データ処理に関する補足条項

データ処理に関する補足条項

本データ処理補足契約（以下「DPA」という）は、ISVHost（以下「サービスプロバイダー」という）が顧客（以下「当社」という）にクラウドホスティングサービスを提供する基本契約であるクラウドホスティング契約（以下「本契約」という）に関連するものであり、本契約の一部を構成する。  

サービス提供者は、本契約に基づき、当社に対して一定のサービス（以下「本サービス」という）を提供する。  

本契約に基づきサービス提供者が当社に提供するサービスの一環として、サービス提供者は、データ保護法（以下に定義）において使用され、理解される意味での個人情報を受け取るか、またはこれにアクセスすることとなる；

一方、当事者は、データ保護法の要件に準拠したDPAを実施することを求めている。  

よって、以下の通り合意する。  

1. 定義

1. 「クロスコンテキスト行動ターゲティング広告」とは、消費者が意図的に利用している事業者、独自のブランドを持つウェブサイト、アプリケーション、またはサービス以外の、事業者、独自のブランドを持つウェブサイト、アプリケーション、またはサービスにおける消費者の活動から得られた個人情報に基づき、当該消費者に対して広告をターゲティングすることをいう。  

2. 「消費者」とは、適用されるデータプライバシー法が制定されている管轄区域に居住する個人を意味し、これには、カリフォルニア州プライバシー権法により改正されたカリフォルニア州消費者プライバシー法、バージニア州消費者データ保護法、コロラド州プライバシー法、コネチカット州データプライバシー法、ユタ州消費者プライバシー法、テキサス州データプライバシー・セキュリティ法、オレゴン州消費者プライバシー法、およびその他の適用される州のプライバシー法において定義される「消費者」が含まれますが、これらに限定されません。

3. 「データプライバシー法」とは、プライバシー、データ保護、データセキュリティ、情報漏洩の通知、または個人情報の処理（以下に定義される）に関連する、あらゆる法域における適用されるすべての法律、規則、規制、およびその他の法的または自主規制上の要件を意味する。

4. 「個人情報」とは、適用されるデータ保護法において定義される、個人を特定するあらゆる情報を指します。

5. 「処理」および「処理」とは、個人情報の収集、保存、利用を含むがこれらに限定されない、個人情報に関して行われるあらゆる操作または一連の操作を意味する。  

6. 「プロファイリング」とは、個人の経済状況、健康状態、個人的な嗜好、関心事、信頼性、行動、位置情報、または移動経路を評価、分析、または予測するために、個人情報を自動処理するあらゆる形態をいう。

7. 「セキュリティ侵害」とは、個人情報の不正または違法な破壊、紛失、改ざん、開示、または処理をいう。  

8. 「販売」、「売却」、または「第三者」とは、改正後のカリフォルニア州民法第1798.140条およびその他の適用されるデータプライバシー法における類似の定義に規定される意味を有するものとします。

9. 「機微なデータ」または「機微な個人情報」とは、人種または民族的出自、宗教的信条、精神的または身体的な健康状態の診断、性的指向、国籍または在留資格を明らかにする個人情報、個人を唯一無二に特定する目的で処理される遺伝的データまたは生体認証データ、既知の児童から収集された個人情報、または適用されるデータ保護法においてさらに定義される正確な位置情報を指す。

10. 「サービスプロバイダー」には、「処理者」および類似の用語が含まれ、これらの用語は、適用されるデータ保護法において定義されるのと同一の意味を有するものとします。

11. 「共有」、「共有済み」、または「共有中」とは、改正後のカリフォルニア州民法第1798.140条に規定される意味、およびその他の適用されるデータプライバシー法における類似の定義を有するものとします。

12. 「再委託処理者」とは、 サービスプロバイダーに代わって個人情報を処理する下請業者をいう。

2. サービス提供者の義務

1. サービス提供者は、本契約に明記されている当社へのサービスの提供、または当社が書面で別途指示した目的に限定して、個人情報を処理するものとします。サービス提供者による個人情報のすべての処理は、データ保護法に準拠して行われるものとします。  

2. 前項の規定を制限することなく、サービスプロバイダーは、以下の行為を行ってはならない。(i) 個人情報を販売すること。(ii) コンテキスト横断型行動ターゲティング広告の目的で個人情報を共有すること。(iii) 本契約に規定された事業目的、または当社が書面で別途承認した目的以外のいかなる目的（商業目的を含む）においても、個人情報を保持、使用、または開示すること。 (iv) 当社とサービスプロバイダーとの間の直接的な取引関係以外の第三者に対し、いかなる個人情報を保持、利用、または開示してはならない；(v) データプライバシー法に列挙される適用される制限に違反してはならない。これには、サービスプロバイダーが当社から、または当社のために受け取った個人情報を、サービスプロバイダーが他の個人または複数の人物から、またはその代理として受け取った個人情報、あるいはサービスプロバイダー自身と個人との間のいかなるやり取りから収集した個人情報と結合することに関する制限が含まれる； ただし、前項は、サービスプロバイダーが、自社の内部的な分析、調査、または製品改善の目的で、非識別化データ（以下に定義）を他の非識別化データまたは匿名化データと結合することを禁止するものではない；または(vi) データプライバシー法の下で「処理者」または「サービスプロバイダー」による個人情報の処理が禁止されている、または許可されていないいかなる処理にも従事すること。

3. 前項にかかわらず、サービスプロバイダーは、会社から受け取った個人情報を非識別化、匿名化、または集計することができる。ただし、以下の条件を満たす場合に限る：(i) かかる非識別化、匿名化、または集計が、適用されるデータ保護法に従って行われること；(ii) その結果得られるデータ（「非識別化データ」）が、合理的に個人を特定するために使用されたり、個人に紐付けられたりすることがないこと； (iii) サービスプロバイダーが再識別を防止するための技術的保護措置および業務プロセスを実施していること；および (iv) サービスプロバイダーが、契約上、下流の受領者に対し、当該データの再識別を試みることを禁止していること。 サービスプロバイダーは、自社の内部的な分析、調査、ベンチマーク、および製品またはサービスの改善を目的として、非識別化データを使用、保持、および結合することができる。サービスプロバイダーは、非識別化データ、またはその他の仮名化、匿名化、集計、もしくは非識別化された情報の再識別を試みてはならない。

4. サービス提供者が法的に第三者に対して個人情報を提供することを義務付けられた場合、(i) サービス提供者は、当該法的義務に異議を申し立てるか、または開示に対する保護措置を求めるための合理的な機会を、速やかに当社に提供するものとします。また、(ii) サービス提供者は、当社およびその法律顧問と協議した上で、当該法的義務を遵守するために必要な最小限の個人情報のみを開示するものとします。

5. サービスプロバイダーは、本DPAまたはデータ保護法に基づく義務を履行できなくなったと判断した場合、または本DPAにおける義務のいずれかに違反した、もしくはデータ保護法に違反した場合は、5営業日以内に当社に通知しなければならない。  

6. 法的義務を遵守するために必要な場合を除き、サービス提供者は、当該処理に関連するサービスの終了時に、自社のシステムからすべての個人情報を削除するものとします。サービス提供者が当該個人情報を保持することが法的に義務付けられている場合、サービス提供者はその旨を当社に通知するものとします。その後、当該個人情報はサービス提供者のシステム内に引き続き保存される場合がありますが、それ以外のいかなる方法でも処理されることはなく、適用されるすべてのデータ保護法に準拠するものとします。  

7. サービスプロバイダーは、合理的な事前通知をもって、個人情報の不正使用を停止し、是正するための合理的かつ適切な措置を講じる権利を当社に付与する。  

8. 新たなデータ保護法または変更されたデータ保護法により本DPAの修正または変更が必要となった場合、当事者は互いに合理的な協力を行うものとする。  

3. 機密データおよびプロファイリングに関する制限。 サービスプロバイダーによる機密データの処理およびあらゆるプロファイリング活動には、以下の追加要件が 適用されます：

1. サービス提供者は、本サービスの履行に厳密に必要な範囲に限り、かつ、処理対象となる機微データの区分および当該処理の目的を明記した当社の事前の書面による同意を得た場合に限り、機微データを処理するものとする。

2. サービスプロバイダーは、機密データに関連する高まったリスクに見合った、強化された技術的および組織的なセキュリティ対策を実施し、維持しなければならない。これには、保存時および転送中のデータの暗号化、権限のある担当者のみにアクセスを制限するアクセス制御、および機密データへのすべてのアクセスのログ記録が含まれる。

3. サービスプロバイダーは、消費者が適用されるデータ保護法に基づき、自身の機微データの利用および開示を制限する権利を有することを認め、当社から通知されたかかる制限の要請を遵守するものとします。

4. サービス提供者は、以下のいずれかの条件を満たす場合を除き、当社から提供された個人情報を用いて消費者のプロファイリングを行ってはならない。(i) 当該プロファイリングが本サービスの提供に厳密に必要なものである場合、(ii) 当社が当該プロファイリング活動について事前の書面による承認を与えている場合、および (iii) 適切な保護措置を講じない限り、当該プロファイリングが消費者に法的またはそれに準ずる重大な影響を及ぼさない場合。

5. サービスプロバイダーは、当社が適用されるデータ保護法に基づき、プロファイリング活動に関連する必要なデータ保護影響評価または類似の評価を実施できるよう、十分な情報を当社に提供しなければならない。

6. サービスプロバイダーが、消費者から直接、または当社を通じてプロファイリングのオプトアウトの要請を受けた場合、サービスプロバイダーは、当該消費者の個人情報に関するすべてのプロファイリング活動を直ちに中止し、その旨を当社に書面で通知しなければならない。

4. 処理に関する支援。 サービス提供者が個人情報の処理を支援するために下請け業者その他の者を起用する場合 、当該起用について当社に通知するものとし、当該下請け業者または起用された者は、以下の事項を遵守しなければならない：  

1. 当該サブプロセッサーまたは当該者の信頼性、能力、および誠実性を確保するために合理的に設計された手順を経て選定されており、これには、法的に可能な場合には適切な身元調査の実施が含まれる；

2. 本DPAへのサービスプロバイダーの遵守を支援するために必要な研修を受講していること；

3. 当該サブプロセッサーまたは当該者が、データ保護法規を遵守し、本DPAで認められた範囲内でのみ個人情報を処理することを義務付ける適切な書面による契約を締結していること；および

4. サービス提供者から個人情報へのアクセス権限は、当該下請業者または個人が委託された義務を履行するために必要な範囲に限り、付与されるものとする。

5. データ保護法への準拠に関する支援。当事者は 、サービスプロバイダーによる情報の処理の性質およびサービスプロバイダーが入手可能な情報を考慮し、データ保護法に基づくそれぞれの準拠義務を確実に履行するため、合理的な範囲で相互に協力し、支援を行うものとする。なお、前項の規定を制限することなく：

1. サービス提供者は、個人情報に関するいかなる要請または苦情を受け取った場合、可能な限り速やかに、かつ遅くとも受領から3営業日以内に、当社に通知しなければならない。  

2. サービスプロバイダーは、当社が書面によりその旨を承認した場合を除き、かかる要請には一切応じないものとする。ただし、適用法令に基づきサービスプロバイダーが直接回答する義務を負う場合はこの限りではない。  

3. サービスプロバイダーが適用法令に基づき直接対応する義務を負う場合、法律で禁止されている場合を除き、最初の通知を行う前に当社にその旨を通知し、当該要請への対応にあたっては、当社の合理的な指示に従わなければならない。

4. 当社がサービスプロバイダーに対し個人情報の削除または変更を要請した場合、サービスプロバイダーは速やかにこれに応じ、データ保護法に従い、当該削除または変更の要請を下流の当事者に伝達しなければならない。

6. セキュリティ。サービスプロバイダーは 、リスクに見合った個人情報のセキュリティレベルを確保するため、適切な技術的および組織的措置を講じなければならない。いかなる場合においても、かかる措置は適用されるデータ保護法に準拠したものでなければならない。

7. セキュリティ侵害。サービスプロバイダーは、データ保護法に基づき当該サービスプロバイダーに適用されるセキュリティ侵害に関連するすべての義務を遵守するものとします。サービスプロバイダーは、処理の性質および入手可能な情報を考慮した上で、当社がセキュリティ侵害に関連する義務を遵守できるよう、合理的な支援を行うものとします。

本契約の当事者は、本DPAの条項に当該当事者を法的に拘束する権限を正式に付与されていることをここに表明し、保証する。

‍