Citrix データ処理補足契約書

Citrix データ処理補足契約書

バージョン: 2022年3月11日

1. スコープ、優先順位、当事者

本データ処理補足契約書 (以下「DPA」といいます) は、Citrix が Citrix Cloud サービス、テクニカル サポート サービス、またはコンサルティング サービス (以下「本サービス」といいます) を提供する過程においてお客様に代わって個人データを処理する場合に適用されます。 本サービスは、関連する Citrix ライセンスまたはサービス契約書および該当する本サービスの発注書 (以下「本契約」と総称します) に記載されています。 本契約条項と本 DPA 条項間に矛盾がある場合は、本 DPA 条項が優先します。 本 DPA 条項と EU 標準契約条項および/または英国 SCC 補足契約 (該当する場合) の間に矛盾がある場合は、EU 標準契約条項および/または英国SCC 補足契約(該当する場合) が優先します。

本 DPA はエンドユーザー カスタマー (以下「お客様」といいます) と Citrix 契約事業体 (以下「Citrix」といいます) との間で締結され、参照することで本契約に組み込まれます。 xxxxx://xxx.xxxxxx.xxx/xx- jp/buy/licensing/citrix-providing-entities.html で記載されているとおり、お客様の所在地により Citrix 事業体が決まります。

2. 定義

「お客様」とは、本 DPA に規定されたエンドユーザーを意味します。

「系列会社」とは、本 DPA に基づいて Citrix に協力してお客様の個人データを処理できる Citrix Systems, Inc. の子会社を意味します。

「集計」 とは、個人のグループまたはカテゴリに関連する情報を意味します。このグループまたはカテゴリから個人を削除すると、適用されるデータ保護法に基づいて、情報がいかなる個人にもリンクされなくなる、または合理的にリンクできなくなります。

「適用されるデータ保護法」とは、(i) EU 一般データ保護規則 2016/679 (以下「GDPR」といいます) および GDPR を実施または補足する法律または規則、ならびに (ii) 本契約に従って個人データの処理に適用される、現在有効なまたは将来有効となるその他の国際、連邦、州および地方のプライバシーまたはデータ保護に関わる法、規則、規制、指令および政府要件を意味します。

「カスタマーコンテンツ」とは、お客様のストレージ用アカウントにアップロードされるデータ、または本サービスのために Citrix にアクセス権が提供されるお客様のコンピューティング環境上のデータを意味します。

「欧州経済ゾーン」とは、本 DPA においては欧州経済領域、スイス、および英国を意味します。

「2021 EU 標準契約条項」または「2021 EU SCC」とは、EU 委員会決定 2021/914/EU に添付された契約条項、またはEU 委員会によって承認された承継条項を意味します。

「個人データ」とは、氏名、識別番号、位置データ、オンライン識別子のような識別子または個人に関する物理的、生理的、遺伝子的、精神的、経済的、文化的もしくは社会的アイデンティティに固有の 1つもしくは複数の要素、その他適用されるデータ保護法によって定義された情報を参照することによって、直接的または間接的に、個人を一意に特定できる、本サービスの実施に関連して処理されるカスタマーコンテンツを意味します。

「個人データ侵害」とは、本サービスを実施するために、転送、保存、その他の処理の対象となる個人データに関する偶発的または違法な破壊、紛失、変更、不正な開示またはアクセスに至る、個人データに対するセキュリティの侵害を意味します。

「下請処理者」とは、本契約に従って本サービスを実施するために個人データの処理を請け負う第三者を意味します。

「英国 SCC 補足契約」とは、英国情報コミッショナーオフィスが発行したEU 委員会標準契約条項 (vB1.0

またはそれ以降のバージョン) における国際データ移転の補足契約を意味します。

本 DPA において定義されていない用語(「事業目的、消費者、管理者、データ主体、処理、処理者」など) は、本契約または適用されるデータ保護法において規定された意味を有すものとします。

3. データ管理者とデータ処理者の役割

本 DPA においては、本契約に基づく本サービスの実施において Citrix が処理する個人データのデータ管理者はお客様です。 お客様は、本サービスの実施にあたって Citrix に個人データを提供する際に適用されるデータ保護法に基づく管理者としての義務を遵守する責任があります。これには、同意の取得、各種通知の提供、その他必要な法的手続きなどが含まれますが、これに限定されません。 本契約に明記されていない限り、お客様は、本契約および本 DPA で合意されている以上の特定のデータ保護要件を課す個人データへのアクセス権を Citrix に提供しないものとし、Citrix による個人データへのアクセス権をサービスの実施に必要な範囲に制限するものとします。

Citrix は、かかる個人データに対するデータ処理者かつサービスプロバイダーになりますが、お客様が個人データの処理者である場合は、Citrix は下請処理者になります。 Citrix は、本契約および本 DPA に基づく、個人データの処理に適用されるデータ保護法で定められた義務を遵守する責任があります。

4. Citrix による処理の目的

第 6 項に記載されている下請処理者および系列会社を含む、本 DPA に基づいて Citrix により承認された人物ならびに Citrix は、本サービスを実施する目的でのみ、本契約に規定されている書面によるお客様からの指示、本 DPA、および適用されるデータ保護法に従って個人データを処理するものとします。 Citrix は法令に基づき要求されない限り、召喚状、司法もしくは行政命令、またはその他の法的拘束力のある文書 (以下「要請」といいます) に応じて個人データを開示しないものします。 法令によって禁止されている場合を除き、Citrix はいかなる要請においても速やかにお客様に通知し、合理的に必要と判断される範囲内において、お客様が速やかに要請に対応できるよう支援します。 また、Citrix は、Citrix 製品および本サービスの提供、セキュリティ確保、ならびに拡張のために、本サービスの一環として個人データを集計できるものとします。 Citrix の処理活動に関連する追加の詳細情報は本契約に明記され、本サービスに関する追加の説明は xxxxx://xxx.xxxxxx.xxx/xx-xx/xxx/xxxxxxxxx/xxxx-xxxxxxx-xxxxxxxxxxxx.xxxx に掲載されています。

Citrix は、本 DPA 条項に基づく個人データを保護する義務に従って、系列会社の一部もしくは全社に及ぶ、予定されているもしくは実際の合併、買収、事業譲渡、破産、またはその他の再編成に関連して、系列 会社に個人データを提供できるものとします。

5. 個人データのデータ主体とカテゴリ

本サービスを実施するために Citrix にアクセス権を提供する個人データはお客様が決定します。 これには、次のカテゴリのお客様のデータ主体における個人データの処理も含まれます。

• 従業員と応募者

• 顧客とエンドユーザー

• 供給業者、エージェント、請負業者

お客様の個人データの処理には次のカテゴリの個人データも含まれます。

• 氏名、生年月日、自宅住所などの直接識別子

• 自宅の電話番号、携帯電話番号、電子メールアドレス、住所、FAX 番号などの通信データ

• 年齢、生年月日、既婚/未婚、配偶者またはパートナー、子供の数および名前などの家族ならびに個人的な環境情報

• 雇用主、職場の住所、職場の電子メールおよび電話番号、役職および職務、給与、上司、雇用 ID、システムユーザー名およびパスワード、業績情報、CV データなどの雇用情報

• 財務情報、購入した製品またはサービス、デバイス識別子、オンラインプロファイルおよび動作、

IP アドレスなどのその他のデータ

• 本製品または本サービスの提供に関連してお客様が Citrix にアクセス権を提供するその他の個人データ

6. 下請処理

本 DPA 条項に従い、お客様は、Citrix が個人データを処理するために下請処理者および系列会社を起用することを承認するものとします。 これらの下請処理者および系列会社は、少なくとも本契約および本 DPA により必要とされる Citrix のデータ保護レベルを提供するように要求する書面による契約によって拘束されます。 お客様は、Citrix が下請処理者に対する監査を実行するか、または下請処理者の業務に関連する既存の第三者による監査報告書を取得することにより、当該要件への遵守を検証するように Citrix に要求することができます。 また、お客様は、本サービスの提供に関わる下請処理者または系列会社に対して Citrix が設定するデータ保護条件のコピーを要求することもできます。 Citrix は、かかる下請処理者および系列会社の、本契約、本 DPA、および適用されるデータ保護法への遵守に対して常に責任を負うものとします。

下請処 理者および系列会社 のリスト、 および当 該リストの更新通知 を取得する手順 は xxxxx://xxx.xxxxxx.xxx/xx-xx/xxx/xxxxxxxxx/xxxxxxxxxxxx-xxxx.xxxx に掲載されています。新しい下請処理者に対して個人データへのアクセスを承認する少なくとも 14 暦日前までに、Citrix は下請処理者と系列会社のリストを更新するものとします。 Citrix が処理者である(および下請処理者でない) 場合、次の条件が適用されます。

• かかる下請処理者または系列会社が個人データを保護できないことに関する合理的根拠に基づいて、お客様が新しい下請処理者または系列会社を承認しない場合、お客様は、通知期間の終了前に、承認しない根拠の説明を含む、書面による解約通知をもってペナルティなく影響のある本サービスのサブスクリプションを解約することができます。

• 影響のある本サービスがスイート (または同等の一括購入サービス) の一部である場合、かかる解約はスイート全体に適用されるものとします。

• 当該解約後も、お客様は、ELA リセラーまたは Citrix に対する発注書またはその他契約上の義務において要求されるすべての支払いを行う義務を負うものとし、ELA リセラーまたは Citrix から返金を受ける権利は発生しないものとします。

7. 個人データの国外移転

本サービスにおいて、お客様と Citrix は個人データの保管場所について合意できるものとします。 前述 にかかわらず、Citrix は本サービス実施のために適宜個人データを米国またはその他の第三国に移転でき るものとし、お客様が、本サービスを提供するために必要な個人データの処理のために、かかる移転を Citrix に指示するものとします。 Citrix は、かかる個人データが保存または処理される場所にかかわらず、本 DPA の要件に従うものとします。

個人データの処理において、(i) EU 委員会または英国情報コミッショナー オフィスが十分なレベルのデータ保護を提供するとみなしていない、および (ii) 個人データを国外に移転するための他の正当な根拠がない管轄内の Citrix、系列会社、下請処理者に、欧州経済ゾーン内の適用されるデータ保護法に基づいてかかる個人データを国外に移転する場合、当該移転は、2021 EU 標準契約条項および/または英国 SCC 補足契約 (該当する場合) または適用されるデータ保護法に基づくその他の有効な転送方法のいずれかに従うものとします。 国外に移転する場合、次の契約条項に基づくものとします：

• 2021 EU SCC、当事者は改変のない形で 2021 EU SCC が参照により組み込まれるものとします。(該当する場合、お客様が管理者で Citrix が処理者でであるモジュール 2、またはお客様と Citrix の両方が処理者であるモジュール 3)。

• 英国 SCC 補足契約。改変のない形での英国 SCC 補足契約が参照により組み込まれるものとします。

2021 EU SCC および英国 SCC 補足契約 は、 Citrix Trust Center (xxxxx://xxx.xxxxxx.xxx/xxxxx/xxxxx- center/agreements.html) に掲載されています。これは、お客様の居住地にかかわらず、お客様と Citrix Systems, Inc. 間の取り決めとします。 かかる目的において、お客様は、お客様およびお客様の法人を代表してデータ輸出者として業務を遂行し、Citrix は自社および系列会社を代表してデータ輸入者として業務を遂行するものとします。 2021 EU SCC の第 7 条項において、承継が認められた事業体はお客様をとおしてその権利を行使するものとします。 お客様は、Trust Center に掲載されている、本 DPA に組み込まれる 2021 EU SCC およびは英国 SCC 補足契約を正式に履行できるものとします。

処理にあたって、他の適用されるデータ保護法に基づき、個人データの Citrix、系列会社、または下請処理者への国外移転を伴う場合、かかる移転は、本 DPA および適用されるデータ保護法に規定されたデータ保護条件に従うものとします。

8. データ主体からの要求

Citrix は、データ処理者としての Citrix の役割に矛盾しない方法で、お客様がお客様のデータ主体の個人データにアクセスできるようにし、適用されるデータ保護法に基づきデータ主体からの 1 つまたは複数のデータ主体の権利を行使するという要求をお客様が満たすことができるようにします。 Citrix はお客様の対応を支援するために合理的な支援を提供するものとします。

Citrix がデータ主体から、適用されるデータ保護法に基づき 1 つまたは複数のデータ主体の権利を行使するという要求を直接受けた場合、Citrix は法令により禁止されていない限り、かかるデータ主体をお客様に案内するものとします。

9. セキュリティ

Citrix は、個人情報の誤用、偶発的または違法な破壊、喪失、改変、不正な開示またはアクセスから個人 情報を保護するように設計された適切な管理、技術的および組織的対策を実施、維持するものとします。かかるセキュリティ対策は、xxxxx://xxx.xxxxxx.xxx/xx-xx/xxx/xxxxxxxxx/xxxxxx-xxxxxxxx-xxxxxxxx-xxxxxxx.xxxx で 参照可能な Citrix サービスセキュリティ別紙に記載されています。 Citrix は、かかるセキュリティ対策を 継続的に強化および改善するため、ここに記載されているセキュリティ対策の内容を変更する権利を有 すものとします。 いかなる変更も、本サービスの期間中においてセキュリティレベルを低下させるもの ではありません。

Citrix の従業員は、適切な機密保持契約によって拘束され、定期的なデータ保護トレーニングを受け、

Citrix の企業プライバシーおよびセキュリティに関するポリシーならびに対策を遵守する必要があります。

10. 個人データ侵害

Citrix は、Citrix の所有、保管、または管理下にある個人データを含む個人データ侵害に気付いた場合、遅滞なくお客様に通知するものとします。 かかる通知は少なくとも以下を満たすものとします。 (i) 関連するお客様のデータ主体のカテゴリと概数、関連する個人データ レコードのカテゴリと概数を可能な限り含む、個人データ侵害の性質を記載します。(ii) データ保護責任者またはより多くの情報を取得できるその他の担当者の氏名および詳細情報を含みます。(iii) 起こりうる悪影響を低減させるための措置を含め、個人データ侵害に対処するために講じられた措置または講ずるように提案された措置を記載します。 お客様は、声明書または個人もしくは監督機関への求められる通知の内容について Citrix と調整を図るものとします。

11. お客様の指示と情報および支援の提供

お客様は、データ管理者およびデータ処理者として、適用されるデータ保護法に基づく義務をお客様と Citrix が果たすために必要な個人データの処理に関連して、Citrix に追加の指示を提供できるものとします。 Citrix は、お客様の指示に追加料金なしで従います。ただし、お客様の指示により、本契約に基づく本サ ービスの範囲に含まれる以上の費用が Citrix に課せられる場合、両当事者は、追加費用を決定するために 誠意をもって交渉することに同意するものとします。 Citrix は、お客様の指示が適用されるデータ保護法 に矛盾すると信ずる場合、迅速にお客様にその旨を報告するものとします。ただし、Citrix は、お客様に よる個人データの処理を独立して検査または検証する義務はないものとします。

Citrix は、適用されるデータ保護法に基づくお客様の義務、さらに本 DPA に明記されているお客様の義務をお客様が遵守できるよう支援するために合理的に必要な情報をお客様に提供するものとします。これには (処理の特性および Citrix が利用できる情報を考慮に入れた) 適切なデータセキュリティ対策の導入、データ保護影響評価の実施、監督当局への問い合わせなどの EU 一般データ保護規則に基づく Citrix の義務も含まれますが、これに限定されません。

12. 個人データの返却と削除

Citrix は、本サービスの提供終了後、すべての個人データを返却する、またはお客様が当該個人データを取得できる機会を提供し、かつ既存のコピーを削除するものとします。 クラウド サービスについては、お客様は、本契約が終了してから 30 暦日後まで、お客様の個人データをダウンロードできるものとし、ダウンロード用のアクセス方法については、お客様は Citrix テクニカルサポートに問い合わせるものとします。この目的において本サービスの終了から 30 暦日以内にお客様が Citrix テクニカル サポートに連絡しなかった場合、お客様が個人データにアクセスできない状態になった時点で直ちに Citrix がお客様の個人データを削除するものとします。ただし、(i) 通常業務でバックアップが削除されている、および (ii) 適

用される法令によりデータ保持が要求されている場合は例外となります。 (i) または (ii) のいずれかの場合、当該データが削除されるまで、Citrix は引き続き本 DPA の関連条項に準拠するものとします。

13. 監査

前述の第 11 項に基づいてお客様が要求する Citrix の情報が、適用されるデータ保護法に基づくお客様の 義務を満たさない場合、お客様は、Citrix によるお客様の個人データの処理に対する監査を年に 1 回、ま たは適用されるデータ保護法により必要とされる回数まで実行できるものします。 監査を要求する場合、その 3 週間前に、お客様は Citrix に 詳細な監査計画を提出する必要があります。Citrix は、書面による最 終計画に合意できるように誠意をもってお客様に協力するものとします。 当該監査により発生する費用 はお客様が支払うものとします。また、監査は通常営業時間内に行われるものとし、Citrix の業務に支障 がないようにし、Citrix のセキュリティ規則および要件に従うものとします。 監査前に、Citrix は合理的 に要求される情報、およびお客様の監査義務を満たす関連証拠をお客様に提供するものとし、お客様は 独立監査を実施する前に、かかる情報の検証を行うものとします。 要求される監査範囲に、適格の第三 者監査人によって 12 カ月以内に Citrix に提出された監査報告書と重複する期間が含まれていた場合、そ れに応じて当該監査範囲を短縮することに当事者は合意するものとします。

お客様は、Citrix との契約において第三者監査人に監査を依頼できるものとし、これは不合理に留保されないものとします。 第三者監査の前に、かかる監査人は適切な機密保持契約を Citrix と締結する必要があります。 第三者が、適用されるデータ保護法によって Citrix を直接監査できる監督当局である場合、 Citrix は適用される法令に従って当該監督当局と連携して、合理的な支援を提供するものとします。

適用されるデータ保護法によって禁止されていない限り、お客様は、最終報告書のコピーを Citrix に提供し、本契約 (またはお客様と Citrix との間で締結した機密保持契約) の条項に従ってこれらを機密情報として扱い、本契約、本 DPA、および適用されるデータ保護法への Citrix の遵守を評価する目的でのみ使用するものとします。

14. データ保護責任者

お客様は、Citrix Systems, Inc. (15 Network Drive, Burlington MA 01803 USA) の Citrix グローバルデータ保護責任者に問い合わせることができます。 データ保護責任者を指定している場合は、本サービスの発注書に当該データ保護責任者の連絡先情報を含めることができます。

15. 契約期間

本契約は本サービスの購入日をもって有効となります。