本データ処理補遺(「補遺」)が、英国およびウェールズで登録された会社であるソフォ ス Limited(2096520)との間の主要契約(第 2 項で定義)に参照によって明示的に組み 込まれている場合、登録事務所はペンタゴン、アビングドン、オックスフォードシャー、 OX14 3YP、英国(「サプライヤー」)およびサプライヤー(「顧客」)の顧客である本補遺は、本契約の一部を構成し、サプライヤーと顧客の間で有効となります。
注: これは機械的に生成された翻訳で、お客様の便宜のためにのみ提供されています。この機械的に生成された翻訳は、人間による翻訳の質に匹敵するものではなく、エラーが含まれている可能性があります。この翻訳は「現状のまま」提供され、翻訳の正確性、完全性、または信頼性については保証されません。 本契約書の英語版と翻訳版の間に矛盾がある場合は、英語版が優先されます。
データ処理に関する補足事項改訂日:2022 年 12 月 18 日
本データ処理補遺(「補遺」)が、英国およびウェールズで登録された会社であるソフォ ス Limited(2096520)との間の主要契約(第 2 項で定義)に参照によって明示的に組み 込まれている場合、登録事務所はペンタゴン、アビングドン、オックスフォードシャー、 OX14 3YP、英国(「サプライヤー」)およびサプライヤー(「顧客」)の顧客である本補遺は、本契約の一部を構成し、サプライヤーと顧客の間で有効となります。
本補遺で使用される大文字の用語は、以下の 2 条項に規定されているとおりに定義されています。ご要望に応じて、本補遺のコピーを別の言語で提供することができます。紛争が発生した場合は、別紙の英語版が優先します。
1. 前文
1.1. 両当事者は、特定の製品および / またはサービス(以下総称して「本製品」)の本サプライヤーからお客様への提供に関する主要契約を締結しました。
1.2. 主契約が MSP 契約( xxxxx://xxx.xxxxxx.xxx/xx-xx/xxxxx/xxxxxx-xxx-xxxxxxx-xxxxx-xxx- conditions )と同様の形式の MSP 契約( 以下「 MSP 契約」)の場合、お客様はマネージドサービスプロバイダ(以下「 MSP」)です。メイン契約が OEM 契約であり、お客様がバンドルされたユニットの一部としてお客様の製品と組み合わせて、第三者のサプライヤ製品を配布、サブライセンス、または利用可能にすることが許可されている場合(以下「 OEM 契約」)、お客様は元の機器メーカー(以下「 OEM 」)です。それ以外の場合、お客様はエンドユーザ(「エンドユーザ」)です。
1.3. 本製品の提供には、お客様に代わってサプライヤーが管理者個人データを収集、使用、およびその他の処理が含まれる場合があります。本補遺は、かかる処理に関する当事者の義務を規定し、主要契約の条件を補足します。
1.4. 本契約または本補遺の他の条項にかかわらず、両当事者は、管理者の個人データには、連絡先情報、支払いまたは請求情報、またはビジネスの連絡先および顧客管理者に関するその他の個人データ(名前、メールアドレス、連絡先情報など)が含まれないことに同意します。顧客関係を管理し、現在、以前、および将来の顧客およびビジネスパートナーとのコミュニケーションを図り、その他の方法で取引関係を管理するために、どのサプライヤが独自に収集および処理するか(「CRM データ」)。
1.4.1. サプライヤーは CRM データの管理者であり、適用されるデータ保護法 および サ プライヤーグループのプライバシー通知に基づく義務に従ってCRM データを処理します。
1.4.2. 本 別紙 1.4.1 に 基づくサプライヤの義務は、本項に関連する場合を除き、CRM データには適用されません。
1.5. 本契約、本別紙、および本別紙に明示的に言及されている文書は、本契約に関連してお客様に代わってサプライヤが収集、処理、および使用する個人データに関して、両当事者間の完全な合意を構成するものとします。 およびは、当該主題に関して両当事者間の以前のすべての合意、取り決め、および了解事項に優先するものとします。
2. 定義
2.1. 本別紙において、以下の用語は以下の意味を有する。
「適用されるデータ保護法」とは、適用される範囲で次のことを意味します。(a)個人データの処理およびそのようなデータの自由な移動に関する自然人の保護に関する欧州議会および理事会の EU 規則 2016/679(一般データ保護規則または「GDPR」)、(b)e- Privacy 指令(EU 指令 2002/58/EC)、(c)CCPA および(d)(a)または(b)に基づいて作成された、またはそれに基づいて作成された法律を含む、適用されるすべての国内データ保護法。いずれの場合も、適宜修正または優先される可能性があります。
「受益者」とは、MSP 契約で定められた意味を有します。
「CCPA」とは、カリフォルニア州消費者プライバシー法(カリフォルニア州プライバシーxx 2020 年)によって改正されたカリフォルニア州消費者プライバシー法を意味し、カ
リフォルニア州で法典化されています。Civ.Code §§ 1798.100 - 1798.199.100 およびそれに発行された California Consumer Privacy Act Regulations、Cal.コード登録おっぱい 11, div. 6, ch. 1(それぞれ修正あり)
「条項」は、SCCS においてそれに帰する意味を有するものとする。
「コントローラ」とは、次のいずれかを意味し(a) お客様がエンドユーザの場合はお客様、
(b) お客様が MSP の場合は受益者、 (c) お客様が OEM の場合はエンドカスタマー。
「管理者の個人データ」とは、本サービスに従って、サプライヤが管理者に代わって処理する個人データを意味します。
「管理者から処理者への条項」とは、SCCS に対するモジュール 2 の条項を意味します。
「CRM データ」とは、連絡先情報、支払いまたは請求情報、またはビジネスの連絡先および顧客管理者に関するその他の個人データを意味します。これには、名前、メールアドレス、連絡先情報が含まれます。顧客関係を管理し、現在、以前、および将来の顧客およびビジネスパートナーとのコミュニケーションを図り、その他の方法で取引関係を管理するために、サプライヤが独自に収集および処理するサプライヤ。
「データ主体」とは、ソフォス個人データが関連する個人を意味します。
「データ主体の要求」とは、アクセス、削除、訂正の権利を含む、適用されるデータ保護法に従って権利を行使するデータ主体からの要求を意味します。
「EEA」とは、(a)欧州経済領域(「EEA」)の加盟国、および(b)英国を含む欧州経済領域を意味します。
「エンドカスタマー」とは、OEM 契約で定められた意味を有します。
「ヨーロッパ」(および「ヨーロッパ」)とは、(a)欧州経済領域(「EEA」)の加盟国、および(b)英国を意味します。
「ホストされる製品」とは、別紙 3 に記載されている本製品をいいます。
「ICO」とは、英国に設置された情報コミッショナーオフィスを意味します
「主契約」とは、総称して、サプライヤが顧客に特定のサービスを提供する際に使用する書面による契約(これに付随する文書、補足文書、修正文書を含む)を意味します。
「個人データ」とは、特定の個人または世帯を特定し、特定するために使用することができる、またはその他の方法でリンクされている、または合理的にリンクされている情報、ならびに適用されるデータ保護法および規制の下で「個人データ」、「個人情報」または同等の用語として定義されている情報を意味します。
「個人データ侵害」とは、偶発的または違法な破壊、紛失、改ざん、不正な開示、またはアクセスにつながるセキュリティ違反(お客様またはそのユーザーによって引き起こされたものを除く)を意味します。本別紙に基づきサプライヤーが処理する管理者個人データ。
「処理者」とは、CCPA に従って「サービスプロバイダー」として機能するエンティティを含む、コントローラーの指示に従って個人データを処理する個人またはエンティティを意味します。
「制限付き転送」とは、お客様による管理者個人データのサプライヤへの転送を意味します。この転送は、適用される標準契約条項および適用される場合は英国補遺がない場合に、適用されるデータ保護法によって禁止されます。
「機密データ」とは、「個人データの特別なカテゴリ」、「機密個人データ」、「機密データ」、および適用されるデータ保護法で定義される同等の用語を意味します。
「本サービス」とは、本契約に従ってサプライヤーが提供するすべての製品および/またはサービスを意味します。
「 標準契約条項」または「 SCC 」 とは、欧州議会の 2016/679 規則および 2021 年 6 月 4日の欧州委員会実施決定( EU ) 2021/914 により承認された理事会に従って、個人データを第三者に転送するための標準契約条項を意味します。
「サブプロセッサー」とは、コントローラーの個人データを処理するサプライヤーによって任命された、またはサプライヤーに代わって任命された個人または事業体(サプライヤーの従業員を除く)または事業体を意味します。
「監督機関」とは、適用されるデータ保護法および規制に関する権限のある規制機関を意味します。該当する場合は、GDPR で定義されている監督機関を含みます。
「英国補遺」とは、ICO が発行した EU 委員会標準契約条項の国際データ転送補遺を意味し、 英国の関連データ保護法に基づき、管轄監督当局によって随時修正または置き換えられます
2.2. 本別紙において、小文字の「コントローラ」、「プロセッサ」、「データ主体」、「個人データ」および「処理」(およびその派生物)は、適用されるデータ保護法に定める意味を有するものとする。
3. 範囲
3.1. サプライヤーによる管理者個人データの処理の主題および期間(処理の性質および目的、処理される管理者個人データの種類、およびデータ主体のカテゴリを含む)は、以下に 記載されているとおりとします。(a)本補遺、(b)主要契約、(c)別紙 1(データ処 理手順)に記載されている指示、および(d)以下の 4 条項に従って発行されたお客様の 指示。
3.2. お客様は、(a)お客様に代わってサプライヤが実施するコントローラの個人データの処 理について、コントローラが合法的な根拠を持っていることを確認する責任があります。 (b)管理者が、顧客およびサプライヤーによる管理者個人データの処理に必要となる可能 性のあるデータ主体から必要なすべての同意を得ていること(機密データに関するもの を含みますが、これに限定されません)。および(c)管理者個人データの処理について サプライヤへの指示がすべての点で適用されるデータ保護法に準拠していること、およ びその指示を確実に遵守すること。
3.3. 両当事者は、xxxxxが管理者の個人データの処理者またはサブプロセッサであり、お客様が(a)顧客がエンドユーザーである場合の管理者、または(b)顧客が MSP または OEM である場合の処理者(第三者の管理者)のいずれかであることに同意するものとします。
4. お客様の指示
4.1. お客様は、本サービスの提供および実施のために合理的に必要な場合、および本契約および本契約に別途規定されている場合に、管理者個人データを処理するようサプライヤーに指示します。サプライヤーは、(a)サプライヤーと顧客の間で書面で別段の合意がある場合を除き、本書に記載されている顧客の文書化された処理指示に従って、コントローラーの個人データを処理するものとします。または(b)サプライヤが適用される法律で要求されている場合(その場合、サプライヤは、そのような情報の提供が法律で禁止されている場合を除き、処理前にその法的要件を顧客に通知するものとします)。
4.2. サプライヤーは、顧客の処理指示が適用されるデータ保護法に違反していることを認識した場合(サプライヤーに顧客のコンプライアンスを積極的に監視する義務を課すことなく)、速やかに顧客に通知し、コントローラーの個人データの処理を停止します。
4.3. 上記に限定することなく、カリフォルニア州消費者プライバシー法(「CCPA」)が管理者の個人データに適用される範囲内で、サプライヤは さらに次のことに同意するものとします。
4.3.1. サプライヤーは、本別紙および本主契約の条件に従い、および適用法で要求される場合を除き、本サービスを実行する特定の目的を除き、コントローラーの個人データを使用、開示、またはその他の方法で処理しません。上記にかかわらず、
a. サプライヤーは、第 7 条の条件に従い、サブプロセッサーにコントローラーの個人データを処理させることができます。
b. サプライヤーは 、顧客とサプライヤーの間の直接的な取引関係外、またはサプライヤー自身の商業目的のために、コントローラーの個人データを処理しませ ん。上記にかかわらず、両当事者は、CCPA が適用される範囲内で、サプライヤーが本契約および本別紙に規定されている特定の業務目的、またはCCPA 規則に従って明示的に承認された別の目的のためにのみ、コントローラーの個人データを処理することに同意します。
c. サプライヤーは、管理者の個人データを(CCPA で定義されているように)「共有」または「販売」しません。
d. サプライヤは 、CCPA に基づく義務を遵守し 、CCPA が要求するのと同じレベルのプライバシー保護を提供する(および各サブプロセッサが要求することを調達する)ものとし ます
e. サプライヤが本補遺または適用されるデータ保護法の条件を遵守できないと判断した場合、サプライヤーは、速やかに顧客に通知し、 CCPA に基づく 管理者 の 義務と 整合的な方法で管理者の個人データが処理されることを保証するための合理的かつ適切な措置を講じる権利を顧客に付与 します。
f. サプライヤーは、セクションに規定されている場合を除き、主要契約の満了または終了時に、コントローラーの個人データを保持しません 8。
5. サプライヤーの義務
5.1. 管理者の個人データを処理するすべてのサプライヤー担当者は、データ保護、セキュリティおよび機密保持義務に関して適切なトレーニングを受け、機密保持のための書面または法定義務に従うものとします。
5.2. サプライヤーは、リスクに適切なレベルのセキュリティを確保し、個人データ侵害からコントローラーの個人データを保護するために、適切な技術的および組織的措置を実施します。そのような措置は、最新の技術、導入コスト、およびその性質、範囲、 リスク
に適切なレベルのセキュリティを確保するために、処理のコンテキストと目的、および自然の人の権利と自由に対するさまざまな可能性と重大度のリスク。特に、サプライヤーが講じる措置には、本補遺の別紙 2 に記載されたものが含まれるものとします。サプライヤーは、少なくとも同等の保護レベルを維持することを条件に、お客様の書面による事前の同意を得ることなく、別紙 2 に記載された技術的および組織的措置を変更また
は修正することができます。お客様からの要求があった場合、サプライヤーは別紙 2 に
記載されている技術的および組織的措置の最新の説明を提供します。
5.3. サプライヤーは、サブプロセッサーにコントローラーの個人データを処理させるために、以下の 7 条項に規定されている要件に従うものとします。
5.4. サプライヤーは、適用されるデータ保護法に基づく権利を行使するためのデータ主体からの要求を含む、第三者からの問い合わせに顧客が対応するのを支援するために、以下の第 8 項に規定されている要件に従うものとします。
5.5. サプライヤーは、個人データ侵害の発生を確認した後、不当な遅延なく顧客に通知し、顧客(顧客が MSP または OEM である場合は、その管理者)のために合理的に必要とするすべての情報および協力を適時に提供するものとします。適用されるデータ保護法に基づく(および必要な期間に従って)データ侵害報告義務を履行するため。サプライヤーは、個人データ侵害の影響を是正または軽減するために合理的に必要な措置および措置をさらに講じ、個人データ侵害に関連する進展について顧客に通知するものとします。
5.6. サプライヤーは、顧客(または顧客がMSP または OEM の場合は、その管理者)に対し、顧客(または該当する場合は管理者)として合理的かつタイムリーな支援を提供するものとします。データ保護の影響評価または適用されるデータ保護法によって実施される必要があるその他の評価を実施するために必要となる場合があります。必要に応じて、関連するデータ保護機関に相談してください。このような支援は、お客様の費用で提供されます。
5.7. サプライヤーは、適用される法律で別段の要求がない限り、適用法で禁止されている場 合を除き、本補遺の終了または満了後の合理的な期間内に、コントローラーのコントロ ーラーの個人データを削除するものとします。要求に応じて、サプライヤーは、かかる 管理者の個人データが本別紙に従って削除されたことを顧客に確認します。サプライヤ ーが適用法により管理者個人データを保持することを要求された場合、サプライヤーは、管理者個人データが維持される限り、管理者個人データの継続的な機密性とセキュリテ ィを確保するための措置を講じるものとします。
6. お客様の監査権
6.1. お客様は、サプライヤーが SSAE 18 SOC 2 基準に照らして、独立した第三者監査人によっ て定期的に監査されていることを認めるものとします。合理的な要請があった場合、サ プライヤーは、SOC 2 監査報告書のコピーを顧客に提供するものとします。この報告書は、サプライヤーの機密情報として主契約の機密保持条項に従うものとします。サプライヤ ーは、顧客から提出された合理的な書面による監査質問にも回答するものとします。た だし、顧客はこの権利を年に 1 回以上行使しないものとします。
6.2. お客様の合理的な意見により、第6.1 項に基づいて提供される資料が、サプライヤが本補遺を遵守していることを実証するには不十分であると判断した場合、お客様は、本契約の第 6.2 項(a)-(d)に従い、書面で要求することができます。サプライヤは、本補遺に規定された義務(適用される範囲で標準契約条項を含む)の遵守を実証し、お客様またはお客様の独立した第三者による監査を可能にし、これに貢献するために合理的に必要なすべての情報をお客様に提供すること。本補遺の対象となる処理活動のサプライヤと競合しない第三者監査人。
a. お客様は、本第 6.2 項に基づくレビューまたは監査を要求する前に、第 6.1 項に記載されている該当するサプライヤのサードパーティ認証および監査を考慮するものとします。
b. お客様は、本第6.2 項に基づく監査または検査を実施する要求について、少なくと も 60 日前に、処理者に合理的な通知を行うものとします。およびは、損害または 負傷を回避および防止し、かかる監査または検査の中断を最小限に抑えるために、合理的な措置を講じる(および各監査役が確実に講じる)こと。
c. 監査または検査は、監督当局または適用されるデータ保護法によって要求される場合を除き、年に 1 回以内に実施されます
d. お客様は、かかる監査の全費用を負担するものとし、当該監査に基づきサプライヤが被った合理的な費用および費用をサプライヤに払い戻すものとします。これには、サプライヤ、その関連会社、またはそのサブプロセッサがかかる監査または検査に費やした時間が含まれます。これは、お客様の要求に応じて提供されるものとします。
7. サブプロセッサ
7.1. お客様は、本補遺の日付におけるサプライヤの既存のサブプロセッサの使用に同意するもの とします。サブプロセッサリストは、xxxxx://xxx.xxxxxx.xxx/xx-xx/xxxxx に記載されています(以下「サブプロセッサリスト」といいます)。お客様は、本第 7 条に規定された条件に従い、サプライヤーが追加の第三者サブプロセッサー(それぞれ「新規サブプロセッサー」)を締結することに明示的に同意するものとします。サプライヤーは、新規サブプロセッサーを追加する 30 日前までにお客様に通知するものとします。この通知は、追加の詳細をサブプロセッサーリストに掲載することにより行うことができます。
7.2. サプライヤが新しいサブプロセッサをサブプロセッサリストに追加してから 30 日以内に
(コントローラの個人データの保護に関連する合理的な理由で)サプライヤの新しいサブプロセッサの任命にお客様が書面で異議を唱えない場合、お客様は、その新しいサブプロセッサーに同意したものとみなされることに同意するものとします。お客様がこのような書面による反論をサプライヤに提出した場合、サプライヤは 30 日以内に、次のいずれかのことを書面でお客様に通知します。(a)サプライヤーは、コントローラーの個人データを処理するために新しいサブプロセッサーを使用しない、または(b)サプライヤーがこれを行うことができない、または行う意思がない。第 2 項(b)の通知が行われ
た場合、お客様は、その通知から 30 日以内に、サプライヤへの書面による通知により、
本補遺および影響を受ける処理に関する主契約を終了することを選択し、サプライヤは欧州経済地域および英国内に所在するお客様のみを対象とします。解約後の残りの期間の前払い料金の比例払い戻しまたはクレジットを承認します。ただし、その期間内に当該終了通知が提供されなかった場合、お客様は新しいサブプロセッサに同意したものとみなされます。サプライヤーは、本別紙に規定されているように、コントローラーの個人データと同等の保護を課す新しいサブプロセッサーにデータ保護条項を課すものとします。サプライヤーは、各サブプロセッサーの義務の履行について完全に責任を負うものとします。
8. 第三者からのお問い合わせ
8.1. サプライヤーは、管理者個人データの処理に関連してデータ主体、規制当局、またはその他の第三者から受信したプライバシー要求、通信、問い合わせ、または苦情を顧客に通知するものとしますが、データ主体に直接回答することはありません。法律で義務付けられている場合を除きます。
8.2. サプライヤーは、必要な範囲で、顧客(顧客が MSP または OEM の場合は管理者)が以下に対応できるように、顧客の費用負担で合理的かつタイムリーな支援を提供するものとします(顧客が MSP または OEM の場合は管理者)。(a)適用されるデータ保護法に基づく権利(該当する場合、アクセス権、訂正、異議申し立て、消去、データポータビリティの権利を含む)を行使する対象となるデータからの要求AS および(b)管理者個人データの処理に関連して規制当局またはその他の第三者から受信した要求。
9. 国際的なデータ転送
9.1. 特定の製品では、お客様は、データの発信元の管轄外にある可能性のあるデータセンタ ーを含む、当該製品の管理者個人データをホストする場所を選択できる場合があります。これらの場所には、( a)欧州経済地域、( b)英国、( c)米国、または主要合意書で指定され ている別の場所(「中央保管場所」)が含まれます。この選択は、製品のインストール、 アカウントの作成、または関連製品の初回使用時に行われます。一度選択すると、中央 ストレージの場所を後日変更することはできません。
9.2. 顧客ハービーは、選択された中央保管場所(該当する場合)にかかわらず、本第 9 条に規定されている義務を遵守することを条件として、制限付き転送を認め、明示的に同意するものとします。
9.3. 制限付き転送について:
9.3.1. SCC および英国別紙は、本別紙に明示的に組み込まれ、本別紙の一部を構成します。
9.3.2. 本 9.3.3 契約のセクションおよび付属文書 4 に従い、お客様およびサプライヤは以 下の事項に同意するものとします。 (i)サプライヤーへの管理者個人データの制 限付き転送の範囲に適用される SCCs。および(ii)英国のデータ保護法および規制の 対象となるコントローラ個人データの制限付き転送に関して、SCCS に適用、修正、および補足する UK 別紙
9.3.3. 本契約の別紙 4 の条件に従い、SCCS のモジュール 2 が適用されるものとします。
9.4. SCC の付録は、以下の別紙 4 に記載されているとおりに記入するものとします。
10. 期間
10.1. 本補遺は、(а)本主契約の両当事者による締結、または(b)本主契約が発効する日付
(後になっている場合)に開始され、以下のいずれか早い時点まで継続されます。( i )本製品の使用および受領に関するお客様の権利の有効期限(本契約または関連するライ センス使用権に記載)、( ii )本契約の終了。
11. その他の規制
11.1. 本別紙の修正および修正には、書面によるフォームが必要です。これは、本条項の変更および修正にも適用 11.1 されます。
11.2. 本追補に起因または関連して発生する問題に関して、xxxxxがお客様に責任を負わないものとします。本追補は、本主要契約に規定されているサプライヤの責任に関する制限を超えないものとします。主要契約に規定されているサプライヤの責任制限は、主要契約と本補遺の両方に合計して適用されるものとします。このため、主要契約と本補遺の両方に責任制限が 1 つだけ適用されるものとします。
11.3. 本別紙(SCCS を除く)は、抵触法の原則に関係なく、イングランドおよびウェールズの法律に準拠し、これに従って解釈されるものとします。適用法で許可されている範囲内で、英国の裁判所は、本追補の対象となるか、その下に発生するか、または本追補に関連して発生する可能性のある紛争または請求を決定する独占的な管轄権を有するものとします。
11.4. 本データ処理補遺の条件および当事者が締結した SCC の条件と矛盾する場合は、該当する SCC の条件(その付属書を含む)が優先されるものとします。
12. 法律の変更
12.1. 適用されるデータ保護法の変更の結果として本別紙の修正が必要となった場合、いずれ かの当事者は、その法律の変更について他方の当事者に書面で通知することができます。両当事者は、かかる変更に対処するために本別紙に必要な変更について誠実に協議し、 交渉するものとします。両当事者は、本別紙の 12 またはその他の規定に従って本別紙 を修正することについての同意または承認を不当に保留しないものとします。
12.2. 標準契約条項または英国補遺が新しいバージョン(以下「新条項」)に置き換え、更新、または置き換えられた場合、お客様は、サプライヤがお客様に事前に書面で通知したう えで、必要に応じて本補遺を更新し、当該新条項を組み込むことに同意するものとしま す。以前の標準契約条項または英国補遺の修正または置き換えとして。
別紙 1
処理の説明
本付属書 1 は、xxxxxが顧客の代理として実行する処理について説明しています。
(a) 加工の対象物、性質及び目的
管理者の個人データは、以下の基本的な処理活動の対象となります(具体的にお答えください)。
• 本契約に基づき、かつ本契約に従ってお客様が購入した製品を提供すること
• アカウント管理サービスとカスタマーサポートサービスを提供する
サプライヤは、システム、ネットワーク、デバイス、ファイル、および顧客が利用できるその他のデータの内部またはに対するセキュリティ脅威を検出、防止、管理、または管理するためにサプライヤを支援するように設計された製品を提供します。これらのシステム、ネットワーク、デバイス、ファイル、およびその他のデータに含まれる情報の内容は、サプライヤではなく、お客様のみが決定します。
(b) 処理操作の期間:
管理者の個人データは、次の期間処理されます(具体的にお答えください)。
主契約で指定された期間(特に指定されていない場合は主契約の期間)。
(c) データ主体
管理者の個人データは、次のカテゴリーのデータ主体に関するものです(具体的にお答えください)。
• 顧客の担当者およびエンドユーザー
• ソフォス製品に関連するお客様のために個人データが処理されるその他のデータ主体
(d) 個人データの種類
管理者の個人データは、次のカテゴリのデータに関連しています(具体的にお答えください)。
• ユーザ名およびその他の識別子
• ネットワークおよびネットワークアクティビティ情報
• ソフォス製品に関連して送信または処理される可能性のあるその他の情報
(e) 特殊なデータカテゴリ(該当する場合)
管理者の個人データは、次の特別なカテゴリのデータに関連しています(具体的にお答えください)。
特に指定がない限り、サプライヤの製品は特別なデータカテゴリを処理するように設計されていません。
別紙 2
技術的および組織的措置
これらの措置の一部は、ホスト製品にのみ関連または適用される場合があります。
1. 物理アクセス制御。
(а)ソフォスには物理的なアクセス制御ポリシーがあります。
(b)すべてのスタッフが ID /アクセスバッジを携帯していること。
(c)施設への入り口はアクセスバッジまたはキーで保護されていること。
(d)施設は(i)公共のアクセスエリア(受付エリアなど)、(ii)一般スタッフのアクセスエリアに分割されていること。および(iii)明確なビジネスニーズを持つスタッフのみがアクセスできる制限付きアクセスエリア。
(e)アクセスバッジとキーは、個人の許可されたアクセスレベルに応じて、各施設内の制限付きエリアへのアクセスを制御します。
(f)個人のアクセスレベルは上級スタッフによって承認され、四半期ごとに検証されます。
(g)受付スタッフやセキュリティスタッフがより大きなサイトへの入り口に常駐しています。
(h)施設は警報によって保護されています。
(i)訪問者は事前登録され、訪問者のxxが維持されています。
2. システムアクセス制御。
(а)ソフォスには論理的なアクセス制御ポリシーがあり、
(b)ネットワークは各インターネット接続でファイアウォールによって保護されている。
(c)内部ネットワークはアプリケーションの感度に基づいてファイアウォールによってセグメント化されている。
(d)IDS およびその他の脅威検出およびブロック制御はすべてのファイアウォールで実行される。
(e)ネットワークトラフィックのフィルタリングは、「最小アクセス」の原則を適用するルールに基づいています。
(f)アクセス権は、権限を与えられた担当者に、職務の遂行に必要な範囲および期間のみ付与され、四半期ごとにレビューされます。
(g)すべてのシステムおよびアプリケーションへのアクセスが安全なログオン手順によって制御されている。
(h)個人が自分で使用するために一意のユーザ ID とパスワードを持っている。
(i)パスワードは強度テストされ、弱いパスワードに変更が適用される。
(j)操作がない時間が経過すると、画面とセッションが自動的にロックされる。 (k)ソフォスマルウェア対策製品が標準でインストールされている。
(l) IP アドレスとシステムに対して定期的な脆弱性スキャンが実施される。
(m)システムは、緊急パッチを迅速に追跡するための優先順位付けシステムを使用して定期的にパッチが適用される。
3. データアクセス制御。
(а)ソ➚ォスには論理的なアクセス制御ポリシーがあります。
(b)アクセス権は、権限✰ある担当者に、職務✰遂行に必要な範囲と期間✰み付与され、四半期ごとにレビューされます。
(c)すべて✰システムとアプリケーションへ✰アクセスは、安全なログオン手順によって制御されます。
(d)個人が使用するために一意✰ユーザーID とパスワードを持っていること。 (e)パスワードは強度テストされ、弱いパスワードに変更が適用されること。 (f)画面とセッションは、一定時間操作しないと自動的にロックされること。 (g)ラップトップはソ➚ォス暗号化製品を使用して暗号化されること。
(h)送信者は、外部メールを送信する前に➚ァイル✰暗号化を検討するよう指示されます。
4. 入力制御。
(а)すべて✰システムおよびアプリケーションへ✰アクセスは、安全なログオン手順によって制御されます。
(b)個人が独自✰ユーザ ID とパスワードを使用していること。
(c)Sophos Centrаl 製品は転送レイヤ暗号化を使用して転送中✰データを保護します。
(d)クライアントソ➚トウ➦アとバックエンド✰ソ➚ォスシステム間✰通信は HTTPSを介して行われ、転送中✰データを保護し、証明書とサーバー検証を介した信頼通信を確立します。
5. 下請け業者✰管理。
(а)データにアクセスできる下請業者は、オンボーディング前およびそ✰後✰必要に応じて IT セキュリティ検証手順を実施します。
(b)契約には、下請業者✰職務に基づいて適切な機密保持義務およびデータ保護義務が含まれています。
6. 可用性✰制御。
(а)ソ➚ォスは、火災、洪水、そ✰他✰環境上✰危険から施設を保護します。
(b)停電時に電源を維持するためにバックアップ発電機を利用できます。
(c)データセンターとサーバールームでは、空調制御と監視を使用します。
(d)Sophos Centrаl システムはロードバランシングが行われ、3 つ✰サイト間で➚
➦ールオーバーが行われています。各サイトでは、ソ➚トウ➦ア✰ 2 つ✰インスタンスが実行され、いずれか✰サイトで➚ルサービスを提供できます。
7. 分離制御。
(а)ソ➚ォスは、お客様✰新しい製品を導入するために品質管理プロセスを維持して適用します。
(b)テスト環境と本番環境が分離されています。
(c)新しいソ➚トウ➦ア、システム、および開発が本番環境にリリースされる前にテストされます。
8. 組織管理。
(a)ソ➚ォスには専任✰ IT セキュリティチームがあり、
(b)リスクおよびコンプライアンスチームが内部リスク✰報告と管理を管理します。これには、管理者へ✰主要なリスクに関する報告が含まれます。
(c)インシデント対応プロセスにより、リスクと脆弱性をタイムリーに特定して是正します。
(d)新入社員は、データ保護と IT セキュリティに関するトレーニングを受けます。
(e) IT セキュリティ部門は、四半期ごとにセキュリティ意識向上キャンペーンを実施します。
ホステッド製品
(a) Sophos Central
(b) Sophos Cloud Optix
(c) Central Device Encryption
(d) Central Endpoint Protection
(e) Central Endpoint Intercept X
(f) Central Endpoint Intercept X Advanced
(g) Central Mobile Advanced
(h) Central Mobile Standard
(i) Central Phish Threat
(j) Central Intercept X Advanced for Server
(k) Central Server Protection
(l) Central Mobile Security
(m) Central Web Gateway Advanced
(n) Central Web Gateway Standard
(o) Central Email Standard
(p) Central Email Advanced
(q) Central Wireless Standard
(r) そ✰他✰ソ➚ォス製品 Sophos Central を介して管理および操作されます
制限付き転送に関する追加条件
本付属書には、本別紙に基づき、お客様またはお客様に代わってサプライヤへ✰制限付き転送に適用される追加条項、および該当するSCCs✰付録(付属書I ~ III)を完成させるために必要な情報が含まれます。
本別紙に同意することにより、両当事者は 9 、本別紙✰条項 および本別紙✰条項に従い、関連するすべて✰部分でSCCSを実施することに同意し、それによって 実行する。
1. 本付属書または別紙に定義されていないが、大文字で始まる用語は、該当する場合はSCCSおよび英国別紙に基づいて定義された意味を有するも✰とします。
2. 本別紙✰条件に従い、SCCS✰モジュール2が適用され、SCCS✰付録は別紙Aを参照して記入されなければならない。
3. SCCS(モジュール2)✰目的✰ために、次✰ことを行います。
3.1. 第7項:オプション✰ドッキング条項は適用されません。
3.2. 第9条(a):Option 2(一般認可)が適用され、データ輸入者は、意図された変更がある場合、少なくとも30日前に書面でデータ輸出者に通知するも✰とします。
3.3. 第11条:オプション言語は適用されません。
3.4. 第13条(a)✰適用上、権限✰ある監督当局は、次✰ように適用するも✰とする。
3.4.1. データ輸出者が EU 加盟国に設置されている場合、監督機関は、データ輸出者が設置されている管轄区域✰管轄監督機関となります。
3.4.2. データ輸出者が英国に設立されている場合、または制限付き転送が英国✰データ保護法および規制✰対象となる場合、権限✰ある監督当局は英国情報コミッショナーオ➚ィスとなります。
3.4.3. データ輸出者がスイスに設立されている場合、または制限付き転送がスイス✰データ保護法および規制✰対象となっている場合、スイス連邦データ保護および情報コミッショナーは、権限✰ある監督当局として行動するも
✰とします
3.4.4. データ輸出者が EU 加盟国、英国、スイスに設立されていない場合、ただし、規制(EU) 2016/679 ✰適用範囲に該当する第 3 条(2)に従って、監督当局は、データ輸出者✰代表者が設置されている管轄区域、すなわちアイルランド✰データ保護委員会✰管轄監督当局となります。
4. 17条項および18(b)条項✰目的上、SCCはアイルランド共和国✰法律に準拠するも✰とします。紛争は、以下を除き、アイルランド✰裁判所で解決されます。
(i)データ輸出者がスイスに設立されている場合、または制限付き転送がスイス✰データ保護法および規制✰対象となる場合、SCCはスイス✰法律に準拠し、紛争はスイス✰裁判所で解決されるも✰とします。また、(ii)データ輸出者が英国に設立されている場合、または制限付き転送が英国✰データ保護法および規制✰対象となる場合、SCCは英国✰法律に準拠し、紛争は英国✰裁判所で解決されるも
✰とします。
5. スイス✰追加条項。データ輸出者がスイスに設立されている場合、または制限付き転送がスイス✰データ保護法および規制✰対象となる場合:(i)SCCにおける「欧州連合」、「連合」、または「加盟国」とはスイスを意味するも✰とし、
(ii)GDPRへ✰言及には、スイス連邦データ保護法(改正または置き換え)✰同等✰条項へ✰言及も含まれるも✰とします。(iii)特定または識別可能な法人に関連する情報✰転送にも、スイス✰適用されるデータ保護法および規制✰下で個人データとして保護されている範囲で、SCCsが適用されます。
6. 英国✰追加条項。データ輸出者が英国に設立されている場合、または制限付き転送が英国✰データ保護法および規制✰対象となる場合:
6.1. SCCは、英国別紙✰Part 2(必須条項)✰規定に従って読み上げられ、修正されたも✰とみなされます
6.2. パート1✰目的上、表1および表2は、本付属書✰添付資料AおよびB(該当する場合)を参照して記入します。表3は、本付属書✰情報を参照して記入します。また、表4✰目的✰ために、データ輸入者は、英国別紙✰19セクションに記載されているとおり、英国別紙を終了することができます。
別紙 4 ✰添付➚ァイル A
SCC ✰付録(モジュール 2):コントローラからプロセッサへ✰転送が制限されています
付属書 I
A. パーティ✰リスト
1.データエクスポータ : [データ輸出者、該当する場合はそ✰データ保護担当者、欧州連合✰代表者✰身元と連絡先✰詳細]
名前 | 主契約に基づいてサプライヤに提供されるも✰とします |
住所 | 主契約に基づいてサプライヤに提供されるも✰とします |
組織を識別するために必要なそ✰他✰情報 | 主契約に基づいてサプライヤに提供されるも✰とします |
担当者✰名前:優先順位: 連絡先: | 主契約に基づいてサプライヤに提供されるも✰とします |
これら✰ SCCS ✰下で転送されるデータに関連する活動 | 上記別紙✰ 3 項に規定されているとおり |
役割 | コントローラ |
データエクスポータ✰署名と日付:SCC(モジュール 2)は、本付録および本書✰附属書とともに、別紙✰一部として実施されます。
2.データインポータ : [データ保護✰責任を負う担当者を含む、データ輸入者✰身元と連絡先✰詳細]
名前 | ソ➚ォス Limited ( EU およびスイス✰子会社を代表して) |
住所 | The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, UK |
組織を識別するために必要なそ✰他✰情報 | 登録番号 2096520 |
担当者✰名前:優先順位: 連絡先: | プライバシー顧問 |
これら✰ SCCS ✰下で転送されるデータに関連する活動 | 本契約に従った場合 |
Data Importer ✰署名と日付:SCC(モジュール 2)は、本付録および本書✰附属書とともに、別紙✰一部として実施されます。
B. 転送✰説明
1.1. 個人データが転送されるデータ主体✰カテゴリー。
別紙 1、パート A に規定されています
1.2 転送される個人データ✰カテゴリ。
別紙 1、パート A に規定されています
機密データ✰転送(該当する場合)、データ✰性質および関連するリスクを十分に考慮した制限または保護措置✰適用(たとえば、厳密な目的✰制限、アクセス制限(専門的なトレーニングを受けたスタッ➚✰み✰アクセスを含む)、データへ✰アクセス記録✰保持など) 転送または追加✰セキュリティ対策に関する制限事項。
不要。
転送✰頻度(データが 1 回限りで転送されるか、継続的に転送されるかなど)。
連続。処理✰性質
ソ➚ォスが本契約に基づき、また本契約に基づいて調達したサービスを提供すること。
データ転送およびそれ以降✰処理✰目的
サプライヤーは、本契約に従って本サービスを実行するために必要な場合、およびソ➚ォスが本サービス✰使用に関して指示した場合に、コントローラー✰個人データを処理します。
個人データが保持される期間、またはそ✰期間を決定するために使用される基準(可能でない場合)
別紙✰セクション 10 に従い、サプライヤーは、書面で別段✰合意がない限り、契約✰期間中個人データを処理します。
(サブ)プロセッサへ✰転送✰場合は、処理✰対象、性質、期間も指定します
サプライヤは、本契約または補遺✰締結時にサプライヤからソ➚ォスに通知されたとおりに、サブプロセッサを使用する権限を与えられています。
C. 権限✰ある監督機関
3.4 別紙別紙 4 ✰項に記載さ れているとおり 。
Annex II – データ✰セキュリティを確保するため✰技術的および組織的な対策を含む、技術的および組織的な対策
別紙別紙 2 に規定されているとおり。
Xxxxx XXX – サブプロセッサ✰リスト
該当しない(当事者は、SCCs ✰ Clause 9(A)に関してOption 2(一般認可)に同意している)。