DPA(データ保護補遺)
本データ処理補遺(以下「DPA」)は、Edgio、Inc.、その関連会社および子会社(以下「Edgio」)および顧客との間のEdgioの利用規約(以下「契約」)に組み込まれ、その一部となる。 本DPAのいずれかの条項が本契約のいずれかの条項と矛盾する場合、本DPAの適用される条項が支配する。
1.定義。
本DPAでは、以下の用語が使用され、本DPAに記載された意味を有するものとする。 本DPAで使用され、本DPAで定義されていない大文字の用語は、本契約に定める意味を有するものとする。
1.1「適切な国」とは、EUデータ保護法または英国(「英国」)の関連する権限のある当局に基づき、個人データの適切な保護レベルを提供すると認められている国または地域をいう。
1.2「適用されるデータ保護法」とは、 (i)EUデータ保護法を含む、本DPAに基づく個人データの処理に適用されるEEAおよびその加盟国の法令 (ii)カリフォルニア消費者保護法(「CCPA」)およびカリフォルニアプライバシー権法(「CPRA」)。 (iii)上記およびその他の適用されるデータ保護法またはプライバシー法を実施または補足するすべての法律。
1.3「顧客個人データ」とは、消費者(顧客の「エンドユーザー」)に関連するすべての個人データを意味し、本サービスの履行および本契約に基づくエドジオのその他の義務において、顧客に代わってエドジオまたはそのサブプロセッサーによって処理される。
1.4「EEA」とは、欧州連合加盟国、ノルウェー、アイスランド、リヒテンシュタインを含む欧州経済領域を意味する。
1.5「EU保護法」とは (i) GDPR (ii)EU e-Privacy指令(改正された指令2002/58/EC)およびこの改正された指令に代わるすべての法律 三前号に準じて作成された国内データ保護法 (iv)該当する場合は、英国のデータ保護法を含むと読み替えること。
1.6「GDPR」とは、EU一般データ保護規則(規則2016/679 )を意味する。
1.7本DPAに基づく個人データの処理に関する「標準契約条項」とは、 (a)管理者から処理者への個人データの移転に関する標準条項。欧州委員会が随時承認している第三国において確立された処理者への個人データの移転に関する標準条項。現在承認されているバージョンは、2021年6月4日の欧州委員会の決定2021/914に規定されており、https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32021D0914&from=EN別紙2に記載されているものである(「EU標準契約条項」)。 (b)別紙3に規定されるEU標準契約条項の英国補遺(以下「英国補遺」)。
1.8「英国データ保護法」とは、英国GDPRおよび2018年データ保護法を含む、英国において随時施行されるデータ保護、個人データの処理、プライバシーおよび/または電子通信に関連するすべての適用法を意味する。
1.9「英国GDPR」とは、2018年欧州連合(脱退)法の第3条に基づき、イングランドおよびウェールズ、スコットランドおよび北アイルランドの法律の一部を構成する英国の一般データ保護規則を意味する。
1.10「個人データ」とは、適用されるデータ保護法の意味の範囲内で、Edgioがサービス契約に基づくサービスを実行する際にアクセスすることができる「個人データ」または「個人情報」を構成する情報を意味する。
1.11「処理」、「処理」、「データ主体」、「管理者」、「事業者」、「処理者」、「サービスプロバイダー」、「個人データの特別な分類」は、適用されるデータ保護法によって与えられた意味を有し、そのような概念が当該法律に存在する限りにおいて。
2.データ処理
2.1範囲と役割。 本DPAは、本契約に定める相互の義務を考慮して、本サービスに関連して適用されるデータ保護法に従い、Edgioが顧客の個人データを処理する範囲に適用されるものとする。 これに関連して、お客様とEdgioは以下の事項を確認し、同意する。 (a)Edgioは処理者であり、適用されるデータ保護法に基づく管理者であること。 (b)Edgioは、顧客またはそのエンドユーザーが本サービス上に置く個人データの単なる導管として機能する。 Edgioおよびお客様は、適用されるデータ保護法に従い、個人データの処理に適用されるデータ保護法を遵守するものとする。
2.2処理命令。
(a)お客様への指示。 Edgioは、本サービスを提供する手段として、本DPAに規定されたお客様の文書化された指示に従って、または当事者間で書面で相互に合意されたとおりに、お客様の個人データを処理する。 Edgioは、適用されるデータ保護法により、顧客の指示に従わない方法で顧客の個人データを処理することが要求された場合、法律で禁止されていない限り、そのような処理が発生する前に顧客に通知する。
(i)本DPAに基づく顧客個人データを処理する目的は、請求書および支払いの処理、本サービスに関する顧客エンドユーザーおよび/またはサブプロセッサーとの通信、顧客、エンドユーザーおよび/またはサブプロセッサーのアカウントの維持および/または分析、本サービスおよび/またはWebサイトの詐欺または悪用の防止または検出、本サービスの維持および/または更新、および/またはサブプロセッサーによるその他の技術的な提供のための機能の実行を可能にすることを含む。
二エドジオが認定しないこと。 (a)顧客個人データの「売却」(CCPAで定義)または「共有」(CPRAで定義) (b)サービス契約に基づくサービスを提供する特定の目的以外の目的で、お客様の個人データを保持、使用、または開示すること。これには、サービスの提供以外の商業目的でお客様の個人データを保持、使用、または開示することが含まれる。 (c)本サービスを提供するために必要な場合以外、または当事者間の直接の取引関係以外の者に対して、顧客個人データを保持、使用、または開示すること。
(iii)顧客は、(1)その処理指示が適用されるすべてのデータ保護法に準拠していること、および(2)すべての個人データの処理および転送について法的に必要な通知、同意、許可をすべて取得し、維持していることを表明し、保証する。 お客様は、処理の性質を考慮して、Edgioは、お客様の指示が適用されるデータ保護法に違反しているかどうかを判断する立場にないことを認める。
(b)秘密保持。 Edgioは、個人データにアクセスする従業員および第三者に適切な契約上の義務を課し、かかる従業員および第三者が当該個人データに関する守秘義務に拘束され、認識されるようにする。
(c)エドジオ保安措置 Edgioは、別紙1パートCに記載されている技術的および組織的措置を実施し、維持している。これは、偶発的または違法な破壊、偶発的な損失、変更、不正な開示、またはアクセス、およびその他の違法な処理形態から個人データを保護するために設計されたものである。 Edgioは、そのような技術的および組織的措置を随時更新または変更することができるが、そのような更新または変更がサービスの全体的なセキュリティの低下をもたらさないことを条件とする。 顧客は、(最新技術、実施コスト、個人データ処理の性質、範囲、コンテキスト、目的、エンドユーザーへのリスクを考慮して)本項2.2(c)に規定するEdgioが実施し維持する技術的および組織的措置が、個人データに関してリスクに適切なレベルのセキュリティを提供することを認め、同意する。 本サービスを利用するにあたり、お客様は、本サービスの利用をEdgioのエッジサーバーに個人データをキャッシュまたは保存するように設定すべきではないことを認める。
(d)顧客セキュリティ義務顧客は、第2.2(c)項(Edgioセキュリティ対策)および第6(データ侵害通知)に基づくEdgioの義務を損なうことなく、以下を含むサービスの使用について単独で責任を負うことに同意する。
(e)データの特別なカテゴリ。 顧客は、以下のいずれかを明らかにする、または含む個人データを直接または間接的にEdgioに送信または提供してはならず、また、いかなる方法においても、エンドユーザーが、自然人を一意に識別することを目的とした人種または民族の出身、政治的意見、宗教的または哲学的信条、労働組合員、遺伝的データ、生体認証データ、自然人の性生活または性的指向に関するデータ、犯罪に関するデータ。
3.データ主体の権利
3.1本サービスおよび処理の性質を考慮して、お客様は、Edgioが本サービスの一部として特定の制御、機能、および機能をお客様が利用できるようにし、データ主体からの要求(返却または削除の要求を含む)に関連する適用されるデータ保護法に基づく義務に関連して使用することを選択できることを認める。
3.2お客様は、以下の目的のために本サービスを適切に設定する責任を負う。 (a)個人データは、お客様が本サービスを受けるために必要な範囲でのみ収集、転送、および使用される。 (b)個人データが、お客様が本サービスを受けるために必要な最短期間保持されること。 (c)お客様が、APIまたは類似の技術を使用して、本サービスが保持する期間よりも長い期間個人データを保持することを希望する場合に、ログファイル要求を設定する。
3.3本サービスの管理、機能および/または機能に、お客様が個人データを削除するオプションが含まれていない場合、Edgioは、本サービスおよび処理の性質およびEdgioのデータ保持慣行を考慮して、これが実行可能であると判断した場合、および適用されるデータ保護法によりEdgioに個人データの保持が要求されていない限り、そのような削除を容易にするためのお客様の合理的な要求に従う。 Edgioは、本セクション3.3に基づくデータ削除に対して料金を請求することができる。 Edgioは、かかるデータの削除に先立ち、適用される料金の詳細を顧客に提供する。 顧客は、本契約の終了時に、アカウントから個人データを消去する義務を認識し、顧客によって消去されない個人データは、通常の業務プロセスの過程でEdgioのシステムから削除される。
4.サブ処理
4.1お客様が一般的な承認を与える: イエドジオに対し、エドジオ関係会社を復処理者に選任すること。 (b) EdgioおよびEdgioの関連会社は、本サービスの提供をサポートするために必要な場合に限り、マーケティング、ビジネス、エンジニアリングまたはカスタマーサポートプロバイダーを含むがこれらに限定されない第三者のサービスプロバイダーを副処理者として任命する。
4.2顧客は、Edgioがhttps://read.edg.io/hubfs/Edgecast-Service-Supplements/Edgio-Sub-processor-Authorized.pdf (「サブプロセッサーサイト」)を通じてサブプロセッサーのリストを保持していることを認め、同意する。 Edgioは、新しい副処理者が顧客個人データの処理を開始することを許可する少なくとも30日前に、当該新しい副処理者を副処理者サイトに追加することにより、そのような新しい副処理者を顧客に通知する(「通知サービス」)。
4.3通知サービスを通じて通知されたEdgioの新しいサブプロセッサーの使用に対して合理的な異議がある場合、顧客は通知サービスを通じて情報を受け取ってから10営業日以内に書面でEdgioに通知するものとする。 お客様が新しいサブプロセッサーに合理的な異議を申し立てた場合、Edgioは、お客様の異議に対処するために、お客様と誠意を持って話し合いを行うことに同意する。 本項4.3に従って、顧客が新規又は交換されたサブプロセッサーに対して適時に異議を述べなかった場合、顧客は、当該サブプロセッサーに同意し、当該サブプロセッサーに異議を申し立てる権利を放棄したものとみなす。 Edgioは、本項4.3に定める異議申立手続が進行中である間、新しいサブプロセッサーを使用することができる。
4.4 Edgioが第4.1項に従って副処理者を関与させる場合、本DPAの下でEdgioに課されているように、副処理者に実質的に同等の義務を課す副処理者との書面による合意(以下「下請契約の処理」という。 Edgioは、処理下請契約の条件に基づく下請処理者の義務の履行について、顧客に対して引き続き責任を負う。
5.データ転送
5.1 Edgioによる顧客個人データの処理が適切な国以外の場所で行われる場合、当事者は、EEA、スイスまたは英国からEdgioへの顧客個人データの転送に関して、本DPAに添付されている適用可能な標準契約条項が適用されることに同意する。 Edgioは、処理者として、標準契約条項における「データ輸入者」の義務を遵守し、顧客は管理者として、「データ輸出者」の義務を遵守する。
5.2別紙2に定める標準契約条項及び別紙3に定める標準契約条項には、次の条件が適用されるものとする。
(a)顧客は、本DPAのセクション7(監査)の要件に従うことを条件として、標準契約条項の8.9(c)項に基づいて監査の権利を行使することができる。
(b)エドジオは、本DPAの第4節(サブプロセッシング)に規定され、かつの要件に従うことを条件として、サブプロセッサーを任命することができる。
5.3本第5条に別段の定めがある場合にもかかわらず、標準契約条項は、顧客が適切な国外への顧客個人データの合法的な移転のための代替の認識されたコンプライアンス基準を採用している場合には適用されない。
6.データ侵害の通知
6.1 Edgioは、実際のセキュリティイベントが発生したことを認識したときに、そのようなセキュリティイベントが顧客の個人データのセキュリティおよび/または機密性を損なうとEdgioが独自の裁量で判断する限り(「データ侵害」)、遅滞なく顧客に通知する。 Edgioがデータ侵害を被った場合、お客様に通知した時点で、両当事者は、データ侵害の影響を軽減または是正するために必要な措置に同意し、行動するために誠実に協力するものとする。 本第6条(データ侵害通知)に基づくデータ侵害に関するEdgioの通知または対応は、Edgioによるデータ侵害に関するいかなる過失または責任の承認と解釈されないものとする。
6.2データ侵害が発生した場合、顧客は、適用法で要求される影響を受ける個人および他の当事者に通知するかどうか、および通知の方法とタイミングを決定する完全な権限と責任を有する。
7.監査
7.1顧客は、顧客の個人データに関する欧州データ保護法に基づく監査の権利を、まずEdgioからの要求を通じて行使することに同意する。 (a)顧客に対し、第2.2(c)項(Edgio Security Measures)で言及されているEdgioの技術的および組織的措置に関連するEdgioの監査報告書の要約コピー。この報告書は、本契約の機密保持条項に従うものとし、Edgioの技術的および組織的措置が十分であり、受け入れられている業界監査基準に準拠していることを示すものとする。 (b)本DPAに基づいてエドジオが実施する個人データの処理に関連して追加情報を要求または要求する場合、エドジオが保有または管理している追加情報。
7.2顧客が第7.1項に基づき監査報告を受領し、第7.3項の条件に従うことを条件として、顧客または顧客から委任された独立した第三者監査人は、Edgioが本DPAに基づく義務を遵守していることを確認するために、顧客個人データの処理に関連するEdgioの処理環境について合理的な検査を行うことができる。
7.3上記第7.2項に基づく監査の場合、
(a) Edgioは、欧州データ保護法に従い、お客様が合理的に要求することができるように、Edgioが本DPAに基づく義務を遵守していることを証明するために、Edgioが所有または管理している情報をお客様に提供するものとする。 顧客は、監査権を12暦月に2回以上行使してはならない。 監査は、営業日(通常の営業時間内で、米国連邦の休日を除く)及び当事者が事前に合理的に合意した範囲に限定される。 顧客は、少なくとも30日前までにEdgioに監査の通知を行い、Edgioの業務に不必要な混乱を防ぐためにあらゆる合理的な措置を講じなければならない。 顧客は、当該監査に関連するすべての費用及び費用を負担するものとする。
(b) Edgioは、監査人がEdgioの合理的な意見で、適切な資格または独立性がなく、Edgioの競合他社であるか、またはその他明らかに不適切である場合、顧客が指名した第三者監査役に対し、第7.2条に基づく監査を実施することに異議を唱えることができる。 Edgioによるそのような異議申し立ては、顧客が別の監査人を任命するか、または監査を実施することを要求する。
(c)本DPAのいかなる規定も、Edgioがお客様またはその第三者監査役に開示すること、またはお客様またはその第三者監査役が以下にアクセスすることを許可することを要求するものではない。
一エドジオ又はエドジオ関連会社の他の顧客のデータ
(ii) EdgioまたはEdgioアフィリエイトの内部会計または財務情報
三エドジオ又はエドジオ関連会社の営業秘密
(iv) Edgioの合理的な意見で、(1)EdgioまたはEdgioアフィリエイトのシステムまたは施設のセキュリティを侵害する可能性がある情報。または(2)EdgioまたはEdgioアフィリエイトが、適用されるデータ保護法に基づく義務またはお客様または第三者に対するセキュリティおよび/またはプライバシー義務に違反する原因となる情報。
(v)適用されるデータ保護法に基づくお客様の義務の誠実な履行以外の理由で、お客様またはその第三者監査人がアクセスしようとする情報。
(d)お客様は、かかる監査の結果としてお客様への個人データの開示に起因または関連して発生する、第三者が主張するすべての費用および請求について、実際のものであるか否かを問わず、Edgioを補償し、防御し、害を及ぼさない。 本サービスおよび処理の性質を考慮して、お客様は、Edgioが本サービスを提供するためにお客様から要求されるエンドユーザー情報(エンドユーザーのIPアドレスなど)に基づいて、Edgioが個人を特定する立場にないことを認める。
八総則
8.1第三者受益者。 本DPAは、標準契約条項に基づいて付与される権利を害することなく、第三者の受益権を付与しない。
8.2非開示。 顧客は、本DPAの詳細が公に知られておらず、契約で定義されているようにEdgioの機密情報を構成することに同意する。
8.3生存。 本DPAは、本契約の適用される期間中、完全に効力を有するものとし、本契約に別段の定めがある場合にもかかわらず、本契約の終了または満了後も存続するものとする。 本契約が終了または満了した場合、Edgioは、かかる処理が本DPAおよび適用されるデータ保護法の要件に準拠していることを条件として、顧客の個人データを引き続き処理することができる。
8.4完全合意、矛盾。 本DPAは、書面によるか口頭によるかを問わず、お客様の個人データの処理に関する、Edgioとお客様との間の以前または同時期のすべての表明、理解、合意または通信に取って代わる。 このDPAで修正された場合を除き、協定は完全な効力を有する。 本DPAと本契約の条項との間に矛盾が生じた場合、主題が顧客個人データの処理に関する限り、本DPAの条項が優先するものとする。
8.5修正、放棄。 このDPAは書面によってのみ修正され、両当事者が署名することができる。 当事者による本契約における権利の行使または執行の失敗または遅延は、かかる権利の放棄とはみなされない。
PART A
処理者の標準契約条項の管理者の当事者
データエクスポータ:
名前:サービス注文ごと。
住所:サービス注文に応じて。
担当者の名前、役職、連絡先の詳細:サービス注文ごと。
本条項に基づいて転送されるデータに関連する活動:データ輸入者については、以下の活動を参照のこと。
役割:コントローラ
データインポーター:
名前:株式会社Edgio
住所11811 N. Tatum Blvd., Suite 3031, Phoenix, AZ 85028
担当者の名前、役職、連絡先の詳細: Rich Diegnan、DPO、rdiegnan@edg.io
株式会社Edgioは、一連の世界的なPoint of Presenceを通じて、デジタルメディアの顧客にコンテンツ配信ネットワークサービス、ビデオストリーミングおよび関連するセキュリティサービスを提供している。
役割:プロセッサ
PART B
主題
ウェブサイトアクセラレーション、WAF、Edgioネットワークを介したソフトウェアダウンロード、およびAdvanced Botサービスを含む、サービスの提供に関連して実行される処理。
Duration
発効日から本契約の終了まで
データのカテゴリー個人データが転送される対象者。
顧客のエンドユーザー、顧客のビジネス従業員
処理の性質
発効日から本契約の終了まで
転送される個人データのカテゴリー:
カテゴリ
データ
必要に応じて選択
カスタマーコンテンツ内のエンドユーザーの個人データとログデータ内の個人データ
カスタマーコンテンツ内の個人データがある場合は、カスタマーが選択する。 そのようなデータに関して、そのようなデータの処理がある場合、そのようなデータの導管としてのEdgioの役割に限定される。 本サービスを提供するために、Edgioは、データ輸出者のエンドユーザーのIPアドレスの短期的な保存を含む、特定のログデータを処理および保持することができる。
X
処理される機密データ(該当する場合)およびデータの性質と関連するリスクを十分に考慮した制限または保護措置を適用した。たとえば、厳格な目的の制限、アクセス制限(専門的なトレーニングを受けたスタッフのみのアクセスを含む)、データへのアクセス記録の保持、転送の制限、追加のセキュリティ対策。 |
特別なカテゴリ
データ
なし
Nature of the processing
Edgioは、顧客またはそのエンドユーザーがサービスに置く顧客個人データの導管として、コンテンツ配信およびセキュリティサービスを提供するために顧客個人データを処理する。 Edgioは、本サービスを提供する目的でログデータを処理する。 記録されたデータは、請求等の目的で米国に転送され、短期的に保存される。
転送の頻度(例:データが1回限りの転送か連続転送か)
移転は継続的に行われる。
個人データが保持される期間、またはそれが不可能な場合は、その期間を決定するために使用される基準
データ転送およびさらなる処理の目的は、Edgioが必要な範囲で本契約に基づいて本サービスを提供できるようにすることである。
個人データが保持される期間、またはそれが不可能な場合は、その期間を決定するために使用される基準
データ転送およびさらなる処理の目的は、Edgioが必要な範囲で本契約に基づいて本サービスを提供できるようにすることである。
(サブ)プロセッサへの転送については、処理の主題、性質、期間も指定する
お客様の本サービスの構成に応じて、該当するサブプロセッサの詳細には、以下のリンクに記載されているものが含まれる。
https://view.highspot.com/viewer/
616088e19bf7c594a544f64
所轄監督機関
EU標準契約条項:データ輸出者がデータ移転に関してGDPRを遵守することを確保する責任を負う監督当局は、権限のある監督当局として行動する。
EU標準契約条項の英国補遺(該当する場合):データ輸出者が英国に設立されている場合、または英国のデータ保護法および規則の適用領域内にある場合、情報コミッショナーオフィスは、管轄監督機関として機能する。
パートC
技術的な広告組織的な対策
EDGIO情報セキュリティポリシー
情報セキュリティポリシー。 Edgioは、認められた様々な業界セキュリティ標準に基づいた正式な文書化された情報セキュリティポリシーを維持しており、NISTサイバーセキュリティフレームワークに沿っており、Edgioの全従業員と権限を与えられたユーザーに適用される。
情報セキュリティチーム。 Edgioは情報セキュリティチームを維持し、Edgioの情報セキュリティポリシーと慣行の実施を促進し支援する。
EDGIO規格への準拠
製品のセキュリティ。 適用可能なサービスは、Edgioとその顧客のビジネスおよびセキュリティのニーズに適合する技術的、論理的、物理的な制御を用いて設計および実装される。 該当するエンタープライズサービスについて、Edgioは、次の基準、ガイドライン、および慣行の1つ以上の下で、サービスに適用される統制を毎年認定する。
PCI(PCI-DSS)
ISO 27001
SSAE-18 SOC 1、2、または3
証明書の共有。 利用可能な場合、Edgioは、合理的な顧客の要求に応じて、各サービス顧客が購入する証明書を提供する。
Edgio証明書の保護。 顧客に提供された証明書は機密情報とみなされる。
コントロール
Edgioコントロールズ Edgioは、業界で認められているセキュリティプラクティス、手順、およびEdgioの脅威ランドスケープとビジネス環境に特化したツールを使用してネットワークを保護している。
サードパーティ製ハードウェアセキュリティ。 Edgioは、ベンダーが提供するシステムパスワードやその他のセキュリティパラメータのデフォルトを変更する。
定期的なシステムおよびセキュリティテスト。 Edgioは、運用能力を最大化するために、ネットワークセキュリティに利用されるシステムとプロセスを定期的にテストする。
安全なソフトウェア開発サイクル。 Edgioは、プライバシーおよびサイバーセキュリティリスク評価を通じて顧客個人データを保護するように設計されたシステムを開発および維持し、適切な場合は、制御を実施するために開発ライフサイクルにおける自動化を使用する。
モバイルデバイス管理。 標準的なノートパソコンや携帯電話のようなEdgio社が発行したデバイスは、デバイスの保護とそのようなデバイスで処理されるデータのセキュリティに責任を持ち、説明責任を負う特定可能な個人によって管理される。 Edgioの資産は、Edgio以外の物理環境で機器を持ち運び、または使用する場合は、常に物理的にロックされているか、または同等のセキュリティが確保されている必要がある。
ネットワーク監視。 Edgioは、Edgioネットワーク上の不正な活動を識別するために設計されたネットワーク監視ツールと手順を利用する。
サプライチェーンリスク管理
契約の管理。 Edgioは、契約上の措置を講じて、第三者のEdgioに、Edgioの情報セキュリティ基準、サプライヤー行動規範、その他のリスク管理方針などの適切な情報セキュリティ要件の遵守を義務付ける。
Edgioリスク管理。 Edgioは、サードパーティのリスクを管理するためにEdgio企業全体で利用されるガバナンス、プロセス、およびツールを確立した。 このプログラムでは、サプライヤーはEdgioの企業情報セキュリティポリシーと業界のベストプラクティスに基づいて、セキュリティ要件を満たすか、またはそれ以上の要件を満たすことを求めている。 これらのツールと慣行には、サプライヤーがアンケートに回答し、統制証拠を提供し、リモートまたはオンサイトの評価を行うことが含まれる場合がある。 サプライヤーとの問題を発見し、タイムリーに解決する。
アクセス制御
アクセス管理
論理アクセス制御。 Edgioは論理的なアクセス制御ポリシーを維持しているため、権限のある担当者のみが職務や職務の要件に基づいて重要なビジネスアプリケーションやシステムにアクセスできるようになっている。
一意のユーザID。 Edgioは、権限を持つ各ユーザーに、アクションの説明責任のための一意のユーザーIDを割り当てる。
アクセスレビュー。 Edgioは、承認レビューと役割変更プロセスを使用して、承認されたユーザーがアクセスを必要としなくなったときにアクセス権を変更または取り消す必要があることを管理者に警告する。
アクティビティログ。 Edgioのポリシーでは、EdgioのネットワークとEdgio資産へのアクセスのロギングと監視が要求されている。
セキュリティツール。 ハードウェアおよびソフトウェアベースのツールがEdgioネットワーク全体に展開され、ファイアウォール、侵入検知システム、ルーター、スイッチなどのデバイスからのリアルタイムアラートを提供している。
イベントログ。 重要なEdgioアセットは、イベントログを生成するために構成する必要がある。 イベントログは、データ保存および規制要件に従って保持される。
最小権限の原則。 Edgioは一般的に、各システムのアクセスを管理するために最小特権の原則を利用する。 運用ネットワーク、システム、アプリケーション機能の特権アクセスは、通常、運用上可能な限り少数の人員に制限され、「知る必要がある」または「イベントごと」に許可される。
リモートアクセスのための多要素認証。 Edgioのポリシーでは、EdgioのネットワークとEdgio資産へのリモートアクセスを保護するために多要素認証の使用を要求している。
ID検証。 Edgioのアクセス制御ポリシーでは、許可されたユーザーアクセス資格情報が個々の個人、システム、またはサービスを一意に識別し、保護されることを要求している。 許可されたユーザーアクセス資格情報によって付与されたアクセスは、それがまだ必要であることを検証するために定期的にレビューされる必要がある。
プロビジョニング解除。 必要がなくなった場合(職務の変更など)、または解雇の場合は、アクセス権のプロビジョニング解除または削除が必要である。
物理的なセキュリティ
物理的な制御。 Edgioは、許可された人員にEdgioシステムが収容されている施設への物理的なアクセスを制限するための制御を利用している。
物理アクセス管理。 施設の種類によっては、電子カードアクセスリーダー、鍵、警備員、または現地の会社員によってアクセスが許可される場合がある。
監視。 CCTVカメラは要員、作戦および財産を保護するために戦略的な場所に配備されている。
ビジター管理。 Edgioのポリシーでは、訪問者は常にEdgioが発行した訪問者バッジを所持して展示することを求めている。 Edgioは訪問者が訪問者バッジを受け取る前に訪問者のログにサインインすることを要求する。 エドジオの従業員は、エドジオの敷地内では常に会社発行のIDバッジを着用する必要がある。
データセンターのセキュリティ。 Edgioは、コンピュータ室、データセンター、および同様の施設ごとに物理的なセキュリティ制御を要求する。
従業員および請負業者の情報セキュリティトレーニング
年次情報セキュリティ意識向上トレーニング。 Edgioは、Edgioの従業員および請負業者に対し、情報セキュリティおよびサイバーセキュリティを対象としたトレーニングを毎年完了し、情報セキュリティにおける役割を知らせることを義務付けている。
ペネトレーションテスト
Edgioのペネトレーションテストの内部使用。 Edgioは、リスクに基づいてEdgioの社内外環境でペネトレーションテストを実施している。
ペネトレーションテストの制限。 Edgioとその顧客に課せられたセキュリティ上の懸念のため、Edgioは顧客がEdgioが所有、運用、またはEdgioデータセンター内にあるネットワークデバイスのセキュリティ状態をテストすることを許可していない。 さらに、Edgioはサービス拒否、フラッディング、またはネットワーク帯域幅の大量消費を伴う同様のテスト活動を許可しない。
ファイアウォールとネットワークのセグメント化
ファイアウォールとセキュリティツール。 Edgioは、ハードウェアやソフトウェアベースのツール(ファイアウォールなど)をEdgioネットワーク全体で利用して、侵入検知システム、ルーター、スイッチなどのデバイスからのリアルタイムアラートを提供する。
ネットワークおよびシステムアーキテクチャ。 Edgioは、サイバーリスクを軽減するためにシステム、ソフトウェア、ネットワークアーキテクチャのプラクティスを使用している。
バックUPS(お客様のコンテンツには適用されない)
バックアップポリシー。 Edgioは、適切な場合、正式にデータバックアップポリシーと手順を維持している。 データのバックアップは、データマッピング、保持、削除アクティビティを完了する際に管理され、考慮される。
重要なファイルのバックアップとテスト。 管理者は、重要なファイルの定期的なバックアップを作成し、情報を侵害、損失、または損傷から保護するために適切な予防措置を講じる必要がある。 さらに、管理者はバックアップ/災害復旧の復元手順の定期的なテストを実行する必要がある。
データの保存と破棄(お客様のコンテンツには適用されない)
データ保持ポリシー。 Edgioのポリシーでは、データの作成、送信、保存、変更、保存、破棄に至るまで、データのライフサイクル全体にわたって体系的かつ構造化された方法でデータを管理および保護することが求められている。
システム固有。 Edgioは、システム固有のデータ保持要約を使用してデータ保持を管理する。 データ保持サマリーには、システムに含まれるデータタイプ、各データタイプの収集と使用の目的、破壊のトリガーイベント、およびデータを保持する必要がある期間が記録される。 これらのデータ保持要約は、Edgioの全社的なデータ保持スケジュールおよび適用される法律、規制、顧客の要求に準拠する必要がある。
データ破壊。 Edgioのデータ破壊行為はNIST 800-88に準拠しており、磁気、ソリッドステート、光学メディア、機密紙文書に含まれるデータを包含する。
インシデント対応/データ侵害
プログラム
インシデント対応計画。 Edgioは、文書化されたアクション可能なインシデント対応計画を維持しており、Edgioがデータ侵害にタイムリーに対応できるようにしている。
応答計画テスト。 Edgioのインシデント対応計画は、文書化された手順を調整し検証するための卓上演習を使用してテストされる。
インシデントへの対応と緩和
セキュリティイベントレビュー。 セキュリティイベントデータは、スケジュールに基づいてレビューおよび分析される。 セキュリティイベントは、事前に定義されたイベントのしきい値を超えた場合に速やかにエスカレーションし、定義されたインシデント管理プロセスに従って対応する必要がある。
人事
HRシステム、プロビジョニング解除。 Edgioの情報セキュリティプロトコルと手順は、Edgio Human Resourceのすべてのシステムとプロセスに組み込まれている必要がある。 Edgioの人事部門(以下「HR」)とIT部門は、新規従業員の要求、役割の変更、または従業員の解雇に対応するアカウントの作成、役割の許可、およびアクセスのプロビジョニング解除について、監査可能な自動ルーチンを導入している。
バックグラウンドチェック。 適用法に従い、HRは、エドジオの従業員の雇用時の包括的な雇用前バックグラウンド調査を完了し、これには犯罪歴、SSN、就労許可、禁止当事者リスト(外国資産管理局など)のチェックが含まれる。
Edgio行動規範。 Edgio行動規範は、Edgioの従業員がEdgioの情報セキュリティポリシーと手順を遵守することを要求している。
脆弱性管理プログラム
脆弱性リスクの軽減。 Edgioの脆弱性管理プログラムは、Edgioのビジネス環境における脆弱性のリスクを軽減するためのプラクティスと手順を実装および維持するように設計されている。
パッチ管理プロセス。 ネットワークとホストシステムの高レベルの機能とセキュリティを維持するために、EdgioはEdgioネットワークにインストールされた本番ハードウェアとソフトウェアのパッチ管理プロセスを確立している。 ベンダーのセキュリティパッチは、リスクと展開の優先順位を決定するために最初に評価される。 パッチが適切なテスト手順に合格すると、リリースされ、本番環境にデプロイされるスケジュールが設定される。
大幅なシステム変更。 Edgioは、Edgioアセットの重要な変更をスケジュール、監視、制御、追跡する。
脆弱性スキャン。 Edgioは定期的に内部および外部の脆弱性スキャンを実行する。 システム所有者は、脅威ベクトルの変化に適応するために、必要に応じてリアルタイムの脆弱性システムスキャンをスケジュールすることができる。
顧客スキャンの制限。 Edgioのシステムを混乱させ、Edgioとその顧客にセキュリティリスクをもたらす可能性があるため、Edgioは顧客(またはその第三者)がEdgioの資産をテストまたはスキャンすることを許可していない。
レポート共有の制限事項。 Edgioは、脆弱性レポートを提供したり、Edgioインフラストラクチャ内に展開されている特定のハードウェア、ソフトウェア、またはサードパーティ製品の使用および/または非使用に関する特定のCommon Vulnerability & Exposures (「CVE」)の質問に答えたりすることはない。
ビジネス継続性とイベント管理(BCEM)
ビジネス継続性プロトコル。 Edgioは、Edgioのネットワークや施設を混乱させたり、Edgioのサービス提供能力を損なう可能性のある重大なイベントに対応するEdgioの能力を強化するために設計された事業継続プロトコルと災害復旧プロトコルを維持している。
災害リスク評価。 Edgioの事業継続と災害復旧のプラクティスは、Edgioの資産に対する潜在的な回復リスクを特定し、業界で受け入れられているプラクティスを使用してそれらのリスクを最小化および軽減するために設計された対策を実施する。
専用のチームリソース。 Edgioは、厳格な標準化された計画と定期的なテストを通じて、復旧リスクを最小限に抑え、Edgioの対応能力を検証するために設計された戦略を開発および実施する。
別紙2:EUからの移転に使用するための標準契約条項
(コントローラからプロセッサへの接続)
欧州議会および理事会の規則(EU)2016/679に基づく第三国への個人データの移転に関する標準契約条項に関する2021年6月4日の欧州委員会実施決定(EU)2021/914。
お客様とEdgio, Inc.との間の「データの輸入者」は、それぞれ「当事者」をいい、一緒に「当事者」をいい、
ここに含まれる相互の契約及び約束を考慮して
データ輸出者が附属書1に規定する個人データのデータ輸入者に移転するために、個人のプライバシーおよび基本的権利および自由の保護に関する適切な保護措置を追加するために、以下の契約条項(以下「条項」)に同意していること。
セクションI
第一項
目的と範囲
(a)これらの標準契約条項の目的は、個人データの処理に関する自然人の保護および第三国へのデータ転送のためのそのようなデータの自由な移動に関する2016年4月27日の欧州議会および理事会の規則(EU) 2016/679の要件への準拠を確保することである。
(b)締約国
(i)附属書I.Aに掲げる個人データを移転する自然人又は法人、公権力、機関又はその他の団体(以下「法人」という。)(以下「データ輸出者」という。)
(ii)附属書I.Aに掲げる別の事業体を経由して、データ輸出者から個人データを受領する第三国の事業体(以下「データ輸入者」という。)
これらの標準的な契約条項(以下、「条項」)に同意していること。
(c)これらの条項は、附属書I.B.に規定されている個人データの移転に関して適用される。
(d)これらの条項の附属書は、その中で言及されている附属書を含むものであり、これらの条項の一体的な部分を成している。
第二項
節の効果と不変性
(a)これらの条項は、規則(EU)2016/679の第46(1)条及び第46(2)(c)に基づき、執行可能なデータ主体の権利及び効果的な法的救済を含む適切な保護措置を定めており、管理者から処理者及び/又は処理者から処理者へのデータ移転に関して、規則(EU)2016/679の第28(7)に基づく標準契約条項が変更されていない限り、適切なモジュールを選択するか、または更新する。 これは、当事者がこれらの条項に定められた標準的な契約条項をより広範な契約に含めること、および/または他の条項または追加の保護措置を追加することを妨げるものではない。ただし、これらの条項に直接的または間接的に矛盾したり、データ主体の基本的な権利または自由を害したりしないことを条件とする。
(b)これらの条項は、規則(EU) 2016/679によりデータ輸出者が被る義務を損なうものではない。
第三項
第三者受益者
(a)データ主体は、第三者受益者として、データ輸出者および/またはデータ輸入者に対して、これらの条項を発動し、執行することができる。ただし、次の例外がある。
一第一項第二項第三項第六項第七項
(ii)第8項モジュール2項8.1(b)、8.9(a)、(c)、(d)および(e)
(iii)第9項–モジュール2:第9項(a) (c)、 ニ及び ホ
(iv)第12項モジュール第2項第12項(a),(d)及び(f)
五第十三条
六第十五条第一項ハ、ニ及びホ
七第十六条ホ
(viii)第18項–モジュール2第18項(a)及び(b)。
ロ段落 (a)規則(EU) 2016/679に基づくデータ主体の権利を害するものではない。
第四項
解釈
(a)規則(EU) 2016/679で定義されているこれらの条項の使用用語は、その規則と同じ意味を有するものとする。
(b)これらの条項は、規則(EU) 2016/679の規定に照らして読み取られ、解釈されるものとする。
(c)これらの条項は、規則(EU) 2016/679で規定されている権利及び義務に抵触するように解釈されてはならない。
第5項
階層
これらの条項が合意された時点またはその後締結された時点で存在する、これらの条項と締約国間の関連する契約の条項との間に矛盾がある場合には、これらの条項が優先される。
第6項
転送の説明
譲渡の詳細、特に譲渡される個人データの種類及び譲渡の目的は、附属書I.B.
第七項
ドッキング句
故意に空白。
第二節当事者の義務
第八項
データ保護対策
データ輸出者は、データ輸入者が、適切な技術的及び組織的措置の実施を通じて、これらの条項に基づく義務を履行することができると判断するために合理的な努力をしたことを保証する。
8.1手順
(a)データ輸入者は、データ輸出者からの文書化された指示に従ってのみ個人データを処理するものとする。 データ輸出者は、契約期間を通じてそのような指示を与えることができる。
(b)データ輸入者は、これらの指示に従わない場合は、直ちにデータ輸出者に通知するものとする。
8.2目的の制限
データ輸入者は、データ輸出者からのさらなる指示がない限り、附属書I.Bに定める転送の特定の目的のためにのみ個人データを処理するものとする。
8.3透明性
要求があれば、データ輸出者は、当事者が記入した付録を含むこれらの条項のコピーを、データ主体が無料で利用できるようにするものとする。 データ輸出者は、附属書IIに記載されている措置を含め、事業秘密又はその他の機密情報及び個人データを保護するために必要な範囲において、コピーを共有する前に、これらの条項の附属書の本文の一部を編集することができるが、データ主体がその内容を理解し又は権利を行使することができないような有意義な要約を提供しなければならない。 要請に応じて、両当事者は、編集された情報を明らかにすることなく、可能な限り、データ主体に編集の理由を提供するものとする。 この条項は、規則(EU) 2016/679の第13条および第14条に基づくデータ輸出者の義務を損なうものではない。
8.4精度
データ輸入者は、受領した個人データが不正確であること、または古くなったことを認識した場合は、遅滞なくデータ輸出者に通知するものとする。 この場合、データ輸入者は、データ輸出者と協力してデータの消去または修正を行わなければならない。
8.5データの処理および消去または返却の期間
データ輸入者による処理は、附属書I.B.に指定された期間のみ行われるものとする。処理サービスの提供終了後、データ輸入者は、データ輸出者の選択により、データ輸出者に代わって処理されたすべての個人データを削除し、データ輸出者にその旨を証明するか、データ輸出者に返却して既存のコピーを削除する。 データが削除または返却されるまで、データ輸入者は、これらの条項の遵守を引き続き保証するものとする。 個人データの返却または削除を禁止するデータ輸入者に適用される現地の法律の場合、データ輸入者は、これらの条項の遵守を継続し、その現地の法律で要求される範囲内でのみ処理することを保証する。 これは、第14条、特に第14条(e)に基づくデータ輸入者が、第14条(a)に基づく要件に適合しない法律または慣行に該当する、または従うと信じる理由がある場合、契約期間中を通じてデータ輸出者に通知することを要求することに影響を及ぼすものではない。
8.6処理のセキュリティ
(a)データの輸入者および送信中に、データの輸出者は、偶発的または違法な破壊、損失、変更、不正な開示またはそのデータへのアクセスにつながるセキュリティ違反に対する保護を含む、データのセキュリティを確保するための適切な技術的および組織的措置を実施しなければならない(以下、「個人データ侵害」)。 締約国は、適切なレベルのセキュリティを評価するに当たり、最先端技術、実施コスト、処理の性質、範囲、文脈及び目的並びにデータ主体の処理に伴うリスクを十分に考慮する。 締約国は、処理の目的がその方法で達成される場合には、送信中を含め、特に暗号化又は仮名化に頼ることを考慮する。 仮名化の場合、個人データを特定のデータ主体に帰属させるための追加情報は、可能な限り、データ輸出者の独占的な管理下に置かれるものとする。 この項に基づく義務を遵守するに当たり、データ輸入者は、少なくとも附属書IIに定める技術的及び組織的措置を実施しなければならない。 データ輸入者は、これらの措置が適切なレベルのセキュリティを提供し続けることを確実にするために、定期的なチェックを実施しなければならない。
(b)データ輸入者は、契約の実施、管理および監視のために厳密に必要な範囲内でのみ、個人データへのアクセスを従業員に許可するものとする。 個人データを処理する権限を与えられた者が秘密保持を約束しているか、または適切な法定守秘義務の下にあることを保証しなければならない。
(c)データ輸入者は、これらの条項に基づいて処理された個人データに関する個人データ侵害が発生した場合、その悪影響を軽減するための措置を含む、違反に対処するための適切な措置を講ずるものとする。 データ輸入者はまた、違反に気付いた後、不当に遅延することなくデータ輸出者に通知しなければならない。 当該通知には、より多くの情報を得ることができる連絡先の詳細、侵害の性質の説明(可能な場合には、データ主体及び個人データ記録のカテゴリー及びおおよその数を含む。)、その起こりうる結果及び違反に対処するために講じられ又は提案された措置(適切な場合には、その起こりうる悪影響を軽減する措置を含む。 すべての情報を同時に提供することができない場合には、最初の通知には、その時点で入手可能な情報を含めるものとし、追加の情報が入手可能になったときは、その後、不当な遅延なく提供するものとする。
(d)データ輸入者は、データ輸出者が規則(EU) 2016/679に基づく義務を遵守できるように、特に処理の性質とデータ輸入者が利用可能な情報を考慮して、管轄監督機関と影響を受けるデータ主体に通知できるように、データ輸出者と協力し、支援するものとする。
8.7機密データ
個人を特定するための人種的または民族的出身、政治的意見、宗教的または哲学的信念、労働組合の組合員、遺伝的データ、または生体情報データ、健康または性的指向に関するデータ、または刑事上の有罪判決や犯罪に関連するデータ(以下「センシティブデータ」)が転送に含まれる場合、データ輸入者は、附属書I.B.に記載されている特定の制限および/または追加の保護措置を適用しなければならない。
8.8以降の転送
データ輸入者は、データ輸出者からの文書化された指示に従ってのみ、個人データを第三者に開示しなければならない。 さらに、当該データは、当該第三者が本条項に拘束されることに同意した場合、または該当するモジュールの下で以下の場合にのみ、欧州連合(EU)外(データ輸入者と同じ国、または他の第三国、以下「転送」)に所在する第三者に開示されることがある。
(i)次への移転が、次への移転を対象とする規則(EU)2016/679の第45条に基づく十分性の決定の恩恵を受ける国へのものであること。
(ii)当該処理に関して、第三者が第四十六条又は第四十七条(EU)2016/679規則に基づく適切な保護措置を確保していること。
三特定の行政上、規制上又は裁判上の手続において、法律上の請求権の設定、行使又は抗弁のために必要であること。
四データ主体又は他の自然人の生命の利益を保護するために必要なものであること。
その後の転送は、データ輸入者がこれらの条項に基づく他のすべての保護措置、特に目的の制限を遵守することを条件とする。
8.9文書化と準拠
(a)データ輸入者は、これらの条項に基づく処理に関連するデータ輸出者からの問い合わせに迅速かつ適切に対処するものとする。
(b)両締約国は、これらの条項の遵守を証明することができる。 特に、データ輸入者は、データ輸出者に代わって行われた処理活動に関する適切な文書を保管しなければならない。
(c)データ輸入者は、これらの条項に定められた義務の遵守を証明するために必要なすべての情報をデータ輸出者に提供し、データ輸出者の要求に応じて、合理的な間隔で、これらの条項の対象となる処理活動の監査を許可し、貢献するものとする。 審査又は監査を決定する際に、データ輸出者は、データ輸入者が保有する関連する認証を考慮に入れることができる。
(d)データ輸出者は、自ら監査を実施するか、または会計監査人を委任するかを選択することができる。 監査には、データ輸入者の施設または物理的な施設での検査が含まれる場合があり、適切な場合には、合理的な通知を受けて実施されるものとする。
ホ締約国は、各項の情報を作成する。 ロ及び (c)所轄監督機関は、要請に応じて、監査の結果を含む。
第9項
サブプロセッサの使用
(a)データ輸入者は、合意されたリストからのサブプロセッサーの契約について、データ輸出者の一般的な許可を得ている。 データ輸入者は、少なくとも30日前までにサブプロセッサーの追加または交換によるリストへの意図された変更を書面でデータ輸出者に通知しなければならない。これにより、データ輸出者がサブプロセッサーの契約前にそのような変更に異議を唱えることができる十分な時間を与えなければならない。 データ輸入者は、データ輸出者が異議を申し立てる権利を行使できるようにするために必要な情報をデータ輸出者に提供しなければならない。
(b)データ輸入者が(データ輸出者に代わって)特定の処理活動を行うために復処理者を従事させる場合は、データ主体の第三者受益権に関する事項を含む、これらの条項に基づいてデータ輸入者を拘束するものと実質的に同一のデータ保護義務を規定する契約書により行うものとする。 両当事者は、本条項を遵守することにより、データ輸入者が第8.8条に基づく義務を履行することに同意する。 データ輸入者は、サブプロセッサーがデータ輸入者がこれらの条項に従って被る義務を遵守することを保証しなければならない。
(c)データ輸入者は、データ輸出者の要求に応じて、そのようなサブプロセッサー契約のコピーおよびデータ輸出者に対するその後の修正を提供しなければならない。 個人データを含む事業上の秘密またはその他の機密情報を保護するために必要な範囲で、データ輸入者は、コピーを共有する前に契約書のテキストを編集することができる。
(d)データ輸入者は、データ輸入者との契約に基づくサブプロセッサーの義務の履行について、データ輸出者に対して完全な責任を負うものとする。 データ輸入者は、サブプロセッサーがその契約に基づく義務を履行しなかった場合、データ輸出者に通知しなければならない。
(e)データ輸入者は、第三者受益者条項に同意しなければならない。これにより、データ輸入者が事実上消滅した場合、法律上消滅した場合、または破産した場合、データ輸出者は、サブプロセッサー契約を解除し、サブプロセッサーに個人データを消去または返却するように指示する権利を有する。
第十項
データ主体の権利
イ データ輸入者は、データ主体からの要求を受けた場合には、速やかにデータ輸出者に通知するものとする。 データ輸出者から許可を受けていない限り、その要求自体に応答しないものとする。
(b)データ輸入者は、規則(EU) 2016/679に基づくデータ主体の権利行使の要求に対応する義務を履行する上で、データ輸出者を支援しなければならない。 この点に関し、締約国は、援助が提供される処理の性質並びに必要とされる援助の範囲及び範囲を考慮して、附属書IIに適当な技術的及び組織的措置を定める。
ハ各項の義務を履行すること。 イ及び (b)データ輸入者は、データ輸出者の指示に従うものとする。
第11条
レドレス
(a)データ輸入者は、苦情を処理する権限を与えられた連絡先を、個別の通知またはそのウェブサイトを通じて、透明で容易にアクセスできる形式でデータ主体に通知しなければならない。 データ主体から受けた苦情には速やかに対処する。
(b)これらの条項の遵守に関して、データ主体と一方の締約国との間で紛争が生じた場合には、当該締約国は、問題を適時に友好的に解決するために最善の努力を払う。 2締約国は、当該紛争について相互に情報を提供し、適当な場合には、当該紛争の解決に協力する。
(c)データ主体が第三項に基づき第三者受益権を発動する場合、データ輸入者は、次の事項についてデータの決定を受諾しなければならない。
一その常居所若しくは勤務地の加盟国の監督機関又は第十三条の規定により管轄監督機関に苦情を申し立てること。
(ii)第18項の意味の範囲内で紛争を管轄裁判所に送致した。
(d)締約国は、規則(EU) 2016/679の第80条(1)に規定されている条件の下で、データ主体が非営利団体、組織または団体によって代表されることを受け入れる。
(e)データ輸入者は、適用されるEUまたは加盟国の法律に基づいて拘束力のある決定を遵守しなければならない。
(f)データ輸入者は、データ主体が行った選択が、適用法に従って救済を求める実質的および手続的権利を害するものではないことに同意する。
第12条
責任
(a)各締約国は、これらの条項の違反によって他方の締約国に生じた損害について、他方の締約国に対して責任を負う。
(b)データ輸入者は、データ主体に対して責任を負い、データ輸入者またはそのサブプロセッサーがこれらの条項に基づく第三者受益権に違反してデータ主体に生じた重大な損害または非重大な損害について、補償を受ける権利を有する。
ハ前項の規定にかかわらず (b)、データ輸出者は、データ主体に対して責任を負い、データ主体は、データ輸出者またはデータ輸入者(またはそのサブプロセッサー)がこれらの条項に基づく第三者受益権に違反してデータ主体に引き起こした重要または非重要な損害について、補償を受ける権利を有する。 これは、データ輸出者の責任、およびデータ輸出者が管理者に代わって行動する処理者である場合、規制(EU) 2016/679または規制(EU) 2018/1725に基づく管理者の責任を損なうものではない。
(d)当事者は、データ輸出者が段落の規定に基づき責任を負う場合には、 (c)データ輸入者(又はそのサブプロセッサー)によって生じた損害については、データ輸入者に対し、損害に対する賠償の一部を請求する権利を有する。
(e)複数の当事者がこれらの条項の違反の結果としてデータ主体に生じた損害について責任を負う場合、すべての責任当事者は連帯して責任を負い、データ主体はこれらの当事者のいずれかに対して訴訟を起こす権利を有する。
(f)締約国は、一方の締約国が前項の規定により責任を負うことに合意する。 (e)は、損害に対する自己の責任に相当する賠償の一部を相手方から請求する権利を有する。
トデータ輸入者は、自己の責任を回避するために復処理者の行為を発動することができない。
第13条
監督
附属書I.Cに示されているように、データ輸出者によるデータ移転に関する規則(EU)2016/679の遵守を確保する責任を有する監督当局は、管轄監督当局として行動する。
(b)データ輸入者は、これらの条項の遵守を確保することを目的とした手続について、管轄監督機関の管轄に服し、管轄監督機関に協力することに同意する。 特に、データ輸入者は、照会に対応し、監査に提出し、監督当局が採用した救済措置や補償措置を含む措置を遵守することに同意する。 監督当局は、監督当局に対し、必要な措置が講じられたことを確認する書面を提供するものとする。
セクションIII–公的機関がアクセスする場合の現地の法律および義務
第十四条
条項の遵守に影響を与える現地の法律および慣行
(a)当事者は、個人データの開示要件または公的機関によるアクセスを許可する措置を含む、データ輸入者による個人データの処理に適用される第三国の法律および慣行が、データ輸入者がこれらの条項に基づく義務を履行できないと信じる理由がないことを保証する。 これは、基本的権利と自由の本質を尊重し、規則(EU) 2016/679の第23条(1)に掲げる目的の一つを保護するために必要かつ比例的なものを超えない法律と慣行は、これらの条項と矛盾しないという理解に基づいている。
(b)締約国は、前項の保証を行うに当たり、 (a)特に次に掲げる事項を十分に考慮していること。
一処理の連鎖の長さ、関係者の数及び使用される伝達経路、意図された先への転送、受取人の種類、処理の目的、転送された個人データの種類及び形式、転送される経済部門、転送されたデータの保管場所を含む転送の具体的な状況
(ii)目的地の第三国の法律及び慣行(公的機関へのデータの開示を要求するもの、または当該当局によるアクセスを許可するものを含む。)移転の特定の状況、適用される制限及び保障措置に照らして関連するもの
(iii)これらの条項に基づく保護措置を補完するために導入されている関連する契約上、技術上、または組織上の保護措置(宛先国における個人データの送信時および処理時に適用される措置を含む。
ハデータ輸入者は、第一項の調査を行うに当たり、その旨を保証すること。 (b)データ輸出者に関連情報を提供するために最善の努力を尽くしており、これらの条項の遵守を確保するためにデータ輸出者と引き続き協力することに同意する。
(d)締約国は、(b)の規定による評価を文書化し、要請に応じて所轄監督機関がこれを利用できるようにすることに同意する。
(e)データ輸入者は、これらの条項に同意した後、契約の期間中、第三国の法律の変更又は当該法律の適用を示す措置(開示請求等)の実施を含む、第一項に規定する要件に適合しない法令又は慣行の対象となったと信じるに足りる理由がある場合には、速やかにデータ輸出者に通知することに同意する。
(e)に基づく通知の後、またはデータ輸出者がこれらの条項に基づく義務を果たすことができなくなったと信じる理由がある場合、データ輸出者は、データ輸出者および/またはデータ輸入者が採用すべき適切な措置(セキュリティと機密性を確保するための技術的または組織的措置など)を速やかに特定するものとする。
第15項
公的機関によるアクセスの場合のデータ輸入者の義務
15.1通知
(a)データ輸入者は、次の場合、データ輸出者および可能な場合は、データ主体に速やかに通知することに同意する(必要に応じてデータ輸出者の助けを借りて)。
(i)これらの条項に基づいて転送された個人データの開示について、目的地の国の法律に基づいて司法当局を含む公的機関から法的拘束力のある要請を受けた場合。その通知には、要請された個人データ、要請された当局、要請された法的根拠および提供された回答に関する情報が含まれていること。
(ii)目的国の法律に従って、これらの条項に従って転送された個人データに公的機関が直接アクセスすることを認識した場合。その通知には、輸入者が利用できるすべての情報が含まれているものとする。
(b)データ輸入者が、仕向国の法律によりデータ輸出者及び/又はデータ主体に通知することが禁止されている場合、データ輸入者は、できるだけ早くできるだけ多くの情報を伝達することを目的として、その禁止の放棄を得るために最善の努力をすることに同意する。 データ輸入者は、データ輸出者の要求に応じてそれらを実証できるように最善の努力を文書化することに同意する。
(c)データ輸入者は、仕向国の法律で許容される場合には、データ輸出者に対し、契約期間中、定期的に、受信した要求(特に、要求の数、要求されたデータの種類、要求権限、要求に異議があるかどうか、及びそのような異議の結果等)に関するできるだけ多くの関連情報を提供することに同意する。
(d)データ輸入者は、契約期間中、(a)から(c)までの規定により情報を保存し、要求に応じて所轄監督機関がこれを利用できるようにすることに同意する。
(e)(a)から(c)までは、第十四条(e)及び第十六条に基づくデータ輸入者がこれらの条項を遵守することができない場合には、データ輸出者に速やかに通知する義務を害するものではない。
15.2合法性とデータの最小化のレビュー
(a)データ輸入者は、開示請求の適法性、特に請求官庁に与えられた権限の範囲内にあるかどうかを検討し、慎重な評価の結果、開示請求が仕向国の法律、国際法に基づく適用義務、国際的な礼節に基づく違法であると判断する合理的な根拠があると判断した場合には、請求に異議を申し立てることに同意する。 データ輸入者は、同じ条件の下で、控訴の可能性を追求しなければならない。 要請に異議を申し立てる場合、データ輸入者は、権限のある司法機関がその判断を下すまで、要請の効力を停止するための暫定措置を求めるものとする。 個人情報は、適用される手続規則に基づき開示を求められるまで開示しない。 これらの要件は、第14(e)項に基づくデータ輸入者の義務を損なうものではない。
(b)データ輸入者は、その法的評価および開示要求に対する異議を文書化し、仕向国の法律で許容される範囲内で、データ輸出者がその文書を利用できるようにすることに同意する。 また、所轄監督機関が要請に応じてこれを利用できるようにする。
(c)データ輸入者は、開示請求に応じる際に、その請求の合理的な解釈に基づき、許容できる最小限の情報を提供することに同意する。
第四節最終規定
第16条
条項の不遵守と終了
(a)データ輸入者は、理由の如何を問わず、これらの条項を遵守できない場合は、速やかにデータ輸出者に通知するものとする。
(b)データ輸入者がこれらの条項に違反している場合、またはこれらの条項を遵守できない場合、データ輸出者は、コンプライアンスが再度確保されるまで、または契約が終了するまで、データ輸入者への個人データの転送を停止するものとする。 これは第14(f)項に影響を与えるものではない。
(c)データ輸出者は、次の場合、これらの条項に基づく個人データの処理に関する限り、契約を終了する権利を有する。
(i)データ輸出者が、第(b)項の規定に基づきデータ輸入者への個人データの転送を停止し、かつ、合理的な期間内に、かつ、いかなる場合も、停止から一箇月以内にこれらの条項の遵守が回復されないこと。
(ii)データ輸入者がこれらの条項に実質的または継続的な違反をしていること。
三データ輸入者が、これらの条項に基づく義務について、管轄裁判所又は監督機関の拘束力のある決定に従わないとき。
この場合、監督当局は、そのような不遵守を管轄監督当局に通知しなければならない。 契約が2つ以上の当事者を含む場合、データ輸出者は、当事者が別段の合意をしない限り、関連当事者に関してのみこの権利を行使することができる。
ニ第一項の規定による契約の終了前に移転された個人データ (c)データ輸出者の選択により、直ちにデータ輸出者に返却し、又はその全体を削除しなければならない。 データの複製についても同様とする。 データ輸入者は、データの削除をデータ輸出者に証明しなければならない。 データが削除または返却されるまで、データ輸入者は、これらの条項の遵守を引き続き保証するものとする。 転送された個人データの返還または削除を禁止するデータ輸入者に適用される現地の法律の場合、データ輸入者は、これらの条項の遵守を継続し、その現地の法律で要求される範囲内でのみデータを処理することを保証する。
(e)いずれかの当事者は、次の場合には、これらの条項に拘束される協定を取り消すことができる。 (i)欧州委員会が、規則(EU)2016/679の第45条(3)に基づき、これらの条項が適用される個人データの移転を対象とする決定を採択する。 (ii)規則(EU) 2016/679は、個人データの移転先国の法的枠組みの一部となる。 これは、規則(EU) 2016/679の下で問題の処理に適用される他の義務に影響を与えるものではない。
第十七条
準拠法
これらの条項は、EU加盟国の法律に準拠するものとする。ただし、当該法律が第三者受益権を認める場合に限る。 両当事者は、これがアイルランド法であることに同意する。
第十八条
裁判地と管轄権の選択
(a)これらの条項から生じた紛争は、EU加盟国の裁判所によって解決される。
(b)両当事者は、これらの裁判所をアイルランドの裁判所とすることに同意する。
(c)データ主体はまた、データ輸出者及び/又はデータ輸入者に対して、その常居所を有する加盟国の裁判所に訴訟手続を提起することができる。
(d)両当事者は、当該裁判所の管轄権に服することに同意する。
第十九条
スイスのデータ保護法の対象となる転送
(a)スイスのデータ保護およびプライバシーに関する法律および規制(「スイスのデータ保護法」を参照)が個人データの移転に適用される場合、データ輸出者およびデータ輸入者は、かかる移転に関連して(かつ、これらの条項の適用を制限または影響することなく)、以下の条項が改正されることに同意する。
私 規則(EU)2016/679または「当該規則」またはEUまたは加盟国の法律に対するこれらの条項における一般的および具体的な言及は、スイスのデータ保護法における同等の言及と同じ意味を有する。
II. 「加盟国」という用語は、これらの条項の第18条(c)に従って、スイスのデータ主体の居住地(スイス)での権利のために訴える可能性から、スイスのデータ主体を除外するような方法では解釈されない。
III 移転の詳細は、スイスのデータ保護法が当該移転を行う際のデータ輸出者の処理に適用される付属書Iに規定されているものである。
iv. これらの条項は、スイスのデータ保護法の下で「個人データ」と同様に保護されている、特定または識別可能な法人に関する情報の転送にも適用される。
v.スイス連邦データ保護情報コミッショナーは、これらの条項の第13条の目的上、権限のある監督機関である。
別紙2の附属書I
A.当事者のリスト
データ輸出者:[データ輸出者、および該当する場合はそのデータ保護担当者および/または欧州連合の代表者の身元および連絡先の詳細]
別紙1パートAを参照。
B.譲渡の説明
別紙1パートBを参照。
C.権限のある監督機関
別紙1パートBを参照。
別紙2の附属書II
別紙1パートCを参照。
別紙2の附属書III
サブプロセッサーのリスト
該当なし。
別紙3
EU標準契約条項の英国補遺
本書の日付:
1.この補遺は、本条項と同じ日から効力を生ずる。
背景:
2.情報コミッショナーは、本別紙が、英国GDPR第46条に基づいて第三国または国際機関への個人データの転送の目的のために、また、管理者から処理者および/または処理者から処理者へのデータ転送に関して、適切な保護措置を提供していると考える。
この補遺の解釈
3この別紙が附属書に定義されている用語を使用する場合には、当該用語は、附属書2.22に定義されている用語と同一の意味を有するものとする。 また、以下の用語には以下の意味がある。
本補遺
この別紙の条項
アネックス
英国のデータ保護法
英国GDPRおよび2018年データ保護法を含む、英国におけるデータ保護、個人データの処理、プライバシーおよび/または電子通信に関するすべての法律。
英国GDPR
イギリスの一般データ保護規則は、2018年欧州連合(脱退)法の第3条により、イングランドおよびウェールズ、スコットランドおよび北アイルランドの法律の一部を形成している。
英国
グレートブリテン及び北アイルランド連合王国
4.この補遺は、英国のデータ保護法の規定に照らして読み、解釈されるものとし、もしGDPR第46条で要求される適切な保護措置を提供する意図を満たすものとする。
5.この補遺は、英国のデータ保護法で規定されている権利および義務に抵触するように解釈されてはならない。
六立法(又は立法の特定の規定)への言及は、法律(又は特定の規定)が時間の経過とともに変更される可能性があることを意味する。 これには、当該法律(又は特定の規定)が本別紙が締結された後に統合、再制定及び/又は置き換えられた場合を含む。
階層
7.この別紙が合意された時点またはその後締結された時点で存在する、この別紙と当事者間の条項またはその他の関連合意の条項との間に矛盾または不一致がある場合は、データ主体に最も保護を提供する規定が優先される。
条項の成立
8.この別紙には、以下のように必要な範囲で修正されるとみなされる条項が組み込まれている。
a. データ輸出者がデータ輸入者に行った転送については、英国のデータ保護法がデータ輸出者の転送時の処理に適用される範囲で、
b. 英国のGDPR法第46条に従って、移転に適切な保護手段を提供すること。
9.前記第7条によって要求される改正には、以下が含まれる(これに限定されない)。
a. 「条項」への言及は、条項を組み込んでいるため、本別紙を意味する。
b. 第6項譲渡の説明は、次のように置換される。
「転送の詳細、特に転送される個人データの種類および転送の目的)は、英国のデータ保護法が転送時のデータ輸出者の処理に適用される附属書I.Bに指定されているものである。」
d. 「規則(EU) 2016/679」または「その規則」への言及は「英国のデータ保護法」に置き換えられ、「規則(EU) 2016/679」の特定の条項への言及は英国のデータ保護法の同等の条項またはセクションに置き換えられる。
e 規則(EU) 2018/1725への参照は削除された。
f. 「連合」、「EU」、「EU加盟国」の表記はすべて「英国」に置き換えられる
g 附属書IIの第13条(a)項および第C部は使用されない。「管轄監督機関」は情報コミッショナーである。
H 第17条は「これらの条項はイングランドおよびウェールズの法律に準拠する」とする。
私 第18項は次のように置き換えられる。
J 「これらの条項から生じる紛争は、イングランドおよびウェールズの裁判所によって解決されるものとする。データ主体は、データ輸出者および/またはデータ輸入者に対して、英国のいずれかの国の裁判所に訴訟を提起することもできる。両当事者は、かかる裁判所の管轄に服することに同意する。」
K 条項の脚注は、別紙の一部を構成しない。
本別紙の修正
10.両当事者は、第17条および/または第18条をスコットランドまたは北アイルランドの法律および/または裁判所に言及するよう変更することに同意することができる。
11.締約国は、関連する移転のために第46条英国GDPRによって要求される適切な保護措置を維持することを条件として、前記第7条に従って条項を組み込み、変更を加えることにより、この補遺を修正することができる。
本補遺の実施
12.両当事者は、両当事者を法的に拘束し、かつ、データ主体が本条項に定められた権利を行使することを可能にする方法で、別紙を締結することができる。 これには、次のものが含まれる(ただし、これらに限定されない)。
a. この別紙を条項に追加し、附属書1Aに以下の署名を含めることにより、
「署名することにより、我々はEU委員会標準契約条項の英国補遺に拘束されることに同意する。日付を追加する(すべての移転が補遺に基づいている場合)
「署名することにより、我々はまた、日付が付けられたEU委員会標準契約条項に対する英国補遺に拘束されることに同意し、日付(条項および補遺の両方に基づく移転がある場合)(または同じ効力を有する言葉)を追加し、条項を実行すること。
b. 本別紙に従って条項を修正し、修正された条項を実行すること。
別紙3の附属書I
A.当事者のリスト
データ輸出者:[データ輸出者、および該当する場合はそのデータ保護担当者および/または欧州連合の代表者の身元および連絡先の詳細]
別紙1パートAを参照。
B.譲渡の説明
別紙1パートBを参照。
C.権限のある監督機関
別紙1パートBを参照。
別紙3の附属書II
別紙1パートCを参照。
別紙3の附属書III
サブプロセッサーのリスト
該当なし。