データ処理補遺

(2020年8月改訂)

別紙および付属書類を含むデータ処理補遺(以下「DPA」)は、Lingbleからのサービス購入に関するLingbleとクライアントとの間の電子商取引サービス基本契約またはその他の書面もしくは電子的な合意(以下「本契約」)の一部を構成し、本契約に記載のサービス(以下「本サービス」)を含み、個人データ処理に関する両当事者の合意を反映する。

本契約に署名することにより、クライアントは、自身のために、および関連するデータ保護法令および規則の下で要求される範囲において、その認定関連会社の名義でかつその代表として、当該認定関連会社が管理者としての資格を有する個人データをLingbleが処理する限りにおいて、本DPAを締結する。本DPAにおいて別段の定めのない限り、「クライアント」の用語はクライアントおよび認定関連会社を含むものとする。すべての括弧書きの用語は、本契約において定められた意味を有するものとする。

本契約に従って本サービスをクライアントに提供する場合、Lingbleは、クライアントに代わって個人データを処理することができ、かつ両当事者は、個人データに関して、合理的かつ誠実に、以下の条項を遵守することに同意する。

1) 定義

a) 「CCPA」とは、カリフォルニア州消費者プライバシー法(the California Consumer Privacy Act, Cal. Civ.)第1798.100条以下、およびそれに従い適用される施行規則(すべては随時修正される可能性がある)を意味する。

b) 「管理者」とは、個人データ処理の目的と方法を決定する事業体を意味する。

c) 「データ保護法令および規則」とは、本契約の個人データの処理に適用される、欧州連合、欧州経済領域およびその加盟国、スイス、英国ならびに米国およびその州の法令および規則を含む、すべての法令および規則を意味する。  その他の裁判管轄が本契約により包含される場合、当該裁判管轄における実質的に同等の法令及び規則についても、本用語は参照される。

d) 「データ主体」とは、個人データが関連する、特定されたまたは特定可能な個人または世帯を意味し、固有の識別情報による場合など、特定方法を問わない。

e) 「データ主体の要求」とは、データ主体のアクセス権、訂正権、処理の制限権、削除権(忘れられる権利)、データポータビリティーに関する権利、処理を拒否する権利、「販売」からのオプトアウト権、または個人の自動的判断の対象とならない権利を行使する、データ主体の要求を意味する。

f) 「GDPR」とは、指令95/46/EC を廃止する個人データ処理に係る個人の保護および当該データの自由な移動に関する欧州議会及び理事会の規則(EU) 2016/679(一般データ保護規則)を意味する。

g) 「個人データ」とは、(i)データ主体(上記で定義)および(ii)特定された、または特定可能な法人を、直接または間接に、特定し、関連付け、詳細を記載し、合理的に関連付けが可能、または合理的に関係づけされうる情報(当該情報は、関連するデータ保護法令および規則、CCPAその他の適用法令に従い個人情報または個人を特定する情報と同様に保護される)で、(i)または(ii)それぞれについて当該データがクライアントデータであるものを意味する。

h) 「処理」(さまざまな形態を含む)とは、個人データに対して行われるすべての操作または一連の操作を意味し、自動化された方法か否かを問わず、収集、記録、編集、構造化、格納、適合、変更、検索、参照、利用、移転による開示、公表または公表可能とすること、整列または組み合わせ、消去または破壊などを含む。

i) 「処理者」とは、管理者の代わりに個人データを処理する事業体を意味し、CCPAに定義された用語である、「サービス提供者」を含む。

j) 「サービス提供者」は、カリフォルニア州消費者プライバシー法(the California Consumer Privacy Act of 2018)に従って解釈されるものとする。

k) 「委託処理者」とは、LingbleまたはLingbleグループのメンバーにより委託された処理者を意味する。

l) 「監督機関」とは、GDPRによってEUまたはEEAの加盟国に設置された独立の公的機関を意味する。

1) 個人データの処理

a) 両当事者は、個人データの処理に関連して、クライアントは管理者であり、Lingbleは処理者およびサービス提供者であること、およびLingbleが下記のセクション5に規定の要件を満たした委託処理者に委託することを了承し、合意する。

b) クライアントは、本サービスの利用において、Lingbleを処理者として利用することをデータ主体に通知する要件を含む、データ保護法令および規則の要件に従って個人データを処理する。疑義を避けるために述べると、クライアントの個人データ処理についての指示は、データ保護法令および規則を遵守しているものとする。クライアントは、個人データおよびクライアントによる個人データ取得方法の、正確性、品質および適法性に関して単独で責任を負う。クライアントは、クライアントによる本サービスの利用が、CCPAまたは関連するデータ保護法令および規則に従い適用される範囲で、販売またはその他の個人データの開示をオプトアウトしているデータ主体の権利に違反するものではないことを特に認める。

c) Lingbleは、個人データを機密情報として取り扱い、かつクライアントの文書化された指示に従ってのみ、以下の目的で個人データを処理する。(i)本契約および関連する注文書式に従い処理するため、(ii)認定ユーザーによりサービスの利用中に開始された処理のため、ならびに(iii)クライアントによりメールや管理パネルを通じて提供されたその他の文書化された合理的な指示で、当該指示が本契約の条項に整合している指示に準拠した処理のため。

d) Lingbleによる個人データの処理の主目的は、本契約に従った本サービスの提供である。本DPAにおける処理期間、処理の性質および目的、個人データの種類、ならびに処理されたデータ主体のカテゴリは、本DPAの別紙1(処理の詳細)により詳細に記載される。

2) データ保護

a) 欧州連合、欧州経済領域およびその構成国、スイス、英国から、これらの領域におけるデータ保護法令および規則でのデータ保護の適切な水準を確保していない国々への本DPAに基づく個人データの移動は、当該移動がこれらのデータ保護法令および規則に従う限りにおいて、関連するデータ保護法令および規則を遵守して行われるものとする。

b) Lingbleが本サービスを提供する過程で個人データを処理する場合、Lingbleは次の事項を行う。

i) クライアントによる文書化された指示(ただし、当該指示が本サービスの機能に合致したものに限る)に従い、かつ事後にクライアントにより合意される、本サービスを提供する目的で、処理者またはサービス提供者としての個人データを処理すること、Lingbleが法令によりその他の目的で個人データを処理することを要求された場合、Lingbleは、当該通知の提供が法令により禁止されていない限り、当該要求についてクライアントに事前の通知を行うこと、

ii) クライアントの個人データ処理に関する指示が、関連するデータ保護法令および規則に違反するとLingbleが判断した場合、クライアントに通知すること、

iii) Lingbleによる個人データの処理に関して監督機関から調査または告発を受けた場合、法令により許容される限りすみやかにクライアントに通知すること、

iv) 不正または不法な処理から、および偶発的な喪失、破壊、損害、盗難、改変または開示から、個人データを保護するための適切な技術的および組織的対策を実装かつ維持すること、当該対策は、個人データの不正または不法な処理、偶発的な喪失、破壊または盗難から生じる被害に見合ったものであり、かつ保護される個人データの性質に適合したものとする。

v) クライアントが関連情報にアクセスできず、かつ当該情報がLingbleにとって利用可能な限りにおいて、クライアントがデータ保護への影響評価を完了するのを支援するため、要求に応じて合理的な情報を提供すること、

vi) クライアントの要求に応じ、かつ本契約に定める機密保持義務に従い、Lingbleは、Lingbleと競業しないクライアント(またはLingbleと競業しない独立した第三者であるクライアントの監査人)に対し、LingbleグループによるDPAに規定された義務の遵守に関する情報を、Lingbleがクライアントに全体として利用可能とした限りの第三者の証明書および監査の形式で、利用可能とする。クライアントは、本契約の「通知」セクションに従って、個人データの保護に関する手続の実地監査を要請するため、Lingbleと連絡をとることができる。クライアントは、当該実地監査の費用を、Lingbleグループのその時点の専門家業務の料金率で、いつでもLingbleに送金するものとする。当該料金率は要求に応じてクライアントが確認可能なものとする。当該実地監査の開始前に、クライアントおよびLingbleは、クライアントが負担する払戻率に加え、当該監査の範囲、時期および継続期間について互いに合意する。すべての払戻率は、合理的かつLingbleの費消したリソースを考慮したものとする。クライアントは、監査の過程で発見された不遵守事項に関する情報を、すみやかにLingbleに通知する。

vii) 個人データへの偶発的、不正もしくは不法な処理、開示、またはアクセスを感知し、かつ確認した場合は遅滞なくクライアントに対し通知すること、

viii) 個人データにアクセスするLingble従業員が、顧客の個人データを開示することを制限する機密保持義務に服するようにすること、ならびに

ix) 本契約の終了時に、Lingbleは個人データを削除または匿名化する除去処理を開始することができる。クライアントは、Lingbleが保有するクライアントの販売注文データおよび顧客データのすべてを、データベーステーブルの形式で、本契約の終了後30日以内に、Lingbleがクライアントに送信するよう要求できる。その後、Lingbleは、そのデータ保持ポリシーに従って、(集約統計データを除く)すべてのデータを破棄できる。

3) データ主体の要求

Lingbleは、法的に許容される限度において、データ主体の要求をLingbleが受領した場合はすみやかにクライアントに通知する。処理の性質を考慮し、Lingbleは、可能な範囲で適切な技術的および組織的対策により、データ保護法令および規則に従いデータ主体の要求に対応するクライアントの義務を履行できるよう、クライアントを支援する。さらに、クライアントが本サービスを利用する中でデータ主体の要求に対処する能力がない場合、Lingbleは、クライアントの要求に応じて、Lingbleが法令上許容される範囲で、かつ当該データ主体の要求への対応がデータ保護法令および規則に従って要求される範囲で、クライアントが当該データ主体の要求に対応することを支援する商業的に合理的な努力を行う。法令上許容される範囲で、クライアントは、Lingbleの当該支援提供から生じた費用を負担する。

4) データ保護職員

Lingbleの処理行為に基づき、Lingbleはデータ保護職員を任命することを要求されない。Lingbleは、将来データ保護職員を自発的に任命する権利を留保する。本DPA、GDPR準拠、データプライバシー、データ移動その他プライバシーに関する問題についての問い合わせは、[email protected]へメールでお知らせください。

5) 委託処理者

a) クライアントは、(a)Lingbleの関連会社が委託処理者として雇われる可能性があること、ならびに(b)LingbleおよびLingbleの関連会社がそれぞれ本サービスの提供に関連して第三者の委託処理者に委託する場合があることを認め、合意する。LingbleまたはLingbleの関連会社は、各委託処理者と、当該委託処理者が提供するサービスの性質に合致した限度において、クライアントデータの保護に関して本DPAと同等以上に保護的なデータ保護義務を含む書面の合意を締結する。

b) Lingbleは、書面による要求があった場合、本サービスに対する最新の委託処理者一覧をクライアントが利用可能な状態とする。当該委託処理者の一覧は、委託処理者の身元およびそのプライバシー文書を含む。Lingbleは、クライアントへの電子的な通知により、サービスの提供に関連した個人データの処理を行うための新規の委託処理者を認定する前に、新規委託処理者について通知を行う。

c) クライアントは、セクション1)b)に定めるメカニズムに従って、Lingbleの通知受領後10日以内に書面でただちに通知することにより、Lingbleによる新規委託処理者の利用に対し異議を申し立てるこができる。当該書面通知には、当該新規委託処理者が、GDPRおよびデータ主体の権利の保護の要件に合致した処理となるための、適切な技術的および組織的対策を実施する十分な保証がないとクライアントが判断した具体的な理由を記載する。クライアントが前項で許容された通りに新規委託処理者に異議を申し立てた場合、Lingbleは、クライアントに不合理な負担を課さずに当該異議の対象となった新規委託処理者による個人データの処理を避けるため、本サービスの変更をクライアントが利用可能となるようにし、またはクライアントの本サービスの設定もしくは利用に商業的に合理的な変更を行うことを推奨する合理的な努力を行う。適用法令により要求がある場合で、Lingbleが合理的な期間内(30日を超えないものとする)に当該変更を利用可能とできないとき、クライアントは、Lingbleへの書面の通知により、異議の対象となった新規委託処理者を利用することなしにはLingbleが提供することができない、関連注文書式のサービスのみを終了することができる。  本セクションは、本契約の期間中に雇われた新規委託処理者についてのみ適用され、Lingbleから要求に応じて提供される承認済みの委託処理者の一覧には適用されない。

d) Lingbleは、本契約に別段の定めのない限り、本DPAの条項に従い各委託処理者の提供するサービスを直接提供していたとしたらLingbleが負っていたであろう責任を限度として、委託処理者の作為および不作為に対して責任を負う。

6) 指示

本DPAおよび本契約は、本契約の締結時点において、Lingbleへの個人データ処理に関するクライアントの完全かつ最終的な指示である。追加の、または代替的な指示がある場合は、別個に合意されなければならない。次の事項は個人データ処理に対するクライアントの指示とみなす。(a)本契約および関連する注文書式に従った処理、(b)認定ユーザーにより本サービスの利用中に開始された処理、ならびに(c)クライアントによりメールや管理パネルを通じて提供されたその他の合理的な文書による指示で、当該指示が本契約の条項に整合している指示を遵守した処理。

7) 認定関連会社

a) 両当事者は、本契約の締結により、クライアントは、自身のために、およびその認定関連会社の名義でかつそれらを代表して、DPAを締結し、Lingbleと当該認定関連会社との間で、本契約の条項ならびに本セクション7)およびセクション9)b)に従い、ここに別個のDPAを締結することを認め、合意する。各認定関連会社は、本DPAの義務および関連する限度において本契約の義務に拘束されることに合意する。疑義を避けるために述べると、認定関連会社は、本契約の当事者ではなく、かつ当事者にならず、本DPAのみの当事者である。認定関連会社による本サービスのすべてのアクセスおよび利用は、本契約の条項を遵守しなければならず、認定関連会社による本契約の条項に対する違反は、クライアントによる違反とみなされるものとする。

b) 本契約の契約当事者であるクライアントは、本DPAにおけるLingbleとのすべての連絡を調整する責任を有し、かつ認定関連会社に代わって本DPAに関連する連絡の発信および受信を行う権利を有する。

c) 認定関連会社がLingbleとのDPAの当事者となることで、関連するデータ保護法令および規則により要求される限度において、認定関連会社は、次の事項に従い本DPAにより権利を行使し、救済措置を求める権利を有する。

i) 関連するデータ保護法令および規則が、認定関連会社に対し、Lingbleに対する認定関連会社自身からの直接の本DPAによる権利の行使または救済措置の追求を要求する場合を除き、両当事者は、(i)本契約の契約当事者であるクライアントのみが認定関連会社に代わって当該権利の行使または当該救済措置の追求を行うこと、ならびに(ii)本契約の契約当事者であるクライアントが、本DPAによる当該権利の行使を認定関連会社それぞれとは別個に行うのではなく、クライアントおよびすべての認定関連会社を結合した形(たとえば下記セクション7)c)i)に規定)で行うものとすることに合意する。

ii) 両当事者は、本契約の契約当事者であるクライアントが、個人データ保護に関連した手続きの監査を実施する場合、合理的に可能な範囲で、クライアントおよびその認定関連会社のすべてに代わって実施される複数の監査要求を1つにまとめることにより、Lingbleおよびその委託処理者への影響を抑えるため、すべての合理的な対策を行うことに合意する

8) カリフォルニア州特有の条項

a) 定義。

i) 「消費者要求」とは、CCPAに従い、クライアントまたはLingbleに対して提出された、個人データへのアクセスの提供、個人データの削除、または個人データを「販売」しないようクライアントに指示する、消費者の要求を意味する。

ii) 「販売する」、「販売すること」、「販売」または「販売した」は、CCPAセクション1798.140(t)に定める意味を有する。

iii) 本カリフォルニア特有の条項において使用された用語の意味が曖昧な場合、当該用語は、CCPAセクション1798.140その他の関連規制に定める意味を有するものとする。

b) Lingbleは、Lingbleによる本サービスの提供に直接適用されるCCPAの要件に準拠する。

c) Lingbleは、クライアントがLingbleに開示し、またはLingbleによるアクセスを許可した個人データが、Lingbleが本サービスを提供する目的で開示され、または許可されたことを認める。クライアントおよびLingbleは、本契約に基づいた、クライアントによるLingbleへの個人データの提供または移動は、当該データの販売には該当せず、かつ金銭その他の対価のためではないことに合意する。

d) セクション3のデータ主体の権利に従い、Lingbleは、書面の要求があった場合、クライアントがCCPAにおける消費者要求に対応できるよう、クライアントに対し合理的な支援を行う。サービス提供者は、クライアントからの書面の指示がある場合を除き、消費者要求には対応しない。

e) Lingbleは、次のことを行わない。(a)本契約の本サービスの提供する特定の目的以外の目的で個人データにアクセス、保持、利用または開示すること、(b)Lingbleとクライアントとの間の直接の事業関係がなく、かつ本サービスを提供するのに必要となる以外の商業的その他の目的で個人データにアクセス、保持、利用または開示すること、(c)本サービスを提供するのに必要となる以上にデータ主体から個人情報を収集すること、または(d)個人データを第三者に販売し、もしくは第三者のために使用すること。

f) 本契約の制限に従い、Lingbleは、セクション1798.145、サブディビジョン(a)(1)から(a)(4)を含むCCPAおよび999.314項を含む施行規則により許容される範囲で、個人データを保持、利用または開示できる。次に例を示す。(a)クライアントに代わって個人データの処理または維持を行うこと、(b)他のサービス提供者を請負業者として雇うこと、当該請負業者はCCPAおよびその施行規則のサービス提供者としての要件を満たす、(c)Lingbleがそのサービスの構築もしくは品質向上のために社内利用すること、ただしこれには世帯もしくは消費者のプロファイルを他の事業に対するサービス提供のために構築または調整すること、もしくは他のソースから取得したデータを修正もしくは増強することを含まない、(d)データセキュリティインシデントを検出し、もしくは詐欺的もしくは違法な行為から保護すること。

9) 雑則

a) 本契約と本DPAの条項に矛盾または相反する場合、本DPAの条項が優先する。

b) 本DPAおよび認定関連会社とLingbleの間のすべてのDPAから、もしくはそれらに関連して生じた、各当事者およびそのすべての関連会社の責任は、契約、不法行為その他のいかなる理論による責任であっても、総額として本契約の「責任の制限」セクションに従い、かつ当該セクションの一方当事者の責任に対する言及は、本契約およびすべてのDPAを合わせた、当該当事者およびそのすべての関連会社の責任総額を意味する。疑義を避けるために述べると、本契約およびすべてのDPAから、またはそれに関連して生じた、クライアントおよびそのすべての認定関連会社からのすべての請求に対する、Lingbleおよびその関連会社の損害賠償責任の合計額は、本契約および本契約のもとで締結された、クライアントおよびすべての認定関連会社によるものを含め、すべてのDPAに基づくすべての請求について、総額として適用されるものとし、特に、クライアントまたは当該DPAの契約当事者である認定関連会社に別個に適用されるとは理解されない。

c) Lingbleは、そのウェブサイト(www.lingble.com/legal/dpa にて参照可能)に改訂版を掲示することにより、本DPAを随時修正できる。Lingbleが、本DPAにおけるクライアントの権利または義務に悪影響かつ重大な影響を与える修正を行う場合、Lingbleは、電子的書面または管理パネルに通知を掲示することによりクライアントに通知を行う。本DPAへの重大な変更についての通知を受領した場合、クライアントが当該変更により悪影響かつ重大な影響を受ける限りにおいて、クライアントは、10日以内に本契約を終了させる意図を書面でLingbleに通知する。10日経過後、クライアントは改定後のDPAを受諾したものとみなされる。本セクションに従った本DPAへの重大な変更の結果としての、クライアントによる本契約を終了させる意図の通知は、当該変更がどのようにクライアントに重大な悪影響を及ぼすかについての詳細な記載を含むものとする。Lingbleは、当該Lingbleへの書面による通知日から60日以内のいつでも、本契約およびすべてのサービスを終了させる。


別紙1 - 処理の詳細

処理の性質および目的

Lingbleは、本DPAおよびwww.lingble.com/privacyにあるLingbleのプライバシーポリシー(随時修正され、以下「プライバシーポリシー」)に記載された詳細、およびサービスの利用中にクライアントからの指示に従い、本契約に基づき本サービスを提供するのに必要な個人データを処理する。

処理期間

本DPAおよびプライバシーポリシーに別段の定めのない限り、別途書面での合意がない場合、Lingbleは、本契約の期間中個人データを処理する。

データ主体のカテゴリ

クライアントは、クライアントの単独の裁量により判断され、コントロールされた範囲で、本サービスに対し個人データを提供でき、当該データにはデータ主体の次のカテゴリに関連した個人データが含まれる場合がある。

● (自然人である)クライアントの潜在顧客、既存顧客、事業パートナーおよびベンダー

● クライアントの潜在顧客、既存顧客、事業パートナーおよびベンダーの従業員または担当者

● (自然人である)クライアントの従業員、代理人、アドバイザー、フリーランサー

● クライアントにより本サービスを利用することを認定された認定ユーザー

個人データの種類

クライアントは、クライアントの単独の裁量により判断かつコントロールされた範囲で、本サービスに対し個人データを提供できるものとし、当該データには次のカテゴリの個人データが含まれる場合がある。

● 姓名

● 役職

● 職務

● 雇用主

● 連絡先情報(会社、メールアドレス、電話番号、現住所)

● 位置情報データ

データの特別カテゴリ(該当ある場合)

クライアントは、プライバシーポリシーに規定した制限に従い、クライアントの単独の裁量により判断され、コントロールされた範囲で、本サービスに個人データの特別カテゴリを提供でき、当該カテゴリは個人データの明確化のため、人種もしくは種族的出自、政治的見解、宗教もしくは哲学的信念、または労働組合の組合員を明らかにする情報、および自然人を一意に特定する目的の遺伝的データ、生体データ、健康に関するデータもしくは自然人の性生活もしくは性的指向に関するデータである。