MOBILEIRON, INC.
MOBILEIRON, INC.
データ保護に関する付則
(2018年5月15日版)
別紙(以下総称して「DPA」)を含む本データ保護に関する付則は、お客様とMobileIronとの間で締結された顧客契約(以下「本契約」)を補足し、これに組み込まれ、その一部を構成するものです。本DPAの条項と本契約の条項との間に矛盾が生じた場合、該当する条項についてはDPAが支配するものとします。
1. 定義。
a. 本DPAで使用されていて定義されていない英文大文字の用語は、本契約書内に記載された意味を有します。
b.「お客様のデータ」とは、オンラインサービスの使用を通じてお客様により、またはお客様を代理してMobileIronに提供されるすべての個人データを意味し、その範囲はお客様の単独の裁量でお客様が決定します。
c. ドキュメント」とは、MobileIronがお客様に提供したまたは使用可能にした、MobileIronソリューションに関する書面または電子的なリリースノート、実装ガイド、またその他の発行された技術文書を意味します。
d.「エンドユーザ」とは、MobileIronソリューションを使用する個人をいいます。
e. 「MobileIronソリューション」とは、SaaS製品またはソフトウェアのいずれか、またはSaaS製品とソフトウェアの両方を意味します。
f.「オンラインサービス」とは、スタンドアロンサービスとして、またはMobileIronプラットフォームまたはアプリケーションに含まれているものとして、お客様が本契約に基づき購入する、MobileIronがホストするサービスを意味します。オンラインサービスには、MobileIron Government Cloud、無料トライアル版、MobileIronの管理外で動作する別ブランドのサービス、または別個のライセンスまたはサブスクリプション契約で提供されるソフトウェアおよびサービスは含まれません。オンラインサービスにはソフトウェアは含まれませんが、ソフトウェアの完全な機能に必要な、MobileIronによりホストされるサービスが含まれることがあります。
g.「注文」とは、お客様とxx販売代理店の間の発注、製品明細書または注文書をいいます。またはMobileIronから直接購入された場合、お客様とMobileIronの間の、MobileIronソリューションおよび/またはライセンスされたまたは販売されたサービス、また該当するサブスクリプションまたはライセンスのパラメータ(例えば、サブスクリプション数)をいいます。
h. 「個人データ」とは、当オンラインサービスに提出された、次に関連するものをいいます。(i)特定された、または特定可能な自然人(ii)該当する情報が、適用されるデータ保護法のもとで個人データまたは個人を特定できる情報と同様に保護されている場合、特定された、または特定可能な法人。特定可能な自然人とは、特に名前、認識番号、位置情報
、オンラインIDまたは当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的もしくは社会的特定に固有な1つ以上の要素を参照することにより、直接的または間接的に特定できる人をいいます。
i. SaaS製品」とは、ドキュメントを含め、MobileIronにより、またはMobileIronのためにホストされているソフトウェアにアクセスして使用することができるサービスを意味します。
j. 「セキュリティインシデント」とは、MobileIronの機器またはMobileIronの施設に保管されている個人データへの不正アクセス、またはそのような機器または施設への不正アクセスにより個人データの紛失、開示、改変が生じることをいいます。
k.「ソフトウェア」とは、お客様がすべてのSaaS製品に接続して使用するためにダウンロードできるよう、MobileIronが使用を可能にしたMobileIron独自のコンピュータ・プログラムのオブジェクト・コードのバージョンを意味します。SaaS製品にはすべてのドキュメントとアップデートが含まれます。
l. 「サブプロセッサー」とは、MobileIronがお客様に代わって個人データを処理するために用いる、他のプロセッサーを意味します。疑義を避けるためにいうと、MobileIronのコロケーション・データセンター機能は副処理者にはあたりません。
m.「サポートデータ」とは、本契約の対象となるオンラインサービスまたはソフトウェアのサービスの技術サポートおよび/またはコンサルティングを得るために、MobileIronとの契約を通して、お客様からまたはお客様に代わって(またはお客様が、オンラインサービスから取得することをMobileIronに許可して)MobileIronに提供された個人データをいいます。データの範囲はお客様の自由裁量によりお客様が管理します。
n.「契約期間」とは、MobileIronが最初に該当するSaaS製品またはソフトウェアにアクセスしてダウンロードするための認証情報を利用可能にしたときから、該当する注文書に記載されているSaaS製品のサブスクリプションまたはソフトウェアライセンスの期間を意味します。
o. アップデート」とは、MobileIronによって行われた特定のソフトウェアへの修正、更新、アップグレード、パッチ、またその他の変更や追加を意味します。
2. 法の遵守。
a. MobileIron。MobileIronは、セキュリティ違反通知法を含む、オンラインサービスの提供に適用されるすべての法律および規制を遵守しなければならないものとします。すべての「セキュリティインシデント」は第7条に記載される通りとします。MobileIronは、情報技術サービスプロバイダに一般的に適用されないお客様または業界に適用される法律または規制の遵守については責任を負いません。MobileIronは、お客様のデータまたはサポートデータに特定の法律または規制の対象となる情報が含まれているかどうかについての判断はいたしません。
b. お客様。お客様は、プライバシー、個人データ、バイオメトリックデータ、データ保護、および通信の機密保持に関 する法律を含む、オンラインサービスの使用に適用されるすべての法律および規則を遵守しなければなりません。お客様は、以下に関して責任を負うものとします。(i)お客様が提供または管理しているコンポーネントおよびMobileIronソリューションの構成(MobileIronソリューションに登録されているデバイスを含む)に関するプライバシー保護およびセキュリティ対策の実施および維持。(ii)当該オンラインサービスが特定の法律または規制の対象となる情報の保存および処理に適しているかどうかの判断。(iii)お客様が負う法的および規制上の義務と一貫した当該オンラインサービスの使用。(iv)適用される法律、規則または規制に基づいて必要とされる個人データ処理に関する開示を行い、同意を得、エンドユーザーにアクセス、選択およびその他の適用可能な権利を付与する。(v)お客様のオンラインサービスの使用に関するサードパーティーからの要請への対応。明確にするために、お客様はMobileIronおよびサードパーティーの統合によって提供されるその他の製品やサービスを含め、オンラインサービス自体の実行、構成および使用によって、個人データ処理の範囲と方法を決めることができます。
3. データの使用。
a. お客様のデータおよびサポートデータ。お客様のデータは、たとえばMobileIronソリューションおよびその機能と関連サービスの実装と提供、お客様サポートの提供、そしてサービス上または技術上の問題を防止または対処する支援などの
、オンラインサービス(互換性の目的を含む)を提供する目的でのみ使用されます。サポートデータは、繰り返し起きる問題のトラブルシューティングやサポートの改善、またオンラインサービスの向上など、お客様へのサポート(互換性の目的を含む)を提供する目的でのみ使用されます。MobileIronは、広告または同様の商業目的でお客様のデータまたはサポートデータを使用することはなく、またそのデータから情報を取得することはありません。両当事者間において、お客様のデータおよびサポートデータに関するすべての権利、権原および利益はお客様が保持します。お客様にオンラインサービスを提供したりサポートを提供するためにお客様がMobileIronに付与する権利を除き、MobileIronはお客様のデータ またはサポートデータにいかなる権利も取得しません。本項は、お客様が購入したMobileIronソリューションにおける MobileIronの権利には影響しません。
b. 集約された匿名化データ。MobileIronは、関係法令で許可される場合に、市場調査、製品開発および向上、製品利用分
析、サポートおよびメンテナンスサービスを促すために、集約また匿名化された技術データおよび関連情報(製品または機能の使用状況、デバイスメトリクス/メタデータ、および/またはモバイルアプリケーションの使用状況など)を収集、分析、使用します。 MobileIronは、個人が識別されていないかまたはいかなる個人にも特定されない場合、そのような情報またはそのような情報に由来するデータを使用、保管、または開示することがあります。
4. 専門的サービスおよび関連データ。専門的サービスはオンラインサービスとは異なり、専門的サービス契約中に MobileIronに提供される情報は、本契約の機密保持条項の下で保護されます。このDPAの残りの部分は、本DPAの第14条の対象となる個人データでない限り、かかる情報には適用されません。
5. データの非開示
a. MobileIronは、(i)お客様の指示による場合、(ii)本契約書に記載されている場合、または(iii)法律で要求される場合を除き、MobileIronまたは管理する子会社および関連会社の外部に、お客様のデータまたはサポートデータを開示しません。
b. お客様のデータまたはサポートデータに対するサードパーティーからの要請または要求を受領した時点で、MobileIronは法律で禁止されている場合を除き、お客様に速やかに通知します。法律に遵守する義務のない限り、MobileIronはその要求を拒否します。要求が有効な場合、MobileIronはサードパーティに、直接お客様に要請または要求を行うよう依頼します。
c. MobileIronはサードパーティに以下のものを提供しません。(i)お客様のデータまたはサポートデータへの直接、間接
、全面的または自由なアクセス、(ii)お客様のデータまたはサポートデータを保護するために使用される暗号化キー、またはそのような暗号化を破る能力、(iii)サードパーティーの要請に記載されている以外の目的でデータが使用されることをMobileIronが認識している場合、お客様のデータまたはサポートデータへのアクセス。
6. セキュリティ。MobileIronは、お客様のデータのセキュリティを保護することに注力しています。MobileIronは、偶発 的、権限のない、または違法なアクセス、開示、改ざん、紛失または破壊からお客様のデータを保護するための、適切な技術的および組織的措置を実施し、維持し、これに従います。これに関連し、MobileIronは、次の表に記載されているセキュリティ対策を、オンラインサービスをホストまたは通信するコンピュータシステムに対して実施しており、これを維持し、またこれに従います。このセキュリティ対策は、本契約におけるセキュリティ確保の義務と併せて、また第2.b条に基づくお客様の義務を損なうことなく、お客様のデータのセキュリティに関するMobileIronの唯一の責任とします。 MobileIronは、そのような更新または変更が全体のセキュリティを低下させることがない場合、以下に記載されているセキュリティ対策を随時更新または修正する可能性があります。
セキュリティ管理カテゴリー | 内容 |
1. ガ バ ナ ン ス | a. 個人データのセキュリティ、機密性および完全性を保護するために設計されたMobileIronの管理、物理的および技術的保護手段の開発、調整、実施および管理のための適切な役割を個人またはグループに割り当てる b. 十分に訓練され、適格であり、かつ情報セキュリティ関連機能を果たすことができるような経験を持つセキュリティ要員を配置する |
2. アクセス制御 | a. 個人データ、関連システムおよび組織の施設へのアクセスを必要とするビジネス機能や責任を有する人員または人員の職階を特定する b. 個人データ、関連システム、およびシステムをホストしている施設へのアクセスを 、許可された人員に制限できるよう設計された制御方法を維持する c. 人員のアクセス権を定期的に再確認する d. MobileIron担当者に適切に発行されたアクセスカードやフォッブを使用するなど、システムを含む施設への物理的なアクセス制御の方法を維持する e. 従業員の退職後に個人データおよびシステムへの物理的および電子的アクセスの終了を義務付ける方策を維持する f. ユーザーを認証し、システムへのアクセスを制限するアクセス制御 g. データセンター施設のホスティングシステムへのアクセスを、許可されたデータセンターの人員と、限定的に許可されたMobileIronの人員に制限する方針。 h. システムへの管理上のアクセス権を持つMobileIronの従業員に対する二重層アクセス認証プロセスを維持する |
3. リ ス ク x x | a. 既存の情報セキュリティに対するリスクを分析し、新たなリスクの可能性を特定し 、既存のセキュリティ制御方法の有効性を評価するために設計された、定期的なリスク評価を実施する b. リスク発生可能性と、リスクが発生した場合の重大な影響の可能性を評価するためのリスク評価プロセスを維持する c. 正式なリスク評価ドキュメント d. 適切な管理職者による正式なリスク評価審査 |
4. データの分類、保持、削除 | a. データの重要性と機密性に基づいてデータ分類を確立する方針を維持する。 b. データの保持と安全な破棄に関する要件を確立する方針を維持する |
5. 人員の経歴調査 | 地域の法律に従った、個人データまたは関連するシステムにアクセスする新規従業員に対し、合理的な経歴調査を義務付ける方針を維持する |
6. 人員のトレーニングおよび教育 | 業務上の責任に関連する、また組織内での役割に基づいた情報セキュリティ制御と方針について、定期的に人員を訓練する |
7. ベンダー管理および監督 | システムをホストしているベンダーの入手可能なセキュリティ評価レポートを定期的に 、ベンダーのセキュリティ管理策を評価し、そのレポートに記載されている例外事項をる |
8. モニタリング、侵入検知、インシデント対応 | a. さまざまな監視ソフトウェアおよびサービスを使用し、システムのアクセス、可用性、容量およびパフォーマンス、関連するファイアウォール、システムログ、サーバートラフィックを監視する b. 米国内に設置され、ロードバランサを通じて直接のアクセスが可能であるシステムにおいて、侵入検知・防止策(IDS/IPS)を維持する c. セキュリティインシデントの特定、報告、および対処のためのインシデント対応手順を維持する d. 複数の部門が関わるセキュリティインシデント対応チームを構築する |
9. 暗 号 化 | a. Webベースのアプリケーションによって送信された場合にSSLを使用してHTTPS経由でパーソナルデータを暗号化し、そのすべてのトラフィックに対する最低128ビットの暗号化 b. 運用データは暗号化され、外部のロケーションにバックアップされる |
10. ファイアウォール | ハードウェアとソフトウェアのファイアウォールを維持してシステムを保護する |
11. 変更管理 | a. システムのセキュリティ、システムの変更およびメンテナンスの責任を負う b. 実装前に主要なシステムコンポーネントをテストし、評価し、承認する |
12. 物理的なセキュリティ | 以下が導入されている、システムをホストしているコロケーション施設および管理データセンターの使用: a. 1日24時間、1年365日間機能する、屋内外に設置された監視カメラとアクセスログによる重層的な物理的セキュリティ b. 電源断のない電源装置(UPS)、発電機および冷却システム |
13. システム管理および利用可能性 | a. システムをホストしているデータセンター施設でインターネットアクセスを維持するように設計された、2つ以上の最上位ISPを持つBorder Gateway Protocol(BGP)の使用 b. 現在のパッチレベルを文書化し、パッチの可用性を判断し、パッチのテストと実装のプロセスを確立するシステムのセキュリティパッチ適用プロセスを維持する |
7. セキュリティインシデント通知
a. MobileIronがセキュリティインシデントを認識した場合、MobileIronは次を行います。(i)お客様にそのセキュリティインシデントを通知する。(ii)セキュリティインシデントを調査し、セキュリティインシデントに関する詳細な情報をお客様に提供する。(iii)セキュリティインシデントに起因する損害を最小限に抑えるための合理的な措置を講じる。またMobileIronは、次を行うためにトレーニングを受けた担当者を割り当てます。(i)個人データのセキュリティ問題に関してお客様と連絡を取る。(ii)セキュリティインシデント通知を受け取る。 (iii)本第7条および適用法に従って、お客様にそのセキュリティインシデントを通知する(iv)MobileIronのセキュリティインシデント対応と修復措置を調整する
。通知または対応に対するMobileIronの義務は、そのセキュリティインシデントに関するMobileIronによる過失または責任を認めるものではありません。
b. お客様は、(i)お客様のシステム管理者が各MobileIronソリューションの正しい連絡先情報を保持し、(ii)アカウントまたは認証情報またはオンラインサービスに関連するセキュリティインシデントにおいて、誤用の可能性があれば、そのことをMobileIronに速やかに通知しなければなりません。
8. データ処理の実施場所。本契約の他の部分に記載されている場合を除き、お客様に代わって処理するお客様のデータ およびサポートデータは、米国、またはMobileIronや関連会社または下請け業者が施設を保有する国に移管すること、またはその他の国で保管および処理することができるものとします。一般に、MobileIronは、(i)お客様が選択した場合(オンラインサービスでの利用可能な場合)、または(ii)お客様から提供された連絡先情報に基づいて、利用可能な地域内にお客様のデータを保存します。お客様がテクニカルサポートを依頼し、お客様の裁量でお客様のデータおよびサポートデータをMobileIronに提出することを決定した場合、MobileIronは、お客様の指示に従って、限定されたお客様のデー タおよびサポートデータを他の場所に保管することがあります。お客様は、そのような国へのお客様のデータおよびサポートデータの移転と、オンラインサービスを提供するためのお客様のデータおよびサポートデータを保管および処理を実行するために、MobileIronを任命するものとします。
9. データの保持。スタンドアロンのオンラインサービス提供期間中、お客様はいつでもオンラインサービスに保存されているお客様のデータにアクセスし、取り出すことができます。無料トライアルを除いて、MobileIronは、契約期間または関連するサブスクリプションまたはライセンスの満了後、少なくとも90日間お客様がデータを抽出できるように、スタンドアロンオンラインサービスに保存されたお客様のデータを保持します。90日間の保存期間の後、MobileIronはお客様のアカウントを無効にし、お客様のデータを削除します。
10. MobileIronの従業員。MobileIronの従業員は、お客様の許可なく、お客様のデータまたはサポートデータを処理しません。MobileIronの従業員は、このDPAで提供されているお客様のデータおよびサポートデータの機密性を維持する義務があり、この義務は契約終了後も継続されます。
11. 下請け業者。MobileIronは、その代理として限定的または補助サービスをMobileIronの法人関連会社を含む下請け業者と契約することがあります。そのような下請け業者はお客様のデータおよびサポートデータを取得することを許可されますが、これはMobileIronがお届けするサービスを提供するためにのみ保持され、その他の目的でお客様のデータおよびサポートデータを使用することは禁止されます。MobileIronは、本契約におけるMobileIronの責務を下請け業者が遵守する ことに対し、その責任を負います。第18条と第19条に、副処理者に関する追加の条項が記載されています。
12. オンラインサービスの監査とセキュリティ審査
a. 監査。スタンドアロンのオンラインサービスの場合、少なくとも毎年、MobileIronは、資格を有する独立したサードパーティによるお客様データ処理に使用するコンピュータ、コンピューティング環境および実際のデータセンターにおけるセキュリティの監査を、MobileIronの選択と費用により開始します。各監査の結果、MobileIronの機密情報とする監査報 告書(以下「 監査報告書」)が作成されます。監査報告書では、監査人による重要な発見事項を明確に開示します。 MobileIronは、(i)本DPAの第6条に基づくMobileIronの義務を履行するMobileIronの能力に悪影響を与えることが合理的に予想される監査報告書で提起された問題、および(ii)重要な管理上の欠陥に対し、誠意を持って商業上合理的な是正措置を講じます。お客様から要求された場合、MobileIronは、お客様がDPAに基づくセキュリティ義務の遵守を確認できるよう、お客様に監査報告書またはサードパーティと共有するために作成された要約をお客様に提供します。監査報告書は
、MobileIronと監査人の非開示および配布の制限の対象となります。
b. セキュリティに関する審査。合理的な事前通知により、MobileIronは、他に法律で定められていない限り年に一度、MobileIronによる本DPA第6条への遵守の方法についてお客様と話し合いができるよう従業員を手配します。または、サードパーティと共有するために作成されたセキュリティ評価レポートへのアクセスなど(ただしこれに限定されません
)、本DPAに関連するMobileIronの情報セキュリティ対策に関する情報または文書へのアクセスを、お客様に提供します
。そのような情報およびドキュメンテーションは、MobileIronの機密情報とみなされます。
13.その他オーストラリアに関連する条項。本第13条は、お客様がオーストラリアにエンドユーザーを有する場合にのみ適用されます。個人データは、1988年オーストラリア連邦プライバシー法(オーストラリア連邦)およびオーストラリ アのプライバシー原則に準拠して収集、保管、使用および/または処理されます。お客様がMobileIronの苦情処理方法にご不満のある場合、またはMobileIronが提案する解決策に同意されない場合は、Webサイトxxxxx://xxx.xxxx.xxx.xx/に記載されている方法にてOffice of the Australian Information Commissioner (OAIC) まで、その苦情について連絡をすることができます。または、お客様は、MobileIronがお客様の苦情の詳細をOAICに直接伝えることを要求することができます。
14. 欧州に関する追加条項。本DPAの第14~19条(「欧州に関する追加条項」)は、MobileIronがお客様に代わって行う欧州経済地域(「EEA」)またはスイスのエンドユーザーの個人データの処理に適用されます。欧州連合(EU)の一般デー タ保護規制(「GDPR」)の第28条(1)では、データの管理者と処理者間、また処理者と副処理者間で、GDPRの要件を満たし、データ対象者の権利保護を保証する技術的および組織的な措置にもとづいたデータ処理を実施することへの同意が義務付けられています。欧州に関する追加条項は、MobileIronが、専門技術的なサービス契約を通じてお客様から提出された個人データの処理者または副処理者も含めた当事者として、その要件を満たすことを意図しています。欧州に関する追加条項で使用されている用語で、定義されていないもの、例えば、「個人データの侵害」、「処理」、「管理者」
、「処理者」、「データ主体」などは、GDPR第4条で与えられている意味を持つものとします。
15.当事者の意図。追加の欧州関連条項および本DPAのその他の条項を含む本契約の条項は、データ処理契約を構成するものとします。オンラインサービスの場合、MobileIronは、お客様に代わって行動するデータ処理者(または副処理者)にあたります。データ処理者(または副処理者)として、MobileIronはお客様の指示にのみ従って行動します。本契約および本DPA(いずれの場合も参照により組み込まれた条件を含む)は、お客様のオンラインサービスにおける機能の使用お
よび構成とともに、お客様のデータの処理に関するお客様の完全かつ最終的な指示です。追加または代替の指示は、書面により同意されなければならないものとします。
16. データ処理の内容
a. 主題および期間。個人データの処理の主題は、互換サービスを含むオンラインサービスのパフォーマンスです。期間とはデータ処理が継続する時間をいいます。
b. 性質および目的。データ処理の性質および目的は、MobileIronソリューションとその機能および関連サービスの実装および遂行、お客様サポートの提供、サービス上または技術上の問題の防止または解決の支援、また繰り返し起きる問題やオンラインサービスのトラブルシューティング、サポートサービスやオンラインサービスの改善といったサポートお客様に提供することです。
c. データ輸出者。お客様は、個人データの管理者または処理者であり、データ輸出者となります。
d. デ ータ輸入者。MobileIron, Inc.は、個人データの処理者または副処理者であり、データ輸入者となります。
e. データ主体。個人データに関連するデータ主体としては、お客様側の担当者やエンドユーザー、一般的には、
MobileIronソリューションを使用してMobileIronに個人データを提供しているお客様の従業員が分類されます。
f. データのカテゴリー。MobileIronソリューションおよびお客様のユースケースによって異なる、処理される個人データの種類には以下が含まれます。(i)ローカルアカウントの管理およびモバイルデバイスのアクセス制御または管理に関連する電子通信を可能にするエンドユーザーの基本的な連絡先。(ii)MobileIronソリューションの登録、展開、運用、メンテナンスを容易にするための、モバイルデバイスに関する基本情報。(iii)認証トークンに含まれる名前、電子メールアドレス、ユーザー名およびその他の個人データ、および安全な認証をサポートするためのエンドユーザーの認証要求およびそれらの要求に対する応答に関するシングルサインオン証明書。(iv)MobileIronがMobileIronソリューションのコンテキストで使用する、または専門技術サービス契約を通じてお客様が提出する電子形式のその他のデータ。
g. 処理業務。移転された個人データは、次の基本的な処理活動の対象となります:社内使用関連の目的(例えば品質管理
、トラブルシューティング、製品開発)など、データ輸出者の指示に基づいてMobileIronソリューションに必要に応じて提供されるデータ輸出者のデータの、収集、保管、検索、閲覧、使用、消去または破壊、送信による開示、普及、あるいは別の方法によって利用可能にすること。h. お客様の義務および権利。お客様の義務および権利は、本契約書およびDPAに記載されています。
17.個人データの移転
a. 適用されるデータ保護法の意味において、十分なレベルのデータ保護を保証しない国々への、欧州経済地区およびスイスからの個人データのすべての移転は、以下に優先順に指定されている移転メカニズムの1つによって管理されていなければならないものとします:第一に、EU-米国間およびスイス-米国間。米国への移転に関するプライバシーシールドフレークワークの自己認証、または第二に、欧州委員会が適宜承認する第三国で設立された処理者への個人データの移転についての標準モデル条項、2010年2月5日の欧州委員会決定2010/87/EUおよび欧州に関する追加条項(以下「標準契約条項」)の別紙Aに示されている現在有効な承認済みバージョン。 お客様はMobileIronに、お客様の代理として、お客様から副処理者への移転について標準契約条項を締結するように指示します。標準契約条項は、お客様が設立されている加盟国の法律に準拠するものとします。
b. MobileIronは、欧州経済地域およびスイスからの個人データの収集、使用、移転、保持およびその他の処理に関して適用される、データ保護法の要件を遵守します。MobileIronは、プライバシーシールドの原則で要求されているものと同じレベルの保護を提供する義務を果たせなくなったと判断した場合、お客様に通知することに同意します。
c. 両当事者による本契約の締結には、標準契約条項の締結が含まれます。標準契約条項では、お客様がそのような規制上の承認を得ていない限り、規制当局の承認を必要とする国からのデータの輸出を正当化することはできません。
d. 標準契約条項が適用される場合、(i)お客様は、第12条に記載されているとおりに監査および審査を実行するよう
MobileIronに指示することにより、その監査権を行使することに同意します。(ii)お客様は、この指示を変更したい場合
、標準契約条項に記載されているとおり、変更を書面で要求する権利を有します。(iii)本条のいかなる部分も、標準契約条項を変更または修正したり、標準契約条項において監督当局またはデータ主体の権利に影響を与えるものではありません。
18. GDPRの条項。MobileIronは、GDPR施行開始日、またはお客様によるオンラインサービスの使用、またはMobileIronの専門技術的サービスの提供日のうち最も遅い日に、第18条および19条の義務を有効にします。第18条は、GDPRの第28条
、第32条および第33条で処理者と管理者に義務付けられている関連する契約条項を、明確にするためにわずかな編集を加えて複製したものです。参照条項は括弧内に示されています。
a. MobileIronは、お客様による事前の特定または一般的な書面による許可なしに、他の処理者との契約を行わないものとします。一般的な書面による許可の場合、MobileIronが他の処理者の追加または代替を行おうとするときは、お客様にその変更を通知します。これにより、そのような変更に異議を唱える機会をお客様に与えるものとします。[28(2)]
b. MobileIronの対象である欧州連合または加盟国の法律によって義務づけられている場合を除き、MobileIronは、第三国または国際機関への個人データの移転などを含め、お客様からの文書化された指示においてのみ個人データを処理するものとします。そのような場合、MobileIronは、処理を行う前にそのような法的要件をお客様に通知するものとします。ただし、その法律が公益上重要な事由に関わる情報として通知を禁じている場合を除きます。 [28(3)]
c. MobileIronは、個人データの処理を許可されているすべての者が、機密保持義務に同意していること、または法律上の守秘義務を負っていることを保証するものとします。[28(3)]
d. MobileIronは、GDPR第32条において要求されるすべての措置を講じます。[28(3)]
e. MobileIronは、他の処理者との契約について、第18.aおよび18.kに記載されている条項を遵守します。
f. MobileIronは、処理作業の性質を考慮し、GDPRの第III章に定められた、データ主体の権利行使に対する要求に応えるお客様の義務の履行のために、可能な限り、適切な技術的および組織的な対応策を講じ、お客様を支援します。[28(3)]
g. MobileIronは、処理作業の性質や、MobileIronが入手できる情報を考慮し、GDPR第32条から第36条に基づき、義務の遵守を確実にするためにお客様を支援します。[28(3)]
h. MobileIronは、欧州連合または加盟国の法律が個人データの保管を義務付けていない限り、お客様の選択で、処理に関連するサービスの提供終了後にすべての個人データを削除またはお客様に返却し、存在するコピーを消去します。[28(3)]
i. MobileIronは、GDPR第28条に定められた義務の遵守を実証するために必要なすべての情報をお客様に利用できるよう提供し、お客様またはお客様が義務付けた監査人が実施する検査を含む監査に寄与し、貢献します。[28(3)]
j. MobileIronは、GDPRのまたはその他のEUの、またはその他のEU加盟国のデータ保護規定を侵害するような指示があった場合、直ちにお客様に通知します。[28(3)]
k. MobileIronがお客様のために特定の処理活動を実行するために別途処理者を使用している場合、GDPR第28条(3)に定められているものと同じデータ保護義務(第18.b-19.j項において再現)が、欧州連合または加盟国の法律、に基づく契約またはその他の法的措置として、具体的にはGDPRの要件を満たす適切な技術的および組織的措置を実施するための十分な保証を提供することによって、その別の処理者にも課されます。この別の処理者がデータ保護義務を履行しない場合、 MobileIronは、この別の処理者の義務の履行について、お客様に対する完全な責任を負います。[28(4)]
l. 技術の状態、実装の費用、また処理業務の性質、範囲、状況と目的に加え、自然人の権利と自由における可能性と重大性の差異というリスクを考慮して、お客様とMobileIronは、そのリスクへのセキュリティレベルを保障する、適切な技術的および組織的対応策を講じます。その対応策には次のものが含まれます。(i)個人データの匿名化と暗号化。(ii)処理システムおよびサービスの継続した機密性、完全性、可用性および耐久性を保証する能力。 (iii)物理的または技術的インシデントが発生した場合に、適時に個人データの可用性とアクセスを復元する能力。(iv)処理の安全性を保証するための技術的および組織的措置の有効性を定期的にテストし、評価するプロセス。[32(1)]
m. 適切なセキュリティレベルを評価するにあたり、特に偶発的または違法な破壊、紛失、改変、不正な開示、または送信、保存、その他の処理された個人データへのアクセスから生じるリスクを考慮しなければなりません。[32(2)]
n. お客様およびMobileIronは、お客様またはMobileIronの権限下で個人データにアクセスする自然人が、欧州連合またはその加盟国の法律により義務付けられている場合でない限り、またお客様からの指示である場合を除き、その個人データを処理しないことを保証する措置を講じます。[32(4)]
o. MobileIronは、個人情報の侵害を認識した後、不当な遅れなくお客様に通知するものとします。[33(2)]そのような通知では、少なくとも次を行います。(i)可能であれば、該当するデータ主題のカテゴリーとおおよその数、および関連する個人データ記録のカテゴリーおよびおおよその数など、個人データ侵害の性質を説明する。 (ii)より多くの情報を入手できるデータ保護責任者またはその他の担当者の名前と連絡先の詳細を伝える。(iii)個人データ侵害によって起きる可能性のある結果を説明する。(iv)適切な場合には、起こり得る悪影響を軽減するための措置を含む、個人データ侵害に対処するために管理者が取るべき措置またはすでに取られた措置を記述する。[33(3)]
19. 追加のGDPR関連条項。この第19条では、MobileIronが第18条の条項を履行する上でお客様が期待できること、および本契約の他の箇所でカバーされていないGDPRの第34~36条に関するMobileIronの義務についての詳細を提供します。
a. 副処理者(サブプロセッサー)。お客様は、第18条aおよび第18条kに従って、個人データの処理を行う副処理者の契約をするMobileIronに同意するものとします。MobileIronの現在の副処理者のリストは、リクエストすることによって、 またはMobileIronのウェブサイトで入手できます。新しい処理者による個人データへのアクセスの承認が行われる少なくとも14日前に、MobileIronはそのリストを更新します。MobileIronが処理者(副処理者ではありません)である場合、次 の条件が適用されます。(i)お客様が新しい副処理者を承認しない場合、お客様は、通知期間の終了前に、承認しない理由の説明を含め、書面による通知を提出することにより、関連するオンラインサービスのサブスクリプションを罰金なしで終了することができます。(ii)関連するオンラインサービスがバンドル(または複数のサービスのまとめ購入)の
一部である場合、そのバンドル全体に終了が適用されます。(iii)お客様の唯一の救済手段として、MobileIronは未使用の前払いされたサブスクリプション料金をお客様に払い戻します。
b. データ主体からのリクエスト。MobileIronは、オンラインサービスの機能およびMobileIronの処理者としての役割に一致する方法でGDPR下で1つ以上の権利を行使するデータ主体からのリクエストに応えるための能力と、データ主体の個人データをお客様に提供します。MobileIronは、お客様がオンラインサービスの機能を使用して返答できない場合、そのようなデータ主体からのリクエストに対するお客様の対応を支援するために、お客様による合理的な要請に応じます。 MobileIronは、GDPRの下で1つ以上の権利を行使するためのデータ主体から要求を受けた場合、データ主体からお客様に直接リクエストするよう案内します。
c. セ キュリティに関する審査、監査、および検査。第12条に記載されている監査報告書およびその他の情報および文書は、第18条のiの目的のために、オンラインサービスを保護する技術的および組織的措置をMobileIronが遵守していることの証拠を提供するためのものです。お客様の書面による要請に応じて、MobileIronは、お客様に提供するために、副処理者との契約書に記載されているデータ処理条件の要約を作成します。お客様は、本DPAにもとづき、関連する処理活動を行う副処理者の能力について合理的な追加情報を書面で要求することができます。
d. データ保護への影響の評価。MobileIronは、要請があった場合に、第18条のg下での義務を果たす上で、お客様のデータ保護影響評価の実施義務を履行するために必要な合理的な情報がある場合にこれをお客様に提供します。
20. 支援。お客様は、本DPAに記載されている支援を要請する場合、書面によりその要請を行わなければなりません。 MobileIronは、そのような支援を実行するための合理的な費用を見積もりに記載し、当事者間で合意を交わし、これをお客様に請求することができます。
MOBILEIRON, INC.
欧州に関する追加条項
別紙A:標準契約条項(処理者)
(2018年5月15日版)
The Standard Contractual Clauses set out in this Exhibit A are current as at 15 May 2018, and the Japanese translation is provided as a matter of convenience only. These Standard Contractual Clauses are automatically subject to updates by the European Commission and as subsequently published by the European Commission, Customer should always access the URL xxxxx://xxx- xxx.xxxxxx.xx/xxxxx-xxxxxxx/xx/XXX/?xxxxXXXXX%0X00000X0000 for updated versions of the Standard Contractual Clauses.
Customer’s local language may not be supported at the European Commission, or at URL, and it will be Customer’s responsibility to ensure that it is aware of the current version/s of the Standard Contractual Clauses and manages any necessary translations of any updates of those Standard Contractual Clauses. // この「付属書 4」で規定される「標準契約条項」は、2018 年 5 月 31 日時点において有効であり、日本語の対訳は、便宜のための参考訳としてのみ提供される。この「標準契約条項」 は、欧州委員会により、自動的に更新される可能性があり、それに応じて欧州委員会により公表される。欧州委員会又は以下のURLにおいてでは、顧客の現地の言語についてをサポートしていない場合がある。顧客は、かかる「標準契約条項」の更新版に常時、以下のURL を通してアクセスするものとし(xxxxx://xxx-xxx.xxxxxx.xx/xxxxx- content/EN/TXT/?uri=celex3A32010D0087)、顧客の責任におい て「標準契約条項」の最新版を把握し、かかる「標準契約条項」のすべての更新に対して必要とされる翻訳を行うものとする。]
For the purposes of Article 26(2) of Directive 95/46/EC (or, after 25 May 2018, Article 44 et seq. of Regulation 2016/79) for the transfer of personal data to processors established in third countries which do not ensure an adequate level of data protection // 十分なレベルの「データ」保護を保証していない第三国で登記された処理業者に対する個人データの転送に関する、指令 95/46/EC 第 26(2) 条(又は、2018 年 5 月 25 日以降については、規則 2016/79 の第 44 条以下)について、
Customer // 顧客(また他の「管理者」に代わって
(in the Clauses hereinafter referred to as the ‘data exporter’) // (以下「条項」において「データエクスポーター」という) and // 及び
MobileIron // MobileIron (in the Clauses hereinafter referred to as the ‘data importer’) // (以下、「条項」において「データインポーター」という)は
each a ‘party’; together ‘the parties’, // (それぞれを「当事者」、まとめて「両当事者」という)
HAVE AGREED on the following Contractual Clauses (the Clauses) in order to adduce adequate safeguards with respect to the protection of privacy and fundamental rights and freedoms of individuals for the transfer by the data exporter to the data importer of the personal data specified in Appendix 1. //「付属書 1」に記載された個人データをデータエクスポーターからデータインポーターに転送する場合の、個人のプライバシー及び基本的な権利と自由の保護に関する十分な予防措置を提示するために、以下の「契約条項」(「条項」)に合意した。
For the purposes of the Clauses: // 「条項」において
Clause 1// 第 1 条
Definitions // 定義
(a) ‘personal data’, ‘special categories of data’, ‘process/processing’, ‘controller’, ‘processor’, ‘data subject’ and ‘supervisory
authority’ shall have the same meaning as in Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data; // 「 個人データ」、「特別カテゴリーのデータ」、「処理」、「管理者」、「処理者」、「データ主体」、及び「監督機関」は、個人データ処理に係る個人の保護及び当該データの自由な移動に関する、欧州議会及び理事会の指令 95/46/EC ( 1995 年 10 月 24 日)における意味と同じ意味を有するものとする。
(b) ‘the data exporter’ means the controller who transfers the personal data; // 「データエクスポーター」とは、個人データを転送する管理者をいう。
(c) ‘the data importer’ means the processor who agrees to receive from the data exporter personal data intended for processing on his behalf after the transfer in accordance with his instructions and the terms of the Clauses and who is not subject to a third
country’s system ensuring adequate protection within the meaning of Article 25(1) of Directive 95/46/EC; // 「データインポータ
ー」とは、処理者をいい、データエクスポーターの指示及び「条項」の条件に従って転送された後に、データエクスポーターに代わって処理する対象の個人データをデータエクスポーターから受領することに同意する。またデータインポーターは、指令 95/46/EC 第 25(1) 条の意味する範囲で十分な保護を保証している第三国のシステムには従わないものとする。
(d) ‘the sub-processor’ means any processor engaged by the data importer or by any other sub-processor of the data importer
who agrees to receive from the data importer or from any other sub-processor of the data importer personal data exclusively intended for processing activities to be carried out on behalf of the data exporter after the transfer in accordance with his instructions, the terms of the Clauses and the terms of the written subcontract; // 「処理外注先」とは、データインポーター、又はデータインポーターのその他処理外注先から委託を受けた処理業者をいい、データエクスポーターの指示、「条項」の条件、及び書面による下請契約に従って転送された後に、データエクスポーターに代わって実行される処理作業に目的を限定した個人データを、データインポーター、又はデータインポーターのその他処理外注先から受領することに同意する。
(e) ‘the applicable data protection law’ means the legislation protecting the fundamental rights and freedoms of individuals and, in particular, their right to privacy with respect to the processing of personal data applicable to a data controller in the Member State in which the data exporter is established; // 「適用データ保護法」とは、データエクスポーターが登記された「加盟国
」のデータ管理者に適用される、個人の権利及び自由、とりわけ個人データの処理に関するプライバシーの権利を保護する法律をいう。
(f) ‘technical and organisational security measures’ means those measures aimed at protecting personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorised disclosure or access, in particular where the processing involves the transmission of data over a network, and against all other unlawful forms of processing. // 「技術的及び組織的なセキュリティー対策」とは、個人データを、偶発的若しくは非合法的な破壊又は偶発的な喪失、変更、不正な開示若しくはアクセス(とりわけ、処理がネットワークを介したデータの転送にかかわる場合)、及びその他すべての非合法的な形の処理から保護することを目的とした対策をいう。
Clause 2 // 第 2 条
Details of the transfer // 転送に関する詳細
The details of the transfer and in particular the special categories of personal data where applicable are specified in Appendix 1 which forms an integral part of the Clauses. // 転送の詳細、及びとりわけ該当する場合、特別カテゴリーの個人データについては、「付属書 1」(「条項」の不可欠の部分を成す)に明記されている。
Clause 3 // 第 3 条
Third-party beneficiary clause // 第三受益者に関する条項
1. The data subject can enforce against the data exporter this Clause, Clause 4(b) to (i), Clause 5(a) to (e), and (g) to (j), Clause 6(1) and (2), Clause 7, Clause 8(2), and Clauses 9 to 12 as third-party beneficiary. // データ主体は、第三受益者として、本条及び以 下の条項をデータエクスポーターに強制することができる。第 4 条 (b) から (i)、第 5 条 (a) から (e) 及び (g) から (j)、第 6条 (1) 及び (2)、第 7 条、第 8(2) 条、並びに第 9 条から第 12 条。
2. The data subject can enforce against the data importer this Clause, Clause 5(a) to (e) and (g), Clause 6, Clause 7,Clause 8(2), and Clauses 9 to 12, in cases where the data exporter has factually disappeared or has ceased to exist in law unless any successor entity has assumed the entire legal obligations of the data exporter by contract or by operation of law, as a result of which it takes on the rights and obligations of the data exporter, in which case the data subject can enforce them against such entity. // データエクスポーターが、事実上消滅したか、又は法律上存在しなくなった場合は、データ主体は、第三受益者として、本条及び以下の条項をデータインポーターに強制することができる。第 5 条 (a) から (e) 及び (g)、第 6 条、第 7 条、第 8(2) 条、並びに第 9 条から第 12 条。ただし、承継法人が、契約又は法律の運用によりデータエクスポーターの法律上の義務の全体を引き継ぎ、その結果として、承継法人がデータエクスポーターの権利及び義務を引き受ける場合を除く。その場合は、データ主体は、当該法人に上記条項を強制することができる。
3. The data subject can enforce against the sub-processor this Clause, Clause 5(a) to (e) and (g), Clause 6, Clause 7, Clause 8(2), and Clauses 9 to 12, in cases where both the data exporter and the data importer have factually diMobileIronpeared or ceased to exist in law or have become insolvent, unless any successor entity has assumed the entire legal obligations of the data exporter by contract or by operation of law as a result of which it takes on the rights and obligations of the data exporter, in which case the data subject can enforce them against such entity. Such third-party liability of the subprocessor shall be limited to its own processing operations under the Clauses. // データエクスポーター及びデータインポーターの両方が、事実上消滅したか、法律上存在しなくなったか、支払い不能に陥った場合は、データ主体は、第三受益者として、本条及び以下の条項を処理外注先に強制することができる。第 5 条 (a) から(e) 及び (g)、第 6 条、第 7 条、第 8(2) 条、並びに第 9 条から第 12 条。ただし、承継法人が、契
約又は法律の運用によりデータエクスポーターの法律上の義務の全体を引き継ぎ、その結果として、承継法人がデータエクスポーターの権利及び義務を引き受ける場合を除く。その場合は、データ主体は、当該法人に上記条項を強制することができる。処理外注先のかかる第三者の責任は、「条項」に基づく自らの処理業務に限定される。
4. The parties do not object to a data subject being represented by an association or other body if the data subject so expressly wishes and if permitted by national law. // 両当事者は、データ主体がそれを明示的に希望しており、国内法で許可されている場合は、組合又はその他組織体がデータ主体を代表することに反対しないものとする。
Clause 4 // 第 4 条
Obligations of the data exporter // データエクスポーターの義務
The data exporter agrees and warrants: // データエクスポーターは、以下のことに同意し、保証する。
(a) that the processing, including the transfer itself, of the personal data has been and will continue to be carried out in accordance with the relevant provisions of the applicable data protection law (and, where applicable, has been notified to the relevant authorities of the Member State where the data exporter is established) and does not violate the relevant provisions of that State;
// 個人データの処理(その転送を含む)は、これまでも今後も引き続き、適用されるデータ保護法の関連条項に従って実行され(及び、該当する場合は、データエクスポーターが登記された「加盟国」の関連当局に通知が行われた)、当該国の関連条項に違反していないこと。
(b) that it has instructed and throughout the duration of the personal data-processing services will instruct the data importer to
process the personal data transferred only on the data exporter’s behalf and in accordance with the applicable data protection law and the Clauses; // データエクスポーターの代理としてのみ、適用されるデータ保護法及び「条項」に従って転送された個人データを処理することについて、データインポーターに対してすでに指示したこと、及び個人データ処理サービスの期間を通して指示すること。
(c) that the data importer will provide sufficient guarantees in respect of the technical and organisational security measures specified in Appendix 2 to this contract; // データインポーターが、この契約の「付属書 2」に記載する技術的及び組織的なセキュリティ対策に関して十分に保証すること。
(d) that after assessment of the requirements of the applicable data protection law, the security measures are appropriate to protect personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorised disclosure or access, in particular where the processing involves the transmission of data over a network, and against all other unlawful forms of processing, and that these measures ensure a level of security appropriate to the risks presented by the processing and the nature of the data to be protected having regard to the state of the art and the cost of their implementation; // 適用されるデータ保護法の要件を評価した後、セキュリティー対策が、偶発的若しくは非合法的な破壊又は偶発的な喪失、変更、不正な開示若しくはアクセス
(とりわけ、処理がネットワークを介したデータの転送にかかわる場合)、及びその他すべての非合法的な形の処理から個人データを保護するために適切であること、並びにこれらの対策が、その水準と導入費用を考慮に入れ、処理によってさらされるリスク及び保護対象のデータの性質に対して適切なセキュリティーレベルを満たしていること。
(e) that it will ensure compliance with the security measures; // セキュリティー対策が遵守されるよう万全を期すこと。
(f) that, if the transfer involves special categories of data, the data subject has been informed or will be informed before, or as soon as possible after, the transfer that its data could be transmitted to a third country not providing adequate protection within the meaning of Directive 95/46/EC; // 転送が特別なカテゴリーのデータに関わる場合は、データ主体に対して、指令 95/46/EC の意味する範囲で十分な保護が講じられていない第三国にそのデータが転送される可能性があることを、すでに通知したか、転送の前に又は転送後可能な限り速やかに通知するものとする。
(g) to forward any notification received from the data importer or any sub-processor pursuant to Clause 5(b) and Clause 8(3) to the data protection supervisory authority if the data exporter decides to continue the transfer or to lift the suspension; // データエクスポーターが転送の継続、又は停止の解除を決定した場合、第 5(b) 条及び第 8(3) 条に従って、データインポーター又は処理外注先から受領した通知を、データ保護の監督機関に転送する。
(h) to make available to the data subjects upon request a copy of the Clauses, with the exception of Appendix 2, and a summary description of the security measures, as well as a copy of any contract for sub-processing services which has to be made in accordance with the Clauses, unless the Clauses or the contract contain commercial information, in which case it may remove such commercial information; // 要請に応じて、データ主体に対して、「付属書 2」を除く「条項」、及びセキュリティー対策の概要書のコピー、並びに「条項」に従って締結するべき処理外注サービスに関する契約書のコピーを提供する。ただし
、「条項」又は契約書に商用情報が含まれている場合を除く。その場合、データエクスポーターは、かかる商用情報を削除することができる。
(i) that, in the event of sub-processing, the processing activity is carried out in accordance with Clause 11 by a subprocessor providing at least the same level of protection for the personal data and the rights of data subject as the data importer under the
Clauses; and // 処理を外注する場合、処理業務は、「条項」に基づき個人データ及びデータ主体の権利に対してデータインポーターと少なくとも同じレベルの保護を提供する処理外注先により、第 11 条に従って実行されること。
(j) that it will ensure compliance with Clause 4(a) to (i). // 第 4 条 (a) から (i).を確実に遵守すること。
Clause 5 // 第 5 条
Obligations of the data importer // データインポーターの義務
The data importer agrees and warrants: // データインポーターは、以下のことに同意し、保証する。
(a) to process the personal data only on behalf of the data exporter and in compliance with its instructions and the Clauses; if it cannot provide such compliance for whatever reasons, it agrees to inform promptly the data exporter of its inability to comply, in which case the data exporter is entitled to suspend the transfer of data and/or terminate the contract; // データエクスポーターの代理としてのみ、その指示及び「条項」を遵守して個人データを処理すること。理由に関わらずかかる遵守が不可能な場合は、データインポーターは、遵守できない旨を速やかにデータエクスポーターに通知することに同意する。その場合、データエクスポーターは、データの転送を中止するか、及び/又は契約を解除することができる。
(b) that it has no reason to believe that the legislation applicable to it prevents it from fulfilling the instructions received from the data exporter and its obligations under the contract and that in the event of a change in this legislation which is likely to have a substantial adverse effect on the warranties and obligations provided by the Clauses, it will promptly notify the change to the data exporter as soon as it is aware, in which case the data exporter is entitled to suspend the transfer of data and/or terminate the contract; // データインポーターに適用される法律により、データエクスポーターから受領する指示、及び契約に基づくその義務の履行が妨げられると信じる理由はないこと。またかかる法律に変更があり、「条項」に定める保証及び義務に相当な悪影響が及ぶことが考えられる場合は、知るところとなり次第速やかに当該変更をデータエクスポーターに通知するものとする。その場合、データエクスポーターは、「データ」の転送を中止するか、及び/又は契約を解除することができる。
(c) that it has implemented the technical and organisational security measures specified in Appendix 2 before processing the personal data transferred; // 転送された個人データを処理する前に、「付属書 2」に記載された技術的及び組織的なセキュリティ対策を導入したこと。
(d) that it will promptly notify the data exporter about: // 以下について、速やかにデータエクスポーターに通知すること。
(i) any legally binding request for disclosure of the personal data by a law enforcement authority unless otherwise prohibited, such as a prohibition under criminal law to preserve the confidentiality of a law enforcement investigation; // 法執行機関による、法的に拘束力のある個人データ開示請求。ただし、法執行機関の取調べの秘密を保護する刑法に基づく禁止など、禁止された場合を除く。
(ii) any accidental or unauthorised access; and // 偶発的又は不正なアクセス
(iii) any request received directly from the data subjects without responding to that request, unless it has been otherwise authorised to do so; // データ主体から直接、要求を受領しても、別途応答する権限を付与されている場合を除いて、その要求に応答しないこと。
(e) to deal promptly and properly with all inquiries from the data exporter relating to its processing of the personal data subject to the transfer and to abide by the advice of the supervisory authority with regard to the processing of the data transferred; // 転送の対象である個人データの処理に関するデータエクスポーターのすべての問い合わせについて、速やかにかつ適切に対応し
、また転送されたデータの処理に関して監督機関の助言を守ること。
(f) at the request of the data exporter to submit its data-processing facilities for audit of the processing activities covered by the Clauses which shall be carried out by the data exporter or an inspection body composed of independent members and in possession of the required professional qualifications bound by a duty of confidentiality, selected by the data exporter, where applicable, in agreement with the supervisory authority; // データエクスポーターの要請があれば、そのデータ処理施設を、「条項」の対象である処理業務の監査に委ねるものとする。この監査は、データエクスポーター、又は監督機関に従い該当する場合は
、独立的な成員で構成され、必要な専門資格 を有し守秘義務を負う、データエクスポーターが選択する調査機関によって実施される。
(g) to make available to the data subject upon request a copy of the Clauses, or any existing contract for sub-processing, unless the Clauses or contract contain commercial information, in which case it may remove such commercial information, with the exception of Appendix 2 which shall be replaced by a summary description of the security measures in those cases where the data subject is
unable to obtain a copy from the data exporter; // 要請に応じて、データ主体に対して、「条項」、又は処理外注に関する既存の契約書のコピーを提供する。ただし、「条項」又は契約書に商用情報が含まれている場合を除く。その場合、データインポーターは、かかる商用情報を削除することができる。また、「付属書 2」を除く。「付属書 2」は、データ主体がセキュリティー対策概要書のコピーをデータエクスポーターから入手できない場合、同概要書で置き換えるものとする
。
(h) that, in the event of sub-processing, it has previously informed the data exporter and obtained its prior written consent; // 処理を外注する場合は、あらかじめデータエクスポーターに通知し、その書面による同意を事前に取得する。
(i) that the processing services by the sub-processor will be carried out in accordance with Clause 11; // 処理外注先による処理サービスは、第 11 条に従って実施される。
(j) to send promptly a copy of any sub-processor agreement it concludes under the Clauses to the data exporter. // 「条項」に基づき締結した処理外注先の契約書のコピーを、速やかにデータエクスポーターに送付する。
Clause 6 // 第 6 条\
Liability // 責任
1. The parties agree that any data subject, who has suffered damage as a result of any breach of the obligations referred to in Clause 3 or in Clause 11 by any party or sub-processor is entitled to receive compensation from the data exporter for the damage suffered.
// 両当事者は、いずれかの当事者又は処理外注先による第 3 条又は第 11 条で言及する義務の違反に起因する損害を被ったデータ主体は、被った損害についてデータエクスポータから補償を受ける権利を有することに合意する。
2. If a data subject is not able to bring a claim for compensation in accordance with paragraph 1 against the data exporter, arising out of a breach by the data importer or his sub- processor of any of their obligations referred to in Clause 3 or in Clause 11, because the data exporter has factually disappeared or ceased to exist in law or has become insolvent, the data importer agrees that the data subject may issue a claim against the data importer as if it were the data exporter, unless any successor entity has assumed the entire legal obligations of the data exporter by contract of by operation of law, in which case the data subject can enforce its rights against such entity. // データインポーター又はその処理外注先による第 3 条又は第 11 条で言及するそれらの義務の違反に起因する場合に、データエクスポーターが事実上消滅したか、法律上存在しなくなったか、又は支払い不能に陥ったために、データ主体が第 1 項に従ってデータエクスポーターに対して補償を請求することができない場合は、データインポーターがデータエクスポーターであるかのように、データ主体がデータインポーターに請求を行うことができることに、データインポーターは同意するものとする。ただし、承継法人が、契約又は法律の運用によりデータエクスポーターの法律上の義務の全体を引き継いだ場合を除く。その場合、データ主体は、当該法人に自身の権利を強制することができる。
The data importer may not rely on a breach by a sub-processor of its obligations in order to avoid its own liabilities. // データインポーターが、自身の責任を逃れるために、処理外注先がその義務に違反したことを理由とすることは認められない。
3. If a data subject is not able to bring a claim against the data exporter or the data importer referred to in paragraphs 1 and 2, arising out of a breach by the sub-processor of any of their obligations referred to in Clause 3 or in Clause 11 because both the data exporter and the data importer have factually disappeared or ceased to exist in law or have become insolvent, the sub-processor agrees that the data subject may issue a claim against the data sub-processor with regard to its own processing operations under the Clauses as if it were the data exporter or the data importer, unless any successor entity has assumed the entire legal obligations of the data exporter or data importer by contract or by operation of law, in which case the data subject can enforce its rights against such entity. The liability of the sub-processor shall be limited to its own processing operations under the Clauses. // 処理外注先に よる第 3 条又は第 11 条で言及するその義務の違反に起因する場合に、データエクスポーターとデータインポーターの両方が事実上消滅したか、法律上存在しなくなったか、又は支払い不能に陥ったために、データ主体が第 1 項及び第 2 項で言及されるようにデータエクスポーター又はデータインポーターに対して請求を提起することができない場合は、処理外注先がデータエクスポーター又はデータインポーターであるかのように、「条項」に基づく処理外注先の処理業務に関してデータ主体が処理外注先に請求を行うことができることに、処理 外注先は同意するものとする。ただし、承継法人が
、契約又は法律の運用によりデータエクスポーター又 はデータインポーターの法律上の義務の全体を引き継いだ場合を除く。その場合は、データ主体は、当該 法人に自身の権利を強制することができる。処理外注先の責任は、「条項」に基づく自身の処理業務に限 定される。
Clause 7 // 第 7 条
Mediation and jurisdiction // 調停及び管轄権
1. The data importer agrees that if the data subject invokes against it third-party beneficiary rights and/or claims compensation for damages under the Clauses, the data importer will accept the decision of the data subject: // データインポーターは、データ主体が自身に対して第三受益者の権利を援用するか、及び/又は「条項」に基づいて補償を請求する場合は、データ主体の以下の決定を受け入れることに同意するものとする。
(a) to refer the dispute to mediation, by an independent person or, where applicable, by the supervisory authority; // 独立的な個人
、又は該当する場合は監督機関による調停に、紛争を委ねる。
(b) to refer the dispute to the courts in the Member State in which the data exporter is established. // データエクスポーターが登記された「加盟国」の裁判所に、紛争を委ねる。
2. The parties agree that the choice made by the data subject will not prejudice its substantive or procedural rights to seek remedies in accordance with other provisions of national or international law. // 両当事者は、データ主体が行った選択は、国内法又は国際法のその他の条項に従って救済を求めるデータ主体の実体的又は手続上の権利を損なうものではないことに合意する。
Clause 8 // 第 8 条
Cooperation with supervisory authorities // 監督機関との協力
1. The data exporter agrees to deposit a copy of this contract with the supervisory authority if it so requests or if such deposit is required under the applicable data protection law. // データクスポーターは、その要請があったか、又は適用されるデータ保護法に基づいて提出が必要な場合は、この契約書のコピーを監督機関に提出することに同意する。
2. The parties agree that the supervisory authority has the right to conduct an audit of the data importer, and of any sub-processor, which has the same scope and is subject to the same conditions as would apply to an audit of the data exporter under the applicable data protection law. // 両当事者は、監督機関がデータインポーター及び処理外注先の監査を実施する権利を有することに合意する。この監査は、適用されるデータ保護法に基づくデータエクスポーターの監査と同じ範囲で行われ、それに適用される条件と同じ条件に従うものとする。
3. The data importer shall promptly inform the data exporter about the existence of legislation applicable to it or any sub-processor preventing the conduct of an audit of the data importer, or any sub-processor, pursuant to paragraph 2. In such a case the data exporter shall be entitled to take the measures foreseen in Clause 5(b). // データインポーターは、自身又は処理外注先に適用 される法律で、第 2 項に基づくデータインポーター又は処理外注先に対する監査の実施を妨げるものがあれば、速やかにデータエクスポーターに通知するものとする。かかる場合は、データエクスポーターは、前記第 5(b) 条の措置を取ることができる。
Clause 9 // 第 9 条
Governing law // 準拠法
The Clauses shall be governed by the law of the Member State in which the data exporter is established. // 「条項」には、データエクスポーターが登記された「加盟国」の法律が適用される。
Clause 10 // 第 10 条
Variation of the contract // 契約の変更
The parties undertake not to vary or modify the Clauses. This does not preclude the parties from adding clauses on business related issues where required as long as they do not contradict the Clause. // 両当事者は、「条項」を変更又は修正しないことを約束する。このことは、必要な場合に「条項」と相反しないことを条件として、両当事者が事業関連の問題に条項を追加することを妨げない。
Clause 11 // 第 11 条
Sub-processing // 処理の外注
1. The data importer shall not subcontract any of its processing operations performed on behalf of the data exporter under the Clauses without the prior written consent of the data exporter. Where the data importer subcontracts its obligations under the Clauses, with the consent of the data exporter, it shall do so only by way of a written agreement with the sub- processor which imposes the same obligations on the sub-processor as are imposed on the data importer under the Clauses. Where the sub- processor fails to fulfill its data protection obligations under such written agreement the data importer shall remain fully liable to the data exporter for the performance of the sub-processor’s obligations under such agreement. // データインポーターは、データエクスポーターの書面による同意を事前に得ることなく、「条項」に基づきデータエクスポーターに代わって自身が実施するいかなる処理業務も外注してはならない。データエクスポーターの同意により、データインポーターが「条項」に基づく自身の義務を外注する場合は、データインポーターは、必ずその前提として、「条項」に基づきデータインポーターに課される義務と同じ義務を処理外注先に課す書面による契約を処理外注先と結ぶものとする。処理外注先がかかる書面による契約に基づくデータ保護義務を履行できなかった場合、データインポーターは、かかる契約に基づく処理外注先の義務の履行について、引き続き完全な責任をデータエクスポーターに対して負うものとする。
2. The prior written contract between the data importer and the sub-processor shall also provide for a third-party beneficiary clause as laid down in Clause 3 for cases where the data subject is not able to bring the claim for compensation referred to in paragraph 1 of Clause 6 against the data exporter or the data importer because they have factually disappeared or have ceased to exist in law or have become insolvent and no successor entity has assumed the entire legal obligations of the data exporter or data importer by contract or by operation of law. Such third-party liability of the sub-processor shall be limited to its own processing operations under the Clauses. // データインポーターと処理外注先の間で結ばれる事前の契約書においても、以下の場合に関して第 3 条に定める第三受益者の条項を定めるものとする。データエクスポーターとデータインポーターの両方が事実上消滅したか、法律上存在しなくなったか、又は支払い不能に陥ったために、データ主体が、第 6 条第 1 項で言及されるようにデータエクスポーター又はデータインポーターに対して補償を請求することができず、契約又は法律の運用によりデータエクスポーター又はデータインポーターの法律上の義務の全体を引き継ぐ承継法人がない場合。処理外注先のかかる第三者の責任は、「条項」に基づく自らの処理業務に限定される。
3. The provisions relating to data protection aspects for sub-processing of the contract referred to in paragraph 1 shall be governed by the law of the Member State in which the data exporter is established. // 第 1 項で言及される契約に含まれた処理外注におけるデータ保護の側面に関する条項には、データエクスポーターが登記された「加盟国」の法律が適用される。
4. The data exporter shall keep a list of sub-processing agreements concluded under the Clauses and notified by the data importer pursuant to Clause 5(j), which shall be updated at least once a year. The list shall be available to the data exporter’s data protection supervisory authority. // データエクスポーターは、「条項」に基づいて締結され、第 5(j) 条に従ってデータインポーターから通知を受けた処理外注契約書のリストを保持し、少なくとも 1 年に 1 回更新するものとする。かかるリストは、データエクスポーターのデータ保護監督機関に提供できるものとする。
Clause 12 // 第 12 条
Obligation after the termination of personal data-processing services // 個人データ処理サービスの終了後の義務
1. The parties agree that on the termination of the provision of data-processing services, the data importer and the sub-processor shall, at the choice of the data exporter, return all the personal data transferred and the copies thereof to the data exporter or shall destroy all the personal data and certify to the data exporter that it has done so, unless legislation imposed upon the data importer prevents it from returning or destroying all or part of the personal data transferred. In that case, the data importer warrants that it will guarantee the confidentiality of the personal data transferred and will not actively process the personal data transferred anymore. // データ処理サービスの提供が終了すれば、データインポーター及び処理外注先は、データエクスポーターの選択により、転送されたすべての個人データ及びそのコピーをデータエクスポーターに返却するか、又はすべての個人データを破棄し、その旨をデータエクスポーターに対して確認することに、両当事者は合意する。ただし、データインポーターに課される法律により、転送された個人データのすべて又は一部を返却又は破棄することが禁じられる場合は、この限りでない。その場合は、データインポーターは、転送された個人データの機密を約束すること、及び以降は転送された個人データを自発的に処理しないことを保証する。
2. The data importer and the sub-processor warrant that upon request of the data exporter and/or of the supervisory authority, it will submit its data-processing facilities for an audit of the measures referred to in paragraph 1. // データインポーター及び処理外
注先は、データエクスポーター及び/又は監督機関の要請があれば、第 1 項で言及する措置について、データ処理施設を監査に委ねることを保証する。
APPENDIX 1 TO THE STANDARD CONTRACTUAL CLAUSES // 標準契約条項の付属書類1
This Appendix 1 forms part of the Clauses and must be completed by the parties // 本付属書類1は本契約条項の一部を構成する
。両当事者は本付属書類の全項目に記入の上署名しなければならない。
Data Exporter: Customer is the data exporter. // データエクスポーター:お客様がデータ輸出者となる。 Data importer: MobileIron, Inc. is the data importer. // データ輸入者:MobileIron, Inc.がデータ輸入者となる。 Data subjects: See Section 16 of the DPA. // データ主体:本DPAの第16条を参照。
Categories of data: See Section 16 of the DPA. // データのカテゴリー:本DPAの第16条を参照。
Processing operations: See Section 16 of the DPA. // 処理業務:本DPAの第16条を参照。
APPENDIX 2 TO THE STANDARD CONTRACTUAL CLAUSES //標準契約条項の付属書類2
This Appendix 1 forms part of the Clauses and must be completed by the parties // 本付属書類2 は本契約条項の一部を構成する
。両当事者は本付属書類の全項目に記入の上署名しなければならない。