GDPR コンプライアンス

このページでは、Zulip が EU の重要な GDPR 法制にどのように対応しているかを説明します。一般的なプライバシーポリシーについては、Zulip Cloud のプライバシーポリシーをご覧ください。

GDPR とは

一般データ保護規則（GDPR）は、欧州連合（EU）における個人のプライバシーを保護し、個人データがどのように収集・処理・利用されるかを本人が管理できるようにするための包括的な法律です。この法律は、欧州の消費者のデータを収集または処理するあらゆる企業に適用されます。

管理者と処理者

GDPR では、2 つの重要な関係が定義されています。Zulip Cloud のお客様は、当社の製品やサービスを利用する際に管理者として機能します。お客様には、収集する個人データが上記のとおり適法に処理されていること、そして Zulip Cloud のように、法令順守の形でデータを取り扱うことに取り組む処理者を利用していることを確保する責任があります。

Zulip Cloud は データ処理者 と見なされます。当社は管理者（お客様）の指示に従って行動します。管理者と同様に、処理者にも個人データの取り扱い方法を明示することが求められており、その内容はこの文書および以下の法的文書に記載しています。処理者として、当社は処理に適法な根拠があることをお客様が確保することを前提としています。

処理者は、個人データの処理において他の第三者を利用する場合があります。これらの事業者は一般にサブプロセッサーと呼ばれます。たとえば Kandra Labs は、Zulip Cloud のホスティングに Amazon Web Services や Mailgun などのクラウドサービスプロバイダーを利用しています。

Zulip が GDPR コンプライアンスをどのように支援するか

当社は、お客様、第三者、そして当社自身を含むすべての関係者の法令順守に取り組んでいます。

• Zulip Cloud: Zulip Cloud サービスを提供するにあたり、Kandra Labs, Inc. は法令順守したデータ処理者として機能し、各お客様がデータ管理者となります。Kandra Labs は、お客様に Zulip Cloud のチームチャットサービスを提供する文脈で、お客様から個人データを受け取ります。

• セルフホスト環境: Kandra Labs は、モバイルプッシュ通知サービスを提供するためにもデータ処理者として機能します。このサービスは Zulip Cloud と同じホスティング基盤および利用規約を使用しています。このページのオンプレミスのセクションでは、Zulip のオンプレミスソフトウェアが GDPR コンプライアンスとどのように関係するかを説明しています。

データ処理補遺 (DPA) は、Zulip の利用規約に組み込まれています。

Zulip Cloud のサブプロセッサー

当社サービスの提供を支えるため、Kandra Labs, Inc. は特定の顧客データにアクセスできるデータ処理者（それぞれを「サブプロセッサー」といいます）を起用・利用する場合があります。このセクションでは、各サブプロセッサーの名称、所在地、役割に関する重要な情報を提供します。このページで使用されているが定義されていない用語は、Zulip の利用規約、または Customer と Kandra Labs の間で締結されたそれに優先する書面契約（以下「本契約」）で定義された意味を持ちます。

第三者

Zulip は現在、インフラサービスの提供、およびカスタマーサポートやメール通知の提供支援のために、第三者のサブプロセッサーを利用しています。第三者のサブプロセッサーを起用する前に、当社はそのプライバシー、セキュリティ、機密保持の実務を評価するための審査を行っています。

サブプロセッサー

Zulip Cloud は、顧客データをホストしたり、当社サービスの提供・運用を支えるインフラを提供したりするために、以下のサブプロセッサーを利用する場合があります:

• Amazon Web Services, Inc. クラウドインフラのため。
• DigitalOcean, LLC クラウドインフラのため。
• FrontApp, Inc. カスタマーサポートのため。
• Functional Software, Inc. d/b/a Sentry エラートラッキングのため。
• Google LLC クラウドインフラおよびサービスのため。
• Mailgun Technologies, Inc. メール処理のため。
• Rackspace US, Inc. Zephyr ミラーリングサービス向けクラウドインフラのため。
• Stripe, Inc. 決済処理のため。
• The Rocket Science Group LLC d/b/a Mailchimp メール処理のため。

Zulip Cloud における GDPR コンプライアンス

GDPR に関連してユーザーからの要請に対応する際に知っておくと役立つ Zulip の機能は次のとおりです:

• Zulip ユーザーは、Zulip の Web アプリ内でプロフィール情報の変更、メッセージやアップロード済みファイルの削除などを直接行えます。
• organization users パネルを使って、ユーザーの無効化、アカウント詳細の編集や削除などを行えます。
• アクセス要求に対応するには、まずそのユーザーの Zulip プロフィールを確認するのがよいでしょう。プロフィールは右サイドバーから開けます。
• Zulip Cloud エクスポートでは、Zulip ユーザーまたは組織に関連するすべてのデータをエクスポートできます。
• Zulip REST API を使うと、GDPR 要求への対応プロセスを自動化できます。

このトピックに関する支援が必要な場合は、support@zulip.com までご連絡ください。

オンプレミス環境での GDPR コンプライアンス

オンプレミスでソフトウェアを運用する場合は、収集したデータを組織がどのように利用するかを完全に管理できるため、コンプライアンス対応がより簡単になることがよくあります。

上記の Zulip Cloud で利用できる機能（オンプレミスでも利用可能）に加えて、次のツールも役立つ場合があります:

• Zulip サーバーには コマンドラインツール manage.py export_single_user が付属しています。これはメインのサーバー用エクスポートツールの派生版で、単一の Zulip ユーザーのアカウント詳細、設定、チャンネル購読、メッセージ履歴を構造化された JSON 形式でエクスポートします。
• Django の管理シェル (manage.py shell) とデータベースシェル (manage.py dbshell) を使うと、データを直接問い合わせ、参照、編集、削除できます。

GDPR コンプライアンスには、責任あるサーバーインフラの保護、アクセス・ログ・バックアップに関する内部ポリシーなど、さらに多くの要素が関わります。詳細なガイダンスが必要な場合は support@zulip.com までお問い合わせください。有償サポート契約には、Zulip における GDPR コンプライアンスの理解を支援するサービスが含まれています。