Zendeskは、本ポリシーを更新しました。お客様が新規のサブスクリプション契約者である場合、本ポリシーの発効日は2023年3月21日となります。お客様が既存のサブスクリプション契約者である場合、これらの変更が2023年4月20日に発効予定であることを、お客様に事前に通知いたします。本ポリシーの旧版については、以下のセクションを展開してご確認ください。
Zendesk, Inc.(以下「Zendesk」)は、マスターサブスクリプション契約(「MSA」)に規定されるZendeskサービスの提供を支援するために、特定の副処理者(Zendeskグループのメンバーおよび以下に挙げる第三者を含む)ならびにコンテンツ配信ネットワークを利用しています。本ポリシー内で使用される用語の定義は、MSAでの定義と同じものとします。
副処理者とは
副処理者とは、Zendeskの使用するサードパーティのデータ処理業者(Zendeskグループの事業体も含む)のことで、Zendeskからサービスデータ(個人データを含む場合がある)を受け取り、Zendeskのサブスクリプション契約者に代わって、サブスクリプション契約者の指示(Zendeskからの連絡)および書面による委託契約の条件にしたがって処理を行う者のことです。Zendeskは、以下の表で説明するように、さまざまな機能を実行するためにさまざまなタイプの副処理者を使用しています。
デューデリジェンス
Zendeskは、提案された副処理者のセキュリティ、プライバシー、および機密保持の慣行を評価する際に、商業的に合理的な選択プロセスを使用することを約束します。
契約上の保護措置
Zendeskは通常、副処理者に対して、Zendeskのデータ処理契約(「DPA」)に規定されている(データ処理者としての)Zendeskに要求される義務と同等の義務を果たすことを要求します。これには以下の要件が含まれますが、これらに限定されません。
- データ管理者の(すなわちサブスクリプション契約者の)文書化された指示(関連する副処理者に対しZendeskが書面で伝達するもの)にしたがって、個人データを処理すること。
- 副処理のアクティビティに関連して、信頼でき、かつ契約上の拘束力のある義務を負ったスタッフのみを採用し、該当する範囲内において、適用されるデータ保護法にしたがって、データのプライバシーおよびセキュリティを順守すること。
- 個人データへのアクセス権を与えられるスタッフに対して、セキュリティおよびデータ保護に関する定期的なトレーニングを提供すること。
- 適切な技術的および組織的措置(副処理者がZendeskに代わって個人データを処理することと同等に関連する限りにおいて、Zendeskが契約上の順守を約束している措置と一致する措置を含む)を実施および維持し、この義務の順守を証明する年次証明を提供すること。そのような証明がない場合、Zendeskは副処理者を監査する権利を有することとする。
- セキュリティ侵害の事実またはその可能性がある場合、速やかにZendeskに報告すること。
- データ管理者、データ主体、データ保護当局からの要請に対応するために、必要に応じてZendeskと協力すること。
イノベーションサービスにおいてお客様のサービスデータに対する偶発的アクセスを有し、サービスデータの中核的なホスティング以外にある製品の特定の機能またはコンポーネントを提供するために使用される副処理者(「イノベーションサービス固有の副処理者」)については、Zendeskが定期的な見直しを行い、本セクションに説明される各基準の実施に取り組んでいることの確認を行います。ただし、イノベーションサービス固有の副処理者は、現在、上記の基準のすべてを満たしていない可能性があります。
本ポリシーは、サブスクリプション契約者に追加の権利や救済手段を与えるものではなく、拘束力のある契約として解釈されるべきものではありません。ここに記載されている情報は、副処理者に関するZendeskの契約プロセスを説明すること、および、本ポリシーの策定時点でZendeskが使用しているサードパーティの副処理者およびコンテンツ配信ネットワークの実際のリストを提供することのみを目的として提供されています(Zendeskはサービスの提供およびサポートにおいてこの情報を利用する場合があります)。
Zendeskのサブスクリプション契約者で、ZendeskのDPAの締結を希望されるお客様は、Zendeskのトラストセンター(https://www.zendesk.com/trust-center/)をご覧ください。
新規の副処理者との契約プロセス:
Zendeskは、Zendeskの標準的なDPAを締結しているすべてのサブスクリプション契約者に対し、Zendeskのサービスを提供するために利用されている、または利用することをZendeskが提案する副処理者のリストの更新について、本ポリシーを通じて通知します。Zendeskは、サブスクリプション契約者に対してZendeskサービスに関連する副処理の範囲についての最新情報を常に提供できるようにするため、このリストを定期的に更新します。Zendeskのサブスクリプション契約者は、本ポリシーの上部にある「フォローする」をクリックすることで、本ポリシーの受信登録を設定し更新通知を受け取ることができます。
サブスクリプション契約者は、DPAにしたがって、本ポリシーの更新後30日以内に、新たに指定された副処理者による個人データの処理に対して書面で異議を申し立てることができます。当該の異議には、サブスクリプション契約者が異議を申し立てる正当な理由を明記するものとします。当該期間中にサブスクリプション契約者が異議を申し立てない場合、新たな副処理者は承認されたものとみなします。
サブスクリプション契約者が、DPAに規定されたプロセスにしたがって、新たに指定された副処理者の使用に異議を唱えた場合、Zendeskは、以下のいずれかの方法(Zendeskの独自の裁量により選択)によって、異議を解決する権利を有するものとします。
(a)副処理者にサブスクリプション契約者の個人データの処理を停止するように指示すること。この場合、DPAは影響を受けずに継続するものとする。または、(b)サブスクリプション契約者に対し、Zendeskとの間で締結したDPAおよび関連するサービス契約を直ちに終了することを許可し、提供予定のサービスに対して前払いされた支払いで、サブスクリプション契約者が契約終了日時点でまだ受け取っていないサービス分の金額を返金すること。
以下は、Zendeskの副処理者の名前、企業形態、所在地、およびコンテンツ配信ネットワークの最新の(本ポリシーの更新日時点の)リストです(Zendeskグループのメンバーおよびサードパーティを含む)。
インフラストラクチャの副処理者 – サービスデータの保管および処理
Zendeskは、本ポリシーに規定されている場合を除き、当サービスに対して送信されたサービスデータのホストおよび処理のためにZendeskが使用するインフラストラクチャに対するアクセス権を所有または管理します。現在、当サービスのサービスデータのホスティングに使用されているZendeskの本番システムは、以下リストにあるインフラストラクチャの副処理者に置かれています。サブスクリプション契約者のアカウントは通常、サブスクリプション契約者の所在地に基づいて下記のいずれかの地域に設定されますが、当サービスのパフォーマンスおよび可用性の確保を目的として、地域間で場所を変更する場合があります。次の表は、サービスデータの保管においてZendeskが契約している法人組織を記載したものです。またZendeskは、当サービス提供のための必要に応じて、この副処理者が提供する追加サービスを使用してサービスデータを処理します。
法人名 | 企業形態 | データホスティングの場所 |
アマゾンウェブサービス | クラウドサービスプロバイダー | 米国、アイルランド、ドイツ、日本、オーストラリア |
サービス固有の副処理者
Zendeskは、当サービス内の特定の機能を提供するため、特定のサードパーティと協力しています。これらのプロバイダーは、以下に説明する副処理者です。副処理者は、関連する機能の提供のためにサービスデータにアクセスし、その処理を行います。副処理者の使用は、指定されたサービスに限定されます。サブスクリプション契約者がZendesk SuiteまたはSales Suiteを購入した場合、各Suiteに使用される副処理者は、本ポリシーに詳述されているZendesk SuiteまたはSales Suiteを構成する基本サービスの副処理者に準ずるものとします。以下に含まれる適用サービスへの言及において使用される用語の定義については、サービス固有の補足規定(https://support.zendesk.com/hc/en-us/articles/4408831944730)を参照してください。参考までに、その定義は以下のとおりです。
- チケット管理システム機能:Zendesk Suite内で利用できるZendesk Support、ヘルプデスク機能、メールサポート機能、およびエージェントワークスペース機能。
- 音声通話機能:Zendesk Suite内で利用できるZendesk Talkおよびコールセンターソフトウェア。
-
分析機能:Zendesk Suite内で利用できるZendesk Exploreおよびレポートと分析の機能。
法人名 | 目的および処理されるデータ | 適用サービス | データホスティングの場所 |
Twilio, Inc. | Zendesk Talkのクラウドセンターソフトウェアは、Twilio, Inc.(以下「Twilio」)の開発プラットフォーム上に構築されています。Twilioの開発プラットフォームは、Zendesk Talkが電気通信インフラストラクチャにアクセスするためのAPIを提供します。これには、電話番号、音声通話記録、Webクライアント、通話の録音と会話ログが含まれます。Twilioは、サブスクリプション契約者とエンドユーザーの間でのTalkやTextのメッセージ配信の必要に応じてサブスクリプション契約者およびエンドユーザーの情報にアクセスすることができます。この情報には、メッセージに含まれるサービスデータ、メッセージの送信および配信に必要なサブスクリプション契約者のエージェントおよびエンドユーザーの個人データが含まれます。また、Zendesk Supportでは、エージェントおよび管理者の2要素認証にもTwilioを使用していますが、この目的においてTwilioがアクセス可能な情報は、エージェント/管理者の電話番号に限られます。 | 音声通話機能、チケット管理システム機能、Zendesk Sell | 米国 |
GoodData Corporation | GoodData Corporation(以下「GoodData」)は、Zendeskが旧バージョンの分析機能であるインサイトのレポートで使用している分析プロバイダーです。Zendeskはインサイトからの移行を進めており、このプロセスが完了したら、GoodDataは副処理者から削除されます。インサイトが使用される場合、GoodDataは、当該のサブスクリプション契約者が使用する全サービスのサービスデータを処理する可能性があります。 | インサイト | 米国 |
SendGrid, Inc. | SendGrid, Inc.(以下SendGrid)は、エージェントおよびエンドユーザーに通知メールおよびダッシュボードを送信するためにに使用されるメールキャンペーンサービスのプロバイダーです。SendGridがアクセスできる主な情報は、メール受信者のメールアドレスおよびメール自体の内容です。このメールの内容には、サブスクリプション契約者がメールキャンペーンに含めることを選択したダッシュボード、チャット分析レポート、メール経由でエクスポートされたチャットの会話ログが含まれる場合があります。 | 分析機能、Zendesk Sell、オンラインチャット機能 | 米国 |
CloudFlare, Inc. |
CloudFlare, Inc.(以下「CloudFlare」)は、当サービスとの間で送受信されるWebトラフィックに関して、コンテンツ配信、セキュリティ、不正使用防止、およびDNSのサービスを提供します。これにより、Zendeskはトラフィックの効率的な管理とサービスの保護を実行することができます。 CloudFlareがアクセスできる主な情報は、エンドユーザーまたはエージェントが関わるZendeskのWebサイトのURL内の情報および同URLに関連する情報です(エンドユーザーまたはエージェントのIPアドレスを含む)。当サービスとの間で送受信されるWebトラフィックに含まれるすべての情報(サービスデータを含む)は、CloudFlareのシステムを通じて送信されます。また、CloudFlareは、ログ記録と悪用防止の目的において、限られた量の個人データ(特に、エージェントおよびエンドユーザーのIPアドレス、ブラウザおよびオペレーティングシステムに関連する情報)を処理します。 |
すべて | 米国 |
Pendo.io, Inc. |
Pendo.io, Inc.(以下「Pendo」)は、ユーザーによる当サービスの利用状況を把握するためにZendeskが利用するサードパーティの分析プロバイダーです。Zendeskは、この情報を使用してサービスの分析および改善を行います。 Pendoがアクセスできる主な情報は、エージェントおよびエンドユーザーが関わるZendeskのWebサイトのURL内の情報および同URLに関連する情報です。たとえば、ページ滞在時間、クリックされた項目(それらの項目に含まれるサービスデータを含む)、エージェントのメールアドレス、エンドユーザーのメールアドレスなどです。 |
すべて | 米国 |
Datadog, Inc. | Datadog, Inc.(以下「Datadog」)は、Zendeskがサービスアプリケーションおよびインフラストラクチャのログ(以下「ログ」)の取り込み、解析、クエリ、および分析の実行のために使用するサードパーティのログ記録プラットフォームです。これらのログは、デバッグ、トラブルシューティング、監査、レポート、およびアプリケーションの予期せぬ動作の検出と警告のために使用されます。ログの処理の目的に付随して、サービスデータおよび個人データがDatadogによって処理される場合があります。ログに含まれる可能性のあるデータの例:タイムスタンプ、トークンID、メールアドレス、ユーザーエージェント、ユーザー名、アカウントのID、ユーザーID、名前、IPアドレス、アプリケーションのパスおよびパラメータ、セッションのID、プロビジョニングされたインフラストラクチャ、チケットおよびヘルプセンターのデータ、エージェントのデータ、およびその他のタイプのサービスデータ。 | すべて | 米国、ドイツ |
MongoDB, Inc. | MongoDB, Inc.(以下「MongoDB」)は、メッセージングインテグレーションに関連する厳選されたサービスデータをホストするために使用されるスケーラブルなデータベースサービスを提供します。MongoDBがアクセスできる主なデータは、Sunshine Conversationsやその他のメッセージングインテグレーションを通じて交換されたメッセージ、メッセージングチャネルによって提供されたプロフィールのメタデータ、SDKインテグレーター/APIによって提供されたメタデータ、メッセージングチャネルのIDおよび資格情報、プッシュ通知証明書およびAPIキー、Webhookの情報などです。 | Sunshine Conversations、Zendeskメッセージング、WhatsAppインテグレーション、ソーシャルメッセージングアドオン | 米国、アイルランド、ドイツ、日本、オーストラリア |
Functional Software, Inc. | Functional Software, Inc.(以下、「Sentry」)は、エラーレポートに焦点を当てたクロスプラットフォームのエラー監視ツールです。Zendeskは、当サービス内でスローされるエラーをキャッチして問題の把握および解決をリアルタイムで行うためにSentryを使用しています。エラー監視の目的に付随して、サービスデータおよび個人データがSentryによって処理される場合があります。ログに含まれる可能性のあるデータの例:タイムスタンプ、トークンID、メールアドレス、ユーザーエージェント、ユーザー名、アカウントのID、ユーザーID、名前、IPアドレス、アプリケーションのパスおよびパラメータ、セッションのID、プロビジョニングされたインフラストラクチャ、チケットおよびヘルプセンターのデータ、エージェントのデータ、およびその他のタイプのサービスデータ。 | すべて |
米国、ドイツ |
Google LLC |
Google LLC(以下「Google」)は、エージェントがエージェントワークスペース内で利用できる翻訳機能をサポートしています。エージェントが翻訳機能を使用する場合、Googleはエージェントワークスペース内で翻訳されたすべてのサービスデータを処理します。 |
エージェントワークスペース内の翻訳機能、オンラインチャット機能 | サービスデータのホスティングは行われない |
NetApp, Inc. |
NetApp, Inc.(以下「NetApp」)は、当サービス内のエクスポートにおいてサブスクリプション契約者のチケットのキャッシュに使用されるサービスを提供します。NetAppは、サブスクリプション契約者のチケットおよび関連するすべてのメタデータに含まれるサービスデータ(個人データを含む)を処理します。これには、エージェントのデータ、アカウントのID、ユーザーのID、メールアドレス、IPアドレスが含まれますが、これらに限定されません。 |
チケット管理機能 | 米国、ドイツ、日本、オーストラリア |
イノベーションサービス固有の副処理者
法人名 | 目的 | 適用サービス | 法人の所在国 |
APIHub, Inc. | APIHub, Inc.(以下「Clearbit」)は、Zendesk Sellで利用可能なReachの機能内でZendeskが使用するサードパーティのマーケティングデータエンジンです。Reachはオプションであり、サブスクリプション契約者による有効化が必要となります。Clearbitが処理する主なサービスデータは、リードの名前、リードのメールアドレス、リードの会社名、リードの会社Webサイト、取引先の名前、取引先のメールアドレス、取引先の会社名、取引先の会社住所などです。 | Zendesk Sell | 米国 |
Zendeskグループの副処理者
次の法人組織は、Zendeskグループのメンバーです。したがって、これらの法人組織は、当サービス提供のための副処理者として機能する場合があります。
法人名 | 国 |
Zendesk, Inc. FutureSimple Inc. ZD Sub Holdings Smooch Technologies US Inc. |
米国 |
Zendesk International Limited | アイルランド |
Zendesk ApS | デンマーク |
Zendesk GmbH | ドイツ |
Zendesk Pty., Ltd | オーストラリア |
Zendesk UK Limited | 英国 |
Zendesk Incorporated | フィリピン |
Zendesk Singapore Pte.Ltd. | シンガポール |
Zendesk Brasil Software Corporativo LTDA | ブラジル |
株式会社Zendesk | 日本 |
We Are Cloud SAS | フランス |
Base sp. z o. o.(Base spółka z ograniczoną odpowiedzialnością) | ポーランド |
Smooch Technologies ULC | カナダ |
Zendesk Technologies Private Limited |
インド |
Zendesk Korea LLC |
大韓民国 |
Cleverly, Unipessoal, LDA |
ポルトガル |
Zendesk Technologies Spain S.L. |
スペイン |
Zendesk, S. de R.L. de C.V. |
メキシコ |
Goldcup 30290 AB |
スウェーデン |
コンテンツ配信ネットワーク
前述のとおり、Zendeskのサービスは、セキュリティ上の目的で、またコンテンツ配信の最適化のために、コンテンツ配信ネットワーク(以下「CDN」)を使用して当サービスを提供する場合があります。CDNはサービスデータに対するアクセス権を持ちませんが、コンテンツにアクセスする個人の地理的位置およびコンテンツプロバイダーの基点をベースにコンテンツを配信する分散型サービスとして一般的に使用されるシステムです。Webサイトの訪問者に提供されるWebサイトのコンテンツおよびドメイン名の情報は、送信を迅速にするためにCDNを使用して保存される場合があり、CDNを通過して送信される情報は、CDNの機能を有効にするためにCDNがアクセスする場合があります。以下は、Zendeskのサービスによって使用されているCDNです。
CDNプロバイダー | CDNを使用するサービス | CDNの場所 | CDNサービスに関する説明 |
アマゾンウェブサービス | すべてのZendeskサービス | 全世界 | Webサイト訪問者に提供されるパブリックWebサイトのコンテンツは、送信を迅速化するために、アマゾンウェブサービスを使って保存され、アマゾンウェブサービス.からWebサイト訪問者に送信される場合があります。 |