PhishSense
DATA PROCESSING AGREEMENT

データ処理契約

本データ処理契約は、EVRIZ USA, Inc. およびEVRIZ(イブリーズ)がPhishSenseプラットフォームを利用する顧客を代行して個人データを処理する方法を規律します。

00

概要

本データ処理契約(以下「DPA」)は、お客様(以下「顧客」または「管理者」)とEVRIZ USA, Inc.(以下「当社」)間のサービス利用規約の一部を構成します。本DPAは、PhishSenseプラットフォーム(以下「サービス」)に関連して当社が顧客を代行して行う個人データの処理を規律します。

顧客データが保存および処理されるすべてのサーバーインフラストラクチャは、大韓民国に所在する個人事業主であるEVRIZ(イブリーズ)(以下「EVRIZ Korea」)が所有し運営しています。EVRIZ Koreaは主要なインフラストラクチャ運営者およびデータ処理者です。EVRIZ USA, Inc.はEVRIZ Koreaとのライセンス契約に基づいてPhishSenseブランドおよびウェブサイトを運営しています。

01

定義

  • 個人データ: サービスを通じて処理される、識別された又は識別可能な自然人に関するすべての情報。
  • 管理者(Controller): 個人データの処理の目的及び手段を決定する顧客。
  • 処理者(Processor): 管理者を代行して個人データを処理するEVRIZ Korea。
  • 復処理者(Sub-processor): 処理者が個人データの処理のために契約した第三者。
  • データ主体(Data Subject): 個人データが関連する個人。
  • 適用データ保護法: GDPR、PIPA、CCPA、およびその他の適用されるデータ保護法令。
02

処理の範囲および目的

2.1 処理対象

処理者は、フィッシングシミュレーションキャンペーン、セキュリティ意識向上トレーニング、および関連するレポーティングと分析を含むサービスの提供に必要な範囲で個人データを処理します。

2.2 データ主体の範囲

フィッシングシミュレーションキャンペーンの対象として指定された顧客の従業員、契約者、および承認された人員。

2.3 個人データの種類

  • シミュレーション対象者の氏名およびメールアドレス
  • 組織内の役割および部門
  • シミュレーション相互作用データ(メール開封、リンクのクリック、認証情報の送信)
  • トレーニング完了および評価結果
  • シミュレーション相互作用中に収集されたIPアドレスおよびデバイス/ブラウザ情報

2.4 期間

処理は顧客のサブスクリプション期間中継続し、解約または満了後30日間のデータ保持期間が追加されます。適用法によりより長い期間が要求される場合は例外です。

03

処理者の義務

処理者は以下を履行します:

  • 適用法により要求されない限り、管理者の文書化された指示に従ってのみ個人データを処理します。
  • 個人データを処理する権限を持つ者が機密保持を約束していることを保証します。
  • リスクに見合った適切なレベルのセキュリティを確保するための技術的および組織的措置を実施します。
  • データ主体のアクセス要請への対応およびデータ保護義務の遵守について管理者を支援します。
  • 本DPAの遵守を証明するために必要なすべての情報を管理者に提供します。
  • 個人データ侵害を認識した場合、不当な遅延なく管理者に通知します。
04

セキュリティ対策

処理者は以下のセキュリティ対策を維持します:

  • 転送中(TLS 1.2+)および保存時(AES-256)の個人データの暗号化
  • 定期的なアクセス制御レビューおよび最小権限の原則
  • 管理者アクセスに対する多要素認証(MFA)
  • 定期的な脆弱性評価およびペネトレーションテスト
  • 物理的アクセス制御を備えた安全なデータセンター施設
  • 自動バックアップおよび災害復旧手順
  • 従業員のセキュリティ意識向上トレーニングおよび機密保持契約
  • インシデント対応および侵害通知手順
05

復処理者

5.1 承認

顧客は、処理者が復処理者を利用することについて一般的な承認を付与します。処理者は、復処理者リストの変更予定を少なくとも14日前に顧客に通知し、異議を申し立てる機会を提供します。

5.2 現在の復処理者

復処理者目的所在地
EVRIZ(イブリーズ)サーバーインフラストラクチャおよびデータ保管大韓民国
Stripe, Inc.決済処理(直接サブスクリプション)米国
Amazon Web Servicesメール配信インフラストラクチャ(SES)グローバル
Google LLC分析(Google Analytics)米国

5.3 義務

処理者は、各復処理者が本DPAに定められたものと同等以上のデータ保護義務に拘束されることを保証します。

06

データ主体の権利

処理者は、適用データ保護法に基づくアクセス、訂正、削除、データポータビリティ、処理の制限または処理への異議を含むデータ主体の要請に対する管理者の対応義務を支援します。

処理者がデータ主体から直接要請を受けた場合、直ちに管理者に通知し、適用法により要求されない限り管理者の指示なく当該要請に応答しません。

07

国際データ移転

すべての顧客データは、EVRIZ Koreaが運営する大韓民国に所在するサーバーにのみ保存されます。適切なレベルのデータ保護を提供しない国の復処理者に個人データが移転される場合、処理者は該当する場合、標準契約条項(SCC)を含む適切な保護措置が講じられていることを保証します。

08

個人データ侵害通知

個人データ侵害が発生した場合、処理者は以下を履行します:

  • 侵害を認識した後、不当な遅延なく、いかなる場合も72時間以内に管理者に通知します。
  • 管理者が適用データ保護法に基づく通知義務を果たすために十分な情報を提供します。
  • 侵害の調査、軽減、および是正を支援するために管理者と協力し、合理的な商業的措置を講じます。
09

データの削除および返還

顧客のサブスクリプションが解約または満了した場合、処理者は管理者の選択に従い以下を実行します:

  • 一般的に使用される形式ですべての個人データを管理者に返還する、又は
  • すべての個人データを削除し、当該削除を証明する。

削除はサブスクリプション期間の終了後30日以内に完了します。適用法が個人データの保持を要求する場合は例外です。

10

お問い合わせ

本データ処理契約に関するお問い合わせ:

メールprivacy@phishsense.cloud
郵送EVRIZ USA, Inc., 1301 N Broadway STE 93948, Los Angeles, CA 90012

データ処理インフラストラクチャに関するお問い合わせ:

データ処理者EVRIZ(イブリーズ)
メールcontact@evriz.co.kr
住所경기도 화성시 병점노을4로 19, 722호 (병점동), Republic of Korea