国際
Content
データ処理契約
前文
当事者は、管理者による処理者のソフトウェアおよびサービスの利用を伴う、処理者によるサービス提供に関する Software as a Service 契約(以下「本契約」といいます。)を締結しています。本契約(以下「本サービス」といいます。)に基づきこれらのサービスを提供するにあたり、適用されるデータ保護法令(以下「適用データ保護法令」といいます。)に基づき管理者が責任を負う個人データを、処理者が処理する必要があります。適用データ保護法令の要件を満たすため、当事者は以下の DPA を締結します。
1. 定義
このDPAにおいて、また文脈上別段の定めがない限り、使用される用語は、適用されるデータ保護法に定められる意味を有します。DPAの主要な用語は以下のとおりです。
“personal data” とは、識別された、または識別可能な自然人(「データ主体」)に関するあらゆる情報をいいます。識別可能な自然人とは、直接的または間接的に識別できる自然人をいい、特に氏名、識別番号、位置データ、オンライン識別子、またはその自然人の身体的、生理的、遺伝的、精神的、経済的、文化的、もしくは社会的な属性に固有の一つ以上の要素により識別できる者を指します。
‘processing’とは、自動化された手段によるか否かを問わず、個人データまたは個人データの集合に対して行われる、収集、記録、整理、構造化、保存、修正もしくは変更、取得、参照、利用、送信による開示、配布その他の方法による利用可能化、整列もしくは結合、制限、消去または破棄を含むあらゆる処理または一連の処理をいいます。
‘controller’とは、単独でまたは他者と共同して、個人データの処理の目的および手段を決定する自然人もしくは法人、公的機関、行政機関その他の組織をいいます。かかる処理の目的および手段が欧州連合または加盟国の法令により定められる場合、管理者またはその指名に関する具体的な基準は、欧州連合または加盟国の法令で定めることができます。
‘processor’ とは、管理者に代わって個人データを処理する自然人もしくは法人、公的機関、行政機関その他の組織をいいます。
2. 適用範囲/期間
2.1 本DPAは、処理者が管理者のために処理するすべての個人データ(以下、これらを「データ」といいます)の処理に適用されます。処理の範囲、性質、目的その他の詳細は、基本契約により定められ、本DPAの別紙1「データ処理の概要」に記載されています。
2.2 本DPAに別段の定めがない限り、本DPAの契約期間および終了は、基本契約の契約期間および終了に関する規定に従います。基本契約が終了した場合、本DPAも当然に終了します。本DPAのみを個別に終了させることはできません。
2.3 本DPAに別段の定めがない限り、基本契約に定めるすべての定義が本DPAにも適用されます。
3. 指示を発出する責任および権限/処理者の保護措置
3.1 両当事者は、適用されるデータ保護法令の規定を遵守する責任を負います。管理者は、いつでも処理者に対し、本DPAに基づき処理されたデータの開示、訂正、修正、削除および利用制限を指示することができます。
3.2 処理者は、適用されるデータ保護法令に従い、管理者の指示に基づいて、管理者のためにデータを処理します。管理者は、適用されるデータ保護法令上、引き続き管理者であるものとします。
3.3 データ主体の権利保護を確保するため、処理者は、特に適切な技術的および組織的措置を確保することにより(第6条参照)、管理者に対して適切な支援を提供します。データ主体が自身の権利に基づく対応を求めて処理者に直接連絡した場合、処理者は、遅滞なく当該請求を管理者に転送します。
3.4 処理者が、ある指示を適用されるデータ保護法令に違反するものと判断した場合、処理者は遅滞なく管理者に通知します。処理者は、当該指示が管理者によって確認または修正されるまで、関連する指示の実行を停止する権利を有します。
3.5 処理者は、管理者の指示に従ってのみデータを処理できます。ただし、処理者が服する欧州連合または加盟国の法令により、別異の処理を行う義務がある場合(例:法執行機関または国家安全保障当局による捜査)を除きます。このような場合、問題となる法令が重要な公益を理由として当該通知を禁じていない限り、処理者は処理に先立ち、当該法的要件を管理者に通知しなければなりません。管理者の指示は、原則として本DPAの条項により最終的かつ網羅的に定められ、文書化されています。本DPAの条項から逸脱する個別の指示、または追加要件を課す個別の指示には、処理者の同意が必要であり、文書化しなければなりません。その結果、処理者に追加費用が発生した場合は、管理者が負担します。
3.6 処理対象の変更は、双方で合意のうえ文書化します。処理者は、データを他の目的に使用してはならず、特に第三者に当該データを開示する権限を有しません。処理者は、管理者の了承なく、いかなるデータも複製または重複作成してはなりません。
3.7 管理者は、適用されるデータ保護法令に従い、自らの処理活動記録について責任を負います。管理者の要請があった場合、処理者は、当該処理活動記録のために必要な情報を管理者に提供します。処理者は、適用されるデータ保護法令に従い、管理者のために実施するすべての種類の処理活動について記録を保持します。
3.8 処理者は、自己の管理下にありデータにアクセスできる自然人に対し、守秘義務を通知し、当該自然人が管理者の指示の範囲内でのみデータを処理するよう確保します。
4. 管理者の法的義務
4.1 管理者は、データ処理の適法性および当事者間におけるデータ主体の権利保護について、単独で責任を負います。本DPAに従ったデータ処理に基づき第三者から処理者に対して請求がなされた場合、管理者は、処理者からの最初の請求に応じ、当該請求に起因する一切の請求から処理者を補償するものとします。
4.2 管理者は、主契約に従ったサービスの提供に必要なデータを、適時に処理者へ提供する責任を負い、またデータの品質について責任を負います。管理者は、3 Momos - DPA における処理者の結果を確認する過程で、適用されるデータ保護法令または管理者の指示に関して誤りや不整合を発見した場合、直ちに、その内容を完全に処理者へ通知しなければなりません。
4.3 求めがあれば、管理者は、適用されるデータ保護法令に基づく処理活動の記録に必要な情報を、処理者自身が保有していない限り、処理者に提供するものとします。
4.4 処理者が、データ処理に際して政府機関またはその職員若しくは個人に情報を提供すること、またはその他の方法でこれらの機関に協力することを求められる場合、管理者は、最初の請求に応じて、当該情報の提供およびその他の協力義務の履行について処理者を支援する義務を負います。
5. データ処理者の法的義務
5.1 処理者は、データの処理を許可された者が秘密保持義務を負い、または適切な法的守秘義務に服することを確保するものとし、管理者から求められた場合には、その証拠を提示するものとします。
5.2 両当事者は、適用されるデータ保護法に基づくデータ処理原則に関する説明責任について、必要な技術的および組織的措置の実施を含め、その立証および文書化に相互に協力するものとします。必要に応じて、処理者は管理者に対し、関連情報を提供するものとします。
5.3 適用されるデータ保護法により求められる範囲において、処理者はデータ保護責任者を任命し、同責任者は適用されるデータ保護法に従って職務を遂行するものとします。データ保護責任者の連絡先は、管理者が直接連絡を取れるよう提供するものとします。
5.4 処理者は、監督当局による監査および講じられた措置について、または監督当局が処理者に対して照会、調査その他の問い合わせを行った場合には、遅滞なく管理者に通知するものとします。
6. 技術的および組織的措置
6.1 当事者は、本DPAの別紙3(「技術的および組織的安全管理措置」)に定める具体的な技術的および組織的安全管理措置に合意します。別紙3は、本DPAの不可分の一部を構成します。
6.2 技術的および組織的安全管理措置は、技術の進歩に応じて見直されます。この点に関し、受託者は、適用されるデータ保護法および本DPAの定める4 Momos - DPAの規定に従い、代替的でありながら同等に適切な措置を実施することができます。そのような措置に重要な変更がある場合は、文書化します。
6.3 管理者からの要請があった場合、受託者は、要求に応じた適切な証拠を提示することにより、別紙3に定める技術的および組織的安全管理措置への適合を管理者に示すものとします。
7. 支配権
7.1 管理者は、本DPAの規定への遵守状況、特に別紙3に定める技術的・組織的措置の実施状況および有効性について、定期的に確認する権利を有します。このため管理者は、処理者に対して情報の提供を求め、既存の専門家意見、認証、または内部監査の結果を確認し、あるいは通常の営業時間内に実施済みの技術的・組織的措置を検査することができます。
7.2 管理者は、監査の実施に関するすべての事情について、適時に(通常は2週間前までに)処理者へ通知します。管理者は、必要な範囲に限り(通常は各暦年につき1回の監査)かつ処理者の業務運営に十分配慮したうえで、監査を実施します。両当事者は、監査の時期および方法について事前に調整します。
7.3 管理者が第三者に監査の実施を委託する場合、管理者は、本DPAの本条7に基づき処理者に対して負う義務と同様の内容で、当該第三者に対し書面により義務を負わせます。さらに、当該第三者が職業上の守秘義務を負う場合を除き、秘密保持および機密保持の義務も負わせます。処理者の請求があれば、管理者は当該第三者との誓約書を直ちに処理者へ提出します。管理者は、処理者の直接の競合相手に監査の実施を委託してはなりません。
7.4 管理者は、監査結果を文書化し、報告書を処理者と共有します。監査で誤りまたは不備が確認された場合、管理者は遅滞なく処理者に通知します。監査の結果、再発防止のため既存の手順を調整する必要がある状況が判明した場合、管理者は必要な手続上の変更を遅滞なく処理者に通知します。
8. 処理者の通知義務
処理者は、自らの業務に重大な支障が生じた場合、本DPAおよび適用されるデータ保護法令に対する違反の疑いまたは違反、ならびに管理者のデータの処理に関するその他の不備を把握したときは、遅滞なく管理者に通知するものとします。これは特に、適用されるデータ保護法令に基づき、関係当局および影響を受けるデータ主体へデータ漏えいを報告する義務にも適用されます。処理者は、適用されるデータ保護法令に基づくデータ漏えい通知義務の履行にあたり、管理者に対して適切な支援を提供するものとします。処理者は、本DPA第3条に従い事前の指示を受領した後でなければ、管理者に代わりデータ漏えいに関する通知を行うことはできません。
9. データの消去および返却
9.1 本基本契約が終了した場合、または管理者からの要求があった場合、処理者は、遅滞なく、自己に提供されたすべての文書、データおよびデータ媒体を管理者に返却し、または、法令上の保存義務が存在しない場合には、管理者の求めに応じて、これらを完全かつ復元不可能な方法で削除しなければなりません。この義務は、バックアップコピーを含むデータのすべての複製にも適用されます。
9.2 処理者は、本DPAおよび適用法令に従ったデータ処理の証拠となる文書を保管することができます。これらの保管されたデータについては、適用される保存期間の満了後、9.1項に定める義務が同様に適用されます。
9.3 求めがあった場合、処理者は、データが完全に削除されたことを書面により管理者に確認します。9.4 いかなる留置権も認められません。
10. 再委託先
10.1 本DPAの履行のために起用され、かつ当事者間で合意済みの現行の再委託先は、別紙2(「再委託先一覧」)に詳細を記載しています。
10.2 処理者が、データの処理のためにさらに再委託先を起用しようとする場合、処理者は、予定される再委託先の変更または交代について管理者に通知しなければなりません。個別の案件においては、管理者は、各通知を受領した日から14日以内に当該変更に異議を申し立てることができます。この通知期間内に管理者から異議がなかった場合、提案された再委託先は承認されたものとみなされます。通知期間内に管理者が新たな再委託先に対して正当な異議を申し立てた場合、当事者は、6 Momos - DPA のもと、誠実に協力して代替案を見いだすものとします。管理者が双方にとって受け入れ可能な代替案を承認しない場合であって、新たな再委託先の起用なしには本サービスを提供できないときは、処理者は、主契約および本DPAを予告なく解除する権利を有します。
10.3 本条項において、再委託サービスには、処理者が本DPAに基づく履行を支援する付随的サービスとして第三者から購入するサービス、たとえば通信サービスなどは含まれません。
10.4 処理者が再委託先を起用する場合、処理者は、当該再委託先との契約が、管理者と処理者との間で合意されたものと同等のデータ保護水準に適合し、かつ、契約上および法令上の要件のすべてが遵守されるよう確保しなければなりません。とりわけ、データ処理において適切な安全性の水準を確保するための、適切な技術的および組織的措置の使用に関して、これが適用されます。
11. 責任
11.1 本DPAに基づく処理者の責任は、基本契約に定める免責および責任制限に従うものとします。適用あるデータ保護法令における管理者としての義務、または本DPAに対する管理者の責めに帰すべき違反に起因して第三者が処理者に対して請求を行った場合、管理者は、初回の請求に応じて、当該請求につき処理者を補償し、処理者に何らの損害も被らせないものとします。
11.2 処理者は、起用した再処理者の違反についても、管理者に対して責任を負うものとします。
11.3 管理者は、当該罰金の対象となった違反についての管理者の責任部分に対応する範囲で、処理者に科される可能性のあるあらゆる罰金について、処理者からの初回の請求に基づき、処理者を補償することを約束します。
12. 最終条項
12.1 いずれかに矛盾が生じた場合、本DPAの規定は基本契約の規定に優先して適用されます。
12.2 本DPAのいずれかの規定が無効または執行不能と判断された場合でも、残りの規定の有効性には影響しません。
別紙1:データ処理の概要
項目 | 内容 |
|---|---|
取扱いの性質および目的 | 処理者は、主契約および本DPAに従い、本サービスを提供するためにデータを取り扱います。処理者は、以下の目的に限りデータを取り扱うものとします。(i) 主契約に基づく義務を履行するための取扱い、(ii) 主契約の条件に整合する、管理者から提供されるその他合理的な指示に従うための取扱い。 |
データ処理の種類 | 収集、記録、整理、構造化、保存、修正または変更、検索、参照、利用、送信による開示、配布その他の方法による提供、整列または結合、制限、消去または破棄。 |
個人データの種類 | 注文後アンケート送付のための顧客連絡先情報: |
データ主体 | 管理者の最終顧客。 |
データ処理の頻度および期間 | 処理活動の頻度は継続的です。処理者は、主契約の有効期間満了または終了まで、その条件に従ってデータを取り扱います。 |
個人データの保存期間を決定するための基準 | 保存期間の基準は、本DPA第9条に記載されています。 |
再処理者への移転 | 処理者は、本DPA第10条で認められる範囲で、再処理者にデータを移転します。 |
別紙2:再委託先一覧
提供者名 | 住所 | データ処理の目的および内容 | データ処理の実施場所 |
|---|---|---|---|
Amazon Web Services | Amazon Web Services, Inc., 410 Terry Avenue North, Seattle, WA 98109-5210, USA | クラウドホスティング提供事業者 | USA |
Auth0 | Auth0, LLC, 100 First Street, Floor 6, San Francisco, CA 94105, USA | ID認証サービス提供事業者 | USA |
Mixpanel | Mixpanel Inc., One Front Street, 28th Floor, San Francisco, CA 94111, USA | アプリケーション向けプロダクト分析 | USA |
GitHub | GitHub Inc., 88 Colin P Kelly Jr. Street, San Francisco, CA 94107, USA | バージョン管理 | USA |
Databricks | Databricks Inc., 160 Spear Street, 15th Floor, San Francisco, CA, USA | データレイク分析プラットフォーム提供事業者 | USA |
Datadog | Datadog, Inc., 620 8th Avenue, Floor 45, New York, NY 10018, USA | アプリケーションログ管理 | USA |
OpenAI | OpenAI, Inc., 3180 18th Street, San Francisco, CA, USA | 基盤モデル提供事業者 | USA |
Twilio | Twilio Inc., 101 Spear Street, Fifth Floor, San Francisco, CA, USA | SMS送信サービス | USA |
SendGrid | SendGrid, Inc., 801 California Street, Suite 500, Denver, CO 80202, USA | メール送信サービス | USA |
Google Cloud Platform | Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA | プッシュ通知向けクラウドメッセージング提供事業者およびGitHub runner向けコンピューティング提供事業者 | USA |
Drata | Drata Inc., 4660 La Jolla Village Drive, San Diego, CA, USA | コンプライアンス管理プラットフォーム | USA |
![](data:image/svg+xml,<svg display="block" role="presentation" viewBox="0 0 183 100" xmlns="http://www.w3.org/2000/svg"><path d="M 152.452 37.349 C 136.442 20.842 115.98 6.325 93.049 1.892 C 86.081 0.534 76.773 0.163 71.407 5.736 C 64.565 13.035 70.499 30.487 81.481 29.6 C 87.433 29.072 89.698 22.162 87.042 17.439 C 85.631 14.617 83.027 12.629 80.168 11.079 C 56.02 -2.764 23.38 -4.862 0 11.844" fill="transparent" height="37.34868528749147px" id="rGpqSnR8J" stroke-dasharray="" stroke-linecap="round" stroke-linejoin="round" stroke-width="4.97" stroke="rgb(0, 0, 0)" transform="translate(3.219 19.212)" width="152.45224485148515px"/><path d="M 0 11.619 C 7.071 11.39 33.491 21.738 40.35 21.268 C 38.499 18.19 37.116 14.915 35.507 11.625 C 33.7 7.867 32.587 3.926 31.702 0" fill="transparent" height="21.28391189647101px" id="I9fuJaf7q" stroke-dasharray="" stroke-linecap="round" stroke-linejoin="round" stroke-width="4.97" stroke="rgb(0, 0, 0)" transform="translate(139.727 55.754)" width="40.34950693069311px"/></svg>)
