SalesforceCRM構築データ処理規約（2023年10⽉1⽇版）

SalesforceCRM構築データ処理規約（2023年10⽉1⽇版）

この「SalesforceCRM構築データ処理規約」（以下「本規約」といいます。）は、お客様及び当社の間で締結された原契約による本サービスの利⽤に適⽤されます。本規約上で⽤いられる⽤語のうち本規約に定めの無いものは SalesforceCRM構築サポートサービス規約の記載に従います。

1. 定義

「原契約」

SalesforceCRM構築サポートサービス規約の「第1条（定義）」に定める「本契約」のいずれか⼜はすべてを含む複数を意味します。

「本サービス」

SalesforceCRM構築サポートサービス規約の「第1条（定義）」に定める「本サービス」のいずれか⼜すべてを含む複数を意味します。

「本契約」

原契約の定めによりお客様と当社の間で締結される本規約に基づく契約を意味します。

「SP♙rc⽂書」

SFDCプラットフォームにおけるセキュリティ、プライバシー及びアーキテクチャ⽂書であってSFDCがウェブ上で公開する⽂書のうち、お客様のSFDCプラットフォームの組織が属するインスタンスに適⽤される⽂書を意味します。本規約制定⼜は最後の改定の時点におけるURLは次の通りですが、変更される可能性があります。 xxxxx://xxx.xxxxxxxxxx.xxx/xxxxxxx/xxxxx/xxxxx-xxx-xxxxxxxxxx-xxxxxxxxxxxxx/

「処理」

収集、記録、組織化、構造化、保存、適⽤⼜は変更、検索、参照、使⽤、送信による開⽰、配布⼜はその他の⽅法で利⽤可能にすること、整列⼜は組み合わせ、制限、消去⼜は破壊など、⾃動⼿段によるか否かにかかわらず、個⼈データに対して実⾏される操作⼜は⼀連の操作を意味します。

「管理者」

個⼈データの処理の⽬的と⼿段を決定する主体を意味します。

「処理者」

管理者に代わって個⼈データを処理する主体を意味します。

「復処理者」

処理者に代わって個⼈データを処理する主体を意味します。

「個⼈データ」

特定⼜は識別可能な⾃然⼈に関連する情報を意味します。

「データ主体」

個⼈データが関係する特定⼜は識別可能な個⼈を意味します。

「データ保護法」

本サービスに基づく個⼈データの処理に適⽤のありうる法令（個⼈情報の保護に関する法律を含みますが、これに限られません。）を意味します。

「SFDC」

株式会社セールスフォース・ジャパン（名称変更後の同⼀法⼈を含みます。）を意味します。

2. 個⼈データの処理

2.1. 両者の役割

本サービスにおける個⼈データの処理における管理者はお客様であり、当社はお客様から個⼈データの取扱の委託を

受けた処理者です。

2.2. お客様による個⼈データの処理

お客様は、本サービスを利⽤するにあたり、当社を処理者として利⽤することをデータ主体に通知する必要がある場合を含め、データ保護法に従って個⼈データを処理します。お客様から当社への個⼈データの処理に関する指⽰はデータ保護法にしたがって⾏われる必要があり、当社がその違反⼜は違反のおそれに気づいた場合、その旨をお客様に通知します。お客様は、個⼈データの管理者として個⼈データの正確性、品質、合法性、及び個⼈データの取得について単独で責任を負います。

2.3. 当社による個⼈データの処理

当社は個⼈データを機密情報として扱い、本契約、適⽤される注⽂書、お客様の⽂書化された指⽰に従ってのみ、お客様の委託に基づき個⼈データを処理します。お客様からの委託に基づく処理に必要な範囲を超えた個⼈データの複製は⾏いません。お客様からの委託に基づく処理として当社が必要と考える、本契約に基づく個⼈データの処理の期間、処理の性質と⽬的、個⼈データの種類及び本契約の下で処理されるデータ対象のカテゴリーについては、別紙記載のとおりであり、当該記載の範囲で処理をいたします。

3. データ主体の権利

3.1. データ主体の要求

当社は、データ主体から、データ主体のアクセス権、修正権、処理の制限、消去、データポータビリティ、処理への異議申⽴て、⼜は⾃動化された意思決定を受けない個⼈の権利（これらに相当する定めが適⽤されるデータ保護法に存するものに限ります。）を⾏使するための要請を受けた場合、データ保護法において認められる範囲内で、速やかに顧客に通知します。処理の性質を考慮して、当社は、データ保護法に基づくデータ主体の要求に対応するお客様の義務を果たすために、可能な限り、適切な技術的及び組織的⼿段を⽤いてお客様を⽀援します。

3.2. データ主体の要求への対応

当社は、データ主体の要求等に関し、原則としてお客様の指⽰に従いますが、そのような要求への対応がデータ保護法その他の法令により要求される場合には、当該要求の範囲内で当社がこれに対応することにつき、お客様は予め同意するものとします。当社がそのような対応を⾏うことに起因する費⽤は、お客様での負担が法的に認められている範囲内に限り、お客様にご負担いただきます。

4. 当社の⼈員

4.1. 秘密保持

当社は、本サービスにおける個⼈データの処理に従事する者に対し、個⼈データの機密性を周知し、その責任について適切な教育を⾏い、書⾯による守秘義務契約を締結しています。当社は、当該従事者が、個⼈データの処理を終了した後も、その守秘義務が存続するよう最⼤限配慮します。

4.2. 信頼性

当社は、個⼈データの処理に従事する当社の⼈員の信頼性を確保するために、商業的に合理的な措置を講じます。

4.3. アクセス制限

当社は、3.2.の場合を除き、本サービスの提供にあたり個⼈データにアクセスすることはありません。お客様からの指

⽰に基づき個⼈データにアクセスする場合は必要最⼩限の⼈員に限定します。

5. 復処理者

お客様は、当社が本サービスの提供に関して再業務委託先である復処理者を⽤いる場合があることを認め、同意します。当社は、復処理者との間で、データ保護法の遵守を含め顧客データの保護に関し本データ処理規約の保護義務に劣らない保護義務を含む書⾯による契約を締結しています。本規約の最終改定時における主要な復処理者は当社のサービス区分に応じ、次の通りです。

・ SFDC

6. セキュリティ

6.1. 顧客データの保護のための管理

顧客データに対するSFDCプラットフォーム上のセキュリティ保護、機密性、及び完全性を保護するための適切な技術的及び組織的なセキュリティ対策は、SFDCプラットフォームの管理主体であるSFDCが公表する「SP♙rc⽂書」に準拠します。

6.2. 第三者の認証及び監査

当社は、プライバシーマーク（登録番号21000919）を取得しています。SFDCプラットフォームは、SP♙rc⽂書に記載の第三者認証及び監査証明を取得していますが、次のURLからウェブ上で確認することもできます（URLは変更されることがあります）。xxxxx://xxxxxxxxxx.xxxxxxxxxx.xxx/xx

6.3. プライバシー影響評価

当社は、お客様の要求に応じて、お客様の本サービスの利⽤に関連するプライバシー影響評価を実施するためのデータ保護法に基づくお客様の義務を果たすために必要な合理的な協⼒と⽀援を、当該影響評価に必要な関連情報にお客様がアクセスさせず、かつ 当社がSFDCを通じた協⼒を得ることのできる範囲で⾏います。

7. 顧客データのインシデントの管理と通知

7.1. 当社は、個⼈データを含む顧客データの偶発的⼜は違法な破壊、紛失、改ざん、不正開⽰、⼜はアクセス（以下「インシデント」といいます。）につき、(1) 当社の処理によるものについては当社の把握した情報を元 に、(2) 復処理者の処理によるものについては復処理者から通知された情報を元に、インシデントの原因を特定し、当社が合理的に管理できる範囲で、インシデントの原因を是正するために必要かつ合理的であると当社が判断した措置を講じます。本項の義務は、お客様⼜は本ユーザが原因で発⽣したインシデントには適⽤されません。

7.2. データ主体や監督機関に対して⾏うインシデント報告の義務と責任は管理者であるお客様に存します。

8. 顧客データの削除

原契約の終了後におけるお客様のデータの削除は、SP♙rc⽂書に規定されている⼿順と期間に従って実施されます。

9. 監査

お客様からのご依頼があった場合、お客様の指定する形式のセキュリティに関する報告書を年1回を上限として提出します。当社に対する現地監査には当社との事前の合意が必要です。復処理者に対する現地監査の要求には応じることができませんが、お客様からの書⾯によるご依頼（合理的な期間と頻度で⾏われたものに限ります。）があった場

合、原契約に定める守秘義務を条件に、当社は、次の復処理者の発⾏する認証⼜は監査に関する報告書をお客様に提供します。

・SFDC

10. 責任の制限

本規約に起因⼜は関連して発⽣する各当事者及びその関連会社の責任につき、契約、不法⾏為、⼜はその他の責任理論の下にあるかどうかを問わず、お客様⼜は本ユーザに起因する範囲のものについては、当社はこれを負担しませ ん。

11. 期間

本契約の有効期間は原契約の有効期間に従います。

別紙（処理の詳細）

1. 処理の性質と⽬的

当社は、お客様との原契約の内容に従い、本サービスの提供に必要な範囲で、また、お客様がサービスを利⽤する際に指⽰された通りに、お客様からの委託に基づき個⼈データを処理します。

2. 処理期間

当社は、書⾯による別段の合意がない限り、原契約の期間中、個⼈データを処理します。

3. データ主体のカテゴリー

お客様が本サービスを通じてSFDCプラットフォームに提出することがある個⼈データのデータ主体の範囲はお客様が

独⾃の裁量で決定及び管理しますが、通常以下の範囲のデータ主体を含みます。お客様の⾒込み顧客、既存顧客、ビジネスパートナー、ベンダー

お客様の⾒込み顧客、既存顧客、ビジネスパートナー、ベンダーの従業員⼜は連絡先お客様の従業員、代理⼈、顧問

本ユーザ

4. 個⼈データの種類

4.1. お客様が本サービスを通じてSFDCプラットフォームに提出することがある個⼈データの範囲はお客様が独⾃の

裁量で決定及び管理しますが、通常以下のような個⼈データを含みます。

⽒名

役職職位

連絡先（電⼦メールアドレス、電話番号、事業所の住所）アカウントデータ

5. 特別なカテゴリーのデータ

4.に記載のものを除き、お客様が本サービスを通じてSFDC プラットフォームに提出することがある特別なカテゴリーの個⼈データの範囲はお客様が独⾃の裁量で決定及び管理します。