Viber開発者利用規約

[最終更新日: 22 2022年3月]

本開発者利用規約(旧名称「Viber API利用規約」)(以下「開発者利用規約」といいます)は、(a) 各種Viberアプリケーションプログラミングインターフェース(以下それぞれおよび総称して「Viber API」といいます)のインストール、ダウンロードおよび使用、(b) Viber管理パネル(以下「VAP」といい、Viber APIおよびチャットボットと併せて「開発者プラットフォーム」と定義されます)へのアクセスについて規定するものです。

本規約において、「開発者」、「お客様」または「お客様の」という用語は、チャットボットの各管理者(スーパー管理者を含む)、開発者、およびViber APIを自己または第三者のプラットフォームに実装または使用するビジネスパートナー、チャットボットを使用する販売業者、またはお客様が代表として権限を有する企業または事業を意味するものとします。 また、定義されていない大文字の用語(英語の場合)は、Viber利用規約において定められた意味を有するものとします。

開発者プラットフォームまたはその一部を使用することにより、お客様は、本規約および以下に示す追加のポリシーおよび文書に拘束されることに同意するものとします。

Viberは、本開発者利用規約、および参照することにより本規約の一部とみなされるすべての文書を、上記の「最終更新日」欄に反映される改訂版を掲載することにより、随時更新する権利を留保します。 変更が行われた後に開発者プラットフォームを使用した場合、お客様は当該の変更に同意したものとみなされます。 大きな変更があった場合はVAPを通じたメールやViberアプリで通知されますので、常に最新の連絡先をご登録いただくようお願いいたします。

1. 追加規約およポリシー

本Viber開発者向け利用規約には、参照することにより以下のポリシーおよび文書(以下、総称して「規約」または「ビジネス規約」といいます)が組み込まれるものとします。

  • 利用規定(以下「AUP」といいます)
  • 広告掲載依頼、補足文書、契約書など、当事者が署名した発注文書のうち、本開発者利用規約にリンクされる、および同規約を参照するもの(以下「発注文書」といいます)
  • Viberアプリの利用について定めるViberアプリ利用規約
  • Viber API ドキュメンテーション
2. サービスおよびライセンスの付与

Viber for Businessサービスには、ビジネスチャットボットの作成、メッセージの送信、ビジネスウェブサイト内へのViber APIの統合、またサブスクライバーを含むチャットボットユーザーと関わり、コンテンツの作成、投稿、保存、送信および受信などを行うことができる、開発者向けの様々な機能が含まれています。(以下「サービス」または「ビジネスサービス」といいます)。 お客様がビジネス規約の規定を遵守することを条件として、Viberは、お客様に対し、個人使用ではなく、お客様の商業目的および承認された目的で開発者プラットフォームを使用するための非独占的、譲渡不可、サブライセンス不可のライセンスを付与します。 本文でお客様に明示的に許諾されていない権利は、すべてViberに帰属するものとします。

Viberは、理由の如何を問わず、いつでも、通知することなく、また責任を負うことなく、開発者プラットフォームまたはその機能もしくはサービスの利用可能性を含む開発者プラットフォームのあらゆる要素を変更、中断、制限または中止する権利を留保します。 Viber は、開発者からチャットボットのサブスクライバーへのメッセージ送信を制限することを含め、開発者プラットフォームの使用に関する制限を設定し、実施することができるものとします。この対象には、非アクティブなサブスクライバー(例:管理者と1対1のメッセージを一定期間行っていないなど、Viberの独自の裁量に従って決定します)も含まれます。たとえば、お客様が実施可能なAPIリクエストの数またはお客様がサービスを提供できるユーザーの数をViberが制限したり、お客様の使用量(例:送信メッセージ数)に応じて料金をお客様に請求したりといった制限を、こちらに記載されているとおり、独自の裁量で行うことができるものとします。 お客様は、このような制限の回避を試みないことに同意するものとします。 適用される限度を超えてViber APIの使用を希望する場合、お客様は当社の明示的な同意を得る必要があります。当社はかかる要求を拒否するか、またはその使用に関する追加条件もしくは料金にお客様が同意することを条件としてこれを受諾できるものとします。 Viberは、チャットボットを通じて送信されるメッセージの数、送信メッセージの数、Viber APIの使用、チャットの非アクティブ化などを含むチャットボットの使用をいつでも制限できる権利を留保します。

3. 開発者による表明および保証

開発者は、以下のことを表明し、保証するものとします。 (i) 13歳以上であること。 18歳未満のお客様は、親権者またはその他の法定代理人の同意を得た場合にのみ、本ビジネスサービスを利用することができます。 (ii) ビジネス規約およびViberが随時お客様に提供するその他の文書に従ってのみ、開発者プラットフォームを使用し、アクセスすること。 (iii) すべての適用法および規制に従うこと。 (iv) オープンソースプロジェクトにViber APIの埋め込みを行わないこと。 (v) 過去に開発者プラットフォームの使用を停止または削除されておらず、停止または削除につながるような行為に関与していないこと。 (vi) 開発者プラットフォームまたは開発者プラットフォームを提供するサーバーもしくはネットワークを妨害または中断しないこと。 (vii) この制限が適用法で明示的に禁止されている範囲を除き、Viber APIまたは関連ソフトウェアのソースコードをリバースエンジニアリングまたは抽出しようとしないこと。 (viii) 当社のビジネスサービスに関するセキュリティ違反を発見または疑った場合、あるいは開発者プラットフォームまたはビジネスサービスへの不正なアクセス・使用を発見または疑った場合は直ちに当社に通知すること。

4. チャットボットに関する規定

チャットボットを作成するためには、VAPを通じて、お客様の氏名、電話番号、利用目的など所定の情報(以下「VAP情報」といいます)を提供していただく必要があります。 当社は、お客様がチャットボットを作成できるようにするため、またはお客様に連絡するために、Viberプライバシーポリシー の規定に従ってVAP情報を使用します。 お客様は、ご自身またはお客様のビジネスに関連するVAP情報が真正かつ最新であることを表明し、それを保証するものとします。 お客様が企業の代理としてVAP情報を提供する場合、お客様はここに、その事業名が次に該当しないことを表明し、保証するものとします。 (i) 虚偽、誤解を招く、欺瞞的、または中傷的である (ii) 第三者のパロディ、文字記号、過度の句読点、または商標表示を含む  (iii) 商標の侵害、パブリシティ権の侵害、その他の権利を侵害する 当社は、これらの名前に対して法的な権利を有する企業または個人に代わって名称を改定する権利を有するものとします。

VAPの下で発生するすべての活動に対する責任は、開発者に帰属します。 開発者は、使用するデバイスとVAP情報の安全確保、VAP資格情報のセキュリティ維持に加えて、VAPの不正使用や不正アクセスを防止することを表明および保証するものとします。

Viberは、第三者サービスプロバイダーと連携してお客様のチャットボットを運用することを許可する場合があります。この場合、プロバイダーにはお客様のVAPおよびViber APIにアクセスまたは制御する権限が付与されるものとします。 開発者は、当該の第三者がビジネス規約に基づく義務を認識し、それに拘束されることへの同意を確認する責任を負うものとします。 お客様は、お客様のチャットボットおよびVAPの下で行われた第三者の行為(お客様のチャットボットユーザーのプライバシーおよび情報セキュリティの侵害、ビジネス規約の違反または適用法令の違反を含むがこれに限定されない)について、お客様が当該ボットを閉鎖した後も、Viberおよびお客様のチャットボットユーザーに対してすべての責任を負い続けるものとします。 第三者を起用する際は、お客様自身が信頼し、本規約を確実に遵守することができるプロバイダーを選択してください。

Viberとのコミュニケーションに基づき、またViberの独自の裁量により、Viberは、お客様のチャットボットの宣伝、最適化および検索可能設定を有効にすることができるものとします。 お客様は、Viberが独自の裁量でいつでもお客様のチャットボットを拒否する、公開しない、もしくは公開を中止する権利を有することを認め、これに同意するものとします。 Viberによるチャットボットの承認または宣伝は、Viberが本規約のいずれかの条項を遵守していることを示す、またはViberが負うべき責任を示唆するものではありません。

5. 販売業者に関する規定

開発者向けプラットフォームを利用する販売業者は、所有および運営するチャットボットを通じて商品やサービスを販売することもできます(以下「販売業者の商品」といいます)。 販売業者は、商品が利用規定  、適用される法律および本規約に適合することを保証するものとします。 Viberは、販売業者の商品、および商品やサービスの購入、返品、配送を管理しません。 Viberは、商品またはサービスの提供、販売業者による商品の不提供、または販売業者の商品に対して生じた不満について一切の責任を負わないものとします。

販売業者がチャットボットを通じて行う支払いは、Google PayもしくはApple Pay、また該当する場合はViberが承認済みの販売業者用決済ページを通じて行われるものとし、販売業者はこれに関して単独で責任と義務を負うものとします。 販売業者は、すべての支払取引はViberによって運営または処理されないことを認め、Viberは、販売業者のチャットボットを使用して行われた決済に関連する支払い、返金、チャージバック、カードのプロビジョニング(または追加)、その他の商業活動に対する責任を負わないものとします。

支払いがGoogle Payで行われる場合、販売業者はGoogle Pay API利用規約(こちらを参照)、Google Pay Policies for Business(こちらを参照)、その他Googleが適宜販売者のサービスに対して適用する規約を認め、これらに同意するものとします。 販売業者は、Google Pay APIを、販売業者とチャットボットユーザーの間で、そのチャットボットユーザーによる商品購入に直接起因しない取引またはその他の送金のために利用してはならないものとします。 販売業者の主要な商品タイプが「非営利」であり、販売業者がすべての適用要件(法的またはその他の要件)を遵守している場合、当該販売業者は、チャットボットユーザーからの寄付に関連してGoogle Payment APIを使用することができるものとします。 販売業者によるデジタル商品およびサービスの販売に関しては、ウェブブラウザを通じてのみ完了する取引についてビジネス規約およびGoogle API利用規約が適用されます。Google Payを利用する販売業者は、モバイルアプリケーションを通じてデジタル商品またはサービスを販売してはならないものとします。

支払いがApple Payで行われる場合、販売業者は、Apple Agreement and Guidelines for Apple Developers(こちらを参照)、Apple Pay Platform Web Merchant Terms(こちらおよびこちらを参照)、およびAppleが販売業者のサービスに随時適用するその他の規約を認め、これに拘束されることに同意するものとします。

6. 所有権

開発者プラットフォームは、著作権、商標、サービスマーク、国際条約、またはその他の所有権および法律により保護されている場合があります。 Viberの権利は、開発者プラットフォーム、および開発者プラットフォームのすべての出力物および実行可能物に適用されます。ただし、お客様が開発したソフトウェアコンポーネントのうち、それ自体に開発者プラットフォームのいずれかが組み込まれていないもの、または当該ソフトウェアコンポーネントの出力物もしくは実行可能物は除くものとします。 お客様は、適用されるすべての所有権法およびその他の法律(お客様が開発者プラットフォームを使用する国によって課せられる法律を含むがこれに限定されない)を遵守することに同意するものとします。 本条項に定める場合を除き、Viberは、開発者プラットフォームに関するすべての権利、権原および利益を所有します。

7. 秘密保持

お客様と当社が行う通信には、Viberの機密情報が含まれる場合があります。 Viberの機密情報には、その状況下で通常機密とみなされるあらゆる資料、通信、および情報が含まれます。 これらの情報を受け取った場合、お客様は、Viberの事前の書面による同意なく第三者に開示してはならないものとします。 Viberの機密情報には、お客様が独自に開発した情報、守秘義務を負わずに第三者から正当に提供された情報、またはお客様自身の過失によらず公開された情報は含まれません。 お客様は、法律により定められている場合、合理的な事前通知を行い、Viberに生じる可能性のある損害を最小限に抑えるために当社に協力することを条件として、Viberの秘密情報を開示することができます。 お客様がViberとの間で特定の非開示契約を締結している場合、当該契約の内容が優先されるものとします。

8. 可用性およびサポート

当社のサービスは、メンテナンス、修理、アップグレード、ネットワークまたは機器の故障などの理由により中断されることがあります。 当社は、Viberプラットフォームに関連する当社のサービスの一部または全部を、当社の単独の裁量により、特定の機能および特定のデバイスや機能のサポートを含め中止する権利を留保します。 また、天変地異等の不可抗力により、当社が制御できない事象が発生し、当社のサービスに影響を与えることがあります。 サポートが必要な場合は、お問い合わせフォームよりViberサポートまでご連絡ください。 お客様とのコミュニケーションに基づき、当社はテクニカルサポートを必要とするお客様を支援するアカウントマネージャーを手配する場合があります。 さらに、ビジネスメッセージングAPIやツールを使用する開発者向けに、発注文書には応答時間やサポートレベルが組み込まれています。

9. データ保護

本項および本ビジネス規約の目的には、以下の定義が適用されるものとします。

  • 適切な国家」とは、欧州委員会から適切だと判断を受けた国を指します。
  • 適用されるデータ保護法」とは、連邦、国、州、またはその他のプライバシーおよびデータ保護法(該当する場合、EUデータ保護法を含む)で、適宜改正または優先される可能性のあるすべての適用される法律を指します。
  • 収集データ」とは、各当事者がそのサーバーまたはネットワークを通じて収集するデータを指し、Viberユーザーのプロフィール写真(存在する場合)、固有の開発者製品用のユーザーの固有識別子およびユーザーのプロフィール名など、開発者が要求した場合にViberから開発者に提供される可能性がある情報を含みます。
  • 管理者」とは、個人データの処理の目的および手段を決定する主体を指します。
  • EUデータ保護法」とは、(i) EU一般データ保護規則(規則2016/679)(以下「GDPR」といいます)、(ii) 改訂版のEU電子プライバシー指令(指令2002/58/EC)(以下「電子プライバシー法」といいます)、(iii) (i) および (ii) に基づき、それらに置き換わる、または継承する形で制定される国内データ保護法、(iv) 上記のいずれかに取って代わる、または更新される法律、 (v) 上記のいずれかに関する司法上または行政上の解釈(関連する監督機関によって発行された拘束力のある指針、ガイドライン、実務指針、承認された行動規範または認証機構を含む)を指します。
  • 個人情報」とは、識別された、または識別可能な個人に関連するあらゆる情報(適用されるデータ保護法によって要求される場合、固有のブラウザまたはデバイス識別子を含むものとします)を指します。
  • 標準契約条項」とは、GDPRに従って第三国へ個人データを移転するための標準となる契約条項で、2021年6月4日の欧州委員会決定2021/914によって採択された文書を指します(文書リンク:https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32021D0914&from=EN)。
  • SCC別紙」とは、本書に添付された別紙Ⅰおよび別紙Ⅱを指します。
  • UK GDPR(英国版GDPR)」とは、2018年データ保護法および欧州連合(離脱)法第3条によりイングランドおよびウェールズ、スコットランド、北アイルランドの法律の一部を構成し、データ保護、プライバシーおよび電子通信(改正等) (EU離脱)規則2019(SI 2019/419)の別表1により改正されたGDPRのことを指します。
  • UK SCC」とは、英国GDPRが適用される場合、個人データをEEAまたは英国外に移転するために英国GDPR第46条に従って採用された、またはその下で許可された標準データ保護約款を指します。

当事者は、収集されたデータの一部または全部が個人データに分類される、または個人データを含む可能性があること、および収集されたデータの処理に適用対象となるデータ保護法が適用される可能性があることを認めるものとします。 各当事者は、個人データの独立した管理者として、収集されたデータの処理に関して、かかる適用データ保護法を遵守するものとします。 各当事者は、適用されるデータ保護法の下で要求されうる収集データの処理に関する透明性の確保および合法的根拠の取得を含め、適用されるデータ保護法を遵守することに個別に責任を負うものとします。

各当事者は、収集データを、本契約および適用されるデータ保護法によって許可された目的にのみ処理することに同意するものとします。

各当事者は、収集データの (i) 偶発的または違法な破壊、(ii) 損失、改ざん、不正な開示、またはアクセスを防ぐために適切な技術的および組織的措置を導入するものとします。

EUデータ保護法が適用される場合、いずれの当事者も、欧州経済領域(以下「EEA」といいます)または英国以外の地域で収集したデータを処理しない(または収集したデータを処理することを許可しない)ものとします。ただし、その転送先が適切な国家である、または該当する場合に標準契約条項および英国SCCを組み込むなどEUデータ保護法を遵守する措置を講じている場合はその限りではありません。 Viberと開発者の間には、SCC別紙を含め、標準契約条項のモジュール I が適用されるものとします。

10. セキュリティ

開発者は、データおよび情報セキュリティに関する一般に認められた業界標準およびベストプラクティスを実施、遵守し、SCC別紙で詳述されている技術的およびセキュリティ対策の実施を含め、自身のデータを保護するよう努めるものとします。 開発者が使用するデバイス、開発者プラットフォームまたはシステムへの不正使用またはアクセスを保護および防止する義務に違反したとViberが独自の裁量で判断した場合、開発者がビジネス規約に違反した場合、または何らかの理由でビジネス規約が終了した場合、開発者は開発者プラットフォームを介して取得した情報を速やかに削除しなければならないものとします。

お客様は、開発者プラットフォームを使用することにより、Viberが品質の確保、Viberの製品およびサービスの改善、ならびにお客様のビジネス規約の遵守の確認のためにお客様の開発者プラットフォームの使用(お客様のチャットボットへのアクセスおよび使用、Viberまたはそのユーザーに影響を与える可能性のあるセキュリティ問題の特定を含む)を監視することを認め、これに同意するものとします。 お客様はこの監視行為を妨害してはならず、Viberはかかる妨害を回避するためにあらゆる技術的手段を用いることができるものとします。

11. 規約の適用解除

当社は、開発者がビジネス規約に基づく義務または表明に違反した、過度の否定的なフィードバックを受けた、または当社、当社のユーザー、もしくは他者に被害、リスク、または法的措置を生じさせたと当社が独自の裁量で判断した場合を含め、適用法で認められるいかなる理由によっても、いつでも開発者プラットフォームおよびビジネス規約へのアクセスまたは使用を中断または終了することができるものとします。 Viberは、法律によって許される最大の限度で、独自の裁量に従い、終了または停止に至るにあたった理由を含む事前通知をお客様に提供するよう努めるものとします。 開発者は、以下の未払金の支払い義務および発注文書に基づき適用されるその他の義務から逸脱することなく、いつでもViber APIの使用を中止することができるものとします。

本規約が終了または停止した場合は、以下の措置を講じるものとします。 (i) 本契約でお客様に許諾されたすべてのライセンスを直ちに終了すること。 (ii) 開発者は、速やかに開発者プラットフォームのすべての使用を中止し、Viberが提供するソフトウェアのコピーすべてをアンインストールして破棄し、開発者プラットフォームの使用により開発者が得たすべての情報を削除すること。 (iii) Viberからの書面による要請に応じて、Viberの機密情報を削除または当社に返却すること。  (iv) Viberに対して未払料金の支払いを行うこと。  (vi) その本質上無期限に継続するとされている、本規約に関するすべての条項は引き続き適用されるものとします。

本規約がいかなる理由で終了した場合でも、終了の効力発生日前に発生したお客様の権利および義務が損なわれることはなく、Viberが他の利用可能な救済措置を追求することを制限するものではありません。

お客様とのコミュニケーションまたは開発者プラットフォームの使用を当社が終了または停止した理由を確認するには、 Viberサポートまたは お問い合わせフォーム を使用してViberまでご連絡ください。 当社がお客様に有利な方法で問題を解決し、お客様の開発者プラットフォームの利用を再開できる場合は、妥当な時間内にお客様に対するサービスを再開するものとします。

12. 保証の免責事項

一部のViber APIは実験的に提供されるものであり、いかなる方法でもテストされていません。 Viberは、開発者プラットフォームに不正確な点、エラー、バグ、中断がないこと、また信頼性があり、正確かつ完全であること、またはその他の点で有効であることを表明または保証しません。 適用法で許可される限り、開発者プラットフォームは、明示的または黙示的かの区別を問わず、いかなる種類の保証もなく、「現状有姿」かつ「提供可能な限度」で提供されるもので、Viberは、商品性、特定目的への適合性、利用可能性、セキュリティ、権原または非侵害の黙示保証を含むがこれに限定されない一切の保証および条件を明示的に否定するものとします。 開発者プラットフォームの利用はお客様ご自身の判断と責任において行われるものとし、お客様は、お客様のコンピューターシステムへの損害やデータの損失など、VIber APIの利用により生じるいかなる損害についても、単独で責任を負うものとします。

13. 責任の制限

適用法で許可される範囲において、Viberは、いかなる状況においても、契約違反、保証違反、不法行為(過失を含む)、厳格責任、その他の金銭的損失のいずれに基づくかを問わず、開発者プラットフォームの使用方法または使用不能に起因または関連する間接的、懲罰的、現実的、付随的、派生的、特別、または懲戒的損害について、また責任の主張根拠およびViberがかかる損失または損害の可能性について通知を受けていたか否かにかかわらず、お客様に対して責任を負うものではありません。 これに起因する損失または損害が発生した場合、必要なサービス、修理または修正に要するすべての費用は(Viberではなく)お客様の負担となるものとします。 いかなる場合も、すべての損害に対するViberのお客様に対する責任の総額は、50 米ドル($50.00)を超えないものとします。 上記の制限は、上記の救済措置がその本質的目的を果たさない場合にも適用されます。

14. 補償

開発者は、適用法が許容する最大限の範囲において、Viberおよびその子会社、関連会社、役員、代理人、ライセンサー、共同ブランド経営者またはその他のパートナー、および従業員を、Viber APIの使用に起因または何らかの形で関連する、あらゆる種類のあらゆる性質の請求、損失、損害(実際または結果的)、訴訟、判決、訴訟費用、弁護士報酬から生じる責任または経費などの第三者の請求に対して無害に保ち、かつ免責することに同意するものとします。 Viberは、かかる請求、訴訟、または法的行為に関する書面による通知をお客様に提供するために、誠実に努力するものとします。

本規約に明記されていないその他の規定には、Viberアプリ利用規約(準拠法および管轄権に関する条項ならびに雑則を含むがこれに限定されない)が適用されることにご留意ください。

 

標準契約条項 別紙(第X節で言及)

別紙Ⅰ

(管理者)

 

A. 当事者一覧

Viberおよび開発者(上記にて定義)。

B. データ処理および転送に関する説明

個人データを処理または転送されるデータ主体の分類

Viber ユーザー(チャットボットを使用しているか、またはその情報が開発者ツールまたはViber APIを通じて開発者に提供された場合)。

処理または転送される個人データの分類:

開発者の要求に応じて、Viberは収集したデータを開発者と共有することがありますが、これには以下の1つまたはすべてが含まれます。 ・ユーザーのプロフィール写真(存在する場合) ・開発者の商品ユーザー向けユニーク識別子 ・ユーザーのプロフィール名

処理または転送対象となる機密データ:

該当なし

処理または転送の頻度(例:データを単発で転送するか、継続的に転送するかなど):

継続的

処理または転送の性質:

開発者はViber APIを介して個人情報を受け取り、以下の目的のために処理を行うものとします。

データ転送およびその後の処理の目的:

開発者商品のパーソナライズを可能にするため。

個人データの保有期間、または期間が定まらない場合はその期間を決定するために使用される基準:

適用される法律または本業務の提供のために必要な限り。

(サブ)プロセッサーに転送を行う場合は処理の対象、性質、期間も明記すること:

該当なし

C. 管轄となる監督当局

ルクセンブルク大公国データ保護国家委員会(以下「CNPD」といいます)。

別紙Ⅱ

技術的および組織的なセキュリティ対策

この別紙は、締約国が実施した技術的、組織的および物理的なセキュリティ対策をまとめたものです。

開発者は以下の内容を遵守するものとします。

開発者は、偶発的または違法な破壊、偶発的な損失、改ざん、不正な開示またはアクセスから個人データを保護し、処理によって被りうるリスクと保護されるべきデータの性質に適したセキュリティレベルを提供する、適切な技術および組織的なセキュリティ手段を実装、維持、および継続的に管理、更新することを約束するものとします。 これには以下の事項が含まれます。

  1. 個人データが処理または使用されるデータ処理システムへの権限のない者のアクセスを防止すること(物理的アクセス制御)、特に以下の措置を講じること。
  • 重要および機密性の高いエリアへのアクセス制御
  • 重要エリアでのビデオ監視
  • インシデントログの記録
  • シングルエントリー型アクセス制御システムの実装
  • アクセス制御システムの自動化
  • ドアや窓の常時ロック
  • 鍵の管理
  • 受付でのスタッフ常駐
  • ドアのコードロック
  • モニタリング設備の導入(例:アラームデバイス、監視カメラの設置など)
  • 訪問者の記録
  • IDカード着用の義務化
  • セキュリティ意識向上トレーニングの実施
  1. 情報処理システムが不正に利用されないようにすること(論理的アクセス制御)、特に以下の措置を講じること。
  • 侵入検知システム、ルーター、ファイアウォールなどのネットワーク機器の設置
  • ユニークユーザーID、パスワード、および第2認証要素(OTP、MFA、2FA)によるセキュアなログインの徹底
  • ポリシーに則り、ワークステーションから離れる際は端末をロックすること。 スクリーンセーバーのパスワードは、ユーザーがワークステーションをロックし忘れても、自動的にロックされるように実装されています。
  • システム利用状況のログ記録・分析
  • 個人情報を含む重要なシステムで、役割ベースのアクセス制御を適用
  • 既知の脆弱性に対する定期的なシステム更新プロセスの実施
  • ノートパソコンのハードドライブ暗号化
  • 重要システムのセキュリティ脆弱性監視
  • ウイルス対策ソフトの導入およびアップデート
  • ユーザー権限の個別付与、パスワードとユーザー名による認証、スマートカードによるログイン、パスワードの最低条件遵守、パスワード管理、非アクティブ時のパスワード要求、BIOSのパスワード保護、外部ポート(USBポートなど)のブロック、データの暗号化、ウイルス保護とファイアウォール、侵入検知システムの使用など
  1. データ処理システムの使用許可を有する者が、アクセス権を有するデータのみにアクセスできること、および処理・使用の過程及び保存後において、個人データが許可なく読み取り、コピー、修正又は削除されないよう徹底すること(データへのアクセス制御)、特に以下の措置を講じること。
  • 侵入検知システム、ルーター、ファイアウォールなどのネットワーク機器の設置
  • ユニークユーザーID、パスワード、および第2認証要素(OTP、MFA、2FA)によるセキュアなログインの徹底
  • システム利用状況のログ記録・分析
  • 個人情報を含む重要なシステムで、役割ベースのアクセス制御を適用
  • ノートパソコンのハードドライブ暗号化
  • ウイルス対策ソフトの導入およびアップデート
  • PCI(クレジットカード業界)データセキュリティ基準への対応
  • 役割に応じた権限設定の定義と管理、関係者のみへの個人データアクセス付与、限られた管理者のみへの一般的なアクセス権付与、アクセスログおよび管理、データの暗号化、侵入検知システム、データキャリアの安全な保管、データ回線、分配ボックス、ソケットの安全性などの徹底
  1. 個人データが電子的な転送、輸送または保管中に許可なく読み取り、コピー、修正または削除されないことを保証し、データ転送設備による個人データの転送が予測される機関を確認すること(データ転送管理)、特に次の措置を講じること。
  • 通信の暗号化、トンネリング(VPN=Virtual Private Network)、ファイアウォールなどの設定、物理的に輸送する場合は安全な輸送コンテナの確保、ノートパソコンの暗号化
  1. 情報処理システムに入力、変更、削除された個人情報、およびそれを行った担当者について遡及的に調査および立証できるようにすること(入力管理)、特に以下の措置を講じること。
  • システム利用状況のログ記録・分析
  • 個人情報を含む重要なシステムで、役割ベースのアクセス制御を適用
  • ロギングおよびレポーティングシステムの整備、(役割ベースの権限コンセプトに基づいた)データ入力、変更、削除を行うユーザー権限の個別割り当て
  1. 個人データの委託処理に基づいて処理される個人データが、データエクスポーターの指示にのみ従って処理されていることを確認すること(ジョブコントロール)、特に以下の措置を講じること。
  • 全従業員に対するセキュリティおよびプライバシーに関する意識向上トレーニングの義務化
  • 従業員の採用手続きにおいて、重要な個人情報にアクセスできる主要な従業員に対して詳細な申請書の記入を要求すること
  • 定期的な監査の実施
  • 個人情報がデータエクスポーターの指示に従い処理されることを保証するプロセスの実施。これには、適切な人員およびサービス提供者の慎重な選定、契約履行の監視、適切な技術的および組織的安全対策を含むデータ処理契約の締結が含まれます。
  1. 個人データを不慮の破壊や損失から確実に保護すること(可用性管理)、特に次の措置を講じること。
  • バックアップおよびリカバリーシステム、サーバーの冗長化、ハードディスクのミラーリング、無停電電源装置・補助電源装置、リモートストレージ、サーバーの温度監視と制御、耐火ドア、火災、煙探知、消火システム、アンチウイルス/ファイアウォールシステムなどの整備、マルウェア対策、災害復旧、緊急時対策などの実施
  1. 異なる目的または原則のために収集されたデータを別々に処理できるようにすること(分離制御)、特に、次のような手段を講じること。

内部の顧客コンセプトと技術的な論理的顧客データの分離、役割ベースの権限コンセプトの制定、テストデータと本番データの分離