US 州法のプライバシー補遺
発効日: 2022 年 12 月 30 日
この US 州法のプライバシー補遺(「補遺」)は、お客様のマスター サブスクリプション規約、サービス規約、またはリセラー顧客サービス規約(該当する場合、「本契約」)の規約を補足し、特定のデータ プライバシーの権利と、特定の US 州法に関する義務を定めています。 本書で使用されているものの定義されていない用語は、本契約に定める意味を持つものとします。
セクション A – 一般規定。 本補遺のこのセクション A は、お客様がビジネスまたはコントローラであり、CCPA またはその他の適用される州のデータ保護法に準じた Zoom の処理または Zoom のお客様の個人情報もしくは個人データ処理の範囲で、Zoom によるサービスの提供およびお客様によるサービスの利用に適用されます。
- 定義。 この補遺全体で使用される「お客様」とは、Zoom サービスを定期利用するビジネスまたはコントローラを意味します。 セクション A で使用されているものの定義されていない用語は、セクション B(1)、セクション C(1) に定める意味を持つものとします。
- 監査と評価。
- Zoom は、ISO 27001 および SOC 2 Type II フレームワークを証明するため、次のようにサードパーティによる監査を実施します。
- Zoom は、年間ベースで、SOC-2 監査によりセキュリティ、有用性、およびプライバシー基準を監査します。
- 監査は、適用される管理基準またはフレームワークに関する規制機関または認定機関の基準および規則に従って実施されます。
- 監査は、資格を有する独立したサードパーティのセキュリティ監査者により、Zoom の選択と費用で実施されます。
- 各監査の結果として、顧客向けの監査レポート(「Zoom 監査レポート」)が作成され、Zoom が要求に応じて年間ベースで顧客に提供します。 Zoom 監査レポートは、Zoom の社外秘情報となります。
- Zoom は、ISO 27001 および SOC 2 Type II フレームワークを証明するため、次のようにサードパーティによる監査を実施します。
- 情報の受信に関する制限。 本補遺のいかなる条項も、Zoom に以下の開示を要求するものではありません。(a)Zoom の他の顧客またはサードパーティのデータまたは情報、(b)内部の会計情報または財務情報、(c)Zoom の企業秘密、(d)Zoom の妥当な見解として考えられる以下のもの:(i)Zoom のネットワーク、システム、またはプレミスのセキュリティを危険にさらす可能性がある情報、(ii)Zoom がサードパーティに対するセキュリティまたはプライバシーの義務に違反する原因となるもの、または(iii)この補遺に記載されている理由以外の理由で求められた情報。 Zoom は、Zoom 監査レポートを顧客に提供する前に、妥当な Zoom(またはそのサードパーティの監査者または評価者)の条件への顧客の同意を必要とする場合があります。
- データの削除。 Zoom は、(a)お客様に適用される州のデータ保護法の要求に従い、お客様の指示により、サービスの提供終了時にすべての個人データを削除またはお客様に返却するか、または(b)CCPA の要求に従い、お客様と Zoom の関係が終了または満了した際、個人情報を保持、使用、または開示しません。 このセクション A(4)(データの削除)のいかなる規定も、(i)適用される法に従って保持する必要があるデータを削除または返却すること、または(ii)返却が技術的に不可能または返却が Zoom に多くの負担、費用、またはその両方を課す場合に、個人データを破棄する代わりに返却することを Zoom に要求するものではありません。
セクション B – カリフォルニア本補遺のこのセクション B は、お客様がビジネスであり、Zoom が CCPA に従ってお客様に代わって個人情報を処理している範囲で、Zoom によるサービスの提供およびお客様によるサービスの利用に適用されます。
- 定義。 本補遺のこのセクション B で使用される場合。(a)「CCPA」とは、2020 年のカリフォルニア州プライバシー権法によって修正された 2018 年のカリフォルニア州消費者プライバシー法、およびそれに基づいて公布されたすべての規制を意味します。(b)「ビジネス」、「ビジネス目的」、「商業目的」、「消費者」、「処理」、「販売」、「サービスプロバイダー」、および「共有」は、CCPA で与えられたそれぞれの意味を持ちます。(c)「個人情報」とは、CCPA で定義されている「個人情報」を意味しますが、個人情報が、本契約に基づくビジネスとしての役割における Zoom からお客様へのサービス提供の結果として、Zoom によって収集、アクセス、取得、受信、使用、開示、またはその他の方法で処理される範囲に限られます。
- 確認と義務。 Zoom は、(a)注文フォームに記載されたサービスを提供するという限定された特定の目的および本契約に記載された目的のためにのみ、お客様によって個人情報が開示されることを認めます。(b)CCPA に基づいてサービス プロバイダーに適用される義務を遵守し、CCPA が要求するのと同じレベルの個人情報のプライバシー保護を提供するものとします。これにはビジネスが提供する必要があるのと同じプライバシー保護が含まれます。(c)お客様は、Zoom による個人情報の利用が CCPA に基づくお客様の義務と一致していることを保証するために、本書のセクション A(2) と一致する合理的かつ適切な措置を講じることができることに同意します。(d)Zoom が CCPA に基づく義務を果たせなくなったと判断した場合は、速やかにお客様に通知するものとします。(e)お客様は、Zoom が有効な削除要求の対象となる個人情報をもはや保持または使用していないことを証明する合理的な文書を Zoom に要求することにより、適用される規制と一致し、それに従って、個人情報の不正使用を停止および是正するための合理的かつ適切な措置を講じることができることに同意します。
- 制限。 Zoom は(a)個人情報の販売または共有、(b)当該目的以外の商業目的、または異なるビジネスのアフター サービスでの個人情報の保持、使用、または開示を含む、セクション B(2)(a) に記載された、またはその他 CCPA によって許可された以外の目的で個人情報を CCPA によって許可された範囲で、Zoom とお客様間の直接的なビジネス関係以外の個人情報の保持、使用または開示を行わないか、または(d)サービス プロバイダーが CCPA で認められている範囲を除き、本契約に従って受け取った個人情報を他の当事者から受け取った個人情報または個人情報に関連する消費者との Zoom 自身のやり取りと結びつけないものとします。 これにより、Zoom はこの補遺に基づいて義務を理解したことを認め、これに従います。
- 監査、レビュー、および評価。 お客様単独の費用および経費で、Zoom が必要とし、CCPA と一致する合理的な要件と書面による同意を条件として、お客様は上記のセクション A(2)(監査および評価)に従って 12 か月に 1 回を超えない範囲で Zoom を監査、レビュー、または評価することができます。
- 消費者の要求。 消費者の要求を受領し、検証した後、お客様は直ちに Zoom に通知し、すべての必要な情報を Zoom に提供するものとし、Zoom は直ちに、お客様が CCPA に基づく権利を行使する個人の要求を満たせるようにするため、消費者の個人情報に関する合理的な要求ができるように当該措置を講じ、当該情報を提供するものとします。これには、個人情報に関する情報へのアクセス、修正、削除、販売または共有のオプトアウト、または受領の要求が含まれますが、これらに限定されません。 Zoom がお客様の消費者から直接要求を受領した場合、Zoom は(i)消費者に当該要求を持ってお客様に直接連絡するように忠告するか、(ii)お客様が連絡して消費者に直接対応することができます。
セクション C – バージニア州、コロラド州、ユタ州およびその他の州。 本補遺のこのセクション C は、お客様が個人データのコントローラであり、Zoom が該当する州のデータ保護法に基づいてお客様の個人データを処理する範囲で、Zoom の条項およびお客様のサービスの使用に適用されます。
- 定義。 本補遺のセクション C に使用されているように、(a)「該当する州のデータ保護法」は(i)修正されているように、コロラド州プライバシー法 2021、バージニア州消費者データ保護法 2021、またはユタ州消費者プライバシー法 2022、または(ii)個人データ保護の目的で制定されたその他の該当する US 州法により、お客様がコントローラであり、Zoom が処理者で、本補遺の諸条件が当該州法の要件に合致し、(b)「コントローラ」、「個人データ」、「処理」、および「処理者」は該当する州のデータ保護法で与えられたそれぞれの意味を有するものとし、(c)「指示」は以下に与えられた意味を有します。
- 個人データの処理: 役割、範囲、および責任。
- 両当事者は次の事項を認め、同意します。お客様は自身の個人データのコントローラです。 Zoom はお客様の個人データの処理者です。
- 必要で相応の範囲でのみ、コントローラとしてのお客様は、自身の代わりに Zoom に処理者としての以下の行為を実行するように指示します(まとめて「指示」)。
- お客様による Zoom 設定の使用、管理者の操作、またはその他のサービス機能を介することを含む、お客様およびそのユーザーによる使用許諾、設定、および使用されるサービスを提供および更新します。
- 安全でリアルタイムのサービスの監視。
- 問題、バグ、エラーの解決。
- お客様が要求されるサポートを提供します。これには、個人のお客様からのサポート要求から得られた知識を、当該知識が匿名化された範囲において、すべての Zoom のお客様のために活用することが含まれます。
- 本契約(これには、本補遺および付属書 A を含む)で提示され、お客様によって提供されて、Zoom によって指示を構成するものとして認められているその他の書類による指示の通りにお客様の個人データを処理します。
- お客様の個人データの処理者として行動する範囲で、Zoom は、お客様の指示のみに従って、お客様の個人データを処理するものとします。 お客様は、Zoom への指示が自身の個人データに該当するすべての法律、規則、規制に従っており、お客様の指示による自身の個人データの処理は、Zoom が該当する州のデータ保護法違反の原因にならないことを保証するものとします。 お客様は、次の事項の正確性、品質、適法性に単独で責任を負います。(i)お客様によって、代わりに提供されたお客様の個人データ。(ii)お客様が当該個人データを取得した方法。(iii)お客様が当該個人データの処理に関して Zoom に提供する指示。 お客様は、本契約または本補遺に違反するいかなる個人データも Zoom に提供または利用させないものとします。
- お客様は限られた状況で Zoom が個人データのスキャニングとレポートを行うことを認めます(例: 児童の性的虐待の検知とレポート、その他の該当する法律に従うこと、Zoom が受諾できる利用ガイドラインの順守を約束すること)。
- 権限を付与された人物。 Zoom は、お客様の個人データを処理する権限を付与されたすべての人物が、個人データの秘密保持を意識しており、データに関する守秘義務の対象であることを保証するものとします。
- 下請け人および下請処理者。 Zoom が処理者である範囲で、お客様は本書により、このセクション C(4) に従って Zoom が下請け人および下請処理者を雇用する権限を全般的に付与します。
- お客様は、個人データを処理するための https://explore.zoom.us/docs/en- us/subprocessors.html における Zoom によるプロバイダーの使用を承認します。
- Zoom は追加のプロバイダーを解任、交換または指名することができます。 https://explore.zoom.us/ja/subprocessors/ でお客様が定期利用の更新を行う場合、Zoom はこれらのプロバイダー契約の変更をお客様に通知するものとします。 該当する州のデータ保護法で必要とされる場合、Zoom は本書のセクション C(4)(d) および C(4)(e) に従って、お客様がその契約に反対する機会も提供するものとします。
- 本サービスの有用性またはセキュリティに関する緊急時には、Zoom は下請け人の解任、交換、または指名についてお客様に事前の通知を提供する必要がありませんが、下請け人の変更後 7 営業日以内に通知を提供するものとします。
- いずれの場合でも、お客様は Zoom による前述の通知の受領から 15 営業日以内に、書面で下請け人との当該契約に反対することができます。
- お客様が新しい下請け人との契約に反対する場合、Zoom は次のオプション(Zoom の単独裁量によって選択される)のひとつを介して反対を解決する権利を有するものとします。
- Zoom は、お客様の個人データに関して下請け人を使用する計画をキャンセルすることができます。
- Zoom は、反対についてお客様によって要求される是正措置(これはお客様の反対を解消する)を講じ、お客様の個人データに関する下請け人の使用を進めることができます。
- Zoom は、お客様の個人データに関する当該下請け人の使用を含む特定のサービス内容の提供を停止でき、お客様は(一時的または恒久的に)使用に反対することができます。 Zoom は、当該契約に対する商業上合理的な代替手段が存在する場合は、書面による記述で提供するものとします。これは、サービスの変更を含みますが、それに限定されません。 Zoom が単独裁量で当該代替手段を提供しない場合、またはお客様が当該代替手段に同意しない場合という条件で、Zoom とお客様は 60 日前の書面による通知で本補遺を含む本契約を終了させることができます。 終了は、本契約に基づく終了の発効日まで提供されるサービスに対して Zoom に支払うべき料金または手数料をお客様から免除しないものとします。
- お客様が Zoom による通知の送達から 15 営業日以内に新しい下請け人との契約に反対しない場合、その新しい下請け人は承認されたものとみなされます。
- Zoom は、書面による契約のみに従ってお客様の個人データを処理する下請け人を雇い、当該個人データに関して委託されている Zoom の義務を履行するように、下請け人に要求するものとします。 Zoom が当該行為または不作為を行った場合、自身が本補遺に基づいて責任を負うのと同じ範囲で、下請け人が自身の義務の履行に対してデータ保護義務を果たせない場合に、お客様に対して責任が残ります。
- 情報セキュリティ。 処理の状況を考慮して、Zoom はお客様の個人データに関する適切な技術的および組織的な措置を維持し、本補遺、および本契約に明記されている通り、これに従ったリスクへの適切なセキュリティ レベルを保証するものとします。
- コンプライアンス情報。 お客様の合理的な要求に基づき、Zoom は、本補遺の義務で Zoom のコンプライアンスを示す必要があり、該当する法律に合致し、従っている Zoom 所有のお客様の合理的な情報を利用可能にするものとします。
付属書 A
処理の記載
処理者に対するコントローラ
処理の性質および目的: Zoom は、本契約(本補遺を含む)に従い、次の目的でお客様の個人データを処理します。
- お客様による Zoom 設定の使用、管理者の操作、またはその他のサービス機能を介することを含む、お客様およびそのユーザーによる使用許諾、設定、および使用されるサービスを提供および更新します。
- 安全でリアルタイムのサービスの監視。
- 問題、バグ、エラーの解決。
- お客様が要求されるサポートを提供します。これには、個人のお客様からのサポート要求から得られた知識を、当該知識が匿名化された範囲において、すべての Zoom のお客様のために活用することが含まれます。
- 本契約および/または本補遺に提示されている、または Zoom によって指示を構成するものとして認められているその他の書類による指示の通りで、
- 必要に応じて法的義務を順守するためです。
処理すべき個人データのタイプ:
Zoom アカウント プロフィール情報: エンドユーザーの Zoom アカウント、プロフィール画像、パスワード、会社名、およびお客様の好みに関連付けられたデータ。 これは、次の情報を含みます。
- Zoom 独自のユーザー ID、
- プロフィール画像(任意)
診断データ:
ミーティングのメタデータ: サービスの使用法についての指標(ミーティングがいつ、どのように行われたかを含む)。
このカテゴリは次の情報を含みます。
- イベントログ(取られた措置、イベントタイプとサブタイプ、アプリ内のイベント位置、タイムスタンプ、クライアント UUID、ユーザー ID、およびミーティング ID を含む)
- 頻度、平均および実際の時間、回数、質、ネットワーク活動、およびネットワーク接続を含むミーティング セッション情報
- ミーティング数
- 画面共有および非画面共有セッションの回数
- 参加者の人数
- ミーティング ホスト情報
- ホスト名
- ミーティング サイトの URL
- ミーティングの開始/終了時間
- 参加方法
- パフォーマンス、トラブルシューティングおよび診断情報
遠隔測定データ: ローカルにインストールされたソフトウェアから収集されたデータ(Zoom サービスおよび関連したシステム環境/技術情報の展開についてのアプリケーションおよびブラウザ情報)。 具体的な方策
- PC 名
- マイクロフォン
- スピーカー
- カメラ
- ドメイン
- ハードディスク ID
- ネットワーク タイプ
- オペレーティング システムの種類とバージョン
- クライアント版
- MAC アドレス
- イベントログ(取られた措置、イベントタイプとサブタイプ、アプリ内のイベント位置、タイムスタンプ、クライアント UUID、ユーザー ID、およびミーティング ID を含む)
- サービスログ(システム イベントおよび状態に関する情報)
その他のサービスを生成するデータ:
- スパム認証
- プッシュ通知
- 次の情報を含むその他のデータ要素と結合される、UUID またはユーザー ID のような Zoom の永続的な固有の識別子:
- IP アドレス
- データセンター
- PC 名
- マイクロフォン
- スピーカー
- カメラ
- ドメイン
- ハードディスク ID
- ネットワーク タイプ
- オペレーティング システムの種類とバージョン
- クライアント版
- ネットワーク パスに沿った IP アドレス
サポートデータ:
- サポート要求者の連絡先、時間、主題、問題の記述、ミーティング後のフィードバック(賛成/反対)
- 記録、写しまたはスクリーンショット、ミーティング後のフィードバックを含むユーザーの添付書類(反対に関する開かれたテキスト)
処理の時間: Zoom がお客様の代わりに処理されるすべての個人データを削除または返却するまでの本契約期間および時間。
Zoom は、その時々に、本プライバシー補遺を変更または補足することがあります。 本プライバシー補遺に対するいかなる当該変更も、ここに記載されます。 本プライバシー補遺に対する変更または補足の通知を受領したい場合は、下のテキスト ボックスにメールアドレスを入力してください。