Legal Stuff
Talk legal to me
HubSpotセンシティブデータ規約
最終更新日:2024年9月18日
IMPORTANT NOTE: The English version of this document will govern our relationship - this translated version is provided for convenience only and will not be interpreted to modify the English version. For the English version, please see the HubSpot Legal Stuff page.
最終更新日:2024年9月18日
重要なお知らせ:お客様と弊社の契約関係は本文書の英語版が規定します。本文書の日本語版はお客様の利便性向上のみを目的として提供されており、本文書の英語版が規定する契約関係には影響を与えません。本文書の英語版については「HubSpot Legal Stuff(HubSpot各種法的文書)」のページをご覧ください。
本規約をよくお読みください。
本HubSpotセンシティブデータ規約(以下、「センシティブデータ規約」)は、サブスクリプションサービス、および適用法に基づいてセンシティブと見なされる情報をお客さまが使用する場合に適用されます。契約本体の他の規定との間で矛盾または齟齬がある場合、矛盾または齟齬の適用される範囲において、本センシティブデータ規約が契約本体の他の規定より優先されます。
本規約の英語版で使用されている大文字から始まる用語、および本規約で別段の定義がなされていない用語は、契約本体に規定される意味を持つものとします。
1. 定義
2. 対象サービス
3. 対象ベータサービス
4. サービス規約
5. 保証の否認
6. 雑則
付属書類1 - HubSpotの事業提携契約(以下、「BAA」)(HIPAAの対象となる保護対象保健情報をお客さまが保管する範囲内において適用)
1. 定義
1.1 「対象ベータサービス」とは、許可されているセンシティブデータに対応する、サブスクリプションサービスに含まれるベータ機能を意味し、本センシティブデータ規約の「対象ベータサービスの表」に明示的に記載されています。
1.2 「対象サービス」とは、許可されているセンシティブデータに対応する、サブスクリプションサービスに含まれる機能を意味し、本センシティブデータ規約の「対象サービスの表」に明示的に記載されています。
1.3 「許可されているセンシティブデータ」とは、「対象サービスの表」および「対象ベータサービスの表」で明示的に許可された全ての情報を意味します。
1.4 「禁止されているセンシティブデータ」とは、i)「許可されているセンシティブデータ」で明示的に許可されていない、プライバシーやデータ保護に関する適用法に基づく、センシティブカテゴリーの情報に属する全ての情報、およびii)対象サービスの範囲外または本規約で明示的に許容された範囲外での許可されているセンシティブデータの使用を指します(例えば、支払いを直接処理する目的で財務データを保存することは禁止されています)。
2. 対象サービス
お客さまは、「対象サービスの表」に記載されている、許可されているセンシティブデータのカテゴリーの対象サービスのみを使用することに同意するものとします。
|
対象サービスの表 |
|
|
対象サービス |
許可されているセンシティブデータ |
|
HubSpotのEnterpriseのサブスクリプションサービスは、次の機能の範囲内で、許可されているセンシティブデータに対応します。
*(コールのログは許可されていますが、センシティブデータが含まれるコール内容の録音と書き起こしは許可されていません) |
|
|
|
完全な口座番号は、許可されているセンシティブデータに含まれません。 |
|
完全なカード番号およびカードのセキュリティコード(CSC)は、許可されているセンシティブデータに含まれません。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
誤解を避けるために付言すると、サブスクリプションサービスとセンシティブデータの対象サービスでは、i)18歳未満の者による使用、ii)子供向けオンラインサービスを継続する事業体による使用、iii)適用される子供のデータ保護に関する法律に基づき保護される子供へのターゲティング広告に携わる事業体による使用は許可されていません。 |
|
|
|
3. 対象ベータサービス
お客さまは、「対象ベータサービスの表」に記載された、許可されているセンシティブデータのカテゴリーの対象ベータサービスのみを使用することに同意するものとします。一部の対象ベータサービスは、HubSpotによって決められた一部のお客さまに限定して提供される場合があり、対象ベータサービスの表(「対象プライベート ベータ サービス」)にその旨が記載されます。なお、全てのベータサービスには、https://legal.hubspot.com/jp/hubspot-beta-termsに掲載されているHubSpotベータサービス利用規約が適用されます。
|
対象ベータサービスの表 |
|
|
ベータ 対象サービス |
ベータで許可されているセンシティブデータ |
|
センシティブ性の高いデータのベータに参加しているHubSpotのEnterpriseサブスクリプションサービスのお客さまは、次の機能において、ベータの範囲内で許可されているセンシティブデータを使用できます。
*(コールのログは許可されていますが、センシティブデータが含まれるコール内容の録音と書き起こしは許可されていません)
|
支払いを直接処理するためにサブスクリプションサービスを利用することは固く禁じられています。 |
|
プライベートベータ 対象サービス |
プライベートベータで許可されているセンシティブデータ |
|
[現在、プライベートベータのサービスなし] |
|
4. サービス規約
4.1 許可されている利用と禁止されている利用。許可されているセンシティブデータは、本規約に従って、かつ対象サービスで特定された許可されている機能とともに、サブスクリプションサービス内でのみ利用することができます。禁止されているセンシティブデータは、対象サービスを含む、いかなるサブスクリプションサービスの機能においても許可されません。HubSpotセンシティブデータ規約で許可されている範囲を超えた場合、HubSpotお客さまサービス利用規約に定める一時停止または終了の対象となる場合があります。
4.2 サードパーティーの製品。お客さまがサブスクリプションサービスをサードパーティーの製品と連携する、またはサブスクリプションサービスに関連してサードパーティーの製品を使用する場合、お客さまは当該サードパーティーの製品によってホスティングまたは処理されている顧客データが、当該サードパーティーの維持するポリシーに従ってホスティングされることを認めるものとします。
4.3 お客さまの義務。お客さまは、自身のサブスクリプションサービスの使用が、お客さまの順守義務に従っているかどうかを評価および判断する責任を負います。お客さまの義務には、少なくとも、(i)お客さまのHubSpotアカウント内のセンシティブデータの管理と監視への対応、(ii)お客さまのHubSpotアカウント内に保持されたセンシティブデータに関連するデータ主体アクセス要求への対応、(iii)適用される法律または規制に基づいて、法執行官が定める問い合わせ、義務、その他の法定命令への対応をするために、お客さまの費用および経費で、お客さま自身(または、お客さまが指定したサードパーティーのサービスプロバイダー)の人員およびリソースを提供することも含まれます。
4.3.1 許可されているセンシティブデータの識別。対象サービスの機能は、センシティブデータのプロパティーの使用に依存し、お客さまは、i)センシティブデータを適切に識別すること、ii)対象サービスおよび対象ベータサービス内でのみ、許可されているセンシティブデータを処理することに同意するものとします。
4.4 HubSpotの義務。当社は、契約本体の既存の規定にある、物理的、管理的、および技術的なセキュリティー統制を提供し続けることに同意します。HubSpotのセキュリティー統制についての詳細は、HubSpotのTrust Center(https://trust.hubspot.com、英語)をご確認ください。
4.5 センシティブデータの侵害。当社は、HubSpotデータ処理契約(以下、「DPA」)に記載されている通り、当社DPAの「セキュリティー対策」に規定されるセキュリティーインシデントの管理ポリシーおよび手順を維持します。
4.6 BAAのセキュリティーと通知。当社は、当社BAAの「事業提携者の義務」条項に規定されているセキュリティーインシデントの管理ポリシーおよび手順を維持します。また、BAAがお客さまに適用される場合には、当該規定にある通り、当社からお客さまに通知します。
5. 保証の否認
HubSpotは、本対象サービスがお客さまの要件を満たすこと、または本対象サービスが中断されないこと、適時提供されること、もしくはエラーがないことを一切保証しません。
6. 雑則
6.1 センシティブデータ規約の変更。当社は、本センシティブデータ規約で認められる対象サービス、対象ベータサービス、および許可されているセンシティブデータを増やすために、お客さまに通知することなく、本規約に変更を加える場合があります。本規約のその他の更新は、契約本体に従って実施されます。お客さまは、その更新が行われた日以降にセンシティブデータ規約に基づいて機能を使用する場合、更新されたセンシティブデータ規約に同意したものと見なされることを了解し、これに同意するものとします。
6.2 矛盾。契約本体の他の全ての規定は変更されません。契約本体の規定との間で矛盾または齟齬がある場合、矛盾または齟齬の範囲において、本センシティブデータ規約が契約本体の規定より優先されます。HIPAAの対象となる保護対象保健情報を保管しているお客さまの場合は、当該の矛盾または齟齬の範囲において、本センシティブデータ規約のその他の規定を含め、本BAAが契約本体の規定より優先されます。
6.3 存続条項。本センシティブデータ規約およびBAA(該当する場合)は、契約本体の終了後または満了後も存続します。
付属書類1 - 事業提携契約
[PDFファイル(英語)はこちらからダウンロードできます]
本事業提携契約(以下、「BAA」)は、お客さまが注文書、作業範囲記述書、またはHubSpotとのその他の契約(以下、「契約本体」)によって加入している該当のHubSpotサービスの使用のために、HubSpot, Inc.(以下、「事業提携者」または「HubSpot」)とお客さまの間の契約本体の一部を構成します。事業提携者とお客さまは、本契約において「当事者」および「両当事者」と呼ばれることがあります。
前文
(A)お客さまは、HIPAAにおける用語の定義通り「対象事業体」または「事業提携者」です。そのため、保護対象保健情報の守秘義務およびプライバシーに関してその要件を満たすことが求められます。
(B)両当事者は、HubSpotサービスのお客さまへの提供に関連して、HubSpotがお客さまのために、またはお客さまに代わって保護対象保健情報を受領する場合があることを予め想定するものとします。
(C)事業提携者は、契約本体に従ってサービスを提供し、お客さまのために、またはお客さまに代わって保護対象保健情報を作成または受領することにより、HIPAAにおける用語の定義通り、お客さまの事業提携者または請負業者になります。よって、事業提携者は、お客さまのために作成した、またはお客さまから受領した、もしくはお客さまに代わって受領した保護対象保健情報の守秘義務およびプライバシーに関する義務を負います。
(D)本BAAは、お客さまがHubSpotと保護対象保健情報を共有している場合、HIPAAによる用語の定義通り、お客さまが「対象事業体」または「事業提携者」である範囲においてのみ適用されます。
1. 定義。
本BAAの英語版で使用されている大文字から始まる用語は、下記の当該用語に付される意味を持つものとします。英語版で使用されている大文字から始まる用語で、本規約で別段の定義がなされていないものは全て、HIPAAにより当該用語に付される意味を持つものとします。
a. 「HIPAA」とは、米国連邦議会が制定した、医療保険の携行性と責任に関する法律の管理業務の簡素化条項、およびプライバシー規則、侵害通知規則、セキュリティー規則、施行規則を含むその実施規制(以下、「HIPAA規則」)の総称であり、経済的および臨床的健全性のための医療情報技術に関する法律(HITECH法)、HITECH法および遺伝子情報差別禁止法に基づくHIPAAのプライバシー、セキュリティー、施行、侵害通知の各規則の修正、その他のHIPAA規則の修正、最終規則(通称、「包括的最終規則」)などによって随時改訂されます。
b. 「HubSpotサービス」とは、お客さまが注文書、作業範囲記述書、または保護対象保健情報を処理するためにお客さまによる使用をHubSpotが明示的に許可しているその他の書面による契約によってお客さまが加入しているHubSpotのサービスを意味します。
c. 「保護対象保健情報」または「PHI」はそれぞれ、45 CFR § 160.103の用語「保護対象保健情報」または「電子的に保護される医療情報」と同じ意味を有します。ただし、本BAAにおいて、当該用語は、HubSpotサービスを通じてお客さまから、またはお客さまに代わってHubSpotが受領および保持している保護対象保健情報に限られます。
d. 「長官」とは、米国保健福祉長官を指します。
e. 「アンセキュアなPHI」とは、長官が指定した技術や方法(暗号化など)を用いて権限のない個人に対して使用不能、判読不能、解読不能にされていないPHIを意味します。この定義は、ハードコピーのPHIと電子的なPHIの両方に適用されます。
f. 「不成功のセキュリティーインシデント」とは、当該インシデントがPHIの不正なアクセス、取得、使用、開示に至らない限りにおいて、HubSpotのファイアウォールに対するpingの送信やその他のブロードキャスト攻撃、ポートスキャン、ログイン試行の失敗、DoS攻撃などを意味します。
2. 事業提携者の義務。
a. PHIの使用と開示。
i. 事業提携者は、事業提携者、その代理店およびその請負業者が(i)本BAAおよび契約本体に基づいて、自身の権利、責任、義務の履行に関連する場合にのみ、PHIを使用または開示すること、(ii)本BAAおよび契約本体で許可されているもしくは求められている、または法律で義務付けられている場合を除き、PHIを使用および開示しないこと、(iii)適用される米国連邦法および州法に違反する形、またはお客さまが当該方法で使用または開示した場合に当該法律に違反することになる形でPHIを使用および開示しないこと、(iv)特定の目的のために必要最小限のPHIのみを使用および開示することを保証します。お客さまは、使用および開示がこの必要最小限の要件を満たすかどうかを、事業提携者がお客さまの指示に依拠して判断する場合があることに同意するものとします。
ii. 本BAA全体を通じて定められた制約に従い、事業提携者は(i)事業提携者の適切な管理を行う目的、または(ii)事業提携者の法律上の権利と責任を履行する目的のために必要な場合に、お客さまから受領した情報を使用することができます。
iii. 本BAAに定められた制約に従い、事業提携者は、事業提携者の適切な管理のためにPHIを開示することができます。ただし、(1)開示が法律で義務付けられていること、または(2)機密として保持され、法律で義務付けられている、または個人もしくは事業体に対し契約本体で認められている目的においてのみ使用またはさらに開示されるという合理的な保証を、事業提携者が情報の開示先である個人または事業体から得るとともに、情報の守秘義務に違反していると認識している全ての事例をその個人または事業体が事業提携者に通知することを条件とします。事業提携者は、本BAAまたは契約本体によって定められている場合以外の電子的なPHIの使用または開示を回避するために、当該の電子的なPHIに関して45 C.F.R. Part 164のSubpart Cを順守します(該当する場合)。
iv. 事業提携者は、HIPAAで認められている範囲におけるデータ集約の目的で、本BAAに従って事業提携者がお客さまに代わって作成または受領したPHIを、45 C.F.R. 160.103に定義される通り、他の対象事業体の事業提携者として、各対象事業体またはお客さまの医療業務に関連したデータ分析を可能にするために、事業提携者が受領したPHIと共に使用し、開示し、組み合わせることが認められます。
v. 事業提携者は、本BAAに基づき事業提携者が作成または受領したあらゆるPHIを、HIPAAの基準に合わせて匿名化することができます。PHIが45 CFR 164.514(b)に従って匿名化されると、当該情報は保護対象保健情報ではなくなり、本BAAの対象ではなくなります。
b. 保護措置。事業提携者は、適切で管理的、技術的、および物理的な保護措置を講じ、PHIの守秘義務を守り、本BAAまたは契約本体の規定に反する形でPHIを使用または開示することを防止します。事業提携者は、本BAAまたは契約本体によって定められている場合以外の電子的なPHIの使用または開示を回避するために、当該の電子的なPHIに関して45 C.F.R. Part 164のSubpart Cを順守します(該当する場合)。
c. 監査と記録。事業提携者は、お客さまがHIPAAに基づく自身の義務を順守していることを判断する目的で、お客さまから受領した、またはお客さまに代わって事業提携者が作成もしくは受領したPHIの使用および開示に関連して、HIPAAに従い、長官が事業提携者の内部慣行、帳簿および記録を利用できるようにします。
d. 自分のPHIに対する個人の権利。
i. 事業提携者が指定のレコードセットのPHIを保持する範囲において、お客さまが45 CFR Section 164.524に従い、個人からのPHIへのアクセス要求に対応できるようにするために、事業提携者は、お客さまから書面で依頼を受けてから10営業日以内に、当該PHIをお客さまが利用できるようにします。
1. 個人が事業提携者に直接PHIへのアクセスを要求した場合、事業提携者は5営業日以内に当該要求をお客さまに転送します。
2. お客さまは、個人によるPHIの要求の承認または拒否に関するあらゆる決定を下す責任を負うものとし、事業提携者はこうした決定を行いません。法律で義務付けられている場合を除き、お客さまのみが、当該要求に従って個人にPHIを公開する責任を負うものとします。45 CFR Section 164.524に従ってお客さまが決定し、お客さまから事業提携者に伝えたPHIへのアクセスの拒否に対しては、拒否によって生じた全ての申し立てや苦情の解決または報告を含め、お客さまが責任を負うものとします。
ii. 事業提携者が指定のレコードセットのPHIを保持する範囲において、お客さまが個人からのPHIの訂正要求に対応できるようにするために、事業提携者は、お客さまから書面で依頼を受けてから10営業日以内に、当該PHIをお客さまが利用できるようにします。
1. 個人が事業提携者に直接PHIの訂正を要求した場合、事業提携者は5営業日以内に当該要求をお客さまに転送します。
2. お客さまは、個人によるPHIの訂正要求の承認または拒否に関するあらゆる決定を下す責任を負うものとし、事業提携者はこうした決定を行いません。45 CFR Section 164.526に従ってお客さまが決定し、お客さまから事業提携者に伝えたPHIの訂正の拒否に対しては、拒否によって生じた全ての申し立てや苦情の解決または報告を含め、お客さまが責任を負うものとします。
3. お客さまから指定のレコードセットに含まれる個人のPHIの訂正依頼を受けてから10営業日以内に、事業提携者は45 CFR Section 164.526に従って、承認された訂正、不服申し立て、または反論をその指定のレコードセットに組み込むか、お客さまが組み込むためにPHIを利用できるようにします。
iii. お客さまが45 CFR Section 164.528に従って個人による説明の要求に応じられるようにするために、事業提携者は、お客さまから書面で個人に関するPHIの開示の説明の要求を受け取ってから10営業日以内に、当該PHIをお客さまが利用できるようにします。事業提携者はお客さまに(1)開示日、(2)PHIを受領した事業体または個人の名前(および分かっている場合は当該事業体または個人の住所)、(3)開示されるPHIの簡単な説明、および(4)当該開示の目的に関する短い声明を提供します。
1. 個人が事業提携者に直接PHIの開示の説明を要求した場合、事業提携者は5営業日以内に当該要求をお客さまに転送します。
2. お客さまは個人への説明を準備し、提供する責任を負うものとします。
3. 事業提携者は本BAAの要件を満たすことができるように、適切な記録保存プロセスを実施します。
e. 第三者への開示。事業提携者は、お客さまから受領した、またはお客さまのために、もしくはお客さまに代わって作成もしくは受領したPHIへのアクセス権を有している、または有する予定の各請負業者または代理店と書面による合意を得てそれを保持し、その契約に従い、当該請負業者および代理店は、当該PHIに関し、本契約に従って事業提携者に適用されるものと同一基準の制約と諸条件の法的拘束を受けることに同意します。
f. 報告義務。
i. 事業提携者は、事業提携者による違反の発見から10営業日以内に、お客さまに違反を報告します。違反の通知には、当該情報が入手可能な範囲において、(1)セキュリティー違反発生中にPHIにアクセスされ、PHIを取得、開示されている、またはアクセス、取得、開示されていると合理的に信じられる各人のID、(2)違反日(分かる場合)、および違反の発見日、(3)違反の範囲、および(4)違反への事業提携者の対応に関する情報が含まれます。
ii. 本BAAにおいて不適切でありつつも違反とはならないPHIの使用または開示があった場合、事業提携者は、当該使用または開示に気付いた日から10営業日以内に、当該使用または開示をお客さまに報告します。
iii. 両当事者は、不成功のセキュリティーインシデントが通常業務の中で発生することを認め、当該の不成功のセキュリティーインシデントに対し、本項が事業提携者によるお客さまへの通知を構成していることを規定し、これに同意するものとします。
3. お客さまの義務。
a. 許容される要求。
i. お客さまによって使用または開示された場合に、当該使用または開示が適用される米国連邦法および州法への違反となる形で、お客さまは事業提携者にPHIの使用や開示を要求してはなりません。
ii. お客さまは、自らが事業提携者に送信する、または送信されるように指示するPHIに関連して適用される全ての法および規制を順守するものとします。
b. 通知。
i. お客さまは、45 CFR Section 164.520に従って、該当するプライバシー慣行の通知の制限事項を、当該制限事項が事業提携者のPHIの使用または開示に影響を及ぼす可能性のある範囲において、事業提携者に通知するものとします。
ii. お客さまは、個人によるPHIの使用または開示の許可の変更または撤回を、当該変更が事業提携者のPHIの使用または開示に影響を及ぼす可能性のある範囲において、事業提携者に通知するものとします。
iii. お客さまは、45 CFR Section 164.522に従って、お客さまが同意したPHIの使用または開示に対する制約を、当該制約が事業提携者のPHIの使用または開示に影響を及ぼす可能性のある範囲において、事業提携者に通知するものとします。
4. 期間および終了。
a. 重大な違反。一方当事者が他方当事者による重大な違反を認識した場合、非違反当事者は違反当事者に対し、是正の機会を与えるものとします。違反当事者が非違反当事者から当該違反の通知を受け取ってから20営業日以内に、非違反当事者が合理的に満足する程度までその違反が是正されなかった場合、非違反当事者は、本BAAと、契約本体の当該違反による影響を受ける部分を終了します(実行可能な場合)。一方当事者が他方当事者による重大な違反を認識し、是正が不可能な場合、非違反当事者は、本BAAと、契約本体の当該違反による影響を受ける部分を終了します(実行可能な場合)。
b. PHIの返却または破棄。何らかの理由により本BAAが終了した場合、事業提携者は次のいずれかを行います。
i. 事業提携者が実行可能であると判断した場合、お客さまから受領した、または事業提携者がお客さまのために、もしくはお客さまに代わって作成もしくは受領し、事業提携者またはその請負業者および代理店が依然として何らかの形式で保持している全てのPHIを返却または破棄します。また、事業提携者は当該情報の複製を保持しません。
ii. 事業提携者が当該返却または破棄が実行不可能であると判断した場合、本BAAの保護を当該情報に拡張し、PHIのさらなる使用と開示を、返却または破棄を実行不可能にする当該目的においてのみに制限します。その場合、本第4条(b)項に基づく事業提携者の義務は、本BAAの終了後も存続します。
5. 総則。
a. 修正。HIPAAに基づいて公布された規制のいずれかが、本BAAに反する形で修正または解釈された場合、両当事者は誠意を持って協力し、当該修正または解釈に適合するために必要な限りにおいて本BAAの修正を図るものとします。
b. 解釈。本BAAの曖昧さは、両当事者がHIPAAを順守できるように解決されるものとします。
c. 補償および責任限定。両当事者は、契約本体に含まれる補償の義務と責任限定の規定が、本BAAに基づく各当事者の履行に適用されることに同意し、これを了承するものとします。
d. 矛盾と優先順位。本BAAの規定と契約本体の規定との間で矛盾がある場合、本BAAの規定が契約本体の規定より優先されます。契約本体の矛盾しない他の規定は全て、引き続き有効かつ執行可能となります。