データ処理に関する補遺(顧客)
最終更新日2023年12月20日
概要
このデータ処理に関する補遺(付録を含む)(以下「本補遺」という。DPA")は、注文書に記載された顧客(以下 "顧客 "という。お客様OPSWAT およびその関連会社(以下「お客様」という。OPSWAT")が処理者またはサブ処理者として、個人データが処理される範囲において、注文書に記載されたお客様(以下 "お客様")に提供されるあらゆるサービスに適用されるものとします。
お客様およびOPSWAT はそれぞれ、本契約において「当事者」と呼ばれるものとします。当事者といい、併せて「当事者」という。当事者".
本DPAは、OPSWAT「標準利用規約」、OPSWAT「プロフェッショナルサービス利用規約」、OPSWAT「サイバーセキュリティアセスメント利用規約」、または該当する場合はその他の販売、ライセンス、もしくは類似の契約(以下「本契約」)を含むがこれらに限定されない、両当事者間のあらゆる契約を補足し、本契約に組み込まれるものであり、契約期間中有効に存続する。
上記の一般性を制限することなく、本DPAに基づく処理の主題、性質、および目的は、本契約に基づく本サービスの提供のためであり、個人データのカテゴリーおよびデータ主体のカテゴリーは、本契約に基づく本サービスの提供に必要なものです。
本DPAは、DPA発効日をもって発効し、従前に適用されていたデータ処理およびセキュリティ条件に取って代わるものとします。
1.定義
本DPAにおいて、以下の用語は以下に定める意味を有するものとします。本DPAにおいて使用されるが別段の定義がない大文字の用語は、本契約に定める意味を有するものとする。
"関連会社" とは、各当事者に関して、当該当事者を支配する、当該当事者に支配される、または当該当事者と共通の支配下にある事業体を意味します。
"集計データ" とは、統計、ベンチマーク、測定、およびその他の情報またはデータであって、特定の個人または顧客に帰属させることができないように個人情報またはその他の情報を削除して匿名化されたものを意味します(商業的に合理的な努力を払うか、適用法令により要求されます)。
"適用法"とは、適用される国、連邦、州、および地方の法律、規則、ガイドライン、裁判所または政府機関の命令、および規制を意味します。
"監査報告書" とは、適格な第三者監査人により実施された ISO 27001、SSAE 16 SOC II または類似の監査報告書を意味する。
"支配"とは、ある企業の議決権または持分の50%以上を実質的に所有することを意味する。
"お客様の個人データ" とは、データ保護法に基づいて保護される、特定または識別可能な自然人に関する情報であって、お客様がOPSWAT に提供または利用可能にするもの、またはOPSWAT がお客様に代わって処理するもの、いずれの場合も、本契約に基づくサービスの提供に関連して、または本契約が終了するまでの任意の時点において、お客様のために処理するものをいいます。
"データ管理者関連会社"とは、OPSWAT との注文書または契約に署名していないお客様の関連会社で、(a) データ保護法の対象であり、(b) 契約に従ってサービスの使用が許可されている事業体を意味します。
"データ保護法制" とは、本契約に基づくお客様の個人データの処理に適用される、EEA および/または加盟国の法律(GDPR など)、英国、およびスイスを含む(ただしこれらに限定されない)適用法を意味します(すべての場合において、改正、優先、または置き換えられたもの)。
"データ対象者"とは、お客様の個人データに関連する個人を意味します。
"EEA" は欧州経済地域を意味する。
"GDPR" とは、一般データ保護規則(General Data Protection Regulation EU 2016/679)を意味する。
"情報セキュリティ事故とは、OPSWAT'が所有、保管、または管理しているお客様の個人データの偶発的または違法な破壊、偶発的な紛失、改ざん、不正な開示、またはアクセスにつながるセキュリティ侵害を意味します。「情報セキュリティインシデント」には、失敗したログインの試み、ping、ポートスキャン、サービス拒否攻撃、ファイアウォールまたはネットワーク化されたシステムに対するその他のネットワーク攻撃を含む、お客様の個人データのセキュリティを侵害しない失敗した試みまたは活動は含まれません。
「注文書」とは、登録書類または注文書類を意味する。
"処理処理」とは、お客様の個人データの収集、記録、整理、構造化、保存、適応または変更、検索、相談、使用、送信による開示、普及またはその他の方法で利用可能にすること、配置または結合、制限または消去を含む、お客様の個人データに対して行われるあらゆる操作または一連の操作を意味します。プロセス」、「処理」、および「処理される」という用語は、これに応じて解釈されるものとします。
"SCC"とは、欧州議会および理事会の規則(EU)2016/679に基づく、個人データの第三国への移転に関する標準契約条項に関する2021年6月4日の欧州委員会決定(EU)2021/914を意味します。
"セキュリティ対策"とは、第5.1項(OPSWAT's Security Measures)に記載されているとおり、OPSWAT が顧客の個人データを保護するために使用する技術的および組織的措置を意味します。
"サービス"は本契約で定義され、さらに、注文書に詳述されているように、本契約に基づいてOPSWAT がお客様に提供するサービスおよび/または製品を意味します。
「サブプロセッサー」とは、本 DPA に基づき、OPSWAT が本サービスに関連してお客様の個人データを処理するために従事し、権限を付与した、OPSWAT 以外の第三者を意味します。
"期間" は第 2 項に定める意味を持つものとする。
2.DPAの期間
本DPAは、本契約が有効になった時点で発効し、本契約が終了した時点で自動的に失効します。
3.データの処理
3.1 処理範囲、お客様の指示、OPSWAT お客様の指示の遵守。本 DPA を締結することにより、お客様は、OPSWAT に対し、データ保護法に従ってのみお客様の個人データを処理するよう指示します。OPSWAT は、(a) 本サービスを提供するため、(b) 本 DPA を含む本契約により承認されたとおり、および (c) 適用法により別段の実施が要求されない限り、お客様により提供され、OPSWAT が本 DPA の目的のための指示を構成するものとして書面で認めたその他の書面による指示に文書化されたとおり、お客様の指示に従ってのみお客様の個人データを処理します。処理の対象および詳細は、別紙 1(処理の詳細)に記載されています。
3.2 お客様の責任お客様は、(a)OPSWATによるお客様の個人データの処理 (OPSWAT へのお客様の個人データへのア クセスの移転または提供を含む) について、データ保護法に基づいて必要な権限、同意、および許 可を得ていること、(b) お客様の個人データの処理に関するお客様の指示、決定、および行為は、 データ保護法を含む適用法を遵守するものであることを表明し、保証するものとします。お客様は、本第3.2条(お客様の責任)を遵守できない場合、過度な遅滞なく、OPSWAT 。
3.3 分析。 OPSWAT は、以下を含む様々な目的のために、集約データを収集、開発、作成、抽出、編集、合成、分析、使用、商品化、または第三者と共有する場合があります:(i)当社サービスの維持、改善、マーケティング、および販売促進、(ii)パフォーマンスおよびセキュリティの問題、ならびにそれらに影響を及ぼす要因の特定、理解、および予測、(iii)更新、機能強化、およびパーソナライズされた体験のお客様への提供、(iv)新製品およびサービスの研究および開発。疑義を避けるため、集計データは、お客様の個人データまたはお客様を特定する情報を除外するものとします。
4.データの削除または返却。
OPSWAT 本DPAの有効終了日に、またはお客様の書面による要請に応じて、OPSWAT 。OPSWATのシステムからお客様の個人データ(既存のコピーを含む)を、適用法に従い、合理的に実行可能な限り速やかに削除、お客様へのアクセス権の付与、修正、または返却するものとします。ただし、適用法がお客様の個人データを保持することを要求または許可している場合はこの限りではありません(例えば、適用法は、OPSWAT がデータアーカイブまたはバックアップシステムに電子的に保存されたお客様の個人データのコピーを保持することを許可する場合があります)。
5.データセキュリティ。
5.1OPSWATのセキュリティ対策 OPSWAT は、付録 2 (セキュリティ対策) に記載されているとおり、お客様の個人データを保護するために合理的に適切なセキュリティ対策を実施し、維持するものとします。OPSWAT は、かかる更新および修正が本サービス全体のセキュリティを著しく低下させないことを条件に、セキュリティ対策を随時更新または修正することができるものとします。
5.2OPSWAT スタッフによるセキュリティの遵守。 OPSWAT は、業務遂行の範囲内において当該アクセス が必要であり、かつ本契約におけるOPSWATの機密保持義務に劣らない制限のある機密保持義 務を有する従業員、独立請負業者、OPSWAT 関連会社、およびサブプロセサー に対してのみ、お客様の個人データへのアクセスを許可します。
5.3 情報セキュリティ事件
5.3.1 情報セキュリティインシデントの通知。 OPSWAT が情報セキュリティ・インシデントを認識した場合、OPSWAT :(a) 情報セキュリティ・インシデントを認識した後、第13条(通知)に従い、不当な遅延なく、情報セキュリティ・インシデントをお客様に通知し、(b) 当該情報セキュリティ・インシデントの原因を特定し、被害を最小限に抑え、再発を防止するための合理的な措置を講じる。適用法令により要求される範囲を除き、OPSWAT は、お客様の事前の書面による同意なしに、お客様の名前を明示した情報セキュリティ・インシデントを第三者に通知しないものとします。ただし、承認されたサブプロセッサー、法執行機関、保険アジャスター、およびOPSWATの情報セキュリティ・インシデント対応サービス・プロバイダーは除きます。
5.3.2 通知。お客様は、お客様に適用されるインシデント通知法を遵守し、情報セキュリティインシデントに関連する第三者通知義務(GDPR の第 33 条および第 34 条など)を履行することについて、単独で責任を負うものとします。この場合、OPSWAT はお客様に合理的な支援を提供します。
5.3.3OPSWAT 。本第5.3条(情報セキュリティ・インシデント)に基づくOPSWAT「情報セキュリティ・インシデント」の通知、または「情報セキュリティ・インシデント」への対応は、OPSWAT 「情報セキュリティ・インシデント」に関する過失または責任を認めるものと解釈されない。
5.4 顧客のセキュリティ責任および評価。
5.4.1 顧客のセキュリティ責任。お客様は、第5.1条(OPSWATのセキュリティ対策)および第5.3条(情報セキュリティインシデント)に基づくOPSWATの義務を損なうことなく、これに同意するものとします:
(a) お客様は、以下を含む本サービスの使用について単独で責任を負うものとします:
(i) 本サービスを適切に利用し、お客様の個人データに関するリスクに見合ったセキュリテ ィレベルを確保すること;
(ii) お客様が本サービスにアクセスするために使用するアカウント認証クレデンシャル、システム、およびデバイスの安全性を確保すること;
(iii)OPSWAT が本サービスを提供するために使用するお客様のシステムおよびデバイスの安全確保。
(iv) 顧客の個人データをバックアップすること。
(b)OPSWAT は、お客様がOPSWATおよびそのサブプロセッサーのシステム外(たとえば、オフラインまたはオンプレミスのストレージ)に保存または転送することを選択したお客様の個人データを保護する義務を負いません。
5.4.2 顧客のセキュリティ評価。
(a) お客様は、本サービス、セキュリティ対策、および本第 5 条 (データセキュリティ) に基づくOPSWATのコミットメントが、データ保護法に基づくお客様のセキュリティ義務に関するものを含め、お客様のニーズに合致しているかどうかを自ら検討し評価する責任を負うものとします。
(b) 顧客は、(業界標準、導入コスト、顧客個人データ処理の性質、範囲、背景、目的、および データ主体へのリスクを考慮した上で)付録 2(OPSWATのセキュリティ対策)に定めるOPSWAT が実施・維持するセキュリティ対策が、顧客個人データに関するリスクに適したセキュリティレベルを提供することを認め、同意する。
5.5 コンプライアンスのレビュー。監査報告書は、お客様からの書面による要請があれば、本契約に定める守秘義務に従って、お客様に提供されます。
6.データ主体の権利
6.1 データ主体の要求に対するお客様の責任。 OPSWAT がお客様の個人データに関してデータ主体から何らかの要請を受けた場合、適用法で認め られている範囲内で、OPSWAT は、かかる要請を速やかにお客様に通知します。お客様は、かかる要求に対応する責任を負うものとします。
6.2OPSWAT「データ対象者要求の支援」OPSWAT は(お客様の個人データ処理の性質を考慮し)、データ対象者の要求に応じるという データ保護法上の義務をお客様が履行するために必要な合理的な支援をお客様に提供します。お客様は、かかる支援に関連して発生した料金または費用について、OPSWATのその時点における専門サービス料金でOPSWAT に払い戻すものとします。
7.データ転送
OPSWAT OPSWAT 、その関連会社、またはそのサブプロセッサーが業務を維持する場所であれば、以下の第 8 条に定めるとおり、お客様の個人データを保管および処理することができるものとします。EEA、スイス、および英国におけるデータ保護法の対象となるお客様の個人データの国際的な移転については、付属書類 3 の第 1.10 項および/または第 1.11 項の条件が適用されるものとします。
8.サブプロセッサー
お客様は、OPSWAT 、その関連会社およびその他の第三者をサブプロセッサーとして従事させる権限を付与します。OPSWATのサブ・プロセッサーのリストは、https://www.opswat.com/legal/subprocessorsで入手でき、お客様は RSS フィードを通じてこのリストの更新を購読することができます。お客様が SCC またはその他類似の契約を締結する場合、SCC またはその他類似の契約に基づきかかる承認が必要な場合は、お客様がかかる契約に署名することにより、OPSWAT によるお客様の個人データの処理の再委託に対するお客様の事前の書面による承認があったものとみなされます。OPSWAT は、再委託されたすべての義務、および再委託先のすべての作為および不作為について責任を負うものとします。
9.データ管理者の関連会社
9.1 関係およびコミュニケーション本DPAに署名することにより、お客様は、OPSWAT がお客様の個人データを処理し、当該データ管理者関連会社が管理者として適格である範囲において、本DPAを自己のために、および適用されるデータ保護法の下で要求される範囲において、データ管理者関連会社のために、本DPAを締結することを認め、同意するものとします。これにより、本契約および本DPAの規定に従って、OPSWAT と各データ管理者関連会社との間でDPAが確立されます。お客様は、各データ管理者関連会社が本DPAの義務に拘束されることに同意することに同意します。ただし、データコントローラー・アフィリエイトは、本契約の当事者ではなく、また当事者にはならず、本DPAの当事者にとどまります。データ・コントローラー・アフィリエイト」による本サービスへのアクセスおよび使用は、すべて本契約を遵守しなければならず、「データ・コントローラー・アフィリエイト」による本契約違反は、お客様による違反とみなされます。本契約の契約当事者であるお客様は、本DPAに基づくOPSWAT とのすべての連絡を調整する責任を負うものとし、データ・コントローラ・アフィリエイトに代わって、本DPAに関連するあらゆる連絡を行い、受け取る権利を有するものとします。
9.2 データ管理者の関連会社の権利。データ管理者の関連会社がOPSWAT との本DPAの当事者となる場合、データ管理者の関連会社 は、データ保護法に基づいて要求される範囲内でのみ当事者となるものとします。データ管理者アフィリエイトが本DPAに基づく権利を行使し、またはOPSWAT に救済を求めるためにデータ保護法により明示的に義務付けられている場合を除き、両当事者は以下の事項に同意します:(a) 本契約の契約当事者であるお客様は、データ管理者関連会社に代わってかかる権利を行使し、またはかかる救済措置を求める唯一の権利を有するものとし、(b) 本契約の契約当事者であるお客様は、データ保護法によって禁止されていない限りにおいて、データ管理者関連会社のすべてについて、本DPAに基づくかかる権利を合わせて行使するものとします。
10.監査権
お客様の書面による要請があった場合、OPSWAT は、最新の監査報告書の写しをお客様に提供するものとします。この監査報告書は、OPSWATの秘密情報として、本契約の秘密保持規定に従うものとします。OPSWAT は、お客様から提出された書面による監査上の質問にも回答するものとします。ただし、お客様は、この権利を年に 1 回を超えて行使しないものとします。
11.管轄区域固有の規定
OPSWAT が付録3に記載された管轄区域から個人データを処理する場合、当該処理に関して対応する規定が適用されます。
12.責任キャップ
適用法令により禁止される範囲を除き、契約、不法行為、またはその他の責任理論の如何を問わず、本契約、本 DPA、および SCC が締結された場合、本契約の下で、またはこれらに関連して、いずれかの当事者およびその関連会社(データコントロー ラー関連会社を含む)の相手方当事者およびその関連会社に対する合算責任総額は、本契約において両当事者が合意した責任限 度またはその他の責任上限によって制限されるものとします。OPSWAT およびOPSWAT 関連会社の、本契約またはいずれかの DPA に起因するお客様およびそのすべてのデータ管理者関連会社からのすべての請求に対する総責任は、本契約およびすべての DPA の両方に基づくすべての請求について合算して適用されるものとし、お客様またはかかる DPA の契約当事者であるデータ管理者関連会社に対して個別に適用されるものとは理解されないものとします。
13.お知らせ
当事者が行う必要がある、または許可されている通知は、(a) 本契約の通知規定に従って、(b) 当事者の相手方当事者との主要な連絡先に対して、および/または (c) サービス関連の通信またはアラートを提供する目的でお客様が提供する電子メールに対して行うことができます。お客様は、電子メールが最新かつ有効であることを確認する責任を負うものとします。すべての通知のコピーは、以下の宛先に電子メールで送信するものとします:Legal@opswat.com.
14.本規約の効力
本DPAによる変更を除き、本契約、および/または本サービスに関連するその他の契約は変更されず、完全な効力を有します。本契約と本DPAの間に抵触がある場合、主題に関しては本DPAの規定が支配し、これに準拠するものとします。本DPAとSCCの間に抵触がある場合、SCCの対象事項に関してはSCCの規定が支配し、これに準拠するものとします。
15.準拠法
本DPAは、データ保護法制が本DPAを他の法域の法律に準拠させることを要求する場合およびその範囲を除き、本契約と同じ法域の法律に準拠するものとします。
加工内容
主題 |
OPSWAT本契約に詳述されているお客様に対するサービスの提供。
|
処理期間 |
本期間に加え、本DPAの有効終了日から、本DPAに従ってOPSWAT 、すべてのお客様の個人データが削除されるまでの期間。
|
個人データの種類 | お客様の従業員、独立請負業者、または本サービスの正規ユーザーの識別情報および連絡先情報(氏名、役職、勤務先住所、勤務先電話番号、勤務先電子メールなど); 本サービスにおけるお客様の購入履歴および利用履歴データ; 情報技術(「IT」)関連データ(OPSWATのウェブサイトへの訪問者のIPアドレス、オンラインナビゲーションデータ、ブラウザの種類、言語設定、ピクセルデータ、クッキーデータ、ウェブビーコンデータ、ログファイルなど)。 本サービスの提供中に、スキャン用に提出された、またはOPSWAT 、利用可能となったファイル、電子メール、またはその他のデータの内容およびメタデータ。 |
処理の性質と目的 |
OPSWAT は、本契約および DPA に従って、本サービスをお客様に提供する目的でお客様の個人データを処理します。
|
個人データの特別分類 |
両当事者間で特別なカテゴリの個人データが交換されることはありません。
|
データ対象 |
お客様およびその関連会社の従業員または独立請負業者であって、本サービスの利用を許可されている者。
|
https://www.opswat.com/legal/privacy-policyで、OPSWAT がどのようにお客様の個人データを処理するかについての詳細をご確認ください。
セキュリティ対策
OPSWAT は、お客様の個人データの処理に関して、以下のセキュリティ対策を実施しています:
1.物理的アクセス制御。
OPSWAT お客様の個人データが処理されるデータ処理システムには、セキュリティ要員の使用、セキュリティで保護された建物、データセンターの敷地内など、権限のない者がアクセスできないように設計された措置を採用しています。
2.システムアクセスコントロール。
パスワードおよび/または二要素認証による認証、文書化された承認プロセス、文書化された変更管理プロ セス、および複数のレベルでのアクセスログ。OPSWAT がホスティングする「サービス」環境について:(i)OPSWAT の従業員およびサブプロセッサーによる「サービス」環境へのログインが記録される。(ii) データセンターへの論理アクセスが制限され、ファイアウォール/VLAN およびルーティングルールによって保護される。(iii) 侵入検知システム、集中ログおよびアラート、ファイアウォールが使用される。OPSWAT は、「サービス」ソフトウェア開発の一部である各システムを、各システムのセキュリティポリシーで管理する。ポリシーは、OPSWAT のリスク所有者によって承認され、資産所有者によって管理される。例えば、独立請負業者が構築システムにアクセスすることはない。
3.トランスミッション・コントロール
OPSWAT は、お客様の個人データの暗号化を含む適切なネットワーク セキュリティ プログラムを維持します。一部のサービスは、暗号化されていない通信を必要とするサードパーティのサイトへのアクセスをお客様が許可するように設定できる場合があります。一部の電子メールまたはメッセージング・サービスを通じて送信される通信の内容 (送信者および受信者のアドレスを含む) は、暗号化されていない場合があります。このような暗号化されていない通信または送信を使用することをお客様が決定した結果については、お客様が単独で責任を負うものとします。
4.入力制御。
お客様の個人データのソースはお客様の管理下にあり、お客様の個人データのOPSWAT システムへの統合は、OPSWAT からのセキュアなファイル転送(ウェブサービス経由またはアプリケーションへの入力など)により管理されます。一部のサービスでは、お客様が暗号化されていないファイル転送プロトコルを使用することを許可しています。このような場合、お客様は、かかる暗号化されていないフィールド転送プロトコルを使用する決定について、単独で責任を負うものとします。
5.データのバックアップ
OPSWAT によってホストされているサービスの場合:バックアップは定期的に取られます。バックアップは、オーダーフォームに詳細が記載されているサービスに応じて、技術的および物理的な管理の組み合わせにより保護されます。
6.事業継続、災害復旧。
OPSWAT は事業継続および災害復旧計画を実施している。
7.Supply Chain セキュリティ
サービスのためのサブプロセッサーまたはサードパーティコンポーネントは、サービスの一部として使用される前に、OPSWAT 役員およびOPSWAT 法務部によって審査されます。
8.脆弱性スキャン
脆弱性スキャンは毎週実施され、この環境のために是正されるリスク脅威を継続的に判断している。
9.OPSWAT サブプロセッサー。
OPSWAT OPSWAT 製品に使用されるサブプロセッサーは、セキュリティリスクを評価され、GDPRに基づく最低限のセキュリティ要件およびサービスレベルが遵守されることを保証するために、 とのデータ処理追加条項(DPA)および/または標準契約条項に署名する必要があります。OPSWAT
10.Software 開発
サービス・ソフトウェアの開発は、厳格なシステム開発ライフサイクル(SDLC)手順に従って行われます。これには、OPSWAT プロダクト・マネージャー(以下「PM」)による要件設定と実行、設計、実装、単体テスト、コード・レビュー、自動テスト、手動品質保証(以下「QA」)テスト、および受け入れテストが含まれます。
11.Secure SDLC。
OPSWAT 安全なSDLCのためにOWSAPSoftware Assurance Maturity Model)とOWASP ASVS(Application Security Verification Standard)を採用した。
12.IT セキュリティ。
OPSWAT は、安全な認証のために多要素認証(「MFA」)を使用し、NIST 800-63B 基準(https://pages.nist.gov/800-63-3/sp800-63b.html#memsecretver)に従っています。
管轄区域固有の規定
1.欧州経済領域、スイス、英国
1.1 適用範囲。以下の規定は、EEA、スイス、および英国におけるデータ保護法の対象となる、OPSWATによるお客様の個人データの処理に関してのみ適用されます。
1.2 定義
(a) 「管理者」、「処理者」、および「監督機関」という用語は、GDPRで与えられた意味を有するものとします。
(b) 「英国補遺」とは、英国情報コミッショナー事務局が発行したSCCの国際データ移転補遺、バージョンB1.0を意味する。
1.3 処理者および管理者の責任。 両当事者は、以下を認め、これに同意する:
(a)OPSWAT は、データ保護法に基づき、該当する場合、顧客個人データの処理者またはサブ処理者です;
(b) お客様が、データ保護法に基づいてお客様の個人データの管理者または処理者(該当する場合)であること;
(c) お客様は、お客様の個人データの正確性、品質、適法性、およびお客様がお客様の個人データを取得した手段について、単独で責任を負うものとします。
(d) 各当事者は、顧客の個人データの処理に関して、データ保護法の下で適用される義務を遵守する。
1.4 第三者管理者による承認。お客様が処理者である場合、お客様は、OPSWAT を処理者として任命することを含め、お客様の個人データに関するお客様の指示および行為が、関連する管理者によって承認されていることを、OPSWAT に対して表明し、保証するものとします。お客様は、OPSWAT 、お客様の個人データの処理に関する同意または承認を収集する責任を負わないことを認めるものとします。
1.5 適用法を遵守するためのOPSWAT による処理。 OPSWAT が、適用法を遵守するために、お客様の指示に反して、または本契約(本 DPA を含む)により許可されたとおりに、お客様の個人データを処理しなければならない場合、OPSWAT は、適用法が公益上の重要な理由でかかる通知を禁止していない限り、処理前に適用法をお客様に通知するものとします。
1.6 セキュリティ対策 OPSWAT は、(最新技術、実施にかかるコスト、処理の性質、範囲、背景、目的、 およびデータ主体の権利と自由に対する様々な可能性と重大性のリスクを考慮し、)付 録 2 に詳述されているセキュリティ対策を含む、リスクに見合ったセキュリティレベルを 確保するための適切なセキュリティ対策を適宜実施するものとします:
(a) 顧客の個人データの仮名化と暗号化;
(b) 処理システムおよびサービスの継続的な機密性、完全性、可用性、および回復力を確保する能力;
(c) 物理的または技術的なインシデントが発生した場合に、顧客個人データの可用性お よびアクセスをタイムリーに回復する能力。
(d) 顧客の個人データ処理の安全性を確保するための技術的および組織的措置の 有効性を定期的にテストし、評価し、評価するプロセス。
1.7 合理的な支援 OPSWAT は、処理者としてのOPSWATの役割に適用される適用法により要求される場合、GDPR 第 35 条に基づくデータ保護影響評価を実施するお客様の義務を遵守するために、お客様に対して合理的な支援を提供します。お客様によるお客様の個人データの処理がデータ主体の権利および自由に対する高いリスクをもたらす状況において、OPSWAT は、GDPR 第 36 条に従って監督当局からの事前協議を求めるお客様に対し、合理的な支援を提供します。
1.8 情報セキュリティ事故の詳細。DPA第5.3項(情報セキュリティインシデント)に従い行われる通知:
(a) 可能であれば、関係するデータ主体の区分とおおよその数、関係する個人データ記録の区分とおおよその数を含む、情報セキュリティインシデントの性質を記述する;
(b) データ保護責任者の氏名および連絡先、または詳細情報を入手できるその他の連絡先の詳細を伝える;
(c) 情報セキュリティインシデントがもたらすと思われる結果を記述する。
(d) 情報セキュリティインシデントに対処するために、OPSWAT が講じた、または講じることを提案した措置(適切な場合、起こりうる悪影響を軽減するための措置を含む)について説明すること。
同時に情報を提供することが不可能な場合、またその限りにおいて、不当に遅延することなく、段階的に情報を提供することができる。
1.9 コンプライアンスの監査
1.9.1 お客様は、データ保護法の要件を満たすため、合理的な事前の書面による要請により、 45 日以上の事前通知をした上で、契約期間中、12 ヶ月に 1 回、OPSWATの本 DPA に基づく義務の遵守状況を監査することができます。お客様は、OPSWAT の通常の営業時間内にすべての監査を実施する必要があり、OPSWAT の事業活動を不当に妨害することはできません。お客様の監督機関により義務付けられる場合を含め、データ保護法制により要求される範囲において、お 客様またはお客様の監督機関は、頻繁に監査を実施することができるものとします。
1.9.2 第三者が監査を実施する場合、OPSWAT は、OPSWATの合理的な見解に基づき、監査人が適切な資格を有していない、もしくは独立していない、またはOPSWAT 競合他社である場合、監査人に異議を申し立てることができるものとします。OPSWAT による当該異議は、顧客が別の監査人を指名すること、または自ら監査を実施することを要 求する。
1.9.3 監査を依頼する場合、お客様は、提案された監査日の少なくとも 2 週間前までに、詳細な監査計画案をOPSWAT に提出する必要があります。提案された監査計画には、提案された監査の範囲、期間、および開始日が記載されている必要があります。OPSWAT は、提案された監査計画を確認し、懸念事項または質問事項 (たとえば、OPSWAT のセキュリティ、プライバシー、雇用、またはその他の関連ポリシーを侵害する可能性のある情報の要求) をお客様に提供します。OPSWAT は、お客様と協力して最終的な監査計画に合意します。本第 1.9 項(遵守の監査)のいかなる規定も、OPSWAT に守秘義務違反を要求するものではありません。
1.9.4 顧客の監査要求から 12 ヶ月以内に、要求された監査範囲が監査報告書で扱われ、OPSWAT が、監査されたコントロールに既知の重大な変更がないことを確認した場合、顧客は、監査報告書の対象となるコントロールの監査を要求する代わりに、監査報告書を受け入れることに同意するものとします。
1.9.5 監査は、お客様の費用負担とします。お客様は、本第 1.9 条 (遵守の監査) に基づく監査に関連してOPSWAT またはそのサブプロセ ッサが費やした時間について、OPSWATのその時点での専門サービス料率でOPSWAT に払い戻すものとします。お客様は、かかる監査を実施するためにお客様が指名した監査人が請求するすべての料金を支払うものとします。
1.9.6当事者は、本第 1.9 条(遵守の監査)が、第 5 条(f)に基づきデータ輸入者に適用される SCC の監査要件、および第 11 条および第 12 条(2)に基づきサブプロセッサーに適用される SCC の監査要件に基づくOPSWATの義務を満たすことに同意するものとします。
1.10 EEA またはスイス国外へのデータの移転。お客様の個人データの保管および/または処理にEEAまたはスイス国外へのお客様の個人データの移転が含まれ、当該お客様の個人データの移転にデータ保護法が適用される場合、欧州委員会の妥当性決定が存在するEEA加盟国への移転が行われない限り、以下が適用されるものとします:
1.10.1 付録4が適用されるものとし、OPSWAT がデータ保護法に基づいて処理者であり、顧客が顧客個人データの管理者である場合、OPSWAT はそこで言及されている管理者から処理者へのSCCに従ってかかる移転を行うものとします。
1.10.2 付録5が適用されるものとし、OPSWAT がデータ保護法上のサブプロセッサーであり、顧客が顧客個人データのプロセッサーである場合、OPSWAT は、そこで言及されているプロセッサー間SCCに従ってかかる移転を行うものとします。
1.11 イギリス国外へのデータの移転。お客様の個人データの保管および/または処理が、お客様の個人データの英国外への転送を伴い、当該お客様の個人データの転送にデータ保護法が適用される場合、付録 6 が適用されるものとし、OPSWAT は、転送先が EEA 加盟国または欧州委員会の妥当性決定が存在し、英国政府によって承認されている国でない限り、当該 SCC に従って当該転送を行うものとします。
1.12 サブ・プロセッサ契約 OPSWAT は、SCC 第 9 条(c)に基づき、お客様からのサブ・プロセッサ契約書の写しの請求に応じる前に、サブ・プロセッサとの契約書に記載されている業務上または法律上の秘密条項をすべて修正することができます。
1.13 サブプロセッサの変更に対する異議申し立ての機会。契約期間中に新たなサブプロセッサーが関与する場合、OPSWAT は、新たなサブプロセッサーがお客様の個人データを処理する少なくとも 15 日前までに、https://www.opswat.com/legal/subprocessors にあるサブプロセッサーリストを更新することにより、関与についてお客様に書面で通知します。お客様は、OPSWATの通知日から 5 営業日以内にOPSWAT に書面で通知することにより、新しいサブプロセッサーに異議を唱えることができます。お客様が新たなサブプロセッサーに異議を唱える場合、お客様とOPSWAT は、当該異議に対処するため、相互に受け入れ可能な解決策を見出すべく誠意をもって協力します。両当事者が合理的な期間内に相互に受け入れ可能な解決策を見出すことができない場合、お客様は、唯一かつ排他的な救済措置として、OPSWAT に書面で通知することにより、当該サブプロセッサーを使用するサービスの該当する注文フォームを終了することができます。
1.14 処理記録。お客様は、OPSWAT がGDPRの下で以下のことを義務付けられていることを認めるものとします:(a)OPSWAT が代行する各処理者及び/又は管理者の名称及び連絡先、並びに該当する場合は当該処理者又は管理者の現地代理人及びデータ保護責任者の名称及び連絡先を含む、GDPR第30条(2)に従った特定の情報の記録を収集及び維持すること、並びに(b) GDPR第30条(4)に従った監督当局が当該情報を利用できるようにすること。GDPRがお客様の個人データの処理に適用される場合、お客様は、要求された場合、当該情報をOPSWAT 、提供されるすべての情報が正確かつ最新に保たれるようにします。
2.カリフォルニア州
2.1 適用範囲。 OPSWAT以下の規定は、2018 年カリフォルニア州消費者プライバシー法(California Consumer Privacy Act of 2018)、California Civil Code §1798.100 et seq(以下、総称して「CCPA」といいます。Civil Code §1798.100 et seq., as amended by the California Privacy Rights Act, and related regulations, as may be further amended from time to time to)(総称して、「CCPA」)の対象となるお客様の個人データの処理に関してのみ適用されるものとします。
2.2 定義。 販売」 、「共有」、および「サービスプロバイダー 」という用語は、CCPAの定義と同じ意味を持つものとします。
2.3 サービスプロバイダー OPSWAT は、お客様に対するサービスプロバイダーです。OPSWAT は、本サービスを提供する目的でのみお客様の個人データを処理するものとします。本契約または中 国消費者庁により別途許可されている場合を除きます:
(a)OPSWAT は、商業目的、または本契約で企図された目的の実行以外の目的で、お客様の個人データをさらに収集、保持、使用、または開示しないものとします;
(b)OPSWAT は、両当事者間の直接的な取引関係以外では、顧客の個人データを保持、 使用、または開示しないものとする。
(c)OPSWAT は、本契約に基づき本サービスを提供するために必要な場合を除き、お客様から受領した、またはお客様のために受領したお客様の個人データを、他の人物からの個人データまたはお客様との相互作用から収集した個人データと結合しないものとします。
2.4 販売または共有の禁止 OPSWAT は、お客様の個人データを販売または共有しません。
2.5 個人情報保護法の遵守 OPSWAT は、本契約に従って処理されるお客様の個人情報に関して、個人情報保護法の下で要求されるのと同レベルのプライバシー保護を提供することを含め、個人情報保護法の該当するすべての条項を遵守するものとします。
2.6 CCPAの監査
2.6. 1 お客様は、合理的な事前の書面による要請により、45 日以上の事前通知をした上で、OPSWATの本 DPA に基づく義務の遵守状況を、本契約の期間中、12 か月に 1 回監査することができます。お客様は、すべての監査をOPSWAT の通常営業時間中に実施しなければならず、OPSWAT の業務活動を不当に妨害してはなりません。カリフォルニア州プライバシー保護庁により義務付けられている場合を含め、CCPA が要求する範囲において、お客様は頻繁に監査を実施することができます。
2.6. 2 第三者が監査を実施する場合、OPSWAT は、OPSWATの合理的な見解に基づき、監査人が適切な資格を有していない、もしくは独立していない、またはOPSWAT 競合他社である場合、監査人に異議を申し立てることができるものとします。OPSWAT による当該異議は、顧客が別の監査人を指名するか、自ら監査を実施することを要求する。
2.6. 3 監査を依頼する場合、お客様は、提案された監査日の少なくとも 2 週間前までに、詳細な監査計画案をOPSWAT に提出する必要があります。提案された監査計画には、提案された監査の範囲、期間、開始日が記載されていなければなりません。OPSWAT は、提案された監査計画を確認し、懸念事項または質問事項 (例えば、OPSWAT のセキュリティ、プライバシー、雇用、その他の関連ポリシーを侵害する可能性のある情報の要求) をお客様に提供します。OPSWAT は、お客様と協力して最終的な監査計画に合意します。本第2.6条(CCPA監査)のいかなる規定も、OPSWAT 、守秘義務に違反することを要求するものではありません。
2.6. 4 顧客の監査要求から 12 ヶ月以内に、要求された監査範囲が監査報告書で扱われ、OPSWAT が、監査されたコントロールに既知の重大な変更がないことを確認した場合、顧客は、監査報告書の対象となるコントロールの監査を要求する代わりに、監査報告書を受け入れることに同意するものとします。
2.6. 5 監査は、お客様の費用負担とします。お客様は、本第 2.6 条 (CCPA 監査) に基づく監査に関連して、OPSWAT またはそのサブプロセッサーが費やした時間について、OPSWATのその時点での専門サービス料率で、OPSWAT に払い戻すものとします。お客様は、かかる監査を実施するためにお客様が指名した監査人が請求するすべての料金を支払うものとします。
2.6.6 当事者は、本第 2.6 条 (CCPA 監査) が、本契約に基づくOPSWATの顧客個人データの処理が、OPSWATの CCPA に基づく義務と一致していることを確認するために合理的かつ適切な措置を講じる権利を顧客に提供する、OPSWATの CCPA に基づく義務を満たすことに同意するものとします。
2.7 通知OPSWAT は、OPSWAT が CCPA に基づく義務を履行できなくなったと判断した場合、お客様に通知するものとします。 本第 2 条第 7 項に基づきOPSWATから通知があった場合、当事者は、OPSWAT が CCPA に基づく義務を履行できるよう、本契約または本サービスの変更について誠意をもって交渉するものとします。かかる交渉が 30 日を超える場合、お客様は、OPSWATの個人データ処理を要求する該当する注文書を終了することができます。
2.8 個人データの不正使用の是正。 お客様の書面による要請があった場合、OPSWAT は、処理を中止し、DPA 第 4 条(データの削除または返却)に従ってお客様の個人データを削除または返却するものとします。OPSWAT は、OPSWAT'がお客様の書面による要請を遵守していることを証明する証明書をお客様に提供するものとします。両当事者は、本第 2.8 項が、OPSWAT'に対し、OPSWAT'によるお客様の個人データの不正使用を停止し、是正するための合理的かつ適切な措置を講じる権利をお客様に提供する義務を満たすことに同意するものとします。
2.9 合理的なセキュリティ。両当事者は、第5条(データセキュリティ)が、CCPAに基づくデータセキュリティに関するOPSWAT'の義務を満たすことに同意します。
2.10 CCPAに基づくデータ対象者の要求。両当事者は、DPA第6条(データ主体の権利)が、CCPAに基づくデータ主体の要求に関するOPSWATの義務を満たすことに同意します。
2.11 サブプロセッサー両当事者は、本DPA第8条(サブプロセッサー)が、OPSWAT「CCPA」に基づくサブプロセッサーに関する義務を満たすことに同意するものとします。
SCC - コントローラからプロセッサへ
両当事者は、参照することにより本契約に組み込まれるSCCのモジュール2を遵守することに合意します。SCCのモジュールのコピーは、https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en。顧客は、privacy@opswat.com から関連条項のコピーを請求することもできます。
両当事者は、以下の条件が適用されることに同意する:
1.第7条: 両当事者は、第7条を含めることを選択した。
2.第9条(a):条項9(a):両当事者は、オプション2(書面による一般的な承認)を15日間の期限付きで含めることを選択した。
3.第 11 条(a):第 11 条(a):両当事者は、データ主体が独立した紛争解決機関に無料で苦情を申し立てること を認めるオプションの文言を取り入れない。
4.第 17 条: 本条項は、EU 加盟国のいずれかの法律に準拠するものとします。ただし、当該法律が 第三者受益権を認めている場合に限ります。両当事者は、データ輸出者が所在する加盟国の法律に準拠することに合意します。データ輸出者が EU 域内に所在しない場合、両当事者はこれをアイルランド法とすることに同意するものとします。
5.第18条(b): 両当事者は、データ輸出者が所在するEU加盟国の裁判所とすることに合意します。データ輸出者がEUに所在しない場合、当事者はアイルランドの裁判所とすることに合意する。
両当事者は、SCC のモジュール 2 が、本条項が締結された日の前後を問わず、両当事者間 の他のいかなる合意よりも優先されることに同意する。法域の法律または規制手続きにより要求される場合、両当事者は、SCC のモジュール 2 を別個の文書として締結または再締結するものとする。
付属書類4の付属書類1
A.当事者リスト
データエクスポーター: Customer
役割(コントローラー/プロセッサー):Controller
Data importer(s):OPSWAT
Role (controller/processor):プロセッサー
B. 譲渡の内容
データ対象者の分類:DPAの付属文書1を参照
移転される個人データの分類:DPAの付属文書1を参照
機微/特殊なデータの分類:なし
移転の頻度:本サービスの提供に必要な継続的なもの
データ移転の性質または処理および目的:DPAの付属文書1を参照
個人データが保持される期間:DPAの付属文書1を参照
C. 管轄監督機関
データ輸出者が所在する EU 加盟国。データ輸出者がEUに所在しない場合は、アイルランドとする。
付録2の付録4
データのセキュリティを確保するための技術的組織的措置を含む技術的組織的措置
DPAの付録2を参照のこと。サブプロセッサーへの移転については、OPSWAT 、当該サブプロセッサーがDPAの付録2に記載されたセキュリティ対策を実質的に遵守することを保証するものとします。
SCC - プロセッサーからプロセッサーへ
両当事者は、参照することにより本契約に組み込まれる SCC のモジュール 3 を遵守することに合意します。SCC のモジュール 3 のコピーは、https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en に掲載されています。顧客は、privacy@opswat.com から関連条項のコピーを請求することもできます。
両当事者は、以下の条件が適用されることに同意する:
1.第7条:両当事者は第7条を含めることを選択した。
2.第9条(a):条項9(a):両当事者は、オプション2(書面による一般的な承認)を15日間の期限付きで含めることを選択した。
3.第 11 条(a):第 11 条(a):両当事者は、データ主体が独立した紛争解決機関に無料で苦情を申し立てること を認めるオプションの文言を取り入れない。
4.第 17 条: 本条項は、第三者の受益権を認める EU 加盟国の法律に準拠するものとします。両当事者は、データ輸出者が所在する加盟国の法律に準拠することに合意します。データ輸出者が EU 域内に所在しない場合、両当事者はこれをアイルランド法とすることに同意するものとします。
5.第18条(b): 両当事者は、データ輸出者が所在するEU加盟国の裁判所とすることに合意します。データ輸出者がEUに所在しない場合、当事者はアイルランドの裁判所とすることに合意する。
6.付属書 I A.お客様とOPSWAT の両方が処理者として機能する DPA 付属書 4 の付属書 1 を参照してください。
7.付属書ⅠBおよびC: DPA付属書4の付属書1を参照のこと。
8.付属書Ⅱ:DPA付属書4の付属書2を参照のこと。
両当事者は、本条項が締結された日の前後を問わず、SCC のモジュール 3 が当事者間の他のいかなる合意よりも優先されることに同意する。法域の法律または規制手続きにより要求される場合、両当事者は、SCC のモジュール 2 を別個の文書として締結または再締結するものとする。
お客様の個人データの英国外への移転
両当事者は、SCCのモジュール2またはモジュール3(該当する場合)を遵守することに合意します。SCCのモジュール2またはモジュール3は、付録4または付録5(それぞれ)により補完され、参照により組み込まれる英国の補遺により修正されます。お客様は、privacy@opswat.com から関連条項のコピーを請求することもできます。
1.表1:締約国
データエクスポーター:顧客
データインポーター:OPSWAT
2.表2:選択されたSCC、モジュール、および選択された条項
SCCのモジュール2またはモジュール3(付録4または付録5による
3.表3:付録情報
付属書1A: DPA付属書4の付属書1を参照
付属書1B: DPA付属書4の付属書1を参照
付属書II: DPA付属書4の付属書2を参照
付属書III:OPSWAT「サブプロセッサー」のリストは、https://www.opswat.com/legal/subprocessors.
4.表 4:承認された補遺が変更された場合の本補遺の終了
輸入者または輸出者
両当事者は、本条項が締結された日の前後を問わず、SCCのモジュール2またはモジュール3(該当する場合)が、当事者間の他のいかなる合意よりも優先されることに同意する。法域の法律または規制手続きにより要求される場合、両当事者は、UK補遺により修正されたSCCのモジュール2またはモジュール3(該当する場合)を、別文書として締結または再締結するものとする。
