全システム稼動
SOC 2
公認
GDPR
準拠
Botpress データ処理契約(DPA)
本DPAは、サービス利用規約で特定されるBotpress グループの事業体とお客様との間の契約を補足するものであり、当該契約の不可欠な一部を形成するものです。本DPAは、参照により当該契約に組み込まれた時点で効力を有するものとします。
1.定義
1.a 本契約で定義されていない大文字の用語は、本契約で定義されている意味を有する。
1.b 本DPAにおいて:
(a) 「契約」は、利用規約において当該用語に付された意味を有する。
(b)「Botpress グループ」とは、Botpress およびその関連会社を意味する。
(c)「カリフォルニア州個人情報」とは、中共法の保護対象となる個人データを意味します。
(d) 「カナダデータ保護法」とは、個人情報保護および電子文書法(Personal Information Protection and Electronic Documents Act, SC 2000, c 5)、および民間部門における個人情報保護に関する法律(CQLR c P-39.1)を意味します。
(e) 「CCPA」とは、カリフォルニア州民法第1798.100条ほか(2018年カリフォルニア州消費者プライバシー法とも呼ばれる)を意味します。
(f)「消費者」、 「事業者」、「販売者」、「サービス提供者」は、中環協における意味を有する。
(g) 「管理者」とは、単独で、または他者と共同で、個人データの処理の目的および手段を決定する者を意味します。
(h) 「データ保護法」とは、本DPAの当事者に適用される、データ保護およびプライバシーに関連するすべての適用される世界的な法律を意味し、欧州データ保護法、カナダデータ保護法、および随時改正、廃止、統合または置き換えられた中共法を含むがこれらに限定されない。
(i) 「データ主体」とは、個人データに関連する個人を意味します。
(j) 「欧州」とは、欧州連合、欧州経済領域および/またはその加盟国、スイス、英国を意味する。
(k)「欧州データ保護法」とは、欧州で適用されるデータ保護法を意味し、改正、優先、または代替される場合がある。
(l) 「欧州データ」とは、欧州データ保護法の保護の対象となる個人データを意味します。
(m) 「許可された関連会社」とは、(i) 本契約に従ってソフトウェア・サービスの使用が許可され、(ii)Botpress によって処理される個人データの管理者として適格であり、(iii) 欧州データ保護法の適用を受ける、お客様の関連会社を意味します。
(n)「個人」は広く解釈され、個人、法人、有限責任会社、合資会社、会社、協会、パートナーシップ、信託、遺産、合弁事業、政府機関、その政治的下部組織、またはその他の事業体を含む。
(o) 「個人データ」とは、識別された、または識別可能な個人に関するあらゆる情報を意味する。
(p) 「処理」または「プロセス」とは、自動的な手段によるか否かを問わず、処理者が個人データに対して実行する操作または一連の操作を意味します;
(q) 「処理者」とは、管理者に代わって個人データを処理する者を意味します。
(r) 「規制当局」とは、該当する場合、本サービスの提供または受領に関連する個人データの処理の全部または一部について、規制、監督、または政府の権限を有する個人または法執行機関もしくはその他の機関を意味します(法令に基づくか否かを問いません);
(s) 「セキュリティ侵害」とは、本サービスの提供に関連して、Botpress および/またはサブプロセッサーによって送信、保存、またはその他の処理が行われた個人データの偶発的または違法な破壊、紛失、改ざん、不正な開示、またはアクセスにつながるセキュリティ侵害を意味します。ただし、ログインの失敗、ping、ポートスキャン、サービス拒否攻撃、ファイアウォールまたはネットワークシステムに対するその他のネットワーク攻撃など、個人データのセキュリティを損なわない事象は含まれません。
(t) 「サービス」とは、Botpress グループのいずれかの事業体がお客様またはその関連会社に提供するソフトウェアサービスまたはプロフェッショナルサービスを意味します。
(u) 「標準契約条項」とは、2021年6月4日付の欧州委員会の決定(EU)2021/914に付属する標準契約条項を意味する。
(v) 「サブプロセッサー」とは、本契約に基づく本サービスの提供に関するBotpress 義務の履行を支援するために、Botpress またはBotpress 関連会社が従事するプロセッサーを意味します。サブプロセッサーには、第三者またはBotpress 関連会社が含まれる場合がありますが、Botpress によって雇用または従事される個人は含まれません。
(w)「第三国」とは、(i)欧州委員会が個人データの適切な保護水準を提供していると認めていない法域または受領国、および(ii)関連当局または裁判所が個人データの適切な保護水準を提供していると認めている適切な枠組みが適用されていない法域または受領国を意味します;
(x) 「使用データ」とは、認定ユーザーによる本ソフトウェアの使用に関連するデータを意味し、個々の ユーザーを識別する必要がある場合には個人データが含まれる場合がありますが、会話データは含まれ ません。使用状況データ」には、お客様の従業員および請負業者に関する個人データが含まれる場合がありま すが、お客様のボットと対話するエンド ユーザーに関する個人データは含まれません。
2.当事者の役割
2.a 本サービスを通じて会話データを処理する場合、両当事者は、お客様が管理者として行動し、Botpress が処理者として行動することを認め、同意するものとします。
2.b お客様がコントローラーに代わってプロセッサーとして行動する場合、Botpress はお客様のサブプロセッサーとみなされるものとします。
2.cBotpress は、利用データに関する管理者となります。
3.データ保護法の遵守
3.a 各当事者は、適用されるすべてのデータ保護法を遵守して個人データの処理を行うものとします。
3.bBotpress は、Botpress に一般的に適用されない、お客様またはお客様の業界に適用されるデータ保護法の遵守について責任を負いません。
3.cBotpress が、適用法に基づく法的要件により、お客様の指示に従って個人データを処理できな いことを認識した場合、Botpress は、(i) 適用法で許可される範囲で、当該法的要件を速やかにお客様に 通知し、(ii) 必要な場合は、お客様が適用法に従って新たな指示を出すまで、すべての処理(影 響を受ける個人データの単なる保管およびセキュリティの維持を除く)を停止します。この規定が発動された場合、Botpress がお客様の指示が合法的であると合理的に判断するまで、Botpress は、該当するソフトウェアサービスまたはプロフェッショナルサービスの不履行について、本契約に基づきお客様に対して責任を負わないものとします。
4.Botpress 義務
4.aBotpress は、本 DPA に記載された目的、またはお客様から受領した合法的な指示の範囲内で別途合意された目的に限り、個人データを処理します。ただし、適用される法律により要求される場合およびその範囲を除きます。
4.bBotpress は、本DPAの別表2に記載されているものを含め、セキュリティ事故から個人データを保護するための適切な技術的および組織的対策(以下「セキュリティ対策」といいます)を実施し、維持するものとします。Botpress は、かかる修正または更新がセキュリティ対策によって提供される保護の重大な低下をもたらさないことを条件として、その裁量でセキュリティ対策を修正または更新することができます。
4.cBotpress は、個人データを顧客の機密情報として扱い、個人データへのアクセスまたは処理 を許可された従業員または接触者が、当該個人データに関して適切な機密保持義務(契約上ま たは法令上の義務を問わない)を負うことを保証するものとします。
4.dBotpress は、本契約の終了または満了時に、本DPAに従って処理されたすべての個人データを削除または返却します。Botpress は、適用法により要求される場合、または個人データがバックアップシステムに保管されている場合、個人データのコピーを保持する場合があります。これらのデータは、今後の処理から安全に分離および保護され、適用される削除慣行に従って削除されます。
5.顧客の義務
5.a お客様は、ソフトウェア・サービスまたはソフトウェアの使用が適用されるすべてのデータ保護法に従っていることを確認する責任を負うものとします。これには、(i) 本DPAに従って、Botpress を任命し、お客様に代わって個人データを処理する権限を有していること、(ii) 本契約の条件(本DPAを含む)に従って処理するために、Botpress に個人データを転送する権利、または個人データへのアクセスを提供する権利を有していること、(iii) 個人データの処理に関するお客様の指示がデータ保護法を含む適用法に準拠していることを確認することなどが含まれます;
5.b 顧客は、本サービスを通じて顧客が行った個人データの処理が、データ保護法を含む適用法に違反している、または違反している可能性があると信じるに足る理由がある場合、またはそのような通知を受けた場合、速やかにBotpress に書面で通知するものとします。
5.c お客様は、Botpress が実施するセキュリティ対策が、適用されるデータ保護法に基づくお客様の義務を適切に満たしているかどうかを判断する責任を負うものとします。また、お客様は、本ソフトウェア・サービスへのアクセスが安全であり、許可された人員に限定されていることを確認する責任を負うものとします。
6.セキュリティ侵害
6.aBotpress は、セキュリティ侵害を認識した場合、速やかにお客様に通知し、当該セキュリティ侵害が判明した場合、またはお客様から合理的に要求された場合、当該セキュリティ侵害に関連する情報を適時に提供します。
6.b 要請があった場合、Botpress は、データ保護法の下で、お客様がセキュリティ侵害を規制当局および/または影響を受けるデータ対象者に通知する必要がある場合、必要な合理的な支援を速やかにお客様に提供します。
7.サブプロセッサー
7.aBotpress は、個人データを処理するためにサブプロセッサーを雇用することができます。現在のサブプロセッサーは別表3に記載されており、サブプロセッサーを変更する場合はお客様に通知されます。
7.bBotpress は、当該サブプロセッサーが提供するサービスの性質に適用される範囲で、少なくとも本DPA(必要に応じて標準契約条項を含む)の内容と同レベルの個人データ保護を提供するデータ保護誓約書を提示するサブプロセッサーを選択します。Botpress は、各サブプロセッサーが本DPAの義務を遵守すること、および本DPAに基づくBotpress' の義務違反の原因となる当該サブプロセッサーの作為または不作為について、引き続き責任を負います。
7.cBotpress が顧客のために欧州データを処理する場合、顧客は、データ保護に基づく合理的な理由によ り、新たなサブプロセッサーに対して異議を申し立てることができるものとします。かかる異議が通知された場合、Botpress は、商業上合理的な解決を達成するために誠意をもって協議することに同意するものとします。かかる解決に至らない場合、Botpress は、新たなサブプロセッサの選任を見送ることを選択するか、または、いずれの当事者にも責任を負うことなく(ただし、解約前に発生した料金を損なうことなく)、当該新たなサブプロセッサに依存している本ソフトウェアサービスの一部について、お客様がサブスクリプションを解約することを認めることができるものとします。
7.d 法律または標準契約条項により要求される場合、Botpress は、Botpress' サブプロセッサーとの契約に関する必要な情報を顧客が入手できるよう合理的な努力を払うものとします。お客様は、一部の情報が当該契約から修正されるか、または機密情報として提供されることに同意するものとします。
8.個人データの移転
8.aBotpress グループ事業体による欧州データ以外の個人データの処理は、そのような処理がプライバシ ー管轄地の適用法によって許可されている管轄地で行われます。
8.b 欧州データの処理は、独占的に行われるものとします:
a) 欧州内;
b) 適用されるデータ保護法に基づく欧州委員会の決定に基づき、適切なレベルの保護を提供する法域において;
c) いかなる管轄区域においても、標準契約条項を通じてなど、適切な保護措置を提供する組織または団体;
d) いかなる管轄区域においても、お客様または当該データ主体の書面による同意がある場合。
8.c 欧州データの処理が第三国で行われる場合、当事者は、関連する個人データおよび関連する処理に関してのみ、標準契約条項を締結したものとみなされるものとします。当事者は、標準契約条項の目的上、以下の事項に同意するものとします:
a) お客様がコントローラーであり、Botpress がプロセッサーである場合、モジュール 2(コントローラーからプロセッサーへ)が適用されます。
b) お客様がプロセッサーであり、Botpress がサブプロセッサーである場合、モジュール 3(プロセッサーからプロセッサーへ)が適用されます。
c) 利用データに関しては、モジュール1(コントローラーからコントローラーへ)が適用されます。
d) 標準契約条項の第7項において、オプションのドッキング条項は適用されない;
e) 標準契約条項第9条において、オプション2が適用され、サブプロセッサの変更に関する書面による事前通知の期間は10日間とする;
f) 標準契約条項の第11項では、オプション条項は適用されない;
g) 第17条(オプション1)において、標準契約条項はアイルランド法に準拠する;
h) 標準契約条項の第18条(b)において、紛争はアイルランドの裁判所で解決される;
i)Botpress は「データ輸入者」であり、お客様は「データ輸出者」となります(自社および許可された関連会社を代表して);
j) 本DPAの別表1および別表2に定める関連情報は、標準契約条項の附属書に含まれるものとみなす;
k) 標準契約条項が本DPAのいずれかの規定と抵触する場合、および抵触する範囲において、標準契約条項が優先されます。
8.d スイスおよびイギリスの移転。お客様とBotpress および/またはサブプロセッサー間の個人データの移転がスイスまたは英国のデータ保護法の対象となる場合、標準契約条項は、法律、適用法、管轄当局および裁判所への言及を含め、適用されるスイスおよび英国のデータ保護法の要件を反映するよう修正されるものとします。
9.中共処理
9.a お客様の指示に従ってカリフォルニア州個人情報を処理する場合、両当事者は、お客様が事業者であり、Botpress が中 国消費者保護法上のサービスプロバイダであることを認め、これに同意するものとします。両当事者は、Botpress がサービス・プロバイダーとして、本契約に基づくソフトウェア・サービスおよびプロフェッショナル・サービスを履行する目的(以下、「事業目的」)、またはその他中韓法で認められている目的に限定して、カリフォルニア州の個人情報を処理することに同意する。
10.第三者からの要請
10.a 顧客は、データ対象者または規制当局からの個人データに関する要求に対応する責任を負い、 顧客は、利用可能なソフトウェアサービスの機能を使用して、個人データ処理に関する関連情報 を取得するものとします。
10.b お客様がデータ主体または規制当局からの要求(「要求」)に独自に対応できない場合、Botpress は、本契約に基づく個人データの処理に関連するかかる要求に対応するため、お客様に対し て合理的な支援を提供します。要求が、Botpress が本 DPA に基づく義務を履行しなかったことに基づく場合およびその範囲を除き、お客 様は、Botpress に対し、お客様に支援を提供するための合理的な費用を払い戻すものとします。
10.c 本契約に基づく個人データの処理に関する要求またはその他の連絡がBotpress に直接行われた場合、Botpress は速やかにお客様に通知し、データ主体または規制当局に対し、お客様に直接要求を提出するよう助言します。お客様は、個人データに関わるかかる要求または連絡に実質的に対応する責任を負うものとします。
11.個人情報に関する監査
11.aBotpress への要請および合理的な通知により、お客様は、自己の費用負担で、Botpress がお客様のために処理した個人データがお客様の指示に従って処理されていることを確認するために必要な検証を実施する権限を付与されます。お客様の要求に応じて、Botpress は、Botpress によって行われる処理の監査および検査を許可するものとします。当該監査は、お客様及び/又はお客様の代理を務める第三者(お客様が選択し、Botpress が合理的に認めた者)によって実施される場合があります。 お客様は、Botpress グループ事業体の施設、設備、人員及び業務に損害又は中断を与えないよう、必要なあらゆる措置を講じるものとします。
11.b 顧客及びBotpress は、顧客による監査の性質、範囲及び期間について事前に合意するも のとし、顧客は、かかる監査に関連するすべての合理的な費用(監査開始前に顧客の要 請により見積もることができる)をBotpress に償還するものとする。可能な限り、お客様の監査要件は、Botpress が提供する第三者監査報告書がある場合、それを通じて満たされるものとします。
Botpress11.cBotpress が顧客の代理として欧州データを処理する場合、Botpress は、合理的な要求があれば、(秘密保持を前提に)(i) セキュリティテスト報告書の概要コピー、(ii)Botpress が本 DPA を遵守していることを確認するために必要な、顧客によるすべての合理的な情報要求に対する書面による回答。
12.責任の制限
12.a 本DPA(および当事者間のその他のDPA)および標準契約条項(該当する場合)に起因または関 連する、Botpress「およびその関連会社」の責任は、契約、不法行為、またはその他 の責任理論に基づくか否かを問わず、その総額は、責任の原因となる事象が発生する直前の12ヶ月間 に、本サービスの対価としてお客様がBotpress に支払った料金の総額を限度としま す。
13.管轄権
適用されるデータ保護法により別段の定めがある場合を除き、本DPAは、本契約に適用される法律に準拠し、これに従って解釈されるものとし、本契約に関する紛争は、提案書に記載された管轄裁判所の管轄裁判所により解決されるものとします。
データ保護法が本DPAを欧州連合加盟国の法律に準拠させることを要求する限りにおいて、本DPAはアイルランド法に準拠するものとし、本契約に関する紛争はアイルランドの裁判所で解決されるものとします。
14.全般
14.a優先。 本DPAの規定と本契約の他の規定との間に矛盾がある場合、本契約の他の規定が優先されること、または本DPAの規定が破棄もしくは修正されることが明示的に規定されていない限り、本DPAの規定が常に優先されるものとします。
14.b修正 Botpress は、データ処理慣行の変更を反映するために、本 DPA を修正することができます。 文言を明確にするための変更(これはお客様に定期的に通知されます)以外の修正は、お客様に提出され、お客様が承諾しない限り適用されません。適用法により本DPAの修正が要求される場合、お客様は以下を行うものとします。
は、かかる変更を受け入れるか、または本ソフトウェア サービスへのサブスクリプションを終了する選択肢を有するものとします。
14.c分離可能性。本DPAの個々の条項が無効または執行不能と判断された場合でも、本DPAのその他の条項の有効性および執行可能性は影響を受けません。
スケジュール1 - 処理の詳細
コントローラーの識別
お客様
担当者 : お客様が受諾したプロポーザルで特定された担当者。処理者の特定
お客様がカナダにお住まいの場合 : TechnologiesBotpress Inc.
お客様が他の場所にいる場合 :Botpress, Inc.
コンタクトパーソン
ジャン=ベルナール・ペロン
データ対象者の分類
その範囲は、適用されるサービス条件に従い、お客様が独自の裁量で決定し管理するものとし、以下のデータ対象者のカテゴリーに関する個人データが含まれる場合がありますが、これに限定されるものではありません:
個人データの分類
お客様は、本ソフトウェア サービスに個人データを提出することができ、また、エンド ユーザーが本ソフトウェア サービスに個人データを提出することを許可することができますが、その範囲は、適用されるサービス条件に従い、お客様が独自の裁量で決定し管理するものとします。
本ソフトウェアサービスは、機微(センシティブ)データの処理を目的として設計されていないため、お客様は、本ソフトウェアサービスが機微(センシティブ)データの処理に適しているかどうかを判断する責任を負うものとします。
Botpress 当社は、技術サポートおよび統計の目的で、認定ユーザーに関する連絡先情報(氏名、電子メール、電話番号)、および製品の使用状況に関する使用データおよび行動データを処理します。
加工の性質
個人データの保有期間
本契約に基づき、Botpress' データを削除またはお客様に返却する義務に従い、Botpress は、書面による別段の合意がない限り、本契約の期間中、個人データを処理します。
スケジュール2 - セキュリティ対策
1.ガバナンス
Botpress を含む、個人データに関する適切な方針および手順を実施する:
2.ユーザーアクセス
3.アクセス・コントロール
Botpress 個人データを保存するサーバー、関連データベース、その他のハードウェアおよび/またはソフトウェアコンポーネントは、アクセス制御および監視された安全なデータセンターで管理され、許可された担当者のみがアクセスできます。
Botpress 個人データの作成、送信、または処理に使用されるすべてのシステムにおいて、効果的な論理的アクセス制御手段を採用します:
4.ネットワーク・セキュリティ・アーキテクチャ
Botpress 個人データを作成、送信、または処理するために使用されるすべてのシステムにおいて、効果的なネットワークアクセス制御手段を採用します:
5.脆弱性管理コントロール
Botpress 個人データを作成、送信、または処理するために使用されるすべてのシステムに、効果的な脆弱性管理策を採用する:
6.データのバックアップ、リカバリー、可用性
Botpress は、最大限のダウンタイムとデータ損失を最小限に抑えるため、以下の災害復旧および事業継続計画を実施しています。
7.セキュリティ監査
Botpress 個人データの作成、送信、または処理に使用されるすべてのシステムにおいて、以下のような管理体制を採用します:
8.トレーニングと意識向上
Botpress 個人データを取り扱うシステムに関与する従業員およびサービスプロバイダーに対し、以下を含むセキュリティ意識向上プログラムを実施する:
別表3 - サブプロセッサー 特に断りのない限り、処理の場所は:米国
アマゾン ウェブ サービス
Google Analytics
フレッシュデスク
ホットジャー
OpenAI
ミックスパネル
Intercom
