本条項は、本サービスにかかる契約条件(以下「原契約」といいます。)の一部をなすものとします。また、本条項において、当社がお客様に対し、GDPR 等の遵守に関して負う義務及び責任は、本条項に定めるものに限られるものとします。
データ処理に関する別紙
対象サービス名 |
ホワイトクラウド デスクトップサービス スタンダード |
ホワイトクラウド PrimeMeeting |
ソフトバンク株式会社(以下「当社」といいます。)は、当社が提供する業務又はサービス(以下「本サービス」といいます。)において、お客様の指示又は選択により GDPR 等(第 1 条(1)項に定義)の適用がある個人データの処理を行う場合、この「データ処理に関する別紙」(以下、本別紙記載の各条項を「本条項」といい、本条項に係る契約を「本契約」といいます。)の定めを適用します。本条項において、お客様は GDPR 等上の「管理者(controller)」、当社は「処理者(processor)」の立場となります。
本条項は、本サービスにかかる契約条件(以下「原契約」といいます。)の一部をなすものとします。また、本条項において、当社がお客様に対し、GDPR 等の遵守に関して負う義務及び責任は、本条項に定めるものに限られるものとします。
本条項は、GDPR 等の条文に照らして理解され、解釈されるものとし、GDPR 等に規定されている権利及び義務に矛盾するような、又はデータ主体の基本的な権利及び自由を損なうような仕方で解釈されてはならないものとします。
第 1 節
第 1 条(定義)
本条項において使用する用語は、以下に定める意味を有します。ただし、本条項において定義されていないものについては、GDPR 等の定義が適用されます。
(1)「GDPR 等」とは、個人データの処理に係る自然人の保護及び当該データの自由な移転に関する 2016 年 4 月 27 日付欧州議会及び欧州理事会規則(EU)2016/679、英国一般データ保護規
則(2018 年欧州連合(離脱)法第 3 条によってイングランド及びウェールズ、スコットランド並びに北アイルランド法の一部を構成します。)及び欧州連合加盟国の国内法の総称をいいます。
(2)「データ主体」とは、GDPR 等に規定する識別された又は識別されうる自然人をいいます。
(3)「個人データ」とは、データ主体に関するあらゆる情報をいいます。
(4)「処理」とは、自動的な手段であるか否かに関わらず、個人データまたは個人データの集合に対して行われるあらゆる作業又は一連の作業をいいます。
(5)「管理者」とは、単独で又は他と共同して、個人データの処理の目的及び手段を決定する自然人、法人、公的機関、行政機関又はその他の団体をいいます。
(6)「処理者」とは、管理者のために個人データの処理を行う自然人、法人、公的機関、行政機関又はその他の団体をいいます。
第 2 条(優先順位)
本条項と、本条項に合意した時点で存在し又はその後合意された関連合意の規定が矛盾する場合は、本条項が優先するものとします。
第 2 節-当社及びお客様の義務第 3 条(処理の詳細)
処理業務の詳細、特に個人データのカテゴリー及び個人データがお客様のために処理される目的は、別紙Ⅰに明記されるものとし、当社は、お客様から追加的な指示を受けない限り、当該処理目的のみのために個人データを処理するものとします。
第 4 条(当社及びお客様の義務)
4.1.(指示)
(a)当社は、お客様からの文書化された指示のみに従って個人データを処理するものとします。但し、当社が服する関連法令によって処理が要求される場合を除きます。この場合、当社は、重要な公共の利益に基づく法令により禁止されない限り、処理に先立ち当該法的要求についてお客様に通知するものとします。個人データの処理期間を通じて、お客様は追加の指示を与えることができます。当該指示は、常に文書化されなければならないものとします。
(b)当社は、お客様から与えられた指示が、当社の見解によれば、GDPR 等に違反する場合、直ちにお客様に通知するものとします。
4.2.(処理の安全性)
(a)当社は、個人データの安全を確保するため、別紙Ⅱに明記された技術的及び組織的措置を講じるものとします。安全性レベルの適切性の評価において、当社及びお客様は、処理に係る最新技術、実施費用、性質、範囲、背景及び目的、並びに当該データ主体に関わるリスクを十分考慮しなければならないものとします。
(b)当社は、本契約の実施、管理及び監視のために厳格に必要な範囲においてのみ、自身の役職員に対し、処理中の個人データへのアクセスを認めるものとします。当社は、受領した個人データを処理する権限を与えられた役職員が、秘密保持を確約又は適切な法律上の守秘義務に服することを確保するものとします。
4.3.(文書化及び遵守)
(a)当社はお客様に対し、本条項に規定され、かつ GDPR 等から直接生じる義務の遵守を証明するために必要な情報(第三者認証の証明書の写しを含む。)を提供します。お客様は、当社による本条項の不遵守の兆候があり、かつ、上記の情報提供では本条項の遵守の証明に不十分である場合に限って、遅くとも 30 日前に、当社に、書面で通知した上で、1 年に 1 回を上限として、当社の
通常営業時間内において、当社の日常業務を妨害せず、他の契約者との間の契約上の義務に違反しない範囲内において、当社における実地監査を自ら又は第三者監査人(当社の競合他社ではない者に限り、かつ、事前に当社の承諾を得るものとします。)により行うことができます。お客様と当社は、実地監査が開始される前に、監査の範囲、時期、期間、守秘義務等について合意するものとします。監査費用は、別途の合意がない限り、お客様の負担とします。
(b)当社及びお客様は、管轄監督機関に対し、その要請があり次第、全ての監査の結果を含め、本条で規定されている情報を提供するものとします。
4.4.(復処理者の使用)
(a) お客様は、当社の別紙Ⅲ記載の復処理者への委託について、包括的に承諾するものとします。
(i)当社は、復処理者の追加又は入替により復処理者を変更しようとする場合、事前にお客様に通知し、当該復処理者への委託に先立ち、当該変更への異議の申立てを可能とする十分な時間をお客様に与えるものとします。当社は、お客様からの要請がある場合には、お客様に対し、当該異議申立ての権利の行使を可能とするために必要な情報を提供するものとします。
(ii)お客様が、上記の復処理者の変更に係る連絡から 30 日以内に理由を付した書面にて異議を申し立てなかった場合は、お客様は、当該復処理者の変更に承諾したものとみなし、当社は当該復処理者を利用して、特定の処理業務を委託することができるものとします。
(iii)お客様が、上記の期間内に正当な異議を申し立てたにもかかわらず、当社による合理的な対応がなされない場合、お客様は異議申立ての日から 30 日以内に書面で当社に通知することにより、違約金等の追加の金員を支払うことなく、影響を受ける範囲において本サービスの契約を解約することができるものとします。
(iv)お客様が、上記の期間内に異議を申し立てた場合、当社は、損害賠償等の追加の金員を支払うことなく、影響を受ける範囲において本サービスの契約を解約することができるものとします。
(b)当社が、(お客様のために)復処理者に特定の処理業務の実施を委託する場合、当該委託は、当該復処理者に対し、本条項に従って当社に課されるデータ保護義務と実質的に同一の義務を定める契約によるものとします。当社は、本条項並びに GDPR 等に従って当社が服する義務を復処理者に確実に遵守させるものとし、その義務の履行について、お客様に対し全面的に責任を負うものとします。当社は、復処理者による契約上の義務の不履行も、お客様に通知するものとします。
4.5.(国際移転)
当社によるデータの第三国への移転は、GDPR 等に従って行われるものとします。
第 5 条(管理者に対する支援)
(a)当社は、データ主体から受領した要求について、お客様に速やかに通知するものとします。
(b)当社は、お客様がデータ主体からの権利を行使する旨の要求に対応する義務を履行するに当たり、処理の性質を考慮に入れて、お客様を支援するものとします。当社は、前項及び本項に従って自 身の義務を履行するに際し、お客様の指示に従わなければならないものとします。
(c)当社は、前項に基づいてお客様を支援する義務に加え、お客様が以下の義務を確実に遵守するに
あたっても、データ処理の性質及び当社が入手できる情報を考慮に入れて、さらにお客様を支援するものとします。
(i)ある種類の個人データの処理が自然人の権利及び自由に高度のリスクを生じさせる可能性がある場合に、当該予定されている処理行為の個人データ保護に対する影響評価(以下「データ保護影響評価」といいます。)を実施する義務。
(ii)データ保護影響評価により、お客様がリスク軽減のための措置を講じなければ、当該処理により高度のリスクが生じる可能性があることが示された場合に、処理の前に管轄監督機関と協議する義務。
(iii)処理中の個人データが不正確であるか又は最新でないことに当社が気づいた場合に、遅滞なくお客様に伝えることで、個人データが正確かつ最新であることを確保する義務。
(iv)GDPR 等に従い、リスクに適した安全水準を確保するため、適切な技術的及び組織的措置を講じる義務。
(d) 当社及びお客様は、別紙Ⅱにおいて、本条によりお客様を支援するために当社が講じる義務を負う適切な技術的及び組織的措置、並びに当該支援の範囲及び程度を定めるものとします。
第 6 条(個人データ侵害の通知)
個人データの偶発的若しくは違法な破壊、滅失、変更、不正開示又はアクセス(以下「個人データ侵害」といいます。)が生じた場合、当社は、処理の性質及び当社が入手できる情報を考慮し、お客様が、(適用ある場合に)GDPR 等に従い関連当局及びデータ主体に対するデータ侵害通知を行う義務を遵守するために、お客様に協力し、これを支援するものとします。
6.1.管理者により処理されたデータに係るデータ侵害
お客様により処理されたデータに係る個人データ侵害が生じた場合、当社はお客様が以下を行うに当たり、支援するものとします。
(a)お客様が個人データ侵害に気づいた後、過度に遅滞することなく、管轄監督機関に当該個人データ侵害を通知すること(当該個人データ侵害により自然人の権利及び自由にリスクが生じる可能性が低い場合を除く)。
(b)以下の情報を入手すること。
(1)個人データの性質。可能であれば、関係するデータ主体のカテゴリー及び概数、並びに関係する個人データ記録のカテゴリー及び概数を含む。
(2)当該個人データ侵害から生じうる結果。
(3)お客様が、当該個人データ侵害に対処するために講じたか又は講じることを提案した措置。適切な場合、生じうる悪影響を軽減するための措置を含みます。
上記の全ての情報を同時に提供することが不可能な場合、及びそれが不可能である限りにおいて、当初の通知には、当該時点で入手可能な情報を含めるものとし、追加的な情報は、入手可能となったときに、後から過度の遅滞なく提供するものとします。
(c)当該個人データ侵害により自然人の権利及び自由に高度のリスクを生じうる場合に、GDPR 等に従って、データ主体に対し、過度に遅滞することなく当該個人データ侵害を通知する義務を遵守
すること。
6.2.処理者により処理されたデータに係るデータ侵害
当社により処理されたデータに係る個人データ侵害が生じた場合、当社は、当該個人データ侵害に気づいた後、遅滞することなくお客様に通知するものとします。当該通知には、最低限以下を含むものとします。
(a)当該個人データ侵害の性質の説明(可能な場合、関係するデータ主体及びデータ記録のカテゴリー及び概数を含みます)。
(b)当該個人データ侵害に関するさらなる情報が入手できる連絡先の詳細。
(c)予想される結果、及び、生じうる悪影響を軽減することを含め、当該個人データ侵害への対処のために講じたか又は講じることを提案する措置。
上記の全ての情報を同時に提供することが不可能な場合、及びそれが不可能である限りにおいて、当初の通知には、当該時点で入手可能な情報を含めるものとし、追加的な情報は、入手可能となったときに、後から遅滞なく提供するものとします。
第 3 節-最終条項
第 7 条(本条項の不遵守及び終了)
(a) GDPR 等のいかなる条項も損なうことなく、当社が本条項に定める義務に違反した場合は、お客様は当社に対し、当社が本条項を遵守し、又は本契約が終了するまで、個人データの処理を中止するよう指示することができます。当社は、理由の如何を問わず、本条項を遵守することができない場合は、速やかにお客様に通知するものとします。
(b)当社は、お客様の指示が適用ある法律上の要求に違反する旨を、第 4.1 条(b)項に従ってお客様に通知した後も、お客様が当該指示の遵守を主張する場合、本契約及び原契約を解除する権利を有するものとします。
(c)本契約の終了に伴い、当社は、関連法令が個人データの保存を求めていない限り、すべての個人データ(現存するコピーを含む。本項において以下同じとします。)を削除するものとします。お客様は、本契約終了までの間に、お客様自身の責任で、個人データのバックアップ及びダウンロード等の移管を行うものとします。ただし、本契約終了の 30 日前までにお客様から個人データの返却を希望する旨の書面による通知がなされた場合において、当該返却が物理的に可能なときは、当社はお客様に対し個人データを返却するものとします。なお、お客様の責めによる事情により本契約が終了する場合には、お客様は個人データの返却を受けられないものとします。当社は、当該データが削除又は返却されるまで、本条項を確実に遵守し続けるものとします。
第 4 節-追加条項 第 8 条(不可抗力)
当社は、天災地変、ストライキ、暴動、戦争、疫病その他の不可抗力により、本条項で規定する義
務の履行ができなかった場合又は義務の履行が遅滞した場合、お客様に対し損害を賠償する責を負わないものとします。
第 9 条(本サービスの利用者)
お客様以外の管理者(お客様の親会社、子会社、関連会社等を含みます。)が本サービスを利用する場合においては、お客様は、本条項上の権利義務につき、お客様以外の管理者の代理人となるものとします。お客様以外の管理者が当社に対して直接請求できる権利を有する場合には、お客様が当該権利を行使するものとします。お客様以外の管理者から取得が必要な承諾をお客様が取得するものとします。当社が、お客様に対して情報を通知又は提供した場合には、当社は、お客様以外の管理者に対しても当該情報を通知又は提供する義務を履行したものとします。
別紙Ⅰ:処理の詳細
個人データが処理されるデータ主体のカテゴリー
⬝ 管理者の従業員
⬝ 管理者の取引先の従業員
⬝ 管理者の顧客の従業員
⬝ 管理者の最終消費者/ユーザー
⬝ 管理者の顧客/取引先の最終消費者/ユーザー
⬝ その他
処理される個人データのカテゴリー
⬝ 氏名
⬝ 個人の住所
⬝ 仕事上の住所
⬝ 個人の電話番号
⬝ 仕事上の電話番号
⬝ 電子メールアドレス
⬝ ソフトウェア/システムユーザーアカウント
⬝ ネットワークに関する情報(IP アドレス、ネットワーク名)
⬝ 電子メール、通信及びファイル
⬝ 仕事上の情報及び文書(例えば、作業ファイル)
⬝ 財務に関する情報及び文書(例えば、勘定、給与、財務諸表)
⬝ 個人に関する情報及び文書(例えば、写真、個人用文書)
⬝ その他
処理されるセンシティブなデータ及び適用された制限又は保護措置(当該データの性質及び関連するリスクを十分考慮した制限又は措置)
⬝ 管理者は、本サービスを利用して処理者にセンシティブなデータを取り扱わせる場合があります。ただし、処理者は、センシティブなデータについても、原則として、その他の個人データと同様に扱うものとします。
当該処理の性質
⬝ 本サービスの提供及び改善
管理者のために個人データが処理される目的
⬝ 本サービスの提供及び改善
処理期間
⬝ 本サービスの利用契約の有効期間中
別紙Ⅱ:データの安全性確保のための技術・組織上の手段を含む、技術的及び組織的措置
当社が講じる個人データの保護のための適切な技術的及び組織的対策の具体的内容は、最新版の情報セキュリティポリシー(xxxxx://xxx.xxxxxxxx.xx/xxxx/xxxxxxxx/)xxxxxxxx。ただし、これらの対策について、本サービスの仕様書・説明書等に追加記載がある場合には、当該追加記載が優先して適用されるものとします。
別紙Ⅲ:復処理者一覧
下記ウェブサイト等において、当社が随時公表するものとします。