1. はじめに
本データ保護補足契約(「補足契約」)は、オーストラリア・ニューサウスウェールズ州に登記するPortant PTY LTD.(「Portant」)と、顧客がPortantの提供するサービスの利用登録を正式に完了した日を開始日として、顧客との間で合意されるものです。本補足契約は、Portantと顧客との間でPortantのサービス提供に関して締結された契約(「利用規約」)に基づき、Portantによる顧客個人データの取り扱いを規定します。
2. 用語の定義
本附属書において、以下の定義が適用されます。本附属書において定義されていない大文字の用語は、利用規約において付与された意味を有するものとします。
2.1. 「関連事業体」とは、参照元の事業体を直接または間接的に支配する、参照元の事業体に支配される、もしくは参照元の事業体と共通の支配下にある事業体を指します。ここで「支配」とは、議決権付株式の所有、契約、またはその他の手段を通じて、参照元の事業体の経営を指導または影響する権限を意味します。
2.2. 「CCPA」とは、改正を含む2018年カリフォルニア州消費者プライバシー法(California Consumer Privacy Act of 2018)を指します。
2.3. 「顧客個人データ」とは、個人データに該当する顧客データ(利用規約に定義されるもの)を包含します。本補足契約において、顧客個人データには、Portantと直接の業務上のやり取りに従事する顧客の従業員または代表者の個人情報は含まれません。
2.4. 「プライバシー法令」とは、各当事者について、個人データの取り扱いに適用されるすべてのプライバシー、データ保護、および情報セキュリティに関する法律・規制を指し、適用される場合にはEUプライバシー法令およびCCPAを含みます。
2.5. 「データ個人」とは、個人データが関係する、識別された、または識別可能な自然人を指します。
2.6. 「EUプライバシー法令」とは、欧州連合規則2016/679(「GDPR」)およびGDPRを実施する各国法(改正を含む)を指します。
2.7. 「処理」とは、個人データまたは個人データの集合に対して、自動的手段の有無を問わず実行される、収集、記録、整理、構造化、保存、適応、検索、参照、使用、送信による開示、普及、整合、結合、制限、消去、または破棄などの、あらゆる操作または一連の操作を指します。
2.8. 「個人データ」とは、プライバシー法令により定義および規制される「個人データ」、「個人情報」、「個人を特定できる情報」、またはこれらに類する情報を指します。
2.9. 「セキュリティ事象」とは、Portantが処理する個人データの偶発的もしくは不法な破壊、喪失、改変、無断開示、またはアクセスをもたらす、確認済みの不正または違法なセキュリティ侵害を指します。セキュリティ事象には、個人データのセキュリティを損なわない失敗した試みや活動(ログイン試行の失敗、ping、ポートスキャン、サービス拒否攻撃、ファイアウォールやネットワークシステムへのその他の攻撃など)は含まれません。
2.10. 「サブプロセッサー」とは、Portantまたはその関連事業体が顧客個人データの処理を授権した第三者を指します。
2.11. 「外部サブプロセッサー」とは、Portantに関連しないサブプロセッサーを指します。
2.12. 「EU-US データプライバシーフレームワーク(DPF)」とは、2023年7月10日に発効した、EUから米国の認定組織への個人データ移転を許可するために欧州委員会が採択したフレームワークです。
3. 一般規定および終了
3.1. 本附属書は利用規約の不可分の一部を構成します。本附属書に明示的な記載がない限り、利用規約は変更されることなく完全な効力を有します。本附属書と利用規約の間に矛盾が生じた場合は、本附属書が優先されます。
3.2. 本附属書に基づき発生した責任は、利用規約に定める責任制限の適用を受けます。
3.3. 本附属書の準拠法および解釈は、プライバシー法令が別途要求しない限り、利用規約における準拠法および管轄に関する規定に従います。
3.4. 本附属書は、利用規約の終了または満了と同時に自動的に終了します。
4. 本補足契約の適用範囲
本補足契約は、利用規約に基づくPortantによる顧客個人データの処理を規定します。ただし、本附属書の附属書A(EU附属書)はEUプライバシー法令が適用される顧客個人データの処理にのみ適用され、附属書B(カリフォルニア州附属書)はCCPAが適用される顧客個人データの処理にのみ適用されます。
5. 処理の役割および範囲
5.1. Portantは、顧客の指示に従ってのみ顧客データを処理します。顧客は利用規約に合意することにより、Portantに対し、サービスの提供のために、また本附属書の目的における指示として書面によりPortantが承認したその他の書面による指示に従って、顧客データを処理するよう指示します。顧客は、当該指示によりPortantが(a)利用規約に基づく責任を果たし権利を行使するため、および(b)法的義務を遵守し、利用規約に関連する法的請求を設定、行使、または防御するために、顧客データを処理することを授権する旨を認識し、同意します。
5.2. 明確にするために付言しますと、本附属書のいかなる規定も、顧客がサービスを通じて指示した通りに、Portantがソースおよびデスティネーションとの間で顧客データを送受信することを制限するものではありません。両当事者は、ソースおよびデスティネーションはいずれもPortantのサブプロセッサーではなく、当事者間において、ソースおよびデスティネーション、またはこれらに関連する当事者による顧客個人データの処理、ならびにその他の作為・不作為に関する責任は、顧客のみが単独で負うことに合意します。
6. サブ処理
6.1. 顧客は、Portantがその関連事業体をサブプロセッサーとして利用することを明示的に許可し、また顧客個人データの処理のために外部サブプロセッサーを関与させることを概括的に承認します。Portantは:
6.1.1. 各サブプロセッサーとの間で、本附属書に定めるものと実質的に同等のデータ保護義務を課す書面による契約を締結するものとします。また、
6.1.2. 本附属書に基づく義務の遵守について引き続き責任を負い、サブプロセッサーの作為または不作為によりPortantが本附属書に基づくいずれかの義務に違反した場合についても責任を負うものとします。
6.2. 新たな外部副処理者を起用する際、PortantはSubprocessor Pageの更新またはお客様のPortant Workspace内のメッセージを通じて、当該起用についてお客様に通知します。Portantは、新たな副処理者がお客様の個人データを処理する少なくとも10暦日前に通知を行います。ただし、お客様の個人データの機密性、完全性、または可用性の保護、あるいはサービスへの重大な支障の回避のために新たな副処理者の迅速な起用が必要であるとPortantが合理的に判断した場合はこの限りではありません。かかる場合、Portantは実行可能な限り速やかに通知を行います。お客様が、当該通知から5暦日以内に、正当なデータ保護上の懸念を理由として新たな外部副処理者の選定に対する異議をPortantに書面で通知した場合、両当事者はかかる懸念およびその解決策について友好的に協議します。かかる懸念の解決に関する合意が得られない場合、お客様は、唯一かつ排他的な救済手段として、利便性を理由に利用規約を解約することができます。
7. セキュリティ
7.1. Portantは、PortantのPrivacy and Security pageに定めるセキュリティ基準に従い、セキュリティインシデントからお客様の個人データを保護し、その機密性およびセキュリティを確保することを目的とした技術的および組織的な保護措置を確立し、維持します。
7.2. お客様は、Portantが提供するデータセキュリティに関する情報を確認し、サービスがデータ保護法に基づくお客様の要件および法的義務に適合するかどうかを独自に判断する責任を負います。お客様は、継続的な改善または進化する慣行への適応を目的として、合理的な通知のうえでセキュリティ対策が定期的に改訂される場合があることを認めます。ただし、かかる変更が発効日時点に定められたPortantの義務を実質的に低下させないことを条件とします。
7.3. セキュリティインシデントが確認された場合、Portantは、適用法による制限がない限り、速やかにお客様に通知します。法執行機関による通知の遅延、またはPortantが必要な調査もしくは是正措置を行うための遅延は、不当な遅延とはみなされません。通知には、可能な範囲で、セキュリティインシデントの詳細、潜在的なリスクを軽減するために講じた措置、およびお客様への推奨事項が記載されます。Portantが本第7条に基づく義務を履行する一方で、セキュリティインシデントの通知に関する適用法の遵守およびサードパーティへの通知義務については、お客様が単独で責任を負います。本第7条に基づくセキュリティインシデントへのPortantの対応は、当該セキュリティインシデントに関する過失または責任の承認とはみなされません。
7.4. お客様は、本第7条に基づくPortantの義務にかかわらず、お客様がサービスの利用について単独で責任を負うことに同意します。これには、(a) お客様データに関するリスクに見合ったセキュリティレベルを維持するためにサービスを利用すること、(b) サービスへのアクセスに使用するアカウント認証情報、システム、およびデバイスを保護すること、(c) サービスと接続するお客様のシステムおよびデバイスを保護すること、(d) お客様データの独自バックアップを実施することが含まれます。
8. データ主体からの要求
Portantは、お客様の要求に応じて(お客様の費用負担により)、お客様がサービスのセルフサービス機能では合理的に対応できない、データへのアクセス、訂正、消去、制限、ポータビリティ、異議申し立て等の個人の権利に関する要求に対するデータ保護法上の義務を履行するために必要な支援を提供します。Portantがデータ主体からお客様の個人データに関する要求を受けた場合、Portantはそのデータ主体に対してお客様へ要求を提出するよう案内し、かかる要求への対応はお客様が責任を負います。
9. データの返還または削除
9.1. 利用規約の終了または満了後にお客様から要求があった場合、Portantは60暦日以内にPortantのシステムからすべてのお客様の個人データを削除します。
9.2. 上記にかかわらず、お客様は、法律により義務付けられる場合にPortantがお客様の個人データを保持することがあることを理解し、かかるデータは引き続き本補足契約の規定に従って管理されます。
Annex A - EU Annex
1. 定義、データ処理
1.1. 定義。本Annex Aの範囲において、「controller」、「processor」、および「supervisory authority」はEUデータ保護法に定める意味を有します。「Standard Contractual Clauses」とは、お客様のPortant Workspace内に提供されるStandard Contractual Clauses (SCC)に基づき欧州委員会が承認した処理者向け標準契約条項を指します。「data importer」および「data exporter」はStandard Contractual Clausesに定める意味を有します。
1.2.処理の対象および詳細。両当事者は、以下を確認し同意します。(a) 利用規約に基づく処理の対象はPortantによるサービスの提供であること、(b) 処理の期間はPortantがお客様の個人データを受領した時点から、契約に従いPortantがすべてのお客様の個人データを削除するまでであること、(c) 処理の性質および目的はサービスの提供であること、(d) 処理のデータ主体はお客様のクライアント、エンドユーザー、またはお客様の個人データに関連するその他の個人であること、(e) お客様の個人データのカテゴリーは、契約に基づきお客様がサービスへの取り込みを承認したものであること。
1.3.役割および法令遵守、承認。両当事者は、以下を確認し同意します。(a) PortantはEUデータ保護法に基づくお客様の個人データの処理者として機能すること、(b) お客様はEUデータ保護法に基づくお客様の個人データの管理者であること、(c) 各当事者はお客様の個人データの処理に関してEUデータ保護法に基づくそれぞれの義務を遵守すること。利用データ(契約に定義)がいずれかの範囲で個人データとみなされる場合、Portantは当該データの管理者となり、Privacy Policyに従って当該データを処理します。
1.4.Portantによる指示への準拠。Portantは、EUデータ保護法が別途求める場合を除き、本補足契約におけるお客様の指示に従ってのみお客様の個人データを処理します。EUデータ保護法が別途求める場合、Portantはお客様にその旨を通知します(当該法律がPortantによる通知を禁じている場合を除きます)。
2. データセキュリティ
2.1. Portantのセキュリティ対策、管理、および支援2.1.1. Portantは(お客様の個人データの処理の性質およびPortantが利用可能な情報を考慮したうえで)、(a) セキュリティ対策の実施および維持、(b) 本補足契約第7条の条件の遵守、(c) 本Annex A の遵守により、GDPRの第32条から第34条(いずれも含む)を含むEUデータ保護法に基づくお客様の個人データに関する義務の遵守について、お客様に必要な支援を提供します。2.1.2. Portantは、適切な機密保持義務のもと、業務上必要とする担当者にのみお客様の個人データへのアクセスを許可します。お客様の従業員が、個人データを構成する利用データに関してEUデータ保護法に基づく権利(データへのアクセス、訂正、消去、制限、ポータビリティ、異議申し立て等の権利)を行使しようとする場合、お客様はPortantに速やかに通知し、当該従業員がcontact@portant.coを通じてPortantに直接連絡するよう案内することを約束します。
2.2.監査およびコンプライアンスレビュー。適用されるデータ保護法がお客様にPortantによるお客様の個人データの処理を監査する権利を付与する場合、お客様はかかる監査権を行使し、Portantは以下に定めるとおり対応する義務を履行します。
2.2.1. Portantは、本補足契約に基づくお客様の個人データの処理に関する適切な情報を、Portantの最新の監査報告書(「第三者報告書」)の形式でお客様に提供するものとします。
2.2.2. 暦年につき1回を超えない範囲で、かつお客様の費用負担のもと、お客様はセキュリティおよび監査に関するアンケートを含む合理的な情報提供依頼を提出することにより、本補足契約に基づく義務への準拠状況について、Portantによるお客様の個人データの処理を監査することができます。要求された情報が本補足契約に対するPortantの準拠を確認するために不可欠である場合、Portantは書面による回答を提供します。ただし、お客様の依頼に先立つ12か月以内に発行された第三者報告書が当該依頼に係る情報を対象としており、かつPortantがお客様の依頼に関連する重要な変更が生じていないことを確認した場合、お客様は書面による回答の代わりに当該第三者報告書を受け入れることに同意するものとします。本第2条bに基づきPortantが共有する情報は、本契約上のPortantの機密情報とみなされます。
2.2.3. 本第2条bに基づく監査の実施のために第三者が起用される場合、Portantは、当該監査人が独立性を欠くと合理的に判断される場合、Portantの競合他社である場合、またはその他資格を有しないと判断される場合に、当該監査人に対して異議を申し立てる権利を留保します。Portantによるかかる異議申し立てが行われた場合、お客様は別の監査人を指定するか、または監査を内部で実施するものとします。
2.2.4. お客様は、監査において特定された不準拠事項をPortantに速やかに通知し、EUデータ保護法により禁止されている場合または監督当局からの指示がある場合を除き、本第2条bに基づく監査に関連して作成された監査報告書をPortantに提供するものとします。お客様は、監査報告書を、自らの規制上の監査義務を果たすこと、およびPortantによるお客様の個人データの処理が本補足契約に準拠していることを確認する目的にのみ使用することができます。
2.2.5. お客様は、本第2条bに基づく監査に関してPortantまたはそのSubprocessorsが費やした時間について、Portantの現行のプロフェッショナルサービス料率(お客様の依頼に応じて開示されます)に基づきPortantに補償するものとします。お客様は、かかる監査を実施するためにお客様が任命した監査人に発生する費用を負担するものとします。本補足契約のいかなる規定も、Portantに対し、かかる監査において第三者Subprocessorsが通常その顧客に開示する情報を超える情報の共有を義務付けるものではありません。本第2条bのいかなる規定も、Portantに対していかなる機密保持義務への違反を求めるものではありません。
3. 影響評価および協議
Portantは、処理の性質およびPortantが利用可能な情報を考慮した上で、(a)Portantの情報セキュリティ体制およびそこで実施されているセキュリティ対策の関連する側面を概説する文書を提供すること、ならびに(b)本補足契約を含む本契約に含まれるその他の情報を提供することにより、GDPRの第35条および第36条に基づくお客様の義務の履行をお客様が合理的に対応できるよう支援することができます。
4. データ移転
4.1.データ処理施設。第4条bを条件として、Portantは、米国またはPortantもしくはそのSubprocessorsが施設を有するいかなる場所においても、お客様の個人データを保存および処理することができます。本第4条におけるPortantの義務に従い、お客様はEUデータ保護法により課される国境を越えたデータ移転制限に対して、自らのサービス利用が準拠していることを確保する責任を負います。
4.2.標準契約条項。EUに設立されているお客様が、欧州委員会により十分なデータ保護水準を有するとは認められていない国のPortantにEU域外へお客様の個人データを移転する場合であって、EU-US Privacy Shieldが EU-US Data Privacy Framework(DPF)に置き換えられており、かつその他の適法な移転根拠が存在しない場合、当該移転は標準契約条項に従って行われるものとし、その条件は本DPAに統合されます。上記に整合して、両当事者は以下に合意します。
4.2.1. 標準契約条項に関して、(a)お客様はデータ輸出者として行動し、(b)Portantはデータ輸入者として行動するものとします。
注:Portantはオーストラリアに本社を置いていますが、そのインフラは米国でホストされています。2023年7月10日、欧州委員会はEU-US Data Privacy Framework(DPF)に関する十分性認定を採択し、EUから DPF の下で認証を受けた米国の組織へのデータ移転を許可しました。Portantは、適法な国際データ移転を確保するため、DPF に基づく認証、または必要に応じて標準契約条項を根拠として利用しています。
4.2.2. 標準契約条項の附属書1については、データ主体、データカテゴリー、および処理業務は本附属書Aの第1条bに定めるとおりとします。
4.2.3. 標準契約条項の附属書2については、技術的および組織的措置はセキュリティ措置とします。
4.2.4. 標準契約条項に基づくデータ輸出者の要求に応じて、データ輸入者は、標準契約条項の第5条(j)に従いデータ輸入者からデータ輸出者に送付されなければならないSubprocessor契約書の写しを提供するものとします。ただし、データ輸入者はその前に、商業上の情報または標準契約条項もしくはその同等物と無関係な条項を省略または墨消しすることができます。
4.2.5. 標準契約条項の第5条(f)および第12条(2)に規定される監査は、本附属書Aの第2条bに従って実施されるものとします。
4.2.6. 本補足契約の第6条(Subprocessing)に基づくお客様の承認は、標準契約条項の第5条(h)に基づくかかる同意が必要とされる場合、Portantによるお客様の個人データの処理の再委託に対するお客様の事前書面による同意を意味するものとします。
4.2.7. 標準契約条項の第12条(1)に規定されるお客様の個人データの削除に関する証明は、お客様の要求がある場合にのみ提供されるものとします。また、
4.2.8. 標準契約条項は、これらに基づいて管理されるお客様の個人データの移転が、その他の根拠に基づく標準契約条項を必要とすることなく、GDPRの第V章に基づいて適法となった時点で自動的に失効します。
附属書B - カリフォルニア附属書
1. 本附属書Bの目的のために、「business」、「commercial purpose」、「service provider」、「sell」、および「personal information」という用語は、CCPAに規定された意味を有します。
2. お客様の個人データに関して、PortantはCCPAのもとでサービスプロバイダーとして行動します。
3. Portantは、(a)お客様の個人データを販売すること、(b)サービスの提供という特定の目的以外の目的でお客様の個人データを保持、使用、または開示すること(サービスの提供以外の商業目的でお客様の個人データを保持、使用、または開示することを含みます)、または(c)Portantとお客様の直接的なビジネス関係の外でお客様の個人データを保持、使用、または開示することを行わないものとします。
4. 両当事者は、本補足契約の第5条に定めるお客様の指示に従ったお客様の個人データの処理が、Portantによるサービスの提供および両当事者間の直接的なビジネス関係の根本をなし、かつその範囲内にあることを認識し、合意します。
5. 利用規約またはそれに関連する注文書のいかなる規定にかかわらず、両当事者は、Portantによるお客様の個人データへのアクセスが、利用規約に関して両当事者間で交わされる対価の一部とはみなされないことを認識し、合意します。
6. 利用規約に定義される利用データが個人データとみなされる範囲において、Portantは当該データに関してビジネスエンティティとなり、当該データを以下からアクセス可能なプライバシーポリシーに従って処理するものとします。プライバシーポリシー
附属書C - UK附属書
1. データ主体アクセス要求
1.1 Portant は、UK GDPR 第15条に従い、データ主体アクセス要求(DSAR)への対応においてお客様を支援するものとします。この目的のため、Portant は以下を行うものとします。
- お客様に代わって Portant が処理した個人データを含む、DSAR への対応に必要なすべての情報をお客様に提供すること。
- データ主体の本人確認においてお客様を支援すること。
- お客様の指示に従い、お客様がデータ主体の個人データにアクセスできるようにすること、または当該データを別の管理者に移送できるようにすること。
- UK GDPR 第15条のその他の要件の遵守においてお客様を支援すること。
1.2 DSAR への対応における Portant の支援に関するすべての費用は、お客様が負担するものとします。
2. データ主体削除要求
2.1 Portant は、UK GDPR 第17条に従い、データ主体削除要求(DSDR)への対応においてお客様を支援するものとします。この目的のため、Portant は以下を行うものとします。
- 法令により保持が義務付けられている場合を除き、お客様に代わって Portant が処理したデータ主体のすべての個人データを削除すること。
- データ主体の個人データが削除されたことの確認をお客様に提供すること。
2.2 DSDR への対応における Portant の支援に関するすべての費用は、お客様が負担するものとします。
3. データ侵害
3.1 Portant は、お客様の個人データに影響を与える個人データ侵害を認識してから72時間以内に、お客様へ通知するものとします。
3.2 Portant は、個人データ侵害の調査および是正においてお客様に協力するものとします。
3.3 個人データ侵害の調査および是正における Portant の協力に関するすべての費用は、お客様が負担するものとします。
お客様の組織が署名済みバージョンを必要とする場合は、以下でご確認のうえ署名いただけます(Powered by Portant)。