Legal Stuff
Talk legal to me
HubSpotデータ処理契約
最終更新日:2024年9月18日
IMPORTANT NOTE: The English version of this document will govern our relationship - this translated version is provided for convenience only and will not be interpreted to modify the English version. For the English version, please see the HubSpot Legal Stuff page.
最終更新日:2024年9月18日
重要なお知らせ:お客様と弊社の契約関係は本文書の英語版が規定します。本文書の日本語版はお客様の利便性向上のみを目的として提供されており、本文書の英語版が規定する契約関係には影響を与えません。本文書の英語版については「HubSpot Legal Stuff(HubSpot各種法的文書)」のページをご覧ください。
[電子署名入りPDFファイル(標準契約条項(SCC)、英国向け補足条項、復処理者の全文を含む、英語)はこちらからダウンロードいただけます]
このHubSpotデータ処理契約とその付属書類(以下、「本DPA」)は、お客さまと当社との間のHubSpotお客さまサービス利用規約(以下、「契約本体」)に組み込まれ、その一部となります。本DPAには、(i)当社がお客さまのために処理者として実施するお客さま個人データの処理、および(ii)各当事者が当社のエンリッチメント製品とお客さまによるHubSpotトラッキングコードの利用に関連して管理者として実施する管理者個人データの処理に関する両当事者の合意が反映されています。
契約本体の規定との間で矛盾または齟齬がある場合、かかる矛盾または齟齬の範囲において、本DPAが他の規定より優先されます。
本DPAの第3条~第9条は、HubSpotがサブスクリプションサービスに関連してお客さま個人データの処理者である場合に限り適用されます。
第10条は、お客さまが興味関心データの共有を有効にした上で当社のエンリッチメント製品またはHubSpotトラッキングコードをご利用になる範囲でのみ適用され、その場合、各当事者がデータ保護法に基づく管理者とみなされます。
本規約は随時改訂されます。HubSpot製品のサブスクリプションをご契約中のお客さまには、本規約の改訂時に、アプリ内の通知機能を通じて(あるいは一般規約に含まれるリンクからEメール通知の受信を登録いただいた場合はEメールにて)お知らせいたします。DPAのアーカイブ版(英語)は、当社サイトのアーカイブページ(https://legal.hubspot.com/legal-stuff/archive)でご覧いただけます。
本DPAの期間は、契約本体の期間に準ずるものとします。CCPAが管理者個人データの処理に適用される範囲で、各当事者は、次のことを了承し、同意するものとします。(i)かかる管理者個人データは、契約本体に定められた限定的な所定の目的でのみ相手方当事者に提供されること、(ii)かかる管理者個人データを受領する当事者は、CCPAで要求されるものと同水準のプライバシー保護を順守し、提供すること、(iii)かかる管理者個人データを受領する当事者は、自らがCCPAに基づく義務を果たすことができなくなったと判断した場合には、相手方当事者に速やかに通知すること、(iv)かかる管理者個人データを提供する当事者は、受領当事者がCCPAに基づく義務に従った方法で管理者個人データを使用していることを確認し、管理者個人データの不正使用があればこれを中止および是正するために、適切な通知を行った上で合理的かつ適切な措置を講じる権利を有すること。
- 定義
- お客さまの責任
- 処理者としてのHubSpotの義務
- データ主体の要請
- 復処理者
- データの移転
- 順守の証明
- 欧州のデータに関する追加条項
- カリフォルニア州の個人情報に関する追加条項
- 管理者から管理者条項
- データ移転の方法
- 一般条項
- 本DPAの当事者
付属書類1(A) - 処理の詳細 - 処理者としてのHubSpot
付属書類1(B) - 処理の詳細 - 管理者としてのHubSpot
1. 定義
「カリフォルニア州の個人情報」とは、CCPAによる保護の対象となるお客さまの個人データを意味します。
「CCPA」とは、カリフォルニア州民法1798.100条以下を指します(「2018年カリフォルニア州消費者プライバシー法」、改正後は「2020年カリフォルニア州プライバシー権法(CPRA)」とも呼ばれます)。
「消費者」、「事業者」、「販売」、「サービスプロバイダー」、および「共有」は、CCPA内で与えられた意味を有します。
「管理者」とは、単独または他者と共同で、個人データの処理の目的および手段を決定する自然人もしくは法人、公的機関、政府機関、またはその他の団体を意味します。
「管理者個人データ」とは、各当事者がエンリッチメント製品またはHubSpotトラッキングコードに関連して管理者として処理する個人データを意味し、各当事者がデータ保護法に基づく管理者とみなされます。
「お客さま個人データ」とは、HubSpotがお客さまのために処理者として処理するお客さまデータ内に含まれる個人データを意味します。
「お客さま個人データの侵害」とは、サブスクリプションサービスの提供に伴い、当社またはその復処理者が送信や保管などの方法で処理するお客さま個人データの偶発的または違法な破壊、喪失、改変、不正開示またはアクセスにつながるセキュリティーの侵害を意味します。「お客さま個人データの侵害」は、ログインの試行、pingの送信、ポートスキャン、DoS(サービス妨害)攻撃、およびファイアウォールやネットワークシステムに対するその他の攻撃を含む試みまたは行為が成功せず、お客さま個人データのセキュリティー侵害に至らない場合は該当しないものとします。
「データ プライバシー フレームワーク」とは、米国商務省が実施する、EU・米国間のデータ プライバシー フレームワーク、スイス・米国間のデータ プライバシー フレームワーク、および英国拡張版のEU・米国間のデータ プライバシー フレームワークによる自己認証プログラム(該当する場合)を意味します。なお、いずれのデータ プライバシー フレームワークも修正、廃止、または置換される場合があります。
「データ プライバシー フレームワーク原則」とは、関連するデータ プライバシー フレームワークに記載されている原則および追加原則を意味します。なお、いずれのデータ プライバシー フレームワーク原則も修正、廃止、または置換される場合があります
「データ保護法」とは、契約本体に基づき対象の個人データを処理する各当事者に適用される、それぞれ随時修正、廃止、統合、または置換される、データ保護およびプライバシーに関する各国の全ての法律を意味し、欧州データ保護法、CCPAおよびその他米国内で適用される連邦および州のプライバシー法、ならびにオーストラリア、カナダ、シンガポール、インド、および日本のデータ保護法およびプライバシー法が含まれます。
「データ主体」とは、個人データと関連のある個人を意味します。
「欧州」とは、欧州連合(以下、「EU」)、欧州経済領域(以下、「EEA」)、およびその加盟国、ならびにスイスおよび英国を意味します。
「欧州のデータ」とは、欧州データ保護法による保護の対象となるお客さま個人データを意味します。
「欧州データ保護法」とは、欧州で適用されるデータ保護法を意味し、次を含みます。(i)個人データの処理に伴う自然人の保護および当該データの自由な移動に関する欧州議会および欧州理事会の規則2016/679(一般データ保護規則。以下、「GDPR」)。(ii)電子通信分野における個人データの処理およびプライバシー保護に関する指令2002/58/EC。(iii)(i)および(ii)の各国における施行。または2018年EU離脱法第3条に基づいて英国国内法の一部を形成するGDPR(以下、「UK GDPR」)。(iv)スイス連邦データ保護法およびその規定(以下、「スイスDPA」)。なお、いずれの法律も修正、廃止、または置換される場合があります。
「指示」とは、お客さまがHubSpotに対して発行するものであり、HubSpotにお客さま個人データに関する特定または全般的な行為(匿名化、ブロック、削除、提供などを含むが、これらに限定されない)の実行を促すために、文書化された指示を意味します。
「認定関係会社」とは、お客さまの関係会社で、次の全ての条件に該当する企業を意味します。(i)契約本体に従ってサブスクリプションサービスを使用することを許可されているが、当社と独立した契約は締結しておらず、契約本体で定義される「お客さま」ではない。(ii)お客さま個人データあるいは管理者個人データの管理者としての資格を満たす。(iii)欧州データ保護法を順守している。
「個人データ」とは、データ保護法に基づき個人データ、個人情報、または個人を識別し得る情報と同様に保護される、識別された個人または識別され得る個人に関するあらゆる情報を意味します。
「処理(取り扱い)」とは、個人データに対して行われるあらゆる単一の操作または一連の操作を意味します。かかる操作には、個人データの収集、記録、整理、構造化、保管、調整もしくは変更、復旧、参照、使用、送信による開示、周知あるいはその他の方法による提供、統合もしくは結合、または制限もしくは消去が含まれます。「処理(取り扱い)」という用語の派生語については、上記に準じた意味として解釈されるものとします。
「処理者」とは、管理者の代理で個人データを処理する自然人もしくは法人、公的機関、政府機関、またはその他の団体を意味します。
「制限付き移転」とは、適用される欧州データ保護法における意味において十分な水準の保護を提供していない国に対して、欧州から個人データを移転することを意味します。
「標準契約条項」とは、2021年6月4日に採択されて現在https://eur-lex.europa.eu/eli/dec_impl/2021/914(英語)に掲載されている欧州委員会決定(EU)2021/914に添付された標準契約条項を意味します。なお、かかる標準契約条項も修正、廃止、または置換される場合があります。
「復処理者」とは、契約本体に基づくお客さま個人データの処理に関して当社またはその関係会社から当社の義務の遂行を支援するよう委託された処理者を意味します。「復処理者」には、第三者または当社の関係会社が含まれる場合はありますが、HubSpotの従業員またはコンサルタントは含まれません。
「英国向け補足条項」は、2018年データ保護法第119A(1)条に基づき英国情報コミッショナーが発行した国際データ移転に関する補足条項を意味し、現在https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf(英語)でご覧いただけます。なお、かかる補足条項も修正、廃止、または置換される場合があります。
2. お客さまの責任
a. 法の順守。お客さまは、契約本体の範囲内およびご自身によるサービスの利用において、個人データ保護法に基づきお客さまに適用される全ての要件を順守する責任を負うものとします。
特に、お客さまは次の全ての項目について(ただし前記の一般性に影響を与えない範囲で)、一切の責任を負うことを認め、これに同意するものとします。(i)お客さま個人データの正確性、質、および合法性、ならびにお客さまが当該のデータを入手した手段。(ii)適切な通知の提供、必要な同意および認可の取得、オプトアウト設定の尊重を含む、お客さま個人データの収集および使用に関するデータ保護法に基づく透明性および合法性に関する要件を全て順守すること(特にお客さまがマーケティングの目的で使用する場合)。(iii)契約本体(本DPAを含む)の規定に従い、処理のために個人データを当社に移転する権利、または個人データへのアクセスを当社に提供する権利を確保すること。(iv)サブスクリプションサービスを通じて作成、送信、または管理されるEメールまたはその他のコンテンツに適用される全ての法律(Eメールの送信に関する同意の取得、Eメールのコンテンツ、およびEメールの展開の実践に関するものを含む)を遵守すること。および(v)お客さまによる管理者個人データの使用がデータ保護法を遵守し、契約(本DPAを含む)に規定された目的に厳密に限定されるようにすること。本「法の順守」条項またはデータ保護法に基づくご自身の責任を果たすことができない場合、お客さまは不当に遅延することなく当社に報告するものとします。
b. お客さまの指示。お客さまは、お客さま個人データの処理に関する当社への指示が、適用される法律(データ保護法を含む)に準拠しているよう確認する責任を負います。両当事者は、お客さまが契約本体に従ってサブスクリプションサービスを使用することと併せて、契約本体(本DPAを含む)がHubSpotによるお客さま個人データの処理に関するお客さまから当社への完全な指示を構成することに同意します。ただし、契約本体、並びにサブスクリプションサービスの性質と合法的な使用法に従っている限りにおいて、お客さまは、サブスクリプション期間中に指示を追加することができます。
c. セキュリティー。お客さまには、サブスクリプションサービスで提供されるデータセキュリティーによって、データ保護法に基づくお客さまの義務を適切に履行できるかどうかを個別に判断する責任があります。また、サブスクリプションサービスとの間で送受信される個人データのセキュリティー保護(かかる個人データの安全なバックアップまたはそのようなデータの暗号化を含む)を行うなどして、サブスクリプションサービスを安全に使用する責任があります。
3. 処理者としてのHubSpotの義務
a. 指示の順守。当社は、本DPAで規定される目的、またはお客さまによる合法的な指示の範囲内で別途合意された目的でのみお客さま個人データを処理するものとします。ただし、適用法に基づき別途要請された場合、その範囲は例外とします。当社は、お客さままたはその業界に適用されるデータ保護法が通常当社に適用されない場合、かかる法律を順守する責任を負いません。
b. 抵触法。適用法に基づく法的要件により、お客さまの指示に従ってお客さま個人データを処理することが不可能であると認識した場合、当社は、(i)かかる法的要件について、適用法により許される範囲で直ちにお客さまに通知し、(ii)当社が順守できる新しい指示がお客さまから出されるまでの間、必要に応じて全ての処理(影響を受けるお客さま個人データを単に保存したり、そのセキュリティーを維持したりすることを除く)を停止するものとします。この条項が行使された場合、処理に関する合法的な指示がお客さまから新しく出されるまでの間、当社は該当するサブスクリプションサービスの提供の不履行について、契約本体に基づくお客さまに対する責任を負わないものとします。
c. セキュリティー。本DPAの付属書類2(「セキュリティー対策」)に規定される通り、当社はお客さま個人データの侵害からお客さま個人データを保護するために、適切な技術的および組織的対策を実施および維持するものとします。これとは異なる規定が定められていても、当社はセキュリティー対策の修正または変更を自己の裁量で実施できるものとします。ただし、かかる修正または変更によって、当該セキュリティー対策により提供される保護水準に大幅な低下が生じないことを条件とします。
d. 守秘義務。当社は、当社の代理としてお客さま個人データを処理する権限を与えた担当者に、かかるお客さま個人データに関する適切な守秘義務(契約上の義務か法律上の義務かによらず)を順守させるものとします。
e. お客さま個人データの侵害。当社は、お客さま個人データの侵害を認識した場合、不当に遅延することなくお客さまに報告し、かかるお客さま個人データの侵害に関する情報を、確認状況に応じて、またはお客さまからの合理的な要請に基づいて適時提供するものとします。データ保護法に基づき、該当のお客さま個人データの侵害について、お客さまが監督当局または影響を受けるデータ主体に通知する義務がある場合、当社は、そのために必要な合理的な支援を、お客さまの要請に応じて速やかに提供するものとします。
f. お客さま個人データの削除または返却。当社は、当社の製品別規約に規定された手順に従って、サブスクリプションサービスの終了または満了時に本DPAに基づき処理されたお客さま個人データを含む全てのお客さまデータ(その写しを含む)を削除または返却するものとします。この要件は、当社がお客さまデータの一部または全部を保持することを適用法で要求された場合、またはバックアップシステムにお客さまデータがアーカイブされている場合については除外されるものとします。当社はかかるデータを隔離した状態で安全に保管し、さらなる処理が行われないよう保護するとともに、自社の削除基準に従って削除するものとします。サブスクリプションの終了または満了後、https://knowledge.hubspot.com/ja/account/how-do-i-cancel-my-hubspot-accountの手順に従って、お客さまのHubSpotアカウントの削除を依頼することができます。
お客さまデータを取得する場合には、お客さまのサブスクリプション期間が満了する前に、ナレッジベース記事(コンテンツとデータをエクスポートする、レコードをエクスポートする、広告パフォーマンスデータをエクスポートする、Eメール パフォーマンス データをエクスポートする、HubSpotで完全削除を実行する)の指示に従って行うことをを強くお勧めします。
サブスクリプション期間中にお客さまデータを回収するに当たってお困りのことがございましたら、当社は一般規約の「守秘義務」条項に従って、お客さまの費用負担にて合理的支援を提供します。
4. データ主体の要請
サブスクリプションサービスでは、お客さまの個人データの取得、修正、削除、または制限に使用できる多数のコントロールが提供されており、お客さまはこれらを、データ主体からの要請(以下、「データ主体の要請」)への対応に関連する義務を含む、データ保護法に基づくご自身の義務の遂行を支援するために使用できます。
お客さまがサブスクリプションサービスを通じてデータ主体の要請に単独で応じられない範囲において、お客さまから書面での要請があった場合、当社はデータ主体の要請、または契約本体に基づくお客さま個人データの処理に関するデータ保護当局の要請に対応できるように、お客さまに合理的な支援を提供するものとします。かかる支援によって生じた商業的に合理的な費用については、お客さまが当社に弁済するものとします。
契約本体に基づくお客さま個人データの処理に関するデータ主体の要請などの問い合わせが当社に対して直接行われた場合、当社は速やかにお客さまに連絡するとともに、お客さまに要請を提出するようデータ主体に助言するものとします。お客さまは、かかるデータ主体からのお客さま個人データに関する要請などの問い合わせに単独で対応する一切の責任を負うものとします。
5. 復処理者
お客さまは、当社がお客さまに代わってお客さま個人データを処理する業務を復処理者に委託する場合があることに同意するものとします。当社から復処理者への依頼には以下の3通りがあります。1つ目は、ホスティングおよびインフラストラクチャーに関する支援を復処理者に委託すること、2つ目は、製品機能および連携のサポートを復処理者に委託すること、3つ目は、HubSpotの関連会社に復処理者としてサービスおよびサポートを委託することです。復処理者のサービスは既定でお客さまに提供されますが、一部の復処理者によるサービスはお客さまがオプトインした場合にのみ提供されます。
当社では現在、本DPAの付属書類3に記載されている第三者およびHubSpotの関係会社を復処理者として指名しています。お客さまは、https://legal.hubspot.com/subscribe-subprocessor-updatesのフォーム(英語)に必要事項を入力して送信していただくことで、当社が「HubSpotの復処理者に関する情報」ページを更新した場合にEメール通知を受信できます。このEメール通知の受信にオプトインしているお客さまには、かかる変更の遅くとも30日前までに変更内容を通知します。
当社は、お客さまに復処理者の変更を通知してから30日以内に、新しい復処理者への委託について、お客さま個人データの保護に関する合理的な根拠に基づき異議申し立てを行える機会をお客さまに提供するものとします。お客さまが当社に対しかかる異議申し立てを行った場合、両当事者は、商業的に合理的な解決を目指し、お客さまの懸念事項について誠意をもって協議するものとします。かかる申し立てが解決に至らない場合、当社は独自の裁量により、新しい当該復処理者の指名を行わないか、契約本体に定められた契約解除に関する条項に従い、いずれの当事者も責任を負うことなく、影響を受けるサブスクリプションサービスの利用を停止または終了することをお客さまに許可するかを選択するものとします(ただし、停止または終了の前にお客さまに発生した費用への影響はありません)。
復処理者への委託を行う場合、当社は当該復処理者が提供するサービスの性質と一致する範囲で、本DPAと同等以上の水準のお客さま個人データ保護を実現する条件を復処理者に課すものとします。当社は、各復処理者が本DPAの義務を順守することについて、およびかかる復処理者の行為または不作為によって当社が本DPAに基づく義務に違反することになった場合について、引き続き責任を負うものとします。
6. データの移転
お客さまは、当社が契約本体に基づきサブスクリプションサービスを提供する際に必要な場合、各国のお客さま個人データを入手し、その処理を実施できることを認め、これに同意するとともに、特に個人データを米国に移転し米国のHubSpot, Inc.が個人データを処理すること、ならびにHubSpotの関係会社および復処理者が事業を運営するその他の法域に個人データを移転することを認め、これに同意するものとします。お客さま個人データが移転元の国外に移転される場合、両当事者は、かかる移転をデータ保護法の要件に準拠させるものとします。
7. 順守の証明
当社は、適用法で義務付けられている場合、本DPAに順守していることを証明するために合理的に必要な全ての情報をお客さまに提供するとともに、本DPAへの順守状況を評価するためにお客さままたはお客さまの監査役が実施する検査を含む監査を許可し、これに協力するものとします。お客さまは、本「順守の証明」条項で規定される監査方法への準拠を当社に指示することにより、本DPAに基づくご自身の監査権を行使することを認め、これに同意するものとします。お客さまは、第三者機関の検証を受けたセキュリティープログラム(SOC 2およびISO 27001を含む)を維持してホスティングを行う当社の復処理者によってサブスクリプションサービスがホスティングされること、および当社のシステムがSOC 2コンプライアンスの一環として年1回の監査を受け、第三者の侵入テスト実施企業により定期的にテストが実施されることを認めるものとします。当社は、当社による本DPAの順守状況をお客さまが確認できるように、SOC 2報告書および侵入テストの結果報告の要約の写しを、要請に応じて(機密情報として)お客さまに提供するものとします。お客さまは、HubSpotのセキュリティーに関するウェブサイト(trust.hubspot.com)から上記文書(英語)をダウンロードすることができます。さらに当社は、当社による本DPAの順守状況の確認に必要な情報を提供するようお客さまから書面で要請された場合、全ての合理的な要請に対して書面による回答を(機密情報として)提供するものとします。ただし、お客さまが本DPAの不順守を疑う合理的な根拠を有している場合を除き、お客さまがこの権利を行使できるのは、暦年につき1回とします。
8. 欧州のデータに関する追加条項
a. 範囲。この欧州のデータに関する追加条項は、本契約に基づきHubSpotがお客さまに代わって処理する欧州のデータについてのみ適用されるものとします。
b. 当事者の役割。両当事者は、お客さまの指示に従って欧州のデータを処理する際、本契約に基づき、お客さまが欧州のデータの管理者として、もしくは他の管理者に代わって処理者として行動していること、および当社が処理者であることを認め、これに同意するものとします。
c. 指示。お客さまの指示が欧州のデータ保護法(該当する場合)に違反していると当社が判断した場合、当社は遅滞なくお客さまに通知するものとします。
d. データ保護影響評価および監督当局との相談。欧州データ保護法により要請される範囲で、データ保護影響評価ならびに監督当局(例えば、フランスデータ保護機関(CNIL)、ベルリンデータ保護監督機関(BlnBDI)、および英国情報コミッショナー局(ICO))などのデータプライバシーの管轄当局との事前相談について、必要な情報が当社に合理的に提供されており、かつその他の方法でお客さまが必要な情報にアクセスできない範囲において、当社はお客さまに合理的な支援を提供するものとします。
e. データの移転(A)HubSpotは、(適用される欧州データ保護法における意味での)お客さま個人データに対して適切な水準の保護を実施しているとは認められない国または受領者に、欧州データを移転しないものとします。ただし、適用される欧州データ保護法を確実に順守するために必要なあらゆる対策を事前に講じている場合は例外とします。かかる対策には、(i)お客さま個人データに適切な水準の保護を講じているとして、データ プライバシー フレームワークを含め、関連当局もしくは裁判所が認めた適切なフレームワークもしくはその他の法的に妥当な移転の仕組みを有する受領者、(ii)欧州データ保護法に従って拘束力のある企業規則に基づく承認を得た受領者、または、(iii)欧州委員会により採択もしくは承認された適切な標準契約条項を実施している受領者に当該データを移転することなどが含まれます(ただしこれらに限定されません)。
9. カリフォルニア州の個人情報に関する追加条項
a. 範囲。DPAの「カリフォルニア州の個人情報に関する追加条項」セクションは、本契約に基づきHubSpotがお客さまに代わって処理するカリフォルニア州の個人情報についてのみ適用されるものとします。
b. 当事者の役割。両当事者は、お客さまの指示に従ってカリフォルニア州の個人情報を処理する際、お客さまがCCPAにおける事業者であり、当社がサービスプロバイダーであることを認め、これに同意するものとします。
c. 責任。当社は、当社がサービスプロバイダーとして、契約本体に基づくサブスクリプションサービスおよびコンサルティングサービスを履行する目的(以下、「事業目的」)、またはHubSpotプライバシーポリシーの「使用状況データ」条項に記載されるものを含む、CCPAで認可されるその他の目的でのみ、カリフォルニア州の個人情報を処理することを保証します。さらに、当社は次のことを行わないことを保証します。(i)カリフォルニア州の個人情報を販売または共有すること。(ii)適用法で要求された場合以外で、当事者間の直接的な取引関係以外でカリフォルニア州の個人情報を処理すること。あるいは(iii)個人データを含むお客さまデータに含まれるカリフォルニア州の個人情報を、当社が他の情報源から収集または受領した個人情報(契約本体に基づく当社のサービスプロバイダーとしての義務に関連して他の情報源から受領した情報を除く)と組み合わせて使用すること。
d. CCPAの順守。当社は(i)CCPAに基づき当社に適用されるサービスプロバイダーとしての義務を順守し、(ii)カリフォルニア州の個人情報にはCCPAで義務付けられているものと同水準のプライバシー保護を適用するとともに、(iii)自らがCCPAに基づくサービスプロバイダーとしての義務を履行できなくなったと判断した場合にお客さまに通知します。
e. CCPAの監査。お客さまは、当社がCCPAに基づくお客さまの義務と一致する形でカリフォルニア州の個人情報を使用していることを確認するために合理的かつ適切な措置を講じる権利を有します。お客さまは通知をもって、契約本体に従い、カリフォルニア州の個人情報の不正使用を停止および是正するために合理的かつ適切な措置を講じる権利を有します。
f. 非販売。両当事者は、お客さまからHubSpotへのカリフォルニア州の個人情報の開示が、両当事者間で交換される金銭またはその他の有価約因の一部を構成するものではないことを認め、これに同意するものとします。
10. 管理者から管理者条項
a. 範囲。この「管理者から管理者条項」は、お客さまによるエンリッチメント製品およびHubSpotトラッキングコードのご利用に関連して両当事者が管理者個人データを処理する範囲で適用されます。
b. 当事者の役割。両当事者は、それぞれが管理者個人データの管理者としての役割を果たし、管理者個人データを処理する際にはデータ保護法に基づく各自の義務を順守することを了承し、これに同意するものとします。明確にするために付言すると、お客さまによるサブスクリプションサービス(当社のエンリッチメント製品を含む)の利用とは無関係にHubSpotが処理するデータについては、契約本体または本「管理者から管理者条項」のいかなる規定によっても、HubSpotは収集、使用、共有することを一切制限されないものとします。
c. 法の順守。各当事者は、相手方当事者と共有するまたは相手方当事者に提供する管理者個人データが、データ保護法に準拠して収集されたことを保証するものとします。これには(i)適切な通知をして、データ主体から必要な同意を取得すること、(ii)管理者個人データを処理するための適法な根拠を明確にすること、(iii)管理者個人データを保護するための適切な技術的対策および組織的対策を実施すること、ならびに(iv)管理者個人データに関する個人データ侵害についての報告義務を順守することが含まれます。両当事者間においては、HubSpotトラッキングコードの利用に必要な全ての通知、同意、およびオプトアウトの仕組みを提供する責任、ならびに、お客さまのウェブサイトでデータ保護法に従って第三者のトラッキングテクノロジーを利用する旨を開示する責任は、お客さまが負うものとします。データ主体がデータ保護法に基づく自己の権利を行使するために一方の当事者に連絡してきた場合、連絡を受けた当事者は、その要請に直接対応するか、直接対応が実行可能でなければ、データ保護法に従って、その要請に対応できるよう相手方当事者に速やかに通知して連携するものとします。お客さまは、データ保護法に基づきエンリッチメント出力(HubSpotの製品別規約に定義)を処理するための独立した適法な根拠が自らにないと判断した場合には、エンリッチメント出力を削除することに同意するものとします。
d. 順守の証明。いずれかの当事者が相手方当事者の(i)管理者個人データの処理、または(ii)管理者個人データの処理に関連するデータ保護法の不順守の可能性に関して、監督当局またはその他の政府当局から苦情、通知または連絡を受けた場合、かかる当事者は、相手方当事者に連絡するよう監督当局または政府当局に伝え、かつ、問題とされている義務、請求または管理者個人データが双方に関連する場合には、相手方当事者が監督当局または政府当局に対応する際に合理的な支援を提供するものとします。
e. セキュリティー。当社は、管理者個人データを保護するために合理的なセキュリティー対策を実施し、維持します。全ての管理者個人データは、適切な物理的対策、技術的対策、および組織的対策によって保護されます。当社のセキュリティーの詳細についてはhttps://trust.hubspot.comを(英語)ご参照ください。
f. CCPAの順守。CCPAが管理者個人データの処理に適用される範囲で、各当事者は、次のことを了承し、同意するものとします。(i)かかる管理者個人データは、契約本体に定められた限定的な所定の目的でのみ相手方当事者に提供されること、(ii)かかる管理者個人データを受領する当事者は、CCPAで要求されるものと同水準のプライバシー保護を順守し、提供すること、(iii)かかる管理者個人データを受領する当事者は、自らがCCPAに基づく義務を果たすことができなくなったと判断した場合には、相手方当事者に速やかに通知すること、(iv)かかる管理者個人データを提供する当事者は、受領当事者がCCPAに基づく義務に従った方法で管理者個人データを使用していることを確認し、管理者個人データの不正使用があればこれを中止および是正するために、適切な通知を行った上で合理的かつ適切な措置を講じる権利を有すること。
11. データ移転の方法
両当事者間のお客さま個人データまたは管理者個人データの移転に制限付き移転が伴う場合に、欧州データ保護法により適切な保護措置の実施が義務付けられているときには、HubSpotとお客さまは、次の事項を順守するものとします。
a. データ プライバシー フレームワーク。HubSpot, Inc.は、データ プライバシー フレームワークに参加し、その順守について認証を取得しています。データ プライバシー フレームワークが適用される範囲で、HubSpot, Inc.は、データ プライバシー フレームワークを使用して、お客さま個人データおよび管理者個人データを米国で合法的に受け取り、かかるデータに対してデータ プライバシー フレームワーク原則と同等以上の水準のプライバシー保護を提供します。当社がこの要件を順守できなくなった場合には、お客さまに通知します。
b. 標準契約条項。欧州データ保護法により、適切な保護措置の実施が義務付けられた場合(データ移転がデータ プライバシー フレームワークの対象とならない場合、またはデータ プライバシー フレームワークが無効とされた場合など)には、以下の通り、標準契約条項が参照によって組み込まれ、契約本体の一部を構成するものとします。
(A)HubSpotが処理者として処理するお客さま個人データに関して、(i)お客さまが管理者である範囲内ではモジュール2の規定が適用され、お客さまがお客さま個人データの処理者である範囲内ではモジュール3の規定が適用されます。(ii)第7条では、任意の結合条項が適用されます。(iii)第9条では、オプション2が適用され、本DPAの「復処理者」条項に従って復処理者の変更が通知されます。(iv)第11条では、オプションの言語が削除されます。(v)第17条および第18条では、両当事者は、標準契約条項に関する紛争の準拠法および法廷地を、法域別規約の「契約者、適用法、通知」条項に従って決定すること、また、かかる条項がEU加盟国を規定していない場合には、(抵触法の原則によらず)アイルランド共和国とすることに合意するものとします。(vi)標準契約条項の付属書類は、本DPAの付属書類に規定された情報を加えて完成したものと見なされるものとします。ならびに、(vii)管轄監督当局となる監督当局は、GDPRに従って決定されるものとします。
(B)HubSpotとお客さまのそれぞれが管理者である管理者個人データに関して、(i)モジュール1の条項が適用されます。(ii)第7条では、任意の結合条項が適用されます。(iii)第11条では、オプションの言語が削除されます。(iv)第17条および第18条では、両当事者は、標準契約条項に関する紛争の準拠法および法廷地を、法域別規約の「契約者、適用法、通知」条項に従って決定すること、また、かかる条項がEU加盟国を規定していない場合には、(抵触法の原則によらず)アイルランド共和国とすることに合意するものとします。(v)標準契約条項の付属書類は、本DPAの付属書類に規定された情報を加えて完成したものと見なされるものとします。(vi)管轄監督当局となる監督当局は、アイルランドのデータ保護委員会です。
(C)英国のGDPRの対象となるお客さま個人データと管理者個人データに関しては、(A)項および次の修正に従って標準契約条項が適用されるものとします。(i)標準契約条項は英国向け補足条項に従って修正され、解釈されるものとし、かかる補足条項は参照によって組み込まれ、契約本体の不可欠な一部を構成するものとする。(ii)英国向け補足条項の表1、2および3は、本DPAの付属書類に規定された情報を加えて完成したものと見なされるものとし、表4は「neither party(いずれでもない)」を選択することで完成したものと見なされるものとする。(iii)標準契約条項の規定と英国向け補足条項の間の矛盾は、英国向け補足条項第10条および第11条に従って解決するものとする。
(D)お客さま個人データと管理者個人データに関しては、(A)項および次の修正に従って標準契約条項が適用されるものとします。(i)「規則(EU)2016/679」への言及は、スイスDPAへの言及として解釈されるものとする。(ii)「EU法」、「連合法」、および「加盟国法」への言及は、スイス法への言及として解釈されるものとする。(iii)「管轄監督当局」および「管轄裁判所」への言及は、「スイス連邦データ保護情報コミッショナー」および「スイスの関連裁判所」に置き換えられるものとする。
(E)HubSpotが処理者として処理するお客さま個人データに関して、お客さまは、HubSpot, Incが、本DPAの「復処理者」条項に基づく義務を順守することにより、標準契約条項第9条に基づく義務を履行することに同意します。標準契約条項第9条(c)項において、お客さまは、当社が復処理者契約の開示を制限される可能性があることを認めるものとしますが、当社は、当社が指名した復処理者に対して、復処理者契約のお客さまへの開示許可を求める合理的な努力を尽くし、また、当社が合理的に提供可能な全ての情報を(機密情報として)提供するものとします。また、お客さまは、本DPAの「順守の証明」条項で規定される措置への準拠を当社に指示することにより、標準契約条項の第8.9条に基づくご自身の監査権を履行することを認め、これに同意するものとします。
(F)標準契約条項が本DPAのいずれかの条項と矛盾する場合、かかる矛盾の範囲で標準契約条項が優先されます。契約本体に基づくHubSpotの契約事業体がHubSpot, Inc.ではない場合、HubSpot, Inc.による標準契約条項の実施については、かかる(HubSpot, Inc.ではない)契約事業体がお客さまに対して単独で全ての責任を負うものとし、お客さまは標準契約条項に関連する指示、要求、または問い合わせをかかる契約事業体に対して行うものとします。HubSpotが、何らかの理由で標準契約条項に基づくその義務を履行できず、お客さまが個人データのHubSpotへの移転の一時停止または標準契約条項の解除を意図している場合、お客さまは、当社がかかる不順守を是正できるように当社に合理的に通知し、かかる不順守を是正するために実施できる追加的な予防手段(該当する場合)を特定するために妥当な範囲で当社に協力することに同意するものとします。当社が不順守を是正できない場合、お客さまは、契約本体に従って、影響を受けるサブスクリプションサービスの部分を一時停止または解除することができます。このとき、いずれの当事者にも責任は課されません(ただし、かかる一時停止または解除以前にお客さまが負担した費用には影響を与えません)。
c. 別の移転の仕組み。欧州データの移転について、上記に記載されている方法以外に、欧州データ保護法に基づいてHubSpotに別の移転の方法を採用することが義務付けられた場合、かかる代替的な移転の仕組みが本DPAに定める仕組みに代わって自動的に適用され(ただし、かかる代替的な移転の仕組みが欧州データ保護法を順守している場合に限ります)、お客さまは、かかる代替的な移転の仕組みに法的効力を生じさせるために合理的に必要な場合に、他の文書に署名すること、または必要な措置を講じることに同意します。
12. 一般条項
a. 修正。契約本体に含まれる他の規定によらず、また本DPAの「指示の順守」または「セキュリティー」条項の規定に影響を与えることなく、当社は本DPAを更新および変更する権利を留保し、一般規約の「修正」、「権利非放棄」条項に含まれる該当の条件が適用されるものとします。
b. 契約の可分性。本DPAの個々の規定が無効または強制不能と判断された場合でも、本DPAの他の規定の有効性および法的強制力に影響はないものとします。
c. 責任の限定。本データ処理契約(両当事者間で締結したその他のデータ処理契約を含む)および標準契約条項(該当する場合)に起因する、または関連して生じた各当事者およびその関係会社それぞれの責任は、契約、違法行為、またはその他の責任の理論のいずれを根拠とするかによらず、総体として一般規約の「責任の限定」条項で規定されている責任の限定および除外の対象となるものとします。なお、かかる条項における当事者の責任についての言及は、かかる当事者およびその関係会社全ての契約本体(本DPAを含む)に基づく累積責任を意味します。誤解を避けるために付言すると、HubSpot, Inc.が契約本体の当事者ではない場合、一般規約の「責任の限定」条項は、お客さまおよびHubSpot, Inc.間に適用されるものとし、この場合において、「HubSpot」または「当社」という記述は、HubSpot, Inc.および契約本体の当事者である当社事業体の両者を含むものとします。いかなる状況においても、本DPA(該当する両当事者間で締結したその他のデータ処理契約および標準契約条項を含む)またはその他に基づき個人が有するデータ保護に関する権利について、いずれの当事者の責任も制限されません。
d. 準拠法。本DPAは、データ保護法による別段の要請がない限り、法域別規約の「契約者」、「適用法」、「通知」条項に準拠し、これに従って解釈されるものとします。
13. 本DPAの当事者
a. 認定関係会社。お客さまは契約本体に署名することで、自身を代表して、また自身の認定関係会社に代わって、その名前において本DPA(該当する場合、標準契約条項を含む)を締結します。本DPAのみにおいて、また他に規定した場合を除いて、「お客さま」という用語には、お客さまおよびかかる認定関係会社が含まれるものとします。
b. 権限。お客さまとして本DPAに同意した法人は、自社およびその各認定関係会社(該当する場合)のために、これらの企業を代表して、本DPAに同意し、これを締結する権限を有することを表明します。
c. 救済。両当事者は次の点に同意するものとします。(i)契約本体の契約当事者であるお客さまの事業体のみが、その関係会社に代わって、本DPAに基づき認定関係会社が有する権利の行使または救済の請求を行うこと。(ii)本DPAに基づくかかる権利の行使は、契約本体の契約当事者であるお客さまの事業体が、各認定関係会社のために単独で行うのではなく、自社およびその全ての認定関係会社のために一括で行うこと。契約当事者であるお客さまの事業体には、本DPAに基づいて全ての指示、承認、および当社との連絡を調整する責任があり、本DPAに関連する全ての連絡を自社の認定関係会社に代わって授受する権利があります。
d. その他の権利。両当事者は、「順守の証明」条項に従って当社による本DPAへの順守状況を確認するに当たり、お客さまが契約本体の契約当事者であるお客さまの事業体およびその全ての認定関係会社を代表して実施する複数の監査要求を1回の監査に統合し、当社およびその関係会社に対する影響を抑えるためのあらゆる合理的な措置を講じることに同意します。
付属書類1A - 処理の詳細 - 処理者としてのHubSpot
A. 当事者のリスト
データ輸出者:
名称:お客さま(自社および認定関係会社を代表して)。定義はHubSpotお客さまサービス利用規約を参照
住所:お客さまの住所。注文書に記載の通り
担当者の氏名、役職、および連絡先の詳細:お客さまの連絡先の詳細。注文書またはお客さまのHubSpotアカウントに記載の通り
これらの条項に基づき移転されるデータに関する作業:HubSpotお客さまサービス利用規約に基づくお客さまによるHubSpotのサブスクリプションサービスの使用に関連するお客さま個人データの取り扱い
役割(管理者/処理者):管理者(管理者、もしくは管理者の役割において、他の管理者に代わって処理者として行動する場合)
データ輸入者:
名称:HubSpot, Inc.
住所:Two Canal Park, Cambridge, MA 02141, USA
担当者の氏名、役職、および連絡先の詳細:Nicholas Knoop、データ保護責任者、HubSpot, Inc., Two Canal Park, Cambridge, MA 02141 USA
これらの条項に基づき移転されるデータに関する作業:HubSpotお客さまサービス利用規約に基づくお客さまによるHubSpotのサブスクリプションサービスの使用に関連するお客さま個人データの取り扱い
役割(管理者/処理者):処理者
B. 移転の内容
個人データが移転されるデータ主体の種別
お客さまはサブスクリプションサービスの利用中にお客さま個人データを提出する場合があり、その範囲はお客さまが独自の裁量により決定および調整します。ここには次の種別のデータ主体に関連するお客さま個人データが含まれる場合があります(ただしこれらに限定されません)。
お客さまの従業員、委託業者、協力業者、顧客、プロスペクト、サプライヤー、および下請業者を含む、お客さまのコンタクトおよびその他のエンドユーザー。また、データ主体には、お客さまのエンドユーザーへの連絡またはお客さま個人データの移転を試みる個人が含まれる場合もあります。
移転される個人データの種別
お客さまはサブスクリプションサービスに個人データを提出する場合があり、その範囲はお客さまが独自の裁量により決定および調整します。ここには、次の種別の個人データが含まれる場合があります(ただしこれらに限定されません)。
1. コンタクト情報(定義はお客さまサービス利用規約を参照)
2. サブスクリプションサービスを通じてお客さままたはお客さまのエンドユーザーが提出または送受信したその他全ての個人データ
センシティブデータの移転、および制限または保護対策の適用
センシティブデータの処理には、本契約に提示されている通り、両当事者間で相互に合意された対象範囲の制限、制約、および保護措置が適用されます。
移転の頻度
継続的
処理の性質
お客さま個人データは、契約本体(本DPAを含む)に従って処理されます。また、次の処理業務のいずれかの対象となる場合があります。
1. サブスクリプションサービスの提供、ならびにお客さまに提供しているサブスクリプションサービスの維持および改善に必要な保管などの処理。
2. 契約本体(本DPAを含む)に基づく開示、または適用法により義務付けられる開示。
移転および移転後の処理の目的
当社は、契約本体に従ってサブスクリプションサービスを提供するための必要性、注文書での具体的な指定、およびサブスクリプションサービスを利用しているお客さまからの具体的な指示に基づいて、お客さま個人データを処理します。
個人データが保持される期間
当社によるお客さま個人データの処理は、本DPAの「お客さま個人データの削除または返却」条項に従い、契約本体の期間とします。ただし、別途書面による合意がある場合を除きます。
付属書類1B - 処理の詳細 - 管理者としてのHubSpot
A. 当事者のリスト
データ輸出者/輸入者:お客さま
名称:お客さま(自社および認定関係会社を代表して)。定義はHubSpotお客さまサービス利用規約を参照
住所:お客さまの住所。注文書に記載の通り
担当者の氏名、役職、および(Eメールを含む)連絡先の詳細:お客さまの連絡先の詳細。注文書またはお客さまのHubSpotアカウントに記載の通り
これらの条項に基づき移転されるデータに関する作業:お客さまによるエンリッチメント製品およびHubSpotトラッキングコードの利用に関連する管理者個人データの処理
役割(管理者/処理者):管理者
データ輸出者/輸入者:HubSpot, Inc.
名称:HubSpot, Inc.
住所:Two Canal Park, Cambridge, MA 02141, USA
担当者の氏名、役職、および連絡先の詳細:Nicholas Knoop、データ保護責任者、HubSpot, Inc., Two Canal Park, Cambridge, MA 02141 USA
これらの条項に基づき移転されるデータに関する作業:お客さまによるエンリッチメント製品およびHubSpotトラッキングコードの利用に関連する管理者個人データの処理
役割(管理者/処理者):管理者
B. 移転の内容
個人データが移転されるデータ主体の種別:
会社その他の機関と関係する個人
移転される個人データの種別
プロフェッショナルデータ。これには、氏名、業務用メールアドレス、勤務先企業、業務上の役割、職業上の肩書、IPアドレス、オンライン識別子、その他の類似情報が含まれる場合がありますが、これらに限定されません
センシティブデータの移転、および制限または保護対策の適用
両当事者は、センシティブデータの移転を予定しません。
移転の頻度:
継続的
処理の性質:
管理者個人データは、契約本体に従って処理されるもので、次の処理業務の対象となる場合があります。(1)ウェブサイトデータ(IPアドレスその他のオンライン識別子など)およびプロフェッショナル エンリッチメント データ(業務用メールアドレスなど)を対象にHubSpotが実施する保管その他の処理であって、HubSpotの商用データセットおよびサブスクリプションサービスの提供、メンテナンス、追加、改善、開発に必要なもの、ならびに(2)契約本体に基づく開示、または適用される法律によって強制される開示。
移転および移転後の処理の目的:
管理者個人データは、契約本体で意図された目的で移転されます。このような目的には、お客さまへのビジネス情報の提供や、HubSpotの商用データセットおよびサブスクリプションサービスの提供、メンテナンス、追加、改善、強化、開発などが含まれます。
個人データの保持期間:管理者個人データは、両当事者により、それぞれのデータ保持ポリシー、または契約本体に定められたその他の規定に従って処理および保持されます。
付属書類2 - セキュリティー対策
当社は現在、本付属書類2に記載のセキュリティー対策を実施しています。本DPAで別段の定義がなされていない用語は、一般規約に規定される定義を持ちます。上記のセキュリティー対策に関する詳細な情報については、trust.hubspot.comに掲載されている、HubSpotのSOC 2 Type 2報告書、SOC 3報告書、セキュリティーに関する概要報告書、および侵入テスト結果報告の要約(英語)を参照してください。
a)情報セキュリティポリシー
当社は内部の書面による情報セキュリティーポリシーを維持および順守するものとします。当社のセキュリティー基準の概要については、HubSpotのTrust Center(英語)でご覧いただけます。
b)アクセス制御:
i)製品の不正アクセスの防止
処理の外注:当社は、当社のサービスのホスティングに当たり、外部のクラウド インフラストラクチャー プロバイダーを利用しています。加えて当社は、当社のDPAに従ってサービスを提供するために、ベンダーとの契約関係を維持しています。かかるベンダーが処理または保管するデータを保護するために、当社は契約上の合意事項、プライバシーポリシー、およびベンダーのコンプライアンスプログラムに依拠します。
物理的および環境的セキュリティー:当社は、当社の製品インフラストラクチャーをホスティングするに当たり、外部のマルチテナントのインフラストラクチャープロバイダーを利用しています。当社は、外注先のインフラストラクチャープロバイダーのデータセンターにあるハードウェアを所有または管理していません。本番サーバーおよび顧客向けアプリケーションは、当社内部の企業情報システムから論理的および物理的に保護されています。インフラストラクチャープロバイダーによる物理的および環境的セキュリティーの管理は、SOC 2 Type 2およびISO 27001を含む認証の監査を受けています。
認証:当社は、当社の顧客向けの製品に一律のパスワードポリシーを採用しています。お客さまがユーザーインターフェイスを通じて当該製品にアクセスする際は、お客さまのHubSpotアカウント内で非公開のお客さまデータにアクセスする前に認証を行う必要があります。
権限付与:お客さまデータは、お客さまがアクセス可能なマルチテナントのストレージシステムに、アプリケーション ユーザー インターフェイスおよびアプリケーション プログラミング インターフェイス経由でのみ保存されます。この土台となるアプリケーションインフラストラクチャーに、お客さまが直接アクセスすることはできません。当社の各製品における権限付与モデルは、適切に指定した個人だけが、対象となる機能、画面、およびカスタマイズオプションにアクセスできるように設計されています。データセットへの権限付与は、各データセットに関連付けられた属性に対するユーザーの許可を確認することにより実行されます。
アプリケーション プログラミング インターフェイス(API)によるアクセス:公開されている製品APIは、OAuth認証または非公開アプリのトークンによるアクセスが可能です。
ii)製品の不正使用の防止
当社は、自社製品をサポートする内部ネットワークに、業界標準のアクセス制御および検出機能を実装しています。
アクセス制御:ネットワークアクセス制御のメカニズムは、不正なプロトコルを使用したネットワークトラフィックが、製品インフラストラクチャーに達することを防止するように設計されています。実装されている技術的対策はインフラストラクチャープロバイダーによって異なり、仮想プライベートクラウド(VPC)の導入、セキュリティーグループの割り当て、および従来のファイアウォール規則が含まれます。
侵入の検出および防止:当社は、ホスティングしている顧客ウェブサイトおよびインターネットからのアクセスが可能なその他のアプリケーションを保護するために、ウェブ アプリケーション ファイアウォール(WAF)というソリューションを採用しています。WAFは、公開されているネットワークサービスに対する攻撃の識別および防止を目的としています。
静的コード解析:当社のソース コード レポジトリーに保存されるコードについては、自動ツールを用いてベストプラクティスへの準拠および特定可能なソフトウェアの欠陥を確認しています。
エンドポイントのハードニング(要塞化):当社は、業界の標準的な慣行に従って、エンドポイントのハードニングを行っています。マルウェア対策やEDR(Endpoint Detection and Response)機能を通じて正規の定義や署名の更新を取得することで、ワークステーションの保護を確保しています。
iii)権限付与要件の制限
特権アクセス管理:HubSpotの製品環境では、「ジャスト イン タイム アクセス(JITA)」による制御により、適宜、特権アクセスの制御、監視、削除が行われます。システムアクセスに使用される個人用ではないアカウントは、権限の昇格やアカウントのチェックアウトの処理を管理する付加的な制御機能を備えた安全なボールトに保存されます。
製品へのアクセス:当社の従業員の一部は、制御されたインターフェイスを通じて製品およびお客さまデータにアクセスする権限を有します。従業員の一部にアクセス権を提供する目的は、質の高いカスタマーサポートの提供、製品の開発および研究、潜在的な問題のトラブルシューティング、セキュリティーインシデントの検出および対応、ならびにデータセキュリティーの導入です。アクセスの認可は、アクセスを都度要求するJITA認証を通じて行われ、かかる要求は全て記録されます。従業員へのアクセス許可は役割ごとに行い、リスクの高い権限の付与については1日1回審査を実施します。管理者権限へのアクセスまたはリスクの高いアクセスの許可については、半年に1回以上の審査を行います。
b)送信の制御
送信中:当社は、全てのログインインターフェイス、およびHubSpot製品でホスティングされる全ての顧客のサイトについて無償のHTTPSによる暗号化(SSLまたはTLSとも呼ばれます)を義務付けています。当社によるHTTPSの導入では、業界標準のアルゴリズムおよび証明書を使用します。
保存時:当社は、業界標準のセキュリティー手法に準拠するポリシーに従ってユーザーパスワードを保存します。保存中のデータ暗号化テクノロジーの多層アプローチにより、お客さまデータおよびお客さまを特定する許可されているセンシティブデータが適切に暗号化されます。
d)インシデント管理、ログ収集、モニタリング
インシデント対応計画:当社では、書面によるインシデント対応計画、プレイブック、およびそれらに反映されている基準と義務を果たすために必要なプロセスおよび手順を維持しています。
検出:当社は、システムの挙動、受信したトラフィック、システム認証、およびその他のアプリケーションのリクエストに関する幅広い情報を記録するように当社のインフラストラクチャーを設計しています。内部システムは、ログデータを集計し、悪意ある挙動、想定外の挙動、または異常な挙動について担当従業員に警告します。セキュリティー、運用、およびサポートスタッフを含む当社の担当者は、既知のインシデントに対応します。
応答および追跡:当社は、既知のセキュリティーインシデントの記録(該当の挙動の内容および日時、ならびにインシデントの処理方法を含む)を保持します。疑わしい、および確認されたセキュリティーインシデントは、セキュリティー、運用、またはサポートの担当者が調査し、解決のための適切な手順が特定および文書化されます。確認された全てのインシデントについて、当社は製品およびお客さまの損害または不正開示を最小限に抑えるために適切な措置を講じます。お客さまへの通知は、契約本体の規定に従うものとします。
d)可用性の制御
インフラストラクチャーの可用性:インフラストラクチャープロバイダーは、99.95%以上の稼働率を実現するために商業的に合理的な努力を払います。当該プロバイダーは、電源、ネットワーク、ならびに暖房、換気および空調(HVAC)サービスにN+1以上の冗長性を維持します。
フォールトトレランス(耐障害性):バックアップおよびレプリケーション手法は、重大な処理上の問題が生じている間、冗長性およびフェイルオーバーの保護を確保することを目的としたものです。お客さまデータは、堅牢な複数のデータストアにバックアップされ、複数のアベイラビリティーゾーンにレプリケートされます。
オンラインのレプリカおよびバックアップ:可能な場合、本番データベースは、少なくとも1つの一次データベースおよび1つの二次データベース間でデータをレプリケートするように設計されます。全てのデータベースは、業界標準以上の手法を使ってバックアップおよび維持されます。
災害復旧計画:極めて重要なビジネスプロセスの中断または停止後の情報の可用性を確保するために、当社は災害復旧計画を保持し、定期的にテストを行います。
当社の製品は、冗長性と円滑なフェイルオーバーを確保するように設計されています。製品をサポートするサーバーインスタンスも、単一障害点を防止するように構築されています。このような設計により、ダウンタイムを抑制しつつ、製品アプリケーションおよびバックエンドを維持更新する当社の運用が円滑に行われます。
f)脆弱性管理プログラム
脆弱性修正スケジュール:当社は、業界標準に沿って脆弱性修正スケジュールを維持しています。HubSpotの環境における脆弱性の適用性、可能性、影響に関する判断には、リスクベースのアプローチを採用しています。
脆弱性スキャン:当社では、業界標準に沿ったテクノロジーおよび検出基準を使用して、HubSpot製品に対する脆弱性スキャンを日次で行っています。
侵入テスト:当社は、業界で高く評価されている侵入テスト サービス プロバイダーとの関係を維持し、HubSpotのウェブアプリケーションおよび社内ネットワークインフラストラクチャーの両方について、年1回以上の侵入テストを実施しています。かかる侵入テストの目的は、セキュリティーの脆弱性を特定し、対象範囲内のシステムに対するリスクとビジネスへの影響を軽減することです。
バグ報奨金:バグ報奨金プログラムでは、独立したセキュリティーの専門家が倫理的な方法でセキュリティー上の欠陥を発見および公表することを奨励し、報奨金を提供します。当社がバグ報奨金プログラムを実施する狙いは、セキュリティーのスペシャリストの協力を募り、高度な攻撃に対する製品の防御を強化する機会を広げることにあります。
g)人事管理
当社では、セキュリティープログラムの開発、維持、強化を図るために適格な従業員を配置しています。HubSppotの全ての従業員は、業界標準に沿って、各役割に関連したセキュリティーポリシー、プロセス、基準に関するトレーニングを受講しています。
身元の確認:適用法により認められている場合、HubSpotの従業員は第三者による身元確認または身元照会を受けます。米国では、内定通知は第三者による身元確認の結果を条件とします。HubSpotの全従業員は企業行動指針、守秘義務要件、および倫理規範に従って行動することを要求されます。
付属書類3 - 復処理者
HubSpotは、サブスクリプションサービスを提供するために、データを処理する業務の支援を復処理者に委託します。各復処理者の名前と委託の目的について記載したリストは、本DPAに組み込まれている「HubSpotの復処理者に関する情報」(https://legal.hubspot.com/jp/sub-processors-page)に掲載されています。