最終更新日: 2023 年 8 月 8 日 | 以前のバージョン
Jibe と、本追加条項に同意した相手方(以下「パートナー」)は、プロセッサ サービスの提供に関する契約(随時改正される、以下「本契約」)を締結しています。
このデータ処理追加条項(付録「データ処理追加条項」を含む)は、Jibe とパートナーによって締結され、本契約を補完します。本データ処理追加条項は、本条項の発効日より有効となり、本件に関連して以前に適用されていた条項(データ処理者サービスに関連するデータ処理およびセキュリティ条項を含む)に代わって適用されるものとします。
パートナー様の代理として本データ処理追加条項に同意する場合は、次の点を保証するものとします。(a)パートナー様を本データ処理追加条項に拘束する完全な法的権限を有していること、(b)本データ処理追加条項を読んで内容を理解していること、および(c)パートナー様に代わって本データ処理追加条項に同意すること。パートナーを拘束する法的権限がない場合は、このデータ処理に関する追加条項に同意しないでください。
1. はじめに
本データ処理追加条項は、欧州のデータ保護法および欧州以外のデータ保護法に関連して、特定のデータの処理およびセキュリティを規定する条件に関する当事者の合意を反映しています。
2. 定義と解釈
2.1 本データ処理追加条項内の定義:
「追加プロダクト」とは、Jibe または第三者が提供するプロダクト、サービス、アプリケーションで、(a)データ処理者サービスに含まれないもの、(b)データ処理者のユーザー インターフェース内で使用できるもの、またはデータ処理者と統合されているものを意味します。
「欧州以外のデータ保護法の追加規約」とは、付録 3 に記載されている追加規約であり、特定の欧州以外のデータ保護法に関連する特定のデータの処理について規定した条項に関する当事者の合意を反映しています。
「十分性認定国」とは、以下を意味します。
(a)EU の GDPR に従って処理されたデータの場合: EEA、または EU の GDPR に基づき、十分なデータ保護を確保していると認識されている国もしくは地域。
(b)英国の GDPR に従って処理されたデータの場合: 英国、または英国の GDPR および 2018 年データ保護法(Data Protection Act 2018)に基づき、十分なデータ保護を確保していると認識されている国もしくは地域。
(c)スイス FDPA に従って処理されたデータの場合: スイス、または(i)スイス連邦データ保護および情報担当委員会によって公表された、十分なレベルの保護を確保している法律を有する国のリストに含まれている国または地域、または(ii)スイス FDPA に基づき、十分なデータ保護を確保しているとスイス連邦評議会によって認められている国または地域。いずれの場合も、任意のデータ保護フレームワークに基づくものではありません。
「代替転送ソリューション」とは、欧州のデータ保護法に従って個人データを第三国に合法的に転送するためのソリューションを意味します。たとえば、参加する現地事業者が十分な保護を提供していることが認められたデータ保護フレームワークなどです。
「データ インシデント」とは、Jibe が管理または制御しているシステム上にあるパートナー個人データに対する偶発的または違法な破壊、紛失、改変、不正開示、アクセスにつながる Jibe のセキュリティ侵害を意味します。「データ インシデント」には、ファイアウォールまたはネットワーク システムへのログイン試行、ping、ポートスキャンの失敗や、サービス拒否攻撃、その他のネットワーク攻撃など、パートナー個人データのセキュリティ侵害にはつながらない試行の失敗や活動は含まれません。
「データ主体ツール」とは、Jibe エンティティがデータ主体に提供し、Jibe がパートナー個人データに関連するデータ主体からの特定のリクエスト(オンライン広告設定やオプトアウト ブラウザ プラグインなど)に直接、標準化された方法で対応できるようにするツール(該当する場合)を意味します。
「EEA」は、欧州経済領域(European Economic Area)の略称です。
「EU の GDPR」とは、2016 年 4 月 27 日付の「個人データ取り扱いに係る自然人の保護と当該データの自由な移動に関する欧州議会および欧州理事会の規則(EU)2016/679」を意味し、これにより指令 95/46/EC は廃止されています。
「欧州のデータ保護法」とは、(a)GDPR または(b)スイスの FDPA を意味します。
「欧州の法令」とは、(a)EU または EU 加盟国の法令(EU の GDPR がパートナー個人データの処理に適用される場合)、および/または(b)英国または英国の一部の法令(英国の GDPR がパートナー個人データの処理に適用される場合)を意味します。
「GDPR」とは、(a)EU の GDPR または(b)イギリスの GDPR、あるいはその両方を意味します。
「Jibe」とは、本契約の当事者である Jibe エンティティを意味します。
「Jibe 関連会社」とは、Jibe Mobile, Inc、Jibe Mobile Limited、または Jibe Mobile, Inc を直接的または間接的に支配している、Jibe Mobile, Inc によって支配されている、または Jibe Mobile, Inc と共通の支配下にあるその他の法人を意味します。
「ISO 27001 認証」とは、ISO/IEC 27001:2013 認証、あるいは同等のデータ処理者サービス認証を意味します。
「新しいデータ処理再委託者」とは、セクション 11.1(データ処理再委託者の利用に対する同意)に規定されている意味を有します。
「欧州以外のデータ保護法」とは、EEA、スイス、英国以外で施行されているデータ保護法またはプライバシー法を意味します。
「通知メールアドレス」とは、(i)パートナーが Jibe に提供したメールアドレス、または(ii)本データ処理追加条項に関連する通知を Jibe から受信するために、パートナーがプロセッサ サービスのユーザー インターフェースまたは Jibe が提供するその他の手段を通じて指定したメールアドレス(存在する場合)を意味します。なお、通知メールアドレスを Jibe に提供し、通知メールアドレスの変更を Jibe に通知することはパートナーの責任となります。
「パートナー個人データ」とは、Jibe によるデータ処理者サービスの提供において、パートナーの代わりに Jibe によって処理される個人データを意味します。
「パートナー SCC」とは、該当する場合、SCC(データ管理者からデータ処理者へ)、SCC(データ処理者からデータ管理者へ)、SCC(データ処理者からデータ処理者へ)のいずれかまたは複数を意味します。
「プロセッサ サービス」とは、RCS ビジネス メッセージ サービス(developers.google.com/business-communications/rcs-business-messaging で説明されているサービス)を意味します。
「SCC」とは、該当する場合、パートナー SCC または SCC(データ処理者間、Jibe 移転元)を意味します。
「SCC(データ管理者 - データ処理者間)」とは、business.safety.google/gdprcontrollerterms/sccs/eu-c2p-dpa に記載されている内容を意味します。
「SCC(データ処理者 - データ管理者間)」とは、business.safety.google/gdprprocessorterms/sccs/p2c に記載されている条項を意味します。
「SCC(データ処理者間)」とは、business.safety.google/gdprprocessorterms/sccs/eu-p2p-dpa に記載されている内容を意味します。
「SCC(データ処理者間、Jibe エクスポータ)」とは、business.safety.google/gdprprocessorterms/sccs/eu-p2p-intra-group に記載されている内容を意味します。
「セキュリティ ドキュメント」とは、ISO 27001 認証と、データ処理者サービスに関連して Jibe が提供できる他のセキュリティ証明書またはドキュメントを意味します。
「セキュリティ対策」とは、第 7.1.1 項(Jibe のセキュリティ対策)に規定されている意味を有します。
「復処理者」とは、データ処理者サービスの一部や関連テクニカル サポートを提供するために、本データ処理追加条項の下、パートナー個人データに論理的にアクセスし処理することを承認された第三者を意味します。
「監督機関」とは、(a)EU の GDPR で定義されている「監督機関」および / または(b)英国の GDPR またはスイスの FDPA で定義されている「コミッショナー」をいいます。
「スイス FDPA」とは、1992 年 6 月 19 日付のスイス連邦データ保護法を意味します。
「期間」とは、契約発効日から、本契約に基づいて Jibe がデータ処理者サービスの提供を終了するまでの期間を意味します。
「規約発効日」とは、本契約の発効日を意味します。
「イギリスの GDPR」とは、英国の 2018 年欧州連合離脱法、および同法に基づいて制定された該当する二次法に基づき、EU の GDPR を修正し、英国の法律に組み込まれたものを指します。
2.2 本データ処理追加条項で使用される「データ管理者」、「データ主体」、「個人データ」、「処理」、「データ処理者」という用語は、GDPR で定義されている意味で使用されます。また、「データ移転先」および「データ移転元」という用語は、該当する SCC で定義されている意味で使用されます。
2.3 「含む」および「など」という単語は、「含むが、それらに限定されない」ということを意味します。本データ処理追加条項内の具体例は、説明用のものであり、特定の概念の唯一の例ではありません。
2.4 法的フレームワークや法令が言及されている場合は、随時改正または再制定されたものに言及しているものとします。
2.5 本データ処理追加条項の翻訳版と英語版との間に不一致がある場合は、英語版が優先するものとします。
3. 本データ処理追加条項の存続時間
本データ処理追加条項は、契約発効日に効力を生じ、契約が満了した場合でも、本データ処理追加条項内で規定されているとおり、Jibe がすべてのパートナー個人データを削除するまで有効であり、その時点で自動的に失効します。
4. 本データ処理追加条項の適用範囲
4.1 欧州のデータ保護法の適用。第 5 条(データの処理)から第 12 条(Jibe への連絡、レコードの処理)まで(含む)は、欧州のデータ保護法がパートナー個人データの処理に適用される場合に限り適用されます。以下のケースなどが該当します。
(a)データ処理が、EEA または英国内でパートナーを設立するアクティビティに関連している場合。
(b)パートナー個人データが EEA またはイギリス内におけるデータ主体に関する個人データであり、かつ、その処理が EEA またはイギリス内にいる者への商品もしくはサービスの提供または EEA またはイギリス内にいる者の行動のモニタリングに関するものである場合
4.2 データ処理者サービスに対する適用。本データ処理追加条項は、本データ処理追加条項に当事者が同意したデータ処理者サービスにのみ適用されます(例: (a)パートナーがクリックして本データ処理追加条項に同意したデータ処理者サービス、または(b)本契約に本データ処理追加条項が参照として組み込まれている場合、本契約の対象となるデータ処理者サービス)。
4.3 欧州以外のデータ保護法の追加規約の組み込み。欧州以外のデータ保護法の追加規約は、本データ処理追加条項を補完するものです。
5. データの処理
5.1 役割および規制遵守、承認。
5.1.1 データ処理者と管理者の責任。当事者は、以下を認識し、同意します。
(a)付録 1 は、パートナー個人データの処理の主題および詳細について規定しています。
(b)Jibe は、欧州のデータ保護法に基づいてパートナー個人データのデータ処理者です。
(c)パートナーは、欧州のデータ保護法に基づいて、パートナー個人データのデータ管理者またはデータ処理者です。
(d)各当事者は、パートナー個人データの処理に関して、欧州のデータ保護法で適用される義務を遵守するものとします。
5.1.2 処理者パートナー。パートナーがデータ処理者である場合:
(a)パートナーは、関連するデータ管理者が、(i)指示、(ii)パートナーが Jibe を別のデータ処理者として指名すること、(iii)第 11 条(データ処理再委託者)に規定されている Jibe によるデータ処理再委託者の利用を承認していることを継続的に保証するものとします。
(b)パートナーは、第 5.4 項(指示の通知)、第 7.2.1 項(インシデント通知)、第 11.4 項(サブプロセッサの変更に対する異議申し立ての機会)に基づき Jibe から提供された通知、または SCC を参照する通知を直ちに関連するデータ管理者に転送するものとします。
(c)パートナーは、第 7.4 項(セキュリティ認証)、第 10.5 項(データセンター情報)、第 11.2 項(サブプロセッサに関する情報)に基づいて Jibe が提供した情報を関連するデータ管理者に提供できます。
5.2 パートナーによる指示。本データ処理追加条項を締結することにより、パートナーは、(a)データ処理者サービスおよび関連するテクニカル サポートを提供するため、(b)パートナーによるデータ処理者サービスの使用(データ処理者サービスの設定やその他の機能を含む)および関連するテクニカル サポートを通じてさらに指定された範囲で、(c)本データ処理追加条項を含む本契約の形式で文書化された範囲で、(d)パートナーから提供され、本データ処理追加条項の目的において指示を構成するものとして Jibe によって承認されたその他の書面による指示でさらに文書化された範囲でのみ、パートナー個人データを処理するよう Jibe に指示します(以下「指示」)。
5.3 指示に対する Jibe の遵守。Jibe は、欧州の法律で禁止されていない限り、指示に従うものとします。
5.4 指示通知。Jibe の判断において、(a)欧州の法律が Jibe による指示への準拠を禁止している場合、(b)指示が欧州のデータ保護法に準拠していない場合、または(c)Jibe がその他の理由で指示に準拠できない場合、Jibe は直ちにパートナーに通知します。ただし、そのような通知が欧州の法律で禁止されている場合を除きます。本第 5.4 項(指示通知)によって、当該契約の他の場所に記載されているいずれの当事者の権利および義務も縮小されることはありません。
5.5 追加プロダクト。パートナーが追加プロダクトを使用している場合、データ処理者サービスは、追加プロダクトとデータ処理者サービスの相互運用に必要に応じて、その追加プロダクトがパートナー個人データにアクセスすることを許可することがあります。必要に応じて、当事者は、追加プロダクトがパートナー個人データを処理する方法を規定する個別のデータ処理規約を締結します。
6. データの削除
6.1 期間中の削除。
6.1.1 データ処理者サービスが削除機能を備えている場合。期間中に、以下が該当する場合は、下記に示すとおりに削除を行います。
(a)データ処理者サービスの機能の中に、パートナーがパートナー個人データを削除できるオプションが含まれている場合。
(b)パートナーが、データ処理者サービスを使用して特定のパートナー個人データを削除する場合。
(c)削除されたパートナー個人データをパートナーが復元できない(たとえば「ゴミ箱」から)場合、Jibe は、合理的に実行可能な範囲で可能な限り早く、当該のパートナー個人データをシステムから削除します。ただし、欧州の法律が保存を要求している場合を除きます。
6.1.2 データ処理者サービスが削除機能を備えていない場合。本契約期間中、データ処理者サービスの機能の中に、パートナーがパートナー個人データを削除できるオプションが含まれていない場合、Jibe は、データ処理者サービスの性質と機能を考慮し、欧州の法律で保存が義務付けられている場合を除き、パートナーからの削除を容易にするための合理的なリクエストに準拠します。Jibe は、セクション 6.1.2(データ処理者サービスが削除機能を備えていない場合)に基づくデータ削除に対し、Jibe の合理的な費用に基づいて、手数料を請求できます。Jibe は、当該のデータ削除を行う前に、適用される料金の詳細およびその計算の根拠についてパートナーに提供します。
6.2 期間満了時の削除。期間の満了時に、パートナーは、適用される法律に従って、Jibe のシステムからすべてのパートナー個人データ(既存のコピーを含む)を削除するよう Jibe に指示します。Jibe は、欧州の法律で保存が義務付けられていない限り、合理的に実行可能な限り速やかにこの指示に従います。
7. データ セキュリティ
7.1 Jibe のセキュリティ対策およびセキュリティ支援。
7.1.1 Jibe のセキュリティ対策。Jibe は、付録 2(「セキュリティ対策」)に記載されているように、偶発的または違法な破壊、紛失、改変、不正開示、アクセスからパートナー個人データを保護するための技術的および組織的な対策を実施、維持します。付録 2 に記載されているように、セキュリティ対策には、(a)個人データを暗号化する対策、(b)Jibe のシステムとサービスの継続的な機密性、完全性、可用性、復元力を維持するための対策、(c)インシデント発生後の個人データへのアクセスをタイムリーに復元するための対策、(d)有効性の定期的なテストのための対策が含まれます。Jibe は、データ処理者サービスの全体的なセキュリティが低下する場合を除き、セキュリティ対策の更新または変更を随時実施できるものとします。
7.1.2 アクセスとコンプライアンス。Jibe は、(a)社員、契約者、サブプロセッサがパートナー個人データにアクセスすることを、指示に従うために厳密に必要な場合にのみ許可し、(b)社員、契約者、サブプロセッサが、その業務範囲に適用される範囲でセキュリティ対策に準拠するよう適切な措置を講じ、(c)パートナー個人データの処理を承認されたすべての担当者が、機密保持を確約するか、機密保持に関する適切な法定義務を負うようにします。
7.1.3 Jibe のセキュリティ支援。Jibe は、パートナー個人データの処理の性質と Jibe が利用できる情報を考慮し、パートナー(またはパートナーがデータ処理者である場合は、該当する管理者)が GDPR の第 32 条から第 34 条(両方を含む)に基づく義務(またはパートナーがデータ処理者である場合は、該当する管理者)を含む、個人データのセキュリティと個人データ侵害に関するパートナーの義務(またはパートナーがデータ処理者である場合は、該当する管理者)を遵守できるよう、次のようにサポートします。
(a)セクション 7.1.1(Jibe のセキュリティ対策)に従って、セキュリティ対策を実施、維持する。
(b)第 7.2 項(データ インシデント)の条項を遵守する。
(c)セクション 7.5.1(セキュリティ ドキュメントの審査)に従って、セキュリティ ドキュメントと、本データ処理追加条項に含まれる情報をパートナーに提供する。
7.2 データ インシデント
7.2.1 インシデントの通知。Jibe がデータ インシデントの発生を確認した場合、Jibe は次のことを行います。(a)データ インシデントの確認後、速やかにその旨をパートナーに通知する。(b)被害を最小限に抑え、パートナーの個人データを保護するために、合理的な措置を速やかに講じる。
7.2.2 データ インシデントの詳細。セクション 7.2.1(インシデント通知)に基づいて行われる通知には、影響を受けるパートナー リソースを含むデータ インシデントの性質、データ インシデントに対処し、潜在的なリスクを軽減するために Jibe が講じた措置または講じる予定の措置、データ インシデントに対処するために Jibe がパートナーに推奨する措置(該当する場合)、詳細情報を入手できる連絡先の詳細が記載されます。そのような情報をすべて同時に提供できない場合は、Jibe の最初の通知にその時点で利用可能な情報が含まれ、追加情報が入手でき次第、遅滞なく提供されます。
7.2.3 通知の提供。Jibe は、データ インシデントの通知を、通知メールアドレスに送信するか、パートナーが通知メールアドレスを提供していない場合などは Jibe の裁量で、他の直接的な通信手段(電話や対面会議など)を通じて提供します。パートナーは、通知メールアドレスを提供すること、ならびに通知メールアドレスが最新かつ有効であるか確認することに対して、全責任を負います。
7.2.4 第三者への通知。パートナーは、パートナーに適用されるインシデント通知法を遵守すること、ならびにデータ インシデントに関連する第三者通知義務を履行することに対して、全責任を負います。
7.2.5 Jibe による過失承認の否定。第 7.2 項(データ インシデント)に基づく Jibe によるデータ インシデントの通知またはデータ インシデントへの対応は、当該データ インシデントに関する過失または責任を Jibe が認めたと解釈されるものではありません。
7.3 パートナーのセキュリティ責任と評価。
7.3.1 パートナーのセキュリティ責任。パートナーは、セクション 7.1(Jibe のセキュリティ対策およびセキュリティ支援)およびセクション 7.2(データ インシデント)に基づく Jibe の義務に影響を及ぼすことなく、以下の点に同意します。
(a)パートナーは、以下を含むデータ処理者サービスの使用に対して責任を負います。
(i)パートナー個人データに対するリスクに適したレベルのセキュリティを確保するためにデータ処理者サービスを適切に使用すること。
(ii)データ処理者サービスにアクセスする際にパートナーが使用するアカウント認証情報、システム、デバイスを保護すること。
(b)Jibe は、パートナーが Jibe およびそのデータ処理再委託者のシステム外で保存や転送を行うことを選択したパートナー個人データを保護する義務を負いません。
7.3.2 パートナーのセキュリティ評価。パートナーは、第 7.1.1 項(Jibe のセキュリティ対策)に記載されているように、Jibe が実施および維持するセキュリティ対策が、パートナー個人データの処理の性質、範囲、コンテキスト、目的、最先端技術、実装費用、個人に対するリスクを考慮して、パートナー個人データに対するリスクに適したレベルのセキュリティを提供することを認めます。
7.4 セキュリティ認証。セキュリティ対策を評価し、有効性を持続するために、Jibe は ISO 27001 認証またはその他の適切な対策を維持し、セキュリティ対策の有効性を実証します。
7.5 コンプライアンスの審査と監査。
7.5.1 セキュリティ ドキュメントの審査。本データ処理追加条項に基づく義務を Jibe が遵守していることを証明するため、Jibe は、セキュリティ ドキュメントをパートナーによる審査に利用できるようにします。
7.5.2 パートナーの監査の権利。
(a)Jibe は、第 7.5.3 項(監査に関する追加のビジネス規約)に従い、パートナーまたはパートナーが指名した第三者監査人が、Jibe が本データ処理追加条項に基づく義務を遵守しているかどうかを確認するための監査(検査を含む)を実施することを許可します。監査の過程で、Jibe は、義務の遵守を証明するために必要なすべての情報を提供します。また、第 7.4 項(セキュリティ認証)および第 7.5 項(コンプライアンスの審査と監査)に記載されているように、監査に協力します。
(b)第 10 条 2 項(欧州の制限付き移転)に基づき SCC が適用される場合、Jibe は、パートナー(またはパートナーが任命した第三者監査機関)が該当する SCC に記載されているように監査を実施することを許可し、そのような監査中に、第 7.5.3 項(監査に関する追加のビジネス条件)に従って、SCC で要求されるすべての情報を提供します。
(c)パートナーは、第三者監査人によって Jibe に発行された証明書(ISO 27001 認定など)を確認することで、本データ処理追加条項に基づく義務を Jibe が遵守しているかどうかを確認するための監査を実施できます。
7.5.3 監査に関する追加のビジネス規約。
(a)パートナーは、セクション 12.1(Jibe への連絡)に記載されているとおりに、セクション 7.5.2(a)または 7.5.2(b)に基づく監査要求を Jibe に送信します。
(b)Jibe が第 7.5.3(a)項に基づくリクエストを受領した後、Jibe とパートナーは、第 7.5.2(a)項または第 7.5.2(b)項に基づく監査に関して、適切な開始日、範囲、期間、適用されるセキュリティおよび機密保持の管理について、事前に協議し合意します。
(c)Jibe は、第 7.5.2(a)項または第 7.5.2(b)項に基づく監査に対して、Jibe の妥当な費用に基づいて費用を請求することがあります。Jibe は、当該の監査を行う前に、適用される料金の詳細およびその計算の根拠についてパートナーに提供します。パートナーは、当該の監査を実施するためにパートナーが任命した第三者監査人によって請求される料金について、責任を負うものとします。
(d)Jibe は、パートナーによって任命された第三者監査人が、Jibe の合理的な見解の下、適格性がない場合や、独立していない場合、Jibe の競合他社である場合、その他明らかに不適切な監査人である場合、当該の監査人がセクション 7.5.2(a)または 7.5.2(b)に基づく監査を実施することに対して異議を申し立てることができます。Jibe がそのような異議申し立てを行った場合、パートナーは、別の監査人を任命するか、自身で監査を実施する必要があります。
(e)本データ処理追加条項のいかなる規定においても、パートナーまたはその第三者監査人に以下の情報を開示すること、あるいはパートナーまたはその第三者監査人が以下の情報にアクセスすることを許可することを、Jibe が要求されることはありません。
(i)Jibe エンティティの他のパートナーまたは顧客のデータ。
(ii)Jibe エンティティの内部会計または財務情報。
(iii)Jibe エンティティの企業秘密。
(iv)Jibe の合理的な見解の下、以下の可能性のある情報。A)Jibe エンティティのシステムまたは施設のセキュリティが侵害される可能性がある。B)Jibe エンティティが、欧州のデータ保護法に基づく義務や、パートナーまたは第三者に対するセキュリティ義務やプライバシー義務に違反するようになること。
(v)パートナーまたはその第三者監査人が、欧州のデータ保護法に基づくパートナーの義務の誠実な履行以外の理由でアクセスを求めている情報。
8. 影響評価と協議
Jibe は、処理の性質と Jibe が利用できる情報を考慮し、以下のようにパートナーがデータ保護影響評価と事前コンサルトに関するパートナーの義務(パートナーがデータ処理者である場合は、該当する管理者の義務)(該当する場合は、GDPR の第 35 条および第 36 条に基づくパートナーまたは該当する管理者の義務)を遵守できるよう支援します。
(a)第 7.5.1 項(セキュリティ ドキュメントの審査)に従ってセキュリティ ドキュメントを提供する。
(b)本データ処理追加条項に含まれる情報を提供する。
(c)Jibe の標準的な慣行に従って、データ処理者サービスの性質やパートナー個人データの処理に関する他のマテリアル(ヘルプセンターのマテリアルなど)を提供するか、他の方法で利用可能にする。
9. データ主体の権利
9.1 データ主体の要求に対する応答。Jibe がパートナー個人データに関してデータ主体から要求を受け取った場合、パートナーは Jibe が以下を行うことを承認し、本記述をもって Jibe は以下を行うことをパートナーに通知するものとします。
(a)データ主体ツールの標準機能に従ってデータ主体の要求に直接応答する(データ主体ツールを介して要求が行われた場合)。
(b)データ主体に対してパートナーに要求を送信するように助言し、パートナーはかかる要求に対応する責任を負うこと(データ主体ツールを介して要求が行われなかった場合)。
9.2 Jibe によるデータ主体要求に関する支援。Jibe は、パートナー(パートナーがデータ処理者である場合は、該当する管理者)が、データ主体の権利を行使するためのリクエストに応答する GDPR に基づく義務を果たすよう支援します。その際、パートナー個人データの処理の性質と、該当する場合は GDPR の第 11 条(該当する場合)を常に考慮します。
(a)データ処理者サービスの機能を提供する。
(b)セクション 9.1(データ主体の要求への対応)に規定されている取り組みを遵守する。
(c)データ処理者サービスに該当する場合は、データ主体ツールを利用できるようにします。
9.3 訂正。パートナーは、パートナーの個人データが不正確または古いことを認識した場合、欧州のデータ保護法で義務付けられていれば、(利用可能な場合)プロセッサ サービスの機能を使用してそのデータを訂正または削除する責任を負います。
10. データ転送
10.1 データ保存 / 処理施設。本第 10 項(データ転送)の残りの条項に従い、Jibe は、Jibe またはそのデータ処理再委託者が施設を維持している国でパートナー個人データを処理できます。
10.2 (欧州の)制限される移転。各当事者は、欧州のデータ保護法において、データ保護が十分な国でパートナー個人データを処理する場合や、データ保護が十分な国にパートナー個人データを転送する場合に、SCC または代替転送ソリューションを必要としないことを認識するものとします。
パートナー個人データが他の国に転送され、その転送に欧州のデータ保護法が適用される場合(「欧州の制限付き転送」)、次のように対応します。
(a)Jibe が(欧州の)制限される移転を目的として代替移転ソリューションを導入する場合、Jibe は関連するソリューションをパートナーに通知し、かかる(欧州の)制限される移転がそのソリューションに従って行われるようにします。
(b)Jibe が制限される移転を目的として代替転送ソリューションを導入していない場合、あるいは導入を中止したことをパートナーに通知した場合:
(i)Jibe の住所が適格な国にある場合:
(A)Jibe からサブプロセッサへの(欧州の)制限される移転については、SCC(データ処理者からデータ処理者へ、Jibe が移転元)が適用されます。
(B)さらに、パートナーの住所が適格な国以外にある場合、Jibe とパートナー間の制限付き欧州転送については、SCC(データ処理者からデータ管理者)が適用されます(パートナーがデータ管理者またはデータ処理者のいずれであるかにかかわらず)。
(ii)Jibe の住所が適格な国以外にある場合:
パートナーと Jibe 間のこのような制限付き EU 転送については、SCC(データ管理者からデータ処理者へ)または SCC(データ処理者からデータ処理者へ)が(パートナーがデータ管理者またはデータ処理者であるかどうかに応じて)適用されます。
(c)いずれかのデータ管理者規約で Google LLC または Google とお客様とを参照する場合は、それぞれ Jibe とパートナーを参照するものとします。
10.3 補足措置と情報。Jibe は、セクション 7.5.1(セキュリティ ドキュメントの審査)、付録 2(セキュリティ対策)、データ処理者サービスの性質やパートナー個人データの処理に関するその他の資料(ヘルプセンター記事など)に記載されているように、パートナー個人データを保護するための追加措置に関する情報など、制限付きの欧州への転送に関連する情報をパートナーに提供します。
10.4 解除。パートナーは、データ処理者サービスの現在の使用状況または想定される使用状況に基づいて、代替転送ソリューションまたは SCC(該当する場合)がパートナー個人データに適切な保護を提供していないと判断した場合、Jibe に書面で通知することにより、本契約を直ちに解除できます。
10.5 データセンターに関する情報。Google LLC データセンターの所在地については、www.google.com/about/datacenters/locations/index.html をご覧ください。
11. 復処理者
11.1 復処理者の利用に対する同意。パートナーは、第 11.2 項(復処理者に関する情報)に記載されている復処理者を、利用規約の発効日時点で利用することを明示的に承認するものとします。また、パートナーは、セクション 11.4(復処理者の変更に異議を申し立てる機会)を条件として、他の第三者がデータ処理再委託者(「新しい復処理者」)として業務を行うことを一般的に承認します。
11.2 復処理者に関する情報。パートナーからの書面によるリクエストに基づき、Jibe はサブプロセッサとその所在地に関する情報を提供します。このようなリクエストは、第 12 条 1 項(Jibe への連絡)に記載されている連絡先情報を使用して Jibe に送信する必要があります。
11.3 復処理者の使用要件。データ処理再委託者を利用する際、Jibe は以下を行います。
(a)書面による契約を通じて、以下を保証します。
(i)データ処理再委託者は、委託された義務を履行するうえで必要な範囲内でのみ、パートナー個人データにアクセスして使用し、本契約(本データ処理追加条項を含む)を遵守してそのようなアクセスおよび使用を行います。
(ii)パートナー個人データの処理が欧州のデータ保護法の対象となる場合、このデータ処理追加条項のデータ保護義務(GDPR の第 28 条(3)に記載されている義務を含む)がデータ処理再委託者に課されます。
(b)データ処理再委託者に委託したすべての義務、ならびにデータ処理再委託者のすべての行為および不作為に対して、全責任を負います。
11.4 復処理者の変更に異議を申し立てる機会。
(a)契約期間中に新しいサブプロセッサが関与する場合、新しいサブプロセッサがパートナーの個人データを処理する 30 日前までに、Jibe は通知メールアドレスにメールを送信して、その関与(関連するサブプロセッサの名前と所在地、およびサブプロセッサが行うアクティビティを含む)をパートナーに通知します。
(b)パートナーは、第 11 条 4 項(a)に記載されているように、新しいサブプロセッサの契約について通知を受けてから 90 日以内に Jibe に書面で通知することにより、本契約を直ちに解除することで、新しいサブプロセッサに異議を申し立てることができます。
12. Jibe への連絡、データ処理記録
12.1 Jib への連絡パートナーは、本データ処理に関する追加条項に基づく権利を行使する際に、Jibe の RCS データ保護担当者(issuetracker.google.com または Jibe が提供するその他の方法で連絡可能)を通じて Jibe に連絡することができます。
12.2 Jibe のデータ処理記録。 Jibe は、GDPR で義務付けられている処理アクティビティについて適切な記録を保持します。パートナーは、Jibe が GDPR に基づき、(a)特定の情報((i)Jibe が代理で活動する各データ処理者および/またはデータ管理者の名前と連絡先情報、および(該当する場合)そのようなデータ処理者またはデータ管理者の現地代表者およびデータ保護担当者の名前と連絡先情報、(ii)該当する SCC に基づき該当する場合、パートナーの監督機関)の記録を収集して維持し、(b)そのような情報を監督機関に提供することが義務付けられていることを認めます。したがって、パートナーは、要求があり、かつパートナーに該当する場合、プロセッサ サービスのユーザー インターフェースまたは Jibe が提供するその他の手段を通じてかかる情報を Jibe に提供するものとし、かかるユーザー インターフェースまたはその他の手段を使用して、提供するすべての情報が正確かつ最新の状態であることを確保するものとします。
12.3 コントローラ リクエスト。Jibe が、パートナー個人データの管理者であると主張する第三者からリクエストまたは指示を受けた場合、Jive はパートナーに連絡するよう第三者に助言します。
13. 賠償責任
本契約に対して以下の法律が適用される場合は、それぞれ以下で規定する賠償責任が適用されます。
(a)米国の州である場合、本契約の他の条項にかかわらず、本データ処理追加条項に基づいてまたは本データ処理追加条項に関連していずれかの当事者が他方当事者に対して負う責任の総額は、その当事者の責任が本契約に基づいて上限が設定されている金額または支払いベースの金額に制限されます(したがって、本契約の責任の制限から秘密保持または補償請求が除外される場合、欧州のデータ保護法または欧州以外のデータ保護法に関連する本契約に基づく請求には適用されません)。
(b)アメリカの州ではない司法管轄区の法律が適用される場合、本データ処理追加条項の下で、あるいは本データ処理追加条項に関連して生じる当事者とその関連会社の合計補償額は、本契約の対象となります。
14. 本データ処理追加条項の効力
14.1 優先順位。SCC、欧州以外のデータ保護法の追加規約、本データ処理追加条項、および本契約の残りの条項の間に矛盾または不一致が存在する場合は、次の優先順位が適用されます。
(a)SCC
(b)欧州以外のデータ保護法の追加規約
(c)本データ処理追加条項の残りの部分。
(d)本契約の残りの部分。
本データ処理追加条項に改訂があった場合はそれを適用することで、本契約は引き続き完全な効力を有します。
14.2 SCC の修正。本契約のいかなる条項も(本データ処理追加条項を含む)、SCC を変更または否定したり、欧州のデータ保護法に基づくデータ主体の基本的権利または自由を損なったりするものではありません。
14.3 データ管理者間条項への影響なし。本データ処理追加条項は、データ処理者サービス以外のサービスについて、Jibe とパートナー間のコントローラ間の関係を反映する個別の条項には適用されません。
14.4 以前の英国標準契約条項。2022 年 9 月 21 日または本契約の発効日(いずれか遅い方)より、英国の GDPR 移転に関する SCC の補足条項が適用され、英国の GDPR および 2018 年データ保護法に基づいて承認され、パートナーと Jibe が以前に締結した標準契約条項(「以前の英国の SCC」)は、その効力を失います。本第 14 条 4 項(旧英国データ管理者向け標準契約条項)は、旧英国データ管理者向け標準契約条項が有効であった間に、いずれかの当事者またはデータ主体が獲得した権利には影響しません。
15. 本データ処理追加条項の変更
15.1 URL の変更。Jibe は随時、本データ処理追加条項で参照されている URL およびその URL の内容を変更することができます。ただし、Jibe は、第 15.2(b)~第 15.2(d)(データ処理追加条項の変更)に従って、または、欧州のデータ保護法に基づいて採用される新しい版の SCC を組み入れるために、SCC を変更することができます。いずれの場合も、欧州のデータ保護法に基づく SCC の有効性に影響を与えない方法で変更する必要があります。
15.2 データ処理追加条項の変更。変更内容が以下に該当する場合、Jibe は、本データ処理追加条項を変更できます。
(a)セクション 15.1(URL の変更)で規定されているものを含め、本データ処理追加条項によって明示的に許可されている場合。
(b)法人の名前または形態の変更を反映する場合。
(c)適用される法令や規制、裁判所命令、もしくは政府機関や規制機関による指導に従う必要がある場合、または Jibe の代替転送ソリューションの導入を反映する場合。
(d)(i)データ処理者サービスの全体的なセキュリティが低下すること、(ii)(x)欧州以外のデータ保護法に関する追加条項の場合、欧州以外のデータ保護法に関する追加条項の対象となるデータの使用またはその他の処理に関する Jibe の権利の範囲を拡大すること、または(y)本データ処理に関する追加条項の残りの部分の場合、第 5.3 項(Jibe による指示への準拠)に記載されているように、Jibe によるパートナー個人データの処理の範囲を拡大すること、または制限を排除すること、(iii)その他、Jibe が合理的に判断したうえで、本データ処理に関する追加条項に基づくパートナーの権利に重大な悪影響を及ぼすことがない。
15.3 変更の通知。Jibe が第 15 条 2 項(c)または(d)に基づきこのデータ処理に関する追加条項を変更する場合、Jive は変更が有効になる少なくとも 30 日前(または適用される法律、適用される規制、裁判所命令、政府規制機関または政府機関から発行されたガイダンスに準拠するために必要となる短い期間)に、(a)通知用メールアドレスにメールを送信するか、(b)プロセッサ サービスのユーザー インターフェースを通じてパートナーに通知します。パートナーが当該の変更を承諾しない場合、パートナーは、Jibe から変更の通知を受けてから 90 日以内に Jibe に書面で通知することによって、本契約を解除することができます。
付録 1: データ処理の内容および詳細
Subject Matter
Jibe がパートナーに対してデータ処理者サービスおよび関連テクニカル サポートを提供すること。
データ処理の期間
本契約の期間に加えて、本契約の終了から本データ処理追加条項に従って Jibe がすべてのパートナー個人データを削除するまでの期間。
データ処理の性質と目的
Jibe は、本データ処理追加条項に従って、パートナーにデータ処理者サービスと関連するテクニカル サポートを提供するために、パートナー個人データの収集、記録、整理、構造化、保存、変更、取得、使用、開示、結合、消去、破棄(データ処理者サービスの性質と指示に応じて該当するもの)を含む、パートナー個人データを処理します。
個人データの種類
パートナーまたはパートナーのエンドユーザーによって(またはその指示により)データ処理者サービスを介して Jibe に提供される個人に関連する個人データ。
データ主体のカテゴリ
データ主体には、パートナーによって、あるいはパートナーの指示によって、あるいはパートナーの代わりにデータ処理者サービスを介して Jibe に提供される個人のデータが含まれます。
付録 2: セキュリティ対策
契約発効日以降、Jibe は、この付録 2 のセキュリティ対策を実施、維持します。Jibe は、そのような更新や修正によってデータ処理者サービスの全体的なセキュリティが低下する場合を除き、セキュリティ対策の更新または変更を随時実施できるものとします。
1. データセンターとネットワーク セキュリティ
(a)データセンター。
インフラストラクチャ。Jibe は、地理的に分散したデータセンターを維持しています。Jibe は、本番環境のすべてのデータを物理的に保護されたデータセンターに保存しています。
冗長性。インフラストラクチャ システムは、単一障害点を排除し、予想される環境リスクの影響を最小限に抑えるように設計されています。二重回路、スイッチ、ネットワーク、他の必須デバイスにより、このような冗長性を実現しています。データ処理者サービスは、中断することなく Jibe が特定のタイプの予防的および補正的なメンテナンスを実行できるように設計されています。すべての環境機器および施設は、製造元や内部の仕様に従って、実施プロセスと実施頻度を詳細に説明した予防的メンテナンス手順が文書化されています。データセンターの機器に対する予防的および是正的なメンテナンスは、文書化された手順に従い、標準プロセスを通じて実施されます。
パワー。データセンターの電力システムは、1 日 24 時間、週 7 日の継続的な運用に影響を与えることなく、冗長性と保守性を維持できるように設計されています。ほとんどの場合、データセンター内の重要なインフラストラクチャ コンポーネントには、それぞれ同じ容量の主電源と代替電源が用意されています。バックアップ電源は、ブラウンアウト、ブラックアウト、過電圧、電圧不足、許容範囲外の周波数状態でも、信頼できる電力を安定して供給する無停電電源装置(UPS)バッテリなど、さまざまなメカニズムによって提供されます。停電が発生した場合、バックアップ電源はバックアップ発電機が稼働するまで最大 10 分間、データセンターのフル稼働に必要な電力を一時的に供給するように設計されています。発電機は数秒で自動的に起動し、データセンターが数日間フル稼働するのに通常必要な分の緊急用電力を供給します。
サーバー オペレーティング システム。Jibe サーバーは、業務固有のサーバーニーズに合わせてカスタマイズされたセキュア強化型オペレーティング システムを使用しています。データは、データ セキュリティと冗長性を高めるために独自のアルゴリズムを使用して保存されます。Jibe は、コード審査プロセスを活用することで、データ処理者サービスの提供に使用するコードのセキュリティを強化し、本番環境のセキュリティ製品を強化しています。
ビジネスの継続性。Jibe は、偶発的な破壊や損失から保護するため、複数のシステムにわたってデータを複製します。Jibe は、事業継続計画/障害復旧プログラムを策定しており、定期的に立案とテストを行っています。
暗号化テクノロジー。Jibe のセキュリティ ポリシーでは、個人データを含むすべてのユーザーデータに対して保存時の暗号化が義務付けられています。多くの場合、データセンター内の Jibe の本番環境ストレージ スタックでは、ハードウェア レベルを含む複数のレベルでデータが暗号化されます。これには、パートナーやお客様による操作は必要ありません。複数の暗号化レイヤを使用することにより、冗長データ保護機能が追加され、Jibe はアプリケーションの要件に基づいて最適なアプローチを選択できるようになります。すべての個人データは、通常は AES256 を使用してストレージ レベルで暗号化されます。Jibe は、Jibe の FIPS 140-2 認証済みモジュールを組み込んだ共通暗号ライブラリを使用して、プロセッサ サービス全体で一貫した暗号化を実装します。
(b)ネットワークとデータ転送。
データの転送。データセンターは通常、高速プライベート リンク経由で接続され、データセンター間でセキュアな高速データ転送を実現しています。これにより、電子的な転送中に、不正なデータの読み取り、コピー、変更、削除の発生を防いでいます。Jibe は、インターネット標準プロトコルを通じてデータを転送します。
外部攻撃対象領域。Jibe は、外部攻撃対象領域を保護するため、複数層のネットワーク デバイスと侵入検知を採用しています。Jibe は、潜在的な攻撃方法を検討し、該当の目的に合わせて構築されたテクノロジーを外部向けシステムに組み込んでいます。
侵入検知。侵入検知は、進行中の攻撃アクティビティに対する情報を提供し、インシデントに対応するための適切な情報を提供することを目的としています。Jibe の侵入検知には以下の機能が含まれています。
予防的措置を通じて、Jibe の攻撃対象領域のサイズと構成を厳密に制御します。
データ入力ポイントでインテリジェントな検知制御を採用しています。
特定の危険な状況を自動的に解決するテクノロジーを採用しています。
インシデント対応。Jibe は、さまざまな通信チャネルをモニタリングしてセキュリティ インシデントを調査しており、Jibe のセキュリティ担当者は既知のインシデントに迅速に対応します。
暗号化テクノロジー。Jibe は、HTTPS 暗号化(TLS 接続とも呼ばれます)を利用可能にします。Jibe サーバーは、RSA と ECDSA で署名された一時楕円曲線 Diffie-Hellman 暗号鍵交換をサポートしています。この PFS(Perfect Forward Secrecy)により、トラフィックを保護し、侵害された鍵または暗号の解読による影響を最小限に抑えることができます。
2. アクセス制御とサイト管理
(a)サイト管理。
オンサイト データセンターの警備システム。Jibe のデータセンターは、すべての物理的データセンター セキュリティ機能を 24 時間年中無休で実行するオンサイト セキュリティ運用システムを整備しています。オンサイト セキュリティ運用担当者が、閉回路テレビ(「CCTV」)カメラとすべての警報システムを監視しています。オンサイト セキュリティ運用担当者は、データセンターの内部および外部の巡回を定期的に実施しています。
データセンターへのアクセス手順。Jibe では、データセンターへの物理的なアクセスを制限するため、厳格なアクセス手順が決められています。データセンターは、電子カードキー アクセスを必要とする施設に収容されており、オンサイト セキュリティ運用にリンクした警報を備えています。データセンターに入る場合は、ID カードで本人確認を行う必要があります。データセンターへの入出は、許可された従業員、請負業者、訪問者に限定されています。データセンター施設に入るための電子カードキー アクセスを要求できるのは、承認された従業員と請負業者だけに限られます。データセンターの電子カードキー アクセスを要求する際は、事前に書面で行う必要があり、データセンターの承認済み担当者の承認が必要となります。データセンターへの一時的なアクセスが必要なその他のすべての入場者は、(i)訪問する特定のデータセンターと内部エリアについて、データセンター管理者から事前に承認を得る、(ii)オンサイト セキュリティ運用システムでログインする、(iii)承認済みのデータセンター アクセス レコードを参照して、その個人が承認済みであることを確認する必要があります。
オンサイト データセンターのセキュリティ デバイス。Jibe のデータセンターでは、システム アラームにリンクされた電子カードキーと生体認証によるアクセス制御システムを採用しています。アクセス制御システムは、各個人の電子カードキーと、境界ドア、入出荷部門、その他重要な領域にアクセスした時刻をモニタリングし、記録します。不正なアクティビティや失敗したアクセス試行は、アクセス制御システムによって記録され、必要に応じて調査されます。ビジネス オペレーションおよびデータセンターへのアクセスはゾーンおよび個人の職責に基づいて制限されています。データセンターの防火扉には、アラームが設置されています。データセンターの内外で、CCTV カメラが稼働しています。カメラは、施設周辺、データセンター施設への出入り口、荷物の搬入口など、重要領域をカバーするように配置されています。オンサイト セキュリティ運用担当者が、CCTV 監視、記録、制御用の機器を管理します。CCTV 機器は、データセンター全体にセキュアなケーブルで接続されます。カメラは、24 時間年中無休で、デジタルビデオ レコーダーを通じてオンサイトで録画を行います。監視記録は、アクティビティに応じて少なくとも 7 日間保持されます。
(b)アクセス制御。
インフラストラクチャのセキュリティ担当者。Jibe は、スタッフのためのセキュリティ ポリシーを策定、維持しており、スタッフ用のトレーニング パッケージの一部としてセキュリティ トレーニングを義務付けています。Jibe のインフラストラクチャ セキュリティ担当者は、Jibe のセキュリティ インフラストラクチャの継続的なモニタリング、データ処理者サービスの審査、セキュリティ インシデントへの対応について責任を負います。
アクセス制御と権限の管理。パートナーの管理者とユーザーは、データ処理者サービスを使用するために、一元的な認証システムまたはシングル サインオン システムを使用して本人確認を行う必要があります。
内部データへのアクセス プロセスとポリシー - アクセス ポリシー。Jibe の内部データアクセス プロセスおよびポリシーは、許可されていない人物やシステムから個人データの処理に使用されるシステムを保護するように設計されています。Jibe は、(i)承認されたユーザーが許可されたデータにのみアクセスする、(ii)処理中、使用中および記録後に個人データに対する不正な読み取り、コピー、変更、削除を防ぐことを目的にこのシステムを設計しています。システムは、不適切なアクセスを検出するように設計されています。Jibe は、一元的アクセス管理システムを採用することで、本番環境サーバーにアクセスできる人物を制御しており、限られた数の正規担当者だけにアクセス権限を付与しています。Jibe では、LDAP、Kerberos、デジタル証明書を利用する独自のシステムを使用し、安全で柔軟なアクセス制御を行っています。このようなメカニズムにより、サイトホスト、ログ、データ、構成情報に対して、承認されたアクセス権限だけが付与されます。Jibe では、アカウントの不正使用の可能性を最小限に抑えるため、一意のユーザー ID、安全なパスワード、2 要素認証、慎重に管理されたアクセスリストの使用を義務付けています。アクセス権の付与または変更は、担当者の職責、許可されたタスクの実行に必要な職務要件、関係者以外には秘匿する方針に基づいて行われます。また、アクセス権限の付与や変更は、Jibe の内部データアクセス ポリシーおよびトレーニングに準拠している必要があります。承認は、すべての変更の監査記録を維持するワークフロー ツールによって管理されています。システムに対するアクセスが記録され、説明責任のための監査証跡が作成されます。パスワードが認証に使用される場合(たとえば、ワークステーションへのログインなど)、少なくとも業界標準の慣行に沿ったパスワード ポリシーが履行されます。このような標準的慣行には、パスワードの再利用や十分なパスワード強度に関する制限が含まれます。
3. データ
(a)データ保存、分離、認証。
Jibe は、Google LLC が所有するサーバーのマルチテナント環境にデータを保存します。データや、データ処理者サービス データベース、ファイル システム アーキテクチャは、地理的に離れた複数のデータセンター間で複製されます。Jibe は、各パートナーまたはお客様のデータを論理的に分離します。すべてのデータ処理者サービスを横断して一元的認証システムを使用することで、統一的なデータ セキュリティを強化しています。
(b)デコミッション ディスクとディスク破壊ガイドライン。
データを含むディスクに、パフォーマンス上の問題や、エラー、ハードウェア障害が発生した場合、デコミッションすることがあります(「デコミッション ディスク」)。廃棄ディスクは、再利用または破棄のために Jibe の施設外に移動する前に、一連のデータ破壊プロセス(「データ破壊ガイドライン」)を実施します。廃棄ディスクは、マルチステップ プロセスで消去され、少なくとも 2 つの独立した検証ツールによって完全に検証されます。消去結果は、トラッキングできるように、廃棄ディスクのシリアル番号に基づいて記録されます。最後に、消去されたデコミッション ディスクは、再使用や再導入に向けて、インベントリに解放されます。ハードウェア障害のために廃棄ディスクのデータを消去できない場合は、安全に保管したうえで破壊します。各施設は、定期的に監査され、データ破壊ガイドラインを遵守しているかモニタリングされます。
(c)仮名データ。
オンライン広告データは通常、オンライン識別子に関連付けられます。オンライン識別子は単独で「仮名」と見なされます(つまり、追加情報なしでは特定の個人に帰属できません)。Jibe では、仮名化されたデータと個人情報(単体で個人の特定、個人への接触、個人の所在地の特定を可能にする情報)を分離するために、堅牢なポリシーと技術的および組織的な管理が確立されています。ユーザーの Jibe アカウント データも個人情報に該当します。Jibe のポリシーでは、厳密に制限された状況でのみ、仮名化されたデータと個人を特定できるデータの間で情報の流れを許可しています。
(d)レビューを公開します。
Jibe は、リリース前に新製品や新機能のリリース レビューを行います。これには、特別なトレーニングを受けたプライバシー エンジニアが実施するプライバシー審査も含まれます。プライバシー審査では、プライバシー エンジニアが、適用されるすべての Jibe ポリシーとガイドライン(仮名化、データの保持と削除に関するポリシーを含むがこれらに限定されない)が遵守されていることを確認します。
4. 社員のセキュリティ
Jibe のスタッフは、機密保持、企業倫理、適切な使用、職業上の基準に関する Google ガイドラインに準拠した形で行動する必要があります。Jibe は、法的に許容される範囲内で、適用される現地の労働法および法定規制に従って、合理的かつ適切な方法で身元調査を行います。
スタッフは、機密保持契約を締結する必要があり、Jibe の機密保持ポリシーおよびプライバシー ポリシーを受け入れることを認め、遵守する必要があります。スタッフには、セキュリティ トレーニングが提供されます。パートナー個人データを取り扱う担当者は、それぞれの役割に適した追加要件を満たす必要があります。Jibe のスタッフは、許可なくパートナー個人データを処理することはできません。
5. 復処理者のセキュリティ
復処理者に処理を委託する前に、Jibe は、データへのアクセス権限や提供するサービスの範囲に適したレベルのセキュリティとプライバシーを当該復処理者が備えているか確認するため、そのセキュリティ慣行とプライバシー慣行の監査を実施します。Jibe がデータ処理再委託者から生じるリスクを評価した後、データ処理再委託者は、セクション 11.3(データ処理再委託者の利用に関する要件)の要件に従って、セキュリティ、機密保持、プライバシーに関する適切な契約を締結する必要があります。
付録 3: 欧州以外のデータ保護法の追加規約
以下の欧州以外のデータ保護法の追加規約は、本データ処理追加条項を補完するものです。
- LGPD データ処理者に関する追加条項(business.safety.google/processorterms/lgpd)(2020 年 8 月 27 日付)
- 米国の州法に関する追加条項(business.safety.google/processorterms/us-state-laws)(2022 年 12 月 12 日付)
LGPD データ処理者に関する追加条項と米国のプライバシー関連州法に関する追加条項で Google LLC または Google と記載されている部分は、Jibe を指します。
Jibe データ処理に関する追加条項、バージョン 4.0