US 州法のプライバシー補遺

この米国の州法のプライバシー補遺（「補遺」）は、お客様のマスターサブスクリプション規約、利用規約、またはリセラーお客様利用規約（該当する場合、「本契約」）の規約を補足し、特定のデータプライバシーの権利と、特定の米国の州法に関する義務を定めています。本書で使用されているものの定義されていない用語は、本契約に定める意味を持つものとします。

セクションA – 一般規定。本補遺のこのセクションAは、お客様がビジネスまたはコントローラであり、CCPAまたはその他の適用される州のデータ保護法に準じたZoomの処理またはZoomのお客様の個人情報または個人データ処理の範囲で、Zoomによるサービスの提供およびお客様によるサービスの利用に適用されます。

1. 定義。この補遺全体で使用されている「お客様」とは、Zoomサービスに加入するビジネスまたはコントローラを指します。セクションAで使用されているが、特に定義されていない大文字で書かれた用語は、以下のセクションB（1）およびC（1）に定める意味を持つものとします。
   
   
2. 監査と評価。
   
   
   1. Zoomは、ISO 27001およびSOC 2 Type IIフレームワークを証明するため、次のようにサードパーティによる監査を実施します:
      
      
      1. Zoomは、年間ベースで、SOC-2監査によりセキュリティ、可用性、およびプライバシー基準を監査します。
         
         
      2. 監査は、適用される管理基準またはフレームワークに関する規制機関または認定機関の基準および規則に従って実施されます。
         
         
      3. 監査は、資格を有する独立したサードパーティのセキュリティ監査者により、Zoomの選択と費用で実施されます。
         
         
      4. 各監査の結果として、お客様向けの監査レポート（「Zoom監査レポート」）が作成され、Zoomが要求に応じて年間ベースでお客様に提供します。Zoom監査レポートはZoomの機密情報です。
         
         
3. 情報の受信に関する制限。本補遺のいかなる規定も、Zoomに以下の開示を要求するものではありません。（a）Zoomの他のお客様またはサードパーティのデータまたは情報、（b）内部の会計情報または財務情報、（c）Zoomの企業秘密、または（d）Zoomの妥当な見解として考えられる以下のもの: （i）Zoomのネットワーク、システム、または施設のセキュリティを侵害する可能性のある情報、（ii）Zoomがサードパーティに対するセキュリティまたはプライバシーの義務に違反すること、または（iii）この補遺に記載されている理由以外の理由で求められた情報。Zoomは、Zoom監査レポートをお客様に提供する前に、合理的なZoom（またはそのサードパーティ監査人または評価者）の利用規約へのお客様の同意を求める場合があります。
   
   
4. データの削除。Zoomは、（a）お客様に適用される州のデータ保護法の要求に従い、お客様の指示に基づいて、サービスの提供終了時にすべての個人データを削除またはお客様に返却するか、（b）CCPAの要求に従い、お客様とZoomの関係が終了または満了した際、個人情報を保持、使用、または開示しません。本セクションA（4）（データの削除）のいかなる規定も、Zoomに対し、（i）適用法に従って保持しなければならないデータを削除または返却すること、または（ii）返却が技術的に不可能である場合、または返却がZoomに多大な負担や費用を課す場合に、個人データを破棄する代わりに返却することを要求するものではありません。
   
   

セクションB – カリフォルニア。本補遺のこのセクションBは、お客様がビジネスであり、ZoomがCCPAに従ってお客様に代わって個人情報を処理している範囲で、Zoomによるサービスの提供およびお客様によるサービスの利用に適用されます。

1. 定義。補遺のこのセクションBで使用される場合。（a）「CCPA」とは、2020年のカリフォルニア州プライバシー権法によって改正された2018年のカリフォルニア州消費者プライバシー法、およびそれに基づいて公布された規制を意味します。（b）「ビジネス」、「ビジネス目的」、「商業目的」、「消費者」、「処理」、「販売」、「サービスプロバイダー」、および「共有」は、CCPAで与えられたそれぞれの意味を持ちます。（c）「個人情報」とは、CCPAで定義されている「個人情報」を意味しますが、個人情報が、本契約に基づくビジネスとしての役割におけるZoomからお客様へのサービス提供の結果として、Zoomによって収集、アクセス、取得、受信、使用、開示、またはその他の方法で処理される範囲に限られます。
   
   
2. 確認と義務。Zoomは、（a）注文フォームに記載されたサービスを提供するという限定された特定の目的および本契約に記載された目的のためにのみ、お客様によって個人情報が開示されることを認めます。（b）CCPAに基づいてサービスプロバイダーに適用される義務を遵守し、CCPAが要求するのと同じレベルの個人情報のプライバシー保護を提供するものとします。これにはビジネスが提供する必要があるのと同じプライバシー保護が含まれます。（c）お客様は、Zoomによる個人情報の利用がCCPAに基づくお客様の義務と一致していることを保証するために、本書のセクションA（2）と一致する合理的かつ適切な措置を講じることができることに同意します。（d）ZoomがCCPAに基づく義務を果たせなくなったと判断した場合は、速やかにお客様に通知するものとします。（e）お客様は、Zoomが有効な削除要求の対象となる個人情報をもはや保持または使用していないことを証明する合理的な文書をZoomに要求することにより、適用される規制と一致し、それに従って、個人情報の不正使用を停止および是正するための合理的かつ適切な措置を講じることができることに同意します。
   
   
3. 制限事項。Zoomは、（a）個人情報の販売または共有をしないものとします（b）上記のセクションB（2）（a）に記載されている目的、またはCCPAで別途許可されている目的以外の目的で個人情報を保持、使用、または開示しないものとします。これには、当該目的または異なるビジネスのサービス以外の商業目的で個人情報を保持、使用、または開示することが含まれます。（c）CCPAで許可されている範囲を除き、Zoomと顧客との直接的なビジネス関係の範囲外で個人情報を保持、使用、または開示しないものとします。または（d）本契約に基づいて受け取った個人情報を、他の当事者から受け取った個人情報、または個人情報が関係する消費者とのZoom自身のやり取りと組み合わせないものとします。ただし、サービスプロバイダーがCCPAに基づいて許可されている範囲を除きます。Zoomは、本補遺に基づく義務を理解し、それを遵守することをここに証明します。
   
   
4. 監査、レビュー、評価。お客様単独の費用および経費で、Zoomが必要とし、CCPAと一致する合理的な要件と書面による同意を条件として、お客様は上記のセクションA（2）（監査および評価）に従って12か月に1回を超えない範囲でZoomを監査、レビュー、または評価することができます。
   
   
5. 消費者からの要求。消費者の要求を受領し、検証した後、お客様は直ちにZoomに通知し、すべての必要な情報をZoomに提供するものとし、Zoomは直ちに、お客様がCCPAに基づく権利を行使する個人の要求を満たせるようにするため、消費者の個人情報に関する合理的な要求ができるように当該措置を講じ、当該情報を提供するものとします。これには、個人情報に関する情報へのアクセス、修正、削除、販売または共有のオプトアウト、または受領の要求が含まれますが、これらに限定されません。Zoomがお客様の消費者から直接請求を受けた場合、Zoomは、（i）消費者に対し、当該リクエストについてお客様に直接連絡するよう助言するか、または（ii）お客様に連絡し、消費者に対し直接回答するよう求めることができます。
   
   

セクションC — バージニア州、コロラド州、ユタ州、その他の州。本補遺のこのセクションCは、お客様が個人データのコントローラであり、Zoomが該当する州のデータ保護法に基づいてお客様の個人データを処理する範囲で、Zoomの条項およびお客様のサービスの使用に適用されます。

1. 定義。 本補遺のセクションCに使用されているように、（a）「該当する州のデータ保護法」は、（i）2021年のコロラド州プライバシー法、2021年のバージニア州消費者データ保護法、または2022年のユタ州消費者プライバシー法（改正を含む）、または（ii）お客様がコントローラであり、Zoomが処理者である個人データ保護の目的で制定されたその他の該当する米国の州法により、本補遺の条件がその州法の要件を満たしているものを指します。（b）「コントローラ」、「個人データ」、「処理」、および「処理者」は、該当する州のデータ保護法でそれぞれ定義されている意味を有するものとし、（c）「指示」は、以下に示された意味を持ちます。
   
   
2. 個人データの処理: 役割、範囲、および責任。
   
   
   1. 両当事者は次の事項を認め、同意します。お客様はお客様の個人データのコントローラです。Zoomはお客様の個人データの処理者です。
      
      
   2. 必要で相応の範囲でのみ、コントローラとしてのお客様は、自身の代わりにZoomに処理者として以下の行為を実行するように指示します（まとめて「指示」）。
      
      
      1. お客様によるZoom設定の使用、管理者の操作、またはその他のサービス機能を介することを含む、お客様およびそのユーザーによる使用許諾、設定、および使用されるサービスを提供および更新します。
         
         
      2. 安全でリアルタイムのサービスの監視。
         
         
      3. 問題、バグ、エラーの解決。
         
         
      4. お客様がリクエストしたサポートを提供します。これには、個人のお客様からのサポートリクエストから得られた知識を、当該知識が匿名化された範囲において、すべてのZoomのお客様のために活用することが含まれます。そして
         
         
      5. 本契約（これには、本補遺および付属書 A を含む）で提示され、お客様によって提供されて、Zoom によって指示を構成するものとして認められているその他の書類による指示の通りにお客様の個人データを処理します。
   3. Zoomがお客様の個人データの処理者として機能する範囲で、Zoomはお客様の指示に従ってのみお客様の個人データを処理します。お客様は、Zoomへの指示がお客様の個人データに適用されるすべての法律、規則、および規制に準拠していること、およびお客様の指示に従ってお客様の個人データを処理することにより、Zoomが適用される州のデータ保護法に違反しないことを保証します。お客様は、（i）お客様によって、またはお客様に代わってZoomに提供されたお客様の個人データ、（ii）お客様が当該お客様の個人データを取得した方法、および（iii）かかるお客様の個人データの処理に関してZoomに提供する指示の正確性、品質、および合法性について単独で責任を負います。お客様は、本契約または本補遺に違反して、お客様の個人データをZoomに提供または利用可能にしてはなりません。
      
      
   4. お客様は限られた状況でZoomが個人データのスキャニングとレポートを行うことを認めます（例: 児童の性的虐待の検知とレポート、その他の該当する法律に従うこと、Zoomが受諾できる利用ガイドラインの遵守を約束すること）。
      
      
3. 権限を付与された人物。 Zoomは、お客様の個人データを処理する権限を付与された全ての人物が、個人データの秘密保持を意識しており、データに関する守秘義務の対象であることを保証するものとします。
   
   
4. 下請け業者および復処理者。Zoomが処理者である範囲で、お客様は、本セクションC（4）に従ってZoomが下請業者および復処理者と契約することを全般的に承認します。
   
   
   1. お客様は、個人データを処理するためにhttps://www.zoom.com/en/trust/subprocessors/においてZoomがプロバイダーを使用することを承認します。
      
      
   2. Zoomは、プロバイダを削除、交換、または追加で任命することがあります。お客様がhttps://www.zoom.com/en/trust/subprocessors/で更新を購読している場合、Zoomはこれらのプロバイダ契約の変更をお客様に通知しなければなりません。適用される州のデータ保護法で義務付けられている場合、Zoomは、本契約のセクションC（4）（d）およびC（4）（e）に従って、お客様が契約に異議を唱える機会も提供しなければなりません。
      
      
   3. 本サービスの可用性またはセキュリティに関する緊急時には、Zoomは下請け業者の解任、交換、または任命について、お客様に事前の通知を提供する必要はありませんが、下請け業者の変更後7営業日以内に通知を提供するものとします。
      
      
   4. いずれの場合でも、お客様はZoomによる前述の通知の受領から15営業日以内に、書面で下請け業者との当該契約に反対することができます。
      
      
   5. お客様が新しい下請け業者との契約に反対する場合、Zoomは次のオプション（Zoomの単独裁量によって選択される）のひとつを介して反対を解決する権利を有するものとします。
      
      
      1. Zoomは、お客様の個人データに関して下請け業者を使用する計画をキャンセルすることができます。
         
         
      2. Zoomは、お客様の異議申し立てにおいてお客様から要求された是正措置（お客様の異議申し立てを解消するもの）を講じ、お客様の個人データに関して下請け業者を使用することができます。
         
         
      3. Zoomは、お客様の個人データに関する当該下請け業者の利用を伴うサービスの特定の機能の提供を（一時的または永続的に）中止する場合があり、お客様はそれについて同意する場合があります。Zoomは、商業的に合理的な代替案（サービスの内容の変更を含むがこれに限定されない）がある場合、お客様に書面による説明を提供します。Zoomが独自の裁量により、そのような代替案を提供できない場合、またはお客様が提供された代替案に同意しない場合、Zoomとお客様は、60日前に書面で通知することにより、本補遺を含む本契約を解除することができます。解除は、契約に基づき解除の効力発生日までに提供されたサービスに関するお客様のZoomに対する料金または費用の支払義務を免除するものではありません。
         
         
      4. お客様がZoomによる通知の送達から15営業日以内に新しい下請け業者の契約に反対しない場合、その新しい下請け業者は承認されたものとみなされます。
         
         
   6. Zoomは、書面による契約に基づいてのみお客様の個人データを処理する下請け業者と契約し、個人データに関して下請け契約されたZoomの義務を当該下請け業者に履行させるものとします。下請け業者がデータ保護義務を果たさなかった場合、Zoomは本補遺に基づき、Zoom自身がそのような行為または不作為を行った場合と同様に、お客様に対して責任を負います。
      
      
5. 情報セキュリティ。処理の状況を考慮して、Zoomはお客様の個人データに関する適切な技術的および組織的な措置を維持し、本補遺、および本契約に明記されている通り、これに従ったリスクへの適切なセキュリティレベルを保証するものとします。
   
   
6. コンプライアンス情報。お客様の合理的な要求に基づき、Zoomは、本補遺におけるZoomの義務を遵守していることを示す必要があり、適用される法律に準拠した、Zoomが保有する合理的な情報をお客様に提供するものとします。

付属書 A

処理の記載

コントローラから処理者へ

処理の性質および目的: Zoomは、本契約（本補遺を含む）に従い、次の目的でお客様の個人データを処理します。

• お客様によるZoom設定の使用、管理者の操作、またはその他のサービス機能を介することを含む、お客様およびそのユーザーによる使用許諾、設定、および使用されるサービスを提供および更新します。
  
  
• 安全でリアルタイムのサービスの監視。
  
  
• 問題、バグ、エラーの解決。
  
  
• お客様がリクエストしたサポートを提供します。これには、個人のお客様からのサポートリクエストから得られた知識を、当該知識が匿名化された範囲において、すべてのZoomのお客様のために活用することが含まれます。
  
  
• 本契約および/または本補遺に提示されている、またはお客様が提供し、指示を構成するものとしてZoomによって認められているその他の書類による指示の通りで、
  
  
• 必要に応じて法的義務を遵守するためです。
  
  

処理される個人データの種類:

Zoomアカウントプロファイル情報: エンドユーザーのZoomアカウント、プロフィール画像、パスワード、会社名、およびお客様の設定に関連付けられたデータ。これには次のものが含まれます：

• Zoom独自のユーザーID、
  
  
• プロフィール写真（オプション）
  
  

診断データ:

ミーティングのメタデータ: サービスの使用状況に関する指標（会議がいつ、どのように行われたかなど）。

このカテゴリには以下が含まれます:

• イベントログ（実行されたアクション、イベントタイプとサブタイプ、アプリ内のイベントの場所、タイムスタンプ、クライアントUUID、ユーザーID、およびミーティングIDを含む）
  
  
• 頻度、平均および実際の時間、回数、質、ネットワーク活動、およびネットワーク接続を含むミーティングセッション情報
  
  
• ミーティング数
  
  
• 画面共有および非画面共有セッションの回数
  
  
• 参加者数
  
  
• ミーティングホスト情報
  
  
• ホスト名
  
  
• ミーティングサイトURL
  
  
• ミーティングの開始/終了時刻
  
  
• 参加方法
  
  
• パフォーマンス、トラブルシューティングおよび診断情報
  
  

遠隔測定データ: ローカルにインストールされたソフトウェアから収集されたデータ（Zoomサービスおよび関連したシステム環境/技術情報の展開についてのアプリケーションおよびブラウザ情報）。これには以下が含まれます。

• PC名
  
  
• マイク
  
  
• スピーカー
  
  
• カメラ
  
  
• ドメイン
  
  
• ハードディスクID
  
  
• ネットワークタイプ
  
  
• オペレーティングシステムの種類とバージョン
  
  
• クライアントバージョン
  
  
• MACアドレス
  
  
• イベントログ（実行されたアクション、イベントタイプとサブタイプ、アプリ内のイベントの場所、タイムスタンプ、クライアントUUID、ユーザーID、およびミーティングIDを含む）
  
  
• サービスログ（システムイベントおよび状態に関する情報）
  
  

その他のサービス生成データ:

• スパム認証
  
  
• プッシュ通知
  
  
• 次の情報を含むその他のデータ要素と結合される、UUIDまたはユーザーIDのようなZoomの永続的な一意の識別子:
  
  
• IPアドレス
  
  
• データセンター
  
  
• PC名
  
  
• マイク
  
  
• スピーカー
  
  
• カメラ
  
  
• ドメイン
  
  
• ハードディスクID
  
  
• ネットワークタイプ
  
  
• オペレーティングシステムの種類とバージョン
  
  
• クライアントバージョン
  
  
• ネットワークパスに沿ったIPアドレス
  
  

サポートデータ:

• サポート依頼者の連絡先、時間、件名、問題の説明、会議後のフィードバック（賛成/反対）
  
  
• 記録、文字起こしまたはスクリーンショット、ミーティング後のフィードバックを含むユーザーの添付書類（反対の場合はオープンテキストを提供）
  
  

処理にかかる期間:本契約期間および、Zoomがお客様に代わって処理したすべてのお客様の個人データを削除または返却するまでの期間。

最新情報

Zoomは、このプライバシー補遺を随時変更または補足する場合があります。本プライバシー補遺に対するいかなる変更も、ここに記載されます。本プライバシー補遺の変更または補足の通知を受け取りたい場合は、下のテキストボックスにメールアドレスを入力してください。