データ処理に関する補遺

本データ処理契約(付録を含む)(以下「本 DPA」)は、エンゲージからのサービス購入に関するエンゲージとお客様の間の契約条件またはその他の書面もしくは電子契約(以下「本契約」)の一部を構成し、 、個人データの処理に関する当事者の合意を反映します。

本契約に基づく権利の行使および義務の履行のため、輸出者は個人データを輸入者に開示および移転します。本DPAに基づき、輸入者は輸出者に代わり、本DPAが定める輸出者の要件に従い、移転された個人データを処理します。

本DPAの下、輸出者はデータ管理者として、適用されるデータ保護法に従い、個人データ処理の目的および手段を決定し、輸入者はデータ処理者として、管理者に代わって移転された個人データを処理します。

両当事者は、本DPAの規定を尊重する責任を負う。

 

 

1.     定義

a)    契約とは、Engage からサービスを購入するために Engage とクライアントの間で締結された契約条件、またはその他の書面もしくは電子的な合意を意味します。

b)    「適用されるデータ保護法制」とは、個人的、物質的、および地域的範囲に従って特定の個人データ処理に適用される法律を意味します。

c)    「クライアント」とは、本契約に従って Engage がサービスを提供する法人を意味します。クライアント」という用語には、クライアントおよび認可された関連会社が含まれるものとします。

d)    「データ侵害」とは、本DPAに基づいて移転された個人データの紛失、不正使用、複写、修正、開示、破壊、または個人データへのアクセスを意味します。

e)    「データ管理者」または「管理者」とは、個人データ処理の目的および手段を決定する当事者を意味します。

f)      「データエクスポーター」または「エクスポーター」とは、本DPAに基づいて個人データをデータインポーターに転送するクライアントを意味します。

g)    「データ輸入者」または「輸入者」とは、本DPAに基づく処理のためにデータ輸出者から個人データを受け取るエンゲージを意味します。

h)    「データ処理者」または「処理者」とは、管理者に代わって個人データを処理する当事者を意味し、データ仲介者/委託者とも呼ばれます。

i)      「データ主体」とは、個人データが参照する自然人を意味します。

j)      「データ・サブプロセッサー」とは、本DPAに基づく個人データの処理を支援するためにデータ輸入者が従事する可能性のある個人または法人を意味します。

k)    DPA」とは、本データ処理追加条項を意味します。

l)      「執行機関」とは、監督機関または適用データ保護法の執行を担当するその他の機関を意味します。

m)  「エンゲージ」とは、3540 E Longwing Lane, Suite 300, Meridian, Idaho, 83646, United Statesに本社を置く、米国法により法人化されたエンゲージ・テクノロジーズ・グループを意味します。

n)    「個人データ」とは、データ対象者に関するあらゆる情報を意味する。

o)    「処理」とは、自動化された手段によるか否かを問わず、個人データまたは個人データの集合に対して実行されるあらゆる操作または一連の操作を意味し、これには例えば、個人データの収集、使用、開示が含まれます。

p)    「サービス」とは、契約に従ってデータ輸入者がデータ輸出者に提供するサービスを意味します

 

2.     両当事者の責任

a)    各当事者は、適用されるデータ保護法に従い、本DPAの条項を遵守する責任を負います。

b)    両当事者は、適用されるデータ保護法制に基づくそれぞれの役割および義務に従い、個人データの保護およびセキュリティを確保する責任を負うものとします。

c)    両当事者は、適用されるデータ保護法制に基づくそれぞれの役割および義務に従い、データ主体の権利を尊重し、その行使のための手段を提供する責任を負う。

d)    各当事者は、本DPAの違反により他方の当事者に与えた損害について、他方の当事者に対して責任を負うものとします。

e)    DPAの違反によりデータ当事者に生じた損害について複数の当事者が責任を負う場合、すべての責任当事者は連帯して責任を負うものとし、データ当事者はこれらの当事者のいずれに対しても裁判所に訴訟を提起する権利を有します。

f)      両当事者は、一方の当事者が(e)項に基づき責任を負う場合、他方の当事者に対し、損害に対する自己の責任に対応する補償金の一部を返還請求する権利を有することに同意する。

g)    データエクスポーターは、以下を保証し、表明し、約束します:

                                     i)     個人データは、適用されるデータ保護法に従って、本DPAに基づいて収集、使用、開示、およびデータ輸入者に転送されました。

                                    ii)     DPAに基づきデータインポータに移転された個人データは、データインポータによる処理の目的上、正確、完全かつ適切なものです。

                                   iii)     データ輸出者は、データ輸入者への送信中に個人データのセキュリティを確保するために、適切な技術的および運用上の措置を講じるものとします。

                                  iv)     データ輸出者は、適用データ保護法に従って、データ輸入者による個人データの処理に関 するデータ主体または施行機関からの問い合わせに対応するものとします。このような照会および要求に対する回答は、合理的な期間内に、または適用データ保護法制の下で要求されている場合はその期間内に、その方法によって行うものとします。

                                    v)     該当する場合、輸出者は、輸入者が輸出者に代わって個人データを処理、使用、または開示できるよう、データ対象者の同意を収集する責任を負う。

h)    データインポーターは、以下を保証し、表明し、約束します:

                                     i)     データ輸入者は、データ輸出者の指示に従い、本 DPA の付属文書に記載された目的でのみ個人データを処理します。

                                    ii)     データ輸入者は、データ輸出者に書面によりそのような開示または転送を通知し、データ輸出者が異議を唱えるための合理的な機会を提供しない限り、データ輸出者から受領した個人データを、データサブプロセッサーを含め、他の個人、執行機関、または法人にさらに開示または転送しないものとします。

                                   iii)     データインポーターは、データサブプロセッサーを含む第三者への個人データの開示または転送に先立ち、第三者がデータインポーターのデータエクスポーターに対する義務を遵守し、これに拘束されるようにすることに同意するものとします。

                                  iv)     データ輸入者は、適用されるデータ保護法に従って、適切なセキュリティ基準に準拠した個人データの保管および処理に関する措置を実施するための合理的な措置を講じることに同意します。

                                    v)     データ輸入者は、データ輸出者によって移転された個人データに関するデータ主体からの問合せおよび要求(個人データへのアクセスまたは訂正の要求を含む)を、不当に遅延することなくデータ輸出者に連絡し、照会するものとします。

                                  vi)     データ輸入者は、データ輸出者から合理的な範囲で要求された個人データの誤りまたは脱落を、要求受領後30日以内、または適用データ保護法によって要求されたその他の期間内に修正するものとします。

                                 vii)     本契約の終了時または本DPAに基づいて要求される処理の完了時に、データ輸入者は、データ輸出者の選択により、本DPAに従って保有する個人データをデータ輸出者に返却するか、またはデータ輸出者が承認する方法で当該個人データの保有を停止するものとします。

                                viii)     データ輸入者は、個人データの機密性、完全性、可用性を保護するため、特にデータ侵害のリスクに対して、適用されるデータ保護法規に準拠した、合理的かつ適切な技術的、管理的、運用的、物理的措置を講じるものとします。

                                  ix)     データ輸入者は、その保有もしくは管理下にある個人データ、または個人データのオンワード開示もしくは移転の輸入者の保有もしくは管理下にある個人データに影響を及ぼすデータ侵害が発生したことを認識した場合、データ輸出者に過度の遅滞なく通知するものとします。

                                    x)     データ輸入者は、本 DPA に基づいて移転された個人データの収集、使用、移転、開示、セキュリ ティ、または廃棄に関する調査について、法律で禁止されていない限り、速やかにデータ 輸出者に通知し、協議するものとします。

i)      輸入者は、適用されるデータ保護法制に基づくすべての義務を、自らの費用負担で遵守するものとします。

j)      輸出者が個人データを輸入者に提供する場合、輸出者は、個人データを輸入者に提供する前に、個人データが正確かつ完全であることを確認するために合理的な努力をするものとします。いずれの場合においても、輸入者は、輸出者の書面による要請があり次第、可能な限り速やかに個人データの誤りを訂正する措置を講じるものとします。

k)    輸入者は、本DPAに基づき、輸出者が提供した、輸出者から移転された個人データの処理についてのみ責任を負います。

 

3.     データ保護セーフガード

a)    輸出者は、適切な技術的および組織的措置の実施を通じて、輸入者が本DPAに基づく義務を果たすことができると判断するために合理的な努力を払ったことを保証します。

b)    輸入者は、輸入者から受領した、または輸出者に代わって処理された個人データを、輸出者からの文書による指示にのみ基づき処理するものとします。輸出者は、本契約の期間中、かかる指示を行うことができる。

c)    輸入者は、これらの指示に従うことができない場合、直ちに輸出者に通知するものとする。

d)    輸入者は、輸入者から受領した、または輸出者に代わって処理された個人データを、輸出者からのさらなる指示がない限り、本DPAに規定されている移転の特定の目的のためにのみ処理するものとします。

e)    輸入者は、輸入者から受領した、または輸出者に代わって処理された個人データを、適用されるデータ保護法制の要件に従ってのみ第三者に開示するものとします。

 

4.     処理の安全性

a)    輸入者および輸出者は、偶発的もしくは違法な破壊、紛失、改ざん、不正な開示、またはデータへのアクセスにつながるセキュリティ違反からの保護を含め、データのセキュリティを確保するために適切な技術的および組織的措置を実施するものとする。セキュリティの適切なレベルを評価する際、両当事者は、最新の技術状況、実施に要する費用、処理の性質、範囲、文脈および目的、ならびにデータ対象者の処理に伴うリスクを十分に考慮するものとする。両当事者は、処理の目的がそのような方法で達成され得る場合には、送信中も含め、 暗号化または仮名化を利用することを検討するものとする。仮名化の場合、個人データを特定のデータ対象者に帰属させるための追加情報は、 可能な限り、データ輸出者の排他的管理下に置かれるものとする

b)    輸入者は、本契約の実施、管理および監視に厳密に必要な範囲においてのみ、その従業員に個人データへのアクセスを許可するものとします。輸入者は、個人データを処理する権限を与えられた者が守秘義務を負うか、または適切な守秘義務の下にあることを保証するものとします。

c)    DPAに基づき輸入者が処理する個人データに関して個人データ侵害が発生した場合、輸入者は、その侵害に対処するため、その悪影響を軽減する措置を含む適切な措置を講じ、侵害を認識した後、過度の遅滞なく輸出者に通知するものとします。

d)    輸入者は、(i) 個人データへの不正もしくは偶発的なアクセス、収集、使用、開示、複写、修正、廃棄もしくは破壊、またはその他類似のリスク、および (ii) 個人データが保存されている記憶媒体もしくは装置の紛失を防止するための合理的な安全対策(適切な場合、物理的、管理的、手続き上および情報通信技術上の対策を含む)を講じることにより、輸入者の管理下または保有下にある個人データを保護するものとします。本契約の目的上、「合理的なセキュリティ措置」には、本契約の付属書IIに定める措置が含まれます。

 

5.     サブプロセッサーの使用

a)    書面による一般的な承認: データ輸入者は、データ輸出者がサブプロセッサーを雇用することに関する一般的な承認を得ています。

b)    データ輸入者が(データ輸出者に代わって)特定の処理業務を遂行するためにサブ プロセッサを雇用する場合は、本DPAに基づきデータ輸入者を拘束する義務と実質的に 同一のデータ保護義務を規定する書面による契約によってこれを行うものとします。

c)    データ輸入者は、データ輸入者が事実上消滅した場合、法律上存在しなくなった場合、または支払不能になった場合、データ輸出者がサブプロセッサーとの契約を解除し、サブプロセッサーに対して個人データの消去または返却を指示する権利を有する、第三者受益条項をサブプロセッサーと合意するものとします。

d)    データ輸出者の要求に応じて、データ輸入者は、かかるサブプロセッサー契約書およびその後の改訂のコピーを管理者に提供するものとします。業務上の秘密または個人データを含むその他の機密情報を保護するために必要な範囲において、処理者はコピーを共有する前に契約書の本文を修正することができます。

 

6.     データ主体の権利

a)    輸入者は、データ主体から受けた要請を輸出者に遅滞なく通知するものとします。輸入者は、輸出者から権限を付与されていない限り、その要請に応じないものとします。

b)    輸入者は、輸出者がデータ対象者の権利行使の要求に応じる義務を履行するのを支援するものとします。

c)    DPAの遵守に関してデータ主体と一方の当事者との間で紛争が生じた場合、当該当事者は、適時に友好的に問題を解決するために最善の努力を払うものとします。両当事者は、かかる紛争について相互に情報を提供し、適切な場合にはその解決に協力するものとします。  

 

7.     個人データの保持

a)    輸入者は、本DPAの対象となる個人データ(または当該個人データを含む文書もしくは記録(電子的であるか否かを問わない)を、本DPAの目的を果たすために必要な期間を超えて保持しないものとします。

b)    輸入者は、輸出者の要請に応じて、以下のことを行うものとする:

                                     i)     すべての個人データを輸出者に返却する。

                                    ii)     保有するすべての個人データを削除すること、

また、該当する場合、輸入者は、本DPAの目的のために個人データを開示したすべての第三者に対し、当該個人データを処理者に返却するか、または削除するよう指示するものとします。

c)    上記(a)および(b)に定める条項は、輸入者が個人情報の長期間の保持に関する法的義務を負う特定の状況には適用されないものとします。

 

8.     紛争解決と準拠法

a)    DPAに基づく紛争は、友好的な解決により解決されるものとします。

b)    友好的な解決が不可能な場合、いかなる紛争もデータ輸入者の敷地内の州法に従って解決されるものとする。

c)    DPAの条項と適用データ保護法との間に抵触または矛盾がある場合は、適用データ保護法の規定が優先するものとします。

 

9.     コンプライアンス違反の結果

a)    いずれかの当事者が本DPAに基づく責任を遵守しなかった場合、影響を受ける当事者は、合理的な期間内に不適合を是正するよう、過失のある当事者に通知するものとする。

b)    不適合の重大性に応じて、影響を受ける当事者は、当該不適合を是正するために必要な期間、本DPAに基づく個人データの移転または処理を停止することができます。

c)    その場合は

                                     i)     データ輸入者に対する、またはデータ輸入者による個人データの移転または処理が、(b)に従って6ヶ月を超えて一時的に停止された場合。

                                    ii)     いずれかの当事者が本DPAを遵守することにより、個人データを処理している国の法 に基づく義務に違反することになる場合。

                                   iii)     いずれかの当事者による本DPAの違反があったとする、管轄裁判所によるこれ以上の上訴が不可能な最終決定が下された場合。

                                  iv)     両当事者のいずれかが、自発的または非自発的に事業を停止するか、事業を停止する意向を表明するか、資産のすべてまたは実質的にすべてを非関連事業体に譲渡する、

その場合、損害を受けた当事者は、当該当事者に不利なその他の権利を害することなく、本DPAを終了する権利を有するものとします。

d)    両当事者は、理由の如何を問わず、いつでも本DPAが終了しても、移転された個人データの返還または削除に関する本DPAの義務を免れないことに同意するものとします。

e)    輸出者は、自らの法的義務を遵守する責任を負うものとし、輸出者が自らの法的義務を遵守しなかった結果、輸入者に生じた一切の損害について補償するものとする。

 

10.  一般事業

a)    各当事者は、相手方当事者に対し、本DPAの下で、および本DPAに従って義務を締結し、履行する完全な能力および権限を有することを保証し、表明し、約束する。

b)    各当事者は、本DPAに基づく義務の履行に関連して、適用されるすべてのデータ保護法規を遵守することに同意します。

c)    本条項と、本条項が合意された時点またはその後に締結された両当事者間の関連契約の規定との間に矛盾がある場合は、本条項が優先するものとします。

 

11.  最終規定

a)    両当事者は、書面による合意により、本DPAを採択または修正することができ、また適用されるデータ保護法制の要求に応じて、本DPAを採択または修正することができます。これは、両当事者が、商業上または事業上の取り決めに応じて、書面による合意により、条項を追加または修正することを妨げるものではありません。

b)    DPA、および認定アフィリエイトとエンゲージの間のすべての DPA に起因または関連する、各当事者およびそのすべてのアフィリエイトの賠償責任は、契約、不法行為、またはその他の賠償責任の理論に基づくか否かにかかわらず、総計として、本契約の「賠償責任の制限」の項に従うものとし、当該項において当事者の賠償責任と言及されている場合は、本契約およびすべての DPA に基づく、当該当事者およびそのすべてのアフィリエイトの賠償責任の総計を意味します。疑義を避けるために、本契約およびすべての DPA に起因または関連する、クライアントおよびそのすべての認定関連会社からのすべての請求に対する Engage およびその関連会社の総責任は、クライアントおよびすべての認定関連会社を含む、本契約および本契約に基づき設定されたすべての DPA の両方に基づくすべての請求に対して合算して適用されるものとし、特に、かかる DPA の契約当事者であるクライアントおよび/または認定関連会社に対して個別に適用されるとは理解されないものとします。

 

c)    エンゲージは、[RB1]  https://www.engagetg.com/data-processing-addendum で利用可能なウェブサイトに改訂版を掲載することにより、本 DPA を随時改訂することができます。エンゲージが本DPAのクライアントの権利または義務に否定的かつ重大な影響を与える修正を行う場合、エンゲージはクライアントに書面で電子的に通知するものとします。本 DPA の重大な変更の通知を受けた場合、お客様がそのような変更によって否定的かつ重大な影響を受ける範囲において、お客様は 5 日以内に本契約を終了する意向を書面で Engage に通知するものとします。本条に基づく本 DPA の重大な修正の結果、お客様が本契約を終了する意向を通知する場合、その変更内容がお客様にどのように重大かつ悪影響を及ぼすかについての具体的な説明を含めるものとします。Engage は、Engage への書面による通知の日から 60 日以内であれば、いつでも本契約およびすべてのサービスを終了するものとします。

 

d)    DPAは、両当事者間で締結された契約の一部である。

e)    DPAの終了または停止により、本DPAに基づく個人データ処理の継続が不可能となり、本契約の履行に重大な影響が生じます。


 

付録

附属書 I – プロセスの説明

 

A.当事者リスト

データエクスポーター:

契約書に記載されたクライアント

本条項に基づいて移転されるデータに関連する活動データ輸出者と輸入者の間で締結されたサービス提供契約を履行するために、データ輸出者が個人データを移転し、データ輸入者が個人データを保管すること。

役割(コントローラー/プロセッサー):コントローラー

 

データインポーター:

会社名エンゲージ・テクノロジーズ・グループ

住所3540 E Longwing Lane, Suite 300, Meridian, Idaho, 83646, United States

データ保護責任者または担当者:dpo@engagetg.com

 

本条項に基づいて移転されるデータに関連する活動データ輸入者は、データ輸出者から個人データを受領し、データ輸出者の代理として、最後のデータ輸入者の指示に従い、個人データを処理します。

役割(コントローラー/プロセッサー):プロセッサー

 

B.譲渡の説明

 

個人データが移転されるデータ主体のカテゴリー

本契約の対象となる移転が関係するデータ主体のカテゴリーは、受領者(すなわち、ユーザーの受領者、およびユーザーが情報を提供した、またはサービスを通じてユーザーとその他の方法で相互作用したその他の個人)です。

 

移転される個人データのカテゴリー

識別データ(内部エンゲージID)、連絡先情報(姓、名)、連絡先データ(電話番号)、医療情報(予約タイプ、予約日時)、ジャーニー情報(ジャーニー、イベントタイプ、イベント日、イベントID、エピソード名、言語、ビデオID、ビデオ名、ビデオの長さ、視聴したビデオ時間、視聴したビデオ時間の割合、行動喚起)[LM2] [LM3] [LM4] [al5] 

 

機密データの転送:

S ensitiveデータは、API Kitの統合方法を通じてのみ、サービスの一部として処理されます。Data Exporterがこの統合方法を選択した場合、アポイントメントタイプとアポイントメント日時はData Importerによって処理されます。 [LM6] [LM7] [al8] 

 

移籍の頻度:

データ移転は、サービス契約の性質に従い、継続的に行われる。

 

処理の性質

処理は、データ輸出者とデータ輸入者の間で締結された契約に基づく商取引関係に基づくものであり、個人データの収集、記録、整理、構造化、保管、検索、相談、使用、送信による開示、普及またはその他の方法による利用可能化、消去または破棄を指します。

 

データ移転およびさらなる処理の目的

個人データの処理の主な目的は、データ輸出者とデータ輸入者の間で締結されたサービス契約の履行であり、その主な内容は、データ輸出者の受信者に関する旅へのアクセスおよび統計の提供です。

 

個人データの具体的な処理目的は以下の通りです:

·      旅程のリンクを記載したテキストメッセージを受信者に送信する。

·      旅行中の受取人の行動を追跡する。

·      受信者のプラットフォーム利用に関する統計レポートの提供

 

個人データの保存期間:

本契約に基づき処理される個人データは、データ輸入者がクライアントとの契約締結中にのみ処理するものとします。

 

サブプロセッサーへの譲渡

輸入者は、本DPAの対象となる個人データを、本サービスの提供に厳密に必要なものに限定し、本サービスが提供される期間に限り、転送の目的のためにのみ、またはその目的に従ってのみ、転送し、またはそのプロバイダーが利用できるようにすることができるものとします。

 

C.管轄監督機関

管轄監督機関は、データ対象者が所在する適用データ保護法に従い決定されるものとします。


 

付属文書 II – データの安全性を確保するための技術的・組織的対策

 

処理の性質、範囲、文脈および目的、ならびに自然人の権利および自由に対するリスクを考慮し、適切なレベルのセキュリティを確保するためにデータ輸入者によって実施される技術的および組織的措置の説明:

 

       個人情報の仮名化・暗号化への対応

       処理システムおよびサービスの継続的な機密性、完全性、可用性、回復力を確保するための措置

       物理的または技術的な事故が発生した場合に、個人データへの可用性およびアクセスを適時に回復する能力を確保するための措置

       処理の安全性を確保するために、技術的・組織的措置の有効性を定期的にテストし、評価し、評価するプロセス

       ユーザー識別と認証のための措置

       伝送中のデータ保護対策

       保管中のデータ保護対策

       個人データが処理される場所の物理的安全性を確保するための措置

       イベントログを確実に記録するための対策

       デフォルト・コンフィギュレーションを含むシステム・コンフィギュレーションを確保するための措置

       社内のITおよびITセキュリティ・ガバナンスと管理のための施策

       プロセスおよび製品の認証/保証のための措置

       データ最小化のための措置

       データ品質確保のための措置

       限定的なデータ保持を確保するための措置

       説明責任確保のための措置

       データ・ポータビリティと消去のための措置


 

 

附属書 III – サブ・プロセッサーのリスト

 

コントローラは、以下のサブプロセッサの使用を許可しています:

 

1.名前Microsoft Azure

ウェブアドレス:https://azure.microsoft.com

DPO:privacy.microsoft.com。

処理内容:ホスティングとインフラ、クラウドコンピューティングプラットフォームとAPI。

 

2.名前Auth0

ウェブアドレス:https://auth0.com

DPO:privacy@okta.com

処理の説明プラットフォームへの認証と認可。

 

3.名前Twilio

ウェブアドレス:https://www.twilio.com

DPO:privacy@twilio.com

処理の説明:ワンタイムパスワード付きテキストメッセージの提供。

 

4.名前カレイラ

ウェブアドレス:https://www.kaleyra.com

DPO:privacy@kaleyra.com

処理の説明:テキストメッセージの集約。

 

5.名前バイブス

ウェブアドレス:www.vibes.com

DPO:-。

処理の説明:テキストメッセージの集約。

Scroll to Top