aryaka aryaka
本データ保護補遺(「DPA」)は、Aryaka がお客様にサービスを提供する、Aryaka とお客様間のマスターサブスクリプション契約(該当する場合、「契約」)の一部を構成します。
本 DPA で使用されるが定義されていない大文字の用語は、本契約に規定される意味を有するものとします。

  • 1.定義
  • 1.1「管理者 」とは、単独で、または他者と共同で、個人データの処理の目的および手段を決定する事業体を意味します。
  • 1.2「データ保護法 」とは、各当事者の個人データ処理に適用されるすべての法律を意味します。
  • 1.3「データ主体 」とは、本DPAに基づいて個人データが処理される可能性のある個人を指します。
  • 1.4「個人データ 」とは、お客様が本サービスに提供する、特定または識別可能な自然人に関連する情報を意味します。
  • 1.5 処理」とは、自動化された手段であるか否かを問わず、個人データまたは個人データの集合に対して行われる操作または操作の集合を意味します。例えば、個人データの収集、記録、整理、構造化、保管、適合または変更、検索、相談、使用、送信による開示、普及またはその他の利用可能化、整列または結合、制限、消去、または破棄などです。
  • 1.6「処理者 」とは、データ管理者に代わって個人データを処理する事業体を意味します。
  • 2.両当事者の関係 お客様とAryakaは、サービスに関する契約を締結しました。
    両当事者は、お客様が本契約における管理者であり、Aryakaが処理者であることを認めます。
    両当事者は、本契約および適用されるデータ保護法に従って個人データを処理します。
  • 3.お客様の義務お客様は、適切かつ関連性があり、Aryakaがサービスを履行するために合理的に必要な個人データのみを提供します。
    お客様は、個人データの収集およびAryakaへの開示が適用されるすべてのデータ保護法に準拠していることを表明し、保証します。
  • 4. 指示
    .     Aryakaは以下の場合にのみ個人データを処理します。
    (i) 本契約に文書化され、附属書 IB に詳述されるお客様の指示に従う場合。
    (ii) 適用法を遵守するために必要な場合。但し、Aryaka は、Aryaka が適用法に違反する原因となり得る(Aryaka の合理的な見解による)お客様の指示に基づいて行動する必要はありません。
    Aryakaは、個人データ処理に関するお客様の指示が適用されるデータ保護法に違反すると考えられる場合、お客様に通知します。
  • 5.セキュリティAryakaは、個人データの安全性、機密性、または完全性に対する予想される脅威または危険から個人データを保護するために、適切な技術的および組織的対策を実施するための合理的な措置を講じます。
    Aryakaは、個人データを処理する権限を与えられた者が守秘義務を負うか、または適切な守秘義務の下にあることを保証します。
  • 6.データ侵害。 Aryakaは、処理された個人データの偶発的または違法な破壊、紛失、改ざん、不正な開示、またはアクセスにつながるセキュリティ侵害があったことを知った場合(それぞれを「データ侵害」といいます)、適用法で禁止されているか、法執行機関または監督当局の指示がない限り、不当な遅滞なくお客様に通知します。
    処理の性質およびAryakaが利用可能な情報を考慮し、Aryakaは、適用法によって要求されるデータ侵害に関するお客様の通知義務を遵守するために、お客様の合理的な要求に応じてお客様を支援するための合理的な措置を講じます。
    Aryakaは、要求された支援に対して合理的な料金をお客様に請求する権利を留保します。
  • 7.返却または廃棄。 本契約の終了後30日以内に、お客様は、適用される法律がAryakaによる個人データの保管を要求する場合を除き、Aryakaに対し、すべての個人データの破棄またはお客様への返却を要求することができます。
  • 8.監査、問い合わせ。 お客様の合理的な要求があった場合(監督当局によりそれ以上の頻度で要求されない限り、1年に1回を超えないものとします)、Aryaka は、Aryaka が本 DPA に基づく義務を遵守していることを証明するために必要な、Aryaka が保有するすべての情報を速やかにお客様に提供し、合理的な監査を許可し、これに貢献します。
    提供されたすべての情報はAryakaの秘密情報であり、適用される法律によって要求される場合を除き、Aryakaの書面による事前の同意なしに開示することはできません。
  • 9.業務委託。 お客様は、お客様にサービスを提供する目的で、Aryakaが個人データを下請け業者に転送することを承認します。
    Aryaka は下請業者のリストを管理します。
    最新のサブプロセッサー一覧は付属書 III に記載されています。
    Aryaka は、このリストにサブプロセッサーを追加する場合、14 日前までにお客様に通知し、当該追加に異議を唱える機会を提供します。
    Aryaka が通知から 14 日以内に異議を受け入れない場合、当該サブプロセッサーはお客様によって承認されたものとみなされます。
    Aryakaは、当該サブプロセッサーと本DPAと同様のデータ保護条項を含む契約を締結します。
  • 10.Aryaka の支援。お客様の合理的な要請があり、処理の性質を考慮した場合、Aryaka は、適切な技術的および組織的措置を講じることにより、適用法に基づくデータ対象者の権利行使要求に対応するお客様の義務を支援するための合理的な措置を講じます。
    処理の性質およびAryakaが利用可能な情報を考慮し、Aryakaはまた、データ保護影響評価および監督当局との関連協議の実施に関するコンプライアンス義務を果たすために、お客様の合理的な要請に応じてお客様を支援します。
    Aryakaは、そのような要求された支援に対して合理的な料金をお客様に請求する権利を留保します。
  • 11.カリフォルニア州消費者プライバシー法(CCPA)の規定。
  • 11.1 法令遵守。 Aryakaは、カリフォルニア州居住者の個人データに対して、CCPAの下で顧客に要求されるのと同レベルのプライバシー保護を提供します。
    AryakaがCCPAに基づく義務を履行できないと判断した場合、Aryakaはお客様に書面で通知します。
    お客様は、Aryakaに通知した上で、AryakaがCCPAの義務を果たすことができなくなったとお客様に通知した場合を含め、個人データの不正使用を停止し、是正するために合理的かつ適切な措置を講じる権利を有します。
  • 11.2 処理の制限。 いかなる場合においても、Aryakaは以下を行うことはできません:
    (a) カリフォルニア州居住者の個人データを金銭またはその他の価値ある対価で第三者に開示すること、またはクロスコンテクスト行動広告のために第三者に個人データを開示すること;
    (b) Aryakaまたは第三者の商業的利益のために、カリフォルニア州居住者の個人データを第三者に開示すること;
    (c) Aryakaとお客様との直接的なビジネス関係以外、または本契約で指定されたビジネス目的以外の商業目的、または適用される法律で認められている目的で、カリフォルニア州居住者の個人データを保持、使用、または開示すること。
    (d) 適用法で許可されている場合を除き、カリフォルニア州居住者の個人情報を、Aryaka が他の人物から、または他の人物の代理として受け取る、あるいはデータ対象者との相互作用から収集する個人情報と組み合わせること。
    Aryakaは、上記の制限を理解し、遵守することを証明します。
  • 12.データ転送
  • 12.1 GDPRの対象となる個人データの制限付き移転。 [www .aryaka.com/SCC2021-Controller-to-Processor /] で入手可能な EU 標準契約条項(モジュール 2 コントローラからプロセッサへ)((EU) 2021/914)(以下「EU SCC」)は、添付の付属書 I および II とともに、参照することにより本契約に組み込まれ、EU 一般データ保護規則((EU) 2016/679)(以下「GDPR」)の対象となる個人データの移転に適用されます。
    上記にかかわらず、EU SCC は、(i) 司法管轄区が個人データの適切な保護レベルを満たしていることを宣言する、お客様を管轄する管轄当局が採択した決定 (「適切性決定」) によって移転がカバーされる範囲では適用されません。
  • 12.1.1 第9条において、当事者は[9]項(下請契約)に従い、オプション2が適用されることに同意します。
  • 12.1.2 第11条の任意文言は除外。
  • 12.1.3 第 17 条において、EU SCC はオランダ法に準拠します。
  • 12.1.4 第 18 条において、EU SCC に起因する紛争はオランダの裁判所で解決されます。
  • 12.1.5 Annex IC では、お客様の所在地のデータ保護当局が管轄監督当局となります。
  • 12.2.スイスからの譲渡制限。 本セクションで修正されるEU SCCは、スイスのデータ保護に関する連邦法(FADP)が適用され、その他の適切性決定の対象とならない個人データの移転に適用されます:
  • 12.2.1 「EU加盟国」という用語は、第18条(c)に従い、スイスに居住するデータ主体がその居住地(スイス)で権利を訴える可能性を排除するように解釈してはなりません。
  • 12.2.2 EU SCC における GDPR への言及は、FADP への言及として理解されるものとします。
  • 12.2.3 第 17 条において、EU SCC はスイスの法律に準拠します。
  • 12.2.4 付属書ICでは、スイス連邦データ保護・情報コミッショナーが管轄監督当局です。
  • 12.3 英国からの譲渡制限。 個人データの移転が英国の法律(英国一般データ保護規則を含む)の対象となり、かつその他の適切性決定の対象とならない場合、当事者はこれに同意します:
  • 12.3.1 パート2「必須条項」を含む、2022年3月21日から有効なEU委員会標準契約条項バージョンB1.0(以下「英国補遺」)の英国国際データ移転補遺の条項は、参照により本契約に組み込まれ、完全に適用されるものとします;
  • 12.3.2 英国補遺の表1において、当事者の名称、役割、およびその詳細は、添付の附属書1;
  • 12.3.3 英国補遺の表2および表3には、添付の付属文書に記載された情報を含め、参照により本DPAに組み込まれたEU SCCのモジュール2が適用されるものとします。
  • 12.3.4.英国追加条項の表4において、いずれの当事者も英国追加条項を終了することができます。
  • 13.抵触、執行可能性。本DPAのいずれかの条項が管轄裁判所によって無効または執行不能と判断された場合であっても、かかる判断は、本DPAのその他の条項またはお客様とAryakaとの間のその他の契約を無効または執行不能にするものではありません。
    本DPAは、本契約を補足するものです。
    本契約と本DPAの間に矛盾がある場合、本DPAが優先します。
    本DPAの影響を受けない本契約のその他の規定または義務は、引き続き完全な効力を有します。
    本DPA、または本DPAの履行に際して行われる、もしくは行われることが予定されている行為が、各当事者に適用される法律に基づくいずれかの当事者の義務を満たさない、または満たさないことになる場合、当事者は、本DPAの適切な修正について誠意をもって交渉します。

付録 I

A.当事者リスト

データエクスポーター

名前お客様とAryakaの間の注文書を参照してください。

住所お客様とAryakaの間の注文書を参照してください。

担当者の氏名、役職、連絡先の詳細:顧客とAryakaの間の注文書を参照してください。

本条項に基づいて移転されるデータに関連する活動:お客様とAryakaの間の契約を参照してください。

署名と日付: ————-

役割(コントローラー/プロセッサー):コントローラー

データインポーター

会社名株式会社アーリアカネットワークス

住所3945 Freedom Circle, Tower 1, Suite 1100, Santa Clara, CA 94 USA

担当者の氏名、役職、連絡先:エドワード・フライ、最高情報セキュリティ責任者、[email protected]

本条項に基づいて移転されるデータに関連する活動:両当事者間の合意をご参照ください。

役割(コントローラー/プロセッサー):プロセッサー

B.譲渡の説明

個人データが移転されるデータ主体の分類

  • お客様のスタッフ、派遣労働者、アドバイザー、その他お客様の労働力に関連する者、または提供されるシステムおよびサービスを利用する全ての者を包含する個人。

お客様のクライアント、サプライヤー、パートナー、ベンダー、およびお客様が個人データを保有する可能性のある第三者:

  • お客様の連絡先詳細を含む、お客様のユーザーに関する情報、または本サービスまたは代替チャネルを通じてAryakaと自発的に共有された情報。

お客様の特定の環境に合わせたサービスを提供するために不可欠なメタデータ。
このメタデータには、ファイルの詳細、ファイルタイプ、ハッシュ値、コマンドライン引数、ネットワークアクセスデータ(IPアドレスおよびプロトコルを含む)、ネットワーク関連情報(内部ネットワークIPアドレス、パブリックIPアドレス、ウェブサイトURLデータを含む)などの属性が含まれます。機密データの転送(該当する場合)、およびデータの性質と関連するリスクを十分に考慮した制限または保護措置の適用(例えば、厳密な目的制限、アクセス制限(専門トレーニングを受けたスタッフのみへのアクセスを含む)、データへのアクセス記録の保持、転送先の制限、または追加のセキュリティ対策など): 一般的にはありません。
ただし、「セキュア・ウェブ・ゲートウェイ」サービスおよびファイアウォール・サービスに関してのみ、本サービスを経由するお客様のトラフィックに含まれる機密データが可視化または暴露される可能性がありますが、これは付随的なものであり、お客様によるこれらのサービスの使用に依存するものです。転送の頻度:継続的処理の 性質Aryaka Security at the Service Edge (SASE) サービスは、ネットワークとセキュリティソフトウェアの密接に統合された組み合わせによって実現される、近代化された企業ネットワークの境界を表します。
このシステムは、ブランチオフィス、モバイルユーザー、物理的およびクラウドベースのデータセンターをリンクし、ワイドエリアネットワーク(WAN)とインターネットアクセスの両方のための安全で信頼性の高い接続を保証します:両当事者間で締結された契約および注文に基づくお客様へのサービスの提供。
個人データが保持される期間、またはそれが不可能な場合は、その期間を決定するために使用される基準:個人データは、適用される法律によってより長い期間が要求されない限り、本契約に基づくサービスの履行に必要な期間保持されます。
サブ)プロセッサーへの移転については、処理の対象、性質、および期間も明記します: 上記の説明を参照してください。

付録 II – セキュリティ対策

Aryakaは、個人データを保護するための様々な方針、基準、およびプロセスを維持します。
以下は、Aryakaが実施する中核的な技術的および組織的セキュリティ対策の一部についての説明です。物理的アクセスコントロールAryakaは、権限のない者がAryakaの拠点に物理的にアクセスすることを防止するための対策を実施し、維持します。技術的アクセスコントロールAryakaは、Aryakaのデータ処理システムに対する不正アクセスを防止するための対策を実施し、維持します:

  • 検知およびミティゲーション(オンプレミスまたはクラウド)とクラウドベースのボリューメトリックDDoS攻撃防御、24時間365日の緊急対応チーム(ERT)サポートを統合したハイブリッド分散型サービス拒否(DDoS)防御。
  • お客様のSD-WAN(Software Defined – Wide Area Network)アプライアンスに組み込まれた高度な境界セキュリティ・ソリューションを提供するネットワーク・エッジ・セキュリティ。

データアクセスコントロールAryakaは、データ処理システムへのアクセスを、それぞれのアクセス許可(認可)の範囲内および範囲内で必要な個人に制限するように設計された対策を実施し、維持します。
職務管理Aryakaは、お客様のためにサービスを履行する際に処理される個人データが契約に従ってのみ処理されることを保証するための措置を実施し、維持します。
可用性管理 (Availability Controls)Aryakaは、開示、偶発的または不正な破壊または損失から個人データを保護するために設計された手段を実施し、維持します。

附属書 III – サブプロセッサーのリスト

セールスフォース 用途顧客関係管理米国 Aryaka 社員のアクセス元:米国、インド、ドイツ、英国、カナダ、オーストラリア、日本、オランダ、韓国、スイス
NetSuite用途会計 インスタンスが常駐している場所米国からのアクセス:米国、インド
Zuora用途:課金 インスタンスが常駐している場所:米国アクセス元:米国およびインド
Marketo用途:マーケティングおよびメッセージングマーケティングおよびメッセージング インスタンスが存在する場所:米国アクセス元:米国、英国、インド