データ保護補足契約

1. はじめに

本データ保護補足契約（以下「補足契約」といいます）は、オーストラリア・ニューサウスウェールズ州の法人であるPortant PTY LTD.（以下「Portant」といいます）と、お客様がPortantのサービスを利用するために正式に登録した日を開始日として、お客様との間で合意されるものです。本補足契約は、Portantとお客様の間で締結されたPortantのサービス提供に関する契約（以下「利用規約」といいます）に従い、Portantによる顧客個人データの取り扱いを規定します。

2. 用語の定義

本附属書において、以下の定義が適用されます。本附属書で定義されていない大文字の用語は、利用規約において付与された意味を持つものとします。
2.1. 「関連事業体」とは、参照する事業体を直接または間接的に支配している、参照する事業体によって支配されている、または参照する事業体と共通の支配下にある事業体を指します。ここで「支配」とは、議決権を有する株式の所有、契約、またはその他の方法により、参照する事業体の経営を指導または影響する権限を意味します。
2.2. 「CCPA」とは、改正を含む2018年カリフォルニア州消費者プライバシー法を指します。
2.3. 「顧客個人データ」とは、個人データに該当する顧客データ（利用規約に定義されるもの）を包含します。本補足契約において、顧客個人データには、Portantと直接ビジネス上の取引を行うお客様の従業員または代表者の個人情報は含まれません。
2.4. 「プライバシー法令」とは、各当事者について、EU プライバシー法令および CCPA を含む、当事者による個人データの取り扱いに適用されるすべてのプライバシー、データ保護、および情報セキュリティに関する法律および規制を指します。
2.5. 「データ個人」とは、個人データが関係する、識別された、または識別可能な自然人を指します。
2.6. 「EU プライバシー法令」とは、改正を含む欧州連合規則2016/679（「GDPR」）およびGDPRを実施する各国の法律を指します。
2.7. 「処理」とは、自動化された手段の有無にかかわらず、個人データまたは個人データのセットに対して実行されるあらゆる操作または一連の操作を指します。例えば、収集、記録、整理、構造化、保存、適応、検索、参照、使用、送信による開示、普及、整合、結合、制限、消去、または破壊が含まれます。
2.8. 「個人データ」とは、プライバシー法令によって定義および規制される「個人データ」、「個人情報」、「個人を特定できる情報」、またはこれらに類する情報を指します。
2.9. 「セキュリティ事故」とは、Portantが処理する個人データの偶発的または不法な破壊、紛失、改ざん、不正開示、またはアクセスをもたらす、確認された不正または不法なセキュリティ侵害を指します。セキュリティ事故には、個人データのセキュリティを損なわない失敗した試みや活動（例えば、ログイン試行の失敗、ping、ポートスキャン、サービス拒否攻撃、またはファイアウォールやネットワークシステムへのその他の攻撃）は含まれません。
2.10. 「サブプロセッサー」とは、Portantまたはその関連事業体によって、顧客個人データを処理することを承認された第三者を指します。
2.11. 「外部サブプロセッサー」とは、Portantに所属しないサブプロセッサーを指します。
2.12. 「EU-US データ・プライバシー・フレームワーク（DPF）」とは、2023年7月10日に発効した、EUから米国の認定組織への個人データ移転を認める欧州委員会が採択したフレームワークを指します。

3. 一般規定および終了

3.1. 本附属書は利用規約の不可欠な一部を構成します。本附属書に明示的な記載がない限り、利用規約は変更されず、完全に効力を持ちます。本附属書と利用規約の間に矛盾が生じた場合は、本附属書が優先されます。
3.2. 本附属書に基づいて発生するいかなる責任も、利用規約に規定される責任制限に従います。
3.3. 本附属書の準拠法および解釈は、プライバシー法令が別途定める場合を除き、利用規約内の準拠法および裁判管轄に関する規定に従います。
3.4. 本附属書は、利用規約の終了または満了と同時に自動的に終了します。

4. 本補足契約の範囲

本補足契約は、利用規約に基づくPortantによる顧客個人データの処理を規定します。ただし、本附属書の附属書A（EU附属書）は、EU プライバシー法令が適用される顧客個人データの処理にのみ適用され、附属書B（カリフォルニア州附属書）は、CCPAが適用される顧客個人データの処理にのみ適用されます。

5. 処理の役割と範囲

5.1. Portantは、お客様の指示に従ってのみ顧客データを処理するものとします。利用規約に同意することにより、お客様はPortantに対し、サービスの提供のため、およびお客様が提供しPortantが本附属書の目的における指示として書面で承認したその他の書面による指示に従って、顧客データを処理するよう指示するものとします。お客様は、当該指示によりPortantが（a）利用規約に基づく責務を果たし権利を行使するため、および（b）法的義務を遵守し、利用規約に関連する法的請求を設定、行使、または防御するために、顧客データを処理することを承認することを認識し、同意するものとします。
5.2. 明確にするために申し上げますと、本附属書のいかなる規定も、お客様がサービスを通じて指示した通りに、Portantがソースおよびデスティネーションとの間で顧客データを送受信することを制限するものではありません。両当事者は、ソースもデスティネーションもPortantのサブプロセッサーではないこと、および両当事者間において、ソースおよびデスティネーションまたはそれらに関連する当事者による顧客個人データの処理、ならびにその他の行為および不作為についての責任は、お客様が単独で負うものであることに同意します。

6. サブ処理

6.1. お客様は、Portantがその関連事業体をサブプロセッサーとして利用することを明示的に許可し、また顧客個人データを処理するために外部サブプロセッサーを起用することを一般的に承認します。Portantは、
6.1.1. 各サブプロセッサーとの間で書面による契約を締結し、本附属書に規定するものと実質的に同等のデータ保護義務を課すものとします。また、
6.1.2. 本附属書の義務を遵守する責任を負い、サブプロセッサーの行為または不作為によってPortantが本附属書に基づく義務のいずれかに違反した場合についても、責任を負い続けるものとします。
6.2. 新たな外部副処理者を起用する際、PortantはSubprocessor Pageの更新およびお客様のPortant Workspace内のメッセージを通じて、当該起用についてお客様に通知します。Portantは、新たな副処理者がお客様の個人データを処理する少なくとも10（10）暦日前にかかる通知を行います。ただし、お客様の個人データの機密性、完全性、または可用性を保護するため、あるいはサービスへの重大な支障を回避するために、Portantが新たな副処理者の迅速な起用が必要と合理的に判断した場合はこの限りではありません。そのような場合、Portantは実行可能な限り速やかにかかる通知を行います。お客様が、かかる通知から5（5）暦日以内に、正当なデータ保護上の懸念を理由として新たな外部副処理者の選任に対して書面で異議を申し出た場合、両当事者はかかる懸念およびその解決策について友好的に協議します。かかる懸念の解決に関する相互合意が達成できない場合、お客様は唯一かつ排他的な救済手段として、利便性を理由に利用規約を解約することができます。

7. セキュリティ

7.1. Portantは、PortantのPrivacy and Security pageに定めるセキュリティ基準に従い、セキュリティインシデントからお客様の個人データを保護し、その機密性およびセキュリティを確保することを目的とした技術的および組織的な安全管理措置を確立し、維持します。
7.2. お客様は、Portantが提供するデータセキュリティに関する情報を確認し、サービスがお客様の要件およびデータ保護法に基づく法的義務を満たしているかどうかを独自に判断する責任を負います。お客様は、継続的な改善を確保し、または進化する慣行に適応するために、合理的な通知のうえで安全管理措置が定期的に改訂される場合があることを承認します。ただし、かかる変更が発効日時点に定めるPortantの義務を実質的に低下させないことを条件とします。
7.3. セキュリティインシデントが確認された場合、Portantは適用法によって制限されない限り、速やかにお客様に通知します。法執行機関によって課される通知の遅延、またはPortantが必要な調査または是正措置を行うための遅延は、不当な遅延とはみなされません。通知には、可能な範囲で、セキュリティインシデントの詳細、潜在的なリスクを軽減するために講じた措置、およびお客様への推奨アクションが記載されます。Portantが本第7条（c）に基づく義務を履行する一方で、お客様は、セキュリティインシデントの通知に関する適用法の遵守および第三者への通知義務について単独で責任を負います。本第7条（c）に基づくセキュリティインシデントへのPortantの対応は、当該セキュリティインシデントに関する過失または責任の承認とはみなされません。
7.4. お客様は、本第7条に基づくPortantの義務にかかわらず、お客様がサービスの利用について単独で責任を負うことに同意します。その責任には、（a）リスクに応じた適切なセキュリティレベルを維持するためにサービスを利用すること、（b）サービスへのアクセスに使用するアカウント認証情報、システム、およびデバイスを保護すること、（c）サービスと接続するお客様のシステムおよびデバイスを保護すること、および（d）お客様データの独自バックアップを実施することが含まれます。

8. データ主体のリクエスト

Portantは、お客様のリクエストに応じて（お客様の費用負担のもとで）、お客様がサービスのセルフサービス機能を使用して合理的に対応できない場合に、個人の権利リクエスト（例：データへのアクセス、訂正、消去、制限、ポータビリティ、および異議申し立ての権利）に関するデータ保護法に基づくお客様の義務の履行を支援するために必要な協力を提供します。Portantがデータ主体からお客様の個人データに関するリクエストを受領した場合、Portantはデータ主体にお客様へリクエストを提出するよう案内し、お客様がかかるリクエストへの対応について責任を負います。

9. データの返還または削除

9.1. 利用規約の終了または満了後、お客様のリクエストに応じて、PortantはPortantのシステムからお客様の個人データをすべて60（60）日以内に削除します。
9.2. 上記にかかわらず、お客様は、法律によって義務付けられている場合、Portantがお客様の個人データを保持することがあり、かかるデータは引き続き本補足条項の規定に従って管理されることを理解します。

附属書A - EU附属書

1. 定義およびデータ処理

1.1. 定義。本附属書Aの範囲において、「controller」、「processor」、および「supervisory authority」という用語はEUデータ保護法に基づき定義されます。「Standard Contractual Clauses」とは、お客様のPortant Workspace内で提供されるStandard Contractual Clauses (SCC)に基づき欧州委員会が承認した処理者向けの標準契約条項を指します。「data importer」および「data exporter」はStandard Contractual Clausesに定義されるとおりです。
1.2.処理の対象事項および詳細。両当事者は、（a）利用規約に基づく処理の対象事項はPortantによるサービスの提供であること、（b）処理期間はPortantがお客様の個人データを受領した時点から、契約に従いPortantがお客様の個人データをすべて削除するまでであること、（c）処理の性質および目的はサービスの提供であること、（d）処理のデータ主体はお客様の顧客、エンドユーザー、またはお客様の個人データに関連するその他の個人であること、および（e）お客様の個人データのカテゴリは、契約に基づきお客様がサービスへの取り込みを承認したものであることを確認し、同意します。
1.3.役割および法令遵守、承認。両当事者は、（a）PortantがEUデータ保護法に基づきお客様の個人データの処理者として機能すること、（b）お客様がEUデータ保護法に基づきお客様の個人データの管理者であること、および（c）各当事者がお客様の個人データの処理に関するEUデータ保護法に基づくそれぞれの義務を遵守することを確認し、同意します。利用データ（契約において定義）が個人データとみなされる範囲において、Portantはかかるデータの管理者となり、https://www.portant.co/privacy-policy/にてアクセス可能なプライバシーポリシーに従ってかかるデータを処理します。
1.4.Portantによる指示への遵守。Portantは、EUデータ保護法が別途義務付ける場合を除き、本補足条項に定めるお客様の指示に従ってのみお客様の個人データを処理します。EUデータ保護法が別途義務付ける場合、Portantはお客様に通知します（ただし、かかる法律がPortantによる通知を禁じている場合はこの限りではありません）。

2. データセキュリティ

2.1. Portantのセキュリティ対策、管理、および支援2.1.1. Portantは（お客様の個人データの処理の性質およびPortantが入手可能な情報を考慮したうえで）、（a）安全管理措置の実施および維持、（b）本補足条項第7条の条件の遵守、および（c）本附属書A の遵守を通じて、GDPRの第32条から第34条（両端を含む）を含むEUデータ保護法に基づくお客様の個人データに関する義務の履行についてお客様に必要な支援を提供します。2.1.2. Portantは、適切な機密保持義務のもとで、業務上必要な担当者のみにお客様の個人データへのアクセスを許可します。お客様の従業員が、個人データを構成する利用データに関して、EUデータ保護法に基づく権利（例：データへのアクセス、訂正、消去、制限、ポータビリティ、および異議申し立ての権利）を行使することを希望する場合、お客様はPortantに速やかに通知し、当該従業員がcontact@portant.coを通じてPortantに直接連絡するよう案内することを約束します。
2.2.監査およびコンプライアンスレビュー。適用されるデータ保護法がお客様にPortantによるお客様の個人データの処理を監査する権利を付与している場合、お客様はかかる監査権を行使し、Portantは以下に概説するとおり対応する義務を遵守します。
2.2.1. Portantは、本補足契約に基づくお客様の個人データの処理に関する適切な情報を、Portantの最新の監査報告書（「第三者報告書」）の形式でお客様に提供するものとします。
2.2.2. お客様は、暦年に1回を超えない範囲で、かつお客様の費用負担において、セキュリティ質問票および監査質問票を含む合理的な情報提供依頼を提出することにより、本補足契約に基づく義務への準拠状況についてPortantによるお客様の個人データの処理を監査することができます。Portantは、要求された情報が本補足契約へのPortantの準拠を確認するために不可欠である場合に限り、書面による回答を提供します。ただし、お客様の依頼に先立つ12か月以内に発行された第三者報告書が当該依頼に係る情報を対象としており、かつPortantがお客様の依頼に関連する重大な変更が生じていないことを確認した場合、お客様は書面による回答に代えて当該第三者報告書を受け入れることに同意するものとします。本第2条b項に基づきPortantが共有する情報は、本契約上のPortantの機密情報とみなされます。
2.2.3. 本第2条b項に基づく監査を実施するために第三者が起用される場合、Portantの合理的な判断において、当該監査人が独立性を欠いている、Portantの競合他社である、またはその他の理由により不適格であると認められるときは、Portantは当該監査人に対して異議を申し立てる権利を留保します。Portantがかかる異議を申し立てた場合、お客様は別の監査人を指定するか、または内部で監査を実施する必要があります。
2.2.4. お客様は、監査において発見されたいかなる不適合についても速やかにPortantに通知し、EUデータ保護法により禁止されている場合または監督機関の指示がある場合を除き、本第2条b項に基づく監査に関連して作成された監査報告書をPortantに提供するものとします。お客様は、監査報告書を、法規制上の監査義務を履行し、お客様の個人データの処理が本補足契約に準拠していることを確認する目的にのみ使用することができます。
2.2.5. お客様は、本第2条b項に基づく監査に関連してPortantまたはその副処理者が費やした時間に対し、Portantの現行の専門サービス料金（お客様の依頼に応じて開示されます）に従って補償するものとします。お客様が当該監査を実施するために選任した監査人に生じた費用は、お客様が負担するものとします。本補足契約のいかなる規定も、Portantが第三者の副処理者に関する情報について、当該第三者の副処理者が顧客に対して一般的に開示する範囲を超えて情報を共有する義務を負うものではありません。また、本第2条b項のいかなる規定も、Portantにいかなる守秘義務の違反をも求めるものではありません。
‍

3. 影響評価および事前協議

Portantは、処理の性質およびPortantが利用可能な情報を考慮のうえ、（a）Portantの情報セキュリティ体制および当該体制において実施されているセキュリティ対策の関連する側面を概説した文書を提供すること、および（b）本補足契約を含む本契約に含まれるその他の情報を提供することにより、GDPRの第35条および第36条に基づくお客様の義務をお客様が履行するにあたって合理的な範囲で支援することができます。

4. データの移転

4.1.データ処理施設。第4条b項に従い、Portantは、米国またはPortantもしくはその副処理者が施設を有するいかなる場所においても、お客様の個人データを保存および処理することができます。本第4条におけるPortantの義務に準拠しつつ、お客様はEUデータ保護法により課されるデータの越境移転に関する制限に従ってサービスを利用することについて責任を負うものとします。
4.2.標準契約条項。EUに拠点を置くお客様が、欧州委員会により十分なデータ保護を有すると認定されていない国においてPortantに対してEU域外にお客様の個人データを移転する場合であって、EU-US プライバシーシールドがEU-US データプライバシーフレームワーク（DPF）に置き換えられており、かつ他に適法な移転根拠が利用できない場合、当該移転は標準契約条項に準拠するものとし、その条件は本DPAに組み込まれます。以上に従い、両当事者は以下に合意します。
4.2.1. 標準契約条項に関して、（a）お客様はデータ輸出者として行動し、（b）Portantはデータ輸入者として行動するものとします。

注記：Portantはオーストラリアに本社を置いていますが、そのインフラは米国においてホスティングされています。2023年7月10日、欧州委員会はEU-US データプライバシーフレームワーク（DPF）に関する十分性決定を採択し、EUから DPF の下で認定を受けた米国の組織へのデータ移転が認められることとなりました。Portantは、DPFに基づく認定、または必要に応じて標準契約条項を適法な国際データ移転の根拠として利用し、法令に準拠した国際的なデータ移転を確保しています。
‍
4.2.2. 標準契約条項の付録1については、データ主体、データの種類、および処理業務は本附属書Aの第1条b項に定めるものとします。
4.2.3. 標準契約条項の付録2については、技術的および組織的措置はセキュリティ対策とします。
4.2.4. 標準契約条項に基づくデータ輸出者の要求に応じて、データ輸入者は、標準契約条項の第5条（j）に従いデータ輸入者がデータ輸出者に送付しなければならない副処理者契約の写しを提供するものとし、データ輸入者はその前に商業上の情報または標準契約条項もしくはそれと同等のものと無関係な条項を省略またはマスキングする自由を有します。
4.2.5. 標準契約条項の第5条（f）および第12条（2）に規定される監査は、本附属書Aの第2条b項に従って実施されるものとします。
4.2.6. 本補足契約の第6条（副処理）におけるお客様の承認は、標準契約条項の第5条（h）に基づきかかる同意が要求される場合において、お客様の個人データの処理をPortantが再委託することに対するお客様の事前の書面による同意を意味するものとします。
4.2.7. 標準契約条項の第12条（1）に規定されるお客様の個人データの削除に関する証明は、お客様の要求があった場合にのみ提供されるものとします。また、
4.2.8. 標準契約条項は、その対象となるお客様の個人データの移転が、他の根拠による標準契約条項を必要とすることなく、GDPRの第V章に基づいて適法となった時点で自動的に失効するものとします。

附属書B - カリフォルニア州附属書

1. 本附属書Bの目的において、「business」、「commercial purpose」、「service provider」、「sell」、および「personal information」という用語は、CCPAに規定された意味を有します。
2. お客様の個人データに関して、PortantはCCPAに基づくサービスプロバイダーとして行動します。
3. Portantは、（a）お客様の個人データを販売すること、（b）サービスの提供という特定の目的以外のいかなる目的においてもお客様の個人データを保持、使用、または開示すること（サービスの提供以外の商業的目的のために保持、使用、または開示することを含みます）、および（c）Portantとお客様との直接の取引関係の外においてお客様の個人データを保持、使用、または開示することを行わないものとします。
4. 両当事者は、本補足契約の第5条に規定されるお客様の指示に従って行われるお客様の個人データの処理が、Portantによるサービスの提供および両当事者間の直接の取引関係において根本的かつ不可欠なものであることを認識し、合意します。
5. 利用規約またはそれに付随する注文書のいかなる規定にかかわらず、両当事者は、Portantによるお客様の個人データへのアクセスが、利用規約に関して両当事者間で交わされた対価の一部とはみなされないことを認識し、合意します。
6. 利用規約に定義される利用データが個人データとみなされる範囲において、Portantは当該データに関する事業者であり、以下のURLからアクセス可能なプライバシーポリシーに従って当該データを処理するものとします。https://www.portant.co/privacy-policy/

附属書C - 英国附属書

1. データ主体アクセス要求

1.1 Portantは、UK GDPRの第15条に従い、データ主体アクセス要求（DSAR）への対応においてお客様を支援するものとします。この目的のため、Portantは以下を行います。
- お客様に代わってPortantが処理する個人データを含む、DSARへの対応に必要なすべての情報をお客様に提供すること。
- データ主体の本人確認においてお客様を支援すること。
- お客様の指示に従い、データ主体の個人データへのアクセスをお客様に許可すること、または別の管理者への転送を可能にすること。
- UK GDPRの第15条のその他の要件への準拠においてお客様を支援すること。
1.2 DSARへの対応におけるPortantの支援に関連するすべての費用は、お客様が負担するものとします。

2. データ主体削除要求

2.1 Portantは、UK GDPRの第17条に従い、データ主体削除要求（DSDR）への対応においてお客様を支援するものとします。この目的のため、Portantは以下を行います。
- 法律上の保持義務がある場合を除き、お客様に代わってPortantが処理したデータ主体のすべての個人データを削除すること。
- データ主体の個人データが削除されたことをお客様に確認通知すること。
2.2 DSARへの対応におけるPortantの支援に関連するすべての費用は、お客様が負担するものとします。

3. データ侵害

3.1 Portantは、お客様の個人データに影響を及ぼす個人データ侵害を認識してから72時間以内に、お客様へ通知するものとします。
3.2 Portantは、個人データ侵害の調査および是正においてお客様に協力するものとします。
3.3 個人データ侵害の調査および是正におけるPortantの協力に関連するすべての費用は、お客様が負担するものとします。

貴組織が署名済みバージョンを必要とする場合は、以下でご確認のうえ署名いただけます（Powered by Portant）。

• グローバル： Portant General DPAを確認して署名するまたはdocxコピーをダウンロード
• EUおよびUK： 確認して署名するPortant SCCs + ICO addendumまたはdocxコピーをダウンロード