CHEQ Raises $150 Million, led by Tiger Global

Learn More

データ保護追加規定

1. 適用範囲

  • [https://www.cheq.ja/tc]に掲載されている利用規約にもとづくCHEQサービスを利用する法人等(「お客様」)およびCHEQ AI Technologies Ltd.(「本サービスプロバイダー」)以下に定義する本件契約の当事者であり、このデータ保護追加規定はかかる本件契約に適用されます。
  • 本サービスプロバイダーがこのデータ保護追加規定を処理する場合、または本サービスプロバイダーが、本件契約にもとづくその履行の過程で個人データにアクセスする場合は、本サービスプロバイダーはこのデータ保護追加規定(「データ保護追加規定」)に規定する内容を順守するものとします。
  • このデータ保護追加規定に署名することにより、本サービスプロバイダーは、データ保護法のもとでこの用語が定義されるところの、データ処理者および本サービスプロバイダーとしての資格を有するものとします。定義用語で、このデータ保護追加規定に定義のないものはすべて、本件契約に規定する意味を有するものとします。

2. 定義

  • 定義用語で、このデータ保護追加規定に定義のないものはすべて、本件契約に規定する意味を有するものとします。
  • 「本件契約」とは、本サービス利用規約、ならびに本サービスプロバイダーによる個人データへのアクセス、またはその他処理に関係する、お客様と本サービスプロバイダーの間の何らかの発注書またはその他の購入文書を意味します。
  • 「承認済み法域」とは、欧州経済領域(「EEA」)の加盟国、または欧州委員会によって、データのための適切な法的保護を実施しているものとして承認されることのあるその他の法域であって、現在、こちら(http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm.)に掲載されているものを意味します。
  • 「侵害インシデント」とは、セキュリティ侵害であって、その結果、送信され、保存されまたはその他処理される個人データの偶発的なまたは違法な破壊、損失、改ざん、不正な開示を生じさせるものを意味します。
  • 「データ保護法」とは、データプライバシー、データセキュリティおよび/または個人データの保護に関係する、地方、準州、州または施行繰り延べまたは全国的なレベルでの、適用のあるあらゆる国内および国外の法律、規則、指令および規制であって、2018年カリフォルニア州消費者プライバシー法(「CCPA」)、電子通信セクターにおける個人データの処理およびプライバシーの保護に関する、データ保護指令95/46/EC、ならびにプライバシーおよび電子通信指令2002/58/EC(および各国内法化立法)(プライバシーおよび電子通信に関する指令)を含むとともに、それらに対するあらゆる改正または代替立法である、個人データの処理に関しての自然人の保護についての、および個人データの自由な移動についての2016年4月27日の欧州議会および理事会の規則(EU)2016/679(「GDPR」)が含まれます。
  • このデータ保護追加規定で用いる「個人データ」、「処理」、「処理する」および「特別な種類のデータ」という用語は、該当するデータ保護法において、それらの用語に割り当てられた意味を有するものとします。

3. データ保護およびプライバシー

本サービスプロバイダーが、個人データにアクセスし、またはこれをその他の形で処理する場合は、本サービスプロバイダーは、次のとおり行います。すなわち、

  1. お客様、お客様ご自身で書面により行われた指示にしたがい、および本件契約およびこのデータ保護追加規定にしたがってのみ、個人データを処理します。
  2. 個人データと接触し、またはその他の形でアクセスおよび処理することのある本サービスプロバイダーのスタッフおよびその他あらゆる人の信頼性を確保し、個人データを処理することを承認された人が、自ら秘密保持に取り組み、または適切な制定法上の秘密保持義務を順守するよう確保し、ならびにそのような職員が、このデータ保護追加規定およびあらゆるデータ保護法のもとでのその義務を周知するよう(または、本サービスプロバイダー自身の書面による、拘束力のあるポリシーが、少なくともこのデータ保護追加規定と同じくらい厳格であるよう)確保するため、合理的な措置を講じます。
  3. お客様が、本サービスプロバイダーの個人データの処理に関連する情報(本サービスプロバイダーの提供するそのサービスの詳細を含みます)に関して、監督当局、データ主体、顧客またはその他の人に協力し、および監督当局等からの請求に応じることができるようにするため、お客様を支援します。
  4. 侵害インシデントが発生したときは、不当に遅延することなく、またそれに気付いたときか四十八(48)時間以内に、お客様に知らせます。
  5. 次の場合にあたり、完全で、合理的な協力および支援を、お客様に提供します。すなわち
    1. データ主体が、(これらに限られませんが)アクセスする権利、訂正を求める権利、処理を制限する権利、消去を求める権利(「忘れられる権利」)、データの可搬性に関する権利、処理に異議を唱える権利、または個別意思決定の自動化処理を行わせない権利、またはデータの販売を拒否する権利を含む、データ保護法にもとづく権利を行使できるようにすること。
    2. データ保護法にもとづく、個人データの侵害があった場合の、監督当局への報告義務の順守、およびデータ主体への通知義務が順守されるようにすること。
    3. 個人データの処理に関する、データ保護インパクト評価の実施、および(該当する場合には)監督当局と事前に相談する義務が順守されるよう確保すること。
  6. 本件契約にもとづくその義務を履行するために必要な範囲でのみ、個人データを処理しまたは使用します。
  7. データ保護法にもとづき義務付けられるとおり、本件契約のもとで実施される何らかの処理活動(実施される処理、および該当する場合は、個人データの移転の種類を含む)一切の、正確な書面による記録を維持し、請求があり次第、該当する監督当局にそのような記録を提供します。
  8. 本サービスプロバイダーにそのように行う能力のある範囲で、その保管するまたは管理する間は、つねに、個人データが正確および最新のものであるよう確保するため、合理的な努力を払います。
  9. 個人データをリース、販売(CCPAで定義されているとおりのものを含みます)、またはその他の形で配布しません。
  10. 個人データの処理に関連するところの、本サービスプロバイダーの情報セキュリティまたはプライバシー取扱業務に関して、何らかの調査、訴訟、仲裁事件またはその他の紛争が起きた場合は、それらを速やかにお客様に通知します
  11. 本サービスプロバイダーが、法律、裁判所の命令、令状、罰則付き召喚状、またはその他の法律上もしくは裁判所の書類によって、何らかの個人データをお客様以外のいずれかの人に開示するよう命じられた場合は、速やかにお客様に対して書面にて通知し、そしてお客様に、あらゆる訴訟または行政手続に参加する機会を提供します。
  12. 本件契約が終了し次第、または本件契約の有効期間中にお客様からの書面による請求があり次第、本サービスプロバイダーは、お客様から受け取ったあらゆる個人データの処理を止めるものとし、またお客様から請求があった場合には、合理的な期間内に、(1)個人データを返却するか、(2)その占有するまたは管理するすべての個人データ(そのコピーを含む)を、セキュアかつ完全に破壊または消去するものとしますが、上記行為が何らかの適用のある法令に反する場合に限ってはこの限りではありません。お客様からの請求があり次第、本サービスプロバイダーは、本サービスプロバイダーが本条の規定を完全に順守した旨、証明するものとします

4. 復処理

  • 本サービスプロバイダーは、このデータ保護追加規定にもとづくその義務を、他の人または法人等(「復処理請負業者」)に復処理させることができますが、本サービスプロバイダーは、他の処理者の追加/交替に関して有するあらゆる変更の意向を、そのような変更を行う少なくとも30日前までに、お客様に知らせるものとし、またお客様は、そのような変更に対してお客様が反対している旨を本サービスプロバイダーに対して通知して、お客様に対する書面による通知により、本契約を終了することができます。
  • 本サービスプロバイダーは、このデータ保護追加規定と同等な契約条件を含む書面による契約書を、そのように承認された復処理請負業者と締結します。
  • 本サービスプロバイダーは、本サービスプロバイダーが維持しまたは処理する個人データおよびシステムのセキュリティ、秘密保持および完全性を確保するため、その復処理請負業者に対して提供する書面によるセキュリティポリシーを、用意するものとします。
  • お客様は、本サービスプロバイダーに対して、お客様に、復処理請負業者の名称、データセキュリティの記録、処理施設の所在地、および提案されている個人データへのアクセスの説明を含む(これらに限られない)、提案されている復処理請負業者の関与に関する詳細を提供するよう求めることができます。
  • 本サービスプロバイダーは、本サービスプロバイダーがこのデータ保護追加規定のもとで自らの作為または不作為について負うのと同じ範囲の責任を、復処理請負業者の作為または不作為についても負うものとします。

5. 個人データの移転

  1. 本サービスプロバイダーが、適用のある法令にもとづき、個人データを第三国または国際組織に移転することを義務付けられる場合は、本サービスプロバイダーは、処理を行う前にその法的義務をお客様に知らせるものとし、また、お客様の事前の同意を条件に、本サービスプロバイダーがEEAからの個人データを、承認済み法域でない法域において処理するときは、本サービスプロバイダーは、国際的なデータの移転を許すために、法的に承認された機構を実施しておくよう確保するものとします。本サービスプロバイダーが、標準契約条項に依拠する意向である場合は、以下の条件が、本サービスプロバイダーまたは本サービスプロバイダーの本サービスプロバイダーおよび/もしくは関連会社(本契約にもとづき復処理または履行が許されている場合)に適用されます。
  2. 標準契約条項を適用します。そのような標準契約条項が、新たなまたは変更された標準契約条項によって廃止された場合は、新たなまたは変更された標準契約条項が、このデータ保護追加規定に組み込まれるものと見なされるものとします。本サービスプロバイダーは、適宜、データ輸入者および/または復処理者のために、標準契約条項にもとづき規定されている義務を順守します。
  3. 本サービスプロバイダーが、個人データの何らかの処理を復処理させる場合は、本サービスプロバイダーは、
    1. 処理を始める前に、お客様に通知して、事前の書面による許可を取得し、
    2. 復処理者に、国際的なデータ移転のための法的に承認された機構を実施させるか、または復処理請負業者に、本サービスプロバイダーとの標準契約条項を締結させておくよう確保します。

6. セキュリティ基準

  • 本サービスプロバイダーは、送信、保存またはその他の形で処理される個人データに対する偶発的なまたは違法な破壊、偶発的な損失、改ざん、不正な開示またはアクセス、あらゆるその他の処理方式から個人データを保護するために、業務上合理的かつ適切な物理的、技術的および組織的なセキュリティ保護措置を実施し、および維持するものとし、これらには、(適宜)以下のものが含まれます。すなわち、(i)個人データの仮名化および暗号化しておくこと、(ii)処理システムおよびサービスの継続的な秘密保持、完全性、可用性および危険耐性を確保するための能力を備えておくこと、(iii)物理的または技術的なインシデントが発生したときに、時機に適した態様で、個人データの可用性およびアクセスを回復する能力を備えておくこと、ならびに(iv)定期的なテスト、処理にあたってのセキュリティを確保するための、技術的および組織的な措置の有効性を測定しおよび評価するためのプロセスを備えておくこと。
  • また、本サービスプロバイダーが特別な種類のデータを処理する範囲では、このデータ保護追加規定で言及するセキュリティ保護措置には最低でも(i)本サービスプロバイダーの情報セキュリティプログラムのルーティンによるリスク評価、(ii)情報セキュリティプログラムの統制上の要点の有効性を測定しおよび確認するための定期的なテストおよびモニタリング、ならびに(iii)特別な種類のデータが「保存中」、転送中(電子メール、ファックス、またはその他により送信されているかを問いません)、および保存(ポータブルコンピューター、フラッシュデバイス、PDA、または携帯電話のようなモバイル機器に保存しているときを含みます)されている間の暗号化。
  • 最低でも、本サービスプロバイダーは、このデータ保護追加規定に添付される付録Aに記載するセキュリティ保護措置を維持することに同意します。

7. 通則

  • データ保護法のいずれかが、新たなまたは変更されたデータ保護法(それらに関連する裁判所または政府当局の何らかの決定または解釈を含む)により廃止された場合には、新たなまたは変更されたデータ保護法が、このデータ保護追加規定に組み込まれるものと見なされるものとし、また本サービスプロバイダーは、このようなデータ保護法の順守を速やかに開始します。
  • このデータ保護追加規定に何らかの曖昧性が存在する場合は、これらは、お客様がデータ保護法を順守できるように解決されるものとします。データ保護法が、本サービスプロバイダーに対して、このデータ保護追加規定のもとにおけるより、より厳格な義務を課す場合およびその範囲で、データ保護法が優先するものとします。
  • このデータ保護追加規定が、特定のデータセキュリティまたはプライバシー基準または義務について明示的に規定していない場合は、本サービスプロバイダーは、個人データの秘密性、セキュリティ、プライバシー、完全性、可用性、および正確性を保護するための、適切な、一般に認められた慣行を実施します。
  • 本サービスプロバイダーは、このデータ保護追加規定の違反が生じた場合には、お客様または関連するお客様の顧客にとって損害賠償は適切な救済方法とはならず、よってお客様または影響を被った顧客は、本件契約で想定されていない個人データの使用または開示を直ちに止めさせ、または防止するために差止命令または衡平法上の救済を求め、およびこのデータ保護追加規定の規定を強制実現し、またはあらゆるデータ保護法の順守を確保させる権利を有するものとします。
  • 本サービスプロバイダーが、このデータ保護追加規定で義務付けられたとおりの保護の水準を提供できないときは、本サービスプロバイダーは直ちにお客様に通知し、また処理を停止するものとします。このデータ保護追加規定の要求事項の何らかの不順守が発生した場合には、それは本件契約の重大な違反と見なされるものとし、またお客様は、違約金を支払うことを要せず、本件契約を直ちに終了する権利を有するものとします。
  • お客様は、このデータ保護追加規定の順守を実証するため(a)必要とされるあらゆる情報を本サービスプロバイダーに要求し、および(b)そのための本サービスプロバイダー(個人データの処理に関わるその施設または機器を含みます)を、お客様自身で監査しおよび/または検査を実施する権利を有するものとします。このような監査および/または検査は、本サービスプロバイダーに対して合理的な事前の通知を行って実施されるものとし、および本サービスプロバイダーの業務に対するあらゆる支障を合理的に制限できる通常の業務時間内に行われるものとします。

8. 付録A – CHEQセキュリティ要求事項

本サービスプロバイダーは、送信、保存またはその他の形で処理される個人データに対する偶発的なまたは違法な破壊、偶発的な損失、改ざん、不正な開示またはアクセス、あらゆるその他の処理方式から個人データを保護するために、業務上合理的かつ適切な物理的、技術的および組織的なセキュリティ保護措置を実施し、および維持するものとし、これらには、(適宜)以下のものが含まれます。すなわち、

  • 個人データの仮名化および暗号化
  • 処理システムおよびサービスの継続的な秘密保持、完全性、可用性および危険耐性を確保するための能力を備えておくこと
  • 物理的または技術的なインシデントが発生したときに、時機に適した態様で、個人データの可用性およびアクセスを回復する能力を備えておくこと
  • 定期的なテスト、処理にあたってのセキュリティを確保するための、技術的および組織的な措置の有効性を測定しおよび評価するためのプロセスを備えておくこと

本サービスプロバイダーは、上記に加えて、次のセキュリティ保護措置を講じます。すなわち、

  1. 物理的制御アクセス/物理的セキュリティ。本サービスプロバイダーは、個人データを使用しまたは格納する情報システムが存在するあらゆる本サービスプロバイダーの事業所において、業界標準の物理的セキュリティ制御を維持することによって、権限のない人が個人データ処理システムに対するアクセスを取得するのを防止するよう設計された、業界標準の措置を講じます。
  2. 論理/データアクセス制御。本サービスプロバイダーは、個人データが、適切な権限なく使用されるのを防止するよう設計された、適切なアクセス制御を維持しますが、これには以下のものが含まれます。すなわち、
      1. 個人データへのアクセスを、本サービスを実施するためにそのようなアクセスを必要とする、権限を有する本職員のみに限定し、「最少特権の原則」のアプローチにしたがい、必要とされる最低限のアクセスを提供し、またその数を最小とします。
      2. パスワードまたはその他のアクセス制御を保護するために、業界標準の物理的および電子的セキュリティ手段を実施します。

    さらに、本サービスプロバイダーは、

      1. ユーザー管理手続を維持し、ユーザーのロールおよびその特権を定義し、アクセスを付与し、変更しおよび終了させる方法を定義し、適切な職務分掌に対応し、およびロギング/モニタリング要件および機構を定義します。
      2. 本サービスプロバイダーの全従業員が、一意のユーザーIDを付与されるよう確保します。
  3. データ移転制御/ネットワークセキュリティ。本サービスプロバイダーは、(a)個人データが、電気的送信、輸送または保存される間に、権限なく読み取られ、複写・複製され、変更または削除できないように、および送信施設によるあらゆる個人データ送信の目標相手先を確立して検証できるようにします(データ送信制御)。本サービスプロバイダーは、(a)ファイアウォール、侵入検知および防止システム、ならびにルーティングプロトコルを含む、業界標準の装置および業界標準の技術を使用して、ネットワークを維持し、(b)個人データを予想される脅威または危険から保護し、それらへの不法なアクセスまたは使用から保護するため、業界標準のアンチウィルスおよびマルウェアソフトを利用し、ならびに(c)本サービスプロバイダーが、(i)ワイヤレスにまたはパブリックネットワークを横切って送信または送付し、(ii)ラップトップまたは保存媒体上に保存し、または(iii)携帯機器に保存する、一切の個人データに関して、技術的に可能な場合は(暗号化された機微個人データに関連するあらゆる暗号鍵のセキュリティおよび秘密の防御を含みます)、業界標準暗号化ツール(本件会社が承認する128-bit以上の鍵を使用する暗号化の方法)およびその他のセキュアな技術を利用します。
  4. 可用性管理/分別管理。本サービスプロバイダーは、(a)本件会社の指示にしたがい個人データを処理し、(b)異なる目的のために収集された個人データを分別して処理し、および(c)個人データが偶発的な破壊または損失から保護されるよう確保するため、適切なポリシーおよび手続を実施します。
  5. 組織的セキュリティ。本サービスプロバイダーは、殊に、(a)個人データを収納する媒体の使用、アーカイビングまたは処分に関する、適切な手続を維持し、ならびに(b)適切なインシデント対応手続にしたがって、セキュリティインシデントを管理することによって、機微なまたは秘密の情報を秘密指定し、セキュリティ上の責任を明確化し、および従業員の意識を高めるためのセキュリティポリシーおよび手続を維持します。
    1. 本サービスプロバイダーの職員に個人データへのアクセスを提供する前に、本サービスプロバイダーは、本サービスプロバイダーの職員に、その情報セキュリティプログラムを順守するよう義務付けます。
    2. 本サービスプロバイダーは、職員の負うセキュリティ上の義務に関するトレーニングを行うため、セキュリティ意識向上プログラムを維持します。このプログラムには、データ分類義務、物理的セキュリティ制御、セキュリティ実践、およびセキュリティインシデント報告に関するトレーニングが含まれます。
    3. 本サービスプロバイダーは、手続を維持し、(A)媒体を処分すべきまたは再使用すべきときは、それらに保存されたいかなる個人データも、その後漏洩されないよう、保管庫から出庫する前に防止し、および
    4. 媒体を事業所から持ち出し、保守作業の結果、ファイルの所在が明らかになるときは、それらに保存された個人情報が、不適切に漏洩されないよう、予防します。
  6. 事業継続性。本サービスプロバイダーは、適切なバックアップ、災害復旧および事業再開計画、事業継続計画ならびにリスク評価を維持し、およびそれらが最新のものでありおよび効果的であるよう確保するため、定期的にこれらの計画を見直しおよびテストします。本サービスプロバイダーは、本サービスプロバイダーが占有しまたは本サービスプロバイダーがその管理の下におく個人データを喪失した場合には、それを再構築する手続を維持し、および本サービスプロバイダーが原因で生じた、または本サービスプロバイダーの本契約の違反から生じたいかなる個人データの破棄、損失または改ざんを、本件会社の請求があった場合には、是正します。
  7. リスク評価。本サービスプロバイダーは、定期的なリスク評価および見直しを実施し、および、適宜、その情報セキュリティプログラムを更新します。ただし、本サービスプロバイダーは、その情報セキュリティプログラムを、個人データの秘密保持、可用性または完全性が弱体化されまたは損なわれるおそれのあるような態様で変更しないものとします。