個人情報の取り扱いについて - ITXサービス

本個人情報取扱附属書(以下「PDH附属書」といいます)は、国際電気通信約款(以下「約款」といいます)の規定及び個人情報の保護に関する法律(以下「個人情報保護法」といいます)に基づき、個人情報の取扱いについて規定するものです。

本契約に定義されたサービスを提供する場合、両当事者は他方の当事者に代わって特定の個人データを取り扱う必要があり、この場合、両当事者はそれぞれ個人データの管理者または処理者として行動することができます。

その結果、両当事者は、APPI第22条および第15条に基づき、本PDHアネックスを締結し、以下の通り合意した:

第1条主題

本PDH付属書は、個人情報取扱事業者(PIHBO)による個人データの取扱いについて規定する。いずれのPIHBOも、他のPIHBOのために、または他のPIHBOのために、プロセッサー(サービス提供者としての地位を行使する場合)として、またはコントローラー(サービス受領者としての地位を行使する場合)として行動することができる。プロセッサーは、本契約に規定されたサービスの提供に関連して、本契約に規定されたデータ・カテゴリーおよびプリンシパルに基づき、コントローラーの指示に従って個人データを取り扱うものとする。

第2条(定義定義

個人情報とは、提供される電気通信サービスに関連する、特定または識別可能な自然人(以下「本人」といいます)に関する情報または識別符号をいい、電話番号(発信者および受信者)を含み、個々のケースに応じて、姓名、住所、個人識別番号、位置情報、IPアドレス、連絡先情報、その他の関連する個人データを含む場合があります。

本人とは、個人情報によって識別される特定の個人をいう。

個人データとは、個人情報データベースを構成する個人情報をいいます。本データは、電子的手段により転送された個人情報を指す場合がある。また、電気通信事業の性質上、これらの情報は輸入当事者の電子ファイリングシステムの一部となるため、APPIによれば、これらの情報は「個人データ」に該当する可能性があり、本PDHではこの用語を繰り返し使用します。

個人情報取扱事業者とは、APPIに規定されているとおり、個人情報データベースを管理する者をいい、中央省庁及び地方公共団体を除きます。この用語は、サービスの受領または提供、個人データの譲渡または受領により、管理者または処理者を区別なく指す場合があります。

管理者とは、特定のサービスに関する限りにおいて、契約に従い、サービスの受領者の地位を占めるPIHBOであり、その結果、契約されたサービスを受けるために必要な範囲で、特定の個人データを処理者に譲渡し、個人データの正確な取り扱いに責任を負います。

プロセッサーとは、特定のサービスに関する限りにおいて、契約に従い、サービスプロバイダーの地位を占めるPIHBOであり、その結果、サービスを正しく遵守するために、特定の個人データをコントローラーから受領します。処理者は、管理者の指示に従ってのみ個人データを取り扱います。

サブプロセッサーは、処理者の契約上のパートナーであり、管理者に代わって特定の処理活動を実施するために従事します。

個人情報保護委員会(以下「PPC」という。個人情報保護委員会は、個人情報の適正な取扱いの確保、監督及び監視、個人の権利利益の保護、基本方針の策定及び推進等を行っています。

発効日」とは、本契約が両当事者によって有効に締結された日をいう。

取り扱い」、「データ管理者」、「データ処理者」、「個人データ侵害」などの用語は、データ保護法制の下でそれらに帰せられる意味を持つものとします。

第3条PDH附属書の有効期間

本PDHアネックスは、発効日に発効するものとし、法令に別段の定めがある場合または両当事者間の合意がある場合を除き、請求の目的および/または本契約に基づくサービスの提供のために必要とされる限り、完全に効力を有するものとする。

本PDH付属書の規定に対する重大な違反があった場合、両当事者は、正当な理由があれば、通知することなく、本PDH付属書および本契約を解除することができるものとする。

上記にかかわらず、両当事者は、理由の如何を問わず本契約が終了した場合、本PDHアネックスが自動的に解決されることに明示的に同意する。

第4条処理者の義務

処理者は、管理者の指示に従う必要がある場合、または処理者が従うべき法的義務を遵守する必要がある場合を除き、サービス契約に基づくサービスの履行に必要な範囲でのみ個人データを取り扱うことを保証します。

個人データの利用目的および利用範囲は、APPI第15条に基づき、可能な限り明示します。利用目的の達成に必要な範囲を超えて個人データを取り扱う場合には、管理者の同意を得るものとします。この場合、処理者は、必要に応じて管理者を通じ、あらかじめ本人の同意を得るものとします。上記にかかわらず、APPI第16条第3項各号のいずれかに該当する場合は、本人の同意を得ることを要しないものとします。

処理者は、管理者のデータの取り扱いに関連して、業務が著しく中断した場合、データ保護義務違反の疑いがある場合、またはその他の異常が発生した場合はすべて、過度な遅滞なく管理者に通知するものとします。

処理者は、管理者のデータに関する個人データの侵害を認識した後、過度な遅滞なく、最大48時間以内に管理者に通知し、管理者がAPPIを遵守し、個人情報保護委員会(PPC)に通知するプロセスを支援するものとします。処理者は、データの安全性を確保し、プリンシパルのリスクを軽減するために必要な措置を講じるものとし、これらの措置を過度な遅延なく管理者と連携させるものとします。

処理者は、本PDH附属書に基づくデータ取扱いに関係する範囲において、監督当局と処理者との間で現在行われている連絡について、過度な遅滞なく管理者に通知するものとします。処理者は、監督当局による命令、調査およびその他の措置について、管理者に遅滞なく通知するものとします。

この点に関して、処理者は、監督当局によるデータ保護チェックが行われた場合、管理者を支援し、委託された処理に関する限り、管理者と連携して監督当局の命令を実施するものとします。

処理者は、管理者と事前に協議した場合に限り、第三者および監督当局に情報を提供するものとします。

処理者は、管理者の指示が本契約または適用される法律および法令(APPIを含むがこれに限定されない)に違反している、またはこれに反している、または違反を引き起こしていると判断した場合、電子メールを含む書面により直ちに管理者に通知します。

処理者は、APPI第27条、第28条、第29条および第30条に定めるプリンシパルの権利(例えば、開示、データの訂正もしくは消去、または利用停止の権利)を行使するための要求に対して、合理的な範囲で、かつ可能な限り、適切な技術的および組織的手段により、管理者を無償で支援するものとします。このような場合、処理者は、不当に遅延することなく、遅くとも本人からの要請を受領した翌営業日までに、当該要請を解決するために必要な情報とともに、本人からの要請を管理者に伝えるものとします。

処理者は、利用目的の達成に必要な範囲内において、管理者から提供された個人データを、APPI第19条に基づき、その取扱記録とともに正確かつ最新の内容に保つよう努めます。

プロセッサーがPPCから改善のための助言を受けた場合、プロセッサーは直ちにコントローラに通知し、助言を遵守し、コントローラの指示に従うよう最善の努力をするものとします。プロセッサーがかかる通知をコントローラに通知せず、そのためにPPCが改善命令を発行した場合、プロセッサーはこの時点から責任を負う唯一の当事者となり、上記にかかわらず、プロセッサーはかかる改善命令についてコントローラに通知するものとします。

処理者は、個人データの取扱いの全部又は一部を他の処理者(以下「再委託者」といいます)に委託する場合には、当該再委託者に対し、取扱いを委託された個人データの安全管理が図られるよう、必要かつ適切な監督を行わなければならないものとします。

両当事者は、本サービスの遂行には処理業者の関与が必要であることを認め、これに同意します。従って、管理者は、データ保護法に従い、書面による契約またはその他の法的行為により、当該サブ・プロセッサが提供するサービスの性質に適用される範囲で、本PDH付属文書に規定されているのと同じデータ保護義務を当該サブ・プロセッサに課すことを条件に、処理者が管理者に代わって特定の処理活動を実施するためにさらなる処理者(サブ・プロセッサ)を雇用することに同意するものとします。処理者は、要求に応じて、また機密保持が許す限り、サブ処理者との当該契約に関するすべての必要な情報を管理者に提供するものとします。

処理者は、さらに、このPDH附属書に従って、および/またはAPPIに従って、処理者の義務違反に起因するクレームまたは罰則が発生した場合、およびその範囲において、プリンシパルから主張された賠償請求およびコントローラに課された行政処分からコントローラを補償することを約束する。処理者によって反対の証拠が提出されるまでは、処理者がその義務に違反しているものとみなされるものとします。

処理者は、自己の過失に対する責任と同程度に、その下請業者の過失に対しても責任を負うものとする。

第5条管理者の責任および権利

APPIの範囲内において、管理者は、処理者へのデータ開示を含むデータ取扱いの許容性、およびプリンシパルの権利の保護に責任を負うものとする。

管理者は、処理者に対し、APPI第15条に基づき、個人情報の利用目的をできる限り明示します。また、管理者は、利用目的の達成に必要な範囲を超えて個人情報を取り扱う権限を処理者に付与するものとします。この場合、管理者は、APPI第16条第3項により本人の同意を得る必要がない場合を除き、処理者が本人の同意を得ることを支援するものとします。

管理者は、情報漏えい等のセキュリティ事故が発生した場合、速やかにPPC及び本人に通知し、被害の最小化及び再発防止策を含む必要な措置を講じるよう努めるものとする。

管理者は、データ取扱いの性質、範囲、手順、およびプリンシパルが行使する権利(データの訂正、消去、利用停止など)の取扱いについて指示を与える権利を有します。

管理者は、サービスを提供するために処理者が使用する個人データを、APPIを含むがこれに限定されないすべての適用されるデータ保護法に従って取り扱うことを保証します。管理者は、APPI第19条に基づき、利用目的の達成に必要な範囲内において、処理者に提供された個人データを正確かつ最新の内容に保つよう努めます。

本PDHアネックスに含まれる指示に加えて、コントローラーは、契約期間中いつでも、プロセッサーに対して新たな指示および/または修正された指示を行う権利を有する。いかなる指示も書面または電子メールにより行われるものとしますが、口頭で行われた指示も有効であり、書面または電子メールにより遅滞なく確認されるものとします。

コントローラがPPCから改善勧告を受けた場合、コントローラは、勧告に従うよう最善の努力をするものとし、かかる通知を処理者に通知し、処理者に取るべき行動を指示するものとします。

管理者が個人データの最初の管理者ではない可能性があり、したがって関連する本人に対して直接責任を負わない可能性があることを、記録のために明示します。この場合、管理者は、個人データを取り扱う管理者に代わって、実際の最初の管理者に対する義務を履行する責任を負うものとします。

第6条安全対策

当事者は、取り扱う個人データの漏えい、滅失またはき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じます。なお、これらの措置には、以下のものが含まれますが、これらに限定されるものではありません:

  1. 個人データの仮名化と暗号化。
  2. 個人データへの不正アクセスを防止する。
  3. 処理システムとサービスの継続的な機密性、完全性、可用性、回復力を確保する。
  4. 物理的または技術的なインシデントが発生した場合、個人データへの可用性とアクセスをタイムリーに回復すること。
  5. 取扱いのセキュリティを確保するための技術的・組織的措置の有効性を定期的にテストし、評価し、評価するプロセスを適用する。
  6. 個人データが保存されているコンピュータ・システムにパスワード保護を追加し、権限のある担当者のみにパスワードの詳細が与えられるようにする。
  7. 個人データにアクセスできる従業員またはその他の個人の信頼性を確保するための合理的な措置を講じるとともに、これらの従業員に対して必要かつ適切な監督を行い、個人データへのアクセスがお客様の義務を果たすために個人データへのアクセスが必要な従業員またはその他の個人に限定されるようにすること。
  8. 組織的なセキュリティ対策(責任者(DPO)の選任、社内における各担当者の責任の明確化、各担当者が取り扱うデータの範囲の明確化、データの取り扱い業務とインシデント報告ラインの明確化、部門間の責任の明確化など)、物理的なセキュリティ対策(エリアへの入退室管理、端末の盗難防止、携帯端末からの漏洩防止など)を実施する。
  9. セキュリティ違反(個人データの紛失、破損、破壊を含む)を検知し、対処するための方法を整備すること。
  10. バックアップ、ディスク、プリントアウト、冗長化された機器を含め、不要になった個人データの安全な廃棄方法を確保すること。
  11. 両当事者は、常にデータ保護法を遵守するものとし、データ保護法(APPIを含む)に基づき適用される義務に違反するような方法で、本契約またはその他の契約もしくは取り決めに基づく義務の履行、または個人データの取り扱いを行わないものとします。

SBTSの場合、本PDHの第10条に記載されているとおり、トランジットサービスに関連する義務の全部または一部を関連会社に委託しているため、SBTSは、これらの措置がSBTS自身または関連会社によって完全に実施されることを保証し、いずれの場合も、適切なセキュリティレベルに従って個人情報の取り扱いが行われることを保証します。

第7条守秘義務

両当事者間の既存の契約上の取り決めを損なうことなく、処理者は、すべての個人データを厳格に機密として取り扱うことを保証します。処理者は、すべての人または当事者(従業員、代理人、および個人データの取り扱いに関与するその他の人)が適切な秘密保持契約に署名し、これらに拘束されること、および/またはその他の拘束力のある秘密保持義務を負うことを保証するものとします。

処理者は、適用される法律により開示が義務付けられている場合、または本人が個人データを公表している場合には、この義務に違反しないものとします。

第8条 監査監査

本PDH付属書の遵守を確認するために、管理者は、独立した第三者を指定して自由に監査を実施することができるものとします。かかる監査は、処理者の合理的なセキュリティ要件に従い、処理者の事業活動を不当に妨害しないものとします。

監査は、個人データの不正使用が疑われる具体的な根拠がある場合に限り、かつ、管理者が処理者に書面で通知してから2週間以内に実施することができます。

実施された監査に関する調査結果は、両当事者によって協議・評価され、場合によっては、両当事者の一方が、または両当事者が共同で、適宜実施される。各当事者は、自らの監査費用について責任を負うものとする。監査の結果、処理者が本PDH附属書に基づく義務のいずれかを遵守していないことが証明された場合、処理者は、監査に要したすべての費用を負担し、関連費用を負担することにより、直ちに違反を是正するものとします。

第9条下請業者

両当事者は、電気通信サービスの履行および品質のために国際的な通信事業者を利用することが必要であることを認め、これに同意する。従って、処理者は、これらの下請け業者が、特に、データ保護法制の下での適切性、およびPPCの要件に従って下請け業者が実施し、本PDHに含まれる技術的および組織的措置の適切性を考慮して、真摯に選択され、処理者がAPPI第20条および第21条に基づき必要かつ適切な監督を行うことを条件として、サービスの一部を下請けすることができます。

下請け業者は、処理者とその下請け業者が、下請け業者が処理者のために本PDH付属文書に定める全ての義務を引き受ける契約を締結した場合に限り、管理者のデータにアクセスすることができる。かかる契約において、処理者および下請業者の責任は、互いに明確に区別されるものとする。

管理者は、特に下請け業者が義務に違反した場合、および/またはデータの保護が危険にさらされている場合、正当な理由により下請け業者の関与に反対することができます。

この点に関して、SBTSがプロセッサーとしての地位を保有する場合、本契約に基づき委託されたトランジットサービスの一部を、サブプロセッサーとしての地位を保有するいくつかの関連会社に再委託することが明示的に記載されており、これは、管理者の明示的な同意により受諾されます。

第10条国際データ転送

ただし、当該外国が、個人の権利利益の保護に関し我が国と同等の水準にあると認められる個人情報保護体制を整備しているものとして個人情報保護委員会規則で定める国である場合は、この限りでない。

両当事者は、電気通信サービスの履行および品質のために国際的な通信事業者を利用することが必要であることを認め、これに同意します。管理者は、本契約により、処理者が日本国外のサブ処理者に個人データを移転する際に、適切なレベルのデータ保護を確立し、確保するための措置を講じることに同意するものとします。従って、両者は、外国において、個人情報保護委員会規則で定めるところにより、我が国と同等の水準にあると認められる個人情報保護体制が整備されている場合であっても、個人データを第三者に提供する場合には、当該第三者において同等の措置が継続的に実施されるよう必要な措置を講じるとともに、本人からの求めに応じて、必要な措置に関する情報を本人に提供するものとします。

管理者と処理者の間で移転が行われる場合、いずれの当事者も第三者に配慮する必要がないため、国際的なデータ移転であるにもかかわらず、本人の同意を得る必要はありません。ただし、両当事者は、相手方が同様の保護水準を保証することを確認し、個人データの安全管理のために必要かつ適切な措置を講じるものとします。

問題となっている外国が欧州連合(EU)にあり、GDPRの対象国である場合、日本とEUの間の相互適切性取決めにより、移転は安全かつ適切であるとみなされ、同等の保護レベルが保証される。

第11条データの消去およびデータ記憶媒体の返却

本契約に基づき提供されるサービスの提供が完了した場合、または管理者の要求があった場合、処理者は、データ保護法に従い、管理者の指示に従って、所有することになった文書、作成された処理および使用結果、ならびに契約関係に関連するデータおよびデータセットを破棄しなければなりません。

上記にかかわらず、本契約および/または本PDH付属書の終了後、サービス関係に従った適切なデータ取扱いを証明するための文書および法的に要求される文書は、適用される保存期間に従って処理者によって保存されるものとします。

第12条お知らせ

本PDH附属書の条項に従って行われる、または行われる可能性のある全ての通知、要請、要求、その他の連絡は、英語で行われるものとする。

当事者間で発生した通知はすべて書面により行われ、本契約の見出しに記載された各住所において、通知された当事者が受領したことを証明するために、直接またはその他の方法で交付されるものとする。

いずれの当事者も、通知、要求、または連絡の受領確認を要求することができる。かかる受領確認は、かかる通知、要求、または通信が、スキャンされたファクシミリコピーの手段により、受領当事者が署名して返送された時点で有効となるものとする。

もしSBTSに:

法務部契約管理者
dataprotection@sbtsglobal.io

第13条その他

本PDH附属書は、各当事者のために、また各当事者の関連会社のために、両当事者間で合意されたものです。各当事者は、相手方当事者の関連会社が個人データ(以下に定義)を取り扱う限りにおいて、当該関連会社が本PDH附属書の当事者であるかのように、相手方当事者の関連会社に対して本PDH附属書のあらゆる条項を執行する権利を有します。PDH附属書において「当事者」とは、別段の定めがない限り、各当事者の関連会社を意味します。

その証として、また本書により法的に拘束されることを意図して、両当事者は、以下に記載する日付において、権限を有する代表者により本書を締結させた。

迫山慶一郎サイン
佐子山 慶一郎
代表取締役COO
日付 2022年12月16日
日本

キャリアは、署名された契約書に明示的に記載されている通り、本PDHアネックスを承認し、明示的に同意した。