最終更新日:2025年9月25日

1. 導入と適用範囲

  1. 本データ処理に関する補足書(「本DPA」)は、サービス利用規約(「本規約」)、またはマスターサービス契約(「MSA」)の補遺であり、本契約(「規約」で定義される)の一部です。責任の制限を含む本規約の全条項は、本DPAに適用され、本DPAに組み込まれます。本DPAの規定と本規約、またはMSAの規定との間に矛盾がある場合は、本DPAの規定が優先するものとします。
  2. 本DPAの更新:当社は、当社の単独の裁量により、いつでも本DPAを変更することができます。当社は、本DPAの重要な変更について、企業の所有者に電子メールで通知するか、MyKinstaに通知を掲載します。当社の通知後、30日以上当社のサービスを継続して利用した場合、お客様は、当社による本DPAの変更を承諾したものとみなされます。お客様が本DPAの変更に同意しない場合、お客様は、アカウントおよび本契約を終了することができます。

2. 定義

本DPAで定義されていない用語は、本規約の他の箇所で規定されている意味を持つものとします。また、以下の用語は、本DPAに関してのみ適用されます。

  1. 管理者」、「事業者」、「処理者」、「サービス提供者」、「データ主体」(「お客様」を含む)、「処理」、「個人データ」(「個人情報」を含む)、および「販売」(CCPAにおける「共有」を含む)(およびこれらの用語の類似語または関連語)は、適用されるデータ保護法において付与される意味を有するものとします。
  2. お客様個人データ」とは、Kinstaの本サービスの提供に関連してカスタマーアプリケーションにより、またはカスタマーアプリケーションを通じて送信、保存、またはその他の方法で処理される個人データを指します。
  3. 個人データ侵害」とは、お客様個人データの偶発的または無許可の破壊、紛失、改ざん、開示またはそれに対するアクセスを意味します。なお、ログインの試み、ping、ポートスキャン、サービス拒否攻撃、ファイアウォールまたはネットワーク化されたシステムに対するその他のネットワーク攻撃等(これらに限定されない)、お客様個人データのセキュリティまたは完全性を損なわない、失敗した試みまたは行為は除かれます。
  4. 副処理者」とは、サービス提供を目的として顧客の個人データを処理する可能性がある、Kinstaが利用する第三者処理者を意味します。
  5. EUデータ保護法」とは、2016年4月27日の欧州議会および理事会のEU一般データ保護規則2016/679(「GDPR」)、各加盟国の国内法によって実施および補足される、英国データ保護法2018および英国GDPR、ならびにスイスデータ保護法を意味し、いずれの場合も、適宜、改正、置き換え、または優先されるものとします。
  6. 米国データ保護法」とは、カリフォルニア州消費者プライバシー法(カリフォルニア州プライバシー権法によって改正されたもの)(以下、総称して「CCPA」)、コロラド州プライバシー法、コネチカット州データプライバシー法、デラウェア州個人データプライバシー法、インディアナ州消費者データ保護法、アイオワ州消費者データ保護法、ケンタッキー州消費者データ保護法、メリーランド州オンラインデータプライバシー法、ミネソタ州消費者データプライバシー法、モンタナ州消費者データプライバシー法、ネブラスカ州データプライバシー法、ニューハンプシャー州プライバシー法、ニュージャージー州データプライバシー法、オレゴン州消費者プライバシー法、ロードアイランド州データ透明性およびプライバシー保護法、テネシー州情報保護法、テキサス州データプライバシーおよびセキュリティ法、ユタ州消費者プライバシー法、およびバージニア州消費者データ保護法を意味し、それぞれ随時改正、差し替え、または置き換えられるものを指します。
  7. データ保護法」とは、EUデータ保護法および米国データ保護法を含む、個人データのプライバシー、完全性、およびセキュリティを管理する法律および規制を意味します。ただし、これらの法律および規制がKinstaによるお客様の個人データの処理に適用される範囲に限ります。
  8. 国際移転」とは、以下のデータの移転を指すものとします。
    1. データ:お客様個人データ
    2. 管轄:EUデータ保護法のいずれかによる支配を受ける
    3. 移転先:欧州経済地域(「EEA」)、グレートブリテン及び北アイルランド連合王国(「英国」)、スイス以外の第三国
    4. 国際移転先の詳細:欧州委員会、英国、またはスイスによって適切なレベルの保護が確保されていると指定されていない国
  9. SCC」とは、欧州議会および理事会規則(EU)2016/679に基づき、個人データの第三国への移転に関する標準契約条項について2021年6月4日の欧州委員会実施決定(EU)2021/914により採択された標準契約条項を意味します。
  10. 英国補遺」とは、英国個人情報保護監督機関が発行したEU委員会標準契約条項の国際データ移転追加条項、VERSION B1.0(2022年3月21日発効)を意味します。

3. 役割、一般的義務、CCPA条項

  1. お客様は、お客様個人データに関する管理者及び事業者であり、Kinstaは処理者及びサービス提供者です。Kinstaは、データ保護法を遵守する必要がある場合を除き、本契約の規定を含むお客様の文書化された指示に従い、本サービスを提供する目的でのみお客様個人データを処理するものとします。お客様の指示がデータ保護法に違反する場合、当社はお客様に通知します。処理の性質、目的及び期間はSCC附属書Iに規定されています。
  2. Kinstaは、以下を行わないことを証明し、理解し、同意するものとします。
    1. お客様個人データの販売
    2. 適用される米国データ保護法により明示的に許可されている場合を除き、本契約に基づく本サービスの特定の目的以外の目的(営利目的を含む)のためにお客様個人データを保持、使用または開示すること
    3. 適用される米国データ保護法により明示的に許可されている場合を除き、お客様とKinstaとの間の直接的な取引関係以外の目的でお客様個人データを保持、使用または開示すること
  3. 当社は、適用される米国データ保護法に基づく義務を遵守できなくなったと判断した場合、お客様にその旨を通知します。
  4. お客様及びKinstaは、データ保護法を遵守するものとします。お客様は、お客様個人データに関して必要な承認、同意、解除または許可を取得し、必要なプライバシーの通知をすべて提供するものとします。疑義を避けるため、本DPAに別段の定めがある場合を除き、お客様は、すべてのお客様個人データの正確性、品質及び適法性並びにデータ主体から収集される根拠について単独で責任を負うものとします。

4. セキュリティ及び影響評価

  1. Kinstaは、その従業員がお客様個人データに関して拘束力のある守秘義務を負うことを保証するものとします。
  2. データ主体の権利及び自由に対する様々な可能性及び重大性のリスクだけでなく、最新技術、実施コスト、処理の性質、範囲、文脈及び目的を考慮し、Kinstaは、SCC附属書IIに定める措置を含め、リスクに見合ったセキュリティレベルを確保すべく適切な技術的及び組織的措置を実施するものとします。書面による機密保持および非開示契約を条件として、お客様はKinstaの現在の情報セキュリティ管理文書を https://trust.kinsta.com/(以下「セキュリティ文書」)で要求し、レビューすることができます。
  3. 処理の性質及びKinstaが利用可能な情報を考慮し、Kinstaはセキュリティ、影響評価及び監督当局又は規制当局との協議に関して、データ保護法に基づくお客様の義務の遵守を確保するためにお客様を支援するものとします。

5. 個人データ侵害

  1. 処理の性質及びKinstaが入手可能な情報を考慮して、Kinstaは、個人データ侵害に関してデータ保護法に基づくお客様の義務の遵守を確保するためにお客様を支援するものとします。
  2. 当社が個人データ侵害を発見した場合、Kinstaは不当な遅延なく、その個人データ侵害についてお客様に書面で通知します。
  3. 当社の通知には、その時点で判明している範囲で以下の事項を含めるものとします(追加情報が合理的に入手可能になった場合は更新)。
    1. 個人データ侵害の日時
    2. 個人データ侵害の発見、または個人データ侵害の疑いに関する調査開始の決定(該当する場合)の根拠となった基本的な事実
    3. 個人データ侵害に関連した顧客個人データの説明(具体的に、またはデータカテゴリーを参照するかたちで)
    4. 個人データ侵害の原因となった脆弱性を是正または軽減するために計画または実施中の措置

6. データ主体の要求

  1. 処理の性質を考慮し、Kinstaは、データ保護法に基づくデータ主体の権利行使の要請に応じるお客様の義務の履行について、可能な限り、適切な技術的及び組織的措置によりお客様を支援するものとします。
  2. Kinstaは、データ主体からお客様個人データに関する権利行使の要請を受けた場合、適用法により禁止されている場合を除き、速やかにお客様に通知します。当社は、適用法令により要求される場合を除き、お客様の事前の書面による指示なしに、データ主体からの要求に応じて独自に行動を起こすことはありません。

7. データセンターおよび国際移転

  1. お客様は、お客様のアプリケーションがホストされるデータセンター地域を選択することができます。お客様が選択したデータセンター地域にかかわらず、サービスの一部の側面では国際データ転送が必要となる場合があります。お客様は、サービス提供のみを目的とした顧客個人データの国際データ転送を許可するものとします。国際データ転送は、SCC(標準契約条項)のモジュール2(管理者から処理者への転送)に従うものとします。スイスからの国際データ転送については、当事者は、スイス連邦データ保護情報コミッショナーが要求するSCCへのすべての適応および修正(以下「スイス修正」)が、SCCに組み込まれることに同意します。英国からの国際データ転送については、当事者は英国補遺に同意します。英国補遺の表に関する情報は以下の通りです。表1:以下のSCC付属書Iを参照、表2:以下のセクション7.bを参照、表3:以下のSCC付属書IおよびIIを参照、Kinstaの副処理者一覧は https://kinsta.com/jp/legal/subprocessors/ に掲載、表4:インポーターおよびエクスポーターは、その第19条に定めるとおり、英国補遺を終了させることができます。
  2. SCC、スイス修正、および英国補遺に関する任意規定について、当事者は以下の通り合意します。
    1. 当事者は第7条に同意する
    2. 当事者は第9条(a)の選択肢2(OPTION 2)を選択する
    3. 当事者は、第11条(a)の各種任意条項に同意しない
    4. 当事者は第17条の選択肢1(OPTION 1)を選択し、加盟国はアイルランド、英国、スイスのいずれかとする
    5. 当事者は、第18条(b)の加盟国がアイルランド、英国、スイスのいずれかとなることに同意する
  3. 適用されるSCC、スイス修正、および英国補遺は、あらゆる国際データ転送に関して、本データ処理補遺に参照により組み込まれます。当事者が本契約を受諾したことは、あらゆる国際データ転送に関して、関連するSCC、スイス修正、および英国補遺を遵守することへのそれぞれの合意を意味するものとします。

8. 副処理者

  1. お客様は、https://kinsta.com/jp/legal/subprocessors/ に掲載されている副処理者(以下「副処理者一覧」)をKinstaが利用することを許可します。Kinstaは、新たな副処理者を追加または代替する前に、かかる変更を書面でお客様に通知します。お客様が、Kinstaからの新たな副処理者に関する通知後14日以内に書面で異議を述べなかった場合、お客様は新たな副処理者を承認したものとみなされます。Kinstaは、サービスまたはお客様のアプリケーションを保護するという限定的な目的のために、新たな副処理者を直ちに利用する権利を留保します。
  2. Kinstaがその単独の裁量で、お客様からの副処理者に対するタイムリーな異議に合理的に対応できないと判断した場合、Kinstaからの通知により、お客様は本契約の解約規定に従って本契約を解約することができます。これがお客様の唯一かつ排他的な救済手段となります。
  3. Kinstaは、書面による契約によって、その副処理者に対し、本データ処理補遺に定められたものと同一または同等の義務を課すものとします。Kinstaは、顧客の個人データに関する副処理者のデータ保護義務の履行について、お客様に対して責任を負うものとします。

9. 監査および検査

  1. 書面による秘密保持契約を条件として、Kinstaは、お客様はKinstaのセキュリティ文書、および本DPAに定められた義務の遵守を証明するために合理的に必要なその他の情報を、要求およびレビューすることができます。
  2. お客様は、セキュリティ文書をレビューしても特定のコンプライアンス上の懸念が未解決のままである場合に限り、監査を実施することができます。いかなる監査も、(i) Kinstaに対し、30日以上前の合理的な事前書面通知を行うこと、(ii) 書面による機密保持および非開示契約と、Kinstaがレビューおよび事前承認した詳細な書面監査計画を条件とすること、(iii) 12ヶ月に1回に限定されること、(iv) お客様の単独の費用と負担で行うこと、(v) Kinstaの事業運営を不当に妨げない範囲で、Kinstaの担当者の仮想的または物理的な立ち会いのもとで行うことを条件とします。

10. お客様個人データの削除または返却

本契約が適切に終了した場合、及びお客様の書面による指示により、Kinstaは、適用される法律又はKinstaによるお客様個人データの継続的な保管を必要とするその他のKinstaの義務に従い、お客様個人データを削除するか、又はお客様個人データ及びそのコピーをお客様に返却する合理的な措置を講じるものとします。

SCC附属書I

A. 当事者一覧

データ移転元

氏名:お客様として特定される主体

住所:プラットフォームに記録されたお客様の住所、または本契約で別途指定された住所

名前、役職、および連絡先:お客様のアカウントに関連する企業所有者の連絡先情報、または本契約で別途指定されたもの

本条項に基づき移転されるデータに関する活動:カスタマーアプリケーションの運営

署名および日付:両当事者は、該当する本契約の受諾または締結をもって、両当事者がこれらのSCCを締結したものとすることに合意する

役割:処理者

データ移転先

指名: Kinsta Inc.

住所:8605 Santa Monica Blvd #92581, West Hollywood, CA 90069, USA

名前、役職、および連絡先:Kinstaデータプライバシー担当([email protected]または上記住所に郵送)                      

本条項に基づき移転されるデータに関する活動:サービスの提供

署名および日付: 当事者は、該当する場合、本契約の受諾または締結が両当事者による本SCCの締結を構成することに同意する

役割:処理者

B. 移転の説明

個人データが移転されるデータ主体の分類

カスタマーアプリケーションを訪問、使用、またはアクセスする可能性のある第三者、あるいは顧客によってカスタマーアプリケーションを通じて個人データが送信、保存、またはその他の方法で処理されるすべての個人。具体的には、従業員およびその他の職員、顧客(その職員を含む)、ウェブサイト訪問者またはエンドユーザー、サプライヤー(その職員を含む)、上記の親族および関係者、アドバイザー、コンサルタント、およびその他の専門家、株主、会員または支持者、ならびに学生および生徒。

移転される個人データの分類

お客様が、カスタマーアプリケーションを通じて送信、保存、またはその他の処理を行うことを許可したカテゴリー。このような分類には、例えば、連絡先情報、職歴、財務情報、学歴、公的機関による識別情報、家族、ライフスタイルおよび社会的状況が含まれる場合があります。

機密データの転送(該当する場合)および適用される制限

お客様は、カスタマーアプリケーションを通じて機微データの転送、保存、またはその他の処理を許可することができます。附属書IIに規定される制限および保護措置は、これらの個人データのカテゴリー(該当する場合)に適用されます。お客様は、転送される機微データの特定のカテゴリー及び追加で適用される制限についてKinstaに通知する責任を負うものとします。

移転の頻度
継続的

処理の性質
カスタマーアプリケーションのホスティング及び関連サポートを含む、本サービスの提供に関連する処理

データ移転および追加処理の目的
本サービスの提供

個人データの保持期間
DPA第10条に準拠

(副)処理者への移転に関する処理の対象、性質、および期間の明記
副処理者による処理の対象、性質、および期間は、本付属書IのセクションBに記載されています。

C. 管轄監督機関

第13条に従った管轄監督当局の特定
 アイルランド

SCC附属書II

データの安全性を確保するための技術的及び組織的措置を含む措置

ガバナンスとセキュリティ組織

  • 当社は、チームメンバーによるお客様の個人データの処理を、サービスの提供に必要とされる範囲のみに制限する情報セキュリティポリシーを維持しています。
  • すべてのチームメンバーは、顧客の個人データにアクセスする前に、機密保持規定を含む契約に署名します。
  • 当社には、専任のセキュリティチームが常駐しています。
  • セキュリティ監督グループには、エンジニアリング、運用、法務、および経営陣のメンバーが含まれます。
  • すべてのチームメンバーは、データプライバシーと当社のポリシーに関するトレーニングを受けます。

データ暗号化

  • Kinstaによって転送されるすべての顧客個人データは、転送中に暗号化されます。
  • データセンターに保存されるすべての顧客個人データ(すべてのカスタマーアプリケーションおよびアクセスログ)は、保存時に暗号化されます。
  • Kinstaは無料のSSL証明書を提供し、お客様がすべてのカスタマーアプリケーションのトラフィックを転送中に暗号化するためにHTTPS接続を強制できるようにしています。

本人確認とアクセス管理

  • 本人確認とアクセス管理のポリシーおよび実践は、最小権限の原則と役割ベースのアクセス制御(RBAC)に従っています。
  • 適用される場合、顧客の個人データにアクセスできるすべてのチームメンバーのプラットフォームアカウントには、二段階認証が有効化されています。
  • コンテナおよびサーバーへのルートアクセスは、一意の秘密鍵によってのみ可能であり、チームメンバーは職務を遂行するために必要な最小限のアクセス権限しか付与されません。
  • ルートアクセスは、通常のアクセスポイントとは異なる専用のネットワークアクセスポイントを介してのみ可能です。

インフラと物理的セキュリティ

  • 物理的なアクセス制御は、当社のデータセンターザブプロセッサによって実施され、データセンター内のハードウェアへのアクセスを制限しています。
  • 当社のデータセンタープロバイダは、複数のセキュリティ監査を受けており、SOC 2 Type II報告書、およびISO 27001認証を含む認証を保有しています。

ネットワークと境界セキュリティ

  • ウェブアプリケーションファイアウォール(WAF)とDDoS攻撃からの保護がサービスに統合されています。
  • Kinstaは、非HTTP接続を安全なプロトコル(SSH、SFTP)のみに制限しています。
  • カスタマーアプリケーションは、Kinstaのエンジニアリングチームによって管理されるカスタムファイアウォールにより保護されています。

データの最小化

  • 当社は、サービスの提供に必要な量と種類のデータのみを処理、転送、および保持するために合理的な努力をしています。

バックアップ、ポータビリティ、保持、および削除

  • 複数の形式で定期的なバックアップが作成されます。お客様は、他のサーバーへの移行(ポータビリティ)や、他のサービスでの保存のために、バックアップを簡単にダウンロードできます。
  • お客様は、プラットフォームからカスタマーアプリケーションの削除を開始することができます。サービスの終了から起算して、Kinstaは45日以内にすべてのお客様個人データを削除する合理的な努力をします。

パッチと構成管理

  • サーバーパッケージ及びソフトウェアは、当社エンジニアリングチームにより最新の状態に保たれており、セキュリティアップデートが速やかに適用されています。

旧バージョン

2022年10月25日