ARCSERVE クラウド・サービスに関するデータ処理規約




ARCSERVE クラウド・サービスに関するデータ処理規約


1. 適用範囲、適用関係および期間


1.1.データ処理規約(以下「データ処理規約」といいます。)は、arcserve Japan 合同会社

(以下「当社」といいます。)の Arcserve クラウド・サービスの提供(以下「本クラウド・サービス」といいます。)の一部として、当社による個人データの処理に適用されます。本クラウド・サービスは、(i) 本クラウド・サービスに適用される注文書、(ii) データ処理規約が参照している、貴社と当社との間で適用される契約またはその他の基本契約書(すべての別紙を含みます。)、(iii) 当社の適用方針、および/または(iv) 当社により提供される本クラウド・サービスの最終的な定義(iiiiii、およびⅳを併せて「本クラウド・サービス契約書」といいます。)に記載のとおりとします。


1.2.注文書に別段の明示の記載がない限り、データ処理規約の本バージョンは、本クラウド・サービス契約書の条件に組み込まれ、効力を生じ、当社が本クラウド・サービスを提供し続ける限り、有効に存続するものとします。


1.3.データ処理規約または注文書に別途定めがある場合を除き、本クラウド・サービス契約書の条項(方針または別紙を含みます。)とデータ処理規約の条項との間に矛盾がある場合、データ処理規約の関連条項が優先して適用されるものとします。


2. 定 義


2.1.「適用されるデータ保護法」とは、(i) 個人データの処理に係る個人の保護および当該データの自由な移動に関する 1995 10 24 日の指令 95/46/EC(「指令」)であって、個人デ

ータの処理および当該データの自由な移動に関する 2018 5 25 日現在適用される個人

データの保護に関する 2016 4 27 日の規則(EU2016/679 に置き換えられるまでのもの、ならびに (ii) データ処理規約のもとで、個人データの処理に適用される他のデータプライバシーまたはデータ保護に関する法律または規則を意味します。


2.2.「貴社」とは、注文書を締結した顧客企業を意味します。


2.3.「データ主体」、「データ保護影響評価」、「プロセス/処理」、「監督官庁」、「管理者」、「処理者」および(またはこれらに同等の用語)は、適用されるデータ保護法記載の意味を有するものとします。


2.4.EU モデル条項」とは、指令 95/46/EC に基づき第三国で設立された処理者への個人データの譲渡に関する 2010 2 5 日の EU 委員会決定 2010/87/EU に添付された標準契約条項、または EU 委員会決定に基づき採択される後継標準契約条項を意味します。


2.5.Arcserve 関係会社」とは、第 3.3 条に定める本クラウド・サービスの履行を援助する当社の関係会社を意味するものとします。


2.6.「個人データ」とは、本クラウド・サービスの一環として当社が貴社に代わって処理することができるデータ主体に関する情報を意味します。


2.7 「復処理業者」とは、当社が従事させ、第 3.3 条に定める個人データを処理することができる Arcserve 関係会社以外の第三者の下請業者を意味します。


上記で定義されない用語については、本クラウド・サービス契約書にまたはその他において特定される定義を有するものとします。


3. 個人データの管理者・処理者および処理の目的


3.1.貴社は、本クラウド・サービス契約書に基づき当社により処理される個人データの管理者であり、今後も常にそうあり続けることとします。貴社は、適用されるデータ保護法に基づく管理者としての貴社の義務の遵守、特に、当社への個人データの移転の正当化(必要な通知の履行、必要な同意および/または承認の取得、その他適用されるデータ保護法に関する適法性の確保を含みます。)、ならびに当該個人データの処理に関する貴社の決定および行為に対して責任を負うものとします。


3.2.当社は、本クラウド・サービス契約書に基づき貴社から当社に提供される個人データに関して、常に、処理者であり、今後も常にそうあり続けるものとします。当社は、データ処理規約に基づく自己の義務の遵守、および、適用されるデータ保護法に基づく自己の処理者


としての自己の義務の遵守につき責任を負うものとします。


3.3 当社、および第 8 条に定めるArcserve 関係会社および復処理者を含む当社の権限に基づいて行為する者は、(i) 本クラウド・サービス契約書およびデータ処理規約に基づき本クラウド・サービスを提供するため、(ii) 5 条に基づく貴社の書面指示を遵守するため、または(iii) 13 条に基づく当社の規制上の義務を遵守する目的に限り、個人データを処理するものとします。


4. 個人データおよびデータ主体の分類


4.1.当社は、本クラウド・サービスを実行するために、または貴社が発注した本クラウド・サービスに応じて、以下のカテゴリの個人データのいくつかまたはすべてを処理することができるものとします。氏名、自宅住所、自宅電話番号または携帯電話番号、FAX 番号、電子メールアドレス、パスワードなどの個人連絡先情報、年齢、生年月日、婚姻状況、子供の数、配偶者および/または子供の氏名などの家族・生活様式・社会的状況に関する情報、雇用者名、肩書、職歴、給与その他福利厚生、勤務実績およびその他の能力、教育/資格、身分証明書番号、社会保障の詳細および事業連絡先などの雇用の詳細、財務的な情報、提供されている商品およびサービス、モバイル機器、ネットワーク・キャリアまたはデータ・プロバイダから収集される固有の IDIP アドレス、ならびにオンライン行動および関心データ。


4.2.本クラウド・サービスを提供するために個人データが処理されるデータ主体の分類には、とりわけ、貴社の代表者、および貴社の従業員、求職者、契約者、協業者、パートナー、供 給業者、お客様およびクライアントなどのエンドユーザが含まれます。


4.3 個人データおよび/またはデータ主体の追加のカテゴリは、本クラウド・サービス契約書に記載することができます。貴社の注文書(サービス仕様書に含まれるものを含みます。)に別段の定めがない限り、貴社のコンテンツには、サービス仕様書に記載されているものに加えて、または本サービス仕様書に記載されているものとは異なる特定のデータセキュリティまたはデータ保護義務を当社に課す機密データまたは特殊個人データを含めることはできないものとします。


5. 貴社の指示


5.1.当社は、本クラウド・サービス契約書、および第 7 条に定めるデータ移転に関する指示も含むデータ処理規約に定める貴社の書面指示に従って、個人データ処理を行うものとし


ます。


5.2.貴社は、適用されるデータ保護法に従い行なわれる個人データの処理に関し、書面による追加指示を、当社に与えることができるものとします。当社は、当社が(i)適用されるデータ保護法に基づく処理者としての義務を順守するため、または(ii)11 条に定める個人デー

タ違反の通知、第 6 条に定めるデータ主体の要求の通知、およびデータ保護影響評価(DPIA)の補助など、貴社の本クラウド・サービスの使用に関連する、適用されるデータ保護法に基づく管理者としての義務を補助するため貴社に必要な範囲において、当該指示のすべてを順守するものとします。


5.3.適用されるデータ保護法が要求する範囲内で、当社は、貴社の指示が適用されるデータ保護法を侵害していると判断した場合、直ちに貴社にその旨を通知するものとします。


貴社は、当社が法律調査の実施または貴社へ法的アドバイスの提供につき責任を負わないことを確認し、それに同意するものとします。


5.4.本第 5 条に基づく当社の義務に影響を及ぼすことなく、両当事者は、本クラウド・サービスの条項で要求されていたものとは異なる、またはこれに加えたリソースの使用を必要とする指示に従うために、当社が負担する料金または費用に関して、誠意を持って協議するものとします。


6. データ主体の権利等


6.1.当社は、データ主体からのアクセス、削除または消去、制限、訂正、受信および送信、特定の個人データまたは一連の個人データの処理へのアクセスまたは処理への禁止または制限の要求を含む、データ主体が適用されるデータ保護法に基づく権利行使の要求に対して貴社が応答することを可能にするため、貴社に対して個人データを保持する本クラウド・サービス環境への電子アクセスをする権限を付与するものとします。


6.2. 貴社が電子アクセスを利用することができない範囲において、 貴社は、 xxxxx://xxxxxxx.xxxxxxxx.xxx/x/?xxxxxxxxxxx または本サービスに提供されるその他の適用される一次支援ツールを通じてサービス要求を提出することができ、当社に対して貴社の本クラウド・サービスの環境で保持される個人データに関連するデータ主体の要求にどのように応えるかについて記載された詳細な説明書(データ主体を特定するために必要な個人データを含みます。)を提供するものとします。当社は、当該指示に速やかに従うものとします。両当事者は、本クラウド・サービスの提供に必要なリソースとは異なるまたはそれに加


えてリソースの使用を要求する指示に従うために当社が負担する料金または費用に関して、誠意を持って協議するものとします。


6.3.当社が、個人データに関するデータ主体の要求を直接受け取った場合、データ主体が貴社をデータ管理者として扱っているときには、当社は、データ主体に回答することなく、かかる要求を貴社に速やかに転送するものとします。データ主体が貴社を管理者として扱っていない場合、当社は、データ主体に対して、個人データの収集に責任を負う団体に連絡するよう指示するものとします。


7. 個人データの移転


7.1.本クラウド・サービス環境で保持されている個人データは、本クラウド・サービス契約書で指定されているデータセンタ地域または貴社が選択したデータセンタ地域でホスティングされるものとします。当社は、貴社の事前の書面による承認無しに、貴社の本クラウド・サービス環境を別のデータセンタ地域に移行することはありません。


7.2.7.1 項に影響を与えることなく、当社は、IT セキュリティの目的、本クラウド・サービスおよび関連の維持および遂行、本クラウド・サービス、インフラストラクチャ、本クラウド・サービスの技術支援、本クラウド・サービスの変更管理の技術的サポート、本クラウド・サービスの管理の変更を含む本クラウド・サービスを遂行するにあたり、必要に応じて、全世界にわたって、個人データを利用し処理することができるものとします。


7.3.このような世界的アクセスが欧州経済地域(「EEA」)またはスイスで生じた個人データの EEA またはスイス以外の国に所在する当社の関係会社または復処理者であって、欧州委員会または所管の国内 EEA 情報保護当局による拘束力のある妥当性決定を受けていないものへの移転を含む限りにおいて、当該移転は、(i)引用によりデータ処理規約に組み込まれる EU モデル条項の条件、(ii) 承認された処理業者に関する拘束的企業準則のような、適用のあるデータ保護法に従った適切な水準の保護を提供する他の拘束力があり、かつ適切な移転のメカニズムに従うものとします。EU モデル条項の目的のため、貴社と当社は、(i) 貴社が、貴社自身の代理として、および貴社の事業体の代理としてデータ輸出者として行動すること、(ii) 当社が、データ輸入者として、自己の代理、および/または関連する Arcserve 関係会社の代理として行動すること、(iii) 復処理者が本 EU モデル条項第 11 条の下請業者として行動することに同意するものとします。


7.4.このような世界的アクセスが、アルゼンチンで生じた個人データを、国内個人データ保護局による拘束力のある妥当性の判断を受けていないアルゼンチン国外に所在する


Arcserve 関係会社または復処理者に移転することを含む限りにおいて、当該移転は、(i)引用によりデータ処理規約に組み込まれるアルゼンチンモデル条項の条件、または(ii)適用のあるデータ保護法に従って適切な水準の保護を提供する他の拘束力があり、かつ適切な移転のメカニズムに従うものとします。


7.5.世界中の他の場所から当社の関係会社または復処理者への個人データの譲渡は、適用されるすべてのArcserve セキュリティ、データ・プライバシー・ポリシーおよび基準に準拠して個人データのすべての移転を行うことを要求する Arcserve EU-US プライバシーシールドポリシー xxxxx://Xxxxxxxx.xxx/xxxxx/xx-xx-xxxxxxx-xxxxxx-xxxxxx/ の条件に従うものとし、(ii)復処理者については、データ処理規約の関連要求に準拠したセキュリティおよびデータプライバシー要件を盛り込んだ関連する当社 の復処理者の契約の条件に従うものとします。


7.6.データ処理規約の条件は、EU モデル条項および第 7 条に基づく他の適用可能な転送メカニズムと併せて読まれるものとします。


8. Arcserve 関係会社および復処理者


8.1.3.3 項、第 7 項および第 8 項に定める条件および制限に従い、貴社は、当社が本クラウド・サービスの履行を補助するために Arcserve 関係会社および復処理者に委託できることに同意するものとします。


8.2.当社は、貴社の要求に応じて、個人データを処理する復処理者または当社の関係会社について貴社にアドバイスを提供するものとします。


8.3.当社が貴社に対して当該通知を提出してから 14 暦日以内に、復処理者や当社の関係会社が適用されるデータ保護法に基づいて個人データを適切に保護することができることに関する正当な理由の根拠を提供している本クラウド・サービスの履行に意図的に関与している復処理者または当社の関係会社が対して、貴社は、マイ・アークサーブ・サポートまたは本サービスに提供されるその他の適用される主要支援ツールを通じてサービス要請を提出することにより、異議を申し立てることができます。 ただし、貴社の異議が正当化される場合、貴社および当社は、相互に受諾可能な解決策を見出すために誠意をもって協力し、かかる異議に対処するものとします。これには、復処理者または Arcserve 関係会社によるデータ処理規約または適用されるデータ保護法の遵守を裏付ける追加文書の検討、またはかかる復処理者の関与を伴わない本クラウド・サービスの交付が含まれますが、これらに限られません。貴社および当社が合理的な期間内に相互に受諾可能な解決に達しない場合、貴社は、(i)本クラウド・サービス契約書の条件に基づく事前の通知を送達次第、(ii) 当社に対


する責任を負うことなく、かつ(iii)終了日まで、本クラウド・サービス契約書に基づく貴社の支払義務から貴社を免除することなく、関連する本クラウド・サービスを終了する権利を有するものとします。本第 8.3 条に基づく終了が注文書に基づく本クラウド・サービスの一部にのみ関連する場合、貴社は、当該部分を反映した修正または差替発注を行うものとします。


8.4.Arcserve 関係会社および復処理者は、個人データの処理に適用されるデータ処理規約に 基づく当社と同等の水準のデータ保護およびセキュリティを遵守することが要求されます。貴社は、復処理者の監査を当社に要請するか、当該監査が行われたことの確認を提供する

(または、可能であれば、復処理者の運営に関する第三者監査報告書を取得するかまたは取得につきお客様を支援する。)ことにより、当該義務の遵守を確認することができます。貴社はまた、文書による要求に応じて、個人データを処理することができる復処理者および当社の関係会社との当社の合意の関連プライバシーおよびセキュリティ条件のコピーを受領する権利を有するものとします。


8.5.当社は、データ処理規約および適用されるデータ保護法の条項を遵守する Arcserve 関係会社および復処理者の義務の履行につき常に責任を負うものとします。


9. 技術的および組織的措置、および処理の機密性


9.1.当社は、個人データの処理のための適切な技術的および組織的安全対策を実施し、維持するものとします。これらの措置は、データ処理規約に規定される処理の性質、範囲および目的を考慮し、本クラウド・サービスの履行における個人データの処理に固有のリスク、特に、偶発的もしくは不法な破棄、紛失、改変、無断の開示、または送信、保存もしくはその他処理された個人データへのアクセスに起因するリスクから個人データを保護することを目的とします。


9.2.特に、当社は、サービスの仕様に明記されている、物理的アクセス、システム・アクセス、データ・アクセス、送信および暗号化、入力、データ・バックアップ、データ分離およびセキュリティの監視、実施および他のセキュリティ管理および措置を実施しています。貴社におかれては、貴社が発注する特定の本クラウド・サービスに適用される具体的な安全対策および慣行を理解し、これらの措置および慣行がデータ処理規約に基づく個人データの処理に適切であることを保証するために、適用されるサービス仕様を慎重に検討することを推奨致します。


9.3.個人データにアクセスする可能性のあるすべての当社および Arcserve 関係会社の職員、


ならびに第三者の復処理者は、適切な秘密保持契約の対象となります。


10. 監査権および貴社および監督機関との提携


10.1.貴社は、データ処理規約に基づく当社の義務の遵守につき、1 年に 1 回を限度として、当社を監査することができるものとします。さらに、適用されるデータ保護法で要求される範囲(貴社の監督官庁、貴社または貴社の監督官庁によって義務付けられている場合を含みます。)において、個人データを処理する本クラウド・サービス・データセンタ設備の検査を含むより頻繁な監査を実施することができるものとします。当社は、貴社が発注した本クラウド・サービスに適用される処理活動の関連記録を含め、監査を実施するために合理的に必要な情報および支援を貴社または貴社の監督官庁に提供することによって、当該監査に貢献するものとします。


10.2.第三者が監査を実施する場合、当該第三者は、貴社および当社により相互に合意されなければならない(当該第三者が正当な監督官庁である場合を除きます。)ものとします。当社は、貴社が要求する第三者監査人に対する同意を不合理に撤回してはならないものとします。第三者は、監査を実施する前に、当社に受け入れられる秘密保持契約書に署名するか、または法定の秘密保持義務に拘束されなければならないものとします。


10.3.監査を要請するために、貴社は、監査予定日の少なくとも 2 週間前に、詳細な監査計画 案を当社に提出しなければならないものとします。監査計画書には、提案された監査の範囲、期間、および開始日を記載しなければならないものとします。当社は、提案された監査計画 を検討し、懸念または質問(例えば、当社の安全、プライバシー、雇用または他の関連方針 を損なうおそれのある情報の要請。)を貴社に提供するものとします。当社は最終審査計画 に合意するため、貴社と協力して取り組むものとします。


10.4.要求された監査範囲が過去 12 ヶ月以内に適格な第三者監査人によって発行された SSAE 16/ISAE 3402 Type 2ISONISTPCI DSSHIPAA または同様の監査報告書で扱われ、当社が監査されたコントロールに既知の重大な変更がないことを確認する貴社に当該報告書を提出する場合、貴社は、報告書の対象となる同じコントロールの監査を要求する代わりに、第三者監査報告書に提示された結果を受け入れることに同意するものとします。


10.5.監査は、合意された最終監査計画および当社の安全衛生または他の関連方針に従って、対象施設において通常の営業時間内に実施されなければならず、当社の事業活動を不当に妨害してはならないものとします。


10.6.貴社は、第 10 条に基づく監査に関連して作成された監査報告書を、適用されるデータ保護法により禁じられているかまたは監督官庁により別段の指示がない限り、当社に提供するものとします。貴社は、貴社の規制上の監査要求事項を満たす目的、および/またはデータ処理規約の要求事項の遵守を確認する目的のためにのみ、監査報告書を使用することができるものとします。監査報告書は、本クラウド・サービス契約書の条件に基づく両当事者の本秘密情報です。


10.7.監査はすべて、貴社の費用負担で行われるものとします。両当事者は、本クラウド・サービスの提供に必要なリソースとは異なるまたはそれに加えてリソースの使用を必要とする監査の支援を提供するために当社が負担する料金または料金に関して誠意を持って交渉するものとします。


11. 事故マネジメントと個人データの侵害通知


11.1.当社は、個人データの不正アクセスまたは処理(「事故」)の疑いを生じさせ、または、それらを表示するような事態を、速やかに評価し、それらに対処することとします。個人データにアクセスし、処理することができるすべての当社および Arcserve 関係会社の従業員は、インシデントへの対応について指示されます。これには、関連するエビデンスを確保するために、迅速な社内報告、上申手続き、および一連の保管方法が含まれます。当社と復処理者との契約には、同様の事故報告義務が含まれています。


11.2.事故に対処するために、当社は、エスカレーションパスと情報セキュリティや法務など の社内機能を含む対応チームを構成します。当社の事故対応の目標は、本クラウド・サービ ス環境とその中に含まれている可能性のある個人データの機密性、完全性、可用性を回復し、xx的な原因と修復ステップを確立することです。事故 Arcserve の性質および範囲に応じ て、当社は、事故に対応するために貴社および外部の法執行機関と関与し協力することがで きるものとします。


11.3.個人データの安全性、機密性、完全性を備えた当社のシステムまたは本クラウド・サービス環境下において、送信、保管またはその他処理された個人データの横領または偶発的もしくは不法な破棄、紛失、改ざん、不正開示、または閲覧に繋がる安全の侵害としての事故であると当社が認定し、認定する範囲(「個人データの侵害」)において、当社は、不当に遅延することなく、遅くとも 72 時間以内に、かかる個人データの侵害につき、貴社に通知することとします。


11.4.当社は、個人データの侵害のxx原因を特定し、起こり得る悪影響を緩和し、再発を防


止するために合理的な措置を講じるものとします。個人データの侵害に関する情報が収集されるか、または法律で許容される範囲において当社に合理的に入手可能となる場合、当社は、(i)個人データの侵害の性質および合理的に予測される結果の説明、(ii)起こり得る悪影響を緩和し、再発を防止するために講じられる措置、(iii)可能な場合、個人データの侵害の主体であった個人データ記録およびデータ主体の概数を含む個人データおよびデータ主体の分類、ならびに(iv)貴社が監督官庁または影響を受けるデータ主体に開示することを要求される可能性がある当社が合理的に把握しているまたは入手可能な個人データの侵害に関する他の情報を貴社に提供するものとします。


11.5.適用されるデータ保護法に基づき別段の要求がない限り、両当事者は、関連する公式声明の内容または影響を受けるデータ主体に関する必要な通知または該当する監督機関への通知の作成に関して誠意を持って調整することに合意するものとします。


12. 本クラウド・サービスの終了に伴う個人データの返還および抹消


12.1.本クラウド・サービスの終了後、当社は、本サービス仕様書に別段の明示の規定がない限り、貴社の個人データを返却するか、回復可能にし、貴社の本クラウド・サービス環境下で利用できるようにします。本クラウド・サービスの一部として当社によって回復機能が提供されていない本クラウド・サービスについては、または貴社は、プロダクションとしての本クラウド・サービス環境が終了する前の有効な状況下で、個人データのバックアップをとるか、別途保存することが推奨されます。


12.2.本クラウド・サービスが終了した場合、または本クラウド・サービスの終了後の回復期間が満了した場合(可能な場合)、当社は法律で義務付けられる場合を除き当該個人データを回復不能とすることにより、個人データのすべてのコピーを本クラウド・サービス環境から速やかに削除するものとします。両当事者のデータ削除能力は、サービス仕様書に詳細に記載されています。


13. 法的に要求される開示請求


13.1.当社は、個人データの処理に関連する、行政府または行政機関、規制機関または他の政府機関の召喚状、司法命令、行政命令または仲裁命令(「開示請求」)を受け取った場合、別途適用のある法令が要求しない限り(受領した認識を開示請求してきた機関に提供することも含みます。)、速やかに、かかる開示請求を、返答することなく、貴社に転送することとします。但し、適用法により要求される(開示請求を行った当局に受領確認を提供することを含みます。)場合は除きます。


13.2.貴社の要求に応じて、当社は、本開示請求および貴社が本開示請求に適時に対応するために合理的に必要な支援に対応をし、自己の保有する合理的な情報を貴社に提供するものとします。


14. コンプライアンスチーム


14.1.当社では、xxxx@Xxxxxxxx.xxx で連絡することができるコンプライアンス・チームを設置しています。


14.2.貴社がデータ保護オフィサーを任命した場合、貴社は、貴社のデータ保護オフィサーの連絡先詳細を注文書に含めるよう当社に要請することができ、またはその後、関連する連絡先詳細を xxxx@Xxxxxxxx.xxx に連絡することができます。

Document Metadata

Filed: May 30th, 2019