Zendeskの責任共有モデル

Zendeskの責任共有モデル

Zendeskは、高度な設定が可能で迅速に拡張できるカスタマーサービスプラットフォームを、幅広い業種の世界的な大手企業の多くに提供しています。 Zendeskは、契約者が自社のカスタマーサービスのニーズに合わせてZendeskのクラウドプラットフォームを活用できるようサポートすることで、オーバーヘッドを削減し、需要に合わせて柔軟に拡張したり、カスタマーとの間に美しくシンプルなやりとりを提供できるようにします。

クラウドにビジネスを移行すると、上述のようなメリットが得られる反面、当事者間での管理責任が曖昧になる可能性もあります。ご心配なく、ここを簡潔にするために、以下に当社の責任共有モデルを示します。このフレームワークは、お客様のデータのセキュリティとプライバシーに関連する管理について、どの当事者が責任を負うかを明確にするものです。責任をもって職務に取り組む管理者や企業のセキュリティ担当者、コンプライアンス担当者、個人情報保護担当者など、Zendesk Servicesを利用する上で適切な管理体制を構築する立場にある関係者にとって、この基準は、注意すべき範囲を明確に示すものとなります。

一言でいうと、「Zendeskはサービス自体のセキュリティを担当し、お客様はサービスの特定のインスタンス内のセキュリティを担当する」ということです。

アクセス制御とセキュリティ対策
インテグレーション
データ、プライバシー、コンプライアンス、規制に関する考慮事項
監視
メンテナンス
セキュリティインシデント（ロールと責任）
役に立つリンク
変更履歴

本記事で使用されているかぎ括弧（「」）付きの用語は、Zendeskのメインサービス契約（「MSA」）に定める意味を有するものとします。

I. アクセス制御とセキュリティ対策
機密システムとその中のデータへのアクセスを制御することは、セキュリティ原則の中核です。

「契約者」は、以下を含む、サービスのインスタンスへのすべてのアクセス制御に責任を負います。
1. エンドユーザーおよびエージェント（オンプレミス、リモート、サードパーティのいずれでも）を含む全ユーザーのプロビジョニング、変更、継続的な保守・管理、権限の正確性の維持、およびプロビジョニングの解除を行うこと
2. サポートされているサービスから認証方法を選択し、設定すること（パスワード、MFA、SSOなど）
3. ログアウト、ログインしたデバイスなど、セッション処理を設定し監視すること
4. Zendeskのサポートスタッフがお客様のSupportインスタンスに入ることを許可または拒否すること
5. ZendeskのREST APIサービスへのアクセス（インテグレーション、Zendesk Sunshineサービスの使用など、該当する場合）を設定し、使用する意味を理解すること
6. 必要な場合、製品がサポートするIP制限を設定すること
7. インスタンスへのアクセス時にエージェントに使用を許可するデバイスタイプなど、製品に関連しないその他のアクセス制御や、ユーザーまたは許可されたデバイスに適用可能な物理的、論理的、またはポリシー制御を検討すること
Zendeskは、以下のようなサービスを支えるシステムに対するすべてのアクセス制御に責任を負います。
1. すべてのユーザー（オンプレミス、リモート、サードパーティの従業員含む）の安全なプロビジョニング、変更、継続的な保守・管理、権限の正確性の維持、およびプロビジョニングの解除のためのポリシーと手順を管理すること
2. ロールベースのアクセス制御「RBAC」、最小特権の原則「PLP」、契約者のサービスデータを含む重要なシステムおよびアプリケーションへのすべての従業員および請負業者のアクセスに対する多要素認証「MFA」などの実装により、適切な資格情報セキュリティを確保すること
3. 上記について定期的に点検すること

II. インテグレーション
サードパーティの活用は効率を大幅に向上させますが、同時にセキュリティ上の考慮も必要となります。

「契約者」は、以下を含む本サービスとのすべてのサードパーティインテグレーションを利用する際のセキュリティへの影響を考慮する責任を負うものとします。
1. APIまたはSDKを経由して行われるインテグレーション
2. マーケットプレイスアプリのインストールまたはサードパーティチャネルの有効化を通じて行われるインテグレーション
3. スタッフ、ツール、コードの提供、またはZendeskインスタンスへの直接サービス提供により、契約者を支援するサードパーティとのインテグレーション
Zendeskは、信頼できるサードパーティを慎重にサービスに統合する責任があります。
1. すべての「副処理者」を審査し、継続的なデューデリジェンスを実行すること
2. 買収したビジネスを安全な方法でサービスに統合すること
3. サードパーティとの製品パートナーシップやサービスインテグレーションで適切なセキュリティ上の配慮を行うこと

III. データ、プライバシー、コンプライアンス、規制に関する考慮事項
使用中のデータ、その適切な取り扱い、関連する規制の枠組み、第三者の保証の重要性を説明することは必須です。

「契約者」は、取り込んで使用するデータについて、以下を含む適切な取り扱いに責任を負います。
1. 特定のユースケースに関連するデータのタイプを理解すること
2. 自社のデータ分類およびプライバシーポリシー、データ自体に関連する適用法、データを提供するユーザー、契約者の業種、および関連する法域に従って、かかるデータを取り扱うこと
3. サービスのインスタンスとの通信を許可するチャネルを選択すること
4. 契約者の業種、ユーザー、またはユースケースに適用されるコンプライアンス、法律、または規制の枠組みに従って、インスタンスおよび「サービスデータ」を管理すること
5. Zendesk UIやAPIとのトラフィックを暗号化するために、Zendesk以外の親ドメインへのホストマッピングが必要な場合、代替のTLS証明書をZendeskに提供すること
6. 転送中のデータが暗号化されない可能性のあるチャネルやプロトコルを理解し、そのようなチャネルやプロトコル（主にメール、SMS、または暗号化をサポートしない、契約者の単独の裁量で行われるサードパーティのインテグレーション）に対応すること
7. 契約者のインスタンスに含まれるデータのタイプが、Zendeskのメインサービス契約の利用規約（Zendesk MSAを参照）に違反していないこと
8. 契約者が選択したアップタイムおよびディザスタリカバリのレベルが、契約者が従うべきポリシーまたは規制に従っていること
Zendeskは以下について責任を負います。
1. すべての「サービスデータ」が開示されないようサービスレベル（インフラやコードなど）で適切に保護する
2. パブリックネットワーク上でのUIまたはAPIを介したデータの送受信時に、転送データを暗号化する
3. すべての保管中の「サービスデータ」を暗号化する
4. 製品内のCookieによって収集されたデータおよびサービスのデフォルト使用に関する情報を契約者に提供する
5. 匿名化および非匿名化された「個人データ」を含む「サービスデータ」を、サービスの提供またはその他の目的にどのように使用するかを正確に説明する
6. 個人データまたは規制データの適切な取り扱いに関する自らの義務を果たすのに役立つツールおよび機能を「契約者」に提供する
7. 弊社の提供するサービスおよび事業拠点に関連する適用法および規制の枠組みを遵守する
8. 弊社のサービス提供に関連する独立した第三者によるコンプライアンス保証を取得し提供する

IV. 監視
適切なセキュリティには、プロセスとアクティビティに対する洞察が必要です。

「契約者」は、以下を含む、サービスのインスタンスへのすべてのアクティビティの監視に責任を負います。
1. ユーザーのアクティビティを監視すること（UIビューまたはAPIログのいずれかによる）
2. 未知の個人とのコミュニケーション、またはサービスを介して派生する信頼できないコンテンツについて、デューデリジェンスを実施すること
3. 適用される規制に従って、本「サービス」から取得したログまたはデータを管理すること
Zendeskは、以下のようなサービス自体のプロセスやアクティビティの監視に責任を負います。
1. 本番ネットワーク内の特権アクセスやアクティビティ
2. 既知の不正な送信や不正なIPアドレスをアラートまたはブロックする着信トラフィック
3. サービスのアップタイム
4. 企業ネットワークまたは本番ネットワーク資産内の異常な動作
5. コード、インフラ、トラフィック、関連する従業員や請負業者のセキュリティ

V. メンテナンス
システムやコードを最新の状態に保ち、パッチを適用することで、セキュリティ上の問題の多くを防ぐことができます。

「契約者」は、Zendeskのアーキテクチャおよび契約上の境界*を超えて、以下のシステムまたはコードの保守およびパッチ適用を行う責任を負います。
1. 従業員のエンドポイント、ネットワーク、カスタムインフラストラクチャ、またはZendeskサービスへのアクセスや、Zendeskシステムへの接続前、または接続後のサービスデータの処理に使用するサードパーティ製ミドルウェアを含む独自のインフラストラクチャ
2. 「Zendeskサービス」に追加機能を提供するために利用される、契約者独自の非標準コード。これには、契約者が独自に開発したコード、また「Zendeskサービス」で使用するために購入したサードパーティのコードが含まれます。また、「Zendeskプロフェッショナルサービス」が「契約者」の要望に応じて開発したカスタムコードも含まれます。ただし、カスタム契約の一部として、当該コードの責任とメンテナンスが契約者に移譲されている場合に限ります。
Zendeskは、以下のものを含む、アーキテクチャ上または契約上の境界内にあるすべてのシステムおよびコードの保守およびパッチ適用を行う責任を負います。
1. 本「サービス」を提供するために使用されるホスティングプロバイダー施設内で独自の論理的に管理されたインフラストラクチャ（オペレーティングシステム、セキュリティインフラストラクチャ、直接管理下にあるシステム、コンテナおよびオーケストレーションシステムなどが含まれる）。
2. 従業員のエンドポイント、社内ネットワークインフラなど、Zendeskの社内環境で使用される物理的または論理的に管理されたインフラストラクチャ。
3. 「Zendeskサービス」の基盤となる独自のコードベース。

* マーケットプレイスアプリはZendeskのアーキテクチャの境界内で実行されますが、Zendesk標準の「メインサービス契約」の対象ではなく、弊社のマーケットプレイスアプリケーション利用規約で示されているように、契約者とアプリケーション開発者自身の間の特定の条件によって取り扱われます。マーケットプレイスアプリのメンテナンスは、マーケットプレイスアプリのサードパーティ開発者の責任となります。

VI. セキュリティインシデント
最善の努力にもかかわらず、物事がうまくいかないことがあります。セキュリティインシデントをどのように認識し、対応し、回復するかが、セキュリティインシデントの軽減策を成功させ、顧客の信頼を維持するための鍵となります。このセクションでは、セキュリティインシデント発生時の各当事者の役割と責任について説明します。

「契約者」は、サービス自体の脆弱性またはインシデントに起因しない、特定のインスタンス内で発生したセキュリティインシデントまたはセキュリティ侵害に対して、以下のような責任を負います。

特定のインスタンス内で、以下の原因による侵害の疑いまたは実際の侵害を調査し、是正すること。(i) 不十分なアクセス制御または保守・管理（脆弱または悪用されうる公開資格情報の使用を含む）、(ii) ユーザー活動の不十分な監視、(iii)ユーザーとのやりとりを介して派生したコミュニケーションまたは信頼できないコンテンツに対するデューデリジェンスの不履行、または (iv) サードパーティとのインテグレーションを介して引き起こされたインシデントまたは侵害（かかるインテグレーションが契約者の単独の裁量で行われたもの）。
「契約者」のアクションや統合されたサードパーティに起因する侵害、またはZendeskから受信したサービスデータの侵害通知に関連して、政府機関または法執行機関、エンドユーザーに必要な通知を行うこと

Zendeskは、セキュリティインシデントの調査、およびサービス経由で発生した「サービスデータの侵害」に関する契約者への通知の管理について以下のような責任を負います。
1. セキュリティインシデント対応ポリシーの文書化およびセキュリティに関連する役割と責任を持つスタッフを配置する
2. 異常な活動を調査する
3. 確認された「サービスデータの侵害」を封じ込める
4. 法律で義務付けられている場合、影響を受ける契約者または関連する政府機関や法執行機関に通知する
5. 堅牢なバックアッププロセスおよび災害復旧プロセスを導入し、テストを行なう