Site Terms
データ処理補足契約(DPA)
本データ処理補足契約(以下「本契約」)は、Benchmark Email(以下「処理者」または「Benchmark Email」)と、Benchmark Emailのサービス(以下「本サービス」)を利用する顧客(以下「管理者」または「ユーザー」)との間で締結される。
本DPAは、Benchmark Emailの利用規約に定める条件に従い、管理者に代わってBenchmark Emailが行う個人情報の処理を規定するものです。本サービスを利用することにより、管理者は本DPAの条件に同意するものとします。本DPAは、当事者間の契約関係全体の一部を構成します。
処理者は、適用されるデータ保護法(一般データ保護規則(GDPR)およびその他の関連するプライバシー法を含む)に準拠し、管理者にサービスを提供することを唯一の目的として個人情報を処理します。
本DPAは、適用されるデータ保護法への遵守および個人情報のセキュリティと機密性の確保に関する両当事者の共通の取り組みを反映するものです。本DPAにおいて定義されていない大文字表記の用語は、Benchmark Email利用規約に定める意味を有するものとします。
1. 定義
本DPAにおいて以下の用語は以下の定義に従って使用されます:
顧客データ:Benchmark Emailがサービス提供の過程において、データ管理者である顧客に代わってデータ処理者として処理する個人情報。
データ管理者:GDPRで定義される個人情報の処理の目的及び手段を決定する主体。本DPAにおいて、管理者はBenchmark Emailの顧客であり、本サービスを利用して処理される個人データを収集、所有し、責任を負う者である。
データ処理者:GDPRで定義されるデータ管理者に代わって個人情報を処理する主体。本DPAの文脈において、Benchmark Emailはデータ処理者として機能します。
データ保護法:個人データの処理を規定する適用されるすべての法令および規制。これにはGDPR、カリフォルニア州消費者プライバシー法(CCPA)、その他の国または地域のデータ保護法が含まれます。
データ主体:本DPAに基づき個人情報が処理される特定された、または特定可能な自然人。これはデータが収集、保存、処理される個人を指す。
欧州/EU:欧州連合(EU)または欧州経済領域(EEA)を指し、GDPRの適用対象となるすべてのEU加盟国およびEEA加盟国を含む。
GDPR:一般データ保護規則(EU)2016/679(随時改正されるものを含む)および欧州経済領域(EEA)における個人情報の処理を規律するその他の適用されるデータ保護法。
個人情報:GDPRで定義される、特定された、または特定可能な自然人に関連するあらゆる情報。これには氏名、連絡先情報、および個人を直接的または間接的に特定できるその他の情報が含まれますが、これらに限定されません。
個人情報の漏洩:送信中、保存中、またはその他の方法で処理中の個人情報が偶発的または違法な破壊、紛失、改ざん、不正な開示、または不正アクセスにつながるセキュリティ侵害。
処理:個人情報に対して行われる、自動化された手段によるか否かを問わず、個人情報の収集、保存、検索、利用、開示、消去、または破棄を含むがこれらに限定されない、あらゆる操作または一連の操作。
サービス:管理者が個人情報の処理のために利用し、同意するBenchmark Emailの利用規約に記載される、Benchmark Emailが提供するメールマーケティング及び関連サービス。
サブプロセッサー:管理者(コントローラー)に代わって個人情報を処理するためにBenchmark Emailが関与する第三者。サブプロセッサーには、個人情報の処理に関連するサービスを提供するサービスプロバイダー、請負業者、その他の事業体が含まれる場合があります。
標準契約条項(SCCs):欧州委員会が採択した法的規定であり、GDPRの要件に準拠して、欧州経済領域(EEA)からEEA外の第三国への個人情報の合法的な移転を可能とするものである。
利用規約:本規約および本規約で参照されるすべての関連ポリシーを指し、当社のプライバシーポリシー、迷惑メール対策ポリシー、およびその他の参照文書を含みます。
英国補足条項:英国からのデータ移転について、英国GDPRに基づき、ブレグジット後の英国データ保護法への準拠を確保する規定。
米国データ保護法:米国で適用されるプライバシーおよびデータ保護法を指し、カリフォルニア州消費者プライバシー法(CCPA)およびデータプライバシーを規定するその他の連邦法・州法を含む。
2. 役割と責任
本項では、本DPAに基づく顧客データの処理において、顧客とBenchmark Email双方の役割と責任を概説します。
2.1 顧客の役割
顧客は、個人情報の処理の目的および手段を決定する主体であり、適用されるデータ保護法(GDPRを含む)におけるデータ管理者となります。顧客には以下の主要な責任があります:
- 個人情報処理の法的根拠:お客様は、適用されるデータ保護法に基づき個人情報の処理が合法であることを確保する責任を負います。これには、データ主体から必要な同意を取得すること、およびお客様が個人情報をBenchmark Emailに提供して処理する権利を有していることを確認することが含まれます。
- 指示の提供:顧客は、本サービスの提供過程において顧客データを処理するための明確かつ合法的な指示をBenchmark Emailに提供します。Benchmark Emailは本DPAに定める通り、これらの指示に従ってのみ顧客データを処理します。
- データ主体の権利:ユーザーは適用されるデータ保護法に基づき、アクセス、訂正、削除、データポータビリティなどのデータ主体の権利に関する要求を満たす責任を負います。Benchmark Emailは必要に応じてユーザーがこれらの要求に対応するのを支援します。
- データ保護法への準拠:ユーザーはBenchmark Emailに提供する個人情報が適用されるデータ保護法に準拠して収集、処理、および転送されることを確保する責任を負います。
- データ侵害の通知:ユーザーはご自身の個人データに関連する個人データ侵害を認識した場合、直ちにBenchmark Emailに通知しなければなりません。
2.2 Benchmark Emailの役割
Benchmark Emailはデータ処理者として、提供された指示に従い、顧客に代わって顧客データを処理します。処理者は以下の主要な責任を負います:
- 処理手順:Benchmark Emailは合意されたサービスを提供するため、ユーザーの指示に従いユーザーのデータのみを処理します。適用される法令で要求される場合を除き、Benchmark Emailは個人情報をその他の目的で処理することはありません。データの種類、データ主体、処理操作を含む具体的なデータ処理活動の詳細については、別紙1:データ処理の詳細をご参照ください。
- ユーザーが同意するサブプロセッサー:ベンチマークメールは、顧客データの処理を支援するためサブプロセッサーを利用する場合があります。ユーザーはベンチマークメールによるサブプロセッサーの利用に同意します。ベンチマークメールは、承認済みサブプロセッサーの一覧を別紙3「サブプロセッサー一覧」に記載し、この一覧に変更があった場合はユーザーに通知します。
- 個人情報のセキュリティ:Benchmark Emailは個人情報のセキュリティと機密性を保護するために、適切な技術的および組織的措置を実施します。
- データ主体の権利に関する支援:Benchmark Emailはアクセス、訂正、消去、データポータビリティの要求を含む、データ主体の要求への対応においてユーザーを支援します。
- データ漏洩通知:Benchmark Emailは顧客データに関連する個人情報の漏洩が発生した場合、速やかにユーザーに通知します。この通知は不当な遅延なく、可能な限り72時間以内に行われます。
- データ保護法への準拠:Benchmark Emailは個人情報の処理において、GDPRを含む適用されるすべてのデータ保護法に準拠します。
2.3 共同責任
ユーザーとBenchmark Emailはそれぞれ独自の役割を担うものの、両当事者は個人情報が適用されるデータ保護法に準拠して処理されることを確保する責任を共有します。両当事者は以下に同意します:
協力:ユーザーとBenchmark Emailは個人情報の処理に関連する懸念事項に対処し、適用される法令の遵守を確保するために協力します。
監査および監視:ユーザーは本DPAに従って処理が実施されていることを確認するため、情報または監査を要求することができます。Benchmark Emailはかかる監査または監視を円滑に進めるため、合理的な範囲でアクセスと支援を提供します。
データ移転のコンプライアンス:両当事者は個人情報の越境移転が関連するデータ保護法に準拠することを確保する。これには越境データ移転のための標準契約条項(SCC)その他の法的メカニズムの使用が含まれる。
2.4 データ処理手順
Benchmark Emailはユーザーの指示に従ってのみ個人情報を処理します。ユーザーからの指示が違法であるとBenchmark Emailが判断した場合、遅滞なくユーザーに通知します。
3. セキュリティ
Benchmark Emailは個人情報の処理に伴うリスクに見合った適切なセキュリティレベルを確保するため、別紙2「セキュリティ対策」に記載の措置を含む、適切な技術的及び組織的措置を実施し維持するものとします。これらの措置は、個人データが不正または違法な処理、偶発的な喪失、破壊、または損傷から保護され、データの機密性、完全性、可用性が確保されるように設計されています。
3.1 守秘義務
Benchmark Emailは個人情報の処理を許可するあらゆる人物が、契約上の義務または法律に基づくか否かを問わず、個人情報の機密性を保護する義務を負うことを保証します。
3.2 ユーザーの責任
ユーザーは、Benchmark Emailに提供する個人データが、適用されるデータ保護法に従って収集、処理、および転送されることを確保する責任を負うことを認める。ユーザーは、ベンチマーク・メールが提供するデータセキュリティに関する情報を確認し、本サービスがユーザーの要件およびデータ保護法に基づく法的義務を満たしているかどうかを独自に判断する責任を負う。
ユーザーは以下に同意します:
- 本サービスへのアクセスに必要なログイン認証情報やその他の認証情報の機密性を保持してください。
- 自社のシステムおよびデバイスにおいて、個人情報を保護し不正アクセスを防止するための適切なセキュリティ対策を講じる。
3.3 セキュリティ更新
Benchmark Emailはセキュリティ対策の更新および改善のための手順を実施します。これらの更新には、個人情報のセキュリティ強化を目的とした技術、システム、またはプロセスの強化が含まれる場合があります。Benchmark Emailはユーザーのサービス利用に影響を与える可能性のある重要なセキュリティ更新プログラムまたはパッチが適用された場合、ユーザーに通知します。
3.4 セキュリティインシデント対応
個人情報の漏洩が発生した場合、Benchmark Emailは速やかにユーザーに通知し、漏洩の管理においてユーザーと協力します。これには該当する場合、データ主体または規制当局への必要な通知を支援するための関連情報の提供が含まれます。Benchmark Emailは漏洩による損害を軽減し、将来のインシデントを防止するため、内部のインシデント対応手順に従います。
4. サブプロセッサー
Benchmark Emailはユーザーに代わって特定の処理活動を実施するため、サブプロセッサーを利用する場合があります。サブプロセッサーとは、Benchmark Emailがサービスを提供し、個人情報の処理に関連する特定の業務を遂行するのを支援する第三者のサービスプロバイダーです。
4.1 サブプロセッサーの利用
Benchmark Emailはユーザーに提供するサービスに関連して個人情報の処理を支援するため、サブプロセッサーを利用する場合があります。ただし、Benchmark Emailは当該サブプロセッサーが本DPAに定めるデータ保護義務を遵守することを保証するものとします。
4.2 サブプロセッサーの承認
ユーザーはBenchmark Emailが本サービスに関連して個人情報の処理を支援するため、サブプロセッサーを利用できることに同意します。Benchmark Emailは別紙3:サブプロセッサー一覧に記載される通り、サブプロセッサーの最新リストを維持します。Benchmark Emailは、GDPRで認められる最長期間内に新規サブプロセッサーの追加またはリストの変更についてユーザーに通知します。
ユーザーは正当なデータ保護上の懸念がある場合、新たなサブプロセッサーの起用に対して異議を申し立てる権利を有します。ユーザーは異議を文書でBenchmark Emailに提出しなければなりません。ユーザーが異議を申し立てた場合、Benchmark Emailはユーザーと協力して懸念事項に対処します。これには代替サブプロセッサーの選定や、問題を解決するためのその他の合理的な措置の実施が含まれる場合があります。
4.3 サブプロセッサーの義務
Benchmark Emailは関与するサブプロセッサーが、本DPAに定めるものと同等のデータ保護およびセキュリティ義務を提供する契約条項に拘束されることを保証します。これには、個人情報の機密性、セキュリティ、および適切な取り扱いに関する義務が含まれます。
4.4 サブプロセッサーに対する責任
Benchmark Emailは本DPAの履行に関連してサブプロセッサーが行った作為及び不作為について、自ら直接サービスを提供した場合と同等の範囲で責任を負います。サブプロセッサーがデータ保護義務を遵守しなかった場合、Benchmark Emailは状況を是正し、ユーザーへの潜在的な損害を軽減するために合理的な措置を講じます。
5. データ主体の権利
Benchmark Emailはデータ主体権利に関してGDPRに基づく義務を履行するにあたり、ユーザー(データ管理者)を支援します。
ユーザーはデータ主体の要求への対応について引き続き責任を負い、Benchmark Emailは以下の方法で支援します:
- 本サービスの一環としてBenchmark Emailはユーザーが個人情報の取得、修正、削除、または利用制限を行うために利用できる複数の機能を提供します。ユーザーはデータ主体からの要求への対応に関するデータ保護法上の義務の履行を支援するために、これらの機能を利用することができます。
- アクセス権:Benchmark Emailはデータ主体からの要求に応じて、当該データ主体が自身の個人情報にアクセスできるようユーザーを支援します。
- 訂正権:Benchmark Emailはユーザーが不正確または不完全な個人情報を更新または修正するお手伝いをいたします。
- 消去権:GDPRの適用範囲内で、データ主体が自身の個人情報の消去を要求した場合、Benchmark Emailはユーザーが当該要求を満たすよう支援します。
- 処理の制限を受ける権利:データ主体が自身の個人情報の処理制限を要求した場合、Benchmark Emailはユーザーを支援します。
- データポータビリティ権:Benchmark Emailはデータ主体のデータポータビリティ権に基づき、ユーザーのご要望に応じて、構造化され機械可読な形式で個人情報を提供します。
- 異議申立て権:Benchmark Emailはデータ主体が自身の個人情報の処理に対して異議を申し立てた場合、ユーザーがこれに対応するお手伝いをいたします。
Benchmark Emailはデータ主体から直接受け取った要求について、法律で禁止されている場合を除き、速やかにユーザーに通知し、ユーザーの指示に従ってこれらの要求の処理を支援します。
Benchmark Emailはデータ主体の権利に関する要求の処理および対応にあたって、合理的なセキュリティ対策が講じられていることを保証します。
6. データ漏洩通知
個人情報漏洩が発生した場合、Benchmark EmailはGDPRの要件に従い、遅滞なく、かつ侵害を認識してから72時間以内に、不当な遅延なく速やかにユーザーに通知します。通知には入手可能な場合、以下の情報を含みます:
- 個人情報漏洩の性質に関する説明(影響を受けた個人情報のカテゴリー、および関与したデータ主体および個人情報の記録のおおよその数を含む)。
- 個人情報漏洩の想定される影響。
- Benchmark Emailが個人情報漏洩に対処するために講じた、または講じる予定の措置の説明。これには、その潜在的な悪影響を軽減するための措置も含まれる。
Benchmark Emailが72時間以内に必要な情報をすべて提供しなかった場合、遅延の理由を説明します。
Benchmark EmailはGDPRに従い、データ主体および関連する監督当局への必要な通知を含む、違反の管理においてユーザーと協力します。また、違反に関連する必要な書類の提供についてもユーザーを支援します。
通知および支援はユーザーがGDPRに基づく義務(違反通知の期限遵守を含む)を履行できるよう提供されます。
7. 国際移転
Benchmark Emailは欧州経済領域(EEA)外の国々を含む、世界中のあらゆる場所で個人情報を処理する場合があります。これらの国々ではデータ保護の水準がEEAで提供されるものと同等ではない可能性があります。いずれの場合もBenchmark EmailはGDPRおよびその他の適用されるデータ保護法に準拠して個人情報を保護するための適切な安全対策を講じます。
7.1 適正性判断
Benchmark Emailが個人情報を欧州委員会または関連当局により個人情報に対する適切な保護水準を提供していると認められた国へ移転する場合、追加的な保護措置は不要です。該当する国のリストは欧州委員会のウェブサイトで確認できます。
7.2 標準契約条項(SCCs)
該当する場合Benchmark Emailは欧州委員会が承認した標準契約条項(SCC)を使用し、EEA域外への個人情報の準拠した移転を促進します。詳細は、別紙4:標準契約条項をご参照ください。
7.3 英国におけるデータ移転
英国データ保護法が適用される移転に関しては、SCCは適用される場合に限り適用され、英国付録に規定される通り修正されたものとみなされる。英国付録は、当事者により締結されたものとみなされ、本DPAに組み込まれ、その不可分の一部を構成する。さらに、英国付録の関連する表は、関連するSCCの付属書I及びIIに記載された情報により記入済みとみなされる。
7.4 スイスにおけるデータ移転
スイスデータ保護法が適用される移転に関しては、SCCは該当する場合、以下の修正を伴って適用されるものとする:
- 「規則(EU)2016/679」への言及は、スイスデータ保護法への言及と解釈されるものとする。
- 「規則(EU)2016/679」の特定の条項への言及は、スイス個人情報保護法(DPA)の相当する条項または節に置き換えるものとする。
- 「EU」、「連合」、「加盟国の法律」への言及は「スイス」に置き換えるものとする。
- スイス法で要求される場合、その他の変更が適用されることがあります。
7.5 追加的な安全保障措置
Benchmark Emailが十分性認定または標準契約条項(SCCs)の対象外となる管轄区域において個人情報を処理する場合、GDPRに準拠した個人情報の保護を確保するため、拘束的企業規則(BCRs)、承認された行動規範、または認証などの追加的な保護措置が実施される場合があります。
7.6 サブプロセッサーへのデータ移転
Benchmark Emailが欧州経済領域(EEA)域外に所在するサブプロセッサーを利用する場合、Benchmark Emailは、サブプロセッサーが国際的なデータ移転に関して同等の保護措置の対象となることを保証します。これには標準契約条項(SCC)またはその他の承認された移転メカニズムの使用が含まれます。
8. データの保持と削除
Benchmark EmailはDPAの条項、ユーザーの指示、および適用される法令に従い、収集目的を達成するために必要な期間のみ個人情報を保持します。
8.1 保持期間
Benchmark Emailは適用される法令によりより長い保存期間が要求または許可される場合を除き、ユーザーとの契約期間中、個人情報を保持します。保存期間終了後、Benchmark Emailは内部のデータ保持ポリシーに従い、個人情報を削除または匿名化します。
8.2 契約終了時の削除または返還
本規約の終了または満了時Benchmark Emailは合理的な措置を講じ、ユーザーが選択した場合に限り、当社が保有または管理する全てのユーザーデータを削除または返却するためのツールを提供します。ただし適用される法令または業界規則によりユーザーデータの一部または全部の保持が義務付けられている場合、またはバックアップシステムにアーカイブされたユーザーデータについては、本義務は適用されません。かかる場合Benchmark Emailは適用される法令で要求される場合を除き、顧客データを安全に隔離し、それ以上の処理から保護し、最終的にBenchmark Emailの削除方針に従って削除します。
8.3 法的義務に基づく継続的なデータ保持
適用される法令により、本契約期間を超えて特定の個人情報を保持することが義務付けられる場合、Benchmark Emailは法的義務を履行するために必要な期間のみ当該データを保持することを保証します。
8.4 削除プロセス
個人情報が削除された後、Benchmark Emailは法的、規制上、または事業上の目的でデータを保持する必要がある場合を除き、データが安全に消去され復元不可能となるよう合理的な措置を講じます。
9. 修正と更新
Benchmark Emailはデータ保護法、規制要件、または提供サービスの変更を反映するため、随時本DPAを更新または修正する場合があります。かかる変更はすべてユーザーに通知されます。
9.1 変更に関する通知
Benchmark Emailは本DPAへの重要な変更について、ユーザーに合理的な事前通知を行います。通知は変更の内容に応じて、電子メール、ユーザーのアカウント経由、またはその他の合理的な手段により提供される場合があります。ユーザーは更新の効力発生日以降もBenchmark Emailのサービスを引き続き利用することにより、更新されたDPAを受け入れたものとみなされます。
9.2 改正
法的または規制上の理由により変更が必要な場合、Benchmark Emailはユーザーへの事前通知なしに本DPAを更新することがあります。ただしユーザーには合理的に可能な限り速やかに通知されます。
9.3 準拠法および管轄裁判所
本DPAに対するいかなる修正も、Benchmark Emailと顧客間の基本利用規約に規定される準拠法および管轄条項を含む、同一の条件に従って適用されるものとします。
10. 責任
10.1 責任
本DPA(SCCを含む)に起因または関連して生じる各当事者およびその関連会社全体の責任は、Benchmark Emailと顧客間の利用規約に定める免責事項および責任制限の対象となる。
10.2 権利の独占性
本DPA(該当する場合、SCCを含む)に基づき、またはこれに関連してBenchmark Emailまたはその関連会社に対して行われるいかなる請求も、適用法令により別段の定めがある場合を除き、本契約の当事者である顧客エンティティのみが提起するものとする。
10.3 データ保護に関する権利
いかなる場合においてもいずれの当事者も、本DPAに基づく、またはその他のいかなる個人のデータ保護権利に関する責任を、GDPRまたは適用されるデータ保護法で要求される範囲において制限してはならない。
11. 本規約との関係
本DPAはBenchmark Emailと顧客間の利用規約の不可分の一部を構成します。本DPAの規定と利用規約の規定との間に矛盾が生じた場合、個人情報の処理に関しては本DPAの規定が優先されます。
11.1 契約期間および解除
本DPAはBenchmark Emailがユーザーに代わって顧客データを処理する限り、またはBenchmark Emailとユーザー間の契約が終了するまで(かつ、上記第8.2項に従い全ての顧客データが返却または削除されるまで)有効とする。
11.2 準拠法
本DPAは適用されるデータ保護法により別段の定めがある場合を除き、本規約の準拠法および管轄に関する規定に従い、これに基づいて解釈されるものとします。
11.3 現在のバージョン
当事者は本DPAが、本サービスに関連して当事者が以前に締結した既存のデータ処理契約または類似の文書に取って代わることに合意する。
12. その他
12.1 不可抗力
Benchmark Emailは自然災害、戦争、テロリズム、政府の行為、停電、その他の不可抗力事由を含むがこれらに限定されない、合理的な支配を超える状況に起因する本DPAに基づく履行の遅延または不履行について、一切の責任を負わないものとします。詳細は、利用規約の不可抗力条項を参照してください。
12.2 規定の分離可能性
本DPAのいずれかの条項が、管轄権を有する裁判所により無効、違法、または執行不能と判断された場合でも、残りの条項は完全に効力を有するものとします。
12.3 全体契約
本DPAは利用規約および参照により組み込まれるその他の契約とともに、個人データの処理に関する当事者間の完全な合意を構成します。本DPAの主題に関連するいかなる事前合意、了解事項、または表明も、本DPAによって置き換えられ、無効となります。詳細については、利用規約の「完全合意条項」を参照してください。
12.4 権利放棄
本DPAの権利または規定を当社が執行しなかった場合でも、当該権利または規定の放棄を構成するものではありません。いかなる放棄も、書面によるものでなければ効力を生じません。
12.5 紛争解決
本DPAに起因または関連して生じる紛争は、利用規約に定める紛争解決規定に従って解決されるものとします。
12.6 譲渡
本規約または本規約に基づくユーザーの権利を、Benchmark Emailの事前の書面による同意なしに譲渡または移転することはできません。当社は合併、買収、資産売却の場合を含め、制限なく本規約を譲渡または移転することができます。
12.7 言語
本DPAは英語で作成されており、提供される翻訳は便宜上のものである。英語版と翻訳版との間に相違がある場合、英語版が優先される。
12.8 第三受益者の不在
本DPAは本契約の当事者の利益のために意図されたものであり、本契約に別段の定めがある場合を除き、いかなる第三者に対しても権利または利益を付与することを意図したものではありません。
別紙1:データ処理の詳細
1. データ処理の目的
個人情報の処理の目的は利用規約に記載されているサービスを提供することです。
2. 処理の内容
Benchmark Emailは利用規約に記載されているとおり、メールマーケティングおよび自動化ソフトウェアをサービスとして提供し、その他の関連サービスを提供します。本DPAに基づくデータ処理の対象は、顧客データです。顧客データは、利用規約(本DPAを含む)に従って処理されます。
3. データカテゴリ
以下のカテゴリーの個人情報が処理される場合があります:
- 連絡先情報:氏名、メールアドレス、電話番号、およびユーザーがBenchmark Emailに提供するその他の情報。
- ユーザーの請求情報:請求先住所、クレジットカード情報、その他の支払い情報;
- ユーザーの嗜好:メール購読状況、マーケティングに関する嗜好など;
- 行動データ:IPアドレス、ナビゲーションデータ、ブラウザデータ、クッキーデータ、メールとのインタラクション、クリック率など。
4. データ主体
個人情報が処理されるデータ主体には以下が含まれます:
- 本サービスを利用するユーザー;
- ユーザーの加入者、ユーザー、および潜在顧客;
- ユーザーのメールとやり取りする個人(ユーザーのウェブサイト訪問者やマーケティングメールの受信者を含む)。
5. 処理活動
個人情報に対して以下の処理活動が行われます:
- フォーム、メール、および連携によるデータ収集;
- データ保存(連絡先およびやり取り情報の保持を含む)
- レポート作成およびメール最適化のためのデータ分析;
- マーケティング目的(例:メール送信)における顧客データ
6. データの保持
Benchmark Emailは利用規約に記載されている通り、サービスの提供期間中、顧客データを処理します。個人情報の保持については、本DPAの第8条に記載されているベンチマーク・メールのデータ保持ポリシーに従って取り扱われます。
7. データ転送
あらゆるデータ移転、特に国境を越えるデータ移転については、第7条「国際移転」または付属書4「標準契約条項(SCCs)」の規定が適用されます。
8. サブプロセッサー
Benchmark Emailがデータ処理活動のために委託したサブプロセッサーの一覧は、別紙3:サブプロセッサー一覧に記載されています。
別添2:保安措置
本サービスに適用されるセキュリティ対策については、本規約に記載されています。
1. 組織的なセキュリティ対策
- データ保護責任者(DPO):Benchmark EmailはGDPRおよびその他のデータ保護規制への準拠を監督するため、データ保護責任者を任命しています。
- 従業員研修:個人情報の処理に関わる全従業員は、機密性、完全性、セキュリティを含むデータ保護原則に関する定期的な研修を受講します。
- アクセス制御:個人情報へのアクセスは、役割に基づいて権限のある担当者に限定されます。すべてのアクセスは記録され監視され、説明責任を確保します。
2. 技術的セキュリティ対策
- 暗号化:個人データは、業界標準の暗号化プロトコル(例:転送中のデータにはSSL/TLS、保存中のデータにはAES)を用いて、転送中および保存時に暗号化されます。
- データ完全性:当社は個人データの完全性を確保するための措置を実施しています。これには、伝送時および保存時のデータの正確性を検証するためのチェックサムおよびハッシュ関数が含まれます。
- 変更管理:Benchmark Emailは基盤となるインフラストラクチャやシステムコンポーネントを含むサービスへの変更を適用するためのポリシーと手順を維持し、品質基準が満たされていることを保証します。
- データ匿名化:適用可能な場合、Benchmark Emailは匿名化技術を採用し、機微な個人情報が不必要に開示されないよう確保します。
3. インシデント対応
- セキュリティ侵害管理:Benchmark Emailはセキュリティ侵害の検知、報告、管理に関する手順を確立しています。データ侵害が発生した場合、当社はDPA(データ処理契約)のデータ侵害通知条項に従い、速やかに顧客に通知します。
- インシデントログ:すべてのセキュリティインシデントは記録され、潜在的な脅威を特定し対処するために、ログは定期的に確認されます。
4. システムの可用性
- 冗長性とバックアップ:Benchmark Emailは地理的に分散したデータセンターやバックアップシステムを含む冗長化対策を採用し、障害発生時にも顧客データが利用可能な状態を維持します。
- 災害復旧:重大なシステム障害や災害発生時においても、サービスおよびデータ処理への影響を最小限に抑えるため、定期的にテストを実施する災害復旧計画を維持しています。
5. 継続的モニタリングと改善
- 脆弱性管理:Benchmark Emailは潜在的なセキュリティ上の弱点を特定し解決するため、定期的な脆弱性評価と侵入テストを実施しています。
- セキュリティ監査:当社のセキュリティ対策は、業界のベストプラクティスおよびGDPRへの準拠を確保するため、定期的に独立した監査を実施しています。
別添3: サブプロセッサー一覧
1. サブプロセッサーの一覧
Benchmark Emailはサービスの提供を支援するため、以下のサブプロセッサーを利用しています:
| サブプロセッサー | Location | 使用 |
|---|---|---|
| Amazon AWS | USA, Japan | ホスティング、データストレージ、分析 |
| Auth0 | USA | 顧客認証と認可 |
| BenchmarkONE | USA | CRMとメールによる顧客コミュニケーション |
| CD Networks | USA | ネットワーク接続性 |
| Cloudflare | Global | コンテンツ配信、セキュリティ、不正利用防止、DNSサービス |
| Command | USA | ユーザーとのアプリ内コミュニケーション |
| DNS Made Easy | USA | DNSサービス |
| FullStory | USA | 製品利用状況分析 |
| USA | データストレージ、ウェブサイト分析 | |
| HelpScout | USA | カスタマーサポートチケットおよびチャット・メールによるユーザーとのコミュニケーション |
| Intercom | USA | アプリ内およびメールによる顧客とのコミュニケーション |
| Kickbox | USA | リスト照合 |
| LiveChat | USA | チャットによるユーザーとのコミュニケーション |
| OpenAI | USA | AI搭載機能 |
| Slack | USA | 社内コミュニケーションとコラボレーション |
| Zendesk | USA | カスタマーサポートチケットとメールによる連絡 |
2. サブプロセッサーの更新
Benchmark Emailは必要に応じてこのリストを更新します。新規のサブプロセッサーの追加または本リストの変更については、DPAの第4条「サブプロセッサー」に規定された条件に従い、ユーザーに通知されます。
別紙4:標準契約条項(SCCs)
第I節
第1条 - 目的及び範囲
(a) 本標準契約条項の目的は、個人データの第三国への移転に関して、欧州議会及び理事会による2016年4月27日付規則(EU)2016/679(一般データ保護規則)が定める要件への準拠を確保することにある。
(b) 当事者:(i) 別紙Iに記載される個人データを移転する自然人または法人、公的機関、代理店、その他の団体(以下「主体」という)、および(ii) データ移転者から直接または間接的に(本条項の当事者である別の主体を経由して)個人データを受領する第三国の主体(以下「データ受領者」という)。A に記載される、個人データを移転する自然人または法人、公的機関、代理店、その他の団体(以下「データ輸出者」という)、および(ii) データ輸出者から、直接または間接的に、本条項の当事者である別の主体を経由して個人データを受領する第三国の主体(以下「データ輸入者」という)は、本標準契約条項(以下「本条項」という)に合意した。
(c) 本条項は、別紙I.Bに規定される個人データの移転に関して適用される。
(d) 本条項の付属書に含まれる、本条項で言及されている附属書は、本条項の不可分の一部を構成する。
第2条 - 条項の効力及び不変性
(a) 本条項は、規則(EU)2016/679の第46条(1)および第46条(2)(c)に基づき、執行可能なデータ主体の権利および効果的な法的救済手段を含む適切な保護措置を規定する。また、管理者から処理者へのデータ移転および/または処理者間のデータ移転に関しては、規則(EU)2016/679の第28条(7)に基づく標準契約条項を定めるものである。ただし、適切なモジュールを選択する場合、または付録に情報を追加・更新する場合を除き、本条項を変更してはならない。これは、当事者が本条項に定める標準契約条項をより広範な契約に組み込むこと、および/または他の条項や追加的な保護措置を追加することを妨げるものではない。ただし、それらが本条項と直接的または間接的に矛盾せず、データ主体の基本的権利または自由を害しないことを条件とする。
(b) 本条項は、データ輸出者が規則(EU)2016/679に基づき負う義務を損なうものではない。
第3条 - 第三受益者
(a) データ主体は、以下の例外を除き、第三受益者として、データ輸出者及び/又はデータ輸入者に対し、本条項を援用し執行することができる:
(i) 第1条、第2条、第3条、第6条、第7条;
(ii) 第8条 – 第8.1条(b)、第8.9条(a)、(c)、(d)及び(e)
(iii) 第9条 – 第9条(a)、(c)、(d)及び(e)項;
(iv) 第12条 – 第12条(a)、(d)及び(f)項;
(v) 第13条;
(vi) 第15条第1項(c)、(d)及び(e)
(vii) 第16条(e)項;
(viii) 第18条 – 第18条(a)及び(b)
(b) (a)項は、規則(EU)2016/679に基づくデータ主体の権利を損なうものではない。
第4条 - 解釈
(a) 本条項において、規則(EU)2016/679で定義される用語を使用する場合、それらの用語は当該規則におけるのと同一の意味を有するものとする。
(b) 本条項は、規則(EU)2016/679の規定に照らして読み解釈されるものとする。
(c) 本条項は、規則(EU)2016/679に規定される権利及び義務と矛盾する形で解釈してはならない。
第5条 - 階層
本条項と、本条項が合意された時点またはその後締結された当事者間の関連契約の規定との間に矛盾が生じた場合、本条項が優先する。
第6条 移転の内容の説明
移転の詳細、特に移転される個人情報のカテゴリーおよび移転の目的は、別紙I.Bに明記されている。
第7条 - ドッキング条項
(a) 本条項の当事者でない事業体は、当事者の合意を得て、付属書に記入し附属書I.Aに署名することにより、データエクスポーターまたはデータインポーターとして、いつでも本条項に加入することができる。
(b) 付属書を作成し、附属書I.Aに署名した時点で、加入主体は本条項の締約者となり、附属書I.Aにおける指定に基づき、データエクスポーターまたはデータインポーターとして権利及び義務を有するものとする。
(c) 加盟する事業体は、締約国となる前の期間について、本条項から生じる権利及び義務を有しない。
第II節 - 当事者の義務
第8条 - データ保護の安全措置
データエクスポーターはデータインポーターが適切な技術的及び組織的措置の実施を通じて、本条項に基づく義務を履行できることを確認するために合理的な努力を払ったことを保証する。
8.1 手順
(a) データエクスポーターはデータインポーターからの文書化された指示に基づいてのみ個人情報を処理するものとする。データエクスポーターは、契約期間中を通じてかかる指示を与えることができる。
(b) データインポーターは、当該指示に従うことができない場合、直ちにデータエクスポーターに通知しなければならない。
8.2 利用目的の限定
データインポーターは、データエクスポーターからの追加指示がない限り、別紙I.Bに定める移転の特定の目的のためにのみ個人情報を処理するものとする。
8.3 透明性
要求があった場合、データエクスポーターは当事者によって作成された付属書を含む本条項の写しを、データ主体に無償で提供しなければならない。営業秘密その他の機密情報(附属書IIに記載される措置及び個人データを含む)を保護するために必要な範囲において、データエクスポーターは本条項の付属書の文面の一部を共有前に編集することができるが、データ主体がその内容を理解したり権利を行使したりすることができなくなる場合には、意味のある要約を提供しなければならない。要請があった場合、当事者は、削除された情報を開示することなく可能な範囲で、削除の理由をデータ主体に提供するものとする。本条項は、規則(EU)2016/679の第13条及び第14条に基づくデータエクスポーターの義務を妨げるものではない。
8.4 正確性
データインポーターが、受領した個人情報が不正確であること、または古くなったことを認識した場合、遅滞なくデータエクスポーターに通知しなければならない。この場合、データインポーターはデータエクスポーターと協力して当該データの消去または訂正を行うものとする。
8.5 処理期間およびデータの消去または返却
データエクスポーターによる処理は附属書I.Bに規定された期間に限り行われるものとする。処理サービスの提供終了後、データインポーターはデータエクスポーターの選択に基づき、データエクスポーターに代わって処理された全ての個人情報を削除し、その旨をデータエクスポーターに証明するか、またはデータエクスポーターに代わって処理された全ての個人情報をデータエクスポーターに返却し、既存のコピーを削除するものとする。データが削除または返還されるまで、データインポーターは本条項の遵守を継続して確保するものとする。データインポーターに適用される現地法が個人情報の返還または削除を禁止する場合、データインポーターは本条項の遵守を継続して確保し、当該現地法で要求される範囲および期間に限り処理を行うことを保証する。これは、特に第14条(e)に基づくデータインポーターが、契約期間中、第14条(a)の要件に合致しない法令または慣行の対象となっている、またはその恐れがあると信じる理由がある場合にデータエクスポーターに通知する義務を含む、第14条の規定に影響を与えない。
8.6 処理の安全性
(a) データインポーター及び、伝送中はデータエクスポーターもデータの安全性を確保するため、適切な技術的及び組織的措置を実施するものとする。これには、当該データ(以下「個人情報漏洩」という)の偶発的又は違法な破壊、紛失、改変、不正な開示又はアクセスにつながるセキュリティ侵害からの保護が含まれる。適切なセキュリティ水準を評価するにあたり、当事者は、技術水準、実施コスト、処理の性質、範囲、文脈及び目的、並びにデータ主体にとっての処理に伴うリスクを十分に考慮するものとする。特に、処理の目的が達成可能な場合には、伝送中を含め、暗号化または仮名化の利用を検討するものとする。仮名化の場合、個人情報を特定のデータ主体に帰属させるための追加情報は、可能な限りデータエクスポーターの独占的管理下に置かれるものとする。本項に基づく義務を遵守するため、データインポーターは少なくとも附属書IIに規定される技術的及び組織的措置を実施するものとする。データエクスポーターは、これらの措置が引き続き適切なセキュリティレベルを提供していることを確認するため、定期的な点検を実施するものとする。
(b) データインポーターは契約の実施、管理及び監視に厳密に必要な範囲に限り、その従業員に対し個人情報へのアクセスを許可するものとする。データインポーターは、個人情報の処理を許可された者が守秘義務を遵守することを確約しているか、または適切な法定の守秘義務の下にあることを確保しなければならない。
(c) 本条項に基づきデータインポーターが処理する個人情報に関する個人情報漏洩が発生した場合、データインポーターはその悪影響を軽減するための措置を含む、侵害に対処するための適切な措置を講じなければならない。データインポーターはまた、漏洩を認識した後、遅滞なくデータエクスポーターに通知するものとする。当該通知には、詳細情報を入手できる連絡先、漏洩の性質(可能な場合には、関連するデータ主体及び個人情報記録のカテゴリー及びおおよその数を含む)、その予想される結果、及び漏洩に対処するために講じた又は提案する措置(適切な場合には、その悪影響を軽減するための措置を含む)に関する説明を含めるものとする。すべての情報を同時に提供することが不可能な場合、初期通知にはその時点で入手可能な情報を含め、追加情報は入手次第、遅滞なく提供されるものとする。
(d) データインポーターはデータエクスポーターが規則(EU)2016/679に基づく義務を遵守できるよう、特に処理の性質及びデータインポーターが入手可能な情報を考慮して、管轄監督当局及び影響を受けるデータ主体への通知を行うため、データエクスポーターと協力し支援しなければならない。
8.7 機密情報
個人情報の移転が、人種的・民族的出身、政治的意見、宗教的または哲学的信条、労働組合への加盟、自然人を個別に識別する目的の遺伝データまたは生体認証データ、健康に関するデータ、個人の性生活または性的指向に関するデータ、刑事上の有罪判決および犯罪に関するデータ(以下「機微なデータ」という)を明らかにするものである場合、データ輸入者は附属書I.Bに記載される特定の制限および/または追加的な保護措置を適用しなければならない。
8.8. 転送
データインポーターはデータエクスポーターからの文書化された指示に基づき、第三者にのみ個人情報を開示するものとする。さらに、欧州連合域外(データ輸入者と同じ国または他の第三国、以下「第三国への転送」)に所在する第三者に対してデータを開示できるのは、当該第三者が本条項に拘束されること、または適切なモジュールに基づき拘束されることに同意する場合、もしくは以下のいずれかに該当する場合に限る: (i) 当該転送先が、EU規則2016/679第45条に基づく十分性認定の恩恵を受ける国であり、かつ当該認定が転送をカバーする場合;(ii) 第三者が、当該処理に関してEU規則2016/679第46条または第47条に基づく適切な保護措置を別途確保する場合; (iii) 特定の行政、規制または司法手続における法的請求の確立、行使または防御のために転送が必要である場合;または(iv) データ主体または他の自然人の生命・身体の保護のために転送が必要である場合。いかなる転送も、データインポーターが本条項に基づくその他のすべての保護措置(特に目的限定)を遵守することを条件とする。
8.9 文書化とコンプライアンス
(a) データインポーターは、本条項に基づく処理に関連するデータエクスポーターからの問い合わせに対し、迅速かつ適切に対処するものとする。
(b) 当事者は本条項への遵守を実証できるものとする。特にデータインポーターは、データエクスポーターに代わって行われる処理活動について適切な文書を保持するものとする。
(c) データインポーターは、本条項に定める義務の遵守を証明するために必要なすべての情報をデータエクスポーターに提供し、かつデータエクスポーターの要請に応じて、合理的な間隔で、または遵守違反の兆候がある場合に、本条項の対象となる処理活動に関する監査の実施を許可し、これに協力しなければならない。審査または監査の実施を決定するにあたり、データエクスポーターはデータインポーターが保有する関連認証を考慮することができる。
(d) データエクスポーターは、自ら監査を実施するか、独立した監査人に委託するかを選択できる。監査には、データインポーターの施設または物理的設備における立入検査を含めることができ、適切な場合には、合理的な事前通知をもって実施されるものとする。
(e) 当事者は、(b)項及び(c)項に規定する情報(監査の結果を含む)について、監督当局の要請に応じて、当該監督当局に提供するものとする。
第9条 - サブプロセッサーの利用
(a) データインポーターは、合意されたリストからサブプロセッサーを起用することについて、データエクスポーターから一般的な承認を得ている。データインポーターは、当該リストへのサブプロセッサーの追加または置換による変更を少なくとも10日前までに書面でデータエクスポーターに具体的に通知し、サブプロセッサーの起用前にデータエクスポーターが異議を申し立てる十分な時間を確保しなければならない。データインポーターは、データエクスポーターが異議申立権を行使するために必要な情報をデータエクスポーターに提供しなければならない。
(b) データインポーターが(データエクスポーターに代わって)特定の処理活動を実施するためにサブプロセッサーを起用する場合、当該起用は、データインポーターが本条項に基づき負うものと実質的に同一のデータ保護義務(データ主体のための第三者受益者権を含む)を定める書面による契約によって行わなければならない。当事者は、本条項を遵守することにより、データインポーターが第8.8条に基づく義務を履行することに合意する。データインポーターは、サブプロセッサーが本条項に基づきデータインポーターが負う義務を遵守することを確保するものとする。
(c) データインポーターはデータエクスポーターの要求に応じて、当該サブプロセッサー契約の写し及びその後の修正をデータエクスポーターに提供しなければならない。営業秘密その他の機密情報(個人情報を含む)を保護するために必要な範囲において、データインポーターは写しを共有する前に契約書の文言を編集することができる。
(d) データインポーターはデータエクスポーターに対し、下請処理業者がデータインポーターとの契約に基づく義務を履行することについて、引き続き全責任を負うものとする。データインポーターは下請処理業者が当該契約に基づく義務を履行しなかった場合、データエクスポーターに通知するものとする。
(e) データインポーターはサブプロセッサーとの間で第三者受益者条項を合意するものとする。これにより、データインポーターが事実上消滅した場合、法的に存在しなくなった場合、または支払不能に陥った場合、データエクスポーターはサブプロセッサー契約を解除する権利を有し、サブプロセッサーに対し個人情報の消去または返還を指示することができる。
第10条 - データ主体の権利
(a) データインポーターはデータ主体から受けた要求について、速やかにデータエクスポーターに通知しなければならない。データエクスポーターからその権限を付与されていない限り、当該要求に対して自ら応答してはならない。
(b) データインポーターはデータエクスポーターが、規則(EU)2016/679に基づく権利の行使を求めるデータ主体の要求に対応する義務を履行するにあたり、これを支援するものとする。この点に関し当事者は、附属書IIにおいて、支援が提供される方法、ならびに要求される支援の範囲及び程度を、処理の性質を考慮して、適切な技術的及び組織的措置として定めるものとする。
(c) データインポーターは(a)項及び(b)項に基づく義務を履行するにあたり、データエクスポーターからの指示に従わなければならない。
第11条 - 救済措置
(a) データインポーターは、苦情処理を扱う権限を有する連絡先について、個別通知または自社のウェブサイトを通じて、透明性があり容易にアクセス可能な形式でデータ主体に通知しなければならない。データ主体から受けた苦情には速やかに対処しなければならない。
(b) データ主体と当事者のいずれかとの間で、本条項の遵守に関して紛争が生じた場合、当該当事者は、当該問題を友好的にかつ適時に解決するために最善の努力を払うものとする。当事者は、かかる紛争について相互に情報を提供し、かつ、適切な場合には、その解決に協力するものとする。
(c) データ主体が第3条に基づき第三者受益者権を行使する場合、データインポーターはデータ主体の以下の決定を受け入れるものとする:
(i) 自己の常居所地または勤務地の加盟国の監督当局、または第13条に基づく管轄監督当局に苦情を申し立てること;
(ii) 第18条に定める管轄裁判所に紛争を付託する。
(d) 当事者はデータ主体が、規則(EU)2016/679第80条(1)に定める条件の下で、非営利団体、組織または協会によって代表される場合があることを認める。
(e) データインポーターは、適用されるEU法または加盟国法の下で拘束力のある決定に従わなければならない。
(f) データインポーターはデータ主体が行った選択が、適用される法令に従って救済を求める当該データ主体の実体的権利及び手続的権利を害するものではないことに同意する。
第12条 - 責任
(a) 各当事者は本条項の違反により他の当事者に生じさせた損害について、当該他の当事者に対し賠償責任を負う。
(b) データインポーターは本条項に基づく第三者受益者権を侵害することによりデータ主体に生じさせた一切の物的損害または非物的損害について、当該データ主体に対し賠償責任を負うものとし、データ主体は当該賠償を受ける権利を有する。
(c) (b)項にかかわらず、データインポーターは本条項に基づく第三者受益者権を違反することによりデータ主体に生じた一切の物的または非物的損害について、データ主体に対し賠償責任を負い、データ主体は賠償を受ける権利を有する。これは、データエクスポーターの責任、及びデータエクスポーターが管理者の代理として処理者である場合には、適用される規則(EU)2016/679または規則(EU)2018/1725に基づく管理者の責任を損なうものではない。
(d) 当事者はデータエクスポーターが(c)項に基づきデータインポーター(またはその下請け処理者)による損害について責任を負う場合、当該損害に対するデータインポーターの責任部分に対応する補償額をデータインポーターから返還請求する権利を有することに合意する。
(e) 本条項の違反によりデータ主体に生じた損害について、複数の当事者が責任を負う場合、当該責任を負う全ての当事者は連帯して責任を負い、データ主体はこれらの当事者のいずれに対しても裁判所に訴訟を提起する権利を有する。
(f) 当事者は一方の当事者が(e)項に基づき責任を負う場合、当該損害に対する責任割合に応じた補償額を相手方当事者から返還請求する権利を有することに合意する。
(g) データインポーターは自らの責任を回避するためにサブプロセッサーの行為を援用してはならない。
第13条 - 監督
(a) 附属書I.Cに示される通り、データ移転に関してデータエクスポーターが規則(EU)2016/679を遵守することを確保する責任を有する監督当局は、管轄監督当局として行動するものとする。
(b) データインポーターは本条項の遵守を確保するためのあらゆる手続において、管轄監督当局の管轄権に従うこと及び当該監督当局と協力することに同意する。特にデータインポーターは監督当局からの照会に応じ、監査を受け入れ、監督当局が採用した措置(是正措置及び補償措置を含む)に従うことに同意する。データインポーターは必要な措置が講じられたことを監督当局に書面で確認する。
第III節 – 公的機関によるアクセス時の現地法および義務
第14条 - 本条項の遵守に影響を及ぼす現地の法令及び慣行
(a) 当事者はデータインポーターによる個人情報の処理に適用される第三国における法令及び慣行(個人情報の開示を要求する要件、公的機関によるアクセスを許可する措置を含む)が、データインポーターが本条項に基づく義務を履行することを妨げるものではないと信じるに足る理由がないことを保証する。これは、基本権及び自由の本質を尊重し、かつ民主社会において規則(EU)2016/679第23条(1)に列挙された目的のいずれかを保護するために必要かつ均衡のとれた範囲を超えない法令及び慣行は、本条項と矛盾しないという理解に基づくものである。
(b) 当事者は(a)項に定める保証を提供にあたり、特に以下の要素を十分に考慮したことを宣言する:
(i) 移転の具体的な状況(処理チェーンの長さ、関与する関係者の数、使用される伝送経路を含む)、予定されている再移転、受領者の種類、処理の目的、移転される個人情報の種類及び形式、移転が行われる経済分野、移転されたデータの保管場所;
(ii) 移転の具体的な状況に照らして関連性のある、第三国における法令及び慣行(公的機関へのデータ開示を要求するもの、または当該機関によるアクセスを許可するものを含む)、ならびに適用される制限及び保護措置;
(iii) 本条項に基づく保護措置を補完するために講じられた、関連する契約上、技術上または組織上の保護措置(個人情報の送信時および送付先国における処理に適用される措置を含む)。
(c) データインポーターは(b)項に基づく評価を実施するにあたり、データエクスポーターに関連情報を提供するよう最善の努力を払ったことを保証し、かつ、本条項の遵守を確保するためデータエクスポーターと引き続き協力することに同意する。
(d) 当事者は(b)項に基づく評価を文書化し、要請に応じて管轄監督当局に提供することに合意する。
(e) データインポーターは本条項に合意した後かつ契約期間中、第三国の法令の変更、または当該法令の要件に合致しない実務上の適用を示す措置(開示要求など)を含む、本条項(a)項の要件に合致しない法令または慣行の対象となっている、または対象となったと信じるに足る理由が生じた場合、速やかにデータエクスポーターに通知することに同意する。(a)項の要件に合致しないことを示す措置(開示要求)
(f) (e)項に基づく通知を受けた後、またはデータエクスポーターがその他の理由でデータインポーターが本条項に基づく義務を履行できなくなったと信じるに足る理由がある場合、データエクスポーターは、当該状況に対処するため、データエクスポーターおよび/またはデータインポーターが採用すべき適切な措置(例:セキュリティおよび機密性を確保するための技術的または組織的措置)を速やかに特定するものとする。データエクスポーターは、当該移転に対する適切な保護措置を確保できないと判断した場合、または管轄監督当局から指示があった場合、データ移転を停止するものとする。この場合、データエクスポーターは、本条項に基づく個人情報の処理に関する契約について、契約を解除する権利を有する。契約が2者以上を当事者とする場合、データエクスポーターは、当事者間で別段の合意がない限り、関連する当事者に対してのみこの解除権を行使することができる。本条項に基づき契約が解除された場合、第16条(d)項及び(e)項が適用される。
第15条 - 公的機関によるアクセス時のデータ輸入者の義務
15.1 通知
(a) データインポーターは以下の場合に、データエクスポーター及び可能な場合にはデータ主体に対し(必要に応じてデータエクスポーターの協力を得て)速やかに通知することに同意する:
(i) これらの条項に基づき移転された個人情報の開示について、目的地の国の法令に基づき、司法当局を含む公的機関から法的拘束力のある要請を受けた場合。当該通知には、要請された個人情報、要請機関、要請の法的根拠及び提供された回答に関する情報が含まれるものとする;または
(ii) これらの条項に基づき移転された個人情報について、移転先の国の法令に従い公的機関による直接的なアクセスが行われたことを認識した場合、当該通知にはインポーターが入手可能なすべての情報を含めるものとする。
(b) データインポーターが、データエクスポート先の国の法令によりデータエクスポーター及び/又はデータ主体への通知が禁止されている場合、データインポーターは、可能な限り多くの情報を可能な限り速やかに伝達することを目的として、当該禁止の免除を得るために最善の努力を払うことに同意する。データインポーターは、データエクスポーターの要求に応じてこれを証明できるよう、最善の努力を払った事実を文書化することに同意する。
(c) データ受入国における法令で許容される場合、データ受入者は契約期間中、定期的にデータ提供者に対し、受領した要求に関する可能な限り多くの関連情報(特に、要求件数、要求されたデータの種類、要求機関、要求が異議申し立ての対象となったか否か及びその異議申し立ての結果等)を提供するものとします。
(d) データインポーターは契約期間中、(a)から(c)までの規定に従い情報を保存し、要請に応じて管轄監督当局に提供することに同意する。
(e) (a)から(c)までの各号は、データインポーターが本条項に準拠できない場合に速やかにデータエクスポーターに通知する義務(第14条(e)及び第16条に基づく)を妨げるものではない。
15.2 法的審査とデータ最小化
(a) データインポーターは開示要求の合法性、特に当該要求が要求を行う公的機関に付与された権限の範囲内にあるかどうかを審査することに同意し、慎重な評価の結果、当該要求が目的地の国の法令、国際法上の適用義務及び国際礼譲の原則に基づき違法であると考える合理的な根拠があると結論付けた場合には、当該要求に異議を申し立てるものとする。データインポーターは同様の条件のもとで、上訴の可能性を追求するものとする。要求に異議を申し立てる場合、データインポーターは管轄司法当局がその実体について決定を下すまで要求の効果を停止させることを目的として、暫定措置を求めるものとする。適用される手続規則に基づき開示が要求されるまで、要求された個人情報を開示してはならない。これらの要件は、第14条(e)に基づくデータインポーターの義務を損なうものではない。
(b) データインポーターは開示要求に対する法的評価及び異議申し立てを文書化し、かつ、受入国の法令で許容される範囲において、当該文書をデータエクスポーターに提供することに同意する。また、要請があった場合には、管轄監督当局にも提供するものとする。
(c) データインポーターは開示請求に応答するにあたり、当該請求の合理的な解釈に基づき、許容される最小限の情報を提供することに同意する。
第4節 - 最終規定
第16条 - 条項の違反および契約解除
(a) データインポーターは理由の如何を問わず、本条項を遵守できない場合には、速やかにデータエクスポーターに通知するものとする。
(b) データインポーターが本条項に違反した場合、または本条項を遵守できない場合、データエクスポーターは遵守が再び確保されるか契約が終了するまで、データインポーターの個人情報の移転を停止するものとする。これは第14条(f)項の規定を妨げない。
(c) データエクスポーターは本条項に基づく個人情報の処理に関する契約について、以下の場合には契約を解除する権利を有する:
(i) データエクスポーターが(b)項に基づきデータインポーターへの個人情報の移転を停止し、かつ、これらの条項への遵守が合理的な期間内に、いかなる場合でも停止から1か月以内に回復されない場合;
(ii) データインポーターが本条項に重大かつ継続的に違反している場合;または
(iii) データインポーターが本条項に基づく義務に関して管轄裁判所または監督当局の拘束力のある決定に従わない場合。この場合、当該不遵守について管轄監督当局に通知するものとする。契約が二者以上の当事者を対象とする場合、データエクスポーターは、当事者間で別段の合意がない限り、関連する当事者に対してのみ本解約権を行使することができる。
(d) (c)項に基づく契約終了前に移転された個人情報は、データエクスポーターの選択により、直ちにデータエクスポーターに返還されるか、または完全に削除されるものとする。データの複製物についても同様とする。データインポーターはデータエクスポーターに対し当該データの削除を証明するものとする。データが削除または返還されるまで、データインポーターは本条項の遵守を継続して確保しなければならない。データインポーターに適用される現地法が移転された個人情報の返還または削除を禁止する場合、データインポーターは本条項の遵守を継続して確保し、当該現地法で要求される範囲および期間に限りデータを処理することを保証する。
(e) いずれの当事者も以下の場合において、本条項に拘束されることに同意することを撤回することができる。(i) 欧州委員会が、本条項が適用される個人情報の移転を対象とする、規則(EU)2016/679第45条(3)に基づく決定を採択した場合、または (ii) 規則(EU)2016/679が、個人情報が移転される国の法的枠組みの一部となった場合。これは、当該処理に適用される規則(EU)2016/679に基づくその他の義務に影響を与えない。
第17条 - 準拠法
本条項は適用されるデータ保護法により別段の定めがある場合を除き、DPA第11.2条およびBenchmark Email利用規約に規定される管轄区域の法律に準拠するものとします。
第18条 裁判地の選択及び管轄権
(a) 本条項に起因する紛争は、DPA および Benchmark Email 利用規約の第 11.2 条に規定される管轄区域の裁判所によって解決されるものとします。(b) 当事者は、DPA および Benchmark Email 利用規約の第 11.2 条に規定される管轄区域の裁判所が当該裁判所であることに合意します。(c) データ主体は、その常居所がある加盟国の裁判所において、データエクスポーターおよび/またはデータインポーターに対して訴訟を提起することもできる。
標準契約条項の付録
別紙 I
A. 関係当事者一覧
データエクスポーター:
1. ユーザーとはデータ処理補遺が添付されているBenchmark Emailの利用規約において定義される当該用語を指します。
データインポーター:
1. 名称:Polaris Software株式会社
所在地: 3636 S. Geyer Road, Suite 100, St Louis, MO 63127 USA.
担当者名、役職、連絡先:support@benchmarkemail.com
本条項に基づき転送されるデータに関連する活動:メールマーケティングサービス
署名および日付:標準契約条項はユーザーがBenchmark Emailの利用規約およびデータ処理補遺(DPA)に同意した日に発効するものとします。ユーザーが本DPA締結後にBenchmark Emailのクライアントとなった場合、標準契約条項はユーザーが利用規約およびDPAに同意した日に発効したものとみなされます。
役割(管理者/処理者):処理者
B. 移転の説明
個人情報の移転対象となるデータ主体のカテゴリー:ユーザーは本サービスによる処理のために提出されるユーザー個人情報の範囲を決定し管理します。これには以下の個人情報が含まれる場合があります:(1) ユーザー - ユーザーのアカウントを通じて本サービスにアクセスおよび/または利用する個人 (2) 購読者 - ユーザーの配信リストに含まれるメールアドレスの所有者/本サービス上に情報が保存される者/本サービスを通じて収集される情報を持つ者/ユーザーが本サービス経由でメール送信、その他の関与または通信を行う者。
移転される個人情報のカテゴリー:移転される個人情報は以下のカテゴリーのデータに該当します:(1) ユーザー:識別および連絡先データ(氏名、連絡先情報(メールアドレスを含む)、ユーザー名); 請求情報(請求先住所、支払い情報);組織情報(名称、住所、地理的位置、管轄区域、VATコード)、IT情報(IPアドレス、利用データ、クッキーデータ、オンライン閲覧データ、位置情報、ブラウザデータ、アクセス端末情報);(2) 購読者:メールアドレスおよびユーザーがBenchmark Emailに提供するその他の追加情報。
機微なデータの移転(該当する場合)およびデータの性質と関連リスクを十分に考慮した制限または保護措置(例:厳格な目的限定、アクセス制限(専門訓練を受けたスタッフのみへのアクセスを含む)、データアクセス記録の保持、再移転制限または追加セキュリティ対策):機微なデータは一切Benchmark Emailに移転されません。
転送の頻度:データは、利用規約に記載されているとおり、サービスの提供期間中、継続的に転送されます。
処理の性質:Benchmark Emailは利用規約に記載の通り、注文確認書、発注書類またはオンライン登録に基づき、ユーザーがメールアドレスを収集し、メールプロモーションの作成、送信、追跡を行う手段(「サービス」)およびその他のサービスを提供するものです。
データ転送およびさらなる処理の目的:本DPAに基づくデータ処理の目的は、サービスの提供です。
個人情報の保存期間、またはそれが不可能な場合の保存期間決定基準:データはサービス提供期間中保存されます。ただし、適用法令により顧客データの一部または全部の保存が義務付けられる場合、または顧客データをバックアップシステムにアーカイブした場合(当該データが適用法令で要求される範囲を除き、安全に隔離され、さらなる処理から保護されている場合)には、この規定は適用されません。
(サブ)プロセッサーへの移転については、処理の対象、性質、期間も明記すること:個人情報はユーザーにサービスを提供するため、Benchmark Emailのサブプロセッサーに移転される場合があります。サブプロセッサーは、サービスの提供期間中、または法令で要求される場合はそれ以上の期間にわたって行われるべきです。
C. 管轄監督当局
第13条に従い、管轄監督当局を特定すること:
顧客データの移転に関して、EU規則2016/679(GDPR)の遵守を確保する管轄監督機関は、ユーザーの管轄区域におけるデータ保護機関(DPA)です。該当する監督機関は、EDPBの監督機関ディレクトリ(参照先:EDPB Supervisory Authorities)に記載されているユーザー(データエクスポーター)の所在地に基づいて決定されます。
欧州連合(EU)または欧州経済領域(EEA)に所在するユーザーについては、ユーザーの所在国のデータ保護当局が管轄当局となります。英国(UK)に所在するユーザーについては、情報コミッショナー事務局(ICO)が管轄当局となります。スイスに所在するユーザーについては、連邦データ保護・情報コミッショナー(FDPIC)が関連当局となります。
国境を越えたデータ処理の場合、欧州データ保護委員会(EDPB)が紛争解決に関与することがあり、特にGDPRで定義されるワンストップショップ制度の下で関与する可能性がある。
別添II
技術的及び組織的措置(データの安全性を確保するための技術的及び組織的措置を含む)
DPAの別紙2「セキュリティ対策」をご参照ください。
別添 III
サブプロセッサー一覧
DPAの別添3「サブプロセッサー一覧」をご参照ください。
最終更新日2025年10月15日
