Legal Stuff
Talk legal to me
IMPORTANT NOTE: The English version of this document will govern our relationship - this translated version is provided for convenience only and will not be interpreted to modify the English version. For the English version, please see the HubSpot Legal Stuff page.
最終更新日:2025年1月17日
重要なお知らせ:お客様と弊社の契約関係は本文書の英語版が規定します。本文書の日本語版はお客様の利便性向上のみを目的として提供されており、本文書の英語版が規定する契約関係には影響を与えません。本文書の英語版については「HubSpot Legal Stuff(HubSpot各種法的文書)」のページをご参照ください。
[本規約のPDFファイル(英語)はこちらからダウンロードできます]
本DORA補足条項(以下「本DORA補足条項」)は、お客さまとHubSpotとの間の契約本体に組み込まれ、その一部を構成し、(i)お客さまがDORAの適用を受ける金融機関であり、かつ(ii)サブスクリプションサービスがICTサービスに該当する場合(それぞれ以下に定義)に適用されます。本DORA補足条項は、お客さまが無料サービスのみを利用する場合には、適用されません。
1. 定義
2. 総則
3. サービス
4. サービスの場所
5. 情報セキュリティー
6. データのリカバリー
7. 規制機関への協力
9. 重大な出来事の報告
10. 事業の継続とセキュリティー
11. 脅威主導型の侵入テスト
12. 業務委託
13. お客さまの監査
14. 終了
1. 定義
次の用語は、以下に定める意味を持ち、本DORA補足条項に別段の定義のない用語は、契約本体に規定される意味を持つものとします。
「合意済みのサービスレベル」とは、製品別規約の「サービス稼働率のコミットメント」条項に規定するサービスレベルを意味します。
「管轄当局」とは、お客さまの金融サービス業務を規制する拘束力を持つものとしてDORAの第46条に規定されている国家当局を意味します。
「重要機能」とは、それが中断した場合に、お客さまの財務状況、またはお客さまのサービスおよび業務の健全性や継続性が大幅に悪化する機能、あるいは当該機能の動作に中断、欠陥または障害が生じた場合に、お客さまの認可の条件および義務、または適用される金融サービス法に基づくその他の義務の継続的な順守が大幅に悪化する機能を意味します。
「お客さまデータ」とは、一般規約に規定された意味を持つものとします。
「サイバー脅威」とは、ネットワークシステムおよび情報システム、ならびに当該システムのユーザーその他の者に損害を与えたり、中断を生じさせたり、その他の悪影響を及ぼしたりする恐れのある潜在的な状況、出来事または行為を意味します。
「DORA」とは、金融セクターのデジタル オペレーショナル レジリエンスに関する2022年12月14日の欧州議会および理事会規則(EU)2022/2554であり、規則(EC)No 1060/2009、(EU)No 648/2012、(EU)No 600/2014、(EU)No 909/2014および(EU)2016/1011を修正したものを意味します。
「ダウンタイム」とは、製品別規約の「サービス稼働率のコミットメント」条項に規定する意味を持つものとします。
「金融機関」とは、DORAの第2(2)項に規定された意味を持つものとします。
「ICT関連インシデント」とは、単発の出来事であるか、一連の関連する出来事であるかを問わず、サブスクリプションサービスのセキュリティーを侵害する予想外の出来事であって、お客さまデータまたはサブスクリプションサービスの可用性、信頼性、整合性または機密性に悪影響を及ぼすものを意味します。
「ICTサービス」とは、DORAの第3条に規定された意味を持つものとします。
「実施規則」とは、管轄当局がDORAに基づき制定した法的拘束力のある委任規則または実施規則(技術上の規制基準を含む)を意味します。
「規制機関」とは、DORAに基づくお客さまの金融サービス業務を規制する拘束力を持つ政府機関、規制機関、管轄当局または破綻処理当局(所在地を問わない)を意味します。
「必須TLPT」とは、外部のテスト機関による脅威主導型の侵入テストまたは脅威主導型の統合侵入テストであって、(a)お客さまがDORAおよび実施規則に従って実施することを義務付けられており、(b)ICTサービスがサポートする重要機能に関するものであり、かつ(c)ICTサービスに影響を及ぼすか、その可能性があるものを意味します。
「破綻処理当局」とは、お客さまに関して破綻処理手段を適用し、破綻処理権限を行使する権限を付与された国内の規制機関を意味します。
「セキュリティー対策」とは、HubSpotデータ処理契約の付属書類2に規定されるセキュリティーに関する対策、ツールおよびポリシーを意味します。当該規定は、HubSpotの裁量により随時更新される場合がありますが、このような更新によって、サブスクリプションサービスおよびお客さまデータを保護するためにHubSpotが実施する情報セキュリティー対策やオペレーショナルレジリエンス対策が大幅に損なわれることはありません。
「受託業者」とは、データ処理契約の付属書類3で特定するインフラストラクチャーの復処理者を意味します。
「サブスクリプションサービス」とは、一般規約に基づきHubSpotがお客さまに提供するサブスクリプションサービスを意味します。
「脅威主導型の侵入テスト」または「TLPT」とは、正真正銘のサイバー脅威をもたらすと認識される実際の脅威アクターの手口、手法、手順を模倣するフレームワークで、金融機関の重要な実際の本番環境システムに対しての管理された、カスタムメイドの、インテリジェンス主導型(レッドチーム)テストを提供するものを意味します。
2. 総則
2.1 適用対象。本DORA補足条項のパート1は、契約本体に基づきHubSpotがお客さまに提供するサブスクリプションサービスに適用されます。本DORA補足条項のパート2は、重要機能をサポートするためにお客さまが利用するサブスクリプションサービスのみに適用されます。
2.2 HubSpot Solutions Partner。お客さまがエンドユーザー(HubSpot Solutions Partnerプログラム契約に定義)に代わってサブスクリプションサービスを購入するHubSpot Solutions Partnerの場合、本DORA補足条項は、エンドユーザーがDORAの適用を受ける金融機関の場合に適用されます。
2.3 守秘義務。本DORA補足条項に基づく権利に関連してまたは従ってHubSpotが提供する情報、回答および文書(本DORA補足条項の「脅威主導型の侵入テスト」または「お客さまの監査」条項に従って提供する情報を含む)(以下「機密コンプライアンス情報」)は、HubSpotの機密情報として取り扱われるものとします。契約本体に規定される守秘義務は、かかる機密コンプライアンス情報に適用されます。前記にかかわらず、お客さまは、機密コンプライアンス情報を規制機関に開示することができます。ただし、お客さまは、かかる情報の機密扱いまたは同様の保護措置を確保するものとします。
2.4 矛盾。本DORA補足条項の規定と契約本体のその他の規定の間に矛盾または不一致が存在する場合、かかる矛盾または不一致の範囲で本DORA補足条項の規定が契約本体のその他の規定に優先します。
2.5 解除。お客さまがサブスクリプションサービスの利用に関連してDORAの適用範囲外となるか、その他の形で適用を受けなくなった場合、本DORA補足条項は直ちに解除され、それ以降は無効となります。
パート1
3. サービス
3.1 具体的な内容。サブスクリプションサービスの具体的な内容は、契約本体の他の部分において規定されています。
3.2 サービスレベル。HubSpotは、合意済みのサービスレベルに従って、サブスクリプションサービスを提供します。
4. サービスの場所
4.1 ホスティング場所。お客さまデータは、お客さまのHubSpotアカウントの[アカウントの既定値]ページで指定されたホスティング場所でホストされます。ホスティング場所が変更される場合、HubSpotは、少なくとも変更の30日前までにお客さまに通知します。
 HubSpotの利用規約に関するヒント:ホスティング場所の確認方法などの詳細については、HubSpotのナレッジベース記事「HubSpot Cloud Infrastructureとデータホスティング|よく寄せられる質問」をご参照ください。 |
4.2 復処理者の所在地。HubSpotは、一部のサブスクリプションサービスを提供するために復処理者を使用します。複処理者およびデータ処理の場所は、データ処理契約の付属書類3に明記されます。
4.3. 復処理者に関する変更。お客さまは、HubSpotがデータ処理契約の「復処理者」条項の規定の通り、HubSpotが復処理者に関する変更(復処理者がサービスを提供する場所の変更を含む)を実施した場合に、Eメール通知を受信することができます。お客さまがこのEメールの受信を選択した場合、HubSpotは、データ処理契約の「復処理者」条項に従って少なくとも30日前までに通知します。
5. 情報セキュリティー
5.1 セキュリティー対策。HubSpotは、サブスクリプションサービスとお客さまデータの可用性、信頼性、整合性および機密性を確保するためのセキュリティー対策を実施し、維持します。セキュリティー対策に関する詳細情報は、「HubSpotのセキュリティーとコンプライアンスの概要」(Security & Compliance Overview)およびSOC 2レポートでご確認いただけます。これらは、HubSpotのTrust Center(https://trust.hubspot.com/、英語)からダウンロードできます。
5.2 インシデント管理。HubSpotは、お客さまによるサブスクリプションサービスの利用に影響を及ぼすICT関連インシデントが発生した場合には、お客さまが合理的に要求する合理的な支援を提供します。
5.3 セキュリティー トレーニング プログラム。HubSpotでは、業界標準に沿って、各役割に関連したHubSpotのセキュリティーポリシー、プロセス、基準に関する定期的なセキュリティー意識向上トレーニングを、HubSpotの全従業員に年1回受講させます。
6. データのリカバリー
6.1 回収期間。HubSpotは、契約本体の解除または満了(下記に定義する移行期間の満了を含む)から30日間、お客さまデータを削除する措置を取らない期間(以下「回収期間」)をお客さまに提供します。
6.2 回収プロセス。回収期間中にお客さまから書面による要請を受けた場合、HubSpotは、HubSpotの選択により、お客さまデータを回収するためのサブスクリプションサービスへの一時アクセス権をお客さまに提供するか、またはその時点でHubSpotが保有もしくは管理している全てのお客さまデータのコピーをお客さまに提供します。HubSpotがサブスクリプションサービスへの一時アクセス権をお客さまに提供する場合、再アクティブ化料金を請求することがあります。30日の回収期間が経過すると、HubSpotは、お客さまデータを維持する義務や、お客さまに提供する義務を負いません。
6.3 カスタマーイネーブルメント。サブスクリプションサービスでは、サブスクリプション期間中にお客さまデータを随時回収する権限をお客さまに付与します。
| HubSpotの利用規約に関するヒント:お客さまがサブスクリプション期間中にお客さまデータをエクスポートしたい場合には、ナレッジベース記事(コンテンツとデータをエクスポートする、レコードをエクスポートする、広告パフォーマンスデータをエクスポートする、マーケティングEメールのパフォーマンスデータをエクスポートする、HubSpotで完全削除を実行する)の指示に従ってお客さまデータを回収することができます。 |
6.4 支払い不能時のデータ回収。契約本体に基づく権利を制限することなく、お客さまは、HubSpotが以下のいずれかに該当した場合などには、全てのお客さまデータを直ちに回収する権利を有します。ただし、法律で禁止される場合や、政府機関、規制機関、破産管理人(または同等の役職)の命令によって禁止される場合には、この限りではありません。
(i)破産宣告を受けたか、清算中である(または同様の状況にある)場合。
(ii)解散したまたは整理された場合。
(iii)サブスクリプションサービスの提供事業の全部を廃止した場合(契約本体に基づき許可される譲渡の結果として廃止した場合を除く)
7. 規制機関への協力
HubSpotは、規制機関(規制機関が指名した他者を含む)がサブスクリプションサービスに関連する規制機能を果たすに当たり、当該規制機関に誠実に協力します。お客さまは、サブスクリプションサービスに関連して規制機関から問い合わせを受けた場合には、HubSpotに通知するものとします。HubSpotは、本条項に基づき提供する支援の対価として合理的な料金をお客さまに請求する場合があります。
8. お客さまのさらなる契約解除権
8.1 契約解除権。下記の「是正期間」条項に従うことを条件に、お客さまは、以下のいずれかの状況が生じた場合には、HubSpotに30日前までに書面で通知することで契約本体を解除することができます。
(i)HubSpotが適用される法令または契約本体の重大な違反をした場合。
(ii)ICTサードパーティーリスクのモニタリングを通じて特定された状況であって、サブスクリプションサービスのパフォーマンスの変化(契約本体、またはHubSpotの状況に影響する重大な変更を含む)が起こり得る状況が存在することをお客さまが合理的に証明できる場合。
(iii)HubSpotの全体的なICTリスク管理、特にHubSpotがお客さまデータの可用性、信頼性、整合性、機密性を確保する方法に関して弱点が存在することをお客さまが合理的に証明できる場合。
(iv)契約本体の条件または契約本体に関連する状況に起因して、管轄当局がお客さまを効果的に監督できなくなった場合。
(v)規制機関の拘束力のある命令によって解除が要求された場合。
8.2 是正期間。HubSpotは、上記の「契約解除権」条項に基づく通知の日付から30日以内に、お客さまが合理的に満足する程度まで違反または不履行を是正します。HubSpotが所定の期間内に違反または不履行を是正しなかった場合、お客さまは、契約本体を直ちに解除することができます。
8.3 料金の支払い。お客さまがHubSpotによる契約本体の違反以外に起因して、本「お客さまのさらなる契約解除権」条項に基づく契約解除権を行使した場合、お客さまには、以下の条件が適用されます。
(i)その時点の契約期間の末までの未払い料金があれば、それらを速やかに支払うものとします。
(ii)契約本体に関連して、HubSpotに対し契約違反その他に関する請求を行うことはできません。
パート2
9. 重大な出来事の報告
9.1 重大な出来事の通知。HubSpotは、合意済みのサービスレベルに従ってサブスクリプションサービスを提供するHubSpotの能力に重大な影響を及ぼす可能性のある重大な出来事が生じた場合、不当に遅滞することなく以下の方法でお客さまに通知します。
(i)ICT関連インシデントについては、Eメールでお客さまに直接報告するか、HubSpotのTrust Center(英語)で公開することにより報告します。
(ii)HubSpotのサービス稼働率のコミットメントに基づくダウンタイムは、https://status.hubspot.comを通じて報告します。
(iii)機能の低下を生じさせる出来事については、アプリ内のバナー(「ファイアーアラーム」)を通じて報告します。HubSpotは、お客さまによる措置が必要な場合には、お客さまに直接Eメールを送信します。
HubSpotが契約本体に従って合意済みのサービスレベルを満たせないことを報告していた場合には、個別の通知は要求されません。
10. 事業の継続とセキュリティー
10.1 事業継続計画。HubSpotは、適切な事業継続計画を実施、維持し、定期的に検査します。
10.2 セキュリティー。HubSpotは、サブスクリプションサービスの提供に関して適切なレベルのセキュリティーを提供するために、サブスクリプション期間中、セキュリティー対策を維持します。
11. 脅威主導型の侵入テスト
11.1 必須TLPT。HubSpotは、本「脅威主導型の侵入テスト」条項に従って必須TLPTに参加し、全面的に協力します。
11.2 サードパーティーの侵入テストレポート。HubSpotは、HubSpotのTrust Center(英語)を通じてお客さまに(サードパーティーが認証した)侵入テストレポートを提供します。
11.3 必須TLPTの要請。HubSpotが提供するサードパーティーの脅威主導型侵入テストレポートが、お客さまの規制上の義務を果たす上で不十分であるとお客さまが合理的に判断した場合、お客さまは、本条項の条件に従ってさらなるテストを要請することができます。お客さまは、以下を行うものとします。
(i)必須TLPTの実施を意図する場合、90日以上前までにprivacy@hubspot.comに書面で通知すること。
(ii)サブスクリプションサービスのどの部分が、関連する基盤となる情報システム、通信システムまたはテクノロジーシステム、プロセスおよびテクノロジーのうち、お客さまの重要機能をサポートする部分を構成しているかを、HubSpotと共同で特定すること。
(iii)顧客およびサブスクリプションサービスの品質またはセキュリティー、ならびにサブスクリプションサービスに関するデータの機密性への潜在的な悪影響を考慮した上で、HubSpotが適切と見なすHubSpotとの契約を締結すること、または外部のテスト機関に締結するよう要求すること。
(iv)データへの影響、資産の損害、サブスクリプションサービスおよび顧客に関する重要機能、サービスまたは業務の中断のリスクを低減するために、必須TLPTに関して効果的なリスク管理コントロールが適用されるよう確保すること。
(v)必須TLPTがサブスクリプションサービスに影響する可能性がある限りにおいて、HubSpotの脆弱性テストのガイドラインのほか、情報セキュリティーおよびオペレーショナルレジリエンスに関するポリシーと手順を順守すること。
(vi)必須TLPTに関して適用される全ての法令を順守するとともに、外部のテスト機関に順守させること。
11.4 必須TLPTの料金。お客さまは、必須TLPTの実施に関連してHubSpotが合理的に負担した全ての料金、費用および経費をHubSpotに払い戻すものとします。
12. 業務委託
12.1 受託業者。お客さまは、HubSpotが一部のサブスクリプションサービスの提供を受託業者に委託することを了承するものとします。
12.2 受託業者に関する責任。HubSpotは、契約本体に従ってサブスクリプションサービスを実施する際の受託業者の作為および不作為について引き続き責任を負います。
12.3 受託業者の監視。HubSpotは、お客さまに対するHubSpotの義務が契約本体に従って確実に果たされるよう確認する目的で受託業者を監視します。
12.4 受託業者のリスク評価。HubSpotは、受託業者とその親会社の所在地、およびサブスクリプションサービスの該当部分の提供元となる場所に関連するリスクを評価します。
12.5 受託業者に関する情報。HubSpotは、お客さまから合理的な要請があった場合、受託業者に対する守秘義務に従うことを条件に、HubSpotと受託業者との間の契約書に関する情報および関連するパフォーマンス指標に関する情報を提供します。
12.6 業務委託契約。HubSpotは、受託業者に業務を委託する場合には、以下を定めた書面による契約を締結します。
(i)HubSpotに対する受託業者の適切な監視および報告義務。
(ii)委託したサービスの継続を確保するための適切な措置。
(iii)適切なサービスレベル。
(iv)ISO 27001、ISO 27002、SOC 2、NIST(該当する場合)などの国際基準に準拠した適切なICTセキュリティー基準。
12.7 受託業者の監査。HubSpotは、受託業者との間で書面による契約を締結し、お客さままたは規制機関に対し、本DORA補足条項の「お客さまの監査」条項に定めるのと同等の条件にて受託業者の監査および検査を実施できる権限を与えられるよう、合理的な範囲で努力します。
12.8 相応性。受託業者との間で上記の書面による契約を締結する際は、HubSpotは、サービスの法的要件、背景および性質を考慮して、リスクに基づく相応の方法で「業務委託契約」条項に定める要件を検討します。HubSpotは、書面による契約がどの程度本DORA補足条項の「業務委託契約」条項に準拠しなければならないかを判断する際に、受託業者がDORAに基づく欧州監督当局によって重要なICTサードパーティー サービス プロバイダーとして指定されているかどうかを考慮することができます。
12.9 受託業者に関する重大な変更。受託業者に関する予定された変更が、本契約に基づきサブスクリプションサービスを提供するHubSpotの能力に重大な悪影響を及ぼすと、お客さまが合理的に判断した場合、お客さまは、「復処理者に関する変更」条項に基づく通知から30日以内に、受託業者に関する重大な変更に対して合理的な根拠に基づき異議を申し立てることができます。お客さまがHubSpotに対しかかる異議申し立てを行った場合、両当事者は、商業的に合理的な解決を目指し、お客さまの懸念事項について誠意をもって協議するものとします。かかる申し立てが解決に至らない場合、HubSpotは独自の裁量により、その業務委託の取り決めに関する重大な変更を行わないか、いずれの当事者も責任を負うことなく、サブスクリプションサービスのうち影響を受ける部分の利用を終了することをお客さまに許可するかを選択するものとします(ただし、終了の前にサービスに関してお客さまに発生した費用への影響はありません)。
13. お客さまの監査
13.1 監査権。HubSpotは、本DORA補足条項の「お客さまの監査」条項に従って、
(i)HubSpotによるサブスクリプションサービスの実施、および
(ii)HubSpotによる契約本体の全体的な順守
にアクセスして検査および監査する権利(以下「監査権」)を、お客さま、お客さまが指名した第三者および規制機関(それぞれ以下「申請者」)に付与します。
13.2 相応の方法による監査権の行使。お客さまおよびお客さまが指名した第三者は、サービスの法的要件、背景および性質を考慮して、リスクに基づく相応の方法で監査権を行使するものとします。これに関連して、お客さまは、HubSpotが自社の施設でサブスクリプションサービスおよびお客さまデータをホストしておらず、ホスティングサービスがAWSに委託されていることを了承するものとします。
13.3 独立監査報告書。監査権の行使に先立ち、お客さまは、本DORA補足条項の「独立監査報告書」条項に掲げる1つ以上の要素が、要求される保証レベルを提供する上で十分かどうかをまず検討し、本条項に基づき提供される情報がお客さまの規制上の義務を果たす上で不十分であるとお客さまが合理的に判断した場合に限り、現地監査権を行使するものとします。
(i)HubSpotに代わって作成された独立監査報告書。
(ii)HubSpotの内部監査部門の監査報告書。
(iii)HubSpot Trust Center(英語)で提供されるSOC 2認証など、HubSpotの第三者認証。
(iv)HubSpotがお客さまに提供するその他の入手可能な関連情報などの情報のお客さまによる利用。
13.4 申請者への協力。HubSpotは、現地検査および監査を実施する監査権の行使において申請者に全面的に協力するとともに、関連文書がHubSpotの業務にとって重要である場合には、申請者が現地でかかる文書のコピーを取ることを許可するものとします。
13.5 監査の通知。お客さまは、監査権がお客さままたはお客さまが指名した第三者によって行使される予定日の少なくとも60日前までにHubSpotに書面で通知する必要があります。ただし、かかる通知が申請者の緊急事態、危機的状況または要件により可能でない場合には、この限りではありません。通知は、privacy@hubspot.comに提出する必要があります。お客さまは、上記の書面による事前通知に(i)詳細な情報要請リスト、および(ii)該当する場合、監査権を行使するためにお客さまが指名した第三者の本人確認情報を記載する必要があります。
13.6 第三者監査人の指名。お客さまが監査権を行使するために第三者を指名することを希望する場合、以下の各条件が適用されます。
(i)お客さまは、かかる第三者がHubSpotの競合他社でないことを保証するものとします。
(ii)お客さまは、監査権を行使する第三者とその従業員が、監査権を行使するために必要な技能、知識、経験を備えていることを確認するものとします。
(iii)当該第三者は、HubSpotが合理的に満足する条件でHubSpotと機密保持の取り決めを締結する必要があります。
13.7 業務の中断。お客さまおよびお客さまの指名した第三者は、監査権の行使が、HubSpotのサービス提供能力および通常業務の遂行能力を妨げないよう確保するものとします。
13.8 代替的保証レベル。お客さままたはお客さまの指名した第三者による監査権の行使が、HubSpotの別のお客さまの権利に影響する可能性があるとHubSpotが合理的に判断した場合(例えば、サービス提供、データセキュリティー、サービスレベル、データの可用性、HubSpotの守秘義務への影響など)、HubSpotとお客さまは、代替的保証レベルについて合意するものとします。
13.9 監査の条件。お客さま(またはお客さまの指名した第三者)は、12か月間に1回のみ監査権を行使することができます。ただし、さらに高い頻度で監査権を行使することが規制機関によって要求される場合には、この限りではありません。各回の監査権の行使は、HubSpotの標準営業時間中に最大3営業日間を予定するものとします。ただし、それ以上の期間が規制機関によって要求される場合には、この限りではありません。
13.10 監査に関連する料金。お客さまは、監査権の行使に関連してHubSpotが合理的に負担した全ての料金、費用および経費をHubSpotに払い戻すものとします。
14. 終了
14.1 移行期間。契約本体の解除または満了後(契約本体に基づく正当な事由でのHubSpotによるサブスクリプションサービスの一時停止および契約解除の場合を除く)、お客さまは、移行期間として契約本体の解除日または満了日から最大3か月間(以下「移行期間」)にわたり、サブスクリプションサービスの継続を要求することができます。ただし、お客さまは、以下を行う必要があります。
(i)移行期間にわたりサブスクリプションサービスの延長を希望することを、サブスクリプション期間の終了または満了の少なくとも30日前までにHubSpotに通知すること。
(ii)移行期間を対象とするサブスクリプションサービスの新規注文を締結すること。
(iii)サブスクリプションサービス料金の全額を引き続き支払うこと。