデューデリジェンスの手順についても説明しています。 Boxは、Boxのサービスをサポートする以外の目的で、サブプロセッサがお客様のデータ、コンテンツ、個人情報を使用することを固く禁じています。