利用規約

本契約は、本利用規約および参照により組み込まれるCommon Paper Cloud Service Agreement Standard Terms Version 1.1で構成されます。矛盾がある場合、本利用規約が優先するものとします。大文字で始まる用語は、本ページまたはスタンダード条件に定義された意味を有するものとします。

eesel AIは、お客様の企業ナレッジでトレーニングされたAIエージェントを構築・デプロイできるAIチームメイトプラットフォームです。これらのエージェントは、質問への回答、コンテンツの作成、サポートチケットのトリアージと対応、および接続されたアプリ全体でのアクション実行が可能です — ヘルプデスク、コミュニケーションツール、ナレッジベース、CRMなどに対応しています。

プロバイダーは、過度なエラーおよび中断なくクラウドサービスを提供・維持するために、商業的に合理的な努力を払うものとします。プロバイダーが連続する2か月間、または12か月間で3か月以上にわたりSLAを満たさなかった場合、お客様は唯一の救済措置として、通知によりサブスクリプションを解約し、請求期間の残存分に対する前払い料金の日割り返金を受けることができます。

プロバイダー対象クレーム： クラウドサービスが、お客様により本契約の条件に従って使用された場合に、第三者の知的財産権またはその他の所有権を侵害、不正流用、またはその他の方法で侵害するという訴訟、手続き、またはクレーム。

お客様対象クレーム： (1) お客様コンテンツが、本契約の条件に従って使用された場合に、第三者の知的財産権またはその他の所有権を侵害、不正流用、またはその他の方法で侵害するという訴訟、手続き、もしくはクレーム、または (2) お客様によるSection 2.1（お客様に対する制限）の違反または違反の申立てに起因する訴訟、手続き、もしくはクレーム。

クレームの直前の12か月間にお客様がプロバイダーに支払った、または支払うべき料金の1.0倍。

プロバイダーによる保証：

1. セキュリティ対策： プロバイダーは、以下のセキュリティポリシーに概説されているとおり、お客様の情報のセキュリティおよび機密性を確保するために必要な技術的および/または組織的対策を実施、維持、および遵守することを保証します。
2. 悪意のあるコードを含まない成果物： プロバイダーは、成果物にロック、ドングル、クロック、タイマー、カウンター、ハードウェアキー、コピー防止機能、複製デバイス、ウイルス、またはワームが含まれておらず、またプロバイダーがいかなる成果物にもこれらを挿入しないことを保証します。これらは、(a) 成果物またはデータのロック、無効化、または消去、(b) 成果物の完全な使用またはコピーの制限または防止、(c) お客様のサーバーまたはハードウェアへの損害または干渉、または (d) 成果物の使用のためにプロバイダーによるアクションを必要とする可能性があるものを指します。

プロバイダー宛： 651 N Broad St, Middletown, Delaware 19709, United States of America

お客様宛： お客様のアカウントのメインメールアドレス

本契約で明示的に許可されている場合を除き、お客様は以下の行為を行わず（また他者にも行わせないものとし）ます：

• プロダクトのソースコードまたは基盤となるアルゴリズムのリバースエンジニアリング、逆コンパイル、または発見の試み（適用法がこの制限を禁止する範囲を除く）。
• プロダクトの提供、販売、譲渡、サブライセンス、貸与、配布、レンタル、またはその他の方法による他者へのアクセスもしくは使用の許可。
• 所有権に関する通知またはラベルの削除。
• プロダクトのコピー、変更、または二次的著作物の作成。
• プロダクトに対するセキュリティテストまたは脆弱性テストの実施、運用への干渉、パフォーマンスの低下の原因、またはアクセス制限の回避。
• お客様が明示的な権限を持たないアカウント、情報、データ、またはプロダクトの部分へのアクセス。
• 競合するサービスまたはプロダクトの開発のためのプロダクトの使用。
• 高リスクな活動（障害が死亡、身体的傷害、または環境被害につながる可能性がある活動）または適用法で禁止されている活動におけるプロダクトの使用。
• 他者のネットワークまたは機器への不正アクセスを得るためのプロダクトの使用。
• お客様およびそのユーザーが適切な権利を有さないお客様コンテンツのアップロードまたは提出。

お客様は、書面による明示的な許可がない限り、以下のカテゴリのデータをプロダクトに送信しないものとします：

• HIPAAにより規制される患者、医療、またはその他の保護された医療情報。
• クレジットカード、デビットカード、銀行口座、またはその他の金融口座番号。
• 社会保障番号、運転免許証番号、またはその他の政府発行のID番号。
• GDPRのArticle 9に定義される特別カテゴリのデータ。
• 適用されるデータ保護法により定義される、その他の同様のカテゴリの機密情報。

プロバイダーは、お客様が (a) 支払い期限後30日以上にわたり未払いの異議のない残高がある場合、(b) 上記の制限に違反した場合、または (c) プロダクトまたは他者に重大かつ悪影響を及ぼす方法でプロダクトを使用した場合、お客様のプロダクトへのアクセスを一時的に停止することがあります。プロバイダーは、実務上可能な場合、アクセスの停止前にお客様に通知するよう努め、根本的な問題が解決された後にアクセスを復旧します。

サブスクリプションは、お客様が更新日前にキャンセルしない限り、各請求期間の終了時に自動的に更新されます。お客様は、アカウント設定またはプロバイダーへの連絡により、いつでもキャンセルすることができます。

いずれかの当事者は、相手方が以下の場合に本契約を解約することができます：

• 通知を受けてから30日以内に重大な違反を是正しなかった場合。
• 是正不可能な方法で本契約に重大に違反した場合。
• 後継者なく解散または事業活動を停止した場合。
• 債権者の利益のための譲渡を行った場合。
• 60日以上継続する破産、管財人、または倒産手続きの債務者となった場合。

契約の満了または解約時：

• お客様はプロダクトを使用するいかなる権利も失います。
• お客様の要求に応じ、プロバイダーは60日以内にお客様コンテンツを削除します。
• 各当事者は、相手方の機密情報を返却または破棄します。

本契約に起因または関連するすべてのクレームに対する各当事者の累積的な総責任額は、一般的な上限額（クレームの直前の12か月間にお客様がプロバイダーに支払った、または支払うべき料金の1.0倍）を超えないものとします。

いかなる状況においても、いずれの当事者も、かかる損害の可能性について事前に知らされていた場合であっても、本契約に関連する逸失利益もしくは逸失収益、または結果的損害、特別損害、間接的損害、懲罰的損害、懲戒的損害、もしくは付随的損害について、相手方に対して責任を負わないものとします。

責任の上限および損害の免責は、以下には適用されません：(a) 対象クレームに対する当事者の補償義務、(b) 当事者の機密保持義務の違反、または (c) いずれかの当事者の故意の不正行為。

プロバイダーは、不正アクセス、改ざん、使用、およびその他の不法な改変からクラウドサービスを保護するために、商業的に合理的な努力を払うものとします。

• 情報セキュリティマネジメントシステム： eesel Inc.は、セキュリティおよびビジネス目標を達成するために監視、レビュー、改善されるポリシー、プロセス、ソフトウェア、およびハードウェア機能を含む、厳格な管理体制を備えた包括的な情報セキュリティマネジメントシステム（ISMS）を維持しています。
• 人的資源のセキュリティ： 現地法に基づく採用前審査、従業員およびベンダー契約における機密保持条項、コンプライアンス違反に対する懲戒プロセス、および雇用終了時の即時アクセス取り消し。
• 資産管理およびデータセキュリティ： 情報資産の特定・棚卸し、情報分類およびデータ管理ポリシーに基づく分類、SOC 2 Type II認証を取得したデータセンターでの保管。マルチテナント環境においては、一意の識別子を使用したお客様データの分離と適切なデータ隔離。データ保持ポリシーはGDPRおよびデータ保護法に準拠し、メディアの廃棄はNISTまたは同等の基準に従います。
• アクセス制御： 知る必要性に基づくロールベースアクセス制御（RBAC）、職務分掌、最小権限の原則、個別の昇格アカウントによる特権アクセス、定期的なアクセス権のレビュー、強力なパスワードポリシー、すべてのアカウントにおける多要素認証（MFA）、および可能な限りのSSO適用。
• 暗号化： 保存データにはAES 256ビット以上の暗号化、転送中データにはTLS 1.2以上、すべてのパブリックAPIエンドポイントおよびバケットにおける認証、およびすべてのバックアップの保存時暗号化。
• 運用セキュリティ： 管理・文書化された本番環境の変更管理、すべてのエンドポイントおよびサーバーにおけるマルウェアの検出・防止、月次以上の頻度でのパッチ管理、内部/外部インフラストラクチャスキャン、SAC/DASTスキャン、構成テスト、および認定された独立テスターによる年次ペネトレーションテストを含む技術的脆弱性管理プログラム。
• ログ記録、監視、およびインシデント管理： ユーザーアクティビティ、例外、障害、および監査証跡のイベントログ記録（少なくとも1年間保持し、改ざんから保護）。適切な根本原因分析を伴うセキュリティインシデントの対応および緩和、72時間以内の侵害通知。
• 通信およびネットワークセキュリティ： ネットワークセグメンテーション、ファイアウォール、アクセス管理、ログ記録と監視、環境分離（本番、開発、ステージング）のための専用VPCおよびセキュリティグループ、本番環境へのWAFおよびDDoS保護。
• 物理的セキュリティ： 有人受付、建物アクセスポイントにおけるCCTV、認可された個人への入館制限、オフィス、サーバールーム、およびデータセンターにおける訪問者の付き添いおよび訪問者ログの維持。
• ソフトウェア開発： OWASP、NIST、またはこれに類するベストプラクティスに従った安全なソフトウェア開発ライフサイクル（S-SDLC）ポリシー、SAST、DAST、およびその他の手法を使用した継続的なコードレビュー（オープンソース、IaC等を対象）。
• サプライヤー関係： 情報セキュリティ、データ保護、事業継続に関するすべての直接サプライヤーに対するデューデリジェンス。年次レビュー、承認された認証、独立した監査報告書、および独立したペネトレーションテスト。サプライヤーには機密保持、セキュリティ、および監査権に関する条項が適用されます。
• 事業継続および災害復旧： 年次レビューおよび演習が行われる事業継続計画、年次ビジネスインパクト分析、安全かつ独立したバックアップ、最小RTO 4時間およびRPO 24時間、定期的なバックアップテスト。
• 情報セキュリティリスク： 定期的な活動および計画的/計画外の変更からのリスクの特定と評価を含むセキュリティリスク管理プログラム。リスクは優先順位付けされ、適時に対処/受容および承認されます。

プロバイダーは、以下について年次更新された報告書または年次コンプライアンス認証を維持します：ペネトレーションテストおよびSOC 2 Type II（取得手続中 — 現在のステータスはトラストセンターをご確認ください）。

現在のステータスについては、 トラストセンター をご確認ください。

プロバイダーは、商業一般賠償責任保険、専門職業賠償責任保険（過誤脱漏保険）、およびサイバー賠償責任保険を維持しています。保険の最低補償額の詳細は、エンタープライズのお客様のご要望に応じてご提供いたします。

以下のデータ処理契約は、本契約に組み込まれます。本DPAは、 Common Paper DPA Standard Terms Version 1.0 に基づき、GDPRおよびCCPAを含む適用されるデータ保護法に従って、お客様の個人データの処理を対象とします。

CCPAが適用される範囲において、プロバイダーは、限定的かつ特定のビジネス目的のためにサービスを提供するためにお客様から個人データを受け取るサービスプロバイダーです。プロバイダーは、お客様から提供されたいかなる個人データも販売または共有しません。

データ収集、国際移転、およびデータ主体の権利に関する詳細については、 プライバシーポリシーをご確認ください。

以下のサブプロセッサーは、お客様の個人データの処理を許可されています。プロバイダーは、サブプロセッサーの追加または変更の少なくとも10営業日前にお客様に事前通知します。

Amazon Web ServicesおよびPineconeについては、リクエストに応じてEUデータレジデンシーをサポートしております。詳細は hi@eesel.app までお問い合わせください。