GitHubデータ保護契約 (Enterprise以外のお客様)

ここには以下の内容があります:

この規約は、Enterprise以外のお客様に適用されます。 また、2021年1月4日より前にGitHub製品のライセンスを取得したEnterpriseのお客様にも適用されます。 Enterprise customers who purchase GitHub offerings after that date are directed to https://www.github.com/enterprise-legal for current terms.

はじめに

The parties agree that the GitHub Data Protection Agreement (Non-Enterprise Customers) (“DPA”) sets forth their obligations with respect to the processing of Customer Personal Data in connection with the GitHub Enterprise Cloud hosted service (the “Service”). GitHub makes the commitments in this DPA to all non-enterprise customers using the Service. Separate terms, including different privacy terms, govern Customer’s use of non-GitHub products.

本DPAと、GitHubとお客様との契約の別の条項との間で矛盾または不一致が生じた場合、本DPAが優先されるものとします。 本特約で定義されているお客様の個人データの処理に適用される可能性のある、GitHubのプライバシーについての声明の規定とDPAの規定が矛盾する場合、DPAの規定が優先されます。 明確にするために記すと、添付1の標準契約条項10条に従い、標準契約条項がDPAのあらゆる規定より優先されます。

GitHubデータ保護

1. 定義

1.1 「適用されるデータ保護法」とは、お客様によるGitHubおよびGitHubサービスの利用に適用される、お客様の個人データの処理および利用に関する特定の法律、規制、規制の枠組み、またはその他の法令を言い、以下のものが該当します。

a. EU 一般データ保護規則 2016/679 (「GDPR」)、および施行されているまたはそれに準ずる、効力を有し適用される国家の法令

b. 2018年カリフォルニア州消費者プライバシー法 (Cal. Civ. Code §§1798.100 et seq.) (「CCPA」)

c. 2018年英国データ保護法およびそれに含まれるGDPRの実施

1.2 「コントローラー (管理者)」、「データ主体」、「加盟国」、「個人データ」、「個人データの侵害」、「処理」、「プロセッサー (処理者)」、および「監督官庁」の語はそれぞれ、「適用されるデータ保護法」で指定された意味を持ちます。 不一致がある場合は、GDPR で規定された意味が優先されます。

1.3 「お客様の個人データ」とは、GitHubによる処理のためにお客様から提供されるか、または本契約に基づく義務を履行する過程でGitHubによって生成されるものかを問わず、お客様がコントローラー (管理者) である個人データのことを言います。 これには、支払い情報、IPアドレス、法人のメールアドレスなど、お客様がコントローラー (管理者) であるあらゆる個人データが該当します。

1.4 「お客様のリポジトリデータ」とは、お客様がプライベートリポジトリにアップロードまたは作成した任意のデータまたは情報のことを言います。

1.5 「データ侵害」とは、個人データの侵害など、保護されているお客様のデータの侵害が確認された、または合理的に疑われる場合を差します。

1.6 「エンドユーザー」とは、GitHubアカウントを管理し、GitHub利用規約に同意していて、その個人データがGitHubによって転送、保存、処理されるデータ主体です。 たとえば、GitHubアカウントを持っている、お客様の各従業員や契約者も、GitHubのエンドユーザーです。

1.7 データ処理の「許可された目的」とは、本契約、GitHubのプライバシーについての声明、およびこの付属文書Aに規定されている「サービス」を提供する限定的で特定の目的、あるいはデータ主体がお客様の個人データの使用を承認した目的のことです。

1.8 「保護されたデータ」には、本契約に基づいてGitHubが顧客に代わって処理するお客様の個人データとお客様のリポジトリデータが含まれます。

1.9 「機密データ」とは、人種または民族的出自、政治上の意見、宗教的または哲学的な信念、あるいは労働組合への加入、自然人を一意に識別する遺伝子データまたはバイオメトリックデータの処理、健康状態や性生活、性的指向に関するデータ、および犯罪、前科、または保安に関するデータなどを明らかにするお客様の個人データを指します。

2. ステータスとコンプライアンス

2.1 データ処理。

GitHubは、本契約に関連して受領したお客様の個人データに関するプロセッサー (処理者) として機能し、本契約およびその他の書面による通知で示されるお客様の指示に従って、許可された目的でのみお客様の個人データを処理します。 適用されるデータ保護法との不一致などが理由で、GitHubがお客様の指示を遵守できない場合、または適用されるデータ保護法その他の法的要件によって処理が必要とされる場合、GitHubは許可される範囲でお客様に通知します。 GitHubは、お客様の個人データをすべて米国ならびに欧州連合で処理しますが、GitHubのサブプロセッサー (副処理者) はデータを米国または欧州連合以外で処理する可能性があります。 また、GitHubはお客様のリポジトリデータについて処理者として機能します。

2.2 データコントローラー (管理者)。

GitHubは、お客様の個人データをお客様から受け取ることも、またエンドユーザーアカウントを作成するデータ主体から直接受け取ることもあります。 お客様は、直接GitHubに移転する場合にお客様の個人データのコントローラー (管理者) となります。

2.3 GitHubによる順守、データ移転

GitHubは、お客様の個人データの処理に関して、適用されるデータ保護法に従います。

本サービスを提供するための、欧州連合、欧州経済領域、英国、およびスイス外でのお客様の個人データの移転はすべて、添付1の標準契約条項 (「標準契約条項」) に準拠するものとします。 GitHubは、欧州経済領域、英国、およびスイスからのお客様の個人情報の収集、使用、移転、保持、およびその他の処理に関する、欧州経済領域およびスイスデータ保護法の要件を順守します。 第三国または国際機関へのお客様の個人データの移転はすべて、GDPR第46条に記載されている適切な保護措置の対象となり、かかる転送および保護措置については、GDPR第30条 (2) に従って文書化されるものとします。

さらにGitHubは、EU-米国プライバシーシールドフレームワーク およびスイス-米国 プライバシーシールドフレームワークおよびそれに伴う義務について認証を受けています。ただしGitHubは、個人情報の移転についての法的根拠として、それらに依拠するものではありません。 GitHubは、プライバシーシールド原則で要求されているものと同水準の保護を提供する義務が果たせなくなったと判断した場合、お客様に通知することに同意します。

3. データ保護

3.1 目的限定。

GitHubは、当事者が目的の拡大に書面で合意する場合を除き、許可された目的でのみ、保護データを処理し通信します。

3.2 データの品質と均衡性。

GitHubはお客様の個人データを正確に、かつ最新の状態に保つか、お客様がそれを自ら実施できるようにします。 GitHubは商業的に妥当な手順で、お客様に代わって収集した保護データが適切、妥当であり、それが移転および処理される目的に関連して過剰でないことを保証します。 いかなる場合も、GitHubがお客様に代わって故意に機密データを集めることはありません。 お客様は、GitHubサービスが機密データの保存を目的にしないことに同意するものとします。お客様が選択して機密データをサービスにアップロードする場合、お客様はGDPRの第9条、または適用されるデータ保護法で該当する条項に従う必要があります。

3.3 データの保持と削除。

許可された目的に必要でなくなってから、お客様から合理的な請求があった場合、法律で禁じられている場合を除き、請求から30日以内に、GitHubはお客様の個人データすべてと関連データを、保存されているすべての場所で返却、破棄、または匿名化します。 適用されるデータ保護法が必要とする限りにおいて、また適用されるデータ保護法の定める範囲とその期間に限って、GitHubはお客様の個人データと関連データを保持する場合があります。ただし、お客様の個人データは適用されるデータ保護法に定められた目的上必要な場合に限って処理し、その他の目的では処理しないこと、またお客様の個人データは適用されるデータ保護法で引き続き保護されることをGitHubは保証するものとします。

3.4 データ処理。

GitHubは、お客様の個人データの処理に関するGDPRの第28条第3項に従って、以下の情報を提供します。

a. お客様の個人データの主題と処理期間は、本契約および本付属文書で定められています。

b. お客様の個人データの処理の性質と目的は、本付属文書のセクション3.1に記載されています。

c. 処理されるお客様の個人データのタイプは、GitHubのプライバシーについての声明に記載されており、ユーザ名、パスワード、メールアドレス、IPアドレスなどの個人データが含まれます。 GitHubは、お客様のアカウントに対する請求に必要な情報を処理しますが、クレジットカード情報は処理も保存もしません。 お客様は、お客様のプロフィール設定で、あるいはお客様の個人データをGitHubリポジトリにアップロードすることによって、追加の個人データをGitHubに提供することもできます。

d. お客様の個人データが関係するデータ主体のカテゴリは、お客様自体と、そのエンドユーザです。

e. お客様の義務の権利は、本契約および本付属文書で定められています。

4. セキュリティと監査の義務

4.1 技術的および組織的セキュリティ対策。

最新技術、実装のコスト、処理の性質や範囲、目的と、考えられる可能性ごとのリスク、自然人の権利と自由の重大度を考慮して、GitHubは個人データの処理によって生じる偶発的または違法な破壊、紛失、改変、不正な開示といったリスクに応じ適切なレベルのセキュリティを確保するために、適切な技術的および組織的対策を講じるものとします。 GitHubは、こうした対策の準拠状況を常に監視し、本契約の期間を通じて適切な安全対策をとり続けます。

4.2 インシデント対応と侵害通知。

GitHub will comply with Applicable Data Protection Laws.

4.3 GitHubのスタッフ。

GitHubは、保護データの処理に当たるGitHubスタッフ全員が保護データを機密として扱うことに合意し、本付属文書と適用されるデータ保護法の遵守について適切な訓練を受けていることを保証する合理的な手順を踏むことを、表明および保証します。

4.4 記録。

GitHubは、適用されるデータ保護法のもとで必要な情報を含め、お客様に代わって実行される全カテゴリの処理活動について完全、正確、最新の書面による記録を維持します。 支援がGitHubのセキュリティに、または個々のデータ主体のプライバシー権にリスクをもたらさない限り、GitHubはこれらの記録を、お客様が適用されるデータ保護法に準拠していることを証明するためなど合理的に必要とされる場合に、請求があればお客様に公開します。

4.5 支援。

GitHubは、データプライバシーの影響評価、データ主体の権利請求、監督機関との協議などに関して、いずれの場合も、お客様の個人データの処理についてのみ、また処理の性質を考慮して、合理的な支援をお客様に提供します。

5. 保護データの使用と開示

5.1 マーケティングでの不使用。

GitHubは、第三者のコンテンツの広告を目的として保護データを使用せず、また合併・吸収の一環の場合を除いて保護データを第三者に売却しません。

5.2 GitHubのプライバシーについての声明。

GitHubのプライバシーについての声明は https://docs.github.com/articles/github-privacy-statementで公開されており、Cookieの使用、紛争解決のプロセス、GitHubのGDPR順守に関する詳細など、GitHubのプライバシーおよびデータ使用の慣例について詳細を定めています。

6. 副処理とデータの委譲

6.1 データの保護。

GitHubは、第三者の決済プロセッサー (処理者) など、保護データをサブプロセッサー (副処理者) に委譲する際の責任を負います。 GitHubが実際に第三者のサブプロセッサーに保護データを移譲する場合、またはGitHubが第三者のサービスをインストール、使用、または有効化してGitHubに代わって保護データを処理させる場合、GitHubは本DPAおよび適用されるデータ保護法によって要求されている通り、その第三者サブプロセッサーが守秘義務、セキュリティ、ポリシー保護を遵守する、または少なくとも同レベルで提供するよう書面での契約により拘束されることを保証するものとします。

6.2 GitHubサブプロセッサーの承認。

お客様は、本契約のセクション6および他の規制に従って、GitHubがサブプロセッサー (副処理者) を任命することを承認 (また、セクション6に従って各サブプロセッサーが任命されることを許可) します。 GitHubは、本契約の発効日時点で契約している現行のサブプロセッサーをそのまま採用し続けることもできます。

お客様は、GitHubが以下の要件を満たしているという条件で、GitHubが後続のサブプロセッサー (副処理者) と契約することを一般的に合意します。

a. 後続のサブプロセッサーは、欧州委員会が「適切」なレベルの保護があると宣言した国のデータのみを処理することに書面で合意するか、あるいは標準契約条項に相当する条件で、または管轄の欧州データ保護当局によって付与される、拘束力のある企業規則の承認に従う、または適切なEU-米国プライバシーシールドおよび スイス-米国プライバシーシールドの認証に従うデータのみを処理することに書面で合意する必要があります。

b. GitHubは、後続のサブプロセッサーによるお客様の個人データへのアクセスを、そのサービスの実施に厳密に必要な内容のみに制限し、サブプロセッサーがそれ以外の目的でお客様の個人データを処理することを禁じます。

6.4 サブプロセッサーの契約の開示。

GitHubは、お客様の個人データを処理するために契約した後続のサブプロセッサーのリストをhttps://docs.github.com/articles/github-subprocessors-and-cookiesに保管しています。これには、処理されるお客様の個人データのカテゴリ、サブプロセッサーが実行する処理の種類の説明、処理の場所なども含まれています。 お客様から書面による請求があれば、GitHubはこのサブプロセッサーリストと、お客様の個人データが処理されるときの条項を提供します。 サブプロセッサーの守秘制限に従って、GitHubはリストと条項をお客様に提供する前に、機密情報や商売上重要な情報を削除する場合があります。 GitHubが機密または重要な情報お客様に開示できない場合、当事者はGitHubが副処理の契約に従って合理的に可能な情報を提供することに合意します。

6.5 サブプロセッサーに対する異議。

GitHubは、サブプロセッサーの追加と削除について、https://github.com/github/site-policyのサイトで、セクション6.4に挙げたカテゴリを含めて、30日前に書面で通知します。 GitHubと新しいサブプロセッサーとの契約に合理的な異議がある場合、お客様はただちに書面でGitHubに通知する必要があります。 可能な場合GitHubは、異議を受けたサブプロセッサーによるデータの処理を避けるために、商業的に相応の努力で、該当する「サービス」に代替策を講じるものとします。 90日以内にGitHubが代替策を講じられず、当事者も解決できない場合、お客様は本契約を解約することができます。

7. 解約

7.1 一時停止

GitHubが、適切なレベルのセキュリティまたはプライバシー保護を維持する義務に違反した場合、お客様はあらゆる個人データの委譲を一時的に停止し、違反が是正されるか本契約を解約するまで、お客様に代わってお客様の個人データを収集・処理することを禁じることができます。

7.2 理由のある解約。

お客様は、本契約のもとで有する解約の権利に加えて、以下の場合には、法律上または衡平法上の他の請求権を損なうことなく本契約を解約できるものとします。

a. GitHubがプライバシー義務を満たせなくなったとお客様に通達する。

b. お客様の個人データすべての委譲、収集、処理が、セクション7.1に従って1か月以上一時停止されている。

c. GitHubが、本付属文書での保証または代理を実質的に、または永続的に侵害している。

d. GitHubが、事業を継続しなくなった、解散した、財産管理に入った、あるいはGitHubに代わって清算命令が発令された。

e. セクション6.5に従ってお客様がサブフォルダに異議を申し立て、GitHubが90日以内に代替策を講じられなかった。

7.3 侵害。

本付属文書の重大な条項を遵守できなかった場合は、本契約のもとでの重大な違反と見なされます。

7.4 不履行。

法律または規制の変更によって、本付属文書の遂行が不可能になった、または商業的に妥当でなくなった場合、当事者は誠意をもって本付属文書を再交渉することができます。 再交渉しても解決に至らない、または当事者が合意に達しない場合、当事者は30日後に本契約を解約できます。

7.5 通知。

GitHubが本付属文書に定めるプライバシー義務を満たせなくなったと判断した場合、GitHubはただちに書面でお客様に通知します。

7.6 変更。

GitHubは、適用されるデータ保護法より必要な場合には随時、お客様に30日前に通知したうえで、本付属文書を変更できます。

7.7. 解約要件。

解約の際、GitHubは以下を行う必要があります。

a. 妥当かつ適切な手段を講じて、お客様の個人データの処理を停止する。

b. セクション3.3に従ってGitHubがお客様に代わって保存していたお客様の個人データを、解約後90日以内に削除または匿名化する。

c. gitHubがセクション7.7の義務に従っているという合理的な保証をお客様に提示する。

8. データ処理の責任

8.1 制限。

適用されるデータ保護法による制限を除き、本付属文書のもとで行われる請求は、責任の制限に関する本契約の条項に従うものとします。

添付1 – 標準契約条項 (プロセッサー)

お客様による該当する契約の履行には、GitHub, Inc.により連署された、GitHubデータ保護特約の本添付1の履行が含まれます。

本標準契約条項の使用に規制当局の承認が必要な国においては、お客様が規制当局から必要な証人を得ていない限り、欧州委員会2010/87/EU (2010年2月) に基づき、当該国からのデータ輸出を合法とするにあたり、本標準契約条項に依拠することはできません。

適切な水準のデータ保護を保証しない第三国に拠点を置く処理者に個人データを移転することについて定めた一般データ保護規則 (EU 2016/679) 第46条第2項において、お客様 (データ輸出者) と、GitHub (データ輸入者、本書下部に署名) との各「当事者」、総称して「両当事者」は、添付文書1に定めるデータ輸出者からデータ輸入者への個人データの移転のため、個人のプライバシー、基本的権利、および自由の保護に関する適切な保護措置に関する引証として、以下の契約条項 (「条項」または「標準契約条項」) に合意したものとします。

第1条: 定義

(a) 「個人データ」、「特別なカテゴリのデータ」、「処理」、「管理者」、「処理者」、「データ主体」、および「監督当局」という用語は、個人データの処理に関する保護およびかかるデータの自由な移動に関する一般データ保護規則 (EU 2016/679) と同じ意味を持つものとします。

(b) 「データ輸出者」とは、個人情報を移転する管理者を意味します。

(c) 「データ輸入者」とは、移転後に、データ輸出者の指示および本条項の規定に従って処理するためにデータ輸出者から個人データを受信することに合意し、かつ一般データ保護規則 (EU 2016/679) 第45条第2項の意味する範囲において適切な保護を保証しない第三国の機構の支配下にない処理者のことを意味します。

(d) 「サブプロセッサー」とは、データ輸出者の指示、本条項の規定、および書面による請負契約の規定に従い、移転後にデータ輸出者の代理として処理活動を実施することのみを目的として、データ輸入者から、または データ輸入者の別のサブプロセッサーから個人データを受信することに合意している、データ輸入者またはデータ輸入者の別のサブプロセッサーから業務を請け負う任意の処理者のことを意味します。

(e)「適用されるデータ保護法」とは、個人の基本的人権と自由、特に、データ輸出者が存在する加盟国内におけるデータコントローラーに適用される、個人情報処理に関するプライバシーの権利を保護する法律のことを意味します。

(f) 「技術的および組織的セキュリティ対策」とは、特に処理がネットワークを介したデータの送信を伴う偶発的または違法な破壊、偶発的な紛失、改変、不正な開示またはアクセス、およびその他あらゆる違法な処理の形態に対して個人データを保護する対策のことを意味します。

第2条: 転送の詳細

転送の詳細、特に適用される特別なカテゴリの個人データについては、本条項と不可分である、下記の添付文書1に明記されています。

第3条: 第三者受益者条項

  1. データ主体は、データ輸出者に対して、本条項、第4条4 (b) から (i)、第5条 (a) から (e) および (g) から (j)、第6条 (1) および (2)、第7条、第8条 (2)、ならびに第9条から第12条を、第三者受益者として執行することができます。

  2. データ主体は、データ輸出者が事実上存在しなくなった場合、または法律上存在しなくなった場合、 データ輸入者に対して本条項、第5条 (a) から (e) および (g)、第6条、第7条、第条8 (2)、ならびに第9条から第12条を執行することができます。ただし、後継法人が契約または法律の定めによりデータ輸出者の法的義務をすべて引き受けた場合を除きます。この場合、後継法人がデータ輸出者の権利および義務を引き受けることとなり、データ主体はかかる法人に対して上記条項を執行できます。

  3. データ主体は、サブプロセッサーとデータ輸入者の双方が事実上存在しなくなった場合、法律上存在しなくなった場合、または、債務超過に陥った場合、サブプロセッサーに対して本条項、第5条 (a) から (e) および (g)、第6条、第7条、第条8 (2)、ならびに第9条から第12条を執行することができます。ただし、後継法人が契約または法律の定めによりデータ輸出者の法的義務をすべて引き受けた場合を除きます。この場合、後継法人がデータ輸出者の権利および義務を引き受けることとなり、データ主体はかかる法人に対して上記条項を執行できます。 サブプロセッサーの第三者に対するかかる責任は、かかる条項に基づく自らの処理操作に限定されるものとします。

  4. 両当事者は、データ主体が特に希望しており、かつ国家の法令により許可されている場合、組合またははその他組織体がデータ主体を代表することに反対しないものとします。

第4条: データ輸出者の義務

データ輸出者は、以下のことに同意し、保証します。

(a) 個人データの処理 (その転送を含む) は、これまでも今後も引き続き、適用されるデータ保護法の関連条項に従って実行され、(および該当する該当する場合は、データ輸出者が登記された加盟国の関連当局に通知を行っており)、当該国の関連条項に違反していないこと。

(b) データ輸入者に対し、移転された個人データの処理を、適用データ保護 法令および本契約条項に従い、当該データ輸出者のためにのみ行うよう指 示していること、また、個人データ処理サービスの継続期間を通じて、 かかる指示を行うこと。

(c) データ輸入者が、下記の添付文書2に明記された技術的および組織的セキュリティ対策に関して十分な保証を提供すること。

(d) 適用されるデータ保護法令要件の評価に従い、セキュリティ対策が、特にネットワークを通じた送信による処理が行われる場合の偶発的または違法な破壊、偶発的な喪失、変更、不正開示またアクセス、およびその他のあらゆる違法な処理形態から個人データを保護するのに適切なものであり、また、これらの対策が、最新の技術と対策実施費用を考慮した上で、処理およびデータの性質により生じるリスクを回避できるよう適切なレベルのセキュリティを確保するものであること。

(e) セキュリティ対策を遵守するよう万全を期すこと。

(f) かかる移転に特別カテゴリのデータが含まれる場合、データ主体に対しかかるデータ主体のデータが一般データ保護規則 (EU 2016/679) の意図する範囲で十分な保護が提供されていない第三国に移転される可能性がある旨を通知済みであること、もしくは事前に通知すること、または事後的に可能な限りすみやかに通知すること。

(g) データ輸出者が、移転の継続または移転の一時停止を解除する旨を決定した場合、第5条 (b) および第8条 (3) に基づきデータ輸入者またはサブプロセッサーから受領した通知を、データ保護監督当局に転送すること。

h) 要請に応じて、データ主体に対し、添付文書2を除く本契約条項のコピー1 部およびセキュリティ対策の概要、ならびに副処理サービスに関する契約書 (この契約は、本契約条項に従い作成されなければならない) のコピー1 部を提供すること。ただし、本契約条項または副処理サービス契約に商業上の情報が含まれる場合、データ輸出者は、かかる商業上の情報を除外することができる。

(i) 副処理が行われる場合、当該処理業務が、データ主体の個人データおよび権利に対し、少なくとも本契約条項におけるデータ輸入者と同水準の保護を提供する副処理者により、第11条に従って実施されること。

(j) 第4条 (a) から (i) を遵守するよう万全を期すこと。

第5条: データ輸入者の義務

データ輸入者は、以下のことに同意し、保証します。

(a) 個人データの処理を、データ輸出者のためにのみ、データ輸出者の指示 および本契約条項に従って行うこと。何らかの理由により上記を遵守することができない場合、データ輸入者は、すみやかにデータ輸出者に通知することに同意する。この場合、データ輸出者は、データ移転を一時停止する権利および本契約を解除する権利を有する。

(b) データ輸入者に適用される法令により、データ輸出者からの指示の遂行および本契約に基づく自身の義務の履行が妨げられると信じる理由は存在しないこと。また、本契約条項に規定された保証および義務に実質的に悪影響を及ぼすおそれのある上記法令への変更が行われた場合、データ輸入者は、当該変更を認識した後すみやかに、データ輸出者に対して当該変更を通知すること。この場合、当該データ輸出者は、データ移転を一時停止する権利および本契約を解除する権利を有する。

(c) 移転された個人データの処理を行う前に、添付文書2に明記された技術的および組織的セキュリティ対策を講じていること。

(d) 以下について、データ輸出者にすみやかに通知すること。

(i) 法執行機関から、個人データの法的拘束力を有する開示要請を受けた場合。ただし、通知を行うことが禁止されている場合 (例えば、刑法に基づく法執行機関の捜査の秘密性を維持するための禁止) を除く。

(ii) 偶発的または不正アクセス。

(iii) データ主体から直接受けた要請。要請を受ける前には対応を行わない。ただし、対応することが認められている場合を除く。

(e) 移転の対象である個人データの処理に関して、データ輸出者からの全ての問い合わせに対して迅速かつ適切に対応するすること。また、移転されたデータの処理に関する監督当局からの助言に従うこと。

(f) データ輸出者の要請に応じて、本契約条項の対象となる処理活動のためのデータ処理施設について監査を受けること。この監査はデータ輸出者、またはデータ輸出者が選定し、該当する場合は監督当局の合意を得た、独立したメンバーにより構成される、必要な専門的資格を有し機密保護義務を課された検査機関により実施されるものとする。

(g) 要請に応じ、データ主体に対し、本契約条項またはデータの副処理に関する既存の契約書のコピー1 部を提供すること (ただし、本契約条項または上記副処理契約に商業上の情報が含まれる場合は、当該商業上の情報を除外することができる)。ただし、添付文書2については、データ主体がそのコピーをデータ輸出者から入手できない場合、セキュリティ対策の概要で代替するものとする。

(h) データの副処理が行われる場合、事前にデータ輸出者に通知し、事前の書面による同意を取得していること。

(i) 副処理者による処理サービスが、本契約条項の第11条に従い実施されること。

(j) 本契約条項に基づき締結されたデータの副処理契約書のコピー1部を、すみやかにデータ輸出者に送付すること。

第6条: 責任

  1. 両当事者は、当事者のいずれかまたは副処理者が本契約条項の第3条または第11条に違反したことにより損害を被ったデータ主体が、当該損害について、データ輸出者から賠償を受ける権利を有することに同意します。

  2. データ輸出者が事実上消滅し、もしくは法律上存在しなくなったこと、または支払不能に陥ったことにより、データ主体が、データ輸入者または副処理者が第3条または第11条に基づく義務に違反したことによる、第1項に基づく賠償請求をデータ輸出者に対して行うことができない場合、データ輸入者は、データ主体が、あたかもデータ輸入者がデータ輸出者であるかのように、データ輸入者に対して請求を行うことができることに同意します。ただし、データ輸出者の承継人が、契約または法律により、データ輸出者の法的義務を全て引き受けた場合を除きます。この場合、当該データ主体は、当該承継人に対して権利を行使することができます。 データ輸入者は、副処理者により違反が行われたという事実に依拠して自身の法的責任を回避することはできなません。

  3. データ輸出者およびデータ輸入者の双方が事実上消滅し、もしくは法律上存在しなくなった場合、またはこれらの双方が支払不能に陥ったために、データ主体が、副処理者が第3条または第11条に規定された義務に違反したことによるする請求について、第1項および第2項に規定されたデータ輸出者またはデータ輸入者に対する請求を行うことができない場合、副処理者は、データ主体が、本契約条項に基づく副処理者の副処理に関して、あたかも副処理者がデータ輸出者またはデータ輸入者であるかのように、副処理者に対して請求を行うことができることに同意します。ただし、データ輸出者またはデータ輸入者の承継人が、契約または法律により、データ輸出者またはデータ輸入者の法的義務を全て引き受けた場合を除きます。この場合、データ主体は、当該承継人に対して自身の権利を行使することができます。 副処理者の法的責任は、本契約条項に基づく自身の処理業務に限定されるものとします。

第7条: 調停と管轄

  1. データ輸入者は、データ主体が本契約条項に基づきデータ輸入者に対して第三受益者としての権利を行使し、または損害賠償請求を行った場合、データ主体による以下の決定に従うことに同意します。

(a) 当該紛争を、独立した第三者、また監督当局 (該当する場合) による調停に付託すること。

(b) 当該紛争を、データ輸出者が設立されている加盟国の裁判所に付託すること。

  1. 両当事者は、データ主体が上記選択を行っても、データ主体が国内法または国際法の他の条項に従い救済を求める実体的権利または手続的権利に影響を与えないことに同意します。

第8条: 監督当局との協力

  1. データ輸出者は、監督当局が要請した場合、または適用されるデータ保護法令に基づき必要とされる場合、本契約書のコピーを監督当局に預けることに同意します。

  2. 両当事者は、監督当局がデータ輸入者および副処理者の監査を行う権利を有することに同意します。この監査の範囲は、適用されるデータ保護法令に基づくデータ輸出者に対する監査と同じものであり、また同じ条件が適用されます。

  3. データ輸入者は、第2項に基づくデータ輸入者または副処理者の監査の実施を妨げる、データ輸入者または副処理者に適用される法律が存在する場合、データ輸出者にすみやかに通知するものとします。 このような場合、データ輸出者は、第5条 (b) に記載された措置をとる権利を有するものとします。

第9条: 準拠法

本契約条項は、データ輸出者が設立されている加盟国の法律に準拠するものとします。

第10条: 契約の変更

両当事者は、本契約の変更または修正を行わないことを約束します。 これは、両当事者が、本契約と矛盾しない限度で、必要に応じて商取引上の条項を追加することを妨げるものではありません。

第11条: 副処理

  1. データ輸入者は、データ輸出者の書面による事前の同意なしに、データ輸出者に代わって実施するいかなる処理操作も再委託してはなりません。 データ輸入者が、データ輸出者の同意を得て本契約条項に基づく自身の義務を委託する場合、データ輸入者は、本契約に基づきデータ輸入者に課されるものと同一の義務を副処理者に課す契約を書面で締結することによってのみ、かかる副処理の委託を行うものとします。 副処理者が、かかる書面による契約に基づくデータ保護義務の履行を怠った場合、データ輸入者は、当該契約に基づく副処理者の義務の履行について、データ輸出者に対し完全に責任を負うものとします。

  2. データ輸出者またはデータ輸入者が事実上消滅し、もしくは法律上存在しなくなった場合、またはこれらの双方が支払不能に陥った場合で、かつ契約または法律によりデータ輸出者またはデータ輸入者の法的義務を全て引き受ける承継人が存在しないため、データ主体が第6条1項に規定された損害賠償の請求をデータ輸出者またはデータ輸入者に対して行うことができない場合に備え、データ輸入者と副処理者との間の事前の書面による契約には、第3条に定められている第三者受益者条項を規定するものとします。 サブプロセッサーの第三者に対するかかる責任は、かかる条項に基づく自らの処理操作に限定されるものとします。

  3. 第1項で言及されている、契約に基づく副処理におけるデータ保護の観点に関する規定は、データ輸出者が設立された加盟国の法律に準拠するものとします。

  4. データ輸出者は、本契約に基づき締結され、第5条 (j) に基づきデータ輸入者から通知された副処理契約のリストを保管し、このリストを少なくとも1年に1回更新するものとします。 このリストは、データ輸出者のデータ保護監督当局も入手できるものとします。

第12条: 個人データ処理サービス終了後の義務

  1. 両当事者は、データ処理サービスの提供が終了した際、データ輸入者および副処理者が、データ輸出者の選択に従い、移転された全ての個人データおよびそのコピーをデータ輸出者に返却するか、または全ての個人データを破棄し、データ輸出者に対して破棄を行った旨を証明することに同意します。ただし、データ輸入者に適用される法律により、データ輸入者が移転されたデータの全部または一部を返還または破棄することが禁じられている場合を除きます。 この場合、データ輸入者は、移転された当該個人データの秘密を保証することおよび当該個人データの処理を積極的に行わないことを保証します。

  2. データ輸入者および副処理者は、データ輸出者または監督当局の要請に応じ、第1項に規定された措置の監査のため、データ処理設備を提供することに同意します。

標準契約条項添付文書1

データ輸出者: お客様はデータ輸出者です。

データ輸入者: データ輸入者は、ソフトウェアとサービスの世界的なプロデューサーであるGitHub, Inc.です。

データ主体: データ主体には、データ輸出者の営業代理人およびエンドユーザ (従業員、請負業者、コラボレーター、およびデータ輸出者のお客様を含む) が含まれます。 また、データ主体には、データ輸入者が提供するサービスのユーザに個人情報を伝達または転送しようと試みる個人も含まれる場合があります。 GitHub は、お客様によるサービスの利用方法に応じて、お客様の個人データに、以下の中から任意のタイプのデータ主体を個人データとして含めることができることを認識しています。

  • データ輸出者の従業員、請負業者、派遣労働者 (現在、過去、見込みを含む)。
  • 上記の被扶養者。
  • データ輸出者のコラボレータ/担当者 (自然人) または従業員、請負業者または法人コラボレータ/担当者の派遣労働者 (現在、見込み、過去を含む)。
  • ユーザ (顧客、クライアント、患者、訪問者など) およびデータ輸出者によるサービスのユーザであるその他のデータ主体。
  • データ輸出者の従業員と積極的に協力、連絡、その他のやり取りを行う、またはデータ輸出者が提供するアプリケーションやウェブサイトなどのコミュニケーションツールを使用するパートナー、利害関係者または個人。
  • (調査、研究の対象、または文書もしくはデータ輸出者との通信で言及されているという理由などで) データ輸出者と受動的にやり取りを行う利害関係者または個人。
  • 職業的特権を持つ専門家 (医師、弁護士、公証人、宗教活動家など)

データのカテゴリ: 電子メール、文書、および本サービスの文脈における電子的形式のその他データに含まれる、転送される個人データ。 GitHub は、お客様によるサービスの利用方法に応じて、お客様の個人データに、以下の中から任意のカテゴリを個人データとして含めることができることを認識しています。

  • 認証データ (ユーザ名、電子メール、パスワードなど)。
  • 連絡先情報 (電子メールなど)。
  • 一意の識別番号および署名 (IPアドレス、トラッキングクッキーまたは類似の技術における一意の識別子)。
  • その他一意の識別情報。 データ主体には、実名、アバター画像、その他個人情報などが含まれる場合があります。

特別カテゴリのデータ (該当する場合): データ輸入者は、データ輸出者に対してサービスを提供するにあたり、いかなる特別カテゴリのデータも意図的に収集または処理しません。

しかしながら、データ輸入者はストレージサービスを提供し、そこに保存するデータのカテゴリを管理していないため、データ輸出者は特別カテゴリのデータを転送することも選択できます。 したがってデータ輸出者は、センシティブな個人を処理する前にデータ主体の明示的同意を得ることを含め、特別カテゴリのデータの収集および処理に関して適用される法令により課されるあらゆる義務に確実に従う義務を単独で負います。

操作の処理: 転送される個人データは、次の基本的な処理活動に従います。GitHubは、https://docs.github.com/articles/github-privacy-statementで閲覧できる、GitHubのプライバシーについての声明に記載された限定的な目的において、およびDPAの「データ処理」セクションに従って個人データを利用します。 下請け業者: DPAに従い、データ輸入者は顧客サポートの提供などの限定的なサービスをデータ輸入者に代わって提供するため、他の企業に業務を委託することができます。 かかる下請け業者は、データ輸入者が下請け業者に要請したサービスを提供する目的においてのみ、お客様の個人データを取得することができ、その他の目的でお客様の個人データを利用することはできないものとします。

標準契約条項添付文書2

第4条 (d) および第5条 (c) に従ってデータ輸入者が実施する、技術的および組織的セキュリティ対策を以下に説明します。

1. スタッフ。データ輸入者のスタッフは、お客様の個人データを承認なしに処理いたしません。 スタッフはあらゆるお客様の個人データについて機密を保持する義務を負い、この義務は雇用期間の終了後も継続します。

2. データプライバシーに関する連絡先。データ輸入者のデータプライバシー担当者の連絡先住所は次の通りです。 GitHub, Inc. Attn: Privacy 88 Colin P. Kelly Jr. Street San Francisco, CA 94107 USA

3. 技術的および組織的対策。データ輸入者は、お客様の個人データを保護することを目的として、偶発的喪失、破壊、改変、および不正な開示やアクセス、および以下の違法な破壊に対して適切な技術的および組織的対策、内部統制、情報セキュリティに関する手順を実施してきており、またこれを維持し続けます。

GitHub, Inc.の署名は以下にあります。

データ輸入者を代表し、標準契約条項、添付文書1、および添付文書2に署名する

2020年7月20日、午後2:20:29のスクリーンショット

製品および法規制部長 リン・ハシモト

GitHub, Inc.

このドキュメントは役立ちましたか?プライバシーポリシー

これらのドキュメントを素晴らしいものにするのを手伝ってください!

GitHubのすべてのドキュメントはオープンソースです。間違っていたり、はっきりしないところがありましたか?Pull Requestをお送りください。

コントリビューションを行う

OR, コントリビューションの方法を学んでください。

問題がまだ解決していませんか?

GitHubコミュニティで質問するサポートへの連絡