CLOUD SOFTWARE GROUP データ処理補足契約

バージョン: 2022年9月30日

1. スコープ、優先順位、当事者

本データ処理補足契約書 (以下「DPA」といいます) は、Cloud Software Group およびその関連会社が Cloudサービス、テクニカルサポートサービス、またはコンサルティングサービス (以下「本サービス」といいます) を提供する過程においてお客様に代わって個人データを処理する場合に適用されます。本サービスは、関連するライセンスまたはサービス契約書および該当する本サービスの発注書 (以下「本契約」と総称します) に記載されています。本契約条項と本 DPA 条項間に矛盾がある場合は、本 DPA 条項が優先します。本 DPA 条項とEU 標準契約条項および/または英国 SCC 補足契約 (該当する場合) の間に矛盾がある場合は、EU 標準契約条項および/または英国SCC 補足契約 (該当する場合) が優先します。

本 DPA はエンドユーザーカスタマー (以下「お客様」といいます) と Cloud Software Group Holdings, Inc. 契約事業体 (以下「Cloud Software Group Holdings」といいます) との間で締結され、参照することで本契約に組み込まれます。

2. 定義

「お客様」とは、本 DPA に規定されたエンドユーザーを意味します。

「系列会社」とは、本 DPA に基づいて Cloud Software Group Holdings に協力してお客様の個人データを処理できるCloud Software Group Holdings, Inc. (Citrix Systems, Inc. およびTIBCO Software, Inc. を含みますが、これらに限定されません) の子会社を意味します。

「集計」とは、個人のグループまたはカテゴリに関連する情報を意味します。このグループまたはカテゴリから個人を削除すると、適用されるデータ保護法に基づいて、情報がいかなる個人にもリンクされなくなる、または合理的にリンクできなくなります。

「適用されるデータ保護法」とは、(i) EU 一般データ保護規則 2016/679 (以下「GDPR」といいます) および GDPR を実施または補足する法律または規則、ならびに (ii) 本契約に従って個人データの処理に適用される、現在有効なまたは将来有効となるその他の国際、連邦、州および地方のプライバシーまたはデータ保護に関わる法、規則、規制、指令および政府要件を意味します。

「カスタマーコンテンツ」とは、Cloud Software Group がサービスを実行するために、当社がアクセスまたは受信するデータ、またはお客様が保存や処理のために送信またはアップロードするデータを意味します。。また、お客様のシステムまたはネットワーク構成、お客様が選択したコントロールなど、お客様の環境に関連する独自の技術情報も含まれます。

「欧州経済ゾーン」とは、本 DPA においては欧州経済領域、スイス、および英国を意味します。

「2021 EU 標準契約条項」または「2021 EU SCC」とは、EU 委員会決定 2021/914/EU に添付された契約条項、またはEU 委員会によって承認された承継条項を意味します。

「個人データ」とは、氏名、識別番号、位置データ、オンライン識別子のような識別子または個人に関する物理的、生理的、遺伝子的、精神的、経済的、文化的もしくは社会的アイデンティティに固有の 1つもしくは複数の要素、その他適用されるデータ保護法によって定義された情報を参照することによって、直接的または間接的に、個人を一意に特定できる、本サービスの実施に関連して処理されるカスタマーコンテンツを意味します。

「個人データ侵害」とは、本サービスを実施するために、転送、保存、その他の処理の対象となる個人データに関する偶発的または違法な破壊、紛失、変更、不正な開示またはアクセスに至る、個人データに対するセキュリティの侵害を意味します。

「下請処理者」とは、本契約に従って本サービスを実施するために個人データの処理を請け負う第三者を意味します。

「英国SCC 補足契約」とは、英国情報コミッショナーオフィスが発行したEU 委員会標準契約条項 (vB1.0

またはそれ以降のバージョン) における国際データ移転の補足契約を意味します。

本 DPA において定義されていない用語 (「事業目的、消費者、管理者、データ主体、処理、処理者」など) は、本契約または適用されるデータ保護法において規定された意味を有すものとします。

3. データ管理者とデータ処理者の役割

本 DPA においては、本契約に基づく本サービスの実施において Cloud Software Group が処理する個人データのデータ管理者はお客様です。お客様は、本サービスの実施にあたってCloud Software Group に個人データを提供する際に適用されるデータ保護法に基づく管理者としての義務を遵守する責任があります。これには、同意の取得、各種通知の提供、その他必要な法的手続き、監督当局からの問い合わせに迅速に対応することなどが含まれますが、これに限定されません。本契約に明記されていない限り、お客様は、本契約および本 DPA で合意されている以上の特定のデータ保護要件を課す個人データへのアクセス権を Cloud Software Group に提供しないものとし、Cloud Software Group による個人データへのアクセス権をサービスの実施に必要な範囲に制限するものとします。

Cloud Software Group は、かかる個人データに対するデータ処理者かつサービスプロバイダーになりますが、お客様が個人データの処理者である場合は、Cloud Software Group は下請処理者になります。お客様の個人データは、お客様の独占的な財産であり、本契約の条項に基づく秘密情報です。 Cloud Software Group は、本契約および本 DPA に基づく、個人データの処理に適用されるデータ保護法で定められた義務を遵守する責任があります。

4. Cloud Software Group による処理の目的

第 6 項に記載されている下請処理者および系列会社を含む、本 DPA に基づいて Cloud Software Group により承認された人物ならびに Cloud Software Group は、本サービスを実施する目的でのみ、本契約に規定されている書面によるお客様からの指示、本 DPA、および適用されるデータ保護法に従って個人データを処理するものとします。また、Cloud Software Group は、Cloud Software Group 製品および本サービスの提供、セキュリティ確保、ならびに拡張のために、本サービスの一環として個人データを集計できるものとします。

Cloud Software Group は法令に基づき要求されない限り、召喚状、司法もしくは行政命令、またはその他の法的拘束力のある文書 (以下「要請」といいます) に応じて個人データを開示しないものします。法令によって禁止されている場合を除き、Cloud Software Group はいかなる要請においても速やかにお客様に通知し、合理的に必要と判断される範囲内において、お客様が速やかに要請に対応できるよう支援します。 Cloud Software Group は、本 DPA 条項に基づく個人データを保護する義務に従って、系列会社の一部もしくは全社に及ぶ、予定されているもしくは実際の合併、買収、事業譲渡、破産、またはその他の再編成に関連して、系列会社に個人データを提供できるものとします。

5. 個人データのデータ主体とカテゴリ

本サービスを実施するために Cloud Software Group にアクセス権を提供する個人データはお客様が決定します。これには、次のカテゴリのお客様のデータ主体における個人データの処理も含まれます。

• 従業員と応募者

• 顧客とエンドユーザー

• 供給業者、エージェント、請負業者

お客様の個人データの処理には次のカテゴリの個人データも含まれます。

• 氏名、生年月日、自宅住所などの直接識別子

• 自宅の電話番号、携帯電話番号、電子メールアドレス、住所、FAX 番号などの通信データ

• 年齢、生年月日、既婚/未婚、配偶者またはパートナー、子供の数および名前などの家族ならびに個人的な環境情報

• 雇用主、職場の住所、職場の電子メールおよび電話番号、役職および職務、給与、上司、雇用 ID、システムユーザー名およびパスワード、業績情報、CV データなどの雇用情報

• 財務情報、購入した製品またはサービス、デバイス識別子、オンラインプロファイルおよび動作、

IP アドレスなどのその他のデータ

• 本製品または本サービスの提供に関連してお客様が Cloud Software Group にアクセス権を提供するその他の個人データ

6. 下請処理

本 DPA 条項に従い、お客様は、Cloud Software Group が個人データを処理するために下請処理者および系列会社を起用することを承認するものとします。これらの下請処理者および系列会社は、少なくとも本契約および本 DPA により必要とされる Cloud Software Group のデータ保護レベルを提供するように要求する書面による契約によって拘束されます。また、Cloud Software Group は、そのような措置の遵守を確認するために設計された商業的に合理的な措置を実施していますお客様は、Cloud Software Group が下請処理者に対する監査を実行するか、または下請処理者の業務に関連する既存の第三者による監査報告書を取得することにより、当該要件への遵守を検証するように Cloud Software Group に要求することができます。また、お客様は、本サービスの提供に関わる下請処理者または系列会社に対して Cloud Software Group が設定するデータ保護条件のコピーを要求することもできます。 Cloud Software Group は、かかる下請処理者および系列会社の、本契約、本 DPA、および適用されるデータ保護法への遵守に対して常に責任を負うものとします。

下請処理者および系列会社のリスト、および当該リストの更新通知を取得する手順は xxxxx://xxx.xxxxxx.xxx/xxx/xxxxxxxxx/xxxxxxxxxxxx-xxxx.xxxx に掲載されています。新しい下請処理者に対して個人データへのアクセスを承認する少なくとも 14 暦日前までに、Cloud Software Group は下請処理者と系列会社のリストを更新するものとします。 Cloud Software Group が処理者である (および下請処理者でない) 場合、次の条件が適用されます。

• かかる下請処理者または系列会社が個人データを保護できないことに関する合理的根拠に基づいて、お客様が新しい下請処理者または系列会社を承認しない場合、お客様は、通知期間の終了前に、承認しない根拠の説明を含む、書面による解約通知をもってペナルティなく影響のある本サービスのサブスクリプションを解約することができます。

• 影響のある本サービスがスイート (または同等の一括購入サービス) の一部である場合、かかる解約はスイート全体に適用されるものとします。

• 当該解約後も、お客様は、ELA リセラーまたはCloud Software Group に対する発注書またはその他契約上の義務において要求されるすべての支払いを行う義務を負うものとし、ELA リセラーまたは Cloud Software Group から返金を受ける権利は発生しないものとします。

7. 個人データの国外移転

本サービスにおいて、お客様と Cloud Software Group は個人データの保管場所について合意できるものとします。前述にかかわらず、Cloud Software Group は本サービス実施のために適宜個人データを米国またはその他の第三国に移転できるものとし、お客様が、本サービスを提供するために必要な個人データの処理のために、かかる移転を Cloud Software Group に指示するものとします。 Cloud Software Group は、かかる個人データが保存または処理される場所にかかわらず、本 DPA の要件に従うものとします。

処理が Cloud Software Group、関連会社または下請処理者への個人データの国際移転を伴う場合、(i) お客様と欧州経済圏内にあるCloud Software Group、関連会社または下請処理者間で、または (ii) その他の適用データ保護法に従って、かかる移転はこの DPA および適用データ保護法で規定されたデータ保護条件に従うものとします。

個人データの処理において、(i) EU 委員会または英国情報コミッショナーオフィスが十分なレベルのデータ保護を提供するとみなしていない、および (ii) 個人データを国外に移転するための他の正当な根拠がない管轄内の Cloud Software Group、系列会社、下請処理者に、欧州経済ゾーン内の適用されるデータ保護法に基づいてかかる個人データを国外に移転する場合、当該移転は、2021 EU 標準契約条項および/または英国 SCC 補足契約 (該当する場合) または適用されるデータ保護法に基づくその他の有効な転送方法のいずれかに従うものとします。国外に移転する場合、次の契約条項に基づくものとします：

• 2021 EU SCC、当事者は改変のない形で 2021 SCC が参照により組み込まれるものとします。 (該当する場合、お客様が管理者で Cloud Software Group が処理者でであるモジュール 2、またはお客様と Cloud Software Group の両方が処理者であるモジュール 3)。

• 英国 SCC 補足契約。改変のない形での英国SCC 補足契約が参照により組み込まれるものとします。

Citrix Services の場合、 2021 EU SCC および英国 SCC 補足契約は、 Citrix Trust Center (xxxxx://xxx.xxxxxx.xxx/xxxxx/xxxxx-xxxxxx/xxxxxxxxxx.xxxx) に掲載されています。これは、お客様の居住地にかかわらず、お客様とCitrix Systems, Inc. 間の取り決めとします。 TIBCO Services の場合、2021 EU SCC および英国SCC 補足契約は、TIBCO ウェブサイト (xxxxx://xxxxx.xxxxx.xxx/#xxxx-xxxxxxxxxx-xxxxx) に掲載されています。かかる目的において、お客様は、お客様およびお客様の法人を代表してデータ輸出者として業務を遂行し、Citrix または TIBCO (該当する場合) は自社および系列会社を代表してデータ輸入者として業務を遂行するものとします。 2021 EU SCC の第 7 条項において、承継が認められた事業体はお客様をとおしてその権利を行使するものとします。お客様は、Citrix の場合は Citrix Trust Center、TIBCO の場合は xxxxx://xxxxx.xxxxx.xxx/#xxxx-xxxxxxxxxx-xxxxx に掲載されている、本 DPA に組み込まれる 2021 EU SCC およびは英国SCC 補足契約を正式に履行できるものとします。

8. データ主体からの要求

Cloud Software Group は、データ処理者としての Cloud Software Group の役割に矛盾しない方法で、お客様がお客様のデータ主体の個人データにアクセスできるようにし、適用されるデータ保護法に基づきデータ主体からの 1 つまたは複数のデータ主体の権利を行使するという要求をお客様が満たすことができるようにします。 Cloud Software Group はお客様の対応を支援するために合理的な支援を提供するものとします。

Cloud Software Group がデータ主体から、適用されるデータ保護法に基づき 1 つまたは複数のデータ主体の権利を行使するという要求を直接受けた場合、Cloud Software Group は法令により禁止されていない限り、かかるデータ主体をお客様に案内するものとします。

9. セキュリティ

Cloud Software Group は、個人情報の誤用、偶発的または違法な破壊、喪失、改変、不正な開示またはアクセスから個人情報を保護するように設計された適切な管理、技術的および組織的対策を実施、維持するものとします。かかるセキュリティ対策は、xxxxx://xxx.xxxxxx.xxx/xx-xx/xxx/xxxxxxxxx/xxxxxx-xxxxxxxx- security-exhibit.html で参照可能な Cloud Software Group サービスセキュリティ別紙に記載されています。 Cloud Software Group は継続的にセキュリティ対策の強化および改善に努めており、ここに記載された対策を変更する権利を留保します。いかなる変更も、本サービスの関連する期間中のセキュリティレベルを低下させるものではありません。

Cloud Software Group の従業員は、適切な機密保持契約によって拘束され、定期的なデータ保護トレーニングを受け、Cloud Software Group の企業プライバシーおよびセキュリティに関するポリシーならびに対策を遵守する必要があります。

10. 個人データ侵害

Cloud Software Group は、Cloud Software Group の所有、保管、または管理下にある個人データを含む個人データ侵害に気付いた場合、遅滞なくお客様に通知するものとします。かかる通知は少なくとも以下を満たすものとします。 (i) 関連するお客様のデータ主体のカテゴリと概数、関連する個人データレコードのカテゴリと概数を可能な限り含む、個人データ侵害の性質を記載します。(ii) データ保護責任者またはより多くの情報を取得できるその他の担当者の氏名および詳細情報を含みます。(iii) 起こりうる悪影響を低減させるための措置を含め、個人データ侵害に対処するために講じられた措置または講ずるように提案された措置を記載します。お客様は、声明書または個人もしくは監督機関への求められる通知の内容について Cloud Software Group と調整を図るものとします。

11. お客様の指示と情報および支援の提供

お客様は、データ管理者およびデータ処理者として、適用されるデータ保護法に基づく義務をお客様と Cloud Software Group が果たすために必要な個人データの処理に関連して、Cloud Software Group に追加の指示を提供できるものとします。 Cloud Software Group は、お客様の指示に追加料金なしで従います。ただし、お客様の指示により、本契約に基づく本サービスの範囲に含まれる以上の費用が Cloud Software Group に課せられる場合、両当事者は、追加費用を決定するために誠意をもって交渉することに同意するものとします。 Cloud Software Group は、お客様の指示が適用されるデータ保護法に矛盾すると信ずる場合、迅速にお客様にその旨を報告するものとします。ただし、Cloud Software Group は、お客様による個人データの処理を独立して検査または検証する義務はないものとします。

Cloud Software Group は、適用されるデータ保護法に基づくお客様の義務、さらに本 DPA に明記されているお客様の義務をお客様が遵守できるよう支援するために合理的に必要な情報をお客様に提供するものとします。これには (処理の特性およびCloud Software Group が利用できる情報を考慮に入れた) 適切なデータセキュリティ対策の導入、データ保護影響評価の実施、監督当局への問い合わせなどの EU 一般データ保護規則に基づくCloud Software Group の義務も含まれますが、これに限定されません。

12. 個人データの返却と削除

Cloud Software Group は、本サービスの提供終了後、すべての個人データを返却する、またはお客様が当該個人データを取得できる機会を提供し、かつ既存のコピーを削除するものとします。クラウドサービスについては、お客様は、本契約が終了してから 30 暦日後まで、お客様の個人データをダウンロードできるものとし、ダウンロード用のアクセス方法については、お客様は Cloud Software Group テクニカルサポートに問い合わせるものとします。この目的において本サービスの終了から 30 暦日以内にお客様が

Cloud Software Group テクニカルサポートに連絡しなかった場合、お客様が個人データにアクセスできない状態になった時点で直ちに Cloud Software Group がお客様の個人データを削除するものとします。ただし、(i) 通常業務でバックアップが削除されている、および (ii) 適用される法令によりデータ保持が要求されている場合は例外となります。 (i) または (ii) のいずれかの場合、当該データが削除されるまで、Cloud Software Group は引き続き本 DPA の関連条項に準拠するものとします。ご要望に応じて、書面による削除の確認書を提供します。

13. 監査

前述の第 11 項に基づいてお客様が要求するCloud Software Group の情報が、適用されるデータ保護法に基づくお客様の義務を満たさない場合、お客様は、Cloud Software Group によるお客様の個人データの処理に対する監査を年に 1 回、または適用されるデータ保護法により必要とされる回数まで実行できるものします。監査を要求する場合、その 3 週間前に、お客様は Cloud Software Group Holdings に詳細な監査計画を提出する必要があります。 Cloud Software Group は、書面による最終計画に合意できるように誠意をもってお客様に協力するものとします。当該監査により発生する費用はお客様が支払うものとします。また、監査は通常営業時間内に行われるものとし、Cloud Software Group の業務に支障がないようにし、 Cloud Software Group Holdings のセキュリティ規則および要件に従うものとします。監査前に、Cloud Software Group は合理的に要求される情報、およびお客様の監査義務を満たす関連証拠をお客様に提供するものとし、お客様は独立監査を実施する前に、かかる情報の検証を行うものとします。要求される監査範囲に、適格の第三者監査人によって 12 カ月以内にCloud Software Group に提出された監査報告書と重複する期間が含まれていた場合、それに応じて当該監査範囲を短縮することに当事者は合意するものとします。

お客様は、Cloud Software Group との契約において第三者監査人に監査を依頼できるものとし、これは不合理に留保されないものとします。第三者監査の前に、かかる監査人は適切な機密保持契約を Cloud Software Group と締結する必要があります。第三者が、適用されるデータ保護法によって Cloud Software Group を直接監査できる監督当局である場合、Cloud Software Group は適用される法令に従って当該監督当局と連携して、合理的な支援を提供するものとします。

適用されるデータ保護法によって禁止されていない限り、お客様は、最終報告書のコピーを Cloud Software Group に提供し、本契約 (またはお客様と Cloud Software Group との間で締結した機密保持契約)の条項に従ってこれらを機密情報として扱い、本契約、本 DPA、および適用されるデータ保護法への Cloud Software Group の遵守を評価する目的でのみ使用するものとします。

14. データ保護責任者

お客様は、Cloud Software Group Holdings, Inc. (100 District Avenue, Burlington MA 01803 USA) の Cloud Software Group グローバルデータ保護責任者に問い合わせることができます。データ保護責任者を指定している場合は、本サービスの発注書に当該データ保護責任者の連絡先情報を含めることができます。

15. 契約期間

本 DPA は本サービスの購入日をもって有効となります。本契約の終了は、本DPA に基づくいずれの当事者の義務も免除するものではありません。

Document Metadata

Table of Contents

CLOUD SOFTWARE GROUP データ処理補足契約

Document Metadata