tencent cloud

フィードバック

データプライバシーとセキュリティ契約

最終更新日:2024-12-17 17:15:04
    本データプライバシーとセキュリティに関する補遺(「DPSA」)と利用規約(DPSA を除き、参照することにより組み込まれる文書またはポリシー)(「本契約」)との間に矛盾がある場合は、本 DPSA が優先されます。

    定義

    特に明記しない限り、以下の条件は以下に記載されている意味を有します。本 DPSA で使用されているが、以下に定義されていない英語版の大文字の用語は、本契約においてそれらに帰属する意味を有するものとします。
    管理情報」とは、組織のアカウントと Tencent Cloud が提供するサービスを設定および管理するために、組織が Tencent Cloud に提供する個人情報、および Tencent Cloud が提供するサービスの組織による使用に関連して発生する個人情報を指します。 「コンテンツ」は、組織が Tencent Cloud が提供するサービスを使用して送信、アップロード、送信または表示する個人情報を含むあらゆるデータを指します。 「管理者」とは、個人データの収集、保有、処理または使用を、単独で、または 1 人以上の他の人物と共同で管理する人(該当する場合、CCPA で定義されるところの「事業者」を含む)を指します。 「管理者・処理者間移転条項」とは、2010 年 2 月 5 日の欧州委員会決定 (C(2010)593) に規定された標準契約条項(管理者から処理者へ)のことで、下記の(2) 管理者・処理者間移転条項に記載されています。 「データ侵害」とは、契約に関連して Tencent によって処理される個人データの悪用、干渉、損失、不正アクセス、改変または開示を指します。 「データ保護法」とは、個人データの収集、保存、処理、移転、開示、および使用に関して適用されるデータ保護法であり、当該状況において個人または活動に適宜適用されるものをいい、米国プライバシー法、指令、e-プライバシー指令および GDPR を含みます。 「データ主体」とは、(1) GDPR で定義されている「データ主体」、(2) CCPA で定義されている「消費者」、または (3) 個人データの主体であるその他の個人を意味します。 「指令」とは、個人データの処理に関する個人の保護および当該データの自由な移動に関する 1995 年 10 月 24 日の欧州議会および欧州理事会の指令 95/46/EC を意味します。 「e-プライバシー指令」とは、電子通信分野における個人データの処理およびプライバシーの保護に関する 2002 年 7 月 12 日付欧州議会および理事会の指令 2002/58/EC を指します。「EEA」とは、欧州経済領域を指します。 「EU 個人データ」とは、EEA に所在するデータ主体の個人データを指します。 「GDPR」とは、 個人データの処理に関する自然人の保護およびかかるデータの自由な移動に関する 2016 年 4 月 27 日の欧州議会および理事会の規則 2016/679 を指します。 「法域特定要件」とは、特定の法域で適用される個人データの処理に関する特定の要件をいい、下記の<b>(1) 法域特定要件</b>に記載されています。 「組織」とは、本利用規約に同意した事業体を指します。本 DPSA(添付書類を含む)の目的上、「組織」という表現は、組織を代表して行動していない個人との契約の場合、その個人を指すものとみなします。 「個人データ」とは、データ保護法で定義されている「個人データ」および「個人情報」を含む、Tencent がサービスを提供するために本契約に基づいて処理する、識別されたまたは識別可能な自然人に関連するあらゆる情報を指します。 「処理」とは、収集、使用、保管、開示を含む個人データに対する操作または一連の操作を行うこと、または関連するデータ保護法で定義されていることを指します。 「処理者」とは、1つ以上の管理者に代わって個人データを処理する者(該当する場合、CCPA で定義されるところの「サービスプロバイダー」または「契約受託先」を含む)を指します。 「復処理者」とは、第 7.4 項に従って Tencent に代わって個人データを処理するために Tencent が随時任命した Tencent の関連企業または第三者をいいます。 「監督官庁」とは、データ保護法に関して管轄法域を有する規制当局を指します。 「Tencent Cloud」とは、利用規約に明記されている通り、組織にサービスを提供する事業体を指します。 「Tencent Cloud ポータル」とは、Tencent Cloud への登録処理の完了時に組織がアクセスできる顧客ポータルを指します。 「Tencent Cloud プライバシーポリシー」とは、Tencent が更新し、随時組織に通知されるプライバシーポリシーを指します。 「Tencent セキュリティポリシー」とは、不正または偶発的なアクセス、処理、消去、損失または使用から個人データを保護するために、Tencent が随時決定する合理的かつ適切な技術的および組織的措置を指します。このような措置には、管理者・処理者間移転条項(該当する場合)に記載されている措置が含まれます。 「利用規約」とは、「利用規約」に記載されている条件を指します。 「第三国」とは、欧州経済領域(EEA)のデータ保護法の範囲外にあるすべての国を指し、欧州委員会が個人データを適切に保護していると随時承認している国を除き、本契約の締結日現在、アンドラ、アルゼンチン、カナダ、フェロー諸島、ガーンジー、マン島、イスラエル、ジャージー、ニュージーランド、スイス、ウルグアイが含まれます。 「米国プライバシー法」とは、カリフォルニア州プライバシー権法により改正されたカリフォルニア州消費者プライバシー法(「CCPA」)、コロラド州プライバシー法、コネチカット州データプライバシー法、ユタ州消費者プライバシー法、およびヴァージニア州消費者データ保護法を指します。

    契約の範囲

    本補遺は、Tencent Cloud によるサービスの提供のために利用規約を締結した場合に適用されます。本補遺は、コンテンツである個人データの処理に適用されます。管理情報である個人データは、Tencent Cloud プライバシーポリシーに従って処理され、本補遺は管理情報の処理には適用されません。

    個人データの処理の承認

    1. 両当事者は、本契約に基づく義務の履行において、Tencent Cloud の提供の一環として、組織によるコンテンツの保管、アクセス、および処理に関連して個人データを処理することができることを承認するものとます。本 DPSA の目的は、当該処理に関連して当事者のそれぞれの義務を定めることにあります。
    2. 各当事者は、個人データに関連して適用されるすべてのデータ保護法を遵守することを相手の当事者に保証するものとします。

    管理者と処理者

    Tencent と組織は、個人データに関して、組織が管理者であり、Tencent が処理者であることを承認するものとします。

    サービス地域

    1. 第 5.2 項に従い、組織が契約に基づいてサービス地域を選択した場合、Tencent はそのサービス地域でのみ個人データを処理します。
    2. 組織は、Tencent が運営上、規制上、またはその他の理由により、処理場所を適宜変更する必要があることを認め、同意します。ただし、組織が希望するサービス地域以外の場所での個人データの処理は、本契約に基づいて対処される「重大な変更」とみなされます。
    3. 組織は、利用規約に記載されている Tencent 契約事業体が、個人データを含むお客様のデータを保管または管理する事業体ではない場合があり、当該データが選択されたサービス地域で保管および処理される可能性があることを認め、同意します。組織が、アカウント関連情報など、サービス地域の選択を必要としない情報を提供する場合、Tencent はそのような情報を処理し、任意の場所に保存することができます。

    Tencent の義務

    1. 組織に代わって個人データを処理する範囲で、Tencent は次のことを行います。
    a. 組織の書面による指示(組織の管理コンソールを通じて提供される指示には、本 DPSA の条件が含まれます)、および Tencent セキュリティポリシーに従い、サービスの提供という限定かつ特定の目的のためにのみ個人データを処理し、本 DPSA またはその条件のいずれかを遵守できない場合は、組織に速やかに通知する。 b. 適用法令により禁止されている場合を除き、保有するすべての個人データ(すべてのバックアップ写しを含む)を返却するか、または(組織からの書面による要請に応じて)安全に破棄する。 c. 以下の事項を知った場合、速やかに組織に通知する。
    裁判所の命令、その他の法的手続き、または監督官庁、規制当局、政府またはその他の政府省庁、当局、または代理人による個人データの取得またはアクセスの要請、または要求。
    データ侵害。
    データ保護法に基づく Tencent の義務に関する重大な苦情、連絡、または要求。
    個人データに関連して組織から受け取った指示で、Tencent の裁量により、該当する法域のデータ保護法を含む適用法に違反する可能性があるもの。
    d. 個人データが Tencent に従事する正当な権限を有する者のみにアクセス可能であり、第 8 項に従い、その復処理者および正当な権限を有し、本契約に基づく Tencent の義務を履行するために個人データにアクセスする必要がある当該復処理者の人員のみにアクセス可能であることを保証する。 e. 個人データの処理に従事し、正当な権限を与えられた人員が、守秘義務を負うことを確約しているか、または守秘義務を負う適切な法的義務を負っていることを確認し、処理の性質を考慮して、本 DPSA および組織の指示に基づくデータ保護のための同じ義務が、かかる人員によって遵守されることを確認する。 f. 適用される法域特定要件を遵守する。 g. 関連法域の法律で要求されている場合は以下を行う。
    組織がその義務を果たすために合理的な支援を行う目的で、実行可能な範囲で適切な技術的および組織的なセキュリティ対策を実施する。これには、適切かつ関連法域で適用されるものが含まれます。(i) 個人データの仮名化または非特定化、(ii) 処理システムおよびサービスの継続的な機密性、完全性、可用性および回復力の確保、(iii) 物理的または技術的な事故が発生した場合に、個人データの可用性およびアクセスを適時に回復すること、(iv) 処理のセキュリティを確保するための技術的および組織的な措置の有効性を定期的にテスト、評価、および評価すること。
    処理の性質を考慮して、データ保護法に定められたデータ主体の権利を行使する要請に応じる組織の義務を果たすために、実行可能な限り、適切な技術的および組織的な手段によって組織を支援する。
    組織が以下の義務を確実に遵守することを支援する。(i) 適切な技術的および組織的なセキュリティ対策を実施すること、(ii) 監督官庁、関連するデータ主体、および当該データ保護法の下で必要とされるその他の者に対して、(必要に応じて)データ違反を通知すること、および (iii) データ保護の影響評価を行い、必要に応じて監督官庁と事前に協議すること。
    本 DPSA の下で、または本 DPSA に関連して Tencent が処理した個人データへの不適切、無許可、または違法なアクセス、使用、または開示に気付いた場合、速やかに書面で組織に通知する。Tencent は、データ保護法に基づく組織の義務の遵守に合理的に必要なすべての情報を組織に提供する義務があります。
    2. Tencent は、組織の指示がデータ保護法を侵害していると判断した場合、組織に通知するものとします。

    組織の義務

    1. 組織は、契約期間を通じて以下を表し、保証し、Tencent に引き受けるものとします。
    a. 個人データは、データ保護法に従って収集され、今後も収集される。 b. 組織から Tencent へのすべての指示は、データ保護法を遵守する。 c. 個人データの Tencent への移転、(Tencent が当該個人データに関してデータ処理者として機能する範囲で)組織の指示に従って Tencent が行う個人データの処理、または(Tencent が当該個人データに関してデータ管理者として機能する範囲で)Tencent が行う個人データの受領および使用、および本 DPSA に定める個人データの処理および使用は、関連するデータ主体(法律で要求されている場合)の同意を得ており、その他データ保護法で許可されており、それに従って行われる。
    2. 組織は、本条項の違反から直接または間接的に発生した Tencent が被ったすべての請求、負債、費用、経費、損失または損害(結果的損失、損益および評判の損失、およびすべての利息、罰則および法的およびその他の専門的費用および経費を含む)に対して、オンデマンドで無害な Tencent を補償し、保持することに同意します。
    3. Tencent は、本 DPSA に基づいて処理された個人データに関するデータ保護法の違反に起因または関連する実際または潜在的な請求に直面している場合、組織は、そのような主張の防御に関連する Tencent が合理的に要請したすべての資料および情報を速やかに提供します。
    4. 組織は、本契約に関する実際のデータ侵害または疑わしいデータ侵害を組織が認識した場合、以下の条件を持つものとします。
    a. データ保護法の下でデータ違反が通知可能かどうかを判断するために、30 日以内に評価を実施する合理的な手順を取り、評価の結果を速やかに Tencent に書面で通知する。 b. 組織が Tencent に対し、データ保護法に基づくデータ違反が通知可能であると考える旨を通知した場合は以下を行う。
    組織は、データ保護法で要求されるデータ違反に関する通知文(「通知声明」)の草案を作成し、適用されるデータ保護規制当局、データ主体またはその他の者に開示する前に、通知文の草案を Tencent に提供して承認を得る。
    Tencent は、以下の書面による通知を組織に行う。
    Tencent が通知声明の草案に合理的に必要とする変更。組織はそのような変更をすべて通知声明の草案に組み込む。
    または Tencent が通知声明の草案を承認する。
    Tencent が通知声明の草案を承認した後、組織は承認された通知声明の写しを、データ保護法の下で必要とされる、該当するデータ保護規制当局、データ主体、およびその他の者に提供しなければならない。
    また、関連会社および各担当者が、Tencent の書面による事前の同意なしに、疑わしいまたは実際のデータ違反に関するいかなる公の声明または開示も行わないことを保証しなければならない。

    復処理者の任命

    1. Tencent は、データ保護法で要求される場合(およびその範囲で)、Tencent が本 DPSA に含まれる条件と実質的に同じ条件を含む復処理者との書面による契約を締結する場合に限り、任意の復処理者に Tencent に代わって個人データを処理する権限を与えることができます。組織はここに、本第 8 項の要件に従い、Tencent Cloud の第三者に掲載されている当該復処理者を従事させる一般的な書面による権限を Tencent に付与するものとします。
    2. Tencent は、個人データの処理に当該通知を必要とするデータ保護法が適用される場合、電子メールで(および Tencent Cloud ポータルを通じて)組織に、復処理者の追加または交換に関する意図的な変更を通知するものとします。このような場合、組織は、通知を受領した日から 14 日間以内に、変更を承認または拒否することができます。組織からの応答がない場合、復処理者は受け入れられたとみなされます。組織が交代用の復処理者を拒否した場合、Tencent は組織への書面による通知により、直ちに本契約を終了することができます。
    3. Tencent が組織のために特定の処理活動を行うために復処理者を雇った場合、その復処理者がデータ保護の義務を果たせなかった場合、Tencent は、データ保護法に基づいて組織に対してその復処理者の義務の履行について全面的に責任を負います。

    モジュール

    以下のモジュールは、お客様が特定の機能を使用する場合に適用され、参照することにより本 DPSA に組み込まれます(各関連モジュールで定義されています)。
    35.eKYC.
    47.OCR.

    法域特定の要件

    ヨーロッパ
    1. Tencent は、Tencent が管理者・処理者間移転条項に定められたデータ輸入者の義務を遵守する場合を除き、EU の個人データを第三国で処理しないことに同意します。
    2. 管理者・処理者間移転条項と本 DPSA の他の部分との間に矛盾がある場合は、EU の個人データに関しては管理者・処理者間移転条項が優先されます。
    3. 管理者・処理者間移転条項については、以下の追加条項が適用されます。
    a. 当事者は、管理者・処理者間移転条項を変更することなく遵守することに同意する。 b. 組織と Tencent の名称および住所は、管理者・処理者間移転条項に組み込まれているとみなされ、管理者・処理者間移転条項の目的のために、組織と Tencent の名前と住所は、管理者・処理者間移転条項に組み込まれているとみなされる。 c. 管理者・処理者間移転条項で定義されているように、組織がデータの輸出者であり、Tencent または Tencent の該当する関連会社がデータの輸入者となる。 d. 本 DPSA への各当事者の署名は、管理者・処理者間移転条項に含まれる条件への署名とみなされる。
    4. 法域の法律または規制手続きによって要請される場合、当事者は、管理者・処理者間移転条項に含まれる条項を、必要とされる方法で、提案された個人データの移転を示す別の文書として実行または再実行します。
    韓国
    1. Tencent セキュリティポリシーが韓国のプライバシー法および規制に基づく適用要件を満たすには不十分である場合、Tencent は、次のような要件(個人データの海外移転に適用される場合)に準拠するために随時追加措置を講じます。
    a. 情報通信ネットワーク利用促進及び情報保護法第 28 条及び第 63 条(「<b>ICT ネットワーク法</b>」)。 b. ICT ネットワーク法に基づき公布された執行法令第 15 条および第 67 条。 c. 個人情報保護に関する技術的および管理的措置に関するガイドライン(韓国通信委員会が発行)。 d. 個人情報保護法第 29 条(「<b>PIPA</b>」)。 e. PIPA に基づき公布された執行法令第 30 条。 f. 個人情報の安全対策に関するガイドライン(内務省発行)。前述の内容は時折修正および/または補足されることがあります。
    2. Tencent は次を行います。
    a. 個人データは、委託された作業の目的および範囲内でのみ使用する。 b. Tencent の個人データの取り扱いについて、組織による研修および監督を受けることに同意する。 c. 関係する規制当局による監督および監査の対象となることに同意する。
    3. Tencent は、本 DPSA に基づく、または適用法に基づく Tencent の義務の違反に起因する、あらゆる損害、負債、費用、経費を組織および関連するデータ主体に補償します。
    米国プライバシー法
    1. 適用される米国プライバシー法により必要とされる範囲内で、合理的な書面による要求または通知があった場合、次のとおりとします。
    a. 組織は、Tencent が適用される米国プライバシー法に基づく組織の義務に準拠する方法で個人データを使用することを保証するため、合理的かつ適切な措置を講じることができます。 b. Tencent が適用される米国プライバシー法に違反して個人データを使用していると組織が合理的に判断する範囲において、組織は、当該不正使用を停止し、是正するために合理的かつ適切な措置を講じることができます。 c. Tencent は、Tencent が米国プライバシー法に基づく義務を遵守していることを証明するために必要なTencent が保有する情報を組織に提供するものとします。 d. Tencent は、組織の費用負担で、かつ、評価の範囲について両者が合意した後に限り、組織または組織の指定する監査人が、Tencent による適用される米国プライバシー法に基づく義務の遵守に関する合理的な年次評価を実施することを認め、これに協力するものとします。代わりに、Tencent は、有資格の独立した監査人に、当該評価のために適切かつ認められた管理基準または枠組みおよび評価手順を用いて、Tencent のポリシーおよび適用される米国プライバシー法の義務を支援する技術的および組織的措置の評価を実施するよう手配することもできます。Tencent は、合理的な要求に応じて、当該評価の報告書を組織に提供するものとします。
    2. 両当事者は、処理の文脈を考慮し、リスクに対し適切なセキュリティレベルを提供するよう設計された適切な技術的および組織的措置を実施し、当該措置を実施するための両当事者間の責任の明確な配分を確立するものとします。適用される米国プライバシー法により必要とされる範囲において、Tencent は、当該法により必要とされるのと同レベルのプライバシー保護を提供するものとします。
    3. Tencent は、次のことを禁止されます。
    a. 個人データの販売および共有。 b. サービスを提供するための特定の目的以外の目的での個人データの保持、使用または開示。 c. Tencent と組織との間の直接的な事業関係以外での個人データの保持、使用または開示。 d. 組織から、または組織のために受領した個人データを、個人データに関連する個人とのTencent の個別のやり取りから、またはその他の情報源から収集され得る個人データと組み合わせること(ただし、米国プライバシー法により認められる範囲を除く)。この米国プライバシー法の項において、「販売」、「共有」およびその他の類似の用語は、米国プライバシー法においてこれらの用語に与えられた意味を有するものとします。
    マカオ
    1. Tencent が処理者および復処理者に任命されたこと、および本契約で許可されている場合(およびその範囲内で)は、組織が現地のデータ保護事務所(GPDP - Gabinete para a Protecção de Dados Pessoais)に通知するものとします。
    2. Tencent は、上記の第 1 条に基づく通知を含む、関連するマカオのデータ保護法に基づく指示に従う証拠を組織に合理的に要請する権利を有するものとします。
    3. 組織は、マカオデータ保護 法第 7 条(第 8/2005 条)で定義されている機密データの処理の場合は、書面で Tencent に明示的に通知し、当該データの処理についてマカオデータ保護法に規定されている特定の要件を確実に遵守するものとします。

    管理者・処理者間移転条項

    適切なレベルのデータ保護を確保していない第三国で確立された処理者への個人データの移転に関する指令 95/46/EC 第 26 条 (2) の目的のために:
    データを輸出する組織の名称:これは、本契約を締結した組織、または本契約が組織の代理ではない個人と締結された場合は、その個人です。
    (「データ輸出者」)
    および
    データを輸入する組織の名称:利用規約の 1.2 項に記載された契約事業体。
    (「データ輸入者」)
    各「当事者」、合わせて「当事者たち」、
    以上は、データ輸出者がデータ輸入者に付録 1 に記載された個人データを移転する際に、個人のプライバシーおよび基本的な権利と自由の保護に関して適切な保護措置を講じるために、以下の契約条項(以下「本条項」)に合意しました。

    定義

    本条項の目的において以下の通りです。 a.「個人データ」、「特別なカテゴリーのデータ」、「プロセス/処理」、「管理者」、「処理者」、「データ主体」および「監督官庁」は、個人データの処理に関する個人の保護および当該データの自由な移動に関する 1995 年 10 月 24 日の欧州議会および欧州理事会の指令 95/46/EC と同じ意味を持つものとします。 b.「データ輸出者」とは、個人データを移転する管理者を指します。 c.「データ輸入者」とは、データ輸出者の指示および本条項の条件に従い、移転後に自分のために処理することを意図した個人データをデータ輸出者から受け取ることに同意する処理者であり、指令 95/46/EC の第 25 条 (1) 項の意味における適切な保護を確保する第三国の制度の対象ではない者を指します。 d.「復処理者」とは、データ輸入者またはデータ輸入者の他の復処理者が従事する処理者であって、データ輸入者またはデータ輸入者の他の復処理者から、指示、本条項および書面による下請契約の条件に従って、移転後にデータ輸出者のために実施される処理活動を専ら目的とする個人データを受け取ることに同意する者を指します。 e.「適用されるデータ保護法」とは、データ輸出者が設立されている加盟国のデータ管理者に適用される、個人データの処理に関する個人の基本的権利および自由、特に個人のプライバシー権を保護する法律を指します。 f.「技術的および組織的セキュリティ措置」とは、特に処理がネットワークを介したデータの送信を伴う場合、偶発的または不法な破壊、偶発的な損失、改ざん、不正な開示またはアクセスから個人データを保護することを目的とした措置、およびその他すべての不法な処理形態から個人データを保護することを意味します。

    移転の詳細

    移転の詳細、特に特別なカテゴリーの個人データが適用される場合は、本条項の一部を構成する付録 1 に明記されています。

    第三者受益者条項

    1. データ主体は、本条項、 第 4 条 (b) から第 4 条 (i)、第 5 条 (a) から第 5 条 (e) および第 5 条 (g) から第 5 条 (j)、第 6 条の第 1 項および第 6 条の第 2 項、第 7 条、第 8 条の第 2 項および第 9 条から第 12 条を第三者受給者としてデータ輸出者に対して行使することができる。
    2. データ主体は、本条項、第 5 条 (a) から第 5 条 (e) および第 5 条 (g)、第 6 条、第 7 条、第 8 条の第 2 項および第 9 条から第 12 条までの規定をデータ輸入者に対して行使することができる。ただし、データ輸入者が事実上消滅したか、法律上存在しなくなった場合は、後継事業体が契約または法律の運用によりデータ輸出者の法的義務をすべて引き受け、その結果、データ輸出者の権利および義務を引き継いだ場合は、データ主体は当該事業体に対して権利を行使することができる。
    3. データ主体は、本条項、第 5 条 (a) から第 5 条 (e) および第 5 条 (g)、第 6 条、第 7 条、第 8 条の第 2 項および第 9 条から第 12 条までの規定を復処理者に対して行使することができる。ただし、データ輸出者およびデータ輸入者の双方が事実上消滅したか、法律上存在しなくなったか、または破産した場合は、後継事業体が契約または法律の運用によりデータ輸出者の法的義務をすべて引き受け、その結果、データ輸出者の権利および義務を引き継いだ場合は、データ主体は当該事業体に対して権利を行使することができる。復処理者のこのような第三者の責任は、本条項に基づく自己の処理業務に限定されます。
    4. データ主体が明示的に希望し、かつ国内法で認められている場合、当事者はデータ主体が団体またはその他の組織によって代表されることに異議を唱えない。

    データ輸出者の義務

    データ輸出者は以下に同意し、保証します。
    a. 個人データの移転自体を含む処理が、適用されるデータ保護法の関連規定に従って継続して実施されること。(かつ、該当する場合は、データ輸出者が設立されている加盟国の関係当局に通知されていること)、および当該国の関連規定に違反していないこと。 b. 個人データ処理サービスの指示を受け、その期間を通じて、データ輸入者は、データ輸出者に代わって、適用されるデータ保護法および条項に従って移転された個人データを処理するよう指示すること。 c. データ輸入者は、本契約の付録 2 に記載されている技術的および組織的なセキュリティ対策に関して、十分な保証を提供すること。 d. 適用されるデータ保護法の要件を評価した上で、個人データを偶発的または違法な破壊、偶発的な損失、改ざん、不正な開示またはアクセスから保護するために適切なセキュリティ対策が講じられていること、特に処理がネットワークを介したデータの送信を伴う場合には、その他のあらゆる違法な形態の処理から保護されていること、およびこれらの対策が、処理によってもたらされるリスクおよび保護されるべきデータの性質に適切なセキュリティレベルを確保していることであり、その実施のための技術的な状況およびコストを考慮していること。 e.セキュリティ対策の遵守を保証すること。 f. 移転に特別なカテゴリのデータが含まれる場合、データ主体は、指令 95/46/EC の意味で十分な保護を提供していない第三国にそのデータが伝送される可能性があることを、移転の前または移転後に可能な限り速やかに知らされていること。 g. データ輸出者が移転の継続または停止の解除を決定した場合に、データ輸入者または第 5 条 (b) および第 8.3 条に従った復処理者から受け取った通知を、データ保護監督官庁に移転すること。 h. データ主体の要請に応じて、本条項(付録 2 を除く)およびセキュリティ対策の概要説明の写し、ならびに本条項に従って作成されなければならない復処理者のサービス契約書の写しを提供すること。ただし、本条項または契約書に商業情報が含まれている場合は、かかる商業情報を削除することができる。 i. 復処理においては、処理活動が第 11 条に従って、個人データおよびデータ主体の権利に対して少なくとも条項に基づくデータ輸入者と同レベルの保護を提供する復処理者によって実施されること。 j. 第 4 条 (a) から第 4 条 (i) までの遵守を保証すること。

    データ輸入者の義務

    データ輸入者は以下に同意し、保証します。
    a. 個人データは、データ輸出者に代わってのみ、その指示および条項に従って処理すること。何らかの理由でそのようなコンプライアンスを提供できない場合、データ輸出者に迅速に対応できないことを通知することに同意し、その場合、データ輸出者は、データの移転を中断または契約を終了する権利を有する。 b. 自分に適用される法律が、データ輸出者から受け取った指示および契約に基づく自分の義務を果たすことを妨げると考える理由がないこと、また、この法律が変更され、本条項によって提供される保証および義務に実質的な悪影響を及ぼす可能性がある場合には、気付き次第、速やかにデータ輸出者にその変更を通知すること、その場合、データ輸出者はデータの移転を中断および/または契約を解除する権利を有すること。 c. 移転された個人データを処理する前に、付録 2 に明記された技術的および組織的なセキュリティ対策を実施していること。 d. データ輸出者に対して、次の情報を速やかに通知する。
    法執行機関による個人データの開示を求める法的拘束力のある要請。ただし、法執行機関による調査の機密性を保持するために刑法で禁止されている場合など、別段禁止されている場合は除く。
    偶発的または不正なアクセス。
    データ主体から直接受け取ったあらゆる要請。別段許可されていない限り、その要請に応えることなく。
    e. 移転の対象となる個人データの処理に関するデータ輸出者からのすべての問い合わせに迅速かつ適切に対応し、移転されたデータの処理に関して監督官庁の助言に従うこと。 f. データ輸出者の要請により、そのデータ処理施設を、データ輸出者またはデータ輸出者が選択した、守秘義務を負う独立したメンバーで構成された検査機関(該当する場合、監督官庁と合意の上)が実施する、本条項の対象範囲である処理活動の監査のために提出すること。 g. データ主体の要請に応じて、本条項または復処理に関する既存の契約書の写しを提供すること。ただし、本条項または契約書に商業情報が含まれている場合は、データ主体がデータ輸出者から写しを入手できない場合には、セキュリティ対策の概要を記載した付録2を除いて、かかる商業情報を削除することができる。 h. 復処理を行う際には、事前にデータ輸出者に通知し、書面による事前同意を得ていること。 i. 復処理者による処理サービスは、第 11 条に従って行われること。 j. 本条項に基づいて締結した復処理者契約の写しをデータ輸出者に速やかに送付すること。

    責任

    1. 当事者は、いずれかの当事者または復処理者による第 3 項または第 11 項に記載された義務の違反により損害を被ったデータ主体が、データ輸出者から被った損害の補償を受ける権利を有することに同意します。
    2. データ主体が、データ輸入者またはその復処理者による第 3 条または第 11 条で言及された義務の違反に起因して、データ輸出者に対して第 6.1 条に基づく補償請求を行うことができない場合、データ輸入者は、データ輸出者が事実上消滅したか、法律上存在しなくなったか、または支払不能になった場合に、データ主体がデータ輸出者であるかのようにデータ輸入者に対して請求できることに同意するものとします。ただし、後継事業体が契約によりデータ輸出者の法的義務をすべて引き継ぎ、法律の運用によりデータ主体が当該事業体に対して権利を行使できる場合はこの限りではありません。データ輸入者は、自らの責任を回避するために、復処理者の義務違反に依拠することはできません。
    3. データ主体が、第 6.1 条および第 6.2 条で言及されたデータ輸出者またはデータ輸入者に対して、データ輸出者およびデータ輸入者の両方が事実上消滅したか、法律上存在しなくなったか、または支払不能になったために、第 3 条または第 11 条で言及された義務に対する復処理者の違反に起因する請求を行うことができない場合、復処理者は、データ主体が、本条項に基づく自己の処理業務に関して、データ輸出者またはデータ輸入者であるかのように、データ復処理者に対して請求できることに同意します。ただし、後継事業体が契約または法律の運用によりデータ輸出者またはデータ輸入者の法的義務をすべて引き受けた場合はこの限りではなく、その場合、データ主体は当該事業体に対して権利を行使することができます。復処理者の責任は、本条項に基づく自らの処理業務に限定されます。

    調停と法域

    1. データ輸入者は、データ主体が第三者の受益権を行使した場合、および/または本条項に基づいて損害賠償を請求した場合、以下の通りにデータ主体の決定を受け入れることに同意するものとします。
    a. 独立した者、または該当する場合には監督官庁により、紛争を調停に付託すること。
    b. データ輸出者が設立された加盟国の裁判所に紛争を付託すること。
    2. 当事者は、データ主体が行った選択が、国内法または国際法の他の規定に従って救済策を求める実質的または手続き上の権利を損なわないことに同意するものとします。

    監督官庁との協力

    1. データ輸出者は、要請があった場合、または適用されるデータ保護法の下でそのような寄託が要請された場合、本契約の写しを監督官庁に寄託することに同意するものとします。
    2. 当事者は、監督官庁がデータ輸入者およびあらゆる復処理者に対して監査を行う権利を有することに同意するものとします。この監査は、適用されるデータ保護法に基づくデータ輸出者の監査に適用されるのと同じ範囲および同じ条件で行われるものとします。
    3. データ輸入者は、データ輸出者に適用される法律または第 8.2 条に基づくデータ輸入者または復処理者の監査の実施を妨げる法令の存在について、速やかにデータ輸出者に通知するものとします。このような場合、データ輸出者は第 5 条 (b) に規定された措置を講じる権利を有します。

    準拠法

    本条項は、データ輸出者が設立された加盟国の法律に準拠します。

    契約の変更

    当事者は、本条項を変更または修正しないことを約束します。これは、当事者が本条項と矛盾しない限り、必要に応じてビジネス関連の問題に関する条項を追加することを妨げるものではありません。

    復処理

    1. データ輸入者は、データ輸出者の書面による事前同意なしに、本条項に基づきデータ輸出者のために行われる処理業務を外注しないものとします。データ輸入者がデータ輸出者の同意を得て本条項に基づく義務を外注する場合、データ輸入者は、本条項に基づいてデータ輸入者に課される義務と同じ義務を復処理者に課す、復処理者との書面による契約によってのみ行うものとします。復処理者が当該書面による合意に基づくデータ保護義務を履行しない場合、データ輸入者は、当該合意に基づく復処理者の義務の履行について、データ輸出者に対して全面的に責任を負うものとします。
    2. データ対象者が、データ輸出者またはデータ輸入者が事実上消滅したか、法律上存在しなくなったか、支払不能になったために、第 6.1 条に記載されている補償請求をデータ輸出者またはデータ輸入者に対して行うことができず、契約または法律の運用によりデータ輸出者またはデータ輸入者の法的義務をすべて引き受ける後継事業体がいない場合、データ輸入者と復処理者との間の書面による事前契約では、第 3 条に記載されている第三者受益者条項も規定されています。復処理者のこのような第三者の責任は、本条項に基づく自己の処理業務に限定されます。
    3. 第 11.1 項に記載されている契約の復処理に関するデータ保護の側面に関する規定は、データ輸出者が設立された加盟国の法律に準拠します。
    4. データ輸出者は、条項に基づいて締結され、少なくとも年に 1 回更新される第 5 条 (j) に従ってデータ輸入者によって通知される復処理契約のリストを保持します。このリストは、データ輸出者のデータ保護監督官庁にも提供されます。

    個人データ処理サービス終了後の義務

    1. 両当事者は、データ処理サービスの提供が終了した場合、データ輸入者および復処理者が、データ輸出者の選択により、以下のことを行うことに同意します。移転されたすべての個人データおよびその写しをデータ輸出者に返却するか、またはすべての個人データを破棄し、データ輸出者にその旨を証明します。ただし、データ輸入者に課せられた法律により、移転された個人データの全部または一部を返却または破棄することができない場合を除きます。その場合、データ輸入者は、移転された個人データの機密性を保証し、移転された個人データを今後積極的に処理しないことを保証します。
    2. データ輸入者および復処理者は、データ輸出者および/または監督官庁の要請に応じて、第 12.1 項に記載されている対策の監査のためにデータ処理施設を提出することを保証します。

    付録 1

    移転の説明(管理者・処理者間)

    この付録は、条項の一部を構成し、当事者が記入し、署名する必要があります。
    加盟国は、自国の手続きに従って、本付録に含まれる必要な追加情報を記入または指定することができます。
    データ輸出者
    データ輸出者は、本契約で定義された組織、または本契約が組織の代理ではない個人と締結された場合は、その個人です。
    データ輸出者は、データ輸入者に対して、本契約に記載されたオンラインサービスの提供を依頼しています。
    データ輸入者
    データ輸入者は、本契約で定義されている通り、インターネット付加価値サービスのリーディングプロバイダーである Tencent です。データ輸入者は、データ輸出者から、本契約に記載された特定のオンラインサービスの提供を請け負っています。
    データのカテゴリー
    移転された個人データは、次のカテゴリーのデータに関するものです(具体的に記入してください)。
    データ輸出者がアップロードしたコンテンツ、またはデータ輸出者がデータ輸入者に随時通知したコンテンツ。
    特別なカテゴリーのデータ
    移転された個人データは、次の特別なカテゴリーのデータに関するものです(具体的に記入してください)。
    データ輸出者がアップロードしたコンテンツ、またはデータ輸出者がデータ輸入者に随時通知したコンテンツ。
    処理業務
    移転された個人データは、以下の基本的な処理活動の対象となります(具体的に記入してください)。
    データ輸入者は、データ輸出者が行う活動を支援するために個人データを処理します。特に、データ輸出者の指示の下、データ輸出者を代理して行われるデータ輸入者の処理活動には、データのホスティング、データのバックアップ、通信、データ分析、統計、分析、IT システム管理、注文の履行、サポートサービス、従業員管理サービス、注文支払いの処理、マーケティングコミュニケーション、プロモーション、調査の配信、オペレーション、ソフトウェアのメンテナンスおよびホスティング、デスクトップおよびネットワーク管理、システム監視、アプリケーションおよびプログラムの開発、アーカイブ、災害管理、データの復元などの情報技術サービスが含まれます。

    付録 2

    技術的および組織的なセキュリティ対策

    弊社は、お客様のコンテンツを保護する目的で、包括的なプライバシーとセキュリティプログラムを実施しています。このプログラムには、次の項目が含まれます。
    1. データセキュリティ。 弊社は、お客様のデータを不正アクセスから保護するために、以下の措置を設計し、実施しています。
    a. データのカテゴリー化と分類のための基準。 b. 物理、ネットワーク、システム、アプリケーションの各レベルでの一連の認証およびアクセス制御機能 。 c. ビッグデータに基づく異常行動を検知する仕組み。
    2. ネットワークセキュリティ。 弊社では、社内ネットワークの分離に関する厳格なルールを導入し、物理的・論理的に分離することで、社内ネットワーク(オフィスネットワーク、開発ネットワーク、テストネットワーク、生産ネットワークを含む)へのアクセス制御と境界保護を実施しています。
    3. 物理的および環境的なセキュリティ。 Tencent Cloud のデータセンターには、地域のセキュリティ要件に基づいて、厳格なインフラストラクチャと環境アクセス制御が実装されています。データセンターのスタッフのタイプとそれぞれのアクセス権限に基づいて、アクセス制御マトリックスを確立し、データセンターのスタッフによるアクセスと運用の効果的な管理と制御を確実に行っています。
    4. インシデント管理。 弊社は、アクティブでリアルタイムなサービス監視を行い、迅速な対応と処理の仕組みを組み合わせることで、セキュリティインシデントの迅速な検知と処理を可能にしています。
    5. 基準への準拠。 弊社は、コンプライアンスセンターのページに記載されている基準に、随時更新される通りに準拠しています。
    お問い合わせ

    カスタマーサービスをご提供できるため、ぜひお気軽にお問い合わせくださいませ。

    テクニカルサポート

    さらにサポートが必要な場合は、サポートチケットを送信して弊社サポートチームにお問い合わせください。24時間365日のサポートをご提供します。

    電話サポート(24 時間365日対応)