< Back

データ処理補遺

本データ処理補遺(「DPA」)は、お客様とAbsoluteの間のマスターサブスクリプション契約またはその他の契約(「契約」)を修正し、その一部を構成し、お客様への製品およびサービスの Absoluteによる提供を規定 するものです。本DPAの 条件と本契約との間に矛盾が生じた場合、本DPAの条件が優先されます。

1.     定義本DPAで使用されるが未定義の大文字の用語は、本契約においてそれらの用語に与えられた意味を有します。

1.1.    「ビジネス」、「事業目的」、「収集」、「収集済み」、「回収」、「消費者」、「非特定化情報」、「個人情報」、「販売」、「売却」、「サービスプロバイダー」は、CCPAにおいて与えられた意味を持ち、「売却する」はそれに応じて解釈されます。

1.2.    「管理者」、「データ主体」、「個人データ」、「処理」、「処理者」、および「監督機関」は、GDPR において与えられた意味を持ち、「処理する」、「処理」、および「処理済」は、 それに応じて解釈されます。

1.3.    「顧客個人データ」とは、個人情報を構成する顧客データ、または本DPAの付属書Iに詳述されているとおり、本製品・サービスを提供するために、お客様に代わってサービスプロバイダーまたは処理者(場合により)としてAbsoluteが収集または処理する個人データを指します。

1.4.    「データ保護法」とは、カリフォルニア州消費者プライバシー法Code § 1798.100 et seq.、およびその施行規則(「CCPA」)、一般データ保護規則(EU)2016/679(「GDPR」)、およびeプライバシー指令(2002/58/EC(指令2009/136/ECにより改正)、および欧州経済領域(「EEA」)におけるそれらの国内施行、スイス連邦データ保護法、英国一般データ保護規則、英国データ保護法2018をそれぞれ適用可能で、適宜改正または置き換えが可能であるものとします。

1.5.    「データ主体の権利」とは、データ保護法に従って、かつ要求される範囲において、情報、アクセス、修正、削除、消去、制限、ポータビリティ、異議、販売のオプトアウト、特定の権利を行使することによって差別されないこと、および自動的な個別意思決定に従わないことに対する消費者またはデータ主体の権利を指します。

1.6.    「欧州」とは、EEAおよびスイスを指します。

1.7.    「国際データ移転」とは、顧客個人データを欧州または英国から欧州および英国以外の国に転送することを指します。

1.8.    「個人データ侵害」とは、Absoluteまたはその副処理者が送信、保存、またはその他の方法で処理した顧客個人データの偶発的または違法な破壊、損失、改ざん、不正な開示、またはアクセスを引き起こすAbsoluteのセキュリティ違反を指します。

1.9.    「副処理者」とは、お客様の個人データを処理するためにAbsoluteが従事する処理者を指します。

1.10.  「標準契約条項」とは、欧州議会および理事会(EU)の規則2016/679に基づく個人データの第三国への移転のための標準契約条項に関する2021年6月4日のEU委員会実施決定2021/914に付属する条項(OJ L 199, 7.6.2021, 31~61頁)を指し、適宜修正または置き換えられる可能性があります。

2.     当事者の役割と処理範囲

2.1.    範囲本DPA、およびここに記載された各条項と義務は、Absoluteがサービスプロバイダーまたは処理者(該当する場合)として顧客個人データを処理する範囲に適用されます。

2.2.    当事者の役割お客様は企業または管理者であり、Absoluteを顧客に代わってサービスプロバイダーまたは処理者として指名します。各当事者は、適用されるデータ保護法に従って、本製品・サービスに基づき、またはこれに関連して、顧客個人データを収集、保持、使用、開示、および処理するものとします。

2.3.    お客様の責任お客様は、処理者としてのAbsoluteの使用についてデータ主体に通知するための適用要件を遵守する責任を負うものとします。処理の主題、性質および目的、顧客個人データの種類、データ主体のカテゴリは、付属書 I に記載されています。

2.4.    Absoluteの責任Absoluteは、お客様の文書化された合法的と見なされる指示に従い、本製品・サービスを提供するために、以下の目的で顧客個人データを処理します。(i) 本DPA、本契約および適用される作業明細書に従った処理 (ii) 認定ユーザーが本製品・サービスを使用する際に開始した処理 (iii) かかる指示が本DPA、本契約、および適用される作業明細書の条項と整合している場合、お客様が提供するその他の文書化された合理的な指示(例:電子メール経由)に従うための処理。適用法で禁止されている場合を除き、Absoluteは、お客様の指示がデータ保護法に違反していると認識した場合、またはかかる判断した場合には、お客様に通知するものとします。例えば、Absoluteが法執行機関から召喚または裁判所命令を受けた場合、法律で禁止されていない限り、その要求を顧客に通知するものとします。

2.5.    お客様の要求への協力Absoluteは、処理の性質およびAbsoluteが利用できる情報を考慮し、(a) データ主体の権利行使の要求への対応、(b) データ保護影響評価および監督当局との事前協議、および (c) 法律で要求された場合の個人データ侵害の影響を受けたデータ主体への通知についてお客様を合理的に支援するものとします。お客様は、Absoluteの支援から生じる合理的な費用について責任を負うものとします。

3.     セキュリティ・監査

3.1.    セキュリティ対策Absoluteは、リスクに応じて適切な技術的および組織的対策を講じ、付属書IIで言及されるAbsoluteセキュリティ基準に規定されるとおり、顧客個人データを不正なアクセス、破壊、使用、修正、または開示から保護するものとします。Absoluteは、Absoluteセキュリティ基準を適宜変更することがありますが、少なくともAbsoluteセキュリティ基準に記載されているレベルと同等のセキュリティを提供し続けるものとします。Absoluteは、顧客個人データを処理する権限を持つ全担当者に守秘義務を課すものとします。

3.2.    個人データ侵害への対応Absoluteは、個人データ侵害を認識した後、遅滞なくお客様に通知するものとします。Absoluteは、個人データ侵害の原因を特定するために商業的に合理的な努力を払い、Absoluteが合理的に管理できる範囲内で、個人データ侵害の原因を改善するために必要かつ合理的と判断した措置を取るものとします。本規定は、お客様またはお客様のユーザーによって引き起こされた個人データ侵害には適用されません。

3.3.    監査データ保護法の要件に従い、Absoluteは、Absoluteが本DPAの義務を遵守していることを示すために合理的に必要な情報を含むAbsoluteの監査報告書の要約をお客様に提供するものとします。ただし、Absoluteは、当該報告書に含まれる機密情報または商業上重要な情報を訂正することができます。

4.     副処理

4.1.    認定副処理者お客様は、Absoluteが副処理者を雇用する可能性があることを認め、これに同意するものとします。Absoluteの現在の副処理者一覧は www.absolute.com/company/legal/absolute-sub-processorsでご覧いただけます。Absoluteは、本DPAの下でAbsoluteに課される義務と実質的に同じ義務を副処理者に課す書面による契約を締結するものとします。

4.2.    副処理者の変更お客様は、Absoluteが第4.1項で言及する副処理者一覧を更新することで、副処理者の追加または変更を意図する場合は顧客に通知することを認め、これに同意するものとします。お客様は、Absoluteが副処理者一覧を更新してから30日以内に、副処理者の追加または変更に異議を唱えることができます。お客様の異議が、データ保護法の潜在的または実際の違反に関連する合理的な理由に基づく場合、お客様とAbsoluteは誠意を持ってお客様の異議の解決に取り組むものとします。

5.     データ移転

5.1.    国際データ移転お客様は、Absoluteが以下の国際データ移転を行う可能性があることに同意するものとします。(a) EU委員会または英国政府(場合により、カナダを含む)が適切と見なす国へ。(b) データ保護法に準拠した適切な保護措置に基づく。または (c) 第 5.2 項または第 5.3項で言及される標準契約条項に従って。国際データ移転に適用されるデータ保護法のAbsoluteの遵守が、国際データ移転の法的手段が無効化、修正、または置換された場合を含め、Absoluteの管理外の状況によって影響を受ける場合、お客様とAbsoluteは誠意を持って協力し、かかる非遵守を合理的に解決するものとします。

5.2.    欧州からのデータ移転本DPAに署名することにより、お客様およびAbsoluteは、参照することにより本DPAに組み込まれる標準契約条項のMODULE TWO(モジュール2)の規約に同意するものとします。両当事者は、標準契約条項が適用される場合、以下のように完了することに同意するものとします。(a) オプション第7条は維持、(b) 第9条ではオプション1を削除し、オプション2を維持、(c) 第11条ではオプションの文言を削除、(d) 第17条および18条では準拠法および管轄裁判所はアイルランド国内とし、(e) 標準契約条項の付属書IおよびIIはそれぞれ本DPAの付属書IおよびIIとします。Absoluteが、お客様に製品を提供するために顧客個人データを欧州からEU委員会が定める適切なレベルの保護を提供しない国に移転する場合、標準契約条項が適用されるものとします。

5.3.    英国からのデータ移転本DPAに署名することにより、お客様とAbsoluteは、標準契約条項のMODULE TWO(モジュール2)およびhttps://ico.org.uk/media/for-organisations/documents/4019483/international-data-transfer-addendum.pdf(、「英国付録」)で入手できる標準契約条項の国際データ移転補遺パート2(必須条項)の規約に同意し、言及によりここに組み込まれることに同意するものとします。Absoluteが顧客個人データを英国から英国が定める適切な保護レベルを提供しない国へ移転する場合、英国補遺が適用されるものとします。

6.     カリフォルニア州消費者プライバシー法

6.1.    考慮事項Absoluteは、お客様とAbsoluteの間での顧客個人データの交換が、本契約または本DPAに関してお客様とAbsoluteの間で交わされる金銭的または有価証券の対価の一部を構成しないことを認めるものとします。

6.2.    顧客個人データの利用適用法で許可されている場合を除き、Absoluteは以下を行わないものとします。(a) 本契約に定める本サービスの実施および本製品の提供以外の目的での顧客個人データの保持、使用または開示、および (b) 顧客個人データの販売。本契約または本DPAの規定の如何にかかわらず、本DPAの規約は、Cal Civ.Code § 1798.145(a)データ保護法の適用除外となるAbsoluteによる顧客個人データの処理には適用されないものとします。

7.     契約終了および顧客個人データの返却または削除

7.1.    本DPAは、本契約が解除された時点で解除されるするものとします。お客様は、該当する製品に関するお客様のアカウントでアクセス可能な機能または特性を使用して、顧客個人データを返却させることができます。または、かかる機能または特性がない場合、お客様は、本契約の終了後90日を限度として、顧客個人データの返却を要求することができます。適用法によって要求または許可されない限り、Absoluteは、本契約の終了後、顧客個人データの残りのコピーをすべて削除または匿名化するものとします。

8.     責任制限

8.1.    標準契約条項を含む本DPAに起因または関連する各当事者の責任は、契約、不法行為またはその他のいかなる責任理論に基づくものであるかを問わず、本契約の責任制限の項に従うものとします。

9.     無効および分離可能性

9.1.    本DPAのいずれかの条項が管轄権を有する裁判所または行政機関により無効または執行不能であると判断された場合、当該条項の無効または執行不能は、本DPAの他の条項に影響を与えず、当該無効または執行不能の影響を受けないすべての条項は完全に有効であるものとします。

附属書I

  1. 当事者一覧(モジュール2: 移転管理者から処理者へ)

 

データエクスポーター:お客様

 

お客様は、管理者として、該当する注文書に特定される製品・サービスの受領に関連して、Absoluteへのデータ移転を選択できるものとします。お客様の名称、連絡先、署名は、該当する注文書または本製品・サービスに関するお客様のアカウントに記載されます。

データインポーター:Absolute

 

Absoluteは、処理者として、該当する注文書で特定された製品・サービスの提供に関連して、お客様から受け取ったデータを処理するものとします。

住所:Suite 1400, Four Bentall Centre, 1055 Dunsmuir Street, Vancouver, B.C. Canada, V7X 1K8

お問い合わせ:[email protected]

 

  1. 移転の説明(モジュール2:移転管理者から処理者へ)

 

製品・サービスに関連して個人データが移転されるデータ主体のカテゴリ:

# カテゴリ
1 お客様のエンドポイントデバイスのユーザー
2 ホスティングサービスを通じたお客様のアカウントの保守に責任を負うお客様の管理担当者

Absoluteサービスに関連して移転される個人データのカテゴリ:

# カテゴリ
1 コンピュータのメーカーとモデル、コンピュータのシリアル番号、システムバイオスバージョン、コンピュータ名、OS情報、HDDシリアル番号、HDDモデル、HDDファームウェアリビジョン、バッテリーデバイスID、コンピュータUUID、ゲートウェイ文字列、RAMシリアル番号、MACアドレス、NICアダプター名、IPアドレス、デバイス位置情報、デバイス使用情報などのエンドポイントデバイス情報(該当する場合)。
  名称、連絡先、ログイン情報などのホスティングサービスアカウント情報。

製品・サービスに関連して移転される機密データのカテゴリ:

# カテゴリ
1 なし

 

処理の頻度と性質:

データは継続的に移転されます。移転された個人データは、以下の処理操作の対象となります。

  • 本製品・サービスのためのデータの保管を含む本製品・サービスの提供。
  • 技術的または管理上の問題の解決、請求書作成、その他の法的義務の順守。
  • 本製品・サービスの最適化および改善、ならびにDPAに記載されたその他の事業目的。

データ転送および追加処理の目的

データ移転の目的は、製品・サービスを提供することです。

保持期間

 

適用されるサービスによって、適用されるデータ保持期間が異なります。具体的な保存保持期間を決定する際、Absoluteは、お客様に提供したサービスの種類、お客様との関係の性質と長さ、法律や出訴期限法で定められた強制的な保持期間など、様々な要因を考慮します。

(復)処理者への移転

本B項の記載事項は、復処理者に移転するデータにも適用されます。

 

  1. 所轄監督機関(モジュール2: 移転管理者から処理者へ)

お客様が定める所轄監督機関。

付属書II

データの安全性を確保するための技術的・組織的措置を含む技術的・組織的措置

ドメイン

 

 実践
情報セキュリティの組織化 ·          Absoluteは、情報セキュリティ専門チームを有しています

·          情報セキュリティプログラムは、Absoluteエグゼクティブチームが支援しています

·          Absoluteでは、経営陣が承認した情報セキュリティポリシーを公開しています
人材セキュリティ ·          採用前身辺調査の実施

·          定期的な情報セキュリティトレーニングの実施
物理・環境セキュリティ ·          お客様のデータ処理センターへの物理的アクセスは、権限のあるユーザーのみに許可されます

·          物理的・環境的に管理されたデータセンターとホスティングプロバイダーを使用
通信・運用管理 ·          転送中・静止中の顧客データの暗号化

·          ファイアウォール、VPN、IDS、可能であればIPSを含むネットワーク保護の実装
アクセス制御 ·          ネットワークやシステムへの最小限のアクセス

·          リモートアクセスにMFAを要求
情報セキュリティインシデント管理 ·          セキュリティ・プライバシーインシデント公式対応プログラムの実装
セキュリティオペレーション ·          年次侵入テスト

·          継続的な脆弱性管理

·          マルウェア検知・防止制御

·          イベントログ情報の生成・監視
事業継続マネジメント ·          事業継続支援のためのBCP・DR計画の維持

·          少なくとも年1回の計画テスト
サードパーティサプライヤー管理 ·          サードパーティベンダーのセキュリティおよびプライバシー管理を検討・評価・監視するサードパーティサプライヤープログラムを維持します。
システム開発 ·          開発者向けセキュアコーディングトレーニングの提供

·          SDLC のコンポーネントとしてセキュリティテストを実装

·          開発、テスト、本番環境の分離