Lyve Servicesデータ・プライバシー契約

Lyve Services契約で特定されたSeagate契約当事者（以下「Seagate」）およびお客様（以下「会社」）（以下、それぞれ「当事者」、総称して「両当事者」）は、Lyve Services契約（以下「契約」）を締結しており、この契約に基づき、Seagateは会社に対する特定のサービス（以下「本サービス」）を提供するために、会社の個人情報（以下に定義）を処理できるものとします。本データ・プライバシー契約（本契約に添付されたすべてのスケジュールおよび別紙を含む）（以下、本「DPA」）は、Seagateによる会社の個人情報の処理について規定するものであり、本契約の一部を構成し、参照によって本契約に組み込まれ、本契約の締結日（以下「発効日」）に発効するものとします。

両当事者は以下の内容を認め、同意するものとします。

1. 定義
   1. 「関連会社」とは、対象当事者を支配している事業体、対象当事者に支配されている事業体、または対象当事者と共通の支配下にある事業体を意味します。ここで「支配」とは、当該事業体の議決権付証券の50％超を所有すること、または支配する権利を持つことを指します。
   2. 「適用されるプライバシー法」とは、その会社の個人情報に適用される、世界中のすべてのデータ保護、データ・セキュリティ、およびプライバシーに関する法律、規則、および規制を指します。該当する場合、これには以下が含まれます。(I) EUデータ保護法、(ii) 2012年シンガポール個人情報保護法（2012年第26号）、(iii) 米国各州プライバシー法を含む米国のすべての法律、規則、規制、および (iv) 会社の個人情報の性質に適した業界標準。
   3. 「データ・プライバシー違反」とは、会社の個人情報の偶発的または違法な破壊、紛失、改ざん、不正な開示、アクセス、取得、または会社の個人情報のその他の不正処理につながる、確認されたセキュリティ違反を指します。
   4. 「EUデータ保護法」とは、欧州連合（以下「EU」）または欧州経済領域（以下「EEA」）に適用されるすべてのデータ保護法および規制を指します。これには、(a) 一般データ保護規則2016/679（以下「EU GDPR」または「GDPR」）、(b) 英国の2018年欧州連合（離脱）法第3項および2018年英国データ保護法により英国法に保存されたGDPR（以下「英国GDPR」）、(c) 1992年6月19日のスイス連邦データ保護法およびそれに対応する条例（以下「スイスDPA」）、(d) 電子通信セクターにおける個人データの処理およびプライバシーの保護に関する指令2002/58/EC、(e) (a)、(b)、および (c) の各国での施行が含まれます。
   5. 「会社の個人情報」とは、本DPAの別紙Aに詳しく記載されているとおり、本契約に関連してSeagateが会社の代理で処理する個人データを指します。
   6. 「モデル条項」または「SCC」とは、(i) GDPRが適用される場合、欧州議会および理事会の規則 (EU) 2016/679に従った第三国への個人データの転送に関する標準契約条項に関する2021年6月4日の欧州委員会の施行決定2021/914に付属する契約条項（以下「EU SCC」）、および (ii) 英国GDPRが適用される場合、英国GDPR第46条 (2)(c) または (d) に従って採択された処理業者を対象とした標準データ保護条項（以下「英国SCC」）（随時修正、上書きまたは更新される）を指します。
   7. 「個人データ」とは、適用されるプライバシー法に基づき、「個人データ」、「個人情報」、「個人を特定できる情報」またはこれらに類似する用語として保護される情報を指します。
   8. 「処理」とは、会社の個人情報の収集、記録、整理、構造化、変更、利用、アクセス、開示、発信、コピー、転送、保存またはその他の方法の保持、削除、調整、結合、制限、適合、取得、参照、破壊、または処分など、自動的な手段か非自動的な手段かにかかわらず、会社の個人情報に対して行われる操作を指しますが、これらに限定されません。
   9. 「制限される転送」とは以下を指します：(i) GDPRが適用される場合、EEAから、欧州委員会による適切性判断の対象とならないEEA外の国への会社の個人データの転送、(ii) 英国GDPRが適用される場合、英国から、2018年英国データ保護法第17A条に基づく適切性規制の対象とならないその他の国への会社の個人データの転送、および (iii) スイスDPAが適用される場合、スイスから、スイス・データ保護法で認められた適切性判断に基づかないその他の国への会社の個人データの転送。
   10. 「機密情報」とは、以下のうちいずれかの種類の会社の個人情報を指します：(i) 社会保障番号、納税者番号、パスポート番号、運転免許証番号、またはその他の政府発行の識別番号、(ii) クレジット・カードまたはデビット・カードの詳細情報または金融口座番号（口座または信用履歴へのアクセスを許可するコードまたはパスワードの有無を問わない）、または (iii) 人種、宗教、民族、性生活または慣行、または性的指向、医療情報または健康情報、遺伝情報または生体情報、生体テンプレート、政治的または哲学的信条、政党または労働組合への所属、身元調査情報、または犯罪記録などの司法データ、その他の司法または行政手続きに関する情報、または児童データ保護法に基づいて保護される児童に関する会社の個人情報、およびGDPRまたはその他の適用されるプライバシー法の下で「特別なカテゴリのデータ」の定義または類似の定義に該当するその他の情報または情報の組み合わせ。
   11. 「下請け処理業者」とは、Seagateまたは他の下請け処理業者から委託され、会社の個人情報へのアクセス、受領、もしくはその他の処理を行う第三者を指します。
   12. 「Seagateの社員」とは、Seagateが会社の個人情報の処理を行うことを許可しているSeagateの従業員、請負業者、下請け処理業者または代理業者を指します。
   13. 「米国州プライバシー法」とは、会社の個人データに適用される、データ・プライバシー、データ保護、およびサイバーセキュリティに関するすべての法律、規則、および規制を指します。
   14. 「消費者」、「管理業者」、「データ主体」、「処理業者」、「監督機関」、「事業者」、「ビジネス目的」、「商業目的」、「収集」、「販売」、「サービス・プロバイダ」、および「共有」の各用語は、適用されるプライバシー法の下で与えられた意味を有するものとします。
   15. 「含む/含まれる」という表現は、「制限なく含む/含まれる」という意味として解釈され、類似表現も同様に解釈されるものとします。
2. データ・セキュリティと保護
   1. データ保護における役割。両当事者はここに、会社が会社の個人情報の管理業者または事業者であり、Seagateが会社の代理で会社の個人情報の処理業者またはサービス・プロバイダとして行動することを認め、同意するものとします。ただし、会社が会社の個人情報の処理業者として行動する場合は、Seagateは下請け処理業者となります。
   2. 法律の遵守。各当事者は、本DPAに基づき処理する会社の個人情報に関して、適用されるプライバシー法に基づく義務を遵守するものとします。本契約に基づく会社の個人情報の処理は、適用されるプライバシー法に従って行われるものとします。ただし、Seagateは、適用されるプライバシー法、またはサービス・プロバイダとしてのSeagateに一般的に適用されない、会社または会社の業界に適用される可能性のある地域/業界の基準の遵守について責任を負いません。会社によるサービスの特定の使用、および適用されるプライバシー法または地域/業界の基準により、本DPAの規定を超える特定の契約上の取り決め、および/または追加のコンプライアンス手順や対策を講じる必要がある場合、会社は、そのような要件の対象となる会社の個人情報をSeagateに提供する30日前までに、Seagateに通知する責任を負います。Seagateは、このような要件への準拠をサポートするために、会社に対して合理的な支援を提供します。また、Seagateは、その完全な裁量において、本DPAの規定の効力を弱めることなく、このような規定の対象となる該当する会社の個人情報にまで及ぶ必要な契約を締結することができます。会社は、本契約に記載されているSeagateの契約主体の通知アドレス宛に、そのような管轄区域固有の要求についてSeagateに通知することができます。
   3. 会社の個人情報の機密保持。Seagateは、適用法に従って行われる開示、以下の第2.8項に従って行われる下請け処理業者への開示、または本サービスの提供を促進するために行われる開示を除き、事前に会社から書面による承認を得ることなく、いかなる方法、いかなる目的においても会社の個人情報を第三者に開示しないものとします。会社の個人情報を処理する権限を与えられた人物は、契約上、そのような情報の機密を保持することに同意するか、適切な法的守秘義務を課されていなければなりません。
   4. 処理の範囲。Seagateは常に、(i) 本DPAのみに従い、本契約に基づいて会社に本サービスを提供する目的で、かつ会社の文書化された合法的な指示に従って（以下「許可された目的」）会社の個人情報を処理するものとし、(ii) 自社の目的または第三者の目的のために会社の個人情報を処理しないものとします。Seagateは、次のことを行わないものとします。(i) 会社の個人情報を販売または共有すること、(ii) 契約に基づく本サービスの提供以外の商業目的のために会社の個人情報を保持、使用または開示するなど、許可された目的以外の目的で会社の個人情報を保持、使用または開示すること、または、(iii) Seagateと会社の直接的なビジネス関係以外で会社の個人情報を保持、使用または開示すること。Seagateは、カリフォルニア州プライバシー権法（以下「CPRA」）により改正された2018年カリフォルニア州消費者プライバシー法（カリフォルニア州民法第1798.100条以降の条文）（以下「CCPA」）に基づく義務を果たすことができなくなった場合、会社に通知するものとします。Seagateは、第2.4項に記載されている要件および制限を理解し、遵守すること、およびCCPAおよびCPRAの下でサービス・プロバイダに適用される要件を遵守することを証明します。さらに、両当事者は、両当事者間での会社の個人情報の交換は、販売を構成するものではなく、本契約または本DPAに関して両当事者間で交換される金銭的またはその他の価値ある対価の一部を構成するものでもないことを認識し、これに同意するものとします。すべての場合において、Seagateは、会社から受け取った会社の個人情報を、Seagateが他の人物から、または他の人物の代わりに受け取った個人データ、またはSeagateと消費者の間のあらゆるやり取りから収集した個人データと組み合わせるにあたって、CCPAおよびCPRAの下で適用される制限を遵守します。会社およびSeagateの両当事者は、CCPAおよびCPRAに定められた要件を読み、理解していることを表明します。
   5. 処理の指示。両当事者は、本契約（本DPAを含む）が、会社の個人情報の処理に関して会社がSeagateに出す完全かつ最終的な指示を規定することに同意するものとします。その他の目的でSeagateが会社の個人情報を処理することが法律で義務付けられている場合、Seagateは、法律で禁止されている場合を除き、処理前にその旨を会社に通知します。会社の指示に変更があった場合は、両当事者の承認を受ける必要があります（新たな指示に従うための追加費用を含む）。
   6. 会社の義務。会社は、(i) 会社の個人情報の処理、および会社が処理に関してSeagateに出すすべての指示に関して、適用されるプライバシー法に基づき義務を果たすこと、(ii) 通知を提供し、適用されるプライバシー法に基づきSeagateが本契約および本DPAに従って会社の個人情報を処理し、本サービスを提供するために必要なすべての同意（必要な場合）および権利を取得していること、および (iii) アカウント認証情報の保護、本サービスとの間でやり取りされる会社の個人情報のセキュリティ保護、および本サービスに関連して処理される会社の個人情報を安全に暗号化またはバックアップするための適切な対策など、本サービスの安全な利用に責任を負うことに同意するものとします。会社は、データ・プライバシー違反から会社の個人情報を保護するため、また、会社の支配下および管理下にある会社の個人情報データのセキュリティおよび機密性を保持するために、適切な技術的および組織的セキュリティ対策を実施し、保持するものとします。
   7. 情報セキュリティ・プログラム。Seagateは、会社の個人情報のセキュリティ、機密性または完全性に及ぶと予想される脅威や危険（不正なアクセス、収集、利用、複製、変更、破棄または開示、不正または違法、または偶発的な紛失、破壊、取得、または破損、あるいはその他の不正な処理など）から会社の個人情報を保護するための適切な管理上、技術的、物理的予防対策を含む包括的な書面による情報セキュリティ・プログラムを実行、保持、監視、必要な場合は更新するものとします（「情報セキュリティ・プログラム」）。会社は、情報セキュリティ・プログラムが技術的な進歩および開発の対象となること、およびSeagateがかかるプログラムを随時更新または修正する可能性があることを認めるものとします。ただし、かかる更新および修正が、会社が購入したサービスの全体的なセキュリティの低下を招かないことを条件とします。
   8. 下請け処理業者に関する制限。Seagateは、Seagateの本サービス提供に必要な場合、第2.8項に定められている条件に従って会社の個人情報を下請け処理業者に開示することができます。本DPAに署名することで、会社は、Seagateが本サービスを提供するために下請け処理業者を雇うことに対して、書面による全般的な承認を与えることになります。Seagateが現在使用し、かつ会社が承認している下請け処理業者は、本DPAの別紙Cに記載されています。会社は、[email protected]宛に「Lyve Cloudデータ・プライバシー契約の下請け処理業者更新アラートの購読」という件名のメールを送信することにより、下請け処理業者の変更に関する電子メール通知を購読することができます。Seagateは、新しい下請け処理業者の採用について、少なくとも15暦日前までに書面による通知を会社に対して行います。会社は、本DPAの第2.8項に従い、Seagateからの通知を受領してから10暦日以内にSeagateに書面で速やかに通知することにより、合理的な根拠（会社の個人情報を下請け処理業者に提供することが適用プライバシー法に違反する可能性がある場合、または会社の当該個人情報の保護を弱める可能性がある場合など）に基づき、各下請け処理業者の指名に対して書面で異議を唱えることができます。当該通知は、異議の合理的な根拠を説明するものとし、両当事者は、商業的に合理的な解決を図るべく、当該懸念について誠意をもって協議するものとします。Seagateは独自の裁量により、リストから下請け処理業者を削除することができます。Seagateが下請け業者を削除した場合、Seagateには代わりの下請け処理業者を探すために必要となる合理的な時間が与えられます。会社が、Seagateからの通知を受領してから10暦日以内に、提案された下請け処理業者に関して異議を唱えなかった場合、その下請け処理業者は承認されたものとみなされるものとします。
   9. 下請け処理業者の義務の履行。下請け処理業者がデータ保護義務を果たさない場合、またはSeagateによって削除された場合、Seagateは、下請け処理業者の義務の履行に関して、会社に対して完全な責任を負うものとします。Seagateが下請け処理業者なしで義務を履行できない場合、Seagateは、会社に対して費用または責任を負うことなく、当事者および/またはその関連会社間の該当する契約を解除することができます。
   10. Seagateの社員と下請け処理業者の義務。Seagateは、会社の個人情報を処理する権限を与えられた人物が守秘義務を負うか、または適切な法的守秘義務の下にあることを確認するものとします。Seagateが会社の代理で特定の処理活動を実施するために下請け処理業者を使用する場合、Seagateは下請け処理業者との間で、処理期間中、データのプライバシー、保護、および情報セキュリティの要件を下請け処理業者に課し、適用されるプライバシー法によって要求される基準に従って会社の個人情報を保護することを下請け処理業者に要求するデータ保護義務が含まれる契約を、書面により締結します。
   11. 要求や苦情の通知。法律で禁止されていない限り、Seagateは、Seagateが受け取った会社の個人情報の処理に関する要求または苦情について、会社に通知するものとします。これには以下が含まれます。
       1. データ主体による、適用されるプライバシー法で規定される権利行使の要求（データ・ポータビリティ、アクセス、変更、削除、制限の要求、および同様の要求を含むがこれらに限定されない）。
       2. 処理に関してデータ主体の権利の侵害があったという苦情や申し立て。
   12. データ主体の要求に対する会社の対応。Seagateは処理の性質を考慮した上で、会社の費用負担の下、会社がデータ主体からの権利行使の要求に対して義務を履行するのを、適切な技術的および組織的対策によって可能な限り支援するものとします。Seagateは、以下を受領した場合、速やかに書面にて会社に通知します：(i) 会社の個人情報の処理に関するデータ主体からの要求（ただし、CCPAおよびCPRAに基づく要求の場合、Seagateは要求者に対し、要求がCCPAおよびCPRAで定義されているサービス・プロバイダに送信されたため、要求に対応できないことを通知するものとする）、または (ii) 適用されるプライバシー法で規定された会社の義務に関する苦情、コミュニケーション、要求。CCPAおよびCPRAからの要求に関して (i) に記載されている場合を除き、Seagateは、法的に強制されない限り、会社の事前承認なしに、かかる要求、苦情、またはコミュニケーションに直接回答しないものとします（データ主体に会社への連絡を案内する場合を除く）。
       
   13. 開示の要求。会社は、Seagateがサービスに関連する調査、監査、または照会に関連して、事前の通知または会社の同意なしに、会社の個人情報を当局に開示することを求められる可能性があることを認めるものとします。Seagateが会社の個人情報の開示を強制する要求またはそのような趣旨の文書（口頭での質問、質問状、法的手続きにおける情報または文書の要求、召喚状、民事調査請求、または同様の請求または処理など）を受け取った場合、法律で禁止されている場合を除き、Seagateは商業的に合理的な努力を払って会社に通知するものとします。Seagateは開示を停止または制限し、会社の個人情報の機密性を保持するため、商業的に合理的な努力を払うものとします。
   14. 協力。Seagateは、会社の費用負担の下、会社が会社の個人情報のセキュリティに関して適用されるプライバシー法に基づく義務を果たし、プライバシーおよびデータ保護の影響評価（合理的に要求される場合）ならびに監督当局の関連協議を履行するのを、合理的に支援するものとします。
   15. 違反の可能性または準拠不能の通知。Seagateは、以下の場合に会社に通知するものとします：
       1. 会社の個人情報の処理に関する会社からの指示が適用法に違反していると考える根拠がSeagateにある場合
       2. Seagateが本DPAまたは適用されるプライバシー法に定められた何らかの責任を果たすことが不能であり、合理的な期間内にこの不能性が解消されないと考える根拠がSeagateにある場合
       3. Seagateが本DPAに定められた責任を果たすことを妨げる可能性がある何らかの状況または適用法の変更をSeagateが認識した場合
          
3. データ転送
   1. 国際的な転送。会社は、Seagateが、会社の個人情報が最初に収集および提供された地域以外の地域に、会社の個人情報を転送すること、およびその地域で会社の個人情報を処理することに同意するものとします。ただし、Seagateは、かかる転送および処理を、適用されるプライバシー法および本DPAに準拠させるために必要なすべての対策（会社が随時Seagateに通知する対策を含む）を講じるものとします。
      
   2. 転送メカニズム。両当事者は、会社からSeagateへの会社の個人情報の転送が制限された転送である場合、以下に記載する転送メカニズムに従うことに同意するものとします：
      1. モデル条項。両当事者は、制限された転送が、以下のとおり、参照により自動的に組み込まれ、本DPAの不可欠な一部を構成する適切なモデル条項の対象となることに同意するものとします：
         1. GDPRによって保護される会社の個人情報に関しては、EU SCCが以下のように適用されます：
            1. モジュール2およびモジュール3が適用されます。
            2. 第7条では、オプションのドッキング条項が適用されます。
            3. 第9条では、オプション2が適用されます。下請け処理業者変更の事前通知期間は15暦日とします。
            4. 第11条では、オプションの文言は適用されません。
            5. 第17条では、オプション1が適用され、EU SCCはオランダ法に準拠します。
            6. 第18条 (b) では、紛争はオランダの裁判所で解決されるものとします。
            7. EU SCCの別紙Iは、本DPAの別紙Aに記載された情報で補うことで完全なものとみなされます。
            8. EU SCCの別紙IIは、本DPAの別紙Bに記載された情報で補うことで完全なものとみなされます。
         2. 英国のGDPRによって保護されるデータに関しては、以下の条件で、上記 (1) 項に従って実施されるEU SCCが適用されます：
            1. EU SCCにおける「指令95/46/EC」または「規則 (EU) 2016/679」への言及は、英国GDPRへの言及と解釈され、「規則 (EU) 2016/679」の特定の条への言及は、英国GDPRの同等の条または項に置き換えられ、「EU」、「連合」、「加盟国法」への言及はすべて「英国」に置き換えられ、EU SCCの別紙IIの第13条 (a) およびパートCは使用されません。「管轄監督機関」および「管轄裁判所」は、情報コミッショナーならびにイングランドおよびウェールズの裁判所と解釈されます。EU SCCの第17条は「本条項はイングランドおよびウェールズの法律に準拠します」という文言に置き換えられ、EU SCCの第18条は「本条項に起因する紛争はイングランドおよびウェールズの裁判所により解決されます。データ主体は、データ輸出者および/またはデータ輸入者に対して、英国のどの国の裁判所でも法的手続きを取ることができます。両当事者は、かかる裁判所の管轄権に服することに同意するものとします。」という文言に置き換えられます。
            2. 上記第2 (A) 項に従って実施されるEU SCCが、英国DPAにより保護される会社の個人情報を合法的にサプライヤに転送するために使用できない限りにおいて、英国SCCは本DPAに組み込まれ、本DPAの不可欠な一部を形成し、かかる転送に適用されるものとします。
               
            3. 英国SCCの目的上（該当する場合）、英国SCCの関連する別紙/付録は、本DPAの別紙Aおよび別紙Bに含まれる情報で補うことで完全なものとみなされるものとします。
         3. スイスのDPAによって保護される会社の個人情報に関しては、以下の条件で、上記第 (1) 項に従って実施されるEU SCCが適用されます：
            1. EU SCCにおける「規則 (EU) 2016/679」または「GDPR」への言及は、データ保護に関するスイス連邦法 (FADP) への言及として解釈されるものとします。
            2. 「EU」、「連合」、および「加盟国法」は、場合により、スイスおよびスイス法への言及として解釈されるものとします。
               
            3. 「加盟国」という用語は、スイスに居住するデータ主体が、その常居所地（スイス）においてその権利を求めて訴える可能性を排除するように解釈してはならないものとします。
            4. EU SCC条項は、改正FADPが発効するまでは、法人のデータを保護すると解釈すべきものとします。
            5. 「管轄監督機関」および「管轄裁判所」への言及は、スイス連邦データ保護情報コミッショナー (FDPIC) およびスイスの管轄裁判所への言及として解釈されるものとします。
         4. 本契約または本DPAのいずれかの条項が、直接的または間接的にモデル条項と矛盾する場合、モデル条項が優先するものとします。
            1. 代替転送メカニズム：本DPAに記載されていない個人データの転送について、Seagateが代替データ輸出メカニズム（適用されるEUデータ保護法に従って採用されたSCCの新しいバージョンまたは後継バージョンを含む）を採用する場合（以下「代替転送メカニズム」）、代替転送メカニズムは、本DPAに記載されている適用可能な転送メカニズムの代わりに適用されるものとし（ただし、かかる代替転送メカニズムが欧州データ保護法に準拠し、個人データが転送される地域にまで及ぶ場合に限る）、会社は、かかる代替転送メカニズムに法的効力を与えるために合理的に必要とされるその他の文書を作成し、その他の対策を講じることに同意するものとします。さらに、管轄権を有する裁判所または拘束力を有する監督当局が、（理由の如何を問わず）本DPAに記載されている対策が会社の当該個人データを合法的に転送するために信頼できないと命令または判断した場合に限り、会社は、Seagateが会社の当該個人データの合法的な転送を可能にするために合理的に必要とされる追加的な対策または予防策を実施できることを認め、これに同意するものとします。
               
   3. データ輸出要件のある国からの転送。適用されるプライバシー法により、Seagate（その下請け処理業者を含む）への会社の個人情報の転送を許可するために、適用されるデータ輸出制限に関連してさらなる対策を講じる必要がある場合、会社は、必要な同意の取得、適用されるデータ転送契約（標準契約条項など）の締結、またはかかる転送に適切な予防策が講じられるようにするための代替ソリューションの実行を含め、かかるデータ保護要件に準拠するものとします。
4. コンプライアンスおよび説明責任
   1. 監査。12ヶ月に1回だけ、会社はSeagateに対して、会社の個人情報の処理に関して適用されるプライバシー法に準拠していることを示すのに必要な会社情報のみを提供するよう要求できるものとします。Seagateは、会社の費用負担の下、会社または会社が委任した独立した第三者監査人による監査を許可し、これに貢献するものとします。このような独立した第三者監査人は、Seagateによって承認される必要があります（ただし、当該第三者が管轄監督機関である場合を除く）。監査人は、監査を実施する前に、Seagateが認める書面による機密保持契約を締結するか、または法的な守秘義務に拘束される必要があります。
      
   2. 監査の範囲。監査を依頼する場合、会社はSeagateに対し、30暦日前に書面による事前通知を行い、監査の範囲、期間、開始日を記載した監査計画案をSeagateに提出する必要があります。Seagateは、監査計画案を確認し、懸念事項や質問（SeagateまたはSeagate関連会社のセキュリティ、プライバシー、雇用、その他の関連ポリシーを侵害する可能性のある情報の要求など）を会社に提供します。Seagateは、会社と協力して最終的な監査計画に合意するものとします。
      
   3. 監査報告書。適用されるプライバシー法により禁止されている場合、または監督当局の指示がある場合を除き、会社は、監査に関連して作成された監査報告書をSeagateに提供するものとします。会社は、会社の規制上の監査要件を満たすため、および/または本DPAの要件を遵守していることを確認するためにのみ、監査報告書を使用することができます。監査報告書は、監査のためにSeagateから提供された参考情報を含め、Seagateの機密情報です。
   4. 証明可能なコンプライアンス。Seagateは、会社の合理的な要求に応じて、適用される米国州プライバシー法の遵守を証明するために合理的に必要な情報を提供することに同意します。
5. データ・プライバシー違反発生後のSeagateの責任
   1. データ・プライバシー違反の通知。Seagateは、データ・プライバシー違反が発生した場合、過度な遅滞なく書面にて会社に通知し、以下を行うものとします：
      1. 調査を行うか、データ・プライバシー違反の調査にあたって合理的な支援を提供する
      2. データ・プライバシー違反に関する情報を会社に提供し、関連する追加情報が入手可能になり次第、速やかに提供する
      3. データ・プライバシー違反を阻止し、データ・プライバシー違反の影響を軽減するために商業的に合理的な対策を講じるか、または会社の費用負担の下、会社がこれを行うのを支援する
   2. 通知に関する考慮事項。本項に基づくデータ・プライバシー違反の通知または同違反への対応（以下「データ・プライバシー違反への対応」）は、Seagateがデータ・プライバシー違反に関する過失または責任を認めることとは解釈されません。
   3. コミュニケーション。Seagateは、会社から事前の承認なく、会社の身元を特定されるような方法、または身元を特定されるもしくは明らかにされる可能性があると合理的に推定される方法で、データ・プライバシー違反に関連するコミュニケーションを取ってはならないものとします。
   4. 証拠の保存。Seagateは、インシデント対応計画を維持するものとします。データ・プライバシー違反を発見した場合、Seagateは会社のインシデント対応計画に従ってデータ・プライバシー違反に関連する証拠を保存し、明確な指揮命令系統を維持するものとします。
6. 会社の個人情報の返却と安全な削除
   1. 会社の個人情報の返却および削除。(a) 会社から要求があった場合、または (b) 会社の個人情報の処理に関連する両当事者および/またはその関連会社の間の契約が会社の指示で失効、または早期終了された場合、いずれか早い方の時点で、Seagateは、会社の個人情報をエクスポートしたり、エクスポートするよう下請け処理業者に指示したり、あるいは会社または第三者の被指名人が、コンピュータで読取り可能で相互運用可能な形式で会社のすべての個人情報をエクスポートできるようにしたりするものとします。ただし、適用されるプライバシー法によって会社の個人情報の保持が義務付けられている場合を除きます。各当事者は会社の個人情報を移行する担当者を認定し、適時の転送を促すために迅速かつ真摯に誠意を持って取り組むものとします。Seagateが (a) 会社の個人情報の移行を完了した後、または (b) 会社がSeagateに会社の個人情報を移行しないという選択を通知した後、30日以内に、Seagateおよび下請け処理業者は、会社のすべての個人情報を安全に破棄し、新しいデータで上書きするか、または承認されたサニタイズ方法によって会社の個人情報を破棄するものとします。
   2. 削除義務。第6.1項にかかわらず、また、会社がSeagateに対して会社の個人情報の返却を指示したか否かにかかわらず、Seagateは、適用されるプライバシー法により会社の個人情報の保持が義務付けられている場合を除き、会社の個人情報の処理に関する当事者および/またはその関連会社間の契約の満了または早期終了時に、サービスから会社の個人情報を削除しなければならない場合があります。SeagateのLyve Servicesを含むがこれに限定されない、Seagateの他のサービスに会社の個人情報を取り込むか移行する場合、会社は、かかるデータの取り込みまたは移行に成功した時点で、Seagateが元のサービスに保存されている会社の個人情報を削除またはその他の方法で処分できることを認めるものとします。会社は、サービスの性質上、セキュリティの継続性を確保するために、Seagateが追加の許可なしにデータに技術的にアクセスすることはないことを認めるものとします。
   3. 会社の個人情報の破壊。適用されるプライバシー法で禁止されていない限り、Seagateが会社の個人情報が含まれる紙、電子、またはその他の記録を破棄する場合、Seagateは、会社の個人情報を、(a) シュレッダーにかける、(b) 永久的に消去および削除する、(c) 消磁する、または (d) その他の方法で変更することで、会社の個人情報を破壊するためのあらゆる合理的な手段を講じ、これを行うものとします。Seagateが会社の個人情報のコピーが入ったハードディスク・ドライブの使用を終了したり、その他の形で廃棄したりする場合、Seagateは、NIST 800-88改定第1版に従って、安全にドライブを粉砕するかドライブを破壊するかして、会社の個人情報を読み取れないように破壊するものとします。
7. その他
   1. 期間。本DPAは、(i) 両当事者間に他に有効な契約がなくなる、(ii) Seagateが会社の個人情報の管理または制御またはアクセスを停止するまで、引き続き有効となります。Seagateは、本契約に規定されているとおり、関係が終了するまで会社の個人情報を処理します。本DPAに基づくSeagateの義務および会社の権利は、Seagateが会社の個人情報を処理する限り、有効に存続します。
   2. 優先順位。本契約に変更はなく、完全な効力を維持します。本DPAと、両当事者および/またはその関連会社間の契約との間に齟齬がある場合は、以下の文書の規定が（以下の順番で）優先するものとします：(a) 標準契約条項（該当する場合）、(b) 本DPA、(c) 本契約の本文。本DPAによって標準契約項目が制限されることはなく、標準契約条項を補うものとしてのみ、みなされるものとします。
   3. アップデート。両当事者は、適用される法律や規制の遵守を徹底するために、必要に応じて相互の書面による同意を行うことで、本DPAを更新するために合理的に協力するものとします。
   4. サービス・データ。本契約（本DPAを含む）における矛盾する規定にかかわらず、Seagateは、請求、アカウント管理、テクニカル・サポート、および製品開発などの正当な事業目的のために、サービスの使用、サポート、および/または運営に関するデータ（以下「サービス・データ」）を収集、使用、および開示する権利を有するものとします。かかるサービス・データが適用されるプライバシー法の下で会社の個人情報とみなされる場合、SeagateはSeagateプライバシー・ポリシー（最新版はhttps://www.seagate.com/legal-privacy/にあり、随時更新される）および適用されるプライバシー法に従い、責任を負い、当該データを処理するものとします。疑義を避けるため、および本第7.4項を除き、本DPAの規約はサービス・データには適用されないものとします。
   5. 第三受益者。Seagateの関連会社は本DPAの第三受益者であるとみなされ、それぞれが署名者と同様に本DPAに記載の条件に拘束される場合があります。またSeagateは、その関連会社が会社に対して別途訴訟原因を提示する代わりに、その関連会社の代理として本DPAの条項を執行する場合があります。
   6. 監督当局または規制機関への開示。会社は、Seagateが連邦取引委員会、欧州データ保護当局、またはその他の司法機関または規制機関の要請に応じて、本DPA（SCCを含む）および本契約の関連プライバシー条項を開示できることを認めるものとします。
   7. 分離。本DPAのいずれかの条項が無効である場合でも、他の条項に影響は及ばないものとします。両当事者は、その無効な条項を、その無効な条項の目的を組み込んだ合法的な条項に置き換えるものとします。必要な条項が不足している場合、両当事者は善意に基づいて適切な条項を追加するものとします。
   8. 副本。本DPAには、電子署名で署名できるものとし、その場合、その電子署名は、証拠目的を含め、原本として取り扱われるものとします。本DPAは、二部以上の副本に署名でき、それらには両当事者の署名が含まれている必要はなく、それぞれが原本としてみなされ、それらすべてを併せてひとつの同じ契約書を構成するものとします。
   9. 解釈。本DPAの見出しは、あくまでも参考のためのもので、本契約書の解釈に影響を与えるものではありません。
   10. 責任。全体として、契約、不法行為（過失を含む）またはその他の責任の法理に基づくか否かを問わず、本DPA（標準契約条項を含む）に起因または関連する各当事者およびその関連会社のすべての責任は、適用されるプライバシー法により認められる最大限の範囲において、本契約に含まれる（または参照により本契約に組み込まれる）責任の制限および除外に従うものとします。ただし、標準契約条項の下で生じる各当事者の責任にはかかる制限が適用されないことを条件とします。
   11. 準拠法。本DPAは、適用されるプライバシー法により別段の定めがない限り、本契約の準拠法および裁判管轄の規定に準拠し、これに従って解釈されるものとします。

別紙A
データ処理の説明

 

A. 当事者のリスト

 

モジュール2：管理業者から処理業者への転送

 

モジュール3：処理業者から処理業者への転送

 

データ輸出者：

 

会社

 

お問い合わせ先：契約書に明記されているとおり。会社が会社のアカウントの通知設定で指定した電子メール・アドレス。

 

転送に関連する活動：会社は、本契約において指定されたLyveサービスを利用し、適用される文書に従ってLyveサービスを利用する責任を負います。

 

署名と日付：本契約を締結することにより、データ輸出者は、本契約の発効日において、別紙を含め、本契約に組み込まれたこれらの標準契約条項に署名したものとみなされます。

 

データ輸出者の役割：データ輸出者の役割は、DPAの第2.1項（データ保護の役割）に規定されています。

 

データ輸入者：

 

Seagate

 

お問い合わせ先：契約書に明記されているとおり。Seagateプライバシー・チーム ([email protected]) までお問い合わせください。

 

転送に関連する活動：Seagateは、両当事者が書面で別途合意しない限り、本契約で規定された主題のため、本契約が終了または満了するまで会社の個人情報を処理します。主題は、会社が利用しているLyveサービス、および会社がLyveサービスにアップロードするデータによって決定されます。

 

署名と日付：本契約を締結することにより、データ輸入者は、本契約の発効日において、別紙を含め、本契約に組み込まれたこれらの標準契約条項に署名したものとみなされます。

 

データ輸入者の役割：データ輸入者の役割は、DPAの第2.1項（データ保護の役割）に規定されています。

 

b. 転送の説明

 

モジュール2：管理業者から処理業者への転送

 

モジュール3：処理業者から処理業者への転送

 

個人データが転送されるデータ主体のカテゴリ

 

会社は、会社の個人情報をSeagateに提出することができ、その範囲は会社が独自の裁量で決定および管理します。これには以下のカテゴリのデータ主体に関する個人データが含まれる場合がありますが、これに限定されるものではありません：

1. 会社の過去および現在の従業員、アドバイザー、コンサルタント、サプライヤ、請負業者、下請業者、および代理人。
2. 会社の過去および現在のビジネス・パートナー、ならびにその従業員、パートナー、アドバイザー、コンサルタント、サプライヤ、請負業者、下請業者、および代理人。
3. 会社の過去および現在の顧客、ならびにその従業員、パートナー、アドバイザー、コンサルタント、サプライヤ、請負業者、下請業者、および代理人。

移転される個人データのカテゴリ

 

会社は、会社の個人情報をSeagateに提出することができ、その範囲は会社が独自の裁量で決定および管理します。これには、会社によって提供された個人データ、会社の代理で提供された個人データ、または本サービスに関連してSeagateによって収集された個人データが含まれる場合があります。

 

機密データの転送（該当する場合）、およびデータとリスクの性質が十分考慮された制限または保護対策の適用。例えば、厳密な目的制限、アクセス制限（専門のトレーニングを受けたスタッフのみによるアクセスを含む）、データへのアクセス記録の保管、転送の制限、または追加のセキュリティ対策など。

 

会社は、機密データをSeagateに提出することができ、その範囲は会社が独自の裁量で決定および管理します。これには、会社によって提供された機密データ、会社の代理で提供された機密データ、または本サービスに関連してSeagateによって収集された機密データが含まれる場合があります。Seagateが実施する保護対策は、別紙IIに記載されているとおりです。

 

転送頻度（例えば、データが単発的に転送されるのか、継続的に転送されるのか）。

 

会社は、会社によるSeagateへの個人データの転送頻度を独自の裁量で決定および管理し、契約（本DPAを含む）に従って転送を実行します。

 

処理の性質

 

Seagateは、本契約（本DPAを含む）に基づき、会社に本サービスを提供する目的でのみ、会社の個人情報を処理します。

 

データ転送とさらなる処理の目的

 

会社は、本契約（本DPAを含む）に基づき、本サービスを受ける目的でのみ、会社の個人情報をSeagateに転送します。これには以下が含まれます。

1. 本契約に基づき会社に提供される本サービスを提供、維持、および改善するために必要なストレージおよびその他の処理、および/または、
2. 本契約に基づく開示、および/または適用される法律により強制される開示。

個人データの保持期間、またはそれが不可能な場合は、その期間を決定するために使用した基準

 

Seagateは、本契約（本DPAを含む）および会社の文書化された合法的な指示に従い、会社からSeagateに転送された会社の個人情報を保持します。

 

（下請け）処理業者への転送については、処理の主題、性質、期間も明記

 

該当しない。

 

c. 管轄監督機関

 

モジュール2：管理業者から処理業者への転送

 

モジュール3：処理業者から処理業者への転送

 

第13条に従い、管轄監督機関を特定

 

管轄監督機関は、EU SCCの第13条に従って、(i) EEA設立国でデータ輸出者に適用される監督機関、または (ii) データ輸出者がEEAで設立されていない場合は、GDPR第27条 (1) に従ってデータ輸出者のEU代表者が任命されているEEA国に適用される監督機関、または (iii) データ輸出者が代表者を任命する義務を負わない場合は、転送に関連するデータ主体が所在するEEA国に適用される監督機関のいずれかです。英国GDPRが適用される会社の個人情報の処理に関して、管轄監督機関は情報コミッショナーズ・オフィス（以下「ICO」）となります。スイスのDPAが適用される個人データの処理に関して、管轄監督機関はスイス連邦データ保護・情報コミッショナーとなります。

 

 

別紙B

データのセキュリティを確保するための技術的および組織的対策を含む技術的および組織的対策

 

モジュール2：管理業者から処理業者への転送

 

モジュール3：処理業者から処理業者への転送

 

処理の性質、範囲、背景および目的、ならびに自然人の権利および自由に対するリスクを考慮した上で、適切なレベルのセキュリティを確保するためにデータ輸入者によって実施される技術的および組織的対策（関連する認証を含む）の説明。

 

Seagateは、包括的な書面による情報セキュリティ・プログラムを実施、維持、監視し、必要に応じて更新します。Seagate情報セキュリティ・プログラムには、会社の個人情報のセキュリティ、機密性または完全性に及ぶと予想される脅威や危険（不正なアクセス、収集、利用、複製、変更、破棄または開示、不正または違法、または偶発的な紛失、破壊、取得、または破損、あるいはその他の不正な処理など）から会社の個人情報を保護するための管理上、技術的、物理的予防対策が含まれます（「情報セキュリティ・プログラム」）。

 

Seagateには、Seagateの情報セキュリティ・プログラムを管理する、独立した専任の情報セキュリティ・チームが存在します。このチームは、第三者による独立した監査および評価を促進および支援します。会社は、情報セキュリティ・プログラムが技術的な進歩および開発の対象となること、およびSeagateがかかるプログラムを随時更新または修正する可能性があることを認めるものとします。ただし、かかる更新および修正が、会社が購入したLyve Servicesの全体的なセキュリティの低下を招かないことを条件とします。

 

Seagateは、Lyve Servicesを通じて作成、保存、またはアクセス可能にされたデータ、コンテンツ、または資料を審査したり編集したりすることはありません。

 

Lyve Cloud ServicesおよびLyve Mobile Services（以下、総称して「Lyve Services」）で取り扱われる会社の個人データを保護するために、以下の対策が講じられています：

 

個人データの暗号化：暗号処理によって、明らかに判読可能な情報を判読不可能な文字列に変換することを可能にする対策。

1. Seagateは、Lyve Cloud ServicesおよびTCG Enterpriseの保存時のAES-256-GCM暗号化、Lyve Mobile Servicesの保存時のSED AES-256-bit暗号化、および送信時の暗号化のサポートなど、会社のデータを確実に保護するための堅牢なセキュリティ対策を導入しています。
2. Lyve Servicesの主なセキュリティ機能として、Seagateは、データがソースで暗号化されているかどうかにかかわらず、保存前にすべてのデータを暗号化します。保護を無効にするオプションはありません。会社がLyve Servicesとの使用契約を終了することを選択した場合、そのデータは安全に消去されます。
3. 第三者のデータ・センターがLyve Cloud Servicesをホストし、最高クラスのデータ・センター可用性とアクセスを提供しています。設計上、Lyve Cloud Services内でデータ暗号化を無効にすることはできません。つまり、データは保存時も送信時も常に暗号化されています。さらに、ランサムウェア対策により悪意のある攻撃からデータを保護し、オブジェクトの不変性により偶発的な操作や削除からデータを保護します。

処理システムおよびサービスの継続的な機密性、完全性、可用性、回復力を確保するための対策：

1. 守秘義務：権限のある者のみが情報にアクセスできるようにし、個人データの処理に使用されるシステムおよびアプリケーションへの権限のない者による侵入を防止するための対策。
   • Seagateでは、専用のアクセス制御ポリシーを導入。
   • セキュリティ・グループとアクセス制御リストに基づく差別化された権限システム。
   • パスワードの取り扱いに関するガイドラインを含むパスワード・ポリシー。
   • パスワードには、定義された最低限の複雑さが必要。初期パスワードは、初回ログイン後に変更する必要がある。
   • 権限コンセプト、アクセス制限の実施、「知る必要性」原則の実施、個々のアクセス権の管理を含むアクセス権管理。
   • 社内スタッフおよび社外スタッフ向けのトレーニングおよび機密保持契約。
   • ネットワークの分離。
   • 承認要求は、追跡され、記録され、定期的に監査される。
   • 雇用の終了または変更に伴う従業員のアクセス権の剥奪。
   • アカウントのプロビジョニングとデプロビジョニングのプロセス。
   • 責任と職務の分離により、不正または意図しない変更や悪用の機会を減らす。
   • 従業員に課される守秘義務。
   • データ・プライバシーおよびガバナンス、データ保護、機密保持、ソーシャル・エンジニアリング、パスワード・ポリシー、ならびにSeagate社内外の全体的なセキュリティの責任について学ぶ、従業員向けの必須セキュリティ・トレーニング。
   • 第三者との秘密保持契約。
   • 信頼レベルに基づくネットワークの分離。
2. インテグリティ：会社の個人情報が、電子的な送信または転送中に許可なく読み取り、コピー、変更、または削除されないようにするとともに、データがデータ処理システムに入力、変更、または削除されたかどうか、また誰によってそれが行われたかを確認および立証できるようにするための対策。
   • 認証のロギング、および論理システムへのアクセスの監視。
   • データへのアクセス、およびデータの変更、入力、削除を含むがこれらに限定されない、データへのアクセスのロギング。
   • データ入力権限の文書化とセキュリティ関連入力のロギング。
3. 可用性と回復力：会社の個人情報が内部または外部の影響により偶発的に破壊される、または紛失するリスクを低減するとともに、攻撃に耐える能力、または攻撃後にシステムを迅速に正常な状態に復元する能力を確保するための対策。

 

物理的または技術的インシデントが発生した場合に、Lyve Cloud Servicesシステムの可用性およびアクセスを適時に復元する能力を確保するための対策：物理的または技術的なインシデントが発生した場合に、システムを迅速に復元できる可能性を確保するための対策。

1. 継続計画とディザスタ・リカバリ・プラン。
2. プロセスを復元するディザスタ・リカバリ・プロセス。
3. セキュリティ・インシデントの可能性の検知および対応を含む、インシデントの処理および報告（インシデント管理を含む）の手順。

 

処理のセキュリティを確保するために、Lyve Cloud Servicesの技術的および組織的対策の有効性を定期的にテスト、査定、および評価するためのプロセス：

1. 活動の監視とロギングにより、イベントを記録し、証拠を生成します。本番システムおよびその他の重要なシステムにより、ユーザーの活動、例外、障害、および情報セキュリティに関するイベントを記録するイベント・ログが生成されます。
2. すべてのログにアクセスできるのは権限を付与されたSeagateの従業員のみで、不正アクセスを防止するためにアクセス制御が設定されています。
3. Seagateは、改ざんや不正アクセスからログ情報を保護します。これには、ログ情報の不正な変更や運用上の問題から管理を保護することも含まれます。

 

ユーザーの識別と承認のための対策：

1. システム、アプリケーション、およびユーザー・アカウントの相互作用に関連する情報を取得し、ログに記録するための手順が整備されています。
2. 未承認の機能の導入を防止し、意図しない変更を避けるとともに、知的財産の機密性を維持するため、プログラムのソース・コードおよび関連項目（設計、仕様、検証および確認計画など）へのアクセスは制限されています。
3. アクセス権を割り当てるために、識別情報を管理するための正式なユーザー登録および登録解除プロセスが実装されています。これには、Lyve Servicesへのアクセスを許可された人物を識別するための固有のユーザーIDを発行すること（共有IDは許可されません）、および従業員が退職した場合、または、請負業者/ベンダーが契約を終了した場合、もしくはアクセスが不要になった場合にIDを直ちに無効化または削除することが含まれます。
4. 秘密認証情報（パスワード、暗号鍵、ハードウェア・トークン、スマート・カードなど）の割り当ての管理は、ユーザーに利用条件の一部としてこの情報を秘密にすることを要求する、正式なプロセスを通じて維持されなければなりません。

 

Lyve Cloud Servicesへの送信時における保護のための対策：

1. Lyve Cloud Servicesでは、会社の個人情報が常に保護されるよう、保存時の暗号化および送信時の暗号化のサポートを含む堅牢性のあるセキュリティ対策を実施しています。
2. 外部ロケーションからネットワークにアクセスする権限のある個人は、承認された暗号化ならびに認証方法および認証技術を利用しなければなりません。
3. Seagateは、ネットワークへのリモート・アクセスを目的とした共有アカウントの使用を許可していません。
4. Seagateは、リモート・アクセスを必要なリソースおよびサービスへのアクセスのみに制限しています。

 

保管中の会社の個人情報を保護するための対策：

1. Lyve Servicesでは、会社の個人情報が常に保護されるよう、静止時の暗号化および送信時の暗号化のサポートを含む堅牢性のあるセキュリティ対策を実施しています。
2. Lyve Cloud Servicesでは、Seagateのお客様用インスタンスは論理的に分離されており、許可されたドメイン境界外のデータへのアクセス試行は阻止され、ログに記録されます。
3. 実行可能なアップロード、コード、または不正なアクターが、不正なデータへのアクセス（あるお客様が別のお客様のファイルにアクセスすることを含む）を許可されないようにするための対策が講じられています。

 

会社の個人情報が処理される場所の物理的セキュリティを確保するための対策：

1. Lyve Servicesのセキュリティ対策は、情報アセットおよびサービスへの特定されたリスクに見合ったものとなっています。
2. Lyve Cloud Servicesでは、情報システムと人員を保護するために、リスクを最小化し、脅威を回避し、脆弱性を排除するための物理的および環境的なセキュリティ対策を施設に組み込んでいます。
3. 物理的および環境的なセキュリティは、Lyve Cloud Serviceの情報アセットおよびシステムに対する不正な物理的アクセス、損傷および干渉を防止するように設計されています。
4. Lyve Cloud Servicesでは、入室管理を行うことで、許可された担当者のみがアクセスできるようにして、セキュア・エリアを保護しています。入室管理には、訪問者のアクセスを記録すること、機密情報が保管されている場所へのアクセスを許可された人員のみに制限すること、ユーザーに目に見えるIDバッジの着用を義務付けること、業務遂行に必要な物理的エリアのみに各人のアクセスを制限することなどが含まれなければなりません。
5. 機器、情報、ソフトウェアの各アセットを許可なく外部に持ち出してはなりません。アセット撤去の期限について関係者全員が合意し、返却を確認しなければなりません。アセットが外部に持ち出された場合はそのことを記録し、アセットが返却されたときに同じ記録を更新しなければなりません。

 

イベントのロギングを確実に行うための対策：

1. リモート・ロギング。
2. 情報セキュリティ・マネジメント・システム・ポリシー (ISMS) を導入しています。

 

システム構成（デフォルト構成を含む）を確保するための対策：スコープ内のすべてのシステムおよびデバイスをベースライン構成の設定に準拠させるための対策。

1. Seagateは、変更管理ポリシーを定めています。
2. Seagateは、スコープ内のシステムへの変更を監視することで、変更がプロセスに従っていることを確認し、本番環境に未検出の変更が加えられるリスクを軽減しています。
3. Seagateは、アクセス制御ポリシーおよび手順を定めています。

 

社内の情報技術（以下「IT」）ならびにITセキュリティのガバナンスおよび管理のための対策：

1. Seagateは、ISO 27001:2013の基準に準拠した情報セキュリティ・マネジメント・システム (ISMS) を導入しています。
2. Seagateは、裏付けとなる文書を含む、書面による情報セキュリティ・ポリシーを導入しています。
3. Seagateの情報セキュリティ・プログラムを管理する権限と責任は、Seagateの情報セキュリティ・プログラムを策定、実施、管理するために必要な対策を講じる権限を上級管理職から与えられた最高情報セキュリティ責任者に委譲されています。

 

プロセスおよび製品の認証/保証のための対策：

1. Lyve Cloud Servicesは、第三者による監査を受けており、SOC 2への準拠を達成しています。これは、当社のサービスで保存および処理される情報の機密性およびプライバシーを保護するための管理業務に、当社が責任を持って取り組んでいることを証明するものです。
2. Lyve Cloud ServicesはISO 27001認証を取得しています。Lyve Cloud Servicesのプログラムには、ポリシーおよび手順、アセット管理、アクセス管理、暗号化、物理的および環境的セキュリティ、事業継続ポリシー、人事セキュリティ、ディザスタ・リカバリ、クラウドおよびネットワーク・インフラストラクチャのセキュリティ、セキュリティ・コンプライアンス、第三者による管理、セキュリティ監視およびインシデント対応などが含まれています。

 

データの最小化を実現するための対策：収集されるデータの量を削減するための対策。

1. 収集される会社の個人情報は、Lyve Servicesで会社が提供することを選択したデータに限定されます。
2. 必要な機能を実行するのに欠かせない最小限のアクセスのみを提供するためのセキュリティ対策が講じられています。

 

データの質を確保するための対策：データ・パイプラインでデータの質を良好に保つための対策。

1. Seagateは、会社の個人情報を含め、Lyve Servicesを通じて作成、保存、またはアクセス可能にされたデータ、コンテンツ、または資料を審査したり編集したりすることはありません。また、会社は、Lyve Servicesにどのようなデータを入れるかについて単独の裁量権を有するものとします。
2. Seagateは、セキュリティ管理を通じてデータ保全性を確保しています。

 

限定的なデータ保持を実現するための対策：

1. 情報の所有者は、自身の管理下にある情報アセットを適切に破棄するための手順を策定し、実施しなければなりません。
2. Lyve Servicesは、情報アセットを保護するとともに、記録保持スケジュールに記載されているとおり、アセットがライフサイクルの終わりに達した時点でその破壊を手配します。これらのアセットを安全に破壊するには、読み取り可能なコンテンツがそのまま残らないようにしなければなりません。
3. 電子データの破壊には安全な自動プロセスを使用し、ハードコピーの記録の破棄には安全な手動プロセスを使用しなければなりません。
4. 環境に関連するすべてのサブスクリプションの終了後、Lyve Cloud Servicesに提出されたお客様のデータは、Lyve Cloud Services内で30日間非アクティブな状態で保持され、その後、本番環境から安全に上書きまたは削除されます。
5. Lyve Mobile Servicesに関連するすべてのサブスクリプションの終了後、会社は、デバイス上の暗号化消去機能を使用して、デバイスから会社のデータを安全に消去しなければなりません。Lyve Mobile ServicesデバイスがSeagateに返却されると、権限のある担当者がアクセス制御された安全な場所でデバイスの消去を実行します。

 

説明責任を果たすための対策：会社は、処理する個人データについて一定の記録を保持しなければなりません。

1. 個人データの処理を伴う新しい製品/サービスを導入する際には、プライバシー評価を行う必要があります。
2. Seagateは、製品ライフサイクル全体および該当するビジネス・プロセスを通じて、エンドユーザーのプライバシーを確保する責任を割り当てます。

 

データ・ポータビリティおよびデータ消去を実現するための対策：

1. Lyve Mobile Servicesは、ポータビリティを念頭に置いて設計されています。Lyve Cloud Servicesと外部の第三者との間の業務情報の安全な転送は、契約によって規定されています。
2. Lyve Mobile Servicesでは、送信時に情報および物理メディアを保護するための文書を作成し、維持することで、転送契約において情報を参照できるようにしています。
3. どのような契約であれ、情報セキュリティの内容は、関係するビジネス情報の機密性を反映したものでなければなりません。契約には電子的なものと手書きのものがあり、正式な契約である場合もあります。
4. 会社は、本契約の満了または早期終了時に、サービスから会社のデータを削除するよう求められる場合があります。お客様が別のSeagateサービスへのデータの取り込みまたは移行を選択した場合、Seagateは、そのようなデータの取り込みまたは移行が成功した時点で、元のサービスに保存されていたお客様のデータを削除またはその他の方法で破棄することができます。
5. Lyve Servicesは、情報アセットを保護するとともに、記録保持スケジュールに記載されているとおり、アセットがライフサイクルの終わりに達した時点でその破壊を手配します。これらのアセットを安全に破壊するには、読み取り可能なコンテンツがそのまま残らないようにしなければなりません。
6. Lyve Servicesは、電子データの破壊には安全な自動プロセスを使用し、ハードコピーの記録の破壊には安全な手動プロセスを使用します。
7. Lyve Servicesに関連するすべてのサブスクリプションの終了後、ストレージ・メディアを含む機器のアイテムについて、廃棄または再使用する前に、機密データおよびライセンスされたソフトウェアが削除されていること、または安全に上書きされていることを確認する必要があります。ストレージ・メディアは、元のデータを取り出せないように削除または上書きしなければなりません。
8. Seagateが会社のデータのコピーが入ったハードディスク・ドライブの使用を終了したり、その他の形で廃棄したりする場合、Seagateは、NIST 800-88改定第1版に従って、安全にドライブを粉砕するかドライブを破壊するかして、会社のデータを読み取れないように破壊するものとします。

 

別紙C

下請け処理業者のリスト

なし。

 

別紙D

国別の規定

指定された管轄に以下の要件が適用されます：

1. シンガポール
   1. 本第1項の規定は、2012年シンガポール個人データ保護法（2012年第26号）がSeagateによる会社の個人情報の処理に適用される場合に適用されます。
   2. DPAの第1.3条は以下によって置き換えられるものとします：
   3. 「データ・プライバシー違反」とは、会社の個人情報の偶発的または違法な破壊、紛失、改ざん、不正な開示、アクセス、取得、または会社の個人情報のその他の不正処理につながるセキュリティ違反を指します。これには、(a) 会社の個人情報への不正アクセス、収集、使用、開示、コピー、変更、もしくは破棄が行われた場合、または、(b) 会社の個人情報への不正アクセス、収集、使用、開示、コピー、変更、もしくは破棄が行われる可能性がある状況において、会社の個人情報が保存されているストレージ・メディアまたはデバイスが紛失した場合が含まれます。
   4. DPAの第5.1条は以下によって置き換えられるものとします：

5.1 データ・プライバシー違反の通知。Seagateがデータ・プライバシー違反が発生したと信じるに足る根拠を得た場合、Seagateはデータ・プライバシー違反を過度の遅滞なく書面で会社に通知し、以下を行うものとします：

1. 調査を行うか、データ・プライバシー違反の調査にあたって合理的な支援を提供する
2. データ・プライバシー違反に関する情報を会社に提供し、関連する追加情報が入手可能になり次第、速やかに提供する
3. データ・プライバシー違反を阻止し、データ・プライバシー違反の影響を軽減するために商業的に合理的な対策を講じるか、または会社の費用負担の下、会社がこれを行うのを支援する

インド

1. 本第2項の規定が適用されるのは、処理がインドで行われるか否かにかかわらず、インドの管理業者から提供された会社の個人情報をSeagateが処理する際に、2000年情報技術法（以下「IT法」）および2011年情報技術（合理的なセキュリティ慣行および手順、ならびに機密個人データまたは情報）規則（以下「プライバシー規則」）が適用される場合です。
2. IT法およびプライバシー規則の対象となるデータ主体の個人データの処理に関して、以下の情報は「機密個人データまたは情報」とみなされます。
   1. パスワード;
   2. 銀行口座、クレジット・カード、デビット・カード、その他の支払い手段の詳細などの金融情報
   3. 身体的、生理的、精神的な健康状態
   4. 性的指向
   5. 医療記録および病歴
   6. 生体情報
   7. サービス提供を目的として提供された、上記条項に関するあらゆる詳細情報
   8. 上記の処理に関する条項に基づいて受領された情報、または、合法的な契約またはその他に基づいて保存もしくは処理された情報。

2024年6月20日より前に完了した契約については、こちらのPDFをご覧ください。2024年6月20日以前のLyveデータ・プライバシー契約

2022年12月22日より前に完了した契約については、こちらのPDFをご覧ください。2022年12月22日以前のLyveデータ・プライバシー契約

2022年1月20日より前に完了した契約については、こちらのPDFをご覧ください。2022年1月20日以前のLyveデータ・プライバシー契約

2021年10月14日より前に完了した契約については、こちらのPDFをご覧ください。2021年10月14日以前のLyveデータ・プライバシー契約