別紙1

OpenMethods

利用規約

 

本利用規約（以下、「本契約」）は拘束力を持つ契約であり、サービスへの加入に関連して、お客様（本契約が添付されているZendesk SOWで特定された「加入者」）、エージェント、およびエンドユーザーによるサービスの利用およびサービスへのアクセスを規定します。

 

本契約に添付されているZendesk SOWに署名した時点で、お客様は、サービスへのアクセスまたは使用の日（「発効日」）をもって本契約に拘束されることに同意するものとします。会社、組織またはその他の法人（以下「法人」という）を代表して本契約を締結される場合、お客様は当該法人に代わって本規約に同意し、お客様がかかる法人およびその関連会社を本規約に従わせる権限を有することをOpenMethodsに示すものとみなされます。この場合、本規約中の「加入者」、「お客様」、「お客様の」または関連する太字の用語は、かかる法人およびその子会社を指します。お客様がそのような権限を持たない場合、または本契約に同意しない場合、お客様はサービスを使用または承認してはなりません。  本契約の便宜上、加入者およびOpenMethodはそれぞれ「当事者」と称し、総称して「当事者」と呼ぶものとします。

 

本契約の条件とZendesk SOWの条件との間に矛盾がある場合、Zendesk SOWの条件が優先されるものとします。

 

OpenMethods とお客様は、次のように同意します。

 

サービス

 

1.  サービスの使用。 OpenMethodsはお客様にサービスにアクセスする権利を付与します。

1.1.      サブスクリプション。OpenMethodsがZendesk SOWを承諾し、本契約の条項を条件として、OpenMethodsはお客様に、お客様の事業運営のためにのみサービスを利用する非独占的で譲渡不可、使用料無料の世界的限定サブスクリプションを付与します。  OpenMethodsは、クラウドベースのSaaS（Software as a Service）環境または認定サードパーティパートナー（以下「パートナー」）のクラウドベースのSaaS環境から、Webを通じて本サービスを提供します。

1.2.      本契約は、サービスに関する1つまたは複数のZendesk SOWを策定するものです。各Zendesk SOWには、注文されたサービスおよび関連する料金について、より詳細に記載されます。

1.3.      サブスクリプションは、更新されない限り、Zendesk SOWに定められた該当する注文期間（以下に定義）の終了時に終了します。

1.4.      カスタマーの従業員、エージェント、請負業者（それぞれ「認定エンドユーザー」）およびカスタマーのエンドユーザー（それぞれ「エンドユーザー」）は、本サービスを利用することができます。  各認定エンドユーザーは、それぞれ固有のユーザー名とパスワードで登録する必要があります。2人の認定エンドユーザーは、同一の登録済み認定エンドユーザーとして登録したり、サービスを利用したり、同じユーザー名とパスワードを共有したりすることはできません。お客様は、各認定エンドユーザーおよびエンドユーザーが本契約を遵守する責任があります。

1.5.      お客様は、関連会社によるサービスの使用を注文することができ、そのような場合、OpenMethodsに対して本契約を執行する権利を有するのはお客様のみであり、本契約に基づいてお客様に付与されるサブスクリプションが当該関連会社に適用されます。  お客様は、本契約に基づくすべての義務、関連会社が本契約および適用されるZendesk SOWを遵守する責任を負うものとします。

1.6.      OpenMethodsは、本契約で明示的に付与されていないすべての権利を留保します。  権利放棄または禁反言によって権利が付与または黙示されることはありません。

1.7.      サービス サポート義務。

Support：OpenMethodsは、該当するサイトおよびドキュメントに詳述されている通り、追加料金なしで加入者にサービスの標準カスタマーSupportを提供します。Subscriber が購入した場合、OpenMethods はサービスレベルアグリーメントを含むアップグレードされた Support または Support を提供します。

1.8.  OpenMethodsは、注文期間中、サービスが任意の暦月で月間99.9%以上の可用性を達成することを表明し、保証します(すなわち、1か月あたり最大43分のダウンタイム)。計画的なメンテナンス/ダウンタイムは、所定の月に4時間未満に制限され、OpenMethodsはお客様に、かかるダウンタイムについて少なくとも7日前に書面（電子メール可）で通知します。

1.9.  <OpenMethodsは、機能の提供終了または提供終了の少なくとも6か月前にお客様に通知します。

 

2.  お客様の責任。 

2.1.      ログイン管理：  OpenMethodsからの書面によるサブスクリプションを欠席した場合、お客様は、(a)エンドユーザーとのやり取りを行うサービスを活用する、(b)サービスが提供する機能と類似した機能を提供する第三者サービスに由来するやり取りに関連するデータを処理する個人が、エージェントの個々のログイン要件を回避できる、APIを含むがこれらに限定されないサービスを利用することはできず、かかるやり取りの目的のためにサービスを利用する場合は、本契約に従って、個々のエージェントログインが必要であることに同意・承諾するものとします。また、お客様は、サービスユーザーインターフェイスで適用されるサービスプランの制限またはエージェントライセンスの制限を回避する方法でAPIまたはサービスを利用しないものとします。OpenMethodsは、Zendesk SOWに違反してサービスの使用回数を超えた場合、お客様に請求する権利を留保し、お客様はここに支払うことに同意します。

2.2.      コンプライアンス お客様とOpenMethodsの間で、お客様は、エージェントおよびエンドユーザーによる本契約の規定の遵守、お客様のアカウントの下で行われるあらゆる行為（OpenMethodsが随時確認）に責任を負います。上記に限定されることなく、お客様は、本サービスの利用が、適用されるすべての法律および規制、ならびにお客様がエージェントまたはエンドユーザーとの間で維持または締結するすべてのプライバシー通知、契約、またはその他の義務に準拠していることを確認します。

2.3.      内容および行動  お客様は、本サービスの利用において、(a) サービスまたは関連システムまたはネットワークを変更、適応、ハッキングする、(b) いずれかのサービスのセキュリティまたは評価制限メカニズムを迂回または破ろうとする、またはサービスおよびそのコンポーネントの完全性、セキュリティ、またはパフォーマンスを妨害する方法でサービスを利用する、(c) サービスを構成するソフトウェアのソースコードを解読、逆コンパイル、リバース エンジニアリング、またはその他の方法で検出しようとする、または (d) 1996 年米国医療保険の携行性と責任に関する法律 (HIPAA) およびその実施規則の対象となる範囲で、OpenMethods によって明示的に同意されない限り、サービスを使用して HIPAA で定義されている「保護された医療情報」を保存または送信しないことに同意します。

2.4.      システム要件 サービスを適切に使用するには、高速インターネット接続が必要です。お客様には、お客様のネットワークをサービスに接続するネットワーク接続（OpenMethodsが使用するTLS（Transport Layer Security）プロトコルまたはその他のOpenMethodsが許容するプロトコルに対応する「ブラウザ」ソフトウェアを含むが、これに限定されない）を調達して、維持し、かかるプロトコルに対応するサービスにアクセスするための手続きに従う責任があります。  OpenMethodsは、お客様、エージェントまたはエンドユーザーにかかるソフトウェアのアップグレード、修正または拡張を通知する責任を負わず、またお客様のデータ、OpenMethodsが所有、運用または管理していないコンピュータネットワークまたは電気通信設備（インターネットを含むがこれに限定されない）経由で送信されたデータなどのデータの侵害について責任を負いません。OpenMethodsは本項で説明された接続の信頼性またはパフォーマンスについて責任を負いません。

2.5.      社内業務目的のみ 本契約で OpenMethods によって別途承認されているか、または OpenMethods によって書面で明示的に同意されている場合を除き、お客様は、サービスビューローとして機能する方法、または 1 つのアカウントを通じて複数の第三者 (関連会社を除く) のためにアウトソーシングされたビジネスプロセスサービスを提供する方法で、サービスを利用することはできません。本規定は、複数のエンドユーザーにビジネスSupportを提供するためのサービスの使用を妨げたり制限したりすることを意図していません。ただし、お客様は、本契約で明示的に許可されているお客様の社内業務目的の範囲を超えて、認可されたエージェントおよびエンドユーザー以外の第三者に対して、ライセンス、サブライセンス、販売、アウトソーシング、賃貸、リース、移転、譲渡、配布、タイムシェアまたはその他の商業的利用または再販を行わないことに同意するものとします。上記に限定されることなく、OpenMethods APIにアクセスして使用するお客様の権利は、ドキュメントに規定されているか本契約に従ってお客様に伝達される通り、APIに関してOpenMethodsが随時実施する制限およびポリシーの対象ともなります。

2.6.      競合製品へのアクセスなし:(i) サービスをリバースエンジニアリングする、(ii) サービス内の所有権のあるマーキングまたは限定凡例を削除または変更する、(iii) サービスにアクセスして競合製品またはサービスを構築する、またはサービスの特徴、機能、UI、グラフィックをコピーすることはできません。OpenMethodsの競合他社である場合、お客様は本サービスにアクセスできません

 

3.  カスタマーデータとプライバシー。

3.1.      お客様は、本サービスを利用するためにすべてのデータ（「カスタマーデータ」）を提供する必要があり、OpenMethodsはカスタマーデータを変更または追加する義務を負いません。  お客様は、お客様データの合法性について単独で責任を負います。  OpenMethodsは、サービスからのカスタマーデータを保存またはアーカイブしません。したがって、カスタマーデータについては、カスタマー自身が保存およびアーカイブする責任があります。

3.2.      「カスタマーデータ」は「カスタマー」に属し、OpenMethodsは「カスタマーデータ」の所有権を主張しません。

3.3.      サブプロセッサ：OpenMethodsは、お客様へのサービス提供を支援するために、顧客データへのアクセスまたは処理を行う副処理者を利用します。お客様は、復処理ポリシー（https：//www.openmethods.com/privacy）に記載されている復処理者に対するOpenMethodsの一般的な使用を承認し、許可するものとします。OpenMethodsは、OpenMethodsが本契約の条件の下で直接各OpenMethodsの担当者または復処理者のサービスを実行していた場合と同様に、OpenMethodsのメンバーおよび復処理者の行為および不作為について責任を負うものとします。お客様は、ポリシーWebページ内で復処理者ポリシーの変更の通知を受け取るために登録することができます。

3.4.      第三者サービスプロバイダー：OpenMethodsは、お客様にサービスを提供するためにOpenMethodsが利用する第三者サービスプロバイダーを使用することがありますが、サービスデータにはアクセスできません。OpenMethodsが利用する第三者サービスプロバイダーは、本契約書の機密保持条項に実質的に類似した機密保持義務の対象となります。

3.5.      保護。OpenMethodsは、当社のプライバシーポリシー(https://www.openmethods.com/privacy)および別紙Aに定める情報セキュリティ要件に従って、サービスのセキュリティ、機密性、完全性を保護するための適切な管理的、物理的、技術的な保護策を維持するものとします。

3.6.      エージェントの連絡先情報。OpenMethodsは、エージェント連絡先情報のデータ処理者であり、当社のプライバシー通知(https://www.openmethods.com/privacy)に従って当該エージェント連絡先情報を処理するものとします。お客様は、当社のプライバシー通知に記載されているお客様のエージェントの権利について通知する責任を負います。お客様は、エージェントの連絡先情報を合法的に処理するOpenMethodsに適用されるデータ保護法の下で必要なすべての関連同意、権限、および権利を取得し、すべての関連通知を提供していることを表明し、保証します。

3.7.      Data Processing Agreement（データ処理契約）。別紙Bに定めるデータ処理契約および/またはhttps://www.OpenMethods.com/privacyにあるその他のOpenMethodsが提供するプライバシー規約は、参照することにより本契約に組み込まれるものとします。

 

4.  サービス保証。  OpenMethodsは次のことを保証します。(i) サービスがドキュメントに記載されているとおりに実質的に機能すること、(ii) OpenMethodsが本契約に基づいてお客様にサービスを提供する権利を所有するか、またはそれ以外の権利を有すること。  本第4項に定める救済策は、いずれかの保証に違反した場合のお客様の唯一の救済策です。

4.1.      本サービスがドキュメンテーションに従って実質的に機能しない場合、OpenMethodsは自らの裁量により、（i）サービスをドキュメントに準拠するように変更するか、（ii）カスタマーの要件を満たす回避策を提供する必要があります。  いずれの方法も商業的に実行可能でない場合、いずれかの当事者は本契約に基づく関連するZendesk SOWを終了することができます。

4.2.      お客様によるサービスの通常の運用、所有または使用が第三者の米国知的財産権を侵害すると判明した場合、または侵害のおそれがあるとOpenMethodsがみなす場合、OpenMethodsは自らの裁量により、(i) お客様の利益のために当該第三者からライセンスまたはサブスクリプションを取得する、(ii) 侵害されないようにサービスを変更する、または(iii) これらの方法のいずれも商業的に実行可能でない場合は、本契約に基づく関連するZendesk SOWを終了させる必要があります。

4.3.      ただし、OpenMethodsは以下の事項について保証義務を負いません。

4.3.1.         お客様または第三者によってサービスが変更された範囲

4.3.2.         第三者のソフトウェアまたはハードウェア、偶発的な損害、またはOpenMethodsの妥当な制御を超えるその他の事項に起因するサービス内の問題。

4.4.      OpenMethodsは、定期的に内部および外部のネットワークの脆弱性スキャンを実行します。  特定された脆弱性は、商取引上妥当な方法と、重大度に基づいて修復されます。

 

プロフェッショナルサービス。

 

5.  プロフェッショナルサービス： 

5.1        SOW  各プロフェッショナルサービス契約の成果物、料金、人員、範囲、およびその他の条件は、Zendesk SOWで規定されます。  プロフェッショナルサービス契約は、Zendesk SOWに従って、時間およびマテリアルまたは固定料金で請求されます。

5.2        保証OpenMethodsは、(i) プロフェッショナルサービスがSOWに実質的に準拠すること、および (ii) プロフェッショナルサービスが合理的なスキル、注意、および勤勉性をもって実施されることを保証します。本第5項に定める救済策は、いずれかの保証に違反した場合のお客様の唯一の救済策です。

5.2.1                プロフェッショナルサービスがSOWに準拠していない場合、または合理的なスキル、注意、および勤勉さをもって履行されない場合、OpenMethodsは欠陥のあるパフォーマンスを修正するのに必要な範囲でプロフェッショナルサービスを再履行するものとします。

5.3        お客様の責任  お客様は、OpenMethodsがプロフェッショナルサービスを提供できるようにするために合理的に必要なすべての情報、アクセス権、および誠実な協力をOpenMethodsに提供し、SOWでお客様の責任として指定されたすべてのことを実行するものとします。  お客様がこれを怠った場合、OpenMethodsは、お客様のパフォーマンスに依存する範囲でその義務を免除されます。

 

知的財産の所有権。

 

6.  知的所有権。  OpenMethodsは、「サービス」および「プロフェッショナルサービス」の一部として提供されるすべてのものに関するすべての知的財産権を所有するか、または「サービス」に対する権利をライセンス供与しています。OpenMethodsは、サービスに対するフィードバック、改善、機能強化、または変更に関するすべての権利を有します。

 

一般的な質問

 

7.  支払い 。

7.1    請求書Zendeskは、本契約に基づいてお客様がOpenMethodsサービスを購入した場合の料金の請求を処理するものとします。お客様は、関連するZendesk SOWに記載されている料金を支払う必要があります。すべての請求情報はZendesk SOWに記載されます。 

 

 

8.  期間、終了、一時停止。

8.1    本契約は、当事者によって解除されるまで、Zendesk SOWの期間中継続します（「期間」）。  各注文の条件（「注文期間」）は、Zendesk SOWに記載されます。注文期間の終了日をもって、サービスにアクセスまたは使用するお客様の権利は終了します。

8.2    お客様が本契約の重要な条項に違反し、書面による通知から30日以内に違反が是正されない場合、いずれかの当事者は直ちに本契約を終了することができます。 

8.3    第2項、第6項、第7項、第8項、第9項、第10項、第11項、第12項、および第15.3項は、本契約終了後も継続します。

8.4    OpenMethodsがカスタマーの未払いにより本契約を終了した場合、注文期間の残りの期間分の未払い料金はすべて直ちに支払い期限が到来します。

 

9.  保証の免責事項。  本契約で明示的に定められている場合を除き、サービスおよびプロフェッショナルサービスはいかなる種類の保証も提供されません。また、OPENMETHODSは、明示的または黙示的を問わず、商品性や特定目的への適合性を含むがこれに限定されない、その他の一切の保証を行いません。OPENMETHODSは、サービスまたは専門サービスの利用が中断されず、エラーがないことを保証しません。

 

10.賠償責任の制限。  いずれの当事者も、本契約に基づく他方の当事者に対する間接損害、特別損害、偶発的損害、懲罰的損害または結果的損害（善意の損失、作業停止、コンピュータの障害または不具合、データの消失または破損、利益の喪失、事業損失または機会損失を含むがこれらに限定されない）、または責任理論（契約、不法行為、厳格責任またはその他の理論の如何を問わず）に基づくその他の同様の損害に対して、たとえ他方の当事者がその可能性を知らされていたとしても、一切の責任を負わないものとします。ZENDESK SOWに関連するあらゆる種類の直接の損失、コスト、クレームまたは損害に対する各当事者の責任総額は、当該損失、コスト、クレームまたは損害が生じる前12か月間に当該ZENDESK SOWに基づいてお客様が支払ったまたは支払うべき料金の額を超えないものとします。  ただし、お客様の会社の知的財産権の侵害、本契約に基づくオープンメソッドに対するお客様の賠償責任、または当事者の補償義務に関する責任には制限はありません。  この賠償責任の制限は、会社と顧客との間の取引の明白な部分であり、OPENMETHODSに支払う料金の設定を左右する要因でした。

 

11.機密保持。

11.1   本契約およびサービス、ドキュメント、作業製品には、OpenMethodsの単独の財産である貴重な企業秘密が含まれており、お客様はこれらの企業秘密が第三者に知られないように合理的な注意を払うことに同意します。  お客様は、サービス、ドキュメント、作業製品への不正アクセスまたは複製を防止するために合理的な注意を払わなければなりませんが、いかなる場合でも、お客様が自身の機密情報および企業秘密を保護するために使用するのと同じレベルの注意を払う必要があります。

11.2   カスタマーによって「機密」とマークされた、または機密情報として合理的に認識されるべきカスタマーデータおよびその他の資料で、OpenMethodsに開示されたものには、カスタマーの単独の財産である貴重な企業秘密が含まれる場合があります。  OpenMethodsは、第三者がこれらの企業秘密を把握できないよう合理的な配慮をする必要がありますが、OpenMethodsが自社の機密情報や企業秘密を保護するために使用するのと同じくらいの配慮は必要です。

11.3   第12.1項および第12.2項は、(i) 受領当事者（「受領者」）が、現在（またはその後、いかなる行為または不作為によっても、一般に知られている、または利用可能となった情報、(ii) 受領者の記録で明らかなように、受領者が当該情報を受領した時点で既に知っていた情報、(iii) 権利問題として、開示に制限なく第三者から受領者にその後提供された情報、または (iv) 当該開示提案が書面で事前に通知されている場合、法律により開示が要求される情報には適用されません。

11.4   何らかの理由で契約が終了した場合、受領当事者は開示当事者の要求に応じて、速やかに開示当事者の秘密情報をすべて返却します。ただし、いずれの当事者も受領当事者の通常のバックアップシステムに保存されている開示当事者が受領した秘密情報を返却する義務はなく、この場合、当該秘密情報に関する受領当事者の守秘義務は無期限に存続するものとします。

 

12.OpenMethodsによる補償。

12.1   OpenMethodsは、お客様によるサービス、ドキュメントまたは作業製品の使用が著作権、企業秘密または米国特許を侵害していると主張する第三者訴訟、第三者請求またはその他の第三者法的措置（「法的措置」）に起因する、お客様、その関連会社、およびその取締役、役員、従業員を、お客様に対して最終的に授与または和解に同意した損害（お客様が負担する合理的な費用および弁護士費用を含むがこれに限定されない）から補償し、無害な状態に保つ必要があります。  OpenMethodsは、法的措置の抗弁も想定する必要があります。

12.2   ただし、OpenMethodsは、次の事項に起因するいかなる法的措置についても補償義務を負わないものとする:  (i) サービスまたは作業成果物とOpenMethodsによって提供されていないソフトウェアまたは製品との組み合わせ、(ii) お客様または第三者によるサービスの修理、調整、変更または変更、または (iii) お客様による非侵害バージョンのサービスまたはOpenMethodsが提供する作業成果物のインストールおよび使用の拒否。  第4.2項（ii）および本第12項は、サービスまたは作業製品による知的財産権の侵害に関するOpenMethodsの全責任を明記しています。

12.3   カスタマーは、法的措置の通知を最初に受け取ってから30日以内に、OpenMethodsに書面による通知を行い、その法的措置に関連するすべての連絡、通知、その他の措置のコピーをOpenMethodsに渡さなければなりません。  お客様は、OpenMethodsに法的措置の弁護の単独管理権を付与し、OpenMethodsの合理的な指示に従って行動し、OpenMethodsがそのような請求を弁護または解決するための合理的な要請を行うなどの支援をOpenMethodsに提供する必要があります。OpenMethodsは、常にお客様の利益に反しない方法で防御を実施する必要があります。カスタマーは、そのような申し立てに関して、独自の弁護士を雇うことができます。  OpenMethodsまたはその弁護士との利益が相反する、またはOpenMethodsが弁護を引き受けないなどの理由で弁護士との契約が必要となった場合を除き、顧客は自身の弁護士との契約に関するすべての費用を負担する必要があります。  お客様は、OpenMethodsの書面による明示的な同意なしに、いかなる法的措置についても和解または妥協してはなりません。OpenMethodsは、お客様が第12.2項に著しく違反した場合、第12項に基づく補償義務を免れるものとします。

 

13.お客様による補償。

13.1   お客様は、OpenMethods、その関連会社、およびその取締役、役員、従業員を、お客様のサービスまたは作業製品の使用に関連して、第三者の訴訟、第三者のクレーム、またはその他の第三者の法的措置（政府の調査、苦情、および措置を含むがこれに限定されない）に起因するOpenMethodsに対する最終的に授与または和解に同意した損害（合理的な費用およびお客様が負担する弁護士費用を含むがこれに限定されない）から補償し、無害な状態に保つ必要があります。  また、お客様は法的請求の弁護を引き受ける必要があります。

13.2   OpenMethodsは、法的請求の通知を最初に受け取ってから30日以内に、書面による通知をカスタマーに行う必要があり、法的請求に関連するすべての連絡、通知、およびその他のアクションのコピーをカスタマーに渡す必要があります。  OpenMethodsは、カスタマーに法的請求の防御の単独管理権を与え、カスタマーの合理的な指示に従って行動し、カスタマーがそのような請求を防御または解決するための合理的なリクエストを行うなどの支援をカスタマーに提供する必要があります。カスタマーは、OpenMethodsの利益に反しない方法で、常に防御を実施する必要があります。OpenMethodsは、そのようなクレームに関して、独自の弁護士を採用することがあります。  OpenMethodsは、カスタマーまたはその弁護士との利益が相反する、またはカスタマーが弁護を引き受けないなどの理由で弁護士の関与が必要な場合を除き、独自の弁護士とやりとりするすべての費用を負担しなければなりません。  OpenMethodsは、お客様の書面による明示的な同意なしに、法的請求を解決または妥協してはなりません。OpenMethodsが第13.2項に著しく違反した場合、お客様は第13項に基づく補償義務を免れるものとします。

 

14.        パブリシティ。  OpenMethodsは、顧客を顧客としてリストアップし、OpenMethods Webサイト、公開されている顧客リスト、およびメディアリリースで顧客のロゴを使用する場合があります。

 

15.        その他

15.1   本契約とZendesk SOWは、書面または口頭を問わず、両当事者の完全な合意を表し、事前または現在の合意に優先します。 

15.2   当事者は、書面による場合を除き、本契約を変更したり、一部を放棄することはできません。

15.3   本契約はカリフォルニア州法に準拠します。両当事者は、本契約に関連する請求について、カリフォルニア州の州裁判所または連邦裁判所による排他的管轄権の行使に同意します。

15.4   お客様は、OpenMethodsの書面による事前の同意なしに、本契約に基づく権利または義務を譲渡または移転してはなりません。  OpenMethodsは、お客様の資産の全部または実質的にすべてを取得した企業、または真正な企業構造の一部である譲渡に対して、お客様がその権利および義務を譲渡する場合、当該同意を保留することはできません。  本セクションに違反した割り当ては無効です。

15.5   本契約に基づいて行われる通知は、書面により行われ、個人宛または米国郵便証書郵便、返品領収書、前払い郵便、または本契約の冒頭に記載されている住所宛または他方の当事者への書面による通知を通じて変更された住所宛に認定された宅配便により行われるものとします。 

15.6   お客様は、米国外で許可されている場合を除き、サービス、ドキュメント、作業製品、または機密情報を直接または間接的に米国外の国に輸出または再輸出してはなりません。商務省の輸出管理規則。

15.7   米国およびその他の国に提供するサービス、作業製品、ドキュメント政府は、48 C.F.R.で定義されている「商業品目」です。2.101 C.F.R.48項の「商業用コンピュータソフトウェア」と「商業用コンピュータソフトウェア文書」から成る。12.212または48 C.F.R.227.7202（該当する場合）。48 C.F.R.12.212または48 C.F.R.該当する場合、227.7202-1から227.7202-4まで、商用コンピュータソフトウェアおよび商用コンピュータソフトウェア文書は米国政府エンドユーザーは、FAR 12.212および該当するDFARS 227.7202-1(a), 227.7202-3(a), 227.7202-4に規定されているように、(a) 商業品目としてのみ、および(b) 本契約の条件に従って他のすべてのエンドユーザーに付与される権利のみを有します。

15.8   OpenMethodsは、本契約の期間中、責任ある保険会社が、本契約に従って、OpenMethodsの業務をカバーする、サービスが実施されるこれらの州（所在地）において正式に資格を有する、保険契約の種類および最小額を、自らの費用で完全に効力を持ち、調達し、維持するものとします。責任ある保険会社には、商業一般賠償責任（1回につき200万ドル、合計500万ドル）、職業賠償責任（1回につき100万ドル、合計200万ドル）、労働者補償（法定限度）および雇用主賠償責任（1回につき50万ドル）、エラーおよび不作為賠償責任（および、サイバー賠償責任補償（合計200万ドル）が含まれます。  かかるポリシーでは、解約または重大な変更を行う場合は、少なくとも30日前までに書面でお客様に通知する必要があります。  OpenMethodsは、上記の適用範囲をすべて証明する保険証書をお客様の要求に応じて提供します。

 

定義。

 

16.        用語集：

「カスタマーデータ」とは、サービスデータベースに保存されているエージェントのユーザー名およびエージェントの内線番号を意味します。

「ドキュメント」とは、定期的に更新される、サービスで使用するOpenMethodsによって提供されるユーザードキュメントを意味します。

「サービス」とは、Zendesk SOWおよびドキュメントに記載されている機能、OpenMethodsによるホストソフトウェアの変更、およびホストソフトウェアに対して行われたまたは提案されたフィードバック、改善、または機能強化を意味しますが、プロフェッショナルサービスは含まれません。

「プロフェッショナル サービス」とは、SOWで特定されたトレーニング、コンサルティング、開発、その他のプロフェッショナル サービスを意味しますが、サービスは含まれません。

「Zendesk 」とは、デラウェア州の企業であるZendesk, Inc.およびその適用関連会社を意味します。Zendeskは、お客様とZendeskとの間で締結されたZendesk SOWに基づき、本契約に基づいてOpenMethodsから発注されたOpenMethodsサービスへの加入者の加入に対する請求エージェントとなります。

「Zendesk SOW」とは、本契約に基づくお客様の加入プラン、加入料金、請求、および加入期間を定める、Zendeskが加入者に発行する作業範囲記述書または同様の注文書を意味します

 

 

 

別紙A

OpenMethodsの情報セキュリティ対策

 

1. 情報セキュリティ対策

OpenMethodsは、加入者によって提供または利用可能にされたすべてのコンテンツ、資料、データ（個人データを含む）、および非公開情報（総称して「データ」）を安全に保ち、未承認または違法な処理、偶発的な損失、破壊または損傷からデータを保護するために、以下に詳述するセキュリティ対策を実施および維持するために商取引上妥当な努力を払うことを保証および表明します。その際、OpenMethodsは合理的な注意とスキルを持って、誠実かつ精力的な行動をとります。

 

2. 定義

「プロセス 」とは、適用された目的や手段にかかわらず、データに関するあらゆる操作（アクセス、収集、保持、保管、移転、開示、使用、消去、破壊、その他の操作を含むがこれに限定されない）を意味します。

「違反」とは、(a) 不正なデータ処理、または(b) OpenMethods がデータの処理に関して実施している物理的、技術的、または組織的保護手段を侵害または損なう行為または不作為、またはこれらの要件を遵守するために実施しているその他の手段を意味します。疑義を避けるため、「不正な処理」には、誤用、紛失、破壊、侵害、不正アクセス、収集、保持、保管、または移転が含まれますが、これらに限定されません。

「事象」とは、(i) 法律または OpenMethods セキュリティ ポリシーに違反する行為、(ii) サービスの通常の運用を妨げる計画外のサービスの中断、または (iii) 違反を含む、データのセキュリティに対する障害を意味します

 

3. 対策:およびデータの保存、処理、廃棄に関する技術的および組織的対策。
   • OpenMethodsは、業界標準の暗号化アルゴリズムと主要な強みを利用して、以下のものを暗号化します。
   • すべての公衆有線ネットワーク（インターネットなど）およびすべてのワイヤレスネットワークで転送される電子形式のすべてのデータを暗号化します。
   • ストレージ内のすべてのデータを暗号化します。「ストレージ内」とは、データベース、ファイル システム、さまざまな形式のオンライン/オフライン メディア（モバイル デバイス、ラップトップ、DASD、テープなど）に保存されている情報を指し、一般に「保存」とも呼ばれます。
   • 法律で禁止されている場合を除き、OpenMethodsは、(a) サービスの完了時、または (b) 加入者 (または該当する場合は Zendesk) から OpenMethods の環境からの削除を求められた時点で速やかにデータを削除し、妥当な期間内に (ただし、要求日またはサービスの終了日から 21 日以内に) 破棄します。OpenMethodsは、加入者（および該当する場合はZendesk）に、かかる削除、破壊、および/または清掃について、かかる発生から30日以内に書面による証明書を提供します。

4. 対策:悪意のあるコードの保護。
   • すべてのワークステーションおよびサーバ(仮想または物理)で、業界標準のウイルス対策/マルウェア対策ソフトウェアの最新バージョンを実行し、最新のアップデートを任意のワークステーションまたはサーバで実行します。ウイルス定義は、ウイルス対策ソフトウェアプロバイダーがリリース次第、速やかに更新する必要があります。OpenMethodsは、機器を構成し、ウイルス対策ソフトウェアの無効化、セキュリティ構成の変更、またはデータまたはOpenMethodsのコンピューティング環境の安全性を確保するために適用されるその他の保護手段の無効化をユーザーが禁止するためのサポートポリシーを策定します。
   • OpenMethodsは、メールやプロキシサーバーなど、パブリックネットワークへのすべてのゲートウェイで、受信コンテンツと送信コンテンツをスキャンして悪意のあるコードを探します。
   • OpenMethods は、感染が確認されたファイルを隔離または削除し、イベントを記録します。

5. 対策:アクセス制御のための技術的および組織的対策、特にデータにアクセスする施設およびシステムへの許可された参入者の合法性を制御するための対策：
   • OpenMethodsは、次の手順に従って、建物内の対策だけでなく、敷地内のセキュリティ保護（たとえば、入口と出口のセキュリティ確保）を確実に実施します。
   • データにアクセスするすべてのパーソナルコンピュータまたはその他のモバイルデバイスのセキュリティと暗号化
   • 許可された訪問者を除き、従業員および請負業者のみにアクセス可能
   • アクセス権限を有する者の識別
   • キーの制限;
   • 訪問者ブック（タイムキーピングを含む）
   • セキュリティアラームシステムまたはその他の適切なセキュリティ対策。
   • OpenMethodsは、当該認定エージェントがシステムまたはアプリケーションにアクセスする必要がなくなった日から24時間以内に、データを含む、またはデータを処理する物理的な場所、システム、およびアプリケーションへのアクセスを取り消します。

 

6. 対策:ユーザーIDおよび認証に関する技術的（パスワード/パスワード保護）および組織的（ユーザーマスターレコード）対策：

OpenMethodsは、データへのアクセスを委託された権限を有する者に妥当な要求があった場合に加入者に通知するものとします。

ユーザー制御には、次の手段が含まれるものとします。

• restricted VPN profile;
• 2要素認証の実装

データへのアクセスコントロールには、以下の対策が含まれるものとします。

• 許可なくデータにアクセスした個人に対する効果的かつ測定済みの懲戒処分。

7. 対策:OpenMethodsが利用するネットワーク（ワイヤレスネットワークを含む）のセキュリティに関する技術的および体系的な対策。

すべてのネットワーク制御には、次の対策が含まれている必要があります。

• OpenMethodsは、内部および外部のネットワークの脆弱性スキャンを定期的に実行します。特定された脆弱性は、重大度に基づいて商取引上妥当な方法と期間で修復されます。
• OpenMethodsは、ネットワークの運用に妥当なファイアウォールテクノロジーを導入します。
• OpenMethodsは、少なくとも四半期ごとにファイアウォールのルールセットを見直し、旧バージョンのルールが削除され、アクティブなルールが正しく設定されていることを確認します。
• OpenMethods は、ネットワークに不適切なアクティビティがないか監視するために、侵入検知システムまたは侵入防止システムを導入します。
• OpenMethodsはログ管理ソリューションを導入し、ファイアウォールおよび侵入検知システムによって生成されたログを最低1年間保持するものとします。

ワイヤレスネットワーク制御には、さらに次の対策が必要です。

• ワイヤレスネットワークへのネットワークアクセスは、許可されたユーザーのみに制限する必要があります。
• アクセス ポイントは、ゲートウェイ デバイスを使用して、内部有線 LAN からセグメント化する必要があります。
• サービスセットID（SSID）、管理者ユーザーID、パスワード、暗号化キーをデフォルト値から変更する必要があります。
• 業界標準の暗号化アルゴリズムを使用して、すべてのワイヤレス接続の暗号化が有効になります。暗号化プロトコルは「Wireless Protected Access」（WPA2）以上に基づいています。

 

8. 対策:OpenMethodsは、事象の特定、影響の軽減、再発の防止が可能な事象対応機能を維持します。事象が発生した場合、OpenMethodsは (i) データまたは将来の事象のさらなる侵害を防止するために必要なすべての措置を速やかに講じる、(ii) 事象が特定されてから24時間以内に加入者に通知し、その後3日以内に書面によるレポートを提供する、および (iii) 事象に関する詳細な情報を求める加入者からの合理的な要請に迅速に対応する。OpenMethodsの通知とレポートには、事象の性質、その影響、および講じられたまたは計画された調査、是正、または是正措置の説明が含まれます。

 

9. 対策:ビジネス継続性とディザスタリカバリ。OpenMethodsは、サービスの可用性を維持するために、加入者に商業的に妥当な業界標準の事業継続計画（「事業継続計画」）を提供しています。継続性計画には、(a) 危機管理、計画およびチームの活動化、イベントおよびコミュニケーションプロセスの文書化、(b) イベント管理、ビジネスリカバリ、代替サイトロケーション、コールツリーテスト、(c) インフラストラクチャ、技術、およびシステムの詳細、リカバリアクティビティ、およびかかるリカバリに必要なメンバー/チームの特定などの要素が含まれ、これに限定されません。OpenMethodsは、すべてのサブスクリプションの期間中、当該の継続性プランを維持するものとします。ただし、当該変更または修正がOpenMethodsのサービスの可用性を維持する能力に重大な悪影響を与えない限り、OpenMethodsは継続性プランを変更または修正する権利を有するものとします。

 

OpenMethodsは、加入者の要求に応じて、加入者の情報セキュリティ プログラムまたはその手順や慣行を、本契約の適用可能なすべての資料に概説されているとおり、また随時存在する加入者のベースラインのセキュリティ要件に準拠するように、商取引上妥当な変更を加えるものとします。加入者は、本契約に基づく加入者の機密情報に含まれる当該ベースラインのドキュメントをOpenMethodsに提供するものとします。OpenMethodsは、少なくとも本契約で要求されるトピックを含む、加入者向けの書面による情報セキュリティ計画を作成するものとします。

 

別紙B

OpenMethods Data Processing Addendum

 

本Data Processing Addendum(「DPA」)は、OpenMethods, Inc.(「OpenMethods」または「データインポーター」)とZendesk SOWで加入者として指定された事業体(「カスタマー」または「データエクスポーター」)との間で締結され、OpenMethods利用規約(「契約」)に追加されます。当事者は、このDPAが本契約に組み込まれ、その一部を形成し、責任の制限を含むDPAの規定に従うことに同意します。

本DPAは、OpenMethodsがカスタマーからカスタマーの個人データを受領および処理する条件を定め、標準契約条項を組み込みます。お客様がこのDPAを削除または改訂した場合、OpenMethodsが同意しない限り、それらの削除または改訂はここに拒否され、無効となります。カスタマーの署名者は、カスタマーをこのDPAに拘束する権限があることを表明し、保証します。このDPAは、本契約の解除時に自動的に終了するか、またはこのDPAの条件に従って早期に終了します。

データ処理条件

1. 定義

「適用されるプライバシー法 」とは、該当する場合、EU/英国のデータ保護法を含む、当該個人データに適用されるすべての世界的なデータ保護およびプライバシー法および規制を意味します。

「カスタマー個人データ」とは、個人データであり、適用されるプライバシー法によって保護されているカスタマーコンテンツを意味します

「EU/英国データ保護法」とは、次の事項を意味します。 (i) 個人データの処理および当該データの自由な移動に関する自然人の保護に関する欧州議会および理事会の規則 2016/679（「EU GDPR」）、 (ii) 英国の欧州連合（脱退）法および2018年英国データ保護法（総称して「英国GDPR」）の第3項により英国法に保存されたGDPR、 (iii) EU eプライバシー指令（指令 2002/58/EC）、 (iv) スイス連邦データ保護法（「スイスDPA」）、および (v) （i）、（ii）（iii）（iv）（iv）（または（iv））のいずれかに基づいて、またはそれに関連して適用されるすべての国内データ保護法。

「OpenMethods子会社」「OpenMethods子会社」とは、OpenMethodsによって直接的または間接的に支配され、制御され、またはOpenMethodsと共通の制御下にあるすべての事業体を意味します。

「制限付き移転 」とは 、 ( i) EU GDPRが適用される場合、欧州委員会による個人データの十分性判定の対象とならないEEA圏外の国への個人データの移転、(ii) 英国のGDPRが適用される場合、英国データ保護法第17条Aに基づく十分性規制の対象とならない他の国への英国からの個人データの移転、および (iii) スイスのDPAが適用される場合、連邦データ保護情報委員会または連邦理事会（該当する場合）により個人データの適切な保護を提供すると決定されていない他の国へのスイスからの個人データの移転を意味します。

「標準契約条項」とは 、 ( i) EU GDPRまたはスイスDPAが適用される場合、欧州委員会の2021年6月4日の実施決定（EU）に附属する契約条項（「EU SCC」）、および (ii) 英国のGDPRが適用される場合、第8条（データ移転）に従って適用される英国のGDPR第46条2項（c）または（d）に従って採択された処理者のための標準データ保護条項（特に、欧州委員会標準契約条項の国際データ転送附則（「英国SCC」）を意味します。

「セキュリティ インシデント」とは、偶発的または違法な破壊、紛失、改ざん、不正な開示、お客様の個人データへのアクセスにつながる、無許可または違法なセキュリティ違反を意味します。「セキュリティ インシデント」には、ログイン試行の失敗、ping、ポート スキャン、サービス拒否攻撃、ファイアウォールまたはネットワーク システムへのその他のネットワーク攻撃など、カスタマー 個人データのセキュリティを損なわない試行や活動は含まれません。

「復処理 者」とは、OpenMethodsが顧客の個人データを処理するために契約する第三者（OpenMethodsの子会社を含む）を意味します（OpenMethodsの従業員または請負業者を除く）。

「管理者」、「データ主体」、「個人データ」、「処理者」、および「処理」という用語は、適用されるプライバシー法において意味を有します。適用されるプライバシー法がそのような用語を定義していない場合、およびその範囲で、EU/英国データ保護法に定められた定義が適用されます。

2. 処理のロールと範囲

2.1 当事者は、カスタマー個人データの処理に関して、カスタマーが管理者であり、OpenMethodsがカスタマーに代わってカスタマー個人データを処理することに同意します。

2.2 OpenMethodsは、お客様の個人データを、お客様の文書化された指示に従ってのみ処理し、本DPAで定められている場合、または適用法により必要とされる場合を除き、お客様の個人データを独自の目的で処理することはありません。本契約（本DPAを含む）およびサービスにおけるお客様の設定またはオプションの構成（お客様は随時変更できるため）は、標準契約条項の目的を含む、お客様の個人データの処理に関するOpenMethodsへの完全かつ最終的な指示を構成します。かかる処理指示の範囲外の追加指示がある場合は、当事者間の書面による事前の合意が必要です。

2.3 各当事者は、サービスまたはこのDPAの下で、またはそれに関連して処理するお客様の個人データに関して、適用されるプライバシー法に基づく義務を遵守するものとします。上記を損なうことなく、お客様は、適用されるプライバシー法の下でのお客様の個人データの保存と処理、およびお客様の個人データの正確性、品質、合法性、およびお客様が個人データを取得した手段について、サービスが適切かどうかを判断する責任があります。お客様はさらに、OpenMethodsおよびその復処理者が本契約で予定されている目的(このDPAを含む)でお客様の個人データを合法的に処理するために必要なすべての同意、権限、権利について通知を提供し、取得したことに同意するものとします。

2.4 OpenMethodsは、お客様の指示が適用プライバシー法に違反していると判断した場合、速やかにお客様に通知するものとします(ただし、お客様の適用プライバシー法の遵守状況を積極的に監視する義務はありません)。この場合、お客様が処理指示を更新し、遵守不履行が解消されたとOpenMethodsが判断するまでは、OpenMethodsは当該処理を実行する義務を負いません。

2.5 データ処理の詳細:

(a) 問い合わせのテーマ:このDPAに基づくデータ処理の主題は、お客様の個人データです。

(b):お客様とOpenMethodsの間で、処理の期間は、本契約の期間に加え、OpenMethodsが本契約に従ってお客様の個人データを処理する期間の終了後または満了後の期間です。

(c) 目的:OpenMethodsは、本契約に従ってサービスを実行するために、必要に応じて、お客様によるサービスの使用に関する指示に従ってお客様の個人データを処理します。

(d) 処理の性質:本契約に記載され、お客様が随時開始するサービスの提供。

(e) お客様の個人データの種類。お客様のOpenMethodsアカウントでサービスにアップロードされたお客様の個人データ。

(f) データ主体のカテゴリ:データ主体には、お客様の従業員、コンサルタント、エージェント、お客様のOpenMethodsアカウントの下で「ユーザー」としてサービスの利用を許可された第三者、およびサービスを通じてお客様がOpenMethodsに個人データを送信するその他のデータ主体が含まれます。

 

3. 副処理

3.1 お客様はhttps://OpenMethods.com/static/legal/OpenMethods-Current-Subprocessors-List.pdf(またはそのような後継URL)に記載されている復処理者(「復処理者リスト」)を含む復処理者にお客様の個人データの処理を再委託する一般的な認可をOpenMethodsに付与します

3.2 OpenMethods が新規または代替の下処理者と契約する場合、OpenMethods は次のことを行います。

(a) 復処理者リストの更新

(b) このDPAに含まれるのと同じデータ保護条項を復処理者に適用

(c) 復処理者の行為、エラー、または不作為に起因するDPAの違反については、お客様に対して引き続き責任を負います。

3.3 OpenMethodsが新しい復処理者または代替復処理者を引き受ける10日前に書面で通知を受けることを選択した場合、お客様は顧客通知ポータルを通じて当該通知を受信登録する必要 があります。

3.4 お客様は、(3.2 (a)) に従って通知を受けてから 30 日以内に、また適用されるプライバシー法を遵守する復処理者の能力に関連する合理的な理由により、OpenMethods が書面により速やかに復処理者を指名することに反対することができます。この場合、両当事者は商業的に妥当な解決を図る観点から、お客様の懸念について誠実に協議するものとします。当事者がそのような解決にReachできない場合、OpenMethodsは単独の裁量で、異議を申し立てられた復処理者を選任しないか、お客様が当該注文および/または契約を停止または終了できるようにする権利を有するものとします。これらの手続きは、本DPAに基づくOpenMethodsによる復処理者の任命に対するお客様の異議を解決する、お客様の唯一の救済手段であり、OpenMethodsの全責任です。

 

4. 協力

4.1 OpenMethodsは、お客様がお客様の個人データの処理に関連するデータ主体および規制機関または司法機関からの要求、苦情、またはその他の通信（適用されるプライバシー法の下での権利の行使を求めるデータ主体からの要求を含む）に応答できるようにするために、お客様と合理的に協力するものとします。このような要求、苦情、または連絡がOpenMethodsに直接行われた場合、OpenMethodsは、その要求がお客様の責任範囲であるデータ主体からのもの、またはデータ主体に関連するものであると特定したら、これをお客様に渡し、お客様の明示的な承認なしにそのような連絡に応答しないものとします（適用法を遵守するために要請された場合を除く）。

4.2 OpenMethodsは、適用されるプライバシー法の下で必要とされる範囲で、お客様がデータ保護の影響評価を実施し、法的に必要とされる場合、データ主体に高いリスクをもたらす処理活動の提案に関して、該当するデータ保護当局に相談するのを支援します。

4.3 処理の性質を考慮して、お客様は、標準契約条項に基づいて転送されたお客様の個人データが不正確または古くなっていることをOpenMethodsが認識する可能性が低いことに同意するものとします。それにもかかわらず、OpenMethodsは、標準契約条項に基づいて転送されたお客様の個人データが不正確または古くなっていることに気付いた場合、遅滞なくお客様に通知します。OpenMethodsは、お客様と合理的に協力し、標準契約条項に基づいて転送された不正確または古くなったお客様の個人データを消去または修正します。

 

5. データアクセスとセキュリティ対策

5.1 OpenMethodsは、お客様の個人データの処理を担当するすべての要員に適切な機密保持義務(契約上または法律上の義務の如何を問わず)を課し、サービスを提供する目的でのみお客様の個人データを処理することを保証します。

5.2 OpenMethodsは、スケジュール2に記載されている対策(「セキュリティ対策」)に従って、お客様の個人データをセキュリティインシデントから保護する目的で、合理的で適切な技術的および組織的セキュリティ対策を実施および維持します。お客様は、本セキュリティ対策が技術的な進歩および開発の対象となること、およびOpenMethodsが本セキュリティ対策を随時更新または変更することに同意するものとします。ただし、かかる更新および変更によってサービスの全体的なセキュリティが低下したり低下したりすることはありません。

 

6. セキュリティインシデント

セキュリティ インシデントが発生した場合、OpenMethodsは、その旨を不当に遅滞なくお客様に通知し、該当するデータの種類や影響を受ける個人のIDなど、該当する情報がOpenMethodsに判明するか利用可能になったときに、セキュリティ インシデントの詳細を書面でお客様に提供します。OpenMethodsは、可能な限り、お客様が適用プライバシー法の下でデータ侵害報告義務を履行できるように、タイムリーな情報と協力をお客様に提供し、セキュリティインシデントの影響を是正または軽減するための合理的な措置を講じるものとします。本契約の義務は、お客様またはそのユーザーに起因するセキュリティインシデントには適用されません。

 

7. セキュリティレポートと検査

7.1 OpenMethodsは、要求に応じて、OpenMethodsがこのDPAに準拠していることを確認するためにお客様が合理的に必要とする場合に、証明書、監査報告書の概要およびその他の関連文書のコピーを提供するものとします。

7.2 通常、確認されたセキュリティインシデントの後、またはデータ保護機関が要求する場合、OpenMethodsがこのDPAに準拠していることを確認することは当事者の意図ですが、お客様はOpenMethodsに対し、第三者によるOpenMethodsの運用および施設の監査（「監査」）の実施を求める30日前までに書面で通知することができます。ただし、(i) 監査はお客様の費用で行われるものとし、(ii) 両当事者は監査の範囲、時期および期間を相互に同意するものとします。(iii) 監査はOpenMethodsの通常の運用に不当な影響を与えないものとします。

7.3 本セクション7に記載されている書面による回答または監査は、本契約の機密保持規定に従うものとします。両当事者は、EU SCCの第8.9項に記載されている監査が本第7項（セキュリティレポートおよび手順）に従って実施されることに同意します。

 

8. データ転送

8.1 本契約に基づいて OpenMethods が処理するお客様の個人データは、OpenMethods、OpenMethods の子会社、および副処理者がサービスを実行するための設備を維持するすべての国で処理できます。詳細は副処理者リストを参照してください。OpenMethodsは、まず転送が本EU/英国データ保護法に準拠していることを確認するために必要な措置を講じない限り、EEA、スイスまたは英国外でお客様の個人データを処理または転送しないものとします(またはそのようなデータの処理または転送を許可しません)。

8.2 両当事者は、カスタマーからOpenMethodsへのカスタマー個人データの転送が制限付き転送である場合、

(a) GDPRまたはスイスDPA、当事者が本契約で締結し、このDPAに組み込むEU SCCの対象となるお客様の個人データの移転

(b) 英国のGDPR、英国のSCCの対象となる顧客個人データの移転については、両当事者は本契約を締結し、本DPAに組み入れます。

8.3 標準契約条項の目的において、関連する附属書、付属書または表は、附属書Iに定める関連情報で入力されているとみなされる。このDPAのいずれかの条項が直接的または間接的に標準契約条項と矛盾する場合は、標準契約条項が優先される。

8.4 OpenMethodsが本DPAに記載されていない個人データの移転について代替の合法的データエクスポートメカニズム（「代替移転メカニズム」）を採用する場合、代替移転メカニズムは、本DPAに記載されている適用可能な移転メカニズムの代わりに適用されます（ただし、当該代替移転メカニズムがEU/英国データ保護法に準拠し、当該顧客個人データが移転される領域にまで及ぶ場合に限ります）。

 

9. 削除と返品

9.1 OpenMethodsは、お客様の要求があった場合、またはこのDPAの終了または期限切れになった場合に、お客様がいつでも要求できるOpenMethodsのその時点で最新のデータ削除タイムラインおよびポリシーに従って、お客様の所有するすべてのお客様個人データを破棄するか、お客様に返却するものとします。この要件は、適用法によりOpenMethodsが顧客個人データの一部または全部を保持するよう求められる範囲、またはバックアップシステムにアーカイブされた顧客個人データ、OpenMethodsが当該法によって要求される範囲を除き、いかなるデータも隔離し、それ以上の処理から保護する範囲には適用されません。両当事者は、EU SCCの第8.5項および第16条(d)に記載されている個人データの削除証明書が、お客様の書面による要求があった場合のみ、OpenMethodsによってお客様に提供されることに同意します。

 

10. カリフォルニア州消費者プライバシー法（CCPA）

10.1 カスタマーが本サービスのユーザーであり、かつCCPAが適用される範囲において、本DPAには本第10条に定める条件が適用されます。

10.2 本DPAの第1項の定義に次の修正を行うものとします。

(a)「CCPA」とは、カリフォルニア州消費者プライバシー法を意味します。Civ.コード § 1798.100 その他

(b) 「ビジネス」はCCPAで定められた意味を有する。

(c) 「サービス プロバイダー」は、CCPAで定められた意味を有します。

10.3 CCPAに基づく「個人情報」を構成するお客様の個人データについては、お客様は企業であり、OpenMethodsはサービスプロバイダです。お客様によるお客様の個人データのOpenMethodsへの移転は販売ではなく、OpenMethodsはお客様に個人データと引き換えに金銭またはその他の価値ある対価を提供するものではありません。

10.4 OpenMethodsは、CCPAのすべての適用要件を遵守することに同意し、本DPAに規定される通り、カスタマーとOpenMethodsの間で書面で合意された場合およびその範囲で同意します。

10.5 サービスに適用される場合、OpenMethodsは、本契約に基づく顧客個人データの処理に関連するデータ主体からのあらゆる要求（CCPAで定義されている「確認可能な消費者要求」を含む）に（顧客の費用負担で）応答する顧客を合理的に支援するものとします。

 

11. 一般

11.1 このDPAによる変更を除き、本契約は変更されず、効力を有します。本DPAのいずれかの条項と本契約のいずれかの条項との間に矛盾がある場合、本DPAが優先されます。発効日から、このDPAはの一部であり、本契約に組み込まれます。

11.2 このDPAは、いかなる場合でも、データ主体または管轄監督当局の権利を制限または制限するものではありません。

11.3 契約、不法行為(過失を含む)、またはその他の責任理論の如何を問わず、このDPA(標準契約条項を含む)に基づきまたはこれに関連してお客様がOpenMethods、その従業員、エージェント、復処理者に対して有するクレームまたは救済は、法律で許可される最大範囲において、本契約の責任の制限および除外の対象となるものとします。したがって、本契約における当事者の責任に関する言及は、本契約およびこのDPAの下で、またそれに関連して、その当事者の責任の集計を意味します。

11.4 このDPAは、当事者双方が署名した書面によってのみ変更することができます。

11.5 このDPAは、適用されるプライバシー法または標準契約条項で別段の要求がない限り、本契約の準拠法および管轄権規定に準拠し、解釈されるものとします。

11.6 このDPAの一部が適用されない場合でも、残りのすべての部分の有効性には影響しません。

 

付属書I

A.当事者のリスト

モジュール2：コントローラからプロセッサへ転送

データエクスポーター：

名前：このDPAで「カスタマー」として識別されるエンティティ。

住所：OpenMethodsアカウントに関連付けられているか、DPAまたは契約で指定されているお客様の住所。

取引先責任者の名前、役職、連絡先情報：お客様のアカウントに関連付けられている連絡先情報、または本DPAまたは本契約で指定されている連絡先情報。

本条項に基づいて転送されるデータに関連するアクティビティ：後述の付属書1(B)に定める活動

ロール（コントローラ/プロセッサ）：コントローラ

データインポーター:

名前：OpenMethods, Inc.（「OpenMethods」）

住所：1100 Main St., Suite 400, Kansas City, MO 64105

取引先責任者の名前、役職、連絡先情報：Shannon Lekas、privacy@OpenMethods.com(データおよびコンプライアンス)

本条項に基づいて転送されるデータに関連するアクティビティ：後述の付属書1(B)に定める活動

ロール（コントローラ/プロセッサ）：プロセッサ

 

B.転送の説明

モジュール2：コントローラからプロセッサへ転送

個人データが転送されるデータ主体のカテゴリ：お客様の従業員、コンサルタント、エージェント、および権限を有する第三者は、お客様のOpenMethodsアカウントおよびお客様がサービスを通じてOpenMethodsに個人データを送信するその他のデータ主体の下で、「ユーザー」として本サービスを利用するものとします。

個人データが転送されるデータ主体のカテゴリ：名前、メールアドレス、およびサービスを通じてカスタマーが送信したその他の個人データ（カスタマーコンテンツとして含む）

転送される機密データ（該当する場合）、データの性質と関連するリスクを完全に考慮した制限または保護策（たとえば、厳格な目的の制限、アクセス制限（専門トレーニングを受けたスタッフのみのアクセスを含む）、データへのアクセス記録の保持、転送の制限、その他のセキュリティ対策など）：なし。OpenMethodsの禁止使用ポリシーでは許可されません。

転送の頻度（例：データが1回限りまたは継続的に転送されるか）：お客様の個人データは、お客様のサービスの利用状況およびお客様の処理指示に応じて、継続的または1回限りの転送が可能です。

データ転送とその後の処理の目的：OpenMethodsが本契約に従ってデータエクスポーターに提供するサービスを提供、維持、改善するため。

個人データが保持される期間、またはそれが不可能な場合は、その期間を決定する基準：OpenMethodsは、契約の解除または満了後最大180日間、お客様の個人データを保持します。（サブ）プロセッサに転送する場合は、処理の件名、性質、期間も指定します。

経過時間：本契約の期間と、本契約に従ってOpenMethodsがお客様の個人データを処理する期間の終了後または満了後の期間。

問い合わせのテーマ：このDPAに基づくデータ処理の主題は、お客様の個人データです。

処理の性質：本契約に記載され、お客様が随時開始するサービスの提供。

 

C.管轄の監督機関

モジュール2：コントローラからプロセッサへ転送

第13項に従って、管轄の監督当局を特定します。データ エクスポーターの管轄監督機関は、GDPRに従って決定されます。

 

付属書II

データのセキュリティを確保するための技術的措置および組織的措置を含む、技術的および組織的措置

モジュール2：コントローラからプロセッサへ転送

OpenMethodsでは、個人情報を保護するために、次の技術的および組織的手段を使用します。

• 偽名化および個人データの暗号化の手段
• 処理システムとサービスの機密性、完全性、可用性、復元性を継続的に確保するための手段
• 物理的または技術的な事象が発生した場合に、個人データの可用性とアクセスをタイムリーにリストアするための手段
• 処理のセキュリティを確保するために、技術的および組織的対策の有効性を定期的にテスト、評価、評価するプロセス
• ユーザーの本人確認および承認のための措置送信中のデータ保護のための措置
• ストレージ中のデータ保護対策
• 個人データが処理される場所の物理的セキュリティを確保するための措置
• イベントログを確保するための対策
• デフォルト設定などのシステム構成を確保するための手段
• 社内ITおよびITセキュリティのガバナンスと管理の対策
• プロセスおよび製品の認定/保証のための措置
• データを確実に最小化するための手段
• データ品質を確保するための手段
• データ保持を限定的にするための手段
• 説明責任を確保するための措置
• データの移植性と確実な消去のための手段

データインポーターが副処理者に課す技術的措置および組織的措置については、DPAに記載されています。

 

付属書III

標準契約条項

A) 本DPAの第8.2項を条件として、OpenMethodsへの顧客個人データの移転が制限付き移転であり、GDPRまたはスイスDPAが適切な保護措置を講じることを要求している場合、移転は以下のようにEUのSCCに準拠するものとします。

(i) モジュール2（コントローラからプロセッサへの転送）が適用されます。

(ii) 第7項（ドッキング条項）では、オプションのドッキング条項が適用されます。

（iii）第9条（復処理者の使用）では、オプション2が適用され、復処理者の変更を事前に通知する期間は本DPAの第3.2条に定める通りとします。

(iv) 第11条（賠償）において、データ主体が独立した紛争解決機関に苦情を申し立てることを許可するオプション言語は適用されません。

(v) 第17条（準拠法）では、オプション1が適用され、EUのSCCはオランダの法律に準拠します。

vi.(vi) 第18条(b)（フォーラムおよび管轄権の選択）において、紛争はオランダのアムステルダムの裁判所より先に解決されるものとします。

B) OpenMethodsへの顧客個人データの移転が制限付き移転であり、かつ英国のGDPRが適切な保護措置を講じることを求めている場合、英国のSCCは上記(a)項に従って適用されます。

別紙2 - OpenMethods成果物

展示C 

カスタマープロジェクト名

作業範囲記述書（SOW）

SOW番号：08102024-000

VERSION：1.0

概要

OpenMethodsは、Zendesk作業範囲記述書または同様の契約で特定された加入者（以下「クライアント」）に、本作業範囲記述書および/または該当する場合に関連するOpenMethods販売注文書で定義されるように、Experience Cloudソリューションをクライアントの環境で使用できるように提供するサービスの説明および同意として、本作業範囲記述書を提供します。 

本作業範囲記述書は、OpenMethods利用規約、すべての別紙、スケジュール、追加事項、添付ファイル、作業範囲記述書（本作業範囲記述書を含むがこれに限定されない）およびその修正条項（以下「本契約」）に基づいて締結され、この参照により組み込まれます。  本作業範囲記述書で使用される大文字の用語のうち、本書で別途定義されていないものは、本契約で定義されているとおりです。

概要

本SOW（作業範囲記述書）は、Experience Cloudをクライアントの環境で使用するための設定要件、範囲、および作業の概要を示します。このプロジェクトの一環として、OpenMethodsは以下のことを行います。

• ライセンスされたソリューションをプロビジョニングします。
• エクスペリエンスデザイナーのポップフローを作成、テスト、デプロイします。
• ユーザー受け入れテストと本番稼働中のサポートクライアント。
• ソリューション関連のトレーニングを提供します。

環境の概要

定義

OpenMethodsのソリューションまたはその主要なコンポーネントを表すために、以下の用語が使用されます。

1. Experience Cloud:OpenMethodsソリューションとそのさまざまなコンポーネントの管理に使用されるメインのWebベースのポータルです。
2. Experience Designer:Experience Cloud内のユーザー インターフェイス。管理者は、CRMでのインタラクションに関連付けられたエージェント アクティビティをオーケストレーションするポップフローを設計、テスト、公開できます。

Activities

OpenMethodsソリューションのプロビジョニングは、以下の目的に限定されます。各ステップを完了することは、各目標の識別されたオーナーの責任となります（詳細は付録Aを参照）。 

• プロビジョニング（OpenMethods）：OpenMethodsは、本作業範囲記述書で定義されているように、Supportクライアントの環境とビジネス要件に合わせてExperience Cloudをプロビジョニングします。
• リソースとロールの割り当て（OpenMethods）：OpenMethodsは、OpenMethodsソリューションの基本的なオンボーディングと構成の要件についてClientと連携し、それらの要件に関連する情報を提供します。
• 準備（クライアント）：クライアントは、本作業範囲記述書の要件を満たすために、必要に応じて各自の環境を設定し、アクセス（ユーザーアカウント）を提供するものとします。これには、Zendeskアプリマーケットプレイスですぐに利用できるExperience Cloudアプリケーションのインストールも含まれます。
• ポップフローの作成 （OpenMethods）：OpenMethodsは、本作業範囲記述書の「PopFlowの設計と作成」セクションに記載されているように、PopFlowの作成を担当します。
• 検証テスト（OpenMethods）：ソリューションが有効になり、ポップフローが作成されると、OpenMethodsはソリューションが仕様どおりに機能することを保証します。
• ユーザー受け入れテスト（クライアント）：クライアントはUATを実施し、問題が見つかった場合は報告します。報告された問題は、重要度に応じてランク付けされ、問題の重要度に応じて、本番稼働前または本番稼働後に解決されます。お客様は、UATプロセスに必要なテストスクリプトまたは手順を作成する責任があります。
• トレーニング（OpenMethods）：OpenMethodsは、OpenMethodsソリューションの使用、設定、および管理に関するクライアントのトレーニングを担当します。このトレーニングは以下の内容で構成されます。 
  • PopFlowユーザートレーニング：関連するPopFlowとの適切なやりとりと使い方をエージェントに教えることに重点を置いています。そのため、このセッションは「トレーナーを養成する」トレーニングとして提供され、クライアントのトレーニング組織がプロジェクトのスケジュールに従ってエージェントを教育することができます。このトレーニングセッションは、通常2時間で完了します。
  • クラウド管理トレーニングを体験する：このトレーニングは、技術的な観点からOpenMethodsソリューションの管理、ケア、供給に焦点を当てています。このトレーニングセッションは、通常2時間で完了します。
  • エクスペリエンスデザイナーのトレーニング – このトレーニングは、エクスペリエンスデザイナーの使用に焦点を当てています。本書は、PopFlowの作成、メンテナンス、テスト、およびロールアウトを担当するすべてのユーザーを対象としています。このトレーニングは通常、複数のセッションに分かれ、合計<16時間>のトレーニング時間です。
• 本番稼働（クライアント/OpenMethods）：OpenMethodsは、クライアントがソリューションを有効にするのに役立ちます。OpenMethods Project Management Office（PMO）は、Customer CareおよびSuccessへの移行準備のため、本番稼働後10日間は業務に従事します。
• ケアと成功（OpenMethods）：OpenMethodsは正式なミーティングを行い、適切な顧客スタッフをOpenMethodsのCustomer CareチームとSuccessチームに紹介し、今後のSupportの取得に関するプロセスと要件に精通させます。

ポップフローの設計と作成

OpenMethodsソリューションによって促進される自動化では、自動化を開始するためにエージェント固有のトリガイベントが必要です(エージェントがボタンをクリックする、エージェントが電話/電子メール/チャットに応答する、エージェントがCRMでフィールドデータを入力または変更するなど)。クライアントは、自動化をトリガするために必要なトリガメカニズムを、OpenMethodsの「OpenConnect API」ドキュメントに従って、またはプロジェクトのキックオフ時に定義されたとおりに提供および設定します。クライアントは、本作業範囲記述書に記載されているすべてのサービスまたはアプリケーションに必要なAPI（アプリケーションプログラミングインターフェイス）ドキュメント、接続性、およびアクセスを提供します。OpenMethodsソリューションの機能は、提供されるサードパーティAPIによって提供される機能によって制約される場合があります。

このプロジェクトの一部として、次のポップフローが作成され、デプロイされます。追加のユースケースおよび/またはPopFlowの設計、作成、または実装作業は、本プロジェクトの範囲外とみなされ、別の作業範囲記述書でカバーされます。

<ここにスコープを挿入>

プロジェクトの制約と前提条件 

1. クライアントは、すべてのサイト準備要件と「OpenMethods Client Readiness」パッケージに従ってそれらが満たされていることを確認する責任があります。
2. クライアントは、必要なCRMインスタンスへの管理者レベルのアクセス権を持つ利用可能なリソースを提供する責任があります。
3. 検証テストの実行に使用する「テスト」アカウントは、お客様の責任でご提供ください。資格情報は安全な方法(Zoom Chat、Slack削除、Eメール不可など)で提供する必要があります。
4. クライアントは、OpenMethodsサービスへの安全な接続を提供する責任があります。 
5. クライアントは、「付録A」で定義されているステークホルダーの役割を果たすことに同意し、実装を成功させるために必要であることを理解する。 
6. お客様は、必要なソリューションの一部または全部が、本作業範囲記述書に記載された特定の要件を満たすためにカスタム構成（以下、「カスタムサービス」と呼ぶ）として提供されることに同意するものとします。  

a.  このプロジェクトで作成されたカスタムサービスは、「現状のまま」提供されます。OpenMethodsは、60日間実装に重大な欠陥がないことを保証します。60日間を過ぎると、当該サービス資産の長期的な機能、互換性、またはパフォーマンスについて保証または保証を行いません。 

b.  公開されたAPIおよびインターフェイスを使用して統合サービスに設計されていますが、カスタムサービスは、OpenMethodsが提供するソフトウェアまたは統合されたサードパーティのAPIまたはサービスに対する今後の更新または変更との互換性を維持するために、変更または更新を必要とする場合があります。OpenMethodsは、このような更新によって古くなったり互換性がなくなったりしたカスタム設定のサポートや維持には責任を負いません。OpenMethodsは、お客様に成果物の継続的なSupportを最善の努力に基づいてのみ提供するものとし、保証期間終了後にお客様に報告された欠陥を修正する義務を負いません。古くなったカスタム構成の変更、更新、Supportのリクエストには、別途作業範囲記述書が適用されます。また、追加料金が発生する場合があります。     

7. deは別の作業範囲記述書の対象となり、追加料金が発生する場合があります。

プロフェッショナルサービス料

本作業範囲記述書で見積もられたプロフェッショナルサービス料金は、最初のSOWがクライアントに納品されてから90日間有効で、本作業範囲記述書の履行後30日以内に支払期限が到来します。このオンボーディングサービスパックの有効期限は、サブスクリプションの開始日から6か月後です。

クライアントは、本作業範囲記述書で定められた通り、OpenMethodsがプロフェッショナルサービスを提供し、Zendeskを通じてクライアントにプロフェッショナルサービスの請求を行うことを許可します。本OpenMethods作業範囲記述書は、クライアントおよびZendeskが、本OpenMethods作業範囲記述書に添付されたZendesk SOW（または類似の注文書）を履行する日をもって発効するものとします。

 

付録A – 関係者要件 

 

別紙1 

マスターサービス契約 

<本契約における相互の約束、契約、および契約を考慮し、両当事者は、取引関係は以下のものに準拠することに同意するものとします。

1.                  この契約の対象は、企業BCRテレコムユニカのES LTDA（「契約者」）が、カスタマーエクスペリエンス（CX）のサービスとしてのソフトウェア（SOFTWARE AS A SERVICE PLATFORM）において、契約仕様条件に選択され存在するパラメータとモダリティでサービスを提供することです。
2.                                                                                                                                                                                                                                                          �

1. Conciex Talk：CCaaSソリューションは、レポート、管理パネル、ユーザーフレンドリーなエージェントインターフェイスを備え、エクスペリエンスの向上とコスト削減に重点を置き、市場のさまざまなCRMと統合されています 。

2. Conciex Messaging: コミュニケーションプラットフォームとして機能するアプリケーション。市場のCRMとのインテグレーションにより、ユーザーがさまざまなチャネル(WhatsApp、SMS、およびEメール)から個々のメッセージを送信したり、一括メッセージを送信したりすることができます。

3. 本契約に基づいてクライアントが請負人に注文する該当する請負人サービスは、Zendesk再販売契約（以下に定義）に記載されます。
4. デラウェア州の企業であるZendesk, Inc.およびその関連会社(「Zendesk」)は、Zendesk再販売契約に従って本契約に基づいてクライアントが請負人に注文した請負人サービスへのクライアントの加入に関する請求エージェントとなります。「Zendesk再販売契約」とは、Zendeskがクライアントに発行するサービス注文書、契約書、またはこれに類する注文書を指し、本契約に添付または組み込まれ、本契約に基づく契約者サービスのクライアントの加入プラン、加入期間、料金、および請求を定めるものです。両当事者は、Zendeskが請求エージェントとして機能するために必要な場合、Zendesk再販売契約に従って、本契約に基づいてクライアントが注文する請負業者のサービスに関する価格および契約情報をZendeskが受領できることに同意します。

1.                 クロージング時に両当事者が署名した特定の契約条件は、参照することにより本契約に組み込まれ、すべての作業範囲記述書に組み込まれるものとします。 
2.                                                                                                                                                                                                                                                          �
3.                  本契約は、当事者間で署名される可能性のある修正条項にも適用されます。

3.1              クライアントの請負業者サービスへの加入期間は、本契約に添付されているZendesk再販売契約で規定され ます。 

3.2        <本契約は、次の場合に直ちに終了することができます。

3.3.1 書面による通知後10日以内に是正されない場合、いずれかの当事者による契約条項の不遵守または不規則な遵守。

3.3.2 いずれかの当事者の倒産、破産、解散、または裁判外または裁判外の再編成の要求があった場合。

3.3.3 サービスの提供を不可能または困難にする偶発的な事象または不可抗力の発生

3.3.4 契約当事者が、契約当事者の事前の同意なしに契約サービスを商品化または第三者に譲渡した場合、法的規定を遵守しない場合、またはサービスを詐欺的または違法な方法で使用する場合。

4.1                                                                                                                                                                                                                                                                                                                                                                   クライアントがZendeskを通じて請負業者から購入する請負業者のサービスに対する変更は、変更指示または修正の対象となります。

4.2                              契約当事者に通知された後、デフォルトが15日以上続く場合、支払期限を把握することなく、サービスは直ちに停止され、いかなる状況においても、支払期限のない完全な中断が30日経過した後、契約者の判断により、補償または補償期限が到来しない契約を終了することができます。 

4.3                          サービスおよび構成の初期化については、規約にSETUPが規定されており、開始が支払いを条件としている場合、料金が発生することがあります。これは、手続き中にキャンセルが発生した場合でも、専用の時間に対応するので、発生する必要があります。 

5.1 <契約者は、サービスの提供において、インターネットアクセスや社内スペースなどの基本的なインフラストラクチャが契約者に必要となる場合があることを認識しています。この場合、契約者は、第三者によって提供されるサービスに起因する影響について責任を負いません 。

5.2 <法律の運用により、サービスのインストール時または開始時に技術的または運用的に不可能であることが判明した場合、両当事者は補償を受ける資格なく契約が終了したとみなされる場合があります。

6.1   <請負業者は、別紙Aに添付のサポート義務および手順に従うものとします。

6.2 請負人は、本契約期間中、請負人のサービスが任意の暦月において月間稼働率99.9%以上を達成することを表明し、保証します（すなわち、1か月あたり最大43分のダウンタイム）。計画的なメンテナンス/ダウンタイムは、所定の月に4時間未満に制限されるものとし、請負業者は、かかるダウンタイムが発生する7日前までに書面（Eメール可）でクライアントに通知するものとします（「計画ダウンタイム」）。

6.3 <請負業者>は、機能の提供終了または提供終了の少なくとも6か月前にクライアントに通知するものとします。

7.1 両当事者は、サービスを提供する目的で、本契約書に記載された用語が一般データ保護法（2018年法律13.709）に従って読み解かれることに同意します。

7.2 当事者は、本契約を通じて、サービスの提供期間中、特に法律13.709/2018のデータ保護に関して適用される法律および法的判断を遵守することを約束します。

7.3 契約者は、契約者が提供するすべての情報が専門会社によって保護され、プラットフォームを通じて収集されたすべての情報がアクセスが制限された安全な環境に保管されるように、顧客の安全を確保するために使用される最高のセキュリティ基準に従うことを約束する。

7.4 お客様は、真実で完全な最新情報のみを当社に提供することを表明し、保証するものとします。契約者は、本プラットフォームの利用中に提供された情報の真偽を検査または管理する義務を負わないなど、契約者が提供する情報について責任を負いません。契約当事者は、提供された情報の正確性について民事上および刑事上の責任を負います。

7.5 <契約者は、契約者から提供された情報が虚偽である場合、または司法当局または行政当局によって違法とみなされる場合、サービスの提供を停止または終了する権利を有します。

7.6 契約者は、事前に契約者に通知された場合、裁判所の命令があった場合、またはサービスの提供を禁止または妨げる法律により生じた場合、いつでも、直ちに提供されるサービスを停止することができます。

7.7 お客様から提供された情報は、司法当局によって要求された場合にのみ第三者に開示します。請負業者は、政府、官公庁、または直接または間接の行政によって要求されたすべての情報を、それが正当に正当化され、有効な法律と互換性がある場合、司法当局に提出し、請負業者に直ちに通知します。請負業者は適切かつ適切と思われる法的措置を採用するものとします。

7.8 <契約当事者は、一般データ保護法（2018年13.709日法律）で保証されているように、15日前の正式な要請に応じて、BCR.CXによって処理されるデータに関する情報をいつでも入手し、またはデータ処理のための認証を停止する権利を有します。

7.9 当事者は 、自らの活動と責任の範囲内で24時間以内にセキュリティ違反を報告することを約束する

7.10 請負業者は、別紙Bに添付されている情報セキュリティ対策を遵守します。

8.1> 請負業者は、本契約および提供されるすべてのサービスがESG基準に準拠し、環境、社会、ガバナンスに関する最良のプラクティスを尊重し、実施することを宣言します。

8.2 <その活動において、請負人は、あらゆる適用法令、特に「資金洗浄」または資産、権利、価値の隠蔽に関する法律(第9,613/98号)および腐敗防止法(第12,846/2013号)を尊重し、恐喝や贈収賄を含むあらゆる形態の資金洗浄および汚職の慣行に対処するための措置を実施します。

8.3 > 請負人は、労働関係における違法行為、差別的、非人道的な行為と戦うための社会的誓約を採用し、支持します。

8.4 <請負業者は、持続可能な方法で環境要因に配慮したサービスを提供するよう努め、環境リスクを軽減し、その活動において環境保全ポリシーを適用し、有害な慣行を回避し、国家環境政策法（1981年法律6.938）および環境犯罪法（1998年法律9.605）を含むがこれに限定されない現在の環境法令を遵守する。

8.5 エージェントおよび従業員が施設内にとどまっている場合には、他方の当事者が定めたポリシー、規範および基準を遵守し、確実に遵守するようにします。また、エージェントおよび従業員および下請け業者は、安全、環境、衛生および労働医学、および未成年者の作業に関連する基準を遵守することを義務付けます。

9.1                                      両当事者は、契約行為において、本契約への有効かつ効果的な同意の表明を宣言します。

9.2 <両当事者は、本契約に起因する問題を解決するために、契約者の住所であるSão Paulo - SPの管轄権を選択します。

 

別紙A:サポート責任と手順

1.定義

この別紙A：

(a) 「レベル1サポート」とは、請負業者によってクライアントに提供される最初のレベルのサポートであり、顧客からの情報を収集し、症状を確認し、必要に応じてレベル2サポートにエスカレーションすることを意味します。

(b) 「レベル2 Support」とは、請負業者サービスの運用およびインフラストラクチャの問題と解決策について、請負業者がクライアントに提供する2番目のレベルのSupportを意味します。

(c)「レベル3 Support」とは、請負業者が提供する3番目のレベルのSupportであり、アプリケーションコードのバグまたはインフラストラクチャコードの解決を対象としています。

(d) 重大でない、ビジネス インパクトの重大性が低い問題に対する「契約サポート時間」とは、営業日(月~金、1年の毎週)の9:00～24:00のBRTを指します。重大で重大なビジネス インパクトの問題に対するサポート時間と対応義務については、以下に説明します。

2.請負業者サポート義務

請負業者は、クライアントが特定し、請負業者に報告した問題に関連するすべてのSupportをクライアントに提供するものとします。これらのSupportサービスは、Zendeskヘルプデスクチケットシステムによって提供されます。

契約者は、Supportリクエストに対応するものとします。

(a) 重大なビジネスインパクトの問題については、24時間365日、30分以内。請負業者は、問題が解決されるまで30分ごとに、重要なビジネスインパクトの問題に関する最新情報をクライアント（およびZendeskから請負業者に転送されたクライアントSupportリクエストに関連するそのようなビジネスインパクトの重大な問題の場合はZendesk）に提供するものとします。「重大なビジネスインパクト」とは、請負業者のサービスにおける本番環境内の重要な機能を破壊する問題、または請負業者のサービスにおけるデータのセキュリティ/完全性を損なう問題と定義されます。重大なビジネスインパクトの問題は、混乱が継続している限り、解決が急務であり、妥当な回避策がない状態が続きます。

(b) 重大なビジネスインパクトの問題については、24時間365日1時間以内請負業者は、問題が解決されるまで、1時間ごとに、主要なビジネスインパクトの問題に関する最新情報をクライアント（およびZendeskから請負業者に転送されたクライアントSupportリクエストに関連するビジネスインパクトの重大な問題の場合はZendesk）に提供するものとします。「重大なビジネスインパクト」とは、重要な機能が低下する問題、クライアントの通常のビジネスオペレーションを大幅に中断または低下させる問題、クライアントの本番環境にあり、一刻を争う問題、および/または通常のビジネスオペレーションを維持するために問題に対処するために計画外の重大な努力が必要となる問題を指します。 

(c) その他の問題および問い合わせについては、6時間以内の請負業者サポート時間

(d) 商業上妥当な期間内に発生した問題を解決すること。

(e) 問題が正常に解決されるまで、少なくとも週に1回、未解決の問題に関する最新情報を継続的に提供する。

 

別紙B - 情報セキュリティ対策

請負業者は、クライアントが提供または利用可能にしたすべてのコンテンツ、資料、データ(個人データを含む)、および非公開情報(以下、総称して「データ」)を安全に保ち、未承認または違法な処理、偶発的な損失、破壊、または損傷からデータを保護するために、以下に詳述するセキュリティ対策を実施および維持するために商取引上妥当な努力を払うことを保証し、表明します。その際、請負人は、合理的な注意とスキルを持って、誠実かつ精力的な行動をとります。 

A.定義：

• 「プロセス」とは、適用された目的や手段にかかわらず、データに関するあらゆる操作（アクセス、収集、保持、保管、移転、開示、使用、消去、破壊、その他の操作を含むがこれに限定されない）を意味します。
• 「違反」とは 、 ( a) 不正なデータ処理、または (b) データ処理に関して請負業者により講じられた物理的、技術的、組織的保護策を損ない、またはこれらの要件を遵守するために講じられた行為または不作為を意味します。疑義を避けるため、「不正な処理」には、誤用、紛失、破壊、侵害、不正アクセス、収集、保持、保管、移転が含まれますが、これらに限定されません。
• 「事象」とは、(i) 法律または請負業者のセキュリティポリシーに違反する行為、(ii) 請負業者のサービスの正常な運用を妨げる計画外のサービスの中断、または(iii) 違反を含む、データのセキュリティに対する障害を意味します。

2. 対策：およびデータの保管、取り扱い、廃棄に関する技術的および組織的措置。

• 請負業者は、業界標準の暗号化アルゴリズムと主要な強みを利用して、以下のものを暗号化します。
• すべての公衆有線ネットワーク（インターネットなど）およびすべてのワイヤレスネットワークで転送される電子形式のすべてのデータを暗号化します。 
• ストレージ内のすべてのデータを暗号化します。「ストレージ内」とは、データベース、ファイル・システム、さまざまな形式のオンライン/オフライン・メディア（モバイルデバイス、ラップトップ、DASD、テープなど）に保存されている情報を指し、一般に「保存」とも呼ばれます。
• 法律で禁じられている場合を除き、契約者は(a) 契約者のサービスが完了したとき、または(b) クライアントから契約者の環境からの削除を求められたときに速やかにデータを削除し、妥当な期間内に破棄します。ただし、リクエストまたはサービス停止の日から21日以内に破棄することはできません。請負業者は、かかる取り外し、破壊、および/または清掃について、かかる発生から30日以内にクライアントに書面による証明書を提供します。

3. 対策：悪意のあるコードの保護。 

• すべてのワークステーションおよびサーバ（仮想または物理）で、業界標準のウイルス対策/マルウェア対策ソフトウェアの最新バージョンを実行し、最新のアップデートをワークステーションまたはサーバで適用します。ウイルス定義は、ウイルス対策ソフトウェアプロバイダーがリリース次第、速やかに更新する必要があります。請負業者は、機器を設定し、ウイルス対策ソフトウェアを無効にしたり、セキュリティ設定を変更したり、データまたは請負業者のコンピューティング環境の安全性を確保するために講じられているその他の保護措置を無効にすることを禁止するためのサポートポリシーを定めます。
• 請負業者は、メールサーバーやプロキシサーバーを含むパブリックネットワークへのすべてのゲートウェイで、受信コンテンツと送信コンテンツをスキャンして悪意のあるコードを探します。
• 請負業者は、感染が確認されたファイルを隔離または削除し、イベントを記録します。

4. 対策：アクセス制御のための技術的および組織的対策、特にデータにアクセスする施設およびシステムへの許可された参入者の合法性を管理するための対策：

• 請負業者は、次の手順を使用して、建物内の措置だけでなく、敷地のセキュリティ（例えば、出入りの確保）のための措置が講じられていることを確認します。
• データにアクセスするすべてのパーソナルコンピュータまたはその他のモバイルデバイスのセキュリティと暗号化
• 許可された訪問者を除き、従業員および請負業者へのアクセスを制限 
• アクセス権限を有する者の識別
• キーの制限;
• 訪問者の帳簿（タイムキーピングを含む）
• セキュリティアラームシステムまたはその他の適切なセキュリティ対策。

請負業者は、当該権限を有するエージェントがシステムまたはアプリケーションにアクセスする必要がなくなった後24時間以内に、データを含むまたは処理する物理的な場所、システム、およびアプリケーションへのアクセスを取り消します。

5. 対策：ユーザーIDおよび認証に関する技術的（パスワード/パスワード保護）および組織的（ユーザーマスターレコード）対策：
   
   

契約者は、合理的な要請があった場合に、データへのアクセスを委託された権限を有する者にクライアントに通知するものとします。

ユーザー管理には、以下の対策が含まれるものとします。

• 制限付きVPNプロフィール;
• 2要素認証の実装

データへのアクセス管理には、以下の対策が含まれるものとします。

• データに不正にアクセスした個人に対する効果的かつ測定済みの懲戒処分。

6. 対策：契約者が利用するネットワーク（ワイヤレスネットワークを含む）のセキュリティに関する技術的および組織的措置。

すべてのネットワーク制御には、次の対策が含まれるものとします。

• 請負業者は、定期的に社内および社外のネットワーク脆弱性スキャンを実行します。特定された脆弱性は、商取引上妥当な方法と、重大度に基づいて修復されます。
• 請負業者は、ネットワークの運用に合理的に適切なファイアウォール技術を導入するものとします。 
• 少なくとも、請負業者は四半期ごとにファイアウォールルールセットを見直し、旧バージョンのルールが削除され、アクティブなルールが正しく設定されていることを確認します。
• 請負業者は、ネットワークに不適切な行為がないか監視するために、侵入検知または侵入防止システムを導入します。
• 請負業者はログ管理ソリューションを導入し、ファイアウォールおよび侵入検知システムによって生成されたログを最低1年間保持するものとします。

ワイヤレスネットワーク制御には、さらに次の対策が含まれるものとします。

• ワイヤレスネットワークへのネットワークアクセスは、許可されたユーザーのみに制限する必要があります。 
• アクセス ポイントは、ゲートウェイ デバイスを使用して、内部有線 LAN からセグメント化する必要があります。
• サービスセットID（SSID）、管理者ユーザーID、パスワード、暗号化キーをデフォルト値から変更します。
• 業界標準の暗号化アルゴリズムを使用して、すべてのワイヤレス接続の暗号化が有効になります。暗号化プロトコルは「Wireless Protected Access」（WPA2）以上に基づいています。 

7. 対策：契約者は、インシデントの特定、影響の軽減、および再発の防止が可能なインシデント対応機能を維持するものとします。インシデントが発生した場合、契約者は、(i) データまたは将来のインシデントのさらなる侵害を防止するために必要なすべての措置を迅速に講じ、(ii)インシデントが特定されてから24時間以内にクライアントに通知し、その後3 (3)日以内に書面によるレポートを提供し、(iii)インシデントに関する詳細な情報を求めるクライアントからの妥当な要請に迅速に対応します。請負業者の通知およびレポートには、事象の性質、その影響、および講じられたまたは計画された調査、是正、または是正措置の説明が含まれます。

8. 対策：ビジネス継続性とディザスタリカバリ。請負業者は、商業上妥当な業界標準の事業継続計画（「事業継続計画」）を実施して、請負業者のサービスの可用性を維持するものとします。継続性計画には、(a) 危機管理、計画およびチームの活動化、イベントおよびコミュニケーションプロセスの文書化、(b) イベント管理、ビジネスリカバリ、代替サイトロケーション、コールツリーテスト、(c) インフラストラクチャ、技術、およびシステムの詳細、リカバリアクティビティ、およびかかるリカバリに必要なメンバー/チームの特定などの要素が含まれ、これに限定されません。契約者は、すべてのサブスクリプションの期間中、当該継続性プランを維持するものとします。ただし、かかる変更または修正が契約者のサービスの可用性を維持する能力に重大な悪影響を与えない限り、契約者は継続性プランを変更または修正する権利を有するものとします。

1. クライアントの要求に応じて、請負業者は、クライアントのベースラインセキュリティ要件に適合するように、その情報セキュリティプログラムまたはそれに基づく手順および慣行に商取引上妥当な変更を加えるものとします。この要件は、本契約のすべての該当する展示物に概説され、随時提示されます。クライアントは、本契約に基づくクライアントの機密情報に含まれる当該ベースラインのドキュメントを請負業者に提供するものとします。請負業者は、少なくとも本契約で要求されるトピックを含む、クライアント向けの書面による情報セキュリティ計画を作成するものとします。

 

 

別紙1 

Aircallエンドユーザー契約

本Aircallエンドユーザー契約（「ECA」）は、Zendeskとお客様との間で締結された広範な契約（「Zendesk契約」）に基づいて提供されるサービスにおける、お客様（「お客様」または「お客様」）とAircall（「当社」または「Aircall」）との関係に適用されます。 

本ECAは、お客様が本契約の条件に最初に同意するか、その他の方法でサービスを初めて使用またはアクセスした日（「発効日」）をもって発効します。本ECAは、お客様とAircallとの間で締結される拘束力を有する契約であり、Zendeskとの間に締結されるものではありません。Zendesk契約と本ECAとの間に矛盾が生じた場合、Zendesk契約に基づくZendesk以外の第三者サービスであるAircallサービスについては、本ECAが優先されます。 

本ECAには、参照によりAircallの利用条件(「T&C」)が組み込まれています。本ECAは、本書で明示的に変更または補足されている場合を除き、随時修正されます。https://legal.aircall.io/で入手できます。ECAとT&Cの条件に矛盾や矛盾が生じた場合は、T&Cが優先します。別紙Aは、お客様の地域に応じて適用されるT&Cのセットを示しています。

Aircallのサービスを使用することにより、お客様は本ECAおよび適用されるT&Cに定める条件に同意するものとします。ECAとT&Cを合わせて「契約」と呼びます。 

1. 定義

本契約で定義されていない大文字の用語は、T&Cで指定されている意味を有するものとします。

2. 契約文書 - 優先順位

Aircallサービスに関するカスタマーとAircallとの間の契約は、関連するAircall T&C（後述の別紙Aに詳述）で構成され、これにはT&Cに適用される附則、本ECA（ECA別紙を含む）、Aircall Data Processing Agreement（以下に定義）、および該当する場合は注文書または購入（これらの用語はT&Cの第1項に定義）が含まれます。 

本契約を構成する文書間で矛盾または矛盾が生じた場合、次の優先順位が（高い順序から）適用されます。(i) Aircall Data Processing Agreement; (ii) 本エンドユーザー契約は、(a) 後述の第5.1項でZendeskが処理する料金、請求、支払いに関連する条件、(b) 別紙Bおよび第11.5項に明白に定められている具体的な約束、(iii) Aircall T&Cs; (iv) 該当する場合は、注文書および/または購入文書。

明示的に上記で説明した場合を除き、随時改正されるAircall T&Cが本エンドユーザー契約に優先するものとします。

3. サービスの範囲

AIrcallサービスには、電話番号の提供、受発信テレフォニー、通話管理、AI機能、およびその他の関連機能が含まれる場合があります(随時更新される)(以下、総称して「サービス」)。お客様は、電話サービスおよび電話番号の提供が、別紙Aで説明されているように、関連するAircall Contracting Entityによって直接かつ単独で提供される規制行為であることを認識し、これに同意するものとします。

これらのサービスは、https://legal.aircall.io/にあるAircall T&Cで概説されている条件が適用されます。サービスへのアクセスおよび利用を管理する規約およびルールは、利用規約の第3条から第4条に準拠します。 

4. サービスレベル

サービスレベルと稼働時間の約束は、別紙Cに概要を示します。

5. 料金および請求

   1. 料金、請求、支払い

1. 固定料金（Zendeskから請求）。

お客様は、該当するZendesk SOWまたは請求書に記載の通り、サービスのすべての定期購読料をZendeskに支払うものとします。サブスクリプション料金の請求および支払いに関する規約は、Zendesk契約に準拠します。

2. 利用料金および追加料金（Aircallによる請求）。

このセクションでは、次のことを説明します。 

1. 「追加料金」とは、Aircallダッシュボード経由での購入料金（利用規約で定義されている追加ユーザーおよび追加番号を含むがこれに限定されない）を含む利用料金以外の、サービスに関連してカスタマーが随時負担する料金、手数料または費用を意味します。

2. 「利用料金」とは、利用規約の第7項に詳述されているように、お客様の実際のサービスの利用に関連する1分あたりの通話料金またはその他の従量課金を意味します。 

SOWに別段の定めがない限り、Aircallは、Aircallダッシュボードまたは別の通知を通じて、Aircallが随時示すとおりに、お客様のサービスの利用および/またはお客様が行った購入に関連して本契約に基づいて発生する利用料金および/または追加料金を直接お客様に請求します。請求は毎月、またはAircallが指定する別の頻度で行われます。

2. 税金。

適用される手数料には、VAT、費用/支払い、料金、規制評価、またはその他の追加で請求される税、賦課金、登録料または税金など、適用法の下で必要とされる税金および課徴金は含まれません。該当する場合、お客様への請求額および/または金額は月ごとに変動する可能性があり、お客様は支払い期限までに一切の料金および/または税金を支払うことに同意するものとします。

6. 知的財産とライセンス

利用規約の第5項で詳述しているように、お客様は、Aircallまたはその関連会社がAircallソリューションおよび本サイトにおけるすべての知的財産権ならびにその内容またはその内容に関するすべての権利、権原および利益を所有することを認識し、これに同意するものとします。カスタマーに明示的に付与されていないすべての権利は、Aircallおよびそのライセンサーに留保されます。本サービスにはオープンソースソフトウェアまたはコードが含まれている場合があり、お客様は本サービスの誤用が第三者のIP権を侵害する可能性があることを承諾するものとします。

お客様が本契約のすべての利用規約（関連するAircall T&Cを含む）を継続的かつ完全に遵守することを条件として、Aircallは、期間中、該当する場合、取消可能、譲渡不能（T&Cの第3.2項に別段の定めがある場合を除く）、非独占的、限定されたライセンス、サイトへのアクセスおよび使用権、番号ライセンス、ユーザーライセンス、Aircallダッシュボード、およびお客様がそのプランに基づいて正式に購入または注文した特定のサービス（正式に購入または注文したAircall番号を含む）を、本契約で許可されている場合に限り、お客様およびそのユーザーに付与します。

7. お客様の義務と使用制限

   1. 法令の遵守お客様は、電気通信、プライバシー、およびデータ保護に関する規定を含む、適用されるすべての法律、規制に従って本サービスを利用することに同意するものとします。

   2. 許容使用ポリシー。お客様は、利用規約の第6項に詳述されているPUP(Permissible Use Policy)を遵守する責任があります(ここからアクセス可能: https://legal.aircall.io/)。 

   3. 禁止事項：カスタマーは、(i) 違法または詐欺的な目的および/またはPUPに違反して本サービスを利用しないこと、(ii) Aircallにより別段の許可がない限りサービスを再販しないこと、または(iii) サービスに関連して使用されるセキュリティデバイスまたは保護をバイパスまたは違反しないこと。

   4. アカウントの設定：カスタマーは、カスタマーアカウント（利用規約の第1項で定義）の機密保持（本人およびそのユーザーの資格情報を含む）およびアカウントの下で行われるすべての活動について責任を負うものとします。

   5. 規制協力適用される規制を遵守するために必要な場合、お客様はAircallに要求された情報または書類を適時（身元証明、所在地など）提供し、サービスの利用に関連する政府または規制当局からの合法的な照会に協力するものとします。

8. 機密保持

   1. 利用規約の第6項で詳述しているように、両当事者は本契約に基づいて開示される非公開情報の機密性を維持することに同意します。

   2. カスタマーは、法律で義務付けられている場合を除き、書面による事前の同意なしにAircallの機密情報を第三者に開示してはなりません。

9. データ保護とプライバシー

   1. プライバシー。Aircallはお客様のプライバシーを真剣に受け止め、お客様から提供された個人を特定できる情報を以下の条件に従って使用します。

1. かかる情報が個人データ（データ処理契約で定義）を構成し、Aircallがお客様に代わって当該情報を処理する場合、データ処理契約https://aircall.io/dpa/に含まれる利用規約

2. https://aircall.io/privacy/ で入手できる Aircall プライバシーポリシーに記載されている条件。Aircall は、データ管理者として Aircall が共同または独立して定めた目的および手段で当該情報を処理するものとします。

2. Data Processing Agreement（データ処理契約）。本契約を締結することにより、両当事者は、本契約と不可分の部分を形成するデータ処理契約も締結します。

3. 情報セキュリティ。Aircallは、別紙Bの条件に従って、顧客データおよび顧客の機密情報を不正な使用または開示から保護するように設計された、商業的に妥当な技術的および運用上の保護策を採用するよう努めます。顧客データが個人データを構成し、Aircallによるその処理がデータ処理契約の対象となる場合、Aircallはデータ処理契約に記載されている技術的および運用上の措置を実施することにより、当該個人データを保護するものとします。

10. 保証、免責事項、補償、責任

    1. 保証：利用規約の第10条に従って、Aircallはプロフェッショナルでワークマン的な方法でサービスを提供します。ただし、Aircallはサービスの中断やエラーがないことを保証するものではありません。

    2. 免責事項：利用規約第10.3条に基づき、Aircallは、法律で認められる最大限の範囲で、商品性や特定目的への適合性を含むすべての黙示的保証を拒否します。

    3. 補償：利用規約の第11条に従って、お客様は、サービスの利用または本契約の違反に起因するクレーム、損害、または負債をAircallに補償し、損害を与えないことに同意するものとします。

    4. 責任：適用法の下で認められる最大範囲において、AIRCALLまたはその関連会社の累積責任は、損害賠償の請求前の12か月間にお客様がサービスに対して支払ったまたは支払うべき総額または無料トライアルの場合は100ユーロを超えないものとします。適用法の下で認められる最大限の範囲において、エアコールまたはその関連会社は、たとえエアコールまたはその関連会社が口頭または書面でそのような損害の可能性について通知を受けていたとしても、契約、保証、不法行為（過失または厳格責任を含む）またはその他の責任論に基づいて生じた、データまたは利益の損失、事業中断、イメージまたは評判の喪失、事業機会の損失など、あらゆる種類の結果的、間接的、偶発的、懲罰的、評判的、特別または懲罰的な損害に対して責任を負いません。お客様の本サイトおよびサービスへのアクセスまたは利用に起因する請求または訴訟の原因は、請求または訴訟原因が発生またはお客様が放棄したものとみなされる後1年以内に、本社宛の受領確認を記載した書留郵便により、AIRCALLに正式に書面で提供する必要があります。

11. 期間、一時停止、終了

    1. 用語。本契約は発効日に開始され、お客様がZendesk契約の下で有効なサブスクリプション期間を有するか、本項に従って早期に終了しない限り、サービスの一部を使用している限り有効です。

    2. 一時停止。Aircallは、(i) お客様が利用料金または追加料金の支払い義務に違反している場合、(ii) お客様および/またはユーザーが法律または本規約に違反してサービスを利用している場合、または(iii) サービスまたはその他のお客様に重大な危害が加えられるのを防ぐために一時停止が必要な場合、お客様および/またはユーザーのサービスへのアクセスを直ちに停止または制限することがあります。本契約の他の権利および救済策に加えて、Aircallは、Aircallの単独の妥当な裁量により、以下の場合、サービスの提供、アクセスおよび/または利用の全部または一部を停止することができます。

1. カスタマーまたはユーザーが、(i) 本契約の条件（支払期日に支払わない場合を含む）、(ii) 適用法、または (iii) 許容利用ポリシーを含む、カスタマーに書面で提供または利用可能にしたポリシーに違反している場合。

2. お客様またはユーザーのサービスへのアクセスおよび/または利用により、サービスが低下する、またはAircallまたは第三者の権利を害する、または害するおそれがある場合

Aircallは、お客様がAircallからお客様に送付された通知でAircallが提供した遅延に従わない場合、お客様がかかる違反、機能低下、または損害を是正するまで、サービスへのアクセスおよび提供を停止することができます。サービスの一時停止は、お客様の料金およびサービスの再有効化に伴う費用の支払い義務から免れるものではありません。Aircallは、サービスの一時停止に起因する損害について責任を負いません。

3. 終了。契約条件の第12項を条件として、一方の当事者は、(a) 他方の当事者が重大な違反を犯し、書面による通知を受け取ってから30日以内に是正しない場合、または (b) 他方の当事者の支払不能または破産の場合に、本契約を終了することができます。Zendesk契約の解除により、Aircallとお客様が個別にサービスの継続に同意しない限り、本契約も終了することがあります。

4. 終了の影響。解約時に、お客様は直ちにサービスの利用を中止しなければならず、未払いの支払い義務（発生した利用料金および追加料金を含む）は支払期限が到来し、支払わなければなりません。Aircallは、該当する場合、お客様が保存されたデータを取得するための合理的な指示を提供します。

5. 販売終了のお知らせ。Aircallは、Aircallソリューションの提供終了または提供終了の少なくとも6か月前にお客様に通知します。ただし、法律、規制、または司法上の義務により提供終了が必要な場合は、当該通知期間は適用されません。通知は本契約の条件に従って提供されます。 

12. 準拠法および異議解決

    1. 準拠法本契約は、適用されるAircall T&Cに定められた法律に準拠し、これに従って解釈されるものとします。 

    2. 場所と管轄。別紙A（該当するT&C）に示されている裁判所または異議処理機関は、現地の法律に別段の定めがない限り、排他的な管轄権を有するものとします。

    3. 異議の解決。本契約に起因または関連する異議、クレーム、質問、または意見の相違(「異議」)が生じた場合、両当事者は通常のビジネス上の話し合いによって異議を解決するよう最善を尽くすものとします。一方の当事者から他方の当事者に異議が通知されてから30日経過しても異議が解決されない場合、一方の当事者は異議を解決するためにさらに法的措置を取ることができます。

13. 修正

Aircallは、30日前までにお客様のアカウントに関連付けられたメールアドレス宛にお客様に通知することにより、料金、Aircallサービスの機能、お客様が選択したサービスの内容、またはポリシーの変更を含む利用規約を更新することができます。かかる更新は、お客様への通知から30日後に有効になります。かかる更新が本契約の重要な部分に影響を及ぼす場合、お客様は、更新を受領してから30日以内に、費用または罰金なしで、また賠償を受ける権利なしに、本契約または影響を受けるサービスの終了を通知できます。発効日以降に本サービスを利用された場合、お客様は変更を承諾したものとみなされます。改訂版の利用規約は、発効日に参照することにより本契約に組み込まれたものとみなされ、それに応じてサービスの継続利用が規定されます。現行の契約条件の最新版は、https://legal.aircall.io/で入手できます。

疑義を避けるため、変更が法律または規則によって課される場合、および/またはそれがサービスの実質的な要素に悪影響を与えない場合、終了は行われないことが明記されています。 

14. 各種チャネル

    1. 通知。本契約で必要とされる通知は、書面で行い、次の方法で送付する必要があります。

1. カスタマー宛：関連する注文書で指定された住所宛または指定された取引先責任者宛の電子メール。

2. からAircallへ：以下の別紙Aに記載の住所へ。 

2. 完全合意。本ECA（Aircall T&Cおよびその別紙契約を含む）は、本契約の主題に関する当事者間の完全な合意を形成し、かかる主題に関する事前または同時の合意または理解に優先します。

お客様は、Aircallのサービスに加入し、利用することにより、参照により本契約に組み込まれる適用されるAircall利用規約を含む本契約の条件に同意し、同意するものとします。

別紙A – 適用される条件

 

別紙B - 情報セキュリティ対策

Aircallは、最先端技術、実施コスト、処理の性質、範囲、背景、目的、およびお客様にとってのさまざまな可能性と重大度のリスクを考慮し、お客様が提供または利用可能にしたコンテンツ、資料、データ（個人データを含む）、非公開情報（以下、総称して「データ」）を、無許可または違法な処理、偶発的な損失、破壊または損傷から安全に保護し、リスクレベルに応じて以下に詳述した内容に実質的に類似した適切な措置を実施および維持するために、商取引上妥当な努力を払うものとします。その際、Aircallは、業界標準に従って合理的な注意とスキルを使用し、誠実かつ勤勉に行動します。 

A.定義：

● 「プロセス」とは、データへのアクセス、収集、保持、保管、移転、開示、使用、消去、破棄、その他の操作を含むがこれらに限定されない、適用された目的や手段にかかわらずデータに関連する操作を意味します。

● 「違反」とは 、 ( a) 不正なデータ処理、または (b) データ処理に関してAircallが実施する物理的、技術的、組織的保護策を損ない、またはこれらの要件を遵守するために実施する行為または不作為を意味します。疑義を避けるため、「不正な処理」には、誤用、紛失、破壊、侵害、不正アクセス、収集、保持、保管、移転が含まれますが、これらに限定されません。

● 「事象」とは 、 ( i) 法律またはAircallのセキュリティポリシーに違反する行為 、 ( ii) サービスの通常の運用を妨げる計画外のサービスの中断 、 ( iii) 違反を含む、データのセキュリティに対する障害を意味します。

B.メジャー：およびデータの保管、取り扱い、廃棄に関する技術的および組織的措置。

● Aircallは、業界標準の暗号化アルゴリズムと主要な強みを利用して、以下のものを暗号化します。

● すべての公衆有線ネットワーク（インターネットなど）およびすべてのワイヤレスネットワークで伝送される電子形式のすべてのデータを暗号化します。 

● ストレージ内のすべてのデータを暗号化します。「ストレージ内」とは、データベース、ファイル・システム、さまざまな形式のオンライン/オフライン・メディア（モバイルデバイス、ラップトップ、DASD、テープなど）に保存されている情報を指し、一般に「保存」とも呼ばれます。

● Aircallは、法律で禁止されている場合を除き、お客様からの要請に応じて速やかにデータを削除し、妥当な期間内に破棄します。ただし、要請日から21日以内は破棄しません。お客様の要請があった場合、Aircallは、かかる取り外し、破壊、および/または清掃について、かかる発生から30日以内に書面による確認をお客様に提供します。

C.メジャー：悪意のあるコードの保護。 

● すべてのワークステーションおよびサーバ（仮想または物理）で、業界標準のウイルス対策およびマルウェア対策ソフトウェアの最新バージョンが実行されます。最新のアップデートは、どのワークステーションまたはサーバでも利用できます。ウイルス定義は、ウイルス対策ソフトウェアプロバイダーがリリース次第、速やかに更新する必要があります。Aircallは機器を設定し、ウイルス対策ソフトウェアを無効にしたり、セキュリティ設定を変更したり、データまたはAircallのコンピューティング環境の安全性を確保するために講じられているその他の保護措置を無効にしたりすることをユーザーが禁止するサポートポリシーを定めます。

● Aircallは、メールサーバーやプロキシサーバーを含むパブリックネットワークへのすべてのゲートウェイで、受信コンテンツと送信コンテンツをスキャンして悪意のあるコードを探します。

● Aircallは、感染が確認されたファイルを隔離または削除し、イベントを記録します。

D.メジャー：アクセス制御のための技術的および組織的対策、特にデータにアクセスする施設およびシステムへの許可された参入者の合法性を管理するための対策：

● Aircallは、次の手順に従って、敷地内のセキュリティ（例えば、出入り口の確保）および建物内の対策が講じられていることを確認します。

● データにアクセスする可能性のあるすべてのパソコンまたはその他のモバイルデバイスのセキュリティと暗号化

● 許可された訪問者を除き、従業員および請負業者のみにアクセス可能 

● アクセス権限を有する者の識別

● キーの制限、およびセキュリティアラームシステムやその他の適切なセキュリティ対策。

Aircallは、データを含む、またはデータを処理する物理的な場所、システム、およびアプリケーションへのアクセスを、当該認定エージェントがシステムまたはアプリケーションにアクセスする必要がなくなった後も、不当に遅延することなく取り消します。

E.メジャー：ユーザーIDおよび認証に関する技術的（パスワード/パスワード保護）および組織的（ユーザーマスターレコード）対策：

Aircallは、妥当な要求があった場合に、データへのアクセスを委託された許可されたユーザーをカスタマーに通知するものとします。

ユーザー管理には、以下の対策が含まれるものとします。

● 制限されたVPNプロフィール;

● 2要素認証の実装

データへのアクセス管理には、以下の対策が含まれるものとします。

● 許可なくデータにアクセスした個人に対する効果的で測定された懲戒処分。

F.メジャー：Aircallが利用するネットワーク（ワイヤレスネットワークを含む）のセキュリティに関する技術的および組織的措置。

すべてのネットワーク制御には、次の対策が含まれるものとします。

● Aircallは、社内外のネットワークの脆弱性スキャンを定期的に実行します。特定された脆弱性は、商取引上妥当な方法と、重大度に基づいて修復されます。

● Aircallは、ネットワークの運用に合理的に適切なファイアウォール技術を導入します。 

● Aircallは、少なくともファイアウォールルールの設定を定期的に見直し、旧バージョンのルールが削除され、アクティブなルールが正しく設定されていることを確認します。

● Aircallは、ネットワークに不適切なアクティビティがないか監視するために、侵入検知または侵入防止システムを導入します。

● Aircallはログ管理ソリューションを導入し、ファイアウォールおよび侵入検知システムによって生成されたログを最低1年間保持するものとします。

ワイヤレスネットワーク制御には、さらに次の対策が含まれるものとします。

● ワイヤレスネットワークへのネットワークアクセスは、許可されたユーザーのみに制限してください。 

● アクセス ポイントは、ゲートウェイ デバイスを使用して、内部有線 LAN からセグメント化する必要があります。

● サービスセットID（SSID ） 、 管理者ユーザーID、パスワード、暗号化キーをデフォルト値から変更します。

● 業界標準の暗号化アルゴリズムを使用して、すべてのワイヤレス接続の暗号化が有効になります。暗号化プロトコルは「Wireless Protected Access」（WPA2）以上に基づいています。 

G.メジャー：Aircallは、インシデントの特定、影響の軽減、再発の防止が可能なインシデント対応機能を維持します。事象が発生した場合、Aircallは、(i) データまたは将来の事象のさらなる侵害を防止するために必要なすべての措置を迅速に講じます。(ii) 適用されるデータ保護法の下で必要とされる場合、事象の特定後、影響を受けたお客様に不当に遅滞なく通知し、その後書面による報告を行います。(iii) 事象に関する詳細な情報の提供を求めるお客様からの合理的な要請があった場合は、速やかに対応します。Aircallの通知およびレポートには、事象の性質、その影響、および講じられたまたは計画された調査、是正、是正措置に関する説明が含まれます。

H.メジャー：ビジネス継続性とディザスタリカバリ。Aircallは、サービスの可用性を維持するために、商業的に妥当な業界標準の事業継続計画（以下「事業継続計画」）を実施します。Aircallは、すべてのサブスクリプションの期間中、かかる継続性プランを維持するものとします。ただし、かかる変更または修正がサービスの可用性を維持するAircallの能力に重大な悪影響を与えない限り、Aircallは継続性プランを変更または修正する権利を有するものとします。

 

展示C

Aircallサービスレベルアグリーメント

1.定義 

本別紙の目的において、以下の用語の意味は、以下に定めるとおりとします。本スケジュールで最初に大文字で表記される用語のうち、本セクションまたは本スケジュールで定義されていないものは、エンドユーザー契約（以下に定義）でそれぞれ意味を有するものとします。 

• 「カスタマー原因」とは、次の事象の原因のいずれかを意味します。(a) カスタマーまたはそのユーザーによるサービスの不注意または不適切な使用、誤適用、誤用、濫用、損傷、(b) カスタマーまたはそのユーザーによるサービスの改善、その他の変更、または変更、(c) カスタマーまたはそのユーザーによるその時点での利用規約と矛盾するサービスの使用、(d) Aircallがカスタマーに提供していない、またはカスタマーに提供させた第三者の製品またはサービスのカスタマーによる使用、または(e) カスタマーまたはユーザーによる現行以外のバージョンまたはサービスのリリースの使用。 
• 「ダウンタイム」とは、サービスのコア機能（電話の受発信）が使用できなかったことを意味します（連続5分単位）。「ダウンタイム」という用語には、「除外」（以下に定義）に関連するサービスが利用できない状態は含まれません。 
• 「エラー」とは、後述の第3.c項の「サービスレベル」の表に定義されているサービスの障害を意味します。 
• 「機能リクエスト」とは、現在利用できないサービスの新機能の組み込みまたは既存の機能の拡張のリクエストを意味します。 
•  「エンドユーザー契約」とは、Aircallとカスタマーとの間で交わされるAircallカスタマー契約を意味します。 
• 「リクエスト」とは、カスタマーからAircallSupport担当者に対して、Aircallサービスまたは利用に関する質問や問題を解決するためにテクニカルSupportを要求することを意味します。 
• 「サポート」。Aircallは、後述の第4項で定義する「除外」に関連するSupportエストを除き、お客様にテクニカルSupportを提供します。誤解のないように、請求に関する質問と問い合わせ、および移転リクエストは、このスケジュールではサポートの一部とはみなされません。 
• 「稼働率」とは、該当する月の暦月ベースで計算されたダウンタイムの割合と、100パーセント（100%）の差として計算された一般サービスの可用性を意味します。「稼働時間」という用語には、「除外」（以下に定義）に関連するサービスの停止は含まれません。

2.エアコールのサービスレベル 

a) エアコールサービスの提供状況 

Aircall Servicesの稼働率は99.95%とします。計画メンテナンス/ダウンタイムは、エンドユーザー契約の条項に従って制限されるものとします。

3.Aircallサポート 

a) サポートの条件 

• Aircallサポートへのアクセス。サポートリクエストは、Aircallサポートポータル(support.aircall.io)を使用して送信する必要があります。 
• エンドユーザー契約の遵守。Aircallは、サービスの実施がエンドユーザー契約に実質的に準拠するように、商業上妥当な努力をしてテクニカルSupportを提供します。疑義が生じるのを避けるため、エアコールは、以下に定義する除外事項に該当する場合、テクニカルSupportを提供しません。 
• リクエストの特徴。リクエストの送信時に、カスタマーが重大度を決定します。Aircallは、カスタマーからリクエストを受け取ると、単独の裁量で、後述の第3.c項に定められた定義に基づいて、リクエストの重大度を確認します。Aircallは、必要に応じてリクエストの重大度と優先度レベルを変更することがあります。 
• 言語サポート。両当事者は、本ガイドラインに従ってAircallが提供するすべてのサポートが、ヨーロッパ地域においてフランス語、スペイン語、またはドイツ語で提供されることに同意します。
  • 営業時間、商取引上妥当な努力。その地域の言語を話すユーザーがいない場合でも、サポートは英語で提供されます。 
• 確認およびリクエスト解決の手順。お客様は、リクエストを作成する際に、報告された問題の詳細とリクエストされた診断情報（以下を含む）を提供します。 

○ Aircallのアカウント名またはインスタンス名 

○エラーメッセージを含む問題の説明 

○ Aircallに連絡する前に、お客様の問題解決への取り組みの説明 

○ユーザーのソフトウェアのバージョン 

○お客様のマシン、ネットワーク、ハードウェアの仕様と構成（必要な場合） 

お客様は、リクエストを作成する前に、Aircallのナレッジベースおよびドキュメントをすべて読み、使用し、Aircallが要求する要件、ベストプラクティスの採用、およびサービスを確実に履行するための製品ガイダンスに適合するようにするものとします。 

お客様は、質問に回答し、必要に応じて迅速にAircallサポート担当者をサポートするために、メールまたは電話でさらに連絡を取ることを約束するものとします。お客様は、Aircallサポート担当者がエラーを修正するように推奨する指示およびガイドラインに従うことを約束するものとします。カスタマーの関与を必要とする対応がない場合、リクエストはAircallによって解決されたとみなされます。 

b) エアコールサポート時間 

c) 重大度 

次の表に、お客様から報告されたエラーの重大度を示します。リクエストの送信後、Aircallはエラーを調査し、以下の表に従って当該リクエストに対応するための商取引上妥当な努力をします。

4.除外 

本エンドユーザー契約にこれと異なる規定がある場合でも、次の場合、SLA違反は発生しなかったものとみなされます。(a) AircallがAircallサービスへのアクセスおよび管理を維持するネットワーク内のポイントを超えて発生する、第三者、ホスティングプロバイダまたは通信事業者に関連する問題またはインターネットアクセスまたは関連問題を含むがこれに限定されない、(b) お客様または第三者の作為または不作為に起因する、(c) お客様のアプリケーション、お客様の機器、ソフトウェアまたはその他の技術または第三者の機器、ソフトウェアまたはその他の技術に起因する、(d) Aircallの予定されたメンテナンス中または緊急のメンテナンス中、天災または不可抗力のイベントに起因する、および/または(e) お客様に起因する結果。

 

別紙1

Zuperマスター利用規約

本Zuperマスター利用規約（以下「本契約」）は、事業所所在地が24754 NE, 3rd Pl, Sammamish, WA - 98074のZuper, Inc.（以下「Zuper」）と、本契約に添付されているZendesk SOWに記載されている契約者（以下「カスタマー」）との間で作成および締結されます。お客様とZUPERは、それぞれ「当事者」と呼ばれ、総称して「当事者」と呼ばれます。

 

前置き

 

一方、ZUPERは、従業員の効率性と生産性を向上させるための現場ワークフォースマネジメントソリューション（「Zuperプラットフォーム」）を開発し、サービス（以下に定義）のSupportサービスを実装、統合、提供するために必要な経験、専門知識、スタッフを有していることを保証しています。

 

一方、お客様は、ZUPERが提供するサービスの実装に関心を示しています。

 

一方、お客様およびZUPERは、デラウェア州の企業であるZendesk, Inc.およびその適用関連会社（「Zendesk」）が、お客様とZendeskとの間で締結されたZendesk SOWに従って、本契約に基づいてお客様がZUPERに注文したサービスへの加入に関する請求を処理することに同意します。「Zendesk SOW」とは、Zendeskがお客様に発行する作業範囲記述書または同様の注文書を指し、本契約に基づくお客様のサービスプラン、料金、請求、およびサービスの加入期間を定めるものです。

 

したがって、本文書に定められた表明、相互契約および合意を考慮し、また、当事者が本文書で認める十分かつ価値ある検討のために、当事者は以下のように同意します。

 

製品とサービス

 

本契約の条件に基づき、ZUPERはフィールドワークフォースマネジメントソリューション（「Zuperプラットフォーム」）のサブスクリプションをzuper.coまたはZUPERが指定するその他のWebサイトを通じて提供および販売します（「サービス」）。

 

Zendesk SOWの下で指定された適用料金をタイムリーに支払うことを条件として、本契約の条件に従い、ZUPERはお客様およびお客様の管理下にある個人または法人に対し、直接的または間接的に、サブライセンス不可、譲渡不可、非独占的にサービスにアクセスし、使用する権利を付与します。本条項の目的において「支配」とは、議決権証券の所有、契約その他の方法の如何を問わず、企業の経営、事業または方針を指示する、または指揮させる権限、または当該企業に関して同様の権限を行使する取締役、マネージャー、パートナーまたはその他の個人の少なくとも3分の1を選任または任命する権限を意味します。 

 

本契約に明示的に定められている権利を除き、Zuperプラットフォーム、サービス、および/またはその一部に関するその他の権利または利益は、お客様に移転または付与されません。上記に限定されず、お客様は次の行為を行なえません: (i) Zuperプラットフォームまたはサービスを本契約に明示的に定められた目的以外の目的に使用する、(ii) Zuperプラットフォームを複製または複製する、(iii) Zuperプラットフォームまたはその一部をリバースエンジニアリング、逆コンパイル、変更または修正する、Zuperプラットフォームのソースにアクセスする、または派生物を作成する、(iv) サービスまたはその一部を使用する権利の全部または一部を譲渡する。 

 

含まれる機能：

 

トレーニング

 

パッケージには、オンラインインストラクターによるトレーニングが含まれています。 

 

1.          パーソナライズされたインストラクター主導のインタラクティブセッション。

2.          製品ドキュメントとハウツーコンテンツへのアクセス

3.          ベストプラクティスと推奨事項を共有する。

 

トレーニングの目的は、チームが製品を体験し、すべての機能を最も最適化された方法で活用するためのベストプラクティスを理解することです。 

 

手数料

Zendeskは、Zendesk SOWの定めるところにより、本契約に基づいてお客様がZUPERに注文したサービスへのお客様の加入料金の請求を処理するものとします。請求書はZendesk SOWの条件に従ってに送付され、支払い期限が到来します。本契約に基づくお客様のサービス加入の範囲の変更は、別途Zendesk SOWを通じて行うものとします。

 

定期的な更新と改善要求

ZUPERは隔月ベースでお客様とのミーティングをスケジュールし、ロードマップとサービスのアップデートについてお客様に通知します。本契約書に記載されている価格には、ZUPERがリリースする定期的な更新が含まれており、お客様はかかる更新に対して追加の支払いを受けることはできません。Premiumプランの機能はサブスクリプションの価格に含まれません。ZUPERは、お客様のプレミアム機能に関する最新情報を共有し、価格は本契約とは関係なく共有され、相互に合意されます。 

お客様は、要件の変化に応じて、サービスの変更を随時要求することがあります。本契約とは別に、両当事者は、お客様がサービスに大きな変更を必要とする場合、コストや期間などの条件を相互に合意するものとします。 

 

Zuperとの今後のサードパーティソフトウェアインテグレーションはすべて、ユーザー月額の料金に含まれています。

 

サポート終了のお知らせ、稼働率

ZUPERは、機能の提供終了または機能の提供終了の少なくとも6か月前にお客様に通知します。

ZUPERは、本サービスが期間中、任意の暦月（すなわち、1か月あたり最大43分のダウンタイム）に少なくとも99.9%の月間稼働率を達成することを表明し、保証します。計画的なメンテナンス/ダウンタイムは、所定の月に4時間未満に制限されるものとし、ZUPERはお客様にかかるダウンタイムについて少なくとも7日前に書面（電子メール可）で通知します（「計画的なダウンタイム」）。

 

SUPPORT

電話とメールによるSupportは、追加料金なしでパッケージに含まれています。問題や質問がある場合、カスタマーのユーザーはZuperサポートに連絡して支援を求めることができます。電話Supportのスペシャリストは、問題のトラブルシューティングとデバッグを行うことで、テクニカルSupportを迅速に提供します。技術的な問題とそうでない問題の両方について、メールSupportを利用できます。Zuperは、別紙Aに定めるSupportの約束を本書に添付してお客様に提供するものとします。  

 

情報セキュリティ要件

ZUPERは、別紙Bに定める情報セキュリティ要件を提供し、これを遵守します。

 

データ処理契約

両当事者は、別紙Cに定めるデータ処理契約に同意するものとします。

 

期間

本契約は、該当するZendesk SOWの発効日に発効し、Zendesk SOWのいずれかの条項に従って早期に終了しない限り、該当するすべてのZendesk SOW（「期間」）の期限が切れるまで有効です。

 

財産権

Zuperプラットフォームで利用可能なソフトウェアの一部（たとえば、JQueryのみ）は、「オープンソース」または「フリーソフトウェア」ライセンス（「サードパーティソフトウェア」）の対象となります。かかるサードパーティソフトウェアは本契約の条件の対象外ですが、かかるサードパーティソフトウェアに付随する条件の条件下で提供されます。

第三者ソフトウェア（上記で定義）に関する場合を除き、ZUPERは、Zuperプラットフォームおよびサービス、およびそれらのすべての適応、変更、機能拡張、改善、ZUPERの機密情報に関するすべての知的財産権を含むすべての権利を所有し、保持するものとします。疑義を取り除くために、お客様がサービスを使用して開発したコンテンツはお客様の財産となります。

 

マーケティング

 お客様は、本契約により、ZUPERに以下の権利を付与します。

1.          名前およびサービスマークをマーケティング資料またはその他の口頭、電子的、または書面によるプロモーションに使用する。これには、カスタマーをZUPERのカスタマーとして指名すること、および提供されるサービスの簡単な範囲が含まれるものとします。 

2.          本契約に関連するプレスリリースを発行します。 

3.          ケーススタディを公開します。

4.          Webサイトやその他のマーケティング資料にお客様の声を公開します。

 

責任の補償および制限

ZUPERは、Zuperプラットフォームおよび/またはサービスが知的財産権を侵害しているとの申し立てに基づき、いずれかの申し立て、訴訟または訴訟手続きから生じた、管轄裁判所から最終的に与えられた損害、費用および経費（合理的な弁護士費用を含む）から、およびお客様を弁護し、補償し、無害に保つものとします。ただし、  お客様が書面により速やかにZUPERに通知し、かかる訴訟、訴訟手続きまたは和解を管理および処理する権限、情報、および支援（当社の費用負担）をZUPERに付与したものとします。上記の補償は、上記に関連してカスタマーが受ける唯一の救済策となります。 

故意の不正行為、重大な過失、または機密保持義務違反の申し立てを除き、いかなる場合も、本契約に関連して、または本契約に起因する逸失利益、逸失利益、またはのれんの喪失を含むがこれらに限定されない、いかなる性質または種類の間接的、付随的、特別的、結果的、または懲罰的な損害に対しても、たとえ他方の当事者がそのような損害の可能性について通知を受けていたとしても、他方の当事者は責任を負いません。いかなる場合も、本契約に基づく両当事者の責任総額は、該当する請求に先立つ期間に本契約に基づいてZUPERに実際に支払われた料金総額を超えないものとします。

 

機密性

ZUPERとお客様は、本契約に基づいて交換される情報の機密性を管理するすべての適用法令に相互に拘束され、遵守することに同意します。

 

社内開示：各当事者は、開示当事者の秘密情報の機密性および機密性を維持し、機密情報を第三者に開示しないものとします。受領当事者は、本契約の目的において、当該機密情報に関して正当な知る必要のある、少なくとも本契約の機密情報条項と同程度に制限的な守秘義務に拘束されている開示当事者の機密情報を、受領当事者自身の担当者および役員に開示することができ、受領当事者は、本契約の目的において必要な場合のみ、機密情報を使用するものとします。

価格開示：Zendesk SOWに記載されている価格は、お客様専用価格であり、お客様が他のZuperカスタマー、パートナー、またはプレスと共有することはできません。 

保護：受領当事者は、機密情報の機密性を保護するために必要かつ適切なあらゆる合理的な予防措置を講じるものとします。 

非競合：Zuperは、事前の承認なしに、ビジネスを勧誘したり、お客様のクライアントに直接アプローチしたりすることはありません。

 

重大な違反

本契約に重大な違反がある場合、影響を受ける当事者（「通知当事者」）は他方の当事者（「通知当事者」）にそのような違反を通知するものとします。通知を受けた当事者が当該通知の受領後1か月以内に違反を是正しない場合、通知当事者は、追加の通知を行うことなく本契約を終了し、当該違反に起因する損害賠償を請求する法的措置を取ることができます。

 

不可抗力

当事者の一方が本契約に基づく義務を履行しない場合、またはそのような不履行が天災、火災、洪水、民事騒擾、暴動、戦争（宣言および未宣言）、革命、禁輸を含むがこれらに限定されないその他の妥当な管理を超える状況に起因する場合、かかる不履行は、かかる事態の期間中および当事者が本契約に基づく履行を再開するのに妥当な期間、免責されるものとします。ただし、いかなる場合も、かかる期間は180日以上延長されないものとします。

 

異議の解決 

本契約および本契約の下で発生するまたは関連する紛争は、抵触法の原則に言及することなく、ワシントン州の法律に準拠し、同法に従って解釈されるものとします。当事者双方は、訴訟を開始した人物にかかわらず、法的手続きおよび本契約について個人の管轄権に従うことに同意します。 

 

別紙A – サポート責任と手順

1.定義

この別紙A：

 

a) 「レベル1サポート」とは、ZUPERがお客様に提供する最初のサポートレベルであり、お客様の情報を収集し、症状を確認し、必要に応じてレベル2サポートにエスカレーションすることを意味します。

(b) 「レベル2 Support」とは、製品の運用およびインフラストラクチャの問題と解決策について、ZUPERがお客様に提供する2番目のレベルのSupportを意味します。

(c) 「レベル3 Support」とは、アプリケーションコードのバグまたはインフラストラクチャコードの解決を対象とする、ZUPERによる3番目のレベルのSupportを意味します。

(d) 「ベンダー サポート時間」とは、重大でない、ビジネス インパクトの重大性が低い問題については、営業日(月~金、年間を通じて毎週)の9:00～24:00を指します。重大で重大なビジネス インパクトの問題に対するサポート時間と対応義務については、以下に説明します。    

 

2.Zuperサポート義務

ZUPERは、Zendeskまたはお客様によって特定され、ZUPERに報告された問題に関して、お客様にすべてのSupportを提供するものとします。これらのSupportサービスは、Zendeskヘルプデスクチケットシステムによって提供されます。

 

ZUPERはSupportリクエストに回答します。

(a) 重大なビジネスインパクトの問題については、24時間365日、30分以内。ZUPERは、問題が解決されるまで30分ごとに、重大なビジネスインパクトの問題に関する最新情報をお客様（およびZendeskからZUPERに転送されたカスタマーSupportリクエストに関連するそのような重大なビジネスインパクトの問題がある場合はZendesk）に提供するものとします。「重大なビジネスインパクト」とは、「サービス」の本番環境内の重要な機能を停止したり、「サービス」内のデータのセキュリティ/整合性を損なったりする問題を指します。重大なビジネスインパクトの問題は、混乱が継続している限り、解決が急務であり、妥当な回避策がない状態が続きます。

(b) 重大なビジネスインパクトの問題については、24時間365日1時間以内ZUPERは、問題が解決されるまで、1時間ごとに、重大なビジネスインパクトの問題に関する最新情報をお客様（およびZendeskからZUPERに転送されたカスタマーSupportリクエストに関連するビジネスインパクトの重大な問題の場合はZendesk）に提供するものとします。「重大なビジネスインパクト」とは、重要な機能が低下する問題、お客様の通常のビジネスオペレーションを大幅に中断または低下させる問題、お客様の本番環境にあり、一刻を争う問題、および/または通常のビジネスオペレーションを維持するために問題に対処するために計画外の重大な努力が必要となる問題を指します。

(c) その他の問題および問い合わせについては、ベンダーサポート時間6時間以内

(d) 商業上妥当な期間内に発生した問題を解決すること。

(e) 問題が正常に解決されるまで、少なくとも週に1回、未解決の問題に関する最新情報を継続的に提供する。

 

 

別紙B - 情報セキュリティ要件

ZUPERは、お客様が提供または利用可能にしたすべてのコンテンツ、資料、データ（個人データを含む）、非公開情報（以下、総称して「データ」）を保護し、未承認または違法な処理、偶発的な損失、破壊または損傷からデータを保護するために、以下に詳述するセキュリティ対策を実施および維持するために商取引上妥当な努力を払うことを保証し、表明します。その際、Zuperは誠実かつ勤勉に行動し、合理的な注意とスキルを使用します。

 

1.          定義：

●  「プロセス」とは、アクセス、収集、保存、移転、開示、使用、消去、破壊、その他の操作を含むがこれらに限定されない、適用された目的や手段にかかわらず、データに関連する操作を意味します。

●  「違反」とは 、 ( a) 不正なデータ処理、または (b) データの処理に関してZUPERが実施する物理的、技術的、組織的保護策を損ない、またはこれらの要件を遵守するために実施する行為または不作為を意味します。疑義を避けるため、「不正な処理」には、誤用、紛失、破壊、侵害、不正アクセス、収集、保持、保管、移転が含まれますが、これらに限定されません。

●  「事象」とは 、 ( i) 法律またはZUPERセキュリティポリシーに違反する行為 、 ( ii) サービスの通常の運用を妨げる計画外のサービスの中断 、 ( iii) 違反を含む、データのセキュリティに対する障害を意味します。

 

2.          メジャー：およびデータの保管、取り扱い、廃棄に関する技術的および組織的措置。

●  ZUPERは、業界標準の暗号化アルゴリズムと主要な強度を使用して、以下のものを暗号化します。

●  すべての公衆有線ネットワーク（インターネットなど）およびすべてのワイヤレスネットワークで伝送される電子形式のすべてのデータを暗号化します。 

●  ストレージ内のすべてのデータを暗号化します。「ストレージ内」とは、データベース、ファイル・システム、さまざまな形式のオンライン/オフライン・メディア（モバイルデバイス、ラップトップ、DASD、テープなど）に保存されている情報を指し、一般に「保存」とも呼ばれます。

●  法律で禁じられている場合を除き、ZUPERは、(a) サービスが完了したとき、または (b) お客様（または該当する場合はZendesk）からZUPERの環境からの削除を求められたときに速やかにデータを削除し、妥当な期間内に、リクエストまたはサービス停止の日から21日以内に、データを破棄します。Zuperは、かかる取り外し、破壊、および/または清掃について、当該の日から30日以内にお客様（および該当する場合はZendesk）に書面による証明書を提供します。

 

3.          メジャー：悪意のあるコードの保護。

●  すべてのワークステーションおよびサーバ（仮想または物理）で、業界標準のウイルス対策および/またはマルウェア対策ソフトウェアの最新バージョンを実行し、最新のアップデートをワークステーションまたはサーバで利用可能にします。  ウイルス定義は、ウイルス対策ソフトウェアプロバイダーがリリース次第、速やかに更新する必要があります。  ZUPERは、機器を設定し、ウイルス対策ソフトウェアを無効にしたり、セキュリティ設定を変更したり、データまたはZUPERのコンピューティング環境の安全性を確保するために講じられたその他の保護措置を無効にすることを禁止するためのサポートポリシーを定めます。

●  ZUPERは、メールサーバーやプロキシサーバーなど、パブリックネットワークへのすべてのゲートウェイで、受信コンテンツと送信コンテンツをスキャンし、悪意のあるコードがないか調べます。

●  ZUPERは、感染の確認されたファイルを隔離または削除し、イベントを記録します。

 

4.          メジャー：アクセス制御のための技術的および組織的対策、特にデータにアクセスする施設およびシステムへの許可された参入者の合法性を管理するための対策：

●  ZUPERは、次の手順に従って、建物内の対策（例えば、入口と出口の確保など）を確実に実施します。

●  データにアクセスするすべてのパソコンまたはその他のモバイルデバイスのセキュリティと暗号化。

●  許可された訪問者を除き、従業員および請負業者のみにアクセス可能 

●  アクセス権限を有する者の識別

●  キーの制限;

●  訪問者の帳簿（タイムキーピングを含む）

●  警報システムその他の適切なセキュリティ対策

 

ZUPERは、権限を有するエージェントがシステムまたはアプリケーションにアクセスする必要がなくなった日から24時間以内に、データを含む、またはデータを処理する物理的な場所、システム、およびアプリケーションへのアクセスを取り消します。

 

5.          メジャー：ユーザーIDおよび認証に関する技術的（パスワード/パスワード保護）および組織的（ユーザーマスターレコード）対策：

ZUPERは、合理的な要請があった場合に、データへのアクセスを委託された権限を有する者に通知します。

 

ユーザー管理には、以下の対策が含まれるものとします。

●  VPNプロフィールの制限;

●  2要素認証の実装

 

データへのアクセス管理には、以下の対策が含まれるものとします。

●  許可なくデータにアクセスした個人に対する効果的で測定された懲戒処分。

 

6.          メジャー：ZUPERが利用するネットワーク（ワイヤレスネットワークを含む）のセキュリティに関する技術的および体系的な対策。

 

すべてのネットワーク制御には、次の対策が含まれるものとします。

●  ZUPERは定期的に社内および社外のネットワーク脆弱性スキャンを実行します。  特定された脆弱性は、商取引上妥当な方法と、重大度に基づいて修復されます。

●  ZUPERは、ネットワークの運用に合理的なファイアウォール技術を導入します。

●  少なくとも、ZUPERは四半期ごとにファイアウォールルールセットを見直し、旧バージョンのルールが削除され、アクティブなルールが正しく設定されていることを確認します。

●  ZUPERは、ネットワークに不適切な行為がないか監視するために、侵入検知または侵入防止システムを導入します。

●  ZUPERは、ログ管理ソリューションを導入し、ファイアウォールおよび侵入検知システムによって生成されたログを最低1年間保持します。

 

ワイヤレスネットワーク制御には、さらに次の対策が含まれるものとします。

●  ワイヤレスネットワークへのネットワークアクセスは、許可されたユーザーのみに制限してください。

●  アクセスポイントは、ゲートウェイデバイスを使用して有線LANからセグメント化する必要があります。

●  サービスセットID（SSID ） 、 管理者ユーザーID、パスワード、暗号化キーをデフォルト値から変更します。

●  業界標準の暗号化アルゴリズムを使用して、すべてのワイヤレス接続の暗号化が有効になります。暗号化プロトコルは「Wireless Protected Access」（WPA2）以上に基づいています。

 

7.          メジャー：ZUPERは、インシデントの特定、影響の軽減、再発の防止が可能なインシデント対応機能を維持します。インシデントが発生した場合、ZUPERは、(i) データまたは将来のインシデントのさらなる侵害を防ぐために必要なすべての措置を迅速に講じます。(ii) インシデントが特定されてから24時間以内にお客様に通知し、その後3日以内に書面によるレポートを提供します。(iii) インシデントに関する詳細な情報の提供を求めるお客様からの妥当な要請に迅速に対応します。ZUPERの通知およびレポートには、事象の性質、その影響、および講じられたまたは計画された調査、是正、是正措置に関する説明が含まれます。

 

8.          メジャー：ビジネス継続性とディザスタリカバリ。ZUPERは、サービスの可用性を維持するための商業的に妥当な業界標準の事業継続計画（「事業継続計画」）をお客様に提供しています。  継続性計画には、(a) 危機管理、計画およびチームの活動化、イベントおよびコミュニケーションプロセスの文書化、(b) イベント管理、ビジネスリカバリ、代替サイトロケーション、コールツリーテスト、(c) インフラストラクチャ、技術、およびシステムの詳細、リカバリアクティビティ、およびかかるリカバリに必要なメンバー/チームの特定などの要素が含まれ、これに限定されません。  ZUPERは、すべてのサブスクリプションの期間中、当該の継続性プランを維持するものとします。ただし、当該変更または修正がサービスの可用性の維持に重大な悪影響を与えない限り、ZUPERは継続性プランを変更または修正する権利を有するものとします。

 

9.          お客様の要請に応じて、Zuperは、本契約のすべての該当する展示物に概説されているように、また随時存在するように、お客様のベースラインのセキュリティ要件に適合するように、自社の情報セキュリティプログラムまたはそれに基づく手順および慣行に商取引上妥当な変更を加えるものとします。  お客様は、本契約に基づくお客様の機密情報に含まれる当該ベースラインのドキュメントをZUPERに提供するものとします。  ZUPERは、少なくとも本契約で要求されるトピックを含む、お客様のための書面による情報セキュリティ計画を作成するものとします。

 

 

 

別紙C - Zuper Data Processing Agreement

データ処理契約（「DPA」）は、カスタマー（「カスタマー」または「管理者」、その後継者および譲受人を意味し、これを含む表現）とZuper（「Zuper」または「処理者」、その後継者および譲受人を意味し、これを含む表現）の間の契約を構成するため、よくお読みください。このDPAは、Zuperが個人データの処理者である場合に適用されます。処理者および管理者は、それぞれ「当事者」および総称して「当事者」と呼ばれます。

 

 

1.    契約の範囲と責任の分担

 

1.1    当事者は、個人データの処理に関して、当事者が管理者および処理者となることに同意します。

1.2    処理者は、管理者の代理としてのみ、また常にこのデータ処理契約（特にそれぞれの展示物）に従ってのみ個人データを処理するものとします。

1.3    Zuperマスター利用規約（以下「本契約」）の範囲内で、各当事者はデータ保護法の下で管理者および処理者としてそれぞれの義務を遵守する責任があります。

2.    処理手順

 

2.1    処理者は、管理者の指示に従って個人データを処理します。本データ処理契約には、処理者に対する管理者の最初の指示が含まれています。両当事者は、コントローラが最初の指示の変更をプロセッサへの書面による通知によって通知することができ、プロセッサがそのような指示に従うことに同意します。処理者は、かかる個別の指示すべてについて、安全かつ完全、正確かつ最新の記録を維持するものとします。

2.2   疑義を避けるため、本データ処理契約の範囲外の処理につながる指示（例えば、新しい処理目的が導入された場合など）は、両当事者間の事前の合意が必要であり、該当する場合、それぞれの契約に基づく契約変更手続きに従うものとします。

2.3   管理者から指示があった場合、処理者は個人データを修正、削除またはブロックします。

2.4   処理者は、指示がデータ保護法に違反していると処理者が判断した場合、速やかに書面で管理者に通知し、書面でその理由を説明するものとします。

2.5  処理者は、第2項で処理者から提供された情報を管理者が受領した後、GDPRに準拠していないと判明した管理者の指示に従った処理に起因する、またはそれに関連するDP損失については責任を負いません。

3.    処理担当者

 

処理者は、その従業員が許可なく個人データを処理することを制限します。処理者は、機密保持、データ保護およびデータセキュリティに関する関連義務を含む適切な契約義務を従業員に課します。

4.    第三者への開示、データ主体の権利

 

4.1    処理者は、本契約に定める場合、管理者からの書面による同意がある場合、または適用される義務法を遵守するために必要な場合を除き、個人データを第三者（政府機関、裁判所、法執行機関を含む）に開示しません。処理者が個人データを法執行機関または第三者に開示する必要がある場合、処理者は、そのようなアクセスを許可する前に、管理者に妥当な通知を行い、管理者が秘密保持命令またはその他の適切な是正措置を求めることができることに同意します。かかる通知が法的に禁止されている場合、処理者は、それが処理者自身の機密情報として要求されたかのように個人データを不当に開示しないように合理的な措置を講じ、かかる法的禁止が適用されなくなった場合および適用されなくなった場合には、できるだけ早く管理者に通知するものとします。

4.2   管理者は、個人データの処理に関連するデータ主体からの要求または通信を受信した場合（「要求」）、処理者は、管理者から指示があった場合に、当該要求に関して完全な協力、情報および支援（「支援」）を提供するものとします。

4.3   処理者がリクエストを受け取る場合、処理者は、(i) 当該リクエストに直接応答せず、(ii) リクエストが管理者に関連していると特定してから3営業日以内にリクエストを管理者に転送し、(iii) 管理者からのさらなる指示に従って支援を提供するものとします。

5.    の技術および組織的措置（「TOM」）

 

5.1    処理者は、個人データが本データ処理契約に従って処理されることを保証し、支援を提供し、個人データの侵害から個人データを保護するために、適切な技術的および組織的セキュリティ対策を実施および維持するものとします。このような措置は、別紙2の付録2に示されている。

5.2   処理者は、実装されたTOMを文書化し、要求があれば、ISO 27001認証などの認証を含むそのような文書を管理者に提供するものとします。

6.    データ保護インパクト評価による支援

 

6.1    個人データの処理に適用されるデータ保護法の下でデータ保護影響評価（「DPIA」）が必要な場合、処理者は、お客様が関連情報にアクセスできない場合、およびそのような情報がZuperに提供される範囲で、お客様のサービス利用に関連するDPIAを実行する義務を果たすために必要な合理的な協力と支援を管理者の要求に応じて提供するものとします。

6.2   管理者は、第7項の支援の提供に関して当事者間で相互に合意した妥当な料金をプロセッサーに支払うものとします。ただし、かかる支援は、サービスの通常の提供において合理的に対応できない範囲とします。

7.    の情報権限と監査

 

7.1    処理者は、データ保護法に従って、処理者がデータ保護法の下で義務を遵守していることを示すために必要な情報を、要求に応じて適時、管理者に提供するものとします。

7.2    Zuperは、当社のセキュリティページに記載されている第三者認証および監査を取得しています。管理者の書面による要求に基づき、本契約に定められた守秘義務の対象となります。Zuperは、必要に応じて、Zuperおよび最新の第三者監査または認証のコピーを管理者に提供します。

 

8.    のデータインシデント管理と通知

 

「サービスデータ」事象処理者に関して、次の事項を行うものとします。

 

8.1    処理業者または下請業者が関与する個人データの侵害を、不当に遅滞なく（ただし、事象に気付いてから72時間以上経過していない場合）、管理者に通知する。

8.2   そのような事象の原因を特定し、Zuperの妥当な管理の範囲内において事象の原因を是正するために、処理者が必要かつ妥当と考える措置を講じる合理的な努力をします。

8.3   データ主体および各国のデータ保護当局への個人データ違反の連絡を含め、データ保護法に基づく個人データ違反に対してとるべき措置に関して、合理的な情報、協力および支援を管理者に提供する。

第8項に含まれる義務は、カスタマーまたはカスタマーのユーザーに起因するデータインシデントには適用されません。

 

 

9.    副処理

 

9.1    管理者は、プロセッサーが副処理者の選任または交代の前に、少なくとも15日前に製品内通知または電子メールによる通知をアカウント管理者に提供する場合、本契約に基づく義務を履行するために、以下に示す第三者の副処理者に個人データを処理することに同意します。

 

副処理者のリスト

 

 

副処理者の連絡先情報

 

 

管理者は、データ保護に関する合理的な理由に基づく場合、復処理者の選任または交代の前に、復処理者の選任または交代に反対することができます。このような場合、処理者は復処理者を選任または交代させることはせず、それができない場合、管理者はサービスの一時停止または終了をすることができます（当該停止または終了の前に管理者が負担した料金を損なうことはありません）。

9.2   処理者が、管理者の同意を得て、本データ処理契約に基づく義務および権利を再委託する場合、第1条に従って本質的に同じ義務を課する下請業者との拘束力のある書面による契約によってのみこれを行うものとします。28 特に、このData Processing Agreementに基づいて処理者に課される下請業者への指示およびTOMに関するGDPR。

9.3   処理者は、下請け業者のTOMの適合性に関して特に慎重に復処理者を選択したことを確認する必要があります。処理者が各復処理者と、当該復処理者が提供するサービスの性質に適用される範囲のサービスデータの保護に関して、本契約のデータ保護義務と同等以上のデータ保護義務を含む書面による契約を締結していること。

副処理者。

9.4   下請業者が下請契約に基づくデータ保護義務を履行しない場合、処理者は、本データ処理契約に基づく義務の履行および下請業者の義務の履行について、管理者に対して全責任を負うものとします。

 

10.  の期間と終了

 

10.1  このデータ処理契約は署名により有効になります。処理者が別紙1に従って個人データを処理している間は、引き続き完全に効力を有し、その後自動的に停止します。

10.2  管理者は、処理者が本データ処理契約の条項に著しく違反している場合、合理的な通知または通知なしに、いつでもデータ処理契約および本契約を終了することができます。

10.3  本データ処理契約またはデータ保護法の附属書の遵守を確保するために修正が必要な場合、両当事者は管理者の要求に応じて、疑義が生じるのを避けるため、管理者に追加費用なしで当該修正に同意するものとします。当事者が当該修正に同意できない場合、一方の当事者は他方の当事者に90日前に書面で通知することにより、本契約および本データ処理契約を終了することができます。

11.    個人データの削除または返却

 

管理者は、お客様のアカウントの終了前に、すべてのサービスデータをエクスポートすることができます。いかなる場合でも、お客様のアカウントの解除後、(i) 下記 (ii) および (iii) 本契約 に従い、サービスデータは、管理者がサービスデータをエクスポートするためにプロセッサーに連絡できる終了日から14日間保持されます。(ii) 管理者がカスタムメールボックスを使用せず、サービス内で電子メール機能を使用する場合、サービスデータの一部を構成する電子メールは自動的に3ヶ月間アーカイブされ、(iii) ログはログ管理システムで30日間アーカイブされ、その後ログは制限付きのアーカイブ済みコールドストレージに11ヶ月間（それぞれ「データ保持期間」）廃棄されます。かかるデータ保持期間の各期間を超えて、処理者は、処理者の法的義務の遵守、正確な享受およびその他の記録の維持、紛争の解決、契約の実施に必要な場合を除き、通常の運用中にすべてのサービスデータを削除する権利を留保します。いったん削除したサービスデータを元に戻すことはできません。

12.    その他

 

12.1  不一致が生じた場合、本データ処理契約の規定は、処理者との他の契約の規定よりも優先されるものとします。

12.2  本契約に記載されている責任制限は、データ処理契約の違反に適用されます。

12.3  当事者は、本文書または別の契約に明示的に定められている場合を除き、本データ処理契約に基づく義務を履行したことに対して報酬を受けないものとします。

12.4  本データ処理契約で「書面による通知」を必要とする場合、当該通知は他方の当事者に電子メールで通知することもできます。通知は、別紙1 VIIに定める連絡先に送付されるものとする。

12.5  このデータ処理契約の補足契約または修正は、書面で行い、両当事者が署名する必要があります。

12.6  このデータ処理契約の個々の規定が無効、無効または実行不能になっても、本契約の残りの条件の有効性には影響しません。

13.    表現

「アカウント管理者」とは、プロセッサからの通知の受信をコントローラによって許可された個人を意味します。

「データ保護法」とは、GDPRを含む、管理者が設立する国のデータ保護法、および本契約に関連して管理者に適用されるデータ保護法を意味します。

「DP損失」とは、以下を含むすべての負債を意味します。

a)       費用（訴訟費用を含む）

 

b)     請求、要求、訴訟、和解、請求、手続き、費用、損失および損害（物質的か非物質的かを問わず、精神的苦痛を含む）

c)     適用法により認められる範囲：

i)      データ保護機関またはその他の関連規制当局によって課される管理上の罰則、罰則、制裁、責任またはその他の救済策

ii)     データ保護機関が処理者により支払うよう命令したデータ主体への補償

iii)    データ保護機関またはその他の関連する規制当局の調査を遵守するためのコスト。

「GDPR」とは、個人データの処理および当該データの自由な移動に関する自然人の保護に関する2016年4月27日の欧州議会および理事会の規則(EU)2016/679を意味します。

「個人データ」とは、欧州連合の一般データ保護規則（「GDPR」EC-2016/679）で規定される、識別または識別可能な自然人に関する情報であり、別紙1に記載のとおり、管理者へのサービス提供の一環として処理者によって処理されます。

「標準契約条項/EU標準契約条項」とは、欧州委員会決定2010/87/EUの附属書に規定された形で、欧州経済領域内のデータ管理者から第三国で設立された処理者への個人データの移転に関するスケジュール1に規定された標準契約条項を意味します。この標準契約条項は、附属書に規定された移転される個人データの説明および実施される技術的および組織的措置を組み込んで改正されます。

「管理者」、「データ主体」、「個人データの違反」、「処理者」、および「プロセス」は、GDPRで定められた意味を有するものとします。

 

 

展示1

処理の詳細

 

データ主体

 

データ主体とは、個人データに関連する個人であり、サービスを使用してやり取りするユーザーまたはエンドユーザーです。

データのカテゴリ

データのカテゴリとは、電子データ、テキスト、メッセージまたはその他の素材に含まれ、お客様のサービスの利用に関連してお客様のアカウントを通じてお客様がサービスに送信されたユーザーおよびエンドユーザーの個人データを指します。

主題と処理の性質

処理される個人データは、個人データの処理を含む、Zuperによるお客様へのサービスの提供に必要な基本的な処理活動の対象になります。個人データは、本契約およびDPAで指定されている処理アクティビティの対象となります。

処理の目的

個人データは、お客様がサービスの使用に関してさらに指示したとおりに、フォームで定められたサービスを提供する目的で処理され、それ以外に本契約、本DPAおよび該当するフォームで同意されます。

処理期間

個人データは、本契約の期間中処理されます。

 

 

展示2

EU標準契約条項（処理者）

 

適切なレベルのデータ保護を保証しない第三国で設立された処理者への個人データの転送に関する規則（EU）2016/679の第46.3条の目的のため

Data Processing Agreement（データ処理契約）で「Controller（管理者）」と定義されている事業体（「データエクスポータ」）

Zuper社

24754 NE, 3rd Way, Sammamish, WA - 98074(「データインポーター」)

それぞれが「当事者」であり、一緒に「当事者」であり、

 

プライバシーおよび個人の基本的権利と自由の保護に関して、データエクスポーターが付録1で規定する個人データのデータインポーターに転送するための適切な保護策を追加するために、以下の契約条項（以下、「条項」）に同意していること。

 

句1

表現

本条項の目的：

(a)   「個人データ」、「データの特別カテゴリ」、「プロセス/処理」、「コントローラ」、「処理者」、「データ主体」、および「監督機関」は、規則(EU)2016/679と同じ意味を有するものとします。

(b)  「データエクスポーター」個人データを転送する管理者を意味します。

(c)    「データインポーター」とは、データ エクスポーターの指示および条項に従って、データ インポーターに代わって処理する個人データをデータ エクスポーターから受け取ることに同意する処理者であり、規則(EU)2016/679の意味における適切な保護を保証するサード パーティのシステムの対象とならない処理者を意味します。

（d）  「復処理者」：データインポーターまたはデータインポーターの他の復処理者が、データインポーターの指示、本条件および書面による下請契約の条件に従って、データインポーターに代わって行われる処理活動専用のデータインポーター個人データの復処理者からの受領に同意する処理者を意味します。

(e)   「適用されるデータ保護法」とは、データエクスポーターが設立する加盟国のデータ管理者に適用される個人データの処理に関して、個人の基本的権利と自由、特にプライバシー権を保護する法律を意味します。

(f)  「技術的および組織的なセキュリティ対策」とは、個人データを偶発的または違法な破壊、偶発的な損失、改ざん、不正な開示、またはアクセスから保護することを目的とする対策であり、特に、処理にネットワークを介したデータの送信が含まれる場合、およびその他すべての違法な処理形態に対して行われることを意味します。

 

条項2

転送の詳細

移転の詳細、特に適用可能な個人データの特別なカテゴリは、本条項の不可欠な部分を構成する付録1に規定されています。

条項3

第三者受益条項

1.      データ主体は、本第4項（b）から（i）、第5項（a）から（e）、および（g）から（j）、第6項（1）および（2）、第7項、第8項（2）、および第9項から第12項を第三者受益者としてデータ輸出者に適用することができます。

2.    データ主体は、本第5項（a）から（e）までおよび（g）、第6項、第7項、第8項（2）、および第9項から12項まで、データインポーターに対してデータインポーターが事実上消滅した、または法律で存在しなくなった場合、後継法人が契約または法律の運用によりデータインポーターの法的義務の全部を負う結果、データインポーターはデータインポーターの権利義務を引き受け、データインポーターはかかる法人に対してデータインポーターの権利義務を課すことができます。

3.    データ主体は、データ主体とデータインポーター者に対して執行することができます。ただし、後継事業体が契約または法律の運用によりデータ主体の権利義務を引き受け、その結果データ主体がデータ主体の権利義務を引き受ける場合を除きます。復処理者のかかる第三者責任は、本条項に基づく自身の処理業務に限定されます。

4.    当事者は、データ主体が明示的に希望する場合および国内法で許可されている場合、データ主体が協会またはその他の団体によって代表されることに反対しません。

 

条項4

データエクスポーターの義務

 

データエクスポーターは以下のことに同意し、保証します。

 

(a )   個人データの移転を含む処理が、適用されるデータ保護法の関連規定に従って実施され（かつ、該当する場合は、データ輸出国が設立する加盟国の関係当局に通知済み）、かつ当該国の関連規定に違反していないこと。

(b)  個人データ処理サービスの実施期間中、データインポーターは、データインポーターに代わって、適用されるデータ保護法および本条項に従ってのみ、転送された個人データを処理するよう指示します。

(c)    データインポーターは、本契約の付録2に規定される技術的および組織的セキュリティ対策に関して十分な保証を提供するものとします。

(d) 適用されるデータ保護法の要件を評価した後、セキュリティ対策が、個人データを偶発的または違法な破壊または偶発的な損失、改変、不正な開示またはアクセス、特に処理がネットワークを介したデータの送信を含むその他のすべての違法な処理形態から保護するために適切であり、これらの措置が、処理によってもたらされるリスクおよび保護するデータの性質について、最先端の状態およびその実施コストに関して適切なレベルのセキュリティを保証すること。

(e )     セキュリティ対策の遵守を保証すること。

(f)    転送に特別なカテゴリのデータが含まれる場合、データ主体は、そのデータが規則（EU）2016/679の意味において十分な保護を提供していない第三者に転送される可能性があることを、転送前または転送後できるだけ早く通知されている、または通知される。

(g)  データインポーターまたは復処理者から第5項(b)および第8項(3)に従って受領した通知を、データエクスポート者が転送の継続または一時停止の解除を決定した場合に、データ保護監督機関に転送する。

(h) データ主体の要求に応じて、付録2を除き、本条項の写し、セキュリティ対策の概要説明、および本条項に従って作成されなければならない再処理サービスに関する契約書の写しを提供する（本条項または契約書に商業情報が含まれている場合を除き、かかる商業情報を削除する場合がある）。

(i )     再処理の場合、第11項に従って、個人データおよびデータ主体の権利について、同項に基づいてインポートされたデータと同レベルの保護を提供する復処理者によって処理活動が行われること。

(j)       第4項(a)から(i)までに適合すること。

 

条項5

データインポーターの義務

 

データインポーターは次のことに同意し、保証します。

 

(a)   データエクスポーターに代わって、その指示および条項に従ってのみ個人データを処理すること。何らかの理由でそのような遵守を提供できない場合、データエクスポーターは遵守できないことを速やかにデータエクスポーターに通知することに同意します。この場合、データエクスポーターはデータの転送を停止し、または契約を終了することができます。

(b) 適用される法律がデータエクスポート者からの指図および契約上の義務の履行を妨げると信じるに足りる理由がなく、本法律の変更が条項の保証および義務に著しい悪影響を与えるおそれがある場合、データエクスポート者はその変更を認識し次第、速やかにデータエクスポート者に通知すること。この場合、データエクスポート者はデータの転送を停止し、または契約を終了することができます。

(c)    転送された個人データを処理する前に、付録2に定める技術的および組織的セキュリティ対策を実施していること。

(d) データエクスポーターに以下の事項を速やかに通知する旨

(i )     法執行機関による個人データの開示の法的拘束力を有する要請（法執行機関による捜査の機密保持のための刑法上の禁止事項など）

(ii)    偶発的または不正なアクセス、

（iii）別段の権限がない限り、その要請に応答することなくデータ主体から直接受け取った要請。

(e )     データエクスポート者からの転送対象個人データの処理に関するすべての問い合わせに迅速かつ適切に対応し、転送されたデータの処理に関する監督当局のアドバイスを遵守すること。

(f)  データエクスポート者から本条項の対象となる処理活動の監査のためにデータ処理施設の提出を求められた場合、データエクスポート者または独立したメンバーで構成され、監督当局と合意して、データエクスポート者が選択した守秘義務に拘束された必要な専門的資格を有する検査機関がこれを実施する。

(g)  条項または既存の復処理契約に商業情報が含まれていない限り、データ主体が本条項または既存の復処理契約のコピーを要求すれば利用できるようにすること。この場合、当該商業情報を削除することができる。ただし、データ主体がデータエクスポート者からコピーを取得できない場合のセキュリティ対策の概要説明に置き換えられる付録2を除く。

(h) 再処理を行う場合に、あらかじめデータ輸出者に通知し、書面による事前の同意を得ていること。

(i )     第11条に従って復処理者による処理サービスが行われること。

(j )     本条項に基づいて締結した復処理契約のコピーを速やかにデータ輸出者に送付すること。

 

条項6

責任

 

1.      両当事者は、当事者または復処理者による第3項または第11項の義務違反の結果損害を受けたデータ主体が、データエクスポート者から損害賠償を受ける権利を有することに同意します。

2.    データインポーターまたはその復処理者が第3項または第11項で言及した義務に違反したためにデータインポーターに対して第1項の規定に基づく賠償請求を提起できない場合、データインポーターは、そのデータインポーターが事実上消滅または消滅し、または債務超過になったために、そのデータインポーターがデータインポーターに対して賠償請求を提起することに同意します。ただし、後継事業体が法律の運用によりデータインポーターの法的義務の全部を負う場合を除きます。この場合、データインポーターは当該事業体に対してその権利を行使できます。データインポーターは、復処理者による自己の責任を回避するための義務違反に依存してはなりません。

3.    データ エクスポーターとデータインポーターの双方が事実上消滅または消滅し、または債務超過になったために、データ エクスポーターまたは第 3 項または第 11 項で言及された復処理者による義務違反が原因で、データ 対象者が第 1 項および第 2 項で言及されるデータ エクスポーターまたはデータインポーターに対して請求を提起できない場合、復処理者は、契約または法律の運用により後継事業体がデータ エクスポーターまたはデータインポーターの法的義務のすべてを負う場合を除き、本条項に基づく自身の処理操作に関してデータ復処理者に対して請求を発行することに同意します。この場合、データ主体は当該事業体に対して権利を行使できます。復処理者の責任は、本条項に基づく復処理者自身の処理業務に限定されます。

 

条項7

仲介と管轄

 

1.      データインポーターは、データ主体が第三者の受益権に反し、および/または本条項に基づく損害賠償を要求した場合、データインポーター主体の決定を受け入れることに同意します。

(a)    異議を独立した者または該当する場合は監督当局による調停に付すこと。

(b)   データエクスポーターの設置国の裁判所に異議を申し立てること。

2.    当事者は、データ主体による選択が、国内法または国際法の他の規定に従って救済を求める実質的な権利または手続き上の権利を損なわないことに同意します。

 

条項8

監督当局との協力

 

1.      データ輸出者は、監督当局から要請があった場合、または適用されるデータ保護法の下でそのような預託が必要な場合、この契約書のコピーを監督当局に寄託することに同意します。

2.    両当事者は、監督機関がデータインポーターおよび復処理者について監査を行う権利を有することに同意します。これらの監査は、適用されるデータ保護法の下でデータインポーターの監査に適用されるのと同じ範囲および同じ条件で行われます。

3.    データインポーターは、データインポーターに適用される法律、データインポーターの監査の実施を妨げる復処理者、または第2項の規定に基づく復処理者の存在をデータエクスポート者に速やかに通知するものとします。このような場合、データエクスポート者は、第5条（b）に定める措置を講じる権利を有するものとします。

 

条項9

準拠法

本条項は、データエクスポーターが設立する加盟国の法律に準拠するものとします。

 

条項10

契約のバリエーション

当事者は、本条項を変更または変更しないことを約束する。これは、本条項に反しない限り、当事者が必要に応じてビジネス関連の問題に関する条項を追加することを妨げるものではありません。

条項11

副処理

 

1.      データインポーターは、本条項に基づいてデータインポーターのために行われる処理業務を、データインポーターの書面による事前の同意なしに再委託してはなりません。データインポーターが本条項に基づく義務を再委託する場合、データエクスポーターの同意を得て、復処理者との書面による合意によってのみ、その義務は本条項に基づいてデータインポーターに課される義務と同じ義務を復処理者に課するものとします。復処理者が当該書面による契約に基づくデータ保護義務を履行しない場合、データインポーターは当該契約に基づく復処理者の義務の履行について、データエクスポーターに対して全責任を負うものとします。

2.    データインポーターと復処理者の間の事前の書面による契約には、第3項で定められた第三者受益条項も定められています。これは、データ主体が事実上消滅、消滅、または債務超過に陥ったためにデータインポーターまたはデータインポーターに対して第6項1項の賠償請求を提起できない場合で、契約または法律の運用によってデータインポーターまたはデータインポーターの法的義務のすべてを負う後継法人がない場合に適用されるものです。復処理者のかかる第三者責任は、本条項に基づく自身の処理業務に限定されます。

3.    第1項の契約の復処理に関するデータ保護に関する規定は、データエクスポート会社が設立された加盟国の法律に準拠するものとします。

4.    データインポーターは、本条項に基づいて締結され、第5項（j）に従ってデータインポーターから通知された復処理契約のリストを保管し、少なくとも年に1回更新するものとします。このリストは、データエクスポート者のデータ保護監督機関が閲覧できるものとする。

 

条項12

個人データ処理サービス終了後の義務

 

1.      両当事者は、データ処理サービスの提供の終了に際し、データインポーターおよび復処理者がデータエクスポーターの選択により、転送されたすべての個人データおよびそのコピーをデータエクスポーターに返却するか、またはすべての個人データを破棄し、その旨をデータエクスポーターに証明することに同意します。ただし、データインポーターに課された法律により、転送された個人データの全部または一部が返却または破棄されることが妨げられる場合を除きます。この場合、データインポーターは、転送された個人データの機密性を保証し、転送された個人データをアクティブに処理しなくなります。

 

2.    データインポーターおよび復処理者は、データエクスポーターおよび/または監督当局の要求があった場合に、第1項の措置の監査を受けるためにデータ処理施設を提出することを保証します。

 

標準契約条項の付録1

 

本付録は本条項の一部であり、両当事者が記入および署名する必要があります。データ処理契約の署名ページに署名することにより、両当事者は本別表1に署名したものとみなされます。

データ エクスポーター:データ エクスポーターは、Data Processing Agreementで「Controller」として識別されるエンティティです。

データインポーター - データインポーターは、Data Processing Agreement（データ処理契約）で「Processor（処理者）」として識別されるエンティティです。

データ主体 - データ主体は、Data Processing AgreementのAppendix 1 No.2に記載されています。

データのカテゴリ - データのカテゴリは、Data Processing AgreementのAppendix 1 No. 3に記載されています。

処理業務 - 転送される個人データは、Data Processing Agreementの付録1 No. 1に記載されている以下の基本的な処理作業の対象となります。

 

標準契約条項の付録2

 

本付録は本条項の一部であり、両当事者が記入および署名する必要があります。データ処理契約の署名ページに署名することにより、両当事者は本別表2に署名したものとみなされます。

第4項(d)および第5項(c)に従ってデータインポーターが実施する技術的および組織的セキュリティ対策の説明(または添付の文書/法令):

プロセッサーは、プロセッサーの従業員がアクセスを許可されている個人データおよびその他のデータを保護するために設計されたさまざまなポリシー、基準、プロセスを維持し、適用し、業界標準と一致するそのようなポリシー、基準、プロセスを随時更新します。署名日の時点で、プロセッサーが実施した技術的および組織的措置について、以下に説明します。

1.    の一般的なセキュリティ手順

 

1.1    処理者は、次の事項を実現するように設計された情報セキュリティプログラムを確立し、維持する責任があります。(i) 個人データのセキュリティおよび機密保持を保護する、(ii) 個人データのセキュリティまたは完全性に対する予測される脅威または危険から保護する、(iii) 個人データへの不正アクセスまたは不正使用から保護する、(iv) 本文書でさらに定義されているように個人データの適切な廃棄を保証する、(v) 処理者のすべての従業員および下請け業者に上記のすべてを確実に遵守させる。処理者は、情報セキュリティプログラムに責任を負う個人を指定するものとします。かかる個人は、コンピューターセキュリティに関する管理者からの問い合わせに対応し、違反または事象が発生した場合には、本文書で詳述するように、管理者の指定連絡先に通知する責任があります。

1.2    処理者は、採用後および/または個人データの処理を担当するよう任命される前に、合理的に可能な範囲で速やかに、すべての従業員に対して正式なプライバシーおよびセキュリティ意識向上トレーニングを実施し、その後毎年再実施するものとします。セキュリティ意識向上トレーニングのドキュメントは、このトレーニングおよびその後の年次再認定プロセスが完了したことをプロセッサが保証して保持するものとします。

1.3    管理者は、サービスの開始前およびそれ以降毎年、管理者の要求に応じて、処理者の情報セキュリティプログラムの概要を確認する権利を有するものとします。

1.4    プロセッサーは、暗号化されていない個人データをインターネットまたはセキュリティで保護されていないネットワーク上で送信してはなりません。また、ノートパソコン、USBドライブ、ポータブルデータデバイスなどのモバイルコンピューティングデバイスに個人データを保存してはなりません。ただし、

ビジネス上の必要性があり、かつ、モバイルコンピューティングデバイスが業界標準の暗号化ソフトウェアで保護されている場合にのみ、処理者は、業界標準のプロトコルを使用して、パブリックネットワークを介してサービスとの間で送受信される個人データを暗号化するものとします。

1.5    個人データの明白または実際の盗難、不正使用または開示が発生した場合、処理者は直ちに原因の調査および是正とその結果の是正のためのあらゆる妥当な措置を開始し、そのような事態の発生が確認された後72時間以内に、管理者に通知し、妥当な要求に応じて追加の情報と支援を提供するものとします。管理者の要求に応じて、是正措置および発見された問題の解決の合理的な保証が管理者に提供されるものとします。

2.    ワークと通信セキュリティ

 

2.1    プロセッサーからコントローラのコンピューティングシステムおよび/またはネットワークへの接続およびすべての接続試行は、コントローラのセキュリティゲートウェイ/ファイアウォールおよびコントローラが承認したセキュリティ手順のみを経由するものとします。

2.2   処理者は、管理者の書面による明示的な許可なしに、権限のない個人または法人が管理者のコンピューティングシステムおよび/またはネットワークにアクセスしたり、アクセスを許可したりせず、そのような実際のアクセスまたはアクセスの試みは、そのような許可と一致するものとします。

2.3   プロセッサーは、コントローラーのシステムに接続するプロセッサーのシステムおよびそのようなシステムを通じてコントローラーに提供されるものに、中断、変更、削除、

損傷、無効化、無効化、危害、またはその他の方法で、管理者のシステムの動作を妨げる場合。

2.4   処理者は、(i) 悪意のある接続の試みを特定し、スパム、ウイルスおよび不正な侵入をブロックするためのファイアウォールおよび脅威検出システム、(ii) 悪意のあるユーザーまたは悪意のあるコードによる攻撃に耐えるように設計された物理ネットワーク技術、(iii) 業界標準のプロトコルを使用してパブリックネットワーク上で伝送されるデータを暗号化するなど、データ保護のための技術的および組織的手段を維持するものとします。

3.    の個人データ処理手順

 

3.1    情報の消去および電子記録媒体の破壊。個人データを含むすべての電子記録媒体は、コントローラ作業エリアを出発する前に、NIST SP800-88「メディアサニタイズに関するガイドライン」などの法医学業界標準に準拠した方法で、物理的破壊または廃棄のために消去または消磁する必要があります。ただし、コントローラにサービスを提供するという明確な目的のためにポータブルメディアに保存されている暗号化された個人データは除きます。処理者は、インフラストラクチャレベルのリソースについて、データの消去および破壊に関する商業上妥当な証拠書類を維持するものとします。

3.2   処理者は、次の事項を含む、許可された者のみが個人データにアクセスできるようにするための認可および認証技術とプロセスを維持するものとします。(i) 知る必要の原則に基づいてアクセス権を付与する、(ii) 許可された従業員、またはシステムへのアクセスを許可、変更、キャンセルできる従業員の記録を確認して維持する、(iii) 複雑さ、長さ、および期間要件を満たすパスワードを使用するようにパーソナライズされた個々のアクセスアカウントを要求する、(iv) 誤った使用または隔離された状態で復元された場合にパスワードを解読できないように保管する、(v) 個人データを含むシステムへのすべてのアクセスセッションを暗号化、記録、および監査する、(vi) パスワード保護されたスクリーンセーバーの使用やセッション時間の制限など、コンピュータが無人になる場合の安全な管理方法を従業員に指示する。

3.3   処理者は、個人データを他の顧客のデータを含む他のデータから分離するための論理的な管理を維持するものとします。

3.4   処理者は、(i) 独自のアプリケーションレベルのセキュリティドメイン内に管理者をプロビジョニングし、顧客間のセキュリティ原則を論理的に分離し、分離する、(ii) テスト環境または開発環境をライブ環境または本番環境から分離する、など、目的ごとに異なるデータ処理を提供するための措置を維持するものとします。

4.    の物理セキュリティ

 

4.1    処理者は、少なくとも以下の物理的セキュリティ要件が満たされていることを確認するものとします。

i)      個人データを含むすべてのバックアップおよびアーカイブメディアは、処理者が所有、運営、または契約する、安全で環境管理されたストレージエリアに格納する必要があります。個人データを含むすべてのバックアップおよびアーカイブメディアは暗号化する必要があります。

ii)   データセンターの敷地および施設へのアクセスを管理するための技術的および組織的対策が講じられており、次のものを含む: (i) 識別された許可された個人へのアクセスを制限する固定された受付デスクまたはセキュリティオクター、(ii) 到着時の訪問者の身元確認のためのスクリーニング、(iii) アクセス履歴を記録および保持するアクセス制御システムを備えた機器ケージを含むすべてのアクセスドアの自動ロックシステム、(iv) CCTVデジタルカメラの適用範囲、動体検知アラームシステム、詳細な監視および監査ログを使用したすべてのエリアの監視および記録、(v) 内部出口ドアが一方通行のすべての外部非常ドアにある侵入アラーム。

六到着時に設備点検を行い、出荷区域と受入区域を区分すること。

iii)  処理者は、個人データの偶発的な破壊または紛失から保護するための措置を維持するものとします。これには、次のものが含まれます。(i) マルチゾーンのドライパイプ、ダブルインターロック、プレアクションフレア抑制システム、および非常に早期の煙検出およびアラーム（VESDA）、(ii) 発電機燃料を適切に供給し、複数の燃料供給者との契約がある冗長オンサイト発電機、(iii) すべての主要機器に最小N+1冗長性、冷却装置および熱エネルギー貯蔵に最小N+2冗長性を備え、安定した空気の流れ、温度、湿度を提供する暖房、換気、空調（HVAC）システム、および(iv) 複数の冗長性レベルを備えたフォールトトレラント設計を利用したデータの保存および輸送に使用される物理システム。

5        セキュリティテスト

 

5.1    本契約に基づくサービスの履行中、処理者は、自己の費用と年に1回以上、個人データを格納および/または保存する処理者のシステムに対する侵入および脆弱性テスト（「セキュリティテスト」）を実行するサードパーティベンダー（「テスト会社」）と契約するものとします。

5.2   当該セキュリティテストの目的は、個人データを格納および/または保管するプロセッサーシステムのアプリケーションまたはインフラストラクチャの設計および/または機能の問題を特定することであり、これにより管理者の資産が悪意のある行為によるリスクにさらされる可能性があります。セキュリティテストは、アプリケーション、ネットワーク境界またはその他のインフラストラクチャ要素の脆弱性、および/または悪意のある第三者によって悪用される可能性のある個人データを格納および/または保存するプロセッサーシステムに関連するプロセスまたは技術的対策の脆弱性を調査するものとします。

5.3   セキュリティテストでは、少なくとも次のセキュリティ上の脆弱性を特定するものとします。無効またはサニタイズされていない入力、壊れたまたは過剰なアクセス制御、壊れた認証およびセッション管理、クロスサイトスクリプティング（XSS）フロー、過剰フロー、インジェクションフロー、不適切なエラー処理、非セキュアなストレージ、一般的なサービス拒否の脆弱性、非セキュアまたは一貫性のない構成管理、SSL/TLSの不適切な使用、暗号化の適切な使用、ウイルス対策の信頼性およびテスト。

5.4   セキュリティテストの実施後妥当な期間内に、処理者は、特定された問題があれば是正し、その後、自己の費用でテスト会社に再検証セキュリティテストを実施して、特定されたセキュリティ上の問題が解決されることを確認するものとします。管理者は、その結果をリクエストに応じて公開するものとします。

6.    セキュリティ監査

 

6.1    処理者、およびすべての下請事業者（必要に応じて）は、少なくとも毎年1回、管理者にサービスを提供するために利用されるすべてのシステムおよび/または施設を対象とするSSAE 18（または同等の）監査を実施し、その結果を管理者の書面による要求に従って速やかに管理者に提供します。かかる監査結果を検討した後、管理者がサービスに関連するセキュリティ上の問題が存在すると合理的に判断した場合、管理者は書面で処理者に通知し、処理者は速やかに協議し、商業的に可能であれば、特定された問題に対処します。その他の問題がある場合は、処理者と管理者の双方が合意した時点で文書化、追跡、対処するものとします。