ヌーラボサービスのプライバシーとセキュリティに関する補足規約（第十版：2021年8月19日一部改定・施行）

この規約は、ヌーラボが提供する本サービスのプライバシーとセキュリティに関して、ヌーラボ利用規約を補足する規約（以下「本補足規約」といいます。）です。ユーザーは、ヌーラボ利用規約とあわせて本補足規約に従いヌーラボのサービスを利用する必要があります。ヌーラボ利用規約またはプライバシーポリシーの内容と本補足規約の内容との間に相違がある場合は、本補足規約の内容が優先するものとします。また、本補足規約で用いる用語は、本補足規約で別途定めるものを除き、ヌーラボ利用規約と同一の意味を有するものとします。

1. 本補足規約の内容

   • 本補足規約は、ヌーラボ利用規約第13条に基づき、ユーザーデータに係るプライバシーおよびセキュリティについて定めるものです。個人情報全般に係るヌーラボの取扱い方針については、プライバシーポリシーをご確認ください。
2. プライバシー
   1. プライバシーに関する法律の遵守
      ヌーラボは、本サービスに一般的に適用されるすべてのデータ保護およびプライバシーに関する法律を遵守します。ただし、特定のカテゴリのデータまたはユーザーまたはユーザーの業界に適用されるデータ保護およびプライバシーに関する法律で、情報技術サービスプロバイダーには適用されない法律についてはこの限りではなく、ヌーラボはその遵守に関しては、責任は問われないものとします。
   2. ユーザーデータの使用
      ヌーラボは、ユーザーとの契約書、合意書、覚書その他の合意書面に特段の定めがない限り、本補足規約の各条項に従ってユーザーデータを処理し、(a) ユーザーデータに対する管理権限等の権限を持たず、 (b) 次の各号以外の目的でユーザーデータを使用または開示しません。ヌーラボは、次の目的でユーザーデータを使用します。
      1. ユーザーデータは、ユーザーに本サービスを提供することのみを目的として使用されます。これには、本サービスの運用に影響する問題の防止、検出、および修復を目的とするトラブルシューティング、ならびに発生し拡散する脅威 (マルウェアやスパム) を検出し、ユーザーを保護する機能の改善が含まれます。
      2. ヌーラボは、法律により要求される場合を除いて、ユーザーデータを法執行機関に開示しません。法執行機関がヌーラボに対してユーザーデータの開示を要求した場合、ヌーラボは、法執行機関に対して、ユーザーに直接要求するように要請します。この手順の一環として、ヌーラボはユーザーの基本的な連絡先情報を法執行機関に提供することがあります。法執行機関によりユーザーデータの開示を強制された場合、ヌーラボはかかる開示を行う前に、商習慣に基づいて、ユーザーに通知するための妥当な努力をします。
   3. ユーザーデータの削除
      本サービスの契約管理者が利用終了手続（ヌーラボアカウントの”組織の削除”またはBacklogクラシックプランの”解約手続”をいいます。以下同じ。）を行った場合に、ユーザーデータを削除します。また、正式なプランの申し込みなくトライアルの期間が満了した場合や、本サービスの利用料金の支払いを遅滞するなどして利用停止となった場合には、ユーザーデータを削除します。この場合において、削除されたユーザーデータは、ヌーラボもまた復旧することができません。削除条件、削除時期および削除対象となるユーザーデータは、次のとおりとします。

      
      （削除条件および削除時期）
      

      	ユーザーデータが削除される条件	削除時期（原則）
      Backlog クラシックプラン	解約手続を実施済みであること	有料プランのスペースでは現在の契約期間終了から180日経過後、有料プランのトライアル中のスペースや無料プランのスペースでは解約手続の実施日から180日経過後にユーザーデータの削除作業を開始し、開始から10日以内に削除を完了します。（※）
      	左記のプランについて正式な申込みなくトライアルの期間が満了したこと	トライアル期間満了日から30日経過後にスペースの解約手続を実施します。解約手続の実施日から180日経過後にユーザーデータの削除を開始し、開始から10日以内に削除を完了します。（※）
      	本サービスの利用料金の支払いを遅滞するなどしてヌーラボ利用規約第9条第1項の定めにより利用停止になったこと	契約期間満了日から90日経過後にスペースの解約手続を実施します。解約手続の実施日から180日経過後にユーザーデータの削除作業を開始し、開始から10日以内に削除を完了します。（※）
      Cacoo プラスプランおよび2019年11月26日以前申込のフリープラン	ヌーラボアカウントの削除が実施されること	ヌーラボアカウントの削除を実施したときにユーザーデータの削除作業を開始し、開始から10日以内に削除を完了します。（※）
      上記以外のBacklog、Cacoo、Typetalk、Nulab Passのプラン	組織の削除が実施されること	組織の削除を実施して組織が削除されてから180日経過後にユーザーデータの削除作業を開始し、開始から10日以内に削除を完了します。（※）
      	左記のプランについて正式な申込みなくトライアルの期間が満了したこと	トライアル期間満了日から30日経過後に、システムで自動的に組織を削除します。組織が削除されてから180日経過後にユーザーデータの削除作業を開始し、開始から10日以内に削除を完了します。（※）
      	本サービスの利用料金の支払いを遅滞するなどしてヌーラボ利用規約第9条第1項の定めにより利用停止になったこと	契約期間満了日から90日経過後に、システムで自動的に組織を削除します。組織が削除されてから180日経過後にユーザーデータの削除作業を開始し、開始から10日以内に削除を完了します。（※）
      ヌーラボアカウント	ヌーラボアカウントの削除が実施されること	ヌーラボアカウントの削除を実施したときにユーザーデータの削除作業を開始し、開始から10日以内に削除を完了します。（※）
      管理対象アカウント	組織の削除または管理対象アカウントの削除が実施されること	組織の削除を実施した場合は組織が削除されてから180日経過後にユーザーデータの削除作業を開始し、管理対象アカウントの削除を実施した場合はその実施のときにユーザーデータの削除作業を開始します。そして、削除開始から10日以内に削除を完了します。（※）
      	左記のプランについて正式な申込みなくトライアルの期間が満了したこと	トライアル期間満了日から30日経過後に、システムで自動的に組織を削除します。組織が削除されてから180日経過後にユーザーデータの削除作業を開始し、開始から10日以内に削除を完了します。（※）
      	本サービスの利用料金の支払いを遅滞するなどしてヌーラボ利用規約第9条第1項の定めにより利用停止になったこと	契約期間満了日から90日経過後に、システムで自動的に組織を削除します。組織が削除されてから180日経過後にユーザーデータの削除作業を開始し、開始から10日以内に削除を完了します。（※）

      
      ※ただし、上の表に基づく削除完了時期以後も、各サービスで取得しているバックアップデータには、ユーザーデータが一定期間残ります。例えば、1日１回取得してるバックアップ保持回数が30回の場合は、削除が完了してから30日はデータが残り、31日目に削除されます。

      
      （削除対象となるユーザーデータ）
      次のデータを除き、ユーザーが各サービスに登録した全てのユーザーデータが削除されます。

      – 各サービスの契約/請求/入金に関するデータ
      – 各サービスの契約管理者の氏名および連絡先
      – Backlog（クラシックプラン）のスペースオーナーの氏名および連絡先
      – BacklogのスペースID
      – Nulab Passのヌーラボ組織ID
      – Cacooにアップされた挿入画像
      ただし、ヌーラボアカウント、管理対象アカウント、またはBacklog(クラシックプラン)のアカウントの削除を実施した場合には、該当アカウントで作成されたBacklog/Typetalk/Cacoo(2019年11月26日以前のフリープランおよびプラスプランを除く。)のユーザーデータは削除されません。
      これらのユーザーデータが削除されるためには、上記表に記載の”ヌーラボアカウント”を除くいずれかのパターンに当てはまる必要があります。

   4. エンド ユーザーの要求に対する対応
      法律の要請に基づく場合を除いて、ユーザーの書面による同意なしにエンドユーザーからデータ保護またはプライバシーに関する求めを受けた場合、ヌーラボが当該求めに応じることはありません。
      ただし、ユーザーがエンドユーザーに対しアカウントを提供している場合、ヌーラボが、ユーザーが提供するエンドユーザーの情報を利用して、ヌーラボのサービスを最大限に使用するためのヒントおよびアドバイスその他のおすすめ情報やサービスに関する情報をエンドユーザーに提供することを目的に、エンドユーザーと連絡をとることにユーザーは同意するものとします。ヌーラボは、エンドユーザーに連絡をとる場合、エンドユーザーの同意を得るものとします。また、ヌーラボは、エンドユーザーの同意が得られない場合に以後の連絡を停止するための商慣行上の適切な手段を用意します。
   5. ユーザーデータの転送
      ユーザーに代わってヌーラボが処理するユーザーデータは、ヌーラボ、ヌーラボの関連会社または業務委託先が設備を維持する米国その他の国に転送され、保管および処理されることがあります。ユーザーは、本サービスを提供するために、ユーザーデータをそれらの国に転送し、保管および処理する者としてヌーラボを指名します。
   6. ヌーラボの従業員
      ヌーラボの従業員がヌーラボの承諾なくユーザーデータを処理することはありません。 ヌーラボの従業員は、ユーザーデータ秘密保持義務を負っており、かかる義務は、職責を離れた後も継続します。
   7. ヌーラボの業務委託先
      ヌーラボは、ユーザーサポートの提供などの限定されたサービスを第三者に委託することがあります。当該第三者（以下「業務委託先」といいます。）は、ヌーラボによる委託目的の達成に必要なユーザーデータだけを取得するものとされ、かつ当該ユーザーデータを他の目的で使用することは禁じられています。ヌーラボは、業務委託先がヌーラボ利用規約および本補足規約に定められたプライバシーならびにセキュリティに関する義務を遵守することに責任を負います。また、ヌーラボは、ユーザーデータを転送するすべての業務委託先に対し、ヌーラボから受信したユーザーデータに関し秘密保持義務および個人情報保護義務を課すものとします。ユーザーは、本補足規約に記載された条件の範囲内においてヌーラボがユーザーデータを業務委託先に転送することに同意するものとします。 上掲以外の場合において、ヌーラボが、本サービスの使用を通して受領するユーザーデータを 第三者に転送することはありません。
   8. ユーザーデータおよび本サービスにおいて取得されている個人情報を預託するサービス一覧
      1. （開発）
         • Amazon Web Services
      2. （サポート）
         • PayPal
         • Google Workspace / Google Analytics
         • MixPanel
         • Intercom
         • Stripe
         • PAY.JP
         • MailChimp
         • Marketo
         • Salesforce
      1. •  
   9. ユーザーデータおよび本サービスにおいて取得されている個人情報を預託する国一覧
      • 日本
      • アメリカ合衆国
        (注)アメリカ合衆国に預託された情報は、アメリカ合衆国の法律の適用を受けます。
   10. ユーザーの責任
       • ユーザーは、本サービスの使用に関連して適用される、プライバシー、データ保護および通信の機密性に関する法的要求事項に従う必要があります。
       • ユーザーは、次のセキュリティ対策を実施する必要があります。
         1. 各ユーザーに付与されたパスワードの適切な管理
         2. ヌーラボサービスにおけるアカウントの適切な管理（登録、削除、管理者権限の付与など）
3. セキュリティ
   1. 技術的および組織的セキュリティ体制
      ヌーラボは、不可抗力による損失、破損もしくは改変、不正アクセスまたは漏えい、または不法行為による破壊からユーザーデータを保護するために、適切な技術的および組織的対策、内部管理、および情報セキュリティルーチンを実装しており、今後も維持します。これらのセキュリティ体制におけるヌーラボの責任はユーザーデータのセキュリティおよび取扱いに限定され、ユーザーデータの守秘義務については、ヌーラボ利用規約に定めるところによるものとします。
   2. セキュリティ インシデント
      • ヌーラボの機器または施設に保管されているユーザーデータへの違法なアクセス、または当該機器または施設に対する不正なアクセスによるユーザーデータの消失、開示または改変 (以下それぞれについて「セキュリティ インシデント」といいます。) が発生したことが判明した場合、ヌーラボは、(a) ユーザーにセキュリティ インシデントを通知し、(b) セキュリティ インシデントを調査してその情報をユーザーに報告し、(c) セキュリティ インシデントの影響を軽減し、損害を最小限にするための妥当な対策を実行します。
      • ユーザーは次の事項に同意するものとします。
        • セキュリティ インシデントが失敗に終わる場合は、前号は適用されず、ヌーラボの調査義務、通知報告義務および対策実行義務は発生しません。この場合においてセキュリティ インシデント失敗に終わる場合とは、ユーザーデータまたはユーザーデータを保管しているヌーラボの機器または施設に対する不正なアクセスが発生しなかったインシデントで、ファイアウォールまたはエッジ サーバーへの ping 攻撃またはブロードキャスト攻撃、ポート スキャン、失敗したログオン試行、サービス拒否攻撃、パケット スニッフィング (または、IP アドレスまたはヘッダーより後のデータにアクセスされなかったトラフィック データへのその他の不正アクセス) などが含まれます。
        • 上掲のセキュリティ インシデントに対するヌーラボの報告や対応は、セキュリティ インシデントに関して過失責任、賠償責任その他の責任をヌーラボが認めることを意味するものではありません。
      • セキュリティ インシデントが発生した場合、72時間以内を目安として、ヌーラボの選択に基づき、電子メールその他の1 つまたは複数の手段によりユーザーの管理者に通知されます。この場合において、ユーザーの管理者は、ユーザーの責任において、ヌーラボ利用規約の定めに従い本サービス ポータルにユーザーの管理者の正確な連絡先情報を常に登録しておく義務および責任があります。
      • セキュリティインシデントを発見した場合の報告、または情報セキュリティインシデントに関する問い合わせは、ヌーラボサポート窓口（https://nulab.com/ja/contact/）にて受け付けています。
   3. 認証と監査
      ヌーラボは、ISO/IEC 27000 規格シリーズ、ISO 27001、27017、27018規格に準拠するデータセキュリティポリシーを確立し、維持します。ユーザーは、ヌーラボが別途作成する本サービスに関する文書の内容を確認し、本サービスがユーザーの要件を満たしているかどうかを独自に判断する責任があります。
4. 暗号化
   ヌーラボでは、製品およびサービス全体で信頼性・堅牢性の高いAmazon Web Servicesを使っており、また同時に複数の暗号化方式、プロトコル、アルゴリズムを使うことにより、データがインフラストラクチャを通過する際に利用できるセキュリティで保護された経路を提供し、インフラストラクチャ内に保存されたデータの機密性を保護しています。
   • トランスポート層セキュリティ/Secure Sockets Layer (TLS/SSL)。共有シークレットに基づく対称暗号化を使ってネットワーク上でやり取りされる通信を暗号化します。
   • インターネット プロトコル セキュリティ (IPsec)。業界標準のプロトコル セットであり、ネットワーク上を移動するデータの IP パケット レベルでの認証、整合性、機密性を提供するために使用されます。
5. バックアップ
   Backlog: データのバックアップについて
   Cacoo: データのバックアップ について
   ヌーラボアカウント・管理対象アカウント：
   • データベースのバックアップは1日1回取得し、14回分を保持
   • データ保管はAmazon Web Servicesの該当サービス稼働サーバー内
6. ログの保護
   Amazon Web Services 上にログを保存。特定業務従事者のみアクセス可能。
   • アクセスログ（IP, URL, 時刻）
   • 期間は半永久的