Legal Stuff
Talk legal to me
HubSpotデータ処理契約
最終更新日:2023年9月1日
IMPORTANT NOTE: The English version of this document will govern our relationship - this translated version is provided for convenience only and will not be interpreted to modify the English version. For the English version, please see the HubSpot Legal Stuff page.
最終更新日:2023年9月1日
重要なお知らせ:お客さまと当社の契約関係は本文書の英語版が規定します。本文書の日本語版はお客さまの利便性向上のみを目的として提供されており、本文書の英語版が規定する契約関係には影響を与えません。本文書の英語版については「HubSpot Legal Stuff(HubSpot各種法的文書)」のページをご覧ください。
[電子署名入りPDFファイル(標準契約条項(SCC)、英国向け補足条項、復処理者の全文を含む、英語)はこちらからダウンロードいただけます]
本HubSpotデータ処理契約およびその付属書類(以下、「本DPA」)は、お客さまと当社の間で締結されたhttps://legal.hubspot.com/jp/terms-of-serviceに掲載されているHubSpotお客さまサービス利用規約(本DPA内では「契約本体」ともいいます)に基づき提供されるHubSpotのサブスクリプションサービスに伴い、当社がお客さまに代わって行う個人データの取り扱いに関する当事者間の合意を示すものです。
本DPAは、契約本体を補足し、その不可欠な一部を構成するものであり、契約本体に組み込まれた時点で効力を発揮します。かかる組み込みについては、契約本体、注文書、または契約本体の完全な修正版に指定されます。契約本体の規定との間で矛盾または齟齬がある場合、かかる矛盾または齟齬の範囲において、本DPAが契約本体の規定より優先されます。
本規約は随時改訂されます。HubSpot製品のサブスクリプションをご契約中のお客さまには、本規約の改訂時に、Eメール(一般規約に含まれるリンクからEメール通知の受信を登録いただいた場合)またはアプリ内の通知機能を通じてお知らせいたします。DPAのアーカイブ版(英語)は、当社サイトのアーカイブページ(https://legal.hubspot.com/legal-stuff/archive)でご覧いただけます。
本DPAの期間は、契約本体の期間に準ずるものとします。本DPAで別段の定義がなされていない用語は、契約本体に規定される意味を持つものとします。
1. 定義
「カリフォルニア州の個人情報」とは、CCPAによる保護の対象となる個人データを意味します。
「CCPA」とは、カリフォルニア州民法1798.100条以下を指します(「2018年カリフォルニア州消費者プライバシー法」、改正後は「2020年カリフォルニア州プライバシー権法(CPRA)」とも呼ばれます)。
「消費者」、「事業者」、「販売」、「サービスプロバイダー」、および「共有」は、CCPA内で与えられた意味を有します。
「管理者」とは、単独または他者と共同で、個人データの処理の目的および手段を決定する自然人もしくは法人、公的機関、政府機関、またはその他の団体を意味します。
「データ プライバシー フレームワーク」とは、米国商務省が実施する、EU・米国間のデータ プライバシー フレームワーク、スイス・米国間のデータ プライバシー フレームワーク、および英国拡張版のEU・米国間のデータ プライバシー フレームワークによる自己認証プログラム(該当する場合)を意味します。なお、いずれのデータ プライバシー フレームワークも修正、廃止、または置換される場合があります。
「データ プライバシー フレームワーク原則」とは、関連するデータ プライバシー フレームワークに記載されている原則および追加原則を意味します。なお、いずれのデータ プライバシー フレームワーク原則も修正、廃止、または置換される場合があります
「データ保護法」とは、契約本体に基づき対象の個人データを処理する各当事者に適用される、データ保護およびプライバシーに関する各国の全ての法律を意味し、欧州データ保護法、CCPAおよびその他米国内で適用される連邦および州のプライバシー法、ならびにオーストラリア、シンガポール、および日本のデータ保護法およびプライバシー法(それぞれ随時修正、廃止、統合、または置換されます)などが含まれます。HubSpotの場合は、一般規約に定義されているように、センシティブ情報に関する法律はデータ保護法から除外されます。
「データ主体」とは、個人データと関連のある個人を意味します。
「欧州」とは、欧州連合(以下、「EU」)、欧州経済領域(以下、「EEA」)、およびその加盟国、ならびにスイスおよび英国を意味します。
「欧州のデータ」とは、欧州データ保護法による保護の対象となる個人データを意味します。
「欧州データ保護法」とは、欧州で適用されるデータ保護法を意味し、次を含みます。(i)個人データの処理に伴う自然人の保護および当該データの自由な移動に関する欧州議会および欧州理事会の規則2016/679(一般データ保護規則。以下、「GDPR」)。(ii)電子通信分野における個人データの処理およびプライバシー保護に関する指令2002/58/EC。(iii)(i)および(ii)の各国における施行。または2018年EU離脱法第3条に基づいて英国国内法の一部を形成するGDPR(以下、「UK GDPR」)。(iv)スイス連邦データ保護法およびその規定(以下、「スイスDPA」)。なお、いずれの法律も修正、廃止、または置換される場合があります。
「指示」とは、管理者が処理者に対して個人データに関する特定または全般的な行為(匿名化、ブロック、削除、提供などを含む)を実行するよう命令するために、文書化して発行する指示を意味します。
「認定関係会社」とは、お客さまの関係会社で、次の全ての条件に該当する企業を意味します。(i)契約本体に従ってサブスクリプションサービスを使用することを許可されているが、当社と独立した契約は締結しておらず、契約本体で定義される「お客さま」ではない。(ii)当社が処理する個人データの管理者としての資格を満たす。(iii)欧州データ保護法を順守している。
「個人データ」とは、次のいずれかに該当する、識別された個人または識別され得る個人に関するあらゆる情報を意味します。(i)お客さまデータに含まれる情報。(ii)適用されるデータ保護法に基づき、個人データ、個人情報、または個人を識別し得る情報と同様に保護されている情報。
「個人データの侵害」とは、サブスクリプションサービスの提供に伴い、当社またはその復処理者が送信や保管などの方法で処理する個人データの偶発的または違法な破壊、喪失、改変、不正開示またはアクセスにつながるセキュリティーの侵害を意味します。「個人データの侵害」は、ログインの試行、pingの送信、ポートスキャン、DoS(サービス妨害)攻撃、およびファイアウォールやネットワークシステムに対するその他の攻撃を含む試みまたは行為が成功せず、個人データのセキュリティー侵害に至らない場合は該当しないものとします。
「処理(取り扱い)」とは、個人データに対して行われるあらゆる単一の操作または一連の操作を意味します。かかる操作には、個人データの収集、記録、整理、構造化、保管、調整もしくは変更、復旧、参照、使用、送信による開示、周知あるいはその他の方法による提供、統合もしくは結合、または制限もしくは消去が含まれます。「処理(取り扱い)」という用語の派生語については、上記に準じた意味として解釈されるものとします。
「処理者」とは、管理者の代理で個人データを処理する自然人もしくは法人、公的機関、政府機関、またはその他の団体を意味します。
「標準契約条項」とは、2021年6月4日に採択されて現在https://eur-lex.europa.eu/eli/dec_impl/2021/914(英語)に掲載されている欧州委員会決定(EU)2021/914に添付された標準契約条項を意味します。なお、かかる標準契約条項も修正、廃止、または置換される場合があります。
「復処理者」とは、契約本体に基づくサブスクリプションサービスの提供に関して、当社またはその関係会社から当社の義務の遂行を支援するよう委託された処理者を意味します。「復処理者」には、第三者または当社の関係会社が含まれる場合はありますが、HubSpotの従業員またはコンサルタントは含まれません。
「英国向け補足条項」は、2018年データ保護法第119A(1)条に基づき英国情報コミッショナーが発行した国際データ移転に関する補足条項を意味し、現在https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdfでご覧いただけます。なお、かかる補足条項も修正、廃止、または置換される場合があります。
2. お客さまの責任
a. 法の順守。お客さまは、契約本体の範囲内およびご自身によるサービスの利用において、ご自身による個人データの取り扱いおよび当社に対する指示に関して適用されるデータ保護法に基づき、お客さまに適用される全ての要件を順守する責任を負うものとします。
特に、お客さまは次の全ての項目について(ただし前記の一般性に影響を与えない範囲で)、一切の責任を負うことを認め、これに同意するものとします。(i)お客さまデータの正確性、質、および合法性、ならびにお客さまが個人データを入手した手段。(ii)個人データの収集および使用(特にお客さまがマーケティングの目的で使用する場合)に適用されるデータ保護法に基づく、透明性および合法性に関する要件を全て順守すること(必要な同意や許諾を得ることを含む)。(iii)契約本体(本DPAを含む)の規定に従い、処理のために個人データを当社に移転する権利、または個人データへのアクセスを当社に提供する権利を確保すること。(iv)個人データの処理に関してお客さまが当社に指示を与える上で、データ保護法を含む適用法に準拠すること。(v)Eメールを送信するための同意の取得(必要な場合)、Eメールの内容、およびEメール配信の実行に関する法律を含め、サブスクリプションサービスを通じて作成、送信、または管理されるEメールなどのコンテンツに適用される全ての法律(データ保護法を含む)を順守すること。本「法の順守」条項または適用されるデータ保護法に基づくご自身の責任を果たすことができない場合、お客さまは不当に遅延することなく当社に報告するものとします。
b. 管理者の指示。両当事者は、お客さまが契約本体に従ってサブスクリプションサービスを使用することと併せて、契約本体(本DPAを含む)が個人データの処理に関するお客さまから当社への完全な指示を構成することに同意します。ただし、契約本体、サブスクリプションサービスの性質、合法的な使用法に従っている限りにおいて、お客さまは、サブスクリプション期間中に指示を追加することができます。
c. セキュリティー。お客さまには、サブスクリプションサービスで提供されるデータセキュリティーによって、適用されるデータ保護法に基づくお客さまの義務を適切に履行できるかどうかを個別に判断する責任があります。また、サブスクリプションサービスとの間で送受信される個人データのセキュリティー保護(かかる個人データの安全なバックアップまたは暗号化を含む)を行うなどして、サブスクリプションサービスを安全に使用する責任があります。
3. HubSpotの義務
a. 指示の順守。当社は、本DPAで規定される目的、またはお客さまによる合法的な指示の範囲内で別途合意された目的でのみ個人データを処理するものとします。ただし、適用法に基づき別途要請された場合、その範囲は例外とします。当社は、お客さままたはその業界に適用されるデータ保護法が通常当社に適用されない場合、かかる法律を順守する責任を負いません。
b. 抵触法。適用法に基づく法的要件により、お客さまの指示に従って個人データを処理することが不可能であると認識した場合、当社は、(i)かかる法的要件について、適用法により許される範囲で直ちにお客さまに通知し、(ii)当社が順守できる新しい指示がお客さまから出されるまでの間、必要に応じて全ての処理(影響を受ける個人データを単に保存したり、そのセキュリティーを維持したりすることを除く)を停止するものとします。この条項が行使された場合、処理に関する合法的な指示がお客さまから新しく出されるまでの間、当社は該当するサブスクリプションサービスの提供の不履行について、契約本体に基づくお客さまに対する責任を負わないものとします。
c. セキュリティー。本DPAの付属書類2(「セキュリティー対策」)に規定される通り、当社は個人データの侵害から個人データを保護するために、適切な技術的および組織的対策を実施および維持するものとします。これとは異なる規定が定められていても、当社はセキュリティー対策の修正または変更を自己の裁量で実施できるものとします。ただし、かかる修正または変更によって、当該セキュリティー対策により提供される保護水準に大幅な低下が生じないことを条件とします。
d. 守秘義務。当社は、当社の代理として個人データを処理する権限を与えた担当者に、かかる個人データに関する適切な守秘義務(契約上の義務か法律上の義務かによらず)を順守させるものとします。
e. 個人データの侵害。当社は、個人データの侵害を認識した場合、不当に遅延することなくお客さまに報告し、かかる個人データの侵害に関する情報を、確認状況に応じて、またはお客さまからの合理的な要請に基づいて適時提供するものとします。データ保護法に基づき、該当の個人データの侵害について、お客さまが監督当局または影響を受けるデータ主体に通知する義務がある場合、当社は、そのために必要な合理的な支援を、お客さまの要請に応じて速やかに提供するものとします。
f. 個人データの削除または返却。当社は、当社の製品別規約に規定された手順に従って、サブスクリプションサービスの終了または満了時に本DPAに基づき処理された個人データを含む全てのお客さまデータ(その写しを含む)を削除または返却するものとします。この要件は、当社がお客さまデータの一部または全部を保持することを適用法で要求された場合、またはバックアップシステムにお客さまデータがアーカイブされている場合については除外されるものとします。当社はかかるデータを隔離した状態で安全に保管し、さらなる処理が行われないよう保護するとともに、自社の削除基準に従って削除するものとします。サブスクリプションの終了または満了後、プライバシー リクエスト フォ-ム(https://preferences.hubspot.com/privacy)を利用してご連絡いただくことで、お客さまのHubSpotアカウントの削除を依頼することができます。
当社は、以下のナレッジベース記事の指示に従って、サブスクリプション期間の終了前にお客さまデータを回収することを強く推奨いたします。
HubSpotのコンテンツとデータをエクスポートする:https://knowledge.hubspot.com/ja/account/export-your-content-and-data
コンタクト、会社、取引、チケットの各種レコードのエクスポート:https://knowledge.hubspot.com/ja/crm-setup/export-contacts-companies-deals-or-tickets
広告キャンペーンデータのエクスポート:https://knowledge.hubspot.com/ja/ads/export-your-ads-campaign-data
全体的なEメール パフォーマンス データをエクスポートする:https://knowledge.hubspot.com/ja/email/how-do-i-export-my-overall-email-performance-data
サブスクリプション期間中にお客さまデータを回収するに当たってお困りのことがございましたら、当社は一般規約の「守秘義務」条項に従って、お客さまの費用負担にて合理的支援を提供します。
4. データ主体の要請
サブスクリプションサービスでは、お客さまが個人データの回収、修正、削除、または制限が行えるようにさまざまなコントロールが提供されており、お客さまはこれを使用して、データ保護法に基づくご自身の義務を遂行するよう促すことができます。かかる義務には、データ主体が適用されるデータ保護法に基づく自身の権利を行使するために行う要請(以下、「データ主体の要請」)への対応に伴う義務などが含まれます。
お客さまがサブスクリプションサービスを通じてデータ主体の要請に単独で応じられない範囲において、お客さまから書面での要請があった場合、当社はデータ主体の要請、または契約本体に基づく個人データの処理に関するデータ保護当局の要請に対応できるように、お客さまに合理的な支援を提供するものとします。かかる支援によって生じた商業的に合理的な費用については、お客さまが当社に弁済するものとします。
契約本体に基づく個人データの処理に関するデータ主体の要請などの問い合わせが当社に対して直接行われた場合、当社は速やかにお客さまに連絡するとともに、お客さまに要請を提出するようデータ主体に助言するものとします。お客さまは、かかるデータ主体からの個人データに関する要請などの問い合わせに単独で対応する一切の責任を負うものとします。
5. 復処理者
お客さまは、当社がお客さまに代わって個人データを処理する業務を復処理者に委託する場合があることに同意するものとします。当社から復処理者への依頼には以下の3通りがあります。1つ目は、ホスティングおよびインフラストラクチャーに関する支援を復処理者に委託すること、2つ目は、製品機能および連携のサポートを復処理者に委託すること、3つ目は、HubSpotの関連会社に復処理者としてサービスおよびサポートを委託することです。復処理者のサービスは既定でお客さまに提供されますが、一部の復処理者によるサービスはお客さまがオプトインした場合にのみ提供されます。
当社では現在、本DPAの付属書類3に記載されている第三者およびHubSpotの関係会社を復処理者として指名しています。お客さまは、https://legal.hubspot.com/subscribe-subprocessor-updatesのフォーム(英語)に必要事項を入力して送信していただくことで、当社が復処理者の追加または交代を行う場合にEメール通知を受信できます。このEメール通知の受信を登録しているお客さまには、かかる変更の遅くとも30日前までに変更内容を通知します。
当社は、お客さまに復処理者の変更を通知してから30日以内に、新しい復処理者への委託について、個人データの保護に関する合理的な根拠に基づき異議申し立てを行える機会をお客さまに提供するものとします。お客さまが当社に対しかかる異議申し立てを行った場合、両当事者は、商業的に合理的な解決を目指し、お客さまの懸念事項について誠意をもって協議するものとします。かかる申し立てが解決に至らない場合、当社は独自の裁量により、新しい当該復処理者の指名を行わないか、契約本体に定められた契約解除に関する条項に従い、いずれの当事者も責任を負うことなく、影響を受けるサブスクリプションサービスの利用を停止または終了することをお客さまに許可するかを選択するものとします(ただし、停止または終了の前にお客さまに発生した費用への影響はありません)。
復処理者への委託を行う場合、当社は当該復処理者が提供するサービスの性質と一致する範囲で、本DPAと同等以上の水準のデータ保護を実現する条件を復処理者に課すものとします。当社は、各復処理者が本DPAの義務を順守することについて、およびかかる復処理者の行為または不作為によって当社が本DPAに基づく義務に違反することになった場合について、引き続き責任を負うものとします。
6. データの移転
お客さまは、当社が契約本体に基づきサブスクリプションサービスを提供する際に必要な場合、各国の個人データを入手し、その処理を実施できることを認め、これに同意するとともに、特に個人データを米国に移転し米国のHubSpot, Inc.が個人データを処理すること、ならびにHubSpotの関係会社および復処理者が事業を運営するその他の法域に個人データを移転することを認め、これに同意するものとします。個人データが移転元の国外に移転される場合、両当事者は、かかる移転をデータ保護法の要件に準拠させるものとします。
7. 順守の証明
当社は、適用法で義務付けられている場合、本DPAに順守していることを証明するために合理的に必要な全ての情報をお客さまに提供するとともに、本DPAへの順守状況を評価するためにお客さままたはお客さまの監査役が実施する検査を含む監査を許可し、これに協力するものとします。お客さまは、本「順守の証明」条項で規定される監査方法への準拠を当社に指示することにより、本DPAに基づくご自身の監査権を行使することを認め、これに同意するものとします。お客さまは、第三者機関の検証を受けたセキュリティープログラム(SOC 2およびISO 27001を含む)を維持してホスティングを行う当社の復処理者によってサブスクリプションサービスがホスティングされること、および当社のシステムがSOC 2コンプライアンスの一環として年1回の監査を受け、第三者の侵入テスト実施企業により定期的にテストが実施されることを認めるものとします。当社は、当社による本DPAの順守状況をお客さまが確認できるように、SOC 2報告書および侵入テストの結果報告の要約の写しを、要請に応じて(機密情報として)お客さまに提供するものとします。お客さまは、HubSpotのセキュリティーに関するウェブサイト(trust.hubspot.com)から上記文書(英語)をダウンロードすることができます。さらに当社は、当社による本DPAの順守状況の確認に必要な情報を提供するようお客さまから書面で要請された場合、全ての合理的な要請に対して書面による回答を(機密情報として)提供するものとします。ただし、お客さまが本DPAの不順守を疑う合理的な根拠を有している場合を除き、お客さまがこの権利を行使できるのは、暦年につき1回とします。
8. 欧州のデータに関する追加条項
a. 範囲。欧州のデータに関する追加条項は、欧州のデータについてのみ適用されるものとします。
b. 当事者の役割。両当事者は、お客さまの指示に従って欧州のデータを処理する際、お客さまが欧州のデータの管理者であり、当社が処理者であることを認め、これに同意するものとします。
c. 指示。お客さまの指示が欧州のデータ保護法(該当する場合)に違反していると当社が判断した場合、当社は遅滞なくお客さまに通知するものとします。
d. データ保護影響評価および監督当局との相談。欧州データ保護法により要請される範囲で、データ保護影響評価ならびに監督当局(例えば、フランスデータ保護機関(CNIL)、ベルリンデータ保護監督機関(BlnBDI)、および英国情報コミッショナー局(ICO))などのデータプライバシーの管轄当局との事前相談について、必要な情報が当社に合理的に提供されており、かつその他の方法でお客さまが必要な情報にアクセスできない範囲において、当社はお客さまに合理的な支援を提供するものとします。
f. データの移転を実施する方法。
(A)HubSpotは、(適用される欧州データ保護法における意味での)個人データに対して適切な水準の保護を実施しているとは認められない国または受領者に、欧州データを移転しないものとします。ただし、適用される欧州データ保護法を確実に順守するために必要なあらゆる対策を事前に講じている場合は例外とします。かかる対策には、(i)個人データに適切な水準の保護を講じているとして、データ プライバシー フレームワークを含め、関連当局もしくは裁判所が認めた適切なフレームワークもしくはその他の法的に妥当な移転の仕組みを有する受領者、(ii)欧州データ保護法に従って拘束力のある企業規則に基づく承認を得た受領者、または、(iii)欧州委員会により採択もしくは承認された適切な標準契約条項を実施している受領者に当該データを移転することなどが含まれます(ただしこれらに限定されません)。
(B)お客さまは、サブスクリプションサービスの履行に関して、HubSpot, Inc.が米国における欧州のデータの受領者であることを認めるものとします。HubSpot, Inc.は、欧州のデータを米国で受け取る限り、以下の規定に従います。
(1)データ プライバシー フレームワーク。HubSpot, Inc.は、データ プライバシー フレームワークを使用して、欧州データを米国で合法的に受け取り、かかる欧州データに対してデータ プライバシー フレームワーク原則と同等以上の水準のプライバシー保護を提供します。また、この要件を満たせなくなった場合は、お客さまに通知するものとします。
(2)標準契約条項。欧州データ保護法により、適切な保護措置の実施が義務付けられた場合(HubSpot, Inc.へのデータ移転がデータ プライバシー フレームワークの対象とならない場合、またはデータ プライバシー フレームワークが無効とされた場合など)には、以下の通り、標準契約条項が参照によって組み込まれ、契約本体の一部を構成するものとします。
(a)GDPRの対象となる欧州のデータに関して、(i)お客さまは「データ輸出者」、HubSpot, Inc.は「データ輸入者」となります。(ii)お客さまが欧州のデータの管理者である限りにおいてはモジュール2の規定が適用され、お客さまが欧州のデータの処理者である限りにおいてはモジュール3の規定が適用されます。(iii)第7条では、任意の結合条項が適用されます。(iv)第9条では、オプション2が適用され、本DPAの「復処理者」条項に従って復処理者の変更が通知されます。(v)第11条では、オプションの言語が削除されます。(vi)第17条および第18条では、両当事者は、標準契約条項に関する紛争の準拠法および法廷地を、法域別規約の「契約者、適用法、通知」条項に従って決定すること、また、かかる条項がEU加盟国を規定していない場合には、(抵触法の原則によらず)アイルランド共和国とすることに合意するものとします。(vii)標準契約条項の付属書類は、本DPAの付属書類に規定された情報を加えて完成したものと見なされるものとします。(viii)管轄監督当局となる監督当局は、GDPRに従って決定されるものとします。(x)標準契約条項と本DPAの規定の間に矛盾が存在する場合、かかる矛盾の範囲については、標準契約条項を優先するものとします。
(b)英国GDPRの対象となる欧州のデータに関しては、(a)項および次の修正に従って標準契約条項が適用されるものとします。(i)標準契約条項は英国向け補足条項に従って修正され、解釈されるものとし、かかる補足条項は参照によって組み込まれ、契約本体の不可欠な一部を構成するものとします。(ii)英国向け補足条項の表1、2および3は、本DPAの付属書類に規定された情報を加えて完成したものと見なされるものとし、表4は「neither party(いずれでもない)」を選択することで完成したものと見なされるものとします。(iii)標準契約条項の規定と英国向け補足条項の間の矛盾は、英国向け補足条項第10条および第11条に従って解決するものとします。
(c)スイスDPAの対象となる欧州のデータに関しては、(a)項および次の修正に従って標準契約条項が適用されるものとします。(i)「規則(EU)2016/679」への言及は、スイスDPAへの言及として解釈されるものとします。(ii)「EU法」、「連合法」、および「加盟国法」への言及は、スイス法への言及として解釈されるものとする。(iii)「管轄監督当局」および「管轄裁判所」への言及は、「スイス連邦データ保護情報コミッショナー」および「スイスの関連裁判所」に置き換えられるものとします。
(d)お客さまは、HubSpotが、本DPAの「復処理者」条項に基づく義務を順守することにより、標準契約条項第9条に基づく義務を履行することに同意します。標準契約条項第9条(c)項において、お客さまは、当社が復処理者契約の開示を制限される可能性があることを認めるものとしますが、当社は、当社が指名した復処理者に対して、復処理者契約のお客さまへの開示許可を求める合理的な努力を尽くし、また、当社が合理的に提供可能な全ての情報を(機密情報として)提供するものとします。また、お客さまは、本DPAの「順守の証明」条項で規定される措置への準拠を当社に指示することにより、標準契約条項の第8.9条に基づくご自身の監査権を履行することを認め、これに同意するものとします。
(e)契約本体に基づくHubSpotの契約事業体がHubSpot, Inc.ではない場合、HubSpot, Inc.による標準契約条項の実施については、かかる(HubSpot, Inc.ではない)契約事業体がお客さまに対して単独で全ての責任を負うものとし、お客さまは標準契約条項に関連する指示、要求、または問い合わせをかかる契約事業体に対して行うものとします。HubSpotが標準契約条項に基づくその義務を履行できず、または何らかの理由により標準契約条項または英国向け補足条項(いずれか該当するもの)に基づく保証に違反しているために、お客さまが欧州データのHubSpotへの移転の一時停止または標準契約条項もしくは英国向け補足条項の解除を意図している場合、お客さまは、当社がかかる不順守を是正できるように当社に合理的に通知し、かかる不順守を是正するために実施できる追加的な予防手段(該当する場合)を特定するために妥当な範囲で当社に協力することに同意するものとします。当社が不順守を是正できない場合、お客さまは、契約本体に従って、影響を受けるサブスクリプションサービスの部分を一時停止または解除することができます。このとき、いずれの当事者にも責任は課されません(ただし、かかる一時停止または解除以前にお客さまが負担した費用には影響を与えません)。
(C)別の移転の仕組み。欧州データの移転について、上記の条項(B)に記載されている仕組み以外に、HubSpotが別の移転の仕組みを採用することが義務付けられた場合、かかる代替的な移転の仕組みが本DPAに定める仕組みに代わって自動的に適用され(ただし、かかる代替的な移転の仕組みが欧州データ保護法を順守している場合に限ります)、お客さまは、かかる代替的な移転の仕組みに法的効力を生じさせるために合理的に必要な場合に、他の文書に署名すること、または必要な措置を講じることに同意します。
9. カリフォルニア州の個人情報に関する追加条項
a. 範囲。カリフォルニア州の個人情報に関する追加条項は、カリフォルニア州の個人情報についてのみ適用されるものとします。
b. 当事者の役割。両当事者は、お客さまの指示に従ってカリフォルニア州の個人情報を処理する際、お客さまがCCPAにおける事業者であり、当社がサービスプロバイダーであることを認め、これに同意するものとします。
c. 責任。当社は、当社がサービスプロバイダーとして、契約本体に基づくサブスクリプションサービスおよびコンサルティングサービスを履行する目的(以下、「事業目的」)、またはHubSpotプライバシーポリシーの「使用状況データ」条項に記載されるものを含む、CCPAで認可されるその他の目的でのみ、カリフォルニア州の個人情報を処理することを保証します。さらに、当社は次のことを保証します。(i)カリフォルニア州の個人情報を販売または共有しないこと。(ii)適用法で要求された場合を除き、当事者間の直接的な取引関係以外でカリフォルニア州の個人情報を処理しないこと。(iii)お客さまデータに含まれるカリフォルニア州の個人情報を、当社が他の情報源から収集または受領した個人情報(契約本体に基づく当社のサービスプロバイダーとしての義務に関連して他の情報源から受領した情報を除く)と組み合わせて使用しないこと。
d. CCPAの順守。当社は(i)CCPAに基づき当社に適用されるサービスプロバイダーとしての義務を順守し、(ii)CCPAで義務付けられているものと同水準のプライバシー保護をカリフォルニア州の個人情報に適用します。当社は、CCPAに基づくサービスプロバイダーとしての当社の義務を履行できなくなったと判断した場合に、お客さまに通知します。
e. CCPAの監査。お客さまは、当社がCCPAに基づくお客さまの義務と一致する形でカリフォルニア州の個人情報を使用していることを確認するために合理的かつ適切な措置を講じる権利を有します。お客さまは通知をもって、契約本体に従い、カリフォルニア州の個人情報の不正使用を停止および是正するために合理的かつ適切な措置を講じる権利を有します。
f. 非販売。両当事者は、お客さまからHubSpotへのカリフォルニア州の個人情報の開示が、両当事者間で交換される金銭またはその他の有価約因の一部を構成するものではないことを認め、これに同意するものとします。
10. 一般条項
a. 修正。契約本体に含まれる他の規定によらず、また本DPAの「指示の順守」または「セキュリティー」条項の規定に影響を与えることなく、当社は本DPAを更新および変更する権利を留保し、一般規約の「修正」、「権利非放棄」条項に含まれる該当の条件が適用されるものとします。
b. 契約の可分性。本DPAの個々の規定が無効または強制不能と判断された場合でも、本DPAの他の規定の有効性および法的強制力に影響はないものとします。
c. 責任の限定。本DPA(両当事者間で締結したその他のデータ処理契約を含む)および標準契約条項(該当する場合)に起因する、または関連して生じた各当事者およびその関係会社それぞれの責任は、契約、違法行為、またはその他の責任の理論のいずれを根拠とするかによらず、総体として一般規約の「責任の限定」条項で規定されている責任の限定および除外の対象となるものとします。なお、かかる条項における当事者の責任についての言及は、かかる当事者およびその関係会社全ての契約本体(本DPAを含む)に基づく累積責任を意味します。誤解を避けるために付言すると、HubSpot, Inc.が契約本体の当事者ではない場合、一般規約の「責任の限定」条項は、お客さまおよびHubSpot, Inc.間に適用されるものとし、この場合において、「HubSpot」または「当社」という記述は、HubSpot, Inc.および契約本体の当事者である当社事業体の両者を含むものとします。いかなる状況においても、本DPA(該当する両当事者間で締結したその他のデータ処理契約および標準契約条項を含む)またはその他に基づき個人が有するデータ保護に関する権利について、いずれの当事者の責任も制限されません。
d. 準拠法。本DPAは、データ保護法による別段の要請がない限り、法域別規約の「契約者」、「適用法」、「通知」条項に準拠し、これに従って解釈されるものとします。
11. 本DPAの当事者
a. 認定関係会社。お客さまは契約本体に署名することで、自身を代表して、また自身の認定関係会社に代わって、その名前において本DPA(該当する場合、標準契約条項を含む)を締結します。本DPAのみにおいて、また他に規定した場合を除いて、「お客さま」という用語には、お客さまおよびかかる認定関係会社が含まれるものとします。
b. 権限。お客さまとして本DPAに同意した法人は、自社およびその各認定関係会社(該当する場合)のために、これらの企業を代表して、本DPAに同意し、これを締結する権限を有することを表明します。
c. 救済。両当事者は次の点に同意するものとします。(i)契約本体の契約当事者であるお客さまの事業体のみが、その関係会社に代わって、本DPAに基づき認定関係会社が有する権利の行使または救済の請求を行うこと。(ii)本DPAに基づくかかる権利の行使は、契約本体の契約当事者であるお客さまの事業体が、各認定関係会社のために単独で行うのではなく、自社およびその全ての認定関係会社のために一括で行うこと。契約当事者であるお客さまの事業体には、本DPAに基づいて全ての指示、承認、および当社との連絡を調整する責任があり、本DPAに関連する全ての連絡を自社の認定関係会社に代わって授受する権利があります。
d. その他の権利。両当事者は、「順守の証明」条項に従って当社による本DPAへの順守状況を確認するに当たり、お客さまが契約本体の契約当事者であるお客さまの事業体およびその全ての認定関係会社を代表して実施する複数の監査要求を1回の監査に統合し、当社およびその関係会社に対する影響を抑えるためのあらゆる合理的な措置を講じることに同意します。
付属書類1 - 処理の詳細
A. 当事者のリスト
データ輸出者:
名称:お客さま(自社および認定関係会社を代表して)。定義はHubSpotお客さまサービス利用規約を参照
住所:お客さまの住所。注文書に記載の通り
担当者の氏名、役職、および連絡先の詳細:お客さまの連絡先の詳細。注文書またはお客さまのHubSpotアカウントに記載の通り
これらの条項に基づき移転されるデータに関する作業:HubSpotお客さまサービス利用規約に基づくお客さまによるHubSpotのサブスクリプションサービスの使用に関連する個人データの取り扱い
役割(管理者/処理者):管理者
データ輸入者:
名称:HubSpot, Inc.
住所:Two Canal Park, Cambridge, MA 02141, USA
担当者の氏名、役職、および連絡先の詳細:Nicholas Knoop、データ保護責任者、HubSpot, Inc., Two Canal Park, Cambridge, MA 02141 USA
これらの条項に基づき移転されるデータに関する作業:HubSpotお客さまサービス利用規約に基づくお客さまによるHubSpotのサブスクリプションサービスの使用に関連する個人データの取り扱い
役割(管理者/処理者):処理者
B. 移転の内容
個人データが移転されるデータ主体の種別
お客さまはサブスクリプションサービスの利用中に個人データを提出する場合があり、その範囲はお客さまが独自の裁量により決定および調整します。ここには次の種別のデータ主体に関連する個人データが含まれる場合があります(ただしこれらに限定されません)。
お客さまの従業員、委託業者、協力業者、顧客、プロスペクト、サプライヤー、および下請業者を含む、お客さまのコンタクトおよびその他のエンドユーザー。また、データ主体には、お客さまのエンドユーザーへの連絡または個人データの移転を試みる個人が含まれる場合もあります。
移転される個人データの種別
お客さまはサブスクリプションサービスに個人データを提出する場合があり、その範囲はお客さまが独自の裁量により決定および調整します。ここには、次の種別の個人データが含まれる場合があります(ただしこれらに限定されません)。
1. コンタクト情報(定義は一般規約を参照)2. サブスクリプションサービスを通じてお客さままたはお客さまのエンドユーザーが提出または送受信したその他全ての個人データ
機密データの移転、および制限または保護対策の適用
両当事者は、機密データの移転を予定しません。
移転の頻度
継続的
処理の性質
個人データは、契約本体(本DPAを含む)に従って処理されます。また、次の処理業務のいずれかの対象となる場合があります。
1. サブスクリプションサービスの提供、ならびにお客さまに提供しているサブスクリプションサービスの維持および改善に必要な保管などの処理。
2. 契約本体(本DPAを含む)に基づく開示、または適用法により義務付けられる開示。
移転および移転後の処理の目的
当社は、契約本体に従ってサブスクリプションサービスを提供するための必要性、注文書での具体的な指定、およびサブスクリプションサービスを利用しているお客さまからの具体的な指示に基づいて、個人データを処理します。
個人データが保持される期間
当社による個人データの処理は、本DPAの「個人データの削除または返却」条項に従い、契約本体の期間とします。ただし、別途書面による合意がある場合を除きます。
付属書類2 - セキュリティー対策
当社は現在、本付属書類2に記載のセキュリティー対策を実施しています。本DPAで別段の定義がなされていない用語は、一般規約に規定される定義を持ちます。上記のセキュリティー対策に関する詳細な情報については、trust.hubspot.comに掲載されている、HubSpotのSOC 2 Type 2報告書、SOC 3報告書、セキュリティーに関する概要報告書、および侵入テスト結果報告の要約(英語)を参照してください。
a)アクセス制御
i)製品の不正アクセスの防止
処理の外注:当社は、当社のサービスのホスティングに当たり、外部のクラウド インフラストラクチャー プロバイダーを利用しています。加えて当社は、当社のDPAに従ってサービスを提供するために、ベンダーとの契約関係を維持しています。かかるベンダーが処理または保管するデータを保護するために、当社は契約上の合意事項、プライバシーポリシー、およびベンダーのコンプライアンスプログラムに依拠します。
物理的および環境的セキュリティー:当社は、当社の製品インフラストラクチャーをホスティングするに当たり、外部のマルチテナントのインフラストラクチャープロバイダーを利用しています。当社は、外注先のインフラストラクチャープロバイダーのデータセンターにあるハードウェアを所有または管理していません。本番サーバーおよび顧客向けアプリケーションは、当社内部の企業情報システムから論理的および物理的に保護されています。物理的および環境的セキュリティーの管理では、SOC 2 Type 2およびISO 27001を含む認証の監査を受けています。
認証:当社は、当社の顧客向けの製品に一律のパスワードポリシーを採用しています。お客さまがユーザーインターフェイスを通じて当該製品にアクセスする際は、非公開のお客さまデータにアクセスする前に認証を行う必要があります。
権限付与:お客さまデータは、お客さまがアクセス可能なマルチテナントのストレージシステムに、アプリケーション ユーザー インターフェイスおよびアプリケーション プログラミング インターフェイス経由でのみ保存されます。この土台となるアプリケーションインフラストラクチャーに、お客さまが直接アクセスすることはできません。当社の各製品における権限付与モデルは、適切に指定した個人だけが、対象となる機能、画面、およびカスタマイズオプションにアクセスできるように設計されています。データセットへの権限付与は、各データセットに関連付けられた属性に対するユーザーの許可を確認することにより実行されます。
アプリケーション プログラミング インターフェイス(API)によるアクセス:公開されている製品APIは、APIキーまたはOAuth認証によるアクセスが可能です。
ii)製品の不正使用の防止
当社は、自社製品をサポートする内部ネットワークに、業界標準のアクセス制御および検出機能を実装しています。
アクセス制御:ネットワークアクセス制御のメカニズムは、不正なプロトコルを使用したネットワークトラフィックが、製品インフラストラクチャーに達することを防止するように設計されています。実装されている技術的対策はインフラストラクチャープロバイダーによって異なり、仮想プライベートクラウド(VPC)の導入、セキュリティーグループの割り当て、および従来のファイアウォール規則が含まれます。
侵入の検出および防止:当社は、ホスティングしている顧客ウェブサイトおよびインターネットからのアクセスが可能なその他のアプリケーションを保護するために、ウェブ アプリケーション ファイアウォール(WAF)というソリューションを採用しています。WAFは、公開されているネットワークサービスに対する攻撃の識別および防止を目的としています。
静的コード解析:当社のソース コード レポジトリーに保存されるコードについては、自動ツールを用いてベストプラクティスへの準拠および特定可能なソフトウェアの欠陥を確認しています。
侵入テスト:当社は、業界で高く評価されている侵入テスト サービス プロバイダーとの関係を維持し、HubSpotのウェブアプリケーションおよび社内ネットワークインフラストラクチャーの両方について、年1回以上の侵入テストを実施しています。かかる侵入テストの目的は、セキュリティーの脆弱性を特定し、対象範囲内のシステムに対するリスクとビジネスへの影響を軽減することです。
バグ報奨金:バグ報奨金プログラムでは、独立したセキュリティーの専門家が倫理的な方法でセキュリティー上の欠陥を発見および公表することを奨励し、報奨金を提供します。当社がバグ報奨金プログラムを実施する狙いは、セキュリティーのスペシャリストの協力を募り、高度な攻撃に対する製品の防御を強化する機会を広げることにあります。
iii)権限付与要件の制限
製品へのアクセス:当社の従業員の一部は、制御されたインターフェイスを通じて製品およびお客さまデータにアクセスする権限を有します。従業員の一部にアクセス権を提供する目的は、質の高いカスタマーサポートの提供、製品の開発および研究、潜在的な問題のトラブルシューティング、セキュリティーインシデントの検出および対応、ならびにデータセキュリティーの導入です。アクセスの認可は、アクセスを都度要求するジャストインタイムアクセス(JITA)認証を通じて行われ、かかる要求は全て記録されます。従業員へのアクセス許可は役割ごとに行い、リスクの高い権限の付与については1日1回審査を実施します。管理者権限へのアクセスまたはリスクの高いアクセスの許可については、半年に1回以上の審査を行います。
身元の確認:適用法により認められている場合、HubSpotの従業員は第三者による身元確認または身元照会を受けます。米国では、内定通知は第三者による身元確認の結果を条件とします。HubSpotの全従業員は企業行動指針、守秘義務要件、および倫理規範に従って行動することを要求されます。
b)送信の制御
送信中:当社は、全てのログインインターフェイス、およびHubSpot製品でホスティングされる全ての顧客のサイトについて無償のHTTPSによる暗号化(SSLまたはTLSとも呼ばれます)を義務付けています。当社によるHTTPSの導入では、業界標準のアルゴリズムおよび証明書を使用します。
保存時:当社は、業界標準のセキュリティー手法に準拠するポリシーに従ってユーザーパスワードを保存します。当社は、保存したデータを暗号化するテクノロジーを実装しています。
c)入力制御
検出:当社は、システムの挙動、受信したトラフィック、システム認証、およびその他のアプリケーションのリクエストに関する幅広い情報を記録するように当社のインフラストラクチャーを設計しています。内部システムは、ログデータを集計し、悪意ある挙動、想定外の挙動、または異常な挙動について担当従業員に警告します。セキュリティー、運用、およびサポートスタッフを含む当社の担当者は、既知のインシデントに対応します。
応答および追跡:当社は、既知のセキュリティーインシデントの記録(該当の挙動の内容および日時、ならびにインシデントの処理方法を含む)を保持します。疑わしい、および確認されたセキュリティーインシデントは、セキュリティー、運用、またはサポートの担当者が調査し、解決のための適切な手順が特定および文書化されます。確認された全てのインシデントについて、当社は製品およびお客さまの損害または不正開示を最小限に抑えるために適切な措置を講じます。お客さまへの通知は、契約本体の規定に従うものとします。
d)可用性の制御
インフラストラクチャーの可用性:インフラストラクチャープロバイダーは、99.95%以上の稼働率を実現するために商業的に合理的な努力を払います。当該プロバイダーは、電源、ネットワーク、ならびに暖房、換気および空調(HVAC)サービスにN+1以上の冗長性を維持します。
フォールトトレランス(耐障害性):バックアップおよびレプリケーション手法は、重大な処理上の問題が生じている間、冗長性およびフェイルオーバーの保護を確保することを目的としたものです。お客さまデータは、堅牢な複数のデータストアにバックアップされ、複数のアベイラビリティーゾーンにレプリケートされます。
オンラインのレプリカおよびバックアップ:可能な場合、本番データベースは、少なくとも1つの一次データベースおよび1つの二次データベース間でデータをレプリケートするように設計されます。全てのデータベースは、業界標準以上の手法を使ってバックアップおよび維持されます。
災害復旧計画:極めて重要なビジネスプロセスの中断または停止後の情報の可用性を確保するために、当社は災害復旧計画を保持し、定期的にテストを行います。
当社の製品は、冗長性と円滑なフェイルオーバーを確保するように設計されています。製品をサポートするサーバーインスタンスも、単一障害点を防止するように構築されています。このような設計により、ダウンタイムを抑制しつつ、製品アプリケーションおよびバックエンドを維持更新する当社の運用が円滑に行われます。
付属書類3 - 復処理者
HubSpotは、サブスクリプションサービスを提供するために、データを処理する業務の支援を復処理者に委託します。各復処理者の名前と委託の目的について記載したリストは、本DPAに組み込まれている「HubSpotの復処理者に関する情報」(https://legal.hubspot.com/jp/sub-processors-page)に掲載されています。