データ保護追加規定

How does CHEQ help secure client’s information?

1. SCOPE

The entity using the CHEQ Services under the Terms of Services available at [https://www.cheq.ai/Terms_and_Conditions] ("Customer") and CHEQ AI Technologies Ltd. (the "Service Provider"), are parties to the Agreement, as defined below, to which this Data Protection Addendum applies.
If Service Provider processes personal data, or if Service Provider has access to personal data in the course of its performance under the Agreement, Service Provider shall comply with the terms and conditions of this Data Protection Addendum ("Data Protection Addendum "). By signing this Data Protection Addendum, Service Provider shall qualify as the Data Processor and Service Provider, as such terms are defined under Data Protection Laws. All capitalized terms not defined herein shall have the meaning set forth in the Agreement.

2. DEFINITIONS

All capitalized terms not defined in this Data Protection Addendum have the meanings set forth in the Agreement.t.
"Agreement" means the Terms of Service, as well as any order Form or other purchasing document between Customer and the Service Provider which involves Service Provider having access to or otherwise processing personal data; "Approved Jurisdiction" means a member state of the European Economic Area ("EEA"), or other jurisdiction as may be approved as having adequate legal protections for data by the European Commission currently found here: http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm. "Breach Incident" means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, personal data transmitted, stored or otherwise processed;
"Data Protection Laws" means any and/or all applicable domestic and foreign laws, rules, directives and regulations, on any local, provincial, state or deferral or national level, pertaining to data privacy, data security and/or the protection of personal data, including the California Consumer Privacy Act of 2018 ("CCPA"), Data Protection Directive 95/46/EC and the Privacy and Electronic Communications Directive 2002/58/EC (and respective local implementing laws) concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications), including any amendments or replacements to them, including the Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data ("GDPR").
The terms "personal data", "process", "processing" and "Special Categories of Data" herein shall have the meaning ascribed to them in applicable Data Protection Laws.

3. DATA PROTECTION AND PRIVACY

If Service Provider has access to or otherwise processes personal data, then Service Provider shall:
only process the personal data in accordance with Customer's documented instructions and on its behalf, and in accordance with the Agreement and this Data Protection Addendum; take reasonable steps to ensure the reliability of its staff and any other person acting under its supervision who may come into contact with, or otherwise have access to and process, personal data; ensure persons authorized to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality; and ensure that such personnel are aware of their responsibilities under this Data Protection Addendum and any Data Protection Laws (or Service Provider’s own written binding policies are at least as restrictive as this Data Protection Addendum);
assist Customer as needed to cooperate with and respond to requests from supervisor authorities, data subjects, customers, or others to provide information (including details of the services provided by Service Provider) related to Service Provider’s processing of personal data; notify the Customer without undue delay, and no later than forty eight (48) hours, after becoming aware of a Breach Incident;
provide full, reasonable cooperation and assistance to Customer in: a) allowing data subjects to exercise their rights under the Data Protection Laws, b) including (without limitation) the right of access, right to rectification, restriction of processing, erasure (“right to be forgotten”), data portability, object to the processing, or the right not to be subject to an automated individual decision making, or do not sell my data; c) ensuring compliance with any notification obligations of personal data breach to the supervisory authority and communication obligations to data subjects, as required under Data Protection Laws;
Ensuring compliance with its obligation to carry out data protection impact assessments with respect to the processing of personal data, and with its prior consultation with the supervisory authority obligation (as applicable).
only process or use personal data on its systems or facilities to the extent necessary to perform its obligations under the Agreement;
as required under Data Protection Laws, maintain accurate written records of any and all the Processing activities of any personal data carried out under the Agreement (including the categories of Processing carried out and, where applicable, the transfers of personal data), and shall make such records available to the applicable supervisory authority on request;
make all reasonable efforts to ensure that personal data are accurate and up to date at all times while in its custody or under its control, to the extent Service Provider has the ability to do so; not lease, sell (including as defined in the CCPA) or otherwise distribute personal data;
promptly notify Customer of any investigation, litigation, arbitrated matter or other dispute relating to Service Provider’s information security or privacy practices as it relates to the processing of personal data; promptly notify Customer in writing and provide Customer an opportunity to intervene in any judicial or administrative process if Service Provider is required by law, court order, warrant, subpoena, or other legal or judicial process to disclose any personal data to any person other than Customer; upon termination of the Agreement, or upon Customer's written request at any time during the term of the Agreement, Service Provider shall cease to process any personal data received from Customer, and within a reasonable period will at the request of Customer: (1) return the personal data; or 2) securely and completely destroy or erase all personal data in its possession or control (including any copies thereof), unless and solely to the extent the foregoing conflicts with any applicable laws. At Customer’s request, Service Provider shall certify to Customer that it has fully complied with this clause.

4. SUBCONTRACTING

Service Provider may subcontract its obligations under this Data Protection Addendum to another person or entity ("Contractor(s)"), provided that Service Provider shall inform the Customer of any intended changes concerning the addition/replacement of other processors at least 30 days prior to such change, and the Customer may notify Service Provider that it objects to such change and terminate the Agreement by written notice to the Customer. Service Provider will execute a written agreement with such approved Contractor containing equivalent terms to this Data Protection Addendum. Service Provider shall have a written security policy that provides guidance to its Contractors to ensure the security, confidentiality and integrity of personal data and systems maintained or processed by Service Provider. Customer may require Service Provider to provide Customer with full details of the proposed Contractor’s involvement including but not limited to the identity of the Contractor, its data security record, the location of its processing facilities and a description of the access to personal data proposed. Service Provider shall be responsible for the acts or omissions of Contractors to the same extent it is responsible for its own actions or omissions under this Data Protection Addendum.

5. THE TRANSFER OF PERSONAL DATA

If the Service Provider is required to transfer personal data to a third country or an international organization under applicable laws, it shall inform the Customer of that legal requirement before processing; If, subject to Customer’s prior consent, Service Provider processes personal data from the EEA in a jurisdiction that is not an Approved Jurisdiction, Service Provider shall ensure that it has a legally approved mechanism in place to allow for the international data transfer. If Service Provider intends to rely on Standard Contractual Clauses, the following additional terms will apply to Service Provider and Service Provider’s Service Providers and/or affiliates (where subcontracting or performance is allowed by the Agreement): The Standard Contractual Clauses will apply. If such Standard Contractual Clauses are superseded by new or modified Standard Contractual Clauses, the new or modified Standard Contractual Clauses shall be deemed to be incorporated into this Data Protection Addendum. Service Provider will abide by the obligations set forth under the Standard Contractual Clauses for data importer and/or sub-processor as the case may be. If Service Provider subcontracts any processing of personal data (as allowed by the Agreement and Applicable Law), it will: a) Notify and obtain Customer’s advance written permission before proceeding; and b) Ensure that it has a legally approved mechanism in place to allow for the international data transfer, or that Contractors have entered into the Standard Contractual Clauses with Service Provider.

6. SECURITY STANDARDS

Service Provider shall implement and maintain commercially reasonable and appropriate physical, technical and organizational security measures to protect personal data against accidental or unlawful destruction; accidental loss, alteration, unauthorized disclosure or access to personal data transmitted, stored or otherwise processed; all other unlawful forms of processing; including (as appropriate): (i) the pseudonymisation and encryption of personal data; (ii) the ability to ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services; (iii) the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident; and (iv) a process for regularly testing, assessing and evaluating the effectiveness of technical and organizational measures for ensuring the security of the processing to the extent that Service Provider processes Special Categories of Data, the security measures referred to in this Data Protection Addendum shall also include, at a minimum (i) routine risk assessments of Service Provider’s information security program, (ii) regular testing and monitoring to measure and confirm the effectiveness of the information security program’s key controls, systems, and procedures, and (iii) encryption of Special Categories of Data while “at rest” and during transmission (whether sent by e-mail, fax, or otherwise), and storage (including when stored on mobile devices, such as a portable computer, flash drive, PDA, or cellular telephone).

7. GENERAL

If any of the Data Protection Laws are superseded by new or modified Data Protection Laws (including any decisions or interpretations by a relevant court or governmental authority relating thereto), the new or modified Data Protection Laws shall be deemed to be incorporated into this Data Protection Addendum, and Service Provider will promptly begin complying with such Data Protection Laws. Any ambiguity in this Data Protection Addendum shall be resolved to permit Customer to comply with all Data Protection Laws. In the event and to the extent that the Data Protection Laws impose stricter obligations on the Service Provider than under this Data Protection Addendum, the Data Protection Laws shall prevail. If this Data Protection Addendum does not specifically address a particular data security or privacy standard or obligation, Service Provider will use appropriate, generally accepted practices to protect the confidentiality, security, privacy, integrity, availability, and accuracy of personal data. Service Provider agrees that, in the event of a breach of this Data Protection Addendum, neither Customer nor any relevant Customer's customer will have an adequate remedy in damages and therefore either Customer or an affected customer shall be entitled to seek injunctive or equitable relief to immediately cease or prevent the use or disclosure of personal data not contemplated by the Agreement and to enforce the terms of this Data Protection Addendum or ensure compliance with all Data Protection Laws. If Service Provider is unable to provide the level of protection as required herein, Service Provider shall immediately notify Customer and cease processing. Any non-compliance with the requirements herein shall be deemed a material breach of the Agreement and Customer shall have the right to terminate the Agreement immediately without penalty.
Customer, shall have the right to: (a) require from Service Provider all information necessary to, and (b) conduct its own audit and/or inspections of Service Provider (including its facilities or equipment involved in the processing of personal data) in order to: demonstrate compliance with the Data Protection Addendum. Such audit and/or inspection shall be conducted with reasonable advanced notice to Service Provider, and shall take place during normal business hours to reasonably limit any disruption to Service Provider’s business.

Appendix A - CHEQ Security Requirements

Service Provider shall implement and maintain commercially reasonable and appropriate physical, technical and organizational security measures to protect personal data against accidental or unlawful destruction; accidental loss, alteration, unauthorized disclosure or access to personal data transmitted, stored or otherwise processed; all other unlawful forms of processing; including (as appropriate):

(i) the pseudonymisation and encryption of personal data;

(ii) the ability to ensure the ongoing confidentiality, integrity, availability and resilience of processingsystems and services;

(iii) the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident; and

(iv) a process for regularly testing, assessing and evaluating the effectiveness of technical and organizational measures for ensuring the security of the processing.
Service Provider will take the following security measures in addition to the above:

1. Physical Control Access /Physical Security. The Service Provider will take industry standard steps designed to prevent unauthorized persons from gaining access to Personal Data processing systemsby maintaining industry standard physical security controls at all Service Provider sites at which an information system that uses or houses Personal Data is located.

2. Logical/Data Access Control. The Service Provider will maintain appropriate access controls designed to prevent Personal Data processing systems from being used without proper authorization, including:

a) restricting access to Personal Data to only authorized Personnel who require such access in orderto perform the Services and providing the lowest level of access required in accordance with the “least privilege” approach and to the minimum number; and

b) implementing industry standard physical and electronic security measures to protect passwords or other access controls.

Further, Service Provider will:
a) Maintain user administration procedures: define user roles and their privileges; define how accessis granted, changed and terminated; address appropriate segregation of duties; and define the logging/monitoring requirements and mechanisms; and
b) Ensure that all employees of the Service Provider are assigned unique User-IDs.

3. Data Transfer Control/Network Security. The Service Provider will ensure that: (a) Personal Data cannot be read, copied, modified or deleted without authorization during electronic transmission, transport or storage and that the target entities for any transfer of Personal Data by means of data transmission facilities can be established and verified (data transfer control). The Service Provider will maintain network security using industry standard equipment and industry standard techniques,including firewalls, intrusion detection and prevention systems, and routing protocols; (b) it utilizes industry standard anti-virus and malware protection software to protect Personal Data from anticipated threats or hazards and protect against unauthorized access to or use; and (c) it utilizes industry-standard encryption tools (not less than 128-bit key utilizing an encryption method approved by Company) and other secure technologies in connection with any and all Personal Data that Service Provider: (i) transmits or sends wirelessly or across public networks; (ii) stores on laptops or storage media; or (iii) stores on portable devices, where technically feasible (including safeguarding the security and confidentiality of all encryption keys associated with encrypted Sensitive Personal Data).

4. Availability Control/Separation Control. The Service Provider will implement appropriate policies and procedures to ensure that: (a) it Processes Personal Data in accordance with Company’s instructions; (b) it Processes separately Personal Data collected for different purposes; and (c) Personal Data is protected against accidental destruction or loss.

5. Organizational Security. The Service Provider will maintain security policies and procedures to classify sensitive or confidential information, clarify security responsibilities and promote awareness for employees by, among other things: (a) maintaining adequate procedures regarding the use, archiving, or disposal of media containing Personal Data; and
(b) managing Security Incidents in accordance with appropriate incident response procedures. In addition:

i) Prior to providing access to Personal Data to Service Provider personnel, the Service Provider will require Service Provider personnel to comply with its Information Security Program.

ii) The Service Provider will maintain a security awareness program to train personnel about their security obligations. This program will include training about data classification obligations, physicalsecurity controls, security practices, and security incident reporting.

iii) The Service Provider will maintain procedures such that (A) when media are to be disposed of or reused, any subsequent retrieval of any Personal Data stored on them before they are withdrawn from the inventory will be prevented; and (B) when media are to leave the premises at which the files are located as a result of maintenance operations, any undue retrieval of Personal Information stored on them will be prevented.

6. Business Continuity. The Service Provider will maintain appropriate back-up, disaster recovery and business resumption plans, business continuity plan and risk assessment, and review and test these plans regularly to ensure that they are up to date and effective. Service Provider will maintainprocedures for reconstructing lost Personal Data in Service Provider’s possession or under Service Provider’s control, and correct, at Company’s request, any destruction, loss or alteration of any of Personal Data caused by Service Provider, or arising out of Service Provider’s breach of this Agreement.

7. Risk Assessments. Service Provider will conduct periodic risk assessments and reviews and, as appropriate, update its Information Security Program; provided that Service Provider will not modify its Information Security Program in a manner that would weaken or compromise the confidentiality, availability or integrity of Personal Data.

1. 適用範囲

  • [https://www.cheq.ja/tc]に掲載されている利用規約にもとづくCHEQサービスを利用する法人等(「お客様」)およびCHEQ AI Technologies Ltd.(「本サービスプロバイダー」)以下に定義する本件契約の当事者であり、このデータ保護追加規定はかかる本件契約に適用されます。
  • 本サービスプロバイダーがこのデータ保護追加規定を処理する場合、または本サービスプロバイダーが、本件契約にもとづくその履行の過程で個人データにアクセスする場合は、本サービスプロバイダーはこのデータ保護追加規定(「データ保護追加規定」)に規定する内容を順守するものとします。
  • このデータ保護追加規定に署名することにより、本サービスプロバイダーは、データ保護法のもとでこの用語が定義されるところの、データ処理者および本サービスプロバイダーとしての資格を有するものとします。定義用語で、このデータ保護追加規定に定義のないものはすべて、本件契約に規定する意味を有するものとします。

2. 定義

  • 定義用語で、このデータ保護追加規定に定義のないものはすべて、本件契約に規定する意味を有するものとします。
  • 「本件契約」とは、本サービス利用規約、ならびに本サービスプロバイダーによる個人データへのアクセス、またはその他処理に関係する、お客様と本サービスプロバイダーの間の何らかの発注書またはその他の購入文書を意味します。
  • 「承認済み法域」とは、欧州経済領域(「EEA」)の加盟国、または欧州委員会によって、データのための適切な法的保護を実施しているものとして承認されることのあるその他の法域であって、現在、こちら(http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm.)に掲載されているものを意味します。
  • 「侵害インシデント」とは、セキュリティ侵害であって、その結果、送信され、保存されまたはその他処理される個人データの偶発的なまたは違法な破壊、損失、改ざん、不正な開示を生じさせるものを意味します。
  • 「データ保護法」とは、データプライバシー、データセキュリティおよび/または個人データの保護に関係する、地方、準州、州または施行繰り延べまたは全国的なレベルでの、適用のあるあらゆる国内および国外の法律、規則、指令および規制であって、2018年カリフォルニア州消費者プライバシー法(「CCPA」)、電子通信セクターにおける個人データの処理およびプライバシーの保護に関する、データ保護指令95/46/EC、ならびにプライバシーおよび電子通信指令2002/58/EC(および各国内法化立法)(プライバシーおよび電子通信に関する指令)を含むとともに、それらに対するあらゆる改正または代替立法である、個人データの処理に関しての自然人の保護についての、および個人データの自由な移動についての2016年4月27日の欧州議会および理事会の規則(EU)2016/679(「GDPR」)が含まれます。
  • このデータ保護追加規定で用いる「個人データ」、「処理」、「処理する」および「特別な種類のデータ」という用語は、該当するデータ保護法において、それらの用語に割り当てられた意味を有するものとします。

3. データ保護およびプライバシー

本サービスプロバイダーが、個人データにアクセスし、またはこれをその他の形で処理する場合は、本サービスプロバイダーは、次のとおり行います。すなわち、

  1. お客様、お客様ご自身で書面により行われた指示にしたがい、および本件契約およびこのデータ保護追加規定にしたがってのみ、個人データを処理します。
  2. 個人データと接触し、またはその他の形でアクセスおよび処理することのある本サービスプロバイダーのスタッフおよびその他あらゆる人の信頼性を確保し、個人データを処理することを承認された人が、自ら秘密保持に取り組み、または適切な制定法上の秘密保持義務を順守するよう確保し、ならびにそのような職員が、このデータ保護追加規定およびあらゆるデータ保護法のもとでのその義務を周知するよう(または、本サービスプロバイダー自身の書面による、拘束力のあるポリシーが、少なくともこのデータ保護追加規定と同じくらい厳格であるよう)確保するため、合理的な措置を講じます。
  3. お客様が、本サービスプロバイダーの個人データの処理に関連する情報(本サービスプロバイダーの提供するそのサービスの詳細を含みます)に関して、監督当局、データ主体、顧客またはその他の人に協力し、および監督当局等からの請求に応じることができるようにするため、お客様を支援します。
  4. 侵害インシデントが発生したときは、不当に遅延することなく、またそれに気付いたときか四十八(48)時間以内に、お客様に知らせます。
  5. 次の場合にあたり、完全で、合理的な協力および支援を、お客様に提供します。すなわち
    1. データ主体が、(これらに限られませんが)アクセスする権利、訂正を求める権利、処理を制限する権利、消去を求める権利(「忘れられる権利」)、データの可搬性に関する権利、処理に異議を唱える権利、または個別意思決定の自動化処理を行わせない権利、またはデータの販売を拒否する権利を含む、データ保護法にもとづく権利を行使できるようにすること。
    2. データ保護法にもとづく、個人データの侵害があった場合の、監督当局への報告義務の順守、およびデータ主体への通知義務が順守されるようにすること。
    3. 個人データの処理に関する、データ保護インパクト評価の実施、および(該当する場合には)監督当局と事前に相談する義務が順守されるよう確保すること。
  6. 本件契約にもとづくその義務を履行するために必要な範囲でのみ、個人データを処理しまたは使用します。
  7. データ保護法にもとづき義務付けられるとおり、本件契約のもとで実施される何らかの処理活動(実施される処理、および該当する場合は、個人データの移転の種類を含む)一切の、正確な書面による記録を維持し、請求があり次第、該当する監督当局にそのような記録を提供します。
  8. 本サービスプロバイダーにそのように行う能力のある範囲で、その保管するまたは管理する間は、つねに、個人データが正確および最新のものであるよう確保するため、合理的な努力を払います。
  9. 個人データをリース、販売(CCPAで定義されているとおりのものを含みます)、またはその他の形で配布しません。
  10. 個人データの処理に関連するところの、本サービスプロバイダーの情報セキュリティまたはプライバシー取扱業務に関して、何らかの調査、訴訟、仲裁事件またはその他の紛争が起きた場合は、それらを速やかにお客様に通知します
  11. 本サービスプロバイダーが、法律、裁判所の命令、令状、罰則付き召喚状、またはその他の法律上もしくは裁判所の書類によって、何らかの個人データをお客様以外のいずれかの人に開示するよう命じられた場合は、速やかにお客様に対して書面にて通知し、そしてお客様に、あらゆる訴訟または行政手続に参加する機会を提供します。
  12. 本件契約が終了し次第、または本件契約の有効期間中にお客様からの書面による請求があり次第、本サービスプロバイダーは、お客様から受け取ったあらゆる個人データの処理を止めるものとし、またお客様から請求があった場合には、合理的な期間内に、(1)個人データを返却するか、(2)その占有するまたは管理するすべての個人データ(そのコピーを含む)を、セキュアかつ完全に破壊または消去するものとしますが、上記行為が何らかの適用のある法令に反する場合に限ってはこの限りではありません。お客様からの請求があり次第、本サービスプロバイダーは、本サービスプロバイダーが本条の規定を完全に順守した旨、証明するものとします

4. 復処理

  • 本サービスプロバイダーは、このデータ保護追加規定にもとづくその義務を、他の人または法人等(「復処理請負業者」)に復処理させることができますが、本サービスプロバイダーは、他の処理者の追加/交替に関して有するあらゆる変更の意向を、そのような変更を行う少なくとも30日前までに、お客様に知らせるものとし、またお客様は、そのような変更に対してお客様が反対している旨を本サービスプロバイダーに対して通知して、お客様に対する書面による通知により、本契約を終了することができます。
  • 本サービスプロバイダーは、このデータ保護追加規定と同等な契約条件を含む書面による契約書を、そのように承認された復処理請負業者と締結します。
  • 本サービスプロバイダーは、本サービスプロバイダーが維持しまたは処理する個人データおよびシステムのセキュリティ、秘密保持および完全性を確保するため、その復処理請負業者に対して提供する書面によるセキュリティポリシーを、用意するものとします。
  • お客様は、本サービスプロバイダーに対して、お客様に、復処理請負業者の名称、データセキュリティの記録、処理施設の所在地、および提案されている個人データへのアクセスの説明を含む(これらに限られない)、提案されている復処理請負業者の関与に関する詳細を提供するよう求めることができます。
  • 本サービスプロバイダーは、本サービスプロバイダーがこのデータ保護追加規定のもとで自らの作為または不作為について負うのと同じ範囲の責任を、復処理請負業者の作為または不作為についても負うものとします。

5. 個人データの移転

  1. 本サービスプロバイダーが、適用のある法令にもとづき、個人データを第三国または国際組織に移転することを義務付けられる場合は、本サービスプロバイダーは、処理を行う前にその法的義務をお客様に知らせるものとし、また、お客様の事前の同意を条件に、本サービスプロバイダーがEEAからの個人データを、承認済み法域でない法域において処理するときは、本サービスプロバイダーは、国際的なデータの移転を許すために、法的に承認された機構を実施しておくよう確保するものとします。本サービスプロバイダーが、標準契約条項に依拠する意向である場合は、以下の条件が、本サービスプロバイダーまたは本サービスプロバイダーの本サービスプロバイダーおよび/もしくは関連会社(本契約にもとづき復処理または履行が許されている場合)に適用されます。
  2. 標準契約条項を適用します。そのような標準契約条項が、新たなまたは変更された標準契約条項によって廃止された場合は、新たなまたは変更された標準契約条項が、このデータ保護追加規定に組み込まれるものと見なされるものとします。本サービスプロバイダーは、適宜、データ輸入者および/または復処理者のために、標準契約条項にもとづき規定されている義務を順守します。
  3. 本サービスプロバイダーが、個人データの何らかの処理を復処理させる場合は、本サービスプロバイダーは、
    1. 処理を始める前に、お客様に通知して、事前の書面による許可を取得し、
    2. 復処理者に、国際的なデータ移転のための法的に承認された機構を実施させるか、または復処理請負業者に、本サービスプロバイダーとの標準契約条項を締結させておくよう確保します。

6. セキュリティ基準

  • 本サービスプロバイダーは、送信、保存またはその他の形で処理される個人データに対する偶発的なまたは違法な破壊、偶発的な損失、改ざん、不正な開示またはアクセス、あらゆるその他の処理方式から個人データを保護するために、業務上合理的かつ適切な物理的、技術的および組織的なセキュリティ保護措置を実施し、および維持するものとし、これらには、(適宜)以下のものが含まれます。すなわち、(i)個人データの仮名化および暗号化しておくこと、(ii)処理システムおよびサービスの継続的な秘密保持、完全性、可用性および危険耐性を確保するための能力を備えておくこと、(iii)物理的または技術的なインシデントが発生したときに、時機に適した態様で、個人データの可用性およびアクセスを回復する能力を備えておくこと、ならびに(iv)定期的なテスト、処理にあたってのセキュリティを確保するための、技術的および組織的な措置の有効性を測定しおよび評価するためのプロセスを備えておくこと。
  • また、本サービスプロバイダーが特別な種類のデータを処理する範囲では、このデータ保護追加規定で言及するセキュリティ保護措置には最低でも(i)本サービスプロバイダーの情報セキュリティプログラムのルーティンによるリスク評価、(ii)情報セキュリティプログラムの統制上の要点の有効性を測定しおよび確認するための定期的なテストおよびモニタリング、ならびに(iii)特別な種類のデータが「保存中」、転送中(電子メール、ファックス、またはその他により送信されているかを問いません)、および保存(ポータブルコンピューター、フラッシュデバイス、PDA、または携帯電話のようなモバイル機器に保存しているときを含みます)されている間の暗号化。
  • 最低でも、本サービスプロバイダーは、このデータ保護追加規定に添付される付録Aに記載するセキュリティ保護措置を維持することに同意します。

7. 通則

  • データ保護法のいずれかが、新たなまたは変更されたデータ保護法(それらに関連する裁判所または政府当局の何らかの決定または解釈を含む)により廃止された場合には、新たなまたは変更されたデータ保護法が、このデータ保護追加規定に組み込まれるものと見なされるものとし、また本サービスプロバイダーは、このようなデータ保護法の順守を速やかに開始します。
  • このデータ保護追加規定に何らかの曖昧性が存在する場合は、これらは、お客様がデータ保護法を順守できるように解決されるものとします。データ保護法が、本サービスプロバイダーに対して、このデータ保護追加規定のもとにおけるより、より厳格な義務を課す場合およびその範囲で、データ保護法が優先するものとします。
  • このデータ保護追加規定が、特定のデータセキュリティまたはプライバシー基準または義務について明示的に規定していない場合は、本サービスプロバイダーは、個人データの秘密性、セキュリティ、プライバシー、完全性、可用性、および正確性を保護するための、適切な、一般に認められた慣行を実施します。
  • 本サービスプロバイダーは、このデータ保護追加規定の違反が生じた場合には、お客様または関連するお客様の顧客にとって損害賠償は適切な救済方法とはならず、よってお客様または影響を被った顧客は、本件契約で想定されていない個人データの使用または開示を直ちに止めさせ、または防止するために差止命令または衡平法上の救済を求め、およびこのデータ保護追加規定の規定を強制実現し、またはあらゆるデータ保護法の順守を確保させる権利を有するものとします。
  • 本サービスプロバイダーが、このデータ保護追加規定で義務付けられたとおりの保護の水準を提供できないときは、本サービスプロバイダーは直ちにお客様に通知し、また処理を停止するものとします。このデータ保護追加規定の要求事項の何らかの不順守が発生した場合には、それは本件契約の重大な違反と見なされるものとし、またお客様は、違約金を支払うことを要せず、本件契約を直ちに終了する権利を有するものとします。
  • お客様は、このデータ保護追加規定の順守を実証するため(a)必要とされるあらゆる情報を本サービスプロバイダーに要求し、および(b)そのための本サービスプロバイダー(個人データの処理に関わるその施設または機器を含みます)を、お客様自身で監査しおよび/または検査を実施する権利を有するものとします。このような監査および/または検査は、本サービスプロバイダーに対して合理的な事前の通知を行って実施されるものとし、および本サービスプロバイダーの業務に対するあらゆる支障を合理的に制限できる通常の業務時間内に行われるものとします。

8. 付録A – CHEQセキュリティ要求事項

本サービスプロバイダーは、送信、保存またはその他の形で処理される個人データに対する偶発的なまたは違法な破壊、偶発的な損失、改ざん、不正な開示またはアクセス、あらゆるその他の処理方式から個人データを保護するために、業務上合理的かつ適切な物理的、技術的および組織的なセキュリティ保護措置を実施し、および維持するものとし、これらには、(適宜)以下のものが含まれます。すなわち、

  • 個人データの仮名化および暗号化
  • 処理システムおよびサービスの継続的な秘密保持、完全性、可用性および危険耐性を確保するための能力を備えておくこと
  • 物理的または技術的なインシデントが発生したときに、時機に適した態様で、個人データの可用性およびアクセスを回復する能力を備えておくこと
  • 定期的なテスト、処理にあたってのセキュリティを確保するための、技術的および組織的な措置の有効性を測定しおよび評価するためのプロセスを備えておくこと

本サービスプロバイダーは、上記に加えて、次のセキュリティ保護措置を講じます。すなわち、

  1. 物理的制御アクセス/物理的セキュリティ。本サービスプロバイダーは、個人データを使用しまたは格納する情報システムが存在するあらゆる本サービスプロバイダーの事業所において、業界標準の物理的セキュリティ制御を維持することによって、権限のない人が個人データ処理システムに対するアクセスを取得するのを防止するよう設計された、業界標準の措置を講じます。
  2. 論理/データアクセス制御。本サービスプロバイダーは、個人データが、適切な権限なく使用されるのを防止するよう設計された、適切なアクセス制御を維持しますが、これには以下のものが含まれます。すなわち、
      1. 個人データへのアクセスを、本サービスを実施するためにそのようなアクセスを必要とする、権限を有する本職員のみに限定し、「最少特権の原則」のアプローチにしたがい、必要とされる最低限のアクセスを提供し、またその数を最小とします。
      2. パスワードまたはその他のアクセス制御を保護するために、業界標準の物理的および電子的セキュリティ手段を実施します。

    さらに、本サービスプロバイダーは、

      1. ユーザー管理手続を維持し、ユーザーのロールおよびその特権を定義し、アクセスを付与し、変更しおよび終了させる方法を定義し、適切な職務分掌に対応し、およびロギング/モニタリング要件および機構を定義します。
      2. 本サービスプロバイダーの全従業員が、一意のユーザーIDを付与されるよう確保します。
  3. データ移転制御/ネットワークセキュリティ。本サービスプロバイダーは、(a)個人データが、電気的送信、輸送または保存される間に、権限なく読み取られ、複写・複製され、変更または削除できないように、および送信施設によるあらゆる個人データ送信の目標相手先を確立して検証できるようにします(データ送信制御)。本サービスプロバイダーは、(a)ファイアウォール、侵入検知および防止システム、ならびにルーティングプロトコルを含む、業界標準の装置および業界標準の技術を使用して、ネットワークを維持し、(b)個人データを予想される脅威または危険から保護し、それらへの不法なアクセスまたは使用から保護するため、業界標準のアンチウィルスおよびマルウェアソフトを利用し、ならびに(c)本サービスプロバイダーが、(i)ワイヤレスにまたはパブリックネットワークを横切って送信または送付し、(ii)ラップトップまたは保存媒体上に保存し、または(iii)携帯機器に保存する、一切の個人データに関して、技術的に可能な場合は(暗号化された機微個人データに関連するあらゆる暗号鍵のセキュリティおよび秘密の防御を含みます)、業界標準暗号化ツール(本件会社が承認する128-bit以上の鍵を使用する暗号化の方法)およびその他のセキュアな技術を利用します。
  4. 可用性管理/分別管理。本サービスプロバイダーは、(a)本件会社の指示にしたがい個人データを処理し、(b)異なる目的のために収集された個人データを分別して処理し、および(c)個人データが偶発的な破壊または損失から保護されるよう確保するため、適切なポリシーおよび手続を実施します。
  5. 組織的セキュリティ。本サービスプロバイダーは、殊に、(a)個人データを収納する媒体の使用、アーカイビングまたは処分に関する、適切な手続を維持し、ならびに(b)適切なインシデント対応手続にしたがって、セキュリティインシデントを管理することによって、機微なまたは秘密の情報を秘密指定し、セキュリティ上の責任を明確化し、および従業員の意識を高めるためのセキュリティポリシーおよび手続を維持します。
    1. 本サービスプロバイダーの職員に個人データへのアクセスを提供する前に、本サービスプロバイダーは、本サービスプロバイダーの職員に、その情報セキュリティプログラムを順守するよう義務付けます。
    2. 本サービスプロバイダーは、職員の負うセキュリティ上の義務に関するトレーニングを行うため、セキュリティ意識向上プログラムを維持します。このプログラムには、データ分類義務、物理的セキュリティ制御、セキュリティ実践、およびセキュリティインシデント報告に関するトレーニングが含まれます。
    3. 本サービスプロバイダーは、手続を維持し、(A)媒体を処分すべきまたは再使用すべきときは、それらに保存されたいかなる個人データも、その後漏洩されないよう、保管庫から出庫する前に防止し、および
    4. 媒体を事業所から持ち出し、保守作業の結果、ファイルの所在が明らかになるときは、それらに保存された個人情報が、不適切に漏洩されないよう、予防します。
  6. 事業継続性。本サービスプロバイダーは、適切なバックアップ、災害復旧および事業再開計画、事業継続計画ならびにリスク評価を維持し、およびそれらが最新のものでありおよび効果的であるよう確保するため、定期的にこれらの計画を見直しおよびテストします。本サービスプロバイダーは、本サービスプロバイダーが占有しまたは本サービスプロバイダーがその管理の下におく個人データを喪失した場合には、それを再構築する手続を維持し、および本サービスプロバイダーが原因で生じた、または本サービスプロバイダーの本契約の違反から生じたいかなる個人データの破棄、損失または改ざんを、本件会社の請求があった場合には、是正します。
  7. リスク評価。本サービスプロバイダーは、定期的なリスク評価および見直しを実施し、および、適宜、その情報セキュリティプログラムを更新します。ただし、本サービスプロバイダーは、その情報セキュリティプログラムを、個人データの秘密保持、可用性または完全性が弱体化されまたは損なわれるおそれのあるような態様で変更しないものとします。