最終更新日: 2020 年 11 月 2 日
Jibe と、この追加条項に同意する相手方(以下「会社」という)は、データ処理者サービスの提供に関する契約を締結しました(随時修正されます。以下「本契約」)。
本データ処理追加条項(付録を含むデータ処理規約を含む)は、Jibe および会社によって締結され、本契約が補完されます。本データ処理追加条項は、本条項の発効日より有効となり、その主題に関して以前に適用されていた条項(データ処理者サービスに関連するデータ処理およびセキュリティ条項を含む)に代わるものとします。
会社を代表してこのデータ処理追加条項に同意する場合は、(a)会社を本データ処理追加条項に拘束する完全な法的権限を有すると保証し、(b)本データ処理追加条項を読み、理解したうえで、(c)会社を代表して本データ処理追加条項に同意するものとします。お客様が貴社を拘束する法的権限を持たない場合は、本データ処理追加条項に同意しないでください。
1. はじめに
本データ処理追加条項は、欧州のデータ保護法および欧州以外のデータ保護法に関連する企業の個人データの処理とセキュリティを規定する条項に関する両当事者の合意を反映しています。
2. 定義と解釈
2.1 本データ処理追加条項:
「追加プロダクト」とは、Jibe または第三者が提供する(a)データ処理者サービスの一部ではなく、(b)データ処理者のユーザー インターフェース内で使用またはデータ処理サービスとの統合が組み込まれた製品、サービス、またはアプリケーションを意味します。
「欧州以外のデータ保護法に関する追加規約」とは、付録 3 に記載されている追加規約であり、特定の欧州以外のデータ保護法に関連する特定のデータの処理について規定した条項に関する当事者の合意を反映しています。
「関係会社」とは、直接的もしくは間接的に当事者を統制している事業体、当事者によって統制されている事業体、または当事者と共通の統制下にある事業体を意味します。
「会社の個人データ」とは、Jibe による処理サービスの提供において Qwiklabs に代わって Jibe が処理する個人データを意味します。
「データ インシデント」とは、Jibe のセキュリティが侵害され、偶発的または違法な破壊、紛失、改ざん、Jibe によって管理または制御されるシステム上の会社の個人データに対する不正な開示またはアクセスにつながる行為を指します。「データ インシデント」には、ファイアウォールまたはネットワーク システムに対するログイン試行、ping、ポートスキャン、サービス拒否攻撃、その他のネットワーク攻撃の失敗など、会社の個人データのセキュリティを侵害しない攻撃の試みやアクティビティは含まれません。
「データ保護法」とは、(a)欧州のデータ保護法、および / または(b)欧州以外のデータ保護法を意味します。
「データ主体ツール」とは、Jibe Entity がデータ主体に対して、企業の個人データに関連するデータ主体からの特定のリクエスト(オプトアウト ブラウザ プラグインなど)に直接かつ標準化された方法で対応できるツール(該当する場合)をいいます。
「EEA」は欧州経済領域を意味します。
「EU の GDPR」とは、2016 年 4 月 27 日付の「個人データの取り扱いに関する自然人の保護とデータの自由な移動に関する欧州議会および理事会の規則(EU)2016/679」を意味し、これにより指令 95/46/EC は廃止されています。
「欧州のデータ保護法」とは、(a)GDPR および/または(b)1992 年 6 月 19 日付のスイス連邦データ保護法を意味します。
「欧州または国内の法律」とは、(a)EU または EU 加盟国の法律(EU の GDPR が会社の個人データの処理に適用される場合)、および(b)英国または英国の一部の法令(英国の GDPR が会社の個人データの処理に適用される場合)を意味します。
「GDPR」とは、(a)EU の GDPR または(b)イギリスの GDPR、あるいはその両方を意味します。
「Jibe」とは、本契約の当事者である Jibe エンティティを意味します。
「Jibe Affiliate Subprocessors」の意味は、第 11.1 項(復処理者エンゲージメントへの同意)で定義されています。
「Jibe Entity」とは、Jibe Mobile Inc.、Jibe Mobile Limited、または Jibe Mobile Inc. の関連会社を意味します。
「ISO 27001 認証」とは、ISO/IEC 27001:2013 認証またはプロセッサ サービスと同等の認証を意味します。
「欧州以外のデータ保護法」とは、EEA、スイス、英国以外で施行されているデータ保護法またはプライバシー法を意味します。
「通知メールアドレス」とは、(i)会社により Jibe に、または(ii)会社がデータ処理サービスのユーザー インターフェースまたは Jibe が提供するその他の手段を通じて、本データ処理追加条項に関連する特定の通知を Jibe から受け取るために指定したメールアドレスをいいます。なお、Jibe には通知用メールアドレスを提供し、通知用メールアドレスの更新があれば Jibe に通知する責任は、お客様にあります。
「データ処理者サービス」とは、RCS ビジネス メッセージ サービスを意味します(https://developers.google.com/business-communications/rcs-business-messaging に記載されています)。
「セキュリティ ドキュメント」とは、ISO 27001 認証およびその他のセキュリティ認証または Jibe がデータ処理者サービスに関連して利用できるドキュメントを意味します。
「セキュリティ対策」の意味は、セクション 7.1.1(Jibe のセキュリティ対策)で定義されています。
「標準契約条項」とは、欧州委員会の標準契約条項(https://privacy.google.com/businesses/gdprprocessorterms/sccs)を意味します。EU GDPR 第 46 条で定められているとおり、第 36 国で定められている十分なデータ処理能力を確保できないデータ処理者への個人データの転送においては、標準的なデータ保護条項となっています。
「復処理者」とは、データ処理者のサービスの一部および関連する技術サポートを提供するために、本データ処理追加条項に基づいて企業の個人データへの論理的なアクセスおよび処理が認められた第三者を意味します。
「監督機関」とは、(a)EU の GDPR で定義されている「監督機関」および/または(b)英国の GDPR で定義されている「監督者」を意味します。
「期間」とは、本規約の発効日から本契約における Jibe によるデータ処理者サービスの提供が終了するまでの期間を意味します。
「本規約の発効日」とは、本契約の発効日を意味します。
「サードパーティの復処理者」の意味は、第 11.1 項(復処理者の同意)で定義されています。
「英国の GDPR」とは、英国の 2018 年欧州連合(取り消し)法に基づき、EU の GDPR を修正し、英国の法令に組み込んだものを意味します。
2.2 本データ処理追加条項で使用される「管理者」、「データ主体」、「個人データ」、「処理」、「処理者」という用語は、GDPR で規定されています。また、データ移転先とデータ移転先という用語は、標準契約条項で定義されています。
本データ処理追加条項は説明のための例であり、特定の概念を表す唯一の例ではありません。
2.4 法的枠組み、法令、その他の各種法律の参照は、随時改正または再制定されたものを参照することを意味します。
2.5 本データ処理規約が他の言語に翻訳され、英語版と翻訳版の間に矛盾がある場合は、英語版が優先されます。
3. 本データ処理追加条項の期間
本データ処理追加条項は、本規約の発効日に有効となり、契約期間が終了したかどうかにかかわらず、本データ処理追加条項に定めるとおり、Jibe によるすべての会社用個人データの削除まで有効であり、自動的に期限切れとなります。
4. 本データ処理追加条項の適用
4.1 欧州のデータ保護法の適用。第 5 条(データの処理)から第 12 条(Jibe への連絡、レコードの記録)は、欧州のデータ保護法が会社の個人データの処理に適用される範囲においてのみ、以下に適用されます。
(a)当該処理が EEA または英国に拠点を置く企業の活動に関連している場合。
(b)会社の個人データは、EEA または英国のデータ主体に関する個人データであり、処理は EEA または英国の商品やサービスへの提供または EEA または英国での行動のモニタリングに関連するものです。
4.2 決済代行業者サービスへの適用。本データ処理追加条項は、当事者がデータ処理追加条項に同意したデータ処理者サービス(例: (a)企業がデータ処理データ処理に関する追加条項に同意したデータ処理者サービス、または(b)本契約に参照としてデータ処理データ処理追加条項が組み込まれる場合にのみ適用されます。
4.3 欧州以外のデータ保護法に関する追加規約の組み込み。欧州以外のデータ保護法の追加規約は、本データ処理規約を補完するものです。
5. データの処理
5.1 役割と規制遵守、承認。
5.1.1 プロセッサとコントローラの責任。両当事者は、以下を認め、合意します。
(a)付録 1 は、企業の個人データの処理のテーマと詳細について説明します。
(b)Jibe は、欧州のデータ保護法に基づく企業の個人データの処理者です。
(c)会社は、欧州のデータ保護法で定められた会社の個人データの管理者または処理者です(該当する場合)。
(d)各当事者は、会社の個人データの処理に関して欧州のデータ保護法で適用される義務を履行します。
5.1.2 第三者データ管理者による承認。会社がデータ処理者の場合、会社は、会社の個人データに関する当社の指示および行為(Jibe を別の処理者として確保することを含む)が、関連する管理者によって承認されたことを Jibe に保証するものとします。
5.2 会社の指示。この会社は、本データ処理追加条項を締結することにより、Jibe に対し、(a)データ処理者サービスおよび関連する技術的サポートの提供、(b)データ処理者サービスの設定やその他の機能におけるデータ処理者の追加関連の規定、本書の規定の規定に基づき、この追加規定の文書化、文書化、文書作成の指示の裏付けとなる
5.3 Jibe の指示の遵守。Jibe は、第 5.2 項(会社の指示)に記載されている手順(データ転送に関するものを含む)を遵守するものとします。ただし、Jibe が対象とする欧州の法律または国内法により、Jibe による会社個人データの処理が義務付けられている場合を除きます。その場合、Jibe は、当該当事者の社会的利益のために、Jibe が当該情報の共有を禁止されている場合を除きます。
5.4 追加プロダクト。企業が追加製品を使用する場合、データ処理者サービスは、追加製品とデータ処理者サービスを相互運用するために必要に応じて、その追加製品が企業の個人データにアクセスできるようにします。本データ処理追加条項は、会社による追加プロダクト(その追加プロダクトとの間で送受信された個人データを含む)の提供に関連する個人データの処理には適用されません。
6. データの削除
6.1 契約期間中の削除。
6.1.1 削除機能を備えたプロセッサ サービス契約期間中:
(a)データ処理者のサービスの機能には、企業が会社の個人データを削除するオプションがあります。
(b)会社はデータ処理者サービスを利用して、特定の企業個人データを削除します。
(c)削除された会社の個人データを会社が復元できないこと(「ゴミ箱から」など)。
Jibe は、欧州の法律または国内法により保管が義務付けられていない限り、合理的に可能な範囲で、そのような会社個人データをできるだけ早くシステムから削除します。
6.1.2 削除機能のないデータ処理者サービス契約期間中、データ処理者のサービスの機能に会社個人データを削除するオプションが含まれていない場合、Jibe は、データ処理者の性質と機能性を考慮したうえで、かかる削除を容易にする会社からの合理的な要請に従います。このセクション 6.1.2(削除機能のないデータ処理者サービス)に基づくデータの削除については、Jibe は(Jibe の合理的な費用に基づいて)料金を請求する場合があります。Jibe は、いかなるデータ削除に先立っても、適用される料金の詳細や、その計算の根拠を会社に提示するものとします。
6.2 契約期間の削除。期間が終了すると、適用される法律により、Jibe は Jibe のシステムからすべての会社の個人データ(既存のコピーを含む)を削除するよう指示するものとします。Jibe は、欧州または国内の法律により保管が義務付けられていない限り、できる限り速やかにこの指示を遵守するものとします。
7. データ セキュリティ
7.1 Jibe のセキュリティ対策および支援
7.1.1 Jibe のセキュリティ対策。Jibe では、付録 2 に記載の偶発的または違法な破壊、紛失、改ざん、不正開示、またはアクセスから会社の個人データを保護するための技術的および組織的な手段(「セキュリティ対策」)を実装し、維持します。また、Jibe は随時、セキュリティ対策の更新または変更を行う場合があります(ただし、本サービスの更新によってサービスの変更や修正が行われない場合を除きます)。
7.1.2 Jibe スタッフによるセキュリティ コンプライアンス。Jibe は、企業の個人データの処理を許可されたすべての人物が秘密保持を約束しているか、または機密保持の適切な法的義務を負っていることを確認します。
7.1.3 Jibe のセキュリティ サポート。会社は、以下により、個人データと個人データ侵害のセキュリティに関する企業の義務と(Jibe で利用可能な情報を考慮して)お客様が GDPR 第 32 条から第 34 条までの義務を含む(該当する場合)会社に関する義務を履行することについて、Jibe が支援することに合意するものとします。
(a)セクション 7.1.1(Jibe のセキュリティ対策)に従ってセキュリティ対策を実装および維持する。
(b)第 7.2 項(データ インシデント)の規約を遵守すること。
(c)第 7.5.1 項(セキュリティ ドキュメントの見直し)に従って本セキュリティ ドキュメントを提供し、本データ処理追加条項に含まれる情報を提供すること。
7.2 データ インシデント
7.2.1 インシデントの通知。Jibe は、データ インシデントを認識した場合、(a)企業に対してデータ インシデントを速やかに、および過度な遅延なく通知します。また、(b)被害を最小限に抑え、企業の個人データを保護するために、合理的な措置を講じます。
7.2.2 データ インシデントの詳細。セクション 7.2.1 の
{0}会社は、通知メールアドレスを提供し、通知メールアドレスが最新かつ有効であることを確認する責任を単独で負います。
7.2.4 サードパーティ通知。会社は、会社に適用されるインシデント通知法を遵守し、データ インシデントに関連する第三者の通知義務を履行する一切の責任を負います。
7.2.5 Jibe による Jibe による故障の確認、または本第 7.2 項(データ インシデント)に基づくデータ インシデントに対する通知または対応は、データ インシデントに関する過失または責任を Jibe が確認したものではありません。
7.3 会社のセキュリティ責任および評価。
7.3.1 会社のセキュリティ責任。企業は、第 7.1 項(Jibe のセキュリティ対策および支援)および第 7.2 項(データ インシデント)に基づく Jibe の義務を損なうことなく同意するものとします。
(a)企業は、以下を含むデータ処理者サービスの使用について責任を負います。
(i)データ処理者のサービスを適切に利用し、企業の個人データに対するリスクに見合ったレベルのセキュリティを確保する。
(ii)企業がデータ処理者のサービスにアクセスするために使用するアカウント認証情報、システム、デバイスを保護する。
(b)Jibe は、会社が Jibe およびその復処理者のシステムの外部で保存または転送することを選択した会社の個人データを保護する義務を負いません。
7.3.2 会社のセキュリティ評価。会社は、第 7.1.1 項(Jibe のセキュリティ対策)で Jibe が実施および維持するセキュリティ対策が、(個人データのリスクに対する適切なレベルのセキュリティを提供している)ことを認識し、これに同意します。
7.4 セキュリティに関する認定。セキュリティ対策を継続的に評価し、その効果を確認するため、Jibe では ISO 27001 認証を維持します。
7.5 コンプライアンスの審査と監査。
7.5.1 セキュリティ ドキュメントのレビュー。本データ処理追加条項に基づく義務を Jibe が証明するために、Jibe ではお客様がセキュリティ ドキュメントを確認できるようにします。
7.5.2 会社の監査権。
(a)Jibe は、会社または任命された第三者監査人が、監査(監査を含む)により、セクション 7.5.3(監査に対する追加ビジネス規約)に従って本データ処理追加条項に基づく Jibe の遵守を確認するための監査(検査を含む)を行うことを許可するものとします。Jibe は、第 7.4 項(セキュリティおよび監査)の監査(セキュリティ評価)と監査(監査)に記載されているように、監査に寄与します。
(b)第 10.2 項(データの転送)に基づいて標準契約条項が適用される場合、Jibe は、会社または第 7 条 5.3 項(監査に関する追加ビジネス規約)に従って会社が任命した第三者監査人に対し、標準契約条項に記載されているとおりの監査を実施することを許可します。
(c)ISO 27001 認証用に発行された証明書(第三者監査機関による監査の結果が反映されている)を再考することにより、本データ処理追加条項に基づく Jibe の義務の遵守状況を検証する監査を実施することもできます。
7.5.3 監査に関する追加のビジネス規約。
(a)企業は、セクション 12.1(Jibe への問い合わせ)に記載されているとおり、セクション 7.5.2(a)または 7.5.2(b)に基づく監査のリクエストを Jibe に送信します。
(b)Jibe が第 7.5.3(a)項に基づくリクエストを受け取った後、Jibe および会社は、第 7.5.2(a)項または第 7.5.2(b)項に基づく監査について、適用される開始日、範囲および期間、ならびにセキュリティおよび機密性保持の管理について事前に話し合い、合意するものとします。
(c)Jibe は、第 7.5.2(a)項または第 7.5.2(b)項に基づく監査に対して、(Jibe の合理的な費用に基づいて)手数料を請求する場合があります。Jibe は、かかる監査に先立って、適用される料金の詳細およびその計算の根拠を会社に提示するものとします。会社は、かかる監査の実施を会社が任命した第三者の監査人から請求されるすべての費用を負担するものとします。
(d)監査人が Jibe の合理的な見解により、Jibe の競合他社またはその他不適切に監査を行っている場合、第 7.5.2(a)項または第 7.5.2(b)項に基づいて監査を行うよう、企業が任命した第三者監査人に対して異議を申し立てることができます。Jibe がこのような異議を申し立てた場合、会社は別の監査人を任命するか、自分で監査を行う必要があります。
(e)本データ処理追加条項のいずれの条項においても、Jibe は会社または第三者監査人への開示、または会社または第三者監査人による以下のアクセスを許可する必要はありません。
(i)Jibe エンティティの他のお客様のデータ。
(ii)Jibe Entity の内部会計または財務情報。
(iii)Jibe エンティティの企業秘密
(iv)Jibe の合理的な見解に基づき、(a)Jibe Entity のシステムまたは施設のセキュリティを侵害する、または(B)欧州のデータ保護法に基づく義務または会社もしくは第三者に対するセキュリティおよびプライバシー義務を侵害させる可能性のある情報。
(v)会社または第三者監査人が、欧州のデータ保護法に基づく会社の義務の誠意に基づく履行以外の理由でアクセスを求めている情報。
7.5.4 標準契約条項の変更。第 10.2 項(データ移転)に基づいて標準契約条項が適用される場合、本第 7.5 項(コンプライアンスのレビューと監査)のいかなる規定も、標準契約条項に基づく会社または Jibe の権利または義務を変更または修正するものではありません。
8. 影響評価とコンサルティング
会社は、データ保護影響評価および事前協議(Jibe で処理される処理の性質と利用可能な情報を考慮して)に関して、GDPR 第 35 条および第 36 条に基づく会社の義務(該当する場合)を含め、あらゆる企業の義務の遵守を Google が支援することに合意するものとします。
(a)セクション 7.5.1(セキュリティ ドキュメントのレビュー)に基づくセキュリティ ドキュメントの提供。
(b)本データ処理追加条項に含まれる情報を提供する。
(c)処理サービスの性質と会社の個人データの処理に関する Jibe の標準的な手法、その他の資料(ヘルプセンター資料など)に則って提供または提供する。
9. データ主体の権利
9.1 データ主体のリクエストに対するレスポンスJibe は、会社の個人データに関連するデータ主体からリクエストを受け取った場合、次のことを行います。
(a)リクエストが Data Subject Tool を通じて行われた場合は、Data Subject Tool の標準機能に則り、データ主体のリクエストに直接対応する。
(b)Data Subject Tool を通じてリクエストされなかった場合は、データ主体に、リクエストを本会社に送信するよう助言するものとします。会社は、その要請に対応する責任があります。
9.2 Jibe のデータ主体リクエスト支援。会社は、会社個人データ(本個人データの処理の性質と GDPR 第 11 条が該当する場合、該当する場合)を考慮して、会社がデータ主体の要求に応じる義務を負うことに同意することに同意します。これには、データ主体の権利の行使におけるデータの権利行使の要請に対する、デベロッパーの責任(該当する場合)も含まれます。
(a)データ処理者サービスの機能を提供すること。
(b)セクション 9.1(データ主体のリクエストに対する回答)のコミットメントを遵守する。
(c)該当する場合は、データ処理者サービスで利用可能なデータ主体ツールを利用可能。
10. データ転送
10.1 データ保存 / 処理施設。 会社は、Jibe が第 10.2 項(データの転送)に従い、Jibe または復処理者のいずれかがファシリティを維持している国において、企業の個人データを保存および処理することに同意するものとします。
10.2 データの転送。
会社の個人データの保存または処理に、EEA、スイス、英国から会社の個人データが欧州のデータ保護法に基づく十分性認定の対象とならない第三国に転送される場合:
(a)企業(データ エクスポート元)は Jibe 社と(標準データ契約として)契約を締結しているものとみなします。
(b)移行には、標準契約条項が適用されます。
(c)標準契約条項における Google LLC およびお客様への言及は、それぞれ Jibe および Company を指します。
10.3 データセンター情報。Google データセンターの所在地については、www.google.com/about/datacenters/locations/index.html をご覧ください。
11. 復処理者
11.1 復処理者の利用に対する同意。 企業は、Jibe の関連会社による復処理者(「Jibe Affiliate Subprocessors」)としてのエンゲージメントを特に承認します。また、お客様は通常、第三者に対する復処理者(「第三者の復処理者」)としての参加を承認します。第 10 条 2 項(Ji の委託)から引き継がれ、
11.2 復処理者に関する情報。 会社から書面による要求があった場合、Jibe は復処理者とその所在地に関する情報を提供します。このようなリクエストは、セクション 12.1(Jibe へのお問い合わせ)に示す連絡先情報を使用して Jibe に送信する必要があります。
11.3 復処理者の使用要件。 復処理者とやり取りすると、Jibe は次のことを行います。
(a)書面による契約書により、以下を保証します。
(i)復処理者は、会社個人データにアクセスし、使用するのは、再委託された義務を履行するために必要な場合に限られます。また、本契約(本データ処理追加条項を含む)および第 10.2 項(データの転送)に該当する場合(該当する場合)、標準契約条項に従います。
(ii)GDPR が会社の個人データの処理に適用される場合、GDPR 第 28 条(3)のデータ保護義務が復処理者に課されます。
(b)復処理者に委託されたすべての義務と、復処理者のすべての行為と不作為については、引き続き完全に責任を負います。
11.4 復処理者の変更に異議を申し立てる機会。
(a)Jibe は、契約期間中に新しい第三者の復処理者が適用される場合、当該第三者の復処理者が企業の個人データを処理する少なくとも 30 日前までに、通知用メールアドレス宛にメールを送信することにより、当該関係会社(関連する復処理者の名前と場所、および実行されるアクティビティを含む)を当該会社に通知します。
(b)会社は、第 11.4(a)項に記載のとおり、会社が新しい第三者復処理者のエンゲージメントについて通知を受けてから 90 日以内にその通知を提供することを条件として、Jibe に対する書面による通知をもって直ちに本契約を終了することにより、新しい第三者の復処理者に異議を申し立てることができます。この解除の権利は、企業が新しい第三者の復処理者に異議を申し立てた場合の、唯一かつ排他的な救済措置です。
12. Jibe に連絡し、レコードを処理する
12.1 Jibe への問い合わせ企業は、http://issuetracker.google.com を介して、または Jibe が随時提供するその他の手段により、Jibe の RCS データ保護に関する連絡先を経由して、本データ処理追加条項に関連して Jibe に連絡することができます。
12.2 Jibe の処理記録。会社は、以下に基づいて GDPR の下で Jibe が義務付けられていることを認めます。(a)Jibe が代理を務める各プロセッサ/コントローラ(および該当する場合)の名前とそのデータ処理者の現地代表者およびデータ保護担当者の名前や連絡先情報を含む記録の収集と維持。(b)かかる情報を監督当局が利用できるようにする。したがって、要請に応じて、該当する場合、会社はデータ処理者のユーザー インターフェースまたは Jibe が提供するその他の手段を介して Jibe に情報を提供し、かかるユーザー インターフェースまたはその他の方法を使用して、提供するすべての情報を正確かつ最新の状態に保つものとします。
13. 賠償責任
13.1 法的責任の上限。本契約のそれ以外の内容にかかわらず、本データ処理追加条項に基づく、または本追加条項に関連する当事者に対する法的責任の総額は、本契約に基づく当事者の責任が最大となる金銭的または支払いに基づく額に制限されます。本第 13 条(責任)により、(a)過失または従業員もしくは代理人の過失の結果として生じた死亡または人身傷害、(b)不正行為または詐欺的不実表示、または(c)適用される法律により責任を免除または制限できない事項は、除外または制限されません。
13.2 標準契約条項が適用される場合の法的責任第 10.2 項(データ移転)に基づいて標準契約条項が適用される場合、本契約と標準契約条項を合わせて、相手方およびその関係会社に対する各当事者およびその関連会社に対する合計責任は、第 13.1 項(賠償責任の上限)の対象となります。
14. 第三者の受益者
当事者の関連会社が第 10.2 項(データの転送)に基づいて適用される標準契約条項の当事者である場合、その関係会社は第 6.2 項(期間満了に関する削除)、7.5(レビュー、コンプライアンスの監査 1、データ主体に対する評価 1.2)の第三者受益者となります。本第 14 条(第三者受益者)が本契約のその他の条項と矛盾するまたは矛盾する場合は、本第 14 条(第三者受益者)が適用されます。
15. 本データ処理追加条項の効力
標準契約条項、欧州以外のデータ保護法の追加条項、本データ処理追加条項、および本契約の残りの条項の間に矛盾または矛盾がある場合、以下の優先順位が適用されます。
(a)標準契約条項
(b)欧州以外のデータ保護法に関する追加規約。
(c)本データ処理規約の残りの部分。
(d)本契約の残りの部分。
本契約(追加条項を含む)が他の言語に翻訳され、翻訳されたテキストが英語のテキストと矛盾または矛盾する場合は、英語のテキストが優先されます。
本データ処理追加条項の修正条項を条件として、本契約は引き続き完全な効力を有するものとします。
16. 本データ処理追加条項の変更
16.1 URL の変更Jibe は、本データ処理追加条項で参照されている URL および当該 URL のコンテンツについて、随時変更する場合があります。
16.2 データ処理規約の変更。Jibe は、以下の場合にデータ処理に関する追加条項を変更することができます。
(a)本データ処理追加条項、第 16.1 項(URL の変更を含む)で明示的に許可されている場合。
(b)法人の名前または形態の変化を反映している。
(c)政府の規制機関または政府機関によって発行された、適用される法律、適用される法律、裁判所命令、またはガイダンスを遵守する必要がある場合。
(d)データ処理者サービスの全体的なセキュリティを低下させる結果ではありません。(ii)欧州以外のデータ保護法の追加規約の場合は、(x)範囲を拡大するか、(x)
16.3 変更の通知。Jibe が第 16.2(c)項または(d)項に基づいて本データ処理追加条項を変更する予定がある場合、少なくとも 30 日(または、適用される法律、適用される規制、裁判所命令、もしくはガイダンス、もしくは政府機関が発行するガイダンスを遵守するために必要な場合)を Jibe が会社に通知するものとします。企業がかかる変更に同意しない場合、会社は、Jibe から変更の通知を受けてから 90 日以内に Jibe に書面による通知を行うことにより、本契約を終了することができます。
付録 1: データ処理の内容および詳細
テーマ
Jibe によるデータ処理者のサービスおよび関連するあらゆるテクニカル サポートの会社への提供。
プロセスの期間
本データ処理追加条項に従い、期間に加えて、Jibe によって会社の個人データがすべて削除されるまでの期間。
処理の性質と目的
Jibe は、本データ処理追加条項、および第 5.2 項(会社による手順)で規定されている指示に従ってデータ処理者条項と関連する技術サポートを会社に提供する目的で、会社個人データの処理を行い、
個人データの種類
会社または会社のエンドユーザーにより処理サービスを通じて(またはその指示により)Jibe に提供される個人に関連する個人データ。
データ主体の種類
データ主体には、会社または会社のエンドユーザーにより処理サービスを通じて(またはその指示により)Jibe にデータが提供された個人が含まれます。
付録 2: セキュリティ対策
本規約の発効日以降、Jibe は、本付録 2 のセキュリティ対策を実装および維持するものとします。Jibe は、このようなセキュリティ対策を随時更新または変更できますが、かかる更新や変更を行っても、プロセッサ サービス全体のセキュリティが低下することはありません。
1. データセンターとネットワーク セキュリティ
(a)データセンター。
インフラストラクチャJibe は地理的に分散したデータセンターを保守しています。Jibe は、すべての本番環境データを物理的に安全なデータセンターに保存します。
冗長性。インフラストラクチャ システムは、単一障害点を排除し、環境リスクが予想される影響を最小限に抑えるよう設計されています。二重回路、スイッチ、ネットワーク、その他の必要なデバイスは、この冗長性の実現に役立ちます。プロセッサ サービスは、Jibe によって中断されることなく、特定の種類の予防的および是正的なメンテナンスが実行されるように設計されています。すべての環境機器および施設は、メーカーまたは内部仕様に従って性能のプロセスと頻度を詳述した予防的メンテナンス手順を文書化しています。データセンター機器の予防的および是正的なメンテナンスは、文書化されている手順に沿って標準的なプロセスを通じてスケジュールされます。
パワー。データセンターの電力システムは、継続的な運用に影響を与えずに 24 時間年中無休で冗長性を維持できるように設計されています。ほとんどの場合、データセンターの重要なインフラストラクチャ コンポーネントに、同じ容量の一次電源と代替電源が用意されています。バックアップ電力は、無停電電源(UPS)電池など、さまざまなメカニズムによって供給されます。無停電電源電力は、公益的な電圧低下、ブラックアウト、過電圧、低電圧、許容範囲外の周波数の発生時にも、一貫して信頼性の高い電力を供給します。電力が遮断された場合、バックアップ電力は、ディーゼル発電機システムが引き継ぐまでに最大 10 分間、フル充電でデータセンターに一時的な電力を供給するように設計されています。ディーゼル発電機は、数秒以内に自動的に起動し、一定期間、通常は全容量分のデータを発電するのに十分な緊急電力を供給できます。
サーバーのオペレーティング システム。Jibe サーバーでは、ビジネスに固有のサーバーニーズに合わせてカスタマイズされた強化されたオペレーティング システムを使用しています。データは独自のアルゴリズムを使用して保存され、データ セキュリティと冗長性が強化されます。Jibe は、プロセッサ サービスの提供に使用するコードのセキュリティ強化と、本番環境でのセキュリティ プロダクトの強化のために、コードレビュー プロセスを採用しています。
ビジネスの継続性。Jibe は、複数のシステム間でデータを複製して、偶発的な破棄や紛失から保護します。Jibe は、事業継続計画/障害復旧プログラムを計画し、定期的に計画、テストしています。
(b)ネットワークと伝送。
データの転送。通常、データセンターは高速プライベート リンクで接続され、データセンター間で安全で高速なデータ転送を行います。これは、電子転送や転送中に、またはデータ ストレージ メディアに記録中に、許可なくデータの読み取り、コピー、変更、削除が行われないようにすることを目的としています。Jibe はインターネット標準プロトコルを使用してデータを転送します。
外部攻撃対象領域。Jibe は、複数層のネットワーク デバイスと侵入検知を使用して、外部の攻撃対象領域を保護します。Jibe は、潜在的な攻撃ベクトルを検討し、適切な専用のテクノロジーを外部向けのシステムに組み込みます。
侵入検知侵入検知は、進行中の攻撃活動についての分析情報を提供し、インシデントに対応するための適切な情報を提供することを目的としています。Jibe の侵入検知には次の機能が含まれます。
予防措置により Jibe の攻撃対象のサイズと構成を厳密に制御します。
データエントリ ポイントでインテリジェントな検出制御を採用
特定の危険な状況を自動的に解決する技術の採用。
インシデント対応。Jibe はさまざまなコミュニケーション チャネルをモニタリングしてセキュリティ インシデントをモニタリングし、Jibe のセキュリティ担当者が既知のインシデントに迅速に対応します。
暗号化技術。Jibe を使用すると、HTTPS 暗号化(SSL 接続または TLS 接続とも呼ばれます)を使用できるようになります。Jibe サーバーは、エフェメラルな楕円曲線(RSA と ECDSA で署名された Diffie Hellman 暗号鍵交換)をサポートしています。これらの完全前方秘匿性(PFS)メソッドは、トラフィックを保護し、鍵が侵害された場合や暗号ブレークスルーが発生した場合の影響を最小限に抑えるのに役立ちます。
2. アクセスとサイト管理
(a)サイト管理。
オンサイト データセンターのセキュリティ オペレーション。Jibe のデータセンターは、すべての物理的なデータセンター セキュリティ機能を 24 時間年中無休で担当するオンサイト セキュリティ オペレーションを維持しています。オンサイト セキュリティ オペレーション担当者は、クローズド サーキット テレビ(「CCTV」)カメラとすべてのアラーム システムをモニタリングします。オンサイト セキュリティ運用担当者は、データセンターの内部および外部パトロールを定期的に実施しています。
データセンターへのアクセス手順。Jibe では、データセンターへの物理アクセスを許可する正式なアクセス手順が維持されます。データセンターは、電子カードキーにアクセスする必要がある施設に設置されています。施設内のアラームは、オンサイトのセキュリティ オペレーションにリンクされています。データセンターへの参加者は全員、身元を確認し、オンサイト セキュリティ運用の本人確認を行う必要があります。データセンターへの立ち入りができるのは、承認済みの従業員、請負業者、訪問者に限られます。施設内にある電子カードキーへのアクセスをリクエストできるのは、承認された従業員と請負業者に限られます。データセンターの電子カードキーのアクセス権のリクエストは、事前に書面で行い、リクエスト送信者のマネージャーとデータ センター ディレクターの承認が必要です。データセンターへの一時的なアクセスを必要とする参加者は全員、(i)データセンターのマネージャーが訪問する特定のデータセンターと内部領域について、事前に承認を得ること、(ii)オンサイト セキュリティ オペレーションにログインすること、(iii)その個人が承認されたものとして認定されたデータセンターのアクセス記録を参照する、ということが求められます。
オンサイトのデータセンターのセキュリティ デバイスJibe のデータセンターでは、システム アラームにリンクされている電子カードキーと生体認証アクセス制御システムを使用しています。 アクセス制御システムは、個人の電子カードキーや、境界ドア、発送や受け取りなどの重要な領域にアクセスするタイミングをモニタリングして記録します。不正なアクティビティと失敗したアクセスは、アクセス制御システムによってログに記録され、必要に応じて調査されます。 ゾーンや個人の職務によっては、ビジネス オペレーションやデータセンター全体の承認済みのアクセスが制限されます。データセンターの防火室は警戒が必要です。CCTV カメラは、データセンターの内部と外部で動作しています。カメラの位置付けは、特に境界、データセンターの出入り口、配送や受け取りなど、戦略的な領域をカバーするように設計されています。オンサイト セキュリティ運用担当者は、CCTV のモニタリング、記録、制御装置を管理します。データセンター全体の安全なケーブルは、CCTV 機器を接続します。カメラはデジタル ビデオ レコーダーを使用して、24 時間体制でオンサイトで録画します。監視レコードは、アクティビティに基づいて少なくとも 7 日間保持されます。
(b)アクセス制御
インフラストラクチャのセキュリティ担当者。Jibe では、人事セキュリティ ポリシーを策定して維持しており、そのスタッフのトレーニング パッケージの一環としてセキュリティ トレーニングを求めています。Jibe のインフラストラクチャ セキュリティ担当者は、Jibe のセキュリティ インフラストラクチャの継続的なモニタリング、プロセッサ サービスのレビュー、セキュリティ インシデントへの対応を担当します。
アクセス制御と権限の管理。会社の管理者とユーザーがデータ処理者サービスを使用するには、中央認証システムまたはシングル サインオン システムを介して認証を行う必要があります。
内部データアクセス プロセスとポリシー – アクセス ポリシー。Jibe の内部データアクセス プロセスとポリシーは、許可されていない人物やシステムが個人データの処理に使用されるシステムにアクセスするのを防ぐように設計されています。Jibe は、(i)承認を受けたユーザーのみがアクセスが許可されているデータのみにアクセスできるようにし、(ii)処理中、使用中、記録後に承認を得ずに個人データの読み取り、コピー、変更、削除を行うことができないようシステムを設計することを目指しています。システムは、不適切なアクセスを検出するように設計されています。Jibe は、一元化されたアクセス管理システムを使用して、本番環境サーバーへの人員のアクセスを制御し、限られた数が承認されている要員にのみアクセスを提供しています。LDAP、Kerberos、SSH 証明書を利用する独自のシステムは、Jibe に安全で柔軟なアクセス メカニズムを提供するように設計されています。これらのメカニズムは、サイトホスト、ログ、データ、構成情報へのアクセス権を承認された場合にのみ付与するように設計されています。Jibe では、アカウントが不正に使用される可能性を最小限にするために、一意のユーザー ID、強力なパスワード、2 要素認証、慎重にモニタリングされたアクセスリストを使用する必要があります。アクセス権の付与または変更は、承認された人員の職務、承認されたタスクを実行するために必要な職務の要件、知る必要がある情報に基づいて行われます。アクセス権の付与または変更は、Jibe の内部データアクセス ポリシーとトレーニングにも準拠する必要があります。承認は、すべての変更の監査記録を維持するワークフロー ツールによって管理されています。システムへのアクセスは、アカウンタビリティの監査証跡を作成するために記録されます。認証(パスワード、ワークステーションへのログインなど)にパスワードが使用される場合は、少なくとも業界基準に沿ったパスワード ポリシーが適用されます。これらの標準には、パスワードの再利用の制限と十分なパスワード強度などがあります。
3. データ
(a)データ ストレージ、分離、認証。
Jibe は、Jibe 所有サーバーのマルチテナント環境でデータを保存します。データ処理者のデータベースとファイル システムのアーキテクチャは、地理的に分散した複数のデータセンター間でレプリケートされます。Jibe は各お客様のデータを論理的に分離します。一元化された認証システムを使用して、すべてのプロセッサ サービスがデータの統一されたセキュリティを高めています。
(b)廃止されたディスクとディスク破棄のガイドライン。
データを含む特定のディスクで、パフォーマンスの問題、エラー、ハードウェア障害が発生して、廃止される場合があります(「廃止されたディスク」)。すべての廃止されたディスクは、Jibe の施設内で再利用または破棄する前に、一連のデータ破棄プロセス(以下「データ破棄ガイドライン」)の対象となります。廃止されたディスクは複数ステップのプロセスで消去され、少なくとも 2 つの独立したバリデータによって検証されます。消去結果は、追跡のためにデコミッション ディスクのシリアル番号によって記録されます。最後に、消去された廃止ディスクは、再利用と再デプロイのためにインベントリに解放されます。ハードウェア障害が原因で、廃止されたディスクのデータを消去できない場合、ディスクは破棄されるまで安全に保管されます。各施設は、データ破棄ガイドラインの遵守状況を定期的に監視されます。
4. 従業員のセキュリティ
Jibe の担当者は、機密性保持、ビジネス倫理、適切な使用方法、職業基準に関する会社のガイドラインを遵守することが求められます。Jibe は、法的に許容される範囲で、適用される現地労働法および法定規制に従って、合理的に適切なバックグラウンド チェックを実施しています。
職員は機密性保持に関する契約を締結する必要があり、Jibe の機密性保持およびプライバシー ポリシーの受領と遵守について承認する必要があります。スタッフには、セキュリティ トレーニングが提供されます。会社の個人データを取り扱う担当者は、その役割に応じた追加の要件を遵守する必要があります。Jibe の社員は、許可なく会社の個人データを処理しません。
5. 復処理者のセキュリティ
復処理者をオンボーディングする前に、Jibe は復処理者のセキュリティとプライバシーの実践の監査を行い、復処理者がデータにアクセスし、関与するサービスの範囲に適したレベルのセキュリティとプライバシーを確保していることを確認します。Jibe は、復処理者から提示されたリスクを評価した後、セクション 11.3(復処理者エンゲージメントの要件)の要件に従って、適切なセキュリティ、機密性保持、プライバシーの契約条件を締結することが義務付けられます。
付録 3: 欧州以外のデータ保護法に関する追加規約
以下の欧州以外のデータ保護法の追加規約は、本データ処理規約を補完するものです。
- CCPA サービス プロバイダの追加条項(privacy.google.com/businesses/gdprprocessorterms/ccpa、2020 年 8 月 27 日現在)
- LGPD 処理に関する追加条項: privacy.google.com/businesses/gdprprocessorrterms/lgpd(2020 年 8 月 27 日現在)
Jibe データ処理規約、バージョン 2.0
2020 年 8 月 27 日