重要なお知らせ:GoogleとYahooは2024年4月よりDMARCを義務付けます。
続きを読む

データ処理契約

バージョン2.1.0

パーティーの様子

  • PowerDMARCにサインアップした登録組織(ここでは「コントローラー」と呼ぶ)。

そして

  •  MENAINFOSEC, Inc(登録事務所および主たる事業所はデラウェア州、アメリカ合衆国)は、ここでは「プロセッサー」と呼ばれます。

前置きが長くなりました。

  1. コントローラは、プロセッサがコントローラに様々なサービスを提供するために、プロセッサと1つまたは複数の契約を締結しており、またはそのような契約を締結する予定です。この契約またはこれらの契約を合わせて、ここでは「主契約」と呼びます。
  2. 本契約の履行において、処理者は、コントローラが責任を負うデータを処理します。これらのデータには、一般データ保護規則(EU 2016/679)(以下「GDPR」といいます)の意味における個人データが含まれます。
  3. GDPR第28条第3項の規定を考慮し、両当事者は、本契約において、これらの個人データが処理される条件を定めたいと考えています。

協定。

  • スコープ
    1. 本契約は、本契約に基づくサービスを提供する際に、付属書1に記載された1つ以上の処理操作が行われる限りにおいて適用されます。
    2. サービスを提供する際に実施される付属書1の処理業務は、ここでは「処理業務」と呼ばれます。この関連で処理される個人データは個人データ」とします。
    3. 本契約におけるすべての概念は、GDPRで与えられた意味を持ちます。
    4. より多くのおよびその他の個人データが管理者の指示に基づいて処理される場合、または本条項に記載されていない方法で処理される場合、本契約はそれらの処理操作にも可能な限り適用されます。
    5. 附属書は本契約の一部を構成しています。その内容は以下の通りです。

付属書1処理操作、個人データおよび保存期間。

  • 件名
    1. 制御者は、個人データを完全に管理します。制御者が処理者のシステムを使用して個人データを処理しない場合、処理者は制御者からの書面による指示に基づいて、例えば欧州連合外の第三者への個人データの提供に関して、排他的に処理します。本契約は、この点に関する一般的な指示とみなされます。
    2. 処理業務は、本契約に関連してのみ実施されます。処理者は、本契約で規定されている以外の方法で個人データを処理してはなりません。特に、処理者は個人データを自己の目的のために使用してはなりません。
    3. 処理者は、適切な方法と十分な注意を払って処理操作を行います。
  • セキュリティ対策
    1. 処理者は、GDPRに基づき、特にGDPR第32条に基づき、処理者に要求される技術的および組織的なセキュリティ対策をすべて講じるものとします。
    2. 処理者は、従業員に限らず、処理者の処理業務に参加する者が、個人データに関する守秘義務を負うことを保証するものとします。
  • データ・ブリーチ プライバシー・インパクト・アセスメント
    1. 処理者は、GDPR12条の第4項に規定される「個人データの侵害」があった場合には、その旨をコントローラに通知するものとします。このような違反は、以下、「データ違反」と呼ばれます。
    2. 処理者は、GDPR第33条の義務を履行するために必要な、処理者が保有するすべての情報を、適切な期間内にコントローラに提供します。そのために、処理者は、処理者が決定する標準的なフォーマットで、可能な限り早くそれぞれの情報を提供しなければなりません。これは、データ違反が自然人の権利および自由へのリスクにつながる可能性があることが明らかな場合、処理者は可能な限り早くデータ違反をコントローラに通知することを意味します。データ違反が自然人の権利および自由へのリスクをもたらす可能性が低いことが明らかな場合、処理者は、不当に遅延することなく通知を行うことを条件に、後からコントローラに通知することができます。データ違反が自然人の権利および自由に対するリスクをもたらす可能性があるかどうか疑わしい理由がある場合、処理者はデータ違反をできるだけ早くコントローラに通知するものとします。
    3. 処理者で発生したデータ違反をオランダの個人情報保護当局および/またはデータ対象者に報告するかどうかは、制御者が独占的に決定するものとします。
  • サブプロセッサーの関与
    1. 処理者は、処理業務を行うにあたり、コントローラの事前の同意なしに第三者をサブプロセッサーとして従事させることはできません。制御者の同意は、特定のカテゴリーのサブプロセッサーに関連することもあります。
    2. コントローラが同意した場合、処理者は、それぞれの第三者が少なくとも本契約に基づき処理者が有する法的義務および追加的な義務を遵守する契約を締結することを保証しなければなりません。
    3. 同意が特定の種類の第三者に関連する場合、処理者は自分が従事するサブプロセッサーについてコントローラに通知しなければなりません。コントローラは、プロセッサのサブプロセッサに関する追加または交換に異議を唱えることができます。
  • 機密保持義務
    1. 処理者は、個人データの機密を保持します。処理者は、個人データが直接または間接的にいかなる第三者にも利用されないことを保証します。第三者という用語には、個人データを記録する必要がない限り、処理者の人員も含まれます。この禁止事項は、本契約に反対の規定が定められている場合、および/または、法的規制や判決により開示が求められている場合には適用されません。
    2. 処理者は、法律で禁止されている場合を除き、データ対象者以外の者から、本条項に含まれる守秘義務に反して個人データへのアクセス、提供、またはその他の形での要求および伝達の要求があった場合、コントローラに通知するものとします。データ主体の要求があった場合、処理者はそれらの要求をコントローラに転送するか、データ主体をコントローラに照会するものとします。
  • 保存期間と削除
    1. 制御者は、個人データの保存期間を決定する責任を負うものとします。個人データがコントローラの管理下にある場合(ホスティングサービスの場合など)は、コントローラ自身が期限内に削除します。
    2. ただし、処理者の(法定)義務に関連して個人データをより長く保持する必要がある場合、またはコントローラが個人データをより長く保持することを要求し、処理者とコントローラが費用およびその他の保持条件について合意に達した場合は、コントローラが法定の保持期間を遵守する責任があるにもかかわらず、この限りではありません。制御者への転送は、制御者の費用負担で行われます。
    3. ただし、処理者の(法定)義務に関連して個人データを長く保持する必要がある場合、または、処理者が個人データを長く保持することを要求し、処理者と制御者が費用およびその他の保持条件について合意に達した場合は、制御者の法定保持期間を遵守する責任にかかわらず、処理者は個人データを30日以内に削除し、制御者に転送します。制御者への転送は、制御者の費用負担で行われます。
    4. 処理者は、コントローラの要求に応じて、前項の削除が行われたことを表明します。コントローラは、その削除が実際に行われたかどうかを自己の費用で検証することができます。この検証には、本契約の第10条が適用されます。処理者は、必要に応じて、個人データの処理に関わるすべてのサブプロセッサーに本契約の終了を通知し、本契約の規定に従って行動するように指示します。
    5. 当事者間で別段の合意がない限り、管理者自身が個人データのバックアップを行います。
  • データ対象者の権利 
    1. 制御者自身が個人データにアクセスできる場合は、個人データに関するデータ対象者のすべての要求に応じるものとします。処理者は、処理者が受け取った要求を直ちにコントローラに伝えるものとします。
    2. プロセッサーは、前項で意図したことが不可能な場合に限り、以下の目的のためにコントローラと十分かつ適切な時間内に協力します。
    3. データ対象者に対して、管理者からの承認後、および管理者の指示に基づき、それぞれの個人データへのアクセスを提供すること。
    4. 個人情報の削除や訂正を行うことができます。
    5. 個人データが誤っている場合、削除または修正されたことを示す(または、管理者が個人データが誤っていることに同意しない場合、データ対象者が自分の個人データが誤っていると考えていることを記録する)。
    6. 管理者または管理者が指定した第三者に、構造化された通常の機械読取可能な形式でそれぞれの個人データを提供し
    7. 管理者が、GDPRまたは個人データの処理に関するその他の適用法令に基づく義務を遵守できるようにすること。
    8. 前段落で言及された協力のための費用および要求は、当事者が共同で決定します。この点に関する合意がない場合、費用はコントローラが負担します。
  • 責任の所在
    1. 例えば、管理者は、処理操作の目的、個人データの使用および内容、第三者への提供、個人データの保存期間、処理方法およびそのために使用する手段について責任を負います。
    2. プロセッサーは、主契約に定められたとおり、コントローラーに対して責任を負います。 検証
      1. 管理者は、毎年1回、自らの費用で本契約の規定の遵守状況を確認するか、独立した登録監査人または登録情報専門家に確認してもらうことができます。
      2. 処理者は、GDPR第28条の義務が遵守されていることを証明するために必要なすべての情報をコントローラに提供するものとします。処理者は、コントローラに従事する第三者がGDPRの侵害に該当する指示を行った場合、その旨をコントローラに直ちに通知します。
      3. 制御者の調査は、常に処理業務に使用されている処理者のシステムに限定されます。検証中に得られた情報は、コントローラによって機密に取り扱われ、処理者が本契約の義務を遵守しているかどうかを検証するためにのみ使用され、情報またはその一部は可能な限り速やかに削除されます。制御者は、従事する第三者がこれらの義務を負うことを保証します。
    3. その他の規定
      1. 本契約の修正は、当事者が書面で合意した場合のみ有効です。
      2. 両当事者は、改正または補足された規制、関連当局の補足的な指示、GDPRの適用に関する知見の増加(例えば、判例や報告書など)、標準的な規定の導入、および/またはそのような調整を必要とするその他の事象や知見に応じて、本契約を調整するものとします。
      3. 本契約は、本契約が有効である限りにおいて有効です。本契約の規定は、本契約の決済に必要な範囲で、また、本契約の終了後も存続することを意味する範囲で、効力を有します。最後のカテゴリーの規定には、秘密保持および紛争に関する規定が含まれますが、これに限定されるものではありません。
      4. 本契約は、コントローラとプロセッサ間の他のすべての契約に優先します。
      5. 本契約はオランダ法にのみ準拠します。
      6. 当事者は、本契約に関連する紛争をアムステルダム地方裁判所に排他的に提出します。

付録1

個人データの処理操作と保存期間

この付属書は、処理契約の一部を構成し、当事者がイニシャルを記入する必要があります。

  • 当事者が処理することを想定している個人データ。
    • 名前
    • メールアドレス
    • DMARCフォレンジックデータの本文データ(RUF、DMARC非準拠メール)
  • 個人データの使用(=処理方法)、および処理の目的と資源。
    • PowerDMARCは、受信したDMARCレポートを処理します。DMARCの仕様では、2種類のレポートがあります。
      • アグリゲートレポート
        これらのレポートには、特定のIPアドレスに対して毎日送信されるお客様のドメインのメッセージ数に関するデータが含まれており、これらのメッセージに対するSPFおよびDKIMチェックの結果も含まれています。集計レポートには個人情報は含まれません。
      • フォレンジックレポート
        フォレンジック・レポートは、限られた数のDMARCレポート送信者によって送信されます。これらは、DMARCチェックに失敗した特定のメッセージのコピーです。これらのメッセージの内容は、個人を特定できる情報(PII)を含む可能性があります。PowerDMARC はこれらのメッセージを保存するいくつかの方法を提供します:

        • デフォルトです。デフォルトでは、メッセージの本文は削除され、ヘッダーのみが保存されます。
        • 暗号化されています。クライアントは、PowerDMARCソフトウェアに公開PGPキーをアップロードすることができます。受信するメッセージは、この鍵を使って暗号化されます。クライアントは自分の秘密鍵とパスワードを使ってデータを復号化することができます。
        • 非暗号化。PowerDMARCをデータ処理者として具体的に確認・承諾した後、クライアントは、メッセージ本文を暗号化せずにPowerDMARCソフトウェアに保存することができます。

様々な種類の)個人データの使用条件と保存期間。

  • ライセンス基本無料版を除くすべてのライセンス
  • データの保存期間365日