ヌーラボのプライバシーとセキュリティにおける取り組み(第六版)
セキュリティ、監査、認証
ヌーラボは第三者の監査、および認証を取得しています。ヌーラボサービスは、厳格な情報管理のもとで設計・開発・運用がなされています。
セキュリティ、プライバシー、連続性、およびコンプライアンスのためのポリシーと手続に遵守していることを独自に検証するため、毎年、国際的に認められた監査機関による第三者監査を受けています。
ヌーラボサービスの認証取得状況
ISO/IEC 27001
ISO/IEC 27017
ISO/IEC 27018
ISO/IEC 27001は、Information Security Management System (適合性評価制度: 以下「ISMS」といいます。)とされる、情報資産を様々な脅威から守り、リスクを軽減させるための総合的な情報セキュリティ・マネジメントシステムです。
ISMSクラウドセキュリティ認証とは
JIS Q 27001:2014 (ISO/IEC 27001:2013) 認証を前提として、その適用範囲内に含まれるクラウドサービスの提供もしくは利用に関して、ISO/IEC 27017:2015のガイドラインに規定されるクラウドサービスの情報セキュリティ管理を満たしている組織を認証する仕組みです。
ヌーラボの責任
ヌーラボは、次のセキュリティ対策を実施します。
- ヌーラボサービスのセキュリティ対策
- ヌーラボサービスに保管されたお客様データの保護
- ヌーラボサービスの提供に利用するミドルウェア、OS、その他インフラのセキュリティ対策
お客様の責任
お客様は、次のセキュリティ対策を実施する必要があります。
- 各ユーザーに付与されたパスワードの適切な管理
-
ヌーラボサービスにおけるアカウントの適切な管理(登録、削除、管理者権限の付与など)
ヌーラボサービスのプライバシーとセキュリティに関する補足規約
この規約は、ヌーラボが提供する本サービスのプライバシーとセキュリティに関して、ヌーラボ利用規約を補足する規約(以下「本補足規約」といいます。)です。ユーザーは、ヌーラボ利用規約のほか本補足規約に従い、ヌーラボのサービスを利用することができます。本補足規約で用いる用語は、本補足規約で別途定めるものを除き、ヌーラボ利用規約と同一の意味を有するものとします。
- プライバシー
- プライバシーに関する法律の遵守。ヌーラボは、本サービスに一般的に適用されるすべてのデータ保護およびプライバシーに関する法律を遵守します。ただし、特定のカテゴリのデータまたはユーザーまたはユーザーの業界に適用されるデータ保護およびプライバシーに関する法律で、情報技術サービスプロバイダーには適用されない法律についてはこの限りではなく、ヌーラボはその遵守に関しては、責任は問われないものとします。
- ユーザーデータの使用。ヌーラボは、ユーザーとの契約書、合意書、覚書その他の合意書面に特段の定めがない限り、本補足規約の各条項に従ってユーザーデータを処理し、(a) ユーザーデータに対する管理権限等の権限を持たず、 (b) 次の各号以外の目的でユーザーデータを使用または開示しません。ヌーラボは、次の目的でユーザーデータを使用します。
- ユーザーデータは、ユーザーに本サービスを提供することのみを目的として使用されます。これには、本サービスの運用に影響する問題の防止、検出、および修復を目的とするトラブルシューティング、ならびに発生し拡散する脅威 (マルウェアやスパム) を検出し、ユーザーを保護する機能の改善が含まれます。
- ヌーラボは、法律により要求される場合を除いて、ユーザーデータを法執行機関に開示しません。法執行機関がヌーラボに対してユーザーデータの開示を要求した場合、ヌーラボは、法執行機関に対して、ユーザーに直接要求するように要請します。この手順の一環として、ヌーラボはユーザーの基本的な連絡先情報を法執行機関に提供することがあります。法執行機関によりユーザーデータの開示を強制された場合、ヌーラボはかかる開示を行う前に、商習慣に基づいて、ユーザーに通知するための妥当な努力をします。
- ユーザーデータの削除。本サービスの契約管理者が利用終了手続(ヌーラボアカウントの”組織の削除”またはBacklogクラシックプランの”解約手続”をいいます。以下同じ。)を行った場合に、ユーザーデータを削除します。この場合において、削除されたユーザーデータは、ヌーラボもまた復旧することができません。削除条件、削除時期および削除対象となるユーザーデータは、次のとおりとします。
(削除条件および削除時期)
ユーザーデータが削除される条件 削除時期(原則) Backlog クラシックプラン 解約手続を実施済みであること 有料プランのスペースでは現在の契約期間終了から180日経過後、有料プランのトライアル中のスペースや無料プランのスペースでは解約手続の実施日から180日経過後に削除作業を開始し、開始から10日以内に削除を完了します。(※) Cacoo プラスプランおよび2019年11月26日以前申込のフリープラン ヌーラボアカウントの削除が実施されること ヌーラボアカウントの削除を実施したときに削除作業を開始し、開始から10日以内に削除を完了します。(※) 上記以外のBacklog、Cacoo、Typetalkのプラン 組織の削除が実施されること 組織の削除を実施して組織が削除されてから180日経過後に削除作業を開始し、開始から10日以内に削除を完了します。(※) ヌーラボアカウント ヌーラボアカウントの削除が実施されること ヌーラボアカウントの削除を実施したときに削除作業を開始し、開始から10日以内に削除を完了します。(※) ※ただし、上の表に基づく削除完了時期以後も、各サービスで取得しているバックアップデータには、ユーザーデータが一定期間残ります。例えば、バックアップ保持期間が30日の場合は、削除が完了してから30日はデータが残り、31日目に削除されます。
(削除対象となるユーザーデータ)
次のデータを除き、ユーザーが各サービスに登録した全てのユーザーデータが削除されます。
– 各サービスの契約/請求/入金に関するデータ
– 各サービスの契約管理者の氏名および連絡先
– Backlog(クラシックプラン)のスペースオーナーの氏名および連絡先
– BacklogのスペースID
– Cacooにアップされた挿入画像ただし、ヌーラボアカウント(アカウント)またはBacklog(クラシックプラン)のアカウントの削除を実施した場合には、該当アカウントで作成されたBacklog/Typetalk/Cacoo(2019年11月26日以前のフリープランおよびプラスプランを除く。)のユーザーデータは削除されません。
これらのユーザーデータが削除されるためには、ヌーラボアカウントの組織の削除またはBacklog(クラシックプラン)の解約手続を実施する必要があります。
- エンド ユーザーの要求に対する対応。法律の要請に基づく場合を除いて、ユーザーの書面による同意なしにエンドユーザーからデータ保護またはプライバシーに関する求めを受けた場合、ヌーラボが当該求めに応じることはありません。
- ユーザーデータの転送。ユーザーに代わってヌーラボが処理するユーザーデータは、ヌーラボ、ヌーラボの関連会社または業務委託先が設備を維持する米国その他の国に転送され、保管および処理されることがあります。ユーザーは、本サービスを提供するために、ユーザーデータをそれらの国に転送し、保管および処理する者としてヌーラボを指名します。
- ヌーラボの従業員。ヌーラボの従業員がヌーラボの承諾なくユーザーデータを処理することはありません。 ヌーラボの従業員は、ユーザーデータ秘密保持義務を負っており、かかる義務は、職責を離れた後も継続します。
- ヌーラボの業務委託先。ヌーラボは、ユーザーサポートの提供などの限定されたサービスを第三者に委託することがあります。当該第三者(以下「業務委託先」といいます。)は、ヌーラボによる委託目的の達成に必要なユーザーデータだけを取得するものとされ、かつ当該ユーザーデータを他の目的で使用することは禁じられています。ヌーラボは、業務委託先がヌーラボ利用規約および本補足規約に定められたプライバシーならびにセキュリティに関する義務を遵守することに責任を負います。また、ヌーラボは、ユーザーデータを転送するすべての業務委託先に対し、ヌーラボから受信したユーザーデータに関し秘密保持義務および個人情報保護義務を課すものとします。ユーザーは、本補足規約に記載された条件の範囲内においてヌーラボがユーザーデータを業務委託先に転送することに同意するものとします。 上掲以外の場合において、ヌーラボが、本サービスの使用を通して受領するユーザーデータを (保管の目的であっても) 第三者に転送することはありません。
- ユーザーの責任
- ユーザーは、本サービスの使用に関連して適用される、プライバシー、データ保護および通信の機密性に関する法的要求事項に従う必要があります。
- ユーザーがエンドユーザーに対しアカウントを提供している場合、ヌーラボが、ユーザーが提供するエンドユーザーの情報を利用して、ヌーラボの製品・サービスを最大限に使用するためのヒントおよびアドバイスその他のおすすめ情報や製品に関する情報をエンドユーザーに提供することを目的に、エンドユーザーと連絡をとることができることにユーザーは同意します。ヌーラボは、エンドユーザーに連絡をとる場合、エンドユーザーの同意を得るものとします。また、ヌーラボは、エンドユーザーの同意が得られない場合に以後の連絡を停止するための商慣行上の適切な手段を用意します。
- セキュリティ
- 技術的および組織的セキュリティ体制。ヌーラボは、不可抗力による損失、破損もしくは改変、不正アクセスまたは漏えい、または不法行為による破壊からユーザーデータを保護するために、適切な技術的および組織的対策、内部管理、および情報セキュリティルーチンを実装しており、今後も維持します。これらのセキュリティ体制におけるヌーラボの責任はユーザーデータのセキュリティおよび取扱いに限定され、ユーザーデータの守秘義務については、ヌーラボ利用規約に定めるところによるものとします。
- セキュリティ インシデント
- ヌーラボの機器または施設に保管されているユーザーデータへの違法なアクセス、または当該機器または施設に対する不正なアクセスによるユーザーデータの消失、開示または改変 (以下それぞれについて「セキュリティ インシデント」といいます。) が発生したことが判明した場合、ヌーラボは、(a) ユーザーにセキュリティ インシデントを通知し、(b) セキュリティ インシデントを調査してその情報をユーザーに報告し、(c) セキュリティ インシデントの影響を軽減し、損害を最小限にするための妥当な対策を実行します。
- ユーザーは次の事項に同意するものとします。
- セキュリティ インシデントが失敗に終わる場合は、前号は適用されず、ヌーラボの調査義務、通知報告義務および対策実行義務は発生しません。この場合においてセキュリティ インシデント失敗に終わる場合とは、ユーザーデータまたはユーザーデータを保管しているヌーラボの機器または施設に対する不正なアクセスが発生しなかったインシデントで、ファイアウォールまたはエッジ サーバーへの ping 攻撃またはブロードキャスト攻撃、ポート スキャン、失敗したログオン試行、サービス拒否攻撃、パケット スニッフィング (または、IP アドレスまたはヘッダーより後のデータにアクセスされなかったトラフィック データへのその他の不正アクセス) などが含まれます。
- 上掲のセキュリティ インシデントに対するヌーラボの報告や対応は、セキュリティ インシデントに関して過失責任、賠償責任その他の責任をヌーラボが認めることを意味するものではありません。
- セキュリティ インシデントが発生した場合、72時間以内を目安として、ヌーラボの選択に基づき、電子メールその他の1 つまたは複数の手段によりユーザーの管理者に通知されます。この場合において、ユーザーの管理者は、ユーザーの責任において、ヌーラボ利用規約の定めに従い本サービス ポータルにユーザーの管理者の正確な連絡先情報を常に登録しておく義務および責任があります。
- セキュリティインシデントを発見した場合の報告、または情報セキュリティインシデントに関する問い合わせは、ヌーラボサポート窓口(https://nulab.com/ja/contact/)にて受け付けています。
- 認証と監査。ヌーラボは、ISO/IEC 27000 規格シリーズ、ISO 27001、27017、27018規格に準拠するデータセキュリティポリシーを確立し、維持します。ユーザーは、ヌーラボが別途作成する本サービスに関する文書の内容を確認し、本サービスがユーザーの要件を満たしているかどうかを独自に判断する責任があります。
- 暗号化
ヌーラボでは、製品およびサービス全体で信頼性・堅牢性の高いAmazon Web Servicesを使っており、また同時に複数の暗号化方式、プロトコル、アルゴリズムを使うことにより、データがインフラストラクチャを通過する際に利用できるセキュリティで保護された経路を提供し、インフラストラクチャ内に保存されたデータの機密性を保護しています。- トランスポート層セキュリティ/Secure Sockets Layer (TLS/SSL)。共有シークレットに基づく対称暗号化を使ってネットワーク上でやり取りされる通信を暗号化します。
- インターネット プロトコル セキュリティ (IPsec)。業界標準のプロトコル セットであり、ネットワーク上を移動するデータの IP パケット レベルでの認証、整合性、機密性を提供するために使用されます。
- バックアップ
Backlog: データのバックアップについて
Cacoo: データのバックアップ について
Nulabアカウント
- データベースは過去 2 週間分を保持
- データ保管はAmazon Web Servicesの該当サービス稼働サーバー内
- ログの保護
Amazon Web Services 上にログを保存。特定業務従事者のみアクセス可能。- アクセスログ(IP, URL, 時刻)
- 期間は半永久的
- ユーザーデータおよび本サービスにおいて取得されている個人情報の預託
ユーザーデータおよび本サービスにおいて取得されている個人情報を預託するサービス一覧
(開発)
・・Amazon Web Services
(サポート)
・PayPal
・G Suite / Google Analytics
・MixPanel
・Intercom
・Stripe
・PAY.JP
・MailChimp
・Marketo
・Salesforceユーザーデータおよび本サービスにおいて取得されている個人情報を預託する国一覧
・日本
・アメリカ合衆国
(注)アメリカ合衆国に預託された情報は、アメリカ合衆国の法律の適用を受けます。