ヌーラボのプライバシーとセキュリティにおける取り組み(第五版)

この規約は、現行版ではありません。

現行版を見る

ヌーラボのプライバシーとセキュリティにおける取り組み(第五版)

セキュリティ、監査、認証

ヌーラボは第三者の監査、及び認証を取得しています。
ヌーラボサービスは、厳格な情報管理のもとで設計・開発・運用がなされています。

セキュリティ、プライバシー、連続性、およびコンプライアンスのためのポリシーと手続きに遵守していることを独自に検証するため、毎年、国際的に認められた監査機関による第三者監査を受けています。

ヌーラボサービスの認証取得状況
ISO/IEC 27001
ISO/IEC 27017
ISO/IEC 27018

ISO/IEC 27001は、Information Security Management System (適合性評価制度: 以下ISMS)とされる、情報資産を様々な脅威から守り、リスクを軽減させるための総合的な情報セキュリティ・マネジメントシステムです。

ISMSクラウドセキュリティ認証とは
JIS Q 27001:2014 (ISO/IEC 27001:2013) 認証を前提として、その適用範囲内に含まれるクラウドサービスの提供もしくは利用に関して、ISO/IEC 27017:2015のガイドラインに規定されるクラウドサービスの情報セキュリティ管理を満たしている組織を認証する仕組みです。

ヌーラボの責任

ヌーラボは、以下のセキュリティ対策を実施します。

  • ヌーラボサービスのセキュリティ対策
  • ヌーラボサービスに保管されたお客様データの保護
  • ヌーラボサービスの提供に利用するミドルウェア、OS、その他インフラのセキュリティ対策

お客様の責任

お客様は、以下のセキュリティ対策を実施する必要があります。

  • 各利用者に付与されたパスワードの適切な管理
  • ヌーラボサービスにおけるアカウントの適切な管理(登録、削除、管理者権限の付与など)

ヌーラボサービスのプライバシーとセキュリティに関する補足規約

この規程は、ヌーラボが提供するサービスのプライバシーとセキュリティに関して、ヌーラボ利用規約を補足する規程(以下「本補足規約」といいます。)です。ユーザーは、ヌーラボ利用規約の他本補足規約に従い、ヌーラボのサービスを利用することが出来ます。本補足規約で用いる用語は、本補足規約で別途定義するものを除き、ヌーラボ利用規約で定義された意味と同じ意味を有するものとします。

  1. 用語の定義
    「ユーザーデータ」とは、テキストファイル、音声ファイル、イメージファイルなど、ヌーラボサービスを通してユーザーまたはユーザーの代理人によりヌーラボに提供されたすべてのデータをいいます。「エンド ユーザー」とは、本サービスにアクセスする個人をいいます。

  2. プライバシー

    • プライバシーに関する法律の順守。ヌーラボは、本サービスに一般的に適用されるすべてのデータ保護およびプライバシーに関する法律を遵守します。ただし、特定のカテゴリのデータまたはユーザーもしくはユーザーの業界に適用されるデータ保護およびプライバシーに関する法律で、情報技術サービスプロバイダーには適用されない法律についてはこの限りではなく、ヌーラボはその遵守に関しては、責任は問われないものとします。
    • ユーザーデータの使用。ヌーラボは、ユーザーとの契約書、合意書、覚書その他の合意に特段の記載がない限り、本補足の各条項に従ってユーザーデータを処理し、(a) ユーザーデータの所有権を持たず、 (b) 以下に記載されている目的以外でユーザーデータを使用または開示しません。ヌーラボは、以下の目的でユーザーデータを使用します。
      • ユーザーデータは、ユーザーに本サービスを提供するためにのみ使用されます。これには、本サービスの運用に影響する問題の防止、検出、および修復を目的とするトラブルシューティング、および発生し拡散する脅威 (マルウェアやスパム) を検出し、ユーザーを保護する機能の改善が含まれます。
      • ヌーラボは、法律により要求される場合を除いて、ユーザーデータを法執行機関に開示しません。法執行機関がヌーラボに対してユーザーデータの開示を要求した場合、ヌーラボは、法執行機関に対して、ユーザーに直接要求するように要請します。この手順の一環として、ヌーラボはユーザーの基本的な連絡先情報を法執行機関に提供することがあります。法執行機関によりユーザーデータの開示を強制された場合、ヌーラボはかかる開示を行う前に、商習慣に基づいて、ユーザーに通知するための妥当な努力をします。
    • ユーザーデータの削除。ヌーラボサービスの契約管理者がサービス解約手続(※1)等を行った場合に、ユーザーデータを削除します。この場合において、削除されたユーザーデータは、ヌーラボであっても復旧することができません。削除する条件、削除タイミングおよび削除対象となるユーザーデータは、次のとおりとします。

       

      ※1
      次のいずれかの操作を指します。(以下”サービス解約手続”について同じ)

      (削除する条件)

      • Backlog(クラシックプラン除く) / Cacoo(フリープラン除く) / Typetalk
        • ヌーラボアカウントの”組織の削除”を実施済みであること
      • Backlog(クラシックプラン)
        • ”解約手続”を実施済みであること
      • Cacoo(フリープラン)
      • ヌーラボアカウント(組織)
        • “組織の削除”を実施済みであること
      • ヌーラボアカウント(アカウント)

      (削除タイミング)
      タイミングについて明記がない場合は、次の日付から180日経過後に削除作業を開始します。通常、開始後10日以内に削除が完了します。

      • Backlog / Cacoo(フリープラン除く) / Typetalk
        • 有償プランの契約終了日とサービス解約手続の実施日のうち最も遅い日付
      • Backlog/Typetalk のフリープランおよび無料トライアル
        • サービス解約手続の実施日
      • Cacoo(フリープラン)
        • “ヌーラボアカウントの削除”の実施時に、削除処理を開始します
      • ヌーラボアカウント(組織)
        • 組織に紐づく有償プラン利用サービスの契約終了日と”組織の削除”の実施日のうち最も遅い日付
      • ヌーラボアカウント(アカウント)
        • “ヌーラボアカウントの削除”の実施時に、削除処理を開始します

      ただし、各サービスで取得しているバックアップデータには、上掲の削除タイミングによりユーザーデータが削除された後も、ユーザーデータが一定期間残ります。例えば、バックアップ保持期間が30日の場合は、削除が完了してから30日はデータが残り、31日目に削除されます。

      (削除対象)
      次のものを除く、利用者によって各サービスに登録された全てのデータが削除されます。

      • 各サービスの契約/請求/入金に関するデータ
      • 各サービスの契約管理者の氏名および連絡先
      • Backlog(クラシックプラン)のスペースオーナーの氏名および連絡先
      • BacklogのスペースID
      • Cacooにアップされた挿入画像

      ただし、ヌーラボアカウント(アカウント)/Backlog(クラシックプラン)のアカウントを削除した場合に、該当アカウントで作成されたBacklog/Typetalk/Cacoo(フリープラン除く)のユーザーデータは削除されません。これらのデータの削除が実施されるためには、上掲のとおりヌーラボアカウントの”組織の削除”/Backlog(クラシックプラン)の”解約手続”を実施する必要があります。

    • エンド ユーザーの要求に対する対応。法律により要求される場合を除いて、ユーザーの書面による同意なしにユーザーのエンドユーザーからデータ保護およびプライバシーに関する要求を受けた場合、そのような要求に対してヌーラボが応えることは実質的にありません。
    • ユーザーデータの転送。ユーザーに代わってヌーラボが処理するユーザーデータは、ヌーラボ、ヌーラボの関連会社または業務委託先が設備を維持する米国またはその他の国に転送され、保管および処理されることがあります。ユーザーは、本サービスを提供するために、ユーザーデータを当該国に転送し、保管および処理する者としてヌーラボを指名します。
    • ヌーラボの従業員。ヌーラボの従業員がヌーラボの承諾なくユーザーデータを処理することはありません。 ヌーラボの従業員は、ユーザーデータの秘密保持が義務付けられており、かかる義務は、職責を離れた後も継続します。
    • ヌーラボの業務委託先。ヌーラボは、ユーザーサポートの提供などの限定されたサービスを他の会社に委託することがあります。かかる業務委託先は、ヌーラボが委託したサービスを提供するためだけに必要なユーザーデータだけを取得することが許可され、他の目的で使用することは禁じられています。ヌーラボは、業務委託先がヌーラボ利用規約及び本補足規約に定められたプライバシー及びセキュリティの義務を遵守することに責任を負います。ヌーラボがユーザーデータを転送する業務委託先はすべて、ヌーラボから受信した個人データに関して、プライバシー保護を提供する義務を負う旨を書面で契約します。本補足規約に記載された条件の範囲内で、ヌーラボがユーザーデータを業務委託先に転送することにユーザーは同意するものとします。 上記で定められていないり、ヌーラボは、本サービスの使用を通してユーザーが提供する個人データを (保管の目的であっても) いかなる第三者にも転送しません。
    • ユーザーの責任
      • ユーザーは、本サービスの使用に関連する、プライバシー、データの保護、および通信の機密性に関して適用される法的要求事項に従う必要があります。
      • ユーザーがアカウントを提供している場合、ヌーラボが、ユーザーにより提供されるエンドユーザーの情報を使用して、ヌーラボの製品やサービスを最大限に使用するためのヒントやアドバイスをエンドユーザーに提供したり、ヌーラボの他のおすすめ情報や製品に関する情報を提供したりするために、エンドユーザーに連絡できることにユーザーは同意します。ヌーラボは、エンドユーザーに連絡をとる場合、エンドユーザーの許可を事前に取得します。また、ヌーラボは、エンドユーザーの事前の許可が得られない場合において以降の連絡を停止できるようにするための商慣行上の適切な手段を提供します。
  3. セキュリティ
    • 技術的および組織的なセキュリティ対策。ヌーラボは、偶発的な損失、破損、または改変、不正な開示またはアクセス、または違法な破壊からユーザーデータを保護するために、適切な技術的および組織的な対策、内部管理、および情報セキュリティルーチンを実装しており、今後も維持します。これらのセキュリティ対策は、ユーザーのユーザーデータのセキュリティおよび取り扱いに関してのみのヌーラボの責任を示しています。ユーザーデータの守秘義務については、ヌーラボ利用規約に定めるところによるものとします。
    • セキュリティ インシデント
      • ヌーラボの機器または施設に保管されているユーザーデータへの違法なアクセス、またはかかる機器または施設に対する不正なアクセスによりユーザーデータの消失、開示、または改変 (それぞれがセキュリティ インシデントに該当) が発生したことが判明した場合、ヌーラボは、(a) ユーザーにセキュリティ インシデントを通知し、(b) セキュリティ インシデントを調査してセキュリティ インシデントに関する情報をユーザーに報告し、(c) セキュリティ インシデントの影響を軽減し、損害を最小限にするための妥当な対策を実行します。
      • ユーザーは以下に同意するものとします。
        • 失敗したセキュリティ インシデントは、このセクションの対象にはなりません。失敗したセキュリティ インシデントとは、ユーザーデータまたはユーザーデータを保管しているヌーラボの機器または施設に対する不正なアクセスが発生しなかったインシデントで、ファイアウォールまたはエッジ サーバーへの ping 攻撃またはブロードキャスト攻撃、ポート スキャン、失敗したログオン試行、サービス拒否攻撃、パケット スニッフィング (または、IP アドレスまたはヘッダーより後のデータにアクセスされなかったトラフィック データへのその他の不正アクセス) などが含まれます。
        • セキュリティ インシデントに対するヌーラボの報告や対応の責任など、このセクションの記述は、セキュリティ インシデントに関して過失または賠償責任をヌーラボが認めることを意味するものではありません。
      • セキュリティ インシデントが発生した場合、72時間以内を目処に、ヌーラボが選択する、電子メールを含む 1 つまたは複数の手段によりユーザーの管理者に通知されます。ユーザーの責任において、ヌーラボ利用規約の定めに従い、本サービス ポータルにユーザーの管理者の正確な連絡先情報を常に登録しておく必要があります。
      • セキュリティインシデントを発見した場合の報告、または情報セキュリティインシデントに関する問い合わせは、ヌーラボサポート窓口(https://nulab.com/ja/contact/)にて受け付けています。
    • 認証と監査。ヌーラボは、ISO/IEC 27000 規格シリーズ、ISO 27001、27017、27018規格に準拠するデータセキュリティポリシーを確立し、維持します。ユーザーは、ヌーラボが別途作成する本サービスに関する文書の内容を確認し、本サービスがユーザーの要件を満たしているかどうかを独自に判断する責任があります。
  4. 暗号化
    ヌーラボでは、製品およびサービス全体で信頼性・堅牢性の高いAmazon Web Servicesを使っており、また同時に複数の暗号化方式、プロトコル、アルゴリズムを使うことにより、データがインフラストラクチャを通過する際に利用できるセキュリティで保護された経路を提供し、インフラストラクチャ内に保存されたデータの機密性を保護しています。

    • トランスポート層セキュリティ/Secure Sockets Layer (TLS/SSL)。共有シークレットに基づく対称暗号化を使ってネットワーク上でやり取りされる通信を暗号化します。
    • インターネット プロトコル セキュリティ (IPsec)。業界標準のプロトコル セットであり、ネットワーク上を移動するデータの IP パケット レベルでの認証、整合性、機密性を提供するために使用されます。
  5. バックアップ
    Backlog: データのバックアップについて
    Cacoo: データのバックアップ について
    Typetalk: データのバックアップ について
    Nulabアカウント

    • データベースは過去 2 週間分を保持
    • データ保管はAmazon Web Servicesの該当サービス稼働サーバー内
  6. ログの保護
    Amazon Web Services 上にログを保存。特定業務従事者のみアクセス可能。

    • アクセスログ(IP, URL, 時刻)
    • 期間は半永久的
  7. サービスにおいて取得されている情報(個人情報を含む)の預託
    サービスにおいて取得されている情報(個人情報を含む)を預託するサービス一覧
    (開発)
    Amazon Web Services
    (サポート)
    ・PayPal
    G Suite / Google Analytics
    MixPanel
    Intercom
    Stripe
    PAY.JP
    ・MailChimp
    ・Marketo
    ・Salesfoece
    サービスにおいて取得されている情報(個人情報を含む)を預託する国一覧
    ・日本
    ・アメリカ合衆国
    (注)アメリカ合衆国に預託された情報は、アメリカの法律の適用を受けます。