# Vimeo Enterpriseデータ処理補足条項 最終更新日:2026年4月24日([前バージョン](/legal/terms/ja/enterprise-terms/dpa/archive-20250224.md)) このデータ処理付属文書(“**DPA**”)は、 [Vimeo Enterprise Terms](/legal/terms/ja/enterprise-terms.md) の一部であり、適用されるプライバシーおよびデータ保護法の対象となる範囲において、Enterprise Servicesに関連するCompany User Dataの処理に関する当事者の権利および義務を定めるものです。 標準契約条項が適用される場合、標準契約条項と本DPAの条項との間に抵触があるときは、標準契約条項が優先するものとします。 ### 1. 定義 * “**Agreement**”とは、注文書と、以下で閲覧可能なVimeoのEnterprise Termsを合わせたものをいいます。 [https://vimeo.com/enterpriseterms](/legal/terms/ja/enterprise-terms.md)。ただし、あなたとVimeoとの間でEnterprise Servicesに関する別途交渉された契約がある場合は、“**Agreement**”は当該契約を意味します。 * “**Applicable Privacy and Data Protection Laws**”とは、Agreementに関連してPersonal Dataの処理に関し当事者に適用される、国、連邦、州、地方のすべてのプライバシーおよびデータ保護に関する法律、規則、および規制を総称していいます。これには、適用される範囲に限られ、かつ法的に有効である場合(上記「Last Updated」日以降に施行されるものを含む)において、以下が含まれます。ブラジルのLei Geral de Proteção de Dados(“**LGPD**”);カリフォルニア州消費者プライバシー法(2020年カリフォルニア州プライバシー権法により改正されたものを含む)(“**CCPA**”);コロラド州プライバシー法(“**CPA**”);バージニア州消費者データ保護法(“**CDPA**”);ユタ州消費者プライバシー法(“**UCPA**”);およびコネチカット州の個人データプライバシーおよびオンライン監視に関する法律(“**CTPA**”)並びにそれらに基づいて制定された規則。カナダの個人情報保護および電子文書法(“**PIPEDA**”);欧州連合の一般データ保護規則(“**GDPR**”);日本の個人情報の保護に関する法律(“**APPI**”);スイスの連邦データ保護法(“**FADP**”);および英国の一般データ保護規則(“**UK GDPR**”)。 * “**Business Purpose**”とは、Cal. Civ. Code第1798.140(d)(1)-(7)項、ならびに2023年1月1日以降はCal. Civ. Code第1798.140(e)(1)-(8)項に定める列挙されたBusiness Purposesのうち、Enterprises Servicesに適用されるものをいいます。 * “**Company**,” “**you**,” および “**your**”とは、Vimeo Enterprise ServicesについてAgreementを締結したVimeoの顧客を意味します。 * “**Company User**”とは、CompanyがVimeoアカウントを開始および管理するData Subject(すなわちシングルサインオンを通じて)、Companyが主催するEventに関連してVimeoにPersonal Dataを提出するData Subject、および/またはEnterprise Serviceを管理するためにCompanyを代表して行動するData Subjectを意味します。Company Userには、Companyが提出したコンテンツに表示されるData Subjectも含まれる場合があります。 * “**Company User Data**”とは、Enterprise Servicesに関連してVimeoに提出されるCompany UsersのPersonal Dataを意味します。Company User Dataには、VimeoがEnterprise Servicesの外部で、かつそれとは独立して収集したPersonal Dataは含まれません。Company User DataにはVimeo Account Dataは含まれません。 * “**Controller**”とは、処理の目的および手段を決定する当事者を意味し、Applicable Privacy and Data Protection Lawsにおける『controller』、『business』その他これに類する用語を含みます。 * “**Data Privacy Framework**”とは、米国商務省が定めるEU-U.S. Data Privacy Framework、EU-U.S. Data Privacy Frameworkへの英国・米国拡張、およびSwiss-U.S. Data Privacy Frameworkを意味します。 * “**Data Subject**”とは、Applicable Privacy and Data Protection Lawsにおける『data subject』、『consumer』、またはこれらに類する用語を意味します。 * “**Enterprise Services**”とは、 *Vimeo Enterprise*ブランドのサービスであり、VimeoおよびCompanyが締結した個別交渉済みの注文書(それぞれ、“**Order Form**”)に基づきVimeoが提供するもので、Company User DataのVimeoへの移転を伴うものをいいます。 * "**Event"** とは、Enterprise Servicesによって提供されるライブ配信または録画済みのウェビナー、その他のストリーミングイベントを意味します。 * “**Personal Data**”とは、Applicable Privacy and Data Protection Lawsにおけるすべての『personal data』、『personal information』、またはこれらに類する用語を意味します。 * “**Processor**”とは、他当事者に代わってPersonal Dataを処理する当事者を意味し、Applicable Privacy and Data Protection Lawsにおける『processor』、『service provider』その他これらに類する用語を含みます。 * “**Restricted Transfer**”とは、(a) GDPRまたはFADPが適用される場合、Personal DataをEuropean Economic Areaまたはスイス(該当する場合)から、European CommissionまたはSwiss Federal Data Protection and Information Commissioner(該当する場合)の十分性認定の対象とならないEuropean Economic Areaまたはスイス(該当する場合)以外の国へ移転することをいいます。(b) UK GDPRが適用される場合、Personal Dataを英国から他国へ移転することのうち、United Kingdom Data Protection Act 2018第17A条に基づく十分性規則に基づかないものをいいます。Data Privacy Frameworkに基づく米国へのPersonal Dataの移転はRestricted Transferには該当しません。 * “**Security Incident**”とは、Company Personal Dataの偶発的または違法な破壊、紛失、改変、無権限の開示、またはアクセスにつながるセキュリティ侵害を意味します。 * “**Sensitive Data**”とは、Applicable Privacy and Data Protection Lawsにおける『sensitive personal information』、『sensitive data』、『special categories of personal data』、および同様に分類されるPersonal Dataを意味します。 * “**Standard Contractual Clauses**”とは、欧州委員会の2021年6月4日付決定(EU)2021/914に基づき承認された標準契約条項を意味し、本DPA第8条に従って記入されたものをいいます。UK GDPRの対象となるPersonal Dataの移転については、Standard Contractual Clausesには、EU Commission Standard Contractual Clausesに対するInternational Data Transfer Addendum(“UK Addendum”)も含まれ、本DPA第8条に従って記入されるものとします。 * “**Vimeo**”とは、本DPAの目的上、Vimeo.com, Inc.を意味します。 * “**Vimeo Account Data**”とは、CompanyとVimeoとの関係に関する情報を意味し、以下を含みます。(a) Vimeoの内部アカウント識別子;(b) CompanyのVimeo Enterpriseアカウントに関連する個人の請求先情報および連絡先情報(例:請求先住所、メールアドレス、氏名);(c) Company Usersのデバイスおよび接続情報(例:IPアドレス);および(d) 技術サポート依頼および製品フィードバックの内容。 * “**Vimeo Policies**”とは、適用される保存スケジュールを含む内部情報セキュリティ方針を意味します。 * 用語 “**commercial purpose**”、 “**process**”、 “**sell**”、 “**share**”およびそれらの語形変化は、Applicable Privacy and Data Protection Lawsにおけるのと同一の意味を有するものとします。 ### 2. 役割 **2.1.** Company User DataがApplicable Privacy and Data Protection Lawsの対象となる範囲において、当事者は、Enterprise Servicesの提供におけるCompany User Dataの処理について、CompanyがControllerであり、VimeoがProcessorであることに同意します。 **2.2.** Vimeoは、以下の目的のためにControllerとしてVimeo Account Dataを処理します。(a) Companyとの関係を管理すること(アカウント設定に従ってCompanyおよびCompany Usersと連絡を取ること、技術サポートを提供すること等);(b) セキュリティ、不正防止、パフォーマンス監視、事業継続および災害復旧を促進すること;(c) Vimeoの事業戦略に資すること;および(d) 会計、請求、納税申告などの中核的な業務機能を遂行すること。 **2.3.** 当事者は、処理の対象および詳細が [Annex I](#annexi). ### 3. Vimeoによる処理条件 **3.1.** Vimeoは、以下を行うことに同意します。 **3.1.1.** Agreement(本DPAを含みます。)および各注文書に記載されたCompanyの文書化された適法な指示に従い、(a) CompanyにEnterprise Servicesを提供し、Companyによる各種機能および機能性の利用を可能にするため、(b) Security Incidentsの調査およびAcceptable Use Policyの執行のため、ならびに(c) 自らの法的義務を遵守するために必要な範囲で、Company User Dataを処理すること(総称して、“**Agreed Purposes**”); **3.1.2.** 自らの代理で行動する者が、本DPAおよびApplicable Privacy and Data Protection Lawsの規定に従ってCompany User Dataを処理し、適切な守秘義務を負うことを নিশ্চিতすること; **3.1.3.** 本DPAに基づくCompanyの指示を履行できなくなる事情をVimeoが認識した場合、Companyに通知すること; **3.1.4.** 適用法令により、Companyから受けた指示および本DPA上の義務を履行できないことをVimeoが認識した場合、Companyに通知すること; **3.1.5.** Applicable Privacy and Data Protection Lawsに基づく義務をもはや満たせないと判断した場合、Applicable Privacy and Data Protection Lawsで要求される期間内にCompanyに通知し、CompanyがCompany User Dataの無権限処理を停止し是正するための合理的かつ適切な措置を講じる機会を与えること; **3.1.6.** Companyの要請に応じて、Companyがデータ保護評価を実施し文書化することを合理的に可能にする情報を提供すること;および **3.1.7.** Applicable Privacy and Data Protection Lawsにより要求される範囲で、年1回を超えない頻度で、CompanyまたはCompanyが指定する評価者(または、双方合意の上でVimeoの費用負担により、Vimeoの有資格評価者)による合理的な評価を認め、かつ協力し、適切かつ一般に認められた管理基準またはフレームワーク、および当該評価のための評価手順を用いて、Applicable Privacy and Data Protection Lawsに基づく義務を支援するVimeoの方針ならびに技術的および組織的措置の評価を実施すること。ただし、合理的なアクセス制限および守秘制限に従うものとします。Vimeoが自らの評価者を起用する場合、要請に応じてCompanyに要約報告書を提供するものとし、これにより本第3.1.7項に基づくVimeoの義務は充足されるものとします。 **3.2.** 第3.1.1項に従い、Vimeoは以下を行いません。 **3.2.1.** Company User Dataを販売または共有すること; **3.2.2.** Agreed Purposes以外の目的でCompany User Dataを保持、使用または開示すること; **3.2.3.** CompanyとVimeoとの直接の事業関係の外でCompany User Dataを保持、使用または開示すること;または **3.2.4.** Company User Dataを、Vimeoが他の顧客から受け取るPersonal Dataと結合すること。 ### 4. Companyによる処理条件 **4.1.** Companyは、以下を行うことに同意します。 **4.1.1.** 必要な同意、ライセンス、および承認を取得することを含め、Applicable Privacy and Data Protection Lawsに従ってCompany User Dataを収集、使用および処理すること; **4.1.2.** Company User Dataの正確性、品質および適法性、ならびにその取得方法について単独で責任を負うこと;および **4.1.3.** Applicable Privacy and Data Protection Lawsに基づくすべての適用要件を満たしていない限り、VimeoにSensitive Dataを提出せず、またはその他の方法でVimeoにSensitive Dataを処理させないこと。これには、適用される場合、Sensitive Dataに関連するData Subjectへの通知および同意取得が含まれます。Companyは、VimeoがCompany User Dataの内容を精査して、特定の法的要件の対象となる情報を特定することはしないことを認識します。 ### 5. セキュリティおよびコンプライアンス **5.1.** Vimeoは、Company User Dataのプライバシーおよびセキュリティを保護するため、合理的な技術的、組織的およびセキュリティ上の措置を実施するものとします。 **5.2.** Vimeoは、処理の性質およびVimeoが利用可能な情報を考慮し、合理的な期間内に、適切な措置を講じ、かつ合理的に可能な範囲で、GDPR第32条から第36条に基づくCompanyの義務の履行を支援するものとします。 **5.3.** CompanyによるCompany User DataのVimeo以外の第三者またはプラットフォームへの保管および/または移転は、Companyの単独のリスクおよび責任で行われるものとします。 **5.4.** VimeoがSecurity Incidentを認識した場合、Vimeoは、過度の遅滞なく、かつ実行可能な場合には認識後72時間以内に、適用される規制に従ってCompanyに通知するものとします。VimeoによるSecurity Incidentの通知は、当該事案に関するVimeoの過失または責任の承認とはみなされません。Security Incidentが発生した場合、Companyは、自らのCompany User Dataに関連して適用法令に基づき要求される措置を講じる義務を負います。要請があれば、VimeoはSecurity Incidentに関して規制当局とのコミュニケーションにおいてCompanyを支援します。 **5.5.** 合理的な書面による要請があった場合、Vimeoは、本DPAおよびApplicable Privacy and Data Protection Lawsに基づく自らの義務の遵守を証明するために必要な情報をCompanyに提供するものとします。 ### 6. サブプロセッサー **6.1.** Vimeoは、Companyにより、いずれのサブプロセッサーを起用する一般的な権限をここに付与されます。ただし、Vimeoは、(i) 各場合において、当該サブプロセッサーが本DPAに含まれるものと実質的に同一であり、いかなる場合にもそれより不利でないデータ保護義務に拘束されることを নিশ্চিতし、かつ(ii) Agreementの条項(そこに合意された責任制限を含むがこれに限られない)に従い、当該サブプロセッサーの義務の履行についてCompanyに対し全面的に責任を負い続けるものとします。現行のサブプロセッサー一覧は、以下をご覧ください。 [https://vimeo.com/enterpriseterms/dpa/subprocessors](/legal/terms/ja/enterprise-terms/subprocessors.md) **6.2.** Vimeoは、サブプロセッサーの追加または置換に関する変更予定についてCompanyに通知し、Companyに当該変更に異議を述べる機会を与えるものとします。通知は、Companyが以下を使用して提出したメールアドレス宛に電子メールで行われます。 [このフォーム](https://lp.vimeo.com/subprocessor_subscribe.html)。CompanyがVimeoによるいずれかのサブ処理に異議を述べる場合、Companyは直ちにEnterprise Servicesの利用を中止すべきです。 ### 7. 個人の権利に関する請求 **7.1.** Applicable Privacy and Data Protection Lawsにより要求される範囲で、Vimeoは、Data Subjectの権利請求への対応に関してApplicable Privacy and Data Protection Lawsに基づくCompanyの義務の履行を支援するため、適切な措置を講じるものとします。 **7.2.** Vimeoは、Company User Dataに向けられた削除または情報へのアクセスに関するData Subjectの権利請求を受領した場合、Companyに通知します。Companyは、当該請求に応じるか否かについてVimeoに指示を与えるものとします。 ### 8. 国際移転 **8.1.** **Restricted Transfers。** Companyは、Vimeoが主として米国からEnterprise Serviceを運営していることを理解し、これに同意します。そのため、Company User DataはCompanyの所在地および/または該当するData Subjectの所在地から米国のVimeoへ移転されます。Company User DataがRestricted Transferの対象である場合、Vimeoは、本DPAにここに組み込まれ、かつ本第8条に定めるとおり完成、記入および組み込み済みとみなされるStandard Contractual Clausesに依拠することで、当該移転がApplicable Privacy and Data Protection Lawに準拠して行われることを確保します。 **8.1.1.** GDPRまたはUK GDPRにより保護されるRestricted Transfersについては、Standard Contractual Clausesは以下のとおり完成した状態で適用されます。 * Companyがcontrollerである場合、Module Twoが適用されます。Companyがprocessorである場合、Module Threeが適用されます。VimeoとCompanyがそれぞれcontrollerである場合(すなわちVimeo Account Dataについて)、Module Oneが適用されます; * Clause 7:任意条項を含めます; * Clause 11(a):任意条項は適用されません; * Clause 13(a):管轄監督機関はSection Cに従って選定されるものとします。 [Annex I](#annexi); * Clause 17:当事者は、本Standard Contractual Clausesから生じる紛争に関してアイルランド法を準拠法として選択します; * Clause 18:Standard Contractual Clausesから生じるあらゆる紛争は、アイルランドの裁判所により解決されるものとします;および * Standard Contractual Clausesの条項とUK Addendumとの間に抵触がある場合は、UK Addendumの第10条および第11条に従って解決されるものとします。 **8.1.2.** FADPにより保護されるRestricted Transfersについては、上記第8.1.1項に定めるとおり完成されたStandard Contractual Clausesが適用されます。ただし、以下を除きます。 * 管轄監督機関は、Swiss Federal Data Protection and Information Commissionerとします; * Clause 17:準拠法はスイス法とします; * “Member State(s)”への参照はスイスへの参照と解釈され、スイスに所在するdata subjectsは、スイスにおいてStandard Contractual Clausesに基づく自らの権利を行使し、執行する権利を有するものとします;および * Standard Contractual Clausesにおける“General Data Protection Regulation”への参照は、スイスのFADPへの参照と理解されるものとします。 **8.1.3.** CompanyおよびVimeoは、注文書への署名が、当該注文書に関連するEnterprise Servicesについて必要となるRestricted Transfersに関して、Standard Contractual ClausesのAnnex IAおよびAnnex IIへの署名を構成し、その効力を有することに同意します。これらは、関連する完全かつ適切に記入された版 [Annex I](#annexi), [Annex II](#annexii) および [Annex III](#annexiii) (以下)と、該当する場合にはUK Addendumを合わせてStandard Contractual Clausesに対して付されるものとします。 **8.2.** **Data Privacy Framework。** Companyは、VimeoがData Privacy Frameworkに準拠していること、およびData Privacy Frameworkに基づいてVimeoに移転されるCompany User DataがRestricted Transferに該当しないことを認識します。VimeoのData Privacy Framework認証が失効した場合、またはData Privacy Frameworkが無効化された場合、Company User Dataの移転は直ちにRestricted Transferとみなされ、第8.1項の規定が適用されます。 **8.3.** **補完的措置。** Vimeoが、Restricted Transferの対象となっていたCompany User Dataの強制開示について第三者から命令を受けた場合、Vimeoは以下を行います。 **8.3.1.** 第三者に対し、当該データをCompanyから直接取得するよう求めるため、あらゆる合理的努力を行うこと; **8.3.2.** 法律により禁止されていない限り、速やかにCompanyに通知すること; **8.3.3.** Companyが当該請求を評価できるよう、第三者に対して合理的な期間延長を求めること;および **8.3.4.** EU、スイス、英国または適用されるEU加盟国法に基づく法的瑕疵または抵触を理由として、開示命令に異議を唱えるため、すべての合法的努力を尽くすこと。 これらの手順を尽くした後もなおVimeoが第三者へのCompany User Dataの開示を強制される場合、Vimeoは当該請求を満たすために必要な最小限のみを開示します。 ### 9. 期間および終了 **9.1.** 本DPAは、CompanyがいずれかのEnterprise Servicesを利用している限り有効であるものとします。ただし、本DPAまたはVimeo Policiesの条項に従い、Enterprise Servicesの終了または満了後もCompany User Dataを保持する義務をVimeoが負う場合には、Vimeoが当該データを保有している限り、本DPAは引き続き有効です。 **9.2.** Vimeoは、Companyが管理者アカウントを通じて自らのVimeoアカウントを削除できるようにし、これによりCompany User Dataの削除が開始されます。CompanyがVimeoアカウントの削除に向けて何ら措置を講じない場合、Vimeoは、収集目的の達成のために保持がもはや必要でなくなった時点、または適用法により保持が求められなくなった時点で当該アカウントを削除します。 **9.3.** Vimeoは、適用法令を遵守するため、必要に応じて本DPAの条項の一部を随時修正および/または調整する権利を有します。 **9.4.** 本DPAに関するご質問、またはData Subjectの権利請求の履行を支援するためのCompanyからの要請は、以下宛てに送付してください。 。Vimeoは、本DPAおよびVimeo Policiesに従ってCompany User Dataの利用に関する苦情の解決を試みます。 **9.5.** 本DPAの条項と当事者間の他のいかなる契約との間に不一致がある場合は、本DPAの条項が優先します。 *** ### **Annex I:処理の詳細** #### **A. 当事者一覧**
データ輸出者:Data Exporterは、関連するEnterprise Termsおよび注文書に識別された会社です。
役割(controller/processor):Controller
データ輸入者:Vimeo.com, Inc.
住所:330 West 34th Street, 10th Floor
New York, New York 10001
担当者の氏名、役職、および連絡先:Irene Pozzi, Data Protection Officer
dpo@bendingspoons.com
本条項に基づいて移転されるデータに関する関連活動:Data ExporterとData Importerとの間で合意されたEnterprise Termsおよび関連する注文書に従う。
署名および日付:当事者は、注文書への署名が本Annex Iへの署名を構成することに同意します。日付は注文書に従うものとします。
役割(controller/processor):Processor
#### **B. 移転の説明**
対象事項:本DPAに基づくデータ処理の対象事項は、会社ユーザーデータです。
Data subjects:Data subjectsはCompany Usersです。
データの種類:処理されるデータには、オンライン識別子(IPアドレス、メール、位置情報)、閲覧データ、および雇用情報が含まれます。
処理の性質:

Vimeoは、Companyが開始する機能および機能性を含め、Enterprise Servicesを提供するためにCompany User Dataを処理します。これには以下が含まれます。

  • CompanyがCompany Usersに対して動画コンテンツをアップロード、ホスティング、管理および配信すること;
  • Company Usersにコンテンツを配信すること;
  • Company Usersにカスタマーサポートを提供すること;および
  • Companyが利用を選択したEnterprise Serviceが提供するその他すべての機能および機能性を提供すること。
期間:処理期間は、CompanyによるVimeoのサービス利用期間と同じです。
目的:処理の目的は、Companyが開始したサービスの提供です。
#### **C. 管轄監督機関** 会社がEU加盟国に設立されている場合:管轄監督機関は、会社が設立されているEU加盟国の監督機関とします。 会社が **ない** EU加盟国に設立されていない場合で、GDPR第3条(2)が適用され、かつ会社がGDPR第27条に基づきEU代表者を任命している場合:管轄監督機関は、会社のEU代表者が所在するEU加盟国の監督機関とします。 会社が **ない** EU加盟国に設立されている場合で、GDPR第3条(2)が適用されるが、会社が **ない** GDPR第27条に基づくEU代表者を任命している場合:管轄監督機関は、本条項に基づき移転される個人データのデータ主体の過半数が所在するEU加盟国の監督機関とします。 ### 別紙II:データのセキュリティを確保するための技術的および組織的措置 Vimeoは、社内の情報セキュリティおよびプライバシーに関する方針を維持しており、これらは毎年承認され、すべてのVimeo従業員が確認し承諾しなければなりません。これらの方針には、EU一般データ保護規則(GDPR)、サーベンス・オクスリー法(SOX)、Payment Card Industry Data Security Standards(PCI DSS)、SOC 2 Type 2のSecurity Trust Principles、その他のプライバシーまたはデータセキュリティに関する法令、規制、または基準で要求される情報セキュリティ管理基準が含まれます。以下の重点管理策は、Vimeoの情報セキュリティの枠組みを示しています。 #### ガバナンス Vimeoのセキュリティプログラムは、深層防御の概念に基づいています。すなわち、組織とユーザーデータをあらゆる段階で保護します。当社のセキュリティプログラムは、ISO(International Standards Organization)27001およびNIST(National Institute of Standards and Technology)の基準に整合しており、更新されたガイダンスおよび新たな業界のベストプラクティスに伴い、継続的に進化しています。Vimeoは、Vimeoの最高情報セキュリティ責任者が率いる専任のセキュリティチームを維持しており、同責任者は当社のセキュリティプログラムの実装および管理に責任を負います。 Vimeoは、少なくとも年1回見直される、適切な方針、手順、およびリスク評価を含む、書面による情報セキュリティプログラムを維持し、実施しています。このプログラムは、Vimeoの従業員、請負業者、および供給業者に適用されます。Vimeoは、プログラム遵守を監視し、強制し、プログラム違反を記録するためのプロセスを維持しています。 #### セキュリティ意識向上トレーニング Vimeoは、ソーシャルエンジニアリング攻撃、機密データの取扱い、意図しないデータ漏えいの原因、セキュリティインシデントの識別および報告など、関連する脅威および業務要件について、従業員に対し毎年セキュリティトレーニングを提供しています。 #### インシデント対応 Vimeoは、組織内のセキュリティインシデントを効果的に検知し、対応し、軽減し、復旧するためのガイドラインを定めたインシデント対応計画および手順を策定しており、運用への影響を最小限に抑え、機密データを保護することを確保しています。これらには、必要に応じて、インシデントの準備、検知/分析、封じ込め、排除、復旧、是正、および顧客への連絡に関するプロセスが含まれます。 #### 脆弱性管理 Vimeoは、パッチ、更新、バグ修正、またはその他の変更を通じて、システム、デバイス、およびアプリケーションの脆弱性を適時に特定し、是正するプロセスを維持し、顧客データのセキュリティを維持しています。Vimeoは、重大な脆弱性を発見から7日以内に軽減することを目指しています。高リスクの脆弱性は、発見から30日以内に軽減されます。 #### 監査ログ Vimeo Enterpriseは、顧客に対し、ユーザー活動の保護された監査証跡へのアクセスを、暗号化された継続的エクスポートストリームまたはSIEM互換形式のダウンロード可能なファイルとして提供し、アクションを実行したユーザー、実行されたアクション、成功または失敗、日付および時刻を明確に示すことができます。 #### マルウェア対策 Vimeoは、ワークステーションおよびサーバーにエンドポイント検知および対応ソフトウェアならびにアンチマルウェアソフトウェアを導入し、悪意あるコードのインストール、拡散、および実行を制御、検知、および是正しています。 #### データ保持 Vimeoユーザーには、アカウント設定内で、ユーザーが提出したアカウントデータ(動画、コメント、グループ参加、チャンネル参加を含む)を削除するためのツールが提供されています。Vimeoは、削除要求またはアカウント閉鎖後、合理的な期間内に、ユーザーが提出したアカウントデータを完全削除します。 #### 暗号化 Vimeoは、業界のベストプラクティスに従い、保存時および公開ネットワークを介した転送時の顧客データを暗号化しています。保存時の暗号化には、AES128以上を使用します。転送時の暗号化には、TLS 1.2以上を使用します。 #### ファイアウォール Vimeoは、顧客データを含むシステムを不正アクセスから保護するために、ファイアウォールを維持し、設定しています。Vimeoは、すべてのルールについて有効で文書化された業務上の根拠が存在することを確認するため、少なくとも年1回ファイアウォールのルールセットを見直しています。 #### アクセス制御 Vimeoは、システムアクセスを付与する際、最小権限の原則および役割ベースの権限に従います。従業員は、職務上の役割および責任を果たすために合理的に取り扱う必要のあるデータにのみアクセスを許可されています。ユーザーアクセス認証は、重要なシステムに対して四半期ごとに実施されます。 #### シングルサインオンおよび認証 可能な限り、Vimeoは機密データを含むシステムへのすべてのアクセスに対して、Single Sign On(SSO)および/または多要素認証(MFA)を採用しています。 Enterprise顧客向けに、Vimeoは、OKTAやAzure active directoryなどのSAMLおよび/またはOAUTHのシングルサインオンIDプロバイダーとの統合をサポートしています。Vimeoはまた、ソフトウェア内でのユーザー、権限、および役割の管理を行うための自動化されたユーザーライフサイクル管理用にSCIMもサポートしており、これにはプロビジョニング、プロビジョニング解除、役割および権限の照会、割当ておよび削除が含まれます。 #### セキュリティテスト Vimeoは、システムを悪用するために使用され得る脆弱性および攻撃ベクトルを特定するために、システムの侵入テストを実施しています。特定された脆弱性は、Vimeoの脆弱性管理プログラムの一環として対処されます。Vimeoはまた、HackerOne Bug Bountyプログラムを通じてセキュリティコミュニティからの支援も活用しています。 #### ベンダー管理 Vimeoは、個人データにアクセスするすべてのベンダーに対して情報セキュリティレビューを実施し、Vimeoの重要なシステムにアクセスするベンダーには、より高度なデータセキュリティ要件を課しています。このレビューには、初回のオンボーディングと年次再認証の双方が含まれます。 ### 別紙III:サブプロセッサー 管理者は、DPA第6.1条に従い、サブプロセッサーの使用について包括的な承認を与えています。現在のサブプロセッサーの一覧については、 [https://vimeo.com/enterpriseterms/dpa/subprocessors](/legal/terms/ja/enterprise-terms/subprocessors.md). --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://vimeo.com/legal/terms/ja/enterprise-terms/dpa.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.