最終更新日:2023年7月7日

1. 導入と適用範囲

  1. 本データ処理に関する補足書(「本DPA」)は、サービス利用規約(「本規約」)の補遺であり、本契約(「規約」で定義される)の一部です。責任の制限を含む本規約の全条項は、本DPAに適用され、本DPAに組み込まれます。本DPAの規定と本規約の規定との間に矛盾がある場合は、本DPAの規定が優先するものとします。
  2. 本DPAの更新:当社は、当社の単独の裁量により、いつでも本DPAを変更することができます。当社は、本DPAの重要な変更について、会社所有者(以下に定義)に電子メールで通知します。また、当社は、当該変更の通知をMyKinstaに掲載することがあります。当社が会社所有者に電子メールで通知した後、お客様が30日以上当社のサービスを継続して利用した場合、お客様は、当社による本DPAの変更を承諾したものとみなされます。お客様が本DPAの変更に同意しない場合、お客様は、本規約の第9条に従って、お客様のアカウントおよび本契約を終了することができます。

2. 定義

本DPAで定義されていない用語は、本規約の他の箇所で規定されている意味を持つものとします。また、以下の用語は、本DPAに関してのみ適用されます。

  1. 管理者」、「事業者」、「処理者」、「サービス提供者」、「データ主体」(「お客様」を含む)、「処理」、「個人データ」(「個人情報」を含む)、および「販売」(CCPAにおける「共有」を含む)(およびこれらの用語の類似語または関連語)は、適用されるデータ保護法において付与される意味を有するものとします。
  2. お客様個人データ」とは、Kinstaの本サービスの提供に関連してカスタマーアプリケーションにより、またはカスタマーアプリケーションを通じて送信、保存、またはその他の方法で処理される個人データを指します。
  3. 個人データ侵害」とは、お客様個人データの偶発的または無許可の破壊、紛失、改ざん、開示またはそれに対するアクセスを意味します。なお、ログインの試み、ping、ポートスキャン、サービス拒否攻撃、ファイアウォールまたはネットワーク化されたシステムに対するその他のネットワーク攻撃等(これらに限定されない)、お客様個人データのセキュリティまたは完全性を損なわない、失敗した試みまたは行為は除かれます。
  4. EUデータ保護法」とは、2016年4月27日の欧州議会および理事会のEU一般データ保護規則2016/679(「GDPR」)、各加盟国の国内法によって実施および補足される、英国データ保護法2018および英国GDPR、ならびにスイスデータ保護法を意味し、いずれの場合も、適宜、改正、置き換え、または優先されるものとします。
  5. 米国データ保護法」とは、カリフォルニア州消費者プライバシー法(カリフォルニア州プライバシー権法によって改正されたもの)(以下、総称して「CCPA」)、コロラド州プライバシー法、コネチカット州個人データプライバシーおよびオンライン監視法、インディアナ州消費者データ保護法、アイオワ州消費者データ保護法、モンタナ州消費者データプライバシー法、テネシー州情報保護法、バージニア州消費者データ保護法、ユタ州消費者プライバシー法を意味し、いずれの場合も、適宜、改正、置き換え、または優先されるものとします。
  6. データ保護法」とは、お客様個人データのKinstaによる処理に適用されるEUデータ保護法及び米国データ保護法を含む、お客様個人データのプライバシー、完全性及びセキュリティに関する法令を指します。
  7. 国際移転」とは、以下のデータの移転を指すものとします。
    1. データ:お客様個人データ
    2. 管轄:EUデータ保護法のいずれかによる支配を受ける
    3. 移転先:欧州経済地域(「EEA」)、グレートブリテン及び北アイルランド連合王国(「英国」)、スイス以外の第三国
    4. 国際移転先の詳細:欧州委員会、英国、またはスイスによって適切なレベルの保護が確保されていると指定されていない国
  8. SCC」とは、欧州議会および理事会規則(EU)2016/679に基づき、個人データの第三国への移転に関する標準契約条項について2021年6月4日の欧州委員会実施決定(EU)2021/914により採択された標準契約条項を意味します。
  9. 英国補遺」とは、英国個人情報保護監督機関が発行したEU委員会標準契約条項の国際データ移転追加条項、VERSION B1.0(2022年3月21日発効)を意味します。

3. 役割、一般的義務、CCPA条項

  1. お客様は、お客様個人データに関する管理者及び事業者であり、Kinstaは処理者及びサービス提供者です。Kinstaは、データ保護法を遵守する必要がある場合を除き、本契約の規定を含むお客様の文書化された指示に従い、本サービスを提供する目的でのみお客様個人データを処理するものとします。お客様の指示がデータ保護法に違反する場合、当社はお客様に通知します。処理の性質、目的及び期間はSCC附属書Iに規定されています。
  2. Kinstaは、以下を行わないことを証明し、理解し、同意するものとします。
    1. お客様個人データの販売
    2. CCPAにより明示的に許可されている場合を除き、本契約に基づく本サービスの特定の目的以外の目的(営利目的を含む)のためにお客様個人データを保持、使用または開示すること
    3. CCPAにより明示的に許可されている場合を除き、お客様とKinstaとの間の直接的な取引関係以外の目的でお客様個人データを保持、使用または開示すること
  3. お客様及びKinstaは、データ保護法を遵守するものとします。お客様は、お客様個人データに関して必要な承認、同意、解除または許可を取得し、必要なプライバシーの通知をすべて提供するものとします。疑義を避けるため、本DPAに別段の定めがある場合を除き、お客様は、すべてのお客様個人データの正確性、品質及び適法性並びにデータ主体から収集される根拠について単独で責任を負うものとします。

4. セキュリティ及び影響評価

  1. Kinstaは、その従業員がお客様個人データに関して拘束力のある守秘義務を負うことを保証するものとします。
  2. データ主体の権利及び自由に対する様々な可能性及び重大性のリスクだけでなく、最新技術、実施コスト、処理の性質、範囲、文脈及び目的を考慮し、Kinstaは、SCC附属書IIに定める措置を含め、リスクに見合ったセキュリティレベルを確保すべく適切な技術的及び組織的措置を実施するものとします。
  3. 処理の性質及びKinstaが利用可能な情報を考慮し、Kinstaはセキュリティ、影響評価及び監督当局又は規制当局との協議に関して、データ保護法に基づくお客様の義務の遵守を確保するためにお客様を支援するものとします。

5. 個人データ侵害

  1. 処理の性質及びKinstaが入手可能な情報を考慮して、Kinstaは、個人データ侵害に関してデータ保護法に基づくお客様の義務の遵守を確保するためにお客様を支援するものとします。
  2. 個人データ侵害を発見した場合、Kinstaは、過度な遅滞なく、アカウント関連の日常的な連絡のために確立された手段を用いて、会社所有者を含むお客様の技術的な連絡先及びアカウントの連絡先に書面による通知を行うものとします。
  3. 当社の通知には、その時点で判明している範囲で以下の事項を含めるものとします(追加情報が合理的に入手可能になった場合は更新)。
    1. 個人データ侵害の日時
    2. 個人データ侵害の発見、または個人データ侵害の疑いに関する調査開始の決定(該当する場合)の根拠となった基本的な事実
    3. 個人データ侵害に関連した顧客個人データの説明(具体的に、またはデータカテゴリーを参照するかたちで)
    4. 個人データ侵害の原因となった脆弱性を是正または軽減するために計画または実施中の措置

6. データ主体の要求

  1. 処理の性質を考慮し、Kinstaは、データ保護法に基づくデータ主体の権利行使の要請に応じるお客様の義務の履行について、可能な限り、適切な技術的及び組織的措置によりお客様を支援するものとします。
  2. Kinstaは、データ主体からお客様個人データに関する権利行使の要請を受けた場合、適用法により禁止されている場合を除き、速やかにお客様に通知します。当社は、適用法令により要求される場合を除き、お客様の事前の書面による指示なしに、データ主体からの要求に応じて独自に行動を起こすことはありません。

7. データセンターおよび国際移転

  1. お客様は、カスタマーアプリケーションをホストするGoogle Cloud Platform データセンターを選択します。お客様は、以下を認識し、同意し、理解するものとします。
    1. お客様個人データはすべて、お客様が選択したGoogleデータセンターに自動的に転送され、保存されます。
    2. お客様の選択に応じて、お客様個人データは、EEA、英国、またはスイスからGoogleデータセンターが所在する国に転送される場合があります。
  2. KinstaとGoogleは、クラウドデータ処理に関する補足書 (SCCを含む)に同意しています。詳細については「国際データ移転」セクションの国境を越えた移転に関するGoogleのコミットメント(https://cloud.google.com/security/gdpr/)を参照してください。
  3. お客様のデータセンターの選択にかかわらず、本サービスの特定の側面において国際移転が必要となる場合があります。お客様は、本サービスを提供することのみを目的として、お客様個人データの国際移転を許可するものとします。国際移転には、SCCの第2条(管理者から処理者)が適用されます。スイスからの国際移転の場合、両当事者は、スイス連邦データ保護および情報コミッショナーが要求するSCCのすべての修正および改正がSCCに組み込まれることに同意するものとします(以下、「スイス改正」)。英国からの国際移転の場合、当事者は英国補遺に同意するものとします。英国補遺表の情報は以下の通りです。表1:以下のSCC付属書Iを参照、表2:以下のセクション7.Dを参照、表3:以下のSCC付属書IおよびIIを参照(Kinstaの利用するサブプロセッサの一覧:https://kinsta.com/jp/legal/subprocessors/)表4:移転元および移転先は、そのセクション19に定めるとおり、UK補遺を終了することができる。
  4. SCC、スイス改正および英国補遺における任意の条項について、当事者は以下のとおり合意するものとします。
    1. 当事者は第7条に同意する
    2. 当事者は第9条(a)の選択肢2(OPTION 2)を選択する
    3. 当事者は、第11条(a)の各種任意条項に同意しない
    4. 当事者は第17条の選択肢1(OPTION 1)を選択し、加盟国はアイルランド、英国、スイスのいずれかとする
    5. 当事者は、第18条(b)の加盟国がアイルランド、英国、スイスのいずれかとなることに同意する
  5. SCC、スイス改正、および英国補遺(該当する場合)は、あらゆる国際的移転について、参照することにより本DPAに組み込まれるものとします。両当事者が本契約を受諾することにより、あらゆる国際的移転に関して、関連するSCC、スイス改正、および英国補遺を遵守することに両当事者がそれぞれ同意したものとみなされます。

8. サブプロセッサ

  1. Kinstaは、本サービスを提供する目的でお客様個人データを処理する第三者の下請業者(以下「サブプロセッサ」)を利用します。最新のサブプロセッサ一覧(以下「サブプロセッサ一覧」)は「https://kinsta.com/jp/legal/subprocessors/」に掲載しています。お客様は、本サービスを提供する目的でKinstaがこのサブプロセッサと契約することを承認するものとします。
  2. サブプロセッサを追加または交換する前に、Kinstaは、MyKinstaに記載されている企業の所有者の連絡先に当該変更について書面で通知するものとします。Kinstaが新たなサブプロセッサを通知してから14日以内に、お客様が新たなサブプロセッサに対して書面で異議を述べなかった場合、お客様が新たなサブプロセッサを承認したものとみなされます。
  3. Kinstaが自己の裁量により、お客様の適時のサブプロセッサに対する異議に合理的に対応することができないと判断した場合、Kinstaからの通知により、お客様は、利用規約の解約規定に従って本契約を解約することを選択でき、これがお客様の唯一かつ排他的な救済手段となるものとします。
  4. Kinstaは、書面による契約により、本DPAに定める義務と同一または同等の義務をサブプロセッサに課すものとします。Kinstaは、サブプロセッサがお客様個人データに関するデータ保護義務を履行することについて、お客様に対して責任を負うものとします。

9. 監査および検査

  1. 書面による秘密保持契約を条件として、Kinstaは、本DPAに定める義務の遵守を証明するために合理的に必要な情報をお客様に提供するものとします。
  2. 本DPAの遵守を評価及び検証するためにお客様が要求する監査は、(i) Kinstaに対する60日を下回らない合理的な事前の書面による通知、(ii) 書面による秘密保持契約並びにKinstaにより検討され事前に承認された詳細な書面による監査計画を条件に、(iii) 12ヶ月に1回に限定されるという制限のもと、 (vi) Kinstaの業務運営を不当に中断させることなく、Kinstaの代表者の仮想的(オンライン等)又は物理的な立会いのもとで実施することが可能になります。

10. お客様個人データの削除または返却

本契約が適切に終了した場合、及びお客様の書面による指示により、Kinstaは、適用される法律又はKinstaによるお客様個人データの継続的な保管を必要とするその他のKinstaの義務に従い、お客様個人データを削除するか、又はお客様個人データ及びそのコピーをお客様に返却する合理的な措置を講じるものとします。

SCC附属書I

A. 当事者一覧

データ移転元

氏名:お客様として特定される主体

住所:MyKinstaに記録されたお客様の住所、または本契約で別途指定された住所

名前、役職、および連絡先:お客様のアカウントに関連する企業所有者の連絡先情報、または本契約で別途指定されたもの

本条項に基づき移転されるデータに関する活動:Kinstaのホスティングプラットフォーム上でのカスタマーアプリケーションの操作

署名および日付:当事者は、該当する場合、本契約の受諾または締結が両当事者による本SCCの締結を構成することに同意する

役割:処理者

データ移転先

氏名:Kinsta Inc.
住所:8605 Santa Monica Blvd #92581, West Hollywood, CA 90069, USA
名前、役職、および連絡先:Kinstaデータプライバシー担当([email protected]または上記住所に郵送)

本条項に基づき移転されるデータに関する活動:サービスの提供
署名および日付: 当事者は、該当する場合、本契約の受諾または締結が両当事者による本SCCの締結を構成することに同意する

役割:処理者

B. 移転の説明

個人データが移転されるデータ主体の分類

カスタマーアプリケーションを訪問、使用、またはそれにアクセスする可能性のある個人、またはカスタマーアプリケーションを通じて個人データが送信、保存、またはその他の方法で処理される可能性のある個人。例えば、従業員およびその他のスタッフ、顧客およびクライアント(そのスタッフを含む)、ウェブサイトの訪問者またはエンドユーザー、サプライヤー(そのスタッフを含む)、上記の親族および関係者、アドバイザー、コンサルタントおよびその他の専門家、株主、会員、サポーター、学生および生徒。

移転される個人データの分類

お客様が、カスタマーアプリケーションを通じて送信、保存、またはその他の処理を行うことを許可したカテゴリー。このような分類には、例えば、連絡先情報、職歴、財務情報、学歴、公的機関による識別情報、家族、ライフスタイルおよび社会的状況が含まれる場合があります。

機微データの転送(該当する場合)および適用される制限

お客様は、カスタマーアプリケーションを通じて機微データの転送、保存、またはその他の処理を許可することができます。附属書IIに規定される制限および保護措置は、これらの個人データのカテゴリー(該当する場合)に適用されます。お客様は、転送される機微データの特定のカテゴリー及び追加で適用される制限についてKinstaに通知する責任を負うものとします。

移転の頻度
継続的

処理の性質
カスタマーアプリケーションのホスティング及び関連サポートを含む、本サービスの提供に関連する処理

データ移転および追加処理の目的
本サービスの提供

個人データの保持期間
DPA第10条に準拠

(サブ)プロセッサへの移転に関する処理の対象、性質、および期間の明記
サブプロセッサによる処理の対象、性質、および期間は、本付属書IのセクションBに記載されています。

C. 管轄監督機関

第13条に従った管轄監督当局の特定
 アイルランド

SCC附属書II

データの安全性を確保するための技術的及び組織的措置を含む措置

  • Kinstaが転送するすべてのお客様個人データは、転送中に暗号化されます。
  • Google Cloudインフラストラクチャに保存されるすべてのお客様個人データ(すべてのカスタマーアプリケーションおよびアクセスログ)は、保存時に暗号化されます。
  • Cloudflareのウェブアプリケーションファイアウォール(WAF)およびDDoS対策を含むセキュリティ機能は、本サービスに統合されています。
  • 当社は、お客様個人データの処理に関連する当社チームメンバーの活動を、本サービスの提供に必要な処理活動のみに制限する情報セキュリティポリシーを有しています。
  • すべてのチームメンバーは、お客様個人データにアクセスする前に、秘密保持条項を含む契約に署名します。
  • 当社には専任のセキュリティチームがあります。
  • 当社は、エンジニアリング、オペレーション、法務、およびエグゼクティブチームのメンバーを含むセキュリティ監督グループを特定しています。
  • お客様個人データのサブプロセッサは、正式な審査と承認後にのみ使用されます。
  • 当社は、サービスを提供するために必要な量と種類のデータのみを処理、転送、保持するよう合理的な努力を払います。
  • 当社は、最小特権およびロールベースのアクセス制御(RBAC)の原則に従い、IDおよびアクセス管理の方針と慣行を確立しています。
  • すべてのチームメンバーが、データプライバシーとGoogleのポリシーに関するトレーニングを受けています。
  • Google Cloudは、データセンターの物理ハードウェアへのアクセスを制限するために、物理的なアクセス制御を実施しています。Google Cloud はまた、SOC 2 Type IIレポートやISO 27001認証など、複数のセキュリティ関連の認証および監査を受けています。
  • 該当する場合、お客様個人データにアクセスできるすべてのチームメンバーのアカウントで二要素認証が有効になっています。
  • クライアントコンテナおよびサーバーへのルートアクセスは、固有の秘密鍵によってのみ行われ、チームメンバーには、職務を遂行するために必要な最小限のアクセス権のみが提供されます。
  • ルートアクセスは、通常のクライアントアクセスと異なり、専用のネットワークアクセスポイントを介してのみ可能です。
  • Kinstaは、無料のSSL証明書を提供し、お客様が転送中のすべてのカスタマーアプリケーションのトラフィックを暗号化するためにHTTPS接続を強制(リダイレクト)できるようにしています。
  • Kinstaは、非HTTP接続を安全なプロトコル(SSH、SFTP)のみに制限しています。
  • カスタマーアプリケーションは、Kinstaのエンジニアリングチームによって管理されるカスタムファイアウォールにより保護されています。
  • 複数の形式で定期的にバックアップが作成されます。お客様は、他のホストへの転送(ポータビリティ)または他のサービスでの保存のためにバックアップを簡単にダウンロードすることができます。
  • お客様は、プラットフォームからカスタマーアプリケーションの削除を開始することができます。サービスの終了から起算して、Kinstaは45日以内にすべてのお客様個人データを削除する合理的な努力をします。
  • サーバーパッケージ及びソフトウェアは、当社エンジニアリングチームにより最新の状態に保たれており、セキュリティアップデートが速やかに適用されています。

旧バージョン

2022年10月25日