一般データ保護規則条件
本一般データ保護規則条件(以下、「本条件」といいます)において、エンタープライズクラウドサービス(以下、「本サービス」といいます)の提供における契約者および当社の間で行われるデータ処理に関して、両当事者の義務を定めます。なお、本条件は、契約者が個人データの管理者であり、当社が処理者の場合に適用されるものとします。
第1章. 定義
本条件において使用される以下の用語は、以下に定める意味を有します。なお、エンタープライズクラウドサービス利用規約において定義され、使用されているすべての用語は、別段の定めがない限り、本条件において同様の意味を有します。
「関連会社」とは、ある事業体との関係で、当該事業体に支配されるか、当該事業体を支配するか、当該事業体と共通の支配下にある他の事業体をいいます。
「当社設備」とは、本サービス提供のために当社により所有、リース、または提供される設備をいいます。
「支配」とは、ある事業体の経営及び方針を、議決権又は契約等により、指示する権能をいいます。
「(データ)管理者」とは、単独でまたは共同して個人データの処理の目的および手段を決定する者をいいます。
「標準契約条項(処理者)」 とは、欧州委員会のDecision C (2010)593に基づき欧州委員会が採択したStandard Contractual Clauses(随時更新される。)をいいます。
「契約者データ」とは、当社が提供・管理するソフトウェアまたはシステムにより本サービスの一部として提供する当社の設備上に契約者が保管するデータをいいます。
「データ保護影響評価(Data Protection Impact Assessments)」および「データ主体(Data Subject)」とは、GDPRに定める意味を有します。
「データ保護法」とは、GDPRを含む欧州連合または加盟国の個人情報の保護に関する法令をいいます。
「EEA」とは、欧州経済領域をいいます。
「エンドユーザ」とは、契約者を通じて本サービスを使用するか、契約者に対して提供された本サービスにアクセスする者をいいます。
「GDPR」とは、個人情報の処理とデータの自由な移転に関して個人を保護する目的で2016年4月27日に欧州議会および作業部会により制定された規則(EU)2016/679であり、EUデータ保護指令(95/46/EC)を引き継ぐものをいいます。
「個人データ」とは、名前、職務、肩書、連絡先(emailアドレス及び住所を含む。)などの識別子を参照することによって直接的または間接的に特定することができる、識別された、または識別され得る自然人に関する全ての情報をいいます。
「プライバシーシールド」とは、米国商務省および欧州委員会によって制定されたプライバシーシールド原則および補則を含む欧州連合-米国間のプライバシーシールドに関する枠組みをいいます。
「処理」または「処理する」とは、取得、記録、編集、構造化、保存、修正または変更、復旧、参照、利用、移転による開示、周知またはその他周知を可能なものにすること、整列または結合、制限、消去または破壊することなど、自動的な手段であるか否かにかかわらず、個人データまたは個人データの集合に対して行われるあらゆる作業または一連の作業をいいます。
「(データ)処理者」とは、管理者のために、個人データを処理する者をいいます。
「セキュリティインシデント」とは、当社が保持する暗号化されていない個人データの不適切または不正な取得を誘発し、個人データのセキュリティまたは機密性を危険にさらす可能性が高いインシデントをいいます。
「再委託先」とは、当社が個人データの処理を委託する、当社の直接支配下にない他の処理者をいいます。
「移転措置」とは、プライバシーシールド、標準契約条項、および欧州委員会によって個人データ保護の十分性認定を受けていない国への個人データの移転を可能にする全ての移転措置をいいます。
第2章. 当社が行う個人データの処理に関する条件
1.処理の目的
当社は本条件に基づき個人データを処理する場合、データ保護法を遵守するものします。当社は、本契約に定められた当社設備の利用、ヘルプデスク、メンテナンスサービスの提供を含む本サービスの提供に必要な範囲で契約者の指示によってのみ、個人データを処理するものとします。当社は契約者が提供する個人データの内容を把握しておりません。
2.当社のデータ保護義務
2.1 データ処理者として、当社は以下の義務を遵守します;
2.1.1 契約者からの書面による指示(書面によるか電磁的方法によるかを問いません。)に基づいてのみ個人データを処理または移転します。
2.1.2 契約者に要求された場合、データ保護法に定められた契約者自身が負う以下の義務を果たすために十分な支援を行います
(i)処理のセキュリティを確保するために必要な技術的組織的安全管理措置を行うこと。
(ii)求められた場合、個人データの違反に関する当局への通知、及び個人データに関係するデータ主体への通知を行うこと。
(iii)データ保護影響評価を行い、当局へ報告すること。
契約者は当社が上記を実施するためにかかる合理的な費用を負担するものとします。
2.2 当社は、従業員または代理人またはその他個人データを処理するものが、機密を遵守し、機密情報に関する適切な法令義務を負うことを保証します。
2.3 本契約における個人データの処理の性質を考慮し、当社は可能な限り適切な技術的組織的安全管理措置により、契約者がデータ保護法における権利を行使するデータ主体の要求にこたえるための支援を行うものとします。契約者は支援にかかる合理的な費用を負担するものとします。
3. 当社のデータセキュリティに関する義務
3.1 当社は個人データの処理において、生じうるリスク(偶発的または違法な破壊、毀損、改ざん、転送・保管・処理される個人情報の不正な開示またはアクセス)に見合った適切な技術的組織的対策を実施コストやサービスの本質を考慮した上で実施します。技術的組織的対策には以下の内容を含みます。
3.1.1 必要かつ適切な場合、個人データの仮名化及び暗号化
3.1.2 現行の機密性、完全性、可用性並びに当社設備及び本サービスの復旧を確実にする能力。
3.1.3 物理的又は技術的事故の場合に時宜を得た方法で可用性を復旧し、個人データにアクセスする能力。
3.1.4 取扱いの安全を確実にするため技術的組織的対策の効果を定期的に点検、審査及び評価するプロセス。
3.1.5 その他、データ保護法を順守するために必要な措置。
3.2 当社は個人データに関するセキュリティインシデントを把握した場合すみやかに契約者に通知を行います。
4. 契約終了時の個人データの取扱い
本規約たは法令等において定めがない限り、本サービスの終了に伴い、当社が保管する個人データを削除します。
5. 個人データのEEA域外移転
本章第5条および第6条3項は個人データのEEA域外への保管・EEA域外からのアクセスがある場合に適用されます。
本章第6条に関わらず、当社は有効な移転措置がある場合は、欧州委員会が保護に関して十分なレベルを保証している旨を決定していないEEA域外の国へ個人データを移転することができます。他の有効な移転措置が適用されない限り、かかる移転はデータ輸出者である契約者(契約者が処理者となる場合も含みます。)と合意した標準契約条項(処理者)(URL記載)に基づいて行われます。
6. 再委託先の利用
6.1 当社が個人データを取り扱う再委託先を追加することに対し、契約者は合意するとともに、必要に応じてエンドユーザーの合意を取得します。当社はすべての再委託先のリストを維持し、当社のサービスサイト(http://eclkc-lab3ec.gcv-cloud.com)で開示します。当社は新しい再委託先を追加する予定がある場合には、当社のサービスサイトに新しい再委託先との契約の有効日を示します。契約者はリストを定期的に確認し、新しい再委託先の追加に関して異議がある場合、適切な期間内(遅くともリストの最終更新日から30日以内)に、サービス提供に関わる新しい再委託先が個人データの保護または個人データ保護の要求を遵守する能力に関して、正当な理由がある場合に異議を唱えることができます。異議が合理的な理由に基づく場合は、契約者及び当社は異議に関する解決に向けて誠意をもって協議を行います。
6.2 当社は個人データの処理に関し、個人データを処理する再委託先と書面による契約またはEEAの法律に基づいた手段を有していることを保証します。当該契約またはかかる手段は、本条件の第2章に定められた処理者に課せられるデータ保護に関する義務と同等の条件を再委託先に課すものとし、再委託先が適切な技術的組織的安全措置を講じることを保証します。
6.3 当社が本サービス及び本規約基づきストレージ、ヘルプデスク、メンテナンスサービス、またはその他のサービスを提供するために再委託先を利用する場合で、その再委託先が欧州委員会が保護に関して十分なレベルの保証をしている旨を決定していないEEA域外の地域に位置する場合、契約者(契約者自身または管理者である契約者の関連会社、エンドユーザまたは顧客)は、本章第5条に定める標準契約条項(処理者)におけるデータ輸出者である契約者(契約者自身または管理者である契約者の関連会社、エンドユーザ、または顧客)の代理人として、当社が当該委託先と標準契約条項(処理者)を締結することに合意します。
7 監査と情報
7.1 契約者は当社及び関連会社、またはそのいずれか一方(または、当社及び関連会社、またはそのいずれか一方が選んだ第三者監査人)に、当社がGDPR第28条に定められた当社の義務を遵守していることを証明するための監査を実施することを委任します。契約者の求めに応じて、当社及び関連会社は、監査を実施したことを書面により(当社または第三者を通して)証明します。かかる監査は本章第3条に定めた技術的組織的安全措置の検査を含みます。
7.2 契約者は監査に関する全ての費用を負担するものとします。
7.3 当社は、契約者に代わって行った処理について以下の項目を含む記録(書面によるか電磁的方法によるかを問いません)を保持します;
7.3.1 当社と契約者の氏名および連絡先情報、(選任されている場合には)データ保護責任者
7.3.2 (該当する場合には)個人データの第三国への移転情報
7.3.3 可能であれば、処理のセキュリティを担保するための技術的組織的安全管理措置の概要
8 損害賠償
8.1 契約者は、全てのデータ保護法に準拠し、関連会社及び顧客から、本条件に定める必要な許可及び委任(当社が本章第6.3条に定める再委託先と締結する標準契約条項(処理者)に署名することを含みます)に関する権限を受けていることを保証します。
8.2 当社は本章に定める義務を遂行するため合理的な努力をします。当社は契約者が被った損害について以下の場合を除き責任を負わないものとします;
(i)個人データの処理における当社の故意・重過失による場合
(ii)契約者の合法的な指示に基づかない、または反する行為によって当社がデータ保護法に違反した場合
(iii)その他法令上、除外することのできない責任
第3章 一般条項
1.契約者の責任
契約者が本条件またはデータ保護法に違反したことに起因して発生した第三者(データ主体及び監督当局を含みます。)からのクレームに関しては、契約者が責任を負うものとし、当社に対して補償し、当社が損害を被らないよう保護するものとします。
2.期間と契約終了
本条件は本サービス提供期間と同じ期間有効です。
3 準拠法
3.1 本条件は日本法に準拠します。
3.2 契約者及び当社は、本条件に関して生じた全ての紛争は専属的な管轄権を有する東京地方裁判所に付すことにします。