安全なカスタマーサービスの実現に向けて
情報セキュリティへの取り組み
Zendeskはセキュリティを非常に重視しています。このことは、当社にデータを信託しているフォーチュン100およびフォーチュン500ランキング企業の数が証明しています。 エンタープライズクラスのセキュリティ機能と、アプリケーション、システム、ネットワークの包括的な監査機能を組み合わせることにより、顧客データを安全に保護しておりますので、当社のお客様は言うまでもなく、すべてのユーザーに安心してご利用いただけます。
コンプライアンス証明書とメンバーシップ
Zendeskはベストプラクティスを駆使し、業界基準に準拠して、業界で認められた一般的なセキュリティおよびプライバシーの枠組みにおけるコンプライアンスを達成し、サブスクライバーがそのコンプライアンス基準を満たすよう支援しています。
SOC 2 Type II
当社は、SOC 2 Type II報告書の更新を受けるため、定期的に監査を実施しています。報告書は秘密保持契約に署名いただき、ご請求いただくと閲覧できます。 最新のSOC 2 Type II報告書を請求する。
ISO 27001:2022
Zendeskは、ISO 27001:2022の認証を取得しています。 証明書をダウンロードする。
ISO 27018:2019
Zendeskは、ISO 27018:2019の認証を取得しています。 認証証明書はこちらでダウンロードできます。
ISO 27701:2019
Zendeskは、ISO 27701:2019の認証を取得しています。 認証証明書はこちらでダウンロードできます。
ISO 27017:2015
Zendeskは、ISO 27017:2015の認証を取得しています。 認証証明書はこちらでダウンロードできます。
FedRAMP LI-SaaS
Zendeskは、米国連邦リスク認証管理プログラム(FedRAMP)により、影響度の低いソフトウェアアズアサービス(Low Impact Software-as-a-Service (LI-SaaS))として認定されており、FedRAMPマーケットプレイスに社名が掲載されています。 米国政府機関に属するサブスクライバーは、パッケージアクセスリクエストフォームに必要事項を記入いただくか、ご請求をfedramp@zendesk.com宛てに送信いただくことにより、Zendesk FedRAMPセキュリティパッケージにアクセスできます。
PCI-DSS(クレジットカード業界情報保護セキュリティ基準)
PCI データが Zendesk サービスに保持されないようにするための複数の方法をご用意しています。 Zendeskとクレジッドカード情報の取扱の詳細については、こちらの記事を参照してください
McAfee Cloud Trust - McAfee Enterprise Ready
Zendeskは、McAfee CloudTrustプログラムの認証を取得しています。 このプログラムでは、最高のCloudTrust™ 格付けを持つサービスだけに、McAfee Enterprise対応のシールを提供します。 シールを取得したサービスは、データ、ユーザーとデバイス、セキュリティ、ビジネス、および法的評価の各カテゴリにわたる各属性に基づいて、McAfee CloudTrust™ とMcAfee Enterprise-Readyの格付けを取得します。
クラウドセキュリティアライアンス (CSA)
Zendeskは、Cloud Security Alliance(CSA)のメンバーです。CSAは、クラウドコンピューティングにおけるセキュリティ確保を実現するためのベストプラクティスの使用の推進を使命とする非営利組織です。 CSAが立ち上げたSecurity, Trust & Assurance Registry(STAR)は誰でもアクセス可能な公開レジストリで、クラウドプロバイダは様々なクラウドコンピューティングのセキュリティコントロールを登録し、公開することができます。 Zendeskは、デューデリジェンス自己評価の結果に基づき、公開されるConsensus Assessment Initiative (CAI) のアンケートに回答しました。
CSA CAIQ は、こちらからダウンロードできます。
IT-ISAC
Zendeskは、IT-ISAC(Information Sharing and Analysis Center)のメンバーです。 IT-ISACは、進化するテクノロジーを活用し、セキュリティへの共通のコミットメントを持つ、民間セクターの様々な企業をまとめることに注力する団体です。 IT-ISACでは、脅威インテリジェンスに関する重要かつ実用的な情報や対策方法などを共有し、協力し合うことができます。 また、インテリジェンス、インサイダー脅威、フィジカルセキュリティ、およびその他の特定領域に注力する各特定利害関係者グループを調整することで、Zendeskのセキュリティをさらに高めるというミッションが推進されます。
FIRST
Zendeskは、FIRST(Forum of Incident Response and Security Teams)のメンバーです。FIRSTは、コンピュータセキュリティインシデントに協力して対処し、インシデント防止プログラムを促進する活動を行っています。 FIRSTのメンバーは、技術情報やツール、手法、プロセス、ベストプラクティスの開発に取り組み、共有に努めています。 FIRSTのメンバーとして、Zendeskセキュリティチームは、他のメンバーと協力して、メンバーの知識、スキル、そして経験を活かすことで、より安全で安心なグローバル電子環境の実現を目指します。
金融サービス資格認定制度(FSQS)
Zendeskは、FSQS(Financial Services Qualification System)認定の事業者として、加盟する金融機関が提示するすべての要件(ステージ1およびステージ2)を満たしています。 最新のFSQS認証は、こちらで請求できます。
FSQSの詳細は、https://hellios.com/fsqs/をご覧ください。
アーティファクト
ご要望に応じて、追加のリソースを提供いたします。
ISO 27001:2022認証
ISO 27018:2019認証
ISO 27701:2019認証証明書
ISO 27017:2015認証
SOC 3レポート
データシート / ホワイトペーパーコンプライアンスのPCI構成証明(AoC)およびコンプライアンス証明書
ネットワークアーキテクチャ図
Support/Guide
Chat
Talk
CSA CAIQ
リスク台帳
FSQS(金融サービス資格認定システム)
SIG Lite
VSA
HECVAT Lite
以下のリソースは、閲覧にNDAが必要となる場合があります。 アクセスするにはボタンをクリックしてください。
保険証明書
SOC 2 Type II報告書
年間侵入テストの概要
クラウドセキュリティ
設備・施設
ZendeskはISO 27001、PCI DSSサービスプロバイダーレベル1、SOC 2のいずれか、またはすべてに準拠したAWSデータセンターでサービスデータを保護しています。 AWSのコンプライアンスについて知る。
AWSインフラストラクチャサービスには、バックアップ電源、HVACシステム、防火設備が含まれ、サーバーとお客様のデータを保護しています。 AWSのデータセンター管理について知る。
オンサイトセキュリティ
AWSオンサイトセキュリティには、警備員、フェンス、監視カメラ、侵入検知技術、およびその他のセキュリティ対策が含まれます。 AWSのフィジカルセキュリティの情報。
データホスティングの場所
Zendeskは米国、EUおよびアジア太平洋地域にあるAWSデータセンターを利用しています。 貴社のZendeskサービスデータのデータホスティング地について知る。
Zendeskでは、米国(US)、オーストラリア(AU)、日本(JP)、または欧州経済地域(EA)をはじめとする様々なデータホスティング地域のオプションを提供しています。 製品、プラン、地域のサービスの詳細は地域データホスティングポリシーをご覧ください。
Zendeskは、当社システムまたはサービスデータに任意のレベルのアクセス権を持つ全てのベンダーに対し、セキュリティレビューを実行することにより、サードパーティベンダーに関連するリスクを最小化します。
専任のセキュリティチーム
世界各地に配備されたZendeskのセキュリティチームは、セキュリティアラートやセキュリティイベントの発生に備え、24時間年中無休で待機しています。
保護
Zendeskのネットワークは、AWSの主要なセキュリティサービス、Cloudflareのエッジ保護ネットワーク、定期的な監査、既知の悪意あるトラフィックとネットワーク攻撃を監視して防御するネットワークインテリジェンス技術により、保護されています。
Zendeskのネットワークセキュリティアーキテクチャは、複数のセキュリティゾーンで構成されています。 データベースサーバーのような機密性のより高いシステムは、最も信頼性の高いゾーンで保護されます。 他のシステムは、機能や情報分類、リスクに応じて、機密性に見合ったゾーン内に格納されます。 ゾーンに応じて、追加のセキュリティ監視およびアクセス制御が適用されます。 DMZは、インターネットと内部ネットワークとの間、および信頼性の高さが異なるゾーン間で利用できます。
ネットワークの脆弱性スキャン
ネットワークセキュリティスキャンにより、コンプライアンスに準拠していないシステムや潜在的に脆弱なシステムをすばやく特定するためのインサイトを取得できます。
サードパーティによる侵入テスト
社内で広範に実施するスキャニングとテストプログラムに加えて、毎年サードパーティのセキュリティ専門家に依頼し、Zendeskの制作部門や企業ネットワーク全体で幅広い侵入テストを実行しています。
セキュリティインシデントイベント管理
Zendeskのセキュリティインシデントイベント管理(SIEM)システムは、重要なネットワークデバイスとホストシステムから膨大なログを収集します。 SIEMは、調査と対応のための相関イベントに基づいて、セキュリティチームに通知するトリガに警告します。
侵入検知と防御
サービスの入力ポイントと出力ポイントが装備されており、変則的挙動を監視・検知します。 ここに挙げたシステムはすべて、インシデントと値が所定のしきい値を超えたときに警告を生成し、新たな脅威に基づいて定期的に更新される署名を使用するように構成されています。 これには、24時間年中無休のシステム監視も含まれます。
脅威インテリジェンスプログラム
Zendeskは、様々な脅威インテリジェンス共有プログラムに参加しています。 脅威インテリジェンスネットワークに投稿された脅威を監視し、リスクに基づいて対応します。
DDoS攻撃の緩和策
Zendeskは多層アプローチを構築し、DDoS攻撃を軽減しています。 Cloudflareとのコア技術を連携させることでネットワークエッジを防御するだけでなく、AWSのスケーリングと保護ツール、またはAWS DDoS特定サービスを併せて使用することにより、さらに強靭な保護を提供します。
論理アクセス
Zendeskの本番ネットワークへのアクセスは、明らかに知る必要のある人に制限され、最小限の特権の原則で運用され、頻繁に監査、監視されており、Zendeskのオペレーションチームが管理しています。 Zendeskの本番ネットワークにアクセスする従業員は、多要素認証を実行する必要があります。
セキュリティインシデント対応
システムアラートが発生すると、オペレーション、ネットワークエンジニアリング、セキュリティ保証を提供するZendeskの24時間年中無休セキュリティチームにイベントがエスカレーションされます。 従業員は、コミュニケーションチャネルおよびエスカレーションパスを含む、セキュリティインシデント対応プロセスのトレーニングを受けています。
転送時の暗号化
Zendesk UIとAPIにおける通信はすべて、パブリックネットワークを介した業界標準のHTTPS/TLS(TLS 1.2以上)を通じて暗号化されます。 これにより、お客様とZendeskとの間に発生するすべてのトラフィックが、転送時も安全に保護されます。 またメールについては、デフォルトでTLSによる日和見暗号化を採用しています。 Transport Layer Security(TLS)は、メールを暗号化して安全に配信するプロトコルです。同等のサービスによってこのプロトコルがサポートされているメールサーバー間において、盗聴を軽減します。 例外として、SMS機能、サードパーティのアプリ、インテグレーション、サブスクライバーが任意で導入するサービスの利用時は暗号化が行われない場合があります。
保管時の暗号化
サービスデータはAWSへの保存時に、AES-256暗号鍵を使用して暗号化されます。
アップタイム
Zendeskは、誰でもアクセス可能なシステムステータスWebページを公開しており、システム可用性の詳細情報、保守スケジュール、サービスインシデント履歴、関連するセキュリティイベントなどを掲載しています。
冗長性
Zendeskは、サービスクラスタリングおよびネットワーク冗長化により、単一障害点を解消しています。 厳格なバックアップ体制と拡張ディザスタリカバリサービスにより、サービスデータがアベイラビリティゾーンを超えて複製されるため、お客様にハイレベルなサービスを提供できます。
災害復旧
Zendeskのディザスタリカバリ(DR)プログラムは、災害発生時にもZendeskのサービスの稼働を維持すること、あるいは速やかに復旧させることを保証するものです。
堅牢な技術環境の構築、災害復旧計画の策定、様々なテストの実施などにより実現されています。
拡張ディザスタリカバリ
当社の拡張ディザスタリカバリパッケージには、契約上の目標復旧時間(RTO)と目標復旧時点(RPO)が含まれています。 これらの契約上の目標は、災害宣言が出された場合に、拡張ディザスタリカバリのサブスクライバーの業務を優先的に遂行する機能と連動します。
ディザスタリカバリ保証についてより詳細な情報を取得する。アプリケーションセキュリティ
セキュアコードトレーニング
フレームワークセキュリティ管理
Zendeskはセキュリティ制御機能を備えた最新かつ安全なオープンソースを活用し、OWASP Top 10のセキュリティリスクにさらされないよう対応しています。 このような固有の制御機能は、SQLインジェクション(SQLi)、クロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(CSRF)への露出を削減しています。
品質保証
Zendeskの品質保証(QA)部門がコードベースをレビューし、テストします。 アプリケーションセキュリティ専任のエンジニアが、コード内のセキュリティ脆弱性を特定し、テストし、トリアージします。
環境の分離
テスト環境およびステージング環境は、論理的に本番環境と分離されています。 サービスデータは、開発環境やテスト環境では一切使用されません。
動的な脆弱性スキャン
Zendeskはサードパーティ製のセキュリティツールを導入し、OWASP Top 10のセキュリティリスクに対し、主要アプリケーションの動的スキャンを継続的に行っています。 社内に専任の製品セキュリティチームを置いてテストを実施し、エンジニアリングチームと協力して、検知された問題の修正を行っています。
ソフトウェア構成分析
当社の製品で使用されるライブラリと従属要素をスキャンして脆弱性を特定し、脆弱性に対応するよう確保します。
サードパーティによる侵入テスト
社内で広範に実施するスキャニングとテストプログラムに加えて、Zendeskはサードパーティのセキュリティ専門家に依頼し、Zendeskファミリーの複数のアプリケーションに対しても精密な侵入テストを実施しています。
責任ある開示 / バグバウンティプログラム
Zendeskの責任ある開示プログラムは、HackerOneとのパートナーシップを通じて、Zendeskのセキュリティ脆弱性をテストおよび通知するための手段を、サブスクライバーとセキュリティ研究者に提供します。
製品のセキュリティ
認証オプション
Zendeskにはいくつかの認証オプションがあり、サブスクライバーは、エンドユーザーとエージェントの認証のため、Zendeskネイティブ認証、ソーシャルメディアのシングルサインオン(SSO)(Facebook、Twitter、Google)、およびエンドユーザー向けエンタープライズSSO(SAML、JWT)を利用できます。 ユーザーアクセスの詳細情報。
設定可能なパスワードポリシー
管理センターから入手できるZendeskネイティブ認証は、低、中、高の3段階のパスワードセキュリティレベルがあります。またエージェントと管理者向けにカスタムパスワードルールをカスタマイズすることも可能です。 また、エンドユーザー向けのパスワードセキュリティレベルと、管理者とエージェント向けのパスワードのセキュリティレベルには、それぞれ異なるレベルを設定できます。 パスワードセキュリティレベルを変更できるのは管理者のみです。 設定可能パスワードポリシーの説明。
2要素認証(2FA)
サービス資格情報の保管
Zendeskは、認証情報の安全な保管に関するベストプラクティスにしたがい、人間が読める形式でパスワードを格納することはありません。パスワードは、安全で暗号化された一方向のハッシュ値として格納されます。
高度なデータプライバシーと保護(ADPP)
Zendeskは、より高度なデータプライバシー保護とセキュリティ対策を必要とするお客様向けに、高度なデータプライバシーと保護アドオンを用意しています。 このアドオンには、BYOK(暗号鍵の管理)、カスタマイズ可能なデータ保持ポリシー、データのマスキング、PII(個人情報)墨消し、アクセスログなどの機能が含まれます。
ロールベースアクセスコントロール
Zendeskアプリケーション内のデータへのアクセスはロールベースアクセスコントロール(RBAC)で管理され、きめ細かなアクセス権を定義するよう構成できます。 Zendeskにはオーナー、管理者、エージェント、エンドユーザーなどのユーザーのタイプごとに、様々な権限レベルが用意されています。
ユーザーロールについて知る:
- Supportデフォルトロール
- Supportカスタムロール *Enterpriseのみ
- Chatデフォルトロール
- Chatカスタムロール *Enterpriseのみ
- Exploreデフォルトロール
- Guideデフォルトロール
- Talkデフォルトロール
- セッションタイム
IP制限
Zendeskアカウントは、Zendeskサポートへのアクセスを、特定の範囲のIPアドレスのユーザーへ制限できます。 許可されたIPアドレスのユーザーだけが、Zendeskアカウントにサインインできます。 サブスクライバー(エージェントやシステム管理者ではなく)に対し、この制限を回避するように設定することができます。 詳細は、「IP制限を使用してZendeskサポートとヘルプセンターへのアクセスを制限する」と「チャットにIPアドレス制限を使用する」をご覧ください。
ヘルプセンター向けにホストされた暗号化証明書(TLS)
Zendeskは、ホストマッピングされたGuideヘルプセンター向けTLS暗号化通信を、無料で提供します。 Zendeskは、証明書の期限が切れる前に証明書を請求し自動更新するLet’s Encryptを使用しています。
ご希望の場合は、お客様自身の証明書をアップロードできます。
Guideヘルプセンター向けに暗号化証明書を設定する方法の詳細は、「ホストされたTLS暗号化証明書を設定する」をご覧ください。
Chatのファイル制限
Zendesk Chatを使うと、エージェントに送付されるファイルの種類を制限できます。 または、Chat製品内でのファイル送信を、完全にオフにすることも選択できます。 この機能の詳細は「チャット内のファイル送信を管理する」をご覧ください。
監査ログ
Zendeskは、Enterprise/Enterprise Plusプランのアカウントに監査ログを提供しています。 これらのログには、アカウントの変更、ユーザーの変更、アプリの変更、ビジネスルール、チケットの削除と設定が含まれます。 監査ログは、「管理センター」と「サポートAPI」の両方で閲覧できます。 監査ログの詳細と、ログ内で提供されている情報の種類を確認するには、「監査ログを閲覧して変更点を確認する」をご覧ください。
プライベート添付ファイル
サブスクライバーは、チケットの添付ファイルを閲覧する際にユーザーにサインインを要求するようインスタンスを設定できます。 プライベート添付ファイルについて知る。
機密データの非表示機能
Zendeskには、機密データを削除するための2種類の非表示機能があります。 手動の非表示機能では、Supportのチケットに入力された機密データの非表示や削除、および添付ファイルを安全に削除することにより、機密情報を保護することができます。 チケットからのデータの削除はUIまたはAPIを通じて行われ、機密情報がZendeskに保存されることはありません。 UIまたはAPI経由の非表示機能について知る
自動非表示機能は、サブスクライバーが提出したチケットからクレジットカード番号を自動削除する機能です。 この機能を有効にすると、チケット上のクレジットカード番号の部分は、空欄で置き換えられます。 クレジットカード番号は、ログとデータベース入力からも非表示にされます。 この機能を有効にする方法と、クレジットカード番号を特定する方法の詳細は、「チケットから自動的にクレジット番号を非表示にする」と「chats」をご覧ください。
ヘルプセンター用のスパムフィルタ
Zendesk のスパムフィルタリングサービスでは、エンドユーザーのスパム投稿がヘルプセンター内で公開されないように設定することができます。 ヘルプセンターでのスパムのフィルタリングについて知る。
メールの署名(DKIM/DMARC)
Zendeskは、お客様が、ご自分のZendesk上に外部Eメールドメインを設定する必要がある場合、お客様のZendeskからの送信Eメールに署名を行う、DKIM(Domain Keys Identified Mail)およびDMARC(Domain-based Message Authentication, Reporting, Conformance)機能を提供しています。 これらの機能に対応するEメールサービスを利用いただくことで、なりすましのEメールを阻止できます。 メールへのデジタル署名について知る。
デバイス追跡
Zendeskは各ユーザーアカウントのサインインに使用されたデバイスを追跡します。 ユーザーが新しいデバイスからアカウントにサインインした場合、そのデバイスがユーザープロフィールのデバイスリストに追加されます。 新しいデバイスが追加されるとユーザーにEメール通知が届きます。疑わしいアクティビティには対応する必要があります。 疑わしいセッションはエージェントの UI から終了させることができます。 デバイス追跡について知る。
人事部門のセキュリティ
ポリシー
Zendeskは、幅広いトピックに対応する包括的なセキュリティポリシーを策定しています。 これらのポリシーは、Zendeskの情報資産へのアクセス権を持つ全従業員と請負業者に公開および提供されています。
トレーニング
全従業員が入社時から毎年、セキュリティ意識向上トレーニングに参加しています。 また全てのエンジニアが毎年セキュアコードトレーニングを受けています。 さらにセキュリティチームは、メールやブログ投稿、社内イベントにおけるプレゼンテーションを通じて、セキュリティ意識に関する最新情報を提供しています。
身元調査
Zendeskは現地の法律に従い、新しい従業員全員を対象に身元調査を行います。 これらの調査は、請負業者についても必要となります。 身元調査には、犯罪歴、学歴、就労資格証明などの調査が含まれます。 清掃スタッフも身元調査の対象です。
機密保持契約
新入社員は全員、秘密保持契約への署名が求められます。
Zendeskのグローバルプライバシープログラムへようこそ
Zendeskは、正規のグローバルプライバシーおよびデータ保護プログラムを定めており、これは当社の法務、セキュリティ、製品セクター、そしてエクゼクティブ層を含む、部門横断的な主要ステークホルダーが対象となります。 プライバシーの擁護者として、当社は、当社サービスとチームメンバーが、適用される規制と業界の枠組みを順守するよう、真剣に取り組んでいます。
コンプライアンス
1998年オーストラリアプライバシー法(随時改定されます)は、様々なデータ主体の権利を規定するもので、関連するデータ侵害に関する通知義務が追加されました。 GDPRとは異なり、データ管理者やデータ処理者の概念はありません。https://www.zendesk.co.jp/company/anz-privacy/
ブラジル一般データ保護法(Lei Geral de Proteção de Dados Pessoais「LGPD」)は、2020年9月18日に発効しました。 LGPDは総合的なデータ保護法で、データ管理者と処理者の活動および個人の権利について規定しています。
Zendeskサービス内で個人データを収集し保管するZendeskのサブスクライバーは、LGPDに基づき「管理者」とみなされます。 管理者は、その個人データの処理が、LGPDを含む関連するデータ保護法を順守するよう確保する主たる責任を負います。 Zendeskは、当社サービスを通じて行う個人データの処理に関し、LGPDで定義される「処理者」として機能します。
サブスクライバーは、Zendeskの製品をコンプライアンスイニシアティブに沿って使用する方法の詳細を知りたい場合、「製品ガイド」と「サービスデータ削除ポリシー」をご覧ください。国立データ保護機関(「ANPD」)は、将来、LGPDに関する追加のガイダンスを発行する可能性があります。 Zendeskは、今後も法律の変更を積極的に追跡し、当社のサブスクライバーのコンプライアンスの取り組みを支援するために使用できる特性や機能について、最新情報を提供していきます。
ZendeskのLGPDに関する補遺は、Zendeskのデータ処理契約に組み込まれています。 Zendeskのデータ処理契約を閲覧したい場合、または署名したい場合は、こちらをクリックしてください。
カリフォルニア州消費者プライバシー保護法、Cal. Civ. Code §§ 1798.100 et seq.(「CCPA」)は、カリフォルニア州で制定された米国の法律で、2020年1月1日に施行されました。 同法は、一定のカリフォルニア州消費者に提供されるプライバシーの権利を拡大し、一部の企業に様々なデータ保護要件の順守を要求しています。 最終版CCPA規則およびカリフォルニア州プライバシー権法(「CPRA」)もご確認ください。 いくつかのCPRAの規定は、2020年12月16日に発効されており、CRPAの残りの条項は2023年1月1日に施行されます。
Zendeskサービス内で個人情報を収集し保管するZendeskのサブスクライバーは、CCPAに基づき「事業者」とみなされます。 事業者は、その個人データの処理が、CCPAを含む関連するデータ保護法を順守するよう確保する主たる責任を負います。 Zendeskは、当社サービスを通じて行う個人データの処理に関し、現行のCCPAで定義される「サービス提供者」として機能します。 そのためZendeskは、本サービスを通じて処理されるサブスクライバーとサブスクライバーのエンドユーザーの個人情報を、サブスクライバーとの既存の契約に基づく当社の義務を履行する目的のためにのみ、収集、アクセス、維持、使用、処理、移転します。そのような義務を遂行する以外の商業目的、および当社が提供する本サービスを改善する以外の商業的目的で、個人情報を収集、アクセス、維持、使用、処理、移転することはありません。
Zendeskは、サブスクライバーの個人情報を、当社はCCPAに定義する意味で「販売」しません。 Zendeskは、CCPAにおいて個人情報とはみなさない、本サービスの利用に関する集計されたおよび/または匿名化された情報を、本サービスの開発と改善のため、またサブスクリプション契約に詳述されるとおり、より関連性の高いコンテンツとサービスを提供するため、当社を支援するサードパーティと共有することがあります。
ZendeskのCCPAに関する補遺は、Zendeskのデータ処理契約に組み込まれています。 Zendeskのデータ処理契約を閲覧したい場合、または署名したい場合は、こちらをクリックしてください。
Zendeskのメインサービス契約の米国各州に関する補遺を閲覧したい場合、またはこれに署名したい場合は、こちらをクリックしてください。
カナダの個人情報保護および電子文書法(PIPEDA)は、2000年に発効し、同法は個人情報の収集、使用、アクセス、および開示の規則を形成する10の公正な情報の原則に主眼に置いています。 2021年10月、カナダ国際技術協会(ITAC)と、情報技術産業評議会(ITIC)は、カナダ市民へより大きなプライバシーと透明性の権利を与えるよう、PIPEDAを改正することを提案しました。
ZendeskのDPAは、こちらで閲覧できるとともに署名できます。 Zendeskのデータ処理契約(DPA)は当社サービスに適用される特定の処理活動とセキュリティ対策について規定し、EU標準契約条項(SCC)を含みます。
サブスクライバーは、「製品ガイド」および「サービスデータ削除ポリシー」をお読みになり、データ保護法およびプライバシー法を順守して、Zendeskの製品を使用するための詳細情報を確認してください。
設立当初より、Zendeskのアプローチは、プライバシー、セキュリティ、コンプライアンス、および透明性への強いコミットメントを柱としてきました。 このアプローチには、当社のサブスクライバーが、一般データ保護規則(「GDPR」)の規定をはじめとするEUデータ保護要件を順守するよう支援することが含まれます。
GDPRは、EU市民の個人データを収集、移転、ホストまたは分析するサブスクライバーに対し、GDPRの技術的および組織上の要件を履行する能力を保証する、サードパーティデータ処理者を起用することを求めています。 サブスクライバーの信頼をさらに得られるように、Zendeskはデータ処理契約(「DPA」)を更新して、適用されるEUデータ保護法に準拠することについてお客様に対し契約上の約束を行うとともに、GDPRで要求された契約上の追加規定を盛り込みました。
拘束的企業準則(BCR): 拘束的企業準則(「BCR」)は、欧州経済領域内(「EEA」)からEEA域外の諸国に個人データを円滑に移転するための全社的なデータ保護ポリシーであり、欧州データ保護当局から承認を受けています。 BCRは、欧州共同体データ保護当局が規定した厳格なプライバシー原則に基づいており、これらの当局との集中協議することが要求されます。 サブスクライバーは、認定組織の全リストを、こちらにある拘束的企業準則認定組織リストで確認いただけます。 2017年に、Zendeskは、アイルランドデータ保護監督官(「DPC」)との間で、処理者および管理者として、BCRのEU承認手順を完了しました(英国情報委員会とオランダデータ保護当局の両者による審査を完了しています)。 重要な規制当局からの承認により、Zendeskがグローバルで顧客とその従業員の両方の個人データを保護するために、可能な限り最高の基準に準拠していることが確認されました。 Zendeskは、世界で初めてBCRについて承認を受けたソフトウェア会社の1社であり、アイルランドのDPCより承認を受けた2番目の会社です。
Zendeskの欧州BCRにアクセスするには、以下をご覧ください。
Zendeskの英国BCRにアクセスするには、以下をご覧ください。
データ主体の請求: サブスクライバーのサービスデータ内でサブスクライバーに代わり当社が保存または処理する個人データに関してデータ保護権を行使しようとする個人(かかる個人データへのアクセスを求める、または個人データの修正、変更、削除、移動、または処理の制限を求める個人を含みます)は、そのような照会を当社サブスクライバー(データ管理者)に対し行う必要があります。 サブスクライバーから、Zendeskに対して個人データを削除するよう請求を受けた場合、当社は、30日以内にそのような請求に対応します。 当社は、サブスクライバーに本サービスを提供するために必要な期間、個人データを保持し、サブスクライバーに代わりデータを処理し、保存します。
データ保護責任者: Zendeskのデータ保護責任者(「DPO」)へは、euprivacy@zendesk.comからお問い合わせください。
HDSは、Zendeskのプラットフォームを、適切な技術的および統制手段を有しており、個人健康情報(PHI)を保護するものとして認定し、フランスの医療従事者に、Zendeskの顧客サービスとエンゲージメントプラットフォームを安心して使ってもらえるようにしています。 詳細情報は、こちらで閲覧できます。
2020年12月1日に施行された2020年ニュージーランドプライバシー法は、代理業者に適用され、1993年の原則に基づく枠組みを維持しています。 2020年プライバシー法では、事業者にはニュージーランド国外に送信する個人情報が適切に保護されるよう確保する責任があると定めており、また義務的な違反通知要件を追加しました。https://www.zendesk.co.jp/company/anz-privacy/
シンガポール個人データ保護法は、2014年7月2日付で、個人データの収集、使用、開示に適用されるデータ保護法規を制定しました。 Zendeskは、シンガポール情報通信開発庁(IDA)に、SaaS(サービスとしてのソフトウェア)のサービス業者として認定されています。 詳細情報は、こちらで閲覧できます。
英国は、2020年1月31日に欧州連合を離脱しました。 2021年6月28日、欧州委員会は、GDPRに基づく英国への個人データの移転について十分性認定を採択しました。
HIPAA対応アカウントを取得するには、(1) 高度セキュリティ対応関連サービスまたは高度コンプライアンス対応関連サービスアドオンを購入し、(2) Zendeskの概要説明にしたがって一連のセキュリティ設定を有効化し、かつ (3) 当社の業務提携契約 (「BAA」)に署名する必要があります。 HIPAA対応するサービスの一覧などの詳細は、「高度コンプライアンス」をご覧ください。
サブスクライバーのサービスデータの詳細
サービスデータとは、Zendeskサービスを通じて移転される個人データを含む任意の情報で、サブスクライバーおよびそのエンドユーザーによって、またはそれらに代わって、Zendeskサービス内に保管されるものを指します。 当社は、本サービスを運用、改善し、お客様が本サービスへアクセスし利用できるようにし、サブスクライバーの問い合わせに応え、本サービスに関する通信を送付するために、サービスデータを使用します。
アクセス: Zendeskは、顧客が効果的にご自身の情報を保護できるよう、一連の高度なアクセスおよび暗号機能を提供しています。 Zendeskサービスの提供、維持、改善に必要な場合およびその他の形で、法律で要求される場合を除き、それ以外の目的のために顧客のコンテンツにアクセスし、使用することはありません。 詳細情報はこちらをご覧ください。
データホスティング: Zendeskは、こちらおよび「地域データホスティングポリシー」に記載するとおり、サービスデータをホスティングするためAmazon Web Servicesを利用しています。 詳細情報は、「セキュリティセクション」もご覧ください。
本サービスで収集されるデフォルトのデータの種類: Zendeskは、製品毎に分類されたデータポイントの一覧を用意しています: データの種類の全容を知りたい場合は、それらの個々の意図された使用例と結果として生成されたデータの種類と併せて、この一覧を活用してください。
法的要求または政府からの請求: プライバシー、データセキュリティ、およびサブスクライバーの信頼は、当社にとって最優先事項です。 プライバシー通知に詳述するとおり、Zendeskは、本サービスを提供し、適用される法令を順守するために必要な場合を除き、サービスデータを開示しません。 サブスクライバーが、コンプライアンスを確認できるように、以下の追加リソースを用意しました。 透明性レポートおよび政府請求に関するポリシー。
所有権: プライバシーの観点からは、サブスクライバーが、サービスデータの管理者であり、Zendeskは処理者です。 これは、お客様によるZendeskサービスのサブスクリプション期間中、お客様が、Zendeskインスタンス内のサービスデータに対する所有権と管理権を留保することを意味します。
レプリケーション: Zendeskは、アーカイブ、バックアップ、監査ログの目的でデータを定期的に複製します。 当社は、Amazon Web Services (AWS) を利用して、データベース情報や添付ファイルなどのバックアップされる情報を保存します。 詳細は、「地域データホスティングポリシー」をご覧ください。
セキュリティ: Zendeskは、データセキュリティを優先しており、エンタープライズクラスのセキュリティ機能を、当社のアプリケーション、システム、ネットワークの包括的な監査と組み合わせることで、サブスクライバーと事業者のデータが保護されるよう確保します。 詳細情報は、こちらをご覧ください。
セキュリティインシデント: セキュリティインシデント管理に関する詳細情報は「セキュリティインシデント対応」をご覧ください。
復処理者: Zendeskは、本サービスを提供、保護、改善するため、Zendeskの関連会社およびサードパーティ企業を含む、復処理者を使用する場合があり、そのような復処理者はサービスデータにアクセスできます。 「復処理者ポリシー」には、全ての復処理者の名称と所在地の最新のリストが記載されています。
解約: Zendeskは、サブスクライバーのZendeskサブスクリプション契約の解約または終了の際にZendeskがデータを削除する手続について説明する「サービスデータ削除ポリシー」を維持しています。
プライバシー関連ポリシー
Zendeskが、当社Webサイト上で、Cookieを使用する方法についての詳細情報です。
Zendeskが、Zendeskサービス内でいつどのようにCookieを使用するかについての情報を記載しています。
Zendeskのサービス内でのアカウントの取消し、解約、移行に関連して、サブスクライバーのサービスデータがどのように削除されるかについて記載しています。
このフレームワークは、お客様データのセキュリティとプライバシーに関し、各分野についての管理責任を明確にするものです。
プライバシー関連のアプリケーション機能
Zendeskは、データへのアクセス、修正、移行、削除、異議申し立てなど、ユーザーからの請求、または適用されるプライバシーおよびデータ保護法にもとづくその他の義務を支援するために、各製品にツールを用意しています。 各Zendesk製品の特性および機能の情報は、「Zendesk製品のプライバシーおよびデータ保護の順守」をご覧ください。
Zendeskは、サブスクライバーが効果的にその情報を保護できるよう、一連の高度なアクセスおよび暗号機能を提供します。 Zendeskのサービスの提供、維持、改善に必要な場合、そして適用される法令で要求される場合を除き、サブスクライバーのデータにアクセスしたり、データを使用したりすることはありません。 詳細情報は、こちらで閲覧できます。
Zendeskは、数多くの国際的に知名度の高い証明書や適格性認定を取得しており、第三者による保証フレームワークの順守が証明されています。 セキュリティ証明書はこちらをご覧ください。
「データセンターの場所でデプロイされる関連サービス」 (「データセンター ロケーション アドオン」)を購入したサブスクライバー、またはサービスプランにデータセンターの場所の機能が含まれているサブスクライバーは、サービスデータをホストする地域を、Zendeskの利用可能な地域リストから選ぶことができます。
Zendeskは、堅牢なグローバルプライバシーおよびデータ保護プログラムを配備しており、顧客にZendeskのシステム内にある個人データを管理する上での柔軟性を持てるよう、プライバシーと情報統制を統合するアプローチを採用しています。 詳細は、当社製品ガイドをご覧ください。 Zendesk製品のプライバシーおよびデータ保護の順守。
Zendeskには、機密データを削除するための2種類の非表示機能があります。
手動の非表示機能は、サポートチケットのコメントから機密データを非表示にしたり、削除したりすることができ、添付ファイルを安全に削除する機能を備えているため、秘密情報を保護することができます。 チケットからのデータの削除はUIまたはAPIを通じて行われ、機密情報がZendeskに保存されることはありません。 UIまたはAPI経由の非表示のより詳細を知る。
自動非表示機能は、サブスクライバーが提出したチケットからクレジットカード番号を自動削除する機能です。 この機能を有効にすると、チケット上のクレジットカード番号の部分は、空欄で置き換えられます。 クレジットカード番号は、ログとデータベース入力からも非表示にされます。 この機能を有効にする方法とクレジットカード番号を特定する方法を知る。
Zendesk AI
Zendesk AIは、プライバシー、セキュリティ、コンプライアンスの基本原則に基づいて設計されています。 安全で信頼できる製品やソリューションをビジネスに提供するというZendeskのコミットメントは、当社のDNAに組み込まれています。 Zendeskではその一環として一連の設計原則を運用しています。これらの原則は、Zendeskが行うすべての設計、開発、構築方法の基準を定めるだけでなく、顧客エクスペリエンス(CX)および従業員エクスペリエンス(EX)のためにAIを活用する際の明確な基盤となっています。
Zendesk AIによって処理されるサービスデータは、Zendeskの堅牢なエンタープライズセキュリティ対策の遵守、およびZendeskのSOC2準拠環境内のストレージを含む、すべてのセキュリティ基準とコミットメントの対象となります。 サービスデータは他の顧客とは共有されません。
生成AI機能は現在、OpenAIによって提供されています。 OpenAIは、出力を生成した後、保存なしですべてのデータを削除します。 OpenAIのデータセキュリティ慣行はこちらでご覧いただけます。
Zendeskが開発したモデルはすべて分類モデルです。つまり、Zendeskが作成したカテゴリのいずれかに入力を読み取り、分類するようにトレーニングされています。 これらのモデルは生成的でないため、モデルによってコンテンツが生成されることはなく、モデルによってデータが再現されることもありません。
Zendeskは、機械学習モデルのトレーニングに顧客のサービスデータを使用していますか?
Zendeskは、次の3種類の機械学習機能を提供します。
1. アカウント固有の機械学習機能:Zendeskは、アカウントに存在するデータのみを使用して、顧客のアカウントに合わせた機械学習モデルを作成します。 アカウント固有のモデルは、他のお客様によって使用されることはありません。
2. 一般的な機械学習機能:Zendeskは、サービスデータを使用して、一般的なアカウント横断的な機械学習モデルをトレーニングし、複数のZendesk顧客にとって予測的で役立つものにします。 これには、グローバルモデルと業界モデルが含まれます。 これらのモデルは、「生成」ではない(つまり、テキストを作成しない)ため、ある顧客のサービスデータを別の顧客に開示することはありません。
3. OpenAIでサポートされる生成機械学習機能:OpenAIモデルは事前トレーニングされており、Zendeskの顧客データがOpenAI(またはその他の第三者)がモデルをトレーニングするために使用されることはありません。
モデルのトレーニングに使用する場合、Zendeskはサービスデータをどのように保護しますか?一般的な機械学習機能のトレーニングにサービスデータが使用される前に、Zendeskは必要に応じて集計とサニテーション処理を行います。 モデルのトレーニングには、個人データやチケットの添付ファイルを取り込むためのフィールドは使用しません。 Zendeskは、モデルによってサービスデータが再現されないことを保証します。ある顧客のデータがモデルの出力を通じて別の顧客に公開されるリスクはありません。 AIデータ使用情報を参照してください。
ハルシネーション(幻覚)は生成AI機能に対する本質的なリスクです。 Zendeskは、このリスクを軽減するために2つのことを行います。
Zendeskは、生成された返答または検索結果が特定のナレッジ ベース コンテンツに基づいていることを保証するために、取得拡張生成((RAG)技術を利用します。
Zendeskの開発チームは、ハルシネーションに関する否定的なエンドユーザーフィードバックがあった返答を定期的に検査し、そのようなシナリオを自動的に検出して防止できるツールを開発します。
サービスデータはすべて、Zendeskの既存のAWSリージョンでホストされます。 復処理者のホスティング場所については、Zendesk復処理者ポリシーを参照してください。
Zendesk AIの利用は、データセンター ロケーション アドオンで利用可能なものを含め、データの場所に関するサブスクライバーのコミットメントに影響を与えません。 対象となるサブスクライバーのサービスデータは、指定されたリージョンで引き続きホストされます。
注意事項: Zendesk WFM(Tymeshift)、Zendesk QA(Klaus)、およびUltimateのサービスデータは、Google Cloud Platformで以下の地域でホストされています。
製品 | サービスデータのホスティング場所 |
---|---|
Zendesk WFM(Tymeshift) | 米国、ドイツ |
Zendesk QA(Klaus) | ドイツ |
Ultimate | 米国、ベルギー |
Zendeskのすべての製品と機能はプライバシーを考慮して設計されており、Zendesk AIも例外ではありません。
Zendesk AI機能を含めZendeskを利用するサブスクライバーは、プライバシーに関するさまざまな法律(GDPRやCCPAを含む)を遵守することができます。
Zendesk AIは、Zendeskの事業提携契約(BAA)の適用対象となります。
ZendeskとのBAAの締結に関心のあるサブスクライバーは、Advanced Compliance Add-onのアクセスを保有する必要があります。
データセキュリティ
OpenAIのデータセキュリティプラクティスはこちらでご覧いただけます。
モデルセキュリティ
Zendeskは事前にトレーニングされたOpenAIのモデルを使用しており、サービスデータはOpenAIがサブスクライバーにサービスを提供し、その安全性を確保する以外の目的で使用されることはありません。 出力が完了すると、サービスデータは削除されます。
モデルのトレーニング
OpenAIは、モデルのトレーニングやその他のサービスの向上のためにサービスデータを使用することはありません。
データのホスティングと地域区分
OpenAI は、対象となる顧客向けに、欧州経済領域(EEA)およびスイス内での現地データ処理をサポートしています。 ただしOpenAIは、サービスデータを保存またはホストしません。サービスデータは、結果を出力するためにメモリ内でのみ処理されるためです。
データプライバシー
ZendeskはOpenAIの「データ保持ゼロ」ポリシーを採用しているため、出力の完了後、サービスデータがOpenAIによって保存されたり、ホストされたりすることはありません。 そのため、Zendeskを使用するサブスクライバーは、OpenAIを使用しても、プライバシーに関するさまざまな法律(GDPRやCCPAを含む)の遵守を阻害されることはありません。
ZendeskのOpenAI機能はどれも必須のものではありません。 これらの機能の使用を望まないサブスクライバーは、これらの機能をオンにする必要はなく、管理センターを通じていつでも機能を無効にすることができます。
HIPAA
OpenAIを利用した一部の機能は、HIPAA対応のアカウントで使用できます。 詳しくは高度なコンプライアンスのヘルプページをご覧ください。
UltimateのAIエージェントのセキュリティとプライバシーの詳細については、こちらをご覧ください。
法務情報
当社の契約およびポリシーでは、サブスクライバーにZendeskのサービスの透明性と詳細情報について説明しており、サブスクライバーはそれを指針として、各自の法的基準とコンプライアンス基準を順守することができます。
サブスクライバーは、その事前評価を行う際に、当社の「自主製品アクセシビリティテンプレート」を利用できます。
これは、当社の事業遂行において当社の取締役、役員、従業員および派遣労働者に期待する最小限の基準です。
Zendeskが、当社Webサイト上で、Cookieを使用する方法についての詳細情報です。
Zendeskが、Zendeskサービス内でいつどのようにCookieを使用するかについての情報を記載しています。
Zendeskが侵害通知に対処する方法について記載しています。
Zendeskのサービス内でのアカウントの取消し、解約、移行に関連して、サブスクライバーのサービスデータがどのように削除されるかについて記載しています。
法執行当局およびその他の政府当局からの請求に対応するZendeskの手続を説明します。
Zendeskが、個人データをどのように収集、使用、共有および保護するかについて説明します。
サブスクライバーが、データセンター ロケーション アドオンを購入しまたは有効化した場合に、Zendeskサービスデータをホスト可能な場所について説明します。
セキュリティ調査者が、Zendeskサービスのセキュリティ脆弱性の発見した際にそれを報告するためのプログラムです。
Zendesk のポリシーはこちらから入手できます。
透明性レポート
サービスデータの開示: Zendeskは、当社サービスの提供と改善に開示が必要な場合、または公共機関からの合法的な請求に対応するため必要な場合にのみ、サービスデータを第三者に開示しています。 当社の政府データ請求に関するポリシー、およびZendesk透明性レポートをご覧ください。