HIPAAおよびHITACHI対応アカウント(総称して「医療対応アカウント」):

本書で使用されている大文字の用語はすべて、アカウントの種類に応じて、ZendeskのBusiness Associate Agreement(BAA)またはZendesk顧客契約別紙(「HITACHI別紙」)に記載されている意味を有するものとします。

HIPAA対応アカウントでは、「PHI」は「保護された医療情報」を意味し、HITACHI対応アカウントでは「PHI」は「個人の医療情報」を意味します。

Zendeskと加入者は、PHIをサービスに導入する前に、加入者が適用法の下でコンプライアンス要件を満たすために評価した以下の構成または代替構成を評価して実装することを推奨する医療契約を締結しています。

加入者が単独の裁量により、以下に挙げる推奨構成のいずれかの実施を見送る場合、加入者による推奨構成からの逸脱に起因する加入者のサービスデータ（PHIを含む）への不正アクセスまたは開示の不適切な使用については、加入者が単独で責任を負うものとします。

加入者は、適切なレベルのサービス プランを購入し、必要な関連アドオンを持っている必要があります(不明な場合は、営業担当者にお問い合わせください)。

「契約者」がHDS対応アカウントを持っている場合、「契約者」は、サービスの提供に使用される副処理者に対する変更の通知を受け取るには、Zendesk副処理者ポリシーの「フォローする」ボタンをクリックする必要があります。

以下のZendeskサービスの最低限のセキュリティ構成を実施する必要があります。また、ヘルスケアが有効になっているアカウントについては、ヘルスケア契約で承認されるものとします。

I.Zendesk Support：

1. 次の2つの方法のいずれかによる安全なエージェント認証。
   1. ネイティブのZendesk Supportパスワード設定:(i)「推奨」に設定する、または(ii)「推奨」設定の下で設定された要件よりもセキュリティが低い要件を確立する方法で加入者によってカスタマイズする。さらに、本サブセクションのオプションの下で、加入者はサービス内で2要素認証（「2FA」）をネイティブに有効にして適用する必要があり、管理者がエンドユーザーのパスワードを設定できるようにする管理制御を無効にする必要があります。
   2. Zendeskの「推奨」パスワード設定の下で確立されたセキュリティ以上の要件を備えた外部シングルサインオン(「SSO」)ソリューションを使用し、選択したソリューション内ですべてのエージェントのアクセスに対して2要素認証を有効にして適用する。管理者がエンドユーザーのパスワードを設定できるようにする管理コントロールを無効にする必要があります。
   3. 認証方法としてSSOを使用するすべての認証選択では、パスワードアクセスを無効にする必要があります。
2. Healthcare Enabled Account(s)のSecure Socket Layer(SSL)暗号化は常に有効にしておく必要があります。ヘルスケア対応 zendesk.com以外のドメインを利用するアカウントは、ホストSSLを確立し、維持する必要があります。
3. 可能 な限り、「契約者」が上述の要件1.aまたは1.b（ネイティブに「サービス」内、または「エンタープライズSSO」と組み合わせた「契約者」の環境内）でエージェントの多要素認証を有効にしない限り、「契約者」の管理 下にある特定のIPアドレスへのエージェントのアクセスを制限する必要 があります。  誤解のないように、「エージェントのアクセス」とは、ユーザーインターフェイス(UI)を介してサービスデータにアクセスする人間のエージェントに付与されるアクセスを指します。
4. 加入者の医療対応アカウントでZendeskアプリケーション プログラミング インターフェイス(「API」)へのコールが有効な範囲で、加入者は、かかるアクセスおよび/またはインテグレーションを介してサービス データおよびPHIを作成、 アクセス、変更、または削除できるすべての加入者またはサードパーティのエンティティのセキュリティへの影響を理解するすべての責任を負うものとします。当該APIにアクセスするために、Zendeskはここで説明するさまざまな方法を提供し、加入者は使用するAPIモデルに基づいて次のセキュリティのベストプラクティスを実行するものとします
   1. OAuth 2.0アプローチ。  このモデルは最も詳細なセキュリティ機能を提供しますが、エンドユーザーが利用資格を受け入れる必要があります。  可能な限り、サブスクライバは OAuth 2.0 のアプローチと認証方式を使用する必要があります。加入者は、各 OAuth クライアントに、説明的で一意のクライアント名と一意の ID を指定する関数を与える必要があります。各OAuthトークンに付与された権限は、必要なタスクの達成に最低限必要な権限を与える必要があります。
   2. REST APIトークン アプローチ。  このモデルは最も幅広く、APIトークンはAPIモデルのすべての機能を使用できます。その性質上、最も広範なアクセスと機能を提供するため、使用には慎重を期してください。この方法を使用する場合、加入者は、(i) 各サービスに固有のトークンを使用し、トークンにわかりやすい名前を付ける、(ii) 合理的に必要であり、エンドツーエンドで暗号化されている送信方法に従っていない限り、APIトークンを第三者と共有しない、(iii) APIトークンが第三者と共有され、加入者が第三者のデータ侵害に気づいた場合、加入者は関連するトークンを直ちにローテーションする、(iv) 加入者の組織ポリシーに従って、少なくともトークンを頻繁にローテーションする、というべきである 
   3. 「契約者」は、可能な限り、APIへのパスワードアクセスを無効にする必要があります。この方法では、リクエストのたびにユーザーの資格情報が送信されるため、悪意のある第三者によって簡単に傍受されてしまうからです 。
5. 添付ファイルへのアクセスに認証を要求するには、サブスクライバは「ダウンロードに認証が必要」を有効にする必要があります。これを行わないと、制限のない添付ファイルは、その添付ファイルの正しいURLにアクセスできるすべてのユーザーによってアクセスされる可能性があります。この場合、加入者は、当該添付ファイルのデータの内容およびアクセスに関するすべての責任を負うものとします。
6. サブスクライバは、アクセスしたすべてのエージェント、管理者、およびオーナーに対して、システムの非アクティブ状態が最大 15 分間続くようにパスワードでロックされたスクリーンセーバまたは起動画面を体系的に適用する必要があります。
7. 「契約者」は、インスタンス/ブランド/組織全体の更新を閲覧できる閲覧権限を変更したり、ユーザー自身のチケットまたはグループ以外のアクセスを許可するデフォルト設定を変更したりしてはなりません（ただし、「契約者」は、当該ユーザーが後続のすべてのデータにアクセスすることを「契約者」が承認する全責任を負う場合を除きます）。サブスクライバーは、自動化されたワークフローおよびルーティング機能がチケットをエージェントまたはエージェントグループに割り当て、それらのチケットへのアクセスを許可する場合があることを承諾します。サブスクライバーは、エージェントがサブスクライバーの意図する権限および最小権限の要件と一致するアクセスのみが割り当てられ、付与されるように、そのようなワークフローを設定する必要があります。エンドユーザーの組織の権限はユーザープロフィールと組織自体で設定でき、設定が競合する場合は、より強い権限設定が弱い権限設定よりも優先されることに同意します。
8. 加入者は、加入者のZendesk Supportインスタンスで受信される前に、エンドユーザーからのメール送信および関連するサービスデータを保護する責任がZendeskにないことに同意します。これには、チケットのコメントや添付ファイルなど、Zendesk Supportチケットへの返信としてメールで渡されるすべてのPHIが含まれます。
9. 加入者は、Zendesk Supportがさまざまな状況でエンドユーザーに通知を送信することを承諾します。たとえば、加入者のエージェントが電子メールチャネル経由でZendesk Supportチケットに応答した場合、自動化またはトリガによって開始された場合などです。デフォルトでは、通知には、「契約者」エージェント/管理者と「エンドユーザー」間のやりとりや、自動通知に含まれるように構成されたその他の情報（PHIを含む）が含まれることがあります。「契約者」をさらに保護するには、Zendesk Supportインスタンスは、 エージェントが応答したこと、またはZendesk内でのやりとりが更新されたことのみをエンドユーザーに警告し、エンドユーザーがメッセージの内容を見るためにZendesk Supportの認証を要求するように設定する必要があります。
10. 加入者は、Zendeskサービス全体にわたって自己の裁量で利用されるテキストメッセージ機能がSMSおよび/または関連プロトコルによって支えられていることを承諾します。SMSおよび/または関連プロトコルには、暗号化されていないメッセージがサービスとの間で送受信される可能性があります。  したがって、テキストメッセージ機能には次のいずれかが必要です。
    1. 医療対応アカウントで使用されていない*、または
    2. 使用されている場合、加入者は当該機能の使用に関するすべての責任を負います。
11. 加入者は、本サービスの旧バージョンのカスタマー満足度調査（「旧バージョンのCSAT」）機能を使用してユーザーの評価を取得するために、サポートチケットに関連付けられたサービスデータ（PHIを含む場合がある）がメールで送信されることに同意します。この暗号化ステータスはZendeskでは管理されません。したがって、旧バージョンのCSAT機能には次のいずれかが必要です。
    1. 医療対応アカウントで使用されていない*、または
    2. 使用されている場合、加入者は当該機能の使用に関するすべての責任を負います。
12. 加入者は、サービスのカスタマー満足度調査（CSAT）機能をチケットチャネルで使用する場合、暗号化ステータスがZendeskによって管理されていないユーザーの評価を得るために、サポートチケットに関連付けられたサービスデータ（PHIを含む場合がある）がメールで送信されることを了承します。さらに、特定のCSAT URLを持つ人は誰でも、特定のチケットに対して与えられた回答にアクセスできます。したがって、CSAT機能をチケットチャネルに使用する場合、「契約者は
    1. CSAT自動化メール本文に潜在的なPHIを含めず、{{satisfaction.survey_url}}プレースホルダのみを使用するように設定する
    2. 自由形式の質問機能を使用しない

* 誤解のないように、SMSに関するセクション10のPHIに関連するデータの警告は、製品内の2FAの使用（セクション1.aで説明）には適用されません。これは、この機能は単にID確認用の数値を送信するに過ぎないためです。

II. Zendesk GuideとGather：

1. 加入者は、GuideおよびGatherサービスが本質的に公開されている（制限付きの記事を活用したり、非公開型または制限付きのインスタンスを使用していない場合）ことを承諾します。したがって、加入者は、Zendesk GuideまたはGatherサービスのどの記事にも、記事のテキスト、添付ファイル、または記事内の画像を通じてPHIが含まれないようにする必要があります。
2. 契約者は、エンドユーザーがZendesk Guideでコメントを追加できないようにするか、モデレートして、すべてのコメントからPHIを削除する責任を負わなければなりません（後述のセクション3を参照）。
3. Zendesk GuideサービスがGuide ProfessionalまたはEnterpriseの場合、契約者は、可能であれば、Zendesk GuideのGather機能をオフにしてエンドユーザーが新規投稿を作成する機能を無効にする必要があります。または、契約者の意図するユースケースのためにGather機能をオフにして対応できない場合は、Zendesk Guideサービスでコンテンツの審査を有効にし、「すべてのコンテンツをモデレート」に設定する必要があります。 PHIを含む提出書類は承認されません。
4. Gatherサービス内での従業員以外の「コミュニティモデレータ」の加入者による使用は、加入者が、かかるユーザーがデータにアクセスする可能性（該当する場合）（PHIを含む）について責任を負う場合を除き、許可されるべきではありません。
5. 契約者は、エンドユーザーに公開プロフィールを許可する場合、Gatherコミュニティメンバーの「@メンション」が可能であることを承諾します。また、エンドユーザーのユースケースでこの機能がリスクとみなされる場合 は、公開プロフィールを無効 に するか、@メンションを無.効にする必要があります。
    

III. Zendeskメッセージング：

1. 加入者は、(i) ソーシャルメディアメッセージにPHIが存在しないことを確認するか、(ii) メッセージングプラットフォームを統合した独自のBAAを締結するかのいずれかに全責任を負う場合を除き、ソーシャルメディアメッセージングチャネルインテグレーションを有効にしないでください。
2. 加入者は、エンドユーザーがメッセージングの会話にファイルを添付する機能を無効にし、(i) 安全な添付ファイルを有効にするか、(ii) エージェントがメッセージングの会話に ePHI を含むファイルを添付しないようにするかのいずれかについて全責任を負うものとします。これを行わないと、制限のない添付ファイルは、その添付ファイルの正しいURLにアクセスできるすべてのユーザーによってアクセスされる可能性があります。  この場合、加入者は、当該URLおよび/または添付ファイルのデータの内容および/またはデータへのアクセスに関するすべての責任を負うものとします。
3. 契約者は、すべてのエージェントおよびライトエージェントがすべてのエンドユーザーからのすべての受信メッセージを閲覧できるようにするすべての責任を負うものとします。
4. 加入者またはそのエージェントがAPIおよびWebhookのインテグレーション(AIエージェント用に作成されたフローの一部としてなど)にアクセスまたは開発する場合、またはメッセージング体験をカスタマイズする場合、加入者は、すべてのカスタム ワークフローのプライバシーとセキュリティへの影響を理解する全責任を持ち、かかるアクセスおよび/またはインテグレーションを介してサービス データおよびePHIを作成、アクセス、変更、または削除できるすべての加入者またはサードパーティ エンティティ(チャットボット プロバイダーを含む)に対して責任を負うものとします。
5. 「契約者」が、メッセージング会話が現在アクティブな間にエージェントのメッセージング会話への参加許可を削除することを希望する場合、「契約者」は、当該エージェントのZendeskへのアクセスを強制的に終了させるすべての責任を負うものとします。
6. デフォルトでは、エンドユーザーとのWeb Widget会話は継続され、エンドユーザーが同じデバイスからWebチャットに戻ったときに表示されます。契約者は、この機能を無効にするか、エンドユーザーがデバイスを共有しないようにするすべての責任を負うものとします。
7. 加入者がエンドユーザーの認証の実施を希望する場合、加入者は、ベストプラクティスおよび業界標準に従って、安全な方法でこれを実施するすべての責任を負うものとします。
   1. この方法を使用する場合、「契約者」は、(i) 各認証チャネルに固有のJWT署名キーを使用し、トークンにわかりやすい名前を指定する機能を付与すること、(ii) 合理的に要求され、エンドツーエンドで暗号化される送信方法に従っていない限り、JWT署名キーを第三者と共有しないこと、(iii) JWT署名キーが第三者と共有され、第三者によるデータ侵害に契約者が気付かれた場合、「契約者」は関連するJWT署名キーを直ちにローテーションすること、および (iv) 少なくとも「契約者」の組織ポリシーに従って、JWT署名キーを頻繁にローテーションすること、を承諾するものとします。
   2. サブスクライバーは有効期限JWT属性を使用し、その値を15分以内に設定する必要があります。
8. 加入者は、人間のエージェントに渡されずチケットに転送されるエンドユーザーとAIエージェント間のやりとりが引き続きシステムに保存されることを了承し、加入者は義務に従ってそれらのやりとりを削除する責任があります（たとえば、それらのやりとりが保存されたときに加入者に警告し、Sunshine Conversations APIを介して（自動的に）削除をトリガするWebhookを実装するなど）。 
9. サブスクライバーは、チケットに変換されたエンドユーザーとAIエージェント間の会話は現在墨消しできないことを認識しています。チケットを削除することで削除できます。 
10. 契約者は、メッセージングチャネル上のエンドユーザーの添付ファイルが現在、Zendeskでマルウェアのスキャン対象外であることに同意します。加入者は、加入者の資産に対するリスクを軽減するための手順とポリシーを用意する全責任を負うものとします。 
11. 加入者は、「サイドカンバセーション」機能の使用によって、「子チケット」および/または「サイドカンバセーション」メッセージが加入者のサポートインスタンス内で作成されるか、チケット、電子メール、Slack、またはインテグレーション経由で受信者に送信される場合があることを承諾します（エージェントの判断による）。ヘルスケア対応アカウントでこの機能を使用することを選択した場合、加入者は 、 ( i) かかるメッセージにPHIが存在しないことを保証するか、または (ii) メッセージにPHIが存在する可能性がある場合 、 「 サイドカンバセーション」機能を介したメッセージの交換に起因するPHIの不正な取得、アクセス、使用、または開示に関する責任、費用、損害または危害について単独で責任を負います。

IV. Zendesk Sunshine Conversations:

1. サブスクライバーは、(i) サードパーティのチャネルメッセージにPHIが含まれていないこと、または (ii) メッセージングプラットフォームを統合した独自のBAAを締結することのいずれかに全責任を負う場合を除き、サードパーティのチャネルインテグレーションを有効にしないでください。
2. 加入者は、Sunshine Conversations Application Programming Interface（以下「API」）を介してサービスデータおよびPHIを作成、 アクセス、変更、または削除できるすべての加入者またはサードパーティのエンティティのセキュリティへの影響を理解するすべての責任を負うものとします。当該APIにアクセスするために、「契約者」は、使用されるAPIモデルに基づいて、以下のセキュリティのベストプラクティスを実施するものとします。
   1. OAuth 2.0アプローチ。  このモデルは最も詳細なセキュリティ機能を提供しますが、エンドユーザーが利用資格を受け入れる必要があります。  可能な場合は、サブスクライバは OAuth 2.0 のアプローチと認証方式を使用する必要があります。加入者は、各 OAuth クライアントに、説明的で一意のクライアント名と一意の ID を指定する関数を与える必要があります。 
   2. REST APIトークン アプローチ。  このモデルは最も幅広く、APIトークンはAPIモデルのすべての機能を使用できます。  その性質上、最も広範なアクセスと機能を提供するため、使用には慎重を期してください。この方法を使用する場合、「契約者」は、(i) 各サービスに固有のトークンを使用し、トークンにわかりやすい名前を指定する機能を付与すること、(ii) 合理的に必要であり、エンドツーエンドで暗号化された送信方法に従っていない限り、APIトークンを第三者と共有しないこと、(iii) APIトークンが第三者と共有され、第三者によるデータ侵害が加入者に通知された場合、「契約者」は関連するトークンを直ちにローテーションすること、および (iv) 「契約者」の組織ポリシーに従ってトークンを頻繁にローテーションすること。  
   3. 加入者またはそのエージェントがAPIおよびWebhookのインテグレーションにアクセスまたは開発する場合、またはSunshine Conversationsエクスペリエンスをカスタマイズする場合、加入者は、すべてのカスタムワークフローのプライバシーおよびセキュリティへの影響を理解する全責任を負うものとします。また、かかるアクセスおよび/またはインテグレーションを通じてサービスデータおよびPHIを作成、アクセス、変更、または削除できるすべての加入者またはサードパーティ企業(チャットボットプロバイダを含む)に対して責任を負うものとします。
3. Zendesk Support用に設定されたIP制限がSunshine Conversations APIには適用されないことを加入者は了承します。加入者は、2.b.で説明し、加入者のポリシーに従って、Sunshine Conversations APIおよびAPIトークンへのアクセスを制限する全責任を負うものとします。 
4. 加入者は、エンドユーザーがSunshine Conversationsの会話にファイルを添付する機能を無効にする必要があります。また、安全な添付ファイルを有効にするか、エージェントがメッセージングの会話にPHIを含むファイルを添付しないようにするかについて、全責任を負うものとします。これを行わないと、制限のない添付ファイルは、その添付ファイルの正しいURLにアクセスできるすべてのユーザーによってアクセスされる可能性があります。この場合、加入者は、当該添付ファイルの内容およびアクセスに関するすべての責任を負うものとします。
5. 加入者がエンドユーザーの認証の実施を希望する場合、加入者は、セキュリティのベストプラクティスおよび業界標準に従って、堅牢な方法でこれを実施するすべての責任を持つものとします。
   1. この方法を使用する場合、「契約者」は、(i) 各認証チャネルに固有のJWT署名キーを使用し、トークンにわかりやすい名前を指定する機能を付与すること、(ii) 合理的に要求され、エンドツーエンドで暗号化される送信方法に従っていない限り、JWT署名キーを第三者と共有しないこと、(iii) JWT署名キーが第三者と共有され、第三者によるデータ侵害に契約者が気付かれた場合、「契約者」は関連するJWT署名キーを直ちにローテーションすること、および (iv) 少なくとも「契約者」の組織ポリシーに従って、JWT署名キーを頻繁にローテーションすること、を承諾するものとします。
   2. サブスクライバーは有効期限JWT属性を使用し、その値を15分以内に設定する必要があります。
6. エンドユーザーとAIエージェント間のやりとりのうち、人間のエージェントに渡されずにチケットに転送されたものは、引き続きシステムに保存されることを加入者は了承し、加入者は義務に従ってそれらのやりとりを削除する責任があります。たとえば、これらのやりとりが保存されると加入者に警告し、Sunshine Conversations API経由で削除を(自動的に)トリガするWebhookを実装するなどします。 
7. サブスクライバーは、チケットに変換されたエンドユーザーとAIエージェント間の会話は、現在墨消しできないことを認識しています。チケットを削除することで削除できます。 
8. Sunshine Conversations API経由で削除されたメッセージはエンドユーザーに対してのみ削除され、Zendeskエージェントワークスペースでは削除されないことを加入者は了承します。これは、チケット自体を削除するか、墨消し機能を使用することで達成できます（制限事項は7.を参照）。 
9. 加入者は、現在Sunshine Conversationチャネル上のすべての添付ファイルがZendeskのマルウェアスキャン対象外であることを認識しています。加入者は、加入者の従業員に対するリスクを軽減するための手順とポリシーを策定する全責任を負うものとします。 

V. Zendesk Chat:

1. 加入者は、Zendesk Supportサービスに接続し、認証することによって、エージェントのZendesk Chatサービスへのアクセスを制限する必要があります。
2. サブスクライバーは、(a) メール パイピングを無効にする、(b) Classic Web Widgetのメール チャット トランスクリプト オプションを無効にする、(c) Chatダッシュボードからエクスポートをメールで共有しないなどの方法で、チャットの会話ログをメールで送信しないでください。
3. 加入者は、(i) チャットにPHIが存在しないこと、および/または(ii) すべてのエージェントが加入者によって当該データの閲覧を許可されることを保証する全責任を負います。

VI. Zendesk Exploreサービス：

加入者は、PHIがユーザー名、チケットタイトル、フィールドとフォームの選択肢、および自由形式のテキストフィールドに含まれるコンテンツを介してExplore製品に表示される場合があることを承諾します。

1. PHIを含む対象サービスインスタンスについて、加入者は、(i)親サービスインスタンスにPHIが含まれる可能性のあるすべてのチケット/コール/チャットにアクセスできるエージェントにのみExploreインターフェイスへのアクセスを許可し、(ii)各自の環境でのExploreの使用に必要な最小限の権限を考慮して、このようなアクセスを許可する必要があります。Exploreでのアクセスレベルの設定の詳細については、こちらを参照してください。
2. 「エクスポート」機能を利用する場合、(i) 加入者は、PHI が加入者によってエージェントのインターフェイスへのアクセスを許可されたデバイスに転送される可能性があり、そのようなデバイス上のすべての付随的コントロールは加入者の責任であることに同意します。また、(ii) 加入者は、(a) そのようなエクスポートに PHI が含まれていないことを保証する、または (b) そのような転送に使用されるメールサービスが、当時の最新の PCI 標準で許可されている最小の暗号化プロトコルで暗号化に対応できることのいずれかの責任を負わない限り、当該エクスポートされたレポートに対する電子メールによるネイティブエクスポート機能の使用を拒否する必要があります。

* Explore Enterpriseの使用に関する特別な考慮事項：

加入者は、Explore Enterpriseサービスの使用によって、データ共有およびエクスポート機能の強化が必要になる場合があることを承諾します。加入者は次のことを行うものとします。

1. (i)当該ダッシュボードにPHIが存在しないことを確認するか、(ii)当該データの閲覧と受信を承認されたエージェント、グループ、リスト、またはエンドユーザーとのみダッシュボードを共有するかのいずれかです。
2. IP制限の活用
3. Uniform Resource Locator(URL)経由でダッシュボードを共有する場合、加入者は、データを個人またはグループのユーザーアカウントと共有するのではなく、アクセスリンクで共有することを了承します。したがって、加入者は、(i)パスワード保護を有効にし、(ii)選択したパスワードの複雑さ、ローテーション、保管、受信者への配布が、当該ダッシュボードに含まれるデータ保護に関する加入者のパスワードポリシーに準拠していることを確認し、(iii)漏洩の疑いまたは確認があった場合に、遅滞なくローテーションされるようにしてください。

VII. 展開中の関連サービス（「アドオン」）の製品内機能に関するお知らせ：

1. コラボレーション展開関連サービス：「サイドカンバセーション」加入者は、「サイドカンバセーション」機能の使用によって、「子チケット」および/または「サイドカンバセーション」メッセージが加入者のサポートインスタンス内で作成され、チケット、電子メール、Slack、またはインテグレーション経由で受信者に送信される場合があることを了承します（エージェントの判断で設定）。ヘルスケア対応アカウントでこの機能を使用することを選択した場合、加入者は 、 ( i) かかるメッセージにPHIが存在しないことを保証するか、または (ii) メッセージにPHIが存在する可能性がある場合 、 「 サイドカンバセーション」機能を介したメッセージの交換に起因するPHIの不正な取得、アクセス、使用、または開示に関する責任、費用、損害または危害について単独で責任を負います。

VIII. Zendeskモバイルアプリケーション（またはスマートフォンやタブレットなどのモバイルデバイスによるアクセス）：

1. 使用量にはデバイスレベルの暗号化を含める
2. 生体認証またはPINアクセスを、許可された最高のデバイス設定に設定する必要があります
3. そのようなデバイスのロック画面にチケットコメントが表示されるようにする通知は無効にしてください
4. 画面の非アクティブ時のロックを有効にし、非アクティブ状態が15分を超えないように設定する必要があります。
5. サブスクライバは、墨消し機能がサポートモバイルアプリケーションで利用できないことを了承し、エージェントが墨消し機能を使用する場合はブラウザ経由でログインする必要があります。 
6. 「契約者」がZendeskメッセージングでエンドユーザーの認証を選択した場合、「契約者」は、エンドユーザーの認証ステータスがSupportモバイルアプリケーションに表示されないことを了承します。

IX.Zendeskインサイト:このサービスのSupportは、2021年2月5日をもって提供を終了いたしました。   

X。Zendesk AI機能に関する通知（「Zendesk AI」、「高度なAI」、「生成AI」など）：

1. 加入者は、Zendesk AI機能がZendeskサービスの生産性の向上を目的とするものであり、(i) 医療または健康に関するアドバイスの提供、(ii) 状態または症状の診断の提供、(iii) 治療の処方、または(iv) ユーザーが医療従事者のアドバイス、診断、または治療を求めることを妨げる、(v) またはその他の方法でユーザーに情報を提供するか、医療サービスの検索または受信に影響を与える可能性のある医療計画、治療プログラム、テスト サービス、またはその他の医療サービスに情報を入力または評価するための意思決定を行う、と解釈されるような方法で使用すべきでないことに同意します(加入者は、独自のユースケースおよびユーザーとのやりとり、およびAIを使用したそのような方法による潜在的な影響に基づいて、この決定に全責任を負う場合を除きます)。
2. 加入者は、生成AI機能を使用している場合、これらの生成AI出力は人間が生成したものではなく、コンピューターが生成したものであり、不正確な出力を生成する場合があることを了承します。Zendeskはこれらの出力の正確性を保証しません。
3. 加入者は、AI エージェント会話ボット メッセージを使用して加入者のエンド ユーザに必要な免責事項メッセージが提供される場合、メッセージの内容の整合性を確保するために「バリエーションを生成する」機能がアクティブにされないことを了承します。 
4. 管理センターで Enhanced Writing 機能を有効にすると、ロールや権限に関係なく、インスタンス内のすべてのエージェントでこの機能が有効になることに同意します。 

XI。Zendesk QA

1. 加入者は、Zendesk QA AI機能がZendeskサービスの生産性の向上を目的とするものであり、(i) 医療または健康に関するアドバイスの提供、(ii) 状態または症状の診断の提供、(iii) 治療の処方、または(iv) ユーザーが医療従事者のアドバイス、診断、または治療を求めることを妨げる、(v) またはその他の方法で、医療計画、治療プログラム、テストサービス、または医療サービスの検索または受信に影響を与える可能性のあるその他の医療サービスに情報を提供またはそれらから除外する決定をするような方法で使用すべきでないことに同意します（加入者は、独自のユースケースおよびユーザーとのやりとり、およびそのような方法でAIを使用することの潜在的な影響に基づいて、この決定に全責任を負う場合を除きます）。
2. サブスクライバーは、Zendeskインスタンスでの削除または墨消しがZendesk QAとすぐに同期されるのではなく、次の3~6時間に持ち越されることを承諾します。
3. アンケート機能を使用する場合、加入者は(i)Zendesk QA AIアシスト機能を無効にする必要があります(またはQA作業を実行するすべてのエージェントがクリアされ、そのようなトランザクション内の潜在的なデータが表示されるようにし、ポイント1の原則が満たされていることを確認してください)。(ii)アンケートの質問や説明にPHIが記載されないようにアンケートを構成してください(または、日和見的なStartTLS経由で送信されるメールにこのようなデータが含まれることを引き受けてください)。
4. 「Zendesk Chat」カスタムインテグレーションを使用する場合、「契約者」は、「契約者」のポリシーに従ってデータ保持期間を設定し、データが無制限に保持されないようにすることを検討する必要があります。
5. Sunshine Conversations APIを使用してZendeskメッセージングの会話の一部を削除する場合、この変更はZendesk QAに反映されないことを加入者は了承します。代わりに、墨消しによって元のチケットから情報を削除するか、会話全体を削除する必要があります。
6. 加入者は、現時点ではZendesk QAがZendeskの「プライベート添付ファイル」機能をSupportしていないことを承諾します。つまり、添付ファイルは、当該添付ファイルの正しいURLにアクセスできる人であれば誰でもアクセスでき、PHIなどの機密データと一緒に使用すべきではありません。加入者は、当該URLおよび/または添付ファイルデータの内容および/またはアクセスに関するすべての責任を負うものとします。
7. 加入者は、Zendesk QAの最初のプロビジョニング時に、最初の同期後にのみ高度な接続設定が可能になることを了承します。

XII。Zendeskワークフォースマネジメント「WFM」：

1. 契約者は、次のことを認識します。
   1. デフォルトの WFM 管理者ロールは、WFM サービスに適用されるすべてのエージェントのアクティビティと設定（後述のポイント 2 で説明するタグを含む）にアクセスできます。
   2. デフォルトのエージェントロールは、ここで説明するようにカスタムロールの作成によって異なるアクセス権限を持つように管理者によって設定されていない限り、エージェントのアクティビティにアクセスできます。
2. 加入者は、エージェント、管理者、またはサポートのチケット内の事前定義のシステムロジックによって適用されたタグが、WFM製品内で、そのようなチケットアクティビティを閲覧できるすべてのユーザーに表示されることに同意します。サブスクライバーがタグを機密性の高いものと見なす場合は、アクセスを適切に設定する必要があります。

免責事項：法律または規制の変更、またはZendeskサービスの変更により、本書のセキュリティ構成は随時変更される可能性があります。このドキュメントには、現時点で上記で説明したZendesk製品内でPHIを保護するために最低限有効なセキュリティ構成に関するZendeskの推奨事項が記載されています。この文書は、そのようなデータに対するすべての統制のための完全なテンプレートを構成するものではなく、法的アドバイスを構成するものでもありません。各Zendeskサブスクライバーは、HIPAAまたはHITACHIの遵守要件に関して独自の弁護士に相談する必要があります。また、各サブスクライバーの独自の分析に従って、セキュリティ設定に追加の変更を行う必要があります。ただし、かかる変更が本書で概説している設定に反したり、セキュリティを低下させたりしない限りにおいて行う必要があります。

 

---

変更ログ：

2025年11月10日

• カスタマー契約の名前を「メインサービス契約」から「Zendeskカスタマー契約」に更新

2025年1月24日

• HIPAAおよびHITACHIの統合構成

2024年12月27日

• Zendeskワークフォースマネジメント(WFM)を対象範囲に組み込むためにセクションXIIを追加

2024年12月16日

• セクションXIを追加してZendesk QAを対象範囲に追加
• 「Answer Bot」の各種インスタンスを「AIエージェント」に変更し、命名規則の変更と適用範囲の拡大を示す。

2024年10月10日

• セクションI、サポート、番号12（CSAT）を追加し、セクションI、サポート、番号11（旧バージョンのCSAT）を新機能に対応できるように編集しました。 

2024年3月7日

• セクションX「Zendesk AI機能に関するお知らせ」を追加
• セクションI、サポート、7（閲覧権限）：
  • 「閲覧権限」が「組織」だけでなく、「インスタンス/ブランド/組織」全体に適用されることを明確化。
  • エンドユーザー固有の組織行動に関する新しい規定を追加。 
• セクションI、サポート、番号9（メール）：  
  • Zendesk Supportがエンドユーザーにメールを送信する状況を拡張し、エージェントがチケットに応答するだけでなく、メールチャネルや自動化またはトリガによって開始された応答も含むようにしました。
  • デフォルトで、自動通知に最新のチケット対応やその他の設定情報（PHIを含む可能性がある）が含まれることを指定します。
     

2023年10月25日

• はじめに：HIPAA対応アカウントの導入言語の明確化
• セクションII、GuideおよびGather、No.1（ヘルプセンターの制限）：IP制限を、説明用の制限付きの記事に置き換え

2023年4月13日

• セクションI、サポート、4（API）： 
  • わかりやすいように認証方法へのリンクを追加 
  • b) 業界のベストプラクティスに沿ったローテーションの正確な推奨期間を削除し、REST API利用規約（冗長性）への言及を削除
  • c) APIの基本認証の使用に関する警告を追加 
• セクションII、Guide：
  • 1（ヘルプセンターの制限）： 製品の機能に合わせて、非公開型または制限付きのヘルプセンターへの参照を追加
  • 番号5（@メンション）：製品機能に合わせて@メンションを無効にするオプションを追加 
• セクションIII「メッセージング： 
  • 1と2（サードパーティチャネルとプライベート添付ファイル）：わかりやすくするために、セクション識別子（i）と（ii）を追加しました
  • 番号2（プライベート添付ファイル）：説明のために「URLおよび/または」を追加 
  • 7-10（エンドユーザー認証、Answerbotの会話の削除、墨消し、マルウェアスキャン）：透明性のために完全なセクションを追加
• セクションIV「Sunshine Conversations」：Zendesk SuiteのSunshine ConversationsがBAAに組み込まれたため、セクション全体が追加されました。 
• セクションV、Chat、3（エージェントワークスペース）：小さな言い回しの修正
• セクションVIII、モバイルアプリケーション、番号5-7（マルウェアスキャン、墨消し、エンドユーザー認証）：透明性のためにセクション全体を追加

2023年2月24日

• セクションI. サポート3: UIの統一に伴い、サポートとChatのIP制限の個別の区別を削除。
• セクションI. サポート、番号5: 要件を満たさない場合の説明を追加 
• セクションI. サポート、番号7:「Subscriber must not」が「Subscriber should not」に変更されました。
• セクションIVChat 2： 会話ログとパイピングだけでなく、メールを使用したChatからのデータのエクスポート機能をすべて禁止することを明確にしています。 
• セクションIII.メッセージング：Zendeskの事業提携契約の範囲に加え、Zendeskのメッセージング機能を考慮して追加されるセクション全体。

2021年7月9日

• エージェントワークスペースの使用に関する責任について、「チャット」セクションにポイント3を追加します。

2021年1月21日

• 番号1.11を追加すると、「契約者」がアンケートの一環としてメールで送信されたデータに責任を負わない限り、CSATは許可されません。 
• 1.7の注意事項は、ユーザーが既にこれらのデータにアクセスする承認を受けているために閲覧権限を変更している契約者に許可を与えるためです。
• インラインURLではなく、テキスト内に埋め込まれたリンクの会社のスタイルに合わせてドキュメント全体を更新（設定内容に影響なし）。 

2020年8月

• Explore Enterpriseの追加により、ダッシュボードの共有機能を強化
• Chatの添付ファイルの禁止を解除（サポート認証要件がカバーされるようになりました）
• カスタムフィールドでのePHIの禁止は、インサイトの使用にのみ適用され、グローバルに適用されるものではないというあいまいさ
• 「サイドカンバセーション」を最初の追加項目として、展開済みサービスにアドオンを追加する新しいセクションを追加
• さまざまな文法/書式の編集（コンテンツには影響しない）

2020年7月13日:

• 製品内2FAでのSMSのネイティブ使用に対する、サービス経由のSMSの使用に関する曖昧さ回避。 * 疑義を避けるために、SMSに関する第10項のePHIに関連するデータ警告は、製品内2FAの使用には適用されません（第1.a項に記載）。この機能は、本人確認用の数値を送信するだけです。」

2019年12月13日 

• では、エージェントのアクセスにMFAが適用されている限り、ユースケースでそのような制限が許可されない場合に、エージェントのIP制限を回避できます。

2019年12月17日 

• では、エージェントがそのようなコメントをモデレートし、すべてのPHIを削除する限り、Guideでエンドユーザーのコメントを許可します。

2019年11月6日

• 記事が更新され、当該の決定に責任を持つ限り、契約者が単独の裁量で特定の設定を見送ったり置き換えたりできる変更が反映されています。

「加入者が以下に列挙する特定の構成、または以下に列挙する一連の必須構成を実装および遵守しなかった場合、

加入者自身のリスクおよび 加入者の単独の裁量によるものとし、かかる障害は、加入者によるこのような障害に起因する加入者のサービスデータ（保護された電子医療情報を含む）への不正アクセス、不適切な使用、開示に関して、Zendeskおよびその従業員、エージェント、関連会社が一切の責任を負わないものとする。"

• その他の変更点：
  • 加入者が当該送信にPHIが存在しないことを保証するすべての責任を負う限り、SMSを使用する機能。
  • 2.サブスクライバーがこのような添付ファイルにPHIが存在しないことを確認するすべての責任を負う限り、Chatで添付ファイルを使用する機能。

2019年3月6日 

• Zendesk Exploreの設定を含めるように更新

2019年1月17日

•  が更新され、Chatで添付ファイルが使用できなくなりました。