本DSAの規定は、本作業明細書に別段の定めがある場合を除き、本契約に基づくすべての本作業明細書に適用されます。 サプライヤーは、データ保護法および本DSAに基 づくサプライヤーの義務を遵守し、これらの義務を履行できない場合には、直ちに当社に通知し、不遵守を是正するために当社が必要と考えるあらゆる合理的かつ適切な措置を 講じます。 サプライヤーは、合理的かつ適切な、書面による情報セキュリティプログラムおよびプライバシープログラムを導入し、維持するものとします。当該プログラムに...

Shape1

公開


データ共有に関する追加条項(サプライヤーデータ)

改訂日:2024312

本データ共有に関する追加条項(以下「本DSA」といいます。)において、「当社」とは、Merck Sharp & Dohme LLCまたはその関連会社であって、本DSAを参照する、契約またはその他の形式の合意(以下「本契約」といいます。)の締結主体となる法人のことを指し、本契約のその他の当事者すべてを総称して「サプライヤー」と呼ぶものとします。当社およびサプライヤーをそれぞれ「当事者」といい、合わせて「両当事者」といいます。

背景事情

  1. 両当事者は本契約を締結したものであり、本契約に沿って、本契約において予定されている各種サービス(以下「本データ共有目的」といいます。)を管理する、単一または複数の注文書、発注書、プロジェクト契約書、プロジェクト計画の追加条項、作業明細書、作業指示書、またはその他のサービス条件(以下それぞれ「本作業明細書」といいます)を締結することができます。

  2. 両当事者は、本契約に関連するすべての個人データの共有がデータ保護法に従って確実に実行されるように、本契約の条件を補足すること、および、各当事者それぞれが当該データの独立した管理者であることの確認を希望します。

以上を前提に、両当事者は以下に同意します

  1. データ共有活動

本契約に関連して処理される個人データに関して、共有の主題、性質、目的および期間、ならびにデータ主体のカテゴリーおよび個人情報のカテゴリーは、『データ処理の詳細』と題する本契約の別紙に明記されています。

  1. 適用範囲

本DSAの規定は、本作業明細書に別段の定めがある場合を除き、本契約に基づくすべての本作業明細書に適用されます。

  1. サプライヤーの義務

サプライヤーは、本契約に関連して個人データを処理する場合、以下の各号を行うものとします。

    1. サプライヤーは、データ保護法および本DSAに基づくサプライヤーの義務を遵守し、これらの義務を履行できない場合には、直ちに当社に通知し、不遵守を是正するために当社が必要と考えるあらゆる合理的かつ適切な措置を講じます。

    2. サプライヤーは、当社が本データ共有目的で個人データを利用する権限を有することを保証するため、これに必要なあらゆる通知をデータ主体に対しおこない、また、データ主体から必要なすべての同意を取得するものとします。

    3. サプライヤーは、その社員、関連会社、代理人、下請業者、その他サプライヤーに代わる者のすべての行為または不作為について全面的に責任を負うものとします。

    4. サプライヤーは、合理的かつ適切な、書面による情報セキュリティプログラムおよびプライバシープログラムを導入し、維持するものとします。当該プログラムには、本契約において共有される個人データの性質に応じた、業界の優れた慣行(または別紙1で要求されるさらに高い基準)を満たすかこれを上回り、個人データを侵害から合理的に保護する物理的、技術的および組織的対策を組み込むものとします。これには、本DSAの要件を十分満たした方法で個人データ処理を行う責任を有するすべての担当者のトレーニングが含まれます。

    5. サプライヤーは、サプライヤーおよび当社が、データ保護法および本DSAに基づくそれぞれの義務を遵守するために必要な、当社が要求するすべての合理的かつ適切な措置を実施するものとします。

    6. サプライヤーは、本DSAの締結が、本DSAに定められた制約を理解し、遵守することを証明するものであることを認め、同意するものとします。

  1. 補償

両当事者は、xxxxxxが、当社およびその関連会社ならびにそれぞれの役員、取締役、社員、請負業者、派遣社員、下請業者、代理人、その他当社または関連会社に代わる者(以下それぞれを「被補償当事者」といいます。)に対し、サプライヤーが本契約に関連して処理した個人データに関連する個人データ漏えい等に起因して被補償当事者が被った損失、損害、罰金、費用、または経費(訴訟費用および支出を含みます。)について補償することに、当社の権利または権限、もしくは本契約に基づく義務またはその他の義務を制限することなく、同意するものとします。本条項に基づく責任については、かかる責任がサプライヤーの過失または故意の不法行為の結果生じた場合を除き、本契約における責任を制限または除外する規定の適用対象となるものとします。

  1. 定義

    1. 「データ保護法」とは、適用されるデータ保護法、データセキュリティ法、またはプライバシー法を意味します。これには、適用のある範囲において、EU一般データ保護規則およびそれに関連する各国の施行法、医療保険の相互運用性と説明責任に関する法律(Health Insurance Portability and Accountability Act)、カリフォルニア州プライバシーxx(California Privacy Rights Act)、およびその他の国家、州、連邦、地方、または地域のデータ保護法、データセキュリティ法、またはプライバシー法を含みますが、これに限られません。

    2. 「個人データ」とは、識別された個人または識別可能な個人の本契約に関連するあらゆる情報を意味し、個人を特定するデータ、および個人を識別、その位置を特定、追跡、連絡に使用できるデータを含みます。個人データには、名前、識別番号、固有の役職などの個人を直接識別可能な情報および生年月日、固有のモバイル端末またはウェアラブル端末の識別子、世帯を識別するために使用可能な情報、電話番号、キーコード化されたデータ、IPアドレスなどのオンライン識別子、または個人の活動、行動、嗜好などの間接的に個人を識別可能な情報の両方が含まれ、さらには、データ保護法において「個人データ」として規定されるあらゆるデータが含まれます。

    3. 「処理」とは、自動的な手段によるか否かを問わず、収集、記録、整理、構造化、保管、アクセス、修正または変更、検索、参照、使用、送信による開示、配布、またはその他の方法で利用可能にすること、評価、分析、報告、共有、整列または結合、制限、消去、破壊などのような、個人データもしくは一群の個人データに実施される操作又は一連の操作を意味します。

    4. 「個人データ漏えい等」とは、送信、保存、またはその他の方法で処理された個人データに対する偶発的または違法な破壊、紛失、改ざん、開示、使用、またはアクセスを意味します。

    5. 「標準契約条項」とは、欧州委員会が2021年6月4日に公表した、十分なレベルの保護を確保していない第三国への個人データの移転についての標準契約条項を意味し、随時更新される可能性があります。

    6. これらの定義に関して、データ保護法上より広い定義がとられている場合、本定義はデータ保護法上の定義と一致するように拡大して解釈されるものとします。

    7. 本項に定義がない場合、用語は、適用されるすべてのデータ保護法に準拠して解釈されるものとします。

  2. 解釈

    1. 本DSAで使用されているが、本DSAにおいて定義されていない定義語は、本契約中において定義された意味を有するものとします。

    2. 「含む」という言葉は、制限なく含むという意味に解釈されるものとします。

    3. 本契約に基づく本データ共有目的に関連して、サプライヤーは当社の関連会社の個人データを処理することがあります。かかる場合には、当該当社関連会社は、個人情報の「管理者」および本DSAの第三者受益者とみなされ、当該当社関連会社が本契約または本DSAの当事者として指定されているかどうかにかかわらず、本DSAに基づいて当社に与えられるすべての権利および保護に依拠し、行使する権利を有するものとします。

    4. 本DSAは、本契約に組み込まれ、一体として一つの契約を構成します。

    5. 本契約の条件と本DSAの条件が矛盾する場合、その矛盾する範囲においては、本DSAの条件が優先されます。ただし、本契約の条件が本契約に関連して処理される個人データに関してより保護的な定めをおいている場合を除き、かかる場合には、本契約のより保護的な条件が優先されるものとします。

    6. 本DSAの条件と標準契約条項との間に矛盾がある場合、その矛盾する範囲においては、標準契約条項の条件が優先されるものとします。

    7. 本契約の規定は、本DSAにおいて明示的に修正された場合を除き、引き続き完全な効力を有します。

    8. 本DSAが英語およびそれ以外の言語で作成されている場合に、これらの内容に相違があるときには、英語で作成された本DSAの内容が優先されるものとします。

    9. 本DSAの見出しは、参照時の便宜のために記載したものであり、本DSAの一部を構成するものではなく、また本DSAの意味や解釈に影響を与えるものでもありません。

    10. 本DSAの別紙および添付資料は、本DSAと不可分一体をなすものであり、本DSAにそのまま記載されているのと同様に扱います。

    11. 本DSAの規定は分離可能です。いずれかの文言、条項、規定の全体または一部が無効であるか、または法的強制力がないとしても、その他の文言、条項、または規定の有効性または法的拘束力に影響を与えるものではなく、本DSAのその余の部分は完全な効力を有するものとします。

    12. 本DSAは、当社とサプライヤーが、本データ共有目的に適用される別のDSAを締結している場合を除き、本契約を補足するものとして、本データ共有目的に関連する個人データの処理に適用されます。


    1. 本DSAは、複数の副本によって締結することができ、各副本はいずれもxxとみなされ有効であり、すべて一体として単一かつ同一の契約を構成します。いずれの当事者も、当該副本を締結することにより、本DSAを締結することができます。


    1. 本DSAは、本DSAの主題に関する両当事者間の完全な合意を構成し、(法律上許容される限りにおいて)当該主題に関する両当事者間のすべての事前の表明または口頭もしくは書面による合意に優先するものとします。ただし、本DSAのいかなる規定も、また、いずれの当事者も、虚偽の陳述に対する責任を免れるものではありません。


    1. 本DSAには、本契約の準拠法および管轄規定が適用されます。


  1. アップデートの制限


    1. 当事者が契約を更新、修正、契約の下で新たな作業指示書を発行、または契約または契約の下での任意の作業指示書をいかなる方法で変更する場合(「引き金となるイベント」)、xxxxx://xxx.xxxxxxxxxx.xxx/xxxxxxxxxxxx/ に位置する「Data Sharing Addendum (Supplier Data)」のもとでの最新の文書が、次の引き金となるイベントまでこのDSAの条項を上書きし、置き換えることになりますが、引き金となるイベントの発生後30日以内に異議が唱えられない限りです。それにもかかわらず、新しい適用可能なデータ保護法、判例、または関連するデータ保護当局によって発行されたガイダンスに準拠するために必要なものに限定された新しいまたは修正された条項を確保した後に、誠実にのみ行われるべきであり、本DSAの条項に即時の修正が必要とされる状況が存在する可能性があります。これは7(b)で述べられた理由によりのみ発生します。

    2. 次のいずれかのシナリオが発生した場合、当事者は直ちに上記のアドレスで掲載されている最新の条項に同意することになりますが、これはprivacy_updates@msd.comで通知を受け取ることを要求したすべての実体に対して新しい条項を通知した後の30日以内に異議が唱えられない限りです。

      1. 適用されるデータ保護法が更新され、このDSAの既存の契約条項が更新された法律の要件を満たすには不十分である場合、


      1. 適用されるデータ保護法に変更があり、当事者が法律の変更によりこれらの条項を修正する合理的かつ正当な利益を持っている場合、例えば制約なく、もはや必要ではない要件を削除する場合など、


新しい判例または関連するデータ保護当局によって発行されたガイダンスがあり、その効果が上記(i)または(ii)で説明された法律の変更と同等である場合。


  1. 別紙の適用範囲

別紙2として本書に添付されている標準契約条項および別紙3として添付されている追加条項は、適用されるデータ保護法で要求される範囲においてのみ適用されるものとします。両当事者は、それぞれの法域において適用されるデータ保護法の要件と一致し、その要件によって必要とされる場合に限り、かかる条項および追加条項を遵守することに同意します。

  1. 通知

本DSAに基づいて行われる通知(以下「通知」といいます。)は、書面で行われるものとします。本DSAに基づいて行われる通知は、本契約の通知に関する規定に従って行われるものとし、当社宛(xxx_xxxxxxx_xxxxxx@xxx.xxxに電子メールでコピーを送信するものとします。件名は「DSA Notice from Supplier(サプライヤーからのDSAに関する通知)」、または個人データ漏えい等の場合は「Urgent:Personal Data Breach Notice(緊急:個人データ漏えい等に関する通知)」とするものとします。



別紙1 – 情報技術セキュリティ対策

  1. ネットワークセキュリティ

サプライヤーは、ネットワークセキュリティのポリシー、手順書、およびシステムを維持し、サプライヤーの業界におけるベストプラクティスに沿った活動の実施およびネットワークセキュリティの構築を行うものとします。ただし、これには少なくとも、ネットワークファイアウォールのプロビジョニング、侵入検知、および定期的な(ただし年1回を下回らない)脆弱性評価を含まれますが、これらに限定されるものではありません。上記にしたがって当社の個人データに適用されるセキュリティは、いかなる場合においても、サプライヤーが自社のデータおよび同様の性質のシステムの保護に適用するセキュリティよりも、厳格性および保護性において低いものであってはなりません。

  1. アプリケーションセキュリティ

サプライヤーは、本契約に基づくサービスまたは製品に関連して提供または使用されるソフトウェアおよびシステムについて、本別紙1第9項に定める業界標準と同等の慣行または基準にしたがって提供、保守、サポートするものとし、脆弱性のない安全な状態を維持するためのその後のアップデート、アップグレード、およびバグ修正についても同様とします。

  1. データセキュリティ

サプライヤーは、本契約または本DSAに基づくサプライヤーの機密保持義務または個人データを含む当社またはその関連会社のデータおよびその他の情報を保護すべきその他の義務を制限することなく、業界のベストプラクティスに従い、適用されるすべての法令を遵守し、暗号化およびファイアウォールを含む個人データを漏えいおよび不正利用から保護するためのセキュリティ対策を講じたうえで、すべての個人データを保管するものとします。かかる対策は、同様の性質の自社データに対してサプライヤーが行う対策と同等以上に厳格なものとします。サプライヤーが個人情報を第三者のオフサイト施設に保管する場合、サプライヤーは第三者への個人データの開示、または第三者へのサービスや製品の委託に関する本DSAの条件を遵守しなければならず、本別紙のすべての規定に完全に準拠する第三者の保管施設、その他当社が合理的に許容できる第三者のオフサイト保管施設のみを使用するものとします。

  1. データ保管

すべての個人データは、指定されたサプライヤーのコンピュータおよびストレージにおいてのみ保存、処理、維持管理されます。また、個人データはいかなる時点においても、ポータブルコンピュータ、ラップトップコンピュータまたはポータブル記憶媒体上で処理、またはそれらに移転されることはありません。ただし、当該デバイスまたは記憶媒体がサプライヤー指定のバックアップおよび復元プロセスの一部として使用されており、本別紙1第6項に従って暗号化されている場合を除きます。サプライヤーは、指定のバックアップおよび復元プロセスの一環として、すべての個人データのバックアップを保管するものとします。

  1. データ送信

当社および/または第三者との個人データの電子的な送信または交換は、すべて安全な手段(HTTPSまたはSFTPあるいは同等の通信手段)を介して、必ず本別紙1第6項に従って行われるものとします。

  1. データ暗号化

サプライヤーは、当社のすべてのバックアップデータを含め、ポータブルコンピュータ、ラップトップコンピュータまたはポータブル記憶媒体に保存されているすべての個人情報について、商業的にサポートされている暗号化ソリューションを使用して暗号化された形式で保管することに同意するものとします。暗号化ソリューションは、対称暗号化の場合は128ビット以上のキー長、非対称暗号化の場合は2048ビット以上のキー長を使用するものとします。

  1. データの再利用

サプライヤーは、本契約に基づいてサービスまたは製品を提供するために必要な場合、または本DSAで許可されている場合を除き、個人データをサプライヤーの他のアプリケーション、環境、または事業単位間で配布、再利用、または共有してはならないものとします。

  1. セキュリティ侵害の通知

サプライヤーは、個人データの漏えい等またはサプライヤーのセキュリティ義務違反が発生した場合、本契約またはDSAに基づく義務に加え、発見から24時間以内に以下の電話番号および電子メールで当該事象を当社に通知するものとします。

セキュリティ侵害通知用電話番号:000-000-0000

Merckグローバルオペレーションセンター(「GOC」)(「IT service disruption」(ITサービスの中断)オプションを選択します。このオプションは現在1番です。GOCはMerck個人データ侵害対応サイバーチームを呼び出すことができます。)

セキュリティ侵害通知用メール:XXX@Xxxxx.xxx

  1. 業界標準

本契約に基づくサービスまたは製品に適用されるものとして一般的に認められている業界標準には、以下で規定および維持されている現行の標準およびベンチマークが含まれます(ただし、これらに限定されるものではありません)。

    1. Center for Internet Security - 次を参照:xxxx://xxx.xxxxxxxxxx.xxx

    2. Payment Card Industry/Data Security Standards (PCI/DSS) – 次を参照:xxxx://xxx.xxxxxxxxxxxxxxxxxxxx.xxx/

    3. 米国国立標準技術研究所 - 参照:xxxx://xxxx.xxxx.xxx

    4. 連邦情報セキュリティマネジメント法(FISMA) - 次を参照:xxxx://xxxx.xxxx.xxx

    5. ISO/IEC 27000シリーズ - 次を参照:xxxx://xxx.xxx00000xxxxxxxx.xxx/

    6. 構造化情報標準促進協会(OASIS) – 次参照:xxxx://xxx.xxxxx-xxxx.xxx/

    7. Open Web Application Security Project (OWASP) の「Top Ten Project」 – 次を参照:xxxx://xxx.xxxxx.xxx

    8. CWE(共通脆弱性タイプ一覧) – 次を参照:xxxx://xxx.xxxxx.xxxまたはCWE/SANS Top 25 Programming Errors - xxxx://xxx.xxxxx.xxx/xxx00/

    9. SANS Institute - 次を参照:xxxx://xxx.xxxx.xxx

    10. Most Dangerous Software Errors - 次を参照xxxx://xxx.xxxx.xxx/xxx00-xxxxxxxxxxx-xxxxxx/



別紙2

サプライヤーが標準契約条項のモジュール2の適用となる方法で個人情報を輸出する場合には、以下の条件が適用されます。

202164日付欧州委員会実施決定(EU2021/914に添付された標準契約条項のモジュール1(管理者から管理者への移転)の本文は、参照により、ここに組み込まれるものとします。オプションについては以下で説明します。

  1. 7条(ドッキング条項)は省略されます。

  2. 11条に関して、選択的な条項が省略されます。

  3. 17条に関して、加盟国がオランダであるオプション1が選択されます。

  4. 18条に関して、法廷地としてオランダが選択されます。



別紙2の添付資料1

A. 当事者リスト

本契約を参照

B. 移転の説明

『データ処理の詳細』と題する本契約の別紙を参照

C. 管轄権を有する監督機関

Commission Nationale de l'Informatique et des Libertés - CNIL
0 Xxxxx xx Xxxxxxxx

TSA 80715

00000 XXXXX XXXXX 07
Tel. x00 0 00 00 00 00
Fax x00 0 00 00 00 00
Website: xxxx://xxx.xxxx.xx/







別紙2の添付資料2 – 技術的および組織的対策

これらの条項が添付されている本DSA別紙1を参照してください。さらに、データ輸入者は、すべての個人データが必要に応じて仮名化され、暗号化されていることを保証するものとします。また、データ輸入者およびその関連会社は、本条項の対象となる個人データに関連する要請を政府当局から受けた場合、別紙2添付資料1のBに記載されている個人データの(i)米国またはその他の国や地域の諜報機関またはこれに類する当局からのアクセスの要求、および(ii)開示義務について、データ輸入者およびその関連会社が、個人データを抽出する前に、適用される法規制に従って異議を申し立てることを保証します。





別紙3

その他の州、国、地域、および地方の法的要件



英国に関する追加条項:2018年データ保護法

本別紙3には、2022年3月21日発効の欧州委員会標準契約条項の国際データ移転追加条項バージョンB1.0が参照により組み込まれており、本DSAにおける適用可能な移転のすべてがカバーされ、同追加条項のパート2(必須条項)全体を含むすべてが、本契約のすべての当事者によって合意されたものとみなされます。



スイスに関する追加条項:FADP

  1. 別紙2に記載されているデータ移転がFADPの対象である限り、GDPRへの言及はスイス連邦データ保護法(「FADP」)へ言及しているものと解釈します。

  2. FADPで要求されている限り、法人の個人データは、個人がデータ主体である場合と同様に、以下の条項に従って保護されるものとします。

  3. 第13条:並行監視

    1. データ移転がFADPによって管理される場合:連邦データ保護情報コミッショナー(「FDPIC」)が、管轄権を有する監督機関です。

    2. データ移転がGDPRによって管理される場合:第13条(a)の基準が適用されるものとします。

  4. 第18条(c):法廷地および管轄の選択:スイスに常居所を有するデータ主体は、データ輸出者および/またはデータ輸入者に対して、スイスの裁判所で法的手続きを取ることができます。



カナダに関する追加条項:ケベック州法25

        1. DSAの条件に関連して同意を収集する必要がある場合、サプライヤーは本契約の終了後3年間、すべての同意について、その証拠を保持しなければなりません。

Document Metadata

Filed: October 23rd, 2023