SPRINKLRのセキュリティとプライバシー

セキュリティとプライバシーへの絶え間ない取り組み

Sprinklrにおいて、セキュリティ、コンプライアンス、プライバシーは、お客様や投資家からの信頼の基盤と言えます。Sprinklrは、情報資産を保護し、お客様のデータのセキュリティとプライバシーを継続的に強化することに力を入れています。

セキュリティとデータプライバシー

Sprinklrの認定、評価、および業界標準への遵守状況をご紹介します。また、当社のプラットフォームおよび製品内のセキュリティやプライバシーがどのようなプロセスと機能によって支えられているかについても詳しく説明します。Sprinklrがお客様から提供された情報をどのように処理し、保護しているのかご確認ください。当社のデータ転送メカニズムやサブプロセッサの詳細情報、よくある質問への回答もご覧いただけます。

Sprinklrプラットフォームのセキュリティ

お客様の情報の保護は、Sprinklrにとって何よりも重要なことです。当社はこの考えを実践し、お客様がさらされるリスクを軽減するために、Webアプリケーション、インフラの最適化、最新のすべてのチャネルにわたるガバナンス、ネットワークセキュリティなど、広範なセキュリティ標準を導入してきました。

TRUST PORTALを見る

製品のセキュリティ機能

Sprinklrは、お客様のブランドを保護するために、さまざまな機能および業界標準の制御機能を提供しています。これらのセキュリティ機能には、役割ベースのアクセス許可、アクセス制御、シングルサインオン、2要素認証、IP制限付きアクセスなどがあります。

安全な開発ライフサイクルプロセス

当社のプラットフォームはSprinklrの従業員によって社内で開発されています。開発に携わる従業員はセキュリティを確保したコーディング方法について定期的にトレーニング受けています。製品開発時には、当社のセキュリティチームがエンジニアリングチームと密接に連携し、開発プロセスのすべての段階にセキュリティが取り込まれています。この作業に「終わり」はありません。Sprinklrは、Open Web Application Security Project（OWASP）の標準セキュリティ制御や、アプリケーションセキュリティに関するその他の業界標準制御システムに準拠しています。

検知と対応

検知と対応を担当するSprinklrの専任チームは、脅威検知エンジニアリング、脆弱性管理、インシデント対応、クライシスコミュニケーション管理を主な業務とし、セキュリティインシデント発生時と発生後にお客様をサポートしています。対象範囲には、プロダクトオペレーション、ビジネスシステム、全社の資産が含まれます。

インフラストラクチャのセキュリティ

Sprinklrの本番環境は完全に仮想化され、IaaS（Infrastructure-as-a-Service）サードパーティのクラウド環境で稼働しています。当社は追加としてIaaSプロバイダのセキュリティ制御機能も活用しています。Sprinklrは、データホスティングに関して、米国およびヨーロッパにおけるAWS、Microsoft、Googleのデータセンターと連携しています。

ネットワークセキュリティ

Sprinklrは、対応型と予防型の両方のネットワークセキュリティ制御を実装しています。1日24時間365日の常時監視によってネットワークアクティビティの異常を検知し、数分でセキュリティイベントに対応します。また、ファイアウォール、クラウドセキュリティポスチャ管理、ネットワーク侵入テストなどの予防的制御により、高度な保護を提供しています。機密データはすべて、転送時に暗号化されます。

セキュリティの意識向上とトレーニング

Sprinklrは、サイバー脅威に対する最初にして最強の防御は従業員であると考えています。当社は、セキュリティの意識を高め、リスクを軽減し、潜在的な脅威に対する警戒を怠らないようにするために、従業員に毎年トレーニングを受けさせ、定期的にセキュリティに関する教育やベストプラクティスを提示しています。また、インシデント対応計画をテストするための机上演習も毎年実施しています。

脆弱性開示プログラム

Sprinklrは、サードパーティによる脆弱性開示プログラム（VDP）を利用して、セキュリティコミュニティが報告したセキュリティ脆弱性を管理しています。詳細については、Sprinklrの脆弱性開示プログラムをご覧ください。

詳細について、およびコンプライアンスレポートなどを表示するためのアクセスリクエストについては、Sprinklr Trust Portalをご覧ください。このポータルから購読をご登録いただけます。

TRUST PORTALを見る

セキュリティガバナンス

Sprinklrは、当社の組織がビジネス目標を達成し、不確実性に対処し、誠実に行動できるようにするために、設定、ポリシー、手続き、プロセスを調整し、毎年見直しを行っています。

TRUST PORTALを見る

セキュリティに関する認証と評価

Sprinklrは、定期的に第三者評価機関による監査を受け、お客様からお預かりした情報のセキュリティ、機密性、完全性、可用性、プライバシーを保護する内部統制について評価を行っています。Sprinklrは、SOC1 Type II、SOC2 Type II、PCI-DSS、およびISO 27001認証とFedRAMP認証を保持しています。

サービスの可用性

Sprinklrの可用性に関する概要や、Sprinklr製品に影響を及ぼす既知の問題については、Sprinklrのステータスに関するページをご覧ください。サービス中断の可能性は、影響を受けるシステムやサービスに応じ、お客様によって異なる場合があります。

セキュリティに関するFAQ

Sprinklrのセキュリティプログラムの詳細はどこで確認できますか？

当社のセキュリティとプライバシーに関するポータル（trust.sprinklr.com）をご覧ください。

どのような方法でセキュリティへの脅威を監視していますか？

Sprinklrでは、専任のセキュリティチームが実装を定義、監督し、関連するすべてのセキュリティポリシー、プライバシーポリシー、基準、制御状況を監視しています。また、専任の検知・対応チームがプラットフォームを24時間365日監視することで、当社は業界のベストプラクティスを遂行し、規制および適用されるすべての法令を遵守しています。さらに、セキュリティチームのもとで、独立した第三者（サードパーティの監査、評価、侵入テスト機関など）による定期的なテストも、計画、実施しています。テストで重大な是正事項が見つかった場合は、これを追跡し検証します。これらのテストには、管理上の制御、手続き上の制御、技術的な制御の検証が含まれます。

Sprinklrのユーザーが自分のアカウントを守るにはどうすればよいですか？

当社は、Sprinklrサービスとユーザーデータのセキュリティを確保するために投資を続けていますが、Sprinklrのユーザーの皆様にも、当社が提供するセキュリティオプション、そしてご使用のデバイスをマルウェアやその他の脅威から守る最善の方法についてご理解いただくことが重要だと考えています。当社がSprinklrのセキュリティを確保すると同時に、ユーザーの皆様がオンラインのベストプラクティスを遂行されてはじめて、ユーザー情報を確実に保護することが可能となります。当社が推奨するベストプラクティスについては、こちらをご覧ください。

Sprinklrは顧客データのプライバシーをどのように保護していますか？

Sprinklrは、当社が取り扱う個人情報を保護することの重要性を認識しています。これらの個人情報には、お客様から提供された情報、当社製品を提供するためにさまざまな情報源から活用する個人情報、お客様の情報などが含まれます。当社は、これらのデータを保護し、当初の合意以外の目的では使用しないことをお約束します。

当社は、当社が記録として保持しているあらゆる情報を紛失、悪用、不正アクセスから守るために、適切な技術的、組織的、管理的なセキュリティ対策を講じています。当社のエンジニアリングチームは、Sprinklr製品にあらかじめプライバシーを組み入れ、データの収集、使用、保持、開示がお客様への当社製品の提供に必要な目的のみに制限されるように設計しています。また、お客様の個人データにアクセスできる従業員を限定し、適切なトレーニングを受けさせるよう、あらゆる合理的予防措置を講じています。

強固なデータプライバシー対策によってお客様からの信頼を強化

Sprinklrは、当社が取り扱う個人情報（お客様が当社に提供した情報、当社がさまざまな情報源から取得して当社製品に活用する個人情報、お客様について当社が収集した情報）の保護を重視しています。当社は、このデータを保護し、サービスの提供のみに使用することをお約束します。詳細については、当社のデータ処理補足契約とプライバシーポリシーをご覧ください。

TRUST PORTALを見る

プライバシー法の遵守

Sprinklrにとって、データ保護と情報セキュリティは、当社の文化と価値に不可欠な要素であり、また、お客様との強固な関係を築くためにもきわめて重要な要件です。サービス提供者およびデータ処理者として、当社はプライバシーを基本原理と捉え、データ保護要件を満たすことができるようにお客様をサポートしています。当社の法務・コンプライアンスチームは、セキュリティおよび製品担当チームと連携しながら、変化するデータプライバシー規制を綿密に監視し、GDPR、CCPA、CPRA、LGPDなどの法規への遵守を維持しています。

Sprinklrにおけるデータ保護の原則

比例性と説明責任

お客様に対する処理者兼サービスプロバイダであるSprinklrは、当社のサービスの提供に必要な場合にのみ、お客様のデータを処理します。Sprinklrは、適用されるデータ保護法に従ってデータ処理活動を管理するために必要な社内ポリシー、プロセス、制御能力を有しています。データ保護へのSprinklrの取り組みについては、こちらから詳細をご確認いただけます。

契約責任

Sprinklrのデータ処理補足契約（DPA）は、お客様に代わって当社が行うデータ処理方法について規定した文書です。ここには、Sprinklrの役割が処理者であることが明記されるとともに、データ転送メカニズムについてや、不正アクセスおよび喪失からデータを守るための技術的、組織的な対策について記載されています。

プライバシーに関するトレーニング

Sprinklrは、適用されるデータプライバシー法に基づく義務事項を全従業員に確実に理解させるようにしています。Sprinklrの新入社員は全員、新人研修の一貫として、プライバシーおよびセキュリティに関するトレーニングを受けます。さらに毎年、再教育トレーニングを実施するほか、年間を通じて各チームに合わせた特別なトレーニングも実施しています。

データ転送メカニズム

Sprinklrは、地理的な境界を越えて転送されるデータの保護を重視し、このような転送に対して、標準契約条項に加え、その他の技術的および組織的な対策も適用しています。詳細については、こちらから、データ転送に関するホワイトペーパーをご覧ください。データ転送影響評価の参考としてご利用いただけます。

データの共有

Sprinklrは、当社によるサービス提供に関連して当社が連携しているサードパーティについて、そのプライバシーおよびセキュリティの実施状況を慎重に精査しています。当社のサブプロセッサはすべて、Sprinklrがお客様と約束している保護条件と同等以上の内容のデータ保護契約に同意し、署名する必要があります。当社のサブプロセッサのリストはこちらからご覧いただけます。

データ主体の権利

Sprinklrは、Sprinklrプラットフォームで利用可能な当社の製品内プライバシーセンターでお客様による制御を可能にしています。お客様はプライバシーセンターを通じて、アクセス、削除、修正など、データ主体の要求をリアルタイムで管理できます。また、Sprinklrは、Sprinklrにおけるデータ主体の要求をサポートするためにプライバシー要求フォームも提供しています。

プライバシーに関する資料

詳細について、およびSprinklrのプライバシープログラムに関する文書の表示については、Sprinklr Trust Portalをご覧ください。このポータルから購読いただけます。

TRUST PORTALを見る

プライバシーポリシーを確認する

Sprinklrのプライバシーポリシーには、お客様がSprinklrの製品、サービス、Webサイトを使用する際にSprinklrが情報をどのように収集、使用、共有するかが規定されています。

今すぐ確認する

Sprinklrのデータ処理補足契約（DPA）

DPAには、Sprinklrがお客様に代わってデータを処理する方法が定められています。

今すぐアクセスする

お問い合わせ

プライバシーに関するSprinklrの取り組みについて、ご不明な点がございましたら、質問をご送付ください。

問い合わせる

TRUST PORTALを見る

データプライバシーに関するFAQ

Sprinklrは、データ処理補足契約を公開していますか？

はい。Sprinklrのデータ処理補足契約（DPA）は、こちらからご覧いただけます。当社のDPAには、Sprinklrがお客様にサービスを提供するために処理するデータの処理方法と保護方法が規定されています。契約交渉中、DPAはSprinklrとの基本契約書（MSA）内に記載され、MSAの補遺となります。SprinklrのDPAは包括的であり、Sprinklrとお客様の間のすべての処理業務をカバーします。当社はデータ保護要件を継続的に遵守するために、必要に応じて定期的にDPAを更新します。

データ処理に関してSprinklrはどのような役割を担っていますか？

Sprinklrは、お客様のデータの処理者であり、Sprinklrのサービスをお客様に提供する目的でデータを処理しています。お客様が管理者であるか処理者であるかは、Sprinklrとの契約の署名者がお客様であるか、お客様の関連会社であるかによって決まります。これについては、Sprinklrのデータ処理補足契約のセクション2.1に概説されています。

EU以外のお客様がSprinklrとの間で、標準契約条項を含むデータ処理補遺条項（DPA）を締結する必要があるのはなぜですか？

GDPRは適用地域の範囲が広く、たとえ処理活動がEU域外で行われるとしても、EUの個人データの処理にはGDPRが適用されます。ソーシャルメディアチャネルのグローバル性を踏まえると、Sprinklrが処理するお客様のデータ、特にソーシャルデータはGDPRの適用対象となる可能性があります。Sprinklrは処理者であるため、お客様が消費者やユーザーから収集するデータのタイプや、こうした消費者やユーザー個人の所在地、そしてお客様が新市場へとビジネスを拡大する時期もコントロールできません。そのため当社は、すべてのお客様に、標準契約条項などのGDPR要件を満たすデータ処理補足契約（DPA）の締結をお願いしています。

Sprinklrはどのような個人データを処理していますか？

Sprinklrは通常、次の3種類のデータを処理しています。

アカウント情報：当社のプラットフォームユーザーのSprinklrアカウントを作成し認証するためにユーザーから収集する情報です。
お客様のコンテンツ：Sprinklrプラットフォームを介した処理、またはSprinklrプラットフォームへのアップロードをお客様が選んだ、あらゆる種類のデータが含まれます。
ソーシャルコンテンツ：ソーシャルメディアユーザーがお客様のソーシャルチャネルとの間、およびブログ、フォーラム、レビューなど、一般公開されているその他のWebソースとの間で行うあらゆるインタラクションが含まれます。

Sprinklrが処理する個人データの詳しい種類については、データ保護に関する補遺をご覧ください。

Sprinklrは特別なカテゴリのデータを処理していますか？

Sprinklrは、お客様にサービスを提供するために特別なカテゴリのデータを必要とせず、要求することもありません。 Sprinklrがこのようなデータを処理するかどうかは、お客様がSprinklrプラットフォームに保存したりロードしたりするデータの種類、またはソーシャルメディアユーザーがソーシャルメディアチャネルまたはWebで公開するために選択するコンテンツの種類によって決まります。

プライバシーとセキュリティについて、Sprinklrの従業員はどのようなトレーニングを受けていますか？

Sprinklrは、全従業員に対して、雇用時およびその後は1年に１度、セキュリティの意識向上およびプライバシーに関するトレーニングを受けることを義務付けています。また、必要に応じて、全社規模で臨時の役割別トレーニングも追加しています。 Sprinklrは、当社が処理する全データのセキュリティとプライバシー保護に関する従業員の義務について、プライバシーポリシーおよびセキュリティポリシーとして社内ガイダンスを定めています。また、当社の行動規範でも、すべての情報を機密として取り扱うことを従業員に求めています。

Sprinklrはどこでデータホスティングを提供していますか？

Sprinklrは、米国とヨーロッパに所在するデータセンターにデータをホストしています。各お客様のホスト先は契約および実装プロセス中に決定されます。特定のホスト地が選択されていても、トラブルチケットやエンジニアリングサポートなどのSprinklrサービスを提供するために、別の地域の関連会社やベンダーの利用が必要となる場合もあります。このような転送について、当社は標準契約条項および契約上、技術上、組織上講じられている措置に従います。データホスト地のリストおよび当社のサブプロセッサの所在地は、こちらからご確認いただけます。

Schrems IIに関する欧州司法裁判所（CJEU）の判決以降、Sprinklrはどのような方法で越境データ移転を管理していますか？

Schrems IIの判決以降、Sprinklrは2021年6月4日に欧州司法裁判所が発表した標準契約条項（SCC）に基づいて、EU/EEAからのデータ転送を保護しています。標準契約条項は、データを第三国に転送する当事者間で締結される法的契約です。2021年のSCCには4つの転送シナリオが規定されていますが、Sprinklrはそのうちモジュール2（管理者から処理者）とモジュール3（処理者から処理者）をお客様との関係に適用しています。また、2022年3月21日には英国個人情報保護監督機関（ICO）が英国域外への越境移転メカニズムを発表しました。これ以降、Sprinklrは英国からのデータ転送を保護するために、英国国際データ移転補遺にも従っています。これらはいずれも当社の標準データ処理補足契約に含まれています。

さらに、Sprinklrは、米国商務省が定めた欧州-米国データプライバシー枠組み（EU-U.S. DPF）、EU-U.S. DPFの英国拡張、スイス-米国データプライバシー枠組み（Swiss-U.S. DPF）を遵守しています。データプライバシー枠組み（DPF）プログラムの詳細、および当社の認定については、dataprivacyframework.govをご覧ください。

Sprinklrはデータ転送影響評価の完了に役立つ支援を提供していますか？

EUにおけるSchrems IIの裁定以降、Sprinklrは、欧州経済地域からのデータ転送に影響する可能性のある国の法令をお客様が理解できるよう支援しています。Sprinklrの国際データ転送に関するホワイトペーパーをご覧ください。社内でデータ転送影響評価を完了するために必要な情報をすべてご確認いただけます。さらにサポートが必要な場合は、Sprinklrのアカウント担当また営業担当にお問い合わせいただくか、privacy@sprinklr.comまでご連絡ください。

Sprinklrは復処理者を利用していますか？

はい。Sprinklrは、Sprinklrプラットフォームでお客様をサポートするために、限定的なサービスの実行に関して、一部のサードパーティサービスプロバイダと契約しています。Sprinklrの復処理者には、コンサルティング、カスタマーサクセス管理、メンテナンス、テクニカルトラブルシューティング、その他のテクニカルサポートなどのサービスをお客様に提供するSprinklrの関連会社や、データホスティングソリューション、高度なコンサルティングまたは実装サービス、その他の製品機能を提供するサードパーティが含まれます。

こちらから、Sprinklrの復処理者の一覧をご覧いただけます。Sprinklrのデータ保護およびセキュリティ担当チームは、すべてのサブプロセッサとそのセキュリティプログラムおよびプライバシープログラムについて、適切な調査と評価（デューデリジェンス）を行っています。すべての復処理者は、データ転送に関する適切なSCC（標準契約条項）など、セキュリティ、プライバシー、機密保持条項について、契約を締結する必要があります。これらの契約条項は、Sprinklrがお客様と約束している条件と同等以上の制限的内容となっています。こうした契約により、復処理者がアクセスするお客様データは、契約しているサービスの実行に必要なもののみに制限されています。さらに、Sprinklrは定期的にサブプロセッサを評価し、継続的なコンプライアンスを確認しています。

復処理者の一覧の更新について、Sprinklrはどのような方法でお客様に通知していますか？

Sprinklrの復処理者の一覧は、こちらをご覧ください。各復処理者が提供しているサービスと地理的所在地もご確認いただけます。復処理者の一覧の更新通知には購読のご登録が必要です。このサイトのサブスクリプションツールでご登録ください。

Sprinklrはデータ主体の要求をどのようにサポートしていますか？

Sprinklrは、製品内プライバシーセンターをお客様に提供しています。このプライバシーセンターはSprinklrプラットフォームにモジュールとして組み込まれ、お客様はここでデータ主体の要求（アクセス、削除、修正、オプトアウト）を処理することができます。また、Sprinklrはお客様がお客様の側でGDPRの要求を自動化するのに役立つPrivacy APIも提供しています。このAPIの詳細については、当社の開発者ポータルを参照してください。Sprinklrにおけるデータ主体の要求については、sprinklr.com/privacy-requestをご覧ください。