マイクロソフト発注条件(「PO 条件」)
マイクロソフト発注条件(「PO 条件」)
1. 承諾および効力。本PO 条件は、マイクロソフト法人 (以下「マイクロソフト」といいます) と適用される SOW に規定するサプライヤー(以下「サプライヤー」といいます) の間で締結されるものであり、以下を対象とします。
a. 「クラウドサービス」: サプライヤーが本PO 条件に基づくか、それに関連して利用可能にするサービス、Web サ イト (ホスティングを含みます)、ソリューション、プラットフォームおよび製品。これにはサプライヤーがこれらのものを提供するために必要となるソフトウェア、モバイル アプリ、機器、テクノロジーおよびサービスが含まれます。
b. 「成果物」: 物品、サービスまたはクラウド サービスの提供の一環として、サプライヤー (またはサプライヤーの承認を受けた
下請業者) がマイクロソフトのために開発したすべての作業生産物 (本PO 条件に関連する知的財産 (以下
「IP」といいます) を含みます)。成果物は、マイクロソフトの「職務著作物」 (著作xxの定義による) です。
c. 「物品」: 本PO 条件に基づきマイクロソフトによってライセンス許諾または購入されたソフトウェアまたは有形財。
d. 「サービス」: 本PO 条件に基づいてマイクロソフトが購入したプロフェッショナル サービス、広告、コンサルティング サービスならびにサポートおよびメンテナンス サービス。
e. 「SOW」とは、以下のいずれかを意味します。(1) マイクロソフトが発行した PO、(2) 両当事者の正当な権限を有する代表者が署名もしくは記名押印した作業指示書もしくはその他の発注書類、または (3) 本PO 条件を参照し、本 PO 条件に従い、両当事者の正当な権限を有する代表者が署名もしくは記名押印した個別契約書。
本PO 条件は、サプライヤーによる履行の開始または適用される SOW にサプライヤーが署名もしくは記名押印した日のいずれか早い時点をもって効力を生じます。以下第 2 条に規定する場合を除き、サプライヤーによる本 PO 条件の承諾は、対案なく、以下の条項に明示的に限定されます。
2. 他の契約との関係。本 PO 条件の規定は、マイクロソフトとサプライヤーとの間の完全な法的拘束力を持つ契約です。ただし、以下の場合を除きます。
a. 両当事者が、マイクロソフトサプライヤーサービス契約など、本 PO 条件の締結日において有効であり、かつ、本 PO 条件に従って発注される物品、本サービスまたは本クラウド サービスに適用される契約を相互に締結しており、本 PO 条件で規定される両当事者の関係に当該契約が適用される場合、かかる契約の規定が組み込まれます。本PO 条件と当該契約が抵触する場合には、かかる抵触が生じている範囲において、当該契約の条項が適用されます。本 PO 条件の目的上、マイクロソフトが物品、本サービスまたは本クラウド サービス(インストールされたアプリケーション、組込みソフトウェア、サービスとしてのソフトウェアやプラットフォームなど) にログインまたはアクセスするために受け入れるオンライン条件または契約は、「相互に締結」される契約ではなく、いかなる方法によっても本PO 条件の内容を置換、補足または変更することはできません。
b. 同様の規定または相反する規定を含む複数の契約が本 PO 条件に適用されうる場合、両当事者は、マイクロソフトに最も有利な条件が適用されることに合意します。ただし、その結果が不合理、不当、または法令によって禁止される場合を除きます。
c. 本第 2 条に規定する場合を除き、ならびに第 9 条に規定する変更および第 14 条の解除に関する規定を除き、追加の条件または異なる条件 (オンライン条件または契約など) は、両当事者が文書に署名または記名押印しない限り、本 PO 条件には優先しません。
3. 物品または成果物の梱包、出荷、および返品。本 PO 条件に別段の規定がない限り、以下の条件が適用されます。
a. 梱包。
(1) 価格が重量に基づくものである場合、かかる価格は正味の重量のみにより算定されます。
(2) サプライヤーは、箱詰め、木箱詰め、取り扱いによる損傷、運搬または保管など、梱包または出荷前の費用をマイクロソフトに請求しないものとします。
b. 出荷。
(1) サプライヤーは、すべてのコンテナに、必要な取り扱いおよび出荷情報、発注番号、出荷日、ならびに荷受人および荷送人の名称を記載するものとします。
(2) 各出荷品には、明細が記載された請求書、梱包明細書、ならびに物品もしくは成果物の国内もしくは国際輸送、規制当局による認可、または確認に必要なその他の文書を添付するものとします。
(3) マイクロソフトは、受領した数量 (ただし、発注される最大数量を超えない数量) についてのみ支払を行います。
(4) マイクロソフトまたはその代理人は過剰出荷分を、サプライヤーの責任と費用負担により、サプライヤーからの出荷指示を待つ合理的な期間、保管するものとします。
(5) マイクロソフトは、出荷または配送費用を請求されないものとします。
(6) 別段の合意がない限り、物品および成果物は本 PO の日付から 10 日後に、以下により引き渡されるものとします。
(1) 物品および成果物がマイクロソフト指定の引渡場所と同じ法域から発送される場合は、マイクロソフト指定の引渡場所への FOB (xxx)、または
(2) 物品および成果物がマイクロソフト指定の引渡場所に国境を越えて引き渡される場合は、マイクロソフト指定の引渡場所への DDP (関税込持込渡) (Incoterms 2010 の定義による)。
(7) 指定の引渡場所でのマイクロソフトによる最終受け入れまでに発生する物品または成果物の全部または一部の紛失、損傷または破損のリスクは、すべてサプライヤーが負うものとします。受け入れまでにマイクロソフトの従業員の重過失により引き起こされた紛失については、すべてマイクロソフトが責任を負います。
c. 返品。過剰出荷された数量または拒否された品目に関する返送料金は、サプライヤーが負担するものとします。
4. 請求書。
a. 別段の合意がない限り、サプライヤーは、受諾した物品、本サービスおよび成果物についてのみ、後払いにより月次でマイクロソフトに請求します。
b. サプライヤーは、 SupplierWeb (xxxxxxxxx.xxx) に従い、MS 請求書を使用してマイクロソフトに請求書を発行します。Microsoft Invoicing プロセスは、電子請求送信プロセスです。MS Invoice (xxxxx://xxxxxxxx.xxxxxxxxx.xxx)
は、マイクロソフトが受取人に提供する Web ベースのアプリケーションであり、受取人はこれを使用してマイクロソフトに直接電子請求書を送信することができます。MS Invoice ツールは、電子請求書の 1 対 1 での送信、または請求書が複数ある場合は一括アップロードによる送信をサポートします。このプロセスを介して請求書を送信することができない場合、受取人は、Microsoft Accounts Payable ヘルプデスク(xxxxx://xxx.xxxxxxxxx.xxx/xx- us/procurement/contracting-apsupport.aspx) に連絡し、正当な理由を提示してください。マイクロソフトが例外的に代替の請求書送信プロセスを提供します。請求書には以下の情報を記載しなければなりません。発注番号、品目番号、品目の内容、数量、単価、合計金額、梱包明細番号、送料、出荷先の都道府県、税金、およびマイクロソフトが合理的に要求するその他の情報。サプライヤーは、サプライヤーの請求書の調査、報告、または誤りの訂正に関する料金をマイクロソフトに請求しません。
c. マイクロソフトは、書面で通知することにより、または部分支払を行うことにより、請求書について異議を申し立 てることができます。マイクロソフトは、当該請求書の受領後 60 日以内に書面をもってサプライヤーに係争金額について通知するために商業的に合理的な努力を行います。通知を提供しなかったり請求金額の支払を行わなかったりしても、請求または権利を放棄したものとはみなされません。
5. 支払条件/現金割引/相殺/費用。
a. マイクロソフトが物品、本サービスまたは本クラウド サービスを受け入れ、正確かつ異議のない請求書を受領した日(以下「作成日」といいます) の後、マイクロソフトは当該作成日から 60 日以内に、支払を行うものとしま
す。
b. マイクロソフトは、マイクロソフトが物品、本サービスまたは本クラウド サービスを受け入れてから 120 日以上が経過した後でサプライヤーから受領した請求書に対し支払義務を負いません。
c. 請求書の支払は本PO 条件に基づく物品の受け入れとはみなされず、サプライヤーの誤り、不足、瑕疵、またはその他サプライヤーが本PO 条件の要件を満たすことができなかったことについての調整の対象となります。
d. マイクロソフトは、マイクロソフトに支払われる金額を、マイクロソフトがサプライヤーまたはサプライヤーの関連会社に支払うべき金額と相殺することができます。マイクロソフトは、当該相殺後合理的な期間内にサプライヤーに通知するものとします。
e. 別段の合意がない限り、本 PO 条件に基づく物品、本サービスまたは本クラウド サービスの提供および本
PO 条件の履行に要した費用については、すべてサプライヤーが責任を負うものとします。
6. 税金。
a. 以下に別途規定する場合を除き、マイクロソフトからサプライヤーに支払われる金額には、租税を含みません。マイクロソフトは、サプライヤーが法令により支払義務を負う税金についていかなる責任も負いません。これには、所得税または総受取金税、事業免許税および固定資産税が含まれます。マイクロソフトは、本 PO 条件の締結により負担した、法令によりサプライヤーがマイクロソフトから徴収することを義務付けられている販売税、使用税または付加価値税をサプライヤーに支払います。
b. マイクロソフトは物品、本サービスまたは本クラウド サービスの輸入に関与しないものとし、輸入税は、SOW において別段の合意がない限り、サプライヤーの負担とします。
c. マイクロソフトが有効な免税証明書をサプライヤーに提供する場合、サプライヤーは、かかる書類の対象となる税金を徴収しません。
d. 法令によりマイクロソフトからサプライヤーへの支払額から税金の源泉徴収が義務付けられている場合、マイクロソフトはかかる税額を差し引いて該当する税務当局に納めることができます。マイクロソフトは、かかる税金について正式な納税証明書をサプライヤーに提供します。マイクロソフトは、法令で認められる限りにおいて、源泉徴収税の金額を最小限に抑える合理的な努力を行います。
7. 検査および受け入れ。
a. サプライヤーが本PO 条件の基準および仕様を遵守しない場合、マイクロソフトは本 PO 条件または適用される
SOW を取り消すことができます。
b. すべての物品および本サービスは、製造期間中を含め最終受け入れの前に、任意の時間および場所において マイクロソフトの検査およびテストを受けるものとします。マイクロソフトがサプライヤーの施設で検査またはテストを行う場合、サプライヤーは、追加料金なしで、マイクロソフトの検査担当者の安全および便宜のために、すべての合理的な施設および支援を提供するものとします。 最終検査および受け入れの前に検査もしくはテストを行 い、または行わなかったとしても、サプライヤーは、瑕疵または本 PO 条件の要件を満たすことができなかったことに対する責任を免れません。
c. 本PO 条件に基づいて提供される品目に材料もしくは仕上がりの瑕疵があり、または本 PO 条件の要件を満たしていない場合、マイクロソフトは、修正なしでこれを拒否すること、指定期間内に修正するよう要求すること、価格を調整してこれを受け入れること、またはサプライヤーに返品して全額の返金を受けることができます。マイクロソフトがサプライヤーに通知を提供した場合、サプライヤーは、自らの費用負担で、拒否されまたは修正を必要とする品目をすみやかに交換または修正するものとします。マイクロソフトの要請後に、サプライヤーが瑕疵のある品目を提供スケジュール内にすみやかに交換または修正しなかった場合、マイクロソフトは、自らの裁量により、(1)かかる品目を交換または修正してその費用をサプライヤーに請求すること、(2) さらなる通知を行うことなく、不履行を理由に本 PO 条件または適用される SOW を解除し、サプライヤーの費用負担で、拒否した品目をサプライヤーに返品すること(この場合、サプライヤーは返品された品目についてマイクロソフトが支払った金額をすみやかに返金するものとします)、または (3) 価格の引き下げを要求すること、ができます。
d. 以前に行われた検査または支払にかかわらず、すべての物品および本サービスは、引渡または履行後合理的な期間内にマイクロソフト指定の場所で最終的な検査を受け、受け入れられるものとします。 すべての検査作業の記録は、本PO 条件の履行中およびその後さらにマイクロソフトが定める期間において、完全かつマイクロソフトが利用可能な状態を維持するものとします。
8. クラウド サービスの追加要件。
a. サービスレベル。サプライヤーは、適用される SOW に定義されたメンテナンス期間中に、本クラウド サービスのアップグレードまたはメンテナンスを予定するものとします。サプライヤーは、本クラウド サービスを、 xxxxx://xxx.xx/XX_XXX (またはその後継のリンク) において指定されたサービス レベルおよび条件に従って提供するものとします。本内容は文書の一部とみなされ (例: 仕様書)、本PO 条件の一部として組み込まれます。
b. 事業継続性。サプライヤーは、マイクロソフトに供給する本クラウド サービスへの継続的なアクセスおよび支援を提供するため、有効な全社的事業継続プログラム (災害復旧および危機管理手順を含みます) の確立、実施、テストおよび保守について責任を負うものとします。少なくとも、サプライヤーは常に、(1) システムの複製または予備をバックアップ、アーカイブおよび維持しなくてはならず、これらは、(i) 安全な物理的場所(本クラウドサービスの提供に使用される主要システムの収容場所を除く) に保管され、(ii) 少なくとも年 1 回は更新およびテストが行われ、(iii) 本クラウドサービスおよびすべてのマイクロソフト マテリアルを日々完全に復旧できるものである必要があります。また、(2) バックアップされたデータおよびシステムをサプライヤーのバックアップ場所に転送するための手順およびその頻度を確立し、それらに従う必要があります。サプライヤーは要請に応じて、企業事業継続プログラムの概要をマイクロソフトに提供し、マイクロソフトが当該プログラムの妥当性を確認できるように、当該プログラムに関連するマイクロソフトからの問い合わせに対しては、迅速かつ誠実に、書面よる回答を行うものとします。
c. 移行。適用される SOW が解除されるか満了する場合、またはマイクロソフトが書面で要請する場合、サプライヤーは、(1) すべてのマイクロソフト マテリアルを含むマイクロソフト用のバックアップ メディア(マイクロソフトが合理的に要請する場合) (ただし、本クラウド サービスがこれをマイクロソフトに対するセルフ サービス機能として提供している場合を除く)、および (2) 本クラウド サービスからの適時かつ円滑な移行のためにマイクロソフトが合理的に要請するすべての支援 (マイクロソフトの費用負担による) を提供するものとします。
9. 変更。マイクロソフトは、電子メールを含め書面をもってサプライヤーに通知することにより、サプライヤーの保証人、下請業者または譲受人に通知することなく、サプライヤーによる履行を一時停止し、発注数量を増減し、またはマイクロソフトが業務上合理的に必要とする場合には変更を加えることができます (以下それぞれを「変更発注」といいます)。相互に合意した場合を除き、変更発注は、変更発注日よりも前に適時かつ完全に提供された物品および本サービスの変更には 適用されません。変更によりサプライヤーの履行に要する費用または履行に必要な時間の増減が生じる場合、マイクロソフトがかかる調整に書面で同意する場合には、価格、提供スケジュールまたはその両方について適正な調整が行われる場合があります。
10. ツールおよび機器。マイクロソフトに提供され、マイクロソフトによって支払われ、またはマイクロソフトに対して請求され た、物品および本サービスの提供において使用するためにサプライヤーが取得するすべてのツール、機器またはマテリアル(仕様、図面、ツール、金型、鋳型、取付具、ひな型、ホブ、電極、抜き型、アートワーク、スクリーン、テープ、テンプ レート、特別なテスト機器、測定機器、コンテンツ、データおよびソフトウェアなど) は、引き続きマイクロソフトの財産であ るかマイクロソフトの財産になるものとし、マイクロソフトの秘密情報として取り扱われ、かつ、マイクロソフトの要請に応じてすみやかに、マイクロソフトが費用を負担することなく、適切な状態 (通常使用による損傷を除きます) で、第 3 条に従ってサプライヤーがマイクロソフト指定の引渡場所に引き渡すものとします。サプライヤーは、当該品目および情報が、マイクロソフトの書面による許可を事前に得ずに、マイクロソフト以外のための作業またはマテリアルもしくは部品の製造に使用されないことを保証するものとします。サプライヤーは、本サービスと連携して使用されるすべての第三者の IP またはソフトウェアをマイクロソフトに明らかにするものとします。
11. 報告。マイクロソフトから要請があった場合、サプライヤーは、本 PO 条件に基づき提供されるすべてのソフトウェアについて、ソフトウェア部品表 (以下「SBOM」といいます) をマイクロソフトに速やかに提供します。各 SBOM は、米国商務省が定めた、または別途法令により定められる最低要件を満たします。
12. 各当事者の IP 権利の帰属および使用。
a. 既存のIP ならびに本 PO 条件に基づく物品、本サービスおよび本クラウドサービスとは関係なく開発された IP (これらのIP に係る当該当事者の IP 権利を含みます) については、各当事者がすべての権利を所有および留保するものとします。
b. マイクロソフトは、サプライヤーが本サービスの提供において作成したすべての IP 権利、形式を問わないすべてのメディア、ハードウェアおよびその他の有形資料など、すべての成果物に対する権利を所有します。成果物に関連する、成果物に使用される、書面による、またはカスタマイズされた製品もしくはレポートとしてのサプライヤーの著作物は、IP とみなされます。
c. 成果物が職務著作物とみなされない場合、サプライヤーは、すべてのIP 権利を含む成果物に関するすべての権利、権原および権益をマイクロソフトに譲渡するものとします。サプライヤーは、成果物のすべての著作者人格権を放棄します。
d. サプライヤーがサプライヤーまたは第三者のIP を物品または本サービスで使用する場合、サプライヤーの IP 権利は引き続きサプライヤーが保有します。サプライヤーはマイクロソフトに対し、すべての現在および将来の IP 権利に基づき、本第 12 条に基づくマイクロソフトの所有権益に合致するサプライヤーおよび第三者の IP を使用するための、地域非限定、非独占的、永続的、取消不能、ロイヤルティ不要、全額払込済みの権利およびライセンスを許諾します。
e. サプライヤーは、マイクロソフトおよびその関連会社 (マイクロソフトまたはその関連会社が業務に従事させるた めに雇用する従業員、請負業者、コンサルタント、外注作業員、およびインターンを含みます) に対し、相互に締 結された別途のライセンスが適用されないソフトウェアまたはその他の IP (インストール済みのアプリケーションを含みます) を含む物品に対する地域非限定、取消不能、非独占的、永続的、払込済みおよびロイヤルティ不要のライセンスを許諾するものとします。このライセンスにより、マイクロソフトは物品に関連してかかるソフトウェアおよびIP を使用することができます。マイクロソフトは、マイクロソフトの関連会社または売却もしくはリースによる後継所有者に、このライセンスを移転することができます。
f. サプライヤーは、マイクロソフトおよびその関連会社 (マイクロソフトまたはその関連会社が業務に従事させるために雇用する従業員、請負業者、コンサルタント、外注作業員、およびインターンを含みます) ならびにそのエンドユーザー(該当する場合) に対し、本クラウド サービスの実施に必要な限度において、マイクロソフトの事業目的により期間中に本クラウド サービスにアクセスおよび使用するための、地域非限定、非独占的、無制限、払込済みおよびロイヤルティ不要の権利を許諾するものとします。本クラウド サービスへのアクセスは、SOW に別段の定めがない限り無制限とします。
g. 保証および補償の提供。サプライヤーは、物品に関する第三者の製造業者およびライセンサーの保証および補償をすべてマイクロソフトに譲渡および提供するものとします。
h. 許諾ソフトウェア以外の物品の権原は、最終受け入れ時にサプライヤーからマイクロソフトに移転します。
i. マイクロソフト IP。
(1) サプライヤーは、「マイクロソフト マテリアル」を使用することができます。「マイクロソフト マテリアル」とは、マイクロソフト、その関連会社、またはその各エンド ユーザーにより、またはそれらに代わって、本サービスまたは本クラウド サービスを実施するためにサプライヤーに提供されたマテリアル、または物品、本サービスまたは本クラウド サービスに関連してサプライヤーが取得または収集したマテリアル
(例: 使用に関するデータ) で、有形または無形のものを指します (ハードウェア、ソフトウェア、ソース コード、ドキュメント、方法、ノウハウ、プロセス、技術、アイデア、コンセプト、テクノロジー、レポートおよびデータを含みます)。マイクロソフト マテリアルには、上記のマテリアルの修正版または二次的著作物、(i) 個人データ、(ii) 商標、(iii) AI モデル(以下に定義) への入力データとプロンプトおよびAI モデルにより生成された出力データ、ならびに本サービスまたは本クラウド サービスの一部としてサプライヤーデータベースに入力されるデータが含まれる場合があります。マイクロソフト マテリアルには、サプ
ライヤーが本PO 条件に基づかず入手した、本 PO 条件とは関係のないマイクロソフト製品は含まれません。
(2) マイクロソフトはサプライヤーに対し、(i) 本PO 条件に従って本サービスを実施するために必要な限りにおいて、サプライヤーに提供されたマイクロソフト マテリアルを複製、使用および頒布するためのライセ ンス(マイクロソフト マテリアルに含まれるマイクロソフト IP 権利に基づく)、ならびに (ii) 本PO 条件に従って本クラウド サービスを実施するために必要な限りにおいて、マイクロソフト マテリアルを使用するためのライセンスを、非独占的、サブライセンス不能 (マイクロソフトが本 PO 条件に従って承認する下請業者は除く) かつ取消可能なライセンスとして許諾します。サプライヤーは、いかなるマイクロソフト マテリアルであっても、販売、共有、ライセンス許諾またはその他の商品化を行わないものとします。
(3) マイクロソフトは、マイクロソフト マテリアルおよび関連する IP 権利に関する他のすべての権益を留保します。サプライヤーは、物品、本サービスおよび本クラウド サービスの提供を行うために必要な承認を受けた下請業者を除き、マイクロソフト マテリアルをサブライセンスする権利を有しません。マイクロソフト マテリアルに別途ライセンスが伴う場合、そのライセンスの条項が適用され、本PO 条件との間で矛盾が生じたときにはそれらの条項が優先します。
(4) サプライヤーは、マイクロソフト マテリアルを紛失、損傷、盗難または消失から保護するために合理的な予防措置を講じるものとします。
(5) マイクロソフトは、合理的な業務上の理由で、いつでもマイクロソフト マテリアルに対するライセンスを取り消すことができます。当該ライセンスは、本 PO 条件または適用される SOW の満了または解除のいずれか早い方の時点で自動的に終了します。サプライヤーは、要請があった場合またはサプライヤーのライセンスが解除になった場合には、マイクロソフト マテリアルをすみやかに返却するものとします。
(6) サプライヤーによるマイクロソフト マテリアルの使用については、以下の条件が適用されます。
(i) サプライヤーは、マイクロソフトが許可する場合を除き、マイクロソフト マテリアルを改変、リバースエンジニアリング、逆コンパイルまたは逆アセンブルしないものとします。
(ii) サプライヤーは、マイクロソフト マテリアルに含まれる財産権表示およびライセンスを現状のままにし、変更または不明瞭にしないものとします。
(iii) マイクロソフトは、マイクロソフト マテリアルについてテクニカルサポート、保守または更新を提供する義務を負いません。
(iv) マイクロソフト マテリアルはすべて、保証のない「現状有姿のまま」で提供されます。
(v) サプライヤーは、サプライヤー(または下請業者) の監督、保護、または管理下にあるマイクロソフト マテリアルの紛失、損傷、不正アクセス、不正使用、盗難または消失に関する責任を負います。
(7) いかなるマイクロソフト マテリアル、IP または秘密情報も、マイクロソフトから事前に書面による明確な同意を得ない限り、サプライヤーまたは AI モデルによって、直接的または間接的に、人工知能モデル・製品 (AI モデル自体を含む) をカスタマイズ、トレーニング、または改善する目的で使 用してはなりません。かかる同意の取得を怠った場合、重大な違反とみなされ、第 19 条に定めるサプライヤーの責任制限は、本条の違反に基づく請求には適用されません。マイクロソフトがかかる同意を行った場合、両当事者は、まず、カスタマイズ、トレーニング、またはその他の改善が行われる条件を定め、そこから生じる当事者の権利および責任を配分する、個別の書面による契約を締結します。「AI モデル」とは、物品、本サービスもしくは本クラウド サービスに関連して使用される、または物品、本サービスもしくは本クラウド サービスに統合される、あらゆる人工知能モデル(ディープラーニングモデルや機械学習モデルを含む) を意味します。サプライヤー
は、AI モデルの使用やAI の責任ある使用に関するマイクロソフトのポリシーおよび要件をすべて遵守しなければなりません。
13. 表明および保証。サプライヤーは以下のとおり表明し、保証します。
a. 本PO 条件を締結し、本 PO 条件に基づき履行し、本PO 条件に従って権利を許諾する完全な権利および権限を有し、かかる履行はサプライヤーと第三者間のいかなる契約または義務にも違反しないこと。
b. 本サービスが専門家によって実施され、業界標準以上であること。
c. 物品、本サービス、本クラウド サービスおよび成果物は、本 PO 条件に規定する基準および仕様を満たし、用途に適していなければならないこと。
d. マイクロソフトに提供するすべての物品、本サービスおよび成果物について、(1) 設計、仕上がりおよび材料に瑕疵がないこと、(2) ロイヤルティに対する責任がないこと、および (3) 工事人先取特権またはその他の先取特権、約定担保権もしくは負担がないこと。
e. 本 PO 条件に基づいてマイクロソフトに提供される物品、本サービス、本クラウド サービス、成果物およびサプライヤーまたは第三者の IP について、以下のとおりとすること。
(1) 全部であれ一部であれ、除外ライセンスの適用を受けないこと。「除外ライセンス」とは、使用、改変または頒布の条件として、当該ソフトウェアまたは当該ソフトウェアに付属するもしくは当該ソフトウェアと同時頒布される別のソフトウェアが、(i) ソースコード形式で公開または頒布されるこ
と、(ii) 二次的著作物を作成するために使用許諾されること、または (iii) 無償で再頒布可能であること、を要求するソフトウェア ライセンスを意味します。
(2) (i) マイクロソフトの製品、サービスもしくはドキュメント、マイクロソフトに使用許諾されるサプライヤーもしくは第三者のIP、またはかかる物品、本サービス、本クラウド サービス、成果物もしくはサプライヤーもしくは第三者のIP が組み込まれる、もしくはこれらから派生するドキュメント、または (ii) マイクロソフトマテリアルもしくはマイクロソフトの IP を、第三者に使用許諾しまたは第三者と共有することを求めるライセンス条項が適用されないこと。
f. 本PO 条件に基づいてマイクロソフトに提供される物品、本サービス、本クラウド サービス、成果物およびサプライヤーまたは第三者のIP について、以下のとおりとすること。
(1) サプライヤーが知る限りにおいて、第三者の特許、著作権、商標、営業秘密またはその他の第三者の財産権を侵害しないこと。
(2) 物品、成果物、製品、サービス、その他のソフトウェアまたはマイクロソフトのネットワークもしくはシステムの質を低下させるまたはそれらに感染するウイルスまたはその他の悪意のあるコードを含まないこ と。
g. サプライヤーは、地域、州、連邦または外国を問わず、データ保護法 (別紙A に定義されています)、人工知能に関する法令および腐敗防止法を含むすべての法令、規則、規制 (すなわち、米国海外腐敗行為防止法など、詐欺、贈収賄、汚職、不正確な帳簿、不十分な内部管理、および/またはマネーロンダリングに対するすべての法 令) を遵守します。本 PO 条件に基づいて提供される物品、本サービス、本クラウド サービス、パーツ、コンポーネント、デバイス、ソフトウェア、技術およびその他のマテリアル (以下総称して「対象項目」といいます) は、1 または複数の国の適用される貿易法の適用を受けることがあります。サプライヤーは、本対象項目の輸出入に適用さ れるすべての関連法律や規則(米国輸出管理規則などの貿易法令を含みますが、これに限定されません)、その他のエンドユーザー、最終用途、米国その他の政府による仕向地制限、および米国外国資産管理局が管理する制裁規制(「貿易法」) を遵守します。マイクロソフトは、履行を継続すれば貿易法に違反することになる、または 当該貿易法に基づく制裁もしくは罰則の対象となるリスクがあるとマイクロソフトが合理的に結論付けた場合は、直ちに本 PO 条件を停止または終了することができます。サプライヤーは、技術などの無形品目の移転または再移転を確実に遵守する責任を負います。サプライヤーは、マイクロソフトに、該当する輸出入または再輸出の認可に関する輸出入管理分類および情報(書類を含む)、ならびに対象項目を輸出入または再輸出するために必 要な手続きおよび/またはライセンスに関するすべての情報を、マイクロソフトに追加費用を課すことなく、提供することに同意します。詳細については https://www.microsoft.com/en-us/exporting をご参照ください。「法令」と は、裁判権を持つあらゆる政府機関 (連邦、州、地方、または国際) の適用可能なすべての法律、規則、法規、法令、決定、命令、規制、判決、規約、条例、決議および要件を意味します。
h. サプライヤーは、適用されるすべての腐敗防止法を遵守するものとします。サプライヤーは、本 PO 条件に基づく履行の際に、腐敗防止法の遵守に関するトレーニングを従業員に提供し、腐敗防止法の遵守に関してマイクロソフトから要求された標準オンライン トレーニングを完了するものとします。
i. サプライヤーは、自らの費用負担により、(1) マイクロソフト マテリアル (伝達、保管またはその他の方法で処理が行われる個人データおよびその他のマイクロソフトの秘密情報を含みます) を、偶発的もしくは違法な破壊、紛
失、改変、無許可の開示もしくはアクセスから保護するため、適切な技術的および組織的対策を実施し、それらを維持するものとし、(2) 商業上かつ技術上可能な限り速やかに、サプライヤーが知り得た重大な脆弱性を是正するものとし、(3) 本PO 条件(第 15 条、第 16 条および別紙A を含みます) に基づくサプライヤーの秘密保持、人工知能、プライバシーおよびデータ保護に関する義務を遵守するものとします。
14. 契約解除。マイクロソフトは、何らの理由なく、本 PO 条件または適用される SOW を解除できるものとします。 解除は、書面による通知をもって有効になります。マイクロソフトが都合により解除した場合、以下に対する支払がマイクロソフトの唯一の義務となります。
a. 解除の発効日よりも前にマイクロソフトが受け入れた成果物または物品
b. 実施された本サービス(解除の発効日後もマイクロソフトが利益を留保する場合)
c. 解除の発効日よりも前に (またはマイクロソフトが要請した解除後の移行期間中に) 提供された本クラウド サービスサプライヤーは、マイクロソフトに対し、(マイクロソフトが有する場合のあるその他の救済手段に影響することなく)、前払いされた未使用の料金を按分して返金するものとします。
15. セキュリティ、プライバシー、人工知能およびデータ保護。サプライヤーは、自らの費用負担において、以下を遵守するものとします。
a. 本PO 条件に基づくマイクロソフトの監査権を制限することなく、サプライヤーは、(1) マイクロソフトのその時点で最新のサプライヤー データ保護要件(以下「DPR」といいます) のすべての該当部分に関するサプライヤーの遵守状況を年 1 回(またはDPR の追加部分が適用された場合はこれより頻繁に) 証明することなど、マイクロソフトの求めに応じて、マイクロソフト サプライヤー セキュリティおよびプライバシー アシュアランス(以下
「SSPA」といいます) プログラムに参加するものとし、(2) マイクロソフトのその時点で最新の DPR を遵守するものとします。プログラム要件および最新の DPR など、SSPA プログラムの詳細については、 https://www.microsoft.com/en-us/procurement/supplier-contracting.aspx、サプライヤー セキュリティおよびプ ライバシー保証 (SSPA) (aka.ms) を参照してください。
b. サプライヤーのセキュリティ対策には、(1) システム アクセス、(2) システムおよびアプリケーションの開発および保守、(3) 変更管理、(4) 資産の分類および管理、(5) インシデント対応、物理セキュリティおよび環境セキュリティ、(6) 障害復旧/事業継続性、(7) 従業員トレーニングに関するリスク評価および制御を含めなければなりません。これらの対策については、サプライヤーのセキュリティ ポリシーに規定するものとします。サプライヤーは当該ポリシーをマイクロソフトに提供するものとし、マイクロソフトが要請する場合は本サービスおよび本クラウド サービスに適用されるセキュリティ管理の説明と、マイクロソフトが合理的に要求するサプライヤーのセキュリティ慣行および方針に関するその他の情報も併せて提供するものとします。
c. サプライヤーが本クラウドサービスを提供する際は、適用される SOW で指定されたクラウド インフラストラクチャプロバイダー(以下「CIP」といいます) のみを使用し、当該 CIP を変更、追加、または変更する計画に着手する場合は少なくともその 90 日前、かつ、マイクロソフト マテリアルの保管場所を変更する少なくとも 30 日前までに、マイクロソフトに通知するものとします。マイクロソフトが当該変更を拒否する場合、マイクロソフトは、追加の義務なしに、適用される SOW を直ちに解除することができるものとします。
d. サプライヤーは、別紙A のプライバシーおよびデータ保護要件を遵守するものとします。
e. DPR を含め、本 PO 条件に基づくサプライヤーの義務を制限することなく、サプライヤーは、セキュリティインシデント(以下に定義) の発生に気づいた場合は、以下を行うものとします。
(1) 不当な遅延なく、マイクロソフトにセキュリティ インシデントについて通知する (いかなる場合でも同じ問題が起きているサプライヤーの顧客に通知を行うときよりも遅くなることなく、またすべての場合においてサプライヤーが一般に向けて開示 (プレス リリースなど) を行う前に行う)。
(2) 速やかにセキュリティ インシデントの調査を行う、または調査において必要な援助を行い、マイクロソフトにそのセキュリティ インシデントに関する詳細な情報を提供する。当該情報には、セキュリティ インシデントの内容、影響を受けるデータ主体の概数、セキュリティ インシデントの現在のおよび予想される影響、ならびにセキュリティ インシデントに対処し、その影響を軽減するためにサプライヤーが取っている措置の説明が含まれます。
(3) セキュリティ インシデントによる影響を軽減するために、すべての商業的に妥当な対策を速やかに実施するか、またはマイクロソフトがそのような対策を行うのを支援する。
「セキュリティ インシデント」とは、(1) サプライヤーもしくはその下請業者が送信、保存、もしくはその他の方法で処理した個人データを含む秘密情報の偶発的もしくは違法な破壊、紛失、改変、不正開示、もしくはアクセス、または (2) (i) 個人データを含む秘密情報のサプライヤーによる取り扱いに関連する、また は (ii) マイクロソフトの製品、サービス、ソフトウェア、ネットワーク、もしくはシステムに影響を与えるセキュリティの脆弱性のいずれかを意味します。「セキュリティの脆弱性」とは、サプライヤーまたはその下請業者のセキュリティ システム内で発見された弱点、欠陥またはエラーであって、攻撃者が影響力のある方法で利用する可能性が合理的に高いものを意味します。そのセキュリティ インシデントがマイクロソフトの過失もしくは故意によるもの、またはサプライヤーがマイクロソフトが書面で明示した指示に従った結果によるものでない限り、サプライヤーは本第 15 条(e) 項に自らの費用負担で従うものとします。
サプライヤーは、サプライヤーがマイクロソフトから受領した、またはマイクロソフトに代わって処理した秘密情報を含め、マイクロソフトに影響を与えた、または影響した可能性があると合理的に考えられるセキュリティ インシデントについて、マイクロソフトから事前の書面による承認を得ずに、政府機関、個人、報道機関、またはその他の第三者に通知してはなりません。
f. 人工知能。物品、本サービスまたは本クラウド サービスに人工知能テクノロジーが含まれる場合、サプ ライヤーは、自己の費用負担により、当該人工知能テクノロジーが、すべての法令および業界標準に確実に準拠するよう、適切な技術的および組織的対策を実施し維持するものとします。これらには、人工知能の倫理的または責任ある使用、意思決定におけるアルゴリズムとロジックおよび出力データについて説明する能力、エンド ユーザーに関する各AI モデルの予想される結果、法令および適切な業界基準の遵守を維持するための変更管理、ならびに従業員向け研修に関連する基準およびポリシーが含まれます。サプライヤーは、マイクロソフトの要求に応じ、そのポリシーを、サプライヤーの慣行およびポリシーに関してマイクロソフトが合理的に要求した他の情報と共にマイクロソフトに提供します。
g. 通知
(1) サプライヤーは、サプライヤーがマイクロソフトから受領した、またはマイクロソフトに代わって処理した秘密情報を含め、マイクロソフトに影響を与えた、または影響した可能性があると合理的に考えられるセキュリティ インシデントについて、またはサプライヤーによる AI モデルなどの人工知能テクノロジーの使用に関して(以下「AI 照会」といいます)、マイクロソフトから事前の書面による承認を得ずに、政府機関、個人、報道機関、またはその他の第三者に通知してはなりません。第三者へのセキュリティ インシデントまたは AI 照会の開示について、サプライヤーは、マイクロソフトへの通知の一部として、当該第三者の身元および通知文書の複製を開示する (第三者への通知が未送信の場合は草案を提供する) ものとします。サプライヤーは、マイクロソフトが当該通知文書に対する編集または更新を提案することを許可するものとします。マイクロソフトがAI 照会に関するAI モデル関連情報を公開しても、本 PO 条件に定めるマイクロソフトの秘密保持義務の違反とはみなされません。
(2) サプライヤーは、個人データに影響を及ぼすセキュリティ インシデントについて、それを第三者に通知する法的義務がある場合には、第三者に通知することができます。ただし、サプライヤーが、可能な限り速やかにマイクロソフトに事前に通知し、事前通知が不可能であれば、通知できるようになった時点で直ちにマイクロソフトに通知するよう最善を尽くすことを条件とします。
16. サプライヤー業務規範。サプライヤーは、最新のサプライヤー行動規範 (https://aka.ms/scoc) およびマイクロソフト代理事業者向けの最新の腐敗防止ポリシー(http://aka.ms/microsoftethics/representatives)、ならびにその他のポリシー
(例: 物理的または情報セキュリティに関するポリシー、人工知能に関するポリシー) またはマイクロソフトが SOW においてもしくは別途契約期間中に特定するトレーニングを遵守する (さらには、当該トレーニングを提供する) ものとします。
17. アクセシビリティ。サプライヤー、サプライヤーの関連会社またはそれらの代理人が本 PO 条件に基づき開発または提供するデバイス、製品、Web サイト、Web ベースアプリケーション、クラウド サービス、ソフトウェア、モバイル アプリケーション、またはコンテンツは、アクセシビリティに関する法的要件をすべて遵守しなければなりません。ユーザー インターフェイス(「UI」) での購入の場合、この要件には、Web コンテンツアクセシビリティ ガイドライン(「WCAG」。 https://www.w3.org/standards/techs/wcag#w3c_all) 最新公開版のレベルA およびAA 達成基準、リハビリテーション法第 508 条(https://www.section508.gov)、欧州規格 EN 301 549 (https://eur-lex.europa.eu/eli/dir/2016/2102/oj) への準拠が含まれます。VPAT 2.4 INT には上記 3 つの規格すべてが統合されています。https://www.itic.org/policy/accessibility/vpatからご確認ください。
18. 権利の不放棄。マイクロソフトによる権利または救済の行使が遅れる、または行使されなかった場合でも、その権利もしくは救済または別の権利もしくは救済を放棄したとはみなされません。
19. 支払不能、責任の制限。
a. いずれかの当事者の支払不能もしくは破産手続開始決定、破産手続開始の申立て、または債権者のための財産譲渡は、本 PO 条件に対する重大な違反となります。本 PO 条件において「支払不能」とは、(1) 当事者の負債がその資産を超過し、その負債超過のそれぞれについて適切に表明されていること、または (2) 当事者が通常の業務過程においてその事業債務を適時に支払うことができないことを意味します。
b. 責任制限。第 21 条に規定する補償義務を除き、本 PO 条件に基づく当事者の秘密保持、セキュリティ、プライバシー、データ保護、人工知能および広報活動義務に対する違反、本PO 条件に関連する IP 権の侵害、悪用もしくは不正使用、または詐欺があった場合は、いずれの当事者も、他方当事者に対し、本 PO 条件に起因する間接損害、派生的損害、特別損害または懲戒的もしくは懲罰的損害 (データの喪失、逸失収益または逸失利益に対する損害を含みます) について、予見可能であったか予見不能であったかにかかわらず、賠償責任が契約違反、不法行為、厳格責任、保証違反またはその他の法理のいずれによるかを問わず、当事者がかかる損害の可能性を知らされていた場合であったとしても、いかなる責任も負いません。
20. 再委託。サプライヤーは、マイクロソフトの書面による事前の同意がない限り、物品、本サービスまたは本クラウド サービスの提供を第三者に再委託しないものとします。サプライヤーが下請業者に本サービスまたは本クラウド サービスを再委託する場合、サプライヤーは、下請業者の作為または不作為についてマイクロソフトに対して完全な責任を負い、本 PO 条件に基づくすべての義務を負い続けるものとします。また、下請業者に対して、マイクロソフトがサプライヤーとの契約の第三者受益者であることに書面で同意し、下請業者が実施する作業に関してマイクロソフトの保護が本 PO 条件(本PO条件第 15 条および別紙A のプライバシーおよびデータ保護に関する条項も含みます) と同等以上となる条件に書面で同意することを義務付けるものとします。
21. 補償およびその他の救済。
a. サプライヤーは、以下の事項に関するすべての請求、要求、損失、費用、損害および訴訟について、マイクロソフトおよびマイクロソフト関連会社を防御し、補償し、かつ被害が及ばないようにするものとします。(1) 本PO条件に基づいて提供される物品、本サービスまたは本クラウド サービスに起因する、第三者の IP もしくはIP 権利またはマイクロソフトIP もしくはIP 権利の実際の侵害または侵害があったとの主張、(2) 真実である場合には第 15 条、別紙A または本PO 条件に規定するサプライヤーによる保証の違反に該当することとなる請 求、(3) サプライヤーもしくはサプライヤーの代理人、従業員または下請業者による作為または不作為、またはこれらの者による納税義務もしくは法令の不遵守、(4) サプライヤーもしくはその下請業者による本PO 条件に基づく秘密保持、セキュリティ、プライバシー、データ保護、人工知能または広報活動義務に対する違反、(5)
身体的傷害(心理的傷害を含みます) もしくは死亡、または有形もしくは無形財産の紛失、消失もしくは損傷につながるサプライヤーまたはその下請業者の過失もしくは故意による作為または不作為、および (6) その根拠 (和解、判決、および合理的な弁護士報酬の支払を含みますがこれらに限定されません) を問わないサプライヤーの従業員、関連会社または下請業者による請求。
b. マイクロソフトが利用可能なその他すべての救済に追加して、本 PO 条件に基づく物品、本サービスもしくは本クラウドサービスの使用が差し止められている、差し止められるおそれがある、または適用される法令に違反する可能性がある場合、サプライヤーは、自らの費用負担で、マイクロソフトに通知し、直ちに当該物品、本サービスおよび本クラウド サービスを修正または差し替えて、権利侵害がなく適用法令に準拠し、かつマイクロソフトが満足する程度に使用可能にするものとします。サプライヤーが本第 21 条b 項を遵守しない場合、本第 21 条(補償およびその他の救済) に基づいて補償される金額に加えて、サプライヤーは、権利侵害のある、または法令に違反する物品、本サービスおよび本クラウド サービスに対してマイクロソフトが支払った全額を返金するものとし、新たなサプライヤーへ本サービスおよび本クラウド サービスを移行するための合理的な費用を支払うものとします。
22. 保険。サプライヤーは、本PO 条件および法令により求められる義務を満たすため、十分な保険を付すものとします。サプライヤーの保険には、通常これらの保険の対象となるリスクを本 PO 条件または適用される SOW が引き起こす範囲内において、以下の保険金額 (または現地通貨での同等の金額) を含める必要があります。
表A1 – 必要な保険
補償対象 | フォーム | 限度額 1 |
契約責任および製造責任を含む商業的一般保険 2 | 1 事故につき | 100 万米ドル |
自動車保険 | 1 事故につき | 100 万米ドル |
商業的に合理的に利用可能なプライバシーおよびサイバーセキュリティ責任保険(データ破壊、ハッキングまたは意図的違 反、データ侵害に関連する危機管理活動、セキュリティ違反、プライバシー違反、および通知費用に関する法的要求から生じるコストを含む) | 1 請求あたり | 200 万米ドル |
労働災害補償 | 法定限度額 | 法定限度額 |
雇用者責任保険 (Employer's Liability) | 1 事故につき | 50 万米ドル |
商業的に合理的に利用可能である場合には、第三者の財産権(著作権および商標など) の侵害を補償する職業責任保険/過失怠慢賠償責任保険 | 1 請求あたり 3 | 200 万米ドル |
注:
1 法的要件により別途の要求がある場合を除き、1 請求あたり、または 1 事故あたりの限度額は、現地通貨に換算することができます。
2 サプライヤーは、第 21 条においてサプライヤーが負う契約責任に基づいて、マイクロソフト、その関連会社ならびにそれぞれの取締役、役員および従業員を商業的一般保険の追加被保険者として指定します。
3 補償開始日は、本PO 条件または適用される SOW または発注書の発効日以前であること。サプライヤーは、本 PO 条件の解除もしくは満了、または適用される SOW もしくは発注書の履行後 12 か月以内は、有効な保険契約、またはその間に最初に保険会社に報告された請求を対象とする延長報告期間付き保険契約を維持するものとします。
サプライヤーは、免責額または留保額が 1 事故あたり 10 万米ドルを超える場合には、マイクロソフトから事前の書面による承認を取得する必要があります。サプライヤーは、要請に応じて、本 PO 条件の下で必要とされる保険契約の証拠書類をマイクロソフトに提供するものとします。マイクロソフトが、サプライヤーの保険範囲がその義務を満たすために要求されるものよりも下回ると合理的に判断した場合、サプライヤーはすみやかに追加の保険を購入し、マイクロソフトに書面で通達するものとします。
23. 秘密事項の非開示。両当事者がマイクロソフトの標準秘密保持契約を締結している場合、かかる契約の条項は、本 PO条件に適用され、本PO 条件に組み込まれるものとし、本 PO 条件の存在および本PO 条件のすべての規定ならびにマイクロソフト マテリアルは、マイクロソフトの秘密情報とみなされます。両当事者がマイクロソフトの標準秘密保持契約を
締結していない場合、サプライヤーは、本 PO 条件の有効期間中およびその満了後 5 年間、マイクロソフトの秘密情報を極秘扱いとして管理し、使用もしくはいかなる第三者 (マイクロソフトの関連会社を除きます) への開示も行わないものとします。「マイクロソフトの秘密情報」とは、マイクロソフトもしくはその関連会社が書面または口頭で秘密であると指定している、または開示の状況に照らして合理的な者であれば極秘に扱うべきと判断するすべての非公開情報を意味します。本PO 条件にこれと異なる規定がある場合でも、サプライヤーまたはサプライヤーの関連会社と共有する、本 PO 条件に関連するすべての個人データは、マイクロソフトの秘密情報です。サプライヤーは、マイクロソフトの秘密情報の具体的な内容について不明な点がある場合は、マイクロソフトに問い合わせるものとします。「マイクロソフト秘密情報」に は、マイクロソフトによるサプライヤーへの開示前にサプライヤーが既に知っていた情報、またはサプライヤーの責によらず公開されている情報は含まれません。
本PO 条件または適用される SOW の満了または解除に際して、またはマイクロソフトもしくはマイクロソフト関連会社の要請に基づき、サプライヤーは、不当な遅延なく、(i) すべてのマイクロソフトの秘密情報 (その写しも含みます) をマイクロソフトまたは該当するマイクロソフト関連会社に返却するか、(ii) マイクロソフトまたはその関連会社の要請に基づきすべてのマイクロソフトの秘密情報 (その写しも含みます) を破棄し、その破棄を証明するものとします。ただしいずれの場合も、法令が別の方法を明示的に要求する場合、または両当事者が書面にて明示的に別の方法について合意する場合は例外とします。本 PO 条件または適用される SOW の満了または終了後もサプライヤーがマイクロソフトの秘密情報を保持する場合 (サプライヤーが情報の保持を法的に義務付けられる場合など)、サプライヤーは、当該秘密情報に適用される本PO 条件のすべての規定(すべての秘密保持義務など) を引き続き遵守しなければならず、かかる適用規定はかかる満了または終了後も存続します。
24. 独自の開発。本 PO 条件のいかなる規定も、本 PO 条件で企図されている物品、本サービスまたは本クラウド サービスと同一もしくは同様の技術やサービスを、直接または間接的に取得、許諾、開発、製造、頒布するマイクロソフトの能力を制限するものではありません。マイクロソフトは、本 PO 条件で企図される技術またはサービス(ソフトウェアまたはクラウド サービスを含みます) に加えて、またはそれらに代えて、当該同様の技術またはサービスを (全部または部分的に)使用、販売および頒布することができるものとします。
25. 監査。本PO 条件の有効期間中およびその満了後 4 年間、サプライヤーは、物品、本サービスもしくは本クラウド サービス、個人データの処理、およびその他法令遵守に必要な事項に関連する、通常の適切な記録および会計帳簿ならびに品質および実績報告書(以下「サプライヤーの記録」といいます) を保管するものとします。この期間中、マイクロソフト は、該当する記録および施設を監査および/または視察し、プライバシー、セキュリティ、輸出規制遵守、アクセシビリティおよび税金を含む、サプライヤーによる本PO 条件の遵守状況を確認することができます。マイクロソフトまたはマイクロソフトの指定した独立コンサルタントもしくは公認会計士 (以下「監査人」といいます) が監査および視察を実施するものとします。マイクロソフトは、監査または視察の前にサプライヤーに合理的な通知 (緊急時を除き 15 日以上前) を行うと共に、差し支えない場合には監査を統合するなど、サプライヤーの業務の中断を回避するよう監査人に指示を与えるものとします。サプライヤーは、マイクロソフトが指定した監査または視察チームに、サプライヤーの記録および施設への合理的なアクセスを提供することに同意します。マイクロソフトによるサプライヤーへの過払いがあったと監査担当者が判断する場合、サプライヤーは、かかる過払い分をマイクロソフトに返金するものとします。監査対象期間において、サプライヤーがマイクロソフトに対し 5% 以上の過剰請求を行っていた場合、すべての過払い分を直ちにマイクロソフトに返金 し、当該の過剰請求について 1 か月ごとに 0.5% の利子を加えて支払うものとします。マイクロソフトは、監査担当者または視察チームの費用を負担します。ただし、監査の結果、かかる監査対象期間において、サプライヤーによるマイクロソフトへの 5% 以上の過剰請求が判明した場合、サプライヤーはかかる費用をマイクロソフトに返金するものとします。本条のいかなる規定も、本PO 条件の他の条項(別紙A を含みます) に基づくマイクロソフトのサプライヤーに対する監査権を制限するものではありません。
26. 契約上の地位の譲渡。本PO 条件に基づくいかなる権利または義務 (支払われるべき金額を受領する権利を含みます)も、マイクロソフトの書面による事前の同意がない限り、譲渡されないものとします。かかる同意なくして実施された譲渡は無効とします。マイクロソフトは、本 PO 条件に基づく権利を譲渡することができます。
27. 労働争議の通知。労働争議またはその可能性によって本PO 条件の適時の履行が遅延しまたは遅延するおそれがある場合は常に、サプライヤーは、かかる争議について直ちに書面をもってマイクロソフトに通知し、関連するすべての詳細情報を提供するものとします。サプライヤーは、各下請契約に上記と同一の条項を含め、かかる通知を受領した場合は直ちに書面をもってマイクロソフトに通知するものとします。
28. 特許ライセンス。本 PO 条件のその他の規定にかかわらず、サプライヤーが本 PO 条件に従って履行できない場合は、サプライヤーはマイクロソフトに対し、本 PO 条件に関する対価の一部として、
またマイクロソフトにさらなる費用負担を課すことなく、本 PO 条件に基づく成果物に関連して、サプライヤーによってまたはサプライヤーのために作成、着想または実用化された、一切の発明および発見を具現化するすべての製品を、使用、販売、製造または製造させるための取消不能、非独占的かつロイヤルティ不要の権利およびライセンスを自動的に許 諾するものとします。
29. 裁判管轄および準拠法。米国内でマイクロソフトに提供される物品、成果物、本サービスおよび本クラウド サービスについて、本 PO 条件は、米国ワシントン州法 (抵触法の原則に関わらず) に準拠するものとし、両当事者は、米国ワシントン州キング郡にある州および連邦裁判所を第一審の専属管轄裁判所とすることに同意するものとします。マイクロソフトが米国内で本クラウドサービスにアクセスまたは使用することがある場合は、すべての本クラウド サービスが米国内で提供されたものとみなされます。マイクロソフトに提供されるその他すべての物品、本サービスおよび本クラウド サービス
については、マイクロソフト (すなわち、本 PO 条件上の契約主体であるサプライヤー以外の契約主体) が登記され、もしくはその他の方法で設立された国の法令、裁判管轄および裁判地が本 PO 条件に適用されます。いずれの当事者も、これらの裁判所において、人的裁判管轄権の不在、または不都合な法廷地である旨を主張しないものとします。本 PO 条件に関連するいかなる裁判または訴訟においても、勝訴当事者は合理的な弁護士報酬を含む費用を請求する権利を 有します。
30. 広報活動、商標の使用。サプライヤーは、マイクロソフトの事前の書面による承認なしに、サプライヤーのマイクロソフトとの関係または本 PO 条件に関連するプレス リリースまたはその他の広報の発表を行わないものとします。書面による承認が得られた場合、サプライヤーは、ガイドライン(https://www.microsoft.com/en- us/legal/intellectualproperty/Trademarks/Usage/General.aspx) に従って、本サービス、本クラウド サービスおよび成果物についてのみ本商標を使用できるものとします。
31. 可分性、URL。管轄裁判所が本PO 条件のいずれかの条項を違法、無効または執行不能と判断した場合でも、その他の条項は引き続き完全に効力を有するものとします。URL とは、後継のURL、ローカライゼーション、およびこれら URLのWeb サイト内からリンクされている情報またはリソースも指すものとします。いずれの当事者も、本 PO 条件に含まれていない、または組み込まれていない事項を信頼して、本 PO 条件を締結していません。本 PO 条件は、平易な意味に従って解釈するものとし、一方の当事者の有利になるように推測して解釈してはなりません。
32. 存続。本PO 条件の条項のうち、当該条項自体の性質上、本 PO 条件または適用される SOW の解除もしくは満了後も履行を要する条項、または本PO 条件または適用されるSOW の解除または満了後に発生する可能性のある事象に 適用される条項は、本PO 条件および適用される SOW の解除または満了後も有効に存続するものとします。すべての補償義務および補償手順は、本 PO 条件および適用される SOW の解除または満了後も有効に存続するものとしま
す。
[このページの残り部分は、意図的に空白になっています]
別紙A – データ保護
SECTION 1 範囲、優先順位および契約期間
(a) この別紙は、サプライヤーの個人データの処理およびデータ保護法の遵守に関連する PO 規約の条件を修正および補足するものです。SOW(存在する場合)は、サプライヤーの管理者または処理者としての地位を指定します。PO 規約にこれと矛盾する規定があっても、本追加条項と PO 規約の間に矛盾がある場合は、本追加条項が優先されます。この別紙は、PO 規約に添付され、組み込まれます。
(b) 本別紙は、サプライヤーが物品、本サービスまたは本クラウド サービスに関連して個人データまたは秘密情報を受領、保存または処理する範囲に限り適用されます。
SECTION 2 定義
(a) 本別紙で使用されている用語のうち定義のないものについては、本 PO 条件に定める意味を有します。
(b) CCPA では、「事業」、「事業目的」、「販売」、「共有」、「サービスプロバイダー」、「請負業者」、および「第三者」という用語が定義されています。
(c) 「管理業者」とは、個人データの処理の目的および手段を決定する事業体を意味します。「管理業者」には、企業、管理業者 (当該用語はGDPR で定義されています)、および文脈に応じて、データ保護法における同等の用語が含まれます。
(d) 「データ輸出者」とは、(1) 国際データ転送メカニズムを要する法域において法人格その他の安定した体制を有し、(2) データ輸入者に個人データを転送または提供する者を意味します。
(e) 「データ輸入者」とは、(1) データ輸出者の法域と異なる法域に所在し、(2) データ輸出者から個人データを受領するか、データ輸出者により提供される個人データにアクセスすることができる者を意味します。
(f) 「個人データインシデント」とは、以下を意味します。
(1) 法律または本 PO 規約で許可されていない、サプライヤーまたはその下請け業者によって送信、保存、またはその他の方法で処理された個人データの破壊、変更、使用、損失、開示、またはアクセス、または個人データの保護に関するその他の違反。又は
(2) サプライヤーの個人データの取り扱いに関連するセキュリティの脆弱性。「セキュリティ脆弱性」とは、サプライヤーまたはその下請け業者のセキュリティシステム内に発見された弱点、欠陥、またはエラーで、脅威エージェントによって影響力のある方法で利用される合理的な可能性があることを意味します。
(g) 「データ保護法」とは、個人データの処理と当該データの自由な移動に関連した自然人の保護に関する 2016 年 4 月 27 日の欧州議会および理事会の規則 (EU) 2016/679 (「GDPR (一般データ保護規則)」)、およびカリフォルニア州 民法第 1.81.5 編第 1798.100 章以下(カリフォルニア州消費者プライバシー法)
(「CCPA」) を含め、サプライヤーまたはマイクロソフトに適用される、データ セキュリティ、データ保護および/またはプライバシーに関連する法令、ならびにそれらを施行するか、派生または関連する法律、規 則、規制、および規制ガイダンスを意味し、修正、延長、廃止、置換または再制定されるとおりとします。
(h) 「データ主体」とは、直接的または間接的に、とりわけ、名前、識別番号、位置データ、オンライン識別子などの識別子を参照することにより、あるいはその自然人の身体的、生理的、遺伝的、精神的、経済 的、文化的、または社会的アイデンティティーに固有の一つまたは複数の要因に言及することによって識別可能な自然人を意味します。
(i) 「非特定化データ」とは、識別されたまたは識別可能な個人に合理的に関連付けることができない情報を意味します。
(j) 「EEA」とは、欧州経済領域を意味します。
(k) 「個人データ」とは、識別されたまたは識別可能な自然人(「データ主体」) に関する情報、ならびに適用されるデータ保護法に基づく個人データまたは個人情報を構成するその他のデータまたは情報を意味します。識別可能な自然人とは、直接的または間接的に、とりわけ、氏名、識別番号、位置データ、オンライン識別子などの識別子を参照することにより、あるいはその自然人の身体的、生理的、遺伝的、精神
的、経済的、文化的、または社会的アイデンティティーに固有の一つまたは複数の要因を参照することによって識別可能な人をいいます。
(l) 「処理」または「処理する」とは、収集、記録、編成、保存、適応または変更、検索、相談、使用、送信による開示、配布またはその他の方法で利用可能にすること、アラインメントまたは結合、遮断、消去または破棄など、個人データに関して実行される操作または一連の操作を意味します。
(m) 「処理業者」とは、別の主体に代わって個人データを処理する主体を意味します。「処理業者」には、文脈に応じて、サービス提供者、契約者、処理業者 (この語はGDPR で定義されています)、およびデータ保 護法に定める同等の語が含まれます。
(n) 保護対象医療情報」または「PHI」とは、医療情報の相互運用性と説明責任に関する法律(HIPAA) によって保護されているMicrosoft 個人データを意味します。
(o) 「仮名データ」とは、追加情報を使用しなければ特定の個人に帰属させることができない情報を意味します。ただし、当該情報を別個に保管し、個人に帰属させないようにするための適切な技術的および組織的措置の対象とすることを条件とします。
(p) 「要配慮データ」とは、以下の種類およびカテゴリーのデータを意味します。(1) 人種もしくは民族、政治的見解、宗教もしくは哲学的信条、在留資格、市民権、労働組合への加入状況を明らかにするデータ、遺伝データ、(2) 生体認証データ、(3) 健康関連情報(医療保険の相互運用性と説明責任に関する法律が適用される保護対象の医療情報を含みます)、(4) 自然人の性生活または性的指向に関するデータ、(5)政府発行ID 番号 (SSN、運転免許証)、(6) クレジット カード情報、(7) グラム リーチ ブライリー法が適用される非公開の個人情報、(8) データ主体のアカウントへのアクセスを許可するパスワードまたはその他のアクセスコードと組み合わされた暗号化されていない識別子、(9) 個人の銀行口座番号、(10) 子に関するデータ、ならびに (11) 正確な位置情報。
(q) 「標準契約条項」とは、2021 年 6 月 4 日の欧州委員会実施決定
(EU)2021/914(https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data- protection/standard-contractual-clauses-scc_en )で入手可能な、欧州経済領域から第三国への国際移転に関する欧州連合の標準契約条項を意味します。
(r) 「サブ処理業者」とは、処理業者を務める者が使用する処理業者を意味します。
SECTION 3 両当事者の個人データ処理活動の説明および両当事者の立場
(a) 別表 1 は、両当事者の処理の目的、処理に関与する個人データの種類またはカテゴリー、および処理により影響を受けるデータ主体のカテゴリーについて記述しています。
(b) 別表 1 には、関連するデータ保護法に基づく当事者の立場が記載されています。
(c) 処理の対象および期間、処理の性質および目的、個人データの種類、データ主体のカテゴリーは、作業指示書、マイクロソフトの発注書、または本 PO 条件の不可欠な部分を構成する両当事者の正式代表者によって署名された書面による契約内にさらに具体的に記載される場合があります。この場合、より具体的な説明が別表 1 に優先します。
SECTION 4 国際データ転送
(a) 一部の法域において、他の法域の受領者に個人データの転送を行う事業体は、受領者の法域の法の下では、個人データが、転送を行う事業体の法域と同等の方法で保護されない場合に、個人データが特別な保護を受けることを確実にするために特別な措置 (以下、「国際データ転送メカニズム」といいます)を取ることが求められます。両当事者は、適用されるデータ保護法(標準契約条項を含みます) に基づき求められることのある国際データ転送メカニズムを遵守するものとします。
(b) 両当事者が依拠する国際データ転送メカニズムが無効となるか、または停止される場合、両当事者は、誠実に協力して、適切な代替措置を見つけるものとします。
(c) 国際データ転送メカニズムを必要とする法域 (EEA、スイスまたは英国など) に居住するデータ主体の個人データのうち、マイクロソフトがサプライヤーに転送するか、サプライヤーによるアクセスを認めるものに関して、両当事者は、本 PO 条件が発効することで、標準契約条項(これは言及により本 PO 条件に組み込まれ、その不可欠な一部を構成します) も締結することになることに合意します。両当事者は、両当事者の入力を必要とする標準契約条項の要素に関して、別表 1 および別表 2 に標準契約条項の付属書類類に関する情報が含まれていることに合意します。両当事者は、英国、スイスまたは別表 1 に明記するその他の国のデータ主体の個人データに関して、適用される場合に、両当事者が標準契約条項を現地法に適応させるため、別表 1 に記載の標準契約条項の修正を採択することに合意します。
SECTION 5 データ保護全般
(a) コンプライアンス。両当事者は、CCPA に基づき事業者に要求されるのと同レベルのプライバシー保護を提供することを含め、データ保護法およびプライバシーに関する通知に基づくそれぞれの義務を遵守するものとします。
(b) 情報。要求に応じて、乙は、マイクロソフトがデータ保護評価またはデータ保護当局との事前協議を実施する義務(存在する場合) を履行できるように、合理的に関連する情報をマイクロソフトに提供するものとします。
(c) 通知。 本サプライヤーは、適用されるデータ保護法に基づく義務を果たせなくなったと判断した場合、マイクロソフトに通知するものとします。
(d) 協力。サプライヤーが政府、立法、司法、法執行機関、または規制当局から何らかの要求または照会を受けた場合、またはマイクロソフト、その関連会社、またはそれぞれのエンド ユーザーによって、またはその代理人によってサプライヤーに提供された、または別表 1 に記載されている目的に関連してサプライヤーが取得または収集した個人データの当事者による処理に関連して、実際のまたは潜在的な請求
、問い合わせ、または苦情に直面した場合 (総称して、 「照会」)、その場合、サプライヤーは、不当な遅滞なく、ただし、適用法で禁止されていない限り、いかなる場合も 10 営業日以内にマイクロソフトに通知するものとします。 乙は、マイクロソフトが照会に対応できるように、照会に関連する情報 (請求の防御に関連する情報を含む) をマイクロソフトに速やかに提供するものとします。
(e) 機密性。乙は、個人データを処理する権限を与えられた者が、PO 規約に規定されているものと同等以上の守秘義務を負うことを約束しているか、または適切な法定の守秘義務を負っていることを確認するものとする。
(f) セキュリティ制御。サプライヤーは、別表 2 を遵守し、データセキュリティに関する優れた業界慣行およびデータ保護法(GDPR 第 32 条に基づくものを含む)に従って、必要なすべての措置を講じるものとします。サプライヤーは、リスクに見合ったセキュリティレベルを確保するために、適切な技術的および組織的対策を実施します。
(g) PHI に関する義務サプライヤーの契約にPHI の処理が含まれる場合、サプライヤーは、ビジネスアソシエイトPO 条件および/またはその他の必要なPO 条件をマイクロソフトとの間で締結する必要があります
。
第 6 条独立管理者としてのサプライヤーの義務(該当する場合)。サプライヤーが、サプライヤーによる PO 規約の履行に関連して収集、交換、またはその他の方法で処理される個人データの管理者である場合(別紙 1 を参照
)、以下を行います。
(a) サプライヤーは、サプライヤーがコンプライアンスについて独立して責任を負い、適用されるデータ保護法(管理者の義務など)を遵守することを認め、同意します。
(b) サプライヤーは個人データを販売しません。
(c) サプライヤーは、適用されるデータ保護法(GDPR 第 13 条および第 14 条など)で義務付けられているデータ主体に通知し、GDPR 第 3 章などのデータ保護法で義務付けられているように、データ主体の権利行使の要求に対応し、処理の法的根拠を特定する責任を負うことに同意します(例: 同意または正当な利益)
(d) 乙は、仮名データを特定の個人に帰属させるために必要な追加情報から仮名データを分離し、当該仮名化データが特定の個人に帰属しないように適切な技術的および組織的措置を講じることに同意します。そして
(e) 乙は、匿名化されたデータが特定の消費者または世帯と関連付けられないようにするための合理的な措置を講じ、匿名化されたデータを匿名化された形式で維持し、再識別を試みないことを公に約束し、サブプロセッサーに同じことを契約上約束することに同意します
第 7 条第三者としてのサプライヤーの義務(該当する場合)。サプライヤーが、サプライヤーによる PO 条件の履行に関連して、CCPA に基づく第三者として個人データを処理する場合(別表 1 を参照)、以下を行います。
(a) 乙は、別表 1 に定める限定的かつ具体的な事業目的のためにのみ個人データを処理する。
(b) サプライヤーは、個人データが契約に定められた限定的かつ特定の目的のためにのみ利用可能であること、およびサプライヤーがそれらの目的のためにのみ情報を使用できることに同意しま す。
(c) サプライヤーは、マイクロソフトが提供した個人データを販売または共有しません。
(d) 本サプライヤーは、マイクロソフトが、本サプライヤーがマイクロソフトから受領した、またはマイクロソフトに代わって受領した個人データを、CCPA に基づくマイクロソフトの義務に従った方法で使 用することを保証するために、マイクロソフトが合理的かつ適切な措置を講じることを許可するものとします。
(e) 本サプライヤーは、マイクロソフトに対し、通知により、個人データの不正使用を停止および是正するための合理的かつ適切な措置を講じることを許可するものとします。
第8 条 処理業者、契約者、サブ処理業者またはサービス提供者としてのサプライヤーの義務
サプライヤーは、マイクロソフトの処理業者、契約者またはサービス提供者としての立場でデータ主体の個人デ ータを処理する場合、本第 8 条に定める義務を負うものとします。明確にするために付言すると、当該義務は、管理業者、企業または第三者としての立場でのサプライヤーには適用されません。
(a) 処理の範囲
(1) 乙は、(i) マイクロソフトにサービスを提供するため (および該当する SOW に明記された事業目的に該当する場合)、(ii) PO 条件に基づく義務を履行するため、および (iii) マイクロソフトの文書化された指示を履行するためにのみ、個人データを処理するものとします。乙は、適用法で義務付けられている場合を除き、他の目的で個人データを処理することはなく、PO 条件に従って収集または取得した個人データを販売または共有しない。
(2) PO 条件および本別紙の範囲外で個人データを処理するには、PO 条件の書面による修正により、サプライヤーとMicrosoft の間で事前に書面による PO 条件が必要になります。
(3) サプライヤーは、サプライヤーが従うべき法的義務のために、マイクロソフトの指示に従うことができない、または注文条件に基づく義務を履行できないと考える場合、サプライヤーがかかる通知を行うことを法律で禁止されている場合を除き、マイクロソフトに通知するものとします。
(4) サプライヤーは、(1) 別表 1 に定める事業目的以外の目的で個人データを保持、使用、または開示することを禁じられています(マイクロソフトの指示を実行する以外の商業目的での個人データの保持、使用、または開示を含む)。(2) 適用されるデータ保護法で許可されていない限り、両当事者の直接的な取引関係の範囲外で、または (3) サプライヤーがマイクロソフトから、また
はマイクロソフトに代わって受領する個人データと、サプライヤーが他者から、または他者に代わって受領する個人データ、またはデータ主体とのやり取りから収集する個人データを組み合わせることにより、サプライヤーが適用されるデータ保護法で許可されている事業目的を遂行するために個人データを組み合わせることができる場合。サプライヤーは、本項(8)(a)(4)に定める禁止事項を理解し、遵守することを保証する。
(5) 本サプライヤーは、マイクロソフトに対し、通知により、個人データの不正使用を停止および是正するための合理的かつ適切な措置を講じることを許可するものとします。
(b) 仮名データおよび非特定化データに関する義務
(1) サプライヤーは、仮名データを特定の個人に帰属させるために必要な追加情報とは別に保管し、当該仮名データを特定の個人に帰属させないよう適切な技術的および組織的措置の対象とすることに同意します。
(2) サプライヤーは、(i)匿名化されたデータが特定の消費者または世帯と関連付けられないようにするための合理的な措置を講じること、(ii)匿名化されたデータを匿名化された形式で維持し、再識別を試みないことを約束すること、および(iii)サブプロセッサーに同じことをすることを契約上約束することに同意します。
(c) データ主体の権利行使の要請。サプライヤーは、データ主体から、適用されるデータ保護法に基づき同人の個人データに関する権利行使の要求を受けた場合、マイクロソフトに速やかに通知するものとしま す。マイクロソフトは、当該要求に応じる責任を負うものとします。サプライヤーは、当該データ主体の要求を認める場合を除き、当該データ主体に回答しないものとします。サプライヤーは、マイクロソフトがデータ主体の要求に応じられるようにするため、要請があれば、援助をマイクロソフトに提供するものとします。
(d) サプライヤーのサブ処理業者。サプライヤーは、マイクロソフトの書面による事前の許可を得ることなく、サブ処理業者を使用しないものとします。サプライヤーは、サプライヤーが本別紙に基づきサブ処理業者のサービスを自らが直接履行していれば負うであろう責任と同じ範囲で、そのサブ処理業者の作為または不作為につき責任を負うものとします。ただし、本 PO 条件に別段の定めがある場合を除きます。サプライヤーは、サブ処理業者に対し、本別紙に定める条件以上に保護的な条件に書面にて同意するよう求めるものとします。
(e) 個人データインシデント
(1) 個人データに関する DPR および本別紙を含むPO 規約に基づくサプライヤーの義務を制限することなく、個人データインシデントに気付いた場合、サプライヤーは以下を行います。
(i) 個人データインシデントを不当に遅滞なくマイクロソフトに通知すること(いかなる場合も、サプライヤーの同様の立場にある顧客に通知するまでに、すべての場合におい て、サプライヤーが一般公開(プレスリリースなど) を行う前)。
(ii) データインシデントの調査において必要な支援を速やかに調査または実行し、個人データインシデントの性質の説明、影響を受けるデータ主体のおおよその数、個人データインシデントの現在および予測可能な影響、個人データ インシデントに対処し、その影響を軽減するためにサプライヤーが講じている措置など、個人データ インシデントに関する詳細情報をMicrosoft に提供すること。そして
(iii) データインシデントの影響を軽減するために、商業的に合理的なすべての手順を速やかに講じるか、Microsoft がこれを行うのを支援します。
(2) 本サプライヤーは、個人データインシデントがマイクロソフトの過失もしくは故意の行為、またはマイクロソフトの書面による明示的な指示に従ったサプライヤーから生じた場合を除き、本第 8条 (e) 項を本サプライヤーの費用負担で遵守するものとします。
(3) サプライヤーは、政府機関、個人、報道機関、またはその他の第三者に、サプライヤーがマイクロソフトから受領した、またはマイクロソフトに代わって処理した個人データに影響を及ぼす、または合理的に影響を及ぼす可能性のあるデータ インシデントを通知する前に、マイクロソフトの書面による承認を得る必要があります。本別紙にこれと矛盾する規定がある場合でも、サプライヤーは、個人データに影響を与える個人データインシデントについて、法的義務を負う場合、第三者に通知することができますが、サプライヤーは、(i) 個人データインシデントを第三者に開示しようとする場合、できるだけ早くマイクロソフトに事前通知するようあらゆる努力をします。(ii)マイクロソフトにそのような事前通知を行うことが不可能な場合は、通知が可能になったら直ちにマイクロソフトに通知してください。個人データインシデントが第三者に開示された場合、乙 は、マイクロソフトへの通知の一環として、当該第三者の身元および通知の写しを開示するものとします(当該第三者への通知が送付されていない場合、乙はマイクロソフトに草案を提供するものとします)。乙は、マイクロソフトが通知の編集または更新を提供することを許可します。
(f) 個人データの削除と返却。該当する作業指示書、クラウド注文書、発注書、または当事者間のその他の書面による契約が満了または終了した場合、またはマイクロソフトもしくはマイクロソフトの関連会社からの要求に応じて、本サプライヤーは、不当な遅滞なく、(1) すべての個人データ(そのコピーを含む) をマイクロソフトまたは該当するマイクロソフト関連会社に返却するものとします。(2) マイクロソフトまたはその関連会社からの要求に応じて、法律で明示的に別段の定めがある場合、または当事者が書面で明示的に合意した場合を除き、いずれの場合も、すべてのマイクロソフト個人データ (そのコピーを含む) を破棄し、その破棄を証明すること。該当する作業指示書、クラウド注文書、発注書、または当事者間のその他の書面による合意の満了または終了後にサプライヤーが保持する Microsoft 個人データ(たとえば、サプライヤーが情報を保持することが法的に義務付けられているため)、(A) サプライヤーは、当該個人データに適用されるPO 条件のすべての条件を引き続き遵守するものとします。 本別紙のデータセキュリティおよびプライバシー規定のすべてを含むもの、および適用される条件は、かかる満了または終了後も存続し、(B)サプライヤーは、実行可能な範囲で個人データ(存在する場合)を匿名化または集約する必要があります。すべての個人データは、マイクロソフトの機密情報です。
(g) 監査。サプライヤーは、PO 条件に基づくマイクロソフトの既存の監査権 (存在する場合) を制限することなく、データ保護法の遵守を実証し、マイクロソフトまたはマイクロソフトが委任したその他の監査人による監査(検査を含む) を許可し、これに寄与するために必要なすべての情報をマイクロソフトに提供するものとします。
別表 1: 処理およびサブ処理業者の説明
処理業務 | 両当事者の立場 | 処理されうる個人データのカテゴリー 下記カテゴリーは、説明であり、必ずしも両当事者が下記カテゴリーのデータを処理するということではありません。 | 処理されうる要配慮データのカテゴリー 下記カテゴリーは、説明であり、必ずしも両当事者が下記カテゴリーのデータを処理するということではありません。 | 適用される SCC モジュール |
サプライヤーは、物品、本サービスまたは本クラウド サービスを提供するために個人データを処理します。 | マイクロソフトは管理業者 サプライヤーは処理業者 | • 位置データ • IP アドレス • デバイスのプリファレンスとパーソナライズ • Web サイトのサービス利用状況、Web ページのクリック追跡 • ソーシャルメディアデータ、ソーシャル グラフ関係 • 接続されたデバイス (フィットネスモニターなど) からのアクティビティデータ • 氏名、住所、電話番 号、E メールアドレス、生年月日、扶養家族および緊急連絡先などの連絡先データ • 不正およびリスク評価、身元調査 • 保険、年金、給付の詳細 • 求職者の履歴書、面接時のメモ/フィードバック • メタデータおよびテレメトリ • 支払い方法データ • クレジット カード番号および有効期限 • 銀行コード情報 • 銀行口座番号 • クレジット要請 – 信用枠 | • 小児に関するデータ • 遺伝データ • 生体認証データ • 健康データ • 人種または民族 • 政治的見解 • 宗教的または哲学的信念 • 労働組合加入状況 • 自然人の性生活または性的指向 • 在留資格(査証、労働許可など) • 政府発行のID (パスポート、運転免許証、ビザ、社会保障番号、国発行ID 番号) | モジュール 2 モジュール 3 (マイクロソフトが別の管理業者の処理業者である場合) |
処理業務 | 両当事者の立場 | 処理されうる個人データのカテゴリー 下記カテゴリーは、説明であり、必ずしも両当事者が下記カテゴリーのデータを処理するということではありません。 | 処理されうる要配慮データのカテゴリー 下記カテゴリーは、説明であり、必ずしも両当事者が下記カテゴリーのデータを処理するということではありません。 | 適用される SCC モジュール |
• 税務関連の文書および納税者番号 • 投資データ • 法人カード • 経費データ • Azure テナント、M365テナント • Xbox Live、OneDrive Consumer • 顧客起点サポートチケット • 請求データ • e コマースデータ • イベント登録 • トレーニング • グローバル一意識別子 (GUID) • パスポートのユーザー ID または一意識別子 (PUID) • ハッシュ化されたエンドユーザーを特定できる情報 (EUII) - セッションID • デバイスID • 診断データ • ログデータ | ||||
両当事者は、例え ば、物品、本サービスまたは本クラウド サービスの管理および提供、請求書の管理、本PO 条件の管理およびそれに関する紛争の解決、一般的な問い合わせへの 対応および/または提 | マイクロソフトは管理業者 サプライヤーは処理業者 | • 従業員の氏名、役職、その他の連絡先情報 • 従業員ID • マイクロソフトの従業員のクリック、プレス、またはサプライヤーのハードウェアおよびソフトウェアとのその他のやり取りに関連するデバ | なし | モジュール 2 モジュール 3 (マイクロソフトが別の管理業者の処理業者である場合) |
処理業務 | 両当事者の立場 | 処理されうる個人データのカテゴリー 下記カテゴリーは、説明であり、必ずしも両当事者が下記カテゴリーのデータを処理するということではありません。 | 処理されうる要配慮データのカテゴリー 下記カテゴリーは、説明であり、必ずしも両当事者が下記カテゴリーのデータを処理するということではありません。 | 適用される SCC モジュール |
起、それぞれの規制上の義務の遵守、およびWeb ベースのアカウントの作成および管理を目的として、従業員の個人データを処理します。 | イスおよび/またはアクティビティ データ | |||
サプライヤーは、管理業者/第三者として個人データを収集または受領します。 | マイクロソフトは管理業者 サプライヤーは管理業者/第三者 | • 位置データ • IP アドレス • デバイスのプリファレンスとパーソナライズ • Web サイトのサービス利用状況、Web ページのクリック追跡 • ソーシャルメディアデータ、ソーシャル グラフ関係 • 接続されたデバイス (フィットネスモニターなど) からのアクティビティデータ • 氏名、住所、電話番 号、E メールアドレス、生年月日、扶養家族および緊急連絡先などの連絡先データ • 不正およびリスク評価、身元調査 • 保険、年金、給付の詳細 • 求職者の履歴書、面接時のメモ/フィードバッ ク • メタデータおよびテレメトリ • 支払い方法データ • クレジット カード番号および有効期限 | • 小児に関するデータ • 遺伝データ • 生体認証データ • 健康データ • 人種または民族 • 政治的見解 • 宗教的または哲学的信念 • 労働組合加入状況 • 自然人の性生活または性的指向 • 在留資格(査証、労働許可など) • 政府発行のID (パスポート、運転免許証、ビザ、社会保障番号、国発行ID 番号) | モジュール 1 |
処理業務 | 両当事者の立場 | 処理されうる個人データのカテゴリー 下記カテゴリーは、説明であり、必ずしも両当事者が下記カテゴリーのデータを処理するということではありません。 | 処理されうる要配慮データのカテゴリー 下記カテゴリーは、説明であり、必ずしも両当事者が下記カテゴリーのデータを処理するということではありません。 | 適用される SCC モジュール |
• 銀行コード情報 • 銀行口座番号 • クレジット要請 – 信用枠 • 税務関連の文書および納税者番号 • 投資データ • 法人カード • 経費データ • Azure テナント、M365テナント • Xbox Live、OneDrive Consumer • 顧客起点サポートチケット • 請求データ o e コマースデータ • イベント登録 • トレーニング • グローバル一意識別子 (GUID) • パスポートのユーザー ID または一意識別子 (PUID) • ハッシュ化されたエンドユーザーを特定できる情報 (EUII) - セッションID • デバイスID • 診断データ • ログデータ |
サブ処理業者
サプライヤーは、処理業者を務める場合、両当事者の権限を有する代表者の署名を付した作業指示書または書面契約に記載するサブ処理業者を使用します。
国際データ転送に関する情報
転送の頻度
すべての個人データにつき常時
保管期間
管理業者として、両当事者は、自らの事業上の目的を有する限り、または適用法により許容される最長期間につき、個人データを保管します。
処理業者としてのサプライヤーは、自らがマイクロソフトから収集または受領した個人データを、本 PO 条件の期間中、本別紙に定める義務に従い保管します。
標準契約条項において、以下のとおりとします。
• 第 7 条: 両当事者は、オプションの結合条項を採択しません。
• 第 9 条、モジュール 2(a) (該当する場合): 両当事者は、オプション 1 を選択します。期間は、30 日間です。
• 第 9 条、モジュール 3(a) (該当する場合): 両当事者は、オプション 1 を選択します。期間は、30 日間です。
• 第 11 条 (a) 項: 両当事者は、独立した紛争解決オプションを選択しません。
• 第 17 条:当事者はオプション 1 を選択します。両当事者は、準拠管轄権がアイルランド共和国であることに同意します。
• 第 18 条:両当事者は、法廷地がアイルランドのダブリンにある高等裁判所であることに同意します。
• 付属書類I(A): データの輸出者は、データ輸出者(上記で定義) であり、データの輸入者はデータ輸入者
(上記で定義) です。
• 付属書類I(B): 両当事者は、別表 1 が転送について説明したものであることに合意します。
• 付属書類I(C): 管轄の監督機関は、アイルランドデータ保護委員会です。
• 付属書類II: 両当事者は、別表 2 が転送に適用される技術的および組織的な措置を説明したものであることに合意します。
標準契約条項のローカライズのため、以下のとおりとします。
• スイス
o 両当事者は、すべてのデータ転送に関し、GDPR 基準を採択します。
o 第 13 条および付属書類I(C): 第 13 条に基づく、および付属書類 I(C) に記載の管轄当局は、連邦データ保護情報コミッショナーであり、同時に上記で特定される EEA 加盟国の当局です。
o 第 17 条: 両当事者は、準拠管轄権がアイルランド共和国であることに同意します。
o 第 18 条:両当事者は、法廷地がアイルランドのダブリンにある高等裁判所であることに同意します。両当事者は、スイスのデータ主体が第 18 条(c)に従ってスイスでの権利を訴えることができるように、標準契約条項を解釈することに同意するものとします。
o 両当事者は、標準契約条項について、連邦データ保護法の改訂版が発効するまで、「データ主体」には、スイスの法人に関する情報が含まれるように解釈することに合意します。
• 英国
o 「UK SCC Addendum」とは、2018 年データ保護法第 S119A(1)に基づき英国情報コミッショナーオフィスが発行した EU 委員会標準契約条項の国際データ移転補遺を意味し、情報コミッショナーオフィスによって随時修正され、https://ico.org.uk/for-organisations/guide-to-data-
protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer- agreement-and-guidance/ で入手可能です。
o 十分性認定または例外の対象とならない英国からの移転については、両当事者は本契約により、言及により英国 SCC 補遺を組み込み、かつ本 DPA に署名することにより、英国 SCC 補遺の必須条項を締結し、これに拘束されることに合意します。
o 両当事者は、以下の情報が英国 SCC 補遺の表 1 から 4 に関連すること、および表の形式および内容を変更することにより、いずれの当事者も、適切な保護措置 (英国SCC 補遺の定義による) を軽減することを意図しないことに合意します。
▪ 表 1: 当事者の詳細、主要な連絡先、データ主体の連絡先、および署名は、DPA の署名欄に記載されています。
▪ 表 2: 選択した SCC、モジュール、および選択した条項は、別表 1 に記載されています。
▪ 表 3: 当事者のリスト、移転の説明、およびサブ処理業者のリストは、別表 1 に記載されています。データのセキュリティを確保するための技術的および組織的措置は、別表 2 に記載されています。
▪ 表 4: いずれの当事者も、承認済み補遺が変更された場合でも、英国 SCC 補遺を終了することはできません。
o 標準契約条項の第 17 条: 両当事者は、管轄区域が英国であることに合意します。
o 標準契約条項の第 18 条: 両当事者は、法廷地がイングランドおよびウェールズの裁判所であることに合意します。両当事者は、データ主体が英国のいずれかの裁判所においていずれかの当事者に対して法的手続きを提起する場合があることに合意します。
別表 2: 技術的および組織的なセキュリティ措置
サプライヤーは、本PO 条件第 15 条 (a) 項で合意されるとおり、マイクロソフトの DPR を遵守するものとします。
[このページの残り部分は、意図的に空白になっています]