デジタル処理に関する契約

OneTake AIは「コンテナ」というシステムを採用しており、これによりOneTake ChatのAIがお客様のビジネスに関する文脈を把握し、完全にカスタマイズされた回答を提供できるようになっています。その一方で、お客様の知的財産は保護されており、他のOneTake Chatアカウントからはアクセスできません。

デジタル処理に関する契約

  1. 委託処理業者と再委託処理業者の関係
    1. プロバイダーとしての処理者。顧客が顧客個人データの管理者である場合、プロバイダーは、顧客に代わって個人データを処理する処理者とみなされます。
    2. プロバイダーとしてのサブプロセッサー。顧客が顧客個人データの処理者である場合、プロバイダーは当該顧客個人データのサブプロセッサーとみなされます。
  2. 処理
    1. 処理の詳細。表紙の付属書I(B)には、本処理の対象、性質、目的、期間、ならびに収集される個人データの区分およびデータ主体の区分について記載されています。
    2. 処理に関する指示。顧客は、プロバイダーに対し、顧客の個人データを以下の目的で処理するよう指示する:(a) 本サービスの提供および維持のため;(b) 顧客による本サービスの利用を通じてさらに具体的に指定される場合;(c) 本契約に記載されている場合;および (d) 本DPAに基づく顧客の個人データの処理に関して、顧客から提供され、かつプロバイダーが承認したその他の書面による指示に記載されている場合。 プロバイダーは、適用法令により禁止されていない限り、これらの指示に従うものとします。プロバイダーは、処理指示に従うことができない場合、直ちに顧客に通知するものとします。顧客は、適用法令に準拠した指示のみを付与しており、今後も付与するものとします。
    3. プロバイダーによる処理。プロバイダーは、表紙に記載された詳細を含め、本DPAに従ってのみ、顧客の個人データを処理するものとします。 プロバイダーが、既存のプロダクト、機能、または機能を更新するため、あるいは新しいものを追加するために本サービスを更新する場合、プロバイダーは、当該更新を反映するために必要に応じて、データ主体のカテゴリー、個人データのカテゴリー、特別カテゴリーデータ、特別カテゴリーデータに関する制限または保護措置、移転の頻度、処理の性質および目的、ならびに処理期間を変更することができ、その際は、顧客に対し当該更新および変更について通知するものとします。
    4. 顧客による処理。顧客が処理者であり、プロバイダーが再委託処理者である場合、顧客は、顧客による顧客個人データの処理に適用されるすべての適用法令を遵守するものとします。顧客と管理者の間の契約においても、同様に、顧客は、処理者としての顧客に適用されるすべての適用法令を遵守することが求められるものとします。さらに、顧客は、顧客と管理者の間の契約に定められた再委託処理者に関する要件を遵守するものとします。
    5. 処理への同意。顧客は、プロバイダーおよび/または本サービスへの顧客個人データの提供に関して、適用されるすべてのデータ保護法に準拠しており、今後も引き続き準拠するものとします。これには、適用されるデータ保護法に基づき要求されるすべての開示の実施、すべての同意の取得、適切な選択権の提供、および関連する保護措置の実施が含まれます。
    6. 再委託先。
      1. プロバイダーは、顧客が当該サブプロセッサーを承認した場合を除き、いかなる顧客の個人データもサブプロセッサーに提供、移転、または引き渡すことはありません。承認済みサブプロセッサーの現在のリストには、サブプロセッサーの名称、所在国、および想定される処理業務が含まれています。 プロバイダーは、承認済みサブプロセッサーへの変更(サブプロセッサーの追加または置換を問わず)を予定する場合、少なくとも10営業日前に書面にて顧客に通知します。これにより、顧客は、プロバイダーが新しいサブプロセッサーの利用を開始する前に、変更に異議を申し立てるための十分な時間を確保できます。プロバイダーは、顧客が承認済みサブプロセッサーの変更に対して異議を申し立てる権利を行使できるよう、必要な情報を顧客に提供します。 顧客は、承認済みサブプロセッサーの変更通知を受けてから30日以内に異議を申し立てることができます。それ以外の場合、顧客は変更を受け入れたものとみなされます。顧客が通知から30日以内に変更に異議を申し立てた場合、顧客とプロバイダーは、顧客の異議または懸念を解決するために誠意をもって協力するものとします。
      2. 再委託先と契約を結ぶ際、プロバイダーは、再委託先が顧客の個人データにアクセスし、これを利用する際、(i) 再委託先に対して委託された義務を履行するために必要な範囲内においてのみ、かつ (ii) 本契約の条項に従って行うことを確保する書面による契約を再委託先と締結するものとします。
      3. 顧客の個人データの処理にGDPRが適用される場合、(i)本DPAに記載されたデータ保護義務(該当する場合、GDPR第28条第3項で言及されているもの)は、サブプロセッサーに対しても課されるものとし、(ii)プロバイダーとサブプロセッサーとの間の契約には、これらの義務が盛り込まれるものとする。これには、顧客の個人データの処理に関する問い合わせや要請に対応するために、プロバイダーとそのサブプロセッサーがどのように連携するかについての詳細も含まれる。 さらに、プロバイダーは、顧客の要請に応じて、サブプロセッサーとの契約書(その修正を含む)の写しを共有するものとします。個人データを含む営業秘密その他の機密情報を保護するために必要な範囲において、プロバイダーは、契約書の写しを共有する前に、サブプロセッサーとの契約書の本文を一部黒塗りする場合があります。
      4. プロバイダーは、サブプロセッサーに委託したすべての義務について、顧客の個人データの処理におけるサブプロセッサーの作為および不作為を含め、引き続き全面的な責任を負うものとします。プロバイダーは、サブプロセッサーがプロバイダーと当該サブプロセッサーとの間の契約に基づき、顧客の個人データに関する重要な義務を履行しなかった場合、その旨を顧客に通知するものとします。
  3. 制限付き譲渡
    1. 許可。顧客は、プロバイダーが本サービスの提供に必要な範囲で、顧客の個人データを欧州経済領域(EEA)、英国、またはその他の関連する地理的領域の外へ移転することについて同意するものとします。プロバイダーが、欧州委員会またはその他の関連する監督当局により十分性認定が発行されていない地域へ顧客の個人データを移転する場合、プロバイダーは、適用されるデータ保護法に準拠して、当該地域への顧客の個人データの移転に関して適切な保護措置を講じます。
    2. EEA域外へのデータ移転。顧客およびプロバイダーは、GDPRが顧客の個人データの移転を保護する場合、当該移転がEEA域内の顧客からEEA域外のプロバイダーへのものであり、かつ当該移転が欧州委員会による十分性認定の対象外である場合、本DPAを締結することにより、顧客およびプロバイダーは、参照により組み込まれるEEA標準契約条項(SCCs)およびその付属書に署名したものとみなされることに合意する。 かかる移転は、EEA標準契約条項(SCCs)に従って行われるものとし、その内容は以下の通りである:
      1. EEA SCCsの第2モジュール(管理者と処理者)は、顧客が管理者であり、プロバイダーが処理者として顧客の個人データを顧客のために処理している場合に適用されます。
      2. EEA SCCの第3モジュール(処理者から再委託処理者へ)は、顧客が処理者であり、プロバイダーが再委託処理者として顧客に代わって顧客の個人データを処理する場合に適用されます。
      3. 各モジュールについて、以下の事項が適用されます(該当する場合):
        1. 第7条の任意のドッキング条項は適用されない;
        2. 第9条においては、オプション2(一般的な書面による承認)が適用され、サブプロセッサーの変更に関する事前通知の最低期間は10営業日とする。
        3. 第11条においては、この任意規定は適用されない。
        4. 第13条中のすべての角括弧を削除する;
        5. 第17条(オプション1)において、EEA標準契約条項(SCC)は、管轄加盟国の法律に準拠する。
        6. 第18条(b)項において、紛争は管轄加盟国の裁判所において解決されるものとする。また、
        7. 本DPAの表紙には、EEA SCCsの附属書I、附属書II、および附属書IIIで要求される情報が記載されています。
    3. 英国からのデータ移転。顧客およびプロバイダーは、英国GDPRが顧客の個人データの移転を保護する場合、当該移転が英国国内の顧客から英国国外のプロバイダーへのものである場合、かつ当該移転が英国国務大臣による十分性認定の対象とならない場合、本DPAを締結することにより、顧客およびプロバイダーは、参照により組み込まれる「英国補遺」およびその付属書に署名したものとみなされることに合意する。 かかる移転は、以下のように作成された「英国補遺」に従って行われるものとする:
      1. 本DPAの第3.2項には、英国補遺の表2で求められる情報が記載されています。
      2. 英国付則の表4は、次のように修正される。いずれの当事者も、英国付則第19条に規定される通り、英国付則を終了させてはならない。ICOが英国付則第18条に基づき改訂版の承認済み付則を発行した場合、当事者は誠意をもって、本DPAをそれに応じて改訂するよう努めるものとする。
      3. 表紙には、英国補遺の附属書1A、附属書1B、附属書II、および附属書IIIで要求される情報が記載されています。
    4. その他の国際的な移転。移転の国際的性質に関してスイス法(EEA加盟国または英国の法律ではない)が適用される個人データの移転については、EEA標準契約条項の第4条におけるGDPRへの言及は、法的に必要とされる範囲において、代わりにスイス連邦データ保護法またはその後継法への言及となるよう修正され、「監督当局」の概念には、スイス連邦データ保護・情報コミッショナーが含まれるものとする。
  4. セキュリティインシデント対応
    1. セキュリティインシデントを認識した場合、プロバイダーは、以下の措置を講じるものとする:(a) 実行可能な場合は遅滞なく、遅くともセキュリティインシデントを認識してから72時間以内に、顧客に通知すること;(b) セキュリティインシデントに関する情報が判明した時点、または顧客から合理的な要請があった時点で、速やかに情報を提供すること;および(c) セキュリティインシデントの封じ込めおよび調査のために、速やかに合理的な措置を講じること。 本DPAで要求されるセキュリティインシデントに関するプロバイダーによる通知または対応は、当該セキュリティインシデントに対するプロバイダーの過失または責任を認めるものと解釈されないものとする。
  5. 監査・報告書
    1. 監査権。プロバイダーは、本DPAの遵守を立証するために合理的に必要なすべての情報を顧客に提供し、本DPAの遵守状況を評価するための監査(顧客による検査を含む)を容認し、これに協力するものとします。ただし、顧客による情報へのアクセスが、プロバイダーの知的財産権、守秘義務、または適用法令に基づくその他の義務に悪影響を及ぼす場合、プロバイダーはデータまたは情報へのアクセスを制限することができるものとします。 顧客は、本DPAに基づく監査権および適用されるデータ保護法によって付与されるいかなる監査権についても、プロバイダーに対し、以下の報告およびデューデリジェンス要件を遵守するよう指示することによってのみ行使することを認め、これに同意する。プロバイダーは、本DPAの終了後3年間、本DPAへの遵守状況に関する記録を保持する。
    2. セキュリティ報告書。顧客は、プロバイダーがセキュリティポリシーに定められた基準に基づき、独立した第三者監査機関による定期的な監査を受けていることを了承する。書面による要請があった場合、プロバイダーは、顧客がセキュリティポリシーに定められた基準へのプロバイダーの遵守状況を確認できるよう、その時点で最新の報告書の要約版を、機密情報として顧客に提供する。
    3. セキュリティに関するデューデリジェンス。本報告書に加え、プロバイダーは、本DPAへの遵守状況を確認するために顧客からなされる合理的な情報提供要請に応じるものとする。これには、情報セキュリティ、デューデリジェンス、および監査に関する質問票への回答、あるいは自社の情報セキュリティプログラムに関する追加情報の提供が含まれる。かかる要請はすべて書面により、プロバイダーのセキュリティ担当者に提出されなければならず、年1回のみ行うことができる。
  6. 連携と協力
    1. お問い合わせへの対応。プロバイダーが、顧客の個人データの処理に関して第三者から何らかの問い合わせまたは要請を受けた場合、プロバイダーは当該要請について顧客に通知し、顧客の事前の同意がない限り、当該要請には応じません。このような問い合わせや要請の例としては、適用法令により顧客への通知が禁止されていない場合における、顧客の個人データに関する司法機関、行政機関、または規制当局からの命令、あるいはデータ主体からの要請などが挙げられます。 適用法令で認められる場合、プロバイダーは、状況の更新や顧客から合理的に求められたその他の情報の提供を含め、これらの要請に関する顧客の合理的な指示に従うものとします。 データ主体が、適用されるデータ保護法に基づき、顧客の個人データの削除またはプロバイダーへの提供のオプトアウトについて有効な請求を行った場合、プロバイダーは、適用されるデータ保護法に従って、顧客が当該請求に応じることを支援する。プロバイダーは、本DPAに基づくプロバイダーによる顧客の個人データの処理に関する第三者からの請求に対し、顧客が講じる法的対応またはその他の手続き上の措置について、顧客の費用負担のもと、顧客と協力し、合理的な支援を提供する。
    2. DPIAおよびDTIA。適用されるデータ保護法により要求される場合、プロバイダーは、処理の性質および顧客の個人データを考慮した上で、義務付けられたデータ保護影響評価(DPIA)またはデータ移転影響評価(DTIA)の実施、ならびに関連するデータ保護当局との協議について、顧客を合理的な範囲で支援するものとします。
  7. 顧客の個人データの削除
    1. 顧客による削除。プロバイダーは、本サービスの機能に準拠した方法で、顧客が顧客個人データを削除できるようにするものとします。プロバイダーは、適用法令により顧客個人データのさらなる保存が義務付けられている場合を除き、合理的に実行可能な限り速やかにこの指示に従うものとします。
    2. DPAの有効期限満了に伴う削除。
      1. DPAの有効期限が満了した後、プロバイダーは、適用法令により顧客個人データのさらなる保存が要求または許可されている場合を除き、顧客の指示に従って顧客個人データを返却または削除します。返却または破棄が実行不可能であるか、または適用法令により禁止されている場合、プロバイダーは顧客個人データのさらなる処理を防止するために合理的な努力を払い、その所有、保管、または管理下に残る顧客個人データを引き続き保護します。 例えば、適用法令により、プロバイダーが顧客個人データのホスティングまたは処理を継続することが求められる場合があります。
      2. 顧客とプロバイダーが本DPAの一環としてEEA SCCsまたは英国補遺を締結している場合、プロバイダーは、顧客からの要請があった場合に限り、EEA SCCsの第8.1条(d)項および第8.5条に規定される個人データの削除証明書を顧客に交付するものとします。
  8. 責任の制限
    1. 責任の上限および損害賠償の免除。適用されるデータ保護法で認められる最大限の範囲において、本DPAに起因または関連して生じる各当事者の相手方に対する累積的な総責任は、本契約に規定される免除、除外、および責任制限の対象となるものとする。
    2. 関連当事者による請求。本DPAに起因または関連してプロバイダーまたはその関連会社に対して行われるいかなる請求も、本契約の当事者である顧客法人によってのみ提起することができる。
    3. 例外。本DPAは、適用されるデータ保護法に基づく個人のデータ保護権利に関して、個人に対するいかなる責任も制限するものではありません。また、本DPAは、EEA標準契約条項(SCCs)または英国補遺の違反に関する当事者間のいかなる責任も制限するものではありません。
  9. 文書間の矛盾
    1. 本DPAは、本契約の一部を構成し、これを補足するものです。本DPA、本契約、またはそのいずれかの部分との間に矛盾が生じた場合、その矛盾に関しては、先に記載された部分が後に記載された部分よりも優先されます。優先順位は、(1) EEA SCCsまたは英国補遺、(2) 本DPA、そして(3) 本契約の順となります。
  10. 契約期間
    1. 本DPAは、プロバイダーおよび顧客が本DPAの表紙に合意し、本契約に署名または電子的に承諾した時点で発効し、本契約が満了または解除されるまで有効に存続する。ただし、顧客がプロバイダーへの顧客個人データの提供を停止し、かつプロバイダーが顧客個人データの処理を停止するまでは、プロバイダーおよび顧客は、それぞれ本DPAおよび適用されるデータ保護法に定める義務を引き続き遵守するものとする。
  11. 定義
    1. 「適用法令」とは、当事者に適用される、または当事者を規律する、関連する政府当局による法令、規則、規制、裁判所命令、およびその他の拘束力のある要件をいう。
    2. 「適用されるデータ保護法」とは、本サービスが個人の個人情報、個人データ、個人を特定できる情報、またはその他の類似の用語で表される情報をどのように処理または利用するかについて規定する適用法令を意味します。
    3. 「管理者」とは、個人データの処理の目的および範囲を決定する企業について、適用されるデータ保護法に規定される意味を有する。
    4. 「表紙」とは、本DPA標準条項を組み込み、プロバイダー、顧客、およびデータ処理の対象と詳細を明記した、当事者によって署名または電子的に承認された文書をいう。
    5. 「顧客の個人データ」とは、本サービスの一環として顧客がプロバイダーにアップロードまたは提供し、かつ本DPAの適用を受ける個人データを指します。
    6. 「DPA」とは、本DPA標準条項、プロバイダーと顧客間の表紙、および表紙で参照されているか、または表紙に添付されている方針および文書を意味する。
    7. 「EEA SCCs」とは、欧州議会および欧州理事会の規則(EU)2016/679に基づき、第三国への個人データの移転に関する標準契約条項について定めた、2021年6月4日付の欧州委員会実施決定2021/914に添付された標準契約条項をいう。
    8. 「欧州経済領域(European Economic Area)」または「EEA」とは、欧州連合(EU)の加盟国、ノルウェー、アイスランド、およびリヒテンシュタインを指す。
    9. 「GDPR」とは、関連するEEA加盟国における国内法に基づき施行された欧州連合規則2016/679をいう。
    10. 「個人データ」とは、適用されるデータ保護法において、個人情報、個人データ、またはその他の類似の用語に対して与えられている意味を有するものとします。
    11. 「処理」または「プロセス」とは、自動的な方法によるものを含め、個人データの利用またはコンピュータによる操作の実施について、適用されるデータ保護法に規定される意味を有するものとします。
    12. 「処理者」とは、管理者に代わって個人データを処理する会社について、適用されるデータ保護法に規定される意味を有するものとします。
    13. 「報告書」とは、セキュリティポリシーに定められた基準に従い、プロバイダーに代わって他の会社が作成した監査報告書をいう。
    14. 「制限付き移転」とは、(a) GDPRが適用される場合、EEAから、欧州委員会による十分性認定の対象となっていないEEA外の国への個人データの移転、および(b) 英国GDPRが適用される場合、英国から、2018年英国データ保護法第17A条に基づき採択された十分性規制の対象となっていないその他の国への個人データの移転をいう。
    15. 「セキュリティインシデント」とは、GDPR第4条に定義される「個人データ漏洩」をいう。
    16. 「サービス」とは、本契約に記載される製品および/またはサービスを指します。
    17. 「特別カテゴリーのデータ」とは、GDPR第9条に定義される意味を有する。
    18. 「再委託処理者」とは、適用されるデータ保護法において定義される意味を有し、管理者の承認および承諾を得て、管理者に代わって処理者が個人データの処理を行うことを支援する企業を指す。
    19. 「英国GDPR」とは、英国の2018年欧州連合(離脱)法第3条に基づき英国において施行された、欧州連合規則2016/679をいう。
    20. 「英国付則」とは、2018年データ保護法第119A条(1)に基づき「制限付き移転」を行う当事者向けに、情報コミッショナーが発行した、EEA標準契約条項(SCCs)に対する国際データ移転付則をいう。