データ処理契約
LAST UPDATE: April 29, 2026
このデータ処理契約(「DPA」)は、お客様(「顧客」)が選択されたサービスへのアクセスのために料金を支払った際に承諾したFactoryの利用規約(「契約」)を補完するものです。本DPAは契約の条件を組み込んでおり、本DPAで定義されていない用語は契約に記載された意味を持つものとします。
1. 定義
1.1 「関連会社」(Affiliate)とは、(i) 当事者が直接的または間接的に株式またはその他の持分の50パーセント(50%)以上を所有する事業体、(ii) 当事者の株式またはその他の持分の50パーセント(50%)以上を所有する事業体、または (iii) 当該事業体および当事者の株式またはその他の持分の50パーセント(50%)以上が同一人物により所有されることにより、当事者と共通の支配下にある事業体を意味します。ただし、当該事業体は、かかる所有関係が存在する間に限り関連会社とみなされるものとします。
1.2 「承認済み復処理者」(Authorized Sub-Processor)とは、Factoryが本DPAまたは契約に基づく義務を履行するために、顧客の個人データを知る必要があるか、またはそれにアクセスする必要がある第三者であって、(1) 別紙Bに記載されているか、または (2) 本DPA第4.2条に基づき事後的に承認された者を意味します。
1.3 「連絡先データ」(Contact Data)とは、Factoryが管理者として処理する個人データを意味し、アカウント情報、支払い情報、およびイベント参加者情報などが含まれます。
- 1.4 「データ輸出者」(Data Exporter)とは、顧客を意味します。
- 1.5 「データ輸入者」(Data Importer)とは、Factoryを意味します。
1.6 「データ保護法」(Data Protection Laws)とは、個人データの使用または処理に関連するあらゆる管轄区域における適用法令を意味し、以下を含みます:(i) 2020年カリフォルニア州プライバシー権法により改正された2018年カリフォルニア州消費者プライバシー法(「CCPA」)、(ii) 一般データ保護規則(規則(EU)2016/679)(「EU GDPR」)および2018年欧州連合(離脱)法第3条により英国およびウェールズの法律の一部を構成するEU GDPR(「UK GDPR」)(総称して「GDPR」)、(iii) スイス連邦データ保護法、(iv) 2018年英国データ保護法、(v) プライバシーおよび電子通信(EC指令)規則2003、および (vi) バージニア州消費者データ保護法(「VCDPA」)。いずれの場合も、随時更新、修正、または置換されるものとします。「データ主体」、「個人データ」、「個人データ侵害」、「処理」、「処理者」、「管理者」、および「監督当局」の各用語は、GDPRに定める意味を有するものとします。
1.7 「EU標準契約条項」(EU SCCs)とは、個人データの保護について十分なレベルを提供していると欧州委員会がその他認めていない国への個人データの移転について、2021年6月4日付の欧州委員会決定2021/914において欧州委員会が承認した標準契約条項(随時修正・更新されるもの)であって、本DPA第6.2条により修正されたものを意味します。
1.8 「EEA域外移転」(ex-EEA Transfer)とは、GDPRに従って処理される個人データを、データ輸出者からデータ輸入者(またはその施設)へ欧州経済領域(「EEA」)外に移転することを意味し、かかる移転がGDPRの関連規定に従った欧州委員会による十分性認定に基づかないものを指します。
1.9 「英国域外移転」(ex-UK Transfer)とは、UK GDPRの第V章の対象となる個人データであって、UK GDPRおよび2018年データ保護法に従って処理されるものを、データ輸出者からデータ輸入者(またはその施設)へ英国(「UK」)外に移転することを意味し、かかる移転がUK GDPRおよび2018年データ保護法の関連規定に従った国務大臣による十分性認定に基づかないものを指します。
1.10 「個人データ」(Personal Data)とは、データ保護法において定義され、データ保護法によって規律される「個人データ」、「個人情報」、「個人を特定できる情報」またはこれらに類する情報を意味します。
1.11 「サービス生成データ」(Service-Generated Data)とは、サポートサービスの利用を通じて生成されるデータを含む、サービスの利用を通じて生成される使用データおよびメタデータを意味します。本DPAは、サービス生成データが個人データを構成する限りにおいて、サービス生成データに適用されます。
- 1.12 「サービス」(Services)は、契約に定める意味を有するものとします。
1.13 「標準契約条項」(Standard Contractual Clauses)とは、EU標準契約条項および英国標準契約条項を意味します。
- 1.14 「英国標準契約条項」(UK SCCs)とは、英国追補により修正されたEU標準契約条項を意味します。
2. 当事者の関係;データの処理
2.1 両当事者は、個人データの処理に関して、顧客が管理者または処理者として行動する場合があること、および本DPAまたは契約に明示的に定められている場合を除き、Factoryは処理者であることを認め、合意します。顧客は、サービスの利用において、常にデータ保護法に準拠して個人データを処理し、個人データの処理に関する指示を提供するものとします。顧客は、顧客の指示に従った個人データの処理により、Factoryがデータ保護法に違反することがないようにするものとします。顧客は、(i) 顧客によりまたは顧客に代わってFactoryに提供される個人データの正確性、品質および合法性、(ii) 顧客がかかる個人データを取得した手段、および (iii) 顧客がかかる個人データの処理に関してFactoryに提供する指示について、単独で責任を負うものとします。顧客は、契約に違反する個人データまたはサービスの性質に不適切な個人データをFactoryに提供または利用可能にしてはならず、これに関連するすべての請求および損失についてFactoryを補償するものとします。
2.2 Factoryは、(i) 契約および/または別紙Aに定める目的以外の目的で、(ii) 本DPAまたは顧客が提供するその他の文書化された指示(個人データの第三国または国際機関への移転に関するものを含む)に定める条件と矛盾する方法で(ただし、Factoryが服する監督当局により求められる場合を除きます。その場合、Factoryは処理前に顧客に当該法的要件を通知するものとしますが、当該法律が重要な公益を理由にかかる情報提供を禁止している場合を除きます)、または (iii) データ保護法に違反して個人データを処理してはならないものとします。顧客は、本条に従い、また顧客がサービスの利用において開始する処理の一環として、Factoryに個人データを処理するよう指示します。
2.3 本処理の対象、性質、目的および期間、ならびに収集される個人データの種類およびデータ主体のカテゴリーは、本DPAの別紙Aに記載されています。
2.4 サービスの完了後、顧客の選択により、Factoryは顧客の個人データを返還または削除するものとします。ただし、かかる個人データのさらなる保管が適用法により要求または許可されている場合を除きます。返還または破棄が不可能であるか、法律、規則もしくは規制により禁止されている場合、Factoryは、かかる個人データのさらなる処理をブロックするための措置を講じ(法律、規則もしくは規制により必要な継続的なホスティングまたは処理に必要な範囲を除く)、Factoryの占有、保管または管理下にある残りの個人データを引き続き適切に保護するものとします。顧客およびFactoryが第6条(個人データの移転)に記載される標準契約条項を締結している場合、両当事者は、EU標準契約条項の第8.1条(d)および第8.5条(該当する場合)に記載される個人データの削除証明は、顧客の要請に基づいてのみFactoryから顧客に提供されることに合意します。
2.5 両当事者は、CCPAまたはVCDPAの対象となる個人情報または個人データの処理は、別紙Eに定める条件に従って実施されることを認め、合意します。
3. 機密保持
Factoryは、個人データの処理を許可する者が、契約におけるFactoryの機密保持義務に従って個人データを保護することに同意していることを確認するものとします。顧客は、Factoryが本DPA、契約に基づく義務の履行、または顧客へのサービスの提供に関連して合理的に必要とされる範囲で、そのアドバイザー、監査人またはその他の第三者に個人データを開示できることに同意します。
4. 承認済み復処理者
4.1 顧客は、Factoryが (1) サービスに関連して個人データにアクセスし処理するために、その関連会社および本DPAの別紙Bに記載された承認済み復処理者を使用すること、ならびに (2) 個人データの処理を含むがこれに限定されないサービスの提供を目的として、随時追加の第三者を使用することを認め、これに同意します。本DPAにより、顧客は、サービスの実行に必要な復処理者の使用について、Factoryに一般的な書面による承認を付与します。
4.2 Factoryの現在の承認済み復処理者(「リスト」)は、https://trust.factory.ai/subprocessors に掲載されています。かかるリストは、Factoryにより随時更新される場合があります。Factoryは、新しい承認済み復処理者の通知を受け取るためのメカニズムを提供する場合があり、顧客は、利用可能な場合にはかかる通知に登録することに同意します。既存の承認済み復処理者以外の第三者が個人データのアクセスまたは処理に参加することを可能にする少なくとも10日前に、Factoryは当該第三者をリストに追加し、電子メールで顧客に通知します。顧客は、顧客による前述の通知の受領から10日以内に、書面でかつデータ保護に関連する合理的な根拠に基づいてFactoryに通知することにより、かかる関与に異議を申し立てることができます。顧客は、特定の復処理者がサービスの提供に不可欠であること、および復処理者の使用に異議を唱えることにより、FactoryがCustomerにサービスを提供することが妨げられる可能性があることを認識します。
4.3 顧客が第4.2条に従って合理的に関与に異議を申し立て、Factoryが合理的な期間内に商業的に合理的な代替手段を提供できない場合、顧客は、Factoryに書面で通知することにより、影響を受けるサービスの使用を中止することができます。中止は、契約に基づいて顧客がFactoryに支払うべき料金の免除にはなりません。
4.4 顧客がFactoryからの通知から10日以内に第4.2条に従って第三者の関与に異議を申し立てない場合、当該第三者は本DPAの目的上、承認済み復処理者とみなされます。
4.5 Factoryは、承認済み復処理者との間で、個人データの保護に関して本DPAに基づきFactoryに課されるものと同等のデータ保護義務を承認済み復処理者に課す書面による契約を締結するものとします。承認済み復処理者がFactoryとの当該書面による契約に基づくデータ保護義務を履行しなかった場合、Factoryは、当該契約に基づく承認済み復処理者の義務の履行について顧客に対して責任を負い続けるものとします。
4.6 顧客およびFactoryが第6条(個人データの移転)に記載される標準契約条項を締結している場合、(i) 上記の承認は、標準契約条項に基づきかかる同意が必要とされる場合のFactoryによる個人データ処理の再委託に対する顧客の事前の書面による同意を構成し、(ii) 両当事者は、EU標準契約条項の第9条(c)に基づきFactoryが顧客に提供しなければならない承認済み復処理者との契約の写しからは、Factoryにより事前に商業情報または標準契約条項もしくはそれに相当するものと無関係な情報が削除される場合があること、およびかかる写しは顧客の要請に基づいてのみFactoryにより提供されることに合意します。
5. 個人データのセキュリティ
技術水準、実施費用、ならびに処理の性質、範囲、状況および目的、ならびに自然人の権利および自由に対するさまざまな可能性および深刻度のリスクを考慮し、Factoryは、個人データの処理のリスクに適切なセキュリティレベルを確保するために、適切な技術的および組織的措置を維持するものとします。別紙Cは、Factoryの技術的および組織的セキュリティ措置に関する追加情報を定めています。
6. 個人データの移転
- 6.1 両当事者は、Factoryがサービスを提供するために必要な場合、本DPAに基づき処理される個人データをEEA、英国、またはスイス域外に移転できることに合意します。顧客は、Factoryの主要な処理業務が米国で行われていること、および顧客への個人データの米国への移転がサービスの提供に必要であることを認識します。Factoryが本DPAに基づき保護される個人データを、欧州委員会が十分性認定を発行していない法域に移転する場合、Factoryは、データ保護法に従って個人データの移転のための適切な保護措置が実施されていることを確保します。
6.2 EEA域外移転。両当事者は、EEA域外移転がEU標準契約条項に従って行われることに合意し、EU標準契約条項は締結されたものとみなされ(本参照により本DPAに組み込まれ)、以下のとおり完成されます:
6.2.1 顧客が管理者であり、Factoryが本DPA第2条に基づき顧客のために処理者として個人データを処理する場合、EU標準契約条項のモジュール2(管理者から処理者への移転)が適用されます。
6.2.2 顧客が処理者であり、Factoryが復処理者として顧客に代わって個人データを処理する場合、EU標準契約条項のモジュール3(処理者から復処理者への移転)が適用されます。
- 6.3 各モジュールについて、該当する場合、以下が適用されます:
- 6.3.1 第7条の任意のドッキング条項は適用されません。
6.3.2 第9条において、オプション2(一般的な書面による承認)が適用され、復処理者の変更に関する事前通知の最短期間は、本DPA第4.2条に定めるとおりとします。
- 6.3.3 第11条において、任意の文言は適用されません。
- 6.3.4 第13条のすべての角括弧はここに削除されます。
6.3.5 第17条(オプション1)において、EU標準契約条項はアイルランド法に準拠します。
6.3.6 第18条(b)において、紛争はアイルランドの裁判所において解決されます。
6.3.7 本DPAの別紙Bは、EU標準契約条項の附属書IおよびIIIに必要な情報を含みます。
6.3.8 本DPAの別紙Cは、EU標準契約条項の附属書IIに必要な情報を含みます。
6.3.9 本DPAを締結することにより、両当事者は、本DPAに組み込まれたEU標準契約条項(その附属書を含む)に署名したものとみなされます。
6.4 英国域外移転。両当事者は、英国域外移転が英国標準契約条項に従って行われることに合意し、英国標準契約条項は締結されたものとみなされ、参照により本DPAに組み込まれ、本DPAの別紙Dとして組み込まれた英国追補に従って修正および完成されます。
6.5 スイスからの移転。両当事者は、スイスからの移転が以下の修正を加えたEU標準契約条項に従って行われることに合意します:
6.5.1 EU標準契約条項で使用される「一般データ保護規則」または「規則(EU)2016/679」の用語は、FADPの対象となるデータ移転に関しては、1992年6月19日の連邦データ保護法(「FADP」、および2020年9月25日に改正されたものとして「改正FADP」)を含むものと解釈されます。
6.5.2 EU標準契約条項の条件は、改正FADPの発効日まで法人のデータを保護するものと解釈されます。
6.5.3 EU標準契約条項の第13条は、スイスの連邦データ保護情報コミッショナー(「FDPIC」)がFADPに基づくデータ移転に関して権限を有し、適切なEU監督当局がGDPRに基づくデータ移転に関して権限を有するように修正されます。上記を条件として、第13条のその他すべての要件が遵守されます。
6.5.4 EU標準契約条項で使用される「EU加盟国」の用語は、スイスのデータ主体がEU標準契約条項の第18条(c)に従って常居所地で権利を行使することを排除するように解釈されてはなりません。
6.6 補完的措置。EEA域外移転または英国域外移転に関して、以下の補完的措置が適用されます:
6.6.1 本DPAの日付現在、データ輸入者は、個人データが輸出される国の政府の情報機関またはセキュリティサービス/機関から、顧客の個人データへのアクセス(またはその写しの提供)に関する正式な法的要請(「政府機関要請」)を受けていません。
6.6.2 本DPAの日付以降にデータ輸入者が政府機関要請を受けた場合、Factoryは、法執行機関または政府機関に対して顧客に直接データを要請するよう誘導するよう努めるものとします。この取り組みの一環として、Factoryは顧客の基本的な連絡先情報を政府機関に提供する場合があります。法執行機関または政府機関に顧客の個人データを開示せざるを得ない場合、Factoryは、Factoryが法的に禁止されていない限り、顧客に当該要求の合理的な通知を行い、顧客が保護命令またはその他の適切な救済を求めることができるよう協力するものとします。Factoryは、法執行機関または政府機関に自発的に個人データを開示しないものとします。データ輸出者およびデータ輸入者は、かかる政府機関要請に鑑み、本DPAに基づく個人データの移転の全部または一部を停止すべきかどうかについて(合理的に実行可能な限り速やかに)協議し決定するものとします。
6.6.3 データ輸出者およびデータ輸入者は、以下について検討するために定期的に会合を持つものとします:(i) 個人データが移転されるデータ主体に対してデータ輸入者の所在国の法律により提供される保護が、EEAまたは英国(該当する場合)で提供される保護と概ね同等の保護を提供するのに十分であるかどうか、(ii) データ保護法に準拠した移転を可能にするために追加の措置が合理的に必要かどうか、および (iii) 両当事者が利用可能なすべての関連情報ならびに監督当局が提供するガイダンスを考慮して、関連するデータ輸入者に個人データを移転することが依然として適切であるかどうか。
6.6.4 データ保護法がデータ輸出者に対し、特定の個人データのデータ輸入者への移転に適用される標準契約条項を別個の契約として締結することを要求する場合、データ輸入者は、データ輸出者の要請に基づき、適用される附属書および付属文書、移転の詳細、ならびに関連するデータ保護法の要件を反映するためにデータ輸出者が合理的に要求する修正を組み込んだ当該標準契約条項を速やかに締結するものとします。
6.6.5 (i) 本DPAに定めるEEAまたは英国域外への個人データの移転を正当化する手段のいずれかが無効となった場合、または (ii) 監督当局がかかる手段に基づく個人データの移転の停止を求めた場合、データ輸入者は、データ輸出者への通知により、当該通知に定める日付から効力を生じるものとして、データ保護法が要求するところに従い、かかる移転に関する代替措置を修正または実施することができます。
6.7 Factoryは、法律で認められる範囲で、データ主体がアクセス、訂正、消去、データポータビリティ、処理の制限または停止、処理への同意の撤回、および/または自動化された意思決定を構成する処理の対象となることへの異議の権利(かかる要求を個別におよび総称して「データ主体要求」)を行使するためのデータ主体からの要求を受領した際に、顧客に通知するものとします。Factoryが顧客のデータに関連するデータ主体要求を受領した場合、Factoryはデータ主体に対して顧客に要求を提出するよう助言し、顧客は、必要に応じてサービスの機能を使用することを含め、かかる要求に応答する責任を負うものとします。顧客は、個人データの消去、処理の制限もしくは停止、または処理への同意の撤回に関するデータ主体要求がFactoryに伝達されること、および該当する場合には各データ主体に関する処理への同意の記録が維持されることについて、単独で責任を負うものとします。
- 6.8 Factoryは、顧客の要請に基づき、データ主体要求に適用される処理の性質を考慮して、顧客がかかるデータ主体要求に応答する義務および/またはかかる遵守を証明する義務を遵守することを支援するために、可能な場合には適切な技術的および組織的措置を適用するものとします。ただし、(i) 顧客自身がFactoryの支援なしに応答できない場合、および (ii) Factoryがすべての適用法令に従ってそうすることができる場合に限ります。顧客は、法律で認められる範囲で、Factoryによるかかる支援から生じるすべての費用および経費について責任を負うものとします。
7. 措置およびアクセス要求;監査
7.1 Factoryは、処理の性質およびFactoryが利用可能な情報を考慮し、GDPRに基づくデータ保護影響評価の実施および/またはかかる遵守の証明に関する顧客の義務を遵守するために必要な場合、顧客に合理的な協力および支援を提供するものとします。ただし、顧客が関連情報にその他の方法でアクセスできない場合に限ります。顧客は、法律で認められる範囲で、Factoryによるかかる支援から生じるすべての費用および経費について責任を負うものとします。
7.2 Factoryは、処理の性質およびFactoryが利用可能な情報を考慮し、必要かつGDPRにより要求される場合、監督当局との顧客の協力および/または事前協議に関して、顧客に合理的な協力および支援を提供するものとします。顧客は、法律で認められる範囲で、Factoryによるかかる支援から生じるすべての費用および経費について責任を負うものとします。
7.3 Factoryは、本DPAに基づく義務の遵守を証明するのに十分な記録を維持し、かかる記録を契約の終了後3年間保持するものとします。顧客は、Factoryへの合理的な通知をもって、通常の営業時間中にFactoryの事務所において、かかる記録を閲覧、監査およびコピーする権利を有するものとします。
7.4 合理的な間隔での顧客の書面による要請に基づき、合理的な機密保持管理に従い、Factoryは、(i) 顧客の個人データの処理に適用される現行のデータセキュリティ基準へのFactoryの準拠を証明する認証またはレポートの写しを顧客の閲覧に供するか、または (ii) (i)に基づくレポートまたは認証の提供がデータ保護法に基づき合理的に十分でない場合、Factoryがデータ保護法に基づく義務を遵守していることを証明するのに十分な、Factoryのデータセキュリティインフラストラクチャおよび手順の監査または検査を顧客の独立した第三者代理人に許可するものとします。ただし、(a) 顧客が監査の合理的な事前書面通知を提供し、かかる検査がFactoryの事業を不合理に妨害しないこと、(b) かかる監査は営業時間中にのみ実施され、暦年につき1回を超えないこと、および (c) かかる監査は顧客に関連するデータに限定されることを条件とします。顧客は、オンサイト監査のためにFactoryが費やした時間の補填を含むがこれに限定されない、かかる監査または検査の費用について責任を負うものとします。顧客およびFactoryが第6条(個人データの移転)に記載される標準契約条項を締結している場合、両当事者は、EU標準契約条項の第8.9条に記載される監査は、本第7.4条に従って実施されることに合意します。
7.5 Factoryは、指示がFactoryの見解においてデータ保護法または監督当局に違反する場合、直ちに顧客に通知するものとします。
7.6 個人データ侵害が発生した場合、Factoryは、不当な遅滞なく、顧客に個人データ侵害を通知し、かかる違反を是正するためにFactoryが単独の裁量で必要かつ合理的と判断する措置を講じるものとします(是正がFactoryの合理的な管理の範囲内にある限りにおいて)。
7.7 個人データ侵害が発生した場合、Factoryは、処理の性質およびFactoryが利用可能な情報を考慮し、不当な遅滞なく、GDPRに基づく (i) 関連する監督当局および (ii) かかる個人データ侵害により影響を受けるデータ主体への通知に関する顧客の義務を遵守するために必要な合理的な協力および支援を顧客に提供するものとします。
7.8 第7.6条および第7.7条に記載される義務は、個人データ侵害が顧客の作為または不作為に起因する場合には適用されないものとします。第7.6条および第7.7条に基づく個人データ侵害の報告または対応に関するFactoryの義務は、個人データ侵害に関するFactoryの過失または責任の承認として解釈されないものとします。
8. 矛盾
以下の文書間に矛盾または不一致がある場合、優先順位は次のとおりとします:(1) 標準契約条項の適用条件、(2) 本DPAの条件、(3) 契約、および (4) Factoryのプライバシーポリシー。本DPAに関連して提起される請求は、契約に定める条件(排除および制限を含むがこれに限定されない)に従うものとします。
別紙A:処理の詳細
処理の性質および目的: Factoryは、契約に基づくサービスの提供のために必要な範囲で、契約および本DPAに明記された目的のために、本DPAに定める顧客の指示に従い、顧客の個人データを処理します。処理の性質には、以下を含みますがこれらに限定されません:
- 収集、アクセス、取得、記録、およびデータ入力を含むデータの受領
- 保管、整理および構造化を含むデータの保持
- 分析、相談、テストを含むデータの利用
- 制限、暗号化およびセキュリティテストを含むデータの保護
- 破棄および削除を含むデータの消去
処理の期間: Factoryは、(i) 契約に基づき顧客にサービスを提供するために必要な期間、(ii) Factoryの正当な事業上の必要性のために、または (iii) 適用法令によって要求される期間、顧客の個人データを処理します。
データ主体のカテゴリー: 顧客の従業員
個人データのカテゴリー: 顧客の従業員の氏名、メールアドレス、職種、および/またはGitHubユーザー名。
機微データまたは特別カテゴリーのデータ: なし
別紙B
1. 当事者
- データ輸出者:顧客および顧客の承認された関連会社 名称:顧客のアカウント所有者のメールアドレス、または顧客がプライバシーに関する連絡の受信先として選択したメールアドレス。本条項に基づいて移転されるデータに関連する活動:顧客データは、契約および/または適用法に従った以下の基本的な処理活動の対象となります:サービスの提供および開示。サービス生成データおよび/または連絡先データに含まれる個人データは、Factoryによる以下の処理活動の対象となります:Factoryは、サービス生成データおよび/または連絡先データを、サービスの運営、改善およびサポート、マーケティングおよびサービス関連のメッセージの提供、ならびに分析、ベンチマーキングおよびレポーティングなどのその他の適法な事業慣行のために使用することがあります。 署名および日付:契約を締結することにより、データ輸出者は、契約の発効日現在で本DPAおよび本DPAに組み込まれた標準契約条項(その附属書を含む)に署名したものとみなされます。 役割(管理者/処理者):管理者
- データ輸入者:[データ輸入者の身元および連絡先詳細(データ保護に責任を持つ連絡担当者を含む)] 名称:San Francisco AI Factory, Inc. 商号(異なる場合):Factory 住所:410 Townsend St. Suite 100 San Francisco, California, 94107 連絡担当者の氏名、役職および連絡先:Eno Reyes、最高技術責任者、eno@factory.ai 本条項に基づいて移転されるデータに関連する活動:DPAに定めるとおり 署名および日付:2023年10月16日 /s/ Eno Reyes 役割(管理者/処理者):処理者
2. 移転の説明
| 項目 | 説明 |
|---|---|
| データ主体 | クラウドホスティングおよびインフラストラクチャ |
| 個人データのカテゴリー | 本DPAの別紙Aに記載のとおり |
| 特別カテゴリーの個人データ(該当する場合) | 本DPAの別紙Aに記載のとおり |
| 処理の性質 | 本DPAの別紙Aに記載のとおり |
| 処理の目的 | 本DPAの別紙Aに記載のとおり |
| 処理および保持の期間(またはその期間を決定するための基準) | 本DPAの別紙Aに記載のとおり |
| 移転の頻度 | 契約またはDPAに定める個人データに関するすべての義務および権利を履行するために必要な範囲 |
| データ輸入者に移転される個人データの受領者 | Factoryは、要請に応じて復処理者のリストを維持し提供します。 |
3. 管轄監督当局
監督当局は、EU標準契約条項の第13条に従って決定されるデータ輸出者の監督当局とします。英国追補の目的上の監督当局は、英国情報コミッショナーオフィスとします。
4. 承認済み復処理者のリスト
| 承認済み復処理者の名称 | 住所 | 連絡担当者の氏名、役職、連絡先 | 処理の説明 | 復処理が行われる国 |
|---|---|---|---|---|
| Microsoft Azure | Azure.microsoft.com | Eno Reyes、最高技術責任者、eno@factory.ai | 氏名、役職、メール、GitHubユーザー名 | 米国 |
| Amazon Web Services (AWS) | Aws.amazon.com | Eno Reyes、最高技術責任者、eno@factory.ai | 氏名、役職、メール、GitHubユーザー名 | 米国 |
| Google Cloud Platform (GCP) | Cloud.google.com | Eno Reyes、最高技術責任者、eno@factory.ai | 氏名、役職、メール、GitHubユーザー名 | 米国 |
| Slack | Slack.com | Eno Reyes、最高技術責任者、eno@factory.ai | 氏名、役職、メール、GitHubユーザー名 | 米国 |
別紙C:データ輸入者が実施する技術的および組織的セキュリティ措置の説明
以下は、EU標準契約条項の附属書IIおよび英国追補の附属書IIに必要な情報を含みます。
| 技術的および組織的セキュリティ措置 | 詳細 |
|---|---|
| 個人データの仮名化および暗号化のための措置 | Factoryは、暗号化措置および仮名化を使用して個人データを保護します。データは転送中および保管中の両方で暗号化されます。個人データの送信、保管、または取り扱い時には、暗号化および仮名化の使用が厳しく強制されます。Factoryは、公衆ネットワークを介した伝送中のすべてのデータおよび通信を保護し、不正アクセスまたは変更から情報を保護するために暗号化技術を使用します。暗号化キーは、安全で効果的なキー管理プロセスを確保するポリシーを使用して管理されます。 |
| 処理システムおよびサービスの継続的な機密性、完全性、可用性および回復力を確保するための措置 | Factoryは、処理システムの継続的な機密性、完全性、可用性および回復力を確保するために設計された信頼性の高いシステムを構築しています。これには、個人データを保護するための強力な暗号化と仮名化の実施、ユーザー認証と承認を確保するための強力なアクセス制御の確立が含まれます。Factoryはまた、安全なシステムおよびアプリケーション設定の使用、技術的および組織的措置の有効性の監視と評価、およびデータ拠点の堅牢な物理的セキュリティの維持を目指しています。 |
| 物理的または技術的インシデントが発生した場合に個人データの可用性およびアクセスを適時に復元する能力を確保するための措置 | 物理的または技術的インシデントが発生した場合、Factoryはデータのバックアップおよびリカバリのための措置を実施しています。重要なデータは定期的にバックアップされ、その可用性が確保され、必要に応じて適時に復元できます。Factoryのデータ保持ポリシーは、必要な期間のみデータが保管されることを確保するために設計されており、データバックアップは暗号化され安全に保管されます。 |
| 処理のセキュリティを確保するための技術的および組織的措置の有効性を定期的にテスト、評価、および検証するためのプロセス | Factoryは、データセキュリティを確保するための技術的および組織的措置の有効性を定期的に評価する堅牢なテストプログラムを構築しています。これには、定期的な脆弱性スキャン、ペネトレーションテスト、システム監査、およびVanta提携プロバイダーによるアクティブな監査が含まれます。セキュリティ措置の有効性は定期的に評価され、必要に応じて是正措置が講じられます。 |
| ユーザーの識別および承認のための措置 | Factoryは、ユーザーを識別および承認するために、強力なアクセス制御と多要素認証を実施しています。システムは固有のユーザー識別子と強力なパスワードを要求し、パスワード管理システムが堅牢なセキュリティを確保します。ユーザーには最小権限の原則に基づいてアクセス権が付与され、ユーザーIDおよびパスワードのセキュリティが厳しく強制されます。 |
| 転送中のデータ保護のための措置 | Factoryは、公衆ネットワークを介した転送中のデータを保護するために、強力な暗号化技術を使用しています。これには、転送中のデータを保護するためのHTTPSおよび安全なメール伝送プロトコルの使用が含まれます。 |
| 保管中のデータ保護のための措置 | Factoryは、保管中のデータを保護するために暗号化技術を使用しています。保管中のデータは強力な暗号化アルゴリズムを使用して暗号化されます。Factoryはまた、保管データへのアクセスを制限および監視するために、安全なシステム構成とアクセス制御を使用しています。 |
| 個人データが処理される場所の物理的セキュリティを確保するための措置 | Factoryは、キーカード要件、物理的アクセスログ、警備員、およびFactoryのオフィスプロバイダーを通じてホストされる監視システムを通じて、個人データを処理する場所の物理的セキュリティを確保するための措置を講じています。Factoryのオフィスはセキュリティで保護されており、データ処理拠点への物理的アクセスは制限および監視されています。物理的セキュリティ措置は、不正アクセスを防止し、盗難や自然災害などの物理的脅威から保護するために設計されています。 |
| イベントログの記録を確保するための措置 | イベントログは、ユーザーの活動、システムイベント、障害、およびセキュリティイベントを監視するために実施されています。Factoryは、クラウドプロバイダーにおけるロギングおよび監視システムを使用して、ユーザーの活動およびシステムイベントを継続的に監視し、潜在的なセキュリティ脅威またはインシデントを検出しています。ログは定期的にレビューされ、異常または潜在的なセキュリティインシデントは速やかに報告および調査されます。 |
| デフォルト構成を含むシステム構成を確保するための措置 | Factoryは、デフォルト構成を含むシステムの安全な構成を確保しています。システム構成はFactoryのセキュリティ要件を満たしていることを確認するために定期的にレビューされ、不要なサービスまたは機能は無効化されます。システム構成の変更は適切に承認され、Factoryの変更管理ポリシーに準拠しています。 |
| 社内ITおよびITセキュリティガバナンスおよび管理のための措置 | Factoryは、ITおよびセキュリティリソースの効果的な管理を確保するために設計されたポリシー、プロセス、および手順などの情報セキュリティプログラムを管理するためのITおよびセキュリティガバナンス体制を構築しています。FactoryのITおよびセキュリティガバナンス体制は、データおよびシステムを保護するための適切な管理体制を維持することを確保しています。Factoryは、VantaおよびRipplingのIT管理ソフトウェアを使用してこれを監視しています。 |
| プロセスおよび製品の認証/保証のための措置 | FactoryはSOC 2 Type 1監査を完了しています。 |
| データ最小化を確保するための措置 | Factoryは、収集および保管されるデータの量、カテゴリーおよび機微性を最小化するためのデータ最小化のための措置を講じています。Factoryは、事業プロセスに必要な最小限のデータのみを収集および保管しています。 |
| 限定的なデータ保持を確保するための措置 | Factoryは、データが収集された目的に必要な期間のみ保持されることを確保するデータ保持ポリシーを有しています。Factoryは、法的および規制要件への準拠を確保するために、データ保持ポリシーを定期的にレビューおよび更新しています。 |
| 説明責任を確保するための措置 | Factoryは、定期的な従業員研修の提供および拘束力のある従業員ポリシーの維持により、データ保護およびセキュリティに関する説明責任を確保しています。Factoryはまた、ポリシーへの継続的な準拠およびセキュリティ管理の有効性を確保するために、セキュリティ慣行の定期的な評価および監査を実施しています。 |
| データポータビリティの確保および消去を可能にするための措置 | Factoryのデータ管理ポリシーに基づき、Factoryはデータポータビリティおよび消去を可能にするための措置を講じています。要請に応じて、個人データは一般的な形式でエクスポートでき、データ消去の要請は法的要件および社内規定に従って処理されます。 |
| 復処理者の技術的および組織的措置 | Factoryは、本DPAに含まれるものと実質的に同様のデータ保護義務を含むデータ処理契約を承認済み復処理者と締結しています。これには、上記のポリシーに含まれるものに沿った適切な技術的および組織的措置を復処理者が実施することの要件が含まれます。 |
別紙D:英国追補
EU委員会標準契約条項に対する国際データ移転追補
第1部:表
表1: 当事者
| 開始日 | 本英国追補は本DPAと同じ発効日を有するものとします | |
|---|---|---|
| 当事者 | 輸出者 | 輸入者 |
| 当事者の詳細 | 顧客 | Factory |
| 主要連絡先 | 本DPAの別紙Bを参照 | 本DPAの別紙Bを参照 |
表2: 選択されたSCC、モジュールおよび選択された条項
| SCC | |
|---|---|
| EU SCCs | 本DPAに定義され、本DPAの第6.2条および第6.3条により完成された、本英国追補が添付される承認済みEU標準契約条項のバージョン。 |
表3: 附属書情報 「附属書情報」とは、承認済みEU標準契約条項の附属書に定める選択されたモジュールについて提供されなければならない情報(当事者を除く)を意味し、本英国追補については以下に定めます:
| 附属書 | |
|---|---|
| 附属書1A:当事者のリスト | 上記の表1のとおり |
| 附属書2B:移転の説明 | 本DPAの別紙Bを参照 |
| 附属書II:データのセキュリティを確保するための技術的および組織的措置を含む技術的および組織的措置 | 本DPAの別紙Cを参照 |
| 附属書III:復処理者のリスト(モジュール2および3のみ) | 本DPAの別紙Bを参照 |
表4: 承認済み英国追補の変更に伴う本英国追補の終了
| 英国追補 | |
|---|---|
| 承認済み英国追補の変更に伴う本英国追補の終了 | 輸入者 [X] |
| 輸出者 | |
| いずれの当事者でもない |
本英国追補の締結
- 各当事者は、相手方も本英国追補に拘束されることに同意することと引き換えに、本英国追補に定める条件に拘束されることに同意します。
- 附属書1Aおよび承認済みEU標準契約条項の第7条は当事者による署名を要求していますが、英国域外移転を行う目的上、当事者は、当事者を法的に拘束し、データ主体が本英国追補に定める権利を行使できるようにする方法で本英国追補を締結することができます。本英国追補の締結は、承認済みEU標準契約条項およびそのあらゆる部分に署名したのと同じ効果を有します。
本英国追補の解釈
3. 本英国追補が承認済みEU標準契約条項で定義されている用語を使用している場合、それらの用語は承認済みEU標準契約条項と同じ意味を有するものとします。加えて、以下の用語は以下の意味を有します:
| 英国追補 | 本DPAの別紙DとしてDPAに添付された、EU標準契約条項を組み込んだ本国際データ移転追補を意味します。 |
|---|---|
| EU SCCs | 表2に定めるとおり、本英国追補が添付される承認済みEU標準契約条項のバージョンを意味し、附属書情報を含みます |
| 附属書情報 | 表3に定めるとおりとします |
| 適切な保護措置 | 英国データ保護法に基づきUK GDPR第46条(2)(d)の標準データ保護条項に依拠して英国域外移転を行う場合に要求される、個人データおよびデータ主体の権利に対する保護水準を意味します。 |
| 承認済み英国追補 | 2018年データ保護法第119A条に従い、2022年2月2日にICOにより発行され議会に提出されたテンプレート追補を意味し、英国追補の第18条に基づき改訂される場合があります。 |
| 承認済みEU SCCs | 個人データの保護について十分なレベルを提供していると欧州委員会がその他認めていない国への個人データの移転について、2021年6月4日付の欧州委員会決定2021/914において欧州委員会が承認した標準契約条項(随時修正・更新されるもの)を意味します。 |
| ICO | 英国情報コミッショナーを意味します。 |
| 英国域外移転 | DPAに定める定義と同じ意味を有するものとします。 |
| UK | グレートブリテンおよび北アイルランド連合王国を意味します。 |
| 英国データ保護法 | 英国において随時施行されるデータ保護、個人データの処理、プライバシーおよび/または電子通信に関連するすべての法律を意味し、UK GDPRおよび2018年データ保護法を含みます。 |
| UK GDPR | DPAに定める定義を有するものとします。 |
4. 本英国追補は、常に英国データ保護法と整合するように、かつ当事者が適切な保護措置を提供する義務を果たすように解釈されなければなりません。
- 本英国追補に含まれる条項が、承認済みEU標準契約条項または承認済み英国追補に基づき許可されない方法で承認済みEU標準契約条項を修正する場合、かかる修正は本英国追補に組み込まれず、承認済みEU標準契約条項の対応する条項がその代わりとなります。
- 英国データ保護法と本英国追補の間に不一致または矛盾がある場合、英国データ保護法が適用されます。
- 本英国追補の意味が不明確であるか、複数の意味がある場合、英国データ保護法に最も密接に整合する意味が適用されます。
- 法令(またはその特定の条項)へのいかなる言及も、当該法令(または特定の条項)がその後変更される場合があることを含みます。これには、本英国追補の締結後に当該法令(または特定の条項)が統合、再制定および/または置換された場合が含まれます。
優先順位
9. 承認済みEU標準契約条項の第5条は、承認済みEU標準契約条項が当事者間のすべての関連契約に優先することを定めていますが、両当事者は、英国域外移転については、以下の第10条の優先順位が適用されることに合意します。
- 承認済み英国追補とEU標準契約条項(該当する場合)との間に不一致または矛盾がある場合、承認済み英国追補がEU標準契約条項に優先します。ただし、EU標準契約条項の不一致または矛盾する条件がデータ主体により大きな保護を提供する場合(およびその範囲において)、当該条件が承認済み英国追補に優先します。
- 本英国追補が、GDPRの対象となるEU域外移転を保護するために締結されたEU標準契約条項を組み込んでいる場合、当事者は、本英国追補のいかなる規定もかかるEU標準契約条項に影響しないことを認めます。
EU標準契約条項の組み込みおよび変更
- 12. 本英国追補はEU標準契約条項を組み込み、以下のために必要な範囲で修正されます:
a. それらが一体となって、英国データ保護法がデータ輸出者の当該データ移転を行う際の処理に適用される場合の、データ輸出者からデータ輸入者へのデータ移転について機能し、当該データ移転に適切な保護措置を提供すること。
b. 上記第9条から第11条がEU標準契約条項の第5条(優先順位)に優先すること。
c. 本英国追補(それに組み込まれたEU標準契約条項を含む)が (1) イングランドおよびウェールズの法律に準拠し、(2) これから生じるいかなる紛争もイングランドおよびウェールズの裁判所において解決されること。
- 当事者が本英国追補の第12条の要件を満たす代替的な修正に合意していない限り、本英国追補の第15条の規定が適用されます。
- 本英国追補の第12条の要件を満たすこと以外に、承認済みEU標準契約条項のいかなる修正も行うことはできません。
- 以下のEU標準契約条項の修正(本英国追補の第12条の目的のため)が行われます:
a. 「条項」への言及は、EU標準契約条項を組み込んだ本英国追補を意味します。
b. 第2条において、「および、管理者から処理者への、および/または処理者から処理者へのデータ移転に関しては、規則(EU)2016/679の第28条(7)に基づく標準契約条項」という文言を削除します。
c. 第6条(移転の説明)は以下に置き換えられます:「移転の詳細、特に移転される個人データのカテゴリーおよび移転の目的は、英国データ保護法がデータ輸出者の当該移転を行う際の処理に適用される場合の附属書I.Bに明記されたものとする。」
d. モジュール1の第8.7条(i)は以下に置き換えられます:「再移転先がUK GDPRの第17A条に基づき十分性規則の恩恵を受ける国であり、当該規則が再移転をカバーしている場合」
e. モジュール2および3の第8.8条(i)は以下に置き換えられます:「再移転先がUK GDPRの第17A条に基づき十分性規則の恩恵を受ける国であり、当該規則が再移転をカバーしている場合」
f. 「規則(EU)2016/679」、「自然人の個人データの処理に関する保護およびかかるデータの自由な移動に関する2016年4月27日の欧州議会および理事会の規則(EU)2016/679(一般データ保護規則)」および「当該規則」へのすべての言及は、「英国データ保護法」に置き換えられます。「規則(EU)2016/679」の特定の条項への言及は、英国データ保護法の対応する条項またはセクションに置き換えられます。
- g. 規則(EU)2018/1725への言及は削除されます。
h. 「欧州連合」、「EU」、「EU加盟国」、「加盟国」および「EUまたは加盟国」へのすべての言及は「英国」に置き換えられます。
i. モジュール1の第10条(b)(i)における「第12条(c)(i)」への言及は「第11条(c)(i)」に置き換えられます。
- j. 第13条(a)および附属書IのパートCは使用されません。
k. 「管轄監督当局」および「監督当局」はいずれも「情報コミッショナー」に置き換えられます。
l. 第16条(e)において、第(i)号は以下に置き換えられます:「国務大臣が2018年データ保護法第17A条に基づき、本条項が適用される個人データの移転をカバーする規則を制定した場合」
m. 第17条は以下に置き換えられます:「本条項はイングランドおよびウェールズの法律に準拠する」
n. 第18条は以下に置き換えられます:「本条項から生じるいかなる紛争もイングランドおよびウェールズの裁判所において解決される。」データ主体はまた、英国のいずれかの国の裁判所においてデータ輸出者および/またはデータ輸入者に対して法的手続きを提起することができます。当事者はかかる裁判所の管轄権に服することに合意します。
o. 承認済みEU標準契約条項の脚注は、脚注8、9、10および11を除き、英国追補の一部を構成しません。
英国追補の修正
- 16. 当事者は、EU標準契約条項の第17条および/または第18条を、スコットランドまたは北アイルランドの法律および/または裁判所に言及するように変更することに合意することができます。
- 17. 当事者が承認済み英国追補の第1部:表に含まれる情報の形式を変更することを希望する場合、適切な保護措置を減少させないことを条件として、書面で変更に合意することにより変更することができます。
- 18. ICOは随時、以下の改訂された承認済み英国追補を発行することができます:
- a. 承認済み英国追補の誤りの訂正を含む、承認済み英国追補への合理的かつ比例的な変更、および/または
- b. 英国データ保護法の変更を反映する変更。
- 改訂された承認済み英国追補は、承認済み英国追補への変更が有効となる開始日、ならびに当事者が附属書情報を含む本英国追補をレビューする必要があるかどうかを明記するものとします。本英国追補は、改訂された承認済み英国追補に明記された開始日から、改訂された承認済み英国追補に定めるとおり自動的に修正されます。
- ICOが本英国追補の第18条に基づき改訂された承認済み英国追補を発行した場合、当事者が承認済み英国追補の変更の直接的な結果として、以下について実質的、不均衡かつ立証可能な増加を被る場合:
a. 英国追補に基づく義務を履行するための直接費用、および/または
- b. 英国追補に基づくリスク、
いずれの場合においても、まず実質的かつ不均衡でなくなるようにかかる費用またはリスクを軽減するための合理的な措置を講じた場合、当該当事者は、改訂された承認済み英国追補の開始日前に相手方当事者に書面で通知することにより、合理的な通知期間の終了時に本英国追補を終了することができます。
- 20. 当事者は、本英国追補を変更するために第三者の同意を必要としませんが、変更はその条件に従って行われなければなりません。
別紙E:米国プライバシー法別紙
本米国プライバシー法別紙(「本別紙」)はDPAを補完し、CCPAおよびVCDPAにより要求される追加情報を含みます。いずれの場合も、随時更新、修正、または置換されるものとします。本別紙で定義されていない用語は、DPAおよび/または契約に定める意味を有するものとします。
A. カリフォルニア州
1. 定義
1.1 本セクションAの目的上、「事業者」(Business)、「事業目的」(Business Purpose)、「商業目的」(Commercial Purpose)、「消費者」(Consumer)、「個人情報」(Personal Information)、「処理」(Processing)、「売却」(Sell)、「サービスプロバイダー」(Service Provider)、「共有」(Share)、および「検証可能な消費者要求」(Verifiable Consumer Request)の各用語は、CCPAに定める意味を有するものとします。
1.2 DPAにおける「個人データ」、「管理者」、「処理者」、および「データ主体」へのすべての言及は、それぞれCCPAに定義される「個人情報」、「事業者」、「サービスプロバイダー」、および「消費者」への言及とみなされるものとします。
2. 義務
2.1 両当事者は、Factoryが(適用される範囲で)CCPAの目的上サービスプロバイダーであり、Factoryが契約に基づくサービスの提供のために顧客から個人情報を受領していること(これは事業目的を構成する)を認め、合意します。
2.2 顧客は、本DPAの別紙Aに記載された限定的かつ特定の目的のためにのみ、Factoryに個人情報を開示するものとします。
2.3 Factoryは、契約に基づき顧客が提供する個人情報を売却(Sell)または共有(Share)しないものとします。
2.4 Factoryは、契約に基づき顧客が提供する個人情報を、契約に基づき顧客のためにサービスを実行する特定の目的に必要な場合、または契約に別途定める場合もしくはCCPAにより許可される場合を除き、商業目的を含むいかなる目的のためにも保持、使用、または開示しないものとします。
2.5 Factoryは、CCPAにより許可される場合および範囲を除き、契約に基づき顧客が提供する個人情報を、Factoryと顧客の直接的な事業関係の外で保持、使用、または開示しないものとします。
2.6 Factoryは、CCPAに基づく義務を履行できなくなったと判断した場合、顧客に通知するものとします。
2.7 Factoryは、顧客からまたは顧客に代わって受領した個人情報を、別の当事者からまたは別の当事者に代わって受領した個人情報、またはFactoryが消費者との直接的なやり取りから収集した個人情報と結合しないものとします。
2.8 Factoryは、CCPAに基づくサービスプロバイダーに適用されるすべての義務を遵守するものとし、これには契約に基づき顧客が提供する個人情報にCCPAが要求するレベルのプライバシー保護を提供することを含みます。
2.9 Factoryは、契約に基づき顧客にサービスを提供するためにFactoryを支援する新たな復処理者を、DPA第4.1条に従ってのみ使用するものとし、これには以下を含みますがこれに限定されません:(i) DPA第4.1条に記載される通知メカニズムを介して、新たな復処理者を有効にする少なくとも10日前に顧客に当該使用を通知すること、および (ii) CCPAに定めるすべての適用要件を遵守することを復処理者に求める書面による契約を復処理者と締結すること。
3. 消費者の権利
3.1 Factoryは、DPA第7条に定めるとおり、CCPAに基づく消費者の権利を行使するための検証可能な消費者要求に応答する顧客を支援するものとします。
4. 監査権
4.1 CCPAにより要求される範囲で、Factoryは、DPAの第8.3条および第8.4条に従い、顧客が検査または監査を実施することを許可するものとします。
B. バージニア州
1. 定義
1.1 本セクションBの目的上、「消費者」(Consumer)、「管理者」(Controller)、「個人データ」(Personal data)、「処理」(Processing)、および「処理者」(Processor)の各用語は、VCDPAに定める意味を有するものとします。
1.2 本DPAにおける「データ主体」へのすべての言及は、VCDPAに定義される「消費者」への言及とみなされるものとします。
2. 義務
- 2.1 両当事者は、(適用される範囲で)VCDPAの目的上、顧客が管理者であり、Factoryが処理者であることを認め、合意します。
- 2.2 処理の性質、目的および期間、ならびに個人データの種類および消費者のカテゴリーは、本DPAの別紙Aに記載されています。
- 2.3 Factoryは、顧客の個人データの処理に関する顧客の指示を遵守し、以下により、VCDPAに基づく顧客の義務の履行を支援するものとします:
2.3.1 DPA第7条に定めるとおり、VCDPAに基づく消費者の権利要求への対応において顧客を支援すること。
2.3.2 顧客が提供する個人データに関して、DPA第5条(「個人データのセキュリティ」)を遵守すること。
2.3.3 個人データ侵害が発生した場合、バージニア州法§18.2-186.6に基づく顧客の義務を履行するために十分な情報を提供すること。
2.3.4 VCDPAにより要求される範囲でデータ保護評価を実施および文書化するために十分な情報を顧客に提供すること。
- 2.4 Factoryは、顧客が提供する個人データの機密性を維持し、かかる個人データを処理する各人が当該処理に関する機密保持義務に服することを要求するものとします。
- 2.5 顧客の書面による要請に基づき、Factoryは、DPA第2.4条に従い、顧客が提供するすべての個人データを削除または返還するものとします。ただし、かかる個人データの保持が法律またはDPAおよび/もしくは契約により要求または許可されている場合を除きます。
- 2.6 Factoryが契約に基づき顧客にサービスを提供するためにFactoryを支援する新たな復処理者を使用する場合、Factoryは、VCDPAに定める処理者のすべての適用要件を遵守することを復処理者に求める書面による契約を復処理者と締結するものとします。
3. 監査権
3.1 合理的な間隔での顧客の書面による要請に基づき、Factoryは、DPAの第8.3条から第8.4条に定めるとおり、(i) VCDPAに基づくFactoryの義務の遵守を証明するために合理的に必要なFactoryが保有するすべての情報を顧客に提供し、(ii) VCDPAに基づき要求される合理的な検査または監査を許可し協力するものとします。
