IBM マネージド・セキュリティー・サービス

お客様は、「サービス」の性質により、IBM が上記の「データ主体カテゴリー」を確認または維持管理できないことを了承するものとします。したがって、お客様は、確立されたプロジェクト変更手順 (以下「PCR」といいます。) を通じて該当する SOW を更新することにより、上記リストに対する必要な変更を IBM に通知するものとします。IBM は、上記に記載されたすべての「データ主体」の

「個人データ」を TD に従い処理します。「データ主体カテゴリー」の変更により両当事者が合意した「処理」方法に変更が生じる場合、お客様は DPA に従い IBM に追加の指示を提供するものとします。

2.2 お客様個人データの種類およびお客様個人データの特殊カテゴリー

処理される「個人データ」に関連する「個人データ」のカテゴリーは以下のとおりです。

契約済みのセキュリティー・サービスおよびコンプライアンス・サービスの提供を目的として、お客様から IBM に転送されるログ・ファイルおよびイベント・データ。

次のリストは、「サービス」提供において処理される可能性がある「お客様個人データ」の「種類」です。以下のリストと異なる処理対象は、該当する SOW に明示されています。

● 連絡先個人情報

● (例えば、氏名、住所、電話番号、電子メール・アドレスなど)

● 技術的に特定可能な個人データ

● (例えば、特定の個人と結び付けられているデバイス ID、利用に基づく識別名、静的 IP アドレス)

● 雇用に関連する個人データ

● (例えば、職歴、勤務業績情報等を含む人事情報)

● 位置情報

● (例えば、個人に結び付く地理的位置データ)

2.2.1 特殊カテゴリーの個人データ

別途書面で定める場合を除き、お客様は「特殊カテゴリー」の「個人データ」を IBM に一切提供しないものとします。(かかる場合の「特殊カテゴリー」の「個人データ」とは、人種もしくは民族的

出自、政治的意見、宗教もしくは哲学的な信条、労働組合への参加記録、健康データ、遺伝子データ、または生体データが含まれますが、これらに限定されません。)「特殊カテゴリー」の「個人データ」の「処理」を行うことが含まれる場合、お客様は、かかるデータの種類について IBM に書面の SOW

に対する修正として通知するものとします。IBM は、データの種類を確認し、確立された PCR に従いそれ以降における「サービス」の提供に対する影響を評価し、これら特定のデータの種類を該当する SOW に明示的に追加します。

2.2.2 一般規定

上記の第 2.2 項および第 2.2.1 項のリストは、「サービス」提供において一般的に処理される可能性のある「お客様個人データ」の「種類」および「特殊カテゴリー」の「お客様個人データ」です。お客様は、「サービス」の性質により IBM が上記の「お客様個人データ」の「種類」および「特殊カテゴリー」の「お客様個人データ」を確認または維持管理できないことを了承するものとします。したがって、お客様は、上記リストに対する必要な変更が生じた場合、IBM に通知し、確立された PCR を通じて該当する SOW の更新を行うものとします。

IBM は、すべての「種類」の「お客様個人データ」および「特殊カテゴリー」の「お客様個人データ」すべてを本契約に従い処理します。「お客様個人データ」の「種類」および「特殊カテゴリー」の

「お客様個人データ」の変更に伴い両当事者が合意した「処理」方法に変更が生じる場合、お客様は

DPA に従い IBM に追加の指示を提供するものとします。

3. 技術的および組織的措置

xxxxx://xxx.xxx.xxx/xxxxxxxx/xx/xxx/ に掲載の技術的および組織的措置 (以下「TOMs」といいます。)が、すべての「お客様個人データ」に適用されます。これらの TOMs は、上記第 2 項に記載されているか、またはその他「サービス記述書」に含まれた「お客様個人データ」に適用されます。

お客様は、適用される「データ保護法」によって必要とされる責任の範囲内で適切な TOMs を導入・履行する義務があることを確認します。

お客様からの要請に応じて、講じた措置の証明として以下の形式で提示することができます。

● 独立した機関 (例: 外部監査法人、内部監査部門、データ保護オフィサー、IT セキュリティー部門、または有資格の監査人) からの最新の認証、報告書、またはそれらの抜粋。

● IT セキュリティーまたはデータ保護の監査による適切な証明書。

● 欧州委員会が承認したデータ保護認証の仕組み、シールまたはマーク。

● お客様からの、上記リストに含まれないものとしてお客様が特定した具体的な質問に対する応答。

4. お客様個人データの削除および返却

IBM は、「サービス」の終了時に「お客様個人データ」を削除するものとします。ただし、お客様が

「サービス」の契約満了日または解約日前に書面で IBM に指示を行った場合、IBM は IBM がアクセス可能な「お客様個人データ」のコピーをお客様に合理的な期間内かつお客様が要求される合理的なフォーマットで返却します。なお、当該返却はお客様の費用負担とし、DPA に規定された「支援」の条件に従って行われます。

「サービス」に該当する場合、お客様は、理由を問わず IBM に返却される機械または機械の一部からすべてのデータ (機密情報、専有情報および「お客様個人データ」を含みます。) を、確実に削除

し、その返却を妨げる担保等の法的な制約がないことを保証します。なお、お客様は、機械のハードディスク等を買取るオファリングを別途契約することも、または「お客様個人データ」を IBM に消去もしくは破壊させるオファリングを別途契約することもできます。

5. 復処理者

IBM は、各「サービス」について、「お客様個人データ」の「処理」において次の「復処理者」(セキュリティー・オペレーション・センター (以下「SOCs」といいます。) および MSS 復処理者) を使用することができます。xxxxx://xxx-00.xxx.xxx/xxxxxxxx/xxxxxxxx/xxxxxxx-xxxxxxxx-xxxxxxxx/xxxxxxxx- operations-centers.html .

この合意された「復処理者」のリストは、SOW に記載のとおり、確立された PCR に従って、適宜、書面により両当事者によって修正または変更することができます。

IBM は、お客様に対して「復処理者」に関するあらゆる変更予定を次の方法で通知します。

● 本項に記載された Web サイトで変更を公表する。

● グローバル SOC ポータルの登録ユーザーに対して通知する。

6. 各国間データ移転

6.1 EU - 米国間およびスイス - 米国間のプライバシー・シールド自己認証

IBM Global Managed Security Services (以下「MSS」といいます。) は、 xxxxx://xxx.xxxxxxxxxxxxx.xxx/xxxxxxxxxxx?xxxx0xx0000000XXXxXXX に掲載の通りプライバシー・シールドの自己認証の対象となっています。さらに、認定された IBM の「サービス」のリストは、 xxxxx://xxx.xxx.xxx/xxxxxxx/xxxxxxx/xx/xx/xxxxxxx_xxxxxx.xxxx に詳細が掲載されています。

プライバシー・シールドの転送の原則に基づいて、「個人データ」は、主たる処理者としての米国の MSS から第 5 項に記載された「復処理者」に転送されます。「復処理者」は主たる処理者としての米国の MSS およびその他残りの「復処理者」との間で、同レベルの保護が提供されることを定めた契約を締結しています。

Document Metadata

Table of Contents

IBM マネージド・セキュリティー・サービス

Document Metadata