最終更新日: 2023 年 8 月 8 日 | 以前のバージョン
本追加条項(以下「パートナー」)に合意した Jibe および相手方が、データ処理者サービスの提供(以下、本契約)を締結する契約を締結しているものとします。
本データ処理追加条項(以下「データ処理に関する追加条項」を含む)は、Jibe およびパートナーにより締結され、当該契約を補完するものです。本データ処理追加条項は、本条項の発効日より有効となり、本件に関連して以前に適用されていた条項(データ処理者サービスに関連するデータ処理およびセキュリティ条項を含む)の代わりとなります。
パートナーは、Google を代表してデータ処理に関する追加条項に同意する場合、(a)データ処理に関する追加条項にパートナーを拘束する完全な法的権限を有すること、(b)データ処理に関する追加条項を読んで内容を理解していること、および(c)データ処理に関する追加条項をパートナーに代わって同意するものとします。お客様がパートナーを拘束する法的権限を持たない場合は、このデータ処理追加条項に同意しないでください。
1. はじめに
本データ処理追加条項は、欧州のデータ保護法および欧州以外のデータ保護法に関連する特定のデータの処理とセキュリティに適用される条項に関する当事者の合意を反映しています。
2. 定義と解釈
2.1 本データ処理追加条項において、
「追加プロダクト」とは、(a)データ処理者サービスの一部ではなく、かつ(b)データ処理者のユーザー インターフェース内でアクセス可能である、またはその他の方法でデータ処理者サービスと統合される Jibe またはサードパーティが提供する製品、サービス、またはアプリケーションを意味します。
「欧州以外のデータ保護法の追加規約」とは、付録 3 に記載されている追加規約であり、特定の欧州以外のデータ保護法に関連する特定のデータの処理について規定した条項に関する当事者の合意を反映しています。
「十分な国」とは、以下を意味します。
(a)EU の GDPR に従って処理されたデータの場合: EEA、または EU の GDPR に基づき、十分なデータ保護を確保していると認識されている国もしくは地域。
(b)英国の GDPR に従って処理されたデータの場合: 英国、または英国の GDPR および 2018 年データ保護法(Data Protection Protection Act 2018)に基づき、十分なデータ保護を確保していると認識されている国もしくは地域。
(c)スイスの FDPA に沿って処理されたデータ、または(i)スイス連邦データ保護および情報コミッショナーが公開している適切なレベルの保護を保証している国、または(ii)スイスの FDPA に沿って、スイスの FDPA に沿って保護対象の国 / 地域の適用を強化しています。
「代替転送ソリューション」とは、SCC 以外の方法で、欧州のデータ保護法に従って個人データを第三国に合法的に転送するためのソリューションを意味します。たとえば、現地の事業体が適切に保護を提供していると認識されているデータ保護フレームワークなどです。
「データ インシデント」とは、Jibe により管理または制御されているシステム上でのパートナー個人データの偶発的または違法な破壊、紛失、改変、不正開示、またはアクセスを招く Jibe のセキュリティ違反を意味します。「データ インシデント」には、ログインの失敗、ping、ポートスキャン、サービス拒否攻撃、ファイアウォールまたはネットワーク システムへのその他のネットワーク攻撃など、パートナー個人データのセキュリティを侵害していない、失敗した試行やアクティビティは含まれません。
「データ主体ツール」とは、Jibe エンティティがデータ主体に対して提供するツールであり、パートナーの個人データ(オンライン広告の設定やオプトアウト ブラウザ プラグインなど)に関連するデータ主体からの特定のリクエストに対して、Jibe が直接かつ標準化された方法で対応できるようにすることを意味します。
「EEA」は、欧州経済領域(European Economic Area)の略称です。
「EU の GDPR」とは、2016 年 4 月 27 日付の個人データの処理と個人データの自由な移動に関する欧州議会および理事会の規則(EU)2016/679 を意味し、これにより指令 95/46/EC は廃止されています。
「欧州のデータ保護法」とは、(a)GDPR および/または(b)スイスの FDPA を意味します。
「欧州の法律」とは、(a)EU または EU 加盟国の法律(EU の GDPR がパートナー個人データの処理に適用される場合)、または(b)英国の法律(英国の GDPR がパートナー個人データの処理に適用される場合)を意味します。
「GDPR」とは、(a)EU の GDPR および/または(b)英国の GDPR を意味します。
「Jibe」とは、本契約の当事者となる Jibe 法人を意味します。
「Jibe Entity」とは、Jibe Mobile, Inc、Jibe Mobile Limited、または Jibe Mobile, Inc. を直接的または間接的に支配している、または支配しているその他のエンティティを意味します。
「ISO 27001 認証」とは、ISO/IEC 27001:2013 認証、またはデータ処理者サービスに相当する認証を意味します。
「新しい復処理者」の意味は、第 11.1 項(「復処理者の利用に対する同意」)で定義されています。
「欧州以外のデータ保護法」とは、EEA、スイス、および英国以外で施行されているデータ保護法またはプライバシー法を意味します。
「通知用メールアドレス」とは、(i)パートナーが Jibe に、または(ii)データ処理者サービスの管理画面もしくは Jibe が提供するその他の手段を通じて、本データ処理に関する追加条項について Jibe から特定の通知を受信するための、メールアドレス(該当する場合)を意味します。なお、Jibe には通知用メールアドレスの提供と、通知用メールアドレスの更新が Jibe に通知される責任があります。
「パートナーの個人データ」とは、Jibe によるデータ処理者のサービスの提供において、Google に代わってパートナーに代わって処理される個人データを意味します。
「パートナー SCC」とは、SCC(コントローラからプロセッサ)、SCC(プロセッサからコントローラ)、SCC(プロセッサからプロセッサ)のうちいずれか該当するものを意味します。
「データ処理者サービス」とは、developers.google.com/business-communications/rcs-business-messaging に該当する RCS ビジネス メッセージ サービスを意味します。
「SCC」とは、パートナー SCC および/または SCC(プロセッサ間、Jibe エクスポータ)を意味します。
「SCC(データ管理者から処理者)」とは、business.safety.google/gdprcontrollerterms/sccs/eu-c2p-dpa に記載された条項を意味します。
「SCC(処理者から管理者)」とは、business.safety.google/gdprprocessorterms/sccs/p2c の規約を意味します。
「SCC(処理者間)」とは、business.safety.google/gdprprocessorterms/sccs/eu-p2p-dpa の条項を意味します。
「SCC(データ処理者、Jibe エクスポータ)」とは、business.safety.google/gdprprocessorterms/sccs/eu-p2p-intra-group の条項を意味します。
「セキュリティ ドキュメント」とは、ISO 27001 認証のほか、Jibe がデータ処理者サービスに関連して利用できるセキュリティ認証またはドキュメントを意味します。
「セキュリティ対策」の意味は、第 7.1.1 項(Jibe のセキュリティ対策)に規定されています。
「復処理者」とは、データ処理者サービスおよび関連する技術サポートを提供するために、パートナー個人データへの論理的なアクセスおよび処理を許可された本データ処理追加条項で承認された第三者を意味します。
「監督機関」とは、該当する場合、(a)EU の GDPR で定義されている「監督機関」、または(b)英国の GDPR および / またはスイスの FDPA に定義された「コミッショナー」を意味します。
「スイスの FDPA」とは、1992 年 6 月 19 日付のスイス連邦データ保護法を意味します。
「期間」とは、本規約の発効日から、Jibe による本契約に基づくデータ処理者のサービスの提供が終了するまでの期間を意味します。
「本規約の発効日」とは、本契約の発効日を意味します。
「英国の GDPR」とは、英国の 2018 年欧州連合離脱法、および同法に基づき制定された該当する二次法に従い、EU の GDPR を修正し、英国の法令に組み込んだものを意味します。
2.2 本データ処理者、データ主体、個人データ、処理、処理者という用語は、GDPR で使用される意味を有し、「データ移転元」と「データ移転元」という用語は該当する SCC で規定されている意味を有します。
2.3 「~を含む」や「など」は、「~を含むがそれらに限定されない」ことを意味します。本データ処理追加条項内の具体例は説明用のものであり、特定の概念の唯一の例ではありません。
2.4 法的枠組み、法令、その他の各種法律の参照は、随時改正または再制定されたものを参照することを意味します。
2.5 本データ処理追加条項の翻訳版と英語版との間に不一致がある場合は、英語版が優先するものとします。
3. 本データ処理追加条項の期間
本データ処理追加条項は、本規約の発効日をもって発効し、当該契約期間が満了したかどうかにかかわらず、継続して有効であり、本データ処理条項で規定されているとおり、Jibe がすべてのパートナー個人データを削除する際に自動的に失効します。
4. 本データ処理追加条項の適用
4.1 欧州のデータ保護法の適用範囲。第 5 条(データ処理)~(第 12 条)
(a)処理が EEA または英国のパートナーの設立手続きに関連している。
(b)パートナー個人データは、EEA または英国のデータ主体に関する個人データであり、処理は EEA または英国で行われる商品やサービスの提供、または EEA または英国における行動のモニタリングに関連するものです。
4.2 プロセッサ サービスへの適用。本データ処理追加条項は、当事者が本データ処理追加条項に合意したデータ処理者サービス(例: (a)パートナーがデータ処理に関する追加条項に同意するためにクリックしたデータ処理者サービス、または(b)本契約に本契約の参照によりデータ処理追加条項が組み込まれている場合にのみ適用されます。
4.3 欧州以外のデータ保護法の追加規約の組み込み。欧州以外のデータ保護法の追加規約は、本データ処理追加条項を補完するものです。
5. データの処理
5.1 役割および規制遵守、承認。
5.1.1 データ処理者と管理者の責任。両当事者は以下の内容を認め、同意します。
(a)付録 1 では、パートナー個人データの処理に関する内容と詳細について説明します。
(b)Jibe は、欧州のデータ保護法に基づくパートナー個人データの処理者です。
(c)パートナーが、欧州のデータ保護法で定められたパートナー個人データの管理者またはデータ処理者である場合。
(d)各当事者は、パートナー個人データの処理に関して、欧州のデータ保護法で適用される義務を履行します。
5.1.2 データ処理者パートナー。パートナー様がデータ処理者の場合:
(a)パートナーは、当該管理者から、(i)手順、(ii)パートナーの別のプロセッサとしての Jibe の予約、および(iii)第 11 項(復処理者)に記載されている Jibe の復処理者との関与を継続的に保証するものとします。
(b)パートナーは、第 5.4 項(命令通知)、第 7.2.1 項(インシデント通知)、第 11.4 項(復処理者の変更に異議を申し立てる機会)に基づいて、または SCC について言及する、Jibe により通知された通知を直ちに関連管理者に転送するものとします。
(c)パートナーは、第 7.4 項(セキュリティ認証)、第 10.5 項(中央情報)、および第 11.2 項(復処理者に関する情報)により、Jibe により提供される情報について、関連する管理者に提供する場合があります。
5.2 パートナーの指示。本データ処理追加条項を締結することにより、パートナーは、(a)データ処理者サービスおよび関連するあらゆる技術サポートを提供するため、(b)データ処理者のサービス(データ処理者サービスの設定および他の機能を含む)の使用ならびに関連する技術サポートを介して、(c)データ処理プロセスに関する本追加条項の記載、記載の範囲内に別途記録を追加しなければならない。
5.3 Jibe の指示の遵守。欧州の法律で禁止されていない限り、Jibe は指示を遵守するものとします。
5.4 手順の通知。Jibe は、(a)欧州の法律により Jibe が命令に従うことを禁止している場合、または(b)命令が欧州のデータ保護法を遵守していない場合、または(c)いずれの場合も Jibe が命令を遵守できない場合(欧州の法律によってそのような通知が禁止されている場合を除きます)、Jibe は直ちにパートナーに通知するものとします。本第 5.4 項(指示の通知)は、本契約の他の当事者の権利および義務を減少させるものではありません。
5.5 追加プロダクト。パートナーが追加プロダクトを使用する場合、データ処理者は、その追加プロダクトを、追加プロダクトとデータ処理者のサービスとの相互運用に必要な場合、パートナーの個人データへのアクセスを許可できます。当事者は、必要に応じて、追加プロダクトがパートナーの個人データをどのように処理するかに対応するため、別のデータ処理規約を締結します。
6. データの削除
6.1 契約期間中の削除。
6.1.1 削除機能があるプロセッサ サービス。期間中は、
(a)データ処理者のサービスの機能に、パートナーがパートナー個人データを削除するオプションが含まれること。
(b)パートナーがデータ処理者サービスを利用して、特定のパートナー個人データを削除する。
(c)削除したパートナー個人データをパートナーが(たとえば「ゴミ箱」から)復元できない場合、Jibe は、パートナー 個人データをできるだけ早期にシステムから削除します。ただし、欧州の法律によりストレージ保存が義務付けられている場合は除きます。
6.1.2 削除機能のないプロセッサ サービス。契約期間中、データ処理者のサービスの機能にパートナーの個人データを削除するオプションが含まれていない場合、Qwiklabs は、データ処理者の性質および機能を考慮し、ただし法律で保存が要求される場合を除き、かかる削除を容易にするパートナーの合理的な要求に従います。Jibe は、第 6.1.2 項(削除機能のないデータ処理者サービス)に基づくデータ削除に対して、Jibe の合理的な費用に基づいて手数料を請求する場合があります。Jibe は、データの削除に先立って、適用される料金の詳細とその計算の根拠をパートナーに提示します。
6.2 契約期間満了による削除。契約期間が終了した場合、パートナーは Jibe に対し、適用される法律に従い、すべてのパートナー個人データ(既存のコピーを含む)を Jibe のシステムから削除するように指示します。欧州の法律で保存が義務付けられていない限り、Jibe はできるだけ速やかにこの指示を遵守するものとします。
7. データ セキュリティ
7.1 Jibe のセキュリティ対策および支援。
7.1.1 Jibe のセキュリティ対策。Jibe は、付録 2(セキュリティ対策)に記載されているとおり、パートナー個人データを偶発的または違法な破壊、紛失、改変、不正開示、アクセスから保護するための技術的および組織的な手段を実装し、維持します。付録 2 に記載されているセキュリティ対策には、(a)個人データの暗号化、(b)Jibe のシステムおよびサービスの継続的な機密性、整合性、可用性、復元力の保証、(c)インシデント発生後の個人データへの迅速なアクセス回復、(d)有効性の定期的なテストのためのセキュリティ対策が含まれます。Jibe は、データ処理者サービスの全体的なセキュリティを低下させない限り、随時セキュリティ対策を更新または変更する場合があります。
7.1.2 アクセスとコンプライアンス。Jibe は、(a)社員、請負業者、および復処理者に、命令を遵守するために必要な場合にのみパートナー個人データへのアクセスを承認し、(b)社員、請負業者、復処理者のいずれかが、そのパフォーマンスに適用される範囲でセキュリティ対策を確実に遵守するための適切な措置を講じること、かつ、権限を与えられた全当事者が、権限を与えられた個人が正式な個人データを取り扱うことを約束します。
7.1.3 Jibe のセキュリティ アシスタンス。Jibe は、パートナー個人データの処理の性質と Jibe が入手可能な情報を考慮に入れて、個人データ(またはデータ処理者が、データ処理管理者である場合は、関連するデータ管理者)の第 3 条から第 3 条までの 3 条に関する義務を含む、パートナー(またはデータ処理者である場合は、関連するデータ管理者)の義務の遵守を確保します。
(a)第 7.1.1.1 項(Jibe のセキュリティ対策)に従ってセキュリティ対策を実装および維持する。
(b)第 7.2 項(データ インシデント)の規約を遵守する。
(c)第 7.5.1 項(セキュリティ ドキュメントの審査)および本データ処理追加条項に記載された情報を、パートナーにセキュリティ ドキュメントを提供する。
7.2 データ インシデント
7.2.1 インシデント通知。Jibe は、データ インシデントを認識した場合、(a)不当に遅延なく、直ちにデータ インシデントをパートナーに通知し、(b)危害を最小限に抑えてパートナーの個人データを安全に保つための合理的な措置を講じます。
7.2.2 データ インシデントの詳細。第 7.2.1 項(インシデント通知)に基づいて行われた通知では、データ インシデントの性質(影響を受けるパートナー リソースを含む)、Jibe がデータ インシデントに対処するために実施した対策、またはデータ インシデントに対処するために実施すべき措置、データ インシデントに対処するために Jibe が推奨する対策、および詳細情報を確認できる連絡先の詳細について説明します。同時にすべての情報を提供できない場合、Jibe の最初の通知には利用可能な情報が記載されます。利用可能な情報は、速やかにユーザーに提供されます。
7.2.3 通知の提供。Jibe は、データ インシデントの通知を、通知用メールアドレス宛て、または Jibe の裁量(パートナーが通知用メールアドレスを提供していない場合を含む)により、その他の直接通信(電話または対面での会議など)により送付します。パートナーは、通知用メールアドレスを提供し、その通知用メールアドレスが最新かつ有効であることを確認する責任を負います。
7.2.4 サードパーティ通知。パートナーは、パートナーに適用されるインシデント通知法を遵守し、データ インシデントに関連する第三者の通知義務を履行する責任を単独で負います。
7.2.5 Jibe による断層確認メールの禁止。本第 7.2 項(データ インシデント)に基づく Jibe の通知またはデータ インシデントへの対応は、データ インシデントに関する過失または責任についての Jibe による承認と解釈されません。
7.3 パートナー様のセキュリティ責任と評価。
7.3.1 パートナー様のセキュリティの責任。パートナーは、第 7.1 項(Jibe のセキュリティ対策および支援)および第 7.2 項(データ インシデント)に基づく Jibe の義務を損なうことなく同意するものとします。
(a)パートナーは、以下を含むデータ処理者サービスの使用について責任を負います。
(i)データ処理者のサービスを適切に使用して、パートナー個人データのリスクに適したセキュリティ レベルを使用すること。
(ii)パートナーがデータ処理者サービスへのアクセスに使用するアカウント認証情報、システム、デバイスを保護すること。
(b)Jibe は、パートナーが Jibe およびその復処理者のシステムの外部で保存または転送するパートナー個人データを保護する義務を負いません。
7.3.2 パートナーのセキュリティ評価。パートナーは、セクション 7.1.1(Jibe のセキュリティ対策)に記載されているとおり、Jibe が実装および管理するセキュリティ対策が、パートナー個人データの処理の性質、範囲、コンテキスト、および目的、最先端の技術、実装コスト、および個人へのリスクを考慮して、パートナー個人データに対するリスクに適したセキュリティレベルを提供することに同意します。
7.4 セキュリティ認定。セキュリティ対策の有効性を評価し、その継続性を確保するため、Jibe では、セキュリティ対策の有効性を実証するために、ISO 27001 認証またはその他の適切な対策を維持します。
7.5 コンプライアンスの審査および監査。
7.5.1 セキュリティ ドキュメントのレビュー。Jibe は、本データ処理追加条項に基づく義務を Jibe が遵守していることを証明するため、セキュリティ ドキュメントをパートナーによるレビューに利用できるようにします。
7.5.2 パートナー様の監査権。
(a)Jibe は、パートナーまたは指名された第三者監査人に対し、監査(監査を含む)の実施を、セクション 7.5.3(監査の追加ビジネス規約)に従って、本データ処理追加条項に基づく Jibe の義務の遵守を検証することを許可するものとします。監査中、Jibe はこのような第 7.4 項(セキュリティ認証)と本第 7.5 項(コンプライアンスの審査と監査)に記載されているとおり、そのようなコンプライアンスの実証と監査への貢献に必要な情報をすべて公開します。
(b)第 10.2 項(欧州の制限付き転送)に基づいて SCC が適用される場合、Jibe はパートナー(またはパートナーによって任命された第三者監査人)が該当する SCC に記載されている監査を実施し、その監査中に、第 7.5.3 項(「追加のビジネス規約」)に従って、これらの SCC が必要とするすべての情報を利用できるようにすることができます。
(c)パートナーは、第三者監査人(ISO 27001 認証など)による Jibe に発行された証明書を審査することにより、データ処理に関する追加条項に基づく Jibe の義務の遵守状況を検証するための監査を実施することもできます。
7.5.3 監査のその他のビジネス規約。
(a)パートナーは、第 12.1 項(Jibe への問い合わせ)に記載されているとおり、第 7.5.2(a)項または第 7.5.2(b)項の監査のリクエストを Jibe に送信します。
(b)Jibe が第 7.5.3(a)項に基づく要請を受領した後、Jibe およびパートナーは、第 7.5.2(a)項または第 7.5.2(b)項の監査に該当する合理的な開始日、範囲および期間、ならびにセキュリティおよび機密性保持の管理について事前に話し合い、合意するものとします。
(c)Jibe は、第 7.5.2(a)項または第 7.5.2(b)項に基づく監査に対し、Jibe の合理的な費用に基づいて手数料を請求できます。Jibe は、当該の監査に先立って、適用される料金の詳細とその計算の根拠をパートナーに提示するものとします。パートナーは、その監査の実施に任命された第三者監査人によって請求される手数料を負担するものとします。
(d)Jibe は、監査者が Jibe の適任の資格または独立者でない、または明らかに不適切であると判断する場合、第 7.5.2(a)項または第 7.5.2(b)項に基づいて監査を実施することを、パートナーによって任命された第三者監査人に対して異議を申し立てることができます。Jibe によるこのような異議の場合、パートナーは別の監査人を任命するか、自分で監査を実施する必要があります。
(e)本データ処理追加条項のいかなる条項も、Jibe がパートナーまたは第三者監査人に開示する、またはパートナーまたは第三者監査人にアクセスを許可することを必須にすることはありません。
(i)Jibe エンティティの他のパートナーまたは顧客のデータ。
(ii)Jibe Entity の内部会計または財務情報。
(iii)ジブ事業体の営業秘密。
(iv)Jibe の合理的な見解により、(a)Jibe 事業体のシステムもしくは施設のセキュリティを侵害する、または(B)欧州のデータ保護法またはパートナーもしくは第三者に対する Google のセキュリティとプライバシーに対する義務を侵害させる可能性のある情報。
(v)パートナーまたは第三者監査人が、欧州のデータ保護法で定められたパートナーの義務を誠意に基づいて履行するため以外の理由でアクセスを求めている情報。
8. 影響の評価とコンサルティング
Jibe は、処理の性質と Jibe が入手可能な情報を考慮したうえで、データ保護影響評価と事前相談(該当する場合)に関するパートナー(またはデータ処理者の場合は、関連する管理者)の義務(該当する場合)や、GDPR 第 35 条および第 36 条に基づく該当管理者の義務の遵守を、パートナーがどのように支援するかを確認します。
(a)第 7.5.1.1 項(セキュリティ ドキュメントの審査)に従ってセキュリティ ドキュメントを提供する。
(b)本データ処理追加条項に含まれる情報を提供する。
(c)データ処理者サービスの性質とパートナー個人データの処理に関するその他資料(ヘルプセンター資料など)を、Jibe の標準的慣行に従って、提供または利用可能にすること。
9. データ主体の権利
9.1 データ主体のリクエストに対する対応。Jibe は、パートナー個人データに関するデータ主体からリクエストを受け取ると、Jibe に以下を承認します。また、Jibe は以下をパートナーに通知します。
(a)データ主体のリクエストが Data Subject Tool の標準機能に従って行われる場合(Data Subject Tool を介してリクエストする場合)、または
(b)データ主体がパートナーにリクエストを送信することをデータ主体に助言し、その要求がデータ主題ツールによって行われなかった場合、パートナーはその要求に対応する責任があります。
9.2 Jibe のデータ主体リクエスト支援。Jibe は、パートナー個人データ(GDPR 第 11 条)の性質を考慮して、(該当する場合)データ主体の権利の行使要求に対応する GDPR の義務を履行するのを支援します(該当する場合)。
(a)データ処理者の機能を提供する。
(b)第 9.1 項(データ主体からの要求への対応)の遵守
(c)データ処理者サービスに適用される場合は、データ主体ツールを利用可能な状態にします。
9.3 訂正。パートナーは、パートナー個人データが不正確または古くなっていることを認識した場合、データ処理者サービスの機能を使用して、そのデータが欧州のデータ保護法で定められている場合(該当する場合)に修正または削除する責任を負います。
10. データ転送
10.1 データ保存 / 処理施設。 本第 10 項(データ転送)の残りの部分に従い、Jibe は、Jibe または復処理者のいずれかが施設を保有しているすべての国でパートナーの個人データを処理できます。
10.2 欧州の転送の制限。両当事者は、欧州のデータ保護法が、パートナー個人データを適切な国で処理するため、または当該国に転送するために、SCC または代替転送ソリューションを必要としないことを認めるものとします。
パートナーの個人データがその他の国に転送され、その転送に欧州のデータ保護法(以下「制限付きの欧州での転送」)が適用される場合:
(a)Jibe が制限付き欧州転送に代替転送ソリューションを採用する場合、Jibe は当該ソリューションをパートナーに通知し、当該制限付き欧州転送が当該ソリューションに従って行われるようにします。
(b)Jibe が、欧州の制限付き転送に対して代替転送ソリューションの採用を中止していることを Jibe が採用していない場合、またはパートナーに伝えている場合:
(i)Jibe の住所が対象国にある場合:
(A)Jibe から復処理者への欧州での制限付き転送には、SCC(データ処理者間、Jibe エクスポータ)が適用されます。
(B)さらに、パートナーの住所が対象国にない場合、Jibe とパートナーとの間のヨーロッパでの制限付き転送に関して(データ処理者が管理者であるか処理者であるかを問わず)、SCC(データ処理者間)が適用されます。
(ii)Jibe の住所が適切な国にない場合:
パートナー様と Jibe の間の制限付き欧州転送については、SCC(データ処理者間)および SCC(データ処理者間)が適用されます。
(c)SCC における Google LLC または Google およびデベロッパーに対する言及は、それぞれ Jibe およびパートナーに送られるものとします。
10.3 補助的な措置および情報。Jibe は、パートナー 個人データを保護するための補足的な措置(セクション 7.5.1(セキュリティ ドキュメントのレビュー)、付録 2(セキュリティ対策)、およびデータ処理者サービスの性質とパートナー個人データの処理(ヘルプセンター記事など)など)に記載されている補足情報など、制限された欧州転送に関連する情報をパートナーに提供するものとします。
10.4 解除。パートナーは、データ処理者の現在のまたは意図された用途に基づいて、代替転送ソリューションおよび/または SCC(該当する場合)がパートナーの個人データに適切な安全保護対策を提供していないと判断した場合、パートナーは Jibe に書面で通知することにより、都合により本契約を終了できます。
10.5 データセンター情報。Google LLC データセンターの所在地については、www.google.com/about/datacenters/locations/index.html をご覧ください。
11. 復処理者
11.1 復処理者エンゲージメントへの同意。パートナーは、本規約の発効日をもって、第 11.2 項(「復処理者に関する情報」)に記載されている復処理者の利用を承認します。また、パートナーは、第 11.4 項「復処理者への変更に対するオポチュニティ」(以下「新しい復処理者」)として、他の第三者によるエンゲージメントを承認します。
11.2 復処理者に関する情報。パートナーの書面によるリクエストに応じて、Jibe は復処理者とその場所に関する情報を提供します。このようなリクエストは、セクション 12.1(Jibe への問い合わせ)に記載されている連絡先情報を使用して Jibe に送信する必要があります。
11.3 復処理者エンゲージメントの要件。Jibe がサブプロセッサを操作すると、次のようになります。
(a)次の条件を伴う書面による契約を通じて行う。
(i)復処理者は、本契約(本データ処理追加条項を含む)に従い、再委託された義務を履行するために必要な範囲でのみパートナー個人データにアクセスし、これを使用します。
(ii)パートナー個人データの処理が欧州のデータ保護法の対象である場合、データ処理に関する補遺(該当する場合、GDPR 第 28 条 3 項で参照)におけるデータ保護義務は、復処理者に課されます。
(b)復処理者に委託されたすべての義務、および復処理者のすべての行為および不作為について、全責任を負います。
11.4 復処理者の変更に異議を申し立てる機会。
(a)契約期間中に新しい復処理者が利用される場合、新しい復処理者がパートナー個人データを処理する 30 日前までに、Jibe は通知メール アドレス宛にメールを送信して、対象の復処理者の名前と場所(および実施する活動を含む)を当該パートナーに通知します。
(b)パートナーは、第 11.4(a)項の記載のとおり、90 日以内に新しい復処理者とのやり取りが通知されたことを条件として、Jibe への書面による通知をもって直ちに都合により本契約を終了することにより、新しい復処理者に異議を申し立てることができます。
12. Jibe への問い合わせ、レコードの処理
12.1 Jibe への問い合わせ。本データ処理追加条項に基づいて権利を行使する場合、パートナーは、Jibe の RCS データ保護に関する連絡先、または issuetracker.google.com または Jibe が提供するその他の方法でアクセスできる Jibe に連絡することができます。
12.2 Jibe の処理記録。Jibe は、GDPR で要求される処理アクティビティの適切なドキュメントを保持します。パートナーは、(a)特定の情報(したがって、パートナー企業はリクエストに応じて、データ処理者のユーザー インターフェース、または Jibe が提供するその他の方法で Jibe に当該情報を提供し、かかるユーザー インターフェースまたはその他の手段を使用して、提供するすべての情報を正確かつ最新の状態に保ちます。
12.3 管理者のリクエスト。Jibe は、パートナー個人データの管理者であると称する第三者からリクエストまたは指示を受けた場合、当該第三者からパートナーに連絡するよう助言します。
13. 賠償責任
本契約が以下の法律に従う場合:
(a)米国の州、本契約のその他の内容にかかわらず、データ処理に関する追加条項に基づき、相手方当事者に対する合計補償額は、本契約の当事者の責任が最大となる金銭的または支払いベースの上限額となります。
(b)米国以外の地域の適用法令では、本データ処理追加条項に基づいて、または本データ処理追加条項に関連する両当事者とその関係会社が負う合計責任は本契約の対象となります。
14. 本データ処理追加条項の効力
14.1 優先順位。SCC 間に、欧州以外のデータ保護法の追加規約、本データ処理追加条項、および本契約の残りの部分の間に矛盾または不一致がある場合、以下の優先順位が適用されます。
(a)SCC。
(b)欧州以外のデータ保護法の追加規約。
(c)本データ処理追加条項の残りの部分。
(d)本契約の残りの部分。
本データ処理追加条項の修正条項を条件として、本契約は引き続き完全な効力を維持します。
14.2 SCC の修正なし。本契約(本データ処理追加条項を含む)は、欧州のデータ保護法に基づく SCC の変更または矛盾、またはデータ主体の基本的権利または自由を低下させることを意図したものではありません。
14.3 管理者条項への影響。本データ処理追加条項は、データ処理者サービス以外のサービスのコントローラとコントローラの関係を反映して、Jibe とパートナーとの間で締結された個別の条項に影響を与えるものではありません。
14.4 以前の英国標準契約条項。2022 年 9 月 21 日または契約の発効日のいずれか早い方の時点で、英国の GDPR 移管に関する SCC の補足条件が適用され、英国の GDPR および 2018 年データ保護法(パートナーと Jibe が以前に締結していた「以前の英国 SCC」)に優先し、適用される標準の契約条項よりも優先されます。本第 14.4 項(以前の英国 SCC)は、以前の英国 SCC が施行されている間に発生した両当事者の権利またはデータ主体の権利には影響しません。
15. 本データ処理追加条項の変更
15.1 URL の変更。Jibe は本データ処理追加条項で参照される URL および当該 URL のコンテンツを随時変更できるものとします。ただし、SCC の変更は、SCC を第 15.2(b)項から第 15.2(d)項までのみ変更できるものとします。
15.2 データ処理に関する追加条項の変更。Jibe は、次の場合に本データ処理追加条項を変更することができます。
(a)本第 15.1 項(URL の変更)の規定を含め、本データ処理追加条項で明示的に許可されている。
(b)法人の名前または形態の変更を反映している。
(c)適用される法令や規制、裁判所命令、もしくは政府機関や規制機関による指導に従う必要がある場合、または Jibe の代替転送ソリューションの導入を反映する場合。
(d)データ処理者サービス全体のセキュリティの低下を生じさせません。(ii)欧州以外のデータ保護法(Jison(欧州)のデータ処理機能(追加対象)において、非データ処理(追加)対象(データ対象)において、追加的なデータ処理(データを表示すること)に従事する必要があります。
15.3 変更の通知。Jibe が第 15.2(c)項または(d)項に基づいてこのデータ処理追加条項を変更する予定がある場合、Jibe は少なくとも 30 日(または、適用される法律、適用される規制、裁判所命令、または政府機関または機関が発布したガイダンスに従うために必要な期間)において、当該の変更について、当事者にメールによる通知(a)を通じて通知が送信されるものとします。パートナーは、このような変更に異議がある場合、Jibe から変更の通知を受けてから 90 日以内に書面で通知することにより、便宜上本契約を解除することができます。
付録 1: データ処理の内容および詳細
主題
Jibe によるデータ処理者のサービスおよび関連するあらゆるテクニカル サポートのパートナーへの提供。
処理の所要時間
本規約に加えて、期間の最終日から Jibe によりパートナー個人データがすべて削除されるまでの期間を、本データ処理追加条項に従って期間に加えます。
処理の性質と目的
Jibe は、データ処理者サービスおよび関連するあらゆる技術サポートを本データ処理追加条項に提供する目的で、パートナー個人データの収集、記録、整理、構造化、保存、変更、消去、破棄を含め、パートナー個人データを処理します。
個人データの種類
パートナーまたはパートナーのエンドユーザーが処理サービスを通じて Jibe に提供した個人に関連する個人データ。
データ主体の種類
データ主体には、データ処理者サービスを介して(またはその指示に従って)パートナーによって Jibe にデータが提供される個人が含まれます。
付録 2: セキュリティ対策
本規約の発効日以降、Jibe は本付録 2 のセキュリティ対策を実装および維持するものとします。Jibe は、データ処理者サービスの全体的なセキュリティを低下させない限り、かかるセキュリティ対策を随時更新または変更できます。
1. データセンターとネットワーク セキュリティ
(a)データセンター。
Infrastructure:Jibe は地理的に分散したデータセンターを維持しています。Jibe は、すべての本番環境データを物理的な安全なデータセンターに保存します。
冗長性。インフラストラクチャ システムは、単一障害点を排除して、予想される環境リスクの影響を最小限に抑えるように設計されています。この冗長性を実現するには、デュアル回線、スイッチ、ネットワーク、その他の必要なデバイスが必要です。プロセッサ サービスは、Jibe で特定の種類の予防的および是正メンテナンスを中断なく実行できるように設計されています。すべての環境設備と施設には、メーカーまたは内部の仕様に従って、パフォーマンスのプロセスと頻度を詳しく説明する予防メンテナンス手順が文書化されています。データセンター機器の予防的および是正的なメンテナンスは、文書化された手順による標準的なプロセスを通じてスケジュールされます。
パワー。データセンターの電力システムは、24 時間年中無休の継続的な運用に影響を与えることなく、冗長性とメンテナンスができるように設計されています。多くの場合、データセンターの重要なインフラストラクチャ コンポーネントには、同じ容量の一次電源と代替電源が用意されています。バックアップ電力は、無停電電源(UPS)電池など、さまざまなメカニズムによって提供されています。これらの電池は、ユーティリティの電圧低下、過電圧、低電圧、許容範囲外の周波数の状態でも、安定した電力供給を提供します。電力が遮断された場合、バックアップ発電システムが引き継ぐまで、最大 10 分間、フルパワーでデータ センターに一時的に電力を供給するように設計されています。発電機は、通常は数秒間、フル充電で緊急電力を供給できます。
サーバーのオペレーティング システムJibe サーバーでは、ビジネスに固有のサーバーニーズに合わせてカスタマイズされた、強化されたオペレーティング システムが使用されます。データは、独自のセキュリティ アルゴリズムを使用して保存され、データのセキュリティと冗長性が強化されます。Jibe では、プロセッサ サービスの提供に使用されるコードのセキュリティ強化と、本番環境のセキュリティ プロダクトの強化のために、コードレビュー プロセスを採用しています。
ビジネスの継続性。Jibe は、偶発的な破壊や損失から保護するため、複数のシステム間でデータを複製します。Jibe は、事業継続計画/障害復旧プログラムの設計と定期的な計画とテストを行っています。
暗号化テクノロジー。Jibe のセキュリティ ポリシーでは、個人データを含むすべてのユーザーデータについて、保存データの暗号化が義務付けられています。多くの場合、データはデータセンター内の Jibe の本番環境ストレージ スタック内の複数のレベル(ハードウェア レベルを含む)で暗号化されます。パートナーやお客様による操作は必要ありません。複数の暗号化レイヤを使用することにより、冗長データ保護が追加され、Jibe はアプリケーションの要件に基づいて最適なアプローチを選択できます。個人データはすべて、ストレージ レベルで暗号化されます(通常は AES256 を使用)。Jibe は、Jibe の FIPS 140-2 検証済みモジュールを組み込んだ一般的な暗号ライブラリを使用して、プロセッサ サービス全体で暗号化を一貫して実装しています。
(b)ネットワークと転送。
データの転送。データセンターは通常、高速プライベート リンクを介して接続され、データセンター間の安全で高速なデータ転送を実現します。これは、電子的な転送の際に承認なくデータが読み取り、コピー、変更、削除されるのを防ぐことを目的としています。Jibe はインターネット標準プロトコルを使用してデータを転送します。
外部攻撃対象領域。Jibe は、外部攻撃対象領域を保護するために、複数のレイヤからなるネットワーク デバイスと侵入検知を採用しています。Jibe は、潜在的な攻撃ベクトルを検討し、外部向けのシステムに適切な目的に特化したテクノロジーを組み込んでいます。
侵入検知。侵入検知は、進行中の攻撃のアクティビティに関する分析情報を提供し、インシデントに対応するための適切な情報を提供することを目的としています。Jibe の侵入検知では次のことを行います。
予防策により Jibe の攻撃対象のサイズと構成を厳密に制御します。
データ エントリ ポイントでインテリジェントな検出制御を採用する
特定の危険な状況を自動的に解決する技術を採用している。
インシデント対応。Jibe は、さまざまなコミュニケーション チャネルを使用してセキュリティ インシデントをモニタリングし、Jibe のセキュリティ担当者が既知のインシデントに迅速に対応します。
暗号化技術。Jibe では HTTPS 暗号化(TLS 接続とも呼ばれます)を利用できます。Jibe サーバーは、RSA と ECDSA で署名された一時的な楕円曲線の Diffie Helman 暗号鍵交換をサポートしています。これらの完全な前方秘匿性(PFS)方式は、トラフィックを保護し、鍵の侵害や暗号の侵害による影響を最小限に抑えることができます。
2. アクセスとサイト管理
(a)サイト管理。
オンサイトのデータセンター セキュリティ運用。Jibe のデータセンターは、すべての物理データセンター セキュリティ機能を担当するオンサイト セキュリティ運用を 24 時間年中無休で管理しています。オンサイトのセキュリティ運用担当者は、クローズド サーキット テレビ(「CCTV」)カメラとすべての警報システムをモニタリングします。オンサイトのセキュリティ運用担当者は、データセンターの内部および外部パトロールを定期的に実施しています。
データセンターのアクセス手順。Jibe では、データセンターへの物理的なアクセスを許可するため、正式なアクセス手順が維持されています。データセンターは、電子カードキーへのアクセスが必要な施設内にあり、アラームはオンサイトのセキュリティ オペレーションにリンクされています。データセンターへ参入する場合、身元確認とオンサイト セキュリティ オペレーションの証明が必要です。データセンターへの入場は、認可を受けた従業員、請負業者、訪問者のみが許可されています。電子カードキーの電子施設へのアクセスをリクエストできるのは、権限のある従業員と請負業者のみです。データセンターの電子カード鍵アクセス リクエストは、事前に書面にて書面で承認し、データセンターの認可を行う必要があります。データセンターへの一時的なアクセスを必要とする場合は、(i)データセンターの管理者と訪問したい内部領域について、事前にデータセンター管理者の承認を得て、(ii)オンサイトのセキュリティ運用でログインし、(iii)個人として承認されている個人として認められたデータセンターのアクセス記録を参照する必要があります。
オンサイトのデータセンター セキュリティ デバイス。Jibe のデータセンターでは、システムアラームにリンクされている電子カードキーと生体認証アクセス制御システムを採用しています。アクセス制御システムは、各ユーザーの電子カードキー、および境界ドア、配送と受け取り、その他の重要な領域にアクセスするタイミングをモニタリングおよび記録します。不正なアクティビティと失敗したアクセスの試行は、必要に応じてアクセス制御システムによって記録され、調査されます。事業運営とデータセンター全体の認可されたアクセスは、ゾーンと個人の職務に基づいて制限されます。データセンターの防火設備は警報状態です。CCTV カメラはデータセンター内外で運用されています。カメラのポジショニングは、境界、データセンターのドア、配送と受け取りなど、戦略的な領域をカバーするように設計されています。オンサイトのセキュリティ運用担当者が、CCTV のモニタリング、記録、制御機器を管理します。データセンター全体の安全なケーブルは、CCTV 機器を接続します。カメラは 24 時間年中無休でデジタル動画レコーダーを使用してオンサイトで撮影しています。監視レコードは、アクティビティに基づいて少なくとも 7 日間保持されます。
(b)アクセス制御。
インフラストラクチャのセキュリティ担当者。Jibe には、従業員用のセキュリティ ポリシーがあり、そのセキュリティを維持しています。また、スタッフ用のトレーニング パッケージの一部としてセキュリティ トレーニングが必要です。Jibe のインフラストラクチャ セキュリティ担当者は、Jibe のセキュリティ インフラストラクチャの継続的なモニタリング、データ処理者のサービスの確認、セキュリティ インシデントへの対応を担当します。
アクセス制御と権限の管理パートナーの管理者とユーザーがデータ処理者サービスを使用するには、中央認証システムまたはシングル サインオン システムを使用して認証を行う必要があります。
内部データアクセス プロセスとポリシー – アクセス ポリシー。Jibe の内部データアクセス プロセスとポリシーは、未承認の個人やシステムが個人データの処理に使用されるシステムにアクセスできないようにするように設計されています。Jibe の目的は、以下のことを目的としてシステムを設計することにあります。(i)権限のあるユーザーのみがアクセスが許可されているデータにアクセスし、(ii)個人データが処理中、使用時、記録後に承認なしに読み取り、コピー、変更、削除されることのないようにする。システムは、不適切なアクセスを検出するように設計されています。Jibe は一元化されたアクセス管理システムを使用して、本番環境サーバーへの人員によるアクセスを制御し、限られた数の承認された担当者にのみアクセスを提供します。LDAP、Kerberos、デジタル証明書を利用する独自のシステムは、Jibe に安全で柔軟なアクセス メカニズムを提供するように設計されています。これらのメカニズムは、サイトのホスト、ログ、データ、構成情報にのみ承認済みのアクセス権を付与するように設計されています。Jibe では、アカウントが不正に使用される可能性を最小限に抑えるために、一意のユーザー ID、安全なパスワード、2 要素認証、慎重に管理されたアクセスリストを使用する必要があります。アクセス権限の付与 / 変更は、承認された担当者の職務、承認済みのタスクを実行するために必要な職務の要件、基本事項を知る必要があります。アクセス権の付与または変更は、Jibe の内部データアクセス ポリシーとトレーニングにも従う必要があります。承認は、すべての変更の監査記録を維持するワークフロー ツールによって管理されています。システムへのアクセスは、アカウンタビリティの監査証跡を作成するために記録されます。パスワードが認証に使用される場合(たとえば、ワークステーションへのログイン)、少なくとも業界基準に沿ったパスワード ポリシーが実装されます。これらの基準には、パスワードの再利用と十分なパスワード強度に関する制限が含まれます。
3. データ
(a)データ ストレージ、分離、認証。
Jibe は、Google LLC が所有するサーバーのマルチテナント環境にデータを保存します。データ、プロセッサ サービスのデータベース、ファイル システム アーキテクチャは、地理的に分散した複数のデータセンター間で複製されます。Jibe は各パートナーまたは顧客のデータを論理的に分離します。一元化された認証システムにより、すべてのプロセッサ サービスがデータの均一なセキュリティを高めています。
(b)廃棄されたディスクとディスク破壊ガイドライン。
データを含む特定のディスクでは、パフォーマンスの問題、エラー、ハードウェア障害が発生し、これらのディスクが廃止されます(「廃止されたディスク」)。すべての廃止されたディスクは、再利用または破棄のために Jibe の施設を離れる前に、一連のデータ破棄プロセス(データ破棄ガイドライン)の対象となります。廃止されたディスクは、複数のステップで消去され、2 人以上の独立したバリデータによって検証されます。消去の結果はトラッキングのために、廃止されたディスクのシリアル番号で記録されます。最後に、消去された廃止ディスクがインベントリに解放され、再利用と再デプロイが行われます。ハードウェア障害のために廃止されたディスクが消去できない場合、ディスクは破棄されるまで安全に保管されます。各施設は、データ破棄ガイドラインの遵守状況を確認するため、定期的に監査されています。
(c)仮名データ。
オンライン広告データは一般的に、オンライン ID と関連付けられており、それ自体で「仮名」とみなされます(つまり、追加情報を使用せずに特定の個人を関連付けることはできません)。Jibe には、仮名化されたデータと、個人を特定できるユーザー情報(ユーザーの Jibe アカウント データなど、個人を直接特定、連絡、または正確に特定するために使用できる情報)を確実に用意するための一連の堅牢なポリシーや技術および組織コントロールが用意されています。Jibe ポリシーは、厳密な限られた状況下で、仮名化されたデータと個人を特定できるデータの間の情報フローのみを許可します。
(d)リリース レビュー。
Jibe は、リリース前に新しいサービスや機能のリリース レビューを行っています。これには、特別に訓練されたプライバシー エンジニアによるプライバシー審査が含まれます。プライバシー レビューでは、プライバシー エンジニアは、仮名化、データの保持、削除に関するポリシーを含む(ただしこれらに限定されません)該当するすべての Jibe ポリシーとガイドラインに従うようにしています。
4. 担当者のセキュリティ
Jibe の従業員は、機密性保持、ビジネス倫理、適切な使用法、職業基準に関する会社のガイドラインを遵守した方法で行動する必要があります。Jibe は、法的に許容される範囲で、適用される現地の労働法および法的規制に従って、合理的に適切なバックグラウンド チェックを実施しています。
スタッフは機密保持契約を締結する必要があり、Jibe の機密保持およびプライバシー ポリシーの受領および準拠を確認しなければなりません。スタッフには、セキュリティ トレーニングが提供されます。パートナー個人データを処理する担当者は、そのロールに適した追加要件を満たす必要があります。Jibe の社員は、承認なしでパートナー個人データを処理しません。
5. 復処理者のセキュリティ
Jibe は、復処理者をオンボーディングする前に、復処理者のセキュリティとプライバシー保護に関する監査を実施し、データへのアクセスおよび提供するサービスの範囲に適したレベルのセキュリティとプライバシーを確保していることを確認します。Jibe が復処理者から提示されるリスクを評価した後、復処理者は、第 11.3 項(復処理者の要件)の要件に従い、該当するセキュリティ、機密性保持、およびプライバシー契約の条件を締結する必要があります。
付録 3: 欧州以外のデータ保護法の追加規約
以下の欧州以外のデータ保護法の追加規約は、本データ処理追加条項を補完するものです。
- LGPD 処理事業者向けの追加条項(business.safety.google/processorterms/lgpd、2020 年 8 月 27 日時点)
- business.safety.google/processorterms/us-state-laws の米国州法の追加条項(2022 年 12 月 12 日付け)
LGPD 処理に関する追加条項、および米国の州法の追加条項において、Google LLC または Google が言及する場合、Jibe が参照します。
Jibe データ処理追加条項、バージョン 4.0