iDoperation Series Cloud データ処理補足契約書

IDOPERATION SERIES CLOUD

DPA2301
最終更新日:2023年1月27日

重要 - 以下の利用条項をお読みください。

本iDoperation Series Cloud データ処理補足契約書(以下、「本DPA」といいます)は、NTTテクノクロス株式会社(以下、「NTTテクノクロス」といいます)がiDoperation Cloud および iDoperation SC Cloud(以下、総称して「本サービス」といいます)を提供する過程において、(a) お客様に代わり個人データを処理する場合、かつ (b) iDoperation Series Cloud 利用規約、本サービス ドキュメンテーション、iDoperation Series Cloud サービス説明書、iDoperation Series Cloud サポートポリシー、iDoperation Series Cloud プライバシーポリシー、iDoperation Series Cloud サービスレベル アグリーメント、iDoperation Series Cloud オンプレミスソフトウェア 使用許諾契約書において、本DPAを参照することが明示的に記されている場合に適用されます。NTTテクノクロスが管理者である場合、本DPAは適用されないものとします。本DPAにおいて定義されていない定義用語はすべて、本契約により規定された意味を有します。

本サービスは、本DPAおよび、iDoperation Series Cloud 利用規約、本サービス ドキュメンテーション、iDoperation Series Cloud サービス説明書、iDoperation Series Cloud サポートポリシー、iDoperation Series Cloud プライバシーポリシー、iDoperation Series Cloud サービスレベル アグリーメント、iDoperation Series Cloud オンプレミスソフトウェア 使用許諾契約書(以下、併せて「本契約」といいます)に基づき提供されます。本DPAに記載する本契約に関連する内容は、該当する本契約を参照ください。

    1. (定義)

    1.1. (データ保護法)「データ保護法」とは、本契約に基づく個人データの処理に適用される、EUデータ保護法を含む、データ保護およびプライバシーに関するすべての法律を意味します。 1.2. (EUデータ保護法) 「EUデータ保護法」とは、欧州で適用される一般データ保護規則(the General Data Protection Regulation)(以下、「GDPR」といいます)を意味します。 1.3. (指示) 「指示」とは、管理者が処理者に対して個人データに関する特定または全般的な行為(匿名化、ブロック、削除、提供などを含む)を実行するよう命令するために、文書化して発行する指示を意味します。 1.4. (個人データ) 「個人データ」とは、本契約で定義された情報に含まれている、識別されている、または識別可能な個人に関するあらゆる情報を意味します。 1.5. (個人データ侵害) 「個人データ侵害」とは、個人データに対する、偶発的または違法な破壊、損失、変更、不正開示、またはアクセスにつながる、本サービスのセキュリティに対する侵害を意味します。 1.6. (管理者) 「管理者」とは、個人データの処理の目的と手段を決定する法人、組織、個人を意味します。 1.7. (処理者) 「処理者」とは、管理者に代わり個人データを処理する法人、組織、個人を意味します。 1.8. (復処理者) 「復処理者」とは、本契約に従って個人データを処理する、NTTテクノクロスよって起用されたすべての処理者を意味します。復処理者には、第三者またはNTTテクノクロスグループ企業が含まれる場合があります。

2. (処理)

    2.1. (お客様とNTTテクノクロスの役割)NTTテクノクロスは、お客様の代わりに本サービスおよび本契約に関連する個人データの処理を行う処理者としてのみ、個人データの処理を行います。お客様は、管理者または処理者となる場合があります。 2.2. (NTTテクノクロスによる個人データの処理)NTTテクノクロスは、データ保護法に基づく処理者の義務を遵守し、お客様の指示に従って個人データを処理します。お客様は、個人データの処理に関して、本契約に定める内容がお客様からNTTテクノクロスに対する最終的な指示であることに同意するものとします。本契約の範囲外で個人データを処理する場合、別途、NTTテクノクロスとお客様との間で書面による事前合意をすることとします。事前合意には、お客様からの指示内容および、必要に応じてNTTテクノクロスに支払う追加料金に関する合意を含むものとします。 2.3. (お客様による個人データの処理)お客様は、本サービスを利用する際、お客様による個人データの処理および、NTTテクノクロスへの処理の指示に関して、データ保護法に基づく義務を遵守するものとします。お客様は、NTTテクノクロスが本契約に従って個人データを処理するために必要となるすべての権利および、承認をお客様が有していることを表明するものとします。 2.4. (個人データの処理の詳細)
      (a) 対象:本契約に基づく処理の対象は、個人データです。 (b) 期間:本契約に基づく処理の期間は、個人データの収集目的に応じた必要な期間によって決定するものします。 (c) 目的:本契約に基づく処理の目的は、NTTテクノクロスによるお客様への本サービスの提供または販売のためです。 (d) 処理の性質:本契約に記載のとおり、NTTテクノクロスおよび/またはその復処理者が、本サービスの提供またはお客様に対する契約上の義務の履行を行います。本サービスには、NTTテクノクロスおよび/またはその復処理者による、個人データが含まれる可能性があるシステムでの個人データの処理が含まれる場合があります。 (e) データ主体のカテゴリ:本サービスの管理者以外のアクセス権を提供する個人データはお客様が決定します。当該個人データには、(ⅰ)お客様の従業員、(ⅱ)お客様の契約者、(ⅲ)お客様のエンドユーザ、(ⅳ)その他の第三者 のお客様のデータ主体における個人データの処理が含まれるものとします。 (f) データのカテゴリ:お客様により本サービスに提供される個人データです。

3. (復処理者)

    3.1. (復処理者の利用)お客様は、NTTテクノクロスがお客様に代わり個人データを処理する業務を復処理者に委託する場合があることに同意するものとします。NTTテクノクロスは、復処理者の作為、過失、不作為により生ずる本DPAに関するNTTテクノクロスの義務違反に対して責任を負います。 3.2. (義務)NTTテクノクロスは、復処理者と契約を締結し、本契約に定める基準(復処理者により提供されるサービスに適用される場合に限る)と実質的に同等の方法で個人データを保護することを復処理者に義務付けるものとします。

4. (セキュリティ対策)

    4.1. (NTTテクノクロスによるセキュリティ対策) NTTテクノクロスは、個人データ侵害から保護するため、ならびに本サービスの提供に際してお客様に代わってNTTテクノクロスが処理する個人データのセキュリティおよび秘密性を保持するために、適切な技術的および組織的なセキュリティ対策(以下、「セキュリティ対策」といいます)を導入および維持します。セキュリティ対策は、技術的な進歩および発展に従うものとし、NTTテクノクロスは、セキュリティ対策の更新および変更を随時行うことができるものとします。ただし、当該更新または変更の結果、お客様が購入した本サービスの全体的なセキュリティが低下しない場合に限るものとします。 4.2. (お客様によるセキュリティ対策) お客様には、お客様がデータ保護法を遵守できる方法で本サービスを利用および構成する責任があるものとします。当該方法には、適切な技術的および組織的な対策を導入することを含むものとします。 4.3. (担当者) NTTテクノクロスは、適用される法律により処理が求められている場合を除き、担当者が許可なく個人データを処理することを制限し、NTTテクノクロスが個人データの処理を許可したすべての人員に秘密保持義務を負わせるものとします。 4.4. (禁止データ) お客様は、米国の医療保険の携行性と責任に関する法律(HIPAA:Health Insurance Portability and Accountability Act)により規制されている個人データを本サービスに登録または提供してはならないものとします。

5. (個人データ侵害への対応)

    5.1. (個人データ侵害への対応)NTTテクノクロスは、個人データ侵害を認識した場合、その旨をお客様に通知し、お客様からの合理的な要請に応じて当該個人データ侵害に関連する情報を提供します。NTTテクノクロスは、個人データ侵害の悪影響を可能な範囲で軽減するためにお客様を支援する合理的な努力を払います。

6. (個人データの国際移転)

    6.1. (個人データの国際移転) NTTテクノクロスは、本サービスを提供するために必要に応じて、NTTテクノクロスまたはその復処理者がデータ処理業務を行っている国または地域に個人データを移転し、そこで処理できるものとします。移転先の国または地域は、米国、欧州、欧州委員会がデータ移転先として十分なレベルの個人データ保護を保障していることを決定している国または地域(GDPR十分性認定を受けている国または地域)とするものとし、本サービスにおける具体的な移転国または移転地域は、日本、米国、欧州です。

7. (データ削除)

    7.1. (データ削除) NTTテクノクロスは、お客様とNTTテクノクロスにおける本サービスのサブスクリプション契約の解約日または解除日から起算して、保持期間(30日間)経過後、個人データのキャッシュやバックアップ含め復元できない形で削除するものとします。ただし、本サービス料金の請求に必要な個人データは削除に含まれないものとします。また、適用法によってNTTテクノクロスが個人データの一部またはすべてを保持することが求められている範囲においては、この限りではないものとします。NTTテクノクロスが引き続き個人データを保持する場合、当該個人データは、本DPAの条件が継続して適用されるものとします。

8. (協力)

    8.1. (データ保護の要請) EUデータ保護法に基づく権利を行使しようとしている個人からの要請など、本契約に基づく個人データの処理に関連して、NTTテクノクロスが個人または関連データ保護当局から要請を受けた場合、NTTテクノクロスは当該要請を直ちにお客様に取り次ぎます。NTTテクノクロスは、お客様からの要請に対し法的に強制されている場合を除き、お客様の事前の許可なしにNTTテクノクロスが直接対応することはありません。NTTテクノクロスが当該要請に対応する必要がある場合、NTTテクノクロスは、法律により禁じられている場合を除き、直ちにその旨をお客様に通知します。 8.2. (お客様の要請) 本契約に基づく個人データの処理に関連して個人または関連データ保護当局から要請があった場合、お客様が本サービスを利用する際に関連する個人データにアクセスできない場合に限り、NTTテクノクロスは、お客様が当該要請に対応できるようにお客様の費用負担で合理的な範囲でお客様に協力します。 8.3. (DPIAおよび事前の協議) EUデータ保護法で求められている場合に限り、NTTテクノクロスは、合理的な通知に応じてお客様の費用負担で、お客様がデータ保護影響評価(data protection impact assessments)(以下、「DPIA」といいます)および/またはデータ保護当局との事前の協議を実施できるように、本サービスに関する合理的に要請された情報を提供します。 8.4. (法的開示要請) 本DPAの対象となる個人データについて、法的に拘束力のある開示要請をNTTテクノクロスが受け取った場合、当該要請は本契約に従って処理するものとします。

9. (改訂)

    9.1. (改訂) NTTテクノクロスは、(a)監督機関またはその他の政府もしくは規制当局により変更するよう求められた場合、(b)データ保護法を遵守するために必要がある場合、(c)データ保護法で認められている、標準契約条項(SCC)、承認済みの行動規範や認証、拘束的企業準則(BCR)、その他法令遵守メカニズムを導入する、または従う場合、(d)その他(a)、(b)、(c)、に類似する場合、(e)NTTテクノクロスが必要と認めた場合 に本DPAの条件を変更できるものとします。また、NTTテクノクロスは、補足的な条件を本DPAの別紙または付属書として追加する場合があります。補足する条件は、特定の国または法域のデータ保護法に基づく個人データの処理にのみ適用されるものとします。変更後のDPAは、iDoperation Series Cloud 利用規約 に定める内容に従って有効となります。 9.2. (予告) NTTテクノクロスは、9.1.(改訂)に基づき本DPAの内容に変更を加える場合、iDoperation Series Cloud 利用規約 に定める方法および条件により、予め変更後の本DPAの内容および効力発生時期を通知します。

以上