Couchbase Capella Cloud顧客データ処理に関する補遺

本データ処理補遺（以下「本補遺」という。DPA"）は、Capellaクラウドサービスサブスクリプション契約、またはお客様のクラウドサービスの使用を規定するお客様とCouchbase間のその他の契約の一部を構成します。 ("協定書"）との間で、Couchbase, Inc.Couchbase"）と指定された当事者である。お客様本契約（以下「本契約」という。お客様"）（それぞれ"パーティー"であり、共に"関係者").

本DPAは、お客様によるクラウドサービスの利用に関連する個人データの処理に関する両当事者のコミットメントを記述するものです。本契約の条項と本DPAの条項との間に抵触がある場合、当該抵触の範囲内において、本DPAの条項が優先するものとします。本DPAにおいて定義されていない大文字の用語は、本契約において与えられた意味を有するものとします。

両当事者は以下の通り合意する：

1.定義 以下の大文字の用語は、本DPAにおいて使用される場合、以下に定める対応する意味を有する：

a."適用されるデータ保護法" とは、個人データに適用されるすべての世界的なプライバシーおよびデータ保護に関する法律、規制、規則、条例およびその他の政令を意味します：(i)欧州データ保護法、および(ii)2018年カリフォルニア州消費者プライバシー法（カリフォルニア州民法第1798.100条ほか（以下「CCPA」といいます）を含む米国のすべての法律および規制。

b."顧客データ"とは、本DPAの附属書Aに詳述されているように、クラウドサービスに関連して、サービスプロバイダーまたはプロセッサー（該当する場合）としてCouchbaseがお客様に代わって処理する個人データを意味します。

c."EEA"とは、欧州連合（EU）加盟国にアイスランド、リヒテンシュタイン、ノルウェーを加えた国を意味する。

d."欧州データ保護法"とは、(i) 個人データの処理に関する自然人の保護および当該データの自由な移動に関する欧州議会および理事会の規則2016/679（一般データ保護規則）（"GDPR")、(ii)電子通信分野における個人データの処理とプライバシーの保護に関する指令2002/58/EC（"eプライバシー指令「)、(iii)(i)および(ii)の適用可能な国内実施、(iv) 1992年6月19日付スイス連邦データ保護法およびその条例(「スイスFDPA")、および(v)英国に関しては、2018年データ保護法、およびGDPR、eプライバシー指令、または英国の欧州連合離脱の結果としてデータおよびプライバシーに関連するその他の法律に取って代わる、または国内法に転換する適用可能な国内法。

e."モデル条項" とは、特定のお客様固有の状況に応じて、以下のいずれかを意味します：(i) 欧州委員会の決定 2021/914 に従って欧州委員会が承認した処理業者に関する標準契約条項（以下「標準契約条項」という。2021 標準契約条項")および(ii)英国標準契約条項（それぞれ標準契約条項とも呼ばれ、参照により本DPAの一部を構成する。

f."個人情報"とは、特定または識別可能な自然人に関連し、""として保護されるあらゆる情報を意味する。個人データ“, “個人情報「または個人を特定できる情報「適用されるデータ保護法に基づく。

g."セキュリティ事件"とは、クラウドサービスの提供に関連してCouchbaseおよび/またはそのサブプロセッサによって送信、保存またはその他の方法で処理された顧客データの偶発的または違法な破壊、紛失、改ざん、不正な開示またはアクセスにつながるセキュリティ違反を意味します。両当事者は、「セキュリティインシデント」には、失敗したログイン試行、ping、ポートスキャン、サービス拒否攻撃、およびファイアウォールまたはネットワークシステムへのその他のネットワーク攻撃を含む、お客様データのセキュリティを侵害しない失敗した試行または活動は含まれないことを認め、同意します。

h."サブプロセッサー"は、契約または本DPAに従ってクラウドサービスの提供に関する義務の履行を支援するためにCouchbaseまたはその関連会社が従事するプロセッサを意味します。サブプロセッサには、第三者またはCouchbase関連会社が含まれる場合がありますが、Couchbaseの従業員、請負業者またはコンサルタントは除外されるものとします。

i."英国標準契約条項"とは、(i)欧州委員会が決定2010/87/EU（"）で承認した、データ管理者からデータ処理者への移転に関する標準契約条項を意味する。英国のコントローラーからプロセッサーへのSCC")、および(ii)欧州委員会が決定2004/915/ECで承認したデータ管理者からデータ管理者への移転に関する標準契約条項(")英国コントローラー間SCC").

j.用語"コントローラー", "プロセッサー"と"処理"はGDPRで与えられた意味を持つものとし、"プロセス", "プロセス"と"処理済み「という用語は、それに従って解釈されるものとする。ビジネス", "サービスプロバイダ"と"売る"は、CCPAにおいて与えられた意味を有するものとする。

2.処理の役割と範囲

a. スコープ 第2条(b)に従い、本DPAは、Couchbaseがプロセッサーまたはサービスプロバイダー（該当する場合）として、適用されるデータ保護法により保護される顧客データを処理する範囲に適用されます。

b. 両当事者の役割 両当事者は、(i)顧客データの処理に関して、お客様は、当該顧客データの関連事業者、管理者または処理者(該当する場合)であり、Couchbaseは、本DPAの附属書Aにさらに記載されているように、お客様に代わってサービスプロバイダー、処理者またはサブ処理者(該当する場合)であること、および(ii)お客様のクラウドサービスの使用に関連してCouchbaseが収集する技術的使用データに含まれる個人データ(以下、「個人データ」といいます)に関して、以下のことを認め、同意します。利用データ"）、Couchbaseは利用データの関連事業者または管理者であり、以下で利用可能なCouchbaseのプライバシーポリシーに従って利用データを処理します。 https://www.couchbase.com/privacy-policy.各当事者は、適用されるデータ保護法を含む、本DPAの履行において、当事者に適用され、当事者を拘束するすべての法律、規則および規制を遵守します。利用データに関して、Couchbaseは、該当する範囲で、第8条（a）（iii）および（iv）のみに準拠して当該データを処理します。

c. Couchbaseによる個人情報の処理。 Couchbaseは、DPAに記載された目的のためにのみ、お客様の文書化された合法的な指示に従って顧客データを処理することに同意します。両当事者は、本契約（本DPAを含む）が、顧客データの処理に関連するCouchbaseに対するお客様の完全かつ最終的な指示を定めることに同意し、これらの指示の範囲外の処理（もしあれば）は、お客様とCouchbase間の事前の書面による合意を必要とします。第2項(d) (お客様の責任)を損なうことなく、Couchbaseは、お客様からのデータ処理指示が適用データ保護法に違反していることを認識または確信した場合、適用データ保護法で禁止されていない限り、お客様に書面で通知し、お客様データの処理を一時停止することができるものとします。

d. 顧客の責任。 お客様は、本契約に基づく、または本契約に関連する顧客データ処理の合法性に責任を負います。お客様は、(i)Couchbaseが本契約（本DPAを含む）により企図された目的のためにお客様データを合法的に処理するために、適用されるデータ保護法の下で必要なすべての同意、許可および権利を提供し、今後も提供し続けることを表明および保証します；(ii)Couchbaseおよびそのサブプロセッサーへの顧客データの収集および提供に関して、顧客データの管理者および/または事業者として、適用されるすべてのデータ保護法を遵守していること、および(iii)処理指示が適用される法律（適用されるデータ保護法を含む）を遵守し、お客様の指示に従ってCouchbaseが顧客データを処理することにより、Couchbaseが適用されるデータ保護法に違反しないことを保証すること。

e. 集計データ。 上記または本契約（本DPAを含む）の反対規定にかかわらず、お客様は、Couchbaseおよびその関連会社が自身の合法的なビジネスのために匿名化、集計、および/または非識別化情報（適用データ保護法により定義される）を収集および作成する権利を有することを認めます。

3.サブプロセス

a. 承認されたサブプロセッサー。 お客様は、Couchbaseがお客様に代わってお客様データを処理するためにサブプロセッサーを雇用する可能性があることを認め、同意します。Couchbaseが現在従事し、お客様が承認したサブプロセッサは、Couchbaseのウェブサイト（現在https://info.couchbase.com/cloud-subprocessors.html）に掲載されています。新しいサブプロセッサが追加される少なくとも15日前に、Couchbaseは該当するウェブサイトを更新し、当該Couchbaseのウェブサイトで提供されるメカニズムを通じて、その更新をお客様に通知します。ただし、Couchbaseが、お客様データの機密性、完全性、または可用性を保護するため、またはクラウドサービスの重大な中断を回避するために、迅速ベースで新しいサブプロセッサを従事させることが必要であると合理的に判断した場合、Couchbaseは代わりに、合理的に実行可能な限り速やかにそのような通知を行います。

4.セキュリティと監査

a. セキュリティ対策。  Couchbaseは、その管理下にある顧客データをセキュリティインシデントから保護し、顧客データのセキュリティと機密性を保持するために、最新技術、導入コスト、および処理の性質、範囲、文脈、および目的（以下"）を考慮して設計された適切な技術的および組織的セキュリティ対策を実施し、維持するものとします。セキュリティ対策").かかるセキュリティ対策には、最低限、本DPAの付属書Bに記載されている対策が含まれます。Couchbaseは、本DPAに基づきCouchbaseにより顧客データの処理を許可された者が適切な守秘義務（契約上または法律上の義務を問わない）を負うことを保証するものとします。

b. セキュリティ対策の更新。 お客様は、セキュリティ対策が技術的進歩および開発の対象であり、Couchbaseが随時セキュリティ対策を更新または修正する可能性があることを認めます。ただし、かかる更新および修正は、お客様が購入したクラウドサービス全体のセキュリティの低下をもたらさないことを条件とします。

c. 顧客のセキュリティ責任。 上記にかかわらず、お客様は、本 DPA の定める場合を除き、セキュリティ インシデントから保護し、自己の支配および管理下にある間、お客様データのセキュリティおよび機密性を保持するために設計された適切な技術的および組織的セキュリティ対策を実施し、維持することに同意するものとします。お客様は、(i) クラウド サービスにアクセスするために使用されるすべてのお客様のクレデンシャルのセキュリ ティを保護すること、(ii) お客様のクラウド環境およびお客様のシステムを保護すること（かかる措置には、アクセ ス キーの定期的なローテーションおよび不正アクセスを防止するためのその他の業界標準の措置が含まれますが、こ れらに限定されません）；(iii)お客様のクラウド環境またはその他のお客様が管理するシステム内のお客様の管理下にあるお客様データのバックアップおよび保護、および(iv)データセキュリティおよびプライバシーに関連するCouchbaseが提供する情報を確認し、クラウドサービスが適用データ保護法に基づくお客様の要件および法的義務を満たすかどうかについて独自の判断を下すこと。

d. セキュリティ・インシデントへの対応 適用されるデータ保護法で要求される範囲において、セキュリティインシデントを認識した場合、Couchbaseは過度な遅延なくお客様に通知し、以下を行うものとします：(i)適用されるデータ保護法に基づきお客様が行う必要がある個人データ侵害通知に関連してお客様を支援するため、Couchbaseは、クラウドサービスの性質、Couchbaseが利用可能な情報、および守秘義務などの情報開示に関する制限を考慮し、お客様が合理的に要求するセキュリティインシデントに関連する情報を、判明した時点でタイムリーにお客様に通知します；(ii)Couchbaseの合理的な管理範囲内で、セキュリティインシデントを封じ込め、調査し、修復するために、Couchbaseが必要かつ合理的とみなす措置を速やかに講じること。 本第4条(d)に基づくCouchbaseのセキュリティインシデントの通知または対応は、Couchbaseがセキュリティインシデントに関する過失または責任を認めるものと解釈されないものとします。本契約に定める義務は、セキュリティインシデントがお客様またはその認定ユーザーに起因する範囲では適用されないものとします。

e. セキュリティ監査。 Couchbaseは、Couchbaseが本DPAを遵守していることを確認するために必要な情報セキュリティおよび監査アンケートへの回答を含む、Couchbaseの顧客データ処理に関連するお客様からの合理的な書面による情報要求に対し、書面による回答（機密ベース）を提供するものとします。 上記にかかわらず、お客様は、お客様がデータ保護当局にこの情報を提供するよう明示的に要求された場合、または要求された場合、またはCouchbaseがセキュリティインシデントを経験した場合、または他の合理的に類似した根拠に基づき、このような監査権を行使することもできます。

5. 国際送金

a. 加工場所 お客様は、Couchbaseが米国およびCouchbase、その関連会社またはそのサブプロセッサーがデータ処理業務を維持する世界のその他の場所に顧客データを転送し、処理する可能性があることを認め、同意するものとします。 Couchbaseは、このような転送が適用されるデータ保護法および本DPAの要件に準拠して行われることを常に保証するものとします。

6.顧客データの削除

a.クラウド サービスは、お客様がクラウド サービスの機能と一致する方法で、期間中にお客様データを削除または取得するために使用できるコントロールを提供します。

b.お客様は、本契約により、Couchbaseに対し、本契約の終了もしくは満了時、または本契約に基づくクラウドサービスの終了もしくは一時停止の場合、本契約に従い、Couchbaseが所有または管理するすべてのお客様データ（コピーを含む）を削除する権限を付与します。

7.個人の権利と協力

a. データ主体の要求 クラウド・サービスは、クラウド・サービスに適用される文書に記載されているとおり、お客様が顧客データを取得、修正、削除または制限するために使用することができる、セキュリティ機能および機能を含む多数のコントロールをお客様に提供します。第4条(a)を損なうことなく、お客様は、データ主体からの要求への対応に関連する義務を含め、適用データ保護法に基づく義務に関連する支援を行うための技術的および組織的措置として、これらの管理を使用することができます。お客様がクラウドサービス内の関連するお客様データに独自にアクセスできない範囲において、Couchbaseは、処理の性質を考慮し、本契約に基づくお客様データの処理に関連する個人または適用されるデータ保護当局からの要求に対応するために、お客様を支援する合理的な協力を提供するものとします。 そのような要求がCouchbaseに直接なされた場合、Couchbaseは、法的に強制されない限り、お客様の事前の承認なしに、そのような通信に直接応答しないものとします。Couchbaseがこのような要求に応答する必要がある場合、法的に禁止されていない限り、Couchbaseは速やかにお客様に通知し、要求のコピーを提供するものとします。

b. 召喚令状と裁判所命令。 法執行機関がCouchbaseに（例えば、召喚状または裁判所命令を通じて）顧客データの要求を送付した場合、Couchbaseは、Couchbaseが法的に禁止されていない限り、お客様が保護命令またはその他の適切な救済を求めることができるように、要求の合理的な通知をお客様に行うものとします。

8.管轄区域固有の条件

a. ヨーロッパだ。 顧客データが欧州データ保護法の対象となる範囲においては、本DPAのその他の条項に加え、以下の条項が適用されるものとします：

i. サブプロセッサの義務 Couchbaseは以下を行うものとします：(A)各サブプロセッサーとの間で、適用される欧州データ保護法および本DPAで要求される基準で個人データを保護することをサブプロセッサーに義務付けるデータ保護条件を課す書面による契約を締結し、(B)本DPAの義務を遵守すること、およびCouchbaseが本DPAに基づく義務に違反する原因となるサブプロセッサーの行為または不作為に対して責任を負うこと。

ii. サブプロセッサーに対する異議 お客様は、データ保護に関連する合理的な理由（例えば、顧客データをサブプロセッサに提供することが欧州データ保護法に違反する可能性がある場合、または当該顧客データの保護を弱める可能性がある場合）により、Couchbaseが新たなサブプロセッサを任命することに対して、上記第3条(a)に従い、Couchbaseからの通知を受領してから5暦日以内に速やかにCouchbaseに書面で通知することで、異議を申し立てることができます。 当該通知は、異議申し立ての合理的な理由を説明するものとし、両当事者は、商業的に合理的な解決を達成するために、当該懸念について誠意をもって協議するものとします。 そのような解決に至らない場合、Couchbaseは、独自の裁量で、サブプロセッサを指名しないか、または、いずれかの当事者に対して責任を負うことなく（ただし、一時停止または終了前にお客様が負担した料金を損なうことなく）、本契約の終了条項に従って、お客様が影響を受けるクラウドサービスを一時停止または終了することを許可します。本第8条(a)(ii)に定める異議がない限り、お客様は本DPAに記載されるCouchbaseのサブプロセッサの使用に同意するものとします。

iii. データの移転。 Couchbaseが欧州データ保護法によって保護される個人データを、（欧州データ保護法に記載される）個人データの適切な保護を提供することが認められていない第三国で処理する（または処理させる）限りにおいて、附属書Cの条件(データの転送)が適用され、お客様(データ輸出者として)は、Couchbase(データ輸入者として)とモデル条項を締結したとみなされ、Couchbaseは、参照により完全に組み込まれ、本DPAの不可欠な部分を形成するモデル条項に従い、当該顧客データを遵守し、処理することに同意します。モデル条項の記述の目的上、(A) Couchbaseは「データ輸入者」であり、お客様は「データ輸出者」であることに同意します（お客様自身がEEAまたは英国外に所在する事業体である可能性にかかわらず）、(B) 本DPAの付属書Aおよび付属書Bは、モデル条項の付属書1および付属書2に取って代わるものとします。いずれの当事者の意図も、また本DPAの効果も、モデル条項に規定された条項に矛盾したり制限したりするものではありません。したがって、モデル条項が本DPAのいずれかの条項と抵触する場合、および抵触する範囲においては、モデル条項が優先するものとします。モデル条項は、EEAまたは英国外に直接または転送されない顧客データには適用されません。

iv. 代替移籍メカニズム。 Couchbaseが、適用される欧州データ保護法で規定される顧客データの移転のための代替データエクスポートソリューションを採用する場合、およびその範囲内で（以下「」）。代替移籍メカニズム"）、代替譲渡メカニズムが代わりに適用されるものとする（ただし、当該代替譲渡メカニズムが譲渡に適用される範囲に限る）。

v. データ保護影響評価。 適用される欧州データ保護法によりCouchbaseが要求される範囲において、Couchbaseは、お客様がデータ保護影響評価または監督当局との事前協議を実施できるように、本契約に基づくCouchbaseの個人データ処理に関する合理的に要求された情報を提供するものとします。

b. カリフォルニア州 顧客データがCCPAの対象となる範囲において、両当事者は、お客様が事業者であり、本契約（本DPAを含む）およびCCPAの下で許可されるように、または書面で別途合意された目的のために、顧客データを処理するサービスプロバイダーとしてCouchbaseを任命することに同意します（以下「本契約」）。許可された目的").お客様とCouchbaseは以下の事項に同意します：(i)Couchbaseは、許可された目的以外の目的で個人情報を保持、使用、または開示しないこと、(ii)顧客データはCouchbaseに販売されておらず、Couchbaseは個人情報を「販売」しないこと（CCPAで定義）、(iii)Couchbaseは、顧客とCouchbase間の直接的なビジネス関係以外で個人情報を保持、使用、または開示しないこと、(iv)Couchbaseは、クラウドサービスを提供する過程で個人情報を非識別化または集約する場合があることに同意します。Couchbaseは、本第8条(b)に定める制限を理解し、遵守することを証明します。

9.責任の制限

a.契約、不法行為（過失を含む）、またはその他の責任理論に基づくか否かを問わず、本DPA（モデル条項を含む）に起因または関連する各当事者およびそのすべての関連会社の責任は、合算して、本契約における責任の制限および排除に従うものとし、条項における当事者の責任への言及は、本契約および本DPAの下で、および本DPAに関連して、当該当事者およびそのすべての関連会社の責任の合算を意味します。

b.適用されるデータ保護法が、本DPAに基づき、お客様の関連会社が自ら直接Couchbaseに対して権利を行使し、または救済を求めることを要求する場合を除き、当事者は、(i)本契約の契約当事者であるお客様の事業体のみが、その関連会社を代表して、本DPAに基づき、お客様の関連会社が有する可能性のある権利を行使し、または救済を求めること、および(ii)本契約の契約当事者であるお客様は、本DPAに基づき、そのような権利を各関連会社に対して個別に行使するのではなく、そのすべての関連会社に対して合わせて行使することに同意するものとします。

10.その他

a.本DPAによる変更を除き、本契約に変更はなく、完全な効力を有します。

b.b.本DPAは副本として締結することができ、各副本は原本とみなされますが、各副本はすべて、同一の文書を構成します。

c.本DPAのいずれかの条項または一部の条項が無効、違法または執行不能となった場合、当該条項は削除されたものとみなされますが、本DPAのその他の条項の有効性および執行可能性には影響しないものとします。

d.本DPAは、欧州データ保護法により別段の定めがない限り、本契約の準拠法および裁判管轄の規定に準拠し、これに従って解釈されるものとします。

 

本付属書Aは、DPAの一部を構成し、(i)該当する場合、Couchbaseが管理者または処理者としてお客様に代わって処理者またはサブ処理者としてお客様データに対して実行する処理、および(ii)Couchbaseが管理者として実行する利用データの移転について説明します。

1) 顧客データ

期間

本DPAに基づくデータ処理の期間は、本契約の条項に従って本契約が終了するまでと、本契約の終了から本契約の条項（本DPAを含む）に従ってCouchbaseが個人データを削除するまでの期間を加えた期間とします。

データのカテゴリー

処理される個人データは、以下のカテゴリーに分類されます（具体的にご記入ください）：

● 顧客コンテンツにおける個人データ:クラウドサービスにより、またはクラウドサービスを通じて、お客様または認定ユーザーのために提供されたコンテンツまたはデータに含まれる個人データ。

特別カテゴリーのデータ（適切な場合）

両当事者は、本契約に基づき、いかなる特別カテゴリーのデータも処理することを意図していません。

データ対象者

処理される個人データは、以下のデータ対象者のカテゴリーに属します（具体的にご記入ください）：

データ主体には、認定ユーザーを含む、お客様によって、またはお客様の指示により、クラウドサービスを通じてCouchbaseにデータが提供される個人が含まれます。データ主体には、お客様の顧客、従業員、サプライヤー、およびエンドユーザーが含まれる場合があります。

加工作業

個人情報は以下の基本的な処理活動の対象となります（具体的にご記入ください）：
本契約に基づきクラウドサービスを提供するための処理；
本契約の履行に必要な処理を行うこと；
お客様がクラウドサービスを利用する際に開始した処理。
本契約の条件に合致する、お客様から提供されたその他の合理的な指示（電子メールまたはサポートチケットなど）に従うための処理。

頻度
個人データは継続的に転送される可能性があります。

ii) 利用データ

期間

利用データは、関連する契約の期間に加えて、Couchbaseの正当な事業努力のために利用データが必要な期間、転送および維持されます。ユーザーアクションの特定の集計および匿名化された記録は、永久に保持される場合があります。

データのカテゴリー

移転される個人情報は、以下のカテゴリーに分類されます（具体的にご記入ください）：

●  利用データにおける個人データ:利用データには、アカウントIDおよび電子メールアドレスを含むユーザーアカウント情報、IPアドレスを含む個人識別情報、雇用情報、連絡先情報、ブラウザ情報およびメタデータが含まれる場合があります。

特別カテゴリーのデータ（適切な場合）

両当事者は、本契約に基づき、特別カテゴリーのデータが移転されることを意図していません。

データ対象者

処理される個人データは、以下のデータ対象者のカテゴリーに属します（具体的にご記入ください）：

データ対象者には、お客様、お客様の従業員、その他の認定ユーザー、およびその他の許可された協力者が含まれます。

加工作業

個人情報は以下の基本的な処理活動の対象となります（具体的にご記入ください）：

製品、サービス、サポートを提供し、管理するための処理；
商品、サービス、サポートを改善し、事業開発をサポートするための洞察を得るための処理；
顧客からの質問に回答し、マーケティングや営業活動を行い、ビジネス・メタデータを分析するための処理。

頻度

個人データは継続的に転送される可能性があります。

 

本付属書は、Couchbaseのセキュリティ対策について説明します。お客様は、クラウドサービスが責任共有モデルに従って運営されていることを認め、特に、お客様がお客様コンテンツ (お客様の管理下でお客様の環境内に保存されたまま) のセキュリティを保護するなどの特定の措置を講じることを要求します。Couchbaseがクラウドサービスに関連してお客様の代わりに顧客データを処理する場合、または標準契約条項の対象となる利用データを転送する範囲において、Couchbaseは以下のセキュリティ対策を実施および維持するものとします：

データ暗号化対策

すべての顧客データは、TLS 1.2（またはそれ以上）により転送時に暗号化され、AES-256暗号化により保管時に暗号化されます。
従業員のノートパソコンは、フルディスクAES-256暗号化で暗号化されています。
すべてのクレデンシャルは、TLS 1.2（またはそれ以上）を使用して転送時に暗号化され、静止時に暗号化される。
暗号化キーは年単位でローテーションされ、AWS Key Management Service で保管・管理される。

可用性と回復可能性の対策

Couchbaseは、クラウドサービスの可用性を合理的に確保するように設計された災害復旧および事業継続計画および手順を維持します。
Couchbase Capellaは、Amazon (AWS)、Microsoft (Azure)、Google (GCP)(該当する場合)など、業界で認められたパブリッククラウドサービスプロバイダーが運営する地理的に分散されたデータセンターで展開されます。
冗長性は、Couchbase Capellaをサポートするシステムインフラに組み込まれています。プライマリシステムに障害が発生した場合、別のアベイラビリティゾーンにある冗長インフラがその代わりとなるように構成されています。
バックアップはクラウドインフラ内の管理された環境に保存される。バックアップデータへの論理的なアクセスは適切な担当者に制限され、高可用性ストレージに保存される。
年1回、バックアップの復元テストを実施し、運用担当者がスナップショットからバックアップを復元し、インシデント発生時にデータを復元できることを確認する。

組織のセキュリティ対策

Couchbaseは、Couchbase Capella提供と情報システムの機密性、完全性、可用性を保護し、データと情報システムに対するセキュリティ管理の有効性を確保するために、正式な情報セキュリティ管理システム（ISMS）を確立しています。
従業員には、贈収賄・汚職防止、倫理・行動規範、インサイダー取引、グローバル・データ・プライバシー、年次セキュリティ意識向上トレーニングの受講が義務付けられています。
従業員は、採用時に秘密保持契約および守秘義務契約に署名する必要があります。
従業員のオンボーディングとオフボーディングに関して、正式な方針と手順が定められている。アカウントのプロビジョニングとデプロビジョニングのプロセスが定義され、実施されている。
従業員のアクセス権は、解雇時に削除されるか、役割の変更に伴い必要に応じて調整される。
多要素認証（MFA）は、重要なリソースや生産リソースへのアクセスに適用されます。
パスワードの複雑さの要件が強制される。
責任と職務の分離を実施し、不正または意図的でない改ざんや誤用の機会を減らす。
Couchbaseは第三者と秘密保持契約を締結しています。
Couchbaseのネットワークは、信頼レベルに基づいて分離され、ファイアウォールで保護されている。

ロギングとモニタリング

ユーザーアクティビティ、例外、障害、および情報セキュリティイベントのロギングが有効になっている。ログは必要に応じて保持される。
すべてのログは、権限を与えられたCouchbase社員のみがアクセスでき、不正アクセスを防止するためのアクセス制御が行われています。
ロギング・データへの書き込みアクセスは固く禁じられている。ロギング設備およびログ情報は、アクセス制御およびセキュリティ手段を使用することにより、改ざんおよび不正アクセスから保護される。
Couchbaseは、セキュリティ警告を生成し、不規則な活動を識別するために、様々な監視手段を備えています。
Couchbase Capellaオペレーションチームは、セキュリティアラートとその基礎となる設定を定期的にレビューし、意図したとおりに動作していること、および状況の変化に応じてコントロールが修正されていることを確認します。

アクセス・コントロール対策

Couchbaseは、セキュリティのベストプラクティスを実装し、データベース、ネットワーク、およびアプリケーション層全体でロールベースのセキュリティアーキテクチャを使用し、重要なシステムへのアクセスを許可する際に最小特権の原則に厳密に従います。
Couchbaseは、適切な職務分掌をサポートするために職務と役割を定義している。
運用環境、本番環境、災害復旧環境へのアクセスは、固有のユーザーアカウント、強力なパスワード、多要素認証（MFA）の使用、役割ベースのアクセス、および最小権限の原則によって保護されます。
本番Couchbaseアプリケーションで使用されるアクセスキー（AWSアクセスキーなど）は、権限のある担当者のみがアクセス可能です。それらは、必要に応じて（例えば、セキュリティ勧告や人事離脱に従って）、少なくとも1年ごとにローテーション（変更）されます。
データへのアクセス、変更、削除を含む、運用環境におけるユーザーの行動が記録される。
承認要求とプロビジョニングはログに記録され、追跡され、監査される。
ネットワーク・ベースのファイアウォールに加え、ウェブ・アプリケーション・ファイアウォール（WAF）を導入。

物理的なセキュリティ対策

Couchbase Capellaは、Amazon (AWS)、Microsoft (Azure)、Google (GCP)(該当する場合)など、業界で認められたパブリッククラウドサービスプロバイダーが運営する地理的に分散されたデータセンターで展開されます。
機密データを含むすべての施設への物理的なアクセスを制限し、管理する。
すべての情報資源施設（ネットワーク・クローゼットや書庫など）は、その機能の重要度や重要性に比例して物理的に保護される。
情報資源設備へのアクセスは、その設備へのアクセスを職務上必要とする会社の職員および請負業者にのみ許可されます。
訪問者にアクセスを許可するすべての情報資源施設は、サインイン・ログで訪問者のアクセスを追跡するよう設定されている。
情報資源施設のカードアクセス記録および訪問者ログは、保護される情報資源の重要性に基づき、定期的なレビューのために保管される。
機器は、環境上の脅威、危険、および不正アクセスの機会からのリスクを低減するために保護されている。

安全なシステム構成

Couchbaseには、変更管理ポリシーと手順があります。
Couchbaseは、適用される標準プロセスに従うことを保証し、本番環境への未検出の変更のリスクを軽減するために、対象システムへの変更を監視します。変更は変更管理システムで追跡されます。
不正な変更を防止するために、アクセス制御の方針と手順が定められている。
モバイルデバイスの管理体制が整っている。

ガバナンス

Couchbaseは、Couchbase Capella提供と情報システムの機密性、完全性、可用性を保護し、データと情報システムに対するセキュリティ管理の有効性を確保するために、正式な情報セキュリティ管理システム（ISMS）を確立しています。
Couchbaseには、文書化され、承認された情報セキュリティポリシーがあります。
Couchbaseの情報セキュリティプログラムを管理する権限と責任は、Couchbaseの情報セキュリティプログラムを確立し、実施し、管理するために必要な行動を取ることを上級管理職から許可された情報セキュリティおよびコンプライアンスグループに委任されています。

コンプライアンス

Couchbaseは、独立した第三者監査人により監査され、SOC 2 Type 1コンプライアンスを達成し、Couchbase Capellaサービスに保存および処理される情報の機密性と可用性を保護する管理へのコミットメントを証明しています。

データへの最低限のアクセス

新しい製品／サービスの導入や第三者による個人データの処理に関連して、プライバシー評価を実施する。
データ収集は、処理の目的（またはお客様が提供することを選択したデータ）に限定されます。
必要な機能を実行するために必要最小限のアクセスのみを提供するためのセキュリティー対策が講じられている。
データ保持要件の特定
個人データへのアクセスは、「知る必要性」の原則に従い、個人の明確な役割と責任に 従って、処理に関与する職員に制限される。

説明責任対策

個人データの取り扱いを伴う新しい製品／サービスを導入する際には、顧客プライバシ ー・アセスメントが必要です。
データ保護の影響評価は、あらゆる新しい処理構想の一部です。

データ対象者のアクセス要求

データ主体は、業界標準フォーマットによる個人データのエクスポートを要求する資格がある。
Couchbaseの一般公開されているプライバシーポリシーに記載されているように、個人がプライバシーの権利（消去権やデータポータビリティの権利など）を行使できるプロセスが整備されています。

Couchbaseは、GDPRの妥当性要件を満たすための補足措置に関する欧州データ保護委員会の最近のガイダンス、および欧州のデータ保護当局が発行したその他のガイダンスが発生した場合は、その分析を継続します。

 

本付属書は、お客様がクラウドサービスを使用する際に、管轄区域から管轄区域外にあるCouchbaseに合法的に個人データを転送するためのオンワード転送メカニズムが必要な場合に適用される条件を規定します。

1.英国標準契約条項  英国標準契約条項が適用される英国からのデータ移転については、英国標準契約条項が以下のように締結され（参照により本DPAに組み込まれ）、完了したものとみなされます：

a.Couchbaseが顧客データを処理する場合、英国の管理者から処理者へのSCCが適用されます。 例示の補償条項は適用されません。 付属書Aは、英国管理者から処理者へのSCCの付属書1として機能します。 付属書Bは、英国の管理者から処理者へのSCCの付属書2として機能します。付属書Dは、該当する場合、英国管理者から処理者へのSCCの特定の条項に基づくそれぞれの義務に関するCouchbaseおよびお客様の解釈を定める。

b.Couchbaseが使用データを転送する場合、英国のコントローラー間SCCが適用されます。 条項II(h)において、Couchbaseは、UK Controller to Controller SCCsの付属書Aに記載されたデータ処理原則に従って個人データを転送します。 例示的な商業条項は適用されません。このDPAのスケジュールAは、英国のコントローラーからコントローラーへのSCCの付属書Bとして機能します。

2.2021年標準契約条項。  GDPRおよび/またはスイスFDPAの対象となるデータ移転については、以下の方法で2021年標準契約条項が適用されます：

a.モジュール1（コントローラーからコントローラー）は、お客様が使用データのコントローラーであり、Couchbaseが使用データのコントローラーである場合に適用されます。

b.モジュール2（管理者から処理者）は、お客様が顧客データの管理者であり、Couchbaseが顧客データの処理者である場合に適用されます；

c.モジュール3（処理者対処理者）は、お客様が顧客データの処理者であり、Couchbaseが顧客データのサブ処理者である場合に適用されます；

d.各モジュール（該当する場合）：
(i) 第 7 条において、オプションのドッキング条項が適用される；
(ii) 第9条において、オプション2が適用され、サブプロセッサー変更の事前通知期間は、本DPAの第3条（サブプロセッシング）に定めるとおりとします；
(iii) 第11条では、オプションの文言は適用されない；
(iv) 第 17 条（オプション 1）において、2021 年標準契約条項は、データ輸出者が設立されている EU 加盟国の法律に準拠し、そのような法律がない場合はアイルランドの法律に準拠する。
(v) 第18条(b)において、紛争はデータ輸出者が設立されているEU加盟国の裁判所で解決され、そのような法律がない場合はアイルランド共和国の裁判所で解決されます。
(vi) 附属書 I のパート A：

データエクスポーター：  お客様およびお客様の認定関連会社。

連絡先  クラウドサービスに基づく通信を受信するための関連アカウントとして指定されたお客様の電子メールアドレス

データエクスポーターの役割  お客様は、該当する場合、顧客データの管理者または処理者であり、利用データの管理者です。

署名と日付  データ輸出者は、本契約を締結することにより、本契約の発効日において、付属文書を含め、本契約に組み込まれたこれらの標準契約条項に署名したものとみなされる。

データインポーター：  Couchbase, Inc.

連絡先 Couchbase リーガルチーム - legal@couchbase.com

データインポーターの役割 Couchbaseは、該当する場合、顧客データの処理者またはサブ処理者であり、利用データの管理者です。

署名と日付 本契約を締結することにより、データインポーターは、本契約の発効日において、付属文書を含め、本契約に組み込まれた本標準契約条項に署名したものとみなされます。

(vii) 附属書 I のパート B：
データ対象者の分類は、本DPAの付属文書Aに記載されています。

移転される機微データは、本DPAの付属書Aに記載されている。

移籍の頻度は契約期間中、継続的に行われる。

処理の性質は、本DPAの付属書Aに記載されています。

処理の目的は、本DPAの付属書Aに記載されています。

処理の期間は、本DPAの付属書Aに記載されています。

サブプロセッサーへの移管については、処理の対象、性質、および期間について、以下に概説する。 https://info.couchbase.com/cloud-subprocessors.html

(viii) 附属書IのパートC：上記第3項(d)(iv)で指定されたEU加盟国の監督当局が管轄監督当局として行動する。

(ix) スケジュール2は、標準契約条項の付属書IIとなる。

4.矛盾する用語。 標準契約条項と本DPAのその他の条項との間に矛盾がある場合は、標準契約条項の規定が優先されます。

 

本付属書は、以下に特定される英国の管理者から処理者へのSCC（条項ともいう）の特定の条項に基づくそれぞれの義務に関する当事者の解釈を定めるものである。当事者が本付属書に定める解釈に従う場合、当該当事者は、他方当事者から、本条項における約束を遵守したとみなされるものとする。
本付属書において、「DPA」とは、データ輸入者とデータ輸出者の間で締結され、本条項が組み込まれたデータ処理補遺を意味し、「合意」とは、DPAにおいて与えられる意味を有するものとします。

第4条(h)および第8条：本条項の開示

1.データ輸出者は、本条項が本契約で定義されているとおり、データ輸入者の秘密情報であり、本契約に従って許可されている場合を除き、データ輸入者の事前の書面による同意なしにデータ輸出者が第三者に開示することができないことに同意するものとします。ただし、第 4 条(h)に従ったデータ主体または第 8 条に従った監督当局への本条項の開示を妨げるものではありません。

第5条(a)：データ転送の停止および終了：

1.両当事者は、データ輸入者がデータ輸出者に代わり、データ輸出者の指示および本条項に従ってのみ個人データを処理できることを認めるものとします。

2.この場合、データ輸出者はデータの転送を停止および/または契約を終了する権利を有します。

3.データ輸出者が個人データの転送を停止し、および/または本条項を終了する場合、データ輸入者に通知し、データ輸入者に非遵守を是正するための合理的な期間を提供するよう努めるものとします（""）。治療期間").

4.治療期間後、データ輸入者がコンプライアンス違反を治療しなかった場合、または治療でき ない場合、データ輸出者は個人データの転送を直ちに停止または終了することができます。データ輸出者は、データ対象者またはその個人データに重大な危害が及ぶ恐れがあると判断した場合、このような通知を行う必要はないものとします。

第5条(f)監査

1.データ輸出者は、データ輸入者が DPA 第 4 条（セキュリティおよび監査）に記載されている監査措置を遵守するよう指示することにより、第 5 条（f）に基づく監査権を行使することを認め、同意するものとします。

第5条(j)：サブプロセッサー契約の開示

1.両当事者は、データ輸入者が本条項に基づいて締結した前方サブプロセッサー 契約のコピーをデータ輸出者に速やかに送付する義務を認めるものとします。

2.両当事者はさらに、サブプロセッサの守秘義務制限に従い、データ輸入者がデータ輸出者に 対して以降のサブプロセッサ契約を開示することが制限される場合があることを認める。これにかかわらず、データ輸入者は、データ輸出者にサブプロセッサー契約を開示することを許可するよう、データ輸入者が指名するサブプロセッサーに要求する合理的な努力を払うものとします。

3.データ輸入者がデータ輸出者にサブプロセッサー契約を開示できない場合であっても、データ輸出者の要求があれば、データ輸入者はデータ輸出者に対し、当該サブプロセッサー契約に関連する合理的な範囲ですべての情報を（機密情報として）提供することに両当事者は同意するものとします。

第6条責任

1.本条項に基づいて提起される請求はすべて、本契約に定める除外および制限を含むがこれに限定されない条件に従うものとする。いかなる場合においても、いかなる当事者も、本条項に基づいてデータ対象者の権利に関する責任を制限することはできない。

第11条：オンワード・サブプロセシング

1.両当事者は、「指令 95/46/EC に基づき第三国に設立された処理業者への個人データの移転に 関する標準契約条項に関する 2010 年 2 月 5 日の EU 委員会決定 2010/87/EU の発効により提起されたいくつかの問題に対処するための FAQ」と題された第 29 条作業部会文書 WP 176 の FAQ II.1 に従い、データ輸出者がデータ輸入者による前方へのサブ処理に一般的な同意を提供できることを認めます。

2.従って、データ輸出者は、本条項第 11 項に従って、データ輸入者に対 してオンワード・サブプロセッサーと契約することに一般的な同意を提供します。かかる同意は、データ輸入者が DPA の第 8 項（a）に規定された要件を遵守することを条件とします。