個人情報取扱事業者のステートメント
1. 本ステートメントについて
本コンプライアンス・ステートメントは、日本の個人情報の保護に関する法律(平成十五年法律第五十七号、その後の変更を含む)(「法」)、ならびにその関連する施行規則およびガイドライン(「法令等」と総称する)に従い、個人情報取扱事業者としてDubberが国内にある者の個人情報と個人データをどのように取扱い、保護するのかについて全般的に説明します。
Dubber Pty Ltdは、Level 5, 2 Russell Street, Melbourne, Victoria 3000, Australiaに登録上の事務所があるオーストラリアの会社(「Dubber」「当社」)であり、個人情報および個人データのプライバシーとセキュリティの保護を約束します。
「本人」、「個人情報」、「個人データ」、「取扱い」、「安全管理措置」、および「個人情報取扱事業者」の用語は、法に従い解釈されます。
「本録音・録画」とは、音声、映像またはテキストとして記録された電話の録音・録画、声の録音、ユニファイドコミュニケーション録音(UCR)、および上記の録音を人工知能(「AI」)使用の有無を問わず加工したその他の出力、ならびに本顧客(以下2条に定義する)が作成し、DubberのAPIを経由して当社のシステムにアップロードしたその他の録音をいいます。
2. 個人情報取扱事業者としてのDubber
法令等は、個人情報取扱事業者のうち、国内にある者へのサービス提供に関連して本人である者に関連する個人情報や個人データを取得する事業者が、個人情報を取扱う場合に適用されます。さらに、あらゆる個人情報取扱事業者が個人情報を取り扱い、取得、保管、保護、またはその他使用する方法も、法により規制されています。本ステートメントの目的は、Dubberの法令遵守の説明を補足することです。
Dubberは、本録音・録画のソリューションを提供しています。当社の顧客がDubberの本録音・録画およびAIプラットフォーム(「Dubberプラットフォーム」)を使用し、またはDubberから付帯サービスを受ける場合、Dubberは、個人情報取扱事業者として(または受託者として)行動します。また、当社の顧客(「本顧客」)自身も、個人情報取扱事業者として、個人情報の取扱い方法およびその目的をそれぞれ決定します。
3. 個人情報取扱事業者としてのDubberの取扱業務の概要
Dubberは、個人情報の利用目的を明確にしてできる限り特定し、本人(情報主体)の意図を尊重し、当社の事業内容と範囲を考慮して、個人情報を適切に、取り扱い、取得、利用、委託、提供します。当社は、個人情報の取扱いが、その利用の具体的な目的の達成に必要な範囲を超えないことを確保するための措置を講じています。
3.1 本人 当社サービスの提供のために当社が取扱う個人情報は、次のカテゴリの本人にかかわります。(a) 本人は、自らの声またはコミュニケーション(音声、映像またはテキスト)を記録されている、当社の本顧客に関連しています。 (b) 顧客代表者は、本顧客との雇用またはその他の契約上の関係により、Dubberプラットフォームを使用し、エンドユーザーと対話し、またはその後記録されます。 3.2 データのカテゴリ 当社は、取扱う個人データが、次の個人情報カテゴリにかかわることを想定しています。
(a) 本録音・録画に含まれるあらゆる個人情報 本録音・録画の性質により、個人情報を含む幅広い多様な情報を本人が開示し、その後Dubberが取扱う可能性があります。 (b) 本顧客が当社に加入したとき、または当社のカスタマーサービスもしくは担当者とやり取りをしたときに提供した情報 個人情報には、姓名、財務データ、または本顧客の製品およびサービスにかかわるその他の情報が含まれる場合があります。 (c)当社の本顧客(またはその顧客)がDubberプラットフォームを使用するときに提供する情報 個人情報には、本顧客の代表者の電子メールアドレスおよび氏名が含まれる場合があります。 (d) 法に基づく要配慮個人情報 Dubberは、法に基づく要配慮個人情報とみなされ得る個人データは求めません。ただし、記録の特性により、本録音・録画には法に基づく要配慮個人情報が含まれる場合があります。 (e) Dubber AIの結果として生成された個人情報Dubber AIが設定される場合、Dubberは、本顧客が依頼した文字起こしその他の出力を、本顧客が供給した本録音・録画を使用して生成する場合があります。
3.3 取得の方法Dubberは、次の方法で個人情報を取得します。
(a) Dubberプラットフォームを通じて (即ち、本録音・録画が当社のプラットフォーム内に保管されている場合)本顧客およびそのユーザーによるDubberの録音・録画SaaSソリューションの通常使用の一環として個人情報を取得する場合があります。
(b) 本顧客からのデータ移行 本顧客は、自らの過去の記録アーカイブから本録音・録画をDubberプラットフォームに移行する(例えば、別のサービスからDubberに移行するとき)ことができ、当該本録音・録画はDubberプラットフォームにアップロードされます。
(c) 直接のやり取り 本顧客の代表者は、フォームへの入力、または郵便、電話、電子メールその他で当社と連絡することにより、当社に対して身分と連絡先のデータを提供することができます。これには、Dubberのアカウント作成時に提供される個人情報が含まれています。 (d) 自動化された技術または利用 本人が当社ウェブサイトおよびDubberプラットフォームを利用すると、当社は、自動的に、使用機器、閲覧行動およびパターンについての技術データを取得します。 (e) AI生成DubberのAI処理の一環として生成されたデータには、本顧客が供給した本録音・録画の文字起こしおよび本顧客が依頼したその他の出力が含まれる場合があります。
3.4 取扱業務Dubberは、Dubberプラットフォーム、および当社と本顧客の間で締結している契約に基づき本顧客が依頼したその他のサービスを利用可能にし、運営するために個人情報を取り扱います。
3.5 個人データ取扱いの期間Dubberは、解約期間(あれば)を含み、本顧客それぞれの契約の期間中およびその後も、Dubberが適用法令により個人データを取り扱う必要がある限り、個人データを取り扱います。以下の12条:データ破棄および契約終了もご参照ください。
3.6 日本国内、または日本と同等の水準の個人情報保護システムを確立している適切な国または地域の委託先
当社が利用する委託先の一覧、および、委託先が該当する個人データを取扱う方法は、https://www.dubber.net/legal/subprocessors/からご覧いただけます。 3.7 日本国外、または日本と同等の水準の個人情報保護システムを確立している適切な国または地域外への個人情報の移転 (a) Dubberは常に、日本の本顧客からの本録音・録画を、日本国内のデータベース内に保管します。
(b) Dubberの本顧客の地理的位置、およびそのエンドユーザー個人、ならびにDubberがそれらに提供するサービスの性質に応じて、Dubberは、第三者、および、一または複数の自らの関連会社を委託先として従事させる場合もあります。
(c) 日本国外に所在するDubberの関連会社は、限られた場合において、かつ知る必要に応じて、(i) 通話の本録音・録画、UCR、および音声AIのSaaS(サービスとしてのソフトウェア)の開発、テスト、およびサポート、ならびに(ii) Dubberに対するその他の運営、事業開発、技術、営業、およびサポートに関する業務の提供を含むDubberのサービスのサポート提供、運営、実行、および維持の過程において、顧客データ(それに含まれる個人情報を含む)にアクセスする場合があります。
(d) 当社がサービスを提供するために日本国外にあるいずれかの第三者(例:委託先であるDubberの関連会社)に対して個人情報を提供するとき、当社は、当該個人情報が安全、かつ、日本で提供される保護に比類する同等の水準の十分な保護水準で取り扱われることを確保するために十分な技術的および組織的対策を講じます。
4. セキュリティ概要
4.1 当社は、その取扱いにつき、法のセキュリティ要件を満たす方法で、適切な安全管理措置を実施しています。 4.2 Dubberプラットフォームは、洗練されたセキュリティシステムをもって最大限の機能を提供できるよう設計されています。当社のセキュリティ慣行は、個人データがコミュニケーションの記録プロセスおよびその先の保管および分析の各ステップにおいて、業界における適正な慣行に従って保護されることを確保します。 4.3 すべてのユーザー、本録音・録画、およびDubber AIのデータは、暗号化されたレポジトリに保管されます。Dubberの本録音・録画は、256ビット高度暗号化標準(AES-256)を使用して暗号化されます。
5. 処理の記録
当社は、GDPRの第30条(2)に義務付けられているとおり、データ管理者に代わって実行した、全てのカテゴリの処理活動の記録を維持します。この記録は、情報安全チームが少なくとも年に1回更新し、必要に応じて、本顧客および該当する監督当局に対して、当社の処理活動を説明するために使える形式で維持します。
以下のリンクから、DubberのGDPR遵守についての詳細な情報をご覧いただけます。https://www.dubber.net/legal/gdpr-compliance-statement/
6. 業務委託および調達
6.1 当社が個人データ取扱いを外部の委託先または請負業者(総称して「受託業者」という)に委託する契約書には、受託業者が当該個人データの安全な管理を確保する必要かつ適切な対策を講じなければならないことを定めています。当社は、受託業者が当社の個人データ保護システムと同等のものを維持していることを確保する目的で、厳格な管理および監督を実施しています.。受託業者と締結した契約に従い、当社は、年に1回、契約の遵守について確認し、報告するよう、当該受託業者に対して定期的に求めています。当社はまた、法に基づく当社の遵守義務を果たす目的で、当社の調達プロセスを定期的に見直しています。これに加え、以下を実施しています。
(a) Dubberの情報またはシステムにアクセスできる外部の供給業者とのあらゆる取決めは、従前の適切な安全管理に従います。これは、(i) Dubberの情報安全管理システム(「ISMS」)ポリシーに規定する、関連するすべての安全基準、ポリシー、および手続の遵守を外部供給業者に義務付け、(ii) 外部供給業者が提供する業務の性質に基づきリスク評価を実施することにより実行します。 (b) 留意すべき重要な点として、大規模な供給業者は、小規模な業者の用語体系および用語の分類等を認知していないことが挙げられます。その場合、当社は、異なる言語または慣行を使用する当該供給業者によって当社のISMSの完全性が損なわれないことを確保し、溝を埋めるために、適切に当社のアプローチを適応させます。
7. インシデント対応
個人データの漏洩、損失または損害の場合(「インシデント」)、当社は、法に定められた手続に従い、速やかに関連する当事者および日本国内の規制当局に報告します。
8. 人的安全管理措置
8.1 Dubber従業員は、雇用前および雇用後追加でそれぞれの役割および商業上の要件に応じて、適切な身元調査および身元照会を受けます。
8.2 Dubber従業員は、当社の本顧客の個人データおよび本録音・録画には一切アクセスできません。ただし、(例えば、技術的またはカスタマーサポート業務を提供するため、またはDubberが本顧客に提供するサービスの一環として、品質チェックや抜き打ち検査を行うため)その職務を遂行するために不可欠であり、「知る必要に応じて」アクセスする場合を除きます。
8.3 Dubber全従業員は、必須の情報安全研修を修了することが義務付けられています。
8.4 Dubber従業員は、法の要件に従い、秘密保持を約束します。当社は、懲戒処分を含む公式な手続を通じて、当社のセキュリティポリシーおよび手続の違反に速やかに対処します。
9. 物理的な安全管理措置
9.1 当社は、個人データが保管されている当社の敷地(用地、建物または内部エリア)への立ち入りを制限しています。当社は、本顧客のいかなるデータも物理的なDubberの用地に保管されないことを確保しています。
9.2 Dubberの物理的な安全管理措置には、人員のファイルおよび閉鎖された扉用の厳重な鍵と錠(建物およびオフィスの通行証および管理)が含まれます。
9.3 当社は、当社のサービス提供のために使う敷地を、少なくとも年に1回リスクおよび脅威がないか調査しています。
10. ネットワークおよびクラウドの安全
10.1 Dubberのサービスは、通信ネットワーク間のプライベートかつ安全な連携を提供します。当社のサービスは、電話機器をプライベートネットワークからDubberにつなげることに加え、Dubberインスタンスのアクセスを制限することが可能になる内蔵型のファイアウォールの便益を享受しています。
10.2 当社は、当社のネットワーク全域にわたり、本顧客のエンドユーザーの個人データの秘匿性、利用可能性、および完全性を保護するための安全管理措置を実施しています。情報システム全域で論理的アクセス制御およびロールベースアクセス制御が整備されています。機密アクセス確認は、少なくとも年に2回は実施されます。当社は定期的にセキュリティ/ペネトレーションテストを実施しています。
10.3 メタデータおよび記録されたデータを含むすべての本録音・録画は、各個別のユーザーにつき専用のデータサイロに保管されています。本顧客のユーザーは、自らの登録アカウントに属するデータへのアクセス権のみ付与されます。
10.4 すべてのユーザー、本録音・録画、およびDubberのAI文字起こしは、暗号化されたレポジトリに保管されています。本録音・録画は、利用できる最強級のブロック暗号である256ビット高度暗号化標準(AES-256)を使用して完全に暗号化されています。
10.5 当社は、発生する可能性のあるセキュリティ侵害を検知するために適正業界規範に沿ったシステムを整備しています。これにより、侵害があった場合、是正のため迅速に行動し、攻撃元を特定することができます。
10.6 Dubberの安全管理措置には以下が含まれます。
(a) 故意の攻撃防止を目指して整備されている制御の使用
(b) デバイス間の通信を適切に保護すること(すべての非コンソール管理アクセスの暗号化を含む)
(c) 効果的で堅牢なアイデンティティ管理を備えた、階層およびゾーン分けされた強固なアーキテクチャ設計、ならびに、適切に要塞化およびドキュメンテーションされなければならないオペレーティングシステム
(d) 今後使用しないサービス、アプリケーションおよびポートの無効化(実務上可能な場合)
(e) 実務的に可能な限り早期に、最新のセキュリティパッチをインストールすること
(f) サービス妨害攻撃に対処するための適切な措置が整備されていることを確保すること
(g) 脆弱性の警告がないか、適用されるすべてのベンダーおよびその他の該当する情報源の監視
(h) 本録音・録画の安全性の保持(本録音・録画が安全なプロトコルおよび暗号化の使用により送信および保管において保護される)
(i) 多層防御(ネットワークは、異なるトラストレベルが設定されたゾーンにパーティション分割し、ゾーン間の混雑を制限する)
(j) 保護できるものは保護され、それ以外のものすべてを検知されること(ネットワークは、不正接続および不審なトラフィックを検出するために監視される)
(k) アプリケーション開発プロセスの確保(これはアプリケーションへの導入による脆弱性リスクを低減するため、Dubberのソフトウェア開発ライフサイクルに組み込まれる。また、セキュアデザインおよびプログラミング、ならびにソフトウェアアプリケーション開発用のテストおよび検証技術の使用が含まれる。)
(l) 非本番システムでの脆弱性が本番データの侵害につながる可能性を軽減するため、開発、テスト、および本番環境が互いに分離されていること
(m) 全システム時刻が社内の中継タイムサーバを経由して認証済みのネットワーク・タイム・プロトコル(NTP)プロバイダと同期され、システム時刻の変更が防止されること
(n) セキュリティドメイン間のトラフィックはすべて、アプリケーション層のファイアウォールまたはその同等物(プロキシ)を横断し、これによりフィルタリングされること
(o) 本番データが開発またはテスト環境で使用されないこと
(p) クラウドリソースへのアクセス管理に二段階認証が使用されること
(q) 環境間のデータ送信に安全なプロトコルのみ使用されること。安全でないプロトコル(例:FTP、HTTP、Telnet)は、SSHまたはTLS等の安全なプロトコルを「トンネリング」しなければならない。
(r) 当社が、CSP環境が利用できない事由に対処するために開発、実施、およびテストされた事業継続計画を策定していること
(s) すべてのクラウドデプロイメント(クラウド設定)は、比類するオンプレミスデプロイメントに沿ったセキュリティテストを実施していること(脆弱性のスキャンとペネトレーションテストが含まれる)
(t) VPN接続はTSL-AUTH、または業界で認知されている安全な代替物を使用して認証されていること
11. 業界基準および認証
11.1 ISO/IEC 27001当社は、業界基準のISO/IEC 27001を遵守し、これに準拠します。当社は、毎年、独立した機関によりISO/IEC 27001基準の監査を受けています。当社の証明書は、Dubberウェブサイトからご覧いただけます。適用宣言書のコピーは、ご依頼に応じてご覧いただけます。
11.2 HIPAA遵守 当社には、本顧客の署名用に提示する一般的な事業関係者別紙(「BAA」)があります。
11.3 ペイメントカード業界データセキュリティ基準(「PCI DSS」)当社は、Dubber PCI遵守製品用に、サービス提供者としてPCI DSSコンプライアンスを取得しています。認定審査機関(QSA)が記入した当社の準拠証明書(「AoC」)のコピーは、ご依頼に応じてご覧いただけます。
当社のDubber関連会社はPCI DSSレベル4の加盟店であり、当社はまた、PCIの認証を受けたサービス提供者にクレジットカードのデータ取扱いおよび取引業務すべてを全面的に業務委託しています。自己評価のSAQ-Aのコピーは、ご依頼に応じてご覧いただけます。
11.4 OWASP安全コーディング基準 当社は、コーディング実務においてOWASP安全基準を守っています。
12. データ破棄と契約終了
12.1 Dubberは、本顧客契約の終了または満了時、またはその他本顧客と合意のとおり、本顧客のデータを削除します。
12.2 当社が個人情報取扱事業者であるデータを当社が契約上破棄する必要がある場合、破棄する承認には、本顧客からデータを破棄する依頼もしくは確認を含めなければなりません。この依頼の受領をもって、Dubberは特定されたアカウントを停止し、合理的期間内に次の取扱いをすることを約束します。
(a) Dubberアプリケーション内で安全に保持していたデータは、それぞれのレポジトリから削除されます。 (b) Dubberの委託先がそれを取り扱う目的でデータを保持している場合、データは委託先のレポジトリそれぞれから削除されます。
12.3 当社が、該当する本顧客契約の終了時に本顧客にデータを移行する依頼を受けた場合、Dubberと本顧客は、移行に関する全条件、移行の方法、およびどのデータを移行し、どのデータを破棄するかについての詳細について合意します。
13. 研修
Dubberの全従業員は、情報の安全、データ保護およびその他の関連するプライバシー法についての研修を受けます。Dubberの全従業員は、個人情報・個人データへの不法アクセスやその開示は禁止されていることを認識しています。人的安全管理措置について詳しくは、8条: 人的安全管理措置をご参照ください。
14. ヘルプデスク
Dubberは、クレームおよび問い合わせに回答する常設の個人情報ヘルプデスクを設置し、個人情報の取扱いに関する個人の懸念に誠実に回答します。当社プライバシー通知の11条: 懸念の解消をご参照ください。
15. 関連するポリシーおよび手続
当社は、事業の過程において利用する個人情報と個人データの保護に関して特定のポリシーおよび手続きを策定しています。 最終更新日: 2022年6月6日