セキュリティに関する補足規約(第十三版:2024年11月19日 一部改定・施行)

この規約は、ヌーラボが提供する本サービスのセキュリティに関して、ヌーラボ利用規約を補足する規約(以下「本補足規約」といいます。)です。ユーザーは、ヌーラボ利用規約とあわせて本補足規約に従いヌーラボのサービスを利用する必要があります。ヌーラボ利用規約またはプライバシーポリシーの内容と本補足規約の内容との間に相違がある場合は、本補足規約の内容が優先するものとします。また、本規約で用いる用語は、本補足規約で別途定めるものを除き、ヌーラボ利用規約と同一の意味を有するものとします。

1. 本補足規約の目的

本補足規約は、ヌーラボ利用規約第13条に基づき、ユーザーデータに係る取り扱いおよびセキュリティについて定めるものです。個人情報に係るヌーラボの取扱い方針については、プライバシーポリシーをご確認ください。

2. ユーザーデータの管理

  1. プライバシーに関する法令の遵守
    ヌーラボは、本サービスに一般的に適用されるすべてのデータ保護およびプライバシーに関する法令を遵守します。ただし、特定のカテゴリのデータまたはユーザーもしくはユーザーの業界に適用されるデータ保護およびプライバシーに関する法令で、情報技術サービスプロバイダーには適用されない法令についてはこの限りではなく、ヌーラボはその遵守に関しては、責任は問われないものとします。
  2. ユーザーデータの使用
    ヌーラボは、ユーザーとの契約書、合意書、覚書その他の合意書面に特段の定めがない限り、本規約の各条項に従ってユーザーデータを処理しており、(a) ユーザーデータに対する管理権限等の権限を持たず、(b)次の各号以外の目的でユーザーデータを使用または開示しません。ヌーラボは、次の目的でユーザーデータを使用します。

    1. ユーザーに本サービスを提供すること。これには、本サービスの運用に影響する問題の防止、検出、および修復を目的とするトラブルシューティング、ならびに発生し拡散する脅威 (マルウェアやスパム)を検出し、ユーザーを保護する機能の改善が含まれます。
    2. 法令等に基づく開示要請に対応するため。ヌーラボは、法令により要求される場合を除いて、ユーザーデータを法執行機関に開示しません。法執行機関がヌーラボに対してユーザーデータの開示を要求した場合、ヌーラボは、法執行機関に対して、ユーザーに直接要求するように要請します。この手順の一環として、ヌーラボはユーザーの基本的な連絡先情報を法執行機関に提供することがあります。法執行機関によりユーザーデータの開示を強制された場合、ヌーラボはかかる開示を行う前に、ユーザーに通知するための商業上合理的な努力をします。
  3. ユーザーデータの転送
    ユーザーに代わってヌーラボが処理するユーザーデータは、プライバシーポリシーに規定されている場合は日本国外の業務委託先により処理される場合があります。ユーザーデータ及び個人情報を委託している業務委託先の一覧及び個人情報を委託している国の一覧はこちらでご確認ください。
  4. ヌーラボの従業員
    ヌーラボの従業員がヌーラボの承諾なくユーザーデータを処理することはありません。ヌーラボの従業員は、ユーザーデータ秘密保持義務を負っており、かかる義務は、職責を離れた後も継続します
  5. ヌーラボの業務委託先
    プライバシーポリシーにおいて規定されている場合を除き、ヌーラボが、本サービスの使用を通して受領するユーザーデータを第三者に転送することはありません。

3. ユーザーデータの削除

(1)削除の条件

ヌーラボは、本サービスの契約管理者が利用終了手続(ヌーラボアカウントの「組織の削除」またはBacklogクラシックプランの「解約手続」をいいます。以下同じ。)を行った場合に、ユーザーデータを削除します。また、ヌーラボは、正式なプランの申込みなくトライアルの期間が満了した場合や、本サービスの利用料金の支払いを遅滞するなどして本サービスが利用停止となってから相当の期間が経過した場合には、ユーザーが利用終了手続きを行ったとみなし、ユーザーデータを削除します。この場合において、削除されたユーザーデータは、ヌーラボもまた復旧することができません。削除条件、削除時期および削除対象となるユーザーデータは、次のとおりとします。

(削除条件および削除時期)

 

ユーザーデータが削除される条件

削除時期(原則)

Backlog クラシックプラン

解約手続を実施済みであること

有料プランのスペースでは現在の契約期間終了から180日経過後、有料プランのトライアル中のスペースや無料プランのスペースでは解約手続の実施日から180日経過後にユーザーデータの削除作業を開始し、開始から10日以内に削除を完了します。(

 

左記のプランについて正式な申込みなくトライアルの期間が満了したこと

トライアル期間満了日から30日経過後にスペースの解約手続を実施します。解約手続の実施日から180日経過後にユーザーデータの削除を開始し、開始から10日以内に削除を完了します。(

 

本サービスの利用料金の支払いを遅滞するなどしてヌーラボ利用規約第9条第1項の定めにより利用停止の状態となり、その状態が90日間経過したこと

利用停止期間が90日間経過した場合、ユーザーがスペースの解約手続きを実施したとみなします。契約終了日から180日経過後にユーザーデータの削除作業を開始し、開始から10日以内に削除を完了します。(

Cacoo プラスプランおよび2019年11月26日以前申込みのフリープラン

ヌーラボアカウントの削除が実施されること

ヌーラボアカウントの削除を実施したときにユーザーデータの削除作業を開始し、開始から10日以内に削除を完了します。(

上記以外のBacklog、Cacoo、Typetalk、Nulab Passのプラン

組織の削除が実施されること

組織の削除を実施して組織が削除されてから180日経過後にユーザーデータの削除作業を開始し、開始から10日以内に削除を完了します。(

 

左記のプランについて正式な申込みなくトライアルの期間が満了したこと

トライアル期間終了日から30日経過後に、システムで自動的に組織を削除します。組織が削除されてから180日経過後にユーザーデータの削除作業を開始し、開始から10日以内に削除を完了します。(

 

本サービスの利用料金の支払いを遅滞するなどしてヌーラボ利用規約第9条第1項の定めにより利用停止の状態となり、その状態が90日間経過したこと

利用停止期間が90日間経過した場合、ユーザーが解約手続きを実施したとみなし、自動的に組織を削除します。組織が削除されてから180日経過後にユーザーデータの削除作業を開始し、開始から10日以内に削除を完了します。(

監査ログ

組織の削除が実施されること

組織の削除を実施して組織が削除されてから180日経過後に監査ログの削除作業を開始し、開始から10日以内に削除を完了します。(

 

Nulab Passについて契約期間が満了したこと

契約期間終了日から30日経過後に監査ログの削除を開始し、開始から10日以内に削除を完了します。(

 

Nulab Passについて正式な申込みなくトライアルの期間が満了したこと

トライアル期間終了日から30日経過後に監査ログの削除を開始し、開始から10日以内に削除を完了します。(

 

本サービスの利用料金の支払いを遅滞するなどしてヌーラボ利用規約第9条第1項の定めにより利用停止の状態となり、その状態が90日間経過したこと

利用停止期間が90日間経過した場合、ユーザーは本サービスを解約したとみなします。契約終了日から30日経過後に監査ログの削除を開始し、開始から10日以内に削除を完了します。(

 

監査ログの保存期間である13ヶ月を経過したこと

監査ログが保存されてから400日経過後に監査ログの削除を開始し、開始から10日以内に削除を完了します。(

ヌーラボアカウント

ヌーラボアカウントの削除が実施されること

ヌーラボアカウントの削除を実施したときにユーザーデータの削除作業を開始し、開始から10日以内に削除を完了します。(

管理対象アカウント
(2023年1月16日以前に作成され、アップデートされていないアカウントが対象)

組織の削除または管理対象アカウントの削除が実施されること

組織の削除を実施した場合は組織が削除されてから180日経過後にユーザーデータの削除作業を開始し、管理対象アカウントの削除を実施した場合はその実施のときにユーザーデータの削除作業を開始します。そして、削除開始から10日以内に削除を完了します。(

 

左記のプランについて正式な申込みなくトライアルの期間が満了したこと

トライアル期間終了日から30日経過後に、システムで自動的に組織を削除します。組織が削除されてから180日経過後にユーザーデータの削除作業を開始し、開始から10日以内に削除を完了します。(

 

本サービスの利用料金の支払いを遅滞するなどしてヌーラボ利用規約第9条第1項の定めにより利用停止の状態となり、その状態が90日間経過したこと

利用停止期間が90日間経過した場合、ユーザーが解約手続きを実施したとみなし、自動的に組織を削除します。組織が削除されてから180日経過後にユーザーデータの削除作業を開始し、開始から10日以内に削除を完了します。(

管理対象アカウント
(2023年1月16日以降に作成されたアカウント、もしくはアップデートされたアカウントが対象)

管理対象アカウントの削除が実施されること

管理対象アカウントの削除を実施したときにユーザーデータの削除作業を開始し、開始から10日以内に削除を完了します。(

 

組織の削除と同時に管理対象アカウントの削除を選択し実施されること

組織の削除を実施した場合は、組織が削除されてから180日経過後にユーザーデータの削除作業を開始し、組織の削除と同時に管理対象アカウントを削除すること選択した場合は、組織の削除が実施されたときにユーザーデータの削除作業を開始します。そして、削除開始から10日以内に削除を完了します。(

 

組織の削除のみが実施されること

組織の削除を実施した場合は、組織が削除されてから180日経過後にユーザーデータの削除作業を開始します。組織が削除されたとき、組織で管理していた管理対象アカウントは自動で削除されることなくヌーラボアカウントとしてアカウントを存続します。(

 

左記のプランについて正式な申込みなくトライアルの期間が満了したこと

トライアル期間終了日から30日経過後に、システムで自動的に組織を削除します。組織が削除されたとき、組織で管理していた管理対象アカウントは自動で削除されることなくヌーラボアカウントとしてアカウントを存続します。(

 

本サービスの利用料金の支払いを遅滞するなどしてヌーラボ利用規約第9条第1項の定めにより利用停止の状態となり、その状態が90日間経過したこと

利用停止期間が90日間経過した場合、ユーザーが解約手続を実施したとみなし、自動的に組織を削除します。組織が削除されたとき、組織で管理していた管理対象アカウントは自動で削除されることなくヌーラボアカウントとしてアカウントを存続します。組織が削除されてから180日経過後にユーザーデータの削除作業を開始し、開始から10日以内に削除を完了します。(


ただし、上の表に基づく削除完了時期以後も、各サービスで取得しているバックアップデータには、ユーザーデータが一定期間残ります。例えば、1日1回取得しているバックアップ保持回数が30回の場合は、削除が完了してから30日はデータが残り、31日目に削除されます。

※Typetalk については、上掲の「削除する条件と削除タイミング」の定めによらず、サービス提供終了後の2025年12月31日をもってバックアップも含めてすべて削除します。

 

(2)削除対象外となるユーザーデータ

次のデータを除き、ユーザーが各サービスに登録した全てのユーザーデータが削除されます。

  • 各サービスの契約/請求/入金に関するデータ
  • 各サービスの契約管理者の氏名および連絡先
  • Backlog(クラシックプラン)のスペースオーナーの氏名および連絡先
  • BacklogのスペースID
  • Nulab Passヌーラボ組織ID
  • Cacooにアップロードされた挿入画像

ただし、ヌーラボアカウント、管理対象アカウント、またはBacklog(クラシックプラン)のアカウントの削除を実施した場合には、該当アカウントで作成されたBacklog/Typetalk/Cacoo(2019年11月26日以前のフリープランおよびプラスプランを除く。)のユーザーデータは削除されません。

これらのユーザーデータが削除されるためには、上記表に記載の「ヌーラボアカウント」または「管理対象アカウント」を除くいずれかのパターンに当てはまる必要があります。

4.ユーザーの責任

  1. ユーザーは、本サービスの使用に関連して適用される、プライバシー、データ保護および通信の秘密に関する法的要求事項に従う必要があります。
  2. ユーザーは、次のセキュリティ対策を実施する必要があります。 
    1. 各ユーザーに付与されたパスワードの適切な管理
    2. ヌーラボサービスにおけるアカウントの適切な管理(登録、削除、管理者権限の付与など)
    3. ヌーラボサービス外のID基盤と連携しSSO (シングル サインオン) を利用時、連携先のアカウントにおけるパスワード等の適切な管理

5.セキュリティ

  1. 技術的および組織的セキュリティ体制
    ヌーラボは、不可抗力による損失、破損、改変、不正アクセスもしくは漏えい、または不法行為による破壊からユーザーデータを保護するために、適切な技術的および組織的対策、内部管理、および情報セキュリティルーチンを実装しており、今後も維持します。これらのセキュリティ体制におけるヌーラボの責任はユーザーデータのセキュリティおよび取扱いに限定され、ユーザーデータの守秘義務については、ヌーラボ利用規約に定めるところによるものとします。
  2. セキュリティインシデント 
    • ヌーラボの機器または施設に保管されているユーザーデータへの違法なアクセス、または当該機器もしくは施設に対する不正なアクセスによるユーザーデータの消失、開示または改変(以下それぞれについて「セキュリティインシデント」といいます。)が発生したことが判明した場合、ヌーラボは、(a) ユーザーにセキュリティインシデントを通知し、(b) セキュリティインシデントを調査してその情報をユーザーに報告し、(c) セキュリティインシデントの影響を軽減し、損害を最小限にするための妥当な対策を実行します。
    • ユーザーは次の事項に同意するものとします。 
      • セキュリティインシデントが失敗に終わる場合は、前号は適用されず、ヌーラボの調査義務、通知報告義務および対策実行義務は発生しません。この場合においてセキュリティインシデントが失敗に終わる場合とは、ユーザーデータまたはユーザーデータを保管しているヌーラボの機器または施設に対する不正なアクセスが発生しなかったインシデントで、ファイアウォールまたはエッジサーバーへのping攻撃またはブロードキャスト攻撃、ポートスキャン、失敗したログオン試行、サービス拒否攻撃、パケットスニッフィング(または、IPアドレスまたはヘッダーより後のデータにアクセスされなかったトラフィックデータへのその他の不正アクセス)などが含まれます。
      • 上掲のセキュリティインシデントに対するヌーラボの報告や対応は、セキュリティインシデントに関して過失責任、賠償責任その他の責任をヌーラボが負うものと認めることを意味するものではありません。
    • セキュリティインシデントが発生した場合、72時間以内を目安として、ヌーラボの選択に基づき、電子メールその他の1つまたは複数の手段によりユーザーの管理者に通知されます。この場合において、ユーザーの管理者は、ユーザーの責任において、ヌーラボ利用規約の定めに従い本サービス ポータルに契約管理者の正確な連絡先情報を常に登録しておく義務および責任があります。
    • セキュリティインシデントを発見した場合の報告、または情報セキュリティインシデントに関する問い合わせは、ヌーラボサポート窓口(https://nulab.com/ja/contact/)にて受け付けています。
  3. 認証と監査
    ヌーラボは、ISO/IEC 27000 規格シリーズ、ISO 270012701727018規格に準拠するデータセキュリティポリシーを確立し、維持します。ユーザーは、ヌーラボが別途作成する本サービスに関する文書の内容を確認し、本サービスがユーザーの要件を満たしているかどうかを独自に判断する責任があります。

6.暗号化

ヌーラボでは、製品およびサービス全体で信頼性・堅牢性の高いAmazon Web Servicesを使用しており、また、同時に複数の暗号化方式、プロトコル、アルゴリズムを使うことにより、データがインフラストラクチャを通過する際に利用できるセキュリティで保護された経路を提供し、インフラストラクチャ内に保存されたデータの機密性を保護しています。

  • トランスポート層セキュリティ/Secure Sockets LayerTLS/SSL共有シークレットに基づく対称暗号化を使ってネットワーク上でやり取りされる通信を暗号化します。
  • インターネットプロトコルセキュリティ(IPsec業界標準のプロトコルセットであり、ネットワーク上を移動するデータのIPパケットレベルでの認証、整合性、機密性を提供するために使用されます。

7.バックアップ

Backlog:データのバックアップについて

Cacoo:データのバックアップ について

ヌーラボアカウント・管理対象アカウント:

  • データベースのバックアップは11回取得し、14回分を保持
  • データ保管はAmazon Web Servicesの該当サービス稼働サーバー内

8.ログの保護

Amazon Web Services 上にログを保存し、特定業務従事者のみアクセス可能。

  • 本サービスが出力するログ(アクセスログ、アプリケーションログ)
  • 保存期間545日経過後にログの削除作業を開始し、開始から10日以内に削除を完了します