Contract
オフィス宅ふぁいる便サービス利用規約
株式会社オージス総研(以下「当社」という。)は、当社からオフィス宅ふぁいる便サービスの提供を受けるものに適用されるオフィス宅ふぁいる便利用規約を以下のとおり定める。
第1条(定義)
1.「本サービス」とは、当社が提供するオフィス宅ふぁいる便サービスをいい、詳細は、オフィス宅ふぁいる便サービスの基本仕様書に定めるとおりとする。
2.「基本仕様書等」とは、当社が提供するサービス利用規約、本規約および本サービスの基本仕様書をあわせたものをいう。
3.「利用申込者」とは、本規約第3条に基づき、本サービスの利用申込を行う者をいう。
4.「契約者」とは、本サービスを利用するために、当社と本サービスの利用契約を締結した者をいう。
5.「利用者」とは、契約者が個人事業主の場合は契約者自身、契約者が法人の場合は、契約者の従業員又は役員をいう。
6.「第三者利用者」とは、利用者以外で、契約者又は利用者が本サービスの全部又は一部の利用を認めた者をいう。
7.「顧客データ」とは、本サービスを通じて契約者、利用者又は第三者利用者により(またはその指示により)当社に提供されるデータをいう。
8.「本パーソナルデータ」とは、顧客データのうち、パーソナルデータにあたるものをいう。
9.「個人情報保護法」とは、個人情報の保護に関する法律(平成 15 年法律第 57 号)をいう。
10. 「 ヨーロッパデータ保護法令」 とは、ヨーロッパ連合一般データ保護規則
(REGULATION(EU) 2016/679、以下「GDPR」という。)及び同規則に関連して、英国、ヨーロッパ連合(以下「EU」という。)、及びヨーロッパ経済領域(以下「EEA」という。)に加盟する各国が定めた法令をいう。
11.「その他海外データ保護法令」とは、ヨーロッパデータ保護法令以外の、日本国外で施行されているデータ保護法令又はプライバシー法令をいう。
12.本規約にいう「パーソナルデータ(personal data)」、「データ主体(data subject)」、「管理者(controller)」、「共同管理者(joint controllers)」、「処理者(processor)」及び「処理 (processing)」の定義は、その適用の有無にかかわらず、それぞれ GDPR の定めるところによる。
13「. 本 SCC」とは、欧州委員会が定める標準契約条項(Commission Decision 2010/87/EU)
で、別紙4に定めるものをいう。
14.本規約で定めのない文言は、サービス利用規約の定義が適用されるものとする。
第2条 (利用契約の成立及び変更)
1.利用契約は、本サービスの利用申込者が、基本仕様書等の内容を承諾した上で、当社指定の書式又はウェブサイトのフォームに端末機器、回線接続環境、その他本サービスの利用に関する必要事項を記入して当社に利用申込(以下「本利用申込」という。)を行い、当社がこれに対して承諾の意思を書面又は電磁的方法により発したときに成立するものとする。当社は当該利用申込を受領した時点で、利用申込者が基本仕様書等の内容を承諾しているものとみなす。
2.契約者は、本サービスの基本仕様書に定められた範囲内で利用契約の内容の変更を申し出ることができる。利用契約の変更は、契約者が当社指定の申込書又は当社指定のウェブサイトのフォームに必要事項を記入して当社に提出し、当社がこれに対して書面又は電磁的方法により承諾の意思を発したときに成立するものとする。
3.前各項の定めにかかわらず、次の各号の一に該当する場合には、当社は前各項の申込みを承諾しないことができる。
①利用申込者又は契約者が当社所定の申込み手続きに従わない場合
②利用申込者又は契約者が過去に当社との契約に違反した事実がある場合
③本サービスの提供又は利用契約の変更により、業務上若しくは技術上の問題が生じる又は生じるおそれのある場合
④その他当社が不適当と判断した場合
第3条(利用契約の期間等)
1.利用契約の契約期間は最短で 1 ヶ月とし、月初から月末での1か月間を契約期間の単位とする。
2.利用契約は自動更新とし、第6条で定める利用契約の解約が契約者によって行われた場合 を除き、利用契約の契約満了日から1か月、当該利用契約の契約期間が延長されるものとし、以後同様とする。
3.利用契約の終了の原因にかかわらず、本規約の条項の内、第7条及び第8条を含む利用契約が終了した後も条項の性質上当然存続すべき条項については、利用契約が終了した後も、有効に存続するものとする。
第4条(利用料金の支払方法等)
1.契約者が支払う当該月の本サービスの利用料金は、当該月末の利用契約の内容に基づき算定されるものとする。
2.契約者は、利用契約に定める利用料金について、以下の各号のいずれかの支払方法で支払うものとする。
①クレジットカード支払い
契約者が、GMO ペイメントゲートウェイ株式会社(以下「GMO」という。)が提供する「PGマルチペイメントサービス」で利用できる、利用申込時に登録したクレジットカード会社
(以下「カード会社」)に対する支払いを通じて、毎月当社に利用料金を支払う方法
②請求書支払い
当社が、利用申込時に契約者が登録した請求先に毎月末締め、翌月 5 営業日以内に請求書を発行し、契約者が、当該請求書到着月末までに当社指定の銀行口座へ振り込むことで毎月当社に利用料金を支払う方法
3.契約者は、当社指定の方法により申込を行うことで、前項第 2 号の請求書支払いからクレジットカード支払いに支払い方法を変更することができる。なお、クレジットカード支払いから他の支払い方法に変更することはできないものとし、この場合、利用契約を解約の上、新たな利用契約を締結することを要するものとする。
第5条(クレジットカード支払いの場合の特則)
契約者は、利用契約に定める利用料金について、前条第2項第 1 号で定めるクレジットカード支払いを行う場合、以下の各号の定めに従うものとする。
①契約者は利用料金について当社に対する支払義務があることを承諾したうえで、利用申込時に登録したクレジットカード(以下「本クレジットカード」といいます。なお、契約者が登録したクレジットカードについて登録変更を行った場合は当該変更後の契約者のクレジットカードを含むものとします)の、クレジットカード会社(以下「カード会社」といいます)が定める規約に基づき、支払いを行うものとする。
②契約者とカード会社の間の立替払契約が解除された場合、当該日をもって利用契約も解除されたものとする。
③契約者は、利用料金の支払いに関連してカード会社との間で生じた紛争について、契約者自身の責任と費用において解決するものとし、当社に何等迷惑をかけず、かつ損害を与えないことに同意するものとする。
④契約者とカード会社との間で生じた紛争に起因して、契約者の故意又は過失により当社 が損害を被った場合、当該契約者は、かかる損害を当社の求めに応じて賠償するものとする。
⑤契約者が次のいずれかに該当する場合は、当社から前条第2項第2号の請求書支払いの方法に基づいて契約者に直接請求を行うものとする。
(1) カード会社の規定により利用料金について支払いが承認されない場合
(2) カード会社の規定により契約者のカード会員資格が喪失している場合
(3) カード会社により会員番号の変更、有効期限の更新が行われ、その更新内容を当社が確認する必要がある際に一定期間契約者と連絡が取れない場合
(4) 理由の如何にかかわらず、本クレジットカードを含む契約者のクレジットカードによるクレジットカード支払いが困難になった場合
(5) 上記の他、当社が契約者として不適切であると判断した場合
⑥前号にかかわらず、本クレジットカードのカード番号や有効期間の変更が反映されていない、GMO で本クレジットカードの取扱いが終了した等当社に責に帰せざる事由を原因として本クレジットカードでの利用料金の請求決済が一時的に行えない場合、当社は以下のいずれかの方法で当該利用料金を請求できるものとする。
(1)当該決済が完了しなかった月の利用料金の請求について、前条第2項第2号の請求書支払いの方法に基づいて当社が契約者に請求する方法
(2)当該決済が完了しなかった月の利用料金の請求について、当該月の翌月の利用料金のクレジットカード支払いの際に当該月の利用料金を加算して当社が契約者に請求する方法
⑦本クレジットカードの情報(会員番号等)は、カード会社から GMO に提供されるものとし、当社は本クレジットカードの情報を含む契約者のクレジットカード情報を保有しないものとする。
第6条(契約者による利用契約の解約)
1.契約者は利用契約を解約したい場合、支払方法に応じて、以下の各号に定める方法で解約を行うものとする。
①クレジットカード支払いの場合 契約者は当社指定のウェブサイトのフォームを通じてのみ解約申込みを行うことができるものとし、当該解約申込みを当社が受領した時点で、利用契約の契約期間は更新されないものとする。なお、利用契約の契約期間にかかわらず、当該解約申込みを当社が受領した日が属する月の末日より後、契約者は本サービスを利用できなくなるものとする。
②請求書支払いの場合 契約者は、当社指定の解約申込書を契約期間満了日が属する月の
10日までに当社に提出することでのみ解約申込みを行うことができるものとし、当該解約申込みを当社が受領した時点で、利用契約の契約期間は更新されないものとする。なお、利用契約の契約期間にかかわらず、当該解約申込みを当社が受領した日が属する月の末日より後、契約者は本サービスを利用できなくなるものとする。
2.契約者は前項の解約を行った場合、契約期間満了日までの残余の期間に対応する対価を、当社が定める期日までに支払うものとする。
3.前項における対価の支払い時期及び支払い方法については、前二条の定めを準用するものとする。
第7条(第三者利用者の利用)
1.契約者は、本サービスの機能を利用して、第三者利用者に本サービスの一部又は全部を利用させることができる。
2. 契約者は、前項に基づき第三者利用者に本サービスの一部又は全部を利用させる場合には、自己の責任で利用させるものとし、当該利用に関して、当社を免責しなければならない。
3. 前項の場合において、契約者は、当該第三者利用者に対して、サービス利用規約第6章
及び本規約の契約者が遵守する内容を遵守させなければならず、当該利用者がこの内容に違反した場合は、契約者が違反したものとみなす。
4. 第2項の場合において、契約者は、当該第三者利用者に対し、当社の免責及び当社への苦情、クレーム等の防止について明確な措置を行うと共に、当該利用者より損害賠償の請求等があった場合には、一切の折衝と賠償の責を負うものとする。
5. 前項に係らず、当該第三者利用者から当社に損害賠償請求があった場合には、契約者は、当該請求への対応のために要した一切の費用(弁護士費用、第三者への支払額を含むが、これらに限らない)を当社に支払うものとする。
第8条(確認及び表明保証)
1.当社及び契約者は、当社ウェブサイトおよび本サービスに関する知的財産権は全て当社又は当社にライセンスを許諾している者に帰属していることを確認する。
2.契約者は、以下の各号について、当社に対し表明し、保証するものとする。
① 顧客データについて、自らがアップロードその他送信することについての適法な権利を有していること、及び、顧客データが第三者の権利を侵害していないこと
② 当社による、本サービスに関連する本パーソナルデータの処理について、当該本パーソナルデータの処理に適用される法令との関係で適法な処理となるよう、必要な同意や対応を行うこと
③ 本サービスの利用に関して個人情報保護法、ヨーロッパデータ保護法令及びその他海外データ保護法令を遵守していること
第9条(本パーソナルデータに関する当事者の関係)
1.契約者及び当社は、本規約で別途定めがある場合を除き、契約者が本パーソナルデータの管理者であり、当社が当該データの処理者であることを確認する。なお、契約者が共同管理者である場合、契約者が本サービスを利用する権限を有することについて、当社に対し表明し、保証するものとする。
2.契約者が本パーソナルデータの処理者である場合、契約者は当社を復処理者(sub- processor)として本サービスを利用するものであり、本サービスを利用する権限を有することについて、当社に対し表明し、保証するものとする。
第10条(本パーソナルデータの処理)
1.当社は、本パーソナルデータを、本規約に基づき本サービスを提供するためにのみ処理するものとする。但し、当社は、適用のあるヨーロッパデータ保護法令によって本パーソナルデータの処理が要求されている場合には、当該法律が通知を禁止していない限り事前に契約者に通知したうえで、本パーソナルデータを処理することができるものとする。
2.当社が本規約に基づき処理する本パーソナルデータの種類、処理期間等は別紙 1 の通りとする。
3.当社は、別紙 2 の安全対策を含む本パーソナルデータの処理の性質を考慮して適切な技術的組織的手段をとることにより、データ主体の権利(GDPR 第 3 章に規定される個人の権利を含む)の行使要求に対応可能となるように、可能な範囲で契約者に協力する。当社は、個人から上記権利の行使要求を受けた場合には、速やかに契約者に通知し、その指示を受けて対応する。
4.当社が、本規約、基本仕様書、本規約を含む契約者の指示の履行が、ヨーロッパデータ保護法令に抵触すると考えるときは、直ちに契約者に報告するものとする。ただし、当社は、本パーソナルデータの処理が、ヨーロッパデータ保護法令に抵触するかどうかを法的に審査する義務を負うものではない。
5.契約者は、その指示又は追加指示が、ヨーロッパデータ保護法令に抵触していたことによって当社に生じた一切の費用を補填し、損害を賠償するものとする。
6.契約者は、当社による本サービスに関連する本パーソナルデータの処理について、当該本パーソナルデータの処理に適用される法令との関係で適法な処理となるよう、必要な同意や対応を行うことを保証するものとする。
第11条(安全管理措置)
1.当社は、本パーソナルデータの保護を確実なものとするために、本パーソナルデータの処理を担当する従業員との間で秘密保持契約を締結することその他の方法により当該従業員に対して秘密保持義務を課す。
2.当社は、最新技術、実施コスト、本パーソナルデータの処理の性質、範囲、過程及び目的、並びに、起こり得る個人の人権侵害の可能性と重大性を考慮して、そのリスクに応じた別紙
2に定める安全対策を含む適切な技術的組織的安全管理措置を実施する。
3.当社は、本パーソナルデータの処理の性質及び当社が利用可能な情報を考慮して、GDPR第 32 条から第 36 条に規定された契約者の義務(個人データ処理の安全管理義務、個人データ侵害時の当局/データ主体への通知義務、データ保護影響評価義務及び当局との事前協議義務等)の遵守を確実なものとするように、契約者に協力する。なお、当社が当該協力により支出した費用については、当該協力の原因に当社に責に帰すべき事由がない限り、契約者が負担するものとする。
4.契約者は、別紙1の2.の定めに基づいて本パーソナルデータを消去することができる。
5.当社は、本規約に規定された義務の遵守の証明に必要な情報を契約者に提供するものとする。当社は、当社が選任する監査人による監査を受けており、契約者の求めに応じ、必要な範囲で当該監査に関する資料を提供する。かかる資料提供に加え、契約者が別途の監査の実施を希望する場合、当社は、必要な範囲でこれに協力するものとする。かかる監査は、契約者が当社に対して事前に通知の上、当社の通常の営業時間内に行われるものとし、その費用
は契約者が負担する。
第12条(復処理者への委託)
1.契約者は、当社が本パーソナルデータの処理を、別紙3記載の復処理者を含む復処理者に 委託することを許可する。当社は復処理者(第2項の規定により追加された復処理者を含む)による本パーソナルデータの処理について、本規約、本規約と同等の義務を復処理者に課す ものとし、また、契約者と当社間で本 SCC の適用がある場合には本 SCC と同等の義務も 復処理者に課すものとし、当社は、復処理者による本パーソナルデータの処理について、責 任を負う。
2.当社が、新たに復処理者を追加する場合には、契約者に通知するものとし、契約者が当該通知から 14 日以内に書面で異議を申し立てない場合には、契約者は当該復処理者の追加を承諾したものとみなす。
3.契約者が、通知された復処理者につき、合意されたデータ保護に関する義務を遵守する能力の欠如以外の理由で異議を述べる場合、当該異議により発生する調整に要する費用は契約者が負担する。なお、両当事者間で合意できない場合は、サービス利用規約第 43 条(協議等)に従い解決する。
第13条(本パーソナルデータの移転)
本パーソナルデータの処理に、EEA 又は英国からの本パーソナルデータの転送を含み、ヨーロッパデータ保護法令が当該転送に適用される場合、当社は、十分性認定に基づいて本パーソナルデータの移転を行うことを原則とする。但し、十分性認定が本パーソナルデータの移転の根拠とならない場合は、本 SCC を本規約の一部として構成し、本 SCC に基づき、本パーソナルデータの移転を行うものとする。
第14条(その他個人に関する情報の取り扱い)
1.当社は、別途定める「オフィス宅ふぁいる便サービス cookie ポリシー」に従って、本サービスに関連する cookie を取り扱うものとし、契約者はこれに同意し、また利用者に同意させるものとする。
2.当社は、本パーソナルデータに含まれない個人データの取り扱いについて、当社の「個人情報保護方針」及び「オフィス宅ふぁいる便プライバシーポリシー」に従って取り扱うものとする。
第15条(本規約との関係)
1.サービス利用規約、本規約、基本仕様書及び本 SCC の間に矛盾がある場合、相互の優先順位は、本SCC、基本仕様書、本規約、サービス利用規約の順とする。
2.前項の規定に関わらず、サービス利用規約第 38 条及び第 39 条の適用は妨げられない。
第16条(本サービスに関するセキュリティの責任)
1.当社は、本サービスにおけるクラウドサービス基盤から、サービスの運用までのセキュリティに関する運用、管理、および制御について責任を負うものとする。
2.契約者は、本サービスの顧客データの内容及びアカウント情報(ログイン ID、パスワード、当該アカウントに契約者が登録する情報を含むが、これに限らない)の管理、本サービスを利用してアップロードされたファイルをダウンロードするための情報(ワンタイム URL、ワンタイムパスワード)の管理及び、クラウドサービスを利用するための設定について、責任を負うものとする。
第17条(本規約の変更)
1.当社は、本規約を随時変更することができるものとする。当社は本規約を変更する場合は、原則として本規約変更の14日前に、当社ウェブサイトに掲載するものとし、また本サービスの利用時に変更後の本規約の内容を表示させるものとする。
2.本規約の変更後に、本サービスを利用した時点で、契約者は本規約に同意したものとみなす。
別紙1 本規約の対象となる本パーソナルデータ
Annex1: The Personal Data Subject to this Agreement
1. 処理の対象事項
当社による本サービスの契約者に対する提供(契約者の許諾による利用者の利用を含み、以下同じ意味。)
1. Services handled by the Company
Provision of the Service by the Company to the Contractor (including use by the User with the permission of the Contractor; hereinafter the same means).
2. 処理期間
本規約に基づく全ての顧客データの削除までの期間。なお、顧客データの主な処理期間については、以下の通りとする。
・契約者が管理する契約アカウントで保管期限を設定可能なログ、履歴及びアドレス帳に含まれるデータ:
当該データの提供から契約者が設定した保管期限が経過するまで。
・契約者、利用者又は第三者利用者が送付目的でアップロードしたデータ:
アップロード者の依頼により削除する場合を除き、当該データのアップロードから契約者が設定した保管期限が経過するまで。
2. Processing period
The period of time until the deletion of all Customer data in accordance with this agreement. The period of time for deletion of Customer data is as follows:
・ Data contained in the log, history and address book which retention period can be set in the account managed by the Contractor.
Until the expiration of the retention period set by the Contractor from the provision of the data.
・Data uploaded by the Contractor, user or third party user for the purpose of sending. Until the expiration of the retention period set by the Contractor from the upload of the data in question, unless the data is deleted at the request of the uploader.
3. 処理の性質と目的
当社は、利用契約に従って本サービスを契約者又は利用者に提供する目的で、パーソナルデータを処理する。
3. Processing nature and purpose
We process the Personal Data for the purpose of providing the Service to the Contractor or User in accordance with the Agreement.
4. 処理されるパーソナルデータの類型
本サービスを通じて当社に提供される個人に関する情報で、契約者または利用者により(またはその指示により)提供されるもの
4. Categories of personal data
Personal information provided to us through the Service that is provided by (or at the direction of) the Contractor or User
5. 処理されるデータ主体の類型
契約者の従業員又は役員、利用者(利用者が法人の場合は、利用者の役員又は従業員)及び本サービスを通じて契約者または利用者により(またはその指示により)当社にデータが提供される個人
5. Categories of Data Subjects
Employees or officers of the Contractor, Users (or officers or employees of the Contractor if the User is a corporation), and individuals to whom data is provided to the Company by (or at the direction of) the Contractor or Users through the Service.
別紙 2:安全対策
Annex 2: Security Measures
№ | カテゴリ Category | 内容 Description |
サーバ・ネットワーク環境 Server network environment | ||
1 | 死活監視alive monitoring | 24 時間 365 日、本サービスを監視しており、異常検知時はデータセンターの運用者へ通知される The Service is monitored 24 hours a day, 7 days a week, 365 days a year, and the data center operator is notified when an error is detected. |
2 | ウイルス対策antivirus measures | アップロードされる送信ファイルに対してウイルスチェックをしています。ウイルスチェックのパターンファイルは常に最新の状態を保つ設定にしています。 We check the uploaded files for viruses. The virus check pattern file is set to always be up-to-date. |
3 | サーバ OS へのアクセスAccessing the Server OS | 本番稼働中のサーバの OS に対して運用者を含め、直接アクセスできない設定にしています。 The OS of the server in production is not directly accessible by anyone, including the operator |
4 | 改ざん検知Falsification detection | OS 内のプログラム等が書き換えられていないかを検知するため改ざん検知を実施しています。 Falsification detection is performed to detect whether programs in the OS have been rewritten. |
5 | 振る舞い検知Behavior detection | OS 上でマルウェアやランサムウェアや乗っ取りによる不審な動きがないかどうか、常時監視を行います。 We constantly monitor the OS for suspicious activity due to malware, ransomware, or takeover. |
6 | ファイヤーウ ォール | ネットワーク上にFirewall を実装し、必要最低限のアクセスのみ 許可しています。 |
Firewall | We have implemented a firewall on our network, allowing only the minimum amount of access required. | |
7 | 不正アクセス対策Measures against unauthorized access | アプリケーションレイヤに対しては、WAF を導入し、不正アクセスを防御しています。不正アクセスのアクセス元は IP アドレスでブロックしています。 The application layer is protected against unauthorized access by introducing WAF. The access source for unauthorized access is blocked by the IP address. |
8 | ネットワークレイヤに対しては IDS/IPS を導入し、不正アクセスを防御しています。 The network layer is protected against unauthorized access by introducing a IDS/IPS | |
9 | 内部不正防止Prevention of internal improprieties | 運用者の操作に対するログをすべて取得しています。本ログについては、公開していません。 We obtain all logs of the operator's operations. This log is not available to the public. |
10 | ログの改ざん防止 To prevent log tampering | ログはすべて一か所に集められ、改ざん防止対策を取っています。All logs are collected in one place and tampering prevention measures are taken. |
11 | 暗号化対策Encryption measures | 送信ファイルを保管する領域を暗号化しています。 The area for storing sent files is encrypted. |
12 | データベースの保管領域を暗号化しています。 The database storage is encrypted. | |
13 | 外部からの通信は暗号化通信のみ許可しています。 Communication from outside is permitted only for encrypted communication. | |
14 | 災害対策Disaster measures | サーバ環境においては、複数拠点のデータセンターを活用し、ワンポイント障害の回避策を行っています。 In the server environment, we use data centers at multiple locations and take measures to avoid one-point failures. |
15 | サーバ負荷対策 measures against high loads | サーバが高負荷となった場合、自動でサーバをスケールアウトする構成を実装しています。 We have implemented a configuration that automatically scales out the server when the server becomes overloaded. |
サービス運用 Service operation | ||
16 | アクセスログ Access log | 運用者のアクセスログを取得し、内部不正を監視しています。 The access log of the operator is acquired and internal improprieties are monitored. |
17 | 操作ログの取得 Retrieving Operation Logs | 運用者の操作ログを取得し、内部不正を監視しています。 The operator's operation log is acquired and internal improprieties are monitored. |
18 | セキュリティパッチSecurity patches | セキュリティパッチの対応の文書化を行い、対応フローを定め運用しています。また、定期的に OS、ミドルウエア等の脆弱性情報を確認し、アップデートを実施しています。 We have documented our response to security patches and established a response flow. In addition, we regularly check for OS and middleware vulnerabilities and update them to address the vulnerabilities. |
19 | 変更管理Change management | システムを変更するための手順は文書化されており、変更対応に対する申請・承認フローを定めて、運用されています。Procedures for changing the system are documented, and the application and approval flow for response to changes is established and implemented. |
20 | 暗号鍵の管理Managing cryptographic keys | 暗号鍵の管理方法が文書化されており、適切に管理されています。The method of managing cryptographic keys is documented and managed appropriately. |
21 | ID 管理 ID management | システムのメンテナンスをするための ID の管理手順が文書化されています。定期的に ID の精査を行い、不要な ID は削除しています。 ID management procedures for system maintenance are documented and rules are in place. We regularly scrutinize IDs and delete unnecessary IDs. |
22 | データフローの管理 Data Flow management | 保有するデータを識別した上で、データフローを整理しており、リスク可視化しています。そのうえで、リスクを回避すべく対策を行っています。 After identifying the data we hold, we organize the data flow |
and visualize the risks. In addition, we are taking measures to avoid risks. | ||
23 | 脆弱性対策Vulnerability Diagnosis | 脆弱性診断を定期的に実施し、脆弱性対策の有効性を判断しています。 Vulnerability diagnosis is conducted regularly to determine the effectiveness of vulnerability measures. |
別紙 3:復処理者 Annex3:subprocessor
復処理者 subprocessor | サービスの概要 Summary of Services |
Amazon Web Services | ホスティングサービス hosting service |
HENNGE 株式会社 | 本サービスに関するメールの配信サービス E-mail distribution service for the Service |
サイボウズ株式会社 | 本サービスに関する問い合わせメールの管理サービス E-Mail management service for inquiries about the Service |
別紙 4:本 SCC Annex4 :the SCC
Standard Contractual Clauses (processors)
For the purposes of Article 26(2) of Directive 95/46/EC for the transfer of personal data to processors established in third countries which do not ensure an adequate level of data protection
The entity identified as “Contractor” in the Agreement (the “data exporter”) And
OGIS-RI Co.,Ltd.
I.C.C. Bldg.,Minami 2-37, Chiyozaki 3-xxxxx, Xxxxx-xx, Xxxxx-xxx,Xxxxx 000-0000 XAPAN (the “data importer”)
each a “party”; together “the parties”,
HAVE AGREED on the following Contractual Clauses (the Clauses) in order to adduce adequate safeguards with respect to the protection of privacy and fundamental rights and freedoms of individuals for the transfer by the data exporter to the data importer of the personal data specified in Appendix 1.
Clause 1 Definitions
For the purposes of the Clauses:
(a) 'personal data', 'special categories of data', 'process/processing', 'controller', 'processor', 'data subject' and 'supervisory authority' shall have the same meaning as in Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data;
(b) 'the data exporter' means the controller who transfers the personal data;
(c) 'the data importer' means the processor who agrees to receive from the data exporter personal data intended for processing on his behalf after the transfer in accordance with his instructions and the terms of the Clauses and who is not subject to a third country's system ensuring adequate protection within the meaning of Article 25(1) of Directive 95/46/EC;
(d) 'the subprocessor' means any processor engaged by the data importer or by any other subprocessor of the data importer who agrees to receive from the data importer or from any other subprocessor of the data importer personal data exclusively intended for processing activities to be carried out on behalf of the data exporter after the transfer in accordance with his instructions, the terms of the Clauses and the terms of the written subcontract;
(e) 'the applicable data protection law' means the legislation protecting the fundamental rights and freedoms of individuals and, in particular, their right to privacy with respect to the processing of personal data applicable to a data controller in the Member State in which the data exporter is established;
(f) 'technical and organisational security measures' means those measures aimed at protecting personal data against accidental or unlawful destruction or accidental loss,
alteration, unauthorized disclosure or access, in particular where the processing involves the transmission of data over a network, and against all other unlawful forms of processing.
Clause 2 Details of the transfer
The details of the transfer and in particular the special categories of personal data where applicable are specified in Appendix 1 which forms an integral part of the Clauses.
Clause 3 Third-party beneficiary clause
1. The data subject can enforce against the data exporter this Clause, Clause 4(b) to (i), Clause 5(a)to (e), and (g) to (j), Clause 6(1) and (2), Clause 7, Clause 8(2), and Clauses 9 to 12 as third-party beneficiary.
2. The data subject can enforce against the data importer this Clause, Clause 5(a) to (e) and (g),Clause 6, Clause 7, Clause 8(2), and Clauses 9 to 12, in cases where the data exporter has factually disappeared or has ceased to exist in law unless any successor entity has assumed the entire legal obligations of the data exporter by contract or by operation of law, as a result of which it takes on the rights and obligations of the data exporter, in which case the data subject can enforce them against such entity.
3. The data subject can enforce against the subprocessor this Clause, Clause 5(a) to (e) and (g),Clause 6, Clause 7, Clause 8(2), and Clauses 9 to 12, in cases where both the data exporter and the data importer have factually disappeared or ceased to exist in law or have become insolvent, unless any successor entity has assumed the entire legal obligations of the data exporter by contract or by operation of law as a result of which it takes on the rights and obligations of the data exporter, in which case the data subject can enforce them against such entity. Such third-party liability of the subprocessor shall be limited to its own processing operations under the Clauses.
4. The parties do not object to a data subject being represented by an association or other body if the data subject so expressly wishes and if permitted by national law.
Clause 4 Obligations of the data exporter The data exporter agrees and warrants:
(a) that the processing, including the transfer itself, of the personal data has been and will continue to be carried out in accordance with the relevant provisions of the applicable data protection law (and, where applicable, has been notified to the relevant authorities of the Member State where the data exporter is established) and does not
violate the relevant provisions of that State;
(b) that it has instructed and throughout the duration of the personal data processing services will instruct the data importer to process the personal data transferred only on the data exporter's behalf and in accordance with the applicable data protection law and the Clauses;
(c) that the data importer will provide sufficient guarantees in respect of the technical and organisational security measures specified in Appendix 2 to this contract;
(d) that after assessment of the requirements of the applicable data protection law, the security measures are appropriate to protect personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorised disclosure or access, in particular where the processing involves the transmission of data over a network, and against all other unlawful forms of processing, and that these measures ensure a level of security appropriate to the risks presented by the processing and the nature of the data to be protected having regard to the state of the art and the cost of their implementation;
(e) that it will ensure compliance with the security measures;
(f) that, if the transfer involves special categories of data, the data subject has been informed or will be informed before, or as soon as possible after, the transfer that its data could be transmitted to a third country not providing adequate protection within the meaning of Directive 95/46/EC;
(g) to forward any notification received from the data importer or any subprocessor pursuant to Clause 5(b) and Clause 8(3) to the data protection supervisory authority if the data exporter decides to continue the transfer or to lift the suspension;
(h) to make available to the data subjects upon request a copy of the Clauses, with the exception of Appendix 2, and a summary description of the security measures, as well as a copy of any contract for subprocessing services which has to be made in accordance with the Clauses, unless the Clauses or the contract contain commercial information, in which case it may remove such commercial information;
(i) that, in the event of subprocessing, the processing activity is carried out in accordance with Clause 11 by a subprocessor providing at least the same level of protection for the personal data and the rights of data subject as the data importer under the Clauses; and
(j) that it will ensure compliance with Clause 4(a) to (i).
Clause 5 Obligations of the data importer1 The data importer agrees and warrants:
(a) to process the personal data only on behalf of the data exporter and in compliance with its instructions and the Clauses; if it cannot provide such compliance for whatever reasons, it agrees to inform promptly the data exporter of its inability to comply, in which case the data exporter is entitled to suspend the transfer of data and/or terminate the contract;
(b) that it has no reason to believe that the legislation applicable to it prevents it from fulfilling the instructions received from the data exporter and its obligations under the contract and that in the event of a change in this legislation which is likely to have a substantial adverse effect on the warranties and obligations provided by the Clauses, it will promptly notify the change to the data exporter as soon as it is aware, in which case the data exporter is entitled to suspend the transfer of data and/or terminate the contract;
(c) that it has implemented the technical and organisational security measures specified in Appendix2 before processing the personal data transferred;
(d) that it will promptly notify the data exporter about:
(i) any legally binding request for disclosure of the personal data by a law enforcement authority unless otherwise prohibited, such as a prohibition under criminal law to preserve the confidentiality of a law enforcement investigation,
(ii) any accidental or unauthorised access, and
(iii) any request received directly from the data subjects without responding to that request, unless it has been otherwise authorised to do so;
(e) to deal promptly and properly with all inquiries from the data exporter relating to
1 Mandatory requirements of the national legislation applicable to the data importer which do not go beyond what is necessary in a democratic society on the basis of one of the interests listed in Article 13(1) of Directive 95/46/EC, that is, if they constitute a necessary measure to safeguard national security, defence, public security, the prevention, investigation, detection and prosecution of criminal offences or of breaches of ethics for the regulated professions, an important economic or financial interest of the State or the protection of the data subject or the rights and freedoms of others, are not in contradiction with the standard contractual clauses. Some examples of such mandatory requirements which do not go beyond what is necessary in a democratic society are, inter alia, internationally recognised sanctions, tax-reporting requirements or anti-money-laundering reporting requirements.
its processing of the personal data subject to the transfer and to abide by the advice of the supervisory authority with regard to the processing of the data transferred;
(f) at the request of the data exporter to submit its data processing facilities for audit of the processing activities covered by the Clauses which shall be carried out by the data exporter or an inspection body composed of independent members and in possession of the required professional qualifications bound by a duty of confidentiality, selected by the data exporter, where applicable, in agreement with the supervisory authority;
(g) to make available to the data subject upon request a copy of the Clauses, or any existing contract for subprocessing, unless the Clauses or contract contain commercial information, in which case it may remove such commercial information, with the exception of Appendix 2 which shall be replaced by a summary description of the security measures in those cases where the data subject is unable to obtain a copy from the data exporter;
(h) that, in the event of subprocessing, it has previously informed the data exporter and obtained its prior written consent;
(i) that the processing services by the subprocessor will be carried out in accordance with Clause 11;
(j) to send promptly a copy of any subprocessor agreement it concludes under the Clauses to the data exporter.
Clause 6 Liability
1. The parties agree that any data subject, who has suffered damage as a result of any breach of the obligations referred to in Clause 3 or in Clause 11 by any party or subprocessor is entitled to receive compensation from the data exporter for the damage suffered.
2. If a data subject is not able to bring a claim for compensation in accordance with paragraph 1 against the data exporter, arising out of a breach by the data importer or his subprocessor of any of their obligations referred to in Clause 3 or in Clause 11, because the data exporter has factually disappeared or ceased to exist in law or has become insolvent, the data importer agrees that the data subject may issue a claim against the data importer as if it were the data exporter, unless any successor entity has assumed the entire legal obligations of the data exporter by contract of by operation of law, in which case the data subject can enforce its rights against such entity. The data importer may not rely on a breach by a subprocessor of its obligations in order to avoid its own liabilities.
3. If a data subject is not able to bring a claim against the data exporter or the data
importer referred to in paragraphs 1 and 2, arising out of a breach by the subprocessor of any of their obligations referred to in Clause 3 or in Clause 11 because both the data exporter and the data importer have factually disappeared or ceased to exist in law or have become insolvent, the subprocessor agrees that the data subject may issue a claim against the data subprocessor with regard to its own processing operations under the Clauses as if it were the data exporter or the data importer, unless any successor entity has assumed the entire legal obligations of the data exporter or data importer by contract or by operation of law, in which case the data subject can enforce its rights against such entity. The liability of the subprocessor shall be limited to its own processing operations under the Clauses.
Clause 7 Mediation and jurisdiction
1. The data importer agrees that if the data subject invokes against it third-party beneficiary rights and/or claims compensation for damages under the Clauses, the data importer will accept the decision of the data subject:
(a) to refer the dispute to mediation, by an independent person or, where applicable, by the supervisory authority;
(b) to refer the dispute to the courts in the Member State in which the data exporter is established.
2. The parties agree that the choice made by the data subject will not prejudice its substantive or procedural rights to seek remedies in accordance with other provisions of national or international law.
Clause 8 Cooperation with supervisory authorities
1. The data exporter agrees to deposit a copy of this contract with the supervisory authority if it so requests or if such deposit is required under the applicable data protection law.
2. The parties agree that the supervisory authority has the right to conduct an audit of the data importer, and of any subprocessor, which has the same scope and is subject to the same conditions as would apply to an audit of the data exporter under the applicable data protection law.
3. The data importer shall promptly inform the data exporter about the existence of legislation applicable to it or any subprocessor preventing the conduct of an audit of the data importer, or any subprocessor, pursuant to paragraph 2. In such a case the data exporter shall be entitled to take the measures foreseen in Clause 5 (b).
Clause 9 Governing Law
The Clauses shall be governed by the law of the Member State in which the data exporter is established.
Clause 10 Variation of the contract
The parties undertake not to vary or modify the Clauses. This does not preclude the parties from adding clauses on business related issues where required as long as they do not contradict the Clause.
Clause 11 Subprocessing
1. The data importer shall not subcontract any of its processing operations performed on behalf of the data exporter under the Clauses without the prior written consent of the data exporter. Where the data importer subcontracts its obligations under the Clauses, with the consent of the data exporter, it shall do so only by way of a written agreement with the subprocessor which imposes the same obligations on the subprocessor as are imposed on the data importer under the Clauses. Where the subprocessor fails to fulfil its data protection obligations under such written agreement the data importer shall remain fully liable to the data exporter for the performance of the subprocessor's obligations under such agreement.
2. The prior written contract between the data importer and the subprocessor shall also provide for a third-party beneficiary clause as laid down in Clause 3 for cases where the data subject is not able to bring the claim for compensation referred to in paragraph 1 of Clause 6 against the data exporter or the data importer because they have factually disappeared or have ceased to exist in law or have become insolvent and no successor entity has assumed the entire legal obligations of the data exporter or data importer by contract or by operation of law. Such third-party liability of the subprocessor shall be limited to its own processing operations under the Clauses.
3. The provisions relating to data protection aspects for subprocessing of the contract referred to in paragraph 1 shall be governed by the law of the Member State in which the data exporter is established.
4. The data exporter shall keep a list of subprocessing agreements concluded under the Clauses and notified by the data importer pursuant to Clause 5 (j), which shall be updated at least once a year. The list shall be available to the data exporter's data protection supervisory authority.
Clause 12 Obligation after the termination of personal data processing services
1. The parties agree that on the termination of the provision of data processing services, the data importer and the subprocessor shall, at the choice of the data exporter, return all the personal data transferred and the copies thereof to the data exporter or shall destroy all the personal data and certify to the data exporter that it has done so, unless legislation imposed upon the data importer prevents it from returning or destroying all or part of the personal data transferred. In that case, the data importer warrants that it will guarantee the confidentiality of the personal data transferred and will not actively process the personal data transferred anymore.
2. The data importer and the subprocessor warrant that upon request of the data exporter and/or of the supervisory authority, it will submit its data processing facilities for an audit of the measures referred to in paragraph 1.
APPENDIX 1 TO THE STANDARD CONTRACTUAL CLAUSES
Data exporter
The data exporter is the entity identified as “Contractor” in the Agreement.
Data importer
The data importer is OGIS-RI Co.,Ltd. a provider of web services.
Data subjects
Data subjects are defined in Annex1 to the Agreement.
Categories of data
The personal data is defined in Annex1 to the Agreement.
Processing operations
The processing operations are defined in Annex1 to the Agreement.
APPENDIX 2 TO THE STANDARD CONTRACTUAL CLAUSES
This Appendix forms part of the Clauses and must be completed by the parties.
Description of the technical and organisational security measures implemented by the data importer in accordance with Annex2 to the Agreement(or document/legislation attached):
The technical and organisational security measures implemented by the data importer are as described in the Agreement.