ヌーラボのプライバシーとセキュリティにおける取り組み(第四版)
セキュリティ、監査、認証
ヌーラボは第三者の監査、及び認証を取得しています。
ヌーラボサービスは、厳格な情報管理のもとで設計・開発・運用がなされています。
セキュリティ、プライバシー、連続性、およびコンプライアンスのためのポリシーと手続きに遵守していることを独自に検証するため、毎年、国際的に認められた監査機関による第三者監査を受けています。
ヌーラボサービスの認証取得状況
ISO/IEC 27001
ISO/IEC 27017
ISO/IEC 27018
ISO/IEC 27001は、Information Security Management System (適合性評価制度: 以下ISMS)とされる、情報資産を様々な脅威から守り、リスクを軽減させるための総合的な情報セキュリティ・マネジメントシステムです。
ISMSクラウドセキュリティ認証とは
JIS Q 27001:2014 (ISO/IEC 27001:2013) 認証を前提として、その適用範囲内に含まれるクラウドサービスの提供もしくは利用に関して、ISO/IEC 27017:2015のガイドラインに規定されるクラウドサービスの情報セキュリティ管理を満たしている組織を認証する仕組みです。
ヌーラボの責任
ヌーラボは、以下のセキュリティ対策を実施します。
- ヌーラボサービスのセキュリティ対策
- ヌーラボサービスに保管されたお客様データの保護
- ヌーラボサービスの提供に利用するミドルウェア、OS、その他インフラのセキュリティ対策
お客様の責任
お客様は、以下のセキュリティ対策を実施する必要があります。
- 各利用者に付与されたパスワードの適切な管理
- ヌーラボサービスにおけるアカウントの適切な管理(登録、削除、管理者権限の付与など)
ヌーラボサービスのプライバシーとセキュリティに関する補足規約
この規程は、ヌーラボが提供するサービスのプライバシーとセキュリティに関して、ヌーラボ利用規約を補足する規程(以下「本補足規約」といいます。)です。ユーザーは、ヌーラボ利用規約の他本補足規約に従い、ヌーラボのサービスを利用することが出来ます。本補足規約で用いる用語は、本補足規約で別途定義するものを除き、ヌーラボ利用規約で定義された意味と同じ意味を有するものとします。
- 用語の定義
「ユーザーデータ」とは、テキストファイル、音声ファイル、イメージファイルなど、ヌーラボサービスを通してユーザーまたはユーザーの代理人によりヌーラボに提供されたすべてのデータをいいます。「エンド ユーザー」とは、本サービスにアクセスする個人をいいます。 -
プライバシー
- プライバシーに関する法律の順守。ヌーラボは、本サービスに一般的に適用されるすべてのデータ保護およびプライバシーに関する法律を遵守します。ただし、特定のカテゴリのデータまたはユーザーもしくはユーザーの業界に適用されるデータ保護およびプライバシーに関する法律で、情報技術サービスプロバイダーには適用されない法律についてはこの限りではなく、ヌーラボはその遵守に関しては、責任は問われないものとします。
- ユーザーデータの使用。ヌーラボは、ユーザーとの契約書、合意書、覚書その他の合意に特段の記載がない限り、本補足の各条項に従ってユーザーデータを処理し、(a) ユーザーデータの所有権を持たず、 (b) 以下に記載されている目的以外でユーザーデータを使用または開示しません。ヌーラボは、以下の目的でユーザーデータを使用します。
- ユーザーデータは、ユーザーに本サービスを提供するためにのみ使用されます。これには、本サービスの運用に影響する問題の防止、検出、および修復を目的とするトラブルシューティング、および発生し拡散する脅威 (マルウェアやスパム) を検出し、ユーザーを保護する機能の改善が含まれます。
- ヌーラボは、法律により要求される場合を除いて、ユーザーデータを法執行機関に開示しません。法執行機関がヌーラボに対してユーザーデータの開示を要求した場合、ヌーラボは、法執行機関に対して、ユーザーに直接要求するように要請します。この手順の一環として、ヌーラボはユーザーの基本的な連絡先情報を法執行機関に提供することがあります。法執行機関によりユーザーデータの開示を強制された場合、ヌーラボはかかる開示を行う前に、商習慣に基づいて、ユーザーに通知するための妥当な努力をします。
- ユーザーデータの消去。ヌーラボサービスの使用期間が満了となるか、使用を終了する場合、ヌーラボはユーザーデータを消去します。消去のタイミング及び消去される情報は、以下のとおりとします。
(消去タイミング)
有償契約: サービス解約の翌日から30日以後。ヌーラボによる利用停止の場合は利用停止180日経過以後。
トライアル: 利用終了日から180日経過以後。
無償利用(フリープラン): ユーザーの申請に基づき実行。または、180日を超えて長期利用がない場合で、かつヌーラボからの利用継続確認において継続利用の意思が確認できない場合
Nulabアカウント: ユーザーの申請に基づき実行
(消去される情報について)
Backlog、Cacoo、Typetalkは管理者が契約の解約を行った場合、上記タイミングをもってすべての情報が削除されます。ただし、Nulabアカウントはユーザーのみが削除できるものとなり、Nulabアカウントで利用するメールアドレス、名前はユーザーの申請をもって削除するものとします。
- エンド ユーザーの要求に対する対応。法律により要求される場合を除いて、ユーザーの書面による同意なしにユーザーのエンドユーザーからデータ保護およびプライバシーに関する要求を受けた場合、そのような要求に対してヌーラボが応えることは実質的にありません。
- ユーザーデータの転送。ユーザーに代わってヌーラボが処理するユーザーデータは、ヌーラボ、ヌーラボの関連会社または業務委託先が設備を維持する米国またはその他の国に転送され、保管および処理されることがあります。ユーザーは、本サービスを提供するために、ユーザーデータを当該国に転送し、保管および処理する者としてヌーラボを指名します。
- ヌーラボの従業員。ヌーラボの従業員がヌーラボの承諾なくユーザーデータを処理することはありません。 ヌーラボの従業員は、ユーザーデータの秘密保持が義務付けられており、かかる義務は、職責を離れた後も継続します。
- ヌーラボの業務委託先。ヌーラボは、ユーザーサポートの提供などの限定されたサービスを他の会社に委託することがあります。かかる業務委託先は、ヌーラボが委託したサービスを提供するためだけに必要なユーザーデータだけを取得することが許可され、他の目的で使用することは禁じられています。ヌーラボは、業務委託先がヌーラボ利用規約及び本補足規約に定められたプライバシー及びセキュリティの義務を遵守することに責任を負います。ヌーラボがユーザーデータを転送する業務委託先はすべて、ヌーラボから受信した個人データに関して、プライバシー保護を提供する義務を負う旨を書面で契約します。本補足規約に記載された条件の範囲内で、ヌーラボがユーザーデータを業務委託先に転送することにユーザーは同意するものとします。 上記で定められていない限り、ヌーラボは、本サービスの使用を通してユーザーが提供する個人データを (保管の目的であっても) いかなる第三者にも転送しません。
- ユーザーの責任
- ユーザーは、本サービスの使用に関連する、プライバシー、データの保護、および通信の機密性に関して適用される法的要求事項に従う必要があります。
- ユーザーがアカウントを提供している場合、ヌーラボが、ユーザーにより提供されるエンドユーザーの情報を使用して、ヌーラボの製品やサービスを最大限に使用するためのヒントやアドバイスをエンドユーザーに提供したり、ヌーラボの他のおすすめ情報や製品に関する情報を提供したりするために、エンドユーザーに連絡できることにユーザーは同意します。ヌーラボは、エンドユーザーに連絡をとる場合、エンドユーザーの許可を事前に取得します。また、ヌーラボは、エンドユーザーの事前の許可が得られない場合において以降の連絡を停止できるようにするための商慣行上の適切な手段を提供します。
- セキュリティ
- 技術的および組織的なセキュリティ対策。ヌーラボは、偶発的な損失、破損、または改変、不正な開示またはアクセス、または違法な破壊からユーザーデータを保護するために、適切な技術的および組織的な対策、内部管理、および情報セキュリティルーチンを実装しており、今後も維持します。これらのセキュリティ対策は、ユーザーのユーザーデータのセキュリティおよび取り扱いに関してのみのヌーラボの責任を示しています。ユーザーデータの守秘義務については、ヌーラボ利用規約に定めるところによるものとします。
- セキュリティ インシデント
- ヌーラボの機器または施設に保管されているユーザーデータへの違法なアクセス、またはかかる機器または施設に対する不正なアクセスによりユーザーデータの消失、開示、または改変 (それぞれがセキュリティ インシデントに該当) が発生したことが判明した場合、ヌーラボは、(a) ユーザーにセキュリティ インシデントを通知し、(b) セキュリティ インシデントを調査してセキュリティ インシデントに関する情報をユーザーに報告し、(c) セキュリティ インシデントの影響を軽減し、損害を最小限にするための妥当な対策を実行します。
- ユーザーは以下に同意するものとします。
- 失敗したセキュリティ インシデントは、このセクションの対象にはなりません。失敗したセキュリティ インシデントとは、ユーザーデータまたはユーザーデータを保管しているヌーラボの機器または施設に対する不正なアクセスが発生しなかったインシデントで、ファイアウォールまたはエッジ サーバーへの ping 攻撃またはブロードキャスト攻撃、ポート スキャン、失敗したログオン試行、サービス拒否攻撃、パケット スニッフィング (または、IP アドレスまたはヘッダーより後のデータにアクセスされなかったトラフィック データへのその他の不正アクセス) などが含まれます。
- セキュリティ インシデントに対するヌーラボの報告や対応の責任など、このセクションの記述は、セキュリティ インシデントに関して過失または賠償責任をヌーラボが認めることを意味するものではありません。
- セキュリティ インシデントが発生した場合、72時間以内を目処に、ヌーラボが選択する、電子メールを含む 1 つまたは複数の手段によりユーザーの管理者に通知されます。ユーザーの責任において、ヌーラボ利用規約の定めに従い、本サービス ポータルにユーザーの管理者の正確な連絡先情報を常に登録しておく必要があります。
- セキュリティインシデントを発見した場合の報告、または情報セキュリティインシデントに関する問い合わせは、ヌーラボサポート窓口(https://nulab.com/ja/contact/)にて受け付けています。
- 認証と監査。ヌーラボは、ISO/IEC 27000 規格シリーズ、ISO 27001、27017、27018規格に準拠するデータセキュリティポリシーを確立し、維持します。ユーザーは、ヌーラボが別途作成する本サービスに関する文書の内容を確認し、本サービスがユーザーの要件を満たしているかどうかを独自に判断する責任があります。
- 暗号化
ヌーラボでは、製品およびサービス全体で信頼性・堅牢性の高いAmazon Web Servicesを使っており、また同時に複数の暗号化方式、プロトコル、アルゴリズムを使うことにより、データがインフラストラクチャを通過する際に利用できるセキュリティで保護された経路を提供し、インフラストラクチャ内に保存されたデータの機密性を保護しています。
- トランスポート層セキュリティ/Secure Sockets Layer (TLS/SSL)。共有シークレットに基づく対称暗号化を使ってネットワーク上でやり取りされる通信を暗号化します。
- インターネット プロトコル セキュリティ (IPsec)。業界標準のプロトコル セットであり、ネットワーク上を移動するデータの IP パケット レベルでの認証、整合性、機密性を提供するために使用されます。
- バックアップ
Backlog: データのバックアップについて
Cacoo: データのバックアップ について
Typetalk: データのバックアップ について
Nulabアカウント
- データベースは過去 2 週間分を保持
- データ保管はAmazon Web Servicesの該当サービス稼働サーバー内
- ログの保護
Amazon Web Services 上にログを保存。特定業務従事者のみアクセス可能。
- アクセスログ(IP, URL, 時刻)
- 期間は半永久的
- サービスにおいて取得されている情報(個人情報を含む)の預託
サービスにおいて取得されている情報(個人情報を含む)を預託するサービス一覧
(開発)
・Amazon Web Services
(サポート)
・PayPal
・G Suite / Google Analytics
・MixPanel
・Intercom
・Stripe
・PAY.JP
・MailChimp
・Marketo
サービスにおいて取得されている情報(個人情報を含む)を預託する国一覧
・日本
・アメリカ合衆国
(注)アメリカ合衆国に預託された情報は、アメリカの法律の適用を受けます。