データ処理契約

最終更新日：2022年8月13日

カイテラ

情報処理契約

本データ処理契約（「DPA」）には、一般データ保護規則（「GDPR」）に基づく個人データの第三国への移転に従って欧州委員会が欧州連合で使用するために採択した標準契約条項（「EU SCC」）、および英国のGDPRに従って英国からのデータの制限付き国際移転の要件を満たすために英国（「英国」）情報コミッショナー事務局が承認した標準契約条項（「UK SCC」）が含まれます、の間のKaiterra Master Subscription Agreement、Kaiterra Terms of Service、Kaiterra Terms of Purchase、または本DPAを参照するその他の書面による合意（以下「合意」）に基づく個人データの処理に適用される条件に関する当事者の合意を反映したものです。(以下「Kaiterra」といいます)と本契約の当事者であるお客様(以下「お客様」といいます)との間の本DPAを参照するその他の書面による契約(以下「本契約」といいます)。本DPAは本契約に組み込まれ、本契約の一部となります。お客様の記録のために本DPAの署名入りコピーが必要な場合は、privacy@kaiterra.com までご連絡ください。

当社は、本DPAを定期的に更新します。お客様が有効なKaiterraのサブスクリプションをお持ちの場合、更新の際には電子メールまたはアプリ内の通知によりお知らせします。

本DPAの期間は、本契約の期間に従うものとします。本規約に別段の定義がない用語は、本規約に定める意味を有するものとします。

本DPAには以下が含まれます：

(i) 別紙1として添付されるEU SCC。

(a) EU SCCs の付属書 1。データ輸出者からデータ輸入者に転送される個人データの詳細が記載されています。

(b) EU SCC の付属書 2。この付属書には、データ輸入者が実施する技術的および組織的なセキュリティ対策が記載されています。

(ii) 付属書類 3 として添付されている、現在の Kaiterra サブ処理業者のリスト。

(ii) 別紙 2 として添付されている英国 SCC。

(a) データ輸出者からデータ輸入者に転送される個人データの詳細を含む、英国SCCの付録1。

(b) データ輸入者が実施する技術的および組織的なセキュリティ対策の説明を含む、英国SCCの付録2。

1.定義

「管理者」とは、単独で、または他者と共同で、個人データ処理の目的および手段を決定する自然人または法人、公的機関、代理店、その他の団体を意味します。

「データ保護法」とは、GDPRを含むがこれに限定されない、データ保護およびプライバシーに関連するすべての適用法およびそのいずれかを改正または置換するすべての現地法および規制を意味し、欧州連合加盟国または適用される範囲においてその他の国における国内実施法とともに、随時改正、廃止、統合または置換されるものとします。process」、「processs」および「processed」という用語は、それに応じて解釈されます。

「データ主体」とは、個人データに関連する個人を意味します。

「Kaiterra 製品」とは、本契約に基づき Kaiterra がお客様に提供する Kaiterra ハードウェアおよび関連サービスを意味します。

"GDPR "とは、個人データの処理に関する自然人の保護および当該データの自由な移動に関する2016年4月27日の欧州議会および理事会の一般データ保護規則（EU）2016/679、または英国のGDPRを含むがこれに限定されない、欧州連合外のGDPRの類似の実施を意味する。

「指示」とは、管理者から処理者に対して発行され、個人データに関する特定の行為（非個人化、ブロック、削除、利用可能にすることを含むがこれらに限定されない）を実行するよう指示する、文書化された指示を意味します。

「個人データ」とは、特定または識別可能な個人に関連する情報であって、当該情報が顧客データ内に含まれ、適用されるデータ保護法の下で個人データまたは個人識別可能情報として同様に保護されるものを意味します。

「個人データの侵害」とは、送信、保存、またはその他の方法で処理された個人データの偶発的または違法な破壊、紛失、改ざん、不正な開示、または個人データへのアクセスにつながるセキュリティ侵害を意味します。

「処理」とは、個人データの収集、記録、整理、構造化、保管、翻案または変更、検索、相談、使用、送信による開示、普及またはその他の方法で利用可能にすること、整列または結合、制限または消去を含む、個人データに対して行われるあらゆる操作または一連の操作を意味します。

「処理者」とは、管理者に代わって個人データを処理する自然人または法人、公的機関、代理店またはその他の機関を意味します。

「標準契約条項」とは、適切なデータ保護レベルが確保されていない第三国に設立された処理業者への個人データの移転に関する標準契約条項に関する欧州委員会の2021年6月4日付決定（EU）2021/914および2010年2月5日付決定（C(2010)593）に従い、本書に別紙1および別紙2として添付されている条項を意味します。

「サブプロセッサー」とは、個人データを処理するためにKaiterraが従事するプロセッサーを意味します。

2.お客様の責任

両当事者は、お客様が個人データの管理者であり、Kaiterraが個人データの処理者であることを認識し、同意するものとします。本契約の範囲内およびKaiterra製品の使用において、管理者は、データ保護およびプライバシーに関連する法的要件、特に処理者への個人データの開示および転送、ならびに個人データの処理に関する法的要件を遵守することに単独で責任を負うものとします。コントローラーは、個人データの処理に関する法的規定に関する誤りまたは不正について、包括的かつ不当な遅延なくプロセッサーに通知するものとします。

3.処理者の義務

a.指示の遵守。処理者は、コントローラの指示の範囲内でのみ個人データを収集、処理、および使用するものとします。コントローラの指示は、本DPA、契約書、および該当する注文書に文書化されています。コントローラは、データ保護法を遵守するために必要な追加の指示を合理的に発行することができます。プロセッサーは、追加の指示に従うために合理的な料金を請求することができます。

処理者は、コントローラの指示がデータ保護法に違反していると判断した場合、遅滞なく速やかにコントローラに通知するものとします。適用される法律で禁止されていない限り、プロセッサーが指示に反してコントローラーの個人データを処理することを必要とする法的義務の対象となる場合、プロセッサーはコントローラーに通知し、(ii) コントローラーがプロセッサーが遵守できる新たな指示を発行するまで、すべての処理（単に影響を受ける個人データの保管およびセキュリティの維持を除く）を中止することができるものとします。この規定が発動された場合、プロセッサーは、処理に関してコントローラーが新たな指示を発行するまで、適用されるKaiterra製品の不履行について、本契約に基づきコントローラに対して責任を負いません。

b.セキュリティ。プロセッサーは、EU SCCsの付属書2およびUK SCCsの付属書2に記載されている、偶発的または違法な破壊、紛失、改ざん、個人データの不正開示、または個人データへのアクセスから個人データを適切に保護するための適切な技術的および組織的措置を講じるものとします。コントローラーの要求に応じて、プロセッサーは、本契約に基づく処理に関する最新の個人データ保護およびセキュリティプログラムを提供するものとします。

プロセッサーは、個人データに関するセキュリティ対策を実施するコントローラーの義務（該当する場合、GDPR第32条から第34条（含む）に従ったコントローラーの義務を含む）を遵守するために、(i) 付録2に記載されたセキュリティ対策を実施および維持し、(ii) 英国SCC第4条(d)およびEU SCC第8条(a)の条件を遵守することにより、コントローラーを支援します。6(a)（個人データの漏えい）の条件を遵守すること、(iii)英国SCC第5項およびEU SCC第8.9項（監査）に従い、処理に関する情報を管理者に提供すること。

c.秘密保持。処理者は、処理者が自己に代わって個人データを処理する権限を付与した人員に、当該個人データに関する守秘義務を負わせるものとします。機密保持の約束は、上記の活動の終了後も継続するものとします。

d.個人データの侵害。処理者は、個人データに影響を及ぼす個人データ侵害を認識した後、合理的に実行可能な限り速やかにコントローラに通知します。コントローラーの要請により、プロセッサーは、コントローラーがデータ保護法に基づいて関連する個人データ侵害を管轄当局および/または影響を受けるデータサブジェクトに通知する必要がある場合、コントローラーが関連する個人データ侵害を管轄当局および/または影響を受けるデータサブジェクトに通知できるようにするために必要なすべての合理的な支援をコントローラーに提供します。

e.データ主体の要求。処理者は、適切な技術的および組織的手段を含め、また処理の性質を考慮し、個人データに関してデータ保護法に基づく権利の行使（該当する場合、個人データへのアクセス、修正、制限、削除、またはポータビリティを含む）を求めるデータ主体からの要求にコントローラが対応できるよう、法律で許可される範囲で合理的な支援を提供します。かかる要請が処理者に直接なされた場合、処理者は管理者に通知し、データ対象者に管理者に要請を提出するよう助言します。管理者は、データ対象者の要求に対応する責任を負うものとします。

コントローラーがデータ主体の要求に対応する能力を持たない場合、コントローラーの要求に応じて、プロセッサーは、適用されるデータ保護法によって要求される場合に限り、可能な範囲で、当該データ主体の要求を促進するための合理的な支援をコントローラーに提供するものとします。コントローラーは、この支援から生じる商業的に合理的な費用をプロセッサーに払い戻すものとします。

f.f.個人データの削除または検索。データ保護法を遵守するために必要な範囲を除き、本契約の終了または満了後、処理者は、本DPAに従って処理されたすべての個人データ（そのコピーを含む）を削除または返却するものとします。プロセッサーが技術的またはその他の理由で個人データを削除できない場合、プロセッサーは、個人データがそれ以降の処理から遮断されるようにする措置を適用します。

コントローラーは、本契約の終了または満了時に、インストラクションを発行することにより、プロセッサーが設定した期間内に、データの返却または保存データの削除のための合理的な措置を規定するものとします。本契約の終了または期間満了後の個人データの返却または削除に関連して発生する追加費用は、コントローラが負担するものとします。

g.データ保護影響評価およびデータ保護当局との協議。必要な情報がプロセッサーに入手可能であり、コントローラーが必要な情報にアクセスできない範囲において、プロセッサーは、コントローラーがGDPR第35条もしくは第36条またはその他のデータ保護法の同等の規定によって必要と合理的に考えるデータ保護影響評価、およびデータ保護当局との事前協議について、いずれの場合も個人データの処理にのみ関連して、コントローラーに合理的な支援を提供します。

4.監査

プロセッサーは、データ保護法に従い、かつコントローラーの合理的な書面による要求に応じて、プロセッサーが保有または管理している、プロセッサーが個人データの処理に関してデータ保護法に基づくデータ処理者の義務を遵守していることに関連する情報をコントローラーに提供するものとします。

コントローラは、書面による要請および少なくとも30日前までにプロセッサーに通知することにより、通常の営業時間内かつプロセッサーの業務運営を中断することなく、プロセッサーの業務運営の検査を実施するか、または不当に保留されないプロセッサーの承認を条件として、資格のある第三者監査人による検査を実施させることができるものとします。

プロセッサーは、コントローラーの書面による要求があり、少なくとも30日前までにプロセッサーに通知した場合、プロセッサーが管理できる範囲内で、適用法、守秘義務、または第三者に負うその他の義務によって開示が妨げられない限りにおいて、かかる監査に必要なすべての情報をコントローラーに提供するものとします。

5.サブプロセッサー

コントローラは、プロセッサーがサブプロセッサーと契約することを許可します。処理者の現在のサブ処理者のリストは、付属書3に記載されています。誤解を避けるため、上記の許可は、英国SCCsの第11項およびEU SCCsの第9項における、処理者によるサブ処理に対するコントローラの事前の書面による同意となります。処理者は、本DPAの条項の遵守を含め、データ保護法で要求される基準のデータ保護義務をサブ処理者に課す書面による契約をサブ処理者と締結します。プロセッサーは、サブプロセッサーを変更する場合は、事前にコントローラに通知するものとします。コントローラは、データ保護法違反の可能性または実際の違反に関連する合理的な根拠に基づいてサブプロセッサの追加に反対することができます。コントローラとプロセッサーは、コントローラの異議に対処するために誠意をもって協力します。処理者が、コントローラの反対を押し切ってサブプロセッサを保持することを選択した場合、処理者は、サブプロセッサに個人データの処理を許可する少なくとも30日前にコントローラに通知し、コントローラは、直ちにKaiterra製品の関連部分の使用を中止し、30日以内にKaiterra製品の関連部分を終了することができます。

6.データ転送

コントローラーは、本契約に基づくKaiterra製品の履行に関連して、個人データが米国のKaiterraに転送されることを認識し、同意するものとします。別紙1として添付されているEU SCCは、EEA域外に直接または転送される個人データに関して、米国または欧州委員会が個人データの適切な保護レベルを提供していないと認めていないその他の国（データ保護法に記載されている）に適用されます。別紙2として本書に添付されている英国SCCは、英国外から米国または2018年データ保護法第17条Aに基づく適切性規制が適用されないその他の国に直接または転送される個人データに関して適用されます。

7.一般規定

本DPAの更新および変更に関しては、本契約の「契約の変更」および「一般」の項に適用される条項が適用されるものとします。本DPAの個々の条項が無効または執行不能である場合、本DPAのその他の条項の有効性および執行可能性は影響を受けないものとします。

本DPAが本契約に組み込まれることにより、本DPAの当事者は、標準契約条項（該当する場合、および該当する場合）およびそれに付属するすべての付録に同意するものとします。ただし、(a) コントローラーは、本DPA第5条に規定され、その要件に従うことを条件として、英国SCC第5条(f)およびEU SCC第8.9条に基づく監査権を行使することができ、(b) プロセッサーは、本DPA第6条に規定され、その要件に従うことを条件として、サブプロセッサーを指名することができます。

別紙1

標準契約条項

コントローラーからプロセッサーへ

セクション I

第1節

目的と範囲

(a) 本標準契約条項の目的は、個人データの第三国への移転に関して、個人データの処理に関する自然人の保護および当該データの自由な移動に関する2016年4月27日付欧州議会および理事会規則（EU）2016/679（一般データ保護規則）の要件を確実に遵守することである。

(b) 当事者

(i) 付属書 I.A に記載されている、個人データを移転する自然人又は法人、公的機関、代理店又はその他の団体（以下「事業者」という。

(ii) データ輸出者から、同じく附属書 I.A に記載されている本条項の締約国である他の事業体（以下、「データ輸入者」という。）

がこの標準契約条項（以下「条項」という。）

(d) 本条項で言及されている付属文書を含む本条項の付属文書は、本条項の不可分の一部を構成します。

第2条

本約款の効力および不変性

(a) 本条項は、規則(EU)2016/679 の第 46 条(1)および第 46 条(2)(c)に従い、強制可能なデータ主体の権利および効果的な法的救済を含む適切な保護措置を定めるものであり、管理者から処理者へのデータ移転および/または処理者から処理者へのデータ移転に関しては、規則(EU)2016/679 の第 28 条(7)に従い、標準契約条項を定めるものです。ただし、これらの条項が直接的または間接的に本条項と矛盾しないこと、またはデータ対象者の基本的権利または自由を害しないことを条件とします。

(b)本条項は、データ輸出者が規則(EU) 2016/679により従う義務を損なうものではありません。

第 3 条

第三者の受益者

(a) データ主体は、以下の例外を除き、データ輸出者および／またはデータ輸入者に対して、第三受益者として本条項を適用することができます：

(i) 第 1 条、第 2 条、第 3 条、第 6 条、第 7 条；

(ii) 第8条 - モジュール 1：第8.5条(e)および第8.9条(b)、モジュール 2：第8.1条(b)、第8.9条(a)、(c)、(d)および(e)、モジュール 3：モジュール4：第8.1条(b)、第8.9条(a)、(c)、(d)、及び(e)、(f)、(g)：第8.1条(b)及び第8.3条(b)；

(iii) 第9条 - モジュール2：第9条(a)、(c)、(d)および(e)、モジュール3：第9条(a)、(d)および(e)：モジュール3：条項9(a)、(c)、(d)および(e)；

(iv) 第12条 - モジュール1：第12条(a)および(d)、モジュール2および3：モジュール2および3：第12条(a)、(d)および(f)；

(v) 第13条

(vi) 第15.1条(c)、(d)、(e)；

(vii) 第16条(e)；

(viii) 第18条 - モジュール1、2、3：モジュール4：第18条

(b) (a)項は、規則(EU)2016/679に基づくデータ主体の権利を損なうものではない。

第4条

解釈

(a) 本条項において規則(EU)2016/679で定義されている用語が使用されている場合、これらの用語は同規則と同じ意味を有するものとする。

(b) 本条項は、規則(EU)2016/679の規定に照らして読み解釈されるものとする。

第5条

階層

本条項と、本条項が合意された時点またはその後締結された両当事者間の関連協定の規定との間に矛盾がある場合は、本条項が優先するものとする。

第6条

譲渡の内容

移転の詳細、特に移転される個人データのカテゴリーおよび移転の目的は、付属書類I.B.に明記されています。

第7条

ドッキング条項

(a) 本条項の当事者でない事業体は，附属書に記入し附属書Ⅰ.Aに署名することにより，両当事者の同意を得て，データ輸出者として又はデータ輸入者として，いつでも本条項に加入することができる。

(b) 付録に記入し、附属書Ⅰ.Aに署名した場合、加盟した当事者はこの約款の当事者になり、附属書Ⅰ.Aにおける指定に従ってデータ輸出者またはデータ輸入者の権利および義務を有する。

第 II 節 - 当事者の義務

第8条

データ保護の保護措置

データ輸出者は、データ輸入者が適切な技術的および組織的措置を実施することにより、本条項による義務を満たすことができることを確認するために合理的な努力を払ったことを保証するものとします。

8.1 指示

(a) データ輸入者は、データ輸出者からの文書化された指示にのみ基づいて個人データを処理するものとします。データ輸出者は、契約期間中、そのような指示を与えることができる。

(b) データ輸入者は、その指示に従うことができない場合は、データ輸出者に直ちに通知するものとします。

8.2 目的の制限

データ輸入者は、データ輸出者からの追加指示がない限り、付属書 I.B に規定されている転送の特定の目的のためにのみ個人データを処理するものとします。

8.3 透明性

データ輸出者は、要求があれば、両当事者によって記入された付属文書を含む本条項のコピーをデータ対象者に無料で提供するものとします。附属書 II に記載された措置および個人情報を含む、業務上の秘密またはその他の機密情報を保護するために必要な範囲において、データ輸出者は、そのコピーを共有する前に、本条項の附属書のテキストの一部を編集することができますが、データ対象者がその内容を理解したり権利を行使したりすることができない場合には、意味のある要約を提供しなければなりません。要求があれば、両当事者は、冗長化された情報を明らかにすることなく、可能な限り、冗長化の理由をデータ当事者に提供するものとする。本条項は、規則（EU）2016/679の第13条および第14条に基づくデータ輸出者の義務を損なうものではありません。

8.4 正確性

データ輸入者は、受領した個人データが不正確であること、または古くなっていることを認識した場合、データ輸出者に遅滞なく通知するものとします。この場合、データ輸入者はデータ輸出者と協力してデータの消去または修正を行うものとします。

8.5 データ処理の期間およびデータの消去または返却

処理サービスの提供が終了した後、データ輸入者は、データ輸出者の選択により、データ輸出者のために処理されたすべての個人データを消去し、その旨をデータ輸出者に証明するか、またはデータ輸出者のために処理されたすべての個人データをデータ輸出者に返却し、既存のコピーを消去するものとします。データが削除または返却されるまでは、データ輸入者は引き続き本条項を遵守するものとします。データ輸入者に適用される現地の法律が個人データの返却または削除を禁止している場合、データ輸入者は引き続き本条項を遵守し、当該現地の法律で義務付けられている範囲内および期間においてのみ個人データを処理することを保証するものとします。これは、第 14 条、特に第 14 条(e)に基づくデータ輸入者が、第 14 条(a)に基づく要件と一致しない法律または慣行の適用を受ける、または受けるようになったと信じるに足る理由がある場合、契約期間中を通じてデータ輸出者に通知するという要件を損なうものではありません。

8.6 処理のセキュリティ

(a) データ輸入者、およびデータ送信中はデータ輸出者は、偶発的または不法なデータの破壊、紛失、改ざん、不正な開示またはデータへのアクセス（以下「個人データの漏洩」）につながるセキュリティー違反からの保護を含め、データのセキュリティーを確保するために適切な技術的および組織的措置を講じるものとする。適切なセキュリティ・レベルを評価する際、両当事者は、技術的な状況、実装のコスト、処理の性質、範囲、文脈および目的、ならびにデータ対象者の処理に伴うリスクを十分に考慮するものとする。両当事者は、特に、処理の目的がそのような方法で達成される場合には、送信中も含め、暗号化または仮名化を利用することを検討するものとする。偽名処理の場合、個人データを特定のデータ対象者に帰属させるための追加情報は、可能な限り、データ輸出者の排他的管理下に置かれるものとする。本項に基づく義務を履行する場合、データ輸入者は少なくとも付属文書 II に規定された技術的および組織的措置を実施しなければならない。データ輸入者は、これらの措置が引き続き適切なレベルのセキュリティを提供することを保証するために、定期的な検査を実施するものとする。

(b) データ輸入者は、契約の実施、管理および監視のために厳密に必要な範囲に限り、その従業員に個人データへのアクセスを許可するものとする。データ輸入者は、個人情報を処理する権限を与えられた者が守秘義務を負うか、または適切な守秘義務を負うことを保証しなければならない。

(c) 本条項に基づいてデータ輸入者によって処理された個人データに関して個人情報漏えいが発生した場合、データ輸入者は、その悪影響を軽減する措置を含む、漏えいに対処するための適切な措置を講じるものとします。データ輸入者はまた、違反に気づいた後、過度の遅滞なくデータ輸出者に通知するものとします。この通知には、詳細情報を入手できる連絡先の詳細、情報漏えいの性質（可能であれば、関係するデータ主体および個人データ記録のカテゴリーとおおよその数を含む）の説明、予想される結果、および適切な場合には、起こりうる悪影響を軽減するための措置を含む、情報漏えいに対処するために講じられた、または提案された措置を含むものとする。すべての情報を同時に提供することが不可能な場合、最初の通知にはその時点で入手可能な情報を含めるものとし、その後、入手可能になり次第、不当な遅延なく追加情報を提供するものとする。

(d) データ輸入者は、データ輸出者が規則(EU)2016/679 に基づく義務、特に管轄監督当局および影響を受けるデータ主体に通知する義務を遵守できるように、処理の性質およびデータ輸入者が入手可能な情報を考慮して、データ輸出者に協力し、これを支援するものとする。

8.7 機微データ

データ輸入者は、人種的もしくは民族的出身、政治的意見、宗教的もしくは哲学的信条、または労働組合員であることを明らかにする個人データ、遺伝データ、または自然人を一意に識別するためのバイオメトリクスデータ、健康、性生活もしくは性的指向に関するデータ、または前科および犯罪に関するデータ（以下、「機微（センシティブ）データ」という。

8.8 上方への移転

データ輸入者は、データ輸出者からの文書化された指示に基づいてのみ、個人データを第三者に開示するものとする。さらに、データは、第三者が適切なモジュールのもとで、本条項に拘束されることに同意している場合、または以下の場合に限り、欧州連合外にある第三者（データ輸入者と同一の国または別の第三国、以下「転送先」）に開示することができます：

(i) 当該データ移転が、当該データ移転を対象とする規則（EU）2016/679 の第 45 条に基づく適切性決定の恩恵を受けている国への移転である場合；

(ii)当該第三者が、当該処理に関して、(EU)2016/679規則第46条または第47条に基づき適切な保護措置を確保している場合；

(iii) 特定の行政、規制、または司法手続において、法的請求の確立、行使、または防御のために転送が必要である場合。

(iv) 情報主体または他の自然人の重大な利益を保護するために転送が必要な場合。

データ転送は、データ輸入者が本条項に基づく他のすべての保護措置、特に目的制限を遵守することを条件とします。

8.9 文書化と遵守

(a) データ輸入者は、本条項に基づく処理に関するデータ輸出者からの問い合わせに迅速かつ適切に対処するものとします。

(b) 両当事者は、本条項を遵守していることを証明できるものとする。特に、データ輸入者は、データ輸出者のために行われた処理活動に関する適切な文書を保管するものとします。

(c) データ輸入者は、データ輸出者に対し、本条項に定める義務の遵守を証明するために必要なすべての情報を提供するものとし、データ輸出者の要求に応じて、合理的な間隔で、または不遵守の兆候がある場合に、本条項が対象とする処理活動の監査を許可し、これに貢献するものとします。レビューまたは監査を決定する際、データ輸出者はデータ輸入者が保持する関連証明書を考慮することができます。

(d) データ輸出者は、自ら監査を行うか、または独立した監査人に委任するかを選択することができる。監査は、データ輸入者の敷地内または物理的施設における検査を含むことができ、適切な場合には、合理的な予告をもって実施されなければならない。

(e) 締約国は、(b)および(c)項で言及された情報（監査の結果を含む）を、管轄監督当局の要請に応じて提供するものとする。

第9条

サブプロセッサーの使用

(a) データ輸入者は、合意されたリストからサブプロセッサを使用することについて、データ輸出者の一般的な許可を得ている。データ輸入者は、サブプロセッサーの追加または交換によるリストの変更について、少なくとも14日前までにデータ輸出者に書面で通知するものとし、これによりデータ輸出者がサブプロセッサーの使用前にその変更に異議を唱えることができる十分な時間を与えるものとする。データ輸入者は、データ輸出者が異議を申し立てる権利を行使するために必要な情報をデータ輸出者に提供するものとします。

(b) データ輸入者が（データ輸出者に代わって）特定の処理活動を行うためにサブプロセッサーを雇用する場合、データ主体の第三者受益権の面を含め、実質的に本条項に基づきデータ輸入者を拘束する義務と同じデータ保護義務を規定する書面による契約によってこれを行うものとします。両当事者は、本条項を遵守することにより、データ輸入者が第 8.8 条に基づく義務を履行することに同意するものとします。データ輸入者は、データ輸入者が本条項に従って従う義務を、サブプロセッサが遵守することを保証するものとします。

(c) データ輸入者は、データ輸出者の要求に応じて、当該サブプロセッサー契約およびその後の変更のコピーをデータ輸出者に提供するものとします。業務上の秘密または個人データを含むその他の機密情報を保護するために必要な範囲において、データ輸入者は、コピーを共有する前に契約書の本文を修正することができます。

(d) データ輸入者は、データ輸出者に対し、データ輸入者との契約に基づくサブプロセッサの義務の履行について全責任を負うものとする。データ輸入者は、サブプロセッサーがその契約に基づく義務を履行しなかった場合、データ輸出者に通知するものとします。

(e) データ輸入者は、データ輸入者が事実上消滅した場合、法律上存在しなくなった場合、または支払不能になった場合、データ輸出者がサブプロセッサー契約を解除し、サブプロセッサーに対して個人データの消去または返却を指示する権利を有する、第三者受益者条項をサブプロセッサーと合意するものとします。

第10条

データ主体の権利

(a) データ輸入者はデータ対象者から要請を受けた場合、速やかにデータ輸出者に通知するものとする。データ輸入者は、データ輸出者から権限を付与されていない限り、その要求に応じないものとします。

(b) データ輸入者は、規則(EU)2016/679に基づくデータ主体の権利行使の要求に応じる義務をデータ輸出者が履行するのを支援するものとする。この点に関して、両当事者は、処理の性質を考慮した適切な技術的及び組織的措置、援助を提供する方法、並びに必要とされる援助の範囲及び程度を附属書IIに定めるものとする。

第 11 条

救済

(a) データ輸入者は、データ主体に対して、苦情を処理する権限を有する窓口を、個別の通知またはウェブサイトを通じて、透明性があり容易にアクセスできる形式で通知しなければならない。データ輸入者は、データ主体から苦情を受けた場合、速やかに対処するものとする。

(b) データ主体が本条項の遵守に関していずれかの締約国と紛争を起こした場合、当該締約国は、適時に友好的に問題を解決するために最善の努力を払うものとする。両当事者は、そのような紛争について相互に情報を提供し、適切な場合には、その解決に協力するものとする。

(i)データ対象者の居住地または勤務地の加盟国の監督当局、または第 13 条に基づく管轄監督当局に苦情を申し立てる；

(ii) 第 18 条に定める管轄裁判所に紛争を付託する。

(d) 両当事者は、規則(EU) 2016/679の第80条(1)に定める条件の下、データ主体が非営利団体、組織または協会によって代表される可能性があることを承諾する。

(e) データ輸入者は、適用されるEU法または加盟国法の下で拘束力を有する決定に従うものとする。

(f) データ輸入者は、データ主体による選択が、適用法に従って救済を求めるデータ主体の実体上および手続き上の権利を損なわないことに同意するものとします。

第 12 条

責任

(a) 各当事者は、本条項の違反により相手方当事者に与えた損害について、相手方当事者に責任を負うものとする。

(b) データ輸入者は、データ輸入者またはそのサブプロセッサーが本条項に基づく第三者受益権に違反することによってデータ主体に与えた重大または非重大な損害について、データ主体に対して責任を負うものとし、データ主体は補償を受ける権利を有するものとします。

(c) (b)項にかかわらず、データ輸出者は、データ対象者に対して、データ輸出者またはデータ輸入者（またはそのサブプロセッサー）が本条項に基づく第三者受益権に違反することによってデータ対象者に与えた重大または非物質的な損害について責任を負うものとし、データ対象者は補償を受ける権利を有するものとします。これは、データ輸出者の責任、およびデータ輸出者が管理者の代理を務める処理者である場合、規則（EU）2016/679または規則（EU）2018/1725（該当する場合）に基づく管理者の責任を損なうものではありません。

(d) 両当事者は、データ輸出者がデータ輸入者（またはそのサブプロセッサー）に起因する損害について(c)項に基づく責任を負う場合、データ輸入者の損害に対する責任に対応する補償金の一部をデータ輸入者に請求する権利を有することに同意します。

(e) 本条項違反の結果、データ対象者に生じた損害について複数の当事者が責任を負う場合、すべての責任当事者は連帯して責任を負うものとし、データ対象者はこれらの当事者のいずれに対しても裁判所に訴訟を提起する権利を有するものとします。

(f) 当事者は、一方の当事者が(e)項に基づき責任を負う場合、損害に対する責任に対応する補償の一部を他方の当事者に請求する権利を有することに同意するものとします。

(g) データ輸入者は、自己の責任を回避するために、サブプロセッサーの行為を援用することはできません。

第 13 条

監督

(a) データ輸出者が EU 加盟国に設立されている場合、データ移転に関してデータ輸出者による規則(EU) 2016/679 の遵守を確保する責任を有する、付属書 I.C に示された監督当局が管轄監督当局として行動するものとする。

データ輸出者がEU加盟国に設立されていないが、規則(EU)2016/679の第3条(2)に従って規則(EU)2016/679の適用範囲に含まれ、規則(EU)2016/679の第27条(1)に従って代表者を任命している場合、付属書I.Cに示されるように、規則(EU)2016/679の第27条(1)の意味における代表者が設立されている加盟国の監督当局が管轄監督当局として行動するものとする。

データ輸出者がEU加盟国に設立されていないが、規則(EU)2016/679の第3条(2)に従い、規則(EU)2016/679の第27条(2)に従って代表者を任命することなく、規則(EU)2016/679の適用範囲に含まれる場合、附属書I.Cに示されるように、商品またはサービスの提供に関連して本条項に基づいて個人データが移転され、またはその行動が監視されるデータ主体が所在する加盟国のいずれかの監督当局が、管轄監督当局として行動するものとする。

(b) データ輸入者は、本条項の遵守を確保することを目的とするあらゆる手続きにおいて、管轄監督当局の管轄に服すること、および管轄監督当局に協力することに同意するものとします。特に、データ輸入者は、照会に応じ、監査に応じ、是正措置および補償措置を含む監督当局が採用した措置を遵守することに同意するものとします。データ輸入者は、監督当局に対し、必要な措置が講じられたことを書面で確認するものとします。

第3節公的機関によるアクセスの場合の現地法および義務

第14条

本条項の遵守に影響を及ぼす現地法及び慣行

(a) 両当事者は、データ輸入者による個人データの処理に適用される第三国における法律および慣行（個人データの開示要件または公的機関によるアクセスを許可する措置を含む）が、データ輸入者による本条項による義務の履行を妨げると信じるに足る理由がないことを保証します。これは、基本的権利および自由の本質を尊重し、規則（EU）2016/679 の第 23 条(1)に列挙された目的の 1 つを保護するために民主主義社会において必要かつ適切な範囲を超えない法律および慣行は、本条項と矛盾しないという理解に基づいています。

(b) 両当事者は、(a)項の保証を提供するにあたり、特に以下の要素を十分に考慮したことを宣言する：

(i) 処理連鎖の長さ、関与する行為者の数及び使用される伝送経路を含む移転の具体的な状況、意図される転送、受領者のタイプ、処理の目的、移転される個人データのカテゴリー及び形式、移転が行われる経済部門、移転されるデータの保管場所；

(ii)移転先の第三国の法律および慣行（公的機関へのデータ開示を要求するもの、または公的機関によるアクセスを許可するものを含む）；

(iii) 本条項に基づく保護措置を補完するために導入された、関連する契約上、技術上または組織上の保護措置（転送中および転送先国での個人データの処理に適用される措置を含む）。

(d) 両当事者は、(b)項に基づく評価を文書化し、要求があれば管轄監督当局に提供することに同意する。

(e) データ輸入者は、本条項に同意した後、契約期間中、第三国の法律の変更または (a) 項の要件に沿わない当該法律の実際の適用を示す措置（開示請求など）の後を含め、(a) 項の要件に沿わない法律または慣行の適用を受ける、または受けるようになったと信じるに足る理由がある場合は、データ輸出者に速やかに通知することに同意するものとします。

(f) (e)項に従った通知の後、またはデータ輸出者がデータ輸入者が本条項に基づく義務を履行できなくなったと信じるに足る理由がある場合、データ輸出者はその状況に対処するためにデータ輸出者および/またはデータ輸入者が採用すべき適切な措置（セキュリティおよび機密性を確保するための技術的または組織的な措置など）を速やかに特定するものとします。データ輸出者は、データ移転のための適切な保護措置が確保できないと判断した場合、または管轄の監督当局からそのように指示された場合、データ移転を停止するものとします。この場合、データ輸出者は、本条項に基づく個人データの処理に関する限り、契約を解除する権利を有するものとします。契約が2つ以上の当事者にまたがる場合、データ輸出者は、当事者間で別段の合意がない限り、関連する当事者に関してのみこの契約解除権を行使することができます。本条項に従って契約が解除される場合、第16条(d)および(e)が適用されるものとします。

第 15 条

公的機関によるアクセスの場合のデータ輸入者の義務

15.1 通知

(a) データ輸入者は以下の場合、データ輸出者、および可能であればデータ主体に（必要であればデータ輸出者の協力を得て）速やかに通知することに同意します：

(i) 本条項に従って転送された個人データの開示について、仕向け国の法律に基づき、司法当局を含む公的機関から法的拘束力のある要請を受けた場合。

(ii) 本条項に従って移転された個人データへの、仕向け国の法律に基づく公的機関による直接アクセスを知った場合。

(b) データ輸入者がデータ輸出者および／またはデータ主体に通知することが仕向け地の国の法律で禁止されている場合、データ輸入者は、可能な限り早く、可能な限り多くの情報を伝えることを目的として、その禁止の免除を得るために最善の努力をすることに同意する。データ輸入者は、データ輸出者の要求があった場合にそれを証明できるように、最善の努力を文書化することに同意します。

(c) デスティネーション国の法律で許容される場合、データ輸入者はデータ輸出者に対し、契約期間中定期的に、受領した要求に関する可能な限りの関連情報（特に、要求の数、要求されたデータの種類、要求した当局／国、要求に対する異議申立ての有無およびその結果など）を提供することに同意する。

(d) データ輸入者は、(a)から(c)に従った情報を契約期間中保存し、要求があれば管轄監督当局に提供することに同意する。

(e) (a)から(c)項は、第 14 条(e)項および第 16 条に従ってデータ輸入者が本条項を遵守できない場合にデータ輸出者に速やかに通知する義務を損なうものではありません。

15.2 合法性およびデータ最小化の見直し

(a) データ輸入者は、開示要求の合法性、特にそれが要求元の公的機関に与えられた権限の範囲内にあるかどうかを検討し、慎重に検討した結果、その要求が仕向け国の法律、国際法の下で適用される義務、および国際衡平法上の原則の下で非合法であると考える合理的な根拠があると結論付けた場合には、その要求に異議を申し立てることに同意します。データ輸入者は、同じ条件下で、上訴の可能性を追求するものとする。要請に異議を申し立てる場合、データ輸入者は、管轄の司法当局がその是非を決定するまで、要請の効果を一時停止することを目的とした暫定措置を求めるものとする。データ輸入者は、適用される手続規則に基づいて要求されるまで、要求された個人データを開示してはならない。これらの要件は、第 14 条(e)に基づくデータ輸入者の義務を損なうものではありません。

(b) データ輸入者は、その法的評価および開示要求に対する異議を文書化し、仕向け地の国の法律で許される限り、その文書をデータ輸出者が入手できるようにすることに同意する。また、要求があれば管轄の監督当局にも提供するものとする。

第4節 - 最終規定

第 16 条

条項の不履行および解除

(a) データ輸入者は、理由の如何を問わず、本条項を遵守できない場合、速やかにデータ輸出者に通知するものとします。

(b) データ輸入者が本条項に違反した場合、または本条項を遵守できない場合、データ輸出者は、遵守が再度確保されるか、または契約が終了するまで、データ輸入者への個人データの転送を停止するものとします。これは第 14 条(f)を損なうものではありません。

(i) データ輸出者が(b)項に従ってデータ輸入者への個人データの転送を一時停止し、合理的な期間内に、いかなる場合でも一時停止から1ヶ月以内に本条項への遵守が回復されない場合；

(ii) データ輸入者が本条項に実質的または持続的に違反している場合。

(iii) データ輸入者が、本条項に基づく義務に関する管轄裁判所または監督当局の拘束力のある決定に従わない場合。

これらの場合、データ輸入者は管轄の監督当局にそのような不順守を通知するものとします。契約が2つ以上の当事者にまたがる場合、データ輸出者は、当事者間で別段の合意がない限り、関連する当事者に関してのみこの解除権を行使することができます。

(d) (c)項に基づく契約の終了前に移転された個人データは、データ輸出者の選択により、直ちにデータ輸出者に返却されるか、または完全に削除されるものとします。データのコピーについても同様とする。データ輸入者はデータ輸出者に対し、データの削除を証明するものとする。データが削除または返却されるまで、データ輸入者は引き続き本条項を遵守するものとします。データ輸入者に適用される現地の法律が、転送された個人データの返却または削除を禁止している場合、データ輸入者は引き続き本条項を遵守し、当該現地の法律で義務付けられている範囲および期間のみデータを処理することを保証するものとします。

(e) いずれの当事者も、(i) 欧州委員会が、本条項が適用される個人データの移転をカバーする規則 (EU) 2016/679 の第 45 条(3)に従った決定を採択した場合、または (ii) 規則 (EU) 2016/679 が個人データの移転先の国の法的枠組みの一部となった場合、本条項に拘束される合意を取り消すことができます。これは、規則（EU）2016/679に基づき当該処理に適用されるその他の義務を損なうものではありません。

第17条

準拠法

本条項は、第三者の受益権を認めるEU加盟国のいずれかの法律に準拠するものとする。両当事者は、アイルランド法を準拠法とすることに合意する。

第18条

裁判地および管轄権の選択

(a) 本条項に起因する紛争は、EU加盟国の裁判所により解決されるものとします。

(b) 両当事者は、これらの裁判所がアイルランドの裁判所であることに合意する。

(d) 両当事者は、かかる裁判所の管轄権に服することに同意する。

付録I

A.締約国リスト

データ輸出者

名前...

住所...

担当者の氏名、役職、連絡先：...

本条項に基づいて移転されるデータに関連する活動： ...

署名および日付： ...

役割（管理者／処理者）：...管理者

データインポーター

名前...Origins Technology Ltd.

住所...

担当者名、役職、連絡先：...

本条項に基づいて移転されるデータに関連する活動：資格のあるユーザーへのソリューションの洞察の提供。

署名および日付： ...

役割（管理者／処理者）：...処理者

B.移籍の説明

個人データが移転されるデータ主体のカテゴリー

お客様の連絡先、およびお客様の従業員、請負業者、お客様のオフィスの従業員および訪問者を含む、お客様がKaiterra製品の使用を許可したその他のエンドユーザー。

移転される個人データの分類

本人確認および連絡先データ（氏名、Eメール、役職、連絡先など）、雇用に関する詳細（雇用主、従業員ID、役職、部署など）、Kaiterra製品およびKaiterra製品の提供・サポートに使用されるシステムの使用関連データ、Kaiterra製品によって提出、保存、送信、受信されるその他の電子データ。

転送される機密データ（該当する場合）および適用される制限または保護措置（例えば、厳密な目的制限、アクセス制限（特別な訓練を受けたスタッフのみがアクセスできることを含む）、データへのアクセス記録の保管、転送の制限、または追加のセキュリティ対策など）。

なし。

転送の頻度（データが単発的に転送されるか、継続的に転送されるかなど）。

処理の性質

...

データ転送とさらなる処理の目的

個人情報は、本契約および該当する注文書または作業明細書に記載され、その他合意されたKaiterra製品を提供する目的で処理されます。

個人データが保持される期間、またはそれが不可能な場合は、その期間を決定するために使用される基準。

...

サブ）プロセッサーへの移転については、処理の対象、性質、期間も明記すること。

...

C.管轄監督機関

アイルランドデータ保護委員会

付録 II

データの安全性を確保するための技術的および組織的措置を含む技術的および組織的措置

Kaiterraは現在、本付属書2に記載されているセキュリティ慣行を遵守している。データ輸出者が別途同意した反対の規定にかかわらず、Kaiterraはその裁量でこれらの慣行を修正または更新することができるものとします。ただし、そのような修正および更新がこれらの慣行によって提供される保護に重大な劣化をもたらさないことを条件とします。本規約で別途定義されていない大文字で表記された用語はすべて、Kaiterraの利用規約で規定されている意味を持つものとします。

Kaiterraは、以下の種類のセキュリティ対策を実施する：

1.物理的アクセス制御

個人データが処理される施設および設備（データベース、アプリケーションサーバーおよび関連ハードウェアを含む）において利用可能なデータ処理システムに、権限のない者がアクセスできないように設計された技術的および組織的対策には、以下のものが含まれます：

セキュリティ区域の設定、アクセス経路の制限；
従業員および第三者に対するアクセス権限の設定
アクセス制御システム（バッジリーダー）；
鍵管理、カードキー手続き
ドアロック（電動ドアオープナーなど）；
警備員、清掃員
監視設備、ビデオ/CCTVモニター、警報システム；
分散化されたデータ処理機器やパソコンの保護；
最少特権の原則の遵守と、権限を与えられた人員の時間制限付きアクセス；
クリーンデスクポリシー
WiFiおよびLANアクセスポリシー。

2.仮想アクセス制御

データ処理システムが不正に使用されることを防止するための技術的・組織的対策には、以下が含まれる：

ユーザーの識別および認証手順；
ID／パスワードのセキュリティ手順（特殊文字、最小限の長さ、パスワードのローテーション）；
安全なシステムのための2FAおよび／または同等のもの；
短期間のセッション期限切れ；
侵入試行の監視、数回の誤ログイン試行によるユーザーアカウントの自動ロック。
アーカイブされたデータ媒体の暗号化

3.データアクセス制御

データ処理システムを使用する権利を有する者が、そのアクセス権に従って当該個人データのみにアクセスし、許可なく個人データを読み取り、コピーし、修正し、または削除することができないようにするための技術的および組織的措置には、以下のものが含まれます：

内部方針および手順
管理権限スキーム
差別化されたアクセス権（プロファイル、役割、トランザクションおよびオブジェクト）；
アクセスの監視と記録
許可なく個人データにアクセスした従業員に対する懲戒処分
アクセスに関する報告
アクセス手続き；
変更手続き
削除手続き
暗号化。

4.情報開示管理

電子的な送信、輸送、または記憶媒体（手動または電子媒体）への保存中に、個人データが許可なく読み取り、コピー、修正、または削除されないことを保証し、個人データがどの企業またはその他の法人に開示されたかを確認できるようにするための技術的および組織的な対策には、以下のものが含まれます：

復号鍵へのアクセス制限
暗号化／トンネリング
ロギング／定期監査
輸送セキュリティ

5.エントリー・コントロール

データ処理システムから、個人データが入力、変更、削除（削除）されたかどうか、および誰が行ったかを監視するための技術的および組織的措置には、以下のものが含まれます：

ログおよび報告システム
監査証跡および文書化

6.指示の管理

個人データが管理者の指示に従ってのみ処理されることを保証するための技術的および組織的措置には、以下のものが含まれます：

契約の明確な文言：
正式な委託
処理者の選定基準

7.稼働率管理

個人データが偶発的な破壊または紛失（物理的/論理的）から保護されることを保証するための技術的および組織的措置には、以下のものが含まれます：

バックアップ手順
無停電電源装置（UPS）；
リモートストレージ；
マルチリージョン可用性
アンチウイルス／ファイアウォールシステム
災害復旧計画

8.分離制御

異なる目的のために収集された個人データを別々に処理できるようにするための技術的および組織的な措置には、以下のものが含まれます：

データベースの分離
機能の分離（製造／テスト
異なる目的のためのデータの保存、修正、削除、および送信の手順。

付録 III

サブプロセッサー

アマゾンウェブサービス
グーグルアナリティクス
Google BigQuery
ミックスパネル
ハブスポット
カタリスト

EXHIBIT 2

英国SCC コントローラからプロセッサへ

当事者

Name of the data exporting organization: …………………

住所……………………………………………………

Country: ……………………………………………………

電話番号 ............................................................................................................

Fax: ………………………………………………………...

電子メール...............................................................

組織を特定するために必要なその他の情報

(データエクスポーター）

そして

Name of the data importing organization: ………Origins Technology Ltd……….

住所.................................. 長沙湾道788号楼商業広場603室

九龍・長沙湾

..............................................

Country: …………Hong Kong……………………………………….

Telephone: ……………………………………………….

Fax: ………………………………………………………

電子メール............................................................

組織を特定するために必要なその他の情報

(データ輸入者）

第1条定義

本条項において

(a)「個人データ」、「特別カテゴリーのデータ」、「処理／加工」、「管理者」、「処理者」、「データ主体」、および「コミッショナー」は、英国GDPRと同じ意味を有するものとする；

(b) 「データ輸出者」とは、個人データを移転する管理者を意味する；

(c ) 「データ輸入者」とは、データ輸出者の指示および本条項の条件に従い、移転後に自己に代わって処理することを目的とする個人データをデータ輸出者から受領することに同意し、かつデータ保護法2018年第17A条またはデータ保護法2018年別表第21の第4項および第5項に基づいて発行された英国の妥当性規制の対象となる第三国の制度の対象とならない処理者をいう；

(d) 「サブプロセッサー」とは、データ輸入者またはデータ輸入者のその他のサブプロセッサーが従事するプロセッサーであって、データ輸入者またはデータ輸入者のその他のサブプロセッサーから、その指示、条項の条件および書面による下請契約の条件に従って、移転後にデータ輸出者に代わって実行される処理活動を排他的に意図した個人データを受け取ることに同意するものを意味します；

(e) 「適用されるデータ保護法」とは、英国内のデータ管理者に適用される、個人の基本的な権利および自由、特に個人データの処理に関するプライバシー権を保護する法律を意味します；

(f) 「技術的および組織的なセキュリティ対策」とは、偶発的または違法な破壊、偶発的な紛失、改ざん、不正な開示またはアクセス、特に処理にネットワークを介したデータ転送が含まれる場合、およびその他すべての違法な形態の処理から個人データを保護することを目的とした対策を意味する。

第2項移転の詳細

譲渡の詳細、特に該当する特別カテゴリーの個人データは、本条項の不可欠な部分を形成する付録 1 に明記されています。

条項3.第三者受益者条項

(1) データ主体は、第三者受益者として、本条項、第 4 条(b)から(i)、第 5 条(a)から(e)および(g)から(j)、第 6 条(1)および(2)、第 7 条、第 8 条(2)ならびに第 9 条から第 12 条をデータ輸出者に適用することができます。

(2) データ主体は、データ輸出者が事実上消滅した場合、または法律上消滅した場合であっても、契約上または法律の運用上、データ輸出者の法的義務をすべて引き受け、その結果データ輸出者の権利および義務を引き継ぐ後継企業が存在する場合は、データ輸入者に対して本条項、第5条(a)から(e)および(g)、第6条、第7条、第8条(2)および第9条から第12条を執行することができます。

(3) データ主体は、データ輸出者およびデータ輸入者の両方が事実上消滅した場合、または法律上消滅した場合、または支払不能になった場合、本条項、第 5 条(a)から(e)および(g)、第 6 条、第 7 条、第 8 条(2)、および第 9 条から第 12 条をサブプロセサに対して執行することができます、ただし、データ輸出者の権利および義務を、契約または法律の運用により、後継団体がデータ輸出者の法的義務全体を引き受けた場合はこの限りでない。この場合、データ主体は当該主体に対してこれらの法的義務を履行することができます。このようなサブ・プロセッサーの第三者責任は、本条項に基づく自己の処理業務に限定されるものとします。

(4) データ主体が明示的に希望し、かつ国内法で認められている場合、データ主体が団体またはその他の団体によって代表されることに当事者は反対しません。

条項 4.データ輸出者の義務

データ輸出者は以下の事項に同意し、保証するものとします：

(a) 個人データの処理（転送そのものを含む）は、適用されるデータ保護法の関連条項に従って実施されており、今後も実施される（該当する場合は、委員会に通知されている）こと、および適用されるデータ保護法に違反しないこと；

(b) 個人データ処理サービスの期間中、データ輸出者に代わり、適用されるデータ保護法および本条項に従ってのみ、転送された個人データを処理するようデータ輸入者に指示し、また指示すること；

(d) 適用されるデータ保護法の要件を評価した結果、セキュリティ対策が、特に処理にネットワーク経由のデータ転送が含まれる場合、偶発的または違法な破壊、偶発的な紛失、改ざん、不正な開示またはアクセス、およびその他すべての違法な形態の処理から個人データを保護するために適切であり、これらの対策が、最先端の技術およびその実装にかかるコストを考慮した上で、処理によってもたらされるリスクおよび保護されるべきデータの性質に適切なレベルのセキュリティを保証するものであること；

(e) セキュリティ対策の遵守を保証すること；

(f)移転が特別なカテゴリのデータを含む場合、データ主体は、そのデータが2018年データ保護法第17A条または2018年データ保護法別表第21の第4項および第5項に基づいて発行された適切性規制の適用を受けない第三国に移転される可能性があることを、移転の前に、または移転後できる限り速やかに通知されているか、または通知される予定であること；

(g) データ輸出者が移転の継続または一時停止の解除を決定した場合、第5条(b)および第8条(3)に従ってデータ輸入者またはサブ処理者から受領した通知をコミッショナーに転送すること；

(h) データ対象者の要求に応じて、付則 2 を除く本条項のコピー、セキュリティ措置の概要説明、および本条項に従って作成されなければならないサブプロセシングサービスに関する契約のコピーを提供すること；

(i) サブ処理の場合、処理活動は、少なくともデータ輸入者と同レベルの個人データおよびデータ主体の権利の保護を提供するサブ処理者によって、第11条に従って実施されること；

(j) 第 4 条(a)から(i)の遵守を保証すること。

条項 5.データ輸入者の義務

データ輸入者は、以下の事項に同意し、保証するものとします：

(a)データ輸出者に代わって、データ輸出者の指示および本条項に従ってのみ個人情報を処理すること。何らかの理由でそのような遵守ができない場合、データ輸出者にその旨を速やかに通知することに同意するものとします；

(b) データ輸出者に適用される法律によって、データ輸出者から受領した指示および契約に基づく義務の履行が妨げられると考える理由がないこと。また、条項によって提供される保証および義務に実質的な悪影響を及ぼす可能性があるこの法律の変更があった場合、データ輸出者がその変更に気づき次第、速やかにデータ輸出者に通知すること；

(c)転送された個人データを処理する前に、付録2に規定されている技術的および組織的なセキュリティ対策を実施していること；

(d) データ輸出者に速やかに通知すること：

(i)法執行当局による個人データの開示に関する法的拘束力のある要求（法執行捜査の秘密を保持するための刑法上の禁止事項など、別段の禁止事項がない限り）；

(ii) 偶発的または不正なアクセス。

(iii) 情報主体から直接受領した要求。ただし、その要求に応じることなく、別途権限を付与された場合を除く；

(e) 譲渡の対象となる個人データの処理に関するデータ輸出者からのすべての問い合わせに迅速かつ適切に対応し、譲渡されたデータの処理に関してデータ保護コミッショナーの助言を遵守すること；

(f) データ輸出者の要求に応じて、データ処理施設を、データ輸出者または独立したメンバーで構成され、必要な専門資格を持ち、守秘義務に拘束された、データ輸出者が選定した検査機関（該当する場合、委員会の同意に基づく）が実施する、本条項が対象とする処理活動の監査のために提出すること；

(ただし、データ対象者がデータ輸出者からコピーを入手できない場合は、付録 2 をセキュリティ対策の概要説明に置き換えるものとする；

(h) データを再処理する場合は、事前にデータ輸出者に通知し、書面による事前の同意を得ていること；

(i) サブプロセッサーによる処理サービスが第11条に従って実施されること；

(j) 本条項に基づいて締結したサブプロセッサー契約のコピーをデータ輸出者に速やかに送付すること。

第6項責任

(1) 当事者は、いずれかの当事者またはサブプロセッサーによる第3条または第11条の義務違反の結果として損害を被ったデータ主体が、被った損害についてデータ輸出者から補償を受ける権利を有することに同意します。

(2) データ主体が、データ輸出者が事実上消滅したか、法律上存在しなくなったか、または支払不能になったために、データ輸入者またはそのサブ処理者による第 3 条または第 11 条で言及されている義務の違反に起因して、データ輸出者に対して第 1 項に従って補償請求を行うことができない場合、データ輸入者は、データ主体がデータ輸入者に対して、あたかもデータ輸出者であったかのように請求することができることに同意するものとします。ただし、後任の事業体が契約によりデータ輸出者の法的義務をすべて引き受けた場合はこの限りではなく、データ主体はかかる事業体に対して権利を行使することができるものとします。データ輸入者は、自己の責任を回避するために、サブプロセッサーによる義務違反に依拠することはできません。

(3) データ主体が、データ輸出者およびデータ輸入者の両方が事実上消滅したか、法律上存在しなくなったか、または支払不能になったために、第3項または第11項に記載されているいずれかの義務に対するサブ処理者の違反に起因する、第1項および第2項に記載されているデータ輸出者またはデータ輸入者に対する請求を行うことができない場合、ただし、契約上または法律の運用上、データ輸出者またはデータ輸入者の法的義務全体を承継事業者が引き受けた場合はこの限りではなく、データ主体は当該事業者に対して権利を行使することができます。この場合、データ主体は当該主体に対して権利を行使することができます。サブプロセッサの責任は、本条項に基づく自らの処理業務に限定されるものとします。

条項 7.調停および裁判管轄

(1) データ輸入者は、データ主体がデータ輸入者に対し、第三者受益権を行使する場合、および／または本条項に基づいて損害賠償を請求する場合、データ輸入者がデータ主体の決定を受け入れることに同意するものとします：

(a) 独立した人または該当する場合はコミッショナーによる調停に紛争を付託すること；

(b) 紛争を英国の裁判所に付託する。

(2) 当事者は、情報主体が選択した内容が、国内法または国際法の他の規定に従って救済を求める実体上または手続き上の権利を損なうものではないことに同意する。

第8条監督当局との協力

(1) データ輸出者は、コミッショナーが要求した場合、または適用されるデータ保護法に基づきそのような預託が要求された場合、本契約のコピーをコミッショナーに預託することに同意するものとします。

(2) 当事者は、データ保護委員会がデータ輸入者、およびあらゆるサブプロセッサーに対して監査を実施する権利を有することに同意するものとします。この監査は、適用されるデータ保護法に基づくデータ輸出者に対する監査に適用されるのと同じ範囲を有し、同じ条件に従うものとします。

(3) データ輸入者は、データ輸入者またはサブ処理者に適用され、第 2 項に基づくデータ輸入者またはサブ処理者の監査の実施を妨げる法律の存在について、データ輸出者に速やかに通知するものとします。この場合、データ輸出者は第 5 条(b)に定める措置を講じる権利を有するものとします。

第9条（準拠法準拠法

本条項は、データ輸出者が設立されているイギリスの法律に準拠するものとします。

第10条.契約の変更

当事者は、本条項を変更または修正しないことを約束します。これは、(i) スケジュール21データ保護法2018の第7項(3)および(4)により許可される変更を行うこと、または(ii)本条項と矛盾しない限り、必要に応じて業務関連事項に関する条項を追加することを妨げるものではない。

条項 11.サブ処理

(1) データ輸入者は、データ輸出者の書面による事前の同意なしに、本条項に基づいてデータ輸出者に代わって行われる処理業務を外注してはならないものとします。データ輸入者がデータ輸出者の同意を得て本条項に基づく義務を外注する場合は、本条項に基づきデータ輸入者に課される義務と同じ義務をサブ処理者に課す、サブ処理者との書面による合意によってのみ行うものとします。サブプロセッサーがかかる書面による合意に基づくデータ保護義務を履行しない場合、データ輸入者は、データ輸出者に対し、かかる合意に基づくサブプロセッサーの義務の履行について引き続き全責任を負うものとします。

(2) データ輸入者とサブプロセッサーとの間の事前の書面による契約は、データ主体が、データ輸出者またはデータ輸入者が事実上消滅したか、法律上消滅したか、または支払不能になったために、第6条第1項に規定する賠償請求をデータ輸出者またはデータ輸入者に対して行うことができず、かつ、契約上または法律の運用上、データ輸出者またはデータ輸入者の法的義務全体を引き受ける後継者がいない場合のために、第3項に規定する第三者受益者条項も規定するものとします。このようなサブ・プロセサーの第三者責任は、本条項に基づく自らの処理業務に限定されるものとします。

(3) 第 1 項で言及された契約のサブ処理に関するデータ保護面に関する規定は、輸出者が設立されているイギリスの国の法律に準拠するものとします。

(4) データ輸出者は、本条項に基づいて締結され、第5条(j)に従ってデータ輸入者から通知されたサブ処理契約のリストを保管するものとし、このリストは少なくとも年に1回更新されるものとする。このリストは、委員会が入手できるものとする。

条項 12.終了後の義務

(1) 当事者は、データ処理サービスの提供が終了した場合、データ輸入者およびサブプロセッサーは、データ輸出者の選択により、移転されたすべての個人データおよびそのコピーをデータ輸出者に返却するか、またはすべての個人データを破棄し、その旨をデータ輸出者に証明するものとします。この場合、データ輸入者は、移転された個人データの機密性を保証し、移転された個人データを積極的に処理しないことを保証するものとします。

(2) データ輸入者およびサブプロセッサーは、データ輸出者および／またはコミッショナーの要求があれば、第1項の措置に関する監査のためにデータ処理施設を提出することを保証する。

データ輸出者に代わって

氏名（全角で記入）：..............................

Position: ………Controller……………………………………

住所……………………………………………

契約を拘束するために必要なその他の情報（もしあれば）：

署名

データインポーターを代表して

氏名（全角で）..........................オリジンズ・テクノロジー社

Position: …………Processor…………………………………

アドレス：............................ 603 6/F Laws Commercial Plaza, 788 Cheung Sha Wan Road

九龍・長沙湾

契約を拘束するために必要なその他の情報（もしあれば）：

署名

標準契約条項の日付：

付録1

データエクスポーター

データエクスポーターは以下の通りです：データインポーターのソリューションを利用する顧客

データインポーター

データインポーターは（転送に関連する活動を簡単に指定してください）：データエクスポーターへのソリューションプロバイダー。

データ対象者

移転される個人データは、以下のデータ主体（具体的にご記入ください）に関係するものです：

データのカテゴリー

移転される個人情報は、以下のカテゴリーに分類されます（具体的にご記入ください）：

本人確認および連絡先データ（氏名、Eメール、役職、連絡先など）、雇用に関する詳細情報（雇用主、従業員ID、役職、部署など）、Kaiterra製品およびKaiterra製品の提供・サポートに使用されるシステムの使用関連データ、Kaiterra製品によって提出、保存、送信、受信されるその他の電子データ。

データの特別カテゴリー（適切な場合）

譲渡される個人情報は、以下の特別なデータ・カテゴリーに属します（具体的にご記入ください）：

なし。

処理業務

移転された個人情報は、以下の基本的な処理業務の対象となります（具体的にご記入ください）：

処理の対象および性質

処理者による個人データの処理対象は、個人データの処理を伴うKaiterra製品の管理者への提供です。個人データは、本契約および該当する注文書または作業明細書に明記されている処理活動の対象となります。

処理の目的

個人データは、本契約および適用される注文書または作業明細書に記載され、合意されたKaiterra製品を提供する目的で処理されます。

処理の期間：

個人データは、本DPAのセクション3に従い、本契約の期間中処理されます。

データエクスポータ

名前...

承認された署名...

データインポーター

名前オリジン・テクノロジー株式会社

署名

付録2

データ輸入者が第 4 項(d)および第 5 項(c)に従って実施した技術的および組織的なセキュリティ対策の説明（または添付文書／法令）：

Kaiterra は現在、この付属書類 2 に記載されているセキュリティ慣行を遵守しています。データ輸出者が別途同意した反対の規定にかかわらず、Kaiterra はその裁量でこれらの慣行を修正または更新することができますが、そのような修正および更新がこれらの慣行によって提供される保護に重大な劣化をもたらさないことを条件とします。本規約で別途定義されていない大文字で表記された用語はすべて、Kaiterraの利用規約で規定されている意味を持つものとします。

Kaiterraは、以下の種類のセキュリティ対策を実施します：

1.物理的アクセス管理

個人データが処理される施設および設備（データベース、アプリケーションサーバー、および関連ハードウェアを含む）において利用可能なデータ処理システムに、権限のない者がアクセスできないように設計された技術的および組織的対策には、以下のものが含まれます：

セキュリティ区域の設定、アクセス経路の制限；
従業員および第三者に対するアクセス権限の設定
アクセス制御システム（バッジリーダー）；
鍵管理、カードキー手続き
ドアロック（電動ドアオープナーなど）；
警備員、清掃員
監視設備、ビデオ/CCTVモニター、警報システム；
分散化されたデータ処理機器やパソコンの保護；
最少特権の原則の遵守と、権限を与えられた人員の時間制限付きアクセス；
クリーンデスクポリシー
WiFiおよびLANアクセスポリシー。

2.仮想アクセス制御

データ処理システムが不正に使用されることを防止するための技術的・組織的対策には、以下が含まれる：

ユーザーの識別および認証手順；
ID／パスワードのセキュリティ手順（特殊文字、最小限の長さ、パスワードのローテーション）；
安全なシステムのための2FAおよび／または同等のもの；
短期間のセッション期限切れ；
侵入試行の監視、数回の誤ログイン試行によるユーザーアカウントの自動ロック。
アーカイブされたデータ媒体の暗号化。

3.データアクセス制御

データ処理システムを使用する権利を有する者が、アクセス権に従って当該個人データのみにアクセスし、個人データが許可なく読み取り、コピー、修正、削除されないようにするための技術的および組織的措置には、以下のものが含まれます：

内部方針および手順
管理権限スキーム
差別化されたアクセス権（プロファイル、役割、トランザクションおよびオブジェクト）；
アクセスの監視と記録
許可なく個人データにアクセスした従業員に対する懲戒処分
アクセスに関する報告
アクセス手続き；
変更手続き
削除手続き
暗号化。

4.情報開示管理

復号鍵へのアクセス制限
暗号化／トンネリング
ロギング／定期監査
輸送セキュリティ

5.エントリー・コントロール

ログおよび報告システム
監査証跡および文書化。

6.指示の管理

個人データが管理者の指示に従ってのみ処理されることを保証するための技術的および組織的措置には、以下のものが含まれます：

契約の明確な文言：
正式な委託
処理者の選定基準

7.稼働率管理

個人データが偶発的な破壊または紛失（物理的／論理的）から保護されることを保証するための技術的および組織的措置には、以下のものが含まれます：

バックアップ手順
無停電電源装置（UPS）；
リモートストレージ；
マルチリージョン可用性
アンチウイルス／ファイアウォールシステム
災害復旧計画

8.分離制御

異なる目的のために収集された個人データを別々に処理できるようにするための技術的および組織的な措置には、以下のものが含まれます：

データベースの分離
機能（生産／テスト）の分離

異なる目的のためのデータの保存、修正、削除、および送信の手順。

データ処理契約

1.定義

2.お客様の責任

3.処理者の義務

4.監査

5.サブプロセッサー

6.データ転送

7.一般規定

別紙1

標準契約条項

コントローラーからプロセッサーへ

セクション I

第1節

目的と範囲

第2条

本約款の効力および不変性

第 3 条

第三者の受益者

第4条

解釈

第5条

階層

第6条

譲渡の内容

第7条

ドッキング条項

第 II 節 - 当事者の義務

第8条

データ保護の保護措置

第9条

サブプロセッサーの使用

第10条

データ主体の権利

第 11 条

救済

第 12 条

責任

第 13 条

監督

第3節 公的機関によるアクセスの場合の現地法および義務

第14条

本条項の遵守に影響を及ぼす現地法及び慣行

第 15 条

公的機関によるアクセスの場合のデータ輸入者の義務

第4節 - 最終規定

第 16 条

条項の不履行および解除

第17条

準拠法

第18条

裁判地および管轄権の選択

第3節公的機関によるアクセスの場合の現地法および義務