GoDaddy

データ処理に関する追加規約 (顧客)

本データ処理追加規約 (本「追加規約」) は GoDaddy.com, LLC, a Delaware limited liability company 及びそのアフィリエイト (「GoDaddy」) とお客様 (「顧客」) の間に締結され、弊社のユニバーサルサービス規約プライバシーポリシー、及び対象サービスに適用される全ての契約 (集合的に「サービス規約」 とします) の追加規約となり、これらを補足します。 本追加規約に別途定義されていない限り、本追加規約に定義されていない英語原文で大文字の用語には全てサービス規約の定義が適用されます。

1.定義

アフィリエイト」とは、GoDaddy により制御される、制御する、または、同じコントロール下にある者を指します。

対象サービス」とは、個人データの処理を伴う場合がある、弊社がお客様に提供するホステッドサービスを指します。

顧客データ」とは、サービス規約に従い、またはそれに関連して顧客の代わりに GoDaddy ネットワーク内で GoDaddy により処理される、データ主体のデータを指します。

データコントローラー」とは、個人データの処理の目的及び手段を決定する立場での顧客を指します。

データプロセッサー」とは、エータコントローラーの代わりに個人データを処理する立場での GoDaddy を指します。

データ保護法」とは、本契約における個人データの処理に適用される、EU の法及び規制を含む全ての法及び規制を指します。

データ主体」とは、個人データの対象となる個人を指します。

EEA」とは、欧州経済地域を指します。

GoDaddy ネットワーク」とは、GoDaddy の管理下にあり対象サービスの提供に使用される GoDaddy のデータセンター施設、サーバー、ネットワーク設備、ホストソフトウェアシステム (バーチャルファイアウォールなど) を指します。

個人データ」とは、特定された、または特定可能な人物に関する情報を指します。

処理」とは、収集、記録、整理、構成、保管、調整、変更、取得、コンサルテーション、使用、転送による開示、配布またはその他の形で利用可能にすること、整列または混合など、自動であるかに関わらず、個人データに行われる操作または一連の操作を指します。処理の詳細は追加条項 1 に定められています。

セキュリティインシデント」とは、GoDaddy のセキュリティ基準への違反による顧客データの非本質的または違法な破壊、損失、変更、不正開示、アクセス、または (b) 顧客データの破壊、損失、不正開示、変更に繋がる GoDaddy の設備または施設への不正アクセスを指します。

セキュリティ基準」とは、本追加規約の追加条項 2 に定められたセキュリティ基準を指します。

標準契約条項」または「SCC」は、2010 年 2 月 5 日の法令における第三国のプロセッサーへの個人データの転送に関する標準契約条項に関する欧州委員会の決定に従い、追加規約に添付され追加規約の一部である追加条項 3 を指します。 

サブプロセッサー」とは、プロセッサーによりデータコントローラーの代理でデータの処理を依頼されたデータプロセッサーを指します。                                                               

2.データ処理

2.1 範囲と役割:本追加規約は、顧客データが GoDaddy により処理された場合に適用され、 その場合、GoDaddy は顧客データのデータコントローラーである顧客の代理となるデータプロセッサーとなります。

2.2 データ処理の詳細:GoDaddy による顧客データの処理の目的は、サービス規約及び製品ごとの契約に従った対象サービスの提供です。GoDaddy は顧客の書面上での指示に従い、顧客の代理で、次の目的にのみ顧客データを処理します: (i) サービス規約及び適用される製品ごとの契約に従った処理、(ii) エンドユーザーにより対象サービスの利用に起因する処理、(iii) 顧客による他の書面上の合理的な指示 (メールでの指示など)、但し指示が契約内容と一貫していることを条件とします。GoDaddy は、顧客の指示が GDPR またはその他適用されるデータプライバシー法に違反する場合、顧客の指示に従う義務はありません。追加規約における処理の期間、処理の性質及び目的、処理の対象となる個人データのタイプ及びデータ主体のカテゴリは、追加規約の追加条項 1 (「処理の詳細」) に詳しく説明されています。

3.顧客データの機密保持

GoDaddy により、法または有効かつ拘束力のある司法当局の命令 (勾引状、裁判所命令) に従うために必要な場合を除き、顧客データを政府またはその他第三者に開示されることはありません。 司法当局が GoDaddy に顧客データを要求した場合、GoDaddy は司法当局に対し顧客から直接得るよう促します。その際、GoDaddy は顧客の基本的な連絡先情報を司法当局に提供する場合があります。顧客データを司法当局に開示することが義務付けられた場合、GoDaddy は GoDaddy による通知が法により禁止されている場合を除き、顧客が秘密保持命令またはその他適切な措置を取れるよう、顧客にその要求に関する合理的な通知を行います。

4.セキュリティ

4.1 GoDaddy には本セクション及び本追加規約の追加条項 2、セキュリティ基準に記載されている GoDaddy ネットワークの技術的及び組織的措置が導入・維持されています。特に、GoDaddy は (i) GoDaddy ネットワークのセキュリティ、(ii) 施設の物理的セキュリティ、(iii)従業員及び請負業者の (i) 及び (ii) へのアクセス管理、(iv) GoDaddy により導入された技術的及び組織的措置の効果のテスト及び評価において、次の技術的及び組織的措置を導入・維持しています。弊社がその義務を果たす責任を負わない場合、速やかに書面(Webサイトかメール)にて通知します。

4.2 GoDaddy は顧客が対象サービスに使用できる多くのセキュリティ機能を提供します。顧客には次の責任があります: (a) 対象サービスの正しい設定、(b) 処理システム及びサービスの継続的な機密保持性、完全性、利用可能性、回復力を維持するための対象サービスで利用可能なコントロール (セキュリティコントロールを含む)の利用、(c) 物理的または技術的インシデントの際に顧客が迅速に顧客データを利用・アクセス可能な状態に復元できるようにするための対象サービスで利用可能なコントロール (セキュリティコントロールを含む)の利用 (バックアップ、顧客データの定期アーカイブなど)、(d) 顧客データを不正アクセスから守るための暗号化技術の使用及び顧客データへのアクセス権のコントロールを含む、顧客が適切なセキュリティ、保護の維持、及び顧客データの削除に適切と判断する措置の実施。

5.データ主体の権利

対象サービスの性質を考慮し、GoDaddy は顧客に本追加規約の「セキュリティ」セクションに記載された一定のコントロールを提供します。顧客はこれらのコントロールにより、対象サービスに記載された通り、顧客データの取得、修正、削除、または使用及び共有を制限できます。顧客はこれらのコントロールを、データ主体からのリクエストへの返答義務を含む、適用されるプライバシー法における義務に関連した支援のための技術的及び組織的措置として使用することができます。商業的に妥当かつ法により義務付けられている、または許可されている範囲で、GoDaddy は GoDaddy が直接データ主体から適用されるデータプライバシー法における権利を行使するリクエスト (「データ主体リクエスト」) を直接受けた場合、顧客に迅速に通知します。さらに、顧客による対象サービスの使用によりデータ主体のリクエストへの対応能力が制限される場合、GoDaddy は法により許可されており適切かつ顧客の具体的なリクエストに応じ、(コストが発生する場合) 顧客の負担でリクエストに対応するための商業的に妥当な支援を提供します。

6.サブプロセス

6.1 正規サブプロセッサー:顧客は、GoDaddy がサービス規約及び本追加規約における契約上の義務を遂行するため、また、サポートサービスの提供など代理で特定のサービスを提供するため、サブプロセッサーを使用することに同意するものとします。顧客は本規約にて、本セクションに記載されたに GoDaddy よるサブプロセッサーの使用に承諾するものとします。本セクションに定められている場合、またはその他の形でお客様に明示で承認されている場合を除き、GoDaddy は他のサブプロセスを一切許可しません。

6.2 サブプロセッサーの義務。GoDaddy がセクション 6.1 の通りにサブプロセッサーを使用する場合:

(i) GoDaddy はサブプロセッサーの顧客データへのアクセスを、対象サービスの維持、または対象サービスによって顧客及びエンドユーザーへの対象サービスの提供に必要な範囲に制限します。GoDaddy はサブプロセッサーによる他の目的での顧客データへのアクセスを禁じます。

(ii) GoDaddy はサブプロセッサーと書面上の契約を交わし、サブプロセッサーが本追加規約の下で GoDaddy の提供するものと同じデータ処理サービスを提供する範囲で、GoDaddy は本追加規約における GoDaddy のものと同じ契約上の義務をサブプロセッサーに課するものとします。

(iii) GoDaddy は、本追加規約の義務に遂行、及び本追加規約における GoDaddy による GoDaddy の義務違反の原因となる行為または省略に対し、責任を追うものとします。

6.3 新しいサブプロセッサー: 当社は随時本追加規約の条件に従い、新しいサブプロセッサーを従事させることがあります。 新しいサブプロセッサーが任意に顧客データを取得する際には、その 60 日間前に通知により (Webサイトまたはメールを通して) お知らせいたします。顧客が新しいサブプロセッサーを承認しない場合、顧客は 10 日間以内に、または当社からの通知を受けて、お客様の非承認の理由の説明を含む書面による通知を提出することにより、ペナルティーなしで対象となるサービスを終了させることができます。対象となるサービスが一括またはご購入された一括の一部である場合は、終了は全体に適用されます。

7.セキュリティ違反通知

7.1 セキュリティインシデント:GoDaddy がセキュリティインシデントを認識した場合、GoDaddy は不当な遅延なしに (a) 顧客にセキュリティインシデントを通知し、(b) セキュリティインシデントの影響を抑え被害を最低限に食い止めるための合理的な措置を取ります。 

7.2 GoDaddy の支援: いずれかの適用されるプライバシー法において顧客に義務付けられている個人データの漏洩通知に関する顧客のお問い合わせに対応するため、GoDaddy はセクション 8.1 における通知に対象サービスの性質、GoDaddy に開示されている情報、機密保持などの情報開示の制限を考慮し、GoDaddy が顧客に合理的に開示可能な、これらのセキュリティインシデントに関する情報を含めます。  

7.3 失敗に終わったセキュリティインシデント:顧客は次のことに同意するものとします。

(i) 失敗に終わったセキュリティインシデントは本追加規約の対象にはなりません。失敗に終わったセキュリティインシデントとは、顧客データ、または顧客データが保管されている GoDaddy のネットワーク、設備、施設のいずれかへの不正アクセスが発生したインシデントを指し、ファイアウォールやエッジサーバーへのピングやその他ブロードキャスト攻撃、ポートスキャン、ログオンの失敗、DOS 攻撃、パケットスニッフィング (またはその他のヘッダーより先にアクセスされなかったトラフィックデータへの不正アクセス)を含むがこれらに限定されず、

(ii) 本セクションにおけるセキュリティインシデントに対する GoDaddy の報告及び対応義務は、セキュリティインシデントに関する GoDaddy による過失または GoDaddy の責任の認容とみなされるものではありません。  

7.4 コミュニケーション:セキュリティインシデントの通知がある場合、メールを含む、GoDaddy の選択した手段により顧客の管理者に通知されます。顧客の管理者が GoDaddy の管理コンソールで正確な連絡先を維持し、常に安全に通信が行われるようにすることは、顧客自身の単独責任になります。

8.顧客の権利

8.1 独自の判断:顧客は GoDaddy に提供されたデータセキュリティ及びセキュリティ基準に関する情報を読み、対象サービスが顧客のニーズ、法的義務、本追加規約における顧客の義務を満たすかどうか独自に判断する責任があります。提供される情報は、顧客が GDPR などの適用されるプライバシー法における顧客のデータ保護の影響評価と事前のコンサルテーションに関する義務の遂行を支援するためのものです。

8.2 顧客の監査権:顧客は、サービス規約に記載されている住所宛てに書面上で GoDaddy の具体的なリクエストを行うことにより、適用される場合標準契約条項におけるものを含め、監査または検査を行う合理的権利を行使し、具体的には GoDaddy によるセキュリティ基準の準拠含め、GoDaddy が対象サービスに適用される本追加規約に従っていることを確認する権利があります。GoDaddy が顧客により適切にリクエストされ受け付けられた監査及び検査の指示に従ことを拒否した場合、顧客は本追加規約及びサービス規約を解約することができます。標準契約条項が適用される場合、本セクションに定められた条項は標準契約条項を一切変更せず、標準契約条項における監督機関及びデータ主体の権利に一切影響を与えないものとします。また、本セクションは GoDaddy が顧客に代わりわりサブプロセッサーの管理する場合においても適用されます。

9.個人データの転送

9.1 アメリカ合衆国ベースの処理。サービス規約に具体的に記載されている場合を除き、顧客データは EEA 外に転送され米国で処理されます。 

9.2 標準契約条項の適用:標準契約条項は、直接または転送により EEA 外の欧州委員会に (GDPR に定められた) 個人データに対する適切なレベルの保護を提供していると認められていない国に転送される顧客データに適用されます。標準契約条項は、直接または転送により EEA 外に送信されない顧客データには適用されません。 前記規定に拘らず、標準契約条項は EEA 外で EU-US 及び Swiss-U.S プライバシーシールドフレームワークのような、 (GDPR に定められた) 既知の個人データの合法転送のコンプライアンス基準に従い転送された場合には適用されません。  

10.追加規約の解約

本追加規約はサービス規約に従った弊社のデータ処理が終了する時 (「解約日」) まで有効となります。  

11.顧客データの返却または削除

対象サービスに記載されている通り、顧客は顧客データを取得たり削除することができます。顧客データの削除にはそれぞれの対象サービスの規約が適用されます。

12.責任の制限

本追加規約における各当事者の責任には、サービス規約に定められている例外及び制限が適用されます。顧客は、本追加規約及び適用されるプライバシー法における顧客の義務の不遂行により発生、またはそれに関連し発生した GoDaddy への顧客データ関連の法的処分が、サービス規約における顧客への賠償責任と同様に、サービス規約における GoDaddy の賠償責任に計算されそれを低減させることに同意するものとします。

13.サービス規約全体、論争

本追加規約は、書面上または口頭に関わらず、個人データの処理及びこれらのデータの移動に関する GoDaddy と顧客の間のデータ処理の追加規約を含む本規約の内容に関して、顧客と GoDaddy の以前の全ての、または同時に存在する宣言、理解、同意事項、コミュニケーションよりも優先され、それらを置き換えるものとします。 本追加規約により改定される場合を除き、サービス規約は完全に有効なままとなります。 サービス規約及び本追加規約を含む当事者間の他の同意事項との間に矛盾がある場合、本追加規約が優先されます。

** ************************************************

追加条項 1

 処理の詳細

 1.処理の性質と目的: GoDaddy はサービス規約、製品ごとの同意事項、顧客によるその他指示に従い、対象サービスのご利用期間中、対象サービスを提供するための必要に応じて個人データを処理します。

 2.処理時間本追加規約のセクション 10 に従い、GoDaddy はサービス規約の有効日より個人データを処理しますが、その期間を超え、別途書面上での同意がない限り、処理期間中本追加規約に従うものとします。

3.データ主体のカテゴリ:顧客は対象サービスのご利用中に個人データをアップロードでき、ご提供いただくデータの範囲は顧客の独自の裁量で決定しコントロールで木、次のカテゴリのデータ主体に関連した個人データが含まれますが、これらに限られるものではありません。

  • 見込み客、顧客、事業パートナー、顧客のベンダー (自然人)
  • 顧客の見込み客、顧客、事業パートナー、ベンダー の従業員または連絡先
  • (自然人である) 顧客の従業員、代理人、アドバイザー、フリーランサー
  • 顧客のユーザーとは、顧客に承認された対象サービスを利用するユーザーを指します。

 4.個人データのタイプ:顧客は対象サービスのご利用中に個人データをアップロードでき、ご提供いただくデータの種類と範囲は顧客の独自の裁量で決定でき、次のカテゴリのデータ主体の個人データが含まれますが、これらに限られるものではありません。 

  • 名称
  • 住所
  • 電話番号
  • 生年月日
  • メールアドレス
  • 個人を直接または間接的に特定可能な他の収集データ。

** ************************************************

追加条項 2

セキュリティ基準

I. 技術的及び組織的措置  

弊社は顧客の情報の保護に努めております。  弊社はベストプラクティス、導入コスト、処理の性質、規模、状況、目的、自然人の権利や自由に対するリスクの可能性及び深刻度を考慮し、次の技術的及び組織的措置を取ります。  措置の決定の際、システムの機密保持性、完全性、稼働率、回復力が考慮されます。物理的または技術的インシデント後の迅速な回復が保証されています。 

II. データプライバシープログラム  

弊社のデータプライバシープログラムは、国際データガバナンスストラクチャを維持し、ライフサイクルを通して情報の安全を守るために開発されました。このプログラムは、プライバシープラクティスやセキュリティ対策の導入を監督するデータ保護チームにより実施されています。 弊社はデータプライバシープログラム及びセキュリティ基準の効果を定期的にテストし評価しています。   

1.機密保持:「機密保持とは、個人データが不正な開示から保護されていることを意味します」  

弊社は顧客の個人データの機密保持のため、さまざまな物理的及び論理的措置を取っています。これらの措置には次のものがあります。   

  物理的セキュリティ  

  • 導入されている物理的なアクセスコントロールシステム (バッジアクセスコントロール、セキュリティイベントモニタリングなど) 
  • アラームや適切な場合は CCTV モニタリングを含む監視システム
  • クリーンデスクポリシー及びコントロール (退席中のコンピューターのロック、キャビネットのロックなど)  
  • 訪問者のアクセス管理
  • 物理的メディア及び書類のデータの破壊 (シュレッダー、消磁など) 

  アクセスコントロール及び不正アクセスの防止 

  • 適用されるユーザーアクセス制限、 及び職務分掌の原理に基づき提供・審査されるロールによるアクセスパーミッション
  • 強力な認証及び承認手段 (複数段階認証、証明書による認証、自動無効化・ログオフなど) 
  • 中央パスワード管理及び強力かつ複雑なパスワードポリシー (最短文字数、文字の複雑性、パスワードの期限など)   
  • メール及びインターネットへのアクセス制御
  • アンチウィルス管理
  • 侵入防止システム管理

暗号化   

  • 強力な暗号プロトコルによる外部及び内部通信の暗号化
  • 休止中の PII/SPII データの暗号化 (データベース、共有ディレクトリなど)   
  • 企業の PC 及びノートパソコン用の完全なディスク暗号化
  • ストレージメディアの暗号化
  • 企業ネットワークへの遠隔接続は VPN で暗号化されています
  • 暗号キーのライフサイクルの安全確保

 データ移行    

  • アプリケーション、デバッグ、セキュリティログの PII/SPI 最少化
  • 個人の直接の特定を防止するための個人データの偽名化
  • 機能 (テスト、ステージング、ライブ)ごとの保管データの分離
  • ロールベースのアクセス権ごとのデータの論理的分離
  • 個人データの定義済みデータ保持期間

セキュリティ試験     

  • 重要な企業ネットワーク及び個人データをホスティングしているプラットフォームの侵入試験
  • 定期的なネットワーク及び脆弱性スキャン

2.完全性:「完全性とは、データが正しいこと (完全であること)、及びシステムが機能することを指します」完全性という言葉が「データ」という言葉に関連して使用された場合、データが完全なものであり変更されていないことを意味します」  

個人データの完全性を維持するため、アクセスコントロールに加え、次のような適切な変更及び記録管理コントロールが行われています。    

変更とリリースの管理    

  • (影響分析、承認、テスト、セキュリティレビュー、ステージング、モニタリングなどを含む変更及びリリース管理プロセス)  
  • ロールと本番環境への役割に基づく (職務分掌) アクセス提供

ログ記録とモニタリング

  • アクセスの記録及びデータへの変更
  • 中央監査及びセキュリティログ
  • データ転送の完全性及び正確性のモニタリング (エンドツーエンドチェック)

3.可用性:「サービス及び IT システム、IT アプリケーション、IT ネットワーク機能、及び情報の利用可能性は、ユーザーが常に思い通り利用できる場合に保証されています」    

弊社はサービス及びサービス内のデータが常に利用できるよう、適切な継続性及びセキュリティ措置を導入しています。    

  • 重要なサービスの定期的なフェールオーバーテストが行われています
  • クリティカルシステムのパフォーマンス・利用可能性の徹底したモニタリング及び報告
  • インシデント対応プログラム
  • 重要なデータの複製またはバックアップ (クラウドバックアップ/ハードディスク/データベース複製など) 
  • 実施されるソフトウェア、インフラストラクチャ、セキュリティの計画メンテナンス (ソフトウェアアップデート、セキュリティパッチなど)   
  • オフサイトまたは別の場所に設置されている冗長性と回復力に優れたシステム (サーバークラスター、ミラー DB、高稼働性のセットアップなど)
  • 無停電電源、障害に対する冗長性を備えたハードウェア及びネットワークシステムの使用  
  • 配置済みの警報、セキュリティシステム
  • 重要な場所における配置済みの物理的保護措置 (サージ保護、上げ床、冷却システム、煙探知、消火システムなど) 
  • 可用性を維持するための DDOS 対策
  • み込み及び負荷試験

4データ処理の指示「データ処理の指示とは、個人データがデータコントローラー及び会社の関連措置に基づいてのみ処理されるようにすることを指します」  

弊社は個人データが顧客の希望及び指示に従って処理されるよう、社内プライバシーポリシー及び契約を制定し、従業員に定期的なプライバシートレーニングを提供しています。   

  • 従業員契約内のプライバシー及び機密保持規約
  • 従業員の定期的なデータプライバシー及びセキュリティトレーニング
  • 指示権を維持するための下請業者との契約の適切な契約条項
  • 外部サービスプロバイダーの定期プライバシーチェック
  • 顧客へのデータ処理設定の完全コントロールの提供
  • 定期セキュリティ監査

**********************************************

追加条項 3

これらの SCC の適用性に関しては、追加規約のセクション 9.2 をご覧ください

標準契約条項 (プロセッサー)

十分なレベルのデータ保護を保証しない第三国のプロセッサーへの個人データの転送に関する法令 95/46/EC 第 26 条 (2) の目的において

追加規約にて「顧客」とされる者
(「データエクスポーター」)

および

GoDaddy.com, LLC

 (「データインポーター」)

単独の場合は「当事者」、両方の場合は「両当事者」、

追加書類 1 で指定されたデータエクスポーターからデータインポーターへの個人データの転送における個人のプライバシー及び基本的な権利・自由を適切に保護するため、次の契約条項 (条項) に同意しました。

第 1 条

定義

本条項の目的に、

(a) 「個人データ」、「データの特別カテゴリ」、「処理」、「コントローラー」、「プロセッサー」、「データ主体」「監督機関」は、欧州議会法令 95/46/EC 及び 1995 年 10 月 24 日の個人データの処理及びデータの自由な移動における個人の保護に関する理事会で定められているものと同じ定義が適用されます。

(b) 「データエクスポーター」とは、個人データを転送するコントローラーを指します。

(c) 「データインポーター」とは、転送後のデータエクスポーターからの指示及び条項に従った代理処理を目的に、データエクスポーターからの個人データの受け取りに同意したプロセッサーを指し、第三国における法令 95/46/EC 25(1) に定められた適切な保護を確保するシステムが適用されます。

(d) 「サブプロセッサー」とは、データインポーターまたはデータインポーターの他のサブプロセッサーに依頼され、データインポーターまたはデータインポーターの他のサブプロセッサーから、転送後にデータインポーターの代理でデータインポーターの指示、条項、及び書面上の下請け契約に従った形でのみの処理を目的に個人データの受け取りに同意したプロセッサーを指します。

(e) 「適用されるデータ保護法」とは、個人の基本的な権利及び自由、特にデータエクスポーターの所在する加盟国のデータコントローラーに適用される個人データの処理に関するプライバシーの権利を保護する法律を指します。

(f) 「技術的及び組織的措置」とは、特に処理の際にネットワーク上でのデータの転送が行われる場合の、個人データを不本意または違法な破壊または誤った紛失、変更、不正開示またはアクセス、及び他のあらゆる違法なプロセスから守ることを目的とした措置を指します。

第 2 条

転送の詳細

転送の詳細、特に該当する場合の個人データの特別カテゴリは、本条項の一部である追加書類 1 に指定されています。

第 3 条

第三受益者に関する条項

1. データ主体は第三受益者として、データインポーターに本条項、第 4 条 (b) から (i)、第 5 条 (a) から (e) 及び (g) から (j)、第 6 条 (1) 及び (2)、第 7 条、第 8 条 (2)、第 9 条から 12 条を行使することができます。

2. 後継者が契約または法の施行により全ての法的義務を引き継ぎ、その結果データインポーターの権利及び義務を引き継いだ場合を除き、データ主体はエクスポーターが事実上いなくなった、または法律上存在しなくなった場合、データエクスポーターに対し本条項、第 5 条 (a) から (e)、及び (g)、第 6 条、第 7 条、第 8 条 (2)、第 9 条から 12 条を行使することができます。

3. 後継者が契約または法の施行により全ての法的義務を引き継ぎ、その結果データインポーターの権利及び義務を引き継いだ場合を除き、データ主体はデータインポーターとエクスポーターの両方が事実上いなくなった、または法律上存在しなくなった、または破産した場合、サブプロセッサーに対し本条項、第 5 条 (a) から (e)、及び (g)、第 6 条、第 7 条、第 8 条 (2)、第 9 条から 12 条を行使することができます。これらの第三者のサブプロセッサーの責任は、本条項に定められたそれぞれの処理に限られるものとします。

4. 当事者は、データ主体が明示的に希望し国の法で許可されている場合、データ主体が協会またはその他団体の弁護を受けることに反対しないものとします。

第 4 条

データインポーターの義務

データエクスポーターは次の事項に同意し、これらを保証するものとします。

(a) 個人データの転送自体を含む、処理が適用されるデータ保護法の関連条項に従い行われており、今後もそのように行われること (及び適用される場合はデータエクスポーターの所在する加盟国の関連機関に通知されていること)、及びその国の関連条項に違反しないこと。

(b) 指示を出し、個人データの処理サービスの間中データインポーターに転送された個人データをデータエクスポーターの代理で適用されるデータ保護法及び本条項に従ってのみ処理するよう指示すること。

(c) データインポーターが本契約の追加書類 2 に定められた技術的及び組織的セキュリティ対策に十分な保証を提供すること。

(d) 適用されるデータ保護法の要件を評価した後、特に処理の際にネットワーク上でのデータの転送が行われる場合、セキュリティ対策が不本意または違法な破棄、誤った紛失、変更、不正開示またはアクセス、及び他のあらゆる違法なプロセスからデータを保護するために適切であり、これらの措置が最新性と導入費用の面で行われる処理、及び保護対象となるデータの性質に伴うリスクに対し適切であることを確認すること。

(e) セキュリティ措置に従うこと。

(f) 転送に特殊なデータカテゴリが含まれる場合、データ主体に対し、法令 95/46/EC に定められている十分な保護を提供していない第三者にデータが転送される可能性があることを事前、または事後可能な限り迅速に通知されること。

(g) データエクスポーターが転送の継続または利用停止の解除を決定した場合、第 5 条 (b) 及び第 8 条 (3) に従い、データインポーターまたはサブプロセッサーからの全ての通知をデータ保護監督機関に転送すること。

(h) 追加書類 2 を除き、リクエストに応じてデータ主体に条項のコピー、セキュリティ措置の概要、及び本条項に基づき作成が義務付けられているサブプロセス契約を提供すること。但し条項または契約に商業上の情報が含まれている場合は例外とし、その場合は該当する商業上の情報を削除することができます。

(i) サブプロセスの場合、処理が第 11 条に従い、個人データ及びデータ主体の権利が各条項におけるデータインポーターと同じレベル以上で保護されているサブプロセッサーにより行われること。

(j) 第 4 条 (a) から (i) に従うこと。

第 5 条1

データインポーターの義務

データインポーターは次の事項に同意し、これらを保証するものとします。

(a) データエクスポーターの代理で指示や条項に従い個人データを処理すること。何らかの理由により指示または条項に従えない場合は、その旨をデータエクスポーターに迅速に知らせることに同意するものとします。その場合、データエクスポーターはデータの転送の中断、あるいは契約の解約ができます。

(b) 適用される法によりデータエクスポーターからの指示に従うこと、また契約における義務の遂行が妨げられず、この法が本条項における保証及び義務に重大な影響を与える形で改定された場合、該当する改定が認識され次第可能な限り迅速にデータエクスポーターに通知し、その場合、データエクスポーターはデータの転送を中止または契約を解約することができます。

(c) 転送された個人データを処理する前に追加書類 2 に指定された技術的及び組織的セキュリティ措置が導入されていること。

(d) データエクスポーターに次の内容を迅速に通知すること。

(i) 刑事法における司法捜査の機密保持のための禁止令など別途禁止されている場合を除く、司法当局からの法的拘束力のある個人データの開示リクエスト。

(ii) いずれかの非本質的または不正アクセス。

(iii) 別途承認されている場合を除く、リクエストに返答せずデータ主体から直接受け付けられたリクエスト。

(e) データエクスポーターから転送される個人データの処理に関するお問い合わせに迅速かつ適切に対応するため、及び転送されるデータの処理に関する監督機関からの推奨に従うため。

(f) データエクスポーターのリクエストに応じたデータ処理施設における、条項の対象となるプロセスアクティビティの監査を行うこと。監査はデータエクスポーター、または監督機関との取り決めで適切な場合はデータエクスポーターが任命した守秘義務があり必要な職業資格を持つ独立メンバーからなる検査機関により行われるものとします。

(g) リクエストに応じてデータ主体に条項のコピーまたは存在するサブプロセスの契約を提供すること、但し条項または契約に商業上の情報が含まれている場合は例外とし、その場合は追加書類 2 を除き、該当する商業上の情報を削除することができます。データ主体がデータエクスポーターからコピーを取得できない場合、追加書類 2 が代わりにセキュリティ措置の概要が提供されるものとします。

(h) サブプロセスの際に、データエクスポーターに事前に通知され事前に承諾を得ていること。

(i) サブプロセッサーによる処理サービスが第 11 条に従い行われること。

(j) データインポーターの本条項におけるサブプロセッサー契約のコピーの時速な送付。

第 6 条

賠償責任

1. 当事者は、いずれかの当事者またはサブプロセッサーによる第 3 条または第 11 条における義務違反により損害を受けたデータ主体が、データエクスポーターによる損害賠償を受ける資格があることに同意するものとします。

2. データエクスポーターが事実上いなくなった、または法律上存在しなくなった、または破産したため、データ主体がパラグラフ 1 に従いデータエクスポーターに対しデータエクスポーターまたはサブプロセッサーによる第 3 条及び第 11 条における義務違反により発生した損害の代償を請求できない場合、契約または法により後継者がデータエクスポーターの法的義務を全て受け継いだ場合を除き、データインポーターはデータ主体がデータインポーターに対しデータエクスポーターと同様に請求できることに合意するものとします。後継者により法的義務が受け継がれた場合は、データ主体は後継者に対しこの権利を行使することができます。データインポーターはサブプロセッサーの義務違反を理由に自身の賠償責任を避けることはできません。

3. データエクスポーターとデータインポーターの両方が事実上いなくなった、法的に存在しなくなった、または破産したためデータ主体がパラグラフ 1 及び 2 におけるデータエクスポーターまたはデータインポーターに、サブプロセッサーによる第 3 条または第 11 条に定められた義務への違反により発生した損害に対する請求ができない場合、サブプロセッサーはデータ主体が本規約で独自の処理権利を有するデータプロセッサーに対し、データエクスポーターまたはデータインポーターと同様に請求を行うことができる点に同意するものとします。但し、後継者が契約または法によりデータインポーターの法的義務を引き継いだ場合は例外とし、その場合、データ主体は後継者にこの権利を行使することができます。これらのサブプロセッサーの責任は、本規約に定められたそれぞれの処理業務に限られるものとします。

第 7 条

仲裁及び管轄

1. データインポーターは、データ主体が第三受益者の権利を行使、あるいは本規約に基づき損害賠償を請求した場合、データインポーターがデータ主体の決定を受け入れることに同意するものとします。

(a) 論争を独立した個人、または該当する場合は監督機関の仲裁に回すため。

(b) データエクスポーターの所在する加盟国の裁判所に論争解決を依頼するため。

2. 当事者は、データ主体の選択がデータ主体の自然法または国際法の下で救済を求める本質的及び手続上の権利を損ずることがないことに同意するものとします。

第 8 条

監督機関への協力

1. データエクスポーターは必要に応じて、また、適用されるデータ保護法において義務付けられている場合、本契約のコピーを監督機関に提供することに同意するものとします。

2. 当事者は監督機関にデータインポーター及びサブプロセッサーの監査を行う権利があり、適用されるデータ保護法の下でサブプロセッサーにデータインポーターの監査に適用されるものと同じ範囲と条件が適用されることに同意するものとします。

3. パラグラフ 2 に従い、データインポーターはデータインポーターの監査を妨げる適用法またはサブプロセッサーの存在に関して、データのエクスポーターに迅速に通知するものとします。そのような場合、データエクスポーターは第 5 条 (b) に記載されている措置を取ることができるものとします。

第 9 条

準拠法

本規約にはデータエクスポーターの所在する加盟国の法が適用され、疑義が生じた場合、及び複数データエクスポーターが存在する場合、イングランド及びウェールズの法が適用されるものとします。 

第 10 条

契約内容の差

当事者は条項に変更を加えないものとします。これは本条項と矛盾しない限り、当事者による必要に応じた事業関連の問題に関する条項の追加を妨げるものではありません。

第 11 条

サブプロセス

1. データインポーターは、本規約の下でデータエクスポーターの代理で行われる処理を、データエクスポーターの書面上の承諾なしに下請けに出すことはできません。データインポーターがデータエクスポーターの承諾の上で本規約における義務を下請けに出す場合、本規約でデータインポーターに課せられるものと同じ義務をサブプロセッサーに課するサブプロセッサーとの書面上の契約に基づいてのみ、それを行うことができます。サブプロセッサーがそのような書面上の契約の下でデータ保護義務を遂行しなかった場合、該当する契約におけるサブプロセッサーの義務の不遂行に対し、データインポーターが全ての責任を負うものとします。

2. データインポーターとサブプロセッサーの間の以前の書面上の契約も、第 3 条に定められた、データ主体がデータインポーター及びデータエクスポーターが事実上いなくなった、法律上存在しなくなった、または破産し、データエクスポーター及びデータインポーターの法的義務を契約または法律により受け継ぐ後継者がいないため、第 6 条のパラグラフ 1 における賠償をデータインポーターまたはデータエクスポーターに請求できない場合の第三受益者の条項を規定するものとします。これらの第三者のサブプロセッサーの責任は、本条項に定められたそれぞれの処理に限られるものとします。

3. パラグラフ 1 における契約のサブプロセスのデータ保護に関する条項は、データエクスポーターの所在する加盟国の法が適用されるものとします。

4. データエクスポーターは、本規約の下で締結され、第 5 条 (j) に従いデータインポーターにより通知されたサブプロセス契約のリストを保管し、そのリストを最低年に 1 度更新するものとします。リストはデータエクスポーターのデータ保護監督機関により利用可能である必要があります。

第 12 条

個人データの処理サービス終了後の義務

1. 当事者は、データ処理サービスの提供終了時に、データインポーターに適用される法により転送された個人データの全てまたは一部の返却または破壊が不可能な場合を除き、データインポーターとサブプロセッサーはデータエクスポーターの選択により、転送された個人データ及びそれらのコピーをデータエクスポーターに返却するか、全ての個人データを破壊しその旨をデータエクスポーターに証明するものとします。その場合、データインポーターは転送された個人データの機密保持、及び今後転送された個人データをアクティブに処理しないことを保証するものとします。

2. データインポーターとサブプロセッサーは、データエクスポーター及び監督機関の要請により、パラグラフ 1 に記載されている措置に関するデータ処理施設の監査に応じることを保証するものとします。

**********************************************

標準契約条項への追加書類 1

データエクスポーター

データエクスポーターとは、追加規約にて「顧客」とされる者を指します

データインポーター

データインポーターは GoDaddy.com, LLC であり、ホステッドサービスの提供者です。

データ主体

処理とは、セクション 1.3 及び追加規約の追加条項 1 に定義されています。

データカテゴリ

処理とは、セクション 1.3 及び追加規約の追加条項 1 に定義されています。

処理

処理とは、セクション 1.3 及び追加規約の追加条項 1 に定義されています。

標準契約条項への追加書類 2

本追加書類は条項の一部です。 GoDaddy から対象サービスを購入することにより、追加規約及び追加書類 2 が当事者間で同意・実行されたものとみなされます。

データインポーターにより第 4 条 (d) 及び第 5 条 (c) (または付属のドキュメント・法) に従い導入される技術的及び組織的なセキュリティ措置の説明:

追加規約、特にその一部である追加条項 2 に記載されているデータエクスポーターが導入する技術的及び組織的セキュリティ措置。


1 法令 95/46/EC 第 13 条 (1) に定められた利権のいずれかに基づき民主社会において必要とされる範囲を超えない、データインポーターに適用される国の法により課せられる義務、すなわち国家の安全、防衛、公共社会、犯罪、規制対象となる職業における道徳違反の防止、捜査、検知、国の重要な経済的または金融的利権、または他人の権利及び自由を守るために必要とされる義務は、標準契約条項と矛盾しないものとします。民主社会において必要とされる範囲を超えないこれらの義務の例には、とりわけ国際的に認識された制裁、税報告義務、マネーロンダリング防止のための報告義務などがあります。

改定日時:2019/01/29
Copyright © 2019 GoDaddy.com, LLC All Rights Reserved.