データ処理契約書
Data Processing Agreement

本データ処理契約は、LANSCOPE エンドポイントマネージャー クラウド版(体験版のサービスを含み、以下「本サービス」という)の利用規約(以下「サービス契約」という)を補完し、利用者による本サービスの利用における個人データの処理に関連した利用者とエムオーテックス株式会社(以下「MOTEX」という)との間の合意の一部を形成するものである。

This Data Processing Agreement (“DPA”) complements and forms part of the terms of use (“the Service Agreement”) for the LANSCOPE Endpoint Manager Cloud services (including the trial version service, “Services”) and forms part of the Service Agreement between User and MOTEX Inc. (“MOTEX”) (each “Party”, collectively “Parties”) regarding the processing of Personal Data in the context of User’s use of the Service.

1.本データ処理契約の内容

  • 1.1.「データ保護及びプライバシー法」とは、データ保護及びプライバシーに関する、次を含む、本サービスに適用される全ての法令をいう。
    • (a)一般データ保護規則(「General Data Protection Regulation」、以下「GDPR」という)及び/又は関連する欧州経済領域(EEA)の加盟国における法令
    • (b)個人情報の保護に関する法律
    • (c)カリフォルニア州消費者プライバシー法(「California Consumer Privacy Act」)およびその規則(以下総称して「CCPA」という)
    • (d)その他の本データ処理契約の当事者に適用可能な個人データの処理を規律する、現在施行され又は将来施行される他のいかなる法令(セキュリティ侵害、なりすまし、及び個人データの権限のない開示に関連するものを含む。)
    「個人データ」、「処理」、「データ管理者」、「データ処理者」、「データ主体」を含むその他の用語は、GDPR、又は、その他のデータ保護及びプライバシー法、及びサービス契約の定義の意味を有する。
  • 1.2.本データ処理契約は、データ保護及びプライバシー法に基づく個人データの処理にのみ適用される。
  • 1.3.本データ処理契約は、サービス契約の履行過程において、データ処理者が、データ管理者に代わって、データ保護及びプライバシー法の適用対象となる個人データを処理する場合、本データ処理契約の条項が適用される。個人データの種類、データ主体の種類及び個人データが処理される目的の概要は、附属書2に記載のとおりである。

1.Subject matter of this DPA

  • 1.1.Data Protection and Privacy Laws mean any and all laws on data protection and privacy applicable to processing of Personal Data in providing the Services, including Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 (General Data Protection Regulation (“GDPR”)), Act on the Protection of Personal Information of Japan, the California Consumer Privacy Act and its regulations, as amended (collectively “CCPA”) and other applicable laws both currently and in future which regulate processing of Personal Data of the Parties of this DPA (including laws on data breach, identity theft and unauthorised disclosure of Personal Data. Other terms used in this DPA that have meanings ascribed to them in the Data Protection and Privacy Laws, including but not limited to “Personal Data”, “Processing”, “Data Controller” “Data Processor” and “Data subject” shall carry the meanings set forth under GDPR or other Data Protection and Privacy Laws and the Service Agreement.
  • 1.2.This DPA applies to the Processing of Personal Data subject to Data Protection and Privacy Laws
  • 1.3.Insofar as the Data Processor will be processing Personal Data subject to Data Protection and Privacy Laws on behalf of the Data Controller in the course of the performance of the Terms of Use with the Data Controller, the terms of this DPA shall apply. An overview of the categories of Personal Data, the categories of Data Subjects, and the nature and purposes for which the Personal Data are being processed is provided in Annex 2.

2.データ管理者とデータ処理者

  • 2.1.利用者とMOTEXは、利用者がデータ管理者であり、サービス契約及び本データ処理契約に基づきMOTEXが提供する本サービスに従事し、利用者の代わりに個人データを処理する点において、MOTEXがデータ処理者(CCPAが適用される場合はサービスプロバイダ―を意味する。以下同じ。)であることを確認する。データ管理者は、サービス契約に規定されていない限りにおいて、データ処理者による個人データの処理の範囲、目的及び方法を決定するものとし、データ処理者はデータ管理者の指示(本項に基づく指示は、サービス契約及び本データ処理契約に記載されている特定の指示又は一般的な性質の指示、又は、その他本データ処理契約期間中、データ管理者がデータ処理者に対して行う書面による指示)のみに従って本サービスに関連して個人データを処理するものとし、データ管理者が決定した範囲及び目的以外で個人データを処理してはならない。データ処理者は、CCPAが定義する個人データの売却又は共有をしてはならず、また、データ管理者の指示による場合を除き、サービス契約外で取得する他の情報と結合してはならない。データ処理者は、本データ処理契約上の義務を果たせない場合は、データ管理者に速やかに通知する。
  • 2.2.データ処理者は、データ管理者の書面による指示と矛盾する方法で個人データを処理してはならない。データ処理者は、指示がデータ保護及びプライバシー法に抵触すると判断した場合は、直ちにデータ管理者に通知しなければならない。
  • 2.3.当事者は、附属書2記載の目的のために、個人データの保護及び処理についてデータ処理者の専門知識を活用するため、本データ処理契約を締結した。データ処理者は、本データ処理契約の定め及びデータ管理者の書面による指示に従い、これらの目的を達成するために必要と考える方法の選択と使用について、自らの裁量を行使することができる。
  • 2.4.データ管理者は、本データ処理契約に基づき、データ処理者が本サービスに関連する処理の実行のために、データ処理者に個人データを提供するための必要なすべての権利を有し、この処理に必要な情報提供義務を果たし、適法根拠を備えていることを保証する。適用されるデータ保護及びプライバシー法で要求される範囲内で、データ管理者は、他の適法根拠に拠ることができない場合には、この処理に必要なデータ主体の同意が得られていること及びその同意の記録を確実に維持することについて責任を負う。データ主体の同意が撤回された場合、データ管理者は、当該撤回の事実をデータ処理者に通知する責任を負い、データ処理者は、当該個人データのさらなる処理に関して、合理的な範囲内で、データ管理者の指示を実行する責任を負う。

2.The Data Controller and the Data Processor

  • 2.1.User and MOTEX acknowledge that User is the Data Controller and MOTEX is the Data Processor, which means the Service Provider where the CCPA applies, processing Personal Data on behalf of User in providing the Services based on the Service Agreement and this DPA. Subject to the provisions of the Service Agreement, to the extent that the Data Processor’s data processing activities are not adequately described in the Service Agreement, the Data Controller will determine the scope, purposes, and manner by which the Personal Data may be accessed or processed by the Data Processor. The Data Processor will process the Personal Data only as set forth in Data Controller’s written instructions and no Personal Data will be processed unless explicitly instructed by the Controller. The Data Processor will only process the Personal Data on documented instructions of the Data Controller to the extent that this is required for the provision of the Services. The Data Processor shall not process the Personal Data beyond the scope and purpose determined by the Data Controller. The Data Processor shall not sell or share Personal Data as defined by the CCPA and not combine Personal Data with personal information it receives outside the scope of the Service Agreement other than as instructed by the Data Controller. The Data Processor shall promptly notify the Data Controller if it can no longer meet its obligations under this DPA.
  • 2.2.The Data Processor shall never process the Personal Data in a manner inconsistent with the Data Controller’s documented instructions. The Data Processor shall immediately notify the Data Controller if, in its opinion, any instruction infringes Data Protection and Privacy Laws.
  • 2.3.The Parties have entered into a Service Agreement in order to benefit from the capabilities of the Data Processor in securing and processing the Personal Data for the purposes set out in Annex 2. The Data Processor shall be allowed to exercise its own discretion in the selection and use of such means as it considers necessary to pursue those purposes, provided that all such discretion is compatible with the requirements of this DPA, in particular the Data Controller’s written instructions.
  • 2.4.The Data Controller warrants that it has all necessary rights to provide the Personal Data to the Data Processor for the Processing to be performed in relation to the Services, and that one or more lawful bases set forth in Data Protection and Privacy Laws support the lawfulness of the Processing. To the extent required by Data Protection and Privacy Laws, the Data Controller is responsible for ensuring that all necessary privacy notices are provided to data subjects, and unless another legal basis set forth in Data Protection and Privacy Laws supports the lawfulness of the Processing, that any necessary data subject consents to the Processing are obtained, and for ensuring that a record of such consents is maintained. Should such a consent be revoked by a data subject, the Data Controller is responsible for communicating the fact of such revocation to the Data Processor, and the Data Processor remains responsible for implementing Data Controller’s instruction with respect to the Processing of that Personal Data.

3.秘密保持

  • 3.1.両当事者間の既存の契約上の取り決めを排除することなく、データ処理者は、すべての個人データについて厳に秘密を保持し、すべての従業員、代理人、及び/又は、当該個人データの処理を認められたデータ復処理者(以下「関係者」という)に対して、その個人データの秘密性を通知しなければならず、すべての関係者が適切な秘密保持契約に署名していること、その他の方法で秘密保持義務を負っていること、又は、適切な法定の守秘義務を負っていることを確保しなければならない。

3.Confidentiality

  • 3.1.Without prejudice to any existing contractual arrangements between the Parties, the Data Processor shall treat all Personal Data as confidential and it shall inform all its employees, agents and/or approved sub-processors engaged in processing the Personal Data of the confidential nature of the Personal Data. The Data Processor shall ensure that all such persons or parties have signed an appropriate confidentiality agreement, are otherwise bound to a duty of confidentiality, or are under an appropriate statutory obligation of confidentiality.

4.セキュリティ

  • 4.1.データ処理者は、データ保護及びプライバシー法により要求される、個人データを保護するための適切な技術上及び組織上の措置を実施しなければならず、特に、GDPR32条から36条に基づく情報セキュリティ義務を満たすよう、合理的な範囲内で、データ管理者に協力しなければならない。最新技術、実装コスト、処理の性質、範囲、過程並びに目的、自然人の権利と自由に対する様々な蓋然性と深刻度のリスクを考慮に入れた上で、データ管理者とデータ処理者は、リスクに適切に対応する一定のレベルのセキュリティを確保するため、特に、附属書3において当事者間で合意された措置のほか、以下のものを含め、適切な技術上及び組織上の措置を実施しなければならない。
    • (a)附属書2記載の目的のために、許可された人員のみが個人データにアクセスできることを確保する措置
    • (b)セキュリティの適切なレベルを評価する際に、処理によって示されるリスク、特に送信され、記録保存され、又は、それ以外の処理がなされる個人データの、偶発的又は違法な、破壊、紛失、改変、無権限の開示、又は、アクセスから生じるリスクを考慮に入れること
    • (c)処理システム及び本サービスの現在の秘密性、完全性、可用性及び回復性を確保する能力を維持すること
    • (d)物理的又は技術的なインシデントが発生した際、適時に個人データの可用性及びそれに対するアクセスを復旧する能力を維持すること
    • (e)個人データの処理のセキュリティを確保するための技術上及び組織上の措置の有効性の定期的なテスト、評価及び評定のための手順を履行すること
      データ処理者は、以下のアクセスリンクから内容を参照できるISMS認証を取得している。
      https://isms.jp/lst/ind/CR_IS_x0020_656320.html
    本条に従って講ずべき技術上及び組織上の措置は、データ保護及びプライバシー法で要求される水準を超える過度なものであってはならず、その詳細については別途当事者間で協議する。
  • 4.2.データ処理者は、個人データの処理に関して、第4.1条に規定する措置を踏まえて、書面による適切なセキュリティ・ポリシーを策定しなければならない。
  • 4.3.データ処理者は、データ管理者に対し、以下の監査に関する規定に従い、そのデータ保護義務の遵守を証明するために合理的に必要な限度で、情報を利用可能とし、データ管理者又はデータ管理者により委任された他の監査人により実施される監査に協力しなければならない。
    データ処理者は、データ管理者の要請があった場合、第4条に基づいて講じた措置を示し、データ管理者が当該措置を監査及びテストできるようにしなければならない。データ管理者は、データ処理者に対して少なくとも14日前に通知をすることにより、個人データに関連するデータ処理者の施設及び個人データに関する業務を監査し、又は、データ処理者と秘密保持契約を締結した第三者をして、監査させることができる。データ処理者は、データ管理者によって、又は、データ管理者のために行われる当該監査に協力し、データ管理者の監査人に、個人データの処理に関わる施設及び装置への合理的なアクセスを提供しなければならず、本データ処理契約の遵守状況を確認するためにデータ管理者が合理的に必要とする個人データの処理に関する情報へのアクセスも提供しなければならない。ただし、データ管理者又はデータ管理者の指名する第三者による監査は、データ処理者の営業時間内に、データ処理者の通常業務に対する過度な負担を課さない方法で実施されなければならない。

4.Security

  • 4.1.Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of Processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, the Data Controller and the Data Processor shall implement appropriate technical and organisational measures to ensure a level of security of the Processing of Personal Data appropriate to the risk, and in particular the Data Processor shall assist the Data Controller to comply with Article 32 through 36 of GDPR to the reasonable extent. These measures shall include, at a minimum, the followings and the security measures agreed upon by the Parties in Annex 3.
    Data Processor shall:
    • (a) ensure that the Personal Data can be accessed only by authorized personnel for the purposes set forth in Annex 2 of this DPA;
    • (b) account for all the risks that are presented by Processing, for example from accidental or unlawful destruction, loss, or alteration, unauthorized or unlawful storage, access or disclosure of Personal Data;
    • (c) maintain the ability to ensure the ongoing confidentiality, integrity, availability and resilience of Processing systems and services;
    • (d) maintain the ability to restore the availability and access to Personal Data in a timely manner in the event of a physical or technical incident;
    • (e) implement a process for regularly testing, assessing, and evaluating the effectiveness of technical and organisational measures for ensuring the security of the Processing of Personal Data;
      Data Processor has obtained certification by ISMS. A description of such certification can be found under URL.
      https://isms.jp/lst/ind/CR_IS_x0020_656320.html
    The parties shall in good faith negotiate the level of appropriate technical and organisational measures not to be excessive in light of Data Protection and Privacy Laws from time to time.
  • 4.2.Data Processor shall maintain written security policies that are fully implemented and applicable to the Processing of Personal Data.
  • 4.3.At the request of the Data Controller, the Data Processor shall demonstrate the measures it has taken pursuant to this Article 4 and shall allow the Data Controller to audit and test such measures.
    Unless otherwise required by a Supervisory Authority of competent jurisdiction, the Data Controller shall be entitled on giving at least 14 days’ notice to the Data Processor to carry out, or have carried out by a third party who has entered into a confidentiality agreement with the Data Processor, audits of the Data Processor´s premises and operations as these relate to the Personal Data. The Data Processor shall cooperate with such audits carried out by or on behalf of the Data Controller and shall grant the Data Controller´s auditors reasonable access to any premises and devices involved with the Processing of the Personal Data. The Data Processor shall provide the Data Controller and/or the Data Controller´s auditors with access to any information relating to the Processing of the Personal Data as may be reasonably required by the Data Controller to ascertain the Data Processor´s compliance with this DPA. Such audit shall be conducted during regular business hours in such a manner as to not unnecessarily interfere with the Data Processor’s normal business activities.

5.セキュリティの改善

  • 5.1.両当事者は、セキュリティの要求が常に変化しており、効果的なセキュリティを実現するためには、セキュリティ対策を頻繁に評価し、定期的に改善する必要があることを確認する。したがって、データ処理者は、合理的な範囲内で、第4条に従って実施される措置を継続的に評価し、第4条に規定されている要件の遵守を維持するために、これらの措置を強化、補充、改善する。
  • 5.2.適用されるデータ保護及びプライバシー法の変更によって、必要となるセキュリティ対策の改善を実施するよう、データ管理者がデータ処理者に指示するためにサービス契約の変更が必要な場合には、両当事者は誠意をもって、サービス契約の変更を交渉しなければならない。

5.Improvements to Security

  • 5.1.The Parties acknowledge that security requirements are constantly changing and that effective security requires frequent evaluation and regular improvements of outdated security measures. The Data Processor will therefore evaluate the measures as implemented in accordance with Article 4 on an on-going basis in order to maintain compliance with the requirements set out in Article 4.
  • 5.2.Where an amendment to the Service Agreement is necessary in order to execute a Data Controller instruction to the Data Processor to improve security measures as may be required by changes in Data Protection and Privacy Laws from time to time, the Parties shall negotiate an amendment to the Service Agreement in good faith.

6.データの移転

  • 6.1.データ管理者は、本サービスの提供に関連する個人データが、データ管理者が所在する国からデータ処理者が所在する日本に越境移転されることを了解する。
  • 6.2.データ処理者は、本サービスの提供に関連する個人データの処理について、データ管理者が所在する国のデータ保護及びプライバシー法が規定するデータ処理者の義務を遵守し、データ管理者が所在する国において与えられる個人データ保護と実質的に同じ水準のデータ保護を確保するものとする。
  • 6.3.データ管理者は、本サービスの提供に関連する個人データの越境移転について、その所在する国のデータ保護及びプライバシー法の規定に従い、データ主体からの同意取得その他の適法条件を満足する措置を講じるものとする。
  • 6.4.データ管理者がEEA域内に所在する場合、本サービスの提供に関連する個人データの越境移転は、欧州委員会が日本を対象として決定したGDPR第45条に基づく十分性認定を適法条件として行われるものとする。
  • 6.5.データ処理者は、日本国外に個人データを恒久的に、又は、一時的に移転する(予定の)場合には、直ちにデータ管理者に通知し、データ管理者から書面による許可を得た後にのみ、当該(予定の)移転を行うものとする(データ管理者は自らの裁量により拒絶できる)。附属書4は、データ主体が本データ処理契約締結時に許可する移転リストである。
  • 6.6.データ管理者又はデータ処理者が、国際的なデータ移転を正常化するための特定の法的メカニズムに依拠しており、それがその後に修正、取消し、又は、管轄裁判所で無効とされた場合、データ管理者及びデータ処理者は、速やかに当該移転を終了し、又は、移転を適法に基礎づけることができる適切な代替メカニズムを追求するために、誠意をもって協力することを合意する。

6.Data Transfers

  • 6.1.The Data Controller shall agree that personal data processed in the context of providing the Service is transferred from the country where the Data Controller is located to Japan, where the Data Processor is located.
  • 6.2.The Data Processor shall ensure, with regard to the personal data processed in the context of providing the Service, that the Data Processor complies with the obligations set out by the Data Protection and Privacy Law of the country where the Data Controller is located, and that such personal data is awarded a level of protection effectively equivalent to that awarded in the country where the Data Controller is located.
  • 6.3.The Data Controller shall take appropriate measures to satisfy a lawful ground, including but not limited to obtaining consent from the Data Subject concerned, for the cross-border transfer of personal data in the context of using the Service in accordance with the Data Protection and Privacy Laws of the country where it is located.
  • 6.4.Where the Data Controller is located within the EEA, the transfer of personal data to Japan in the context of providing the Services shall be performed with the adequacy decision awarded to Japan by the European Commission as its lawful ground.
  • 6.5.The Data Processor shall promptly notify the Data Controller of any planned permanent or temporary transfers of Personal Data to a third country, including a country outside of the European Economic Area without an adequate level of protection, and shall only perform such a transfer after obtaining authorisation from the Data Controller, which may be refused at its own discretion. Annex 4 provides a list of transfers for which the Data Controller grants its authorisation upon the conclusion of this DPA.
  • 6.6.To the extent that the Data Controller or the Data Processor are relying on a specific statutory mechanism to normalize international data transfers and that mechanism is subsequently modified, revoked, or held in a court of competent jurisdiction to be invalid, the Data Controller and the Data Processor agree to cooperate in good faith to promptly suspend the transfer or to pursue a suitable alternate mechanism that can lawfully support the transfer.

7.情報義務とインシデント管理

  • 7.1.データ処理者は、サービス契約の対象となる個人データの処理に影響を与えるインシデントを認識した場合、データ管理者がインシデントに対する徹底的な調査をし、正しい対応策を策定し、インシデントに関して適切な追加措置を行うことができるように、インシデントについて、データ管理者に速やかに通知し、常にデータ管理者と協力し、インシデントに対するデータ管理者の合理的な指示に従わなければならない。
  • 7.2.第7.1条にて用いられる「インシデント」は、いかなる場合も以下を意味すると理解される。
    • (a)データ保護及びプライバシー法におけるデータ主体の権利行使に関する異議又は要求
    • (b)政府職員による個人データの調査又は押収、又は当該調査又は押収が差し迫っていることを示す具体的な兆候
    • (c)個人データへの不正又は偶発的なアクセス、削除、紛失、又は、何らかの形態での違法な処理
    • (d)本データ処理契約第3条規定の秘密保持、及び/又は、第4条規定のセキュリティの違反により、個人データの偶発的又は違法な破壊、紛失、改ざん、不正な開示、アクセスが発生した場合、又はそのような違反が発生したか、発生しそうな兆候がある場合
    • (e)データ処理者の見解では、データ管理者の指示を遂行するとデータ管理者又はデータ処理者に適用される法に抵触する場合
  • 7.3.データ処理者は、常時、インシデントに関して、データ管理者に迅速に応答できるような書面による合理的手順を備え付けなければならない。データ処理者は、適用されるデータ保護及びプライバシー法に基づき、データ管理者によるデータ侵害の通知が必要となる可能性が高い場合、当該インシデントを認識してから24時間以内にデータ管理者に通知できるような書面による合理的手順を実施するものとする。
  • 7.4.第7条によりデータ管理者になされた通知は、附属書1に規定された連絡先のデータ管理者の従業員に宛てたもので、可能な範囲で、以下の事項を含まなければならない。
    • (a)可能であれば、関係するデータ主体の類型及び概数、並びに、関係する個人データ記録の種類及び概数を含む、インシデントの性質の記載
    • (b)データ処理者のデータ保護担当者の氏名及び連絡先、又は、より多くの情報を入手することのできる他の連絡先
    • (c)インシデントの結果として発生する可能性のある事態の記載
    • (d)適切な場合、悪影響を軽減する可能な方法を含む、インシデントに対応するために、データ処理者により講じられた措置、又は、講ずるよう提案された措置の記載

7.Information Obligations and Incident Management

  • 7.1.When the Data Processor becomes aware of an incident that has a material impact on the Processing of the Personal Data that is the subject of the Services Agreement, it shall promptly notify the Data Controller about the incident, shall at all times cooperate with the Data Controller, and shall follow the Data Controller’s instructions with regard to such incidents, in order to enable the Data Controller to perform a thorough investigation into the incident, to formulate a correct response, and to take suitable further steps in respect of the incident.
  • 7.2.The term “incident” used in Article 7.1 shall be understood to mean in any case:
    • (a) a complaint or a request with respect to the exercise of a data subject’s rights under Data Protection and Privacy Laws;
    • (b) an investigation into or seizure of the Personal Data by government officials, or a specific indication that such an investigation or seizure is imminent;
    • (c) any unauthorized or accidental access, deletion, loss or any form of unlawful Processing of the Personal Data;
    • (d) any breach of the security and/or confidentiality as set out in Articles 3 and 4 of this DPA leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, the Personal Data, or any indication of such breach having taken place or being about to take place;
    • (e) where, in the opinion of the Data Processor, implementing an instruction received from the Data Controller would violate applicable laws to which the Data Controller or the Data Processor are subject.
  • 7.3.The Data Processor shall at all times have in place written procedures which enable it to promptly respond to the Data Controller about an incident. Where the incident is reasonably likely to require a data breach notification by the Data Controller under Data Protection and Privacy Law, the Data Processor shall implement its written procedures in such a way that it is in a position to notify the Data Controller without undue delay, not later than 24 hours after the Data Processor becomes aware of such an incident.
  • 7.4.Any notifications made to the Data Controller pursuant to this Article 7 shall be addressed to the employee of the Data Controller whose contact details are provided in Annex 1 of this DPA and, in order to assist the Data Controller in fulfilling its obligations under Data Protection and Privacy Laws, should contain:
    • (a) a description of the nature of the incident, including where possible the categories and approximate number of data subjects concerned and the categories and approximate number of Personal Data records concerned;
    • (b) the name and contact details of the Data Processor’s data protection officer or another contact point where more information can be obtained;
    • (c) a description of the likely consequences of the incident; and
    • (d) a description of the measures taken or proposed to be taken by the Data Processor to address the incident including, where appropriate, measures to mitigate its possible adverse effects.

8.データ復処理者との契約

  • 8.1.データ管理者は、データ処理者に対し、附属書2に記載する関連業務のために、附属書4に記載するデータ復処理者を用いることを許可する。データ処理者はデータ管理者に対し、データ復処理者の追加・変更の際には、データ管理者にそのような追加・変更に異議を唱える機会を与えるために、通知しなければならない。
  • 8.2.前項に定めるデータ管理者による許可にかかわらず、データ処理者はデータ管理者に対し、データ復処理者のデータ保護義務違反について、全面的に責任を負うものとする。
  • 8.3.第8.1条に規定するデータ管理者の許可は、保護水準の十分性認定のないEEA域外の国におけるデータ復処理者を従事させるための第6.5条に基づいたデータ管理者の許可を推認し、自動的にその効果をもたらすものではない。
  • 8.4.データ処理者は、本データ処理契約に基づきデータ処理者の負うデータ保護義務と同一の義務を、データ復処理者が負うことを保証するものとし、その遵守を監督するものとし、特に、データの処理がデータ保護及びプライバシー法の要件を満たすような方法で、適切な技術上及び組織上の措置を実施する義務を、データ復処理者に課さなければならない。
  • 8.5.データ管理者は、本データ処理契約に準拠してデータ処理者に課せられた義務の遵守を確認するため、合理的な範囲で、データ処理者にデータ復処理者の監査、又は、そのような監査が行われたことの確認を要求すること(又は、可能であれば、第三者のデータ復処理者の業務に関する第三者の監査報告書の提供又は提供の支援を受けること)ができる。

8.Contracting with Sub-Processors

  • 8.1.The Data Controller authorises the Data Processor to engage the sub-processors listed in Annex 4 for the service-related Processing activities described in Annex 2. Data Processor shall inform the Data Controller of any addition or replacement of such sub-processors giving the Data Controller an opportunity to object to such changes.
  • 8.2.Notwithstanding any authorisation by the Data Controller within the meaning of the preceding paragraph, the Data Processor shall remain fully liable vis-à-vis the Data Controller for the performance of any such sub-processor that fails to fulfill its data protection obligations.
  • 8.3.Authorisation of Data Controller under Article 8.1 shall not infer and automatically give effect to authorisation of Data Controller under Article 6.5 required where Data Processor engages a sub-processor in a third country outside of the European Economic Area without an adequate level of protection.
  • 8.4.The Data Processor shall ensure that the sub-processor is bound by data protection obligations compatible with those of the Data Processor under this DPA, shall supervise compliance thereof, and must in particular impose on its sub-processors the obligation to implement appropriate technical and organizational measures in such a manner that the Processing will meet the requirements of Data Protection and Privacy Laws.
  • 8.5.The Data Controller may request that the Data Processor audit a Third Party Sub-processor or provide confirmation that such an audit has occurred (or, where available, obtain or assist customer in obtaining a third-party audit report concerning the Third Party Sub-processor’s operations) to ensure compliance with its obligations imposed by the Data Processor in conformity with this DPA.

9.個人データの返却又は破棄

  • 9.1.本データ処理契約が終了した場合、データ管理者の書面による要求があった場合、又は、本サービスに関連して合意されたすべての目的が達成され、それ以上の処理が必要とされない場合、データ処理者は、データ管理者の指示に基づいて、すべての個人データ(写しも含む。)を削除、破棄、又は、返還しなければならない。ただし、法令に基づき保存が義務付けられる場合は、この限りではない。
  • 9.2.データ処理者は、第三者のデータ復処理者を含む個人データの処理をサポートするすべての第三者に対して、本データ処理契約の終了を通知し、すべての第三者が、データ管理者の指示した方法により、すべての個人データ(写しも含む。)を削除、破棄又はデータ管理者に返却することを保証する。ただし、法令に基づき保存が義務付けられる場合は、この限りではない。

9.Returning or Destruction of Personal Data

  • 9.1.Upon termination of this DPA, upon the Data Controller’s written request, or upon fulfillment of all purposes agreed in the context of the Services whereby no further Processing is required and no law requires otherwise, the Data Processor shall, at the discretion of the Data Controller, either delete, destroy or return all Personal Data to the Data Controller and destroy or return any existing copies.
  • 9.2.The Data Processor shall notify all third parties supporting its own Processing of the Personal Data of the termination of the DPA and shall ensure that all such third parties shall either destroy the Personal Data or return the Personal Data to the Data Controller, at the discretion of the Data Controller unless law requires otherwise.

10.データ管理者に対する支援

  • 10.1.データ処理者は、データ保護及びプライバシー法に基づくデータ主体の権利行使の要求に応答するデータ管理者の義務を果たすために、合理的な範囲で、適切な技術上及び組織上の措置により、データ管理者を支援しなければならない。
  • 10.2.データ処理者は、処理の性質及びデータ処理者が利用できる情報を考慮して、第4条(セキュリティ)の義務、及び、その他の附属書2に記載の個人データ処理に関連したデータ保護及びプライバシー法に基づくデータ管理者の義務(監督機関又はデータ主体への通知、データ保護影響評価の実施、監督機関との事前協議を含む)の履行において、合理的な範囲で、データ管理者を支援しなければならない。
  • 10.3.データ処理者は、データ管理者に対して、データ処理者の義務の遵守を証明するために合理的に必要な限度で、情報を利用可能とし、データ管理者、又は、データ管理者により委任された他の監査人による調査を含む監査を許可し、監査に協力するものとする。なお、本条に基づく監査には、4.3条の規定が適用されるものとする。

10.Assistance to Data Controller

  • 10.1.The Data Processor shall assist the Data Controller by appropriate technical and organisational measures, insofar as this is possible, for the fulfilment of the Data Controller’s obligation to respond to requests for exercising the data subject’s rights under the Data Protection and Privacy Laws.
  • 10.2.Taking into account the nature of processing and the information available to the Data Processor, the Data Processor shall assist the Data Controller in ensuring compliance with obligations pursuant to Article 4 (Security), as well as other Data Controller obligations under Data Protection and Privacy Laws that are relevant to the Data Processing described in Annex 2, including notifications to a supervisory authority or to Data Subjects, the process of undertaking a Data Protection Impact Assessment, and with prior consultations with supervisory authorities.
  • 10.3.The Data Processor shall make available to the Data Controller all information necessary to demonstrate compliance with the Data Processor’s obligations and allow for and contribute to audits, including inspections, conducted by the Data Controller or another auditor mandated by the Data Controller. Such audits shall be conducted in accordance with the provisions of Article 4.3.

11.責任及び補償

  • 11.1.データ処理者は、データ管理者に対し、データ処理者の故意又は過失による本データ処理契約、及び/又は、適用のあるデータ保護及びプライバシー法の違反に起因又は関連して、データ管理者が直接的又は間接的に生じるすべてのクレーム、訴訟、第三者の請求、損失、損害及び費用を補償し、データ管理者にいかなる損害も与えないものとする。データ管理者は、データ処理者に対し、データ管理者の故意又は過失による本データ処理契約、及び/又は、適用のあるデータ保護法の違反に起因又は関連して、直接的又は間接的に生じるすべてのクレーム、訴訟、第三者の請求、損失、損害及び費用を補償し、データ処理者にいかなる損害も与えないものとする。

11. Liability and Indemnity

  • 11.1.The Data Processor indemnifies the Data Controller and holds the Data Controller harmless against all claims, actions, third party claims, losses, damages and expenses incurred by the Data Controller arising out of a breach of this DPA and/or the Data Protection and Privacy Laws by the Data Processor. The Data Controller indemnifies the Data Processor and holds the Data Processor harmless against all claims, actions, third party claims, losses, damages and expenses incurred by the Data Processor arising out of a breach of this DPA and/or the Data Protection and Privacy Laws by the Data Controller.

12.期間と解除

  • 12.1.本データ処理契約の有効期間は契約締結日からサービス契約の終了までとする。
  • 12.2.本データ処理契約の解除又は満了した場合であっても、第3条(秘密保持)、11条(責任及び補償)、13.2条は、本データ処理契約の解除又は満了後も有効に存続する。
  • 12.3.データ処理者は、データ管理者から指示がない限り、本データ処理契約の解除又は満了日まで、又は、データ管理者の指示により当該データを返却又は破棄されるまで、個人データを処理するものとする。

12.Duration and Termination

  • 12.1.This DPA shall come into effect on the effective date of the Service Agreement.
  • 12.2.Termination or expiration of this DPA shall not discharge the Data Processor from its confidentiality obligations pursuant to Article 3, Article 11 and Article 13.2.
  • 12.3.The Data Processor shall process Personal Data until the date of expiration or termination of the Service Agreement, unless instructed otherwise by the Data Controller, or until such data is returned or destroyed on instruction of the Data Controller.

13.雑則

  • 13.1.本データ処理契約の条項とサービス契約の条項との間に矛盾がある場合、本データ処理契約が優先する。
  • 13.2.本データ処理契約の準拠法は、日本法とし、本データ処理契約に起因又は関連して生じる一切の紛争は、大阪地方裁判所を第1審の専属的合意管轄裁判所とする。
  • 13.3.本契約は、日本語で作成され、英語に翻訳される。日本語版が正本であり、英語版は参考として作成される。これら両言語版の間に矛盾抵触がある場合、日本語版が優先する。

13.Miscellaneous

  • 13.1.In the event of any inconsistency between the provisions of this DPA and the provisions of the Service Agreement, the provisions of this DPA shall prevail.
  • 13.2.This DPA is governed by the laws of Japan.
    Any disputes arising from or in connection with this DPA shall be brought exclusively before the District Court of Osaka.
  • 13.3.This DPA is made in Japanese and translated into English. The Japanese text is the original and the English text is for reference purposes. If there is any conflict or inconsistency between these two texts, the Japanese text shall prevail.

以上
2023年9月29日改訂
エムオーテックス株式会社

附属書 1:
Annex 1:

データ管理者の[データ保護オフィサー/コンプライアンスオフィサー]の連絡先情報
Contact information of the [data protection officer/compliance officer] of the Data Controller

データ処理者に別途通知する。
To be notified to the Data Processor

附属書 2:
Annex 2:

個人データが取り扱われる目的:
機器からの構成情報の収集、(機器上でのソフトウェアのインストール、システム構成ポリシーの履行などの)対策の実施、不適切な又は禁止されている操作に関する機器へのセキュリティアラート情報の送信、(パスワードポリシーなどの)セキュリティポリシーの履行といった、従業員その他のデータ管理者の管理下にある要員が使用する(コンピューター、モバイル)機器を管理すること、及び、セキュリティポリシーの違反、その他のデータ侵害におけるシステム障害、誤用、違法又は不適切な使用及び紛失した機器の所在を検出するためにネットワーク、機器を含む会社IT資産及び機器の位置情報の監視、ログ取得、表示及び分析を行うこと

Purposes of Personal Data Processing

  • Managing devices (computers and mobile devices) used by the User’s employees and/or other staff members under the User’s control, e.g., collecting the configuration information of such devices, performing actions (e.g., installing software, enforcing configuration policies) on such devices, sending security alert messages to such devices on any inappropriate or forbidden operation, and enforcing security policies (e.g., password policies); and
  • Monitoring, logging, displaying and analysing usage of corporate IT resources including its network and devices, and the geographical location of devices in order to detect the User’s failure, misuse, unlawful or inappropriate use in breach of security policies or any other data breach, and detect the location of the lost devices.

取り扱う個人データの種類
従業員その他のデータ管理者の管理下にある要員が使用する機器の構成、使用、位置に関する情報(例えば、使用者名、コンピューター名、IPアドレス、ハードウェア・アドレス、インストールしたアプリケーション、セキュリティ更新情報、構成ファイル各版、機器使用ログ、ネットワーク利用ログ、Webサイト閲覧履歴)

Types of Personal Data that will be processed in the scope of the Service Agreement:
information about the configuration, usage, geographical location of the devices used by the User’s employees and/or other staff members under the User’s control, e.g., username, computer name, IP address, hardware address, installed application, security update, configuration files and their respective versions, device usage log, network usage log, website browsing history.

データ主体の種類
従業員その他のデータ管理者の管理下にある要員
Categories of Data Subjects:
Employees and other staff members under the User’s control

附属書 3:
セキュリティ対策
Annex 3:
Security Measures

データ処理エリア・施設の保全及び監視のための合理的な物理的セキュリティ措置
Reasonable physical security measures to secure areas for data processing and monitor the use of data processing facilities;

ファイルを保護するための合理的な措置
Reasonable measures to protect filing systems;

入室、パスワード、暗号、認証の管理、認証技術、ログオン手続きの活用によるデータへの不明アクセス防止のための合理的な措置
Reasonable measures to prevent unauthorized access to the Personal Data through the use of appropriate physical and logical (passwords) entry controls, encryption and authentication technology and logon procedures;

メールシステムにおける合理的なマルウェア対応
Reasonable measures to prevent malware infection through mailing system;

ダウンロードした個人データへのアクセスコントロール
Controlling access to the collected and stored (electronic) Personal Data;

パスワード盗用・ネットワーク侵入予防措置及びウィルス保護の実施
Securing passwords, network intrusion detection technology and virus protection;

情報及び接続履歴の合理的な追跡アクセス措置
Reasonable security measures to track log information and access histories;

データ移転で実施される合理的なセキュリティ措置
Reasonable security measures to protect extra-territorial data transfers;

システム証跡の確保及び監査の継続的な実施、及び、セキュリティ措置の確実な実施のための従業員・委託先の継続的な教育
Building in system and audit trails, monitoring compliance on an ongoing basis, and providing employee and contractor training to ensure ongoing capabilities to carry out the security measures.

附属書 4:
データ復処理者及びデータ移転
Annex 4:
Sub-processors and Data Transfers

データ復処理者名
Names of sub-processors		 移転先
Transferred to
Amazon Web Services 日本国内
(N/A)
株式会社ティーガイア
T-Gaia Corporation 		日本国内
(N/A)
Okta Inc. 日本国内
(N/A)

利用者が本サービスのオプションサービスである24/365紛失サポートサービスを利用している場合に適用

Applicable when User is using the 24/365 loss support service, which is an optional service of the Service.