トップ → データ処理に関する補遺

データ処理に関する補遺

効力発生日：2021年9月27日

本データ処理補遺（以下「本補遺」といいます。）は、効力発生日時点でhttps://www.pagerduty.co.jp/service-terms-use/ で閲覧可能な、PagerDuty株式会社（以下「PagerDuty」といいます。）とお客様（お客様とは、あなたが代表する会社を意味します。）とで締結された、PagerDutyサービスの提供のための「Terms of Service」（以下「原契約」といいます。）に従い、その一部を構成するものです。本補遺はデータプライバシー法令の要請に従ったお客様個人データの処理に関する両当事者の合意内容を規定するものです。本補遺の条項がTerms of Service又は適用される本注文書と一致しない限りにおいて、本補遺は、お客様個人データの処理に関する事項につき優先します。原契約への言及は、本補遺への言及も含むものとして解釈されます。本補遺は、原契約の効力発生日（原契約が現バージョンの本補遺の公表前から効力を有する場合は、上記に記載の効力発生日（ただしお客様が原契約を締結済みの場合）。以下「本効力発生日」といいます。）に効力を発します。本補遺で定義されない用語は、原契約で定義された意味を有します。

本補遺の適用
お客様が本注文書又は原契約の当事者ではない場合、本補遺は有効でなく、かつ、法的拘束力を有しません。

データ処理条件

定義
本補遺で使用される各用語は、以下の意味を有します。以下で修正されていない限り、原契約の諸条件は引き続き効力を有します。
本補遺において、
1. 「お客様個人データ」とは、本個人データとなるお客様のデータを意味します。本補遺において、お客様個人データには、PagerDutyが直接ビジネス関係を有するお客様の従業員又はその他の代表者の個人情報は含まれません。
2. 「データプライバシー法」とは、プライバシー、データ保護、データセキュリティ、侵害通知又は本個人データの処理に関するあらゆる管轄地域における法律、規制及びその他法律上又は自主規制上の要請を意味します。これにはカリフォルニア州消費者プライバシー法（Cal. Civ. Code§1798.100 et seq.）（以下「CCPA」といいます。）、EU一般データ保護規則 2016/679（以下「GDPR」といいます。）、英国データ保護規則及び2018年データ保護法を含む、英国内での同等の要請（以下「英国データ保護法」といいます。）、データ保護に関するスイス連邦法（以下「FADP」といいます。）、及び日本の個人情報に関する法律が含まれます。疑義を避けるため、PagerDutyによる本個人データを含む処理活動がデータプライバシー法の範囲外の場合、当該法は本補遺に適用されません。
3. 「データ主体」とは、本個人データに関連して識別され又は識別され得る個人を意味します。
4. 「本個人データ」は、「個人データ」、「個人情報」、「個人識別情報」及びその他類似の用語並びに適用されるデータプライバシー法において定義されるこれらと同じ意味を持つ用語を含みます。
5. 「処理」とは、自動化された手段か否かを問わず、収集、記録、整理、構築、保存、翻案又は改変、復旧、参照、使用、送信による開示、拡散その他情報を利用可能、整理、通信、制限、消去又は破棄する手段といった、本個人データ又は本個人データの集合に対して実行されるあらゆる操作又は一連の操作を意味します。
6. データ主体の「同意」とは、データ主体が声明又は明確な肯定的行動によって、自らに関する個人データの処理に同意することを示す、自由な意思による、特定の情報を与えられたうえでの、かつ曖昧さのない意思表示を意味します。
7. 「セキュリティ侵害」とは、本個人データの偶発的又は違法な取得、破棄、損失、改ざん、不正開示、及び本個人データへの不正アクセスを意味します。
8. 「標準契約条項」（又は「SCC」）とは、文脈において以下のいずれか又は双方をいいます。
  1. お客様に英国データ保護法の適用がある場合の本個人データについては、欧州会議及び枢密院の指令95/46/ECに基づく、第三国にて設立された処理者への本個人データの移転のための標準契約条項に関する2010年2月5日欧州委員会決定（http://data.europa.eu/eli/dec/2010/87/2016-12-17）に従い公表された条項に定義される「2010年標準契約条項」、及び
  2. お客様にGDPRの適用がある場合の本個人データについては、欧州会議及び枢密院の規則（EU）2016/679に基づく第三国への本個人データの移転のための標準契約条項に関する2021年6月4日欧州委員会施行決定（EU）2021/914（http://data.europa.eu/eli/dec_impl/2021/914/oj）に従い公表された条項に定義される「2021年標準契約条項」。
処理の範囲及び目的
1. PagerDutyは、お客様個人データを、(1)本補遺を含む原契約に基づくお客様への義務の履行のために、(2)お客様に代わって、(3)データプライバシー法に従ってのみ、処理します。PagerDutyに適用されるデータプライバシー法において、原契約又は本補遺と異なる態様でのお客様個人データの処理が求められる場合、PagerDutyは法的要請の内容を処理の実行前にお客様に通知するものとします。ただし、データプライバシー法の意義における公共の利益の重要な理由に基づき、当該情報の提供が法律上禁止される場合はこの限りでありません。
2. 前項を制限することなく、お客様はPagerDutyに対し、随時お客様からPagerDutyに提供されるお客様の書面による指示にのみ従って、お客様個人データを処理させるものとし、PagerDutyはこれに同意するものとします。
3. PagerDutyは以下の各行為を行ないません。
  1. お客様個人データを販売し、その他お客様個人データを本補遺に定める特定の目的以外の目的で処理すること。疑義を避けるため、PagerDutyはお客様個人データを、お客様とPagerDutyの直接のビジネス関係の範囲外にて処理しないものとします。本号において「販売」とは、適用されるデータプライバシー法における意味を有します。
  2. お客様の明示的な書面による承認なく、お客様個人データと、本個人データでないその他のデータとをリンクし、その他関連付けを行うこと。
本個人データ処理要請
PagerDutyは、
1. お客様個人データの処理を許可した者が守秘義務を負い、又は適切な法律上の守秘義務の下にあることを保証します。
2. 処理の本質を考慮して、PagerDutyは、お客様が適用されるデータプライバシー法に基づくデータ主体（又はその適法な代理人）からの正当な要求（例えば本個人データへのアクセスや消去の権利）に応える義務を履行するため、適切な技術的又は組織的手段による支援を、可能な限り提供します。加えて、お客様が本サービスの利用において当該正当な要求に応える能力を備えていない限りで、PagerDutyは、お客様から書面による要求があった場合は、自ら又は関連する再委託先処理者をして、法的に認められた限りにおいて、かつ適用されるデータプライバシー法に基づき当該正当な要請に応える必要がある限りにおいて、お客様が当該要請に応える義務を履行するための支援を提供すべく、商業的に合理的な努力をするものとします。法的に許容される限りにおいて、お客様はPagerDutyによる当該支援の提供につき、追加的な機能の提供に関連する費用負担を含め、責任を負うものとします。
3. お客様に対し、速やかに、以下の事項を通知します。(i)第三者又はデータ主体による、お客様個人データの処理に関するクレーム、(ii)データプライバシー法に基づくデータ主体からの権利行使の要求、及び（iii）データプライバシー法で禁止されない限りで、政府又はデータ主体による、PagerDutyによるお客様に代わるお客様個人データの処理内容へのアクセス又はこれに関する情報の請求。PagerDutyは、お客様に対し、当該要求に関し、合理的な協力及び支援を提供するものとします。
4. データプライバシー法で要求される場合、お客様がお客様個人データの処理又は処理案に関するデータ保護影響評価を実施するために、お客様に対し合理的な支援及び協力を提供します。
再委託先処理者
1. PagerDutyの再委託先処理者　本効力発生日時点の本サービスにおける再委託先処理者のリストは、https://www.pagerduty.com/subprocessors/にて閲覧可能です。お客様は、PagerDutyが原契約上の義務の履行に関して、再委託先処理者による支援を利用することを指示し、承諾しました。お客様は、PagerDutyが、原契約に基づき提供される本サービスの提供又は維持のための支援を受けるため、第三者の再委託先処理者を採用することを承諾し同意します。PagerDutyは再委託先処理者の最新リストを維持するものとし、お客様は公開されているRSSフィードを購読することにより、公開されている再委託先処理者のリストの変更通知を受け取ることができるものとします。
2. 再委託先処理者の責任　PagerDutyは再委託先処理者の作為及び不作為について、仮にそれぞれの再委託先処理者によるサービス提供が本補遺に直接基づくものである場合にPagerDutyが負う責任と同程度に責任を負います。ただし、原契約に別段の定めがある場合を除きます。
3. PagerDutyがお客様に代わってヨーロッパ経済圏、英国又はスイスの居住者の本個人データを処理する場合、PagerDutyによる新たな再委託先処理者の使用に異議を唱える権利を行使するため、お客様は、PagerDutyが再委託先処理者の最新リストを公表してから10営業日以内に、速やかに書面にて通知しなければならないものとします。お客様による、本項に従った新たな再委託先処理者への異議が出された場合、そして当該異議が不合理でない場合、PagerDutyは、お客様に不合理な負担を課すことなく、異議が出された新たな再委託先処理者による本個人データの処理を避けるため、お客様が本サービスの変更を利用できるように、あるいはお客様による本サービスの構成又は使用に対する商業的に合理的な変更を推奨するように、合理的な努力をするものとします。PagerDutyが、30日を超えない合理的な期間内にいずれの変更も行えない場合、お客様は、PagerDutyに書面で通知することにより、異議が出された新たな再委託先処理者の使用なしにはPagerDutyが提供できない本サービスに関する限りで、適用される本注文書を解除することができます。
4. 再委託先処理者との契約の写し　両当事者は、標準契約条項（適用がある場合）に従いPagerDutyがお客様に送付すべき再委託先処理者との契約の写しにおいては、あらゆる取引情報、又は標準契約条項と無関係な条項もしくはそれらと同等の条項が事前にPagerDutyにより削除されている可能性があること、そして当該写しはお客様の合理的な要求があった場合にのみPagerDutyから提供されることに合意します。
セキュリティ措置
PagerDutyは、お客様個人データを保護するため、別紙 Bに定めるとおり、適切な管理的、技術的、物理的、組織的措置を実施するものとします。PagerDutyは、これらの措置が遵守されているかどうかを定期的に監視しています。PagerDutyは、お客様のサブスクリプション期間中、本サービスの全体的なセキュリティを大きく低下させることはありません。
セキュリティ侵害管理及び通知
PagerDutyは、セキュリティ事故管理の手順を維持し、適用されるデータプライバシー法で求められる限りにおいて、お客様に対し、PagerDutyが認識したPagerDuty又はその再委託先処理者よる現実に発生し又は合理的に疑われるセキュリティ侵害を速やかに通知します。お客様は、お客様とPagerDutyがその他の対応をとる場合を除き、セキュリティ侵害の影響を受けるデータ主体に対し通知する責任を負います。PagerDutyは当該セキュリティ侵害の原因を特定し回復するための、そして適用されるデータプライバシー法による他の要請がない限りPagerDutyによる発見及び完全な回復から72時間以内にお客様に通知するための、合理的努力をするものとします。当該通知は、以下の情報を含むものとします。(i)可能な限り、関連するデータ主体のカテゴリーとおおよその数、及び関連する顧客個人データの記録のカテゴリーとおおよその数を含む、セキュリティ侵害の性質、(ii)適切な場合には、起こり得る悪影響を軽減するための措置を含む、セキュリティ侵害に対処するためにPagerDutyが講じた、又は講じようとした措置。
お客様個人データの削除
PagerDutyは、お客様からの要望があった場合、原契約の制約のもと、原契約に定める手順及び期間に従って、お客様個人データを削除するものとします。両当事者は、標準契約条項に定める本個人データの削除証明が、お客様の要望があった場合にのみPagerDutyからお客様に提供されるものであることを合意します。
データ移転
1. PagerDutyは、国際移転が適用されるあらゆるデータプライバシー法に従っていることを保証します。PagerDutyが進行中のお客様個人データの移転に関与する場合、PagerDutyは、お客様個人データがある国から別の国に移転される前に、合法的なデータ移転の仕組みが構築されていることを保証します。
2. 法的に必要である限りにおいて、お客様及びPagerDutyは、本補遺の一部を構成する2021年標準契約条項に署名したものとみなされ、（8.2条(d)に規定される場合を除き）以下各号を完了したものとみなされます。
  1. 2021年標準契約条項のモジュール 2は（管理者としての）お客様から（処理者としての）PagerDutyへのお客様個人データの移転に適用され、2021年標準契約条項のモジュール 3は（処理者としての）お客様から（再委託先処理者としての）PagerDutyへのお客様個人データの移転に適用されます。
  2. モジュール 2及び3の第7項（オプショナルドッキング条項）は含まれません。
  3. モジュール 2及び3の第9項（再委託先処理者の使用）に基づき、両当事者はオプション2（一般的な書面による承諾）を選択します。当初の再委託先処理者のリストは本補遺の別紙 Cのとおりであり、PagerDutyは本補遺4.3条に従い、予定される追加又は交代の少なくとも10日前までに当該リストの更新を提案しなければなりません。
  4. モジュール 2及び3の第11項（救済）に基づき、データ主体が独立した紛争解決手段に苦情を申し立てることを認める任意の文言が含まれるとはみなされません。
  5. モジュール 2及び3の第17項（準拠法）に基づき、両当事者は、オプション1（第三者受益権を認めているEU加盟国の法律）を選択します。両当事者はアイルランド法を選択します。
  6. モジュール 2及び3の第18項（紛争解決機関及び管轄）に基づき、両当事者はアイルランドの裁判所を選択します。
  7. モジュール 2及び3の添付書類 I(A)及びI(B)（当事者リスト）は、本補遺の別紙 Aに記載のとおりとします。
  8. モジュール 2及び3の添付書類 I(C)（権限ある監督官庁）に基づき、両当事者は、第13項の当局特定のルールに従い、法的に許容される限りにおいて、アイルランドデータ保護委員会を選択します。
  9. モジュール 2及び3の添付書類 II（技術的及び組織的措置）は、本補遺の別紙 Bに記載のとおりとします。
  10. モジュール 2及び3の添付書類 III（再委託先処理者のリスト）は、意図的に含まれません。
3. 英国内に所在する個人の本個人データ、及びお客様が英国データ保護法の適用を受ける他の本個人データについて
  1. 英国データ保護法が要請する限りで、原契約への署名は2010年標準契約条項（附属書面を含む）への署名とみなされ、本補遺の一部となり、以下のとおり完成されます。
  2. 「輸出者」は、お客様とします。
  3. 「輸入者」は、PagerDutyとします。
  4. 2010年標準契約条項の第9項が、2010年標準契約条項の準拠法の特定を要求しているところ、両当事者は、英国法を選択します。
  5. 「任意」と記載されている「例示的補遺条項」は、2010年標準契約条項から削除されたものとみなします。
  6. 2010年標準契約条項の附属書面1及び2は、本補遺の別紙 A及びBに記載の情報によって、それぞれ完成したものとみなします。
  7. 英国データ保護法が変更され、2021年標準契約条項が依拠する特定の方法（例えば管轄内の法律、裁判所及び当局に言及する補遺など）又は別の形式の標準契約条項（又はそれと同等の契約）の使用のいずれかを要求するようになった場合、お客様は、その対象となる本個人データについて改正後の英国データ保護法の下で有効なアプローチを実施するため、本補遺を更新するものとします。
4. FADPに従った本個人データの移転について、本補遺の8.2条に定めるとおり2021年標準契約条項は本補遺の一部を構成しますが、FADPによる要請の限りで、以下の差異があります。
  1. 2021年標準契約条項におけるGDPRへの言及は、データ移転がFADPにのみ従い、GDPRの適用がない限りにおいて、FADPへの言及と解釈されます。
  2. 2021年標準契約条項における「加盟国」の用語は、スイスのデータ主体が、居住地（スイス）における権利のための、2021年標準契約条項の第18条(c)に基づく訴訟提起の可能性を除外するものとして解釈してはなりません。
  3. 2021年標準契約条項における個人データへの言及は、この広範囲を排除するFADPの改正が効力を発するまでの間、識別可能な法的主体に関するデータへの言及でもあります。
  4. 2021年標準契約条項の添付書類 I（C）（権限ある監督官庁）に基づき、
    1. 移転がFADPのみの適用を受け、GDPRの適用を受けない場合は、監督官庁はスイス連邦データ保護及び情報委員会とします。
    2. 移転がFADP及びGDPRの適用を受ける場合は、監督官庁は、移転がFADPに準拠する限りでスイス連邦データ保護及び情報委員会とし、移転がGDPRに準拠する限りで本補遺8.2条(h)に定める所とします。
  5. SCCが適用される限りにおいて、本補遺又は原契約のいずれの条項も、抵触するSCCの条項に優先するものと解釈してはなりません。いずれの当事者も、SCCを検討する機会が与えられたことを承認します。
5. 法改正　関連するデータ保護監督官庁が承認したSCCに基づくお客様個人データの移転又はその他の合法的データ移転の仕組みが、合法ではなくなった場合又は追加の保護措置が有効でなくなった場合、PagerDutyは、自らの裁量により、(a)お客様個人データの関連法域への移転又は関連法域からの当該お客様個人データへのアクセスを中止し、又は（b）お客様個人データの保護に関して適用されるデータプライバシー法に従い、本サービスからお客様が引き続き利益を享受できるよう、代替の合法的なデータ移転の仕組み及び代替の追加の保護措置の使用を促進するため、お客様に速やかに協力できるものとします。お客様及びPagerDutyが当該代替のデータ移転の仕組み又は代替の追加の保護措置を速やかに実施できない場合、お客様は、自らの選択により、PagerDutyに対し書面で通知することで、移転を中止し又はお客様個人データを除外するため本サービスの範囲を減縮することができます。
監査及び証明
両当事者は、標準契約条項に定められる監査が、以下の要件に従って実施されるものであることを合意します。お客様の要求がある場合、そして原契約に定める秘密保持義務に従い、PagerDutyはお客様（又はPagerDutyの競合ではなくかつPagerDutyが合理的に受け入れ可能な秘密保持契約に署名したお客様の独立した第三者監査人）に対し、PagerDutyの本補遺に定める義務の履行に関する情報及び再委託先処理者に関する情報（当該情報が一般的に顧客に利用可能である範囲に限ります）を利用させるものとします。PagerDutyからお客様へのセキュリティ侵害の通知に続いて、お客様がPagerDutyに本補遺に基づく本個人データの保護に関し義務違反があったと合理的に信じた場合、又は当該監査がお客様の監督官庁により要求された場合、お客様は、本個人データの保護に関しPagerDutyの手順の現地監査を要求するため、原契約に定める通知手順に従いPagerDutyに連絡をとることができます。ただし、適用されるデータプライバシー法で要求される範囲に限ります。当該要求は年1回に限ります。お客様は、当該現地監査に費やした時間を、PagerDutyがその時々で定めるプロフェッショナルサービスレートで計算し、支払うものとします。プロフェッショナルサービスレートは、お客様が要求した場合は入手可能です。当該現地監査の開始前に、お客様及びPagerDutyは、お客様が支払うべき償還レートに加え、監査の範囲、タイミング及び期間について合意するものとします。全ての償還レートは合理的であり、PagerDutyが費やすリソースを考慮したものでなければなりません。お客様は、監査の過程で発見された不遵守に関する情報を速やかにPagerDutyに通知するものとし、PagerDutyは確認された不遵守に対処するため、商業的に合理的な努力をするものとします。
責任制限
原契約又は本補遺のいかなる規定にもかかわらず、各当事者及びその関連会社の本補遺、本注文書又は原契約から生じる責任は、契約責任、不法行為その他いかなる法的理論であるかにかかわらず、合計で、原契約の「責任制限」条項に従うものとし、当該条項における当事者の責任とは、原契約及び附属書面を含めた本補遺に基づく当事者及びその全ての関係会社の責任の合計を意味するものとします。
優先順位
本補遺は原契約に統合されその一部となります。本補遺に規定のない事項については、原契約が適用されます。お客様個人データの処理に関する当事者の権利及び義務については本補遺が優先するものとし、本補遺がPagerDutyサービスにおけるお客様個人データの処理に関して従前から当事者間で締結されているデータ処理補遺、附属、別紙、又は標準契約条項（該当する場合）に優先しこれに取って代わるものとします。
期間及び解除、処理期間
原契約の期間満了又は解除にかかわらず、本補遺及び標準契約条項（該当する場合）は、本補遺の規定に従い全てのお客様個人データが削除されるまで有効に存続し、当該削除をもって自動的に終了するものとします。
言語
本補遺は、日本語で作成及び締結されており、すべての点において日本語が適用されるものとします。

別紙A

添付書類I

当事者リスト
モジュール２：管理者から処理者への移転
モジュール３：処理者から処理者への移転

データ輸出者
データ輸出者は、基となる取引契約に従い輸入者のサービスを利用する者です。データ輸出者は、自らの個人データについては、管理者として行動します。取引契約で許諾されている限り、輸出者は第三者に代わって処理者として契約済みサービスを使用することが許されます。

データ輸入者
データ輸入者は、基となる取引契約に従い輸出者にサービスを提供する者です。データ輸入者は、輸出者の処理者として行動します。

移転に関する記述
モジュール２：管理者から処理者への移転
モジュール３：処理者から処理者への移転

個人データが移転されるデータ主体のカテゴリー：移転される個人データは、欧州経済領域、英国及びスイスに居住するデータ主体に関係するものです。

移転される個人データのカテゴリー：移転される個人データは、以下のデータカテゴリーに属するものです（特定してください）：データ輸出者は自らの裁量で決定し管理する範囲において、個人データをベンダーに移転することができます。これには以下のカテゴリーに属する個人データが含まれますが、これらに限られません。

氏名
連絡情報（電話番号及びEメールアドレス）
所属企業、肩書き
ログイン認証

機密性の高いデータの移転（該当する場合）、及びデータの性質と関連するリスクを十分に考慮して適用される制限又は保護措置（厳格な目的制限、アクセス制限（専門訓練を受けたスタッフのみのアクセスを含みます）、データへのアクセス記録の保持、移転制限又は追加のセキュリティ措置など）：移転される個人データは、以下の特別カテゴリーに関するものです：該当無し。

移転の頻度（例：一回限り又は継続的にデータ移転されるなど）：継続的

処理の性質：ベンダーの処理活動は、基となる当事者間の原契約及び本補遺の規定に限定されます。

データ移転及び追加処理の目的：データ輸入者による個人データの移転及び追加処理の目的は、ベンダーのサービスへのアクセス及び使用です。

個人データを保有する期間、又はそれが不可能な場合はその期間を決定するために使用される基準：データは原契約に基づきお客様に本サービスを提供するために必要な期間、及び/又は適用される法的要請に従って、保持されます。

（再委託先）処理者への移転については、処理の対象、性質及び期間も明記する：当該情報が本サービスを提供する目的で再委託先処理者に提供される限りにおいて、上記と同様です。

権限ある監督官庁
モジュール２：管理者から処理者への移転
モジュール３：処理者から処理者への移転
本補遺第8.2条(h)を参照

添付書類II -データのセキュリティを確保するための技術的及び組織的措置を含む、技術的及び組織的措置
モジュール２：管理者から処理者への移転
モジュール３：処理者から処理者への移転

注釈：
技術的及び組織的措置は、（一般的ではなく）具体的な用語で記載されなければなりません。附属の最初のページの一般的なコメント、特にどの措置がどの移転/一連の移転に適用されるかを明確に示す必要性についても参照してください。

データ処理の性質、範囲、文脈及び目的、並びに自然人の権利及び自由に対するリスクを考慮した、適切なレベルのセキュリティを確保するためにデータ輸入者が実施する技術的及び組織的措置（関連する証明も含む）の説明。
ベンダーは、本補遺の別紙 Bに従うものとします。

（再委託先）処理者への移転については、管理者に支援を提供できるようにするために、そして処理者から再委託先処理者への移転についてはデータ輸出者に支援を提供できるようにするために、（再委託先）処理者が講じる特定の技術的及び組織的措置を記載します。

ベンダーは、再委託先処理者に対し、管理者及び/又はデータ輸出者に支援を提供するために、別紙 Bに記載されているものと同等以上の適切な技術的及び組織的措置を講じるよう、要求するものとします。

別紙B

この附属書類はSCCの一部を構成し、当事者により完成されます。

SCC（又は添付文書/法令）に従いデータ輸入者が実施した技術的及び組織的なセキュリティ措置の説明：

PagerDutyデータセキュリティポリシー（https://www.pagerduty.com/data-security-policyで閲覧可能）がPagerDuty, Incが実施した技術的及び組織的なセキュリティ措置を説明しています。

別紙C

現時点における再委託先処理者

本効力発生日時点における本サービスのための再委託先処理者のリストは、https://www.pagerduty.com/subprocessors/にて閲覧可能です。