VMwareデータプライバシー補遺

最新更新日:2015年11月20日


本VMwareデータプライバシー補遺(以下「 本プライバシー補遺」)は、参照により特定のVMware本サービス提供に関するサービス条件(「 本契約」)に組み込まれている場合は、常に適用されます。

本プライバシー補遺は、2部から構成されています。

  • 第I部(一般的プライバシー規定)は、すべての本サービス提供に適用され、本プライバシー補遺は、その契約の一部です。
  • 第II部(特定プライバシー規定)は、VMwareにより利用可能となった特定の本サービス提供に適用される追加のサービス特有のプライバシー規定を定めます。お客様が1つまたは複数のこれらの本サービス提供を購入または利用される場合、これらのサービス特有のプライバシー規定が、第I部の一般的プライバシー規定に加えて適用されます。

第I 部: 一般的プライバシー規定

1. 定義 および解釈

1.1 定義 本プライバシー補遺で定義されていない定義用語は、本契約において与えられた意味を有します。 さらに、以下の定義は、本プライバシー補遺を通して適用されます。

  1. コントローラー」とは、お客様の個人情報の処理の目的および手段を決定する法人を意味します。
  2. データ違反」とは、サービスデータに対する、偶発的、未承認または違法な破壊、喪失、変更、開示、アクセスまたはその他すべての処理を意味します。
  3. 個人情報」とは、個人が識別されている、または識別可能な個人に関連する情報を意味します。
  4. 処理者」とは、コントローラーの代理として個人情報を処理する法人を意味します。
  5. 処理する」とは、サービスデータ、関係データまたは使用データに対して実行される1つまたは1組のオペレーションを意味します。「処理」とは、これに準じて解釈されます。
  6. 関係データ」とは、お客様が、お客様のアカウントの購入、サインアップ、使用またはサポートを行っている間にVMwareに提供されたアカウントに関する情報を意味します。関係データには、個人データが含まれる場合があります。VMwareは関係データを、第3条に記載の目的で処理します。
  7. サービスデータ」とは、当該サービスをお客様に提供する過程で、お客様に代わってVMwareが処理するすべてのデータ(すべての個人情報を含む)を意味します。お客様が購入または受けとる本サービス提供に応じて、サービスデータに、お客様またはお客様のユーザーが本サービス提供にアップロードまたはインポートするテキスト、視覚、音声、視聴覚、実行可能またはデータベースのファイルのコンテンツを含むことができます。サービスデータには、使用データまたは関係データは含まれません。
  8. 使用データ」とは、お客様の本サービス提供の消費に関するすべてのデータ(サービスデータを除く)を意味します。使用データには、個人情報は一切含まれません。 使用データには、購入または消費されたコンピューティングおよびストレージ・リソースの量、ユーザー数、消費されたサードパーティー・ライセンスについての情報が含まれますが、これに限定されません。使用データには本サービス提供を通じてお客様に提供される任意の、第三者の、または共同ブランドのサービスの消費に関連した情報が含まれる場合もあります。

1.2 矛盾 以下の間で矛盾が生じる場合、次の通りとします。(i) 本プライバシー補遺と本サービス提供のサービス条件との間の場合、本プライバシー補遺の規定がその矛盾する範囲で適用されます。(ii) 本プライバシー補遺の第I部(一般的プライバシー規定)と第II部(特定プライバシー規定)との間の場合、第II部(特定プライバシー規定)が、その矛盾する範囲で適用されます。および(iii) 本プライバシー補遺と適用されるサードパーティー条件との間の場合、適用されるサードパーティー条件が、サードパーティーコンテンツに関してその矛盾する範囲で適用されます。

2. サービスデータ

2.1 当社の役割 お客様と当社の間では、サービスデータのコントローラーはお客様です。当社は、お客様の代理の処理者として、本契約に定める意味においてのみサービスデータを処理します。本プライバシー補遺に従う場合または法により要求される場合を除き、当社はサービスデータを任意の第三者に開示することはありません。

2.2 お客様の順守 お客様は、(i)お客様によるサービスデータの処理および当社にお客様から出される処理命令に関して、適用可能なすべてのプライバシーおよびデータ保護の法律を順守するものとします。またお客様は(ii) 本プライバシー補遺に従って当社がサービスデータを処理するために必要なすべての同意および権利をお客様が既に取得していること(または取得すること)を確実にするものとします。

2.3 セキュリティ 当社は、お客様に代わって処理するサービスデータの保護のために、適切な技術的ならびに組織的手段(管理面、物理面、技術面での安全策を含む)を維持します。お客様が購入された、または受け取られる本サービス提供に適用される可能性のある具体的なセキュリティ方法の詳細は、本プライバシー補遺第II部(特定プライバシー規定)のその本サービス提供に関連するセキュリティ条件をご覧ください。

2.4 サブプロセシング お客様は、当社がお客様のサービスデータの処理を第三者に下請けに出すことがあることに同意します。当社は、当社が指名した下請け業者が、お客様のサービスデータを本プライバシー補遺に定める基準と実質的に同等の方法で確実に保護するようにします。当社は、当社が指名した下請け業者によって引き起こされた本プライバシー補遺のすべての違反について、責任を負います。

2.5 協力 本契約期間中、当社は、お客様が、(i)お客様の代理として当社が処理しているお客様のサービスデータ内に個人情報が含まれている個人から、または(ii)適用可能なデータ保護当局から受ける要請または苦情に対処できるようお客様が合理的に要求するすべての支援を、(お客様の費用負担で)提供します。

2.6 データ違反 データ違反を認識した場合、当社は直ちにお客様に通知し、当該データ違反に関連する展開について、定期的にお客様に最新情報をお知らせします。当社は、データ違反の影響を軽減し、可能であれば是正するために、合理的な努力をはらいます。

2.7 データセンターの場所 お客様は、お客様のサービスデータの保存先の場所を選択します。お客様は、お客様が特定の本サービス提供をご購入時にお客様が選択する場所に、当社がサービスデータを保存することに同意します。サービスデータを本サービス提供へアップロードすることにより、お客様は、サービスデータが保持される場所から、および保持される場所へを含む、世界各地からお客様がサービスデータを転送しアクセスすることができることを了承します。

2.8 欧州経済領域およびスイスからのデータ転送 欧州経済領域またはスイスにいるお客様の場合、お客様は、欧州経済領域およびスイス以外の国で当社が、以下の範囲でお客様のサービスデータを処理することがあることを認めます。

  1. お客様の選択した海外の場所にお客様のサービスデータを保存するために必要な場合(お客様の認めた場所が欧州経済領域またはスイスにおけるものと同等のデータ保護の法律を制定していないことがあります)。
  2. お客様がすべてのサポートリクエストに関してサービスデータを提供する場合、この際、当社は海外のカスタマーサポート設備においてこのリクエストを処理します(当社は、適用される欧州またはスイスあるいはその両方のデータ保護法律に従ってサービスデータの適切な保護をいたします)。

2.9 サービスデータの削除 本契約の満了後、当社は、お客様のサービスデータを合理的期間内に削除するよう努力しますが、適用法順守のためサービスデータを保持することが当社に求められている場合にはこの限りではありません。当社がお客様のサービスデータを技術的または他の理由から削除できない場合、当社は対策を講じ、お客様のサービスデータがさらに処理されないように確実に遮断します。

2.10 サービスデータの第三者要請 第三者がサービスデータに対して苦情を提起した場合またはアクセスを要請した場合、当社は当該第三者が直接お客様に連絡できるようにします。当社が、召喚、裁判所命令、令状、監査または政府機関の行動への対応を要求され、それが、サービスデータの開示を要求するものであった場合、当社は、その行為が法律により禁じられる場合を除き、直ちにその旨をお客様に通知し、当該要求のコピーをお客様に提供します。

2.11 医療情報の保護 お客様は、「米医療保険の携行性と責任に関する法律(Health Insurance Portability and Accountability Act)」により規制されているデータを本サービス提供にアップロードしたり、サービスデータに含めたりしてはなりません。ただし、お客様がVMwareと事業提携契約を結んだ場合はこの限りではありません。

3. 関係データ

3.1 当社は、以下の目的のために、関係データを収集し処理します。 (i) お客様への本サービス提供の実施、お客様のアカウントの管理ならびにお客様へ通知およびマーケティング情報の送付(当社の他の製品およびサービスの利用可能性についての通知を含む)、(ii) 購入サービスに関するお客様への請求およびサポートの提供、(iii) 本プライバシー補遺および本契約の順守の施行、ならびに(iv) 当社の契約上の義務および適用法の順守。

3.2 当社は、当社が処理する関係データの独立のコントローラーです。当社は、適用法に従って関係データを処理します。当社は、当社がこれらの目的で利用している当社の関連会社およびサードパーティー・本サービス提供者と、または、適用法により要求もしくは許可された場合には、関係データを共有することがあります。

4. 使用データ

4.1 当社は以下の目的のために、使用データを収集し処理します。(i) お客様への本サービス提供、(ii)当社のインフラストラクチャの管理、(iii) 本サービス提供に関わる技術的問題の対処、(iv) VMware製品およびサービスの改善、(v) 強化された顧客および技術サポートサービスの提供、(vi) お客様およびお客様のユーザーの体験の個人専用化、(vii) お客様の本サービス提供についての経験を強化するための提案の実施、(viii) お客様独自のベンチマーク作業にお客様が使用される情報の提供、(ix) VMwareの製品およびサービスならびに当社の関連会社およびパートナーのサービスに関する情報や推奨の提供、および(x) 本契約に別途定める場合。

4.2 当社は、当社が処理する使用データの独立のコントローラーです。当社は、適用法に従って使用データを処理します。当社は、当社がこれらの目的で、または、適用法により要求もしくは許可された場合には、当社の関連会社およびサードパーティー・本サービス提供者と、使用データを共有することがあります。

5. 特定のデータセンターに関する条項 お客様が以下に記載する国におけるデータセンターを選択して本サービス提供を購入するにあたって、以下記載の条項により本プライバシー補遺で参照される条項は置換または補足されます。

5.1 オーストラリアにおけるデータセンター

5.1.1 プライバシー補遺本第I部を、以下の「個人情報」を表題とする追加第6条によって補足します。

第II部: 特定プライバシー規定

本第II部(特定プライバシー規定)は、特定の本サービス提供に適用される追加の規定を定めています。これらの規定は、第I部(一般的プライバシー規定)の一般のプライバシー規定に加えて適用されます。

1. サードパーティー・コンテンツの特定条件 お客様が本サービス提供の利用に関連してサードパーティー・コンテンツを購入または受け取られる場合、サードパーティー・コンテンツはVMwareが管理または決定するものでないサードパーティー条件に従います。

2. vCloud Airの特定条件 お客様がvCloud Air サービス提供を購入または受け取られる場合、以下の規定が適用されます。

  1. 追加の定義:「VMwareインフラストラクチャ」とは以下を意味します:(a)物理的な設備、および(b)当社が管理者としてのアクセス権または支配権を有するサーバー、ストレージデバイス、ネットワーク機器その他のハードウェアおよびソフトウェア。いずれの場合も本サービス提供のために使用される範囲。
  2. 解釈:「サービスデータ」とは「お客様のコンテンツ」を意味し、その用語はvCloud Air契約に定義されています。
  3. インフラストラクチャ・モニタリング: 当社は、VMwareインフラストラクチャをモニターし、管理する権利を留保し、それにより、以下のことができるようにします。(a)サービス上または技術上の問題の防止または対処、(b)カスタマーサポートの提供、(c)詐欺、技術上またはセキュリティ上の問題の発見、防止、対処、(d)当社、当社ユーザーまたは公衆の権利、資産または安全への危害からの保護、(e)契約上の義務の履行または執行、または適用法の順守。
  4. セキュリティと監査: vCloud Airには、リスクを評価し、適切な管理を適用するための情報セキュリティ管理システム(ISMS)が組み込まれています。当社は本契約期間中、ISO 27001、米保証業務基準書16号(SSAE16)SOC1第二種、SOC2第二種または同等あるいはその両方の業界基準に照らして定期的に審査を実施するために、適格な独立した第三者監査会社と契約しています。要請があった場合、当社が受諾する形式の秘密保持契約書の署名を条件として、第三者監査会社が発行した審査報告書を提供いたします。
  5. データの削除と復旧: お客様は、本契約満了発効日前に、サービスデータのコピーを復旧し、希望される場合には本サービス提供からサービスデータを削除します。お客様が本契約満了前に本サービス提供からサービスデータを削除しない場合、当社はサービスデータを本契約満了有効日から90日間保管します。当該90日期間中、お客様は当社の本サービス提供にはアクセスできませんが、当社は書面による要請に応じて、お客様がサービスデータのコピーを復旧したり、お客様のためにサービスデータを削除したりするための合理的な支援を(お客様の費用負担で)提供いたします。サービスデータは当該90日後に削除されます。
  6. 使用データ: 上記第1章における使用データの定義に加え、vCloud Airサービス提供におけるカスタマー・エクスピリエンスの場合、「使用データ」とは、お客様に供される本サービス提供の消費、設定、性能または機能に関連するすべてのデータを意味します。使用データには、エンドユーザー数、機器構成設定、アクセスした機能、本サービス提供にアクセスする機器(IPアドレス、ユーザー名(典型的には、ユーザー名として提供される全てのEメールアドレス)およびVMware割当識別名を含む)に関連した技術情報および性能測定基準が含まれます。VMwareは、本プライバシー補遺の第I部第4条に定める目的のために使用データを処理します。

3. vCloud Air SQLの特定条件 お客様がVMwareからvCloud Air SQL本サービス提供を購入される、または受け取られる場合、以下の規定が適用されます。

  1. 医療情報の保護 「米医療保険の携行性と責任に関する法律(Health Insurance Portability and Accountability Act)」により規制されているデータを本サービス提供にアップロードしたり、サービスデータに含めたりしてはなりません。疑義を避けるために付記すると、事業提携契約においてvCloud Airに言及する場合、vCloud Air SQLは明確に除外されます。
  2. vCloud Air特定条件 上記の第2条のvCloud Airの特定条件は、言及することでvCloud Air SQLに関して本第3条に参照として組み込まれます。ただし、第2.4条(セキュリティと監査)は例外で、vCloud Air SQLに対してのみ本契約上、下記により置き換えられます。

セキュリティと監査: vCloud Air SQLには、リスクを評価し、適切な管理を適用するための情報セキュリティ管理システムが組み込まれています。

4. VMwareアイデンティティ・マネジャーの特定条件 お客様が、VMwareからVMware アイデンティティ・マネジャーの本サービス提供を購入される、または受け取られる場合、以下の規定が適用されます。

  1. サービスデータ: VMware アイデンティティ・マネジャーの本サービス提供の場合、「サービスデータ」とは、当該サービスをお客様に提供する過程で、お客様に代わってVMwareが処理するすべてのデータ(すべての個人情報を含む)を意味します。特にサービスデータには、本サービス提供を受けるためにVMwareにお客様が提供するユーザーの属性データ(例、ユーザー名、アクセス権等)が含まれます。サービスデータには使用データまたは関係データは含まれません。
  2. サービスデータの削除: 本契約の満了後、当社は、お客様のサービスデータを60日以内に削除するよう努力しますが、適用法順守のためサービスデータを保持することを当社に求められる場合を除きます。当社がお客様のサービスデータを技術的または他の理由から削除できない場合、当社は対策を講じ、お客様のサービスデータがさらに処理されないように確実に遮断します。
  3. データセンターの場所: 本プライバシー補遺第2.7条の適用にあたっては、お客様の場所を基準にして、お客様はそのサービスデータの保管される場所を選択したものとみなされます。お客様のサービスデータは、Identity Manager locationsで入手可能なVMware アイデンティティ・マネージャーの「データセンターの場所」ページに記載されたデータセンターに保存されます。

5. vRealize Air Complianceの特定条件 お客様がVMwareからvRealize Air Complianceサービス提供を購入される、または受け取られる場合、以下の規定が適用されます:

  1. 使用データ: vRealize Air Complianceサービス提供の場合、「使用データ」とは、お客様に供される本サービス提供の消費、設定、性能または機能に関連するすべてのデータ(サービスデータ以外)を意味します。 使用データには、購入または消費されたコンピューティングおよびストレージ・リソースの量、ユーザー数、消費されたサードパーティー・ライセンスについての情報が含まれますが、これに限定されません。使用データには本サービス提供を通じてお客様に提供される任意の、第三者の、または共同ブランドのサービスの消費に関連した情報のみならず、ユーザーがvRealize Air Complianceサービス提供にアクセスするIPアドレス、ユーザーのクイックストリーム行動および機能設定と機器構成のデータが含まれる場合もあります。
  2. データセンターの場所: サービスデータは、アメリカ合衆国およびその他の海外領域に保存されます。サービスデータを本サービス提供へアップロードすることにより、お客様は、サービスデータが保持される場所から、および保持される場所へを含む、世界各地からお客様がサービスデータを転送しアクセスすることができることを了承します。

6.Horizon Airの特定条件 お客様がVMwareからHorizon Airサービス提供を購入される、または受け取られる場合、以下の規定が適用されます。

  1. サービスデータ: Horizon Airサービス提供の場合、「サービスデータ」とは、当該本サービス提供をお客様に供する過程で、お客様に代わってVMwareが処理するすべてのデータ(すべての個人情報を含む)を意味します。特にサービスデータには、ブラウザ情報、ディスプレー解像度、オペレーティングステム情報、アプリケーション・メニューナビ情報およびバーチャルデスクトップディスプレーをユーザーに届けるために必要な他の情報が含まれます。サービスデータには使用データまたは関係データは含まれません。
  2. 使用データ: Horizon Airサービス提供の場合、「使用データ」とは、お客様に供される本サービス提供の消費、設定、性能または機能に関連するすべてのデータを意味します。使用データには、エンドユーザー数、機器構成設定、アクセスした機能、本サービス提供にアクセスする機器(IPアドレス、MACアドレスおよび機器識別名を含む)に関連した技術情報および性能測定基準が含まれます。VMwareは、本プライバシー補遺の第I部第4条に定める目的のため使用データを処理します。

7.VMware Catalog Serviceの特定条件 お客様がVMwareからVMware Catalog Serviceサービス提供を購入される、または受け取られる場合、以下の規定が適用されます:

  1. 使用データ: VMware Catalog Serviceサービス提供の場合、「使用データ」とは、サービス提供のお客様及び個人ユーザーに供される本サービス提供における消費、設定、インスタンスの生成または機能あるいはその両方の使用に関連するすべてのデータを意味します。使用データには、エンドユーザー数、機器構成、性能測定期順およびアクセスした機能が含まれます。これは、アプリの使用権決定およびユーザーの設定およびお気に入り設定を維持するために用いられる割当文字列値をも含みます。文字列値は、VMwareに保存される時に暗号化されます。VMwareは、本プライバシー補遺の第I部第4条に定める目的のため使用データを処理します。
  2.