01.

データ処理に関する付属書
Data Processing Addendum

お客様と株式会社アピリオ(以下「アピリオ」といいます。)との間で締結された技術サービス基本契約書その他のアピリオの所定の本サービスに関連する類似の基本契約書(以下「本件契約」といいます。)に対するデータ処理に関する本付属書(以下「本付属書」といいます。)は、適用ある場合、データ保護法令の要件に従って個人データの処理に関する本件当事者間の合意を反映するためのものです。本件契約に対する言及は、本付属書を含みますが、これに限られないものと解釈されます。

1. 定義 「データ保護法令」とは、本件契約に基づき個人データの処理に適用される欧州連合、欧州経済領域及びこれらの加盟国、スイス及び英国の規制(EU指令95/46/EC(以下「指令」といいます。)を含みます。)並びに一般データ保護規則(規則(EU)2016/679)(以下「GDPR」といいます。)(施行された場合。)をいいます。「個人データ」とは、データ保護法令の対象となる特定された又は特定可能な自然人に関する情報をいいます。「データ主体」「管理者」「処理者」及び「本件処理」とは、指令及びGDPR(施行された場合。)において定義される意味を有するものとします。本付属書において定義されていない頭文字が大文字の用語は、本件契約においてそれぞれ定義される意味を有するものとします。

2. 個人データの処理

a. 本件当事者らの役割 本件当事者らは、お客様が個人データの処理の目的及び手段の決定につき単独で責任を負う管理者であること並びにアピリオが管理者を代理して個人データの処理につき責任を負うお客様の処理者であることに合意します。アピリオは、個人データの処理及び米国、日本、インド又はお客様により承認されたその他の法域への個人データの移転に関するお客様の指示に従ってのみ、措置を講じるものとします。アピリオは、以下の第2条第e項「復処理者」において定められる要件に従い、個人データの処理を行うために、復処理者を任用することができます。

b. お客様による個人データの処理 お客様は、データ保護法令の遵守(アピリオへの個人データの移転及びアピリオの個人データの処理の適法性を含みますが、これらに限られません。)につき、単独で責任を負います。制限する目的ではなく、疑義を避けるために付言すると、個人データの処理に係るお客様の指示は、データ保護法令を遵守したものでなければなりません。お客様は、個人データの正確性、質及び合法性並びにお客様が個人データを取得した手段(義務付けられるデータ主体への通知の提供及びデータ主体からの必要な同意の取得を含みますが、これらに限られません。)につき、単独で責任を負うものとします。お客様は、アピリオに提供する個人データの分量を本サービスの履行に最低限必要な分量に維持することにつき、全責任を負います。お客様は、適用ある法律(データ保護法令を含みますが、これに限られません。)により要求されるあらゆるデータ処理記録簿又はその概要を作成し、かつ、これを維持することにつき、単独で責任を負うものとします。お客様は、本付属書に基づくアピリオのサービスの履行に必要な所定の事業運営が、当該本サービスの提供を独自に管理する一もしくは複数のアピリオの関連会社に譲渡されたか又は将来譲渡される可能性があることを確認し、かつ、これに同意します。

c. お客様の指示権 アピリオは、お客様の指示に従ってのみ、個人データの処理を行うものとします。本付属書の条件に従い、かつ、本件当事者らの相互の合意をもって、お客様は、本件処理の種類、範囲及び手順に関する指示書を発行することができます。お客様は、アピリオに指示書を提供する全ての個人は、アピリオに指示を行うことにつきお客様により授権されていることを確保することにつき、責任を負います。個人データの処理に関するお客様の最初の指示は、本件契約、本付属書別紙1並びにソフトウェア及び本サービスに関する該当するあらゆる注文書又は業務明細書において定められています。本件処理及び手順の主題の一切の変更は、効力発生に先立ち、本件当事者らによって書面により合意された上で行われるものとします。

d. 本件処理の詳細 本件処理の当初の性質及び目的、本件処理の期間、データ主体のカテゴリー並びに個人データの種類は、別紙1 において定められます。

e. アピリオの復処理者  お客様は、アピリオが本付属書に従って、個人データの処理を行うために復処理者を任用することができることに同意します。復処理者の住所を含む復処理者の一覧は、請求を行うことにより入手可能です。アピリオは、復処理者を任用する場合、本付属書において定められるのと実質的に同等又はより厳格な義務を課すために、復処理者と契約書を締結するものとします。お客様は、要求される限りにおいて、復処理者と直接締結する当該契約に署名するよう明示的に命じることができます。お客様は、アピリオの単独の裁量によってアピリオの同意を得た場合を除いて、アピリオの復処理者に対し、ソフトウェア又は本サービスにつき直接連絡を行ってはなりません。アピリオは、お客様に対し、電子メール、ウェブサイト及びポータル等の通常の連絡手段により、復処理者に関する一切の変更につき、事前に通知します。お客様が新たな復処理者が追加されることにつき、合理的に異議を申し立てる場合(例:かかる変更により、お客様が適用あるデータ保護法令を遵守していない状態になる場合)、お客様は、アピリオに対し、当該通知の受領後30日以内に具体的な異議の内容を書面により通知するものとします。お客様がかかる期間内に異議を申し立てない場合、新たな復処理者の追加及び本付属書への追加(該当する場合。)は、承諾されたとみなされるものとします。お客様が新たな復処理者の追加につき異議を申し立てたにもかかわらず、アピリオがお客様の異議を受け入れることができない場合、お客様は、アピリオからの通知の受領後60日以内の書面による通知により、本サービス及びソフトウェアを終了させることができます。

f. お客様の個人データの返還又は削除 適用あるデータ保護法令により要求される場合を除き、アピリオは、本サービスの終了もしくは満了をもって、合理的な期間内にお客様の個人データを破棄するか又はお客様に返還します。アピリオは、お客様がご自身の個人データを入手可能な場合は、お客様の個人データをお客様に返還する義務を有しないものとします。

3. 表明及び保証 お客様は、(a)個人データがデータ保護法令に従って収集され、かつ、アピリオに移転されていること、(b)個人データがアピリオに移転される前に、個人データがデータ保護法令に従って維持され、保持され、安全性が確保され、かつ、保護されていること、(c)お客様が個人データの処理に係るデータ主体及び適用ある規制当局からの問い合わせに対応し、かつ、アピリオに対し、アピリオの個人データの処理に関連するデータ主体又は適用ある規制当局からの問い合わせにつき通知すること、(d)個人データの収集を行う前に、アピリオが本付属書に従って個人データを処理するために必要な全ての同意(個人データの処理に関する同意を含みます。)をお客様がデータ主体から取得していること、(e)お客様がデータ保護法令により要求されるとおり又はデータ主体もしくは規制当局からの合理的な請求に応じて、本件契約の写しをデータ主体もしくは規制当局が入手可能な状態にすること、(f)お客様がデータ保護法令の遵守につき、単独で責任を負うものとすること並びに(g)お客様が、本サービスを履行するためにアピリオにより書面により要求及び請求された個人データのみをアピリオに移転し、かつ、提供することを表明し、保証し、かつ、誓約します。

4. データ主体の権利 アピリオは、法律上許容される範囲内において、データ主体から当該データ主体の個人データへのアクセス権、訂正、変更又は削除に関する請求を受けた場合、お客様に速やかに通知を行うものとし、該当する場合、アピリオは、お客様に対し、かかる申立て、通知もしくは連絡係る商業上合理的な協力及び支援を提供するものとします。アピリオは、お客様により書面で指示されたとおり、又は当事者らが書面により相互に合意した手順に従って、誤った個人データを訂正するものとします。お客様は、アピリオがお客様に提供したデータ主体からの全ての要請に速やかに対応し、かつ、これを解決するために最善の努力を尽くすものとします。アピリオがデータ保護法令により、お客様の関与なく何らかの訂正作業を行うことが要求される場合、アピリオは、かかる訂正作業を行い、お客様にこれを通知するものとします。お客様は、本条に基づきアピリオがかかる支援を提供することにより生じる一切の合理的な費用につき、責任を負うものとします。お客様は、法律上許容される範囲内において、アピリオがかかる支援を提供することにより生じる一切の費用につき、責任を負うものとします。

5. アピリオの職員 アピリオは、個人データの機密性につき個人データの処理に従事する職員を訓練し、かつ、職員らの責任に応じて適切な研修を行うものとします。アピリオは、個人データの機密性を維持するため、自社の職員と合意書を締結する(職員の任用の終了につき記載することを含みます。)ものとします。アピリオは、本件契約を履行するために個人データへのアクセスが必要な職員のみが当該個人データにアクセスするよう、商業上合理的な努力を尽くすものとします。アピリオは、データ保護法令により要求される場合、データ保護責任者を指名するものとします。アピリオは、要請に応じて、被指名者の連絡先を提供します。

6. セキュリティ アピリオは、個人データの処理によりもたらされるリスクに対して適切な安全水準を確保するため、本件処理の実施費用、性質、範囲、過程及び目的並びにデータ主体に損害を被らせることに対する様々な蓋然性及び深刻度のリスクを考慮に入れた上で、適切な技術的及び組織的な対策を実施します。アピリオは、適切な安全水準を算定するにあたり、処理に伴うリスク、とりわけ、移転、保管その他処理された個人データの不測のもしくは違法な破壊、損失、変更、不正開示又はアクセスから生じるリスクにつき検討するものとします。

7. 監査

a. 監査の要請 アピリオは、第7条第(c)項に従い、お客様からの書面による要請に応じて、本件契約の遵守状況及び本件契約における約束事項に係る最新の監査報告書の概要をお客様に提供します。アピリオの方針は、監査の方法及び要旨に関する情報を提供するというものであり、原データ又は非公開情報を提供することではありません。アピリオは、お客様がかかる遵守[状況]及び約束事項をよりよく理解することができるよう、提供可能な追加情報を提供することにより、お客様に合理的に協力します。適用あるデータ保護法令及び第7条第(c)項により義務付けられる監査義務をその他の点において履行することができない場合に限り、法律上義務付けられる法人(お客様の業務の監督権を有する政府規制当局等)のみが本サービスの提供のために使用される施設の立入検査を行うことができます。データ保護法令により義務付けられる場合を除き、セキュリティ及びコンプライアンス上の理由により、データセンター内の監査は一切許可されません。本第7条に基づく監査の実施後又は本第7条に基づくアピリオからの報告の受領後、お客様は、アピリオが本付属書におけるセキュリティ義務、秘密保持義務又はデータ保護義務(該当する場合。)のいずれかを遵守していない場合、具体的な方法(もしあれば。)をアピリオに通知しなければなりません。かかる情報は、アピリオの秘密情報とみなされます。

b. 復処理者 お客様は、アピリオ及びアピリオの復処理者の事前の同意なく、アピリオの復処理者の監査を行うことはできません。お客様は、アピリオ又はアピリオの復処理者が独立機関(外部もしくは内部の監査人、アピリオのデータ保護責任者、ITセキュリティ部門、データ保護・データ品質監査人その他相互に合意された第三者又はITセキュリティもしくはデータ保護監査により認証された者を含みますが、これらに限られません。)からの最新の主張、報告書又は抄本を提示することにより、お客様による復処理者に対する監査の請求が履行される可能性があることに同意します。復処理者の敷地における立入監査は、管理者を代理してアピリオにより行われる可能性があります。

c. 監査の手順 データ保護法令により要求される場合を除き、お客様は、アピリオに対し、年に一度を上回らない頻度で監査報告書の概要又は監査を請求することができます。お客様は、監査報告書の概要又は監査を請求するにあたり、少なくとも4週間以上前までにアピリオに通知を行わなければなりません。監査の範囲は、お客様の個人データの保護に関連するアピリオの規定、手続及び管理の範囲に限定され、かつ、別紙1において定義されます。全ての監査は、第7条第(b)項に従って、アピリオの主たる営業所又は個人データがアクセスされ、処理され、もしくは管理されるアピリオのその他の事業所の通常の営業時間内に行われるものであり、アピリオの日常業務に不当に干渉するものではありません。監査は、お客様の単独の費用負担により、かつ、本件契約において定められるものと実質的に同等の秘密保持条項を含み、アピリオの全ての秘密情報及び全ての監査結果の機密性を保持することを義務付ける秘密保持契約の対象となる、お客様により任用され、かつ、お客様から支払を受ける相互に合意された第三者によって行われます。お客様はさらに、アピリオの当該時点における料率に基づき、アピリオにより提供されたあらゆる支援に係る費用(内部資金を含みます。)を支払うことに同意します。アピリオ及びお客様は、かかる立入監査の開始前に、監査の時期及び期間につき、相互に合意するものとします。アピリオは、監査に合理的に協力しますが、これには、通常の営業時間中にアピリオのセキュリティに関する情報又は資料を閲覧する権利(但し、コピーを行う権利ではありません。)を監査人に付与することを含みます。お客様は、アピリオに対し、全ての監査結果の完全な写しを無償で提供するものとします。監査結果は、アピリオの「秘密情報」であるものとみなされます。

8. EU-米国間プライバシーシールド及びスイス-米国間プライバシーシールド アピリオは、米国商務省により管轄されるとおり、EU-米国間プライバシーシールド及びスイス-米国間プライバシーシールドフレームワークに係る自己証明を行い、かつ、これを遵守し、かつ、本件契約の有効期間中において、欧州経済領域及び/又はスイスから米国に移転される個人データの処理について、EU-米国間プライバシーシールド及びスイス-米国間プライバシーシールドフレームワークに係る自己証明を維持し、かつ、これを遵守するか又はお客様の個人データが欧州経済領域外に移転される場合に充分な保護措置が図られるよう、データ保護法令に基づく要件を遵守するための追加的な措置を実施するために、お客様に協力するものとします。お客様は、アピリオが米国に拠点を置く法人であることを確認し、お客様の個人データが処理のために米国に移転される可能性がある点につき了解し、かつ、これに同意します。

9. 責任制限 本付属書に起因又は関連する各当事者及びその全ての関連会社の責任(かかる責任は合算して考えられます。)(契約によるか、不法行為によるか又はその他の責任論に基づくか否かを問いません。)は、本件契約の「責任制限」条項の対象であり、当該条項におけるある当事者の責任に対する言及は、本件契約及び本付属書に基づく当該当事者及びその全ての関連会社の責任の総額をいいます。疑義を避けるために付言すると、本件契約又は各本付属書に起因もしくは関連するお客様からの全ての請求に対するアピリオ及びその関連会社の責任の総額は、本件契約及び本付属書の両方に基づく全ての請求に対して適用されるものとします。

10. 準拠法 本件当事者らは、データ保護法令により別途要求される場合を除いて、本付属書の準拠法並びに本付属書に係る全ての紛争の裁判地を本件契約において定めるのと同一の準拠法及び裁判地とすることに合意します。

別紙1

本件処理の詳細


本件処理の性質及び目的

パブリッククラウドアプリケーションの実装及び統合に関連するサービス(Salesforce、Workday及びCornerstone等のサービス型ソフトウェア(software as a service)及びサービス型プラットフォーム(platform as a service)テクノロジーを含みます。)を含むITサービスの提供

本件処理の期間及びデータの保持期間

アピリオは、書面により別途合意される場合を除き、本件契約の期間中において、個人データの処理を行います。アピリオは、書面により別途合意される場合を除き、法律により要求される限り、個人データを保持します。

データ主体のカテゴリー

お客様は、以下のカテゴリーに該当するデータ主体に関連する個人データを含む可能性がありますが、これらに限られない個人データ(当該個人データの範囲はお客様の単独裁量により決定され、かつ、管理されます。)を本サービスに提供することができます。

  1. お客様
  2. 従業員並びに各従業員の扶養家族、受益者及び緊急連絡先
  3. 請負人(臨時雇用者を含みます。)
  4. 有志者、インターン、派遣職員及び臨時職員
  5. サプライヤー
  6. 通商代表
  7. フリーランサー、代理人、コンサルタントその他の専門家並びに各人の扶養家族、受益者及び緊急連絡先
  8. 採用予定の従業員及び臨時スタッフ
  9. アドバイザー、コンサルタントその他の専門家

個人データの種類

お客様は、以下のカテゴリーに該当する個人データを含む可能性がありますが、これに限られない個人データ(当該個人データの範囲はお客様の単独裁量により決定され、かつ、管理されます。)を本サービスに提供することができます。

  1. 人材関連識別データ及び従業員のマスターデータ(氏名、住所、電話番号、電子メール等を含む可能性があります。)
  2. 顧客関係管理(CRM)ソフトウェアに関連するお客様の連絡先の詳細
  3. 請求及び支払データ