顧客データ取扱規程
第1章 総則
第1条 (目的)
- 本規程は、〔会社名〕(以下「会社」という。)が SaaS サービスの提供及び受託開発業務に伴い顧客から預託されるデータの適正な取扱いを確保し、顧客の権利利益を保護するとともに、契約上及び法令上の義務を履行することを目的とする。
第2条 (適用範囲)
- 本規程は、会社の全ての従業員及び業務委託先のうち、顧客データに接する全ての者に適用する。
- 個人情報の取扱いに関しては、別途定める個人情報保護規程(V-001)の定めを優先し、本規程はこれを補完する。
第3条 (用語の定義)
- 顧客データとは、顧客が会社の SaaS に投入したデータ及び受託業務において顧客から提供又は会社が取得したデータの一切をいう。
- 処理者とは、顧客の指示に基づき顧客データを処理する者をいい、会社は原則として処理者の立場にある。
- SCC とは、Standard Contractual Clauses(標準契約条項)をいう。
第2章 顧客データの所有及び利用
第4条 (データの所有権)
- 顧客データの所有権及び一切の権原は、原則として顧客に帰属する。
- 会社は、顧客との契約に基づき、役務提供に必要な範囲においてのみ顧客データを処理する権限を有する。
第5条 (利用範囲)
- 会社は、顧客データを契約上の役務提供の目的のためにのみ使用する。
- 統計情報として利用する場合は、個人又は顧客企業を特定できないよう完全に匿名化したうえで、契約に明示的に定めた範囲に限り利用できる。
- 顧客データを機械学習モデルの学習に利用する場合は、顧客の事前の明示的な同意を要し、同意のない顧客データを学習に用いてはならない。
第3章 セキュリティ管理
第6条 (暗号化)
- 顧客データは、保存時に AES-256 相当以上の暗号化を施したうえで保管する。
- 顧客データの転送時は、TLS 1.2 以上を用いた経路で送受信する。
- 暗号鍵は、データ本体と分離して管理し、鍵管理サービス(KMS)を利用する。
第7条 (アクセス権限)
- 顧客データへのアクセス権限は、業務上の必要性に基づき最小権限の原則に従って付与する。
- アクセス権限はジョブベースのロールにより管理し、職務変更又は退職時には速やかに見直す。
- 本番環境の顧客データへの恒常的アクセスは原則として禁止し、必要時は申請及び承認に基づく一時的アクセスとする。
第4章 委託先管理
第8条 (委託先への提供)
- 会社は、クラウド事業者、外注先その他の委託先に顧客データの取扱いを委託する場合、委託先の安全管理措置を事前に評価し、契約により秘密保持及びデータ保護義務を課す。
- 委託先の一覧は、顧客が確認できるよう自社サイト等で開示する。
第5章 監査ログ
第9条 (監査ログの記録及び保管)
- 顧客データへのアクセス、出力、変更及び削除の操作は、操作者、日時及び対象を識別可能な形式で監査ログとして記録する。
- 監査ログは、改ざん防止措置を講じたうえで 1 年以上保管する。
- 監査ログは、定期的にレビューし、不審な操作が認められた場合は速やかに調査する。
第6章 データ侵害への対応
第10条 (データ侵害時の通知)
- 顧客データの漏えい、改ざん、滅失その他の侵害が発生し又はそのおそれがあると認めたときは、対象顧客に対し原則として認知から 72 時間以内に通知する。
- 通知には、発生事象の概要、影響範囲、当面の対応及び今後の対策方針を含める。
- 個人情報保護法その他の関連法令に基づく監督官庁への報告が必要な場合は、所定の期限内に報告する。
第7章 契約終了時の取扱い
第11条 (データの削除及び返却)
- 顧客との契約が終了したときは、契約に定める期間内に顧客データを返却又は削除する。
- 返却の方法は、顧客が指定する形式に従い、安全な経路により実施する。
- 削除の完了後、顧客の求めに応じてデータ削除証明書を発行する。
- バックアップ媒体上のデータについても、所定の保管期限経過後に削除されることを保証する。
第8章 越境データ移転
第12条 (越境移転の取扱い)
- 顧客データを国境を越えて移転する場合は、移転先国の法令及び個人情報保護法第 28 条等の定めを遵守する。
- EU から第三国への移転には、欧州一般データ保護規則(GDPR)の定めに従い、SCC の締結等の適切な保護措置を講ずる。
- 米国の州法に基づく要請に対しては、各州法の要件を確認のうえ対応する。
第9章 雑則
第13条 (教育)
- 会社は、顧客データを取り扱う従業員に対し、年 1 回以上の教育を実施する。
第14条 (改廃)
- 本規程の改廃は、情報セキュリティを所管する責任者が起案し、稟議規程に基づき決定する。
附則
本規程は、〔施行日〕から施行する。