最終改訂日:2023年5月11日
日本語版と英語版の間に矛盾が生じた場合、英語版が優先されるものとします。
「お客様」は、「Cognite」の特定のSaaS(ソフトウェア・アズ・ア・サービス)製品(以下、「サブスクリプションアイテム」という。)をご購入になり、及び/又は「プロフェッショナル・サービス」をご発注いただいております。そこで、以下において、「お客様」のことを「データ管理者」と表現し、「Cognite」のことを「データ処理者」と表現させて頂く場合があります。
本「データ処理契約」は、「サブスクリプションアイテム」の購入、及び/又は「プロフェッショナル・サービス」の「Cognite」による提供に関して、「データ管理者」と「データ処理者」の間で締結された「MSA」、「EULA」、「PSA」、及び/又はその他の契約(以下、「契約」という。)の一部分を構成するものとなります。また、本「データ処理契約」に明確に定義されていない括弧付きの用語は、各「契約」に規定された意味を有するものといたします。本「データ処理契約」において、下記の用語の定義等は次の通りとする。
「データ管理者」は、「GDPR」における「管理者」に該当する;
「データ処理者」は、「GDPR」における「処理者」に該当する;
「お客様」とは、「Cognite」による「プロフェッショナル・サービス」の履行又は「サブスクリプションアイテム」の購入に関して、そこで指定された「Cognite」の事業体と契約を締結した者を指す;
「データ処理契約」又は「DPA」は、「データ管理者」に代わって「個人データ」を処理することに関する事項を規定する本契約を意味する;
「GDPR」とは、「個人データの取扱いと関連する自然人の保護に関する、及び、そのデータの自由な移転に関する、並びに、指令95/46/ECを廃止する欧州議会及び理事会の2016年4月27日の規則(EU) 2016/679」を意味する;
「個人データ」とは、「GDPR」第4条(1)において規定された意味を有する;
「個人データ侵害」とは、「GDPR」第4条(12)において規定された意味を有する;
「処理」又は「処理すること」とは、「GDPR」第4条(2)において規定された意味を有する(動詞、名詞、形容詞等品詞による変化形を含む);
「再委託先」とは、「データ処理者」の依頼により、これに代わって「処理」業務を行う第三者を意味する。
「データ処理者」による「サブスクリプションアイテム」及び「プロフェッショナル・サービス」の履行には、「データ管理者」に代わって「個人データ」を「処理」することを含む場合がある。
「GDPR」第28条3項に従い、「データ処理者」の義務は本「データ処理契約」に規定されるものとする。
「お客様」が、リセラー又はその他の者との間で、「Cognite」の「サブスクリプションアイテム」又は「プロフェッショナル・サービス」の提供を受けることを内容とする契約を締結した場合、本「データ処理契約」において、当該リセラー又はその他の者は「データ処理者」となり、「Cognite」は「再委託先」となるものとし、「お客様」はその旨了承したものとする。その場合、「データ処理契約」は、リセラーを「データ処理者」、「Cognite」を「再委託先」に該当するものと読み替えて適用されるものとする。
1. データ処理の範囲
本「データ処理契約」は、「データ処理者」が「データ管理者」に代わって「個人データ」を「処理」すること、及びそれについての法的制限を定めるものである。本「データ処理契約」に規定された制限及び義務は、「GDPR」を含む適用法令によって課される制限及び義務に付加されるものである。
「データ処理者」による「サブスクリプションアイテム」及び「プロフェッショナル・サービス」の提供には、「データ管理者」の従業員、コンサルタント、顧客、クライアントの氏名、マイナンバー、住所、Eメールアドレス、IPアドレス、生年月日、電話番号、請求書情報、税金情報、及び銀行口座情報等の個人情報を「処理」する場合がある。
さらに、本「データ処理契約」は、「データ管理者」及びその従業員等の「Cogniteアカデミー」の使用についても規制するものである。「データ処理者」は、「データ管理者」から要求された場合、「Cogniteアカデミー」を使用する「データ管理者」の従業員等に関する情報を「データ管理者」と共有することがある。
「データ処理者」が、課金、アカウント管理、データ分析、ベンチマーキング、技術サポート、製品開発、及び法律の遵守などの「データ処理者」自身の事業目的のために、「サブスクリプションアイテム」の運用、サポート、又は使用に関連する個人データを「処理」できることを、「データ管理者」は承認するものとする。「データ処理者」は、かかる「処理」については「データ管理者」となり、データ保護に関する法規に従ってデータを「処理」するものとする。
2. 「データ管理者」の義務
「データ管理者」は、「個人データ」の「処理」が適用法令の下で許容され、適合していることを保証する。
3. 「データ処理者」の義務
「データ処理者」は、本「データ処理契約」に定められた義務、及び「GDPR」第28条(3)(a)の定めに従い、「データ管理者」からの文書による指示に従って、「データ管理者」を代理して「個人データ」を「処理」するものとする。
「データ処理者」が「データ管理者」を代理して「処理」する「個人データ」は、それがいかなる形式のものであれ、「データ管理者」の書面の承諾なく、第三者に開示又は譲渡されることがあってはならない。「データ処理者」が「データ管理者」を代理して「処理」する「個人データ」は、「データ管理者」の書面の承諾なくして、第三国に輸出されてはならない。
「データ処理者」は、「GDPR」第32条に従って、以下に規定するものを含む、計画的かつ体系的な処置により、「個人データ」の「処理」に関連した機密性、整合性及びアクセシビリティに関して、十分なデータのセキュリティを確保するものとする。
• 本「データ処理契約」に関する「個人データ」の「処理」に使用されるITシステムその他のシステム、並びに当該システム間のコネクションが、十分な情報セキュリティを確保した方法で構成されていること;
• 「個人データ」の「処理」に使用されるストレージ媒体、データ媒体、及び/又はデータ装置が、破壊、及び権限のない者のアクセスから保護されていること;
• 「データ処理者」が「データ管理者」を代理して「個人データ」を「処理」する上で使用する手段・方法に、破壊的、及び/又は悪意を持ったソフトウェア、及び/又はハッキングに対する防御措置が施されていること;
• 本「データ処理契約」に従って「処理」される「個人データ」が、「データ処理者」自身の情報、第三者の情報、及び/又はその他の情報から分離して保存されていること;及び、
• アクセス権のない者が、本「データ処理契約」に基づき「データ処理者」にアクセス権を付与された「個人データ」が保管、保存若しくは「処理」されている設備、ファイル、又はシステムに対し、アクセスすることができないこと。
「データ処理者」は、計画的かつ体系的な処置によって十分な情報セキュリティを確保するものとし、定期的に(少なくとも年に一度)、本「データ処理契約」及び「契約」に従って「個人データ」を「処理」するために使用されているシステムのセキュリティ検査を行うものとする。
「データ処理者」は、本「データ処理契約」に基づく義務の履行に関連する「個人データ」、システム、及び手順が適切なレベルの情報セキュリティを有していることを示す記録を保持し、「データ管理者」から要請があった場合は当該記録を提供するものとする。当該記録保持の一環として、「データ処理者」は、技術的・組織的なセキュリティ対策に加えて、そのデータ処理システムの使用権限を個人に付与する手順を文書に記録するものとする。当該文書は、「データ管理者」、及び/又はノルウェーデータ保護局が要請した場合、それらがアクセスできる形式で保存することを要するものとする。「データ処理者」は、「データ管理者」(若しくは「データ管理者」が任命した適切な能力を有する者)及び/又はノルウェーデータ保護局に対し、当該文書、及び、要請があった場合にはその設備、に対する監査並びに現地視察を認めるものとする。「データ管理者」は、本契約の期間中、1年に1回、当該監査及び現地視察を行うことができるものとする(疑義を避けるために付言すると、重大な欠陥が認識された場合には、「データ管理者」は、当該欠陥が是正されたことを「データ管理者」が十分に確認するために必要な程度まで、追加で当該監査及び/又は現地視察を行うことができる。)。
情報システムの不正使用及び不正使用未遂の記録は、最低3ヶ月間保存することを要する。また、セキュリティレベルに対して重要な影響を及ぼすあらゆる記録及び出来事についても同様とする。
システム及び/又はデータセキュリティ対策が、「データ処理者」の法令及び契約上の義務の履行として不十分である場合、「データ処理者」は、当該欠陥を発見した際(又は「データ管理者」、ノルウェーデータ保護局若しくはその他の権限ある者によって当該欠陥について通知された際)、合理的に実行可能な限り速やかに、また、いかなる場合においても、「個人データ」のセキュリティ及び整合性に対する危険のレベルを考慮した合理的な期間内に、システム又は手順に必要な変更を加えることを要する。
「データ処理者」は、規定された手順に違反した情報システムの使用、あるいは「個人データ侵害」が発生した場合、直ちに「データ管理者」に通知することを要する。また、「データ管理者」は、「GDPR」第33条に従ってノルウェーデータ保護局に通知すべきか否か判断するものとする。
「データ処理者」は、「データ処理者」に求められる「処理」の内容及び利用している情報の性質を考慮の上、「データ管理者」が「GDPR」第32条から第36条に基づく義務を履行できるよう「データ管理者」を支援するものとする。
「データ処理者」は、「データ管理者」が「GDPR」第3章に定められたデータ主体の権利行使として行われる要請に対応する義務を完遂するための適切な技術的・組織的手段を講じることができるよう、「データ管理者」を支援するものとする。
4.「個人データ」のへのアクセス及び削除
「データ処理者」は、「データ管理者」から要求をうけた場合には、「データ処理契約」の期間中いつでも、すべての「個人データ」を、整理され、一般的に使用され、機械で読み取り可能なフォーマットで「データ管理者」に提供するべく商業的に合理的な努力を払うものとする。
「サブスクリプションアイテム」の購入期間満了又は終了、もしくは「プロフェッショナル・サービス」の完了の際、及び「データ管理者」から要求をうけた場合、「データ処理者」は、適用法により「データ処理者」が当該「個人データ」を保持する必要がある範囲を除き、コンピュータ又はその他のデバイスに保存され、その他「Cognite」が所有又は管理する「個人データ」のコピーをすべて削除又は破棄するものとする。
「データ管理者」は、当該「個人データ」を削除する手順を定めるものとし、 「データ処理者」は当該手順に従い削除を実行するものとする。 「データ処理者」は、通常の業務の過程で削除されるまで、バックアップ、アーカイブ及び災害復旧システムにおいて「個人データ」を保持することができる。ただし、保持された「個人データ」は、「お客様」と「Cognite」との間の「契約」及び本「DPA」に基づく機密性及びセキュリティに関する必要条件に引き続き従うものとする。
「データ処理者」は、書面による要求に応じて、以下のいずれかを記載した確認書を「データ管理者」に対して発行するものとする:(a)すべての「個人データ」が返却され、 「データ処理者」がいかなる形態の「個人データ」のコピー、トランスクリプト等も保持していないこと;、又は(b) 「データ処理者」が適用法により個人データのコピーを保持する必要がある場合には、保持すべき「個人データ」及び関連する適用法。
5. 契約終了
本「データ処理契約」は、「データ処理者」が、「契約」に基づいて「データ管理者」を代理して「個人データ」を「処理」する限り、有効に存続するものとする。
6.秘密保持
「データ処理者」は、「データ管理者」から受領した「個人データ」を秘密として保持することを要する。この守秘義務は、本「データ処理契約」の終了後も存続するものとする。そのため、「データ処理者」は以下の事項を遵守することを要する:
「個人データ」の開示、及びアクセス許可の対象を、本「データ処理契約」に基づく「個人データ」の「処理」のために必要な人員に限定すること;
上記の人員が、「個人データ」の開示を受け、あるいはアクセスする前に、当該データが秘密として取り扱われなくてはならないことを確認し、また、同人員が、本「データ処理契約」に定められた「個人データ」の使用及び開示について規制を受ける義務と同等の義務(但し、いかなる場合においても、本「データ処理契約」の規定と同等以上の義務とする。)を負うこと;
上記の人員に対し、本「データ処理契約」の目的達成以外の目的で「個人データ」を使用してはならないこと、及び「データ管理者」からの事前の書面による同意を得ずに「個人データ」を第三者に開示してはならない旨指導すること;及び
上記の人員がこれらの義務を遵守するよう、最善の努力を尽くすこと。
7.再委託先
「再委託先」を起用することによって、「個人データ」がEU/EEA域外に移転することとなる場合、「データ処理者」は、当該移転が「GDPR」第5章の定めを遵守するものであることにつき責任を負う。
本条に基づく再委託には、「データ処理者」の日常業務の遂行のために第三者に依頼する付随的サービス(通信サービス、メンテナンス、ユーザーサポート、監査、媒体処分など)は含まれない。
「Cognite」の全「再委託先」のリストは次のリンクに掲載のとおり(https://www.cognite.com/en/legal/cognite-sub-processors)。
8. EU/EEA域外の「再委託先」
「データ処理者」が「個人データ」をEU/EEA域外の「再委託先」に移転する場合、「データ処理者」はその移転が「GDPR」第5章に準拠していることを確認する責任を負うものとする。「個人データ」がEU/EEA域内で保持又は保管される場合でも、データにアクセスできる人員がEU/EEA域外に所在する場合には同様の責任を負うものとする。
「両当事者」は、本「データ処理契約」に署名することにより、標準契約条項に関する欧州委員会の2021年6月4日実施決定により採択され改訂された標準契約条項(以下、「SCC」という。)に、署名したものとみなすことに同意するものとする。「データ管理者」及び「データ処理者」は、「SCC」第9条(a)において、以下のオプション条項を選択し、以下に記載されていないオプション条項を除外することに同意した:
第9条:「再委託先」の起用;
条項9(a) - MODULE TWOにおいて:「データ管理者」から「データ処理者」に転送する場合、OPTION 2を選択;
条項 9(a) - MODULE THREEにおいて:「データ処理者」から「データ管理者」に転送する場合、OPTION 2を選択
「SCC」のこれらの条項に関する詳細な情報は、付属書1に規定する。
付属書1- 個人データの処理に関する情報
「データ処理者」が行うサービス
「プロフェッショナル・サービス」(「コンサルタントサービス」を含む)、「サブスクリプションアイテム」及び該当する場合には「Cogniteアカデミー」の提供。
データ処理の目的及び性質
「プロフェッショナル・サービス」、及び/又は「CDF」及び「Cogniteアプリケーション」、及び該当する場合には「Cogniteアカデミー」へのアクセスを提供する行為における「個人データ」の「処理」。
「個人データ」のカテゴリー
「データ管理者」によって「CDF」に移転された「個人データ」。
「データ処理者」が「プロフェッショナル・サービス」を提供できるようにするために「データ管理者」によってアクセス可能にされた「個人データ」。
Cognite Technology(ログデータ、IPアドレス、通信内容など)の使用に関連する「個人データ」。
連絡先、名前、電子メールアドレス、役職。
追加的に、「データ管理者」従業員の「Cogniteアカデミー」の使用、受講完了状況及びグレードに関する情報を処理する場合があります。
データ主体のカテゴリー
「データ管理者」の従業員及びコンサルタント
データの保持期間
別段の合意がない限り、本契約の期間中。
データ移転の頻度(例:データが単発で移転されるか、継続的に移転されるか)
「個人データ」は継続的に移転。
管轄の監督官庁の指定
Datainspektionen(スウェーデン)及びDatatilsynet(ノルウェー)
