本DPAで使用され、定義されていない大文字の用語は、本契約に規定されている意味を有するものとします。
- 1. 定義
- 1.1「データ管理者 」とは、単独で、または他者と共同で、あるいは共同データ管理者として、個人情報の処理目的および処理手段を決定する主体を意味します。
- 1.2「データ処理者 」とは、データ管理者に代わって個人情報を処理する事業体を意味します。
- 1.3「データ保護法 」とは、個人情報の処理に適用されるすべての法律を意味します。
- 1.4「データ主体 」とは、本DPAに基づいて個人情報が処理される可能性のある個人を意味します。
- 1.5「個人情報 」または「個人データ」とは、本契約に従って当事者に提供される、特定または識別可能な自然人に関連する個人データを意味します。
- 1.6「 処理」とは、自動化された手段であるか否かを問わず、個人情報または個人情報の集合に対して行われる操作または操作の集合を意味します。例えば、個人情報の収集、記録、整理、構造化、保管、適合または変更、検索、相談、使用、送信による開示、普及またはその他の方法で利用可能にすること、整列または組み合わせ、制限、消去、または破棄などです。
- 1.7「セキュリティ事故 」とは、偶発的または違法な破壊、紛失、改ざん、不正開示、または本DPAに基づいて送信、保存、またはその他の処理が行われた個人情報への不正アクセスにつながる、本サービスのセキュリティ侵害を意味します。
- 2.両当事者の関係 両当事者は、本契約の目的上、リセラーとAryakaがそれぞれ管理者であることを認めます。
本契約を履行するために、両当事者は業務連絡先情報などの限定的な個人情報を相互に提供する必要があります。
両当事者は、本契約および本DPAに従って、または適用されるデータ保護法の要求に従って、当該個人情報を処理します。
本契約に定めるとおり、リセラーは、リセラーによる顧客へのサービス提供を促進するため、随時、顧客に関する情報を Aryaka に提供することがあります。
このような場合、Aryakaは、リセラーの文書化された指示に基づいてのみ、リセラーの顧客に関する個人情報を処理します。
各当事者は、個人情報の処理に関して、データ対象者またはその他の個人に対して必要な通知を行い、必要な同意を得ることを含め、個人情報の処理に関して適用されるデータ保護法に基づく義務を遵守することに単独で責任を負うものとします。
明確にするため、Aryaka は、本契約に従ってリセラーにサービスを提供する以外の目的(リセラーにサービスを提供する以外の商業目的、または適用されるデータ保護法によって要求される場合を含みますが、これに限定されません)で、個人情報を保持、使用、または開示することはありません。
上記を制限することなく、いかなる場合においても、Aryaka は当該個人情報を第三者に販売または共有することはありません。
Aryakaは、上記の制限を理解し、遵守することを保証します。
Aryakaが適用されるデータ保護法に基づく義務を果たすことができなくなったと判断した場合、Aryakaは速やかにリセラーに通知します。 - 3.共同管理者。当事者が共同データ管理者として行動する場合、各当事者は独立したデータ管理者であり、データ保護法に基づきデータ管理者として適用される義務を遵守する責任を個別に負うものとします。
共同管理者として行動する場合、各当事者は、個人データ処理の目的および手段を個別に決定します。 - 4.守秘義務 両当事者は、個人情報の機密性を保護するために、その職員に要求します。
- 5.セキュリティ両当事者は、Aryaka Network内またはAryaka Network上の個人データの安全性、機密性、および完全性を、不正な紛失、破壊、改ざん、アクセス、または開示から保護するための合理的な管理的、物理的、および技術的な保護措置を維持します。
- 6.セキュリティ事故。 いずれかの当事者によって個人情報を危険にさらすセキュリティインシデントが発生した場合、セキュリティインシデントに遭遇した当事者は、法律で禁止されている場合、または法執行機関もしくは監督当局の指示がある場合を除き、不当に遅延することなく、いかなる場合でも48時間以内に相手方当事者に通知します。
処理の性質およびセキュリティ・インシデントに関して利用可能な情報を考慮し、セキュリティ・インシデントに遭遇した当事者は、他方の当事者の合理的な要求に応じて、当該当事者が当該セキュリティ・インシデントに関して影響を受けるデータ対象者または規制当局に提供することが法的に義務付けられている通知に関して、他方の当事者に合理的な支援および協力を提供します。
当事者は、適用される法律で許可される範囲において、かかる要請された支援に対して、相手方当事者に合理的な手数料を請求する権利を留保します。 - 7. データ主体の要求 本契約の性質上、両当事者は、リセラーがデータ対象者の要求に対応する適切な当事者であることに同意します。
Aryakaは、適用法で禁止されていない限り、Aryakaが要請を受けた場合、速やかにリセラーに通知します:
(i) Aryakaが処理する個人情報に関するデータ主体からの要求(オプトアウト要求、アクセス要求、修正要求、ブロック要求、消去要求、データポータビリティ要求、その他類似の要求を含みますが、これらに限定されません)。
(ii) データ主体の権利を侵害するという申し立てを含む、Aryakaによる個人情報の処理に関する苦情。
リセラーは、データ対象者の要求に対応する責任を負います。
リセラーの要請があり、処理の性質を考慮した場合、Aryakaは、適用されるデータ保護法に基づいてリセラーが負う可能性のある、データ主体の要請に対応する義務の履行のために、可能な限り適切な技術的および組織的手段によってリセラーを支援します。
Aryakaは、適用される法律で許容される範囲内において、かかる要請された支援に対する妥当な料金をリセラーに請求する権利を留保します。 - 8.サブプロセッサー。 両当事者は、相手方当事者が、本契約に基づくサービスを提供する目的で、その処理者および下請業者(以下「下請業者」といいます)に個人情報を開示できることに同意します。ただし、両当事者は、その下請業者に対して、個人情報のセキュリティおよび機密保持に関して、本DPAに規定されている義務と実質的に同様の義務を課すものとします。
両当事者は、要請に応じて、(a) サブプロセッサーのリストを利用可能にし、このリストの変更に関する通知を受け取る仕組みを提供します。
両当事者は、あらゆるサブプロセッサの作為または不作為について、その作為または不作為がサブプロセッサを雇用した事業体によって行われた場合と同じ範囲で責任を負うものとします。 - 9.データの場所。 本契約の履行に関連して、いずれかの当事者は、英国(「英国」)、欧州経済地域(「EEA」) 、またはスイスの内外を含むさまざまな場所に個人情報を移転する場合があります。
かかる移転が、拘束力のある妥当性決定を得ていない英国、欧州経済地域(EEA)またはスイス以外の国の場所への、英国、EEAまたはスイスで発生した個人情報の移転を伴う限りにおいて、両当事者は、両当事者が共同管理者として行動する場合、付録1に添付されている欧州連合標準契約条項(管理者から管理者へ)がかかる移転に適用されることに同意し、かかる移転は付録1に記載されています。
当事者間の関係が管理者から処理者への関係である場合、欧州連合標準契約条項(管理者から処理者への関係)がかかる譲渡に適用され、かかる譲渡は付属書類1に記載されています。 - 10.監査。 いずれかの当事者の要求に応じて、相手側当事者は、(a) サービス組織統制 1、タイプ 2 レポート、または同等のレポートなどの第三者による評価 (「第三者レポート」)の コピーを入手した場合はそのコピーを、(b) 第三者レポートを入手していない場合は、本契約の遵守を確認する目的で合理的に提出された書面による質問に対する回答( 「回答書」 )を 、 1 年に 1 回を限度として提供します 。
かかる第三者報告書および書面による回答はすべて、提出当事者の機密情報であり、法律で義務付けられている場合を除き、当該当事者の書面による事前の同意なしに開示することはできません。
他方当事者が、第三者報告書ではなく回答書を提出することにより相手方当事者の要請に応じ、要請当事者が回答書の受領後、法律により更なる評価が必要であると合理的に判断した場合、要請当事者は、30日前の事前通知により、当事者間で合意された範囲において、本サービスの関連方針、手順、関連文書について、当該当事者の費用負担でレビューを実施するよう要請することができます。
リセラーは、個人情報の不正使用を停止し、是正するための合理的な措置を講じる権利を有するものとします。 - 11.返却または廃棄。本契約の終了時に要求があった場合、適用される法律により個人データの保管が義務付けられている場合を除き、いずれかの当事者は、そのシステムから個人データを速やかに削除します。
Appendix 1Standard Contractual Clauses (2021) Controller-to-Controller 本DPAに参照として組み込まれ、ここからアクセスできます:www.aryaka.com/SCC2021-Controller-to-Controller/
付録 IA.当事者リストデータ輸出者:データ輸出者は以下のとおりです:本契約で定義されている再販業者 [データ輸出者の身元および連絡先、および該当する場合は、欧州連合におけるデータ保護責任者および/または代表者の身元および連絡先]。
名称リセラーとAryaka間の注文書を参照してください。
住所リセラーとAryaka間の注文書を参照してください。
担当者の氏名、役職、連絡先の詳細:リセラーとAryaka間の注文書を参照してください。
本条項に基づいて移転されるデータに関連する活動:リセラーとAryaka間の契約を参照
役割(コントローラー/プロセッサー):コントローラー
データインポーター データインポーターはAryakaです。 データ保護に責任を持つ連絡担当者を含む、データ輸入者の身元および連絡先詳細
会社名株式会社アーリアカネットワークス
住所1850 Gateway Drive, Suite 500, San Mateo, CA 94404 USA
担当者名、役職、連絡先:エドワード・フライ、CISCO/IT、[email protected]
本条項に基づいて移転されるデータに関連する活動:リセラーとAryaka間の契約を参照
役割(コントローラー/プロセッサー):コントローラー
B.譲渡の説明
個人データが移転されるデータ主体の分類
リセラーとAryakaのビジネスコンタクト。
移転される個人データのカテゴリー氏名、役職、電子メールアドレス、電話番号、住所などの業務上の連絡先情報
例えば、厳密な目的制限、アクセス制限(特別な訓練を受けたスタッフのみへのアクセスを含む)、データへのアクセス記録の保管、転送の制限、追加のセキュリティ対策など。
なし
転送の頻度(例えば、データが単発的に転送されるのか、継続的に転送されるのか)。
本契約に基づくサービスの履行および商取引関係の維持に必要な場合。
処理の性質Aryakaは、契約に従ってサービスを履行するために必要な個人情報を処理します。
データ転送とさらなる処理の目的
英国、EEA、またはスイス国外にあるAryakaの事業所への転送。
Aryakaは、契約に従ってサービスを履行するために必要な個人情報を処理します。
個人情報の保存期間、またはそれが不可能な場合は、その期間を決定するために使用した基準
| 種類 | 保有年数 |
|---|---|
| 販売実績 | 5年間 |
| 請求書 | 7年 |
| 総勘定元帳 | 正社員 |
(サブ)プロセッサーへの転送については、処理の対象、性質、期間も指定してください。 以下のサブプロセッサーは、以下のサービス/以下の処理場所に配置される可能性があります:
セールスフォース用途
顧客関係管理 インスタンスが常駐している場所: アメリカ アクセスはAryaka Personnelから: アメリカ、インド、ドイツ、イギリス、カナダ、オーストラリア、日本、オランダ、韓国、スイス NetSuite:
ご利用ください: 会計 インスタンスが常駐している場所: アメリカ アクセスはAryaka Personnelから: アメリカとインド
ズオラ 利用
請求 インスタンスが常駐している場所: アメリカ アクセスはAryaka Personnelから: アメリカとインド
マルケト用途
マーケティングおよびメッセージングインスタンスが常駐している場所
米国Aryaka 要員によるアクセス元:
米国、英国、インドC. 管轄監督機関第13条に従い、管轄監督機関/団体を 特定してください。
付録2標準契約条項(2021年) Controller-to-Controller は、参照により本DPAに組み込まれ、こちら(www.aryaka.com/SCC2021-Controller-to-Controller/)からアクセスできます。
付録 I
A.当事者リスト
データエクスポーター データエクスポーターは本契約に定義されたリセラー [データ輸出者の身元および連絡先、および該当する場合は、欧州連合におけるデータ保護責任者および/または代表者の身元および連絡先]。
名称リセラーとAryaka間の注文書を参照してください。
住所リセラーとAryaka間の注文書を参照してください。
担当者の氏名、役職、連絡先の詳細:リセラーとAryaka間の注文書を参照してください。
本条項に基づいて移転されるデータに関連する活動:リセラーとAryaka間の契約を参照
役割(コントローラー/プロセッサー):プロセッサー
データインポーター データインポーターはAryakaです。 データ保護に責任を持つ連絡担当者を含む、データ輸入者の身元および連絡先詳細
会社名株式会社アーリアカネットワークス
住所1850 Gateway Drive, Suite 500, San Mateo, CA 94404 USA
担当者名、役職、連絡先:エドワード・フライ、CISCO/IT、[email protected]
本条項に基づいて移転されるデータに関連する活動: … リセラーとAryaka間の契約を参照してください。
役割(コントローラー/プロセッサー):プロセッサー
B.譲渡の説明
個人データが移転されるデータ主体の分類
カスタマーサポートの提供など、本サービスの提供に必要なリセラーの顧客情報。
移転される個人データのカテゴリー氏名、役職、電子メールアドレス、電話番号、住所などの業務上の連絡先情報
例えば、厳密な目的制限、アクセス制限(特別な訓練を受けたスタッフのみへのアクセスを含む)、データへのアクセス記録の保管、転送の制限、追加のセキュリティ対策など。
なし
転送の頻度(例えば、データが単発的に転送されるのか、継続的に転送されるのか)。
本契約に基づくサービスの履行および商取引関係の維持に必要な場合。
処理の性質Aryakaは、契約に従ってサービスを履行するために必要な個人情報を処理します。
データ転送とさらなる処理の目的
英国、EEA、またはスイス国外にあるAryakaの事業所への転送。
Aryakaは、契約に従ってサービスを履行するために必要な個人情報を処理します。
個人情報の保存期間、またはそれが不可能な場合は、その期間を決定するために使用した基準
| 種類 | 保有年数 |
|---|---|
| 販売実績 | 5年間 |
| 請求書 | 7年 |
| 総勘定元帳 | 正社員 |
(サブ)プロセッサーへの転送については、処理の対象、性質、期間も指定してください。 以下のサブプロセッサーは、以下のサービス/以下の処理場所に配置される可能性があります:
セールスフォース用途
顧客関係管理 インスタンスが常駐している場所: アメリカ アクセスはAryaka Personnelから: アメリカ、インド、ドイツ、イギリス、カナダ、オーストラリア、日本、オランダ、韓国、スイス NetSuite:
ご利用ください: 会計 インスタンスが常駐している場所: アメリカ アクセスはAryaka Personnelから: アメリカとインド
ズオラ 利用
請求 インスタンスが常駐している場所: アメリカ アクセスはAryaka Personnelから: アメリカとインド
マルケト用途
マーケティングおよびメッセージングインスタンスが常駐している場所
米国Aryaka 要員によるアクセス元:
米国、英国、インドC. 管轄監督機関第13条に従い、管轄監督機関/団体を 特定してください。
セキュリティ基準
データ輸入者が条項4(d)および5(c)に従って実施した技術的および組織的なセキュリティ対策の説明(または添付文書/法令): 両当事者は、個人情報およびその他の個人データを保護するために設計された様々な方針、基準、およびプロセスを維持します。
以下は、両当事者によって実施される中核的な技術的および組織的セキュリティ対策の一部の説明です。
物理的アクセス制御
個人データを処理するために使用されるデータ処理機器が設置されている物理的な場所への権限のない者の物理的なアクセスを防止するための措置。
テクニカル・アクセス・コントロール
許可されていない人物が当事者のデータ処理システムにアクセスすることを防止するための対策:
- 検知およびミティゲーション(オンプレミスまたはクラウド)と、クラウドベースのボリューメトリックDDoS攻撃防御、および24時間365日の緊急対応チーム(ERT)サポートを統合したハイブリッドDDoS防御。
- リセラーのSD-WANアプライアンスに組み込まれた高度な境界セキュリティソリューションを提供するネットワークエッジセキュリティ。
データアクセスコントロール
データ処理システムへのアクセスを、それぞれのアクセス許可(認可)の範囲内で必要な個人に制限し、個人データが許可なく読み取られ、コピーされ、修正され、または削除されることを防止する措置を講じます。
入力制御
個人データの送信中に、権限のない第三者によって個人データが読み取られたり、コピーされたり、改ざんされたり、削除されたりすることを防止するために設計された措置。
ジョブ・コントロール
処理される個人データが契約に従ってのみ処理されることを保証するために設計された措置。
可用性管理
開示、偶発的または不正な破壊または紛失から個人データを保護するために設計された対策。