GoDaddy - データ処理に関する追加規約
本データ処理追加規約 (本「追加規約」) は GoDaddy.com, LLC, a Delaware limited liability company およびそのアフィリエイト (「GoDaddy」) とあなた (「お客様」) の間に締結され、弊社のユニバーサルサービス規約、プライバシーポリシー、おおび対象サービスに適用されるすべての契約 (集合的に「サービス規約」 とします) の追加規約となり、これらを補足します。
1.定義1.1 本追加規約に別途定義されていない限り、本追加規約に定義されていない英語原文で大文字の用語にはすべてサービス規約の定義が適用されます。
「アフィリエイト」とは、GoDaddy によって管理されている、管理している、または共通の管理下にあるエンティティを意味します。
「対象サービス」とは、当社による個人データの処理を伴う可能性のあるホストサービスで、以下の契約条件に従うものを含みます。(1) メール マーケティング サービス、(2) ホスティング、(3) オンラインストア / クイックショッピングカート、(4) Web サイトサービス、(5) ワークスペースサービス。
「顧客データ」とは、サービス規約に従って、またはサービス規約に関連して、GoDaddy がお客様に代わって GoDaddy ネットワーク内で処理するデータ主体の個人データを意味します。
「データ保護法」とは、本契約に基づく個人データの処理に適用されるすべてのデータ保護またはプライバシーに関する法律および規制を意味し、(i) オーストラリアのプライバシー原則およびオーストラリアのプライバシー法 (1988 年)、(ii) ブラジルの Lei Geral de Proteção de Dados (LGPD)、(iii) カリフォルニア州の消費者プライバシー法 (CCPA)、(iv) カナダの連邦個人情報保護および電子文書法 (PIPEDA)、(v) EU GDPR、(vi) GDPR に基づいて、または GDPR に従って作成された国内データ保護法、(vii) EU の e-Privacy 指令 (指令 2002/58/EC)、(viii) シンガポールの 2012 年個人データ保護法 (PDPA)、(ix) 1992 年 6 月 19 日のスイス連邦データ保護法およびその条例、(x) 英国の GDPR またはデータ保護法 2018 を含まれますが、これに限定されません。いずれの場合も、修正、置き換え、または置き換えられる可能性があります。
「EEA」とは、欧州経済地域を指します。
「GDPR」とは、個人データの処理に関する自然人の保護および当該データの自由な移動に関する 2016 年 4 月 27 日の欧州議会および欧州理事会の規則 (EU) 2016/679、および指令 95/46/EC の廃止を意味します。
「EU 標準契約条項」とは、2021 年 6 月 4 日の欧州委員会決定 2021/914 によって承認された標準データ保護条項を意味し、参照により本書に組み込まれるものとします。モジュール 2 (管理者から処理者) EU 標準契約条項およびモジュール 3 (処理者から処理者) EU 標準契約条項は、EUR-Lex Web サイトからダウンロードダウンロード可能です。
「GoDaddy ネットワーク」とは、GoDaddy の管理下にあり対象サービスの提供に使用される GoDaddy のデータセンター施設、サーバー、ネットワーク設備、ホスト ソフトウェア システム (バーチャルファイアウォールなど) を意味します。
「セキュリティインシデント」とは、GoDaddy セキュリティ基準のセキュリティ違反により、GoDaddy によって管理または制御されているシステム上の顧客データの偶発的または違法な破壊、紛失、改ざん、不正開示、またはアクセスが発生することを意味します。
「セキュリティ基準」とは、本追加規約の追加条項 2 に定められたセキュリティ基準を意味します。
「機密データ」とは、(a) 社会保障番号、パスポート番号、運転免許証番号、または同様の識別子 (またはその一部)、(b) クレジットカードまたはデビットカード番号 (クレジットカードまたはデビットカードの下 4 桁を除く)、金融情報、銀行口座番号、またはパスワード、(c) 雇用、財務、遺伝、生体認証、または健康に関する情報、(d) 人種、民族、政治的または宗教的な所属、労働組合への加盟、または性生活や性的指向に関する情報 (e) アカウントのパスワード、母親の旧姓、または生年月日 (f) 犯罪歴、もしくは (g) GDPR またはプライバシーおよびデータ保護に関するその他の適用法令に基づく「特別なカテゴリーのデータ」の定義に該当するその他の情報または情報の組み合わせを意味します。
「サブ処理者」とは、管理者の代理でデータを処理することを処理者によって依頼された処理者を意味します。
「UK GDPR」とは、2018 年英国欧州連合 (離脱) 法に基づき改正され英国法に組み込まれた EU GDPR、および同法に基づき作成された適用可能な二次法を意味します。
「英国国際データ移転補遺」とは、2022 年 3 月 21 日に発効した英国情報コミッショナー発行の EU 標準契約条項の国際データ移転補遺、バージョン B1.0 を意味し、参照により本書に組み込まれるものとします。英国国際データ移転補遺は、英国情報コミッショナーの Web サイトからダウンロード可能です。
1.2 本追加規約で使用される「個人データ」、「データ主体」、「処理」、「管理者」および「処理者」という用語は、どのデータ保護法が適用されるかにかかわらず、EU GDPR で与えられた意味を有します。
2.データ処理の範囲と当事者の関係2.1 処理者としての GoDaddy。当事者は、次のことを認め、同意します。(i) GoDaddy がデータ保護法に基づく顧客データの処理者であること。(ii) お客様がデータ保護法に基づく顧客データの管理者または処理者 (場合により) であること。(iii) 各当事者は、顧客データの処理に関して、適用されるデータ保護法に基づく義務を遵守すること。
2.2 データ処理の詳細。GoDaddy による顧客データの処理の目的は、サービス規約に従った対象サービスの提供です。GoDaddy はお客様の書面での指示に従い、お客様の代理として、次の目的でのみ顧客データを処理します。(i) サービス規約に従った処理、(ii) エンドユーザーによる対象サービスの利用に伴う処理、(iii) お客様から提供された他の書面上の合理的な指示 (メールでの指示など) で、当該指示がサービス規約と一致している場合。GoDaddy は、以下のことを行わないものとします。(a) サービス規約に従って対象サービスを提供するために必要な場合、または法律で定められている場合を除き、顧客データを処理、保存、使用、販売または開示すること、(b) 当該顧客データを第三者に販売すること、(c) GoDaddy とお客様との間の直接的な取引関係以外で、当該顧客データを保持、使用、または開示すること。
疑義を避けるために記すと、お客様による顧客データ処理の指示は、適用されるすべてのデータ保護法に準拠するものとします。お客様は、顧客データの正確性、品質、適法性、およびお客様が顧客データを取得する手段について単独で責任を負うものとします。お客様が顧客データの管理者である場合、お客様は以下のことを認め、同意するものとします。(i) 対象サービスにおいて行われるデータの収集、共有および使用について、明確に開示し、同意を得るために商業的に合理的な努力を払う必要があります。(ii) 対象サービスを使用する結果として、エンドユーザーがその所在国以外で処理される場合があることを明確にしなければなりません。お客様が顧客データの処理者である場合、お客様は、GoDaddy を別の処理者に指名することを含む、顧客データに関するお客様の指示および行為が、関連する管理者によって承認されていることを保証するものとします。GoDaddy は、お客様の指示がデータ保護法に違反する場合、お客様の指示に従うこと、または遵守することを要求されないものとします。処理の期間、処理の性質および目的、および本追加規約の下で処理される個人データの種類およびデータ主体のカテゴリーは、本追加規約の追加条項 1 (「処理の詳細」) に詳しく説明されています。
3.顧客データの機密保持GoDaddy が、法または有効かつ拘束力のある司法当局の命令 (召喚状、裁判所命令など) に従うために必要な場合を除き、顧客データを政府またはその他第三者に開示することはありません。GoDaddy が有効な民事召喚状を受け取った場合、GoDaddy は許可される範囲内で、顧客が秘密保持命令またはその他適切な措置を取れるよう、顧客にメールまたは郵便にてその要求に関する合理的な通知を行います。
4.セキュリティの共有責任モデル4.1 GoDaddy は本セクションおよび本追加規約の追加条項 2、セキュリティ基準に記載されている GoDaddy ネットワークの技術的および組織的措置を実施しており、今後も維持するものとします。特に、GoDaddy は (i) GoDaddy ネットワークのセキュリティ、(ii) 施設の物理的セキュリティ、(iii) 従業員および請負業者の (i) および (ii) へのアクセス管理、(iv) GoDaddy により実施される技術的および組織的措置の効果のテスト、査定、および評価するプロセスにおいて、次の技術的および組織的措置を実装し、今後も維持していくものとします。ここに記載されている義務のいずれかを履行できない場合は、可能な限り速やかに書面で (当社の Web サイトまたはメールで) 通知します。
4.2 GoDaddy は顧客が対象サービスに使用できる多くのセキュリティ機能を提供します。顧客には次の責任があります: (a) 対象サービスの正しい設定、(b) 処理システム及びサービスの継続的な機密保持性、完全性、利用可能性、回復力を維持するための対象サービスで利用可能なコントロール (セキュリティコントロールを含む)の利用、(c) 物理的または技術的インシデントの際に顧客が迅速に顧客データを利用・アクセス可能な状態に復元できるようにするための対象サービスで利用可能なコントロール (セキュリティコントロールを含む)の利用 (バックアップ、顧客データの定期アーカイブなど)、(d) 顧客データを不正アクセスから守るための暗号化技術の使用及び顧客データへのアクセス権のコントロールを含む、顧客が適切なセキュリティ、保護の維持、及び顧客データの削除に適切と判断する措置の実施。
5.データ主体の権利対象サービスの性質を考慮し、GoDaddy は、対象サービスに説明されている顧客データの取得、修正、削除または使用および共有の制限のためにお客様が選択できる特定のコントロールを提供します。お客様は、データ主体からの要求への対応に関連する義務を含む、データ保護法に基づく義務に関連した支援のための技術的および組織的手段としてこれらのコントロールを使用できます。商業的に妥当かつ法により義務付けられている、または許可されている範囲で、GoDaddy は GoDaddy が直接データ主体から適用されるデータ保護法における権利を行使するリクエスト (「データ主体リクエスト」) を直接受けた場合、お客様に迅速に通知します。さらに、お客様による対象サービスの使用によりデータ主体のリクエストへの対応能力が制限される場合、GoDaddy は法により許可されており適切であり、かつお客様の具体的なリクエストに応じ、お客様の負担で (コストが発生する場合) リクエストに対応するための商業的に妥当な支援を提供します。
6.サブプロセス6.1 正規処理者:お客様は、GoDaddy がサービス規約および本追加規約における契約上の義務を遂行するため、また、サポートサービスの提供など代理で特定のサービスを提供するため、サブ処理者を使用することに同意するものとします。お客様は、本セクションに記載された GoDaddy よるサブ処理者の使用に同意するものとします。
6.2 サブ処理者の義務。GoDaddy がセクション 6.1 の通りに承認されたサブ処理者を使用する場合:
(i) GoDaddy はサブ処理者による顧客データへのアクセスを、対象サービスの維持またはサービス規約に従ってお客様およびエンドユーザーへの対象サービスを提供するために必要な範囲に制限します。GoDaddy はサブ処理者による他の目的での顧客データへのアクセスを禁じます。
(ii) GoDaddy はサブ処理者と書面上の契約を交わし、サブ処理者が本追加規約の下で GoDaddy の提供するものと同じデータ処理サービスを提供する範囲において、GoDaddy は本追加規約において GoDaddy が負うものと実質的に同じ契約上の義務をサブ処理者に課するものとします。
(iii) GoDaddy は、本追加規約の義務の遵守、および本追加規約に基づく GoDaddy による GoDaddy の義務違反の原因となるサブ処理者の行為または不作為について引き続き責任を負うものとします。
6.3 新しいサブ処理者。 時折、当社は、本追加規約の条件の下で、また本追加規約の条件に従う形で、サブ処理者を従事させることがあります。 そのような場合、当社は、新しいサブ処理者が顧客データを取得する 30 日前に (当社の Web サイトまたはメールで) 通知します。お客様が新しいサブ処理者を承認しない場合、お客様は、当社からの通知の受領後 10 日以内に、お客様が承認しない理由の説明を含む書面による終了通知を提供することにより、ペナルティなしに対象サービスを終了することができます。対象サービスがバンドルまたは一括購入の一部である場合、その全体に終了が適用されます。
7.セキュリティインシデント7.1 セキュリティインシデント。GoDaddy がセキュリティインシデントを認識した場合、GoDaddy は不当な遅延なしに、(a) お客様にセキュリティインシデントを通知し、(b) セキュリティインシデントの影響を抑え被害を最低限に食い止めるための合理的な措置を取ります。
7.2 GoDaddy の支援:データ保護法においてお客様に義務付けられている個人データの漏洩通知に関するお客様のお問い合わせに対応するため、GoDaddy は通知に対象サービスの性質、GoDaddy に開示されている情報、機密保持などの情報開示の制限を考慮し、GoDaddy がお客様に合理的に開示可能な、これらのセキュリティインシデントに関する情報を含めます。
7.3 失敗に終わったセキュリティインシデント:お客様は、失敗に終わったセキュリティインシデントが本追加規約の対象とならないことに同意するものとします。失敗に終わったセキュリティインシデントとは、顧客データ、または顧客データが保管されている GoDaddy のネットワーク、設備、施設のいずれかへの不正アクセスが発生したインシデントを指し、ファイアウォールやエッジサーバーへのピングやその他ブロードキャスト攻撃、ポートスキャン、ログオンの失敗、DOS 攻撃、パケットスニッフィング (またはその他のヘッダーより先にアクセスされなかったトラフィックデータへの不正アクセス) を含みますがこれらに限定されません。
7.4 通知。セキュリティインシデントの通知がある場合、GoDaddy が選択した手段 (メールを含む) によりお客様の管理者に通知されます。お客様の管理者が GoDaddy の管理コンソールで正確な連絡先情報を維持し、常に安全に通信が行われるようにすることは、お客様自身の単独責任になります。
7.5 GoDaddy による障害の承認がないこと: 本セクションに基づくセキュリティインシデントの報告または対応に関する GoDaddy の義務は、セキュリティインシデントに関する GoDaddy のいかなる過失または GoDaddy の責任を認めるものではなく、また今後もそのように解釈されます。
8.顧客の権利8.1 独自の判断:お客様は GoDaddy に提供されたデータセキュリティおよびびセキュリティ基準に関する情報を読み、対象サービスがお客様のニーズ、法的義務、本追加規約におけるお客様の義務を満たすかどうか独自に判断する責任があります。提供される情報は、適用されるデータ保護法に基づくお客様の義務をお客様が遵守するのを支援することを目的としています。お客様は、GoDaddy が実装し維持する対象サービスおよびセキュリティ基準が、個人データへのリスク (最新技術、実装コスト、個人データ処理の性質、範囲、文脈および目的、ならびに個人へのリスクを考慮) に適したセキュリティレベルを提供することに同意するものとします。
8.2 お客様の監査権:お客様は、サービス利用規約に記載された住所に合理的な間隔で書面で具体的な要求を行うことにより、対象サービスに適用される本別紙への GoDaddy の遵守状況を確認する権利を有します。GoDaddy が、適切に要求された範囲の監査または検査に関してお客様が要求した指示に従うことを拒否した場合、お客様はこの本別紙およびサービス利用規約を終了する権利があります。
9.顧客データの移転9.1 アメリカ合衆国ベースの処理。サービス利用規約に特に明記されている場合を除き、お客様のデータは英国または EEA の外に移転され、米国で処理されます。
9.2 EU 標準契約条項の適用。モジュール 2 (管理者から処理者) EU 標準契約条項またはモジュール 3 (処理者から処理者) EU 標準契約条項は、欧州委員会によって顧客データに対して適切なレベルの保護を提供していると認められていない EEA 外の国に、直接または二次移転によって移転される顧客データに適用されるものとします。EU 標準契約条項は、直接または二次移転によって EEA 外に移転されない顧客データには適用されません。上記にかかわらず、EU 標準契約条項は、サービス規約に基づく対象サービスの履行に必要な場合、またはお客様の同意を得た場合など、EEA 外への個人データの合法的な移転のために認められたコンプライアンス基準に従ってデータが移転される場合には適用されません。
- 各モジュールについて、該当する場合:
- EU 標準契約条項の第 7 条については、オプションのドッキング条項は適用されません。
- EU 標準契約条項の第 9 条については、オプション 2 が適用され、サブ処理者の変更について事前に書面で通知する期間は、本追加規約のセクション 6.3 (新しいサブ処理者) に記載されているとおりです。
- EU 標準契約条項の第 11 条については、オプションの文言は適用されません。
- 第 17 条 (オプション 1) については、EU 標準契約条項はドイツ法に準拠します。
- EU 標準契約条項の第 18 条 (b) については、紛争はドイツ連邦共和国の裁判所で解決されます。
- EU 標準契約条項の添付書類 I、パート A:
- 当事者のリスト
データエクスポーター:データエクスポーターは、追加規約で「お客様」とされるエンティティです
署名と日付:データエクスポーターがデータインポーターのサービス規約を電子的に受諾した時点で、データエクスポーターは EU 標準契約条項に署名したとみなされます。
役割:管理者 (モジュール 2 による) または処理者 (モジュール 3 による)
データインポーター:GoDaddy.com, LLC
連絡先詳細:データ保護責任者事務所 – privacy@godaddy.com
署名と日付:データエクスポーターがデータインポーターのサービス規約を電子的に受諾した時点で、データインポーターは EU 標準契約条項に署名したとみなされます。
役割:EU 標準契約条項の添付書類 I、パート B の
- 当事者のリスト
- 処理者:
- 移転の説明
個人データが移転されるデータ主体のカテゴリーは、追加規約の追加条項 1 に記載されています。
移転される個人データのカテゴリーは、追加規約の追加条項 1 に記載されています。移転される機密データは、本追加規約の追加条項 1 に記載されています。
移転の頻度は、サービス規約の期間中継続的に行われます。
処理の性質は、追加規約のセクション 2.2 および追加条項 1 に記載されています。
データ移転およびさらなる処理の目的は、本追加規約のセクション 2.2 および追加条項 1 に記載されています。
個人データの保持期間は、本追加規約の追加条項 1 に記載されています。
(サブ) 処理者への移転については、処理の主題、性質、および期間が、標準契約条項の添付書類 III に記載されています。
- 移転の説明
- EU 標準契約条項の添付書類 I、パート C:
- 管轄監督当局局
データ保護と情報の自由のためのノルトライン=ヴェストファーレン州委員会 (「LDI NRW」) が管轄監督当局です。
- 管轄監督当局局
- EU 標準契約条項の添付書類 II:
データインポーターによって実装される技術的および組織的なセキュリティ対策は、追加規約の追加条項 2 に記載されています。 - EU 標準契約条項の添付書類 III:
サブ処理者のリストは、本追加規約の追加条項 3 に記載されています。
9.3 Application of UK International Data Transfer Addendum. The UK International Data Transfer Addendum will apply to Customer Data transferred via Covered Services from the United Kingdom, either directly or via onward transfer, to any country not recognized by the competent United Kingdom regulatory authority or governmental body as providing an adequate level of protection for Customer Data. The UK International Data Transfer Addendum will not apply to Customer Data that is not transferred, either directly or via onward transfer, outside the United Kingdom. Notwithstanding the foregoing, the UK International Data Transfer Addendum will not apply where the data is transferred in accordance with a recognized compliance standard for the lawful transfer of Customer Data outside the United Kingdom, such as when necessary for the performance of Covered Services pursuant to the Terms of Service or with your consent.
- 英国国際データ移転補遺の対象となる英国からのデータ移転については、英国国際データ転送補遺は締結されたと見なされ (この参照により本追加規約に組み込まれ)、以下のように完了したものとみなされます:
- 英国国際データ移転補遺の表 1 については、当事者の詳細および主要な連絡先情報は、本追加規約のセクション 9.2 (i) (f) に記載されています。
- 英国国際データ移転補遺の表 2 については、この英国国際データ移転補遺が追加される EU 標準契約条項のバージョン、モジュールおよび選択された条項に関する情報が、本追加規約のセクション 9.2 (EU 標準契約条項) に記載されています。
- 英国国際データ移転補遺の表 3:
- 当事者のリストは、本追加規約のセクション 9.2 (i)(f) に記載されています。
- 移転の説明は、本追加規約の追加条項 1 (処理の詳細) のセクション 1 (処理の性質と目的) に記載されています。
- 添付書類 II は、本追加規約の追加条項 2 (セキュリティ基準) にあります
- サブ処理者のリストは、本追加規約の追加条項 3 にあります。
- 英国国際データ移転補遺の表 4 については、インポーターおよびエクスポーターの双方が、英国国際データ移転補遺の条件に従って、英国国際データ移転補遺を終了させることができることが記載されています。
本追加規約はサービス規約に従った弊社のデータ処理が終了する時 (「解約日」) まで有効となります。
11.顧客データの返却または削除対象サービスに記載されている通り、お客様は顧客データを取得したり削除したりすることができます。顧客データの削除は、特定の対象サービスの条件に従い、終了日から 30 日後に行われます。お客様は、終了日以降も保持することを希望する顧客データを終了日前にエクスポートするのは、お客様の責任であることを認めるものとします。
12.責任の制限本追加規約における各当事者の責任には、サービス規約に定められている例外および制限が適用されます。お客様は、お客様が本追加規約および適用されるデータ保護法に基づく義務を遵守しなかった結果として、またはこれに関連して発生した GoDaddy が負う顧客データ関連の法的処分が、サービス規約におけるお客様への賠償責任と同様に、サービス規約における GoDaddy の賠償責任に計算されそれを低減させることに同意するものとします。
13.サービス規約全体、論争本追加規約は、書面上または口頭にかかわらず、個人データの処理および当該データの移動に関する GoDaddy とお客様との間で締結されたデータ処理に関する条項を含む本追加規約紙の内容に関して、お客様と GoDaddy の間の、事前のまたは同時に存在するすべての表明、理解、合意、通信よりも優先され、それらを置き換えます。 EU 標準契約条項または英国国際データ移転補遺と、本追加規約またはサービス規約の他の条項との間に矛盾または不一致がある場合、EU 標準契約条項または英国国際データ移転補遺の規定 (該当する場合) が優先されるものとします。本追加規約により改定された部分を除き、サービス規約は引き続き完全に効力を有します。 サービス規約と本追加規約の間に矛盾がある場合、本追加規約の条項が優先されます。
追加条項 1
処理の詳細
1.処理の性質と目的。GoDaddy は、サービス利用規約に基づき対象サービスを実行するために必要な範囲で、また対象サービスの使用中にお客様から指示された範囲で、顧客データを処理します。
2.処理時間本別紙のセクション 10 および 11 に従い、GoDaddy はサービス利用規約の有効期間中に顧客データを処理します。上記にかかわらず、GoDaddy は、適用されるデータ保護法を含む適用法または規制により要求される場合、本別紙の条件および適用されるデータ保護法に従って当該顧客データが保護され続けることを条件に、顧客データまたはその一部を保持する場合があります。
3.データ主体のカテゴリ:顧客は対象サービスのご利用中に個人データをアップロードでき、ご提供いただくデータの範囲は顧客の独自の裁量で決定しコントロールで木、次のカテゴリのデータ主体に関連した個人データが含まれますが、これらに限られるものではありません。
- 見込み客、顧客、事業パートナー、顧客のベンダー (自然人)
- 顧客の見込み客、顧客、事業パートナー、ベンダー の従業員または連絡先
- (自然人である) 顧客の従業員、代理人、アドバイザー、フリーランサー
- 顧客のユーザーとは、顧客に承認された対象サービスを利用するユーザーを指します。
4.個人データのカテゴリーお客様は、対象サービスを使用する過程で、個人データをアップロードすることがありますが、その種類および範囲は、お客様が独自の裁量で決定および管理できます。これには、データ主体の以下のカテゴリーの個人データを含む場合がありますが、これに限定されません。
- 名前
- 住所
- 電話番号
- 生年月日
- メールアドレス
- 個人を直接または間接的に特定可能な他の収集データ
5.機密データまたは特別なカテゴリーのデータ。お客様は、対象サービスの使用中に機密データをアップロードすることがあり、その種類と範囲は、お客様が独自の裁量で決定および管理します。お客様には、対象サービスを介して機密データを送信または処理する前に、データの性質および関連するリスクを十分に考慮した制限または保護措置を適用する責任があります。
追加条項 2
セキュリティ基準
I. 技術的および組織的措置
弊社はお客様の情報の保護に努めております。 弊社はベストプラクティス、導入コスト、処理の性質、規模、状況、目的、自然人の権利や自由に対するリスクの可能性および深刻度を考慮し、次の技術的および組織的措置を取ります。 措置を選択する際に、システムの機密保持性、完全性、稼働率、回復力が考慮されます。
II. データプライバシープログラム
弊社のデータプライバシープログラムは、国際データガバナンスストラクチャを維持し、ライフサイクルを通して情報の安全を守るために開発されました。このプログラムは、プライバシープラクティスやセキュリティ対策の導入を監督するデータ保護チームにより実施されています。 弊社はデータプライバシープログラム及びセキュリティ基準の効果を定期的にテストし評価しています。
1.機密保持:「機密保持とは、個人データが不正な開示から保護されていることを意味します」
弊社は顧客の個人データの機密保持のため、さまざまな物理的及び論理的措置を取っています。これらの措置には次のものがあります。
物理的セキュリティ
- 導入されている物理的なアクセスコントロールシステム (バッジアクセスコントロール、セキュリティイベントモニタリングなど)
- アラームや適切な場合は CCTV モニタリングを含む監視システム
- クリーンデスクポリシー及びコントロール (退席中のコンピューターのロック、キャビネットのロックなど)
- 訪問者のアクセス管理
- 物理的メディア及び書類のデータの破壊 (シュレッダー、消磁など)
アクセスコントロール及び不正アクセスの防止
- 適用されるユーザーアクセス制限、 及び職務分掌の原理に基づき提供・審査されるロールによるアクセスパーミッション
- 強力な認証及び承認手段 (複数段階認証、証明書による認証、自動無効化・ログオフなど)
- 中央パスワード管理及び強力かつ複雑なパスワードポリシー (最短文字数、文字の複雑性、パスワードの期限など)
- メール及びインターネットへのアクセス制御
- アンチウィルス管理
- 侵入防止システム管理
暗号化
- 強力な暗号プロトコルによる外部および内部通信の暗号化
- 保存されている個人データと機密データ (データベース、共有ディレクトリなど) の暗号化
- 企業の PC およびノートパソコン用の完全なディスク暗号化
- ストレージメディアの暗号化
- 企業ネットワークへの遠隔接続は VPN で暗号化されています
- 暗号キーのライフサイクルの安全確保
データ移行
- アプリケーション、デバッグ、セキュリティログの PII/SPI 最少化
- 個人の直接の特定を防止するための個人データの偽名化
- 機能 (テスト、ステージング、ライブ) ごとの保管データの分離
- ロールベースのアクセス権ごとのデータの論理的分離
- 個人データの定義済みデータ保持期間
セキュリティ試験
- 重要な企業ネットワーク及び個人データをホスティングしているプラットフォームの侵入試験
- 定期的なネットワーク及び脆弱性スキャン
2.完全性:「完全性とは、データが正しいこと (完全であること)、及びシステムが機能することを指します」完全性という言葉が「データ」という言葉に関連して使用された場合、データが完全なものであり変更されていないことを意味します」
個人データの完全性を維持するため、アクセスコントロールに加え、次のような適切な変更及び記録管理コントロールが行われています。
変更とリリースの管理
- (影響分析、承認、テスト、セキュリティレビュー、ステージング、モニタリングなどを含む変更及びリリース管理プロセス)
- ロールと本番環境への役割に基づく (職務分掌) アクセス提供
ログ記録とモニタリング
- アクセスの記録及びデータへの変更
- 中央監査及びセキュリティログ
- データ転送の完全性及び正確性のモニタリング (エンドツーエンドチェック)
3.可用性:「サービス及び IT システム、IT アプリケーション、IT ネットワーク機能、及び情報の利用可能性は、ユーザーが常に思い通り利用できる場合に保証されています」
弊社はサービス及びサービス内のデータが常に利用できるよう、適切な継続性及びセキュリティ措置を導入しています。
- 重要なサービスに適用される定期的なフェールオーバーテスト
- クリティカルシステムのパフォーマンス・利用可能性の徹底したモニタリング及び報告
- インシデント対応プログラム
- 重要なデータの複製またはバックアップ (クラウドバックアップ/ハードディスク/データベース複製など)
- 実施されるソフトウェア、インフラストラクチャ、セキュリティの計画メンテナンス (ソフトウェアアップデート、セキュリティパッチなど)
- オフサイトまたは別の場所に設置されている冗長性と回復力に優れたシステム (サーバークラスター、ミラー DB、高稼働性のセットアップなど)
- 無停電電源、障害に対する冗長性を備えたハードウェア及びネットワークシステムの使用
- 配置済みの警報、セキュリティシステム
- 重要な場所における配置済みの物理的保護措置 (サージ保護、上げ床、冷却システム、煙探知、消火システムなど)
- 可用性を維持するための DDOS 対策
- 読み込み及び負荷試験
4. データ処理の指示「データ処理の指示とは、個人データがデータ管理者の指示および関連企業の措置に基づいてのみ処理されることを保証することを指します」
当社では、お客様のご希望や指示に従って個人データが処理されるように、社内プライバシーポリシーや契約書を定め、従業員に対して定期的にプライバシートレーニングを実施しています。
- 従業員契約に含まれるプライバシーおよび機密保持に関する規約
- 従業員を対象としたデータプライバシーおよびセキュリティに関する定期的なトレーニング
- 指揮監督権を維持するための下請け業者との契約に対する適切な契約条項
- 外部サービスプロバイダーの定期的なプライバシーチェック
- お客様がデータ処理の設定を完全にコントロールできるようにする
- 定期的なセキュリティ監査
追加条項 3 - GoDaddy のサブ処理者