すべてのシステムが稼働中
SOC 2
認証済み
GDPR
準拠
Botpress データ処理契約(DPA)
本DPAは、Botpressグループの利用規約で特定された当該Botpressグループの事業体とお客様との契約に付随し、その不可分な一部を構成します。本DPAは、参照により当該契約に組み込まれた時点で効力を持ちます。
1. 定義
1.a 本書で定義されていない大文字表記の用語は、契約書で定められた意味を持ちます。
1.b 本DPAにおいて:
(a) 「契約」は、利用規約で定められた意味を持ちます。
(b) 「Botpressグループ」とは、Botpressおよびその関連会社を指します。
(c) 「カリフォルニア個人情報」とは、CCPAの保護対象となる個人データを指します。
(d) 「カナダのデータ保護法」とは、Personal Information Protection and Electronic Documents Act, SC 2000, c 5およびAct respecting the protection of personal information in the private sector, CQLR c P-39.1(改正、廃止、または置換される場合を含む)を指します。
(e) 「CCPA」とは、カリフォルニア民法第1798.100条以下(2018年カリフォルニア消費者プライバシー法としても知られる)を指します。
(f) 「消費者」、「事業者」、「販売」、「サービスプロバイダー」は、CCPAで定められた意味を持ちます。
(g) 「管理者」とは、単独または他者と共同で個人データの処理目的および手段を決定する者を指します。
(h) 「データ保護法」とは、本DPAの当事者に適用される全世界のデータ保護およびプライバシーに関する法令(欧州データ保護法、カナダのデータ保護法、CCPAを含み、随時改正、廃止、統合、または置換される場合を含む)を指します。
(i) 「データ主体」とは、個人データが関連する個人を指します。
(j) 「ヨーロッパ」とは、欧州連合、欧州経済領域およびその加盟国、スイス、イギリスを指します。
(k) 「欧州データ保護法」とは、ヨーロッパで適用されるデータ保護法(改正、廃止、または置換される場合を含む)を指します。
(l) 「欧州データ」とは、欧州データ保護法の保護対象となる個人データを指します。
(m) 「許可された関連会社」とは、(i)契約に基づきソフトウェアサービスの利用が認められている、(ii)Botpressが処理する個人データの管理者である、(iii)欧州データ保護法の適用を受ける顧客の関連会社を指します。
(n) 「者」は広く解釈され、個人、法人、有限責任会社、有限責任組合、会社、協会、パートナーシップ、信託または遺産、ジョイントベンチャー、政府機関またはその政治的下部組織、その他の団体を含みます。
(o) 「個人データ」とは、識別されたまたは識別可能な個人に関するあらゆる情報を指します。
(p) 「処理」または「処理する」とは、プロセッサーが個人データに対して行う一連の操作または操作(自動手段によるか否かを問わない)を指します。
(q) 「プロセッサー」とは、管理者のために個人データを処理する者を指します。
(r) 「規制当局」とは、必要に応じて、サービスの提供または受領に関連して個人データの処理全体または一部に対して規制、監督、または政府権限を有する者または法執行機関その他の機関(法定スキームか否かを問わない)を指し、欧州のデータ保護監督当局を含みますがこれに限りません。
(s) 「セキュリティ侵害」とは、Botpressおよび/またはサブプロセッサーがサービス提供に関連して送信、保存、その他の方法で処理する個人データの偶発的または違法な破壊、紛失、改ざん、不正な開示またはアクセスにつながるセキュリティ違反を指します。ただし、個人データのセキュリティを損なわない事象(ログイン失敗、ping、ポートスキャン、サービス拒否攻撃、ファイアウォールやネットワークシステムへのその他のネットワーク攻撃など)は含みません。
(t) 「サービス」とは、Botpressグループのいずれかの事業体が顧客またはその関連会社に提供するソフトウェアサービスまたはプロフェッショナルサービスを指します。
(u) 「標準契約条項」とは、欧州委員会決定(EU)2021/914(2021年6月4日付)に添付された標準契約条項(改正、廃止、または置換される場合を含む)を指します。
(v) 「サブプロセッサー」とは、BotpressまたはBotpress関連会社が、契約に基づくサービス提供に関するBotpressの義務を遂行するために関与するプロセッサーを指します。サブプロセッサーには第三者またはBotpress関連会社が含まれる場合がありますが、Botpressに雇用または契約された個人は含みません。
(w) 「第三国」とは、(i)欧州委員会により個人データの十分な保護水準が認められていない法域または受領者、(ii)関連当局または裁判所により十分な保護水準が認められている枠組みに該当しない法域または受領者を指します。
(x) 「利用データ」とは、ソフトウェアの認可ユーザーによる利用に関するデータで、個々のユーザーの識別が必要な場合には個人データを含むことがありますが、会話データは含みません。利用データには顧客の従業員や契約者に関する個人データが含まれる場合がありますが、顧客のBotとやり取りするエンドユーザーに関するものは含みません。
2. 当事者の役割
2.a サービスを通じて会話データを処理する際、当事者は顧客が管理者、Botpressがプロセッサーとして行動することを認め、同意します。
2.b 顧客が管理者のためにプロセッサーとして行動する場合、Botpressは顧客のサブプロセッサーとみなされます。
2.c Botpressは利用データに関しては管理者となります。
3. データ保護法の遵守
3.a 各当事者は、適用されるすべてのデータ保護法を遵守して個人データの処理を行うものとします。
3.b Botpressは、Botpressに一般的に適用されない顧客または顧客の業界に特有のデータ保護法の遵守について責任を負いません。
3.c Botpressが、適用法令上の要件により顧客の指示に従って個人データを処理できないことを認識した場合、(i)適用法令で許される範囲で速やかに顧客にその法的要件を通知し、(ii)必要に応じて、顧客が適用法に準拠した新たな指示を出すまで、すべての処理(該当個人データの単なる保存およびセキュリティ維持を除く)を停止します。本条が適用される場合、Botpressは、顧客の指示が合法であると合理的に判断するまで、該当するソフトウェアサービスまたはプロフェッショナルサービスの不履行について顧客に責任を負いません。
4. Botpressの義務
4.a Botpressは、本DPAで記載された目的、または顧客から受けた合法的な指示の範囲内で合意された目的のためにのみ個人データを処理します。ただし、適用法で別途要求される場合を除きます。
4.b Botpressは、個人データをセキュリティインシデントから保護するため、適切な技術的および組織的措置(本DPAのスケジュール2「セキュリティ対策」に記載)を実施し、維持します。Botpressは、これらのセキュリティ対策の保護水準が実質的に低下しない限り、独自の裁量でこれらの対策を変更または更新することができます。
4.c Botpressは、個人データを顧客の機密情報として取り扱い、個人データへのアクセスまたは処理を許可された従業員または契約者が、その個人データに関して適切な機密保持義務(契約上または法定上)を負うことを保証します。
4.d Botpressは、本契約の終了または満了時に、本DPAに基づき処理されたすべての個人データを削除または返却します。ただし、適用法により保存が義務付けられている場合や、個人データがバックアップシステムにアーカイブされている場合には、Botpressはそのコピーを保持することができます。その場合、データは安全に隔離され、さらなる処理から保護され、適用される削除手順に従って削除されます。
5. お客様の義務
5.a お客様は、ソフトウェアサービスまたはソフトウェアの利用が、すべての適用されるデータ保護法に準拠していることを確実にする責任を負います。これには、(i) 本DPAに従いBotpressに個人データの処理を委託する権限があること、(ii) 本契約(本DPAを含む)の条件に従い、個人データをBotpressに転送またはアクセスさせる権利があること、(iii) 個人データの処理に関するお客様の指示が、適用法およびデータ保護法に準拠していることの確保が含まれます。
5.b お客様は、個人データの処理がお客様によってサービスを通じて行われる場合に、適用法やデータ保護法に違反している、またはその可能性があると認識した場合や通知を受けた場合には、速やかに書面でBotpressに通知するものとします。
5.c お客様は、Botpressが実施するセキュリティ対策が、適用されるデータ保護法に基づくお客様の義務を十分に満たしているかどうかを判断する責任を負います。また、お客様は、ソフトウェアサービスへのアクセスが安全に管理され、認可された担当者のみに限定されていることを確保する責任も負います。
6. セキュリティ侵害
6.a Botpressは、セキュリティ侵害を認識した場合、速やかにお客様に通知し、判明した情報やお客様から合理的に求められた情報を適時提供します。
6.b 要請があった場合、Botpressは、データ保護法に基づき必要な場合に、お客様が規制当局や影響を受けたデータ主体にセキュリティ侵害を通知できるよう、合理的な支援を速やかに提供します。
7. サブプロセッサー
7.a Botpressは、個人データの処理のためにサブプロセッサーを利用することがあります。現在のサブプロセッサーはスケジュール3に記載されており、サブプロセッサーの変更があった場合はお客様に通知されます。
7.b Botpressは、本DPA(必要に応じて標準契約条項を含む)で定められた個人データ保護水準と同等以上の保護を提供することを約束するサブプロセッサーを選定します。Botpressは、各サブプロセッサーが本DPAの義務を遵守すること、ならびにサブプロセッサーの行為または不作為によりBotpressの本DPA上の義務違反が生じた場合の責任を負います。
7.c Botpressが欧州データをお客様のために処理する場合、お客様はデータ保護上の合理的な理由に基づき新たなサブプロセッサーに異議を唱えることができます。異議が通知された場合、Botpressは商業的に合理的な解決策を誠意をもって協議します。解決に至らない場合、Botpressは新たなサブプロセッサーの任命を見送るか、またはお客様が該当サブプロセッサーに依存するソフトウェアサービス部分の契約を責任なく解約できるものとします(ただし、解約前に発生した料金は除く)。
7.d 法令または標準契約条項により必要な場合、Botpressはサブプロセッサーとの契約に関する必要な情報を合理的な範囲でお客様に提供します。お客様は、これらの契約の一部情報が編集されたり、機密扱いで提供される場合があることに同意します。
8. 個人データの移転
8.a Botpressグループの各法人による欧州データ以外の個人データの処理は、プライバシー管轄区域の適用法で許可されている任意の法域で行われます。
8.b 欧州データの処理は、以下のいずれかに限定されます:
a) 欧州域内;
b) 欧州委員会の決定に基づき、適切な保護水準が認められた法域;
c) 標準契約条項等の適切な保護措置を提供する組織または法人による、いずれかの法域;
d) お客様または該当するデータ主体の書面による同意がある法域。
8.c 欧州データの処理が第三国で行われる場合、当事者は該当する個人データおよび処理に関してのみ標準契約条項を締結したものとみなします。当事者は、標準契約条項に関して以下に合意します:
a) お客様が管理者(コントローラー)、Botpressが処理者(プロセッサー)の場合、モジュール2(コントローラーからプロセッサー)が適用されます。
b) お客様がプロセッサー、Botpressがサブプロセッサーの場合、モジュール3(プロセッサーからプロセッサー)が適用されます。
c) 利用データに関しては、モジュール1(コントローラーからコントローラー)が適用されます。
d) 標準契約条項の第7条の任意ドッキング条項は適用されません。
e) 標準契約条項の第9条ではオプション2が適用され、サブプロセッサー変更の事前書面通知期間は10日間とします。
f) 標準契約条項の第11条の任意文言は適用されません。
g) 第17条(オプション1)では、標準契約条項はアイルランド法に準拠します。
h) 第18条(b)では、紛争はアイルランドの裁判所で解決されます。
i) Botpressが「データ輸入者」、お客様が「データ輸出者」(自身および許可された関連会社を代表して)となります。
j) 本DPAのスケジュール1およびスケジュール2に記載された関連情報は、標準契約条項の付属書に含まれるものとみなします。
k) 標準契約条項が本DPAのいずれかの条項と矛盾する場合、当該矛盾の範囲で標準契約条項が優先されます。
8.d スイスおよび英国への移転。お客様とBotpressおよび/またはサブプロセッサー間の個人データ移転がスイスまたは英国のデータ保護法の適用を受ける場合、標準契約条項は、該当するスイスおよび英国のデータ保護法の要件(法令、適用法、管轄当局および裁判所への言及を含む)を反映するよう修正されたものとみなします。
9. CCPAに基づく処理
9.a お客様の指示に従いカリフォルニア個人情報を処理する場合、当事者はお客様がCCPA上の「事業者(Business)」、Botpressが「サービスプロバイダー(Service Provider)」であることを認識し、同意します。当事者は、Botpressが本契約に基づくソフトウェアサービスおよびプロフェッショナルサービスの提供(「事業目的」)のため、またはCCPAで認められる範囲でのみ、サービスプロバイダーとしてカリフォルニア個人情報を処理することに合意します。
10. 第三者からの要請
10.a お客様は、データ主体または規制当局からの個人データに関する要請に対応する責任を負い、個人データ処理に関する関連情報を取得するために利用可能なソフトウェアサービスの機能を利用するものとします。
10.b お客様がデータ主体または規制当局からの要請(「要請」)に独自に対応できない場合、Botpressは本契約に基づく個人データの処理に関連する要請への対応のため、お客様に合理的な支援を提供します。ただし、Botpressが本DPA上の義務を遵守しなかったことに起因する場合を除き、支援にかかる合理的な費用はお客様がBotpressに補償するものとします。
10.c 本契約に基づく個人データの処理に関する要請やその他の連絡がBotpressに直接なされた場合、Botpressは速やかにお客様に通知し、データ主体または規制当局に対して要請をお客様に直接提出するよう助言します。お客様は、個人データに関するこれらの要請や連絡に実質的に対応する唯一の責任を負います。
11. 個人データに関する監査
11.a 顧客の要請と合理的な通知に基づき、顧客は自己負担で、Botpressが顧客のために処理する個人データが顧客の指示に従って処理されていることを確認するために必要な検証を行うことができます。顧客の要請があれば、BotpressはBotpressによる処理の監査および検査を許可します。この監査は、顧客自身または顧客が選定しBotpressが合理的に承認した第三者(顧客の代理として行動)が実施することができます。顧客は、Botpressグループの施設、設備、従業員および事業に損害や妨害を与えないよう、必要な措置をすべて講じるものとします。
11.b 顧客とBotpressは、顧客による監査の性質、範囲および期間について事前に合意し、顧客はその監査に関連する合理的な費用をすべてBotpressに返済するものとします(監査開始前に顧客の要請により見積もり可能)。可能な限り、顧客による監査要件は、Botpressが提供する第三者監査報告書によって満たされるものとします(該当する場合)。
11.c Botpressが顧客のために欧州データを処理する場合、Botpressは合理的な要請に応じて、(機密扱いで)(i) セキュリティテスト報告書の要約版および (ii) 本DPAの遵守を確認するために顧客が合理的に求める情報への書面による回答を顧客に提供します。ただし、顧客がBotpressのDPA違反の合理的な疑いを示せない限り、この権利の行使は暦年ごとに1回を超えないものとします。
12.責任の制限
12.a Botpressおよびその関連会社の責任は、本DPA(および両当事者間の他のDPA)、標準契約条項(該当する場合)に起因または関連して発生する一切の責任について、契約、不法行為、その他いかなる責任理論に基づく場合でも、責任発生前12か月間に顧客がBotpressに支払ったサービス対価の総額を上限とします。
13.管轄
適用されるデータ保護法により別段の定めがない限り、本DPAは契約に適用される法律に従って解釈され、契約に関する紛争は提案書に記載された管轄裁判所で解決されます。
データ保護法により本DPAが欧州連合加盟国の法律に準拠することが求められる場合、本DPAはアイルランド法に準拠し、本契約に関する紛争はアイルランドの裁判所で解決されます。
14.一般条項
14.a 優先順位。 本DPAの規定と契約の他の規定に矛盾がある場合、他の規定が優先する旨または本DPAの規定を除外・修正する旨が明示的に規定されていない限り、常に本DPAの規定が優先されます。
14.b 改定。 Botpressは、データ処理実務の変更を反映するために本DPAを改定することがあります。言語の明確化を除く(その場合は顧客に随時通知)、その他の改定は顧客に提示され、顧客が承諾しない限り適用されません。適用法により本DPAの修正が必要な場合、顧客はその修正を承諾するか、ソフトウェアサービスの契約を終了するかを選択できます。
14.c 分離可能性。 本DPAのいずれかの条項が無効または執行不能と判断された場合でも、本DPAの他の条項の有効性および執行可能性には影響しません。
付属書1 – 処理の詳細
管理者の特定
顧客
連絡先:顧客が承諾した提案書に記載された担当者
処理者の特定
顧客がカナダに所在する場合:Technologies Botpress Inc.、それ以外の場合:Botpress, Inc.
連絡先:
Jean-Bernard Perron [email protected]
データ主体のカテゴリ
顧客は、ソフトウェアサービスの利用過程で、適用される利用規約に従い、かつ顧客の単独の裁量で決定・管理する範囲で、以下のデータ主体カテゴリに関連する個人データを含むがこれに限られない個人データを提出することがあります:
個人データのカテゴリ
顧客は、ソフトウェアサービスに個人データを提出したり、エンドユーザーが個人データをソフトウェアサービスに提出することを許可したりすることができます。その範囲は、適用される利用規約に従い、顧客の単独の裁量で決定・管理されます。
ソフトウェアサービスは機微なデータの処理を目的として設計されていないため、機微なデータの処理の適合性については顧客が判断する責任を負います。
Botpressは、認可ユーザーの連絡先情報(氏名、メールアドレス、電話番号)および製品利用に関する利用・行動データを、技術サポートおよび統計目的で処理します。
処理の性質
個人データの保存期間
Botpressがデータを削除または顧客に返却する義務を負う場合を除き、契約期間中、Botpressは個人データを処理します。書面による別段の合意がある場合を除きます。
スケジュール2 – セキュリティ対策
1. ガバナンス
Botpressは、個人データに関する適切な方針および手順を実施しています。
2. ユーザーアクセス
3. アクセス制御
Botpressは、個人データを保存するサーバー、関連データベース、その他のハードウェアおよび/またはソフトウェアコンポーネントを、認可された担当者のみが入室できるようアクセス制御・監視された安全なデータセンターで管理しています。
Botpressは、個人データの作成、送信、処理に使用されるすべてのシステムに対して効果的な論理アクセス制御措置を講じており、これには以下が含まれますが、これらに限定されません:
4. ネットワークセキュリティアーキテクチャ
Botpressは、個人データの作成、送信、処理に使用されるすべてのシステムに対して、効果的なネットワークアクセス制御措置を実施しています。これには以下が含まれますが、これらに限定されません。
5. 脆弱性管理対策
Botpressは、個人データの作成、送信、処理に使用されるすべてのシステムに対して、効果的な脆弱性管理対策を実施しています。これには以下が含まれますが、これらに限定されません。
6. データのバックアップ、復旧および可用性
Botpressは、最大ダウンタイムおよびデータ損失を最小限に抑えるため、以下の災害復旧および事業継続計画を実施しています。
7. セキュリティ監査
Botpressは、個人データの作成、送信、処理に使用されるすべてのシステムに対して、以下を含む管理策を実施していますが、これらに限定されません。
8. トレーニングおよび意識向上
Botpressは、個人データを取り扱うシステムに関与する従業員およびサービスプロバイダー向けに、セキュリティ意識向上プログラムを実施しています。これには以下が含まれます:
別紙3 – サブプロセッサー
Botpressは、Trust Centerでサブプロセッサーの最新リストを管理しています。特に記載がない限り、すべてのデータは米国で処理されます。
