最終更新日: 2022年4月1日

1.導入と範囲

  1. このデータ処理に関する補足書(以下「本DPA」)は、利用規約(以下「本規約」)の補遺として使用されます。ただし、本DPAと規約の規定に矛盾がある場合は、本DPAの規定が優先されるものとします。
  2. 本DPAは、(a)Kinstaがお客様のために、またはお客様を代表して、契約に基づいてお客様の個人データ(以下に定義)を処理する場合、(b)データ保護法が当該お客様の個人データに適用される場合にのみ、およびその範囲でのみ、お客様に適用されます。
  3. 本DPAの更新:当社は、当社の独自の判断により、いつでも本DPAを変更する権利を有します。当社が本DPAを変更する場合、当社は、本DPAの上部にある日付を変更することにより、当該変更を通知します。変更の通知後、お客様が当社のサービスを継続してご利用になった場合、お客様は当該変更に同意されたものとみなされます。本DPAを定期的に確認し、更新がないかどうかチェックするようにしてください。

2.定義

本DPAで定義されていない用語は、契約(本契約)の他の箇所で定められた意味を持つものとします。また、以下の定義された用語は、本DPAに対してのみ適用されます。

  1. 「コントローラー」、「プロセッサー」「データ主体」「処理」「個人データ」、および「個人データの侵害」は、データ保護法で定められている意義を有します。
  2. 「お客様の個人データ」とは、本サービスに関連してお客様がKinstaに対して提供、転送、またはアクセス可能にする、データ保護法の対象となるエンドユーザー個人データを意味します。
  3. 「データ保護法」とは、2016年4月27日の欧州議会および理事会の規則(EU)2016/679、ならびに欧州連合または欧州経済領域(EEA)の加盟国、英国またはスイスによる類似または関連する施行法をいいます。

3.両当事者の役割

  1. コントローラーはお客様で、お客様の個人データに関するプロセッサーはKinstaです。Kinstaは、お客様の個人データを、お客様の書面による指示(本契約の規定を含む)に従ってのみ処理します。ただし、データ保護法を遵守する必要がある場合はこの限りではありません。当社の意見でお客様の指示がデータ保護法に違反する場合、お知らせします。
  2. お客様とKinstaは、データ保護法を遵守するものとします。お客様は、お客様の個人データに関して、必要な承認、同意、リリースや許可を取得し、また、必要なすべてのプライバシー通知を行うものとします。なお、お客様は、すべてのお客様の個人データの正確性、品質および合法性、ならびにデータ主体から収集する根拠につき単独で責任を負います。

4.処理の性質、目的、および期間

  1. Kinstaは、書面で別段の合意がない限り、本契約の期間中、本サービス(一般的にはお客様のウェブサイトの受動的ホスティングおよび関連サポートに限定される)を実行するため、またはKinstaの法的権利を保護するために、必要に応じてお客様の個人データを処理します。
  2. お客様が本サービスに関連してKinstaにお客様の個人データを転送することについては、お客様が独自の裁量で決定し、管理します。
  3. Kinstaは、次のカテゴリーのお客様の個人データを処理する可能性があります。それは、お客様のウェブサイトに関連してエンドユーザーデータサブジェクトから収集、使用、または処理した個人データです。
  4. Kinstaは、以下のデータ対象者のカテゴリーからお客様の個人データを処理することがあります: お客様のウェブサイトのエンドユーザー。

5.データの越境移転

  1. ウェブサイトがホストされるGoogle Cloud Platformデータセンターを選択されるのはお客様です。お客様は、(a)すべての個人データが選択されたGoogleデータセンターに自動的に転送かつ保存されることと、(b)個人データが欧州経済領域(EEA)、英国、またはスイスから(お客様の選択に応じて)Googleデータセンターのある国に転送される場合があることを認め、理解し、それに同意します。
  2. KinstaとGoogleは、Google Cloud Platformのデータ処理規約とEUモデル契約条項に同意しました。詳細については、「データの越境移転」に関するGoogleの取り組みをご覧ください。https://cloud.google.com/security/gdpr/
  3. お客様は、クライアントの個人データがサービスの提供の目的で、米国を含むEEA外の地域に転送されることを承認します。お客様は、クライアントの個人データの管理者および輸出者として、転送がデータ保護法に準拠していることを確認する責任があります。

6.サブプロセッサー

  1. Kinstaは、本サービスを提供する目的で、お客様の個人データを処理するために第三者の下請業者(「サブプロセッサー」)を利用します。最新のサブプロセッサー情報は、KinstaのオンラインDPAの付属書Aに掲載されており、こちら(https://kinsta.com/jp/legal/data-processing-addendum/)からご確認いただけます(「サブプロセッサーのリスト」)。お客様は、Kinstaが本サービスを提供する目的で、これらのサブプロセッサーを利用することを許可するものとします
  2. Kinstaはサブプロセッサーのリストを随時更新することができ、かかる更新はサブプロセッサーの変更をお客様に通知する唯一の手段となります。お客様はサブプロセッサーのリストを定期的に確認し、見直す責任があります。Kinstaがサブプロセッサーのリストに新しいサブプロセッサーを掲載してから14日以内にお客様が新しいサブプロセッサーに対して書面で異議を唱えなかった場合、お客様は新しいサブプロセッサーを承認したことになります。
  3. Kinstaが、その単独裁量で、Kinstaの通知を受けた、サブプロセッサーに対するお客様の異議に適時かつ合理的に対応できないと判断した場合、お客様は、サービス利用規約の解除条項に従って、本契約を解除することができます。これは、お客様の唯一かつ独占的な救済措置になります。
  4. Kinstaは、サブプロセッサーと書面で契約することにより、本DPAに規定されているものと同じまたは実質的に同等の義務をサブプロセッサーに課すものとします。Kinstaは、サブプロセッサーがお客様の個人データに関するデータ保護義務を履行することにつき、お客様に対して責任を負います。

7.セキュリティと影響評価

  1. Kinstaは、その人員が、お客様の個人データに関して守秘義務を負うようにしなければなりません。
  2. Kinstaは、最新技術、実装のコスト、処理の性質、範囲、コンテキスト、目的、およびデータ主体の権利と自由に対するさまざまな可能性と深刻度のリスクを考慮して、技術的および組織的な措置を執り行い、リスクのレベルに見合ったセキュリティを確保できるようにします。
  3. Kinstaは、処理の性質とKinstaが利用できる情報を考慮して、セキュリティ、影響評価、および監督当局または規制当局との協議に関するデータ保護法に基づくお客様の義務を確実に遵守できるようにお客様を支援します。

8.個人データの侵害

  1. Kinstaは、処理の性質とKinstaが利用できる情報を考慮して、個人データの侵害に関するデータ保護法に基づくお客様の義務を確実に遵守できるようにお客様を支援します。
  2. 個人データの侵害が発見された場合、Kinstaは、通常の本アカウント関連の連絡を行うために確立された手段を用いて、お客様の技術担当および本アカウントの連絡先に速やかに通知するものとします。
  3. 通知には、通知の時点でKinstaが合理的に入手できる範囲で以下の情報を含め、Kinstaは追加情報が合理的に入手できるようになり次第、通知を更新するものとします。(a)個人データ侵害の日時。(b)個人データ侵害の発見の基礎となる基本的な事実、または該当する場合、個人データ侵害の疑いの調査を開始する決定。(c)個人データ侵害に関わるお客様の個人データの詳細(具体的に、またはデータセットを参照して)。(d)個人データ侵害を引き起こした脆弱性を改善または軽減するために計画中または実行中の対策。

9.データ主体の要求

  1. Kinstaは、処理の性質を考慮して、データ保護法に基づいてデータ主体の権利を行使する要求に応えるお客様の義務を果たせるように、可能な限り、適切な技術的および組織的な手段によってお客様を支援するものとします。
  2. Kinstaは、適用法で禁止されていない限り、お客様の個人データに関する権利を行使するというデータ主体からの要求を受け取った場合、速やかにお客様に通知します。また、適用法で要求される範囲を除き、お客様の事前の書面による指示なしに、データ主体からのリクエストに応じて独自に行動を起こすことはありません。

10.監査と検査

  1. 秘密保持契約書に従うことを条件として、Kinstaは、お客様に対して、本DPAに定められた義務を遵守していることを証明するために合理的に必要な情報を提供するものとします。
  2. オンサイト監査は、(i)Kinstaへの60日以上の合理的な事前の書面による通知を行うことを条件とし、(ii)秘密保持契約書、およびKinstaによって精査し事前承認された詳細な監査計画書に従うことを条件とし、(iii)3暦年ごとに1回に制限され、(iv)お客様の費用と経費負担で行い、(v)Kinstaが明確に特定した、本DPAの規定を遵守できなかった疑いを評価する範囲と目的に制限され、さらにKinstaが決定した他のすべての合理的な手段を使い果たした後にのみ行い、かつ(vi)Kinstaの事業運営を不当に混乱させることなく、Kinstaの代表者臨席の下で行うものとします。

11.お客様の個人データの削除または返却

本契約が適切に解除され、お客様の書面による指示があった場合、Kinstaは、お客様の個人データの継続的な保管を要求する適用法に従い、お客様の個人データを削除するか、お客様の個人データとその写しをお客様に返却する合理的な措置を講じるものとします。

付属書A

サブプロセッサーのリスト

  • Cloudflare:Cloudflareを使用することで、サービスのパフォーマンスを改善、および保護します。
  • Google Cloud Platform:Google Cloud Platformホストを使用することで、お客様のウェブサイトを保護し、同時にお客様のサイトに関連するデータを保管します。
  • Google Workspace:Google Workspaceアプリケーションを使用することで、メールの通信を処理し、オンラインドキュメントを管理します。
  • Hubspot:Hubspotを使用してリードやお客様とのやりとりを管理します。
  • Intercom:当社はお客様とのコミュニケーションやサポートのためにIntercomを利用しています。
  • Mailchannels:Mailchannelsは、お客様のウェブサイトからトランザクション関連メールを送信するSMTPプロバイダーです。
  • Slack:社内でのやりとりにSlackを使用します。