はい、GatherはSOC 2 Type II認証を取得しています。私たちのレポートのコピーを要求するには、Trust Centerを訪問してください。

私たちはアメリカ合衆国（ニューヨーク市、サンフランシスコ、北バージニア、北カリフォルニア）、ブラジル（サンパウロ）、日本（東京）、ドイツ（フランクフルト）、シンガポール、インド（ムンバイ）にサーバーを持っています。

もちろんです！以下のリンクをクリックして、データ処理契約、プライバシーポリシー、および利用規約をお読みください。

Gatherは米国の会社であり、個人データの処理は英国やEUのGDPRの領域的範囲内には直接当てはまらないことが多いです。

私たちのサービスは法人ユーザー向けであり、英国やEUのクライアントを積極的に対象としていません。そのため、英国やEUのデータ主体に商品の提供を行う際の個人データの処理は行っていません。

しかしながら、英国やEUの個人の行動を監視することになる広告クッキーや類似技術をマーケティングウェブサイトで使用しています。このような方法で個人データを処理する際は、GDPRの対象となり、GDPRの要件を満たすよう措置を実施しています（包括的なクッキー同意メカニズムおよび透明性告知の更新を含む）。
GDPRはGatherの顧客がGDPRの対象となるところでGatherが「データプロセッサー」として行動する場合、間接的にGatherに適用されます。この場合、Gatherはデータ処理契約を締結し、GDPRが求める一定の条件（例えば、データ漏洩が発生した場合の顧客への通知、個人の権利要求が発生した場合の顧客への通知など）に従うことに同意します。

はい。個人データの処理がGDPRの対象となる場合、欧州委員会によって承認された第三国への個人データの移転のための標準契約条項を組み込んだ、私たちのデータ処理契約を結ぶ必要があります。

欧州司法裁判所は以前に米国の受取人への個人データの移転の合法性に疑問を呈していましたが、EUと米国のデータプライバシーフレームワークに関する欧州委員会の適正決定は、シュレムスII判決で指摘されたリスクに対して米国が大統領令14086の下で取った措置が適切に対応していることを認識しています。EO 14086における米国の国家安全保障機関によるデータ収集に関する関連制限は、DPFの認証を受けているか否かにかかわらず、EU発のすべてのデータに適用されます。

同様のことが、UKから発信されるデータに対しても、UK-U.S.データブリッジの英国外務大臣の承認に続いて適用されます。

Gatherは、そのデータ処理契約の一部としてSCCを含めています。さらに、EU/UKから転送される個人データを保護するために、さまざまな技術的および組織的なセキュリティ対策を実施しています。たとえば、データを転送中および保存時に暗号化し、特定のデータアクセス制御を導入しています。また、国境を越えたデータ転送に伴う潜在的なリスクを評価するための転送影響評価を完了しています。