Connect & Engage - Data Processing Addendum (DPA)

データ処理補遺

バージョン:2023年1月1日

本データ処理補遺(「DPA」)は、クライアントによる本サービスの利用に関して、クライアントとCM.comとの間で締結された契約の不可欠な一部を構成する。

1. 定義および解釈

本利用規約に含まれる(英文表記の場合に大文字で始まる)用語は、本条で定義された意味を有するものとする。

管理者:単独でまたは他者と共同で、個人情報を処理する目的及び方法を決定する自然人または法人、公的当局、機関、その他の団体をいう。

データ主体:個人情報に関して特定された、または特定可能な自然人をいう。

技術的および組織的措置:偶発的または違法な破壊、偶発的な紛失、改変、不正な開示またはアクセス、およびその他のあらゆる違法な処理から個人情報を保護するための措置をいう。

個人情報侵害:送信、保存または処理された個人情報の偶発的または違法な破壊、紛失、改変、不正な開示、または当該個人情報への不正アクセスにつながるセキュリティの違反をいう。

処理者:管理者に代わって個人情報を処理する自然人または法人、公的当局、機関、その他の団体をいう。

処理:収集、記録、編成、構造化、保存、翻案または改変、検索、参照、使用のほか、送信による開示、、配布その他の方法によって利用可能にすること、調整もしくは組み合わせ、制限、消去、破棄など、自動的な手段によるか否かを問わず、個人情報または一連の個人情報に対して実行される操作または一連の操作をいう。

復処理者:CM.comが本DPAに基づき処理者となる処理業務に関してCM.comが雇用する者(www.cm.com/trust-center/privacy/ に掲載されている)をいう。「データ保護影響評価」という語は、適用されるデータ保護法に定める意味を有する。

1.2. 適用されるデータ保護法への言及は、それらの適用されるデータ保護法および当該法律に定義されている同等の用語を置き換えるか、改正する法律が施行され、適用が開始された時点で、当該法律への言及に置き換えられるか、当該法律への言及が組み込まれるものとする。

1.3. 本データ処理条件は、クライアントに代わりCM.comが処理者として個人情報を処理する場合に限り適用されるものとする。矛盾がある場合は、本データ処理条件の個人情報の処理に関する条項が、一般取引条件の条項に優先する。本データ処理条件の個々の条項が無効または強制不可能である場合、その他の条項の有効性および執行可能性は影響を受けないものとする。 トラストセンター: www.cm.com/trust-center/ をいう。

2. 適用範囲及び適用性

2.1 本データ処理条件は、適用されるデータ保護法に従いCM.comが処理者である、個人情報の処理業務に適用される。

2.2 CM.comは、本データ処理条件第6条に定める処理業務の処理者である。

3.クライアントの義務

3.1 クライアントは、本サービスの使用において、適用されるデータ保護法の要件に従って個人情報を処理するものとする。個人情報処理に関するクライアントの指示は、適用されるデータ保護法を遵守しなければならない。クライアントは、個人情報の正確性、品質、合法性、およびクライアントが個人情報を取得する手段について責任を負う。クライアントは、適用法に基づく個人情報の処理および移転に関するすべての要件(処理および/または越境移転の法的根拠の確保を含むが、これらに限定されない)を満たすよう徹底する。クライアントは、適用法および/または本契約に基づく個人情報の処理に関する義務を果たすことができなくなった場合、不当に遅延することなく、CM.comに通知する。

3.2 本契約のその他条項の一般性を制限することなく、クライアントは、本サービスを使用する前に、エンドユーザーから証明可能な明確な同意を取得するか、その他準拠法に基づく処理の根拠を立証できなければならず、かかる同意および/または法的根拠の記録を維持するものとする。CM.com、オペレーター、規制当局またはその他の所管官庁から合理的な書面による通知で要求があった場合、クライアントは、要請された情報を法的根拠に基づき提供するものとする。

4. 処理者の義務

4.1 指示

4.1.1 CM.comは、本DPAおよび本契約に従い、クライアントが本契約および本契約の範囲内の追加指示書で随時指定する目的および方法で、個人情報を処理するものとする。

4.2 技術的および組織的措置

4.2.1 処理の最新技術、性質、範囲、背景、および目的、ならびに自然人の権利と自由の可能性および重大性が変化するリスクを考慮して、CM.comは適切な技術的および組織的措置(個人情報の不正または違法な処理、および偶発的もしくは違法な破壊、紛失、改変、毀損、不正開示、または不正アクセスに対する保護を含む)を講じ、リスクに適切な水準の安全性を確保するものとする。技術的および組織的措置に関する最新情報は、www.cm.com/trust-center/security/ で確認できる。

4.2.2 CM.comは、処理の安全性を確保するため、技術的および組織的措置の有効性を継続的にテスト、評価、判定するものとする。CM.comは、適切な場合、技術的および組織的措置を継続的に強化し改善するものとする。

4.3 人事要件

CM.comは、個人情報を処理する権限を与えられた者が機密保持を誓約するか、機密保持に関する適切な法的義務を負うよう徹底する。個人情報へのアクセスは、本契約に基づいて本サービスを履行するためにアクセスする必要がある人員に制限される。

4.4. 機密保持

CM.comは、個人情報を機密に保持することに同意する。特に、CM.comは、本契約および強行法規に基づく本サービスの履行で予測され、かつ必要である場合を除き、クライアントの事前同意を得ることなく、クライアントのためにクライアントまたはクライアントの代理人からCM.comに提供された個人情報を第三者に開示しないことに同意する。

4.5 データ主体の権利

4.5.1 データ主体のアクセス権、修正権、処理を制限する権利、消去権(「忘れられる権利」)、データポータビリティの権利、処理に異議を唱える権利、または自動処理による個人に関する決定の対象とならない権利を行使する要求(以下「データ主体の要求」)をクライアントがデータ主体から受領した場合、クライアントからCM.comに対する指示に従い、CM.comは、個人情報を移転、修正、削除、または使用を停止するものとする。

4.5.2 CM.comがデータ主体の要求を受領した場合、CM.comは、クライアントに通知するものとする。CM.comは、処理の性質を考慮し、適用されるデータ保護法に基づきデータ主体の要求に対応する際に、クライアントを支援するものとする。CM.comは、CM.comによる実施が法的に許可されており、かかるデータ主体の要求への対応がデータ保護法において義務付けられている範囲内で、クライアントを支援するものとする。

4.6 クライアントのコンプライアンス(遵守)対する支援

CM.comは、データ保護法に基づくクライアントの義務の遵守を徹底するために合理的に必要とされる追加支援をクライアントに提供するものとする。これには以下が含まれる。

(a) データ保護影響評価について、クライアントによるデータ保護影響評価の実施を支援する目的でクライアントが必要とする情報や協力を提供すること、およびデータ保護影響評価に準拠して個人情報処理が実行されているかどうかを評価する定期的な評価検討。

(b) リスクの高い処理に関するデータ保護監督当局との事前協議。

4.7 コンプライアンス(遵守)、情報および監査

4.7.1 CM.comは、CM.comのウェブサイトのトラストセンター(www.cm.com/trust-center/) に定められる第三者認証を取得している。当該サイトには、技術的および組織的措置、プライバシー、コンプライアンス、リスク管理およびデータセキュリティに関する情報が提供されている。CM.comは、クライアントの書面による要求に応じ、本契約に定められる機密保持義務に従って、CM.comの競合他社ではないクライアント(またはCM.comの競合他社ではないクライアントの独立した第三者監査人)に、必要に応じて合理的に要求されるCM.comのその時点で最新の第三者認証の写し、ならびにITアーキテクチャーおよびセキュリティに関する情報を提供するものとする。クライアントは、CM.comが提供する情報を評価し、これが適用されるデータ保護法に基づくクライアントの要件および義務を果たすか否かを判断する責任を負う。クライアントは、本書に基づき提供される情報が、適用されるデータ保護法に基づくクライアントの監査権を行使するために役立つことに同意する。

4.7.2 CM.comが提供する情報が本DPAの遵守を証明するには不十分である場合、クライアントは、年に1回まで、認定を受けた外部専門家を任命して、クライアントのデータ処理に関する手順を監査する権利を有する。CM.comは、10営業日前までに合理的な書面による事前通知を受領することで、かかる監査に協力する。クライアントは、かかる監査のためにCM.comが費やした時間について、その時点で最新のCM.comの専門サービス料金(要請に応じてクライアントに提示されるものとする)でCM.comに払い戻すものとする。かかる監査の開始前に、両当事者は、クライアントが責任を負う払戻料金に加えて、監査の範囲、時期および期間について相互に合意するものとする。

4.7.3 CM.comは、CM.comの利益のため、外部専門家にCM.comの機密保持誓約書に署名するよう要求する権利を有する。機密保持誓約書には、同様の誓約書に通常使用される条件が含まれるものとする。外部専門家が提供する報告書または説明書は、CM.comの利用に供するものとする。クライアントは、監査によるCM.comの業務の妨害が最小限になるよう徹底するものとする。

4.8 記録

CM.comは、クライアントに代わって実施する処理活動の完全で正確かつ最新の記録を維持するものとする。

4.9 関連会社および復処理者

4.9.1 本契約に基づくCM.comの義務の一部または全部は、CM.comの関連会社によって実施される場合がある。CM.comは、自身の関連会社が本契約を遵守することに責任を負う。

4.9.2 クライアントは、(a) CM.comの関連会社が復処理者として従事することがあること、(b) CM.comおよびCM.comの関連会社それぞれが、本サービスの提供に関連して第三者の復処理者を雇用する場合があることを認め、これに同意する。ただし、CM.comまたはCM.comの関連会社は、各復処理者と書面による契約を必ず締結することとし、その契約には当該復処理者が提供する本サービスの性質に適用される範囲で、個人情報の保護について本契約に定める保護水準以上のデータ保護義務を含むものとし、CM.comは、復処理者の最新リストを維持する。CM.com の現行の復処理者リストは、www.cm.com/trust-center/privacy/ から入手可能である。CM.com は、復処理者リストに関する変更がある場合、その30日前にクライアントに通知するものとする。当該期間内に、クライアントは復処理者リストの変更に異議を申し立てることができる。ただし、当該異議は、適用されるデータ保護法に関する合理的な根拠に基づき、書面で提出されることを条件とする。両当事者は、クライアントの異議を解決するために誠意をもって努力する。異議申立てが30日以内に解決されない場合、いずれの当事者も、本契約を解除することができる。

4.9.3 CM.comは、各復処理者が本契約の条件に直接従ってサービスを履行する場合には、CM.com自身が負う責任と同等の責任を各復処理者について負うものとする。

4.10 違反通知

個人情報侵害について、CM.comは以下を行うものとする。

(a) CM.comまたは下請業者が関与する個人情報侵害について、不当に遅延させることなく(いかなる場合も個人情報侵害を認識してから48時間以内に)クライアントに通知する。

(b) 個人情報侵害への対応として適用されるデータ保護法(GDPR第33条(3)及び第34条(3)など)に基づいて実施する措置(個人情報侵害に関するデータ主体およびデータ保護当局への連絡等も含む)に関連して、クライアントに合理的な協力および支援を提供する。

CM.comは速やかに個人情報侵害を調査し、根本原因の特定と再発防止のための合理的な措置を講じる。CM.comは、情報が収集されたか、その他の方法で利用可能となった場合、法律で禁止されていない限り、個人情報侵害の詳細、個人情報侵害の対象となったデータの種類、およびクライアントが合理的に要求するその他の情報をクライアントに提供する。両当事者は、誠実に協力し、関連する公式の声明、または影響を受けたデータ主体および/もしくは関連するデータ保護当局に対する必要な通知の内容を作成することに同意する。

5. 越境データ移転

第4.9項に基づく復処理者を雇用するにあたり、ある法域(すなわち、欧州経済地域、英国、その他の関連する法域)から、当該法域外に所在する第三者に個人情報を合法的に移転するために、適用されるデータ保護法に基づく越境移転メカニズムが義務付けられる範囲で、以下の条件が適用される。 クライアントは、CM.comが所在する法域外で、個人情報が最初に受領されることになる法域外に個人情報を移転する権限をCM.comに付与することを認める。ただし、CM.comが、本DPA、および適用されるデータ保護法に基づく適切なレベルの保護を提供する合法的なデータ移転メカニズムに従い当該移転を行うよう徹底することを条件とする。

6. 個人情報の保存、保持および削除

CM.comは、準拠法、規制(国内電気通信法および適用されるデータ保護法を含むが、これらに限定されない)に従って、個人情報を含むデータを処理し、保持するものとする。CM.comのプラットフォームに送信されるデータ(個人情報を含む)は、CM.comのデータ保持方針に従って処理され、保存されるものとする。個人情報は、本契約に基づく本サービスの提供に必要な期間のみ、本契約に定める目的のために、準拠法で義務付けられるおよび/または許可される範囲で、保持されるものとする。CM.comは、適用される保持期間の後、識別情報または個人情報を匿名データに変更するものとする。これにより、そのデータに以前関連付けられていた個人情報を参照するためにその後使用される可能性がある個人情報または固有の識別情報が含まれないデータが作成される。

7. 処理の詳細

7.1 処理の性質および目的

CM.comは、本契約、本契約に明記される詳細、および本契約の範囲内におけるクライアントの詳細な指示に従い、本サービスを履行するために必要に応じて個人情報を処理する。

7.2 処理期間

CM.comは、本契約の期間中、本DPA第6条に従い、個人情報を処理する。

7.3 データ主体のカテゴリー

クライアントは、本サービスの使用において、その内容をクライアントが単独の裁量で決定し管理するデータをCM.comに送信することができる。これには、付録1に記載するデータ主体のカテゴリーに関連する個人情報が含まれるが、これらに限定されない。

7.4 個人情報の種類

クライアントは、クライアントが単独の裁量で決定し管理する範囲で、個人情報を本サービスに送信することができる。これには、付録1に記載する種類の個人情報が含まれるが、これらに限定されない。

付録1:データ主体と個人情報の種類の説明

データ主体:

対話型AIクラウド

会話チャネル

顧客データプラットフォーム

モバイルマーケティングクラウド

モバイルサービスクラウド

決済プラットフォーム

サイン

SMS

• クライアントまたはそのクライアントの(潜在)顧客(自然人)

• 従業員、請負業者、顧問、フリーランス、またはクライアント(およびその顧客)に雇用された者

• クライアントの見込み顧客、顧客およびビジネスパートナーの連絡担当者

• クライアントが本サービスを使用することを許可するクライアントのユーザー

チケッティング

音声サービス

個人情報の種類:

対話型AIクラウド

会話チャネル

顧客データプラットフォーム

モバイルマーケティングクラウド

モバイルサービスクラウド

決済プラットフォーム

サイン

SMS

チケッティング

音声サービス