カスタマーサービスを安全に提供する

侵入を防ぐ

Zendeskはセキュリティに非常に真剣に取り組んでいます。このことは、当社にデータを信託しているフォーチュン100およびフォーチュン500ランキング企業の数が証明しています。 エンタープライズクラスのセキュリティ機能と、アプリケーション、システム、ネットワークの包括的な監視機能を組み合わせることにより、顧客データを常に安全に保護しておりますので、当社のお客様は言うまでもなく、すべてのユーザーに安心してご利用いただけます。

コンプライアンス証明書とメンバーシップ

Zendeskはベストプラクティスを駆使し、業界基準に準拠して、業界で認められた一般的なセキュリティおよびプライバシーの枠組みにおけるコンプライアンスを達成し、サブスクライバーがそのコンプライアンス基準を満たすよう支援しています。

セキュリティコンプライアンス
SOC 2 Type II

当社は、SOC 2 Type II報告書の更新を受けるため、定期的に監査を実施しています。報告書は秘密保持契約に署名いただき、ご請求いただくと閲覧できます。 最新のSOC 2 Type II報告書を請求する

ISO 27001:2013

Zendeskは、ISO 27001:2013の認証を取得しています。 証明書をダウンロードする

ISO 27018:2014

Zendeskは、ISO 27018:2014の認証を取得しています。 認証証明書はこちらでダウンロードできます。

FedRAMP LI-SaaS

Zendeskは、米国連邦リスク認証管理プログラム(FedRAMP)により、影響度の低いソフトウェアアズアサービス(Low Impact Software-as-a-Service (LI-SaaS))として認定されており、FedRAMPマーケットプレイス)に社名が掲載されています。 米国政府機関に属するサブスクライバーは、パッケージアクセスリクエストフォームに必要事項を記入いただくか、ご請求をfedramp@zendesk.com宛てに送信いただくことにより、Zendesk FedRAMPセキュリティパッケージにアクセスできます。

業界標準へのコンプライアンス
PCI-DSS (クレジットカード業界情報保護セキュリティ基準)

Zendeskサポートは、クレジットカードの最後の4桁以外を非表示にする、設定変更可能なPCI順守クレジットカード欄を提供しています。 ZendeskのPCIコンプライアンスについて知る

メンバーシップ
McAfee Cloud Trust - McAfee Enterprise Ready

Zendeskは、McAfee CloudTrustプログラムの認証を取得しています。 このプログラムでは、最高のCloudTrust™ 格付けを持つサービスだけに、McAfee Enterprise対応のシールを提供します。 シールを取得したサービスは、データ、ユーザーとデバイス、セキュリティ、ビジネス、および法的評価の各カテゴリにわたる各属性に基づいて、McAfee CloudTrust™ とMcAfee Enterprise-Readyの格付けを取得します。

クラウドセキュリティアライアンス (CSA)

Zendeskは、Cloud Security Alliance(CSA)のメンバーです。CSAは、クラウドコンピューティングにおけるセキュリティ確保を実現するためのベストプラクティスの使用の推進を使命とする非営利組織です。 CSAが立ち上げたSecurity, Trust & Assurance Registry(STAR)は誰でもアクセス可能な公開レジストリで、クラウドプロバイダは様々なクラウドコンピューティングのセキュリティコントロールを登録し、公開することができます。 Zendeskは、デューデリジェンス自己評価の結果に基づき、公開されるConsensus Assessment Initiative (CAI) のアンケートに回答しました。

CSA CAIQ は、こちらからダウンロードできます。

IT-ISAC

Zendeskは、IT-ISAC(​Information Sharing and Analysis Center)のメンバーです。IT-ISACは、進化するテクノロジーを活用し、セキュリティへの共通のコミットメントを持つ、民間セクターの様々な企業をまとめることに注力する団体です。 IT-ISACでは、脅威インテリジェンスに関する重要かつ実用的な情報や対策方法などを共有し、協力し合うことができます。 また、インテリジェンス、インサイダー脅威、フィジカルセキュリティ、およびその他の特定領域に注力する各特定利害関係者グループを調整することで、Zendeskのセキュリティをさらに高めるというミッションが推進されます。

FIRST

Zendeskは、FIRST(Forum of Incident Response and Security Teams)のメンバーです。FIRSTは、コンピュータセキュリティインシデントに協力して対処し、インシデント防止プログラムを促進する活動を行っています。 FIRSTのメンバーは、技術情報やツール、手法、プロセス、ベストプラクティスの開発に取り組み、共有に努めています。 FIRSTのメンバーとして、Zendeskセキュリティチームは、他のメンバーと協力して、メンバーの知識、スキル、そして経験を活かすことで、より安全で安心なグローバル電子環境の実現を目指します。

金融サービス資格認定制度(FSQS)

Zendeskは、FSQS(Financial Services Qualification System)認定の事業者として、加盟する金融機関が提示するすべての要件(ステージ1およびステージ2)を満たしています。 最新のFSQS認証は、こちらで請求できます。

FSQSの詳細は、https://hellios.com/fsqs/をご覧ください。

アーティファクト

ご要望に応じて、追加のリソースを提供いたします。

直接ダウンロード可能なリソース(NDA対象外)

ISO 27001:2013認証

ISO 27018:2014認証

SOC 3レポート

データシート / ホワイトペーパー

コンプライアンスのPCI構成証明(AoC)およびコンプライアンス証明書

ネットワークアーキテクチャ図

  • Support/Guide
  • チャット
  • Talk

CSA CAIQ

リスク台帳

FSQS (金融サービス資格認定システム)

リソース入手はこちら
NDAリソース

以下のリソースは、閲覧にNDAが必要となる場合があります。 アクセスするにはボタンをクリックしてください。

保険証明書

SOC 2 Type II レポート

年間侵入テストの概要

事業継続性とディザスタリカバリテストの概要

SIG Lite

VSA

HECVAT Lite

すでにご利用中のサブスクライバーは、Admin UIでこれらのリソースにアクセスできます:

クラウドセキュリティ

データセンターの物理的なセキュリティ
設備・施設

ZendeskはISO 27001、PCI DSSサービスプロバイダーレベル1、SOC 2のいずれか、またはすべてに準拠したAWSデータセンターでサービスデータを保護しています。 AWSのコンプライアンスについて知る

AWSインフラストラクチャサービスには、バックアップ電源、HVACシステム、防火設備が含まれ、サーバーとお客様のデータを保護しています。 AWSのデータセンター管理について知る

オンサイトセキュリティ

AWSオンサイトセキュリティには、警備員、フェンス、監視カメラ、侵入検知技術、およびその他のセキュリティ対策が含まれます。 AWSのフィジカルセキュリティの情報

データホスティングの場所

Zendeskは米国、EUおよびアジア太平洋地域にあるAWSデータセンターを利用しています。 貴社のZendeskサービスデータのデータホスティング地について知る

Zendeskでは、米国(US)、オーストラリア(AU)、日本(JP)、または欧州経済地域(EA)をはじめとする様々なデータホスティング地域のオプションを提供しています。 製品、プラン、地域のサービスの詳細は地域データホスティングポリシーをご覧ください。

ベンダーセキュリティ

Zendeskは、当社システムまたはサービスデータに任意のレベルのアクセス権を持つ全てのベンダーに対し、セキュリティレビューを実行することにより、サードパーティベンダーに関連するリスクを最小化します。

ネットワークセキュリティ
専任のセキュリティチーム

世界各地に配備されたZendeskのセキュリティチームは、セキュリティアラートやセキュリティイベントの発生に備え、24時間年中無休で待機しています。

保護

Zendeskのネットワークは、AWSの主要なセキュリティサービス、Cloudflareのエッジ保護ネットワーク、定期的な監査、既知の悪意あるトラフィックとネットワーク攻撃を監視して防御するネットワークインテリジェンス技術により、保護されています。

Zendeskのネットワークセキュリティアーキテクチャは、複数のセキュリティゾーンで構成されています。 データベースサーバーのような機密性のより高いシステムは、最も信頼性の高いゾーンで保護されます。 他のシステムは、機能や情報分類、リスクに応じて、機密性に見合ったゾーン内に格納されます。 ゾーンに応じて、追加のセキュリティ監視およびアクセス制御が適用されます。 DMZは、インターネットと内部ネットワークとの間、および信頼性の高さが異なるゾーン間で利用できます。

ネットワークの脆弱性スキャン

ネットワークセキュリティスキャンにより、コンプライアンスに準拠していないシステムや潜在的に脆弱なシステムをすばやく特定するためのインサイトを取得できます。

サードパーティによる侵入テスト

社内で広範に実施するスキャニングとテストプログラムに加えて、毎年サードパーティのセキュリティ専門家に依頼し、Zendeskの制作部門や企業ネットワーク全体で幅広い侵入テストを実行しています。

セキュリティインシデントイベント管理

Zendeskのセキュリティインシデントイベント管理(SIEM)システムは、重要なネットワークデバイスとホストシステムから膨大なログを収集します。 SIEMは、調査と対応のための相関イベントに基づいて、セキュリティチームに通知するトリガに警告します。

侵入検知と防御

サービスの入力ポイントと出力ポイントが装備されており、変則的挙動を監視・検知します。 ここに挙げたシステムはすべて、インシデントと値が所定のしきい値を超えたときに警告を生成し、新たな脅威に基づいて定期的に更新される署名を使用するように構成されています。 これには、24時間年中無休のシステム監視も含まれます。

脅威インテリジェンスプログラム

Zendeskは、様々な脅威インテリジェンス共有プログラムに参加しています。 脅威インテリジェンスネットワークに投稿された脅威を監視し、リスクに基づいて対応します。

DDoS攻撃の緩和策

Zendeskは多層アプローチを構築し、DDoS攻撃を軽減しています。 Cloudflareとのコア技術を連携させることでネットワークエッジを防御するだけでなく、AWSのスケーリングと保護ツール、またはAWS DDoS特定サービスを併せて使用することにより、さらに強靭な保護を提供します。

論理アクセス

Zendeskの本番ネットワークへのアクセスは、明らかに知る必要のある人に制限され、最小限の特権の原則で運用され、頻繁に監査、監視されており、Zendeskのオペレーションチームが管理しています。 Zendeskの本番ネットワークにアクセスする従業員は、多要素認証を実行する必要があります。

セキュリティインシデント対応

システムアラートが発生すると、オペレーション、ネットワークエンジニアリング、セキュリティ保証を提供するZendeskの24時間年中無休セキュリティチームにイベントがエスカレーションされます。 従業員は、コミュニケーションチャネルおよびエスカレーションパスを含む、セキュリティインシデント対応プロセスのトレーニングを受けています。

暗号化
転送時の暗号化

Zendesk UIとAPIにおける通信はすべて、パブリックネットワークを介した業界標準のHTTPS/TLS(TLS 1.2以上)を通じて暗号化されます。 これにより、お客様とZendeskとの間に発生するすべてのトラフィックが、転送時も安全に保護されます。 またメールについては、デフォルトでTLSによる日和見暗号化を採用しています。 Transport Layer Security(TLS)は、メールを暗号化して安全に配信するプロトコルです。同等のサービスによってこのプロトコルがサポートされているメールサーバー間において、盗聴を軽減します。 例外として、SMS機能、サードパーティのアプリ、インテグレーション、サブスクライバーが任意で導入するサービスの利用時は暗号化が行われない場合があります。

保管時の暗号化

サービスデータはAWSへの保存時に、AES-256暗号鍵を使用して暗号化されます。

可用性と継続性
アップタイム

Zendeskは、誰でもアクセス可能なシステムステータスWebページを公開しており、システム可用性の詳細情報、保守スケジュール、サービスインシデント履歴、関連するセキュリティイベントなどを掲載しています。

冗長性

Zendeskは、サービスクラスタリングおよびネットワーク冗長化により、単一障害点を解消しています。 厳格なバックアップ体制と拡張ディザスタリカバリサービスにより、サービスデータがアベイラビリティゾーンを超えて複製されるため、お客様にハイレベルなサービスを提供できます。

ディザスタリカバリ

Zendeskのディザスタリカバリ(DR)プログラムは、災害発生時にもZendeskのサービスの稼働を維持すること、あるいは速やかに復旧させることを保証するものです。 堅牢な技術環境の構築、災害復旧計画の策定、様々なテストの実施などにより実現されています。

拡張ディザスタリカバリ

当社の拡張ディザスタリカバリパッケージには、契約上の目標復旧時間(RTO)と目標復旧時点(RPO)が含まれています。 これらの契約上の目標は、災害宣言が出された場合に、拡張ディザスタリカバリのサブスクライバーの業務を優先的に遂行する機能と連動します。

ディザスタリカバリ保証についてより詳細な情報を取得する。

アプリケーションセキュリティ

安全な開発 (SDLC)
フレームワークセキュリティ管理

Zendeskはセキュリティ制御機能を備えた最新かつ安全なオープンソースを活用し、OWASP Top 10のセキュリティリスクにさらされないよう対応しています。 このような固有の制御機能は、SQLインジェクション(SQLi)、クロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(CSRF)への露出を削減しています。

品質保証

Zendeskの品質保証(QA)部門がコードベースをレビューし、テストします。 アプリケーションセキュリティ専任のエンジニアが、コード内のセキュリティ脆弱性を特定し、テストし、トリアージします。

環境の分離

テスト環境およびステージング環境は、論理的に本番環境と分離されています。 サービスデータは、開発環境やテスト環境では一切使用されません。

脆弱性の管理
動的な脆弱性スキャン

Zendeskはサードパーティ製のセキュリティツールを導入し、OWASP Top 10のセキュリティリスクに対し、主要アプリケーションの動的スキャンを継続的に行っています。 社内に専任の製品セキュリティチームを置いてテストを実施し、エンジニアリングチームと協力して、検知された問題の修正を行っています。

ソフトウェア構成分析

当社の製品で使用されるライブラリと従属要素をスキャンして脆弱性を特定し、脆弱性に対応するよう確保します。

サードパーティによる侵入テスト

社内で広範に実施するスキャニングとテストプログラムに加えて、Zendeskはサードパーティのセキュリティ専門家に依頼し、Zendeskファミリーの複数のアプリケーションに対しても精密な侵入テストを実施しています。

責任ある開示 / バグバウンティプログラム

Zendeskの責任ある開示プログラムは、HackerOneとのパートナーシップを通じて、Zendeskのセキュリティ脆弱性をテストおよび通知するための手段を、サブスクライバーとセキュリティ研究者に提供します。

製品のセキュリティ

認証セキュリティ
認証オプション

Zendeskにはいくつかの認証オプションがあり、サブスクライバーは、エンドユーザーとエージェントの認証のため、Zendeskネイティブ認証、ソーシャルメディアのシングルサインオン(SSO)(Facebook、Twitter、Google)、およびエンドユーザー向けエンタープライズSSO(SAML、JWT)を利用できます。 ユーザーアクセスの詳細情報

設定可能なパスワードポリシー

管理センターから入手できるZendeskネイティブ認証は、低、中、高の3段階のパスワードセキュリティレベルがあります。またエージェントと管理者向けにカスタムパスワードルールをカスタマイズすることも可能です。 また、エンドユーザー向けのパスワードセキュリティレベルと、管理者とエージェント向けのパスワードのセキュリティレベルには、それぞれ異なるレベルを設定できます。 パスワードセキュリティレベルを変更できるのは管理者のみです。 設定可能パスワードポリシーの説明

2要素認証(2FA)

管理センターを通じて入手できる製品のZendeskネイティブ認証では、SMSや認証アプリを通じてエージェントや管理者向けの2要素(2FA)認証をご利用いただけます。 2FAについて知る

サービス資格情報の保管

Zendeskは、認証情報の安全な保管に関するベストプラクティスにしたがい、人間が読める形式でパスワードを格納することはありません。パスワードは、安全で暗号化された一方向のハッシュ値として格納されます。

追加の製品セキュリティ機能
ロールベースアクセスコントロール

Zendeskアプリケーション内のデータへのアクセスはロールベースアクセスコントロール(RBAC)で管理され、きめ細かなアクセス権を定義するよう構成できます。 Zendeskにはオーナー、管理者、エージェント、エンドユーザーなどのユーザーのタイプごとに、様々な権限レベルが用意されています。

ユーザーロールについて知る:

グローバルセキュリティとユーザーアクセスの詳細

IP制限

Zendeskアカウントは、Zendeskサポートへのアクセスを、特定の範囲のIPアドレスのユーザーへ制限できます。 許可されたIPアドレスのユーザーだけが、Zendeskアカウントにサインインできます。 サブスクライバー(エージェントやシステム管理者ではなく)に対し、この制限を回避するように設定することができます。 詳細は、「IP制限を使用してZendeskサポートとヘルプセンターへのアクセスを制限する」と「チャットにIPアドレス制限を使用する」をご覧ください。

ヘルプセンター向けにホストされた暗号化証明書(TLS)

Zendeskは、ホストマッピングされたGuideヘルプセンター向けTLS暗号化通信を、無料で提供します。 Zendeskは、証明書の期限が切れる前に証明書を請求し自動更新するLet’s Encryptを使用しています。

ご希望の場合は、お客様自身の証明書をアップロードできます。

Guideヘルプセンター向けに暗号化証明書を設定する方法の詳細は、「ホストされたTLS暗号化証明書を設定する」をご覧ください。

Chatのファイル制限

Zendesk Chatを使うと、エージェントに送付されるファイルの種類を制限できます。 または、Chat製品内でのファイル送信を、完全にオフにすることも選択できます。 この機能の詳細は「ライブチャット内のファイル送信を管理する」をご覧ください。

監査ログ

Zendeskは、Enterprise/Enterprise Plusプランのアカウントに監査ログを提供しています。 これらのログには、アカウントの変更、ユーザーの変更、アプリの変更、ビジネスルール、チケットの削除と設定が含まれます。 監査ログは、「管理センター」と「サポートAPI」の両方で閲覧できます。 監査ログの詳細と、ログ内で提供されている情報の種類を確認するには、「監査ログを閲覧して変更点を確認する」をご覧ください。

プライベート添付ファイル

サブスクライバーは、チケットの添付ファイルを閲覧する際にユーザーにサインインを要求するようインスタンスを設定できます。 プライベート添付ファイルについて知る

機密データの非表示機能

Zendeskには、機密データを削除するための2種類の非表示機能があります。 手動の非表示機能では、Supportのチケットに入力された機密データの非表示や削除、および添付ファイルを安全に削除することにより、機密情報を保護することができます。 チケットからのデータの削除はUIまたはAPIを通じて行われ、機密情報がZendeskに保存されることはありません。 UIまたはAPI経由の非表示機能について知る

自動非表示機能は、サブスクライバーが提出したチケットからクレジットカード番号を自動削除する機能です。 この機能を有効にすると、チケット上のクレジットカード番号の部分は、空欄で置き換えられます。 クレジットカード番号は、ログとデータベース入力からも非表示にされます。 この機能を有効にする方法と、クレジットカード番号を特定する方法の詳細は、「チケットから自動的にクレジット番号を非表示にする」と「chats」をご覧ください。

ヘルプセンター用のスパムフィルタ

Zendesk のスパムフィルタリングサービスでは、エンドユーザーのスパム投稿がヘルプセンター内で公開されないように設定することができます。 ヘルプセンターでのスパムのフィルタリングについて知る

メールの署名(DKIM/DMARC)

Zendeskは、お客様が、ご自分のZendesk上に外部Eメールドメインを設定する必要がある場合、お客様のZendeskからの送信Eメールに署名を行う、DKIM(Domain Keys Identified Mail)およびDMARC(Domain-based Message Authentication, Reporting, Conformance)機能を提供しています。 これらの機能に対応するEメールサービスを利用いただくことで、なりすましのEメールを阻止できます。 メールへのデジタル署名について知る

デバイス追跡

Zendeskは各ユーザーアカウントのサインインに使用されたデバイスを追跡します。 ユーザーが新しいデバイスからアカウントにサインインした場合、そのデバイスがユーザープロフィールのデバイスリストに追加されます。 新しいデバイスが追加されるとユーザーにEメール通知が届きます。疑わしいアクティビティには対応する必要があります。 疑わしいセッションはエージェントの UI から終了させることができます。 デバイス追跡について知る

HRセキュリティ

セキュリティ意識の向上
ポリシー

Zendeskは、幅広いトピックに対応する包括的なセキュリティポリシーを策定しています。 これらのポリシーは、Zendeskの情報資産へのアクセス権を持つ全従業員と請負業者に公開および提供されています。

トレーニング

全従業員が入社時から毎年、セキュリティ意識向上トレーニングに参加しています。 また全てのエンジニアが毎年セキュアコードトレーニングを受けています。 さらにセキュリティチームは、メールやブログ投稿、社内イベントにおけるプレゼンテーションを通じて、セキュリティ意識に関する最新情報を提供しています。

従業員の審査
身元調査

Zendeskは現地の法律に従い、新しい従業員全員を対象に身元調査を行います。 これらの調査は、請負業者についても必要となります。 身元調査には、犯罪歴、学歴、就労資格証明などの調査が含まれます。 清掃スタッフも身元調査の対象です。

機密保持契約

新入社員は全員、秘密保持契約への署名が求められます。

Zendeskのグローバルプライバシープログラムへようこそ

Zendeskは、正規のグローバルプライバシーおよびデータ保護プログラムを定めており、これは当社の法務、セキュリティ、製品セクター、そしてエクゼクティブ層を含む、部門横断的な主要ステークホルダーが対象となります。 プライバシーの擁護者として、当社は、当社サービスとチームメンバーが、適用される規制と業界の枠組みを順守するよう、真剣に取り組んでいます。

コンプライアンス

1988年オーストラリアプライバシー法とプライバシーの原則

1998年オーストラリアプライバシー法(随時改定されます)は、様々なデータ主体の権利を規定するもので、関連するデータ侵害に関する通知義務が追加されました。 GDPRとは異なり、データ管理者やデータ処理者の概念はありません。https://www.zendesk.com/company/anz-privacy/

ブラジルのLei Geral de Proteção de Dados Pessoais (LGPD)に関する補遺

ブラジル一般データ保護法(Lei Geral de Proteção de Dados Pessoais「LGPD」)は、2020年9月18日に発効しました。 LGPDは総合的なデータ保護法で、データ管理者と処理者の活動および個人の権利について規定しています。

Zendeskサービス内で個人データを収集し保管するZendeskのサブスクライバーは、LGPDに基づき「管理者」とみなされます。 管理者は、その個人データの処理が、LGPDを含む関連するデータ保護法を順守するよう確保する主たる責任を負います。 Zendeskは、当社サービスを通じて行う個人データの処理に関し、LGPDで定義される「処理者」として機能します。

サブスクライバーは、Zendeskの製品をコンプライアンスイニシアティブに沿って使用する方法の詳細を知りたい場合、「製品ガイド」と「サービスデータ削除ポリシー」をご覧ください。国立データ保護機関(「ANPD」)は、将来、LGPDに関する追加のガイダンスを発行する可能性があります。 Zendeskは、今後も法律の変更を積極的に追跡し、当社のサブスクライバーのコンプライアンスの取り組みを支援するために使用できる特性や機能について、最新情報を提供していきます。

Zendeskの基本サブスクリプション契約のLGPDに関する補遺を閲覧したい場合、または署名したい場合は、こちらをクリックしてください。 Zendesk基本サブスクリプション契約には、ブラジル地域を対象とする「地域特約条項」が含まれています。

カリフォルニア州消費者プライバシー保護法(CCPA) に関する補遺

カリフォルニア州消費者プライバシー保護法、Cal. Civ. Code §§ 1798.100 et seq.(CCPA)は、カリフォルニア州で制定された米国の法律で、2020年1月1日に施行されました。 同法は、一定のカリフォルニア州消費者に提供されるプライバシーの権利を拡大し、一部の企業に様々なデータ保護要件の順守を要求しています。 最終版CCPA規則およびカリフォルニア州プライバシー権法(「CPRA」)もご確認ください。 いくつかのCPRAの規定は、2020年12月16日に発効されており、CRPAの残りの条項は2023年1月1日に施行されます。

Zendeskサービス内で個人情報を収集し保管するZendeskのサブスクライバーは、CCPAに基づき「事業者」とみなされます。 事業者は、その個人データの処理が、CCPAを含む関連するデータ保護法を順守するよう確保する主たる責任を負います。 Zendeskは、当社サービスを通じて行う個人データの処理に関し、現行のCCPAで定義される「サービス提供者」として機能します。 そのためZendeskは、本サービスを通じて処理されるサブスクライバーとサブスクライバーのエンドユーザーの個人情報を、サブスクライバーとの既存の契約に基づく当社の義務を履行する目的のためにのみ、収集、アクセス、維持、使用、処理、移転します。そのような義務を遂行する以外の商業目的、および当社が提供する本サービスを改善する以外の商業的目的で、個人情報を収集、アクセス、維持、使用、処理、移転することはありません。

Zendeskは、サブスクライバーの個人情報を、当社はCCPAに定義する意味で「販売」しません。 Zendeskは、CCPAにおいて個人情報とはみなさない、本サービスの利用に関する集計されたおよび/または匿名化された情報を、本サービスの開発と改善のため、またサブスクリプション契約に詳述されるとおり、より関連性の高いコンテンツとサービスを提供するため、当社を支援するサードパーティと共有することがあります。

Zendeskの基本サブスクリプション契約のCCPAに関する補遺は、こちらで閲覧できるとともに、署名できます。

カナダの個人情報保護および電子文書法(PIPEDA)

カナダの個人情報保護および電子文書法(PIPEDA)は、2000年に発効し、同法は個人情報の収集、使用、アクセス、および開示の規則を形成する10の公正な情報の原則に主眼に置いています。 2021年10月、カナダ国際技術協会(ITAC)と、情報技術産業評議会(ITIC)は、カナダ市民へより大きなプライバシーと透明性の権利を与えるよう、PIPEDAを改正することを提案しました。

データ処理契約(DPA)

ZendeskのDPAは、こちらで閲覧できるとともに署名できます。 Zendeskのデータ処理契約(DPA)は、当社サービスに適用される特定の処理活動とセキュリティ対策について規定しています。

サブスクライバーは、「製品ガイド」および「サービスデータ削除ポリシー」をお読みになり、プライバシーおよびデータ保護法を順守して、Zendeskの製品を使用するための詳細情報を確認してください。

EU一般データ保護規則(GDPR)

設立当初より、Zendeskのアプローチは、プライバシー、セキュリティ、コンプライアンス、および透明性への強いコミットメントを柱としてきました。 このアプローチには、当社のサブスクライバーが、一般データ保護規則(「GDPR」)の規定をはじめとするEUデータ保護要件を順守するよう支援することが含まれます。

GDPRは、EU市民の個人データを収集、移転、ホストまたは分析するサブスクライバーに対し、GDPRの技術的および組織上の要件を履行する能力を保証する、サードパーティデータ処理者を起用することを求めています。 サブスクライバーの信頼をさらに得られるように、Zendeskはデータ処理契約(「DPA」)を更新して、適用されるEUデータ保護法に準拠することについてお客様に対し契約上の約束を行うとともに、GDPRで要求された契約上の追加規定を盛り込みました。

拘束的企業準則(BCR): 拘束的企業準則(「BCR」)は、欧州経済領域内(「EEA」)からEEA域外の諸国に個人データを円滑に移転するための全社的なデータ保護ポリシーであり、欧州データ保護当局から承認を受けています。 BCRは、欧州共同体データ保護当局が規定した厳格なプライバシー原則に基づいており、これらの当局との集中協議することが要求されます。 サブスクライバーは、認定組織の全リストを、こちらにある拘束的企業準則認定組織リストで確認いただけます。 2017年に、Zendeskは、アイルランドデータ保護監督官(「DPC」)との間で、処理者および管理者として、BCRのEU承認手順を完了しました(英国情報委員会とオランダデータ保護当局の両者による審査を完了しています)。 重要な規制当局からの承認により、Zendeskがグローバルで顧客とその従業員の両方の個人データを保護するために、可能な限り最高の基準に準拠していることが確認されました。 Zendeskは、世界で初めてBCRについて承認を受けたソフトウェア会社の1社であり、アイルランドのDPCより承認を受けた2番目の会社です。

ZendeskのBCRにアクセスするには、以下をご覧ください。
Zendeskの処理者拘束的企業準則は、Zendeskがその顧客に代わって個人データを処理する場合に適用されます。
また、
Zendeskの管理者拘束的企業準則は、Zendeskがデータ管理者として個人データを処理する場合に適用されます。

データ主体の請求: サブスクライバーのサービスデータ内でサブスクライバーに代わり当社が保存または処理する個人データに関してデータ保護権を行使しようとする個人(かかる個人データへのアクセスを求める、または個人データの修正、変更、削除、移動、または処理の制限を求める個人を含みます)は、そのような照会を当社サブスクライバー(データ管理者)に対し行う必要があります。 サブスクライバーから、Zendeskに対して個人データを削除するよう請求を受けた場合、当社は、30日以内にそのような請求に対応します。 当社は、サブスクライバーに本サービスを提供するために必要な期間、個人データを保持し、サブスクライバーに代わりデータを処理し、保存します。

データ保護責任者: Zendeskのデータ保護責任者(「DPO」)へは、privacy@zendesk.comからお問い合わせください。

プライバシーシールド 米国 商務省は、欧州委員会およびスイス政府との間で、EU-米国、およびスイス-米国 プライバシーシールドフレームワーク(「プライバシーシールド」)を策定し、企業に対し、欧州データ保護法の趣旨に沿った十分な水準の保護を確保して、欧州連合から米国へ個人データを移転するしくみを規定しました。 Zendeskは、米国商務省に対し、EU-米国プライバシーシールドフレームワークおよびスイス-米国 プライバシーシールドフレームワークの順守について自己認証しており、 商務省の自己認証によるプライバシーシールド参加者のリストに、追加されています。 この認証は、当社は欧州およびスイスの個人データを米国に移転する際に、プライバシーシールドの原則を順守していることを確認するものです。

2020年7月16日、欧州司法裁判所(「CJEU」)は、EU-米国 プライバシーシールドプログラムを無効と認定する決定を行いました。 プライバシーシールドの無効判定やそれに関するZendeskの立場に関して、疑問をおもちの方の疑問を解消できるように、こちらのブログ投稿を公開しています。

フランスの医療データホスティング(HDS、Héberger des données de santé)認定

HDSは、Zendeskのプラットフォームを、適切な技術的および統制手段を有しており、個人健康情報(PHI)を保護するものとして認定し、フランスの医療従事者に、Zendeskの顧客サービスとエンゲージメントプラットフォームを安心して使ってもらえるようにしています。 詳細情報は、こちらで閲覧できます。

2020年ニュージーランドのプライバシー法と情報プライバシーの原則

2020年12月1日に施行された2020年ニュージーランドプライバシー法は、代理業者に適用され、1993年の原則に基づく枠組みを維持しています。 2020年プライバシー法では、事業者にはニュージーランド国外に送信する個人情報が適切に保護されるよう確保する責任があると定めており、また義務的な違反通知要件を追加しました。https://www.zendesk.com/company/anz-privacy/

シンガポールの個人データ保護法(PDPA)

シンガポール個人データ保護法は、2014年7月2日付で、個人データの収集、使用、開示に適用されるデータ保護法規を制定しました。 Zendeskは、シンガポール情報通信開発庁(IDA)に、SaaS(サービスとしてのソフトウェア)のサービス業者として認定されています。 詳細情報は、こちらで閲覧できます。

英国GDPRとブレグジット

英国は、2020年1月31日に欧州連合を離脱しました。 2021年6月28日、欧州委員会は、GDPRに基づく英国への個人データの移転について十分性認定を採択しました。

米国の医療保険の携行性と責任に関する法律(HIPAA)と業務提携契約(BAA)

HIPAA対応アカウントを取得するには、(1) 高度セキュリティ対応関連サービスまたは高度コンプライアンス対応関連サービスアドオンを購入し、(2) Zendeskの概要説明にしたがって一連のセキュリティ設定を有効化し、かつ (3) 当社の業務提携契約 (「BAA」)に署名する必要があります。 HIPAA対応するサービスの一覧などの詳細は、「高度コンプライアンス」をご覧ください。

サブスクライバーのサービスデータの詳細

サービスデータとは、Zendeskサービスを通じて移転される個人データを含む任意の情報で、サブスクライバーおよびそのエンドユーザーによって、またはそれらに代わって、Zendeskサービス内に保管されるものを指します。 当社は、本サービスを運用、改善し、お客様が本サービスへアクセスし利用できるようにし、サブスクライバーの問い合わせに応え、本サービスに関する通信を送付するために、サービスデータを使用します。

付録/その他の参考資料

アクセス: Zendeskは、顧客が効果的にご自身の情報を保護できるよう、一連の高度なアクセスおよび暗号機能を提供しています。 Zendeskサービスの提供、維持、改善に必要な場合およびその他の形で、法律で要求される場合を除き、それ以外の目的のために顧客のコンテンツにアクセスし、使用することはありません。 詳細情報はこちらをご覧ください。

データホスティング: Zendeskは、こちらおよび「地域データホスティングポリシー」に記載するとおり、サービスデータをホスティングするためAmazon Web Servicesを利用しています。 詳細情報は、「セキュリティセクション」もご覧ください。

本サービスで収集されるデフォルトのデータの種類: Zendeskは、製品毎に分類されたデータポイントの一覧を用意しています: データの種類の全容を知りたい場合は、それらの個々の意図された使用例と結果として生成されたデータの種類と併せて、この一覧を活用してください。

法的要求または政府からの請求: プライバシー、データセキュリティ、およびサブスクライバーの信頼は、当社にとって最優先事項です。 プライバシーポリシーに詳述するとおり、Zendeskは、本サービスを提供し、適用される法令を順守するために必要な場合を除き、サービスデータを開示しません。 サブスクライバーが、コンプライアンスを確認できるように、以下の追加リソースを用意しました。 透明性レポートおよび政府請求に関するポリシー

所有権: プライバシーの観点からは、サブスクライバーが、サービスデータの管理者であり、Zendeskは処理者です。 これは、お客様によるZendeskサービスのサブスクリプション期間中、お客様が、Zendeskインスタンス内のサービスデータに対する所有権と管理権を留保することを意味します。

レプリケーション: Zendeskは、アーカイブ、バックアップ、監査ログの目的でデータを定期的に複製します。 当社は、Amazon Web Services (AWS) を利用して、データベース情報や添付ファイルなどのバックアップされる情報を保存します。 詳細は、「地域データホスティングポリシー」をご覧ください。

セキュリティ: Zendeskは、データセキュリティを優先しており、エンタープライズクラスのセキュリティ機能を、当社のアプリケーション、システム、ネットワークの包括的な監査と組み合わせることで、サブスクライバーと事業者のデータが保護されるよう確保します。 詳細情報は、こちらをご覧ください。

セキュリティインシデント: セキュリティインシデント管理に関する詳細情報は「セキュリティインシデント対応」をご覧ください。

復処理者 Zendeskは、本サービスを提供、保護、改善するため、Zendeskの関連会社およびサードパーティ企業を含む、復処理者を使用する場合があり、そのような復処理者はサービスデータにアクセスできます。 「復処理者ポリシー」には、全ての復処理者の名称と所在地の最新のリストが記載されています。

解約: Zendeskは、サブスクライバーのZendeskサブスクリプション契約の解約または終了の際にZendeskがデータを削除する手続について説明する「サービスデータ削除ポリシー」を維持しています。

プライバシー関連ポリシー

ポリシー

Zendeskが、当社Webサイト上で、Cookieを使用する方法についての詳細情報です。

Zendeskが、Zendeskサービス内でいつどのようにCookieを使用するかについての情報を記載しています。

Zendeskのサービス内でのアカウントの取消し、解約、移行に関連して、サブスクライバーのサービスデータがどのように削除されるかについて記載しています。

このフレームワークは、お客様データのセキュリティとプライバシーに関し、各分野についての管理責任を明確にするものです。

プライバシー関連のアプリケーション機能

プライバシーおよびデータ保護ツール

Zendeskは、データへのアクセス、修正、移行、削除、異議申し立てなど、ユーザーからの請求、または適用されるプライバシーおよびデータ保護法にもとづくその他の義務を支援するために、各製品にツールを用意しています。 各Zendesk製品の特性および機能の情報は、「Zendesk製品のプライバシーおよびデータ保護の順守」をご覧ください。

アクセス管理

Zendeskは、サブスクライバーが効果的にその情報を保護できるよう、一連の高度なアクセスおよび暗号機能を提供します。 Zendeskのサービスの提供、維持、改善に必要な場合、そして適用される法令で要求される場合を除き、サブスクライバーのデータにアクセスしたり、データを使用したりすることはありません。 詳細情報は、こちらで閲覧できます。

認証

Zendeskは、数多くの国際的に知名度の高い証明書や適格性認定を取得しており、第三者による保証フレームワークの順守が証明されています。 セキュリティ証明書はこちらをご覧ください。

データホスティング地

データセンターの場所でデプロイされる関連サービス」 (「データセンター ロケーション アドオン」)を購入したサブスクライバー、またはサービスプランにデータセンターの場所の機能が含まれているサブスクライバーは、サービスデータをホストする地域を、Zendeskの利用可能な地域リストから選ぶことができます。

プライバシーバイデザイン

Zendeskは、堅牢なグローバルプライバシーおよびデータ保護プログラムを配備しており、顧客にZendeskのシステム内にある個人データを管理する上での柔軟性を持てるよう、プライバシーと情報統制を統合するアプローチを採用しています。 詳細は、当社製品ガイドをご覧ください。 Zendesk製品のプライバシーおよびデータ保護の順守

非表示/データ最小化

Zendeskには、機密データを削除するための2種類の非表示機能があります。

手動の非表示機能は、サポートチケットのコメントから機密データを非表示にしたり、削除したりすることができ、添付ファイルを安全に削除する機能を備えているため、秘密情報を保護することができます。 チケットからのデータの削除はUIまたはAPIを通じて行われ、機密情報がZendeskに保存されることはありません。 UIまたはAPI経由の非表示のより詳細を知る

自動非表示機能は、サブスクライバーが提出したチケットからクレジットカード番号を自動削除する機能です。 この機能を有効にすると、チケット上のクレジットカード番号の部分は、空欄で置き換えられます。 クレジットカード番号は、ログとデータベース入力からも非表示にされます。 この機能を有効にする方法とクレジットカード番号を特定する方法を知る

透明性レポート

サービスデータの開示 Zendeskは、当社サービスの提供と改善に開示が必要な場合、または公共機関からの合法的な請求に対応するため必要な場合にのみ、サービスデータを第三者に開示しています。 当社の政府データ請求に関するポリシー、およびZendesk透明性レポートをご覧ください。

透明性レポート

最新版: 2021年9月24日

当社の透明性レポートについて

Zendeskは、他の多くのテクノロジー企業と同様に、米国その他の国の法執行当局より、Zendeskが顧客のために処理している個人情報を求める請求を受け取ることがあります。 このような請求は、召喚状、裁判所命令、捜索令状、国家安全保障書簡または外国諜報監視法(FISA)に基づき発行される命令の形式を取る場合があります。 Zendeskは、個人情報に関する政府の有効な請求に応じなくてはなりません。

また同時にZendeskは、お客様の信頼を保つことをとても大切に考えています。 信頼を保つためのひとつの方法として、Zendeskのお客様と一般大衆に対し、政府の有効な請求についてお知らせします。 そのため、この透明性レポートを作成しました。

この透明性レポートは、2021年上半期(2021年1月1日より2021年6月30日まで)に当社が受け取った、個人情報に関する法執行当局からの請求に関する情報を記載しています。 Zendeskは、およそ6か月ごとに、前の6か月間の更新レポートを提供します。

法執行当局からの情報請求に対するZendeskのアプローチに関する詳細情報は、こちらの「政府のデータ請求に関するポリシー」をご覧ください。

米国の法執行当局からの請求:

法執行当局からの個人情報の請求に対するZendeskのアプローチに関する詳細情報

請求の種類 請求回数 開示されたコンテンツデータ 開示された非コンテンツデータ
召喚状 404
裁判所命令101
捜索令状220
米国以外の国の法執行当局からの請求:

Zendeskは、米国に所在していますが、他のいくつかの国にも拠点があります。 米国以外の政府から請求を受けた場合、当社は、米国および米国以外の国の弁護士と相談して、その請求の有効性と、当社が米国およびその他の国の適用される法令に対応できるかについて判断します。

請求の種類 請求数 データ提供回数
非公式請求 80
刑事共助条約に沿った米国政府以外からの請求 0N/A
定義

コンテンツデータ: ZendeskのサポートチケットやZendesk Chatのコンテンツなど、エンドユーザーとアカウントとの通信に関するコンテンツが含まれます。 コンテンツデータは、一般的にZendeskの基本サブスクリプション契約で定義されるサービスデータとみなされます。

非コンテンツデータ: コンテンツデータではない全てのデータです。 これには、Zendeskのプライバシーポリシーに定義されるアカウント情報(アカウントオーナー名と連絡先情報、アカウント請求先情報、サービスの期間、利用するサービスの種類、アカウントログイン情報など)が含まれる可能性があります。 さらに、Zendeskが、裁判所命令を受けた場合は、非コンテンツデータには、サービスデータである、エンドユーザーのアカウントとの通信に関する非コンテンツメタデータも含まれる場合があります。

裁判所命令: 要求された情報が継続中の犯罪捜査に関連しており、かつ重要であると信ずる合理的な理由があると、裁判官が判断するときに、裁判官から発出される命令です。

FISA命令: 米国内で発行されたユーザー情報について、外国諜報監視法に基づき発出される命令または請求です。

MLAT(刑事共助条約): Zendeskは、米国以外の政府機関が顧客データを取得する際に、MLATを経由するなど、適切な国際法上の手続きを利用するよう要求します。

国家安全保障書簡: 合衆国法典第18編第2709条に基づき発行された国家安全保障書簡です。

捜索令状: 法執行当局が相当の理由を認めたときに裁判官から発出される命令です。 コンテンツデータを取得するには、捜索令状が必要となります。

召喚状: 刑事事件(大陪審召喚状など)で文書を作成するために、政府機関から発行される強制力のある要求