本契約への同意は本サービスの利用条件であり、利用者は、本サービスのご利用をもって、本契約を遵守することに同意していただいたものとみなされます。「同意する」をク リックすることにより、利用者は、Merlin.netの利用に本契約が適用されることを明確に承諾し、これに同意していただいたものとみなされます。Merlin.n etを利用する利用者本人またはその代理人が本契約に同意できない場合は、「同意する」をクリックせず、Merlin.netをご利用にならないでください。
本契約は、Xxxxxx.xxx™ 患者ケアネットワークと共に提供される本サービス(以下に定義)に適用されます。
重要 – 先に進む前に、以下の契約本文と併せて、契約内で参照されている文書をよくお読みください。本書は、利 用者とxxxxとの間で締結される法律文書です(「利用者」と「アボット」の意味は以下に定義)。本契約は本サービスの利用に適用されるため、本サービス(以下に定義)のご利用前に本契約をよくお読みください。
本契約への同意は本サービスの利用条件であり、利用者は、本サービスのご利用をもって、本契約を遵守することに同意していただいたものとみなされます。「同意する」をクリックすることにより、利用者は、Xxxxxx.xxxの利用に本契約が適用されることを明確に承諾し、これに同意していただいたものとみなされます。Xxxxxx.xxxを利用する利用者本人またはその代理人が本契約に同意できない場合は、「同意する」をクリックせず、Xxxxxx.xxxをご利用にならないでください。
本契約に同意し、Xxxxxx.xxxを利用することにより、その者は、自ら、または本契約に法的に拘束する権限を有している他者に代わりその同意を行っていることを宣言したものとみなされます。利用者が所属し、雇用され、または契約している法人、提携先、病院、国民保健サービス機関またはその他の事業体(以下「クリニック」)を代理して、またはこれらの事業体の利益のためにXxxxxx.xxxへの同意と利用を行う場合、利用者は、自ら本契約に同意すると共に、当該クリニックの代理として本契約に同意するものとし、さらに、利用者が当該クリニックを本契約に拘束する権限を正当に与えられていることを表明し、保証するものとします。
利用者またはその代理人が発行した発注書等の文書に記載される規定であって、本契約にない条件を加える規定、本契約と相反する規定、または本契約を置き換え、拒絶し、変更し、もしくは反対申込みを行う趣旨の規定は、明 確に拒絶され、無効となります。
「including」、「include」、「in particular」、「for example」またはその他同種の語句が用いられる場合、それに続く文言は例示と解釈され、その包括的用語の一般性は制限されないものとします。本契約の見出しは利用者の便宜を図る目的でのみ記載されており、各条項を制限、定義または完全に説明するものではありません。
1. 運営会社について:Xxxxxx.xxxは、アボットが運営するサイトです。
2. 主な用語:本契約において、以下の用語は次の意味を有します。
システム管理者。クリニックIDの作成、管理、維持管理を行うためにクリニックがシステム管理者IDを付与した
Xxxxxx.xxxのシステム管理者。
本契約。本書に記載される契約条件および本契約で参照されている文書(xxx.xxxxxx.xxxまたはアボットが提供したその他のURLに掲載される更新情報を含む)。
データ保護法。EU、スイスおよび英国の一般データ保護規則(以下「GDPR」。その後の改正・置き換えを含む)や各国の関連実施規則など、個人データのプライバシー、機密性、安全性、医療秘密、完全性および保護に関連するすべての適用法、規則、規制、指令および政府要件。
本件データ。モニターを通じてデバイスから収集され、本サービスにアップロードされる患者データ・情報、および、本サービスを通じて利用者から送信されるデータ。
デバイス。アボットまたはその子会社もしくは系列会社が販売した、Xxxxxx.xxx™ PCN対応の植込み型心臓用デバイス。
コマンド。利用者が本サービスに直接送信する、または利用者が自身に代わり送信することをアボットに指示したコマンドやパラメーターであって、特定の患者のデバイスに対するモニタリングや管理を支援するためにモニターに送られるもの。なお、コマンドは本件データには当たりません。
厳格なサイバーセキュリティ要件。サイバーセキュリティ指令(指令(EU)2016/1148)、委員会実施規則(規則
(EU)2018/151)、各国の適用実施規則、2018年ネットワーク・情報システム規則(SI 506/2018)など(これらのその後の変更・更新を含む)、ネットワークや情報システムのセキュリティおよびセキュリティ侵害やインシデントの報告義務に関連して利用者または利用者のユーザーに適用されるすべての法令、規則、規制、指令および政府要件、国際基準ならびに業界や公的機関の制度や制裁。
ロケーション。利用者が本サービスを受ける、または本サービスが実施される場所。例えば、「利用者のロケーション」という場合、患者が治療を受ける治験実施施設を含みます。「アボットのロケーション」という場合、アボットの施設のほか、アボットが本サービスを実施するその他の場所を含みます。
Xxxxxx.xxx のプライバシーに関する通知。 xxxxx://xxx.xxxxxxxxxxxxxx.xxxxxx/xxx/xx/xxxxxxxx/xxxxxx- net.html に掲載されるプライバシーに関する通知。
モニター。本サービスで本件データの送信やコマンドの送受信を行うため、またはクリニックやユーザーによる患者のデバイスに対するモニタリングや管理を支援するために、何らかの形で使用される電子機器やアプリケーション。モニターには携帯型の機器もあり、スマートフォン、タブレット、卓上送信機といった患者や医療関係者が使用する電子機器などが該当します。そのほか、患者用モバイルアプリがインストールされているハードウェアもモニターに該当します。モニターには、アボットが提供やサポートを行うものと、そうでないものがあります。
患者。クリニックやユーザーが本サービスを介してモニタリングや管理を行うアボットデバイスを使用している患者。
患者用モバイルアプリ 患者によるデバイスの使用に関連して、アボットが提供し、モニターとして使用されるモバイルアプリケーション。
本サービス。xxx.xxxxxx.xxxまたはその他のURL( アボットが利用者に通知した場合) からアクセスできる Xxxxxx.xxx PCN(以下「Xxxxxx.xxx」)に関する本契約の下で、アボットが利用者に提供するオンラインやその他のサービスおよびハードウェアであって、デバイスのサポート、技術サポート・保守、教育訓練、患者の教育や支援
(デバイスと本サービスを利用できるモニターとの非接触型リモートペアリングなど、Xxxxxx.xxxでのリモートモニタリングのセットアップやアクティベーションを含む)、デバイス関連データの収集やホスティング、報告、特定のデバイス関連情報の解釈や分析の支援(要請された場合)などを行うために利用されるもの。本サービスの一環として、アボットは、利用者の指示と許可を受け、患者の登録後、利用者に代わり患者に直接連絡を取り、モニターのセットアップ、モニターの操作またはXxxxxx.xxxへの接続に関してオンラインや電話でサポートを行ったり、別個のモニターを発送したり(必要かつ可能な場合)することがあります。本サービスでは、患者の登録を円滑に進めるため、 Xxxxxx.xxxへの特定のログイン情報をアボットに提供するよう求められる場合があります。患者に植え込まれるデバイスによっては、本サービスを利用することで、利用者が行った薬物の調整について患者に伝えたり、その他の治療変更を行ったりすることが可能です。本サービスには、アボットから患者への医学的助言や支援の提供は含まれません。本サービスはアボットまたはその販売代理店が提供するアボットデバイスのサポートを唯一の目的としています。
ユーザー。いずれかのクリニックに所属し、そのクリニックからXxxxxx.xxxのアクセスと使用を行うためのユーザー認証情報を付与された医療提供者・医療従事者、医師(および、これらの正当な代理人や被指名者)またはその他の者。
アボット。「アボット」とは、本契約の一方当事者であり、第37条に記載されるアボットグループ会社を指します。当該アボットグループ会社から他のアボット系列会社に本サービスの提供や実施が委託される場合があります。
「当事者」とは、利用者およびその利用者のロケーションを担当する当該アボットグループ会社を意味します。利用者。クリニック、システム管理者、ユーザー。
3. Xxxxxx.xxxサービスの説明:本サービスは、利用者による患者の本件データやデバイスに対するモニタリング や管理を支援すると共に、データを互換性のある電子カルテシステムにエクスポートすることを目的としています。本サービスの利用には、インターネット、通信システム、外部のサービスプロバイダー、プラットフォーム、ソフトウェア、モニターへのアクセス(これらはアボット以外の者から提供される場合があります)が必要です。xxxxは、第三者 による履行、履行遅滞、過失、本件データの破損や紛失、不履行について、いかなる責任や賠償責任も負い ません。本サービスを利用することで、クリニックは患者のデバイスに関する特定の情報をクリニックのロケーションか らリモートで収集することができ、また、利用可能かつ承認を受けている場合は、ユーザーが患者のデバイスをリモ ートで調整することができます。
4. サービスへのアクセス:Xxxxxx.xxxの臨床に関する部分にはユーザーだけがアクセスできます。Xxxxxx.xxxのユーザーには所属先のクリニックからユーザーIDが付与されます。どのユーザーも、Xxxxxx.xxxへの登録にあたり、パスワードを設定する必要があります。ユーザーは、個人の連絡先情報を提供すると共に、自身の情報を常に最新の状態に保たなければなりません。ユーザーIDとパスワードは電子署名となり、Xxxxxx.xxxへのアクセス認証に
使用されます。Xxxxxx.xxxにログオンすることで、ユーザーはXxxxxx.xxxの非公開部分を利用できます。Xxxxxx.xxxにログオンしない場合、ユーザーがアクセスできる範囲はXxxxxx.xxxの公開部分に限定されます。利用者は、ユーザーID、パスワードおよびアボットのセキュリティ手順に関するその他の取得情報を機密情報として扱わなければならず、いかなる第三者にも開示してはなりません。アボットは、利用者が本契約のいずれかの条項に違反していると判断した場合、ユーザーIDをいつでも無効にする権利を有します。Xxxxxx.xxxを利用する際は、本契約の規定に準拠して利用しなければなりません。Xxxxxx.xxxが違法または不正に利用された場合は、本契約の違反とみなされます。本契約や適用法に違反してXxxxxx.xxxにアクセスすることはできません。利用者は、自身と患者の本件データを正確、最新かつ完全に保つことに同意するものとします。利用者は、患者の治療に使用する目的または患者の電子カルテに追加する目的に限り、Xxxxxx.xxxからページの抜粋を印刷またはダウンロードできます。フランスのユーザー:フランスのユーザーは、フランスのPro Santé Connectなど、フランスの医療従事者に向けて提供されている特定のツールを使って接続を行える場合があります。以下の条項「安全対策」を参照してください。
5. コンテンツ:Xxxxxx.xxxは、特定のアボットデバイスの利用やサポートのみを目的としています。利用者は、 Xxxxxx.xxxと本サービスが利用者による患者の治療の向上を目的として提供されていることを了解し、これに同意すると共に、Xxxxxx.xxxと本サービスが利用者の専門的判断や患者に対する責任に置き換わるものではないことを了解するものとします。別段の定めがある場合を除き、Xxxxxx.xxxは情報提供を唯一の目的としています。 Xxxxxx.xxxに掲載されている医療情報コンテンツは、医療従事者から提供された情報と患者から送信されたデバイス関連データを基に作成されています。Xxxxxx.xxxに掲載されている医療情報コンテンツは、患者特有の助言やそのような助言に代わるものとなることを意図しておらず、そのように捉えたり、解釈したりしてはなりません。 Xxxxxx.xxx上の医療情報コンテンツは最新ではない可能性があります。Xxxxxx.xxx上の医療情報コンテンツはユーザーから取得した情報や患者から送信されたデバイス関連データを基にしているため、アボットは、そのような医療情報コンテンツを更新する義務を負いません。
コマンド、本サービスを通じて表示されるデータやその他の情報への利用者の依拠、およびかかるデータやその他の情報に関連して利用者が行った決定については、利用者が単独で責任と賠償責任を負うものとします。アボットは、かかるコマンドおよび本サービスを通じて提供される情報への利用者の依拠について、一切の責任と賠償責任を負いません。アボットの担当者は、本件データの内容、意味または起こり得る結果について、患者に伝達する権限を有していません。
6. Xxxxxx.xxxと本サービスにおける禁止行為:アボットは、利用者が本契約のいずれかの適用規定に違反していると判断した場合、ユーザーIDをいつでも無効にする権利を留保します。Xxxxxx.xxxを利用する際は、以下に定める禁止事項を遵守しなければなりません。法令で義務付けられる場合、ユーザーは、あらかじめ患者本人に十分な情報を提供した上で自由意思での明確な同意を得ない限り、Xxxxxx.xxxに患者を登録したり、患者のプロファイルを作成したりしてはなりません。利用者は、本サービスやXxxxxx.xxxを利用して以下を行わないことに同意するものとします。
(i) いずれかの人物(未xx者を含む)に危害を加えたり、加えようとしたりすること、または、本人から事前に同意を得ることなく(同意の取得が適用法で義務付けられる場合)、また、その権限を有していないにもかかわらず、患者やその他の人物に関するデータを収集、保存、アップロードすること。
(ii) 広告など未承諾の販促物を送信すること、または、Xxxxxx.xxxをフレーム化したり、リンクを張ったりすること(アボットがフレーム化やリンクを書面で明確に許可している場合を除く)。
(iii) 本契約で明確に規定される場合または本サービスを利用者の電子カルテシステムと統合することについ て、あらかじめアボットから書面による承認を得ている場合を除き、アボットから事前に書面による承認を得ることなく、本サービスから入手した、または本サービスに関する資料、文書またはその他の情報を複製、模造、転載、アップロード、投稿、送信、エクスポートまたは頒布すること(ただし、適用法により制限する ことが禁止されている行為を除く)。
(iv) 違法な方法で利用すること、または、法令、規則、条例または規制に違反すること。
(v) 別段の許可を得ている場合または患者の電子カルテで使用する場合を除き、医療情報コンテンツを使用、再販売、再頒布、放送または移転しようとしたり、検索機能を搭載した機械可読データベースで Xxxxxx.xxxに由来する医療情報コンテンツを使用したりすること。
(vi) Xxxxxx.xxxのプライバシーに関する通知等に違反して、ユーザーや患者に関する個人情報を収集すること。
(vii) Xxxxxx.xxxや本サービスの通常動作を損ない、妨げ、または制限したり、システム、本件データまたは個人情報を不正に傍受または奪取したりすることを目的とするウイルス等のコンピューターコード、ファイルまたはプログラムが組み込まれたものをアップロードし、投稿し、メール送信し、送信し、保存し、またはその他の方法で利用可能な状態にすること。
(viii) Xxxxxx.xxxを妨害し、または中断させること( スクリプトやWebクローラーといった自動的手段による Xxxxxx.xxxへのアクセスを含む)、本サービスと接続しているサーバーやネットワークを妨害し、または中断させること、Xxxxxx.xxxと接続しているネットワークの方針、要件または規制を妨害し、または中断させること
(Xxxxxx.xxx上のデータやトラフィックの使用またはモニタリングに対するxxのアクセスを含む)、そのほか、 Xxxxxx.xxxの正常動作や他者によるXxxxxx.xxxの利用を妨げるデバイス、ソフトウェアまたはルーチンを使用すること。
(ix) 法的または規制上の理由で必要な場合または患者の治療に役立てる場合を除き、アボットから事前に同意を得ることなく、本サービスやXxxxxx.xxxの機能やパフォーマンスに関する情報を第三者に開示すること、または、アボットに対する損害、評判の低下またはその他の悪影響が生じ得る方法でXxxxxx.xxxを利用すること。
(x) 本サービス、モニターまたは本サービスを構成するソフトウェア、ハードウェア、コンポーネントもしくはその他の構成要素について、二次的著作物を作成し、他のコンピューターシステムやプログラムと統合し、リバースエンジニアリングを行い、逆コンパイルを行い、または逆アセンブルを行うこと。
(xi) 上記の禁止行為に関連して、Xxxxxx.xxxや本サービスの他の関係者の個人情報や、デバイスを使用している患者の個人情報(医療情報を含む)を収集し、保存し、またはアップロードすること。
(xii) 第三者の知的財産権を侵害すること(例:自身がアップロードする権利を有していないコンテンツをアップロードする)。
本契約に違反してXxxxxx.xxxの構成要素を印刷、複製、転載またはダウンロードした場合、利用者は、自身が作成した無許可の生成物をすべて破棄しなければなりません。
7. 商標:Xxxxxx.xxx™ PCNおよび関連ブランドは、アボットおよび全世界の法域に所在するアボットの関連会社が所有する商標およびサービスマークです。その他の商標はそれぞれの所有者に帰属する財産です。明示に も黙示にも、上述の商標に関するライセンスや権利が利用者に付与されることはありません。上記の内容に加え、利用者は、Xxxxxx.xxx™ PCNや本サービス内に掲示または含まれる所有権通知(商標権表示、著作権表示な ど)を除去、不明瞭化、改変しないことに同意するものとします。アボットの製品やサービスを識別することを目的 とする場合を除き、アボットから事前に書面による許可を得ない限り、アボットのロゴ、サービスマーク、商標、商号またはトレードドレスを使用することはできません。
8. 所有権:利用者は、Xxxxxx.xxx、本サービスおよびモニター(アボットが提供するもの)に関連およびこれに付随するすべての法的権利、権原および権益(著作権、特許権、営業秘密権、商標xxのあらゆる知的財産権を含む)がアボットまたはそのライセンサーに帰属することを了解し、これに同意するものとします。これには、登録の有無や存在する国・地域にかかわらず、デザイン、グラフィック、ユーザーインターフェース、ページのヘッダー、画像、イラスト、オーディオクリップ、テキスト、スクリプト、Xxxxxx.xxxの実装に使用されるデータベース構造やソフト ウェア、および本サービスの一環として、または本サービスに関連して利用者に提供されるソフトウェアや文書、な らびにそれらに伴うすべての知的財産権を含みます(ただし、これらに限定されない)。さらに、利用者は、 Xxxxxx.xxx、本サービスおよびモニターに知的財産法等の適用法で保護される専有・機密情報(著作権など) が含まれることに同意するものとします。利用者は、本契約に従ってXxxxxx.xxxおよび関連する本サービスの利用 のために使用する場合を除き、そのような専有情報および専有物を使用しないことに同意するものとします。本契約で明確に許可される場合または適用法で許容される場合を除き、形式や手段にかかわらず、Xxxxxx.xxxや本サービスの全部または一部を転載することはできません。Merlin.netから、製品・デバイスの識別情報、著作権表示、所有者による制限を除去してはなりません。利用者は、本サービスが利用者にライセンスされるものであり、販売されるものではないこと、本契約に基づき、アボット、そのライセンサー、系列会社およびサプライヤーが、利
用者に対し、Merlin.netを利用するための非独占的、サブライセンス不能かつ移転不能なライセンスを付与すること、および、利用者によるMerlin.netの利用にはアボットの外部委託先の規則や方針も併せて適用されることについて、明確に了解し、同意するものとします。したがって、利用者は、アボットまたはそのライセンサーからユーザーに対し、Merlin.netに関連する所有権もしくは財産権、知的財産権またはその他の技術、情報もしくは有形・無形物が移転しないこと、および、当事者間の関係において、Merlin.net、知的財産権およびその他の技術、情報および有形・無形物ならびにこれらのすべての複製および改変物(作成者や作成時期を問わない)に関連および付随するすべての権利、権原および権益の所有権がアボット、その系列会社、サプライヤーおよびライセンサーに独占的に帰属することについて、同意するものとします。本契約で明示的に付与されていない権利はすべてアボットまたはそのライセンサーに帰属します。上述の規定が無効とされる国/州/地方/法域を除き、アボット、その系列会社およびサプライヤーが本条の内容および関連する権利を行使することについて、本契約により承認されるものとします。
9. フィードバック:利用者から送られるデータ、コメント、制作物のほか、サポートを受けるため、または本サー ビス、モニターまたは本サービスを構成するソフトウェア、ハードウェア、コンポーネントもしくはその他の構成要素の改善や改修のために利用者がアボットに送信や提供を行った、問い合わせ、意見、提案といったフィードバックデータなどのアイデア、情報、コンセプト、ノウハウ、テクニックまたは内容(以下、「フィードバック」)は、いずれも機 密・専有情報とはみなされません。アボットは、フィードバックに関していかなる義務も負わず、Merlin.net等を通じてフィードバック(そのフィードバックに含まれ、以下の条項「ライセンス」の対象となる本件データと個人情報を除く)の転載、使用、開示、展示、表示、移転、二次的著作物の作成、頒布を自由に行うことができ、また、すべてのフィードバックは、それを提供した利用者への報酬を要せず、アボットの独占的な財産となり、アボットが任意の目的で使用できます。さらに、アボットは、フィードバックを組み込んだ製品の開発、製造、販売といった任意の目的で、そのフィードバックに含まれるアイデア、コンセプト、ノウハウ、テクニックを自由に使用できるものとします。スウェーデンに所在するユーザーの場合、これにはフィードバックの改変や修正を行う権利を含みます。利用者は、発明のアイデアの開示について明確に定めた別個の契約をアボットと締結しない限り、発明のアイデアをアボットに開示してはなりません。利用者はまた、法的に許容される範囲で、フィードバックに関するすべての著作者人格権を放棄するものとします。
10. ライセンス:Merlin.netに対し、または本サービスを介して利用者から送信や提供が行われた個人情報に ついて、アボットが所有権を主張することはありません。利用者が個人情報をアボットに開示した場合、それをも って、利用者は、アボットが本サービスをその利用者に提供する義務を負う期間、本サービスを提供する目的で当該データを使用し、頒布し、転載し、修正し、翻案し、公開し、および翻訳するための世界全域で有効、ロイヤリティフリーかつ非独占的なライセンスをアボットに付与したものとみなされます。アボットは、研究目的のため、本サービスの提供方法を評価するため、本サービスの利用状況や各種のコンポーネントや機器を評価するため、臨床スタッフやクリニック全体に対する効果や影響を評価するため、Merlin.netやデバイスの機能を強化するため、 Merlin.netやモニターのアップグレードを検証するため、および製品開発や医療機器の品質・安全性に関する目的のため、本サービスに由来する集約データ、匿名化データ、非特定化データ(また、利用者の所在地の法令 により許容される場合は、仮名化データ)を作成し、アクセスし、保持し、使用し、または第三者に開示すること ができます。利用者は、本契約のライセンスにより、アボットがこれらの行為を許可されることに同意するものとします。個人情報がアボットによる本サービスの提供を支援する第三者サプライヤーに提供される場合、そのサプライ ヤーは個人情報の秘密保持と安全性の確保を行う義務を負い、そのサプライヤーが使用できる個人情報は必要最小限の範囲に限定されます。
11. アボットによる本サービスの提供:アボットは本契約に準拠して本サービスを提供します。(a) 計画的または計画外のダウンタイム、保守、改修または停止により、または (b) 天災、政府の行為、洪水、火災、地震、市民の暴動、テロ行為、ストライキ等の労働問題(アボットの職員が関与しているものを除く)、インターネットサービスプロバイダーの障害・遅延、外部のプラットフォーム、サービスまたはソフトウェアストアやアプリケーションストアの障害・遅延、本サービスに関連して患者が使用する第三者提供のモニターの障害・遅延、DoS攻撃など、アボットの合理的な制御を超える事情(ただし、法的に認められるものに限る)により、本サービスが利用できなくなる場合があります。
ライアントアカウントの処理を担当するサービス担当者または販売代理店にお問い合わせください。アボットは商業上合理的な努力を払って、重大な変更を行う前に利用者に通知し、適用法で義務付けられる場合はその変更について利用者に同意を求めます。本サービスのアップグレードや緊急アップグレードは随時行われる可能性があり、その実施中、アボットによる本サービスの提供が不可能になる場合があります。合理的に必要な場合、本サービスが利用できなくなる前に、アボットから利用者に通知します。
アボットは、本サービスを介して送信された本件データとコマンドを適切に維持管理し、ウイルス等の不具合がない状態で利用者がそれらを利用できるよう、商業上合理的な努力を払います。
利用者は、かかる商業上合理的な努力の範囲を超える本件データまたはコマンドの形式、可用性、正確性、適時性または内容について、アボットがいかなる責任や賠償責任も負わないことに同意するものとします。
アボットは新品または再生品のモニターを提供できるものとし、法規制に基づくすべての黙示的な保証、条件およびその他の規定は、法令により許容される最大限の範囲で本契約から排除されるものとします。
12. クリニックの義務:本サービスを受ける条件として、クリニックは以下に同意するものとします。
(i) クリニックは、自己の職員、代行者、受託者、代理人およびクリニックのその他の人物ならびにクリニックのロケーションで本サービスを利用することを許可された各ユーザーを監督し、管理し、および教育訓練を行って、適切な利用とセキュリティを確保する責任を負います。クリニックは、自己のロケーションで本サービスにアクセスできる者を、正当に権限を与えられたユーザーに制限しなければなりません。クリニックのユーザーによる (a) 本サービスの利用、(b) 本契約の遵守状況、および (c) クリニックのユーザーにより引き起こされ、またはクリニックのロケーションで発生したセキュリティ侵害の結果について、その責任はクリニックに帰属します。
(ii) クリニックは、随時作成・実行される本サービスの手順、ガイドライン、更新および変更に従わなければなりません。
(iii) クリニックは、本サービスのすべてのユーザーによる本契約、ユーザーマニュアル、更新および適用法規制の遵守を確保しなければならず、これらの不遵守が生じた場合は、クリニックが単独で責任と賠償責任を負います。
(iv) クリニックとユーザーは、本サービスで不具合や問題を発見した場合、速やかにアボットに報告しなければならず、その問題の解決においてアボットに全面的に協力しなければなりません。
(v) クリニックは、本サービスに関連するセキュリティインシデントや個人データ侵害を発見した場合、またはそれらが合理的に疑われる場合、速やかにアボットに報告しなければならず、その侵害への対処においてアボット、法執行機関またはその他の関連取締機関に全面的に協力しなければなりません。
(vi) アボットから合理的な通知を受けた場合、クリニックは、アボットがサービスやサポートを行えるよう、技術サービスやサポートの場合は通常の営業時間中、また、重要なサービスやサポートの場合はその他の時間帯にも、アボットがクリニックのロケーションを利用できるようにしなければなりません。
(vii) クリニックは、本サービスがクリニックによる患者の治療の向上を目的として提供されていることを了解し、これに同意すると共に、本サービスが利用者の専門的判断や患者に対する責任に置き換わるものではないことを了解するものとします。
(viii) クリニックは、本サービスを利用するにあたり、本件データを適時にレビューし、フォローアップとして適切な医療を患者に手配し、必要に応じて患者のモニタリングをスケジューリングするなど、患者に医療を提供する責任を負います。
(ix) クリニックは、ユーザーによる本サービスの利用に必要なインターネット接続、コンピューター機器、消耗品、サードパーティ製ソフトウェアおよび人員を確保し、それを維持する責任を負います。本サービスでは、すべ ての機能を利用するため、提携関係にない第三者から提供されているソフトウェア(例:Webブラウザ、 Adobe PDFビューア)(以下「サードパーティ製ソフトウェア」)の使用が必要となる場合があります。クリニッ クによるサードパーティ製ソフトウェアの使用には、そのサードパーティ製ソフトウェアの提供元が定めている規約が適用され、クリニックは、そのような規約を遵守しなければならず、有料の場合は、そのサードパー ティ製ソフトウェアの使用料を支払わなければなりません。アボットは、サードパーティ製ソフトウェアに関す るあらゆる責任、保証および賠償責任を否認します。
クリニックは、ユーザーIDが付与され、本件データの取扱いを許可されるすべての者について、秘密保持を約束しており、契約上の秘密保持義務を負っていること、または適切な法定の秘密保持義務を負っていることを確認しなければなりません(以下「データ秘密保持」)。すべてのユーザーは、このデータ秘密保持の義務を遵守することに同意するものとします。
法的、規制上または認定上の理由で必要な場合または患者の治療に役立てる場合を除き、アボットから事前に同意を得ることなく、本サービスの機能やパフォーマンスに関する情報を第三者に開示してはなりません。
13. 相互の義務:利用者とアボットは、本サービスに関連して問題や不具合が生じた場合、協力してその解決を図らなければなりません。利用者とアボットはそれぞれ、本サービスの利用に適用されるすべての法令、規則および規制を遵守することに同意するものとします。
14. 秘密保持:クリニックとアボットはそれぞれ、機密または専有情報として指定された相手方の情報を自己の機密・専有情報と同じように保護しなければならず、そのために商業上合理的な措置を講じなければなりません。各当事者は、本契約で許可されており、本サービスに関連する場合のみ、相手方の機密・専有情報を使用しなければなりません。本契約の違反なく公知となった情報、すでに周知されている情報、情報を受領する側の当事者が本契約に関係なく独自に開発した情報、および情報を開示する権利を有する第三者から正当に取得した情報は、機密情報とはみなされません。
15. アボットによるコンテンツとデータの使用:利用者は、アボットが医療機器製造業者として品質、安全性および市販後監視に関する特定の法的義務を負っていること、および、その法的義務により、アボットがMerlin.netに含まれる、またはモニターやデバイスに関するサービス関連データを以下の目的で使用するよう求められる場合があることを了解するものとします。
(i) 医療機器およびシステムの品質、安全性および効果を高めるため、および心臓関連の病状に対する革新的で効果的な治療の開発を可能にするため。
(ii) Merlin.netサービスの機能やアップグレードを検証するため(サービスの安全性やセキュリティの監視・改善を含む)。
(iii) 法的請求の確立、行使または防御に必要な場合、または適用法により義務付けられる場合。
(iv) 本サービスまたはデバイスが医療費償還の対象である場合、またはその他の社会保障、社会保険または公的資金の対象である場合。
16. データプライバシーに関する利用者の義務:クリニックは、本サービスの利用に関連してアボットが個人情報を取り扱うことについてユーザーと患者に通知しなければならず、この通知を行うことに同意するものとします。本サービスへの患者の登録に関して、クリニックとそのユーザーは、あらかじめクリニックがMerlin.netのプライバシーに関する通知を提供している患者のみを登録しなければならず、さらに必要な場合は、事前同意を取得しなければなりません。同通知は、https://www.cardiovascular.abbott/int/en/policies/merlin-net.html からご確認いただけます。適用法により、異なる目的での情報の使用について患者から同意を取得することをクリニックが義務付けられる場合、クリニックは、患者の同意書の写しをアボットに提出しなければなりません。事前に Merlin.netのプライバシーに関する通知を本人に提供することなく、患者から書面による承諾または同意を取得することなく(必要な場合)、または患者がMerlin.netのプライバシーに関する通知を読んで承諾したことを確認することなく(必要な場合)、患者やその他の者に関する本件データを登録した場合、本サービスの不正利用とみなされます。アボットは、上記の条件に反して患者やその他の者に関する本件データが登録された場合など、クリニックによる本サービスの利用に関していかなる賠償責任も負いません。
17. セキュリティ:アボットは、本サービスの機密性、完全性、可用性および回復力を継続的に維持できるよう、商業上合理的な努力を払います。アボットは、本契約の期間中、ISO 27001などの情報セキュリティ基準を維持することに同意します。Merlin.netとユーザーアカウント間の通信は、SSL(Secured Socket Layer)テクノロジ ーを用いて暗号化されます。アボットは、本サービスに中断やエラーが発生しないこと、または本サービスが厳格な サイバーセキュリティ要件に準拠していることについて、保証を行いません。フランスのユーザー:Merlin.netは、フラ ンスの健康データホスティング(HDS)要件に基づく認証(以下「HDS認証」)を受けており、フランスのデジタルヘル ス庁(ANS)が採択した相互運用基準を採用しています。以下の条項「安全対策」を参照してください。
日本に所在するユーザー向け:アボットは、「医療情報システムの安全管理に関するガイドライン」に基づき、医療情報の保護に関する責任がクリニックに帰属すると解釈しており、医療情報システムに関する患者や監督機関への説明責任、システムの安全管理状況の確認、安全管理責任の明確化など、クライアントが義務を果たすために合理的に必要な支援を行います。
ポーランドに所在するユーザー向け:アボットは、国家サイバーセキュリティシステム法に基づき、クリニックが主要サービスの事業者とみなされる可能性があると解釈しており、セキュリティリスクの推定、セキュリティリスクに関する情報収集、インシデント管理など、クライアントが義務を果たすために合理的に必要な支援を行います。
18. マーケティング:本サービスのユーザーから提供された情報コンテンツは、アボットが利用者に送信する電子メールやSMSのパーソナライズやターゲティングに用いられることがあり、これらは利用者(ユーザー)に合わせたサービスの改善に使用されます。Merlin.netにアクセスしたことにより、訪問者やユーザーがアボットからマーケティングの勧誘を受けることはなく、また、Merlin.netを通じた本サービスに関する用途以外で、アボットが情報の販売や使用を行うことはありません。
カナダに所在するクリニック向け:カナダに所在する利用者は、本契約の期間中、カナダのスパム対策法(CASL)など、スパム対策に関するすべての適用法を遵守しなければなりません。これには、利用者が自らまたはアボットに代わり商業電子メッセージ(以下「CEM」)を送信する場合や、利用者またはアボットに代わる第三者にCEMの送信を指示または許可する場合、さらには、本サービスの利用に関連してCEMを送信する際に同意を要請することなどが該当します。
19. 解約:本契約は、クリニックがシステム管理者またはユーザーを抱えている限り効力を有し、解約されるまで有効に存続します。クリニックは、30日前に書面でアボットに通知することにより、いつでも本契約を解約できます。アボットは、利用者による重大な違反が生じた場合、30日前に書面で通知することにより、本契約を解約できます。ただし、利用者が当該期間内にその違反を治癒した場合は、この限りではありません。アボットは、90日前に書面で利用者に通知することにより、いつでも本契約を解約できます。
20. 責任の除外・制限:アボットは、Merlin.netが特定の目的に適したサービスであるかどうかについて、いかなる表明も行いません。Merlin.net™ PCNは、その正確性に関するいかなる約束、条件、表明または保証もなく、
「現状有姿」で提供されるものです。法令により許容される最大限の範囲で、アボットおよびそのグループ会社は、非侵害性、商品性および特定目的への適合性に関する黙示の保証など、明示または黙示のあらゆる保証を明示的に排除し、否認します。アボットは、本サービスまたは本件データの正確性、信頼性、完全性、適時性、可用性、有用性について保証を行わず、さらに、本サービスまたは本件データに中断が発生しないことまたはエラーが存在しないことを保証しません。インターネットの絶対的な安全性を保証することは不可能であり、アボットが利用者から受け取った情報のセキュリティを確保または保証することは不可能です。アボットと顧客間で正式に締結された、Merlin.net™ PCNの利用に適用される契約条件において明示的に規定されている場合を除き、いかなる場合も、アボットおよびそのグループ会社は、契約行為、過失等の不法行為(または、違法行為)または その他の法的行為のいずれに基づくものかにかかわらず、Merlin.netの利用やパフォーマンスに起因または関連し て生じた、特別損害、間接的損害、派生的損害、または本件データの利用、本件データの利用機会の喪失、 コンピューターウイルスにより引き起こされた損失、収益の喪失や逸失利益、評判の喪失、財産の損失・損傷、第三者による請求もしくはその他のあらゆる種類・性質の損失に起因するあらゆる損害について、アボットがその損害の可能性を知らされていたとしても、一切の責任を負いません。この責任の制限の適用対象には、利用者の機器が感染し得る無効化装置やウイルスの伝播、機械、電子機器、通信回線もしくは電話の故障またはそ の他の相互接続に関する問題(例:利用者がインターネットサービスプロバイダーにアクセスできない場合)、不正 アクセス、または運用担当者のミスを含みます(ただし、これらに限定されない)。本契約のいかなる規定も、適用法に基づき除外または制限できないアボットの賠償責任を除外または制限するものではありません。
一部の法域では、派生的損害または付随的損害に対する賠償責任を除外または制限することが禁止されています。そのため、上記の制限が利用者に適用されない場合があります。また、本条のいかなる規定も、法令に基づき制限または除外できない賠償責任を制限または除外するものではありません。
21. 補償:アボットは、本契約に準拠して本サービスを利用したことに起因して、第三者からその第三者の特許権、著作権、商標権、営業秘密権またはその他の知的財産権や所有権を侵害している旨の請求または訴訟が申し立てられた場合、クリニックを補償します。ただし、この補償の条件として、クリニックは、かかる訴訟または請求についてアボットに対し速やかに書面で通知しなければならず、法的代理人を選定し、防御を管理する
権利をアボットに与えなければならず、さらに、かかる請求または訴訟の防御においてアボットに全面的に協力しなければなりません。
被補償当事者は、防御・和解を行う権利または法的代理人を選定する権利を有し、補償当事者は、自己の費用負担により、あらゆる合理的な支援を提供しなければなりません。
22. 救済:本契約の違反が生じた場合、その違反に対する調査が実施され、民事上、刑事上または衡平法上の救済措置など、しかるべき法的措置が講じられる可能性があります。利用者は、利用者の行為もしくは利用者と協力していると思われる人物の行為または利用者から提供されたユーザーコンテンツについて、アボットが独自の裁量により、本契約または適用法に違反または抵触していると判断した場合、またはアボットの権利またはアボットの系列会社、ライセンサーもしくは別のMerlin.netユーザーの権利を侵害していると判断した場合、アボットが独自の判断により、予告を要せず、利用者によるMerlin.netへのアクセスを終了させ、不正なユーザーコンテンツを削除し、その他の行使可能な是正措置を講じられることを了解し、これに同意するものとします。利用者は、金銭賠償では、本契約の違反に対するアボットへの十分な救済とならない場合があることに同意し、本契約の違反に対し、差止命令等の衡平法上の救済措置を講じ得ることを承諾するものとします。電子形式で提供される本契約および関連通知を出力した印刷物は、本契約に基づきまたは関連する司法手続や行政手続において、最初から紙媒体で作成・保管されている他のビジネス文書や記録と同等の範囲および条件で容認されるものとします。
23. 完全合意:本契約は、当事者間のすべての合意を網羅しており、本契約の主題に関する当事者間の書面または口頭による従前のあらゆる合意、約束、言質、保証、表明および了解事項を消滅させ、これらに優先し置き換わるものです。各当事者は、本契約に定めのない声明、表明、言質または保証(これらが行われたときの過失の有無を問わない)に関して、いかなる救済も得られないことに合意するものとします。各当事者は、本契約の規定に基づく過失または無過失による不実表示、または過失による虚偽表示に対し、いかなる請求も行わないことに同意するものとします。
24. 独立した契約者:クリニックとアボット間の関係は独立した契約者の関係のみであり、本契約のいかなる規定も、クリニックとアボットとの間に共同事業や合弁事業の創出を意図していません。
25. 譲渡:利用者は、アボットから書面で同意を得ない限り、本契約に基づく権利または責任を譲渡することはできません(ロケーションや医療業務の管理権または所有権の移転に伴う譲渡を含む)。アボットは、本契約に基づき、利用者と契約を締結している個人・法人が利用者に代わり特定の管理サービスを実施できることを理解しています。
26. 当事者の利益:利用者とアボットは、利用者とアボットのみが本契約の受益者であることを特に意図しています。本契約上の第三者ではない患者やその他の個人または法人は、法令に基づく別段の権利がない限り、本契約に基づくまたは関連するいかなる権利も付与されません。本契約の当事者ではない者(当事者の承継者または正当な譲受人を除く)は、1999年契約(第三者の権利)法に基づく権利を付与されず、本契約の規定を行使できません。なお、これは、同法と関係のない既存または行使可能な第三者の権利または救済に影響を与えるものでありません。
27. 存続条項:本契約の部分または約束のうち、実用的な性質により本契約の終了後も存続することが想定されるものは、本契約の終了後も存続します。
28. 不可抗力:いずれかの当事者が、天災、社会の敵、戦争、暴動、災害、嵐、地震またはその他の自然の脅威、政府の命令、法令または勧告、公共の緊急事態、ストライキ、輸送システムや通信ユーティリティの著しい削減、本契約の当事者以外の者による意図的行為など、その当事者の制御を超える事由により、本契約上の義務や目的の履行を妨げられた場合、その当事者は、相手方への書面による通知をもって、当該事由が生じている合理的な期間、その履行について免責されるものとします。
29. 権利放棄:いずれかの当事者が本契約の違反に対する権利を放棄したとしても、本契約のその他の違反に対する権利を放棄したとはみなされません。アボットが本契約のいずれかの条件について厳格な履行を求めなかったとしても、その条件の不履行やその後の懈怠または不履行に対する権利を放棄したとはみなされません。
30. 可分性:理由の如何にかかわらず、正当な管轄裁判所により本契約のいずれかの部分が無効または執行不能と判断されたとしても、本契約の残りの部分は有効に存続します。無効または執行不能と判断された部分は、その部分を有効かつ執行可能にするのに必要な限度で改定されるものとします。
31. 本サービスに関する権利の留保:本契約により明示的に付与される限定的な権利を除き、アボットは、本サービスに関連および付随するすべての権利、権原および権益(関連するすべての知的財産権を含む)を留保します。本契約に明示的に規定される権利を除き、いかなる権利も利用者に付与されません。
32. 言語:両当事者は、英語を、本契約および本契約で意図されるすべての文書の正式な言語とすることに合意します。本契約の英語版と翻訳版との間に相反する規定、相反していると思われる規定または不明瞭な規定がある場合、英語版の文言が優先します。
33. 準拠法および裁判地:
カナダに所在するクリニック向け:本契約、または本契約またはその主題もしくは成立に起因または関連して生じた紛争または請求(契約によらない紛争や請求を含む)は、オンタリオ州法および同州で適用されるカナダ法に準拠し、これらの法に従って解釈されます。各当事者は、本契約またはその主題もしくは成立に起因または関連して生じた紛争または請求(契約によらない紛争や請求を含む)について、オンタリオ州の裁判所の専属管轄権に服することに取消不能な形で同意し、さらに、同州の裁判所の管轄権を取消不能な形で承認するものとします。両当事者は、国際物品売買に関して、国際物品売買契約に関する国連条約が本契約に適用されないことをここに合意します。
34. Appleに関する通知:本条は、iOS端末で動作するアボットの本サービス関連モバイルアプリケーションのみ に適用されます。利用者は、本契約が利用者とアボット間でのみ締結され、Apple Inc.(以下「Apple」)を当事者に含まないこと、およびAppleが本サービスやその内容について責任を負わないことを了解するものとします。 iOS端末上のアプリケーションで本サービスを利用する利用者の権利は、利用者が「Apple メディアサービス利用規約」に規定される利用ルールに従って、所持または管理するApple製品でアプリケーションを利用するための移転不能なライセンスに限定されます。Appleは、本サービスに関する保守・サポートサービスを提供するいかなる義務も負いません。適用される保証に本サービスが準拠していない場合、利用者は、Appleに通知して、支払済みのモバイルアプリケーションの購入代金の払戻しを受けられます。また、Appleは、適用法で許容される最大限の範囲で、本サービスに関する保証義務を一切負いません。Appleは、(a) 製造物責任に関する請求、(b)本サービスが適用法規制上の要件に準拠していない旨の申立て、(c) 消費者保護、プライバシーまたは類似の規制に基づく請求など、本サービスまたは利用者による本サービスの所持や利用に関する利用者または第三者 の請求に対処する責任を負いません。これらの責任はすべて、本契約に基づきアボットと利用者間で割り当てられます。Appleは、本サービスまたは利用者による本サービスの所持や利用が第三者の知的財産権を侵害している旨の第三者の請求について、調査、防御、和解および債務等の履行を行う責任を負いません。利用者は、本サービスの利用にあたり、第三者の適用条件を遵守することに同意するものとします。Appleとその子会社は本契約の第三者受益者であり、利用者による本契約の承諾をもって、Appleは、本契約の第三者受益者とし て、利用者に対し本契約を執行する権利を行使できます(また、そのようなAppleの権利が承諾されたものとみ なされます)。利用者は、Appleが本サービスに関する保守・サポートを行う責任を負わないことに同意するものと します。
35. Googleに関する通知:本条は、Android端末で動作するアボットの本サービス関連モバイルアプリケーションのみに適用されます。利用者は、本契約が利用者とアボット間でのみ締結され、Alphabet Inc.(以下
「Google」)を当事者に含まないこと、およびGoogleが本サービスやその内容について責任を負わないことを了解するものとします。利用者は、Googleが本サービスに関する保守・サポートを行う責任を負わないことに同意するものとします。クリニックは、患者への医療提供のみを目的として本件データを利用することに同意するものとします。
36. 本契約の改定:アボットは、独自の裁量により、予告なく、いつでも本契約を変更する権利を留保します。 Merlin.netのユーザーは、本契約の変更内容に拘束されるため、本契約の変更を定期的に確認することが求め られます。Merlin.netをご利用になるごとに、本契約を確認することをお勧めします。改定の実施については、発効日の変更により通知されます。利用者は、かかる変更後もMerlin.netの使用を継続し、Merlin.net PCNや本 サービスへのアクセスを継続することにより、本契約の最新版を遵守すること、および本契約の最新版に拘束されることに同意したものとみなされます。利用者は、この利用規約の変更を、判読可能な形式で保存または印刷できます。
ドイツ、フランス、ポーランドに所在するユーザー向け:アボットは、独自の裁量により、いつでも本契約を変更する権利を留保します。変更を行う場合、その発効日の14日前に通知し、最新版の写しを提示します。上記の14日間のうちに利用者が本契約を解約しない限り、利用者はその変更内容に拘束されます。利用者は、この利用規約の変更を、判読可能な形式で保存または印刷できます。
37. アボットの定義。本契約において、アボットとは、利用者の主たるロケーションのアボット系列会社を意味しま す 。 詳 細 につい ては 、 https://www.cardiovascular.abbott/int/en/hcp/products/cardiac-rhythm- management/affiliates.htmlをご確認ください。
38. お問い合わせ先:本契約についてご不明な点がある場合、利用者がMerlin.netの利用を取りやめたい場合、または患者がMerlin.netからの登録解除を希望している場合は、cnprivacy@abbott.comまでお問い合わせください。
記録用に本契約を印刷してお持ちください。
EEA、カナダ、日本、スイス、英国のユーザーの方は、以下に記載するデータの取扱いに関する契約をご確認ください。
Merlin.net™ 患者ケアネットワーク データの取扱いに関する契約発効日:2023年7月
GDPR 第 28 条(7)に基づき定められた、2021 年 6 月 4 日の決定(EU)2021/915 に基づく欧州委員会の管理者・処理者間の標準契約条項を組み込みます
以下の条項は、管理者に対する本サービス(原契約に定義)の提供について定めた Merlin.net™ PCN に関する契約
(以下「原契約」)の一部を構成するものであり、処理者が管理者に代わり個人データを取り扱う場合に適用されます。管理者は、処理者が医療機器に関する EU および EU 加盟国の法令の適用対象であり、市販後調査、医療機器の品質マネジメント(製品の開発や改善を含む)、安全性、性能、安全管理など、その法令を遵守するために管理 者として特定の個人データを取り扱う必要があることを了解するものとします。処理者は、ポータビリティに関する要請 が管理者ではなくデータ主体から行われたことを検証する権利を留保します。
第 1 章
第 1 条
目的および範囲
(a) 本標準契約条項(以下「本条項」)は、個人データの取扱いと関連する自然人の保護に関する、および、そのデータの自由な移転に関する欧州議会および理事会の 2016 年 4 月 27 日の規則(EU)2016/679 の第 28条(3)および(4)の遵守を確保することを目的としています。
(b) 付属書 I に記載される管理者と処理者は、規則(EU)2016/679 の第 28 条(3)および(4)または規則(EU)
2018/1725 の第 29 条(3)および(4)の遵守を確保するため、本条項に合意しました。
(c) 本条項は、付属書 II に記載される個人データの取扱いに適用されます。
(d) 付属書 I~IV は、本条項の不可分の一部です。
(e) 本条項は、規則(EU)2016/679 または規則(EU)2018/1725 により管理者に課せられる義務を損なうものではありません。
(f) 本条項自体は、規則(EU)2016/679 または規則(EU)2018/1725 の第 5 章に基づく国際移転に関する義務の遵守を保証するものではありません。
第 2 条
本条項の不変性
(a) 両当事者は、付属書に対する情報の追加や付属書に記載される情報の更新を除き、本条項を変更しないことを約束します。
(b) これは、両当事者が、本条項に定める標準契約条項をより広範な契約に組み込んだり、本条項と直接的にも間接的にも相反せず、データ主体の基本的な権利と自由を害しない範囲で、別の条項や保護措置を加えたりすることを妨げるものではありません。
第 3 条解釈
(a) 本条項において規則(EU)2016/679 または規則(EU)2018/1725 で定義されている用語が使用されている場合、その用語は同規則で定義される意味を有します。
(b) 規則(EU)2016/679 または規則(EU)2018/1725 の規定に照らして本条項を読み、解釈しなければなりません。
(c) 規則(EU)2016/679 または規則(EU)2018/1725 に規定される権利や義務に抵触したり、データ主体の基本的な権利または義務を損なったりする方法で、本条項を解釈してはなりません。
第 4 条
優先順位
本条項と、本条項への合意時に存在し、またはそれ以降に締結された当事者間の関連契約の規定との間に矛盾がある場合は、本条項が優先します。
第 5 条
ドッキング条項
(a) 本条項の当事者ではない事業体は、いつでも、すべての当事者の同意を得た上で、必要な付属書に記入し、付属書 I に署名することにより、管理者または処理者として本条項に同意できます。
(b) 同意を行う事業体は、(a)に記載する付属書への記入と署名を行った時点で、付属書 I の記載内容に従い、本条項の当事者とみなされ、管理者または処理者の権利と義務を有します。
(c) 同意を行う事業体は、当事者となる前の期間における本条項に基づく権利と義務を一切有しません。
第 2 章 – 当事者の義務
第 6 条
取扱いの説明
取扱業務の説明(個人データの種類、付属書IIに記載される、管理者に代わり行われる個人データの取扱いの目的など)。
第 7 条
当事者の義務
7.1. 指示
(a) 処理者は、管理者の書面による指示に従って個人データを取り扱わなければなりません。ただし、処理者に適用されるEU または加盟国の法令により義務付けられる場合はこの限りではありません。その場合、処理者は、公益上の重要な理由により法令で通知が禁止される場合を除き、取扱いを行う前に、その法的要件を管理者に通知しなければなりません。個人データの取扱いが行われる期間、管理者は、後続の指示を与えることができます。そのような指示を与える場合は必ず文書化しなければなりません。
(b) 処理者は、管理者から受けた指示が規則(EU)2016/679、規則(EU)2018/1725 またはデータ保護に関する
EU または加盟国の適用規定に違反していると判断した場合、直ちに管理者に通知しなければなりません。
7.2. 目的の制限
処理者は、管理者から別途指示を受けた場合を除き、付属書IIに記載される所定の取扱目的でのみ、個人データの取扱いを行わなければなりません。
7.3. 個人データの取扱いの期間
処理者は、付属書IIに記載される所定の期間に限り、取扱いを行わなければなりません。
7.4. 取扱いのセキュリティ
(a) 処理者は、個人データのセキュリティを確保するため、少なくとも付属書 III に記載される技術的および組織的措置を講じなければなりません。これには、個人データの偶発的または違法な損失、改ざん、不正な開示やア クセスを引き起こすセキュリティ侵害(個人データ侵害)から個人データを保護することを含みます。セキュリティの適切な水準を評価するため、両当事者は、最新技術、実施コスト、取扱いの性質、範囲、状況および目的、ならびにデータ主体の関連リスクを十分に考慮しなければなりません。
(b) 処理者は、契約の履行、管理および監視に厳密に必要な範囲に限り、自己の人員に、取扱いの対象となる個人データへのアクセスを許可しなければなりません。処理者は、受領した個人データを取り扱う権限を付与される人員について、秘密保持を約束していること、または適切な法定の秘密保持義務を負っていることを確認しなければなりません。
7.5. 機微データ
取扱いに、人種的もしくは民族的な出自、政治的な意見、宗教上もしくは思想上の信条、労働組合への加入、遺伝データ、自然人を一意に識別することを目的とする生体データ、健康に関するデータもしくは自然人の性生活や性的指向、または前科もしくは犯罪歴に関するデータ(以下「機微データ」)を明らかにする個人データが伴う場合、処理者は、固有の制限や追加の保護措置を適用しなければなりません。
7.6 文書化および遵守
(a) 両当事者は、本条項の遵守を証明できなければなりません。
(b) 処理者は、本条項に基づくデータの取扱いについて管理者から問い合わせを受けた場合、速やかかつ適切に対応しなければなりません。
(c) 処理者は、管理者に対し、本条項に記載される義務の遵守および規則(EU)2016/679 または規則(EU) 2018/1725 に直接由来する義務の遵守を裏付けるのに必要なすべての情報を提供しなければなりません。処理者は、合理的な間隔で、または不遵守の兆候が見られる場合、管理者の要請に応じて、本条項の対 象となる取扱業務の監査を許可し、その監査に協力しなければなりません。審査または監査の判断において、管理者は、処理者が取得している関連認証を考慮することができます。
(d) 管理者は、自ら監査を実施するか、独立した監査人を任命することを選択できます。監査には、処理者の敷地内や物理的施設での検査を含めることができ、適切な場合は、合理的な通知をした上で監査を実施しなければなりません。
(e) 両当事者は、要請を受けた場合、本条で言及されている情報(監査結果を含む)を所管の監督機関に提供しなければなりません。
7.7. 復処理者の使用
(a) 処理者は、合意されたリストに記載される復処理者の使用について、管理者による包括的承認を受けています。処理者は、リストを変更して復処理者の追加や入替えを行おうとする場合、少なくともその90 日前に書面でその旨を管理者に具体的に通知して、復処理者が従事する前に管理者がその変更に異議を唱えるための十分な時間を確保しなければなりません。処理者は、管理者に対し、管理者が変更に異議を唱える権利を行使するのに必要な情報を提供しなければなりません。
(b) 処理者が特定の取扱業務(管理者に代わり行うもの)を復処理者に委託する場合、本条項によりデータ処理者が課せられるデータ保護義務と実質的に同等の義務を復処理者に負わせる契約をもって、その委託を行わなければなりません。処理者は、本条項ならびに規則(EU)2016/679 および規則(EU)2018/1725 に基づく処理者の義務を復処理者に遵守させなければなりません。
(c) 処理者は、管理者からの要請に応じて、復処理者との契約書およびその後の変更契約書(ある場合)の写しを管理者に提出しなければなりません。処理者は、契約書の写しを提出する前に、企業秘密等の機密情報
(個人データを含む)を保護するために必要な範囲で、契約書の文面を黒塗りすることができます。
(d) 処理者と復処理者間の契約に基づく復処理者の義務の履行については、処理者が管理者に対し全面的に責任を負います。処理者は、復処理者が契約上の義務の履行を怠った場合、管理者に通知しなければなりません。
(e) 処理者は、復処理者との間で、処理者が事実上消滅した場合、法律上存在しなくなった場合または支払不能に陥った場合において管理者が復処理者との契約を解約し、個人データの削除または返却を復処理者に指示する権利の行使を認める第三者受益者条項に合意しなければなりません。
7.8. 国際移転
(a) 処理者による第三国または国際機関へのデータ移転は、管理者からの書面の指示による場合または処理者が服する EU または加盟国の法令に基づく特定の要件を満たすことを目的とする場合に限り、規則(EU) 2016/679 または規則(EU)2018/1725 の第 5 章に準拠して行わなければなりません。
(b) 管理者は、処理者が第 7.7 条に準拠して特定の取扱業務(管理者に代わり行うもの)および規則(EU) 2016/679 の第 5 章に定義される個人データの移転を伴う取扱業務を復処理者に委託する場合、規則(EU) 2016/679 の第 46 条(2)に基づき欧州委員会が採択した標準契約条項を用いることにより(ただし、かかる標準契約条項の使用条件を満たしている場合に限る)、処理者と復処理者が規則(EU)2016/679 の第 5 章の遵守を確保できることについて、同意します。
第 8 条
管理者への支援
(a) 処理者は、データ主体から何らかの要請を受けた場合、速やかに管理者に通知しなければなりません。処理者は、管理者から承認を得ていない限り、データ主体からの要請に自ら対応してはなりません。
(b) 処理者は、取扱いの性質を考慮して、データ主体からの権利行使の要請に対応する義務を管理者が果たせるよう、管理者を支援しなければなりません。処理者は、(a)および(b)に基づく義務を履行するにあたり、管理者の指示に従わなければなりません。
(c) 第 8 条(b)に基づく管理者を支援する義務に加え、処理者は、データの取扱いの性質と処理者が入手可能な情報を考慮して、以下の義務の遵守を確保できるよう管理者を支援しなければなりません。
(1) 取扱いの種類により自然人の権利や自由に高いリスクが生じ得る場合、予想される取扱業務が個人データの保護に与える影響の評価(以下「データ保護影響評価」)を実施する義務。
(2) データ保護影響評価により、管理者がリスクを軽減するための措置を講じなければ、取扱いにより高いリスクが生じると判断された場合、取扱いを行う前に所管の監督機関に相談する義務。
(3) 個人データの正確性と最新性を確保する義務。この支援のため、処理者は、処理者が取り扱っている個人データについて不正確である、または古くなっていることに気付いた場合、遅滞なく管理者に報告しなければなりません。
(4) 規則(EU)2016/679 の第 32 条の義務。
(d) 両当事者は、本条の適用により管理者を支援するために処理者が求められる技術的・組織的措置と必要な支援の範囲について、付属書 III に説明しなければなりません。
第 9 条
個人データ侵害の通知
個人データ侵害が発生した場合、処理者は、取扱いの性質と処理者が入手可能な情報を考慮して、規則(EU) 2016/679の第33条と第34条および規則(EU)2018/1725の第34条と第35条の義務を管理者が遵守できるよう、管理者に協力し、支援を行わなければなりません。
9.1 管理者が取扱いを行うデータに関連するデータ侵害
管理者が取扱いを行うデータに関連する個人データ侵害が発生した場合、処理者は、以下において管理者を支援しなければなりません。
(a) 管理者が個人データ侵害に気付いた後、必要に応じて(その個人データ侵害により自然人の権利や自由にリスクが生じ得る場合)、不当に遅滞することなく所管の監督機関に通知する場合。
(b) 規則(EU)2016/679 の第 33 条(3)に基づき、管理者の通知に記載しなければならない情報を取得する場合。この通知には、少なくとも以下の情報を含めなければなりません。
(1) 個人データの性質(可能な場合は、関連するデータ主体の種類と概数および個人データ記録の種類と概数を含む)。
(2) 個人データ侵害によって起こり得る結果。
(3) 個人データ侵害に対処するために管理者が実施した、または実施を検討している措置(適切な場合は、起こり得る悪影響を軽減するための措置を含む)。
すべての情報を同時に提供できない場合、最初の通知ではその時点で知り得る情報を報告し、さらなる情報が入手でき次第、不当に遅滞することなくそれを提供しなければなりません。
(c) 個人データ侵害により自然人の権利や自由に高いリスクが生じ得る場合において不当に遅滞することなくその個人データ侵害をデータ主体に通知するという、規則(EU)2016/679 の第 34 条に基づく義務を遵守する場合。
9.2 処理者が取扱いを行うデータに関連するデータ侵害
処理者が取扱いを行うデータに関連する個人データ侵害が発生した場合、処理者は、そのデータ侵害に気付いた後、不当に遅滞することなく管理者に通知しなければなりません。この通知には、少なくとも以下の情報を含めなければな りません。
(a) 侵害の性質の説明(可能な場合は、関連するデータ主体とデータ記録の種類と概数を含む)。
(b) 個人データ侵害に関する詳細を入手できる連絡窓口の詳細。
(c) 起こり得る結果、および、起こり得る悪影響を軽減する措置など、個人データ侵害に対処するために実施した、または実施を検討している措置。
すべての情報を同時に提供できない場合、最初の通知ではその時点で知り得る情報を報告し、さらなる情報が入手でき次第、不当に遅滞することなくそれを提供しなければなりません。
両当事者は、規則(EU)2016/679の第33条と第34条に基づく管理者の義務の遵守を支援するにあたり処理者が提供すべきすべての物について、付属書IIIに説明しなければなりません。
第 3 章 – 最終規定
第 10 条
本条項の不遵守および解約
(a) 処理者が本条項に基づく義務に違反した場合、管理者は、処理者が本条項を遵守するか、契約が解約されるまで個人データの取扱いを中断するよう、処理者に指示できます。なお、これは、規則(EU)2016/679 または規則(EU)2018/1725 の規定を損なうものではありません。処理者は、理由の如何にかかわらず、本条項を遵守できない場合、管理者に対し速やかに通知しなければなりません。
(b) 以下の場合、管理者は、本条項に基づく個人データの取扱いに関する限り、契約を解約する権利を有します。
(1) 管理者が(a)項に基づき処理者による個人データの取扱いを中断させた後、相当の期間内(ただし、いかなる場合も停止から 1 か月以内)に本条項の遵守が回復されなかった場合。
(2) 処理者が本条項の違反または規則(EU)2016/679 もしくは規則(EU)2018/1725 に基づく義務の違反を犯し、その違反が重大な違反に当たるか、または長期に継続している場合。
(3) 処理者が、本条項または規則(EU)2016/679 もしくは規則(EU)2018/1725 に基づく義務に関して、管轄裁判所または所管の監督機関の拘束力のある決定に従わなかった場合。
(c) 処理者は、第 7.1 条(b)に基づき管理者の指示が適用法的要件を侵害している旨を管理者に通知した後、管理者がその指示に従うことを強く求めた場合、本条項に基づく個人データの取扱いに関する限り、契約を解約する権利を有します。
(d) 契約の解約後、処理者は、管理者の選択に応じて、管理者に代わり取扱いを行ったすべての個人データ を削除し、削除の完了を管理者に証明するか、または、すべての個人データを管理者に返却し、存在する写しを削除しなければなりません(EU または加盟国の法令で個人データの保管が義務付けられる場合を除く)。処理者は、データの削除または返却が完了するまで、引き続き本条項を遵守しなければなりません。
付属書I 当事者の一覧
管理者:
1. 名称:クリニック
住所:クリニックのロケーション
連絡担当者の氏名、肩書、連絡先:クリニックのDPO(データ保護オフィサー)
処理者:
1. 名称および住所:原契約の第37条に記載されるアボット事業体
連絡担当者の氏名、肩書、連絡先:アボットのEU DPO(https://www.abbott.com/eudpoforms.html)付属書II:取扱いの説明
個人データが移転されるデータ主体の種類
(i) Merlin.net™ 患者ケアネットワークのシステム管理者ユーザーIDを付与されるクリニックの職員やその他の正規ユーザー、Merlin.net™ 患者ケアネットワークのユーザーIDが付与されるクリニックの正規ユーザー。
(ii) クリニックがMerlin.netに登録する患者。
取扱いが行われる個人データの種類
クリニックの職員やその他の正規ユーザー:氏名、電話番号、メールアドレス、クリニックの名称、クリニックの所在国。肩書・職務、クリニックIDなどその他の情報(クリニックから提供される場合)。
Merlin.net™に登録される患者:必須の患者データ項目として、生年月日、植込みデバイスのシリアル番号、植込みデバイスの機能に関する情報があります。クリニックによる患者IDの提供の有無によっては、患者の氏名が必要になる場合があります。植込みデバイスによっては、患者の主要な電話番号、メールアドレス、植込み日が必要になる場合があ ります。性、優先言語、クリニックが割り当てた患者番号等の患者識別子、患者の緊急時の連絡先(連絡先の氏名、電話番号、住所など)といったその他の患者データ(クリニックから提供される場合)。
Merlin.netに登録されるフランスの患者:デジタルヘルス庁(ANS)の基準に従い、国民健康ID(INS)を収集します。
とりわけ、Merlin.netでは、INSを用いてフランスの患者の保健データを参照できます。その結果、フランスに居住している患者の場合、アボットが患者の性や出生地などのINS情報を収集することがあります。
取扱いが行われる機微データ(ある場合)、および、データの性質や伴うリスクを十分に考慮した適用制限・保護措置。この措置には、厳格な目的制限、アクセス制限(専門的なトレーニングを受けたスタッフのみにアクセスを制限する措 置など)、データに対するアクセスの記録の保持、転送の制限、追加の安全対策などが該当します。
人種、投薬、入院、患者の病状、診断、治療に関する情報など、その他の患者データ(クリニックから提供される場合)。フランスの患者:収集される機微データには、国民健康ID(INS)を含みます。
取扱いの性質
個人データは、以下の取扱業務の対象となります。
▪ データの受領(収集、アクセス、取得、記録、データ入力など)。
▪ データの保持(保存、整理、構造化など)。
▪ データの保護(制限、暗号化、セキュリティテストなど)。
▪ データ輸出者に対するデータの返却。
▪ データの抹消(破棄、削除など)。
▪ 植込み型心臓用デバイスのサポート。
▪ 医療従事者が Merlin.net からリモートでデバイスを調整できるようにする(リモートプログラミング機能をサポートするデバイスの場合)。
▪ Merlin.net™の教育訓練と保守。
▪ データの収集とホスティング。
▪ 電子送信機(モニター)を介した伝送。
▪ 情報や伝送に関する報告。
▪ 利用者からの要請に応じ、特定のデバイス関連情報の解釈・分析を支援する。
▪ 技術的・臨床的サポートサービス。
▪ アボットの植込み型心臓用デバイスが植え込まれている患者は、クリニックや医療チームが植込み型心臓用デバイスのパフォーマンスやステータスに関する最新情報を定期的に受け取り、病状に関する特定情報をリモートでモニタリングできるよう、患者に植え込まれている医療機器から収集された情報がMerlin.net に自動送信される場合があります。
管理者に代わり行われる個人データの取扱いの目的
Merlin.net™ 患者ケアネットワークの提供、運営、保守(Merlin.netサービスでモニタリングされるデバイスの操作に関するサポートサービスの提供に必要な取扱いを含む)。
取扱いの期間
データ輸入者は、管理者が患者の個人データを早急に削除することを選択した場合を除き、管理者が本サービスを利用する期間、データ輸出者の患者の個人データを保管します。さらに、処理者は、適用法的要件に従って個人データを保持できます。
復処理者が取扱いを行う場合、その取扱いの主題、性質、期間も明確にしてください。
復処理者の名称 | 復処理者の住所 | 業務の説明 | 業務の提供が行わ れるロケーション |
アボット・ラボラトリーズ | 15900 Valley View Court, Sylmar, California 91342 USA | Merlin.net™ 患者ケアネットワークの提供、運営、保守 | 米国 |
St. Jude Medical Sweden AB | Isafjordsgata 15 164 40 Kista Sweden | カスタマーサポートの提供(トラブル対応のようなアプリケーションやソフトウェ アのサポートなど) | Sweden |
Microsoft Azure | 700 Bellevue Way NE - 22nd Floor Bellevue, Washington, 98004 USA | 暗号化データに関連するAzureホスティングサービス(2023年第3四半期以降) | アイルランド |
フランスの患者のみ Lifen | Lifen | フランスの患者に関するINSデータの 収集 | フランス |
付属書III - 技術的・組織的措置(データのセキュリティを確保するための技術的・組織的措置を含む)
アボット Merlin.net™ 患者ケアネットワークでの措置
認定/認証
1. ISO 27001:
アボットとMerlin.netは、情報セキュリティマネジメント規格「ISO/IEC 27001:2013」の認証を受けています。このISO認証により、Merlin.netは、クライアントに応じた必要な水準の機密性、完全性、可用性を維持するプロセスと基準を満たしていることが認められています。ご希望の場合、要請をお送りいただくことにより、Merlin.netが取得している最新の ISO認証書の写しを入手できます。
2. L'Agence du Numérique en Santé(フランスのクライアント):
アボットとMerlin.netは、健康データホスティング(HDS)認証を受けています。アボットが取得しているHDS認証は、 https://esante.gouv.fr/labels-certifications/hds/liste-des-herbergeurs-certifiesからご確認いただけます(フランス語のみ)。
安全対策
アボットは、取扱システムおよび取扱サービスの現在の機密性、完全性、可用性および回復性を確保するため、次のような技術的・組織的な安全対策を講じています。
1. 取扱いが行われる区画に対する物理的なアクセス制御(機密性):
個人データを取り扱うデータ取扱いの装置(例:電話、データベース、アプリケーションサーバー、関連ハードウェア)への不正アクセスを防止するため、アボットの業界有数のクラウドサービスプロバイダーが実施する措置。この措置には次のようなものがあります。
(i) ISO/IEC 27001:2013認証を受けた2つのコンピューターデータセンター内に、Merlin.netのアセットを保管しています。
(ii) 警備員や防犯カメラ等のセンサーにより24時間体制でデータセンターを監視しており、不正な人物の発見や追跡を行うことができます。
(iii) データセンターなどの施設への立入りは、職責に基づいて許可が与えられ、さらに、管理者による承認が必要です。
(iv) 訪問者に対しては、施設への立入り前に訪問者記録に署名を求め、アボットの人員が常に同行しなければなりません。
(v) 出入口に物理的アクセス権・認証の制御措置(例:カード読み取り装置)を設けて、文書化し、定期的に検証します。
2. データ取扱システムへのアクセス制御(機密性):
アボットは、権限のない者によるデータ取扱システムの使用を防ぐための適切な措置を講じています。この措置には次のようなものがあります。
(i) 多要素認証。
(ii) 暗号化、署名アルゴリズム、セキュアな認証によるサービスへのアクセス制限。
(iii) ディスク単位の暗号化を採用しているセキュアなデータベースへのデータの保存。
(iv) 暗号化とパスワードに関する業界標準の要件(例:最小長、特殊文字の使用、有効期限)の採用。
(v) ログイン失敗時やアカウント未使用時にアクセス権をロックする仕組み、ロックされたアクセスIDをリセットする手段の提供。
3. 権限のあるアボットの人員によるデータ取扱システムの特定領域の使用を管理するアクセス制御(機密性):
データ取扱システムの使用権限を与えられたアボットの人員は、自身が適切なアクセス許可を得ている個人データの
みにアクセスできます。その確保のため、アボットでは次のような制御を設けています。
(i) 必要最小限の原則と最小権限の原則に従って、役割と責任に基づきアクセスを制限し、ユーザーにアクセス権を付与します。
(ii) 特権的アクセス権は、職責に基づき権限のあるシステム管理者のみに付与します。
(iii) 適切なアクセス権が付与されていることを確認するため、アクセス権の定期的な見直しを行います。
(iv) 役割や責任が変更になった場合(退職を含む)、アクセス権を無効にします。
(v) 許可なく個人データにアクセスした者には、効果的な懲戒処分を科します。
4. クリニックのセットアップとセキュリティ:
登録に伴うクリニックの初期セットアップは、アボットのリモートケアオペレーショングループが行います。ユーザーIDの作成、管理、維持を行えるよう、クリニックのシステム管理者アカウントを1つ発行します。クリニックのユーザー(システム管理者 を含む)、Merlin.netの認証情報を保護する責任を負います。次のような制御を設けています。
(i) クリニックは、Merlin.netを構築しているデータベースやインフラストラクチャーへの直接アクセスが制限されます。
(ii) サポートやトラブル対応のため、アボットの担当者は所定の管理アカウントを使用します。
(iii) 初期パスワードパラメーターの最小構成を定めています。
(iv) Merlin.netでは二要素認証を利用できます(任意)。
5. データ移動管理(完全性):
アボットは、個人データの送信中や移動中に権限のない者による個人データの閲覧、複製、改ざん、削除を防ぐための措置を講じています。この措置には次のようなものがあります。
(i) 外部からMerlin.netのインフラ機器に送られるデータを暗号化しています。
(ii) サーバーではセキュアなネットワーク接続を採用し、HTTPS接続のみに制限しています。
(iii) 方針と基準を設けて、リムーバブルメディアによるデータの移動を制限し、会社のノートパソコンやその他のモバイルデバイスについて定めています。
6. 入力制御(完全性):
Merlin.net™ PCNに関する契約とデータの取扱いに関する契約(DPA)に定める目的以外でアボットが個人データにアクセスすることはありません。
アボットは、不正なアクセスや削除から個人データを保護するための適切な措置を講じています。この措置には次のようなものがあります。
(i) 保存データの閲覧、変更、削除に関する保護措置。
(ii) データ取扱システムへの入力を行う権限・責任が与えられている者を、その人物の業務に基づいて管理するための文書。
(iii) 個人データの入力や削除の試みをログに記録することを義務付ける手順。
7. 指示に関する制御:
アボットは、個人データの取扱いが行われる際、利用者の指示に厳密に従って取扱いが行われるようにする措置を講じています。この措置には次のようなものがあります。
(i) アボットが受ける指示について、原契約や本DPAの規定で求められる個人データの取扱いの範囲の明確化。
8. 可用性制御(可用性):
アボットは、個人データの予期しない破損や紛失を防ぐための措置を講じています。この措置には次のようなものがあります。
(i) 定期的なデータのバックアップと復元の実施。
(ii) バックアップログの監視、重大な問題が発生した際のエスカレーション手順の策定。
(iii) ウイルス/マルウェア対策ソフトウェアを用いた、ウイルス、ワーム、スパイウェアといった悪意のある脅威からの保護。
(iv) 定期的な内部・外部の脆弱性スキャンの実施。
(v) 役割、作業内容、責任などを定めた、IT災害復旧計画を含む事業継続計画の策定。
9. 目的による取扱いの分離:
アボットは、個人データの予期しない破損や紛失を防ぐための措置を講じています。この措置には次のようなものがあります。
(i) 本番用データベース、サポート用データベース、システム監視用データベースを分離して、データベース主導型のセキュリティを確保しています。
(ii) データが収集の目的別に取り扱われるようにするため、目的・機能ごとに専用のインターフェース、バッチプロセス、レポートを設計しています。
10. 回復性:
アボットは、とりわけ取扱システムおよび取扱サービスの回復性を確保するため、次のような技術的・組織的な安全対策を講じています。
(i) データ保護管理に関する方針と手順。
(ii) インシデント対応に関する方針と手順。
(iii) データ保護に適したプリセット(規則(EU)2016/679の第25条(1))。
(iv) 指示に関する制御。付属書IV:復処理者の一覧
該当なし。
付属書V:国内法による、Merlin.net™ 患者ケアネットワーク データの取扱いに関する契約(DPA)の変更
1. カナダ
カナダのデータ保護法の対象となる個人データが関わる場合に限り、以下の規定が適用されます。
「データ保護法」とは、データ保護、個人データの取扱い、プライバシー、セキュリティ、電子通信および情報技術に関連するカナダ連邦および州のあらゆる法令、規則、規制、指令および政府要件を意味します。データ保護法の例には、個人情報保護および電子文書法(カナダ)(S.C. 2000, c. 5)、個人情報保護法(SBC 2003, c. 63)、個人情報保護法(SA 2003, c P-6.5)、民間部門に係る個人情報の保護に関する法律(CQLR c P-
39.1)、カナダスパム対策法(S.C. 2010, c. 23)などがあります。
以下のとおり、本DPAを変更します。(i) データ保護法に基づくデータ主体の権利を保全するため、本DPA内の用語「加盟国」および「EU」を「カナダ」に置き換えます。(ii) 「規則(EU)2016/679」または「同規則」への言及は、データ保護法への言及として解釈します。(iii) 「規則(EU)2018/1722」への言及を削除します。(iv) 「管理者」と は、個人データの取扱いの目的と手段を決定する事業体を意味し、「データ主体」とは、個人データに関連する識別された自然人または識別可能な自然人を意味し、「個人データ」とは、(a) 識別された自然人または識別可能な自然人に関連する情報(単独でまたは他の情報と組み合わせて、個人の識別に使用できる情報を含む)およびその派生情報、または (b) データ保護法で「Personally Identifiable Information(個人識別情報)」、
「Personal Information(個人情報)」もしくは類似の用語として定義される情報、またはこれらの情報とみなされ る情報を意味し、「取扱い」とは、個人データの収集、使用、アクセス、処理、変更、取得、移転、通信、開示、保存、匿名化、非特定化、削除、廃棄または管理を意味し、「処理者」とは、管理者に代わり個人データの取扱いを行う事業体を意味します。(v) カナダ法を準拠法とし、本DPAに起因する紛争はカナダの関連する州の裁判所により解決します。(vi) 所轄官庁は、カナダプライバシーコミッショナー事務所および州の相当機関を含む、 カナダの連邦および州のプライバシー規制当局とします。(vii) 第1条(f)を削除します。(viii) 第7.8条を削除します。
(ix) 「規則(EU)2016/679」の条項への言及を、データ保護法の同等の条項(ある場合)への言及に置き換えます。データ保護法に同等の条項がない場合、該当する本DPAの条項への言及を削除します。
2. 日本
日本のデータ保護法の対象となる個人データが関わる場合に限り、以下の規定が適用されます。
「データ保護法」とは、個人情報の保護に関する法律(2003年法律第57号。2015年改正)および関連規則とガイドラインを意味します。
以下のとおり、本DPAを変更します。(i) データ保護法に基づくデータ主体の権利を保全するため、本DPA内の用語「加盟国」および「EU」を「日本」に置き換えます。(ii) 「規則(EU)2016/679」または「同規則」への言及は、データ保護法への言及として解釈します。(iii) 「規則(EU)2018/1722」への言及を削除します。(iv) 日本法を準拠法とし、本DPAに起因する紛争は日本の裁判所により解決します。(v) 所轄官庁は個人情報保護委員会とします。(vi) 第1条(f)を削除します。(vii) 第7.8条に次の文言を追加します。「データ保護法が適用され、同法により義務付けられる範囲で、管理者は、機微な個人データを処理者に移転する場合、あらかじめデータ主体に十分な情報を提供した上で事前同意を取得しなければならず、また、個人データを共同利用する場合、その法的主体への移転についてデータ主体に通知しなければなりません。」 その上で、第7.8条の他の部分を削除します。(viii) 「規則(EU)2016/679」の条項への言及を、データ保護法の同等の条項(ある場合)への言及に置き換えます。データ保護法に同等の条項がない場合、該当する本DPAの条項への言及を削除します。
3. スイス
スイスのデータ保護法の対象となる個人データが関わる場合に限り、以下の規定が適用されます。
「スイスDPA」とは、1992年6月19日の連邦データ保護法または2020年9月25日にスイス議会で採択されたスイスデータ保護法(施行され次第)、また該当する場合は、州の関連データ保護法の規定を意味します。
スイスに由来する個人データに関して、以下のとおり、本DPAを変更します。(i) スイスDPAに基づくデータ主体の権利を保全するため、本DPA内の用語「加盟国」および「EU」を「スイス」に置き換えます。(ii) 「規則(EU) 2016/679」または「同規則」への言及は、スイスDPAへの言及として解釈します。(iii) 「規則(EU)2018/1722」への言及を削除します。(iv) スイスDPAにより法的主体がデータ主体として保護される場合、識別された法的主体または識別可能な法的主体に関するデータにも本DPAを適用します。(v) 準拠法は、関連する州の法令とします。(vi) 所轄官庁は、スイス連邦データ保護情報コミッショナー、または該当する場合は、管轄の州のデータ保護コミッショナーとします。(vii) 「規則(EU)2016/679」の条項への言及を、データ保護法の同等の条項(ある場合)への言及に置き換えます。データ保護法に同等の条項がない場合、該当する本DPAの条項への言及を削除します。
4. 英国
英国のデータ保護法の対象となる個人データが関わる場合に限り、以下の規定が適用されます。
「データ保護法」とは、個人データのプライバシー、機密性、安全性、完全性および保護と何らかの関連がある英国の適用法、規則、規制および政府要件(その後の改正・置き換えを含む)を意味します。データ保護法の例には、2019年データ保護、プライバシー、電子取引(改正等)(EU離脱)規則により改正された2018年EU離脱法(その後の改正を含む)の第3条によりイングランドおよびウェールズ、スコットランドおよび北アイルランドの法令に組み込まれた規則(EU)2016/679、2018年データ保護法などがあります。
英国に由来する個人データに関して、以下のとおり、本DPAを変更します。(i) データ保護法に基づくデータ主体の権利を保全するため、本DPA内の用語「加盟国」および「EU」を「英国」に置き換えます。(ii) 「規則(EU) 2016/679」または「同規則」への言及は、データ保護法への言及として解釈します。(iii) 「規則(EU)2018/1722」への言及を削除します。(iv) 準拠法は、イングランドおよびウェールズの法令とします。(v) 所轄官庁は、情報コミッショナーオフィスとします。(vi) 「規則(EU)2016/679」の条項への言及を、データ保護法の同等の条項(ある場合)への言及に置き換えます。データ保護法に同等の条項がない場合、該当する本DPAの条項への言及を削除します。