Skip to main content

GitHub データ保護契約

この記事では、次の項目が扱われます。

はじめに

両当事者は、本 GitHub データ保護契約 (以下「DPA」といいます) が、個人データの処理とセキュリティに関連する、および DPA 条件に明示的に規定されている場合は GitHub, Inc. (以下「GitHub」といいます) により提供されるオンライン サービスに関する顧客データの処理とセキュリティに関連する両当事者の義務を定めたものであることに同意するものとします。 DPA (その付属文書および付録を含む) は GitHub と、GitHub 顧客契約に基づいて GitHub のオンライン サービスを利用するお客様 (以下「お客様」といいます) との間で取り交わされ、参照することにより GitHub 顧客契約に組み込まれます。

DPA 条件と GitHub 顧客契約の他の条項の間で矛盾が生じた場合は、DPA 条件が優先して適用されます。 DPA 条件の条項と、個人データの処理に適用される GitHub のプライバシーに関する声明の条項の間で矛盾が生じた場合は、DPA 条件の条項が優先します。 なお、「標準契約条項」は DPA 条件の他の条項に優先します。

適用される DPA 条件とその更新

更新の制限

お客様がオンライン サービスのサブスクリプションを更新するかまたは新たに購入する場合、その時点で最新の DPA 条件が適用され、そのオンライン サービスの新規サブスクリプション期間中に変更されることはありません。

新機能、追加物、または関連ソフトウェア

上述の更新の制限にかかわらず、GitHub は、新しい (つまり、それまでサブスクリプションに含まれていなかった) 機能、追加物、または関連ソフトウェアを導入する場合、お客様によるこれらの新機能、追加物、または関連ソフトウェアの使用に適用される条件を規定するか、または DPA を更新する可能性があります。 これらの条項に DPA 条件に対して不利かつ重大な変更が含まれる場合、GitHub は、一般に提供されているオンライン サービスの既存の機能を失うことなく、新機能、追加物、または関連ソフトウェアを使用する選択肢をお客様に提供します。 お客様が新機能、追加物、または関連ソフトウェアを使用しない場合は、対応する新しい条項はお客様には適用されません。

政府機関の規制と要件

上述の更新の制限にかかわらず、現在または将来、政府が課す要件または義務によって、(1) GitHub が当該国または裁判管轄地における事業運営に一般には適用されない規制や要求に服さなければならなくなる場合、(2) 変更を加えなければ GitHub によるオンライン サービスの継続が困難になる場合、または (3) DPA 条件またはオンライン サービスがそうした要件または義務に抵触するおそれがあると GitHub が考える場合には、GitHub は、当該国または裁判管轄地においてオンライン サービスを変更または終了することができます。

電子通知

GitHub は、電子メール、オンライン サービスのポータル、または GitHub が指定する Web サイトを含め、オンライン サービスに関する情報および通知を電子的にお客様に提供する場合があります。 通知は、GitHub が提供した日付をもって行われたと見なします。

旧バージョン

DPA 条件は、現在利用可能なオンライン サービスの条件を規定するものです。 以前のバージョンの DPA 条件については、リセラーまたは GitHub 担当者にお問い合わせください。

定義

本 DPA で使用されている用語のうち定義のないものについては、GitHub 顧客契約における定義が適用されます。 本 DPA においては、以下の用語の定義が使用されます。

CCPA」は、カリフォルニア州民法 第 1798.100 条以下 およびその実施規則に規定するカリフォルニア州消費者プライバシー法を意味します。

顧客データ」とは、オンライン サービスの利用を通じて、お客様またはお客様の代理人によって GitHub に提供される、すべてのテキスト、音声、ビデオ、または画像ファイルおよびソフトウェアを含むすべてのデータを意味します。

データ保護要件」とは、(a) プライバシーとデータ セキュリティ、および (b) 個人データの使用、収集、保存、格納、保護、開示、移転、破棄、およびその他の処理に関連した GDPR、地域の EU/EEA データ保護法、CCPA、適用される法令、規制、およびその他の法的要件を意味します。

診断データ」とは、本オンライン サービスに関連してお客様によってローカルでインストールされているソフトウェアから GitHub が収集または取得するデータを意味します。 診断データはテレメトリと呼ばれることもあります。 診断データには、顧客データ、サービス生成データ、またはプロフェッショナル サービス データは含まれません。

DPA 条件」とは、本 DPA に記載されている条件と、特定のオンライン サービス (またはオンライン サービスの機能) に関して本 DPA のプライバシーおよびセキュリティの条件を明確に補足または変更した、GitHub 顧客契約のオンライン サービス固有の条件の両方を指します。 DPA とかかるオンライン サービス固有の条件の間で矛盾が生じた場合は、該当するオンライン サービス (またはそのオンライン サービスの機能) についてはオンライン サービス固有の本条件が優先して適用されるものとします。

GDPR」とは、個人データの処理に関する自然人の保護、当該データの自由な移動について、または指令 95/46/EC の廃止についての 2016 年 4 月 27 日の欧州議会および理事会の 2016 年 679 番 EU 規制を意味します (欧州一般データ保護規則)。 英国に関連し、「GDPR」は、英国の 2018 年欧州連合 (離脱) 法によってイギリス法に置換され、Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 によって修正された (随時修正される) 2016 年 679 番 EU 規制を意味します。

地域の EU/EEA データ保護法」とは、GDPR を実施する下位の法令を意味します。

GDPR 関連条件」とは、GDPR の第 28 条で義務付けられている個人データの処理に関連して GitHub が法的拘束力のある約定を結ぶ、付録 3 に記載の条件を意味します。

GitHub 関連会社」とは、GitHub の直接的または間接的な管理主体、被管理主体、あるいは GitHub との共通の管理下にある主体を意味します。

GitHub 顧客契約」とは、オンライン サービスに関してお客様が GitHub と締結するサービス契約または他の契約を意味します。

GitHub のプライバシーに関する声明」とは、https://docs.github.com/en/github/site-policy/github-privacy-statement で公開されている GitHub のプライバシーに関する声明を意味します。

オンライン サービス」とは、お客様との間で同意した GitHub 顧客契約に従って GitHub がお客様に提供する、プレビュー版、更新プログラム、パッチ、バグ修正、技術サポートなどのサービスまたはソフトウェアを意味します。

個人データ」とは、識別されたまたは識別可能な自然人に関するすべての情報を意味します。 識別可能な自然人とは、特に名前、識別番号、位置データ、オンライン識別子などの識別子、またはかかる自然人の身体的、生理的、遺伝的、精神的、経済的、文化的もしくは社会的なアイデンティティに固有の要素を 1 つ以上参照することによって、直接または間接的に識別することができる者をいいます。

プレビュー版」とは、下見や評価、デモ、試用などの目的のために提供されるオンライン サービス、またはオンライン サービスのプレリリース版を意味します。

プロフェッショナル サービス データ」とは、プロフェッショナル サービスを取得するために GitHub との契約を通じて、お客様またはお客様の代理人によって GitHub に提供される (またはお客様が GitHub にオンライン サービスからの取得を許可する)、または GitHub あるいは GitHub の代理人によって取得または処理される、すべてのテキスト、音声、ビデオまたは画像ファイルまたはソフトウェアを含むすべてのデータを意味します。 プロフェッショナル サービス データには、サポート データが含まれます。

サービス生成データ」とは、GitHub がオンライン サービスの運用を通じて得られたデータを意味します。 サービス生成データには、顧客データ、診断データ、プロフェッショナル サービス データは含まれません。

標準契約条項」とは、以下の「標準契約条項」のいずれかを意味し、本 DPA で後述する「データの移転と場所」の項に従って個人データの移転に個別に適用されます。

  • 標準契約条項 (構成要素 2:管理者から処理者への移転) - GDPR の第 46 条に記載され、欧州員会実施決定 (EU) 2021/91 によって承認された、欧州議会および理事会の 2016 年 679 番 EU 規則従った、個人データの第三国への移転に関する 2021 年 6 月 4 日付の条項 (「標準契約条項 (EU/EEA)」)。 標準契約条項 (EU/EEA) は、付録 1 に規定するとおりとします。
  • 「標準契約条項」(処理者) - GDPR の第 46 条に記載され、欧州委員会決定 2010/87/EU によって承認され、英国からのデータ移転に関連して使用するための英国規制または監督機関によって認識された、適切なレベルのデータ保護を保証しない第三国に設立された処理者への個人データの移転に関する 2010 年 2 月 5 日付の条項 (「標準契約条項 (英国)」)。 標準契約条項 (英国) は、付録 2 に規定するとおりとします。

下請処理者」とは、GDPR の第 28 条に規定されている、オンライン サービスに関連して個人データをお客様に代わって処理するために GitHub が利用する他の処理者をいいます。

サポート データ」とは、本契約の対象であるオンライン サービスのテクニカル サポートを取得するために GitHub との契約を通じて、お客様またはお客様の代理人によって GitHub に提供される (またはお客様が GitHub にオンライン サービスからの取得を許可する)、すべてのテキスト、音声、ビデオまたは画像ファイルまたはソフトウェアを含むすべてのデータを意味します。 サポート データはプロフェッショナル サービス データのサブセットです。

「個人データの侵害」、「処理」、「管理者」、「処理者」、「プロファイリング」、「個人データ」、「データ主体」など、本 DPA で使用されている用語のうち定義のないものについては、GDPR が適用されるかどうかにかかわらず、GDPR 第 4 条における定義が適用されます。 「データ輸入者」と「データ輸出者」という用語の意味は、標準契約条項の定義に従うものとします。

なお、上述のように、顧客データ、診断データ、サービス生成データ、およびプロフェッショナル サービス データとして定義されているデータには、個人データが含まれる場合があります。 説明のため、以下に挿入した表を参照してください。

personal_data_types
上記の表は、DPA に定義されているデータ タイプを視覚的に表したものです。 すべての個人データは、その他のいずれかのデータ タイプ (そのすべてに、個人データ以外のデータも含まれる) の一部として処理されます。 サポート データはプロフェッショナル サービス データのサブセットです。 明記されていない限り、DPA 条件は個人データにのみ適用されます。 ## 一般条件

法令遵守

GitHub は、GitHub によるオンライン サービスの提供に適用されるすべての法令および規制 (セキュリティ侵害通知法とデータ保護要件を含みます) を遵守します。 ただし、GitHub は、お客様またはお客様の業種に適用される法令であっても、情報技術サービス業者に一般的に適用されるものではない法令を遵守する責任を負いません。 特定の法令または規制の適用対象となる情報がお客様のデータに含まれるかどうかを判断するのは GitHub ではありません。 すべてのセキュリティ インシデントには、以下の「セキュリティ インシデントの通知」の条件が適用されます。

お客様は、生体認証データ、通信の秘密保持、およびデータ保護要件に関連する法令を含む、お客様による Online Service の使用に適用されるすべての法令および規制を遵守する必要があります。 特定の法令または規制の適用対象となる情報の保存および処理に Online Service が適しているかどうかを決定すること、およびお客様の法令上および規制上の義務に一致した方法でオンラインを利用することについては、お客様が責任を負うものとします。 お客様は、米国のデジタル ミレニアム著作権法またはその他の適用法令に基づくコンテンツの削除要請など、お客様による Online Service の使用に関する第三者からの要請に対応する責任を負います。

データ保護

条項 本 DPA のこの条は、次の項で構成されています。

  • 適用範囲
  • データ処理の性質 (権利の帰属)
  • 処理済みデータの開示
  • 個人データの処理、GDPR
  • データ セキュリティ
  • セキュリティ インシデントの通知
  • データの移転と場所
  • データの保持と削除
  • 処理者の機密保持に関する確約事項
  • 下請処理者の使用に関する通知および規制
  • 教育機関
  • CJIS 顧客契約、HIPAA Business Associate、生体認証データ
  • カリフォルニア州消費者プライバシー保護法 (CCPA)
  • GitHub へのお問い合わせ方法
  • 付属文書 A – セキュリティ対策

適用範囲

DPA 条件はすべてのオンライン サービスに適用されます。

プレビューで採用されるプライバシーおよびセキュリティ対策は、Online Service で通常使用される対策よりも少ない、またはそれらの対策とは異なる場合があります。 別途規定する場合を除き、お客様は、個人データまたは法令遵守要件が適用されるその他のデータを処理するためにプレビュー版を使用することはできません。 本 DPA の以下の条件は、プレビュー版には適用されません。「個人データの処理 (GDPR)」、「データ セキュリティ」、および「カリフォルニア州消費者プライバシー保護法」。

データ処理の性質 (権利の帰属)

DPA 条件で別途規定されている場合を除き、GitHub は、文書化されたお客様の指示に基づき、以下に規定される制限条項に従って、(a) お客様にオンライン サービスを提供するため、および (b) オンライン サービスのお客様への提供に付随する GitHub の正当な事業運営のためにのみ、顧客データおよび個人データを使用し、その他の方法で処理するものとします。 両当事者の間において、貴社が貴社データのすべての権利、権原、および権益を留保します。 GitHub は、本条でお客様が GitHub に付与する権利を除き、顧客データに関するいかなる権利も取得しません。 本項は、GitHub がお客様にライセンスするソフトウェアまたはサービスに対する GitHub の権利には影響しません。

お客様にオンライン サービスを提供するための処理

本 DPA において、オンライン サービスの「提供」は以下の要素で構成されます。

  • お客様とそのユーザーによってライセンス取得、設定、および使用される機能の提供 (パーソナライズされたユーザー エクスペリエンスの提供を含む)
  • トラブルシューティング (例: 問題の防止、検出、および修正)
  • 継続的な向上 (例: 最新の更新プログラムのインストール、ならびにユーザーの生産性、信頼性、有効性、およびセキュリティの向上)

オンライン サービスを提供する場合、GitHub は、お客様に代わり、また文書化されたお客様の指示に従って個人データを使用するか、その他の方法で処理するものとします。

GitHub の正当な事業運営のための処理

本 DPA において、「GitHub の正当な事業運営」は、それぞれがオンライン サービスのお客様への提供に付随する次の要素で構成されます。(1) 請求およびアカウント管理。(2) 報酬 (例: 従業員のコミッションとパートナーのインセンティブの計算)。(3) 社内向け報告およびビジネス モデリング (例: 予測、収益、キャパシティ プランニング、製品戦略)。(4) GitHub またはオンライン サービスに影響を与える可能性のある詐欺、不正行為、サイバー犯罪、またはサイバー攻撃への対処。(5) アクセシビリティ、プライバシー、またはエネルギー効率のコア機能の向上。(6) 財務報告および法的義務の遵守 (以下に概説する処理対象データの開示の制限事項の対象)。(7) お客様の個別ユーザーのエンド ユーザー アカウントおよびプロファイルの、GitHub による作成または管理。(8) GitHub リポジトリへの保存のために、またはプロフェッショナル サービスに関連してお客様が提供していない個人データに付随するその他の目的。

GitHub は、個人データをその正当な事業運営のために処理する場合、それらを次の目的で使用したりその他の方法で処理したりすることはありません。(a) ユーザー プロファイリング。(b) 広告目的または同様の商用目的。(c) データの販売または仲介。(d) 本条に記載されている目的以外のその他の目的。

処理済みデータの開示

次の場合を除き、GitHub が処理対象データを開示したり、かかるデータへのアクセスを可能にしたりことはありません。(1) お客様が指示した場合、(2) 本 DPA に規定されている場合、または (3) 法令により求められる場合。 本条において、「処理対象データ」は次の意味を持つものとします。(a)顧客データ。(b) 個人データ。および (c) オンライン サービスに関連して GitHub によって処理され、GitHub 顧客契約に基づくお客様の機密情報であるその他のデータ。 処理対象データのあらゆる処理に、GitHub 顧客契約に基づく GitHub の秘密保持義務が適用されます。

法令により義務付けられている場合を除き、GitHub が処理対象データを法執行機関に開示する、またはかかるデータへのアクセスを可能にすることはありません。 法執行機関から処理対象データを要求された場合、GitHub は、法執行機関にお客様に連絡させ、そのデータを直接要求させるよう努めます。 処理対象データを法執行機関に開示する、またはかかるデータへのアクセスを可能にせざるを得ない場合、GitHub は、かかる行為が法令により禁止されている場合を除き、直ちにお客様に通知し、かかる要求の写しを提供します。

他の第三者から処理対象データに関する要求を受け取った場合、GitHub は、法令により禁止されている場合を除き、速やかにお客様に通知します。 法令により要求の遵守が義務付けられている場合を除き、GitHub はかかる要求を拒否します。 当該要求が有効である場合であっても、GitHub は第三者に対して、お客様に当該データを直接要求させるよう努めます。

GitHub は第三者に対し、(a) 処理対象データへの直接的、間接的、全面的または無制限のアクセス、(b) 処理対象データを保護するためのプラットフォーム暗号化キーまたは当該暗号化を解除する能力、あるいは (c) 処理対象データが第三者の要求に指定された以外の目的に使用されることを GitHub が知っている場合における当該データへのアクセスのいずれも提供しません。

上記の一環として、GitHub がお客様の基本的な連絡先情報を当該第三者に提供する場合があります。

個人データの処理、GDPR

オンライン サービスに関連して GitHub が処理するすべての個人データは、顧客データ、プロフェッショナル サービス データ (サポート データを含む)、診断データ、またはサービス生成データの一部として取得されます。 オンライン サービスの使用を通じて、お客様から、またはお客様の代理で GitHub に提供された個人データも顧客データに含まれます。 仮名化された識別子が診断データまたはサービス生成データに含まれる場合がありますが、これも個人データとなります。 仮名化された個人データ、個人の特定が不可能だが匿名化されていない個人データ、または個人データから取得された個人データもすべて、個人データに該当します。

GitHub が GDPR が適用される個人データの処理者または下請処理者である限り、その処理に対して付録 3 の GDPR 関連条件が適用されます。また、両当事者も、本項 (「個人データの処理 (GDPR)」) の以下の条件に同意するものとします。

処理者と管理者の役割および責任

お客様と GitHub は、お客様が個人データの管理者であり、GitHub が当該データの処理者であることに合意するものとします。ただし、(a) お客様が個人データの処理者となり、GitHub が下請処理者となる場合、または (b) GitHub 顧客契約または本 DPA に別途記載のある場合を除きます。 GitHub が個人データの処理者または下請処理者の役割を果たす場合、GitHub は、お客様からの文書化された指示に従ってのみ、お客様に代わって個人データを処理します。 お客様は、お客様の GitHub 顧客契約 (DPA 条件および該当する更新を含む) に加え、製品ドキュメント、ならびにお客様によるオンライン サービスの機能の使用と設定が、個人データの処理について文書化された、GitHub に対する完全かつ最終的なお客様の指示を構成することに同意するものとします。 オンライン サービスの使用と設定に関する情報は、https://docs.github.com または後継の場所に掲載されています。 追加または代替の指示については、お客様の GitHub 顧客契約の修正プロセスに従って同意された場合にのみ有効となります。 お客様が処理者であり GDPR が適用されるインスタンスにおいて、お客様は GitHub に対し、お客様の指示 (GitHub を処理者または下請処理者に任命することも含む) が担当管理者の承認を得ていることを保証するものとします。

GitHub は、オンライン サービスのお客様への提供に付随する GitHub の正当な事業運営のために GDPR が適用される個人データを使用またはその他の方法で処理する範囲で、かかる使用のために GDPR に基づく独立したデータ管理者の義務を遵守する責任を負います。 GitHub は、以下の正当な事業運営に関連した処理のために GDPR に基づくデータの「管理者」の付加義務を受け入れます。(a) GDPR で義務付けられている範囲で、規制要件に従って行動する。(b) お客様に対する透明性を高め、かかる処理に対する GitHub の説明責任を確認する。 GitHub は、本 DPA で特定されているものおよび GDPR の第 6 条 (4) で検討されているものを含め、処理中の個人データを保護するための保護措置を採用しています。 本項による個人データの処理に関して、GitHub は、付録 1 または付録 2 (該当する場合) に規定した「標準契約条項」に定める確約事項を履行します。その目的において、(i) GitHub の正当な事業運営に関連して移転された、付録 1 の別紙 III に記載される、または付録 2 の付属文書 3 (該当する場合) に記載される個人データの GitHub による開示は、「関連する開示」と見なされ、(ii) 付録 1 の別紙 III または付録 2 の付属文書 3 (該当する場合) の確約事項はかかる個人データに適用されます。

処理の詳細

各当事者は以下を認め、これに同意するものとします。

  • 対象事項。 処理の対象事項は、本 DPA の前出の「データ処理の性質 (権利の帰属)」条および GDPR の範囲内の個人データに制限されます。
  • 処理の期間。 処理の期間は、お客様の指示および本 DPA の条件に従うものとします。
  • 処理の性質と目的。 処理の性質と目的は、お客様の GitHub 顧客契約に従って、オンライン サービスのお客様への提供に付随する GitHub の正当な事業運営のためにオンライン サービスを提供することです (本 DPA の前出の「データ処理の性質 (権利の帰属)」条で詳しく説明)。
  • データのカテゴリ。 オンライン サービスを提供する際に GitHub が処理する個人データの種類には、次のものが含まれます。(i) お客様がお客様のデータまたはプロフェッショナル サービス データ (サポート データを含みますが、それらに限定されません) に含めることを選択した個人データ、および (ii) GDPR の第 4 条で明示的に特定された個人データのうち、診断データまたはサービス生成データに含まれている可能性のあるもの。 お客様が顧客データまたはプロフェッショナル サービス データ (サポート データを含むが、これに限定されません) に含めることを選択する個人データのカテゴリは、お客様が GDPR の第 30 条に従って管理者として保持する記録で特定されている任意のカテゴリの個人データに該当します。これには、付録 1 の別紙 I または付録 2 の付属文書 1 (該当する場合) で定められているカテゴリの個人データが含まれます。
  • データ主体。 データ主体のカテゴリは、お客様の代表者とエンド ユーザー (従業員、請負業者、コラボレーター、顧客など) に該当し、お客様が GDPR の第 30 条に従って管理者として保持する記録で特定されているその他のカテゴリのデータを含む場合があります。これには、付録 1 の別紙 I または付録 2 の付属文書 1 (該当する場合) に定められているデータ主体のカテゴリが含まれます。

データ主体の権利、要求のサポート

GitHub は、オンライン サービスの機能および処理者としての GitHub の役割に従った方法で、お客様に対してデータ主体の個人データを提供し、GDPR に基づくデータ主体の権利の行使要求にお客様が対応できるようにします。 GitHub は、GitHub がデータ処理者または下請処理者となっているオンライン サービスに関連し、GDPR に基づいて 1 つ以上の権利の行使要求をデータ主体から受けた場合は、データ主体に、お客様に直接要求させるように務めます。 当該要求に対してはお客様が責任をもって対応してください (必要に応じて、Online Service の機能を使用して対応してください)。 GitHub は、かかるデータ主体による要求への対応についてお客様を支援するため、お客様の合理的な要求に応じます。

処理活動の記録

GitHub がお客様に関連した特定の情報の記録を収集および維持することが GDPR で義務付けられている限りにおいて、お客様は、当該情報を要求に応じて GitHub に提供し、正確かつ最新の状態に保つものとします。 GitHub は、GDPR の要求に応じて、当該情報を監督機関に提供する場合があります。

データ セキュリティ

GitHub は、オンライン サービスに関連して GitHub がお客様に代わり、お客様の文書化された指示に従って処理する顧客データおよび個人データを、不慮の、または違法な破壊、喪失、改変、無許可の開示またはアクセスから保護するために適切な技術的および組織的対策と安全保護措置を講じており、今後も維持します。 GitHub は、これらの対策および保護措置が守られていることを定期的に監視し、GitHub 顧客契約の期間中に継続的に適切な措置を講じていきます。 付属文書 A – 安全保護措置には、GitHub が実施している技術的および組織的対策と安全保護措置の記述が記載されています。

オンライン サービスの技術的および組織的対策と安全保護措置がお客様の要件 (適用されるデータ保護要件に基づくお客様のセキュリティ義務を含む) を満たしているかどうかに関し、お客様は、自身の責任において独自に判断する必要があります。 お客様は、最新技術、実施コスト、その顧客および個人データの処理の性質、範囲、および目的、ならびに自然人の権利と自由に対するリスクのさまざまな可能性と重大度を考慮したうえで、GitHub が実施し、今後維持する技術的および組織的対策と安全保護措置が、その顧客データおよび個人データに関連したリスクに見合ったセキュリティ レベルを提供していることを認め同意するものとします。 お客様は、お客様が提供または管理するコンポーネントに対してプライバシー保護およびセキュリティ対策を実装し維持する責任を負います。

GitHub は、SOC1 type2 や SOC2 type2 の外部監査レポートなど、セキュリティ 法令遵守レポートをお客様の要求に応じて提供します。 お客様は、該当するデータ保護要件 (GDPR の第 28 条第 (3) 項 (h) を含む) で付与される情報権および監査権が当該法令遵守レポートによって充足されること、また、それ以外では、これらの権利が生じるのは、GitHub が提供する法令遵守レポートによって十分な情報が得られない範囲内か、または規制機関による、または監督機関による監査あるいは調査にお客様が応える義務の範囲内に限られることに同意するものとします。

お客様が、規制機関または監督機関の監査あるいは調査を受け入れるか、GitHub の参加を要求した規制機関または監督機関による要請に応えて監査または調査を実施しなければならず、しかも、GitHub がその顧客に通常提供する監査レポート、ドキュメント、または法令遵守情報がお客様の義務を合理的に (お客様の規制機関が許容する程度まで) 充足できない場合、GitHub は、以下の条件に従ってお客様の追加指示および情報要求に即座に応えるものとします。

  • GitHub は、関連する知識豊富な人材、ドキュメント、アプリケーション ソフトウェアへのアクセスを提供します。
  • お客様と GitHub は、適用範囲、タイミング、期間、管理、および証拠の要件について事前に書面による契約書 (電子メールも可) で相互に同意するものとします。ただし、要件の同意に必要だからといって、その協力が不合理に遅れることがあってはなりません。
  • お客様は、独立した第三者組織である認定済みの監査会社によって、通常の営業時間中に、GitHub への合理的な書面による事前通知を行ったうえで、合理的な秘密保持手順に従って行われることをその規制機関に対して確認する必要があります。 お客様、その規制機関、あるいはその規制機関の代理人のいずれも、GitHub の他の顧客データにアクセスしたり、オンライン サービスに関与していない GitHub のシステムまたは施設にアクセスしたりすることはできません。
  • お客様は、GitHub が実施するサービスの料金に加えて、GitHub が当該監査に費やしたすべての妥当な費用と料金を含む、お客様の規制監査に対する GitHub の協力に関連したすべての費用と料金に対して責任を負います。
  • お客様の規制監査に対する GitHub の協力から生成されたレポートに GitHub に関する調査結果が含まれている場合、お客様はお客様の規制機関が認める範囲で当該レポート、調査結果、推奨措置を GitHub と共有するものとします。

セキュリティ インシデントの通知

GitHub は、オンライン サービスに関連してお客様の文書化された指示に従って代理で処理する顧客データまたは個人データの偶発的または不法な破壊、喪失、改変、不正な開示、またはアクセスにつながるようなセキュリティ違反 (それぞれ「セキュリティ インシデント」という) を認識した場合、遅滞なく速やかに、(1) セキュリティ インシデントについてお客様に通知し、(2) セキュリティ インシデントを調査して、それについての詳細情報をお客様に提供し、(3) セキュリティ インシデントによる影響に対処し、セキュリティ インシデントにより生じる損害を最小限に抑えるための合理的な対策を講じます。

セキュリティ インシデントの通知は、電子メールその他の GitHub が選択した手段によって、お客様の 1 名以上の管理者に提供されるものとします。 GitHub との間で正確な連絡先情報を維持し、お客様の管理者があらゆる通知を常に監視して対処することについては、お客様が単独で責任を負うものとします。 貴社に適用されるインシデント通知に関する法律に基づく貴社の義務の遂行、およびセキュリティ インシデントに関する第三者への通知義務を遂行する責任は、すべて貴社が単独で負うものとします。

GitHub は、GDPR 第 33 条またはその他の適用される法規制の下で、関連する規制または監督機関およびデータ主体にかかるセキュリティ インシデントについて通知する義務をお客様が履行できるように支援する合理的な努力を尽くすものとします。

本条に基づくセキュリティ インシデントの通知または対応に関する GitHub の義務は、セキュリティ インシデントに関する過失または賠償責任を GitHub が認めたものではありません。

お客様のアカウントまたは認証資格情報が不正使用された可能性がある場合、またはオンライン サービスに関連するセキュリティ インシデントが発生した場合には、お客様は速やかに GitHub にその旨を通知する必要があります。

データの移転と場所

GitHub がオンライン サービスに関連してお客様の文書化された指示に従って代理で処理する個人データは、本条の以下に定める DPA 条件および保護措置に従わない限り、地理的な場所に移転し、そこで保管および処理することはできません。 DPA 条件に別途規定されている場合を除き、お客様は当該保護措置を考慮して、GitHub またはその下請処理者が営業を展開する米国またはその他の国に個人データを移転し、その国内で保存および処理するために GitHub を任命するものとします。

オンライン サービスを提供するために欧州連合、欧州経済地域、英国、またはスイスから個人データを移転する場合はすべて、付録 1 の標準契約条項 (EU/EEA) が適用されます。 オンライン サービスを提供するために英国から個人データを移転する場合はすべて、付録 2 の標準契約条項 (英国) が適用されます。 付録 2 の標準契約条項 (英国) において「欧州連合」、「EU」、「欧州経済地域」、「EEA」、「加盟国」という用語は、合理的に必要かつ適切である場合、英国からの個人データの移転に関して標準契約条項 (英国) が十分な効力を発揮する英国を指すものと解釈します。 これは、2020 年 1 月 31 日の時点で英国が欧州連合または欧州経済地域の加盟国でなくなったという事実に関係なく適用されます。

欧州連合、欧州経済地域、英国およびスイスといった各法域外部の受領者または管轄区域への個人データの移転に関連し、GitHub は当該法域のデータ保護法の要件、およびその他のデータ保護要件に従います。 かかる個人データ移転には、GDPR 第 46 条に定める適切な保護措置が適宜適用され、かかる移転および保護措置は、GDPR 第 30 条 (2) 項に従って文書化されるものとします。

前述の保護措置に従って、GitHub は、オンライン サービスに関連してその独自の裁量により合理的に必要と判断した管轄区域または地理的な場所に個人データを移転し、そこで保管またはその他の方法で処理する場合があります。

データの保持と削除

法律で禁止されている場合を除き、GitHub は、オンライン サービスに関連してお客様の文書化された指示に従って代理で処理する、すべての保存場所にある一切の顧客データおよび個人データをお客様からの合理的な要求を受けてから 30 日以内に破棄または返却します。ただし、その場合、オンライン サービスの提供に対し、およびデータ主体がその個人データの処理を許可した目的に対し、これらデータが不要となったことを条件とします。 GitHub は、該当するデータ保護要件またはその他の適用法で要求される範囲内で、また、該当するデータ保護要件またはその他の適用法で要求される期間を上限として顧客データまたは個人データを保管する場合があります。その際、GitHub は、該当するデータ保護要件またはその他の適用法に定める目的に必要とされる場合にのみ顧客データまたは個人データを処理し、それ以外の目的には処理せず、該当するデータ保護要件またはその他の適用法に従ってデータを保護することを保証します。

処理者の機密保持に関する確約事項

GitHub は、オンライン サービスに関連してお客様の代理で顧客データおよび個人データの処理に従事する GitHub 担当者が、(i) お客様からの指示または本 DPA の規定に必ず従って当該データを処理すること、および (ii) 処理の終了後も顧客データおよび個人データの秘密保持と安全性の保持が義務付けられていることを保証するものとします。 GitHub は、適用されるデータ保護要件、その他の適用法、および業界標準に従い、顧客データおよび個人データにアクセスする GitHub の従業員に対し、データ プライバシーおよびセキュリティに関する必須の研修を定期的に実施し、これらについて周知させるものとします。

下請処理者の使用に関する通知および規制

GitHub は、一部のサービスまたは補助的なサービスを下請処理者に委託することができます。 お客様は、本契約と下請処理者としての GitHub の関連会社に同意するものとします。 上記の承認は、適用法、標準契約条項、または GDPR 関連条件に基づき、GitHub が個人データを下請処理に出すことに関してお客様の書面による事前の同意が必要な場合に、かかる同意を構成するものとします。

GitHub は、その下請処理者が本 DPA の GitHub の義務を遵守することに責任を負います。 GitHub は、自社 Web サイト (https://github.com/subprocessors (または後継の場所)) に下請処理者に関する情報を公開しています。 GitHub は、下請処理者と契約を締結する際、書面による契約書を交わすことにより、下請処理者が GitHub から委託されたサービスを提供するためにのみ顧客データまたは個人データにアクセスして使用し、それ以外の目的には当該データを使用しないことを保証します。 GitHub は、個人データの開示への制限を含め、本 DPA が GitHub に求めるものと同等以上のデータ保護対策を講じるよう書面に規定し、下請処理者に義務付けます。 GitHub は、これらの契約上の義務が確実に満たされるように下請処理者を監督することに同意します。

GitHub は、随時、新しい下請処理者と契約できるものとします。 GitHub は、Web サイト (https://github.com/github-subprocessors-list、または後継の場所) を更新し、その更新を知る方法をお客様に提供することにより、新規事業者についてお客様に通知します。下請処理者に顧客データへのアクセスを提供するのは、その後になります。 GitHub が新しいオンライン サービスのために新しい下請処理者と契約する場合、お客様にその旨を通知します。GitHub がそのオンライン サービスを提供するのは、その後になります。

新しい下請処理者を承認しない場合、お客様は、当該通知期間が終わる前に、終了通知を書面で交付することによって、影響を受けるオンライン サービスのサブスクリプションを違約金なしで終了することができます。 お客様は、GitHub が該当する懸念に基づいて新しい下請処理者を再評価できるようにするために、終了通知と共に不承認の理由の説明を含めることもできます。 影響を受ける Online Service がスイート (またはサービスの 1 回の購入) の一部である場合、解約はスイート全体に適用されます。 終了後、GitHub は、お客様またはそのリセラーに対する以降の請求書から、解約したオンライン サービスのサブスクリプションに対する支払義務を削除します。

教育機関

お客様が、家庭教育の権利とプライバシーに関する法 (20 U.S.C. § 1232g (FERPA) または同様の州内学生に関する法律や教育とプライバシーに関する法律 (以下総称して「教育とプライバシーに関する法律」といいます) の規定が適用される機関である場合、お客様は、GitHub から書面による具体的な同意を事前に受け、オンライン サービスに関連して当該個人データの GitHub による処理に伴う両当事者の権利および義務を定める契約を GitHub と別途取り交わすことなく、当該の教育とプライバシーに関する法律が適用される個人データを GitHub に提供することはできないものとします。

上記に従い、FERPA が適用される個人データをお客様が GitHub に提供する場合、両当事者は、本 DPA の目的上、GitHub が個人データに対して「正当な教育的関心」を持つ「学校関係者」であることを認め、これに同意するものとします。それらの条項は FERPA とその実施規制において定義されています。 お客様は、GitHub が、お客様の学生および学生の両親の連絡先について限られた情報しか持っていないかまたは情報をまったく持っていない場合があることを了解するものとします。 したがって、お客様は、適用される法令によって必要とされる場合に、エンド ユーザーによるオンライン サービスの使用について保護者の同意を得る責任を負うものとし、適用される法令により義務付けられる場合には、GitHub が所有する顧客データの開示を要求する裁判所の命令または合法的に発行された令状について、GitHub に代わって学生 (または、18 歳未満で中等後教育機関に在籍していない学生に関しては、学生の親) に通知を行うものとします。

CJIS 顧客契約、HIPAA Business Associate、生体認証データ

お客様は、GitHub から書面による具体的な同意を事前に受けない限り、以下の個人データを GitHub に提供しないものとします。

  • 刑事上の有罪判決および犯罪に関する個人データ、FBI 刑事裁判情報サービス部または関連セキュリティ ポリシーの対象となるか、またはこれに伴ってお客様が収集あるいはその他の方法で処理した個人データ。
  • 医療保険の相互運用性と説明責任に関する法律 (Public Law 104-191) または州保健衛生法または医療プライバシー法に従って制定された、米国保健社会福祉省発行のプライバシー、セキュリティ、および違反通知に関する規則 (Parts 160 and 164 of Title 45 of the Code of Federal Regulations) が適用される保護対象健康情報を構成するもの。
  • Federal Policy for the Protection of Human Subjects (Common Rule) が適用されるか、これに従って実施される臨床試験またはその他のバイオメディカル リサーチの研究課題の一環として収集された情報。
  • 州、連邦政府、または外国の生体情報プライバシー法の対象となる情報、または、個人の身元を特定するためにその身体的、生理的、生物学的、または行動的特徴に関する情報や、かかる情報から生成され、単独でまたは互いに組み合わせるか他の情報と共に使用することを意図した情報。

カリフォルニア州消費者プライバシー法 (CCPA)/カリフォルニア州プライバシー権法 (CPRA)

GitHub は、CCPA の範囲内でお客様の文書化された指示に従って代理で個人データを処理する場合に限り、お客様に対して以下の追加確約を行います。 GitHub はお客様の代理で個人データを処理し、以下は行いません。

  • CCPA で定義する「販売」どおりに個人データを販売する。 つまり、金銭の交換のないクロスコンテキスト行動ターゲティング広告のための取引を含め、金銭またはその他の価値ある対価のあるなしにかかわらず、クロスコンテキスト行動ターゲティング広告を目的として口頭、書面、電子的方法、またはその他の方法で個人データを第三者と共有、貸与、解放、開示、配布、提供、移転、または伝達する。
  • DPA 条件または GitHub 顧客要件に定めるビジネス上のものを除く商用目的のために、CCPA に別段の記載がある場合を除いて個人データを保持、使用、開示することを含め、DPA 条件および GitHub 顧客契約に定めるビジネス上のものを除く目的のために個人データを保持、使用、開示する。
  • お客様との直接的な取引関係外で個人データを保持、使用、または開示する。
  • 個人データを第三者の代理で受領するか、カリフォルニア州の住民から収集した個人データと組み合わせる (ただし、CCPA が認めるか、CCPA で採択または発行された規則が認めるビジネス上の目的を実行するために GitHub が個人データを組み合わせる場合を除く)。

GitHub へのお問い合わせ方法

GitHub がプライバシーまたはセキュリティに関する確約事項を遵守していないとお客様がお考えの場合、カスタマー サポートまで連絡するか、GitHub のプライバシー Web フォーム (https://support.github.com/contact/privacy) をご利用ください。 GitHub の郵送先住所は次のとおりです。

GitHub Privacy
GitHub, Inc.
88 Colin P. Kelly Jr. Street
San Francisco, California 94107 USA

GitHub B.V. は、GitHub の欧州経済地域担当データ保護担当窓口です。 GitHub B.V. のプライバシー担当窓口には、 以下の住所までご連絡ください。

GitHub B.V.
Vijzelstraat 68-72
1017 HL Amsterdam
オランダ

付属文書 A – 安全保護措置

GitHub は、これまで、GitHub サービスに関連してお客様の文書化された指示に従って代理で処理する顧客データと個人データに対して以下の技術的および組織的対策と安全保護措置を導入してきたほか、これからも維持していきます。これらは、本 DPA のセキュリティの確約事項 (GDPR 関連条項を含む) と共に当該データのセキュリティに関連する GitHub 唯一の責任となります。

ドメイン対策
情報セキュリティ組織セキュリティの責任者。 GitHub は、セキュリティ ポリシーおよび手順の調整と監視を担当する 1 人以上のセキュリティ責任者を任命します。

セキュリティ ロールおよび責任。 顧客データおよび個人データにアクセスする GitHub 担当者には、秘密保持義務が課されます。

リスク管理プログラム。 GitHub は年に一度、リスク評価を実施します。
GitHub は、セキュリティ関連文書を、効力を持たなくなった後も保存義務に従って保存します。

ベンダー管理。 GitHub は、ベンダー リスク評価プロセス、ベンダー契約条項、その他のデータ保護契約をベンダーと取り交わしています。
Asset Management (資産管理)資産インベントリ。 GitHub は、顧客データおよび個人データが保管されているすべてのメディアの一覧を保持します。 かかるメディアの一覧へのアクセスは、当該アクセスを許可されている GitHub 担当者に制限されます。

資産の取り扱い
- GitHub は、顧客データおよび個人データを分類して、識別しやすくすると共に、かかるデータへのアクセスを適切に制限できるようにします。
- GitHub は、終了の理由を含め、データ保護に対する義務および説明責任を従業員に伝えます。
GitHub 担当者は、GitHub の許可を得ない限り、顧客データおよび個人データにリモートでアクセスしたり、GitHub 施設外で顧客データおよび個人データを処理したりすることはありません。
人事セキュリティセキュリティ研修。 GitHub は、初期オンボーディングの一環としてセキュリティおよびプライバシー意識向上研修を修了することを新規採用者全員に義務付けています。 従業員は全員、年に一度、セキュリティおよびプライバシーに関する基本的な基準情報を学習するための研修に参加することが求められます。
物理セキュリティおよび論理セキュリティ施設への物理的アクセス。 GitHub は、顧客データおよび個人データを処理する情報システムが配置されている施設へのアクセスを、許可された特定の個人に限定します。

コンポーネントへの物理的アクセス。 GitHub は、メディアの種類、許可された送付者/受領者、日付および時刻、メディアの数ならびに含まれる顧客データおよび個人データのカテゴリを含め、顧客データを収録したメディアの出入り状況を記録します。

喪失からの保護。 GitHub は、さまざまな業界標準システムを使用して、電源の故障または電力線妨害によるデータの喪失を防止します。

コンポーネントの廃棄。 GitHub は、業界標準プロセスに従い、不要になった顧客データおよび個人データを消去します。
通信および運用管理運用ポリシー。 GitHub は、GitHub のセキュリティ対策ならびに顧客データにアクセス可能な GitHub 担当者の関連手順および責務を規定したセキュリティ関連文書を保持します。

データ回復手順
- 継続的に、ただしいかなる場合でも週に 1 回以上 (顧客データおよび個人データがその期間中に更新されなかった場合を除きます)、GitHub は、顧客データおよび個人データの回復に使用することができる顧客データおよび個人データの複製を複数作成します。
- GitHub は、顧客データおよび個人データの複製とデータ回復手順の写しを、顧客データおよび個人データを処理する主要コンピューター機器が設置されている場所とは異なる場所に保管します。
- GitHub は、顧客データの複製へのアクセスを管理するための具体的な手順を定めています。
- GitHub は、担当者、復元されたデータの記述、および該当する場合はデータ回復処理において手動で入力する必要があったデータ (存在する場合) を含め、データ回復作業を記録します。

悪意あるソフトウェア。 GitHub は、公衆ネットワークから送信される悪意あるソフトウェアを含め、顧客データへの異常または不審なアクセスを特定して対処するのに役立つ脅威検出制御対策を講じています。

境界を越えるデータ
- GitHub は、公衆ネットワークを介して伝送される顧客データおよび個人データを暗号化するか、お客様が暗号化できるようにします。
- GitHub は、当社の施設外へ持ち出されるメディア内の顧客データおよび個人データへのアクセスを制限します。

イベント ログ。 GitHub は、顧客データを含む情報システムへのアクセスおよび使用をログに記録し、またはお客様がログに記録できるようにし、アクセス ID、日時、許可または拒否された認証、および関連する活動を登録します。
アクセス制御アクセス ポリシー。 GitHub は、顧客データにアクセス可能な個人のセキュリティ権限の記録を保持します。

アクセス認可
- GitHub は、顧客データが保管されている GitHub システムへのアクセスを許可されている担当者の記録を保持し、更新します。
- GitHub は、データおよびリソースへのアクセス権を許可、変更、または取り消すことができる担当者を指名します。
- 個人データを含むシステムに複数の個人がアクセスすることができる場合、技術的および構造的に実現可能で商業的に合理的であれば、GitHub はログイン ID をそれらの個人に個別に割り当てます。

最小限の権限
- テクニカル サポート担当者は、必要な場合に限り、顧客データおよび個人データへのアクセスを許可されます。
- GitHub は、顧客データおよび個人データへのアクセスを、職務を履行するためにかかるアクセスを必要とする個人にのみ制限します。 GitHub 従業員には、その組織内の役割に基づく生産システムへのアクセスのみ許可されます。

整合性および秘密保持

- GitHub は、コンピューターを離れる際は管理セッションを無効にするよう GitHub 担当者に指示します。
- GitHub は、パスワードの有効期間中はパスワードを暗号化するか、理解が困難になるような方法で保管します。

認証
- GitHub は、業界標準の慣行に従い、情報システムへのアクセスを試みるユーザーを特定し、認証します。
- パスワードのみを使用した認証メカニズムの場合、GitHub は 8 文字以上のパスワードの設定を義務付けています。
- GitHub は、無効になった、または有効期限の切れた従業員 ID を他の個人が使用できないようにします。
- GitHub は、無効なパスワードを使用して情報システムに繰り返しアクセスしようとする行為を監視するか、またはお客様が監視できるようにします。
- GitHub は業界標準の手順に従い、破損した、または不注意で開示されたパスワードを無効にします。
- GitHub は、割り当て時、配布時、および保管中にパスワードの機密性と整合性を維持するために計画された慣行を含め、業界標準のパスワード保護慣行に従います。

ネットワーク設計。 GitHub は、顧客データおよび個人データを保管するシステムが GitHub の業務運用に使用するものと同じ論理ネットワーク上に配置されないようにするための管理対策を講じています。
情報セキュリティ インシデント管理インシデント対応プロセス
- GitHub は、セキュリティ インシデントを、その内容、機関、違反の結果、報告者の名前、インシデントの報告先、インシデントの取り扱い方法に関する詳細情報と共に記録して保管します。
- GitHub.com の顧客がデータ侵害の影響を受けたことを GitHub セキュリティ部門が確認したか、または合理的に疑われる場合、GitHub は遅滞なく顧客に通知します。
- GitHub は、開示されたデータ、データの開示先および開示日時を含め、顧客データの開示を追跡するか、またはお客様が追跡できるようにします。

サービスの監視。 GitHub は、サイトへの攻撃を防止、検出、緩和するためのさまざまな継続的監視ソリューションを導入しています。
事業継続性の管理- GitHub は、顧客データおよび個人データを処理する GitHub 情報システムが配置されている施設について緊急時対応計画を定めています。
- GitHub の冗長ストレージおよびそのデータ回復手順は、喪失または破壊される前の元の状態または最後に複製されたときの状態で顧客データおよび個人データを再構築することを試みるように設計されています。

付録 1 - 標準契約条項 (EU/EEA)

管理者から処理者

第 I 条

第 1 条

目的と適用範囲

  1. 本標準契約条項の目的は、第三国への個人データの移転を目的とした、個人データの処理に関する自然人の保護および当該データの自由な移動に関する 2016 年 4 月 27 日付け欧州議会および理事会の 2016 年 679 番 EU 規則の要件 (一般データ保護規則) の遵守を徹底することです。
  2. 両当事者は、
    1. 別紙 I.A に記載されている個人データを移転する自然人または法人、公的機関、代理人、またはその他の団体 (以下「事業体」といいます) (以下それぞれ「データ輸出者」といいます) であり
    2. 別紙 I.A に記載されている、データ輸出者から直接、または別の事業体を経由して間接的に、第三国で個人データを受け取る事業体 (以下「データ輸入者」といいます) で、本条項の当事者でもあり
    本標準契約条項 (以下「条項」といいます) に同意しました。
  3. 本条項は、別紙 I.B に規定されている個人データの移転に関して適用されます。
  4. 本条項の付属文書は、そこに参照されている別紙を含め、本条項の不可欠な部分を形成します。
第 2 条

本条項の効果と不変性

  1. 本条項は、2016 年 679 番 EU 規則の第 46 条 (1) 項および第 46 条 (2)(c) 項に従って、および 2016 年 679 番 EU 規則の第 28 条 (7) 項に基づく標準契約条項に従って、これらの条項が変更されない限り (ただし、適切なモジュールの選択と、付属文書の情報の追加または更新を目的とした変更を除く)、管理者から処理者へのデータ移転および/または処理者間のデータ移転に関して、行使できるデータ主体の権利と有効な法的救済策を含めた適切な保護条項を定めています。 これにより、両当事者が、本条項で定められた標準契約条項をより広範囲の契約に含め、他の条項や保護条項を追加するのを妨げることはありません。ただし、それらが本条項と直接または間接的に矛盾しない場合、またはデータ主体の基本的な権利や自由を損なわない場合に限ります。
  2. 本条項は、2016 年 679 番 EU 規則によってデータ輸出者に適用される義務を損なうものではありません。
第 3 条

第三受益者

  1. データ主体は、データ輸出者またはデータ輸入者に対して第三者受益者として本条項を行使および強制することができます。ただし、以下の条項を除きます。
    1. 第 1 条、第 2 条、第 3 条、第 6 条、第 7 条
    2. 第 8 条 1(b) 項、8 条 9(a) 項、(c) 項、(d) 項、(e) 項
    3. 第 9 条 (a) 項、(c) 項、(d) 項、(e) 項
    4. 第 12 条 (a) 項、(d) 項、(f) 項
    5. 第 13 条
    6. 第 15 条 1(c) 項、(d) 項、(e) 項
    7. 第 16 条 (e) 項
    8. 第 18 条 (a) 項および (b) 項
  2. (a) 項は、2016 年 679 番 EU 規則の下でのデータ主体の権利を損なうものではありません。
第 4 条

解釈

  1. 本条項で使用されている用語のうち 2016 年 679 番 EU 規則で定義されているものについては、この規則における定義が適用されるものとします。
  2. 本条項は、 2016 年 679 番 EU 規則の規定の観点から読み、解釈するものとします。
  3. 本条項は、2016 年 679 番 EU 規則に定められた権利および義務と矛盾しないように解釈するものとします。
第 5 条

階層

本条項と両当事者間の関連する契約の間に矛盾が生じた場合は、本条項が合意または締結された時点の既存の条項が優先するものとします。

第 6 条

移転の説明

移転の詳細、特に移転される個人データの種類と移転目的については、別紙 I.B に規定されています。

第 7 条

結合条項

  1. 同条項の当事者ではない事業体は、当事者の合意により、付属文書に記入し、別紙 I.A に署名することで、データ輸出者またはデータ輸入者として随時本条項に同意できます。
  2. 付属文書に記入し、別紙 I.A に署名した後、同意した事業体は本条項の当事者となり、別紙 I.A の指定に従ってデータ輸出者またはデータ輸入者としての権利と義務を持つものとします。
  3. 同意した事業体は、当事者になる前の期間については、本条項の下で生じる権利または義務を有さないものとします。

第 II 条 – 両当事者の義務

第 8 条

データ保護のための保護措置

データ輸出者は、データ輸入者が適切な技術的および組織的対策の導入を通じて、本条項に基づく義務の履行が可能であることを判断するために合理的な努力を尽くしたことを保証するものとします。

8.1 指示

  1. データ輸入者は、データ輸出者からの文書化された指示に従ってのみ、個人データを処理するものとします。 データ輸出者は、契約期間にわたってかかる指示を提供する場合があります。
  2. データ輸入者は、これらの指示に従うことができない場合、直ちにデータ輸出者に通知するものとします。

8.2 目的の制限

データ輸入者は、データ輸出者から追加の指示がない限り、別紙 I.B に定められた特定の移転目的でのみ、個人データを処理するものとします。

8.3 透明性

データ輸出者は要求に応じて、両当事者が記入した付属文書も含め、本条項の写しをデータ主体に無料で提供するものとします。 データ輸出者は、写しを共有する前に、別紙 II に定める対策を含め企業秘密または他の機密情報を保護するために必要な範囲で、付属文書の文言の一部を削除できます。ただし、データ主体がその内容を理解し、その権利を行使できなくなる場合は、意味のある要約を提供するものとします。 両当事者は要求に応じて、削除された情報を明らかにせずに可能な範囲で、データ主体に削除の理由を伝えるものとします。 本条項は、2016 年 679 番 EU 規則の第 13 条および 14 条で適用されるデータ輸出者の義務に影響を与えることはありません。

8.4 正確性

データ輸入者は、受領した個人データが正確でないこと、または古くなったことを認識した場合、不当な遅滞なくデータ輸出者に通知するものとします。 この場合、データ輸入者はデータ輸出者と協力してデータを消去または修正するものとします。

8.5 データ処理の機関とデータの消去または返却

データ輸入者による処理は、別紙 I.B に規定されている期間のみ行われるものとします。 データ輸入者は、処理サービス提供の終了後、データ輸出者の選択に応じて、データ輸出者に代わって処理したすべての個人データを削除し、その完了をデータ輸出者に証明するか、またはデータ輸出者に代わって処理したすべての個人データをデータ輸出者に返却し、既存の写しを削除するものとします。 データが削除または返却されるまで、データ輸入者は引き続き本条項の遵守を徹底するものとします。 個人データの返却または削除を禁じる地域法がデータ輸入者に適用される場合、データ輸入者は、引き続き本条項の遵守を徹底することを保証し、その地域法の下で必要とされる限りにおいて、その範囲内でのみ個人データを処理するものとします。 これは第 14 条、特に第 14 条 (e) 項の下でのデータ輸入者の要件を損なうものではありません。この要件に基づき、データ輸入者は契約期間にわたり、第 14 条 (a) 項の要件に従っていない法律または慣行が適用されていると信じる理由がある場合は、データ輸出者に通知する必要があります。

8.6 処理のセキュリティ

  1. データ輸入者、および移転時はデータ輸出者も、そのデータの偶発的または違法な破壊、喪失、改変、無許可の開示またはアクセスにつながるセキュリティ違反 (以下「個人データの侵害」といいます) に対する保護を含め、データのセキュリティを確保するために適切な技術的および組織的対策を導入するものとします。 適切なセキュリティ レベルの評価において、両当事者は技術水準、導入コスト、処理の性質、範囲、背景、目的、および処理に伴うデータ主体へのリスクを考慮するものとします。 特に両当事者は、処理目的がその方法で達成できる場合、送信時を含めて暗号化または仮名化を義務付けることを検討するものとします。 仮名化の場合、個人データを特定のデータ主体に結び付ける追加情報は、可能な場合、データ輸出者の排他的な管理下に置かれるものとします。 本項に基づく義務を遵守するうえで、データ輸入者は少なくとも別紙 II に規定されている技術的および組織的対策を導入するものとします。 データ輸入者は、定期的に確認を実施して、これらの対策によって適切なセキュリティ レベルが継続的に適用されていることを確認するものとします。
  2. データ輸入者は、契約の実施、管理、および監視のために厳密に必要な範囲でのみ、その担当者のメンバーに個人データへのアクセス権を与えるものとします。 個人データの処理を許可された者が、秘密保持を確約しているか、または適切な法定の守秘義務を負うことを保証するものとします。
  3. 本条項の下でデータ輸入者により処理された個人データに関して個人データの侵害が発生した場合、データ輸入者は、悪影響を軽減するための対策を含め、個人データの侵害に対応するための適切な対策を講じるものとします。 また、データ輸入者は、侵害を認識した場合、不当な遅滞なくデータ輸出者に通知するものとします。 かかる通知には、さらに情報を取得できる連絡窓口の詳細、侵害の性質の説明 (可能な場合は、データ主体および関連する個人データ記録の種類と概算の数を含む)、その可能性のある結果、起こりうる悪影響を軽減するための対策を必要に応じて含め、侵害に対応するために実施または提案した対策を含めるものとします。 同時にすべての情報を提供することが可能ではない場合、およびその限りにおいて、最初の通知にはその時点で入手可能な情報を含めるものとし、詳しい情報は、それ以降に入手できた時点で、不当な遅滞なく提供するものとします。
  4. データ輸入者はデータ輸出者と協力し、データ輸出者が 2016 年 679 番 EU 規則に基づく義務を遵守できるよう支援するものとします。特に、処理の性質とデータ輸入者が入手可能な情報を考慮したうえで、必要に応じて、管轄監督機関および影響を受けるデータ主体に通知できるように支援するものとします。

8.7 機密データ

データ輸入者は、人種的または民族的起源、政治的意見、宗教的または哲学的信念、労働組合への加入、遺伝データ、自然人を一意に識別する生体認証データ、医療に関するデータ、個人の性生活または性的指向に関するデータ、または刑事上の有罪判決または犯罪に関連するデータを明らかにする個人データ (以下「機密データ」といいます) が移転に含まれている場合、別紙 I.B に定められた特定の制限や追加の保護措置を適用するものとします。

8.8 転送

データ輸入者は、データ輸出者からの文書化された指示に従ってのみ、個人データを第三者に開示するものとします。 さらに、第三者が適切な構成要素の下で本条項に拘束されている場合、または拘束されることに同意した場合、あるいは以下の場合に、欧州連合域外 (1) (データ輸入者と同じ国または別の第三国。以下「転送」といいます) にいる第三者にのみデータを開示できます。

  1. 転送について定めている 2016 年 679 番 EU 規則の第 45 条に従って妥当な決定から利益を得る国への転送であること。
  2. あるいは、当該処理に関して第三者が 2016 年 679 番 EU 規則の第 46 条および第 47 条に従って適切な保護措置を確保すること。
  3. 特定の管理、規制、または訴訟手続きに関連して、法的要求の設定、行使、または弁護に転送が必要であること。
  4. データ主体または別の自然人の重大な利益を守るために転送が必要であること。

  5. いかなる転送にも、本条項の他のすべての保護措置と共に、特に目的の制限において、データ輸入者による法令遵守が適用されます。

8.9 文書化と遵守状況

  1. データ輸入者は、本条項に基づく処理に関連するデータ輸出者からの問い合わせを、適切かつ速やかに処理するものとします。
  2. 両当事者は、本条項の遵守状況を証明できるものとします。 データ輸入者は特に、データ輸出者に代わって行った処理活動に関して、適切な文書を保持するものとします。
  3. データ輸入者は、本条項に定める義務の遵守を証明するために必要なすべての情報をデータ輸入者の要求に応じて提供し、合理的な間隔で、または不遵守が疑われる場合に本条項で対象となる処理活動の監査を受け協力するものとします。 データ輸入者は、審査または監査に関する決定の際にデータ輸入者が保持する関連証明書を考慮する場合があります。
  4. データ輸出者は、自社で監査を実施するか、独立監査人に委任するかを選択できます。 監査は、データ輸入者の構内または物理的施設での検査を含む場合があり、該当する場合は、合理的な通知により実施するものとします。
  5. 両当事者は、第 (b) 項および第 (c) 項に規定されている情報 (監査結果を含む) を、要求に応じて管轄監督機関に提供するものとします。
第 9 条

下請処理者の使用

  1. 包括的な書面による許可 データ輸入者は、合意済みのリストにある下請処理者への委託に対してデータ輸出者の全般的な許可を得るものとします。 データ輸入者は特に、下請処理者の追加または交代によるそのリストへの変更の予定を、90 日以上前に書面でデータ輸出者に通知するものとします。それにより、下請処理者に委託する前に、データ輸出者は十分な時間的余裕を持ってかかる変更に反対することができます。 データ輸入者は、データ輸出者が異議権を行使できるように、必要な情報をデータ輸出者に提供するものとします。
  2. データ輸入者は、(データ輸出者に代わって) 特定の処理活動の実施を下請処理者に委託する場合、本条項の元でデータ輸入者を拘束するデータ保護義務と実質的に同じ内容 (データ主体の第三受益者としての権利に関する規定を含む) を定める契約を書面で交わすことにより、委託を行うものとします。(2) 両当事者は、本条項を遵守することにより、データ輸入者が第 8 条 8 項に基づくその義務を果たすものとします。 データ輸入者は、下請処理者がかかる条項に従ってデータ輸入者に適用される義務を遵守することを保証するものとします。
  3. データ輸入者は、データ輸出者の要求に応じて、かかる下請処理者の契約とそれ以降の変更の写しをデータ輸出者に提供するものとします。 データ輸入者は写しを共有する前に、個人データを含めた企業秘密または他の機密情報を保護するために必要な範囲で、契約の文言を削除できます。
  4. データ輸入者は、自身との契約に基づく下請処理者の義務の履行について、データ輸出者に全面的に責任を負うものとします。 データ輸入者は、その契約に基づく下請処理者の義務の不履行を、データ輸出者に通知するものとします。
  5. データ輸入者は、データ輸入者が事実上または法律上消滅し、あるいは支払不能となった場合、下請処理者に関連する第三者受益者の条項に同意するものとします。それにより、データ輸出者は下請処理者との契約を終了し、下請処理者に個人データの消去または返却を指示する権利を持つものとします。
第 10 条

データ主体の権利

  1. データ輸入者は、データ主体から送られてきた要求を即座にデータ輸出者に通知するものとします。 データ輸出者より別途対応の許可を受けている場合を除き、かかる要求には応じないものとします。
  2. データ輸入者は、2016 年 679 番 EU 規則に基づくデータ主体からの権利行使の要求に応じる義務の履行において、データ輸出者を支援するものとします。 これに関して、両当事者は別紙 II において、処理の性質、支援の提供方法、および必要な支援の範囲を考慮したうえで、適切な技術的および組織的対策を定めるものとします。
  3. データ輸入者は、第 (a) 項および第 (b) 項に基づくその履行において、データ輸出者からの指示に従うものとします。
第 11 条

是正措置

  1. データ輸入者は、苦情を処理する許可を受けた連絡窓口を、個人宛ての通知またはその Web サイトを通じて、透明性の高い簡単にアクセスできる形式でデータ主体に通知するものとします。 サプライヤーは、データ主体から受け取った苦情を速やかに処理するものとします。
  2. 本条項の遵守に関してデータ主体といずれかの当事者の間に紛争が生じた場合、その当事者は穏便かつ適時に問題を解決するために最善の努力を払うものとします。 両当事者は、かかる紛争に関して互いに通知し、必要に応じてその解決に協力するものとします。
  3. データ主体が第 3 条に基づく第三者受益者としての権利を行使する場合、データ輸入者はデータ主体の以下の決定を承諾するものとします。
    1. 居住地または勤務地がある加盟国の監督機関、または第 13 条に基づく管轄監督機関に苦情を提出する
    2. 第 18 条に規定する管轄裁判所に紛争を申し立てる
  4. 両当事者は、2016 年 679 番 EU 規則の第 80 条 (1) 項に定められた条件の下で、非営利団体、組織、または協会がデータ主体の代理人を務めることを承諾するものとします。
  5. データ輸入者は、適用される EU または加盟国の法令の下で拘束される決定に従うものとします。
  6. データ輸入者は、データ主体が行った選択が、適用される法令に従い救済を求めるというデータ主体の実体法上および手続法上の権利を損なうものではないことに同意するものとします。
第 12 条

責任

  1. 各当事者は、本条項に違反したことにより、他方当事者に生じたいかなる損害についても他方当事者に対し責任を負うものとします。
  2. データ輸入者はデータ主体に対し責任を負うものとし、データ主体は、データ輸入者またはその下請処理者が本条項に基づく第三者受益の権利を侵害したことにより、データ主体が被ったいかなる有形または無形の損害についても保証を受ける権利を持つものとします。
  3. (b) 項にかかわらず、データ輸出者はデータ主体に対し責任を負うものとし、データ主体は、データ輸出者またはデータ輸入者 (またはその下請処理者) が本条項に基づく第三者受益の権利を侵害したことにより、データ主体が被ったいかなる有形または無形の損害についても保証を受ける権利を持つものとします。 これはデータ輸出者の責任に影響を及ぼすことはなく、データ輸出者が管理者に代わって処理者となっている場合は、適宜、2016 年 679 番 EU 規則または 2018 年 1725 番 EU 規則に基づく管理者の責任に影響を及ぼすことはありません。
  4. 両当事者は、データ輸出者がデータ輸入者 (またはその下請処理者) に起因する損害について (c) 項に基づいて責任を負う場合、データ輸出者がその損害についてデータ輸入者の責任に相当する部分の補償をデータ輸入者に請求する権利を持つことに同意するものとします。
  5. 本条項に違反した結果としてデータ主体が被った損害の責任を複数の当事者が負う場合、すべての当事者が連帯して責任を負うものとし、データ主体はこれらすべての当事者に対して訴訟を起こす権利を有します。
  6. 両当事者は、いずれかの当事者が (e) 項に基づいて責任を負う場合、その損害について他方当事者の責任に相当する部分の補償をその他方当事者に請求する権利を有することに同意するものとします。
  7. データ輸入者は、自己の責任を回避するために下請処理者の行為を要請することはできません。
第 13 条

監督

  1. [データ輸入者が EU 加盟国に設立されている場合:]データ移転に関してデータ輸出者による 2016 年 679 番 EU 規則への準拠を徹底する責任を負う監督機関は、別紙 I.C に規定されているとおり、管轄監督機関としての役割を果たすものとします。

    [データ輸出者は EU 加盟国に設立されていないが、2016 年 679 番 EU 規則の第 3 条 (2) 項の適用範囲内にあり、2016 年 679 番 EU 規則第 27 条 (1) 項に従って代表者を指名した場合:]2016 年 679 番 EU 規則の第 27 条 (1) 項の意味の範囲内で代表者が設立されている加盟国の、別紙 I.C の指示どおり指名されている監督機関は、管轄監督機関としての役割を果たすものとします。

    [データ輸出者は EU 加盟国に設立されていないが、2016 年 679 番 EU 規則の第 3 条 (2) 項の適用範囲内にあり、2016 年 679 番 EU 規則第 27 条 (2) 項に従って代表者を指名する必要のない場合:]データ主体に対する物品やサービスの提供に関連してその個人データが、別紙 I.C に従って移転されるか、またはその行動が監視対象となっているデータ主体が居住するいずれかの加盟国の監督機関は、管轄監督機関としての役目を果たすものとします。

  2. データ輸入者は、本条項の遵守の徹底を目的とした手続きにおいて、管轄監督機関の裁判管轄地に従い、協力することに同意するものとします。 特に、データ輸入者は問い合わせに対応し、監査に提出し、是正措置や補償措置などの監督機関が講じた措置を遵守することに同意するものとします。 必要な措置が講じられたという書面による確認を監督機関に提供するものとします。

第 III 条 – 現地法および公的機関によるアクセスが要求された場合の義務

第 14 条

本条項の遵守に影響を与える現地の法律および慣行

  1. 両当事者は、データ輸入者による個人データの処理に適用されるデータ移転先の第三国の法律および慣行が、個人データの開示要件または公的機関によるアクセスを許可する措置を含む、本条項に基づくデータ輸入者の義務の履行を妨げると信じる理由がないことを保証するものとします。 これは、基本的権利および自由の本質を尊重し、規制 (EU) 2016/679 の第 23 条 (1) 項記載されているいずれかの目的を保護するために、民主社会で必要かつ相応の範囲を超えない法律および慣行が、本条項に矛盾しないという認識に基づいています。
  2. 両当事者は、(a) 項の保証の提供において、特に以下の要素を十分に考慮していることを宣言するものとします。
    1. 処理チェーンの長さ、関係者の人数、使用される伝送路を含む、移転の具体的な環境。意図された再移転。受領者の種類。処理の目的。移転される個人データの種類と形式。移転が発生する経済分野。移転されたデータの保存場所。
    2. データ移転先の第三国の法律および慣行。これには、特定の移転の環境、および適用される制限と保護措置に関連する、公的機関へのデータの開示、または公的機関によるアクセスの許可を必要とするものが含まれます(3)
    3. データ移転中および移転先の国の個人データの処理に適用される措置を含む、本条項に基づく保護措置を補うために実施される関連する契約上、技術的、または組織的保護措置。
  3. データ輸入者は、(b) 項に基づいて評価を実施する際に、データ輸出者に関連情報を提供するために最善を尽くすことを保証し、本条項の遵守を徹底するためにデータ輸入者と継続的に協力することに同意するものとします。
  4. 両当事者は、(b) 項に基づいて評価を文書化し、要求に応じて管轄監督機関が利用できるようにすることに同意するものとします。
  5. データ輸入者は、本条項に同意した後および契約期間中に、第三国の法律の変更、または (a) 項の要件に適合しないかかる法律の実際の適用を示す措置 (開示要求など) に従うことなど、(a) 項の要件に適合しない法律または慣行の対象である、または対象となったと信じる理由がある場合は、データ輸出者に直ちに通知することに同意するものとします。
  6. (e) 項に基づく通知の後、またはデータ輸入者が本条項に基づく義務を履行できなくなったとデータ輸出者が信じる理由がある場合、データ輸出者は、その状況に対処するためにデータ輸出者またはデータ輸入者が講じる適切な措置 (セキュリティと機密性を確保するための技術的または組織的措置など) を速やかに特定するものとします。 データ輸出者は、かかるデータの移転について適切な保護措置が確保できないと考える場合、または管轄監督機関から指示された場合、データの移転を停止するものとします。 この場合、データ輸出者は、本条項に基づく個人データの処理に関する限り、本契約を終了する権利を持つものとします。 本契約に複数の当事者が関与している場合、関係当事者の別段の合意がない限り、データ輸出者は関係当事者に関してのみ、この契約終了の権利を行使することができます。 本条項に従って契約が解除される場合は、第 16 条 (d) 項および (e) 項が適用されるものとします。
第 15 条

公的機関によるアクセスが要求された場合のデータ輸入者の義務

15.1 通知

  1. 以下の場合、データ輸入者は (データ輸出者の支援上必要な場合に) データ輸出者、および可能な場合はデータ主体に即座に通知することに同意するものとします。
    1. 本条項に従って移転された個人データの開示について、データ移転先の国の法律に基づいて司法当局を含む公的機関から法的拘束力のある要求を受けた場合。かかる通知には、要求された個人データ、要求元の機関、要求の法的根拠、および提供した回答に関する情報を含めるものとします。
    2. データ移転先の国の法律に従い、本条項に従って移転された個人データに公的機関が直接アクセスしたことを認識した場合。かかる通知には、輸入者が入手できるすべての情報を含めるものとします。
  2. データ移転先の国の法律により、データ輸入者からデータ輸出者またはデータ主体に通知することが禁止されている場合、データ輸入者は可能な限り多くの情報をできるだけ早く伝達するために、禁止の例外を求めて最善を尽くすことに同意するものとします。 データ輸入者は、最善を尽くして文書化し、データ輸出者の要求に応じてそれらを提示できるようにすることに同意するものとします。
  3. データ輸入者は、データ移転先の国の法律で許容される場合、本契約期間中に定期的に、受け取った要求について可能な限り多くの関連情報 (特に要求回数、要求されたデータのカテゴリ、要求元の機関、要求に意義を申し立てたかどうか、かかる異議申し立ての結果など) をデータ輸出者に提供することに同意するものとします。
  4. データ輸入者は、契約期間中、(a) ~ (c) 項に従って情報を保持し、要求に応じて管轄監督機関が利用できるようにすることに同意するものとします。
  5. (a) ~ (c) 項は、データ輸入者が本条項を遵守できない場合に第 14 条 (e) 項および第 16 条に基づいてデータ輸出者に即座に通知する義務を損なうものではありません。

15.2 適法性の確認とデータの最小化

  1. データ輸入者は、開示要求の適法性、特にその開示要求が要求元の公的機関に付与された権限の範囲内にあるかどうかを確認し、慎重に評価した後、その要求が国際法および国際礼譲の原則に基づいて適用される義務、およびデータ移転先の国の法律に基づいて違法であると考える合理的な理由があると判断した場合は、その要求に異議を申し立てることに同意するものとします。 データ輸入者は、同じ条件に基づいて上訴の可能性を検討するものとします。 データ輸入者が要求に異議を申し立てる場合、管轄司法当局が自己の価値に基づいて判断するまで要求の効力を停止するために、暫定的な措置を講じるものとします。 要求された個人データは、適用される手続き規則に基づいて開示する必要があるまで、開示しないものとします。 これらの要件は、第 14 条 (e) 項に基づくデータ輸入者の義務に影響を及ぼすことはありません。
  2. データ輸入者は、その法的評価および開示要求に対する異議申し立てを文書化し、データ移転先の国の法律で許容される範囲内で、データ輸出者がその文書を利用できるようにすることに同意するものとします。 また、要求に応じて管轄監督機関が利用できるようにするものとします。
  3. データ輸入者は、開示要求の合理的な解釈に基づいて、開示要求に応じるときに許容される最小限の情報を提供することに同意するものとします。

第 IV 条 – 最終条項

第 16 条

本条項の不遵守と契約終了

  1. データ輸入者が、理由を問わず本条項を遵守できない場合は、データ輸出者に速やかに通知するものとします。
  2. データ輸入者が本条項に違反した場合、または本条項を遵守できない場合は、再び遵守が徹底されるか、または本契約が終了となるまで、データ輸出者はデータ輸入者への個人データの移転を停止するものとします。 これが、第 14 条 (f) 項に影響を及ぼすことはありません。
  3. 以下の場合、データ輸出者は、本条項に基づく個人データの処理に関する限り、本契約を終了する権利を持つものとします。
    1. データ輸出者が、(b) 項に従ってデータ輸入者への個人データの移転を停止し、合理的な期間内に、いかなる場合も停止後 1 か月以内に、本条項の遵守が再び徹底されない場合。
    2. データ輸入者が本条項に実質的または継続的に違反している場合。
    3. データ輸入者が、本条項に基づく義務に関して、管轄裁判所または管轄監督機関の拘束力のある決定に従わない場合。

    これらの場合、かかる不遵守を管轄監督機関に通知するものとします。 本契約に複数の当事者が関与している場合、関係当事者の別段の合意がない限り、データ輸出者は関係当事者に関してのみ、この契約終了の権利を行使することができます。
  4. (c) 項に従って本契約を終了する前に移転された個人データは、データ輸出者の選択により、直ちにデータ輸出者に返却するか、または完全に削除するものとします。 データのコピーについても同様であるものとします。 データ輸入者は、データ輸出者にデータの削除を証明するものとします。 データが削除または返却されるまで、データ輸入者は引き続き本条項の遵守を徹底するものとします。 移転された個人データの返却または削除を禁じる地域法がデータ輸入者に適用される場合、データ輸入者は、引き続き本条項の遵守を徹底することを保証し、その地域法の下で必要とされる限り、その範囲内でのみその個人データを処理するものとします。
  5. いずれの当事者も、(i) 欧州委員会が本条項が適用される個人データの移転を対象とする規則 (EU) 2016/679 の第 45 条 (3) 項に基づく決定を採用した場合、または (ii) 規則 (EU) 2016/679 が個人データの移転先の国の法制度の一部になる場合は、本条項に拘束される同意を取り消すことができます。 これは、規則 (EU) 2016/679 に基づいて当該処理に適用される他の義務に影響を及ぼすことはありません。
第 17 条

準拠法

本条項には、EU 加盟国の 1 つの法律が適用されるものとします。ただし、かかる法律が第三者受益者の権利を認めている場合に限ります。 両当事者は、当該法律がオランダの法律となることに同意するものとします。

第 18 条

裁判所および管轄の選択

  1. 本条項から生じるすべての紛争は、EU 加盟国の裁判所によって解決されるものとします。
  2. 両当事者は、それらがオランダの裁判所であることに同意するものとします。
  3. データ主体は、自己の常居所がある加盟国の裁判所で、データ輸出者またはデータ輸入者サプライヤーに対して訴訟を起こすこともできます。
  4. 両当事者は、かかる裁判所の管轄権に従うことに同意するものとします。

別紙 I

標準契約条項 (EU/EEA)

A. 当事者のリスト

データ輸出者:お客様はデータ輸出者です。
氏名:GitHub 顧客契約を参照
住所:GitHub 顧客契約を参照
連絡先の氏名、役職、詳しい住所:GitHub 顧客契約を参照
本条項に基づいて移転されたデータに関連する活動:
データ輸出者は、DPA および GitHub 顧客契約に定義されるオンライン サービスまたはプロフェッショナル サービスのユーザーです。
署名および日付:GitHub 顧客契約を参照 (DPA および標準契約条項 (EU/EEA) は GitHub 顧客契約に組み込まれます)
役割 (管理者または処理者):管理者 (顧客契約で別段の合意がある場合を除く)。

データ輸入者:
氏名:GitHub, Inc.
住所:88 Colin P Kelly Jr St, San Francisco, CA 94107, USA
連絡先の氏名、役職、詳しい住所:Frances Wiet、プライバシー責任者、fwiet@github.com
本条項に基づいて移転されたデータに関連する活動:
GitHub, Inc. はソフトウェアおよびサービスの世界的な提供者です
署名および日付:GitHub 顧客契約を参照 (DPA および標準契約条項 (EU/EEA) は GitHub 顧客契約に組み込まれます)
役割 (管理者または処理者):処理者、または、顧客契約に定める条項に応じ、下請処理者。

B. 移転の説明

個人データが移転されるデータ主体のカテゴリ:

データ主体には、データ輸出者の担当者ならびにデータ輸出者の従業員、請負業者、協力者および顧客などのエンド ユーザーが含まれます。 データ主体には、データ輸入者が提供するサービスのユーザーに個人データを伝達または移転することを試みる個人が含まれる場合もあります。 GitHub は、お客様がオンライン サービスまたはプロフェッショナル サービスのどちらを使用しているかに応じ、お客様が以下のいずれかの種類のデータ主体の個人データを個人データに含めることを選択できることに同意します。

  • データ輸出者の従業員、請負業者、および臨時従業員 (現職者、旧職者、候補者)
  • データ輸出者のコラボレーター/連絡先 (自然人) または法人のコラボレーター/連絡先の従業員、請負業者、または臨時労働者 (現職者、旧職者、候補者)
  • ユーザーおよびデータ輸出者のサービスのユーザーであるその他のデータ主体
  • コラボレーション、コミュニケーション、またはその他の方法でデータ輸出者の従業員と能動的にやり取りする、あるいはデータ輸出者が提供するアプリや Web サイトなどのコミュニケーション ツールを使用するパートナー、利害関係者、または個人

移転される個人データのカテゴリ:

移転される個人データには、オンライン サービスまたはプロフェッショナル サービスに関連する電子メール、文書、およびその他の電子形式のデータが含まれます。 GitHub は、お客様がオンライン サービスまたはプロフェッショナル サービスのどちらを使用しているかに応じ、お客様が以下のいずれかのカテゴリの個人データを個人データに含めることを選択できることに同意します。

  • 基本的な個人データ (例: 出生地、居住地の番地 (住所)、郵便番号、市区町村、国、携帯電話番号、名、姓、イニシャル、電子メール アドレス、性別、生年月日)
  • 認証データ (例: ユーザー名、パスワードまたは PIN コード、セキュリティの質問、監査証跡)
  • 連絡先情報 (例: 住所、電子メール、電話番号、ソーシャル メディア ID、緊急連絡先)
  • 一意の識別番号と署名 (IP アドレス、従業員番号、学生番号など)
  • 仮名識別子
  • 写真、動画、および音声
  • インターネット アクティビティ (例: 閲覧履歴、検索履歴、読書および視聴アクティビティ)
  • デバイス識別情報 (例: IMEI 番号、SIM カード番号、MAC アドレス)
  • プロファイリング (例: 確認された犯罪的または反社会的行動に基づくプロファイル、または訪問した URL、クリック ストリーム、閲覧ログ、IP アドレス、ドメイン、インストール済みアプリに基づく仮名プロファイル、あるいはマーケティング設定に基づくプロファイル)
  • データ主体によって自由意志で提供された特殊なカテゴリのデータ (例: 人種的または民族的起源、政治的意見、宗教的または哲学的信念、労働組合への加入、遺伝データ、自然人を一意に識別する生体認証データ、医療に関するデータ、自然人の性生活または性的指向に関するデータ、または刑事上の有罪判決または犯罪に関連するデータ)
  • GDPR の第 4 条で特定されているその他すべての個人データ

移転される機密性の高いデータ (該当する場合) と適用される制限、またはデータの性質やそれに伴うリスクを十分に考慮した保護措置 (厳格な目的の制限、アクセス制限 (専門的な研修を受けたスタッフだけがアクセスするなど)、データへのアクセスの記録、再移転の制限、追加のセキュリティ対策など):
GitHub は機密性の高いデータを要求することはなく、顧客またはデータ主体が当該データの提供を決定した場合にのみこれらのデータを受領します。

移転の頻度 (データの移転が 1 回限りか、または継続的か):

オンライン サービスまたはプロフェッショナル サービスの一部として継続的。

処理の性質:

移転される個人データは、以下の基本的な処理活動の対象となります。

  1. データ処理の期間および目的。 データ処理の期間は、データ輸出者とデータ輸入者間で取り交わされた該当の GitHub 顧客契約で指定された期間とします。 データ処理の目的は、オンライン サービスおよびプロフェッショナル サービスの実施です。
  2. 個人データへのアクセス。 該当する GitHub 顧客契約に規定された期間中、適用法令において必要とされる場合に、データ輸入者はその選択により、(1) データ輸出者が個人データを修正、削除またはブロックできるようにするか、または (2) データ輸出者に代わって修正、削除、またはブロックを行います。
  3. データ輸出者の指示. オンライン サービスおよびプロフェッショナル サービスについて、データ輸入者はデータ輸出者の指示に従ってのみ行動します。

データの移転とさらなる処理の目的:

個人データの処理の範囲および目的は、DPA の「個人データの処理 (GDPR)」項に規定するとおりとします。 データ輸入者は、データ センターおよび管理/サポート施設の世界的なネットワークを運営しており、処理はデータ輸入者またはデータ輸入者の下請処理者がかかる施設を運営している法域において DPA の「セキュリティ規定およびポリシー」項に従って行われる可能性があります。

個人データの保持期間、またはそれが不可能な場合は、その期間を決定するために使用される基準:

データ輸出者によるオンライン サービスまたはプロフェッショナル サービスの使用期限の終了時、それぞれ契約に適用される DPA 条件に従い、データ輸出者は個人データを抽出できるものとし、また、データ輸入者は個人データを削除するものとします。

処理者 (下請処理者) に移転する場合は、処理の内容、性質、および期間も指定してください:

データ輸入者は、DPA に従い、カスタマー サポートの提供などの一部のサービスを他社に委託することができます。 かかる下請業者は、データ輸入者が委託したサービスを提供するためにのみ個人データを取得することができますが、その他の目的で個人データを使用することは禁止されています。 下請業者が事前に差し替えられた場合を除き、処理は、データ輸出者とデータ輸入者間で取り交わされた該当の GitHub 顧客契約で指定された期間行われるものとします。

C. 管轄監督機関

第 13 条に基づく管轄監督機関の特定:

データ輸出者による 2016 年 679 番 EU 規則への遵守を徹底する責任を負う監督機関。

別紙 II

標準契約条項 (EU/EEA)

データのセキュリティを確保するための技術的および組織的な対策を含む技術的および組織的な対策

処理の性質、範囲、背景および目的、ならびに自然人の権利と自由に対するリスクを考慮して、データ輸入者が適切なセキュリティ レベルを確保するために講じる技術的および組織的な対策の内容 (関連する証明書を含む)。

  1. データ セキュリティ証明書。 データ輸入者は、次のデータ セキュリティ証明書を保有します。
    • SOC 1、タイプ 2
    • SOC 2、タイプ 2
    • NIST (FedRAMP Low-Impact ATO または FedRAMP Tailored ATO について組み込まれる限度まで)
  2. 担当者。 データ輸入者の担当者が、許可なく個人データを処理することはありません。 担当者は、当該個人データの秘密保持義務を負っており、この義務は本契約の終了後も存続します。
  3. データ プライバシーに関する連絡先 データ輸入者のデータ プライバシー責任者の連絡先は、次のとおりです。

    GitHub, Inc.
    宛名:プライバシー
    88 Colin P. Kelly Jr. Street
    San Francisco, California 94107 USA

  4. 技術的および組織的対策 データ輸入者は、本 DPA の「セキュリティ規定およびポリシー」に規定するとおり、不慮の紛失、破壊または改変、無許可の開示またはアクセス、あるいは違法な破壊から個人データを保護するために、下記のとおり適切な技術的および組織的な対策、内部管理および情報セキュリティ対策を講じており、今後も維持します。本 DPA の「データ セキュリティ」の項に規定する技術的および組織的な対策、内部管理および情報セキュリティ手順は、ここに付録 1 の本別紙 II の一部として適用され、付録 1 の本別紙 II の規定と同様にデータ輸入者を拘束するものとします。

処理者 (下請処理者) への移転の場合は、処理者 (下請処理者) が管理者に支援を提供するために、また、処理者から下請処理者に移転する場合は、データ輸出者に支援を提供するために行う具体的な技術的および組織的な対策を規定します:

ベンダー管理プログラム - 第三者リスク プログラム

データ輸入者は、ベンダー リスク評価プロセス、ベンダー契約条項、その他のデータ保護契約をベンダーと取り交わしています。 ベンダーは、新規ビジネスの使用事例が要求された場合に再査定を受けます。 データ輸入者のベンダー リスク プログラムでは、データ輸入者のすべてのリスク査定が最終審査日から 2 年ごとに更新されます。

高リスクと考えられるベンダー (例: データ センター プロバイダー、データ輸入者の規制要件または契約要件の範囲内でデータを保管または処理するその他のベンダー) は年に一度再査定を受けます。

別紙 III

標準契約条項 (EU/EEA)

追加の保護措置契約

標準契約条項 (EU/EEA) にこの追加の保護措置契約 (以下、「本追加契約」といいます) を追加することにより、GitHub, Inc. (以下「GitHub」といいます) は、お客様に追加の保護措置およびお客様の個人データが関連付けられるデータ主体に追加の是正措置を提供します。

本追加契約は、標準契約条項 (EU/EEA) を補足してその一部を構成するものですが、標準契約条項の変更または修正とはなりません。

  1. 命令への異議申し立て。 標準契約条項 (EU/EEA) の第 15 条 1 項に加えて、標準契約条項 (EU/EEA) に基づいて移転された個人データの強制開示の命令を第三者から受けた場合、GitHub は以下を行うものとします。
    1. 第三者に、データをお客様に直接要求させるようあらゆる合理的な努力を尽くす。
    2. 要請している第三者に適用される法令により禁止されていない限り、直ちにお客様に通知し、お客様に通知することを禁止されている場合は、可能な限り速やかにお客様に情報を伝えるために、禁止を放棄する権利をあらゆる合法的な努力を尽くして取得する。
    3. 要請当事者の法に基づく法的不備または欧州連合や該当する加盟国の法との抵触を根拠に、開示命令に合法的な手段を講じて異議を申し立てる。

    本項において、合法的な努力には、関連する裁判管轄地の法律に基づく法廷侮辱罪などの民事または刑事処分になる訴訟は含まれません。
  2. データ主体の補償。 第 3 条および第 4 条に従い、GitHub は、EU/EEA 以外の政府機関または法執行機関からの命令に応じて標準契約条項 (EU/EEA) に基づき移転されたデータ主体の個人データの GitHub による開示 (以下「関連する開示」といいます) が原因となったデータ主体に対する有形または無形の損害をデータ主体に補償するものとします。 前述の規定にかかわらず、GitHub は、データ主体が、GitHub からでもそれ以外からでも、同じ損害に対する補償を受け取っている限りにおいて、本第 2 条に基づくデータ主体に補償する義務を負わないものとします。
  3. 補償の条件。 第 2 条の補償は、GitHub が合理的に満足する程度にデータ主体が以下を証明することが条件となります。
    1. GitHub が関連する開示に関与した。
    2. 関連する開示は、データ主体に対する EU/EEA 以外の政府機関または法執行機関による公式の訴訟に基づいていた。
    3. 関連する開示は、データ主体が有形または無形の損害を被る直接の原因となった。

    データ主体は、a. ~ c. の条件について 立証責任を負うものとします。
    前述の規定にかかわらず、関連する開示が GDPR の第 V 章の義務に違反していないことを GitHub が立証した場合、GitHub は、第 2 条に基づくデータ主体に補償する義務を負わないものとします。
  4. 損害の適用範囲。 第 2 条に基づく補償は、GDPR に規定される有形および無形の損害に制限され、GitHub による GDPR の権利侵害に起因しない派生的損害および他のすべての損害は除外されます。
  5. 権利の行使。 本追加契約に基づきデータ主体に認められた権利は、標準契約条項 (EU/EEA) の第 3 条または第 12 条の制限に関係なく、データ主体によって GitHub に対して行使されます。 データ主体は、集団、共同、団体、または代表訴訟の一環としてではなく、個人レベルでのみ本追加契約に基づく訴訟を起こすことができます。 本追加契約に基づきデータ主体に認められる権利は、データ主体個人に対してであり譲渡することはできません。
  6. 変更通知。 標準契約条項 (EU/EEA) の第 14 条に加えて、GitHub は、以下に同意し保証するものとします。自己によってまたは下請処理者を介して個人データが移転される対象国となるいずれの国におけるものも含め、自己またはその下請処理者に適用される法令により、データ輸出者から受領した指示および本追加契約または標準契約条項 (EU/EEA) に基づく義務に応えることが禁止されていると考える理由がないこと、ならびに、この法令に本追加契約または標準契約条項 (EU/EEA) の規定する保証および義務に重大な悪影響を及ぼす可能性がある変更があった場合はかかる変更を認識次第速やかにお客様に通知すること。この場合、お客様はデータの移転を停止するか、または契約を終了できるものとします。
  7. 契約終了。 本追加契約は、欧州委員会、管轄加盟国監督機関、または EU または管轄加盟国の裁判所が別の合法的な移転機構を承認し、標準契約条項 (EU/EEA) の対象となるデータ移転に適用される場合には、自動的に終了するものとし (かかる機構がデータ移転の一部のみに適用される場合、本追加契約は当該移転についてのみ終了します)、本追加契約に規定される追加の保護措置は求められません。

付録 2 – 標準契約条項 (英国)

お客様による GitHub 顧客契約の履行には、GitHub, Inc. が署名または記名押印する本付録 2 の履行が含まれます。

標準契約条項の使用に法的許可が必要な国では、必要な法的許可を貴社が取得しない限り、当該国からのデータの輸出を正当化するために (2010 年 2 月の) 欧州委員会決議 2010/87/EU に基づいて標準契約条項を使用することはできません。

2018 年 5 月 25 日以後、下記の標準契約条項における 95/46/EC 指令からの様々な条項への言及は、GDPR において対応する適切な条項への言及とみなされるものとします。

十分なレベルのデータ保護を確保していない第三国に設立された処理者への個人データ移転のための 95/46/EC 指令第 26 条 (2) 項について、お客様 (以下「データ輸出者」といいます) および GitHub, Inc. (以下「データ輸入者」、署名または記名押印は以下に記載します) (以下それぞれを「当事者」といい、総称して「両当事者」といいます) は、付属文書 1 に規定する個人データのデータ輸出者によるデータ輸入者への移転に関して、個人のプライバシー、基本的権利、および自由の保護に関する適切な保護措置を提示するため、以下の契約条項 (以下「本契約条項」または「標準契約条項」といいます) に同意するものとします。

第 1 条:定義

  1. 「個人データ (personal data)」、「特別な種類のデータ (special categories of data)」、「処理 (process/processing)」、「管理者 (controller)」、「処理者 (processor)」、「データ主体 (data subject)」および「監督当局 (supervisory authority)」については、個人データの処理に関する個人の保護および当該データの自由な移動に関する 1995 年 10 月 24 日の欧州議会および理事会の 95/46/EC 指令における定義と同じ意味を有するものとします。
  2. 「データ輸出者」とは、個人データを移転する管理者を意味します。
  3. 「データ輸入者」とは、データ輸出者の指示および本契約条項の条件に従い個人データの受領後にデータ輸出者の代わりに処理するためにデータ輸出者から個人データを受領することに同意し、95/46/EC 指令第 25 条 (1) 項に規定する適切な保護を確保する第三国のシステムの適用を受けない処理者を意味します。
  4. 「下請処理者」とは、データ輸入者から、またはデータ輸入者の他の下請処理者から委託を受け、データ輸入者の指示、本契約条項の条件および書面による下請契約の条件に従い個人データの受領後にデータ輸出者の代わりに行う処理活動のみを目的としてデータ輸入者またはデータ輸入者の他の下請処理者から個人データを受領することがある場合、当該処理者を意味します。
  5. 「適用されるデータ保護法令」とは、データ輸出者の設立国である加盟国においてデータ管理者に適用される、個人の基本的権利および自由 (特に個人データの処理に関するプライバシー権) を保護する法令を意味します。
  6. 「技術的および組織的なセキュリティ対策」とは、特に処理にネットワークを介したデータ送信が関係する場合に不慮もしくは不法な破壊または不慮の紛失、改変、不正な開示もしくはアクセスから、およびその他すべての不法な処理形態から個人データを保護することを目的とした対策を意味します。

第 2 条:移転の詳細

移転および特に特別な種類の個人データ (該当する場合) の詳細については、本条項の不可欠な部分である以下の付属文書 1 に規定するとおりとします。

第 3 条:第三者受益者に関する条項

  1. データ主体は、第三者受益者として、データ輸出者に対し、本条、第 4 条 (b) 項~ (i) 項、第 5 条 (a) 項~ (e) 項および (g) 項~ (j) 項、第 6 条 (1) 項および (2) 項、第 7 条、第 8 条 (2) 項ならびに第 9 条~第 12 条を強制することができます。
  2. データ輸出者が事実上または法律上消滅した場合、データ主体は、データ輸入者に対し、本条、第 5 条 (a) 項~ (e) 項および (g) 項、第 6 条、第 7 条、第 8 条 (2) 項ならびに第 9 条~第 12 条を強制することができます。ただし、承継法人が契約または法の適用によりデータ輸出者の法的義務の全部を承継し、その結果承継法人がデータ輸出者の権利および義務を承継する場合を除くものとし、この場合、データ主体はかかる承継法人にこれらの条項を強制することができます。
  3. データ輸出者とデータ輸入者の双方が事実上もしくは法律上消滅した、または支払不能となった場合、データ主体は、下請処理者に対し、本条、第 5 条 (a) 項~ (e) 項および (g) 項、第 6 条、第 7 条、第 8 条 (2) 項ならびに第 9 条~第 12 条を強制することができます。ただし、承継法人が契約または法の適用によりデータ輸出者の法的義務の全部を承継し、その結果承継法人がデータ輸出者の権利および義務を承継する場合を除くものとし、この場合、データ主体はかかる承継法人にこれらの条項を強制することができます。 かかる下請処理者の対第三者責任は、本契約条項に基づく自己の処理業務に限られるものとします。
  4. 両当事者は、データ主体が明示的に希望し、それが国内法により認められる場合には、データ主体が団体その他の機関に代表されることに対し異議を申し立てないものとします。

第 4 条:データ輸出者の義務

データ輸出者は以下に同意し保証するものとします。

  1. 個人データの処理 (移転自体を含む) は、適用されるデータ保護法令の関連規定に従って実行されており、引き続き実行されること (および、該当する場合は、データ輸出者の設立国である加盟国の関係当局に通知されていること)、およびかかる国の関連規定に違反していないこと。
  2. データ輸入者に対し、移転された個人データをデータ輸出者に代わってのみ、かつ適用されるデータ保護法令および本契約条項に従って処理するよう指示していること、および個人データ処理サービスの継続期間中指示すること。
  3. データ輸入者が下記の別表 2 に規定する技術的および組織的なセキュリティ対策に関して十分な保証を提供すること。
  4. 適用されるデータ保護法令の要件の評価後において、セキュリティ対策が、特に処理にネットワークを介したデータ送信が関係する場合に、不慮もしくは不法な破壊、不慮の紛失もしくは改変、または不正な開示もしくはアクセスから、およびその他のすべての不法な処理形態から、個人データを保護するために適切であること、ならびに、かかる対策が最新技術および実施コストに照らし、保護されるべきデータの処理およびその性質により生じるリスクに見合ったレベルのセキュリティを確保するものであること。
  5. セキュリティ対策を確実に遵守すること。
  6. 特別な種類のデータが移転される場合、データ主体のデータが 95/46/EC 指令に規定する適切な保護を提供していない第三国へ移転される可能性があることが、移転の前または移転の後可能な限り速やかに、データ主体に通知されているか、または今後通知されること。
  7. データ輸出者が移転を継続するまたは一時中断を解除することを決定する場合は、第 5 条 (b) 項および第 8 条 (3) 項に従いデータ輸入者または下請処理者から受領した通知をデータ保護監督当局に転送すること。
  8. 要請があった場合には、データ主体に本契約条項 (別表 2 を除く) の写しおよびセキュリティ対策の要約ならびに本契約条項に従い作成しなければならない下請処理サービスの契約の写しを提供すること。ただし、本契約条項またはかかる契約に商業的な情報が含まれる場合を除くものとし、この場合はかかる商業的な情報を削除することができます。
  9. 下請処理の場合、処理活動が、個人データおよびデータ主体の権利についてデータ輸入者が本契約条項に基づき提供するものと同等以上の保護を提供する下請処理者により、第 11 条に従って実行されること。
  10. 第 4 条 (a) 項乃至 (i) 項を確実に遵守すること。

第 5 条:データ輸入者の義務

データ輸入者は以下に同意し保証するものとします。

  1. データ輸出者に代わってのみ、かつデータ輸出者の指示および本契約条項に従ってのみ個人データを処理すること。いかなる理由であれこれらを遵守することができない場合、遵守できない旨を速やかにデータ輸出者に通知するものとします。この場合、データ輸出者はデータの移転を一時中断し、または契約を終了することができるものとします。
  2. 自己に適用される法令によりデータ輸入者から受領した指示および契約に基づく義務に応えることが禁止されていると考える理由がないこと、ならびにこの法令に本契約条項の規定する保証および義務に重大な悪影響を及ぼす可能性がある変更があった場合はかかる変更を認識次第速やかにデータ輸出者に通知すること。この場合、データ輸出者はデータの移転を一時中断し、または契約を終了することができるものとします。
  3. 移転された個人データを処理する前に、別表 2 に規定する技術的および組織的なセキュリティ対策を講じていること。
  4. データ輸出者に対し以下を速やかに通知すること。
    1. 法執行機関による法的拘束力を有する個人データの開示要求。ただし、法執行機関の捜査の秘密を保持するための刑事法に基づく禁止など、通知することが禁止されている場合を除きます。
    2. 不慮のまたは不正なアクセス。
    3. データ主体から直接受けた要求。ただし、別途応答の許可を受けている場合を除き、かかる要求には応答せずにデータ輸出者に通知することとします。
    移転対象である個人データの処理に関するデータ輸出者からの問い合わせのすべてについて速やかに対応すること、および移転されたデータの処理に関して監督機関の助言に従うこと。 データ輸出者の要請により、自己のデータ処理施設について、データ輸出者または所要の専門資格を有し秘密保持義務を負う独立した構成員であって、データ輸出者が選定した者で構成される監査機関が監督機関との合意のうえで実施する、本契約条項が適用される処理活動の監査を受け入れること。
  5. 要請があった場合には、データ主体に本契約条項または既存の下請処理サービス契約の写しを提供すること。ただし、本契約条項またはかかる契約に商業的な情報が含まれる場合を除くものとし、この場合はかかる商業的な情報を削除することができますが、別表 2 についてはデータ主体がデータ輸出者から写しを取得することができない場合にはセキュリティ対策の要約と差し替えるものとします。
  6. 下請処理の場合は、事前にデータ輸出者に通知し、事前に書面による承諾を得ていること。
  7. 下請処理者による処理サービスが第 11 条に従って実施されること。
  8. 本契約条項に基づいて締結した下請処理サービス契約の写しを速やかにデータ輸出者に送付すること。

第 6 条:責任

  1. 両当事者は、当事者または下請処理者が第 3 条または第 11 条に規定する義務に違反したことによりデータ主体が損害を被った場合、かかるデータ主体はかかる損害についてデータ輸出者から賠償を受ける権利を有することに合意します。
  2. データ輸出者が事実上もしくは法律上消滅し、または支払不能となったために、データ輸入者または下請処理者が第 3 条または第 11 条に規定する義務に違反したことに起因する賠償請求をデータ主体が第 1 項に従いデータ輸出者に対して提起することができない場合、データ輸入者は、データ主体がデータ輸入者に対し、データ輸出者と同様に請求を提起することができることに同意します。ただし、承継法人が契約または法の適用によりデータ輸出者の法的義務の全部を承継した場合を除くものとし、この場合はデータ主体がかかる法人に対して自己の権利を行使することができます。

    データ輸入者は、自己の責任を回避するために、下請処理者による義務違反に依拠することはできません。
  3. データ輸出者およびデータ輸入者の両者が事実上もしくは法律上消滅し、または支払不能となったために、下請処理者が第 3 条または第 11 条に規定する義務に違反したことに起因する第 1 項または第 2 項に規定する請求をデータ主体がデータ輸出者またはデータ輸入者に対して提起することができない場合、下請処理者は、データ主体がデータの下請処理者に対し、データ輸出者またはデータ輸入者と同様に、本契約条項に基づく処理業務に関して請求を提起することができることに同意します。ただし、承継法人が契約または法の適用によりデータ輸出者またはデータ輸入者の法的義務の全部を承継した場合を除くものとし、この場合はデータ主体がかかる法人に対して自己の権利を行使することができます。 下請処理者の責任は、本契約条項に基づいて自己が行った処理業務に限られるものとします。

第 7 条:調停および管轄

  1. データ輸入者は、データ主体がデータ輸入者に対して第三者受益者の権利を行使する場合または本契約条項に基づく損害補償請求を提起する場合、データ主体による以下の決定を承認することに同意するものとします。
    1. 紛争を、独立した人物またはしかるべき場合は監督機関による調停に付すこと。
    2. 紛争を、データ輸出者の設立国である加盟国の裁判所に付託すること。
  2. 両当事者は、データ主体が行った選択が、その他の国内法または国際法の規定に従い救済を求めるというデータ主体の実体法上または手続法上の権利を損なうものではないことに同意するものとします。

第 8 条: 監督当局との協力

  1. データ輸出者は、監督当局から要請を受けた場合または適用されるデータ保護法令により義務付けられる場合には、本契約の写しを監督当局に寄託することに同意します。
  2. 両当事者は、監督当局がデータ輸入者および下請処理者の監査を実施する権利を有することに同意します。かかる監査は、適用されるデータ保護法令に基づくデータ輸出者の監査に適用されるものと同じ範囲について実施されるものとし、これと同じ条件が適用されます。
  3. データ輸入者は、第 2 項に従ったデータ輸入者または下請処理者の監査の実施を妨げる、データ輸入者または下請処理者に適用される法令の存在を速やかにデータ輸出者に通知するものとします。 この場合、データ輸出者は第 5 条 (b) 項の対策を講じる権利を有するものとします。

第 9 条: 準拠法

本契約条項は、データ輸出者の設立国である加盟国の法律に準拠するものとします。

第 10 条:本契約の変更

両当事者は、本契約条項を変更または修正しないことを約束するものとします。 これは、本契約条項に矛盾するものでない限り、両当事者が必要な場合に業務関連の問題に関する条項を追加することを妨げるものではありません。

第 11 条:下請処理

  1. データ輸入者は、データ輸出者の書面による事前の同意を得ずに、本契約条項に基づきデータ輸出者の代わりに実施する処理業務を下請に出さないものとします。 データ輸入者がデータ輸出者の同意を得て本契約条項に基づく義務を下請に出す場合、下請処理者と書面によって契約を締結し、本契約条項に基づいてデータ輸入者に課される義務と同様の義務を下請処理者に課すものとします。 下請処理者がかかる書面による契約に基づくデータ保護の義務を履行しない場合、データ輸入者はデータ輸出者に対し、下請処理者のかかる契約上の義務の不履行について全面的に責任を負うものとします。
  2. データ輸入者と下請処理者の間の事前の書面による契約には、データ輸出者またはデータ輸入者が事実上もしくは法律上消滅し、または支払不能となり、契約または法の適用によりデータ輸出者またはデータ輸入者の法的義務の全部を承継する承継法人が存在しないために、第 6 条第 1 項に規定するこれらに対する賠償請求をデータ主体が提起することができない場合のために、第 3 条に規定するものと同様の第三者受益者条項も含むものとします。 かかる下請処理者の対第三者責任は、本契約条項に基づく自己の処理業務に限られるものとします。
  3. 第 1 項に規定する契約の下請処理のデータ保護に関する規定は、データ輸出者の設立国である加盟国の法律に準拠するものとします。
  4. データ輸出者は、本契約条項に基づいて締結され、第 5 条 (j) 項に従いデータ輸入者に通知された下請処理契約のリストを保存するものとします。かかるリストは、年 1 回以上更新するものとします。 かかるリストは、データ輸出者のデータ保護監督当局に提供されるものとします。

第 12 条:個人データ処理サービスの終了後の義務

  1. 両当事者は、データ処理サービスの提供終了時に、データ輸入者および下請処理者が、データ輸出者の選択により、移管されたすべての個人データおよびこれのコピーをデータ輸出者に返却するか、またはすべての個人データを破棄しデータ輸出者にその旨証明することに同意するものとします。ただし、データ輸入者に課される法令が移管された個人データの全部または一部の返却または破棄を禁止している場合を除きます。 この場合、データ輸入者は移管された個人データの秘密保持を保証し、その後は移管された個人データを積極的に処理しないものとします。
  2. データ輸入者および下請処理者は、データ輸出者または監督当局の要請があった場合には、自己のデータ処理施設について、第 1 項に規定する手順について監査を受け入れることを保証するものとします。

標準契約条項 (英国) の付属文書 1

データ輸出者:お客様はデータ輸出者です。 データ輸出者は、DPA および GitHub 顧客契約に定義されるオンライン サービスまたはプロフェッショナル サービスのユーザーです。

データ輸入者:データ輸入者は、ソフトウェアおよびサービスの世界的な提供者である GitHub, Inc. です。

データ主体:データ主体には、データ輸出者の担当者ならびにデータ輸出者の従業員、請負業者、協力者および顧客などのエンド ユーザーが含まれます。 データ主体には、データ輸入者が提供するサービスのユーザーに個人データを伝達または移転することを試みる個人が含まれる場合もあります。 GitHub は、お客様がオンライン サービスまたはプロフェッショナル サービスのどちらを使用しているかに応じ、お客様が以下のいずれかの種類のデータ主体の個人データを個人データに含めることを選択できることに同意します。

  • データ輸出者の従業員、請負業者、および臨時従業員 (現職者、旧職者、候補者)
  • データ輸出者のコラボレーター/連絡先 (自然人) または法人のコラボレーター/連絡先の従業員、請負業者、または臨時労働者 (現職者、旧職者、候補者)
  • ユーザーおよびデータ輸出者のサービスのユーザーであるその他のデータ主体
  • コラボレーション、コミュニケーション、またはその他の方法でデータ輸出者の従業員と能動的にやり取りする、あるいはデータ輸出者が提供するアプリや Web サイトなどのコミュニケーション ツールを使用するパートナー、利害関係者、または個人

データのカテゴリ:移転される個人データには、オンライン サービスまたはプロフェッショナル サービスに関連する電子メール、文書、およびその他の電子形式のデータが含まれます。 GitHub は、お客様がオンライン サービスまたはプロフェッショナル サービスのどちらを使用しているかに応じ、お客様が以下のいずれかのカテゴリの個人データを個人データに含めることを選択できることに同意します。

  • 基本的な個人データ (例: 出生地、居住地の番地 (住所)、郵便番号、市区町村、国、携帯電話番号、名、姓、イニシャル、電子メール アドレス、性別、生年月日)
  • 認証データ (例: ユーザー名、パスワードまたは PIN コード、セキュリティの質問、監査証跡)
  • 連絡先情報 (例: 住所、電子メール、電話番号、ソーシャル メディア ID、緊急連絡先)
  • 一意の識別番号と署名 (IP アドレス、従業員番号、学生番号など)
  • 仮名識別子
  • 写真、動画、および音声
  • インターネット アクティビティ (例: 閲覧履歴、検索履歴、読書および視聴アクティビティ)
  • デバイス識別情報 (例: IMEI 番号、SIM カード番号、MAC アドレス)
  • プロファイリング (例: 確認された犯罪的または反社会的行動に基づくプロファイル、または訪問した URL、クリック ストリーム、閲覧ログ、IP アドレス、ドメイン、インストール済みアプリに基づく仮名プロファイル、あるいはマーケティング設定に基づくプロファイル)
  • データ主体によって自由意志で提供された特殊なカテゴリのデータ (例: 人種的または民族的起源、政治的意見、宗教的または哲学的信念、労働組合への加入、遺伝データ、自然人を一意に識別する生体認証データ、医療に関するデータ、自然人の性生活または性的指向に関するデータ、または刑事上の有罪判決または犯罪に関連するデータ)
  • GDPR の第 4 条で特定されているその他すべての個人データ

処理業務:移転される個人データは、以下の基本的な処理活動の対象となります。

  1. データ処理の期間および目的: データ処理の期間は、データ輸出者とデータ輸入者間で取り交わされた該当の GitHub 顧客契約で指定された期間とします。 データ処理の目的は、オンライン サービスおよびプロフェッショナル サービスの実施です。
  2. データ処理の範囲および目的。 個人データの処理の範囲および目的は、DPA の「個人データの処理 (GDPR)」項に規定するとおりとします。 データ輸入者は、データ センターおよび管理/サポート施設の世界的なネットワークを運営しており、処理はデータ輸入者またはデータ輸入者の下請処理者がかかる施設を運営している法域において DPA の「セキュリティ規定およびポリシー」項に従って行われる可能性があります。
  3. 個人データへのアクセス。 該当する GitHub 顧客契約に規定された期間中、適用法令において必要とされる場合に、データ輸入者はその選択により、(1) データ輸出者が個人データを修正、削除またはブロックできるようにするか、または (2) データ輸出者に代わって修正、削除、またはブロックを行います。
  4. データ輸出者の指示 オンライン サービスおよびプロフェッショナル サービスについて、データ輸入者は GitHub から伝達されたデータ輸出者の指示に従ってのみ行動するものとします。
  5. 個人データの削除または返却。 データ輸出者によるオンライン サービスまたはプロフェッショナル サービスの使用期限の終了時、それぞれ契約に適用される DPA 条件に従い、データ輸出者は個人データを抽出できるものとし、また、データ輸入者は個人データを削除するものとします。

下請業者:データ輸入者は、DPA に従い、カスタマー サポートの提供などの一部のサービスを他社に委託することができます。 かかる下請業者は、データ輸入者が委託したサービスを提供するためにのみ個人データを取得することができますが、その他の目的で個人データを使用することは禁止されています。

標準契約条項 (英国) の付属文書 2

第 4 条 (d) 項および第 5 条 (c) 項に従ってデータ輸入者が講じる技術的および組織的なセキュリティ対策の内容

  1. 担当者。 データ輸入者の担当者が、許可なく個人データを処理することはありません。 担当者は、当該個人データの秘密保持義務を負っており、この義務は本契約の終了後も存続します。
  2. データ プライバシーに関する連絡先 データ輸入者のデータ プライバシー責任者の連絡先は、次のとおりです。
    GitHub, Inc.
    宛名:プライバシー
    88 Colin P. Kelly Jr. Street
    San Francisco, California 94107 USA
  3. 技術的および組織的対策 データ輸入者は、本 DPA の「セキュリティ規定およびポリシー」に規定するとおり、不慮の紛失、破壊または改変、無許可の開示またはアクセス、あるいは違法な破壊から個人データを保護するために、下記のとおり適切な技術的および組織的な対策、内部管理および情報セキュリティ対策を講じており、今後も維持します。本 DPA の「セキュリティ規定およびポリシー」に規定する技術的および組織的な対策、内部管理および情報セキュリティ手順は、本付属文書 2 の一部として適用され、本付属文書 2 の規定と同様にデータ輸入者を拘束するものとします。

標準契約条項 (英国) の付属文書 3

追加の保護措置契約

標準契約条項 (英国) にこの追加の保護措置契約 (以下、「本追加契約」といいます) を追加することにより、GitHub, Inc. (以下「GitHub」といいます) は、お客様に追加の保護措置およびお客様の個人データが関連付けられるデータ主体に追加の是正措置を提供します。

本追加契約は、標準契約条項 (英国) を補足してその一部を構成するものですが、標準契約条項の変更または修正とはなりません。

  1. 命令への異議申し立て。 標準契約条項 (英国) の第 5 条 (d) 項 (i) に加えて、標準契約条項 (英国) に基づいて移転された個人データの強制開示の命令を第三者から受けた場合、GitHub は以下を行うものとします。
    1. 第三者に、データをお客様に直接要求させるようあらゆる合理的な努力を尽くす。
    2. 要請している第三者に適用される法令により禁止されていない限り、直ちにお客様に通知し、お客様に通知することを禁止されている場合は、可能な限り速やかにお客様に情報を伝えるために、禁止を放棄する権利をあらゆる合法的な努力を尽くして取得する。
    3. 要請当事者の法に基づく法的不備または欧州連合や該当する加盟国の法との抵触を根拠に、開示命令に合法的な手段を講じて異議を申し立てる。

    本項において、合法的な努力には、関連する裁判管轄地の法律に基づく法廷侮辱罪などの民事または刑事処分になる訴訟は含まれません。
  2. データ主体の補償。 第 3 条および第 4 条に従い、GitHub は、EU/EEA 以外の政府機関または法執行機関からの命令に応じて標準契約条項 (英国) に基づき移転されたデータ主体の個人データの GitHub による開示 (以下「関連する開示」といいます) が原因となったデータ主体に対する有形または無形の損害をデータ主体に補償するものとします。 前述の規定にかかわらず、GitHub は、データ主体が、GitHub からでもそれ以外からでも、同じ損害に対する補償を受け取っている限りにおいて、本第 2 条に基づくデータ主体に補償する義務を負わないものとします。
  3. 補償の条件。 第 2 条の補償は、GitHub が合理的に満足する程度にデータ主体が以下を証明することが条件となります。
    1. GitHub が関連する開示に関与した。
    2. 関連する開示は、データ主体に対する EU/EEA 以外の政府機関または法執行機関による公式の訴訟に基づいていた。
    3. 関連する開示は、データ主体が有形または無形の損害を被る直接の原因となった。

    データ主体は、a. ~ c. の条件について 立証責任を負うものとします。
    前述の規定にかかわらず、関連する開示が GDPR の第 V 章の義務に違反していないことを GitHub が立証した場合、GitHub は、第 2 条に基づくデータ主体に補償する義務を負わないものとします。
  4. 損害の適用範囲。 第 2 条に基づく補償は、GDPR に規定される有形および無形の損害に制限され、GitHub による GDPR の権利侵害に起因しない派生的損害および他のすべての損害は除外されます。
  5. 権利の行使。 本追加契約に基づきデータ主体に認められた権利は、標準契約条項 (英国) の第 3 条または第 6 条の制限に関係なく、データ主体によって GitHub に対して行使されます。 データ主体は、集団、共同、団体、または代表訴訟の一環としてではなく、個人レベルでのみ本追加契約に基づく訴訟を起こすことができます。 本追加契約に基づきデータ主体に認められる権利は、データ主体個人に対してであり譲渡することはできません。
  6. 変更通知。 標準契約条項 (英国) の第 5 条 (b) 項に加えて、GitHub は、以下に同意し保証するものとします。自己によってまたは下請処理者を介して個人データが移転される対象国となるいずれの国におけるものも含め、自己またはその下請処理者に適用される法令により、データ輸出者から受領した指示および本追加契約または標準契約条項に基づく義務に応えることが禁止されていると考える理由がないこと、ならびに、この法令に本追加契約または標準契約条項 (英国)の規定する保証および義務に重大な悪影響を及ぼす可能性がある変更があった場合はかかる変更を認識次第速やかにお客様に通知すること。この場合、お客様はデータの移転を停止するか、または契約を終了できるものとします。
  7. 契約終了。 本追加契約は、欧州委員会、管轄加盟国監督機関、または EU または管轄加盟国の裁判所が別の合法的な移転機構を承認し、標準契約条項 (英国) の対象となるデータ移転に適用される場合には、自動的に終了するものとし (かかる機構がデータ移転の一部のみに適用される場合、本追加契約は当該移転についてのみ終了します)、本追加契約に規定される追加の保護措置は求められません。

    標準契約条項 (英国)、付属文書 1、付属文書 2 の署名および

付属文書 3 - EU 一般データ保護規則条件

GitHub は、2018 年 5 月 25 日を発効日として、すべてのお客様にこれらの GDPR 関連条件の遵守を確約します。 当該確約事項は、(1) 任意のオンライン サービス サブスクリプションに適用される GitHub 顧客契約および DPA のバージョンに関係なく、または、(2) 本付録を参照する他の契約の存在に関係なく、GitHub とお客様との関係性に対して拘束力を持つものとします。

本 GDPR 関連条件において、お客様と GitHub は、お客様が個人データの管理者であり、GitHub が当該データの処理者であることに同意するものとします。ただし、お客様が個人データの処理者となる場合を除くものとし、この場合は GitHub が下請処理者となります。 本 GDPR 関連条件は、お客様に代わって GitHub が行う、GDPR の適用範囲内での個人データの処理に適用されます。 本 GDPR 関連条件は、GitHub 顧客契約または GitHub とお客様との間のその他の契約において GitHub がお客様に対して行ったデータ保護に関する確約事項を制限または軽減するものではありません。 これらの GDPR 関連条件は、GitHub が個人データの管理者である場合は適用されません。

関連する GDPR の義務:第 28 条、第 32 条、および第 33 条

  1. GitHub は、お客様の特定のまたは包括的な許可を書面により事前に得ることなく他の処理者を従事させないものとします。 包括的な書面による許可の場合、GitHub は、他の処理者の追加または交換等の変更を行う予定である場合には、その旨お客様に通知し、かかる変更に異議を申し立てる機会をお客様に提供します (第 28 条 (2) 項)。
  2. GitHub による処理には、欧州連合 (以下「EU」といいます) または加盟国の法令に基づいて本 GDPR 関連条件が適用されるものとし、本 GDPR 関連条件はお客様に関して GitHub を法的に拘束します。 処理の対象および期間、処理の性質および目的、個人データのカテゴリ、データ主体のカテゴリ、ならびにお客様の義務および権利については、お客様のライセンス契約 (本 GDPR 関連条件を含みます) に規定するとおりとします。 特に、GitHub は以下を行うものとします。
    1. 第三国または国際組織への個人データの移転に関することを含め、お客様からの文書化された指示に従ってのみ個人データを処理すること。ただし、GitHub に適用される EU または加盟国の法令により処理の実施を義務付けられている場合を除くものとし、このような場合は、GitHub は、処理を行う前に当該法令上の義務についてお客様に通知します。ただし、かかる通知をすることが重要な公共の利益に基づいて当該法令により禁止されている場合を除きます。
    2. 個人データの処理を許可された者が、秘密保持を確約しているか、または適切な法定の守秘義務を負うことを保証すること。
    3. GDPR 第 32 条に従って必要なすべての対策を講じること。
    4. 別の処理者を従事させることについて、第 1 項および第 3 項に規定する条件に従うこと。
    5. 処理の性質を考慮したうえで、GDPR 第 III 章に規定されたデータ主体の権利の行使要求に対応するという貴社の義務の履行のため、可能な限りにおいて、適切な技術的および組織的対策によって貴社を支援すること。
    6. 処理の性質および GitHub が入手しうる情報を考慮したうえで、お客様が GDPR 第 32 条または第 36 条に従って義務を確実に遵守するよう支援すること。
    7. 貴社の選択に応じて、処理に関するサービス提供の終了後にすべての個人データを削除または貴社に返却し、EU または加盟国の法令が個人データの保存を義務付���ている場合を除き既存のコピーを削除すること。
    8. GDPR 第 28 条に規定された義務の遵守の証明ならびに、貴社または貴社が委任する他の監査人による監査の受け入れおよびこれへの協力のために必要なすべての情報を貴社に提供すること。

    GitHub は、指示が、GDPR または他の EU または加盟国のデータ保護規定に違反すると考える場合には、直ちにその旨をお客様に通知します (第 28 条 (3) 項)。

  3. GitHub が、お客様に代わって特定の処理活動を行うために別の処理者を従事させる場合、契約または EU または加盟国の法令に基づくその他の法的行為により、本 GDPR 関連条件に定めるものと同じデータ保護義務をかかる他の処理者に課すものとし、特に、処理が GDPR の要件を満たすような方法で適切な技術的および組織的対策を講じることを十分に保証するよう規定するものとします。 他の処理者が自らのデータ保護義務を履行しない場合、GitHub はお客様に対し、かかる他の処理者の義務の履行について全面的に責任を負います (第 28 条 (4) 項)。
  4. 最新技術、実施コスト、処理の性質、範囲、背景および目的、ならびに自然人の権利と自由に対するリスクのさまざまな可能性と重大度を考慮したうえで、お客様および GitHub は、リスクに見合ったセキュリティ レベルを確保するために適切な技術的および組織的対策を講じるものとします。かかる対策には必要に応じて、特に以下のものを含むものとします。
    1. 個人データの仮名化および暗号化
    2. 処理システムおよびサービスの現行の機密性、完全性、利用可能性および復元力を確保する能力
    3. 物理的または技術的なインシデントが発生した場合に適時に個人データの利用可能性と個人データへのアクセスを復元する能力
    4. 処理のセキュリティを確保するために、技術的および組織的対策の有効性を定期的にテスト、審査および評価するプロセス (第 32 条 (1) 項)。
  5. 適切なセキュリティ レベルの審査においては、処理により生じるリスク、特に送信、保存、またはその他の方法で処理された個人データの偶発的または違法な破壊、喪失、改変、不正な開示、またはかかる個人データへのアクセスがもたらすリスクを考慮するものとします (第 32 条 (2) 項)。
  6. お客様と GitHub は、お客様または GitHub の許可を得て行動する、個人データへのアクセス権を持つ自然人が、お客様からの指示なくして個人データを処理しないようにするための措置を講じます。ただし、かかる自然人が EU または加盟国の法令により処理の実施を義務付けられている場合を除きます (第 32 条 (4) 項)。
  7. GitHub は、個人データの侵害を認識した場合には、不当な遅滞なくお客様に通知します (第 32 条 (2) 項)。 そのような通知には、かかる情報を合理的に GitHub が利用できる範囲で、処理者が第 33 条 (3) 項に基づいて管理者に提供しなければならない情報が含まれるものとします。

(1) 欧州経済地域に関する協定 (EEA 協定) では、欧州連合の内部市場をアイスランド、リヒテンシュタイン、ノルウェーに拡大することを規定しています。 2016 年 679 番 EU 規則を含む EU のデータ保護法は、EEA 協定の対象であり、その別紙 XI に組み込まれています。 したがって、EEA に拠点を置く第三者へのデータ輸入者による開示は、本条項の目的のための転送とは認められません。

(2) 本要件は、第 7 条に従って、適切な構成要素の元で本条項に準拠する下請処理者によって満たされる場合があります。

(3) 本条項の遵守に対する当該法律および慣行の影響に関しては、全体的な評価の一部としてさまざまな要素が考慮される場合があります。 当該要素には、十分な代表的な時間枠をカバーする公的機関からの開示請求より以前の事例に関する関連性のある文書化された実務経験、またはそのような開示請求の不存在が含まれる場合があります。 これは特に、デュー デリジェンスに従って継続的に作成され、上級管理職レベルで認定された内部記録またはその他の文書を指します。ただし、この情報を第三者と合法的に共有できる場合に限ります。 データ輸入者が本条項を遵守することを妨げられないと結論付けるために、当該実務経験に依拠する場合、他の関連する客観的な要素によって補完される必要があり、両当事者は、これらの要素と一緒に十分な重みがあるかどうかをこの結論を裏付ける信頼性および代表性の観点から、慎重に検討する必要があります。 特に、両当事者は、その実務経験が裏付けられたものかどうか、および同部門内での請求の有無に関する公開済みあるいはアクセス可能な信頼できる情報や法律の実際の適用 (監督機関による判例、報告書など) と矛盾がないかどうかを考慮する必要があります。