データ・プライバシー方針

別紙

本データ・プライバシー契約は、以下に定めるすべての別紙を含め（本「DPA」）、本契約に記載されているSeagate社（以下「Seagate」）と本契約に記載されている会社（以下「会社」）（各「当事者」および総称して「当事者」）の間で締結されるものです。

会社は、Seagateとの間で、作業指示書を含む1つまたは複数の発注書、契約および/または合意（以下、「契約」）を締結しており、これに従って、会社は、契約に詳しく記述されている特定のサービス（以下、「サービス」）をSeagateに提供することに同意しています。

両当事者は、Seagateのために、および/またはSeagateに代わって、会社に提供された、または会社が収集した個人データの会社による処理が、データ保護法およびデータ主体の個人データの収集、使用、保持に関するその要件に準拠した方法で行われることを保証するために、本DPAを締結します。

本DPAは、本契約に組み込まれ、本契約の一部を構成します。本DPAにおいて定義されていないすべての大文字の語は、本契約において規定される意味を有します。

両当事者は以下の内容を認め、同意するものとします。

1. 定義
   1. 「関連会社」とは、当該当事者を管理する、当該当事者によって管理される、あるいは当該当事者と共通の管理下にあるあらゆる事業体を指します。
   2. 「支配」とは、当該事業体の発行済株式総数（完全希薄化ベースで測定）の50%以上を占める所有権、議決権または類似の権益を意味します。「被支配」という用語はそれに従って解釈されます。
      
   3. 「データ・プライバシー違反」とは、Seagate個人情報の偶発的または非合法的な破壊、紛失、変更、不正開示、アクセス、取得、あるいはその他の不正なSeagate個人情報の処理を意味します。
      
   4. 「データ保護法」とは、その個人データに適用される、世界中のすべてのデータ保護、データ・セキュリティ、およびプライバシーに関する法律、規則、および規制を指します。該当する場合、これには以下が含まれます。(i) 欧州データ保護法、(ii) 米国州プライバシー法を含む米国のすべての法律、規則および規制（随時改正、優先、または更新される）、および (iii) 個人データの性質に適した適用される業界基準。
   5. 「欧州データ保護法」とは、以下のような欧州連合（「EU」）または欧州経済領域（「EEA」）に適用されるすべてのデータ保護法および規制を意味します。
      
      1. 一般データ保護規則2016/679（「EU GDPR」）
      2. 英国の欧州連合（離脱）法2018年第3項および英国データ保護法2018年により英国法に保存されたGDPR（「英国GDPR」）。
      3. 1992年6月19日のスイス連邦データ保護法およびそれに対応する条例（「スイスDPA」）。
         
      4. 電子通信分野における個人データの処理とプライバシーの保護に関する指令2002/58/EC、および
         
      5. (i)、(ii) および (iii) の各国における適用される実施。
         
   6. 「データ主体」とは、本DPAに基づいて、個人データが処理されて特定された、あるいは特定可能な自然人を指します。
      
   7. 「EU SCC」とは、欧州議会および理事会の規則 (EU) 2016/679に基づく、個人データの第三国への移転に関する標準契約条項に関する2021年6月4日の欧州委員会の実施決定2021/914に付属する契約条項を意味します。
   8. 「個人データ」とは、データ保護法に基づき、個人データ、個人情報、個人を特定できる情報、またはこれらに同様に定義された用語として保護される情報を意味します。
   9. 「処理」または「プロセス」とは、個人データの収集、記録、整理、構造化、変更、利用、アクセス、開示、発信、コピー、移転、保存またはその他の方法の保持、削除、調整、結合、制限、適合、取得、参照、破壊、または処分など、自動的な手段か非自動的な手段かに関わらず、Seagate個人情報に対して行われる操作を意味しますが、これらに限定されません。
   10. 「制限付き移転」とは以下を意味します。
       1. EU GDPRが適用される場合、欧州委員会による妥当性判断の対象とならない、EEAからEEA以外の国への個人データの移転。
          
       2. 英国GDPRが適用される場合、英国データ保護法2018年第17A項に基づく十分性認定の対象外または十分性認定に基づかない、英国からその他の国への個人データの移転。
       3. スイスのDPAが適用される場合、スイスのデータ保護法に基づいて承認された十分性認定に基づかない、スイスから他国への個人データの移転。
   11. 「Seagate個人情報」とは、データ保護法に基づき、個人データ、個人を特定できる情報、または個人情報として保護される情報で、Seagateによって、またはSeagateのために作成、所有、または提供され、会社が当事者および/またはその関連会社間の契約に関連して、Seagateに代わってアクセス、取得、使用、維持、または処理するものを指します。
       
   12. 「機密情報」とは、以下のうちいずれかの種類のSeagate個人情報を指します。(i) 社会保障番号、納税者ID番号、旅券番号、運転免許証番号またはその他の政府発行の身分証明書番号、(ii) クレジット・カードまたはデビット・カードの詳細または金融口座番号（口座やクレジット記録へのアクセスを制限するコードやパスワードがあるものとないものを含む）、または (iii) 人種、宗教、民族性、性生活または性的指向に関する情報、医療または健康情報、遺伝子または生体情報、生体テンプレート、政治的または哲学的信念、政党または労働組合への加入状況、身元調査情報または犯罪歴やその他の裁判や行政手続きに関する情報などの司法情報。本DPAの目的上、機密情報には、適用されるデータ保護法に基づき定義される機密個人情報、機密データ、または同様に定義された用語、EU GDPRおよび英国GDPRで定義される特別カテゴリのデータ、およびスイスのDPAで定義される機密個人データが含まれます。
       
   13. 「標準条項」とは、本DPAの第3.1(i)(3) 項に記載されたEU SCC、英国補遺、およびスイスの修正条項（該当する場合）を意味します。
       
   14. 「下請け処理業者」とは、Seagateまたは他の下請け処理業者から委託され、Seagate個人情報へのアクセス、受領、もしくはその他の処理を行う第三者を指します。
       
   15. 「規制機関」とは、データ保護法の遵守を管轄または監督する規制、監督、政府機関、州機関、司法長官またはその他の管轄当局を意味します。
       
   16. 「会社の社員」とは、Seagate個人情報を処理することを会社が許可する、会社の従業員、請負業者、下請け業者、または代理人を意味します。
   17. 「英国補遺」とは、英国データ保護法2018のS.119(A) に基づき情報コミッショナーズ・オフィスが発行した国際データ移転補遺（バージョンB1.0）を意味し、随時更新または修正されます。
   18. 「米国州プライバシー法」とは、会社の個人データに適用される、データ・プライバシー、データ保護、およびサイバーセキュリティに関するすべての法律、規則、および規制を指します。
   19. 「管理業者」、「データ主体」、「処理業者」、「事業」、「事業目的」、「商用目的」、「収集」、「消費者」、「共有」、「販売」、「規制機関」、「サービス・プロバイダ」は、データ保護法に基づき与えられた意味を有するものとします。
   20. 「含む/含まれる」という表現は、「制限なく含む/含まれる」という意味として解釈され、類似表現も同様に解釈されるものとします。
2. データ・セキュリティと保護
   1. 両当事者の立場。Seagate個人情報に関して、両当事者は、会社がSeagateに代わり、処理業者として当該個人データを処理することをここに認め、同意するものとします。会社は、本契約および本DPAに定めるとおり、サービスを提供するために必要な範囲で個人データを処理するようここに指示されます。
   2. CCPAの役割。2018年カリフォルニア州消費者プライバシー法（カリフォルニア州プライバシー権法（「CPRA」）により改正されたカリフォルニア州民法第1798.100条ほか（「CCPA」））の目的のため（該当する場合）、会社は、事業者としてのSeagateの指示に従って行動するサービス・プロバイダとして個人データを処理するものとします。
      
   3. Seagate個人情報の開示。会社は、目的や手段を問わず、Seagateから書面による事前の承認を得ずに、第三者にSeagate個人情報を開示しないものとします。ただし、以下第2.5項に従った下請け処理業者への開示は例外とします。前述の内容を制限することなく、いかなる場合でも会社は自社または第三者の商業的利益のためにSeagate個人情報を第三者に販売したり、その他の形で開示したりしないものとします。Seagate個人情報を処理する権限を与えられた人物は、契約上、そのような情報の機密を保持することに同意するか、適切な法的守秘義務を課されていなければなりません。
   4. 処理の制限。会社は、本契約に基づきSeagateにサービスを提供する目的、およびSeagateの文書化された合法的な指示（「許可された目的」）に従ってのみ、Seagate個人情報を処理するものとします。これらの目的のため、Seagate社は会社に対し、別紙I（移転の説明）に記載されている目的でSeagate個人情報を処理するよう指示します。会社は、当事者間および/またはその関連会社間の契約、またはSeagateの書面によるその他の指示に従い、Seagateにサービスを提供するために必要な場合を除き、Seagate個人情報を処理するまたは処理を許可しないものとします。
   5. 処理要件。会社は常に以下を行うものとします。(a) 許可された目的のためにのみ個人データを処理すること。(b) 自己または第三者の目的のために個人データを処理しないこと。会社は以下を行わないものとします。(i) 個人データを販売または共有すること、(ii) 許可された目的以外の目的で個人データを保持、使用または開示すること（本契約に基づくサービスの実施以外の商業目的での個人データの保持、使用または開示を含む）、(iii) Seagateと会社の間の直接的なビジネス関係以外で個人データを保持、使用または開示すること。会社は、CCPA/CPRAに基づく義務を果たすことができなくなった場合、Seagateに通知するものとします。会社は、本第2.5項に定める要件および制限を理解し、遵守すること、さらに、CCPA/CPRAのもとでサービス・プロバイダに適用される要件を遵守するものとします。さらに、両当事者は、両当事者間での個人データの交換は、販売を構成するものではなく、本契約または本DPAに関して両当事者間で交換される金銭的またはその他の価値ある対価の一部を構成するものでもないことを認識し、これに同意するものとします。いかなる場合においても、会社は、Seagateから受け取った個人データを、会社が他の人物から受け取った個人データ、または他の人物に代わって受け取った個人データ、またはSeagateと消費者とのやり取りから収集した個人データと組み合わせることはありません。Seagateおよび会社の両当事者は、CCPA/CPRAに定められた要件を読み、理解していることを表明します。
   6. 情報セキュリティ・プログラム。会社は、Seagate個人情報のセキュリティ、機密性または完全性に及ぶと予想される脅威や危険（不正なアクセス、収集、利用、複製、変更、破棄または開示、不正または違法、または偶発的な紛失、破壊、取得、または破損、あるいはその他の不正な処理など）からSeagate個人情報を保護するための適切な管理上、技術的、物理的予防対策を含む包括的な書面による情報セキュリティ・プログラムを実行、保持、監視、必要な場合は更新するものとします（「情報セキュリティ・プログラム」）。情報セキュリティ・プログラムには、添付の別紙IIにあるセキュリティ基準に記載されている要件および対策を含めるものとします。
   7. 下請け処理業者に関する制限。会社は、Seagateのサービス提供に必要な場合、第2.7項に定められている条件に従ってSeagate個人情報を下請け処理業者に開示することができます。会社は、Seagate個人情報を開示する下請け処理業者のリストを保持し、Seagateの要求に応じてそのリストをSeagateに提供するものとします。該当する場合、本契約の発効日の時点で、会社の下請け処理業者の最新のリストが、本契約、または会社がSeagateに提供し、両当事者が署名した、下請け処理業者のリストを記載したその他の文書に含まれているものとします。下請け処理業者をリストに追加する場合、会社は、Seagateに対して[email protected]宛てに30営業日前までに通知するものとします。Seagateが、通知を受領してから30営業日以内に、提案された下請け処理業者に関して異議を唱えなかった場合、その下請け処理業者は承認されたものとみなされるものとします。下請け処理業者がSeagate個人情報にアクセスすることをSeagateが拒否した場合、会社はその下請け処理業者にSeagate個人情報を開示してはならないものとします。処理されるSeagate個人情報に伴うリスクに関して、セキュリティ対策の保証が十分に提供されていないといずれかの当事者が判断した場合、Seagateは独自の裁量で、その下請け処理業者をリストから削除できるものとします。Seagateが下請け業者に関して異議を唱えた場合、あるいは削除した場合、会社には代わりの下請け処理業者を探すために必要となる合理的な時間を与えられます。会社が、その問題の下請け処理業者にSeagate個人情報を開示しなければサービスを提供できない場合、Seagateは、会社に費用を支払ったり賠償責任を負ったりすることなく、両当事者および/またはその関連会社の間の当該の契約を終了できるものとします。
   8. 下請け処理業者のコンプライアンスおよび違反。下請け処理業者を利用することで、本DPAまたは適用されるデータ保護法を遵守する会社の義務が軽減されることはありません。会社はSeagateに対して、下請け処理業者によるサービスの実施について責任を負い、また下請け処理業者が本DPAおよび適用されるデータ保護法に違反した場合は、自社が違反した場合と同様に責任を取るものとします。
      
   9. 会社の社員と下請け処理業者の義務。会社は、Seagate個人情報にアクセスする個人または下請け処理業者が、少なくとも本DPAと同程度の制限事項を設けた書面による契約を締結するものとします。会社は、これらの個人または下請け処理業者が、Seagateの情報処理を完了した後も、すべてのプライバシーおよびデータ保護に関する義務を果たすよう徹底するものとします。この義務は、永久にあるいは少なくとも会社がすべてのSeagate個人情報が削除、破壊、修復不能な状態になったことを保証するまで存続するものとします。
   10. 限定アクセス。会社は、Seagate個人情報にアクセスできるのは、両当事者および/または関連会社の間の契約あるいはSeagateの書面による指示に基づいて、会社が自社の義務を果たす上でアクセスする必要があり、(a) データ保護およびセキュリティ要件に関して訓練を受け、(b) Seagateのための情報処理の実行中または実行後に少なくともSeagateによって求められるものと同程度のデータ機密保持要件を遵守することに同意した会社の社員または下請け業者に限定するものとします。
       
   11. 要求または苦情の通知。法律で禁止されていない限り、会社は以下のようなSeagate個人情報の処理に関する要求または苦情を受領した後、2営業日以内にSeagate ([email protected]) に通知するものとします。
       1. データ主体からのデータ携行の要求、アクセス、変更、削除、または制限の要求、および類似の要求、または
       2. 処理に関してデータ主体の権利の侵害があったという苦情や申し立て。
   12. 会社の対応。会社はSeagateから明示的な承諾を受けた場合を除き、第2.11項に定められているいかなる要求や苦情にも回答しないものとします。会社は要求や苦情に関連するあらゆる措置に関してSeagateに協力するものとします。これには、削除要求が含まれますがこれに限定されません。会社は、法律で禁止されている場合を除き、要求や苦情へのSeagateの回答を支援するための適切な処理（技術的および組織的手段を含む）の実施を模索するものとします。
   13. 開示の要求。会社がSeagate個人情報の開示を強制する要求またはそのような趣旨の文書（口頭での質問、質問状、法的手続きにおける情報または文書の要求、召喚状、民事調査請求、または同様の請求または処理など、総称して「開示要求」）を受け取った場合、法律で禁止されている場合を除き、会社は速やかにSeagateに通知するものとします。開示要求に法的拘束力がない場合、会社は回答しないものとします。開示要求に法的拘束力がある場合は、適用法で禁止されている場合を除き、会社は、Seagateが開示を停止または制限しなければならない可能性がある権利を行使できるように、回答の48時間前までにSeagateに通知するものとします。会社は開示を停止または制限し、Seagate個人情報の機密性を保持するための合理的な努力を払うものとします。会社は、開示要求に対する措置に関してSeagateに協力するものとします。これには、適切な秘密保持命令やSeagate個人情報の機密性を守ることができるその他の保証を得るための協力が含まれます。
       
   14. 協力。会社は、(a) 登録および通知、(b) 説明責任、(c) Seagate個人情報のセキュリティの確保、および (d) プライバシーとデータ保護の影響評価（データ保護法に基づく監査およびリスク評価を含む）および関連するデータ保護機関との協議の実施に関してデータ保護法の下でSeagateがその責任を果たすことを支援するものとします。
       
   15. 規制機関の調査への参加。会社は、規制機関によるあらゆる調査において、会社または会社の下請け処理業者が処理を行ったSeagate個人情報に調査が関連する範囲で、Seagateを支援およびサポートするものとします。
   16. 違反の可能性または準拠不能の通知。以下の場合、会社は速やかにSeagateに通知するものとします。
       1. Seagate個人情報の処理に関するSeagateからの指示が適用法に違反していると考える根拠が会社にある場合
       2. 本DPAまたはデータ保護法に定められた何らかの責任を果たすことが不能であり、合理的な期間内にこの不能性が解消されないと考える根拠が会社にある場合
       3. 本DPAに定められた責任を果たすことを妨げる可能性がある何らかの状況または適用法の変更を会社が認識した場合
   17. コンプライアンスのための一時中止または調整。Seagateは、適用法、本DPA、あるいはプライバシーまたはデータ保護に関連して両当事者および/またはその関連会社の間の当該契約の潜在的な違反または不履行を防ぐために、会社または下請け処理業者によるSeagate個人情報の処理を停止することができるものとします。会社は何らかの潜在的な違反または不履行の是正措置として、Seagateによる処理の調整に協力するものとします。調整が不可能な場合、Seagateは会社に費用を支払ったり賠償責任を負ったりすることなく、両当事者および/またはその関連会社の間の当該の契約を終了できるものとします。
3. データ移転
   1. 欧州経済領域、英国、スイスの標準条項。
      1. 両当事者は、Seagateから会社へのSeagate個人情報の移転が制限付き移転である場合、適切な標準条項が適用されるものとします。この標準条項は、参照することにより自動的に組み込まれ、以下に定める本DPAの不可欠な部分を形成します。
         1. EU GDPRによって保護されるSeagate個人情報に関しては、EU SCCが以下のように適用されます。
            1. Seagateがデータ輸出者となり、会社がデータ輸入者となります。
               
            2. モジュール2 (C2P) が適用されます。
               
            3. 第7条では、オプションのドッキング条項が適用されます。
               
            4. モジュール2 (C2P) の第9条では、オプション2が適用され、下請け処理業者の変更に関する事前通知の期間は、本DPAの第7項に定めるとおりとします。
               
            5. 第11条では、オプションの文言は適用されません。
            6. 第17条では、
               1. モジュール2 (C2P) については、オプション1が適用されます。
                  
               2. EU SCCはアイルランド法に準拠します。
                  
            7. 第18条 (b) では、紛争はアイルランドの裁判所で解決されるものとします。
               
            8. EU SCCの別紙Iは、本DPAの別紙Iに記載された情報で補うことで完全なものとみなされます。
            9. EU SCCの別紙IIは、本DPAの別紙IIに記載された情報で補うことで完全なものとみなされます。
         2. 英国GDPRによって保護されるデータに関しては、EU SCCは、(i) 上記 (1) 項に従って記載されたとおりに適用されるものとし、(ii) 英国補遺の定めるところに従って修正されたものとみなされます。本補遺は当事者によって締結され、本DPAに組み込まれ、本DPAの不可欠な一部を形成するものとします。EU SCCの条項と英国補遺の条項の間に矛盾がある場合は、英国補遺の第10項および第11項に従って解決されるものとします。さらに、英国補遺第1部の表1から表3は、本DPAの別紙IおよびIIに記載された情報をそれぞれ記入するものとし、第1部の表4は、いずれの当事者も選択しないことで完了したとみなされるものとします。
         3. スイスのDPAによって保護されるSeagate個人情報に関しては、以下の条件で、上記第 (1) 項に従って実施されるEU SCCが適用されます。
            1. EU SCCにおける「規則 (EU) 2016/679」または「GDPR」への言及は、データ保護に関するスイス連邦法 (FADP) への言及として解釈されるものとします。
               
            2. EU、連合、および加盟国法は、場合により、スイスおよびスイス法への言及として解釈されるものとします。
               
            3. 「加盟国」という用語は、スイスに居住するデータ主体が、その常居所地（スイス）においてその権利を求めて訴える可能性を排除するように解釈してはならないものとします。
               
            4. EU SCC条項は、改正FADPが発効するまでは、法人のデータを保護すると解釈すべきものとします。
               
            5. 管轄監督機関および管轄裁判所への言及は、スイス連邦データ保護情報コミッショナー (FDPIC) およびスイスの管轄裁判所への言及として解釈されるものとします。
               
         4. 本DPAまたは本契約のいずれかの条項が、直接的または間接的に標準条項と矛盾する場合、標準条項が優先するものとします。
         5. 会社は、該当する場合、あらゆる下請け処理業者に対しても標準条項の履行を徹底させるものとします。
      2. 代替移転メカニズム：個人データの移転について、会社が本DPAに記載されていない代替データ輸出メカニズム（適用されるEUデータ保護法に従って採用された標準条項の新しいバージョンまたは後継バージョンを含む）を採用する場合（以下「代替移転メカニズム」）、代替移転メカニズムは、本DPAに記載されている適用可能な移転メカニズムの代わりに適用されるものとし（ただし、かかる代替移転メカニズムが (i) 欧州データ保護法に準拠し、(ii) 個人データが移転される地域にまで及び、(iii) 以下の通知に関する考慮事項を満たす場合に限る）、(iv) 会社は、かかる代替移転メカニズムに法的効力を与えるために合理的に必要とされるその他の文書を作成し、その他の対策を講じるものとします。さらに、管轄権を有する裁判所または拘束力を有する監督当局が、（理由の如何を問わず）本DPAに記載されている対策が会社の当該個人データを合法的に移転するために信頼できないと命令または判断した場合に限り、Seagateは以下に説明する通知に関する考慮事項に従って、会社は当該Seagate個人情報の合法的な移転を可能にするために合理的に必要とされる追加的な対策または予防策を実施できることを認識し、同意するものとします。通知に関する考慮事項では、代替移転メカニズムまたは追加的な対策を実施する少なくとも30営業日前までに、Seagate ([email protected]) に通知する必要があります。Seagateが通知を受け取ってから30営業日以内に、提案された代替移転メカニズムまたは追加的な対策に異議を唱えない場合、代替移転メカニズムまたは対策は承認されたものとみなされます。Seagateがかかる代替移転メカニズムまたは追加的な対策に異議を唱える場合、会社はかかる代替移転メカニズムまたは追加的な対策を利用しないものとします。Seagateがかかる代替移転メカニズムまたは追加的な対策に異議を唱える場合、Seagateは独自の裁量で、会社に対して費用または責任を負うことなく、当事者および/またはその関連会社間の該当する契約を終了することができます。
      3. データ輸出要件のある国からの移転。適用されるデータ保護法により、会社（その下請け処理業者を含む）へのSeagate個人情報の移転を許可するために、適用されるデータ輸出制限に関連してさらなる対策を講じる必要がある場合、会社は、必要な同意の取得、適用されるデータ移転契約（標準契約条項など）の締結、またはかかる移転に適切な予防策が講じられるようにするための代替ソリューションの実行を含め、かかるデータ保護要件に準拠するものとします。
   2. その他の合意管轄条項。該当する場合、会社は、別紙IIIのとおり、特定の管轄区域に関する要件に従うものとします。
      
4. コンプライアンスおよび説明責任
   1. コンプライアンス。会社は、会社または下請け処理業者によるSeagate個人情報の処理がすべての適用法、自主規制フレームワーク、会社および下請け処理業者に適用される契約要件に準拠するようにするものとします。会社は、本DPAおよびすべての適用法の遵守を徹底するために、会社と下請け処理業者の慣行を毎年確認するものとします。会社は自らの費用負担により、本DPAに記載されたデータ保護およびセキュリティ条件に会社が準拠していることを示すことを求めるSeagateからの要求に協力するものとします。
   2. 処理業務の記録。会社は、会社の代表者およびデータ保護責任者の詳細、実施した処理業務の種類、国外へのデータ移転に関する情報、処理データに関して実施したセキュリティ対策の全般的な説明、Seagate個人情報の処理を行う各下請け処理業者の名前、連絡先、処理の詳細、また該当する場合は、下請け処理業者の代表者やデータ保護責任者に関して、最新の記録を保持するものとします。要求があった場合、会社はSeagateまたは監督機関の要請に応じて、この記録の過去および現在のコピーを提供します。
      
   3. 監査。会社は、書面による要求があった場合、本DPAおよびデータ保護法の遵守を示すために必要なすべての情報をSeagateに提供し、またSeagate個人情報の処理に関連するSeagateまたはSeagateが委任した独立第三者監査機関による監査（現場視察を含む）を許可し、協力するものとします。かかる独立第三者監査機関には、両当事者との間に機密保持契約を交わすことが求められます。会社は、合理的な期間内に不履行を是正するものとします。是正が不可能な場合、Seagateは会社に費用を支払ったり賠償責任を負ったりすることなく、両当事者および/またはその関連会社の間の当該の契約を終了できるものとします。
      
5. データ・プライバシー違反発生後の会社の責任
   1. データ・プライバシー違反の通知。会社は、データ・プライバシー違反の可能性を最初に知ってから24時間以内に、把握した、または疑われるデータ・プライバシー違反について書面でSeagateに通知し、速やかに以下の対応を行うものとします。
      1. [email protected]からSeagateにデータ・プライバシー違反を通知する
      2. 調査を行うか、データ・プライバシー違反の調査に必要な支援を提供する
         
      3. 種類、場所、対象となるデータ主体の大よその数、Seagate個人情報の種類、場所、大よその数（これらに限定されません）を含むデータ・プライバシー違反に関する詳しい情報をSeagateに提供し、データ・プライバシー違反に関する情報が追加され次第速やかにSeagateに継続して提供する
      4. 商取引上合理的な措置を講じて、データ・プライバシー違反の影響を軽減するか、Seagateがそうすることを支援する
      5. Seagateによる承認を条件として改善計画を実行し、Seagate個人情報に関連するデータ・プライバシー違反と脆弱性の解消を監視して、適時に適切な是正措置が行われていることを確認する
   2. 封じ込めと是正。会社は、データ・プライバシー違反を速やかに封じ込めて是正し、さらなるデータ・プライバシー違反を防ぐものとします。会社はまた、適用されるデータ保護法およびデータ・プライバシー違反の封じ込めと是正に関する業界基準を遵守するために必要となるあらゆる措置を取るものとします。
   3. コミュニケーション。会社は、Seagateから事前の承認なく、Seagateの身元を特定されるような方法、または身元を特定されるもしくは明らかにされる可能性があると合理的に推定される方法で、データ・プライバシー違反に関連するコミュニケーションを取ってはならないものとします。
   4. 証拠の保存。会社は、インシデント対応計画を維持するものとします。データ・プライバシー違反を発見した場合、会社は会社のインシデント対応計画に従ってデータ・プライバシー違反に関連する証拠を保存し、明確な指揮命令系統を維持するものとします。
   5. 協力。会社は、Seagate個人情報の利用、開示、保護、および保持に関連するSeagateの権利を保護するためにSeagateが必要とする訴訟、調査、またはその他の措置においてSeagateに協力するものとします。会社はまた、影響を受けるデータ主体、規制機関または第三者に送ることが適切だとSeagateが判断した通知、および/または影響を受けるデータ主体に提供することが適切だとSeagateがみなしたクレジット・レポート・サービスの提供など、データ・プライバシー違反の改善、是正、または調査および/または潜在的な損害の緩和の促進において、Seagateおよび/またはSeagate指定の代理人が要求した合理的な支援および協力を行うことに同意するものとします。会社は、会社のデータ・プライバシー違反に関連するSeagateの合理的な費用に関して責任を負うものとします。これには、調査、是正、通知が含まれますが、これらに限定されません。
6. Seagate個人情報の返却と安全な削除
   1. データ保全性。会社はデータの保全性を維持するために、適用法に従い、以下を含むすべてのSeagateの指示に従うものとします。(a) 会社が保持しているが、サービスの提供にもはや必要なくなったSeagate個人情報の処分（ただし、データ保護法によりSeagate個人情報の保持が義務付けられている場合を除く）、(b) Seagateの代理として会社が作成したSeagate個人情報を正確で最新の状態に維持する努力、(c) Seagateから要求があった場合のSeagate個人情報へのアクセスの許可。
      
   2. Seagate個人情報の返却および削除。(a) Seagateから要求があった場合、または (b) Seagate個人情報の処理に関連する両当事者および/またはその関連会社の間の契約がSeagateの指示で失効、または早期終了された場合、いずれか早い方の時点で、会社は、Seagate個人情報をエクスポートしたり、エクスポートするよう下請け処理業者に指示したり、あるいはSeagateまたは第三者の被指名人が、Seagateの判断に応じて、コンピュータで読取り可能で相互運用可能な形式ですべてのSeagate個人情報をエクスポートできるようにしたりするものとします。ただし、適用されるデータ保護法によってSeagate個人情報の保持が義務付けられている場合を除きます。会社は、Seagateの費用負担を発生させることなく、Seagateが合理的な必要に応じてSeagate個人情報への完全アクセスおよびエクスポートが可能な状態にSeagate個人情報を保持するものとします。各当事者はSeagate個人情報を移動する担当者を認定し、適時の移転を促すために迅速かつ真摯に誠意を持って取り組むものとします。Seagateが (a) Seagate個人情報が正常に受領され、移動されたことを確認してから、あるいは (b) Seagate個人情報を移動させないことを選択したことを会社に通知してから90日以内に、会社と下請け処理業者は、すべてのSeagate個人情報を安全に破壊し、Seagateのワークスペース識別子のリンクを削除し、新しいデータで上書きするか、あるいはその他の認められたサニタイズ方法でSeagate個人情報を破壊するものとします。
   3. Seagate個人情報の破壊。会社がSeagate個人情報を含む紙媒体、電子媒体、またはその他の記録を破棄する場合、会社は、データ保護法によりSeagate個人情報の保存が義務付けられている場合を除き、Seagate個人情報を破棄するために、（Seagate個人情報の機密性に基づいて）あらゆる合理的な手段を講じることにより、これを行います。(a) シュレッダーにかける、(b) 永久的に消去や削除を行う、(c) 消磁する、または (d) その他の方法で変更する。会社がSeagate個人情報のコピーが入ったハードディスク・ドライブの使用を終了したり、その他の形で廃棄したりする場合、会社は、NIST 800-88改定第1版に従って、安全にドライブをシュレッダーにかけるかドライブを破壊するかして、Seagate個人情報を読み取れないように破壊するものとします。会社は、ドライブがシュレッダーにかけられたことまたは破壊されたこと、およびSeagate個人情報の読取り、取得、または再現が不可能であることを書面により証明するものとします。
   4. 保持の通知。会社が本DPAで許可された期間を超えてSeagate個人情報を保持する法的義務を負う場合、会社はSeagateに書面によりその義務を通知し、法的義務を満たすためにSeagate個人情報の保持以外にかかる情報をさらに処理しないものとし、法律で求められる保持期間の終了後にできる限り速やかにSeagate個人情報を返却または破壊するものとします。本DPAは、会社がすべてのSeagate個人情報の管理または制御またはアクセスを停止するまで引き続き有効となります。
   5. 資料。会社は本DPAに従ってSeagate個人情報の保持または処分を文書に記録するものとします。Seagateから要求された場合、会社は保持に関する書類、およびSeagate個人情報が本DPAに従って安全に破壊されたことを示す書面による証明を提供するものとします。
7. その他
   1. 期間。本DPAは、(i) 両当事者間に他に有効な契約がなくなる、(ii) 会社がSeagate個人情報の管理または制御またはアクセスを停止するまで、引き続き有効となります。会社は、本契約に規定されているとおり、関係が終了するまで会社の個人情報を処理します。本DPAに基づく会社の義務およびSeagateの権利は、会社がSeagate個人情報を処理する限り、有効に存続します。
      
   2. 優先順位。本DPAと当事者および/またはその関連会社間の契約との間に不一致がある場合、本DPAの規定が優先されます。ただし、別紙II（セキュリティ基準）が関係する不一致については、他の契約のセキュリティ基準が別紙IIに定める最低要件に追加される限りにおいて、他の契約が優先されるものとします。本DPAによって標準項目が制限されることはなく、標準条項を補うものとしてのみ、みなされるものとします。
   3. アップデート。会社は、適用される法令を遵守するため、必要に応じて本DPAを更新するよう合理的に協力します。
      
   4. 第三受益者。Seagateの関連会社は本DPAの第三受益者であるとみなされ、それぞれが署名者と同様に本DPAに記載の条件に拘束される場合があります。またSeagateは、その関連会社が会社に対して別途訴訟原因を提示する代わりに、その関連会社の代理として本DPAの条項を執行する場合があります。
   5. 監督機関へのDPAの開示。Seagateは、本DPAの概要またはコピーを監督機関に提供できるものとします。
      
   6. 分離。本DPAのいずれかの条項が無効である場合でも、他の条項に影響は及ばないものとします。両当事者は、その無効な条項を、その無効な条項の目的を組み込んだ合法的な条項に置き換えるものとします。必要な条項が不足している場合、両当事者は善意に基づいて適切な条項を追加するものとします。
   7. 解釈。本DPAの見出しは、あくまでも参考のためのもので、本契約書の解釈に影響を与えるものではありません。
      

別紙I

データ処理の説明

本別紙Iは標準条項の一部を構成します。

モジュール2：コントローラから処理業者への移転（Seagate個人情報に関連）(C2P)

A. 当事者のリスト

 

データ輸出者
名前および住所	Seagate Technology LLC（関連会社および子会社を代表して署名）47488 Kato Road, Fremont, CA, 94538
担当者名および連絡先	Seagate Technology LLC（関連会社および子会社を代表して署名）47488 Kato Road, Fremont, CA, 94538 [email protected]
本標準条項に基づき移転されるデータに関連する活動	関連会社および子会社を代表して署名するSeagate Technology LLCは、さまざまな業界セグメントのビジネス・プロセスをサポートするハードウェア製品およびソフトウェア・ソリューション、およびサービスのプロバイダです。
署名と日付：	本DPAを包含する本契約を締結することにより、データ輸出者は、本契約の発効日において、別紙を含め、本契約に組み込まれたこれらの標準条項に署名したものとみなされます。
データ輸出者の役割（コントローラ/処理業者）：	本DPAの第2.1項（両当事者の立場）に定めます。

 

データ輸入者
名前および住所	会社名および住所（本契約に明記されているもの）
担当者名、役職、連絡先：	会社名および住所（本契約に明記されているもの）
本標準条項に基づき移転されるデータに関連する活動：	会社は、本契約に記載されているとおり、データ輸出者にサービスおよびサポートを提供するサービス・プロバイダです。
署名と日付：	本契約を締結することにより、データ輸入者は、本契約の発効日において、別紙を含め、本契約に組み込まれたこれらの標準契約条項に署名したものとみなされます。
データ輸入者の役割	本DPAの第2.1項（両当事者の立場）に定めます。

 

B. 移転の説明

 

データ 主体の分類	移転される個人データは、以下のデータ主体に関係する可能性があります。 - 過去と現在： o Seagateの従業員、アドバイザー、コンサルタント、サプライヤ、請負業者、下請け業者、および代理人。 o Seagateのビジネス・パートナーおよび潜在的ビジネス・パートナー、ならびにそれらの従業員、パートナー、アドバイザー、コンサルタント、サプライヤ、請負業者、下請け業者、および代理人。 o 潜在的なマーケティング・リードと過去および現在の消費者。 o Seagateの過去および現在の顧客、ならびにその従業員、パートナー、アドバイザー、コンサルタント、サプライヤ、請負業者、下請け業者、および代理人。
移転される個人データのカテゴリ	SeagateまたはSeagateの代理人から会社に提供された、または会社が収集した、上記で定めるデータ主体のカテゴリに関連する個人データ。これは、本契約に基づき、Servicesの文書化された合法的な指示に従い、会社がServicesにサービスを提供するために必要なものであり、姓名、電子メール・アドレス、勤務先住所、電話番号などの連絡先情報、およびSeagateから提供されたその他の個人データを含む場合があります。
機密データの移転（該当する場合）およびデータの性質と関連するリスクを十分に考慮した制限または予防策の適用**。	本契約に規定のとおり
移転の頻度	継続的。ただし、本契約または当事者間の文書に別段の定めがある場合を除きます。
処理/処理活動の性質	本契約に記載されているとおりです。
データ移転および処理の目的	関連する契約に基づいてサービスを提供すること。
個人データの保持期間、またはそれが不可能な場合は、その期間を決定するために使用した基準	次の場合、個人データは保持されます。 (a) 本DPA第6.2項（Seagate個人情報の返却および削除）に従った場合。 (b) 法律で義務付けられている場合。 (C) 本契約、または当該サービスに適用される関連情報が記載された当事者間の他の文書に定められた期間において、 いずれか長い方。
下請け処理業者に移転する場合は、処理の対象、性質、期間も明記すること	会社は、本契約または当事者間で合意された追加文書にすでに別途定められていない場合、下請け処理業者へのデータ移転に関する処理の対象、性質、および期間を、[email protected]宛てに提供するものとします。

 

C. 管轄監督機関

 

管轄監督機関は、EU SCCの第13条に従って、(i) EEA設立国でデータ輸出者に適用される監督機関、または (ii) データ輸出者がEEAで設立されていない場合は、GDPR第27条 (1) に従ってデータ輸出者のEU代表者が任命されているEEA国に適用される監督機関、または (iii) データ輸出者が代表者を任命する義務を負わない場合は、移転に関連するデータ主体が所在するEEA国に適用される監督機関のいずれかです。英国GDPRが適用される個人データの処理に関して、管轄監督機関は情報コミッショナーズ・オフィス（以下「ICO」）となります。スイスのDPAが適用される個人データの処理に関して、管轄監督機関はスイス連邦データ保護および情報コミッショナーとなります。

 

別紙II

セキュリティ基準

本別紙IIは標準条項の一部を構成します。

本別紙IIは、会社が講じる最低限のセキュリティ対策を示すものです。両当事者の間のいずれかの契約において、会社により高い、あるいはより広範囲なセキュリティ対策を取ることが求められている場合、会社はそれらの条件に従うものとします。会社は、例えば、NISTサイバー・セキュリティ・フレームワークやISO 27001または27002など、会社の従業員がアクセスを提供されている業界基準に従い、Seagate個人情報やその他のデータを保護するために策定されたさまざまな方針、基準、プロセスを維持し、実行しなければならないものとします。

1. 情報セキュリティに関する方針および基準。会社は、Seagate個人情報にアクセスする社員およびすべての下請け処理業者、会社、または代理業者向けに、以下を目的として策定されたセキュリティ要件を実行しなければならないものとします。
   1. Seagate個人情報を処理するシステムへの不正アクセスを防止する（物理的アクセス制御）
   2. Seagate個人情報を処理するシステムが許可なしに使用されることを防ぐ（論理的アクセス制御）
   3. Seagate個人情報を処理するシステムを使用することを認められている人だけが、承認されたアクセス権に従って、自身がアクセスを許可されているSeagate個人情報にアクセスできるようにし、また処理中や使用中および保存後に、許可なしにSeagate個人情報を読み取ったり、コピーしたり、変更したり、削除したりできないようにする（データ・アクセス制御）
   4. 電子送信、輸送または保存中にSeagate個人情報を許可なく読み取ったり、コピーしたり、変更したり、削除したりできないようにし、データ移転組織という手段でSeagate個人情報の移転のためのターゲット組織を設定し、検証するようにする（データ移転制御）
   5. Seagate個人情報の処理におけるSeagate個人情報の入力、変更、移転または削除が書面化されているかどうか、誰によって行われたかを記録するためのオーディット・トレールを徹底して行う（入力制御）
      
   6. Seagate個人情報が指示に従ってのみ処理されるように徹底する（指示の制御）
   7. Seagate個人情報を偶発的な破壊または紛失から確実に保護する（可用性の制御）
   8. さまざまな目的のために収集されたSeagate個人情報が区別して処理されるようにする（区別の制御）

   Seagate個人情報の機密性、可用性または完全性を弱める、あるいは損なうような形で情報セキュリティ慣行を変更しないことを条件として、会社は、最低年1回、またはSeagate個人情報のセキュリティ、機密性または完全性に影響を及ぼすような業務慣行の大幅な変更があった場合は必ず、自社の情報セキュリティ慣行を評価し、見直し、必要に応じて変更するものとします。

2. 物理的セキュリティ。会社は、Seagate個人情報を使用したり保存したりする情報システムがあるすべての会社のサイトで、商取引上の合理的なセキュリティ・システムを保持しなければならないものとします。会社は、かかるSeagate個人情報へのアクセスを合理的かつ適切に制限するものとします。
3. 組織的セキュリティ。
   1. 媒体を破棄または再利用する場合、使用を中止する前に、その媒体に保存されているSeagate個人情報が後から回収できない状態にするための手順を実行しなければならないものとします。保守の結果としてファイルが保存されている場所から媒体を移動させる場合、そこに保存されているSeagate個人情報が回収できない状態にするための手順を実行しなければならないものとします。
   2. 会社は、機密情報資産を分類し、セキュリティに関する責任を明確にし、従業員の意識を高めるためのセキュリティに関する方針や手順を実行しなければならないものとします。
   3. すべてのSeagate個人情報のセキュリティ・インシデントは、適切なインシデント対応手順に従って管理しなければならないものとします。
   4. 会社は、輸送および保存する機密情報はすべて、業界基準の暗号化ツールを使って暗号化しなければならないものとします。
4. ネットワーク・セキュリティ。会社は、ファイアウォール、侵入検出および防止システム、アクセス制御リスト、ルーティング・プロトコルなど、市販の装置や業界基準の技術を使って、ネットワークのセキュリティを維持しなければならないものとします。
5. アクセス制御。会社は、Seagate個人情報にアクセスできる人をアクセスする必要のある社員に限定することで最小限に抑えるなどして（これだけに限定されない）、適切なアクセス制御を維持しなければならないものとします。
   1. 権限を与えられたスタッフだけが、Seagate個人情報を使用または保存している情報システムへのアクセスの付与、変更または取り消しを行うことができるものとします。会社は適切なアクセス記録を保持し、Seagateが要求した場合はSeagateに提出しなければならないものとします。
   2. ユーザー管理手順を設定して、ユーザーの役割や権限、アクセスの付与、変更、取り消しの方法を定義して、適切な役割分担に対応し、ロギング/モニタリングの要件や構造を定義しなければならないものとします。
   3. 会社のすべての従業員に固有のユーザーIDを割り当てなければならないものとします。
   4. 「最小権限」のアプローチに従って、アクセス権を実行しなければならないものとします。
   5. 会社は、商取引上合理的な物理的および電子的セキュリティを実行して、パスワードを作成および保護しなければならないものとします。
6. ウイルスおよびマルウェア制御。会社は、予想される脅威や危険、不正アクセスや不正使用からSeagate個人情報を保護するために、最新版のウイルス対策やマルウェア保護ソフトウェアをシステム上にインストールして保持し、マルウェアの定期的なモニタリングやシステム・スキャンを設定しなければならないものとします。
7. 社員。会社は、自社の社員にSeagate個人情報へのアクセスを提供する前に、会社の情報セキュリティ・プログラムに従うことを義務付ける必要があります。会社は、セキュリティに関する各自の義務を自覚させるために、社員を教育するためのセキュリティ意識向上プログラムを実施しなければならないものとします。このプログラムには、データ分類の義務、物理的セキュリティ制御、セキュリティ慣行、セキュリティ・インシデント報告に関するトレーニングを含めるものとします。会社は、自社の従業員の役割と責任を明確に定義するものとします。雇用の諸条件を適切に適用して、雇用前に予備審査を実施するものとします。会社の社員は、定められているセキュリティに関する方針や手順に厳密に従わなければならないものとします。従業員がデータ・プライバシー違反を犯した場合、懲戒処分を実施しなければならないものとします。
8. 事業の継続性。会社は、適切なバックアップ、ディザスタ・リカバリ、ビジネス再開計画を実行するものとします。会社は、ビジネス継続性計画とリスク評価の両方を定期的に見直すものとします。ビジネス継続性計画が最新の状態で有効なものであることを確認するために、定期的にテストおよび更新するものとします。
9. プライマリ・セキュリティ・マネージャ。会社は、指名したプライマリ・セキュリティ・マネージャをSeagateに通知しなければならないものとします。セキュリティ・マネージャは、会社の情報セキュリティ・プログラムおよび本DPAに定められている会社の義務実行の管理および調整に関して責任を負います。
   
10. 監査。Seagateは、本DPAの第4.4項「監査」に従い、別紙IIに定める会社のコミットメントを監査する権利を留保します。
    
11. 違反。会社が本DPAに違反していると判断された場合、会社は、過度の遅延なく、30日以内にかかる違反を修正しなければならないものとします。既知のデータ・プライバシー違反または違反の疑いはすべて、本DPAの第5項「データ・プライバシー違反発生後の会社の責任」の対象となります。

別紙III

特別管轄のデータ・プライバシー要件

指定された管轄に以下の要件が適用されます。

1. オーストラリア
   1. 適用性。(a) 会社がオーストラリアにあるSeagate関連会社からSeagate個人情報を受け取る場合、あるいはアクセスする場合、あるいは (b) SeagateがSeagate個人情報がこれらの条件の対象となることを会社に通知した場合、本第1項の条件が適用されます。
   2. 職能団体または事業者団体への加入。「機密情報」という言葉には、職能団体または事業者団体への個人の加入に関する個人情報も含まれます。
      
   3. オーストラリアのプライバシー原則。会社は、Seagate個人情報を取り扱う際、あるいは本DPAに従ってサービスを提供する際、オーストラリアのプライバシー原則を含めて、1988年プライバシー法 (Cth) で定められている該当する義務に従わなければならないものとします。
   4. 執行目的での利用または開示に関する注意事項。会社が執行機関による、あるいは執行機関の代理として実施する執行業務のために個人情報を利用または開示する場合、会社は利用および開示の書面による記録を保管し、法律で禁止されている場合を除いて記録のコピーをSeagateに速やかに提供するものとします。
      
   5. オーストラリア政府関連の識別情報。個人情報にオーストラリア政府関連の識別情報が含まれる場合、会社は (a) Seagateから明示的に指示された場合を除いて、個人の識別情報としてオーストラリア政府関連の識別情報を認めず、(b) 個人の身元を確認するために合理的な必要性が認められる場合またはSeagateから指示された場合を除いて、オーストラリア政府関連の識別情報を利用または開示しないものとします。
      
   6. 個人情報の収集。Seagateから会社への指示によって、Seagateに代わって個人情報を収集することが会社に求められる場合、会社は、(a) (i) データ主体の個人情報の収集に関連してデータ主体に提供しなければならない情報、(ii) ダイレクト・マーケティング目的のために必要となるオプトイン同意に関して、Seagateに指示を仰がなければならず、(b) データ主体の同意なしに機密情報を収集してはならないものとします。
   7. オーストラリア政府との会社契約。Seagateが、連邦、州または地域レベルでオーストラリア政府に契約サービス・プロバイダとしてサービスを提供する場合、関連する政府機関との契約によって追加のデータ保護に関する義務に従わなければならない範囲で、Seagateは、適用されるオーストラリアの法律に従って、会社にも同程度の義務を課すものとします。Seagateと会社は、これらの義務を組み込むために、必要に応じて追加契約を取り交わすものとします。
2. 中国
   1. 適用性。(a) 会社が中国にあるSeagate関連会社からSeagate個人情報を受け取る場合、あるいはアクセスする場合、あるいは (b) SeagateがSeagate個人情報がこれらの条件の対象となることを会社に通知した場合、本第2項の条件が適用されます。
      
   2. PIPLの役割。中国個人情報保護法 (PIPL) に基づき、Seagateは個人情報処理業者の役割を果たし、処理の目的および方法を決定します。会社は、本DPAの要件およびSeagateの指示に従い、Seagateに代わって個人情報を処理する委託当事者となります。
      
   3. 下請け処理業者。本DPAの第2.4項の定めに関わらず、会社はSeagateの明示的な同意を得ずに、Seagate個人情報の処理を下請け処理業者に委託しないものとします。かかる同意の条件は、本DPAの第2.5項に従います。
      
   4. 処理期間の制限。会社は、当事者間で期間の変更に関する合意があった場合を除き、Seagate個人情報の処理を処理目的の達成に必要な期間に限るものとします。
   5. 制限付き移転。Seagate個人情報が中国国内で保管または保有されている場合、会社はSeagateの明示的な同意を得ずに、Seagate個人情報を中国国外に移転しないものとします。Seagateは、会社が当該Seagate個人情報の保護に関するデータ保護法を遵守するためのあらゆる措置を講じていることを条件として、会社が必要に応じて当該Seagate個人情報を移転することに同意するものとします。
3. インド
   1. 適用性。本第3項の規定が適用されるのは、処理がインドで行われるか否かにかかわらず、インドのSeagate関連会社から提供されたSeagate個人情報を会社が処理する際に、2000年情報技術法（以下「IT法」）および2011年情報技術（合理的なセキュリティ慣行および手順、ならびに機密個人データまたは情報）規則（以下「プライバシー規則」）が適用される場合です。
      
   2. DPA第1.12条は、プライバシー規則第3項に規定された個人データのカテゴリを含むように修正されるものとします。
4. 日本
   1. 適用性。本第3項の条件は、会社が日本にあるSeagate関連会社から受け取る、あるいはアクセスするSeagate個人情報に適用されます。
   2. 社員。会社は、自社の社員のDPAの遵守状況を監督する責任を負うものとします。
   3. 雇用管理に関する措置。会社は厚生労働省 (「MHLW」) の雇用管理に関するガイドラインに従って雇用管理に関するSeagate個人情報を保護するものとします。
      
   4. 雇用によって知り得た個人情報。会社は従業員が雇用によって知り得たSeagate個人情報を漏洩したり、悪用したりすることがないように徹底するものとします。
   5. 移転または開示前の同意。会社は、下請け処理業者を含め、本DPAの当事者でない第三者機関（すべての関連会社を含む）に社会保障番号および納税者番号を開示または移転する前に、Seagateから事前に書面による同意を得るものとします。
   6. 目的達成後の返却または破壊。会社は個人情報収集の目的が達成された時点で個人情報の処理を停止し、Seagate個人情報を返却または破壊するものとします。
   7. バックアップ目的。会社はバックアップ以外の目的でSeagate個人情報のコピーまたは複製を行わないものとします。
5. 韓国
   1. 適用性。本第4項の条件は、会社が韓国にあるSeagate関連会社から受け取る、あるいはアクセスするSeagate個人情報に適用されます。
   2. 限定アクセス。会社は個人情報へのアクセスを処理目的でアクセスの必要性が合理的に認められる社員に限定するものとします。
   3. 必要な安全対策。会社は以下のような安全対策を確立し、維持するものとします。
      1. 個人情報の安全な取り扱いを定めた社内手順
      2. ファイアウォール、ウイルス対策およびマルウェア対策ソフトウェアなどの技術的な安全対策
         
      3. ロックなどの物理的アクセスの制限
      4. 処理のアクセス・ログまたは記録の変更または改ざんの防止策
      5. 個人情報保護法 (PIPA)、PIPAの施行規則、情報・通信ネットワーク利用推進および情報保護法 (PICNU)、PICNUの施行規則（「PICNU規則」）、信用情報利用・保護法 (UPCIA) またはその他の韓国の法律によって義務付けられている個人情報の暗号化など、安全に個人情報の保存および転送を行うための対策。
   4. 固有識別データの暗号化。会社は以下の場合に住民登録番号、運転免許証番号、およびパスポート番号を暗号化するものとします。
      1. 情報または通信ネットワークを介して転送する場合
      2. ポータブル・ストレージ・メディアまたは周辺機器に保存する場合
      3. 外部コンピュータ・ネットワーク、非武装地帯、または個人のコンピュータまたはモバイル機器に保存する場合
      4. 会社のシステムがSeagateが指定するリスク基準に適合しない場合に、会社の社内ネットワークに保存する場合。
   5. パスワードおよび生体認証データの暗号化。会社は形態を問わず保存されているすべてのパスワードと生体認証データを暗号化するものとします。
   6. 開示前の情報。Seagate個人情報を第三者のデータ処理業者に開示または移転する前に、会社は事前にSeagateに合理的に通知するものとします。Seagateの要求に応じて、会社は以下の情報を提供するものとします。(a) 下請け業者に委託した処理業務、(b) 第三者のデータ処理業者の身元情報、および (c) (a) または (b) に対する変更。
   7. トレーニング。会社は、Seagate個人情報の処理中に発生する可能性のある盗難、漏洩、改ざん、または破損からSeagate個人情報を保護するために、Seagateが会社に提供するトレーニングに参加するものとします。
6. シンガポール
   1. 適用性。本第6項の規定は、2012年シンガポール個人データ保護法（2012年第26号）が会社によるSeagate個人情報の処理に適用される場合に適用されます。
      
   2. DPAの第1.3条は以下によって置き換えられるものとします。

      1.3「データ・プライバシー違反」とは、Seagate個人情報の偶発的または非合法的な破壊、紛失、変更、不正開示、アクセス、取得、あるいはその他の不正なSeagate個人情報の処理を意味し、以下が含まれます。(a) Seagate個人情報への不正アクセス、収集、使用、開示、コピー、変更、もしくは破棄が行われた場合、または、(b) Seagate個人情報への不正アクセス、収集、使用、開示、コピー、変更、もしくは破棄が行われる可能性がある状況において、Seagate個人情報が保存されているストレージ・メディアまたはデバイスが紛失した場合が含まれます。

   3. DPAの第5.1条は以下によって置き換えられるものとします：

      5.1 データ・プライバシー違反の通知。会社がデータ・プライバシー違反が発生したと信じるに足る根拠を得た場合、会社はデータ・プライバシー違反を過度の遅滞なく書面でSeagateに通知し、以下を行うものとします。

      1. 調査を行うか、データ・プライバシー違反の調査にあたって合理的な支援を提供する
      2. データ・プライバシー違反に関する情報をSeagateに提供し、関連する追加情報が入手可能になり次第、速やかに提供する
         
      3. データ・プライバシー違反を阻止し、データ・プライバシー違反の影響を軽減するために商業的に合理的な対策を講じるか、または会社の費用負担の下、Seagateがこれを行うのを支援する
7. 台湾
   1. 適用性。本第5項の条件は、会社が台湾にあるSeagate関連会社から受け取る、あるいはアクセスするSeagate個人情報に適用されます。
   2. 下請け処理業者。本DPAの第2.4項の定めに関わらず、会社は、Seagateの明示的な書面による同意を得ずに、下請け処理業者にSeagate個人情報を開示したり移転したり、あるいはSeagate個人情報へのアクセスを許可したりしてはならないものとします。
   3. 処理期間の制限。会社は、当事者間で期間の変更に関する合意があった場合を除き、Seagate個人情報の処理を処理目的の達成に必要な期間に限るものとします。
   4. アクセス記録の保存。会社は不正アクセスの発生を定期的に確認するために、必要な期間にわたりアクセス記録を保存するものとします。
8. タイ
   
   1. 適用性。本第6項の規定が適用されるのは、タイの個人情報保護法 (B.E. 2562 (2019))(「PDPA」)（随時改正、優先される）が、会社がタイにあるSeagate関連会社から受け取る、あるいはアクセスするSeagate個人情報に適用される場合です。
      
   2. DPAの第1.3条は以下によって置き換えられるものとします。

      1.3「データ・プライバシー違反」とは、意図的、故意、過失、偶発的、不正または違法な行為、あるいはコンピュータ犯罪、サイバー脅威、過失または事故、PDPAに基づき発行された通知で規定されるその他の行為に起因する、個人データの紛失、アクセス、使用、修正、または開示を違法にもしくは許可なしに引き起こすセキュリティ対策の違反を意味します。
      

   3. DPA第1.12条は、PDPA第26項に規定された個人データのカテゴリを含むように修正されるものとします。
   4. セキュリティ基準。会社は、セキュリティ基準を実施し、維持するために、別紙IIの要件に準拠し、PDPAに定める規定および要件、ならびにPDPAに基づき発行されるその他の規則、規制、通知および/または命令に準拠して、最善の努力を尽くし、合理的な措置を講じるものとします。これは、個人情報保護委員会による「データ管理者のセキュリティ対策に関する通知」(B.E. 2565 (2022)) を含みますが、これらに限定されません（随時改正、補足、置換される場合があります）。

本データ・プライバシー契約は、2025年7月31日より有効です。

2024年06月20日から2025年07月31日までに完了した契約については、こちらのPDFをご覧ください。データ・プライバシー契約2024年06月20日

2022年12月08日から2024年06月20日までに完了した契約については、こちらのPDFをご覧ください。データ・プライバシー契約2022年12月08日

2020年08月11日から2022年12月08日までに完了した契約については、こちらのPDFをご覧ください。データ・プライバシー契約2020年08月11日

2019年11月20日から2020年8月10日までに完了した契約については、こちらのPDFをご覧ください。データ保護要件2019年11月20日

2019年3月31日以前に完了した契約については、こちらのPDFをご覧ください。データ保護要件2019年3月31日