GoDaddy - データ処理に関する追加規約

最終改訂日: 2024/09/13

本データ処理追加条項 (「追加条項」) は、ユニバーサルサービス規約およびお客様 (「お客様」) と GoDaddy との間で締結されたその他の契約 (まとめて「契約」) の当事者であるお客様と GoDaddy 法人との間で締結されます。GoDaddy およびお客様は本書でそれぞれ「当事者」と呼ばれ、まとめて「両当事者」と呼ばれます。本 DPA は、契約の発効日 (「発効日」) に有効になり、契約に基づくお客様の個人データの処理すべてに適用されます。

1.定義。適用されるデータ保護法 (以下に定義) で定義される場合を除き、本セクションに記載される英語原文で大文字の用語の意味は以下の通りです。

1.1 「アフィリエイト」とは、当事者を支配するまたは当事者と共通支配下にある組織を指します。「支配」とは、直接または間接保有あるいは組織の議決権持分の 50% 以上の支配を指します。

1.2.「管理者」とは、単独または第三者と一緒に契約に基づいてお客様の個人データを処理する目的および手段を決定する自然人または法人、公的機関、部局、またはその他の組織を指します。

1.3 「お客様の個人データ」とは、お客様のサービスの利用に関連して、お客様の代理で GoDaddy が処理する個人データ (以下に定義) を意味します。お客様の個人データには GoDaddy のデータは含まれません。

1.4 「データ保護法」とは、契約におけるお客様の個人データの処理に適用される法律または規制を指します。

1.5 「データ主体」とは、特定の個人データに関与する特定されたまたは特定可能な自然人を指します。

1.6 「匿名化データ」とは、特定のデータ主体を合理的に特定、類推、説明、関連付けできない、あるいは直接的または間接的に結び付けることができないデータを指します。

1.7 「GoDaddy データ」とは、(a) GoDaddy のビジネスおよびサービス提供に関連するすべての情報 (お客様とその従業員または代表者に関係する個人データを含むが、それに限定されない)、(b) お客様のアカウント、取引履歴、サービスの利用や身元情報の確認に関するまたは関係のあるその他のデータ、(c) 適用されるデータ保護法に基づく制限の対象となるデータや、匿名化されたデータを指します。

1.8 「個人データ」とは、適用されるデータ保護法で個人データ、個人情報、または個人を特定できる情報 (「PII」) を含む、特定されたまたは特定可能な自然人に関係する情報を指します。個人データには匿名化データは含まれません。

1.10 「処理者」とは、契約に基づいて管理者の代理でお客様の個人データを処理する自然人または法人、公的機関、部局、またはその他の組織を意味します。

1.9 「処理」とは、手動であれ自動化された手段であれ、収集、使用、保存、開示、分析、削除、修正など、お客様の個人データに行われる操作を指します。

1.11 「個人データ」とは、(a) 社会保障番号、パスポート番号、運転免許証番号、または同様の識別子、(b) クレジットカードまたはデビットカード情報、金融情報、銀行口座番号、またはパスワード、(c) 雇用、財務、遺伝、生体認証、または健康に関する情報、(d) 人種、民族、政治的または宗教的な所属、労働組合への加盟、または性生活や指向に関する情報 (e) アカウントのパスワード、母親の旧姓、生年月日、およびユーザーの身元を認証するために使用されるその他の同様の情報、(f) 犯罪歴、(g) 特定の人物を識別するために使用される生体データ (指紋など)、もしくは (h) 適用されるデータ保護法に基づく「特別なカテゴリーのデータ」の定義に該当するその他の情報または情報の組み合わせを意味します。

1.12 「サービス」とは、GoDaddy が契約に従って提供することに同意した、お客様の個人データの処理が関係する製品またはサービスを指します。

1.13 「復処理者」とは、GoDaddy とお客様の個人データを処理する契約を結ぶ自然人または法人、公的機関、部局、またはその他の組織を指します。

1.14 「移転」とは、(a) 物理的移転または管理者が保持または管理するお客様の個人データへのアクセスを付与することによる、管理者から処理者へのお客様の個人データの移転、または (b) 処理者から復処理者へのお客様の個人データの再移転 (および、復処理者から別の復処理者へのその後の再移転) を指します。

2.データ処理の範囲と当事者の関係

2.1 管理者または処理者としてのお客様

2.1.1 お客様が管理者である場合、お客様は (a) お客様の個人データを処理する目的と手段を決定する全責任を負い、(b) GoDaddy にお客様の個人データを提供するのに必要なすべての権限、根拠、権利、および許可を有し、(c) 適用されるデータ保護法に基づく管理者としての義務を遵守します。

2.1.2 お客様が処理者である場合、お客様は (a) お客様に代わってお客様の個人データを処理するデータ管理者との契約を遵守する全責任を負い、(b) GoDaddy にお客様の個人データを提供するすべての必要な許可を管理者から受け、(c) 適用されるデータ処理法に基づく処理者としての義務を遵守します。

2.2 処理者または復処理者としての GoDaddy。

2.2.1 GoDaddy は、GoDaddy が提供するサービスの特徴、性質、範囲、および目的と一致して、お客様がデータ保護法に基づく管理者および/または処理者としての義務を遵守できるようにするのに合理的に必要なすべての対策を取ります。誤解を避けるため、GoDaddy はお客様独自の使用法に合わせるために GoDaddy のサービスを変更したり措置を講じたりすることは要求されません。サービスがお客様独自の使用法に合わないと判断された場合のお客様の唯一の解決策は、お客様の個人データの処理に関する契約の一部を終了することです。

2.2.2 GoDaddy は、契約または本 DPA に記載される、または法律で要求される限定的および特定的な目的で、文書化された指示に従ってのみお客様の個人データを処理します。

2.2.3 GoDaddy は、サービスを提供する以外の営利目的でお客様の個人データを販売、保持、使用、または開示しません。

2.2.4 GoDaddy は、契約および本 DPA に記載される両当事者の直接的な取引関係外でお客様の個人データを処理しません。

2.2.5 GoDaddy は、契約に基づいて明示的に許可された場合以外に、お客様の個人データを GoDaddy が (直接またはサードパーティ経由で) 収集する他のいかなるデータとも組み合わせることはありません。

2.2.6 (a) お客様の指示は適用されるデータ処理法に違反している、または (b) GoDaddy は適用されるデータ処理法または本 DPA における義務を遵守することができない、と GoDaddy が判断する場合、GoDaddy はすべての処理を中止し、3 営業日以内にお客様に通知します。

2.3 アフィリエイト。

2.3.1 お客様のアフィリエイト。本 DPA の目的上、お客様および/またはお客様のアフィリエイトの代理で処理を行うため、お客様のアフィリエイトが GoDaddy または GoDaddy のアフィリエイトに提供する個人データは、お客様の個人データであり、お客様が提供したもの見なされるものとします。お客様は、アフィリエイトが本 DPA に関するすべてのお客様の義務を遵守していることを確認するために合理的に必要なすべての措置を取ることを表明するものとします。お客様は、アフィリエイトが本 DPA のすべての規約を遵守することに責任を負うものとします。

2.3.2 GoDaddy アフィリエイト。本 DPA の目的上、GoDaddy のアフィリエイトが受信するお客様の個人データは、GoDaddy が受信したと見なされるものとします。GoDaddy は、アフィリエイトが本 DPA に基づくお客様の個人データの処理に対する GoDaddy の義務を遵守するために合理的に必要なすべての措置を取っていることを表明します。GoDaddy は、GoDaddy のアフィリエイトが本 DPA のすべての規約を遵守することに責任を負うものとします。

3.複処理

3.1 お客様は、復処理者が関与できるように GoDaddy に一般的権限を委任します。

3.2 弊社の復処理者のリストを確認してください

3.3 お客様の個人データを復処理者に移転する前に、GoDaddy は (a) 最低でも本 DPA と同水準のお客様のデータ保護を提供する復処理者と書面による契約を交わす、(b) 復処理者が、本 DPA のセクション 5、6、8 および表 2 の情報セキュリティ要件を含め、GoDaddy のお客様のデータ処理に関係する、本 DPA およびデータ保護法の重要な規約を遵守できることを確認するデューデリジェンスを実施するものとします。

3.4 GoDaddy は、復処理者の行為または不作為を含め、復処理者の復処理者の行為および不作為の賠償責任を負います。 3.5 新しい復処理者、異議申し立ての権利。

3.5.1 GoDaddy は、GoDaddy が新しい復処理者を任命しようとする場合、少なくとも 60 日前に書面でお客様に通知するよう合理的な努力を払います。ただし、お客様の個人データのセキュリティを維持するためまたは適用法を遵守するために直ちに任命が必要な場合、60 日前の通知は必要なく、GoDaddy は新しい復処理者の任命後に不当な遅延なくお客様に通知します。 3.5.2 お客様が新しい復処理者に合理的に異議申し立てを行う場合、復処理者の任命後 30 日以内に GoDaddy に書面で通知することが必要です。GoDaddy の独自の裁量で、GoDaddy はお客様の異議申し立てに対応するため業務上合理的な努力を払う場合があります。当事者が 30 日以内にお客様の異議申し立てを解決できない場合、お客様は本 DPA および契約のお客様の個人データの処理に関係する部分を終了することができます。 3.5.3 復処理者の任命通知から 30 日以内にお客様が新しい復処理者に対する異議申し立てを行わない場合、お客様は新しい復処理者を受け入れたものと見なされます。 3.5.4 新しい復処理者の通知は、セクション 3.2 に記載される復処理者リストを更新することで提供することができます。

4.訴訟手続きとその他のサードパーティからのお客様の個人データの要請

4.1 GoDaddy は、召喚状、捜査令状、裁判所命令、またはその他の同様の訴訟手続き (まとめて「訴訟手続き」) に応じる場合を除き、政府機関、法執行機関、またはその他の機関からお客様の個人データの非公式な要請には応じません。ただし、当該開示が (a) 法律により要求される、(b) GoDaddy のシステムまたはデータを損害や悪用から保護する、(c) GoDaddy またはその他の人物を損害または身体的危害から保護するために必要だと GoDaddy が独自の裁量で判断する場合はその限りではありません。

4.2 法律で禁止されている場合を除き、GoDaddy は GoDaddy にお客様の個人データへのアクセスを提供するまたはお客様の個人データを開示することを要求する訴訟手続きを受け取った場合、直ちにお客様に通知します。

4.3 法律で要求される場合を除き、GoDaddy は訴訟手続きに応じてお客様の個人データを開示するのを防ぐためのお客様の取り組みに (お客様の負担で) 協力します。

5.データセキュリティ

5.1 GoDaddy は、適用されるデータ保護法で要求される具体的な対策を含め、契約に基づいてお客様の個人データを処理するリスクに見合ったセキュリティレベルを確保するのに適切で、文書化された技術的および組織の措置を含む情報セキュリティプログラムを維持します。

5.2 お客様は、お客様の個人データを保護するために使用できるセキュリティ対策や機能を GoDaddy が提供することに明示的に同意します。お客様は、GoDaddy が提供するセキュリティ対策や機能の使用を含め、お客様が管理できる範囲内で自身のアカウントおよび個人データのセキュリティを保護するために、適切なリスクベースの対策を取る全責任を負います。お客様は、サービスの範囲内でお客様が投稿するまたは投稿してもらうすべてのコンテンツにお客様の個人データおよび GoDaddy のシステムの侵害に至る可能性のある脆弱性 (悪意のあるソフトウェアを含むがそれに限定されない) が存在しないことを確認する全責任も負います。GoDaddy は、お客様の個人データのバックアップを取る責任を負いません。

5.3 お客様は、PCI-DSS (Payment Card Industry Data Security Standard) 要件を遵守することが求められ、当該 PCI-DSS データを処理することを目的とする GoDaddy サービスと関連するクレジットカード、デビッドカード、またはその他の支払いカードの所有者情報を含むお客様の個人データ (PCI-DSS データ) を GoDaddy にのみ提供します。お客様が、GoDaddy サービスを利用して GoDaddy の PCI-DSS に準拠したサービス提供の範囲外で PCI-DSS データを処理または保存する場合、お客様は PCI-DSS 要件の違反の全責任を負います。

5.4 GoDaddy が、適用されるデータ保護法および GoDaddy の PCI-DSS に準拠したサービスの PCI-DSS 要件に基づく義務を遵守するために必要な措置に加えて、GoDaddy は、本 DPA の表 2 で特定される特定の技術的および組織的措置を実施します。

6. データセキュリティインシデント

6.1 GoDaddy は、お客様の代わりに処理されたお客様の個人データにアクセスし、管理するさまざまな機会をお客様に提供します。GoDaddy は、GoDaddy のシステム上の欠陥によるものではないお客様の個人データの偶発的または違法な破損、紛失、改ざん、承認のない開示、または当該情報へのアクセスに対する責任を一切負いません。GoDaddy が責任を負わないセキュリティインシデントの例には、お客様がパスワードの秘密を守らないこと、悪意のあるコンテンツをダウンロードすること、サービスおよびお客様のホスト環境による、またはそこに取り込まれた他のセキュリティ脆弱性が含まれます。

6.2 GoDaddy は、商取引上の合理的な努力を払い、GoDaddy のシステムのセキュリティ侵害によりお客様の個人データの偶発的または違法な破損、紛失、改ざん、承認のない開示、または当該情報へのアクセス (「セキュリティインシデント」) が発生したことを、適用法に基づいて要求される期間内にお客様に通知します。

6.3 GoDaddy は、セキュリティインシデントを不当な遅延なく阻止、緩和、および修復するために合理的に必要とされる、適切なリスクベースの対策を取ります。

6.4 GoDaddy は、セキュリティインシデントのお客様の個人データに対する影響を評価するため、およびお客様が政府当局、影響を受けるデータ主体、またはその他の人物にセキュリティインシデントを通知できるよう、お客様が合理的に要請する情報を提供します。

6.5 GoDaddy のセキュリティインシデントの認識またはセキュリティインシデントをお客様に通知するという決定は、過失または賠償責任を認めたという意味ではありません。

7.データ主体の権利

7.1 お客様は、データ保護法、お客様のプライバシーポリシー、またはお客様のサービス規約に基づくデータ主体の権利行使の要請 (お客様の個人データの把握、アクセス、訂正、または削除の要請を含むがそれに限定されない) (「データ主体の要請」) に対応する全責任を負います。

7.2 GoDaddy は、お客様からの書面による指示がある場合、または適用法に基づいて要求される場合を除き、データ主体の要請には応じません。

7.3 GoDaddy は、お客様にデータ主体の要請を通知します。お客様は、データ主体の要請に対応する全責任を負います。お客様が、事前に GoDaddy の相応の費用を負担するという契約に従い、データ主体の要請に対応するためあらゆる手段を尽くした場合、GoDaddy はお客様に必要な支援を提供することで、お客様がデータ主体の要請に対応することができるようにします。

8. データ保護影響評価、事前協議およびコンプライアンスに関するお問い合わせ

8.1 データ保護影響評価、事前協議。お客様が費用を負担して、GoDaddy は、データ保護影響評価およびお客様の個人データの処理に関する政府当局または規制当局との協議を実施する点で、お客様を支援するものとします。

8.2 コンプライアンスに関するお問い合わせ。お客様は、適用されるデータ保護法における義務への GoDaddy のコンプライアンスを確認するために合理的に必要な情報を定期的に請求することができます。GoDaddy が 45 日以内にお客様の請求に回答しない場合、お客様は契約を終了することができます。誤解を避けるため、本 DPA のいかなる内容も、GoDaddy のビジネス、システム、またはサービスの監査を実施する権利をお客様に付与するものではありません。本セクションに基づく GoDaddy の義務は、GoDaddy が適用されるデータ保護法に基づく義務を遵守していることを確認するために合理的に必要な情報をお客様に提供することに限定されます。

9.司法管轄区特有の要件および個人データの国際的移転

9.1 本 DPA に基づくお客様の個人データの処理には、1 つまたはそれ以上のデータ保護法が適用される処理および/またはお客様の個人データの国際的移転が伴う場合があります。

9.2 お客様の個人データが米国に由来する場合、本 DPA の表 3 (セクション 1) で規定される米国データ保護法に関する規約が適用されます。

お客様の個人データが、欧州連合/欧州経済地域 (「EU/EEA」)、英国、またはスイスから送信される場合、またはお客様が 1 つまたはそれ以上の司法管轄区に拠点を置いている場合、本 DPA の表 3 (セクション 2) に規定される適用される EU/EEA、英国、およびスイスのデータ保護法に関する規約が適用されます。

9.4 有効な国際データ移転制度 (「義務的移転制度」) によって、合法的にお客様の個人データを移転することが求められる場合、本 DPA の表 4 で規定される規約が適用されます。

10.一般

10.1 契約全文、解釈。本 DPA は、本 DPA の主題に関する当事者間の契約全体を構成するものであり、書面によるものであれ口頭であれ、本 DPA の主題に関する過去のまたは現在のすべての表明、理解、契約、連絡よりも優先されます。本 DPA と契約 (または当事者間でのその他の契約) の間に矛盾がある場合、本 DPA の主題に関しては本 DPA が適用されます。本 DPA の規約と、表 4 に記載されている義務的移転条項との間に矛盾がある場合、義務的移転条項が優先されます。

10.2 修正。本 DPA は、契約に定められた手順に従って GoDaddy 独自の裁量で修正または改正される場合があります。お客様が修正に同意しない場合、お客様の唯一の救済策は、30 日前までに通知することでお客様の個人データの処理に関する契約の当該部分を終了することです。両当事者が書面により明示的に合意した場合を除き、本契約のいかなる修正も当該修正日以降発生する処理に対してしか有効になりません。

10.3 権利放棄。本 DPA の違反の権利放棄は、当該違反の権利を放棄することを当事者の代表者が書面により許可した場合にのみ効力を有し、当該権利放棄は将来の違反の権利放棄とは見なされません。

10.4 契約解除。本 DPA の条項が法的拘束力を持たないことが判明した場合、当該条項を必要に応じて修正することで法的拘束力を持たせ、本 DPA の残りの部分はそのまま効力を保つこととします。ただし、法的拘束力を持たない条項を修正することで本 DPA の本質的な目的が達成できなくなった場合、セクション 10.2 にしたがって修正される場合を除き、DPA 全体が無効と見なされるものとします。

10.5 通知。本書で明示的に言及される場合を除き、本 DPA に基づいて必要な通知は契約に定められる通知要件に従って提供されます。

10.6 賠償責任。本 DPA は、一方の当事者またはその他の人に、契約に定められている種類以外の損害で、契約に定められているすべての制限の対象となる損害を回復する根拠を与えるものではありません。

10.7 執行。本 DPA の規約は、当事者自身および当事者のアフィリエイトを代表して、契約に定められた紛争解決条項に従ってのみ、両当事者が執行することができます。ただし、執行に関する本制限は、データ保護法に基づいて権利を行使する個々のデータ主体の能力に影響を及ぼしません。

10.8 終了。契約、本 DPA のその他の適用条項または適用されるデータ保護法に従ってすでに終了した場合を除き、本 DPA は処理の完了または契約の終了のうち、遅いほうをもって終了するものとします。本 DPA の終了後、GoDaddy は、GoDaddy が適用法に従ってお客様の個人データを保持することが要求される場合を除き、契約の規約および本 DPA に従ってお客様の個人データを返却、削除、または匿名化します。契約の終了後に GoDaddy がお客様の個人データを保持することが要求される場合、GoDaddy は本 DPA に基づくお客様の個人データ処理に関する義務を引き続き遵守し、保持する法的な必要がなくなればお客様の個人データを直ちに返却または削除します。

10.9 準拠法と司法管轄区。本 DPA には、データ保護法で要求される場合 (その場合には、データ保護法が制定する司法管轄区の法律が適用される) を除き、契約に定められた法律が適用されます。本 DPA のどの条項も、適用されるデータ保護法に基づいて人の権利または義務を制限するものとは見なされません。

表 1: お客様の個人データの処理に関する詳細

表 1 には、データ保護法に基づいて要求されるお客様の個人データの処理に関する詳細が含まれます。

お客様の個人データ処理の対象と時間:

お客様の個人データ処理の対象と時間は契約に記載されています。

お客様の個人データ処理の性質と目的:

GoDaddy によるお客様の個人データの処理は、契約に記載されたサービスを提供するために合理的に要求されます。

個人データの種類およびデータ主体のカテゴリー:

お客様の個人データの種類とデータ主体のカテゴリーは、お客様および/または自己の裁量でお客様の個人データをお客様に提供した管理者が制御します。

機密データまたは特別なカテゴリーのデータ:

機密データは、契約に従って処理される場合があります。契約において処理される機密データの種類は、お客様および/または自己の裁量でお客様の個人データをお客様に提供した管理者が決定します。

管理者の義務と権利:

お客様の義務と権利は、契約および本 DPA に記載されています。

表 2: 技術的および組織的なセキュリティ措置

1.適用

1.1 本表 2 の要件は、GoDaddy およびサービスを提供するおよび/またはお客様の個人データを処理するために GoDaddy が利用する復処理者 (クラウドサービスプロバイダを含むが、それに限定されない) に適用されます。 1.2 GoDaddy がサービスを提供するおよび/またはお客様の個人データを処理するために復処理者を利用する場合、GoDaddy は当該復処理者が本表の各要件を遵守することを保証するものとします。

2.情報プライバシーおよびデータセキュリティの管理

2.1 リスク管理プロセス。GoDaddy は、契約、DPA、および適用法における GoDaddy の義務と一致して、お客様の個人データのリスクを分類、評価、対応、およびモニタリングする適切なリスク管理プロセスを維持するものとします。 2.2 情報セキュリティプログラムの範囲。最低でも、適用されるすべてのプライバシーポリシーおよびデータ保護ポリシーを含め、GoDaddy の情報セキュリティプログラムは以下を目的とするものとします。

2.2.1 GoDaddy が所持または管理する、あるいは GoDaddy がアクセスできる、お客様の個人データの秘密性、完全性、および取得可能性を保護すること、および 2.2.2 お客様の個人データの秘密性、完全性、および取得可能性に当然予想される脅威または危険から保護すること。

2.3 情報セキュリティプログラムの更新。GoDaddy は、GoDaddy が処理するお客様の個人データの種類、量、および機密度に合った業界標準の慣行や枠組みに従って、情報セキュリティプログラムを定期的に見直し、更新します。 2.4 リスク評価およびテスト。GoDaddy は、お客様の個人データを処理するすべてのシステムのリスク評価を定期的に実施し、サービスを提供するために使用する、GoDaddy が合理的に必要と判断するアプリケーションおよびインフラのサードパーティによる侵入テストを定期的に実施します。 2.5 継続性および回復力。GoDaddy は、パフォーマンスや取得可能性のモニタリング、重層的で回復力のあるシステム設計、途切れない電力供給の使用、DDoS 攻撃からの保護、負荷/耐久度テストなどの対策や、その他の同様の対策を含む、お客様の個人データを処理するシステムの完全性と取得可能性を保護するために適切な対策を実施します。

3.組織のセキュリティ

3.1 説明責任。GoDaddy は、GoDaddy の情報セキュリティプログラムを管理したり、お客様の個人データを保護する責任者を 1 人またはそれ以上割り当てることを含め、GoDaddy 内のお客様の個人データ保護の責任を明確に定義する明文化されたセキュリティポリシーおよび手順を作成し、実施します。 3.2 資産管理および制御。GoDaddy は、サービスを提供するおよび/またはお客様の個人データを処理するために使用される端末とシステムの資産分類と棚卸資産を含め、資産管理ポリシーおよび資産制御を維持します。 3.3 物理的セキュリティ。GoDaddy は、承認されたユーザーしか GoDaddy の電子機器、ネットワーク、基幹システム、アプリケーション、サーバールーム、通信室、および作業環境にアクセスできないようにするための合理的な対策を実施することを含め、施設の物理的セキュリティを維持するためのリスクベースの制御も実施することとします。GoDaddy が必要に応じて取る場合のある対策には、アラーム、CCTV モニタリング、訪問者のアクセス管理、物理的端末を廃棄/リサイクルする前の個人データの破壊が含まれますが、それに限定されません。

4.セキュリティ運用

4.1 セキュリティシステムの設定。GoDaddy は、サービスを提供するためまたはお客様の個人データを処理するために使用されるシステムが安全に設定されていることを確認するため、制御を設定します。 4.2 脆弱性およびパッチの管理。GoDaddy は、サービスを提供するためまたはお客様の個人データを処理するために使用されるすべてのシステムに、パッチの重要性およびお客様の個人データの機密度に基づいて、妥当な期間内に既知のセキュリティ脆弱性に対するパッチが適用されていることを確認する脆弱およびパッチ管理システムを導入し、維持します。 4.3 マルウェア対策。GoDaddy は、悪意のあるソフトウェアから保護するため、検知、防止、および復旧のための制御 (適切なユーザー認識プログラムを含む) を実施します。 4.4 ロギングおよび監査。GoDaddy は、リスクベースの業界標準を使用してログの範囲、作成、保存、分析、および破棄を定義するログ管理プログラムを利用します。 4.5 セキュリティインシデントの検知と対応。GoDaddy は、侵入検知システムおよび侵入防止システムの使用を含め、契約のセクション 6 により要求されるセキュリティインシデントを検知するためのリスクベースシステムを維持します。

5.トレーニング

GoDaddy は、従業員がお客様の個人データを処理する場合、守秘義務およびデータ保護義務に関するトレーニングを定期的に受けるようにします。

6.アクセス制御

6.1 固有 ID。GoDaddy は、お客様の個人データにアクセスできる従業員 (管理用アクセスを所有する従業員を含むが、それに限定されない) に個々の固有ユーザー認証情報を割り当てます。 6.2 パスワード管理。GoDaddy は、集中パスワード管理およびパスワードポリシーを含め、パスワード管理のポリシーと手順を実施します。 6.3 多要素認証。GoDaddy は、お客様の個人データを処理および/または保存するために使用されるネットワーク、システム、またはアプリケーションへのリモートアクセスに多要素認証を実施します。 6.4 最小権限。GoDaddy は、お客様の個人データへのアクセスを、適切な守秘義務に拘束され、サービスを提供する目的で「知る必要がある」または「アクセスする必要がある」従業員に制限します。

7.データセキュリティ制御

7.1 データ分離。GoDaddy は、お客様の個人データを論理的に分離した、安全な環境に保存します。 7.2 暗号化およびその他の措置。GoDaddy は、暗号化、仮名化、お客様の個人データを含むシステムにアクセスするために使用されるパスワードや API トークンを含め、機密をハッシュするためのアルゴリズムの利用などその他の適切な措置を含め、お客様の個人データを保護するために適切なリスクベースの措置を利用します。

表 3: 司法管轄権固有の規約

1.米国

1.1 カリフォルニア州。

1.1.1 定義。

1.1.1.1 以下の規約は、カリフォルニア州データ保護法の「ビジネス」、「事業目的」、「サービスプロバイダ」、「販売」、「共有」、および「サードパーティ」に定められる定義に従って、特定的に定義されます。 1.1.1.2 「お客様の個人データ」という語には、特定されたまたは特定できる個人または家庭の個人情報が含まれます。

1.1.2 両当事者の役割。

1.1.2.1 お客様が適用されるカリフォルニア州データ保護法に基づく企業と見なされる場合、本 DPA に基づく管理者としてのお客様の権利と義務への言及はすべて、企業としてのお客様の権利と義務への言及とも見なされるものとします。お客様が適用されるカリフォルニア州データ保護法に基づくサービスプロバイダと見なされる場合、本 DPA に基づく処理者としてのお客様の権利と義務への言及はすべて、サービス提供事業者としてのお客様の権利と義務への言及とも見なされるものとします。 1.1.2.2 GoDaddy がカリフォルニア州データ保護法に基づくサービスプロバイダまたはサードパーティと見なされる場合、本 DPA に基づく処理者または復処理者としての GoDaddy の権利と義務への言及はすべて、サービス提供事業者またはサードパーティとしての GoDaddy の権利と義務への言及とも見なされるものとします。

1.2 米国のすべての州 (カリフォルニア州を含む)。

1.2.1 GoDaddy は、(a) お客様の個人データを販売または共有する、(b) 契約に規定されたビジネス目的以外の目的でお客様の個人データを保持、使用、または開示する、または (c) GoDaddy と会社との間の直接的な取引関係外でお客様の個人データを保持、使用、または開示することはありません。 1.2.2 GoDaddy によるお客様の個人データへのアクセスは、契約に基づいて両当事者でやり取りされる対価の一部ではありません。 1.2.3 お客様は以下のために合理的な措置を取る権利を有するものとします。(a) GoDaddy が DPA のセクション 8 に定められた権利の行使を含め、本 DPA に沿った方法でお客様の個人データを処理していることを確認する、(b) DPA 規約に違反して行われる GoDaddy の処理活動の停止および修正を要求する、(c) GoDaddy が本 DPA を遵守していることを確認するために (お客様の自己の裁量で決定される通りに) その他の合理的措置を取る。GoDaddy が、本セクション 1.2.3 に従ってお客様の妥当な要請を遵守することができないまたは遵守しようとしない場合、お客様の唯一の解決策は、本 DPA およびお客様の個人データの処理に関係する契約の当該部分を終了することです。 1.2.4 GoDaddy は、お客様の個人データの処理に対するすべての制限を含め、データ保護法および本 DPA に基づく義務を理解し、遵守することを証明するものとします。

2. 欧州連合/欧州経済地域

2.1 復処理者

2.1.1 GoDaddy が復処理者を利用する場合、

2.1.1.1 処理者によるデータ処理の性質に対応した DPA のセクション 5、6、8 および表 2 に定められた技術的および組織的措置 (EU 一般データ保護規則 (GDPR) 第 28 条で要求されるすべての技術的および組織的措置を含むが、それに限定されない) を遵守することを復処理者に要求する、および 2.1.1.2 (a) EU/EEA 内、(b) 欧州委員会が「適正」な水準のデータ保護が存在すると見なす国、または (c) お客様の個人データの国際的移転に関する表 4 に定められた規約に基づいてのみ、お客様の個人データを処理することに書面で同意することを復処理者に要求する。

2.2 規制の罰則に対する賠償責任本 DPA または契約 (契約に基づくいずれかの当事者の補償義務を含む) に定められた他の規約に関わらず、いずれの当事者も EU GDPR 第 83 条に基づく罰金を含め、規制当局または政府機関が他方の当事者に発するまたは課する罰金に対する責任を負わないものとします。

3.スイス

3.1 GoDaddy が復処理者を利用する場合、

3.1.1 復処理者によるデータ処理の性質に対応した、DPA のセクション 5、6、8 および表 2 に定められた技術的および組織的措置 (GDPR 第 28 条で要求されるすべての技術的および組織的措置を含むが、これに限定されない) を遵守することを復処理者に要求します。 3.1.2 (a) スイス内、(b) EU/EEA 内、(c) 欧州委員会が「適正」な水準のデータ保護が存在すると見なす国、または (d) お客様の個人データの国際的移転に関する表 4 に定められた規約に基づいてのみ、お客様の個人データを処理することに書面で同意することを復処理者に要求します。

3.2 お客様の個人データのスイスからの移転が、EU 標準契約条項 (表 4 に定義) に基づいて行われる範囲で、以下の修正が適用されます。

3.2.1 「加盟国」への言及には、スイスが含まれるものと解釈されます。 3.2.2 移転がスイス連邦データ保護法 (FADP) の対象となる範囲で、「(EU) 規則 2016/679」への言及は FADP への言及と見なされます。

3.3 FADP に要求される範囲で、EU 標準契約条項はお客様の個人データとして法人に関するデータを含むものと見なされます。

4. 英国

4.1 「GDPR (一般データ保護規則)」への言及は、英国 GDPR および 2018 英国データ保護法だけではなく、英国の対応する法令への言及と見なされます。 4.2 会社が復処理者を利用する場合、会社は

4.2.1 復処理者によるデータ処理の性質に対応した、DPA のセクション 5、6、8 および表 2 に定められた技術的および組織の措置 (英国 GDPR 第 28 条で要求されるすべての技術的および組織の措置を含むが、これに限定されません) を遵守することを復処理者に要求し、 4.2.2 (a) 英国内、(b) EU/EEA 内、(c) 英国が「適正な」水準のデータ保護が存在すると見なす他国内、または (d) お客様の個人データの国際的移転に関する表 4 に定められた規約に基づいてのみ、お客様の個人データを処理することに書面で同意することを復処理者に要求します。

表 4: 国境を超えた義務的データ移転制度

1. 定義

1.1 「データプライバシーフレームワーク (「DPF」)」とは、米国商務省 [www.dataprivacyframework.gov] (www.dataprivacyframework.gov) が運用する EU 米国間、スイス米国間、または英米間のデータプライバシーフレームワーク認証プログラムを指します。 1.2 「米英間データブリッジ」とは、英米間データプライバシーフレームワーク英国拡張版を指します。 1.3 「EU 標準契約条項」とは、欧州委員会が承認し 2021 年 6 月の決定 2021/914 の付属書に添付された標準契約条項を指します。 1.4 英国情報コミッショナーが発行した英国国際データ移転契約書 (UK IDTA) のバージョン B1.0 は、契約の発効日に両当事者が締結したものと見なされ、EU 標準契約条項は英国からのデータ移転に対して UK IDTA が規定される通りに修正されると見なされます。

2.優先順位

2.1 お客様の個人データの転送元の国のデータ保護法により十分な水準のデータ保護を提供していると見なされる国にデータが移転される場合、義務的移転制度は使用されません。 2.2 移転が必要であり、当該移転が複数の義務的移転制度の対象となる場合、移転には以下の優先順位に従って 1 つの義務的移転制度が適用されます。(a) 適用される EU またはスイスの DPF、(b) 英米間データブリッジ、(c) EU 標準契約条項、(d) 英国 IDTA、(e) 適用されるデータ保護法に基づいて許可されるその他の義務的移転制度。 2.3 義務的移転制度が、本契約の履行後に無効と見なされる場合、その後の移転はすべて次に適用される有効な義務的移転制度によって行われるものと見なされます。

3. データプライバシーフレームワーク

3.1 自己認証。

3.1.1 GoDaddy の認証。GoDaddy は、DPF に基づいて自己認証を受けていることを表明します。GoDaddy は、(a) DPF のデータプライバシー原則に基づいて要求されるのと最低でも同水準の保護をお客様の個人データに提供する、(b) GoDaddy の DPF 認証が取り下げられる、終了する、取り消される、または無効になる場合、不当な遅延なく書面でお客様に通知する、および (c) お客様からの書面による通知があった場合、お客様の個人データの承認されていない処理を停止するおよび修正するために合理的で適切な措置を取ることに同意します。 3.1.2 会社の認証。会社が DPF に基づいて認証を受けている場合、会社は (a) DPF のデータプライバシー原則に基づいて要求されるのと最低でも同水準の保護をお客様の個人データに提供する、(b) 会社の DPF 認証が取り下げられる、終了する、取り消される、または無効になる場合、不当な遅延なく書面で GoDaddy に通知する、(c) GoDaddy に書面による通知があった場合、お客様の個人データの承認されていない処理を停止するおよび修正するために合理的で適切な措置を取ることに同意します。

3.2 ステータス

3.2.1 EU 米国間 DPF。EU 米国間 DPF は、2023 年 7 月 10 日の十分性の認証に従って欧州委員会により適正な水準のデータ保護を提供していると見なされ、2023 年 10 月 10 日に発効しています。 3.2.2 英米間データブリッジ。英米間データブリッジは、2023 年 9 月 21 日に議会で適正な規制を制定した英国科学イノベーションテクノロジー省により適正な水準のデータ保護を提供していると見なされています。英米間データブリッジ規制は 2023 年 10 月 12 日に発効し、適用される移転は当該日以降英米間データブリッジに従って行われます。 3.2.3 スイス米国間 DPF。スイス米国間 DPF はまだ発効していません。

3.2.3.1 両当事者は、本 DPA の規約が発行する時点で、スイス DPF またはその妥当な類似物と一致していることに同意し、スイスからのお客様の個人データの移転は、スイス DPF に基づいて行われたものとして取り扱われることとします。 3.2.3.2 スイス DPF によって本 DPA に規約を追加することが要求される場合、両当事者は当該規約が両当事者がさらなる措置を取ることなく自動的に取り入れられることに同意します。ただし、当該追加規約は、一方の当事者に追加の実質的義務を負わせたり、契約の元の利用規約を実質的に損なうことはありません。 3.2.3.3 本 DPF に追加の規約を自動的に追加できない場合、本 DPA はスイス DPF に従った移転を許可するために修正することができます。 3.2.3.4 本 DPA のその他の規約に関わらず、本 DPA のいかなる内容も、別の合法的なデータ移転制度に従って個人データを移転する両当事者の能力を制限、限定、または影響を与えるものではありません。

3.3 会社および会社の復処理者は、GoDaddy が DPF に基づいて、データ主体の権利を行使するための個人からの要請に対応する点での GoDaddy および/または管理者へのサポートだけではなく、管理者および/または処理者としての義務も遵守することができるように、必要なあらゆる対策を取ります。

4. EU 標準契約条項

4.1 EU 標準契約条項の対象となる EU/EEA およびスイスからの個人データの移転の場合、GoDaddy が移転されるお客様の個人データの管理者であるか処理者であるかに応じて、モジュール 2 (管理者から処理者) またはモジュール 3 (処理者から処理者) が適用されます。 4.2 EU SCC のモジュール 2 およびモジュール 3 について

4.2.1 7 項では、任意のドッキング条項は適用されません。 4.2.2 9 項では、オプション 2 が適用され、復処理者の変更への異議申し立ての通知と期間は、DPA のセクション 3 に定められています。 4.2.3 11 項では、任意の言語適用されません。 4.2.4 17 項 (オプション 1) では、EU 標準契約条項にはドイツ国内法が適用されます。 4.2.5 18(b) 項では、DPA に関する紛争はドイツ連邦内で解決するものとします。

4.3 付属書 I、パート A の目的上

4.3.1 データ移転元

4.3.1.1 データ移転元は会社のことです。 4.3.1.2 会社は、契約の通知条項に定められた住所に連絡を受ける場合があります。 4.3.1.3 本 DPA を締結することで、会社は契約の発効日に付属書を含む EU 標準契約条項に署名したものと見なされます。

4.3.2 データ移転先

4.3.2.1 データ移転先は GoDaddy および/または GoDaddy の承認されたアフィリエイトです。 4.3.2.2 GoDaddy は、契約の通知条項に定められた住所または privacy@GoDaddy.com に連絡を受ける場合があります。 4.3.2.3 本 DPA を締結することで、GoDaddy は契約の発効日に付属書を含む EU 標準契約条項に署名したものと見なされます。

4.4 付属書 I、パート B の目的上、

4.4.1 データ主体のカテゴリーは表 1 に記載されています。 4.4.2 移転される機密データ (該当する場合) は、表 1 に記載されています。 4.4.3 移転の頻度は契約および DPA の有効期限です。 4.4.4 処理の性質は表 1 に記載されています。 4.4.5 処理の目的は表 1 に記載されています。 4.4.6 処理の期間は表 1 に記載されています。

4.5 付属書 I、パート C の目的上、条項 13 に従って、所轄監督機関は以下のように定義されます。

4.5.1 EU/EEA からの個人データの移転の場合、所轄監督機関はノルトライン・ヴェストファーレン州データ保護および情報公開コミッショナーです。 4.5.2 当該移転または再移転がスイスデータ保護法およびデータ保護規制の適用を受ける場合、スイス連邦データ保護および情報コミッショナーが所轄監督機関の役割を果たすものとします。

4.6 EU 標準契約条項の付属書 II では、表 2 に DPA に基づいて会社がデータ移転先として実施する技術的および組織的措置が含まれます。 4.7 EU 標準契約条項の付属書 III で、会社の復処理者のリストをご覧ください。

5. 英国国際データ移転契約書 (UK IDTA)

5.1 UK IDTA は、英国から英国の管轄規制当局または政府機関から妥当な水準の個人データ保護が存在すると見なされていない国に移転されるお客様の個人データの移転に適用されます。 5.2 UK IDTA の対象となる移転の場合について、UK IDTA は以下のように両当事者により契約が交わされ、完了したと見なされます。

5.2.1 IDTA の表 1 では、両当事者の詳細と主な連絡先に関する情報が本表 4 のセクション 4.3 にあります。 5.2.2 IDTA の表 2 では、EU 標準契約条項のバージョン、モジュール、UK IDTA が追加される選択された条項に関する情報が本表のセクション 4 にあります。 5.2.3 UK IDTA の表 3:

5.2.3.1 両当事者のリストは本表 4 のセクション 4.3 にあります。 5.2.3.2 移転の説明は表 1 に定められています。 5.2.3.3 付属書 II は表 2 にあります。 5.2.3.4 会社の復処理者のリストは表 5 にあります。 5.2.3.5 UK IDTA の表 4 では、GoDaddy と会社の両方が、規約に従って UK IDTA を終了することができます。

5.3 英国情報コミッショナーは、移転が英国データ保護法およびデータ保護規則の対象である場合、管轄監督当局の役割を果たすものとします。

5.4 紛争。EU 標準契約条項または UK IDTA と、本データ処理追加条項内のその他の規約との間に矛盾または不一致がある場合、EU 標準契約条項または UK IDTA の条項 (該当する場合) が優先されるものとします。

法的な規約および方針の翻訳版は、英語版の読者がその内容を理解しやすくするという便宜を図ることのみを目的として提供しているものです。法的な規約および方針の翻訳版を提供する目的は、法的拘束力のある契約を成立させたり、英語版に代わる法的に有効な規約等を設けたりすることではありません。紛争または対立が生じた場合、当事者間の関係には、英語版の法的な規約および方針のみが適用され、英語版の条項が、他言語版の条項に優先します。