Seagateのストーリー ブログ リソース・センター パートナー
Seagate Legal

データ・プライバシー契約

別紙

このデータプライバシー契約(以下に記載するすべての付属書を含む)(以下「DPA」)は、契約書に記載されているSeagate社(以下「Seagate」)と、契約書に記載されているサプライヤー会社(以下「会社」)(それぞれを「当事者」、総称して「当事者」)との間で締結されます。

 

当社は、シーゲート社との間で、1件以上の発注書、契約および/または合意書(業務仕様書を含む)(以下「本契約」といいます)を締結しており、これに基づき、当社は、本契約に詳述されているとおり、シーゲート社に対して特定のサービス(以下「本サービス」といいます)を提供することに合意しています。

 

両当事者は、会社がシーゲイトのために、またはシーゲイトに代わって会社に提供された、または会社が収集した個人情報の処理が、データ保護法およびデータ主体の個人情報の収集、使用、保持に関する要件に準拠した方法で行われることを保証するために、このデータ処理契約を締結します。

 

本DPAは、本契約に組み込まれ、本契約の一部を構成します。本DPAにおいて定義されていないすべての大文字の語は、本契約において規定される意味を有します。

 

両当事者は、以下の事項を承認し、同意する。

 

  1. 定義
    1. 関連会社」とは、当該当事者を支配する、当該当事者に支配される、または当該当事者と共通の支配下にある事業体を指します。
    2. 支配」とは、当該事業体の発行済株式総数(完全希薄化ベースで測定)の50%以上を占める所有権、議決権または類似の権益を意味します。「被支配」という用語はそれに従って解釈されます。
    3. データプライバシー侵害」とは、シーゲイトの個人情報の偶発的または違法な破壊、損失、改ざん、不正な開示、アクセス、取得、またはシーゲイトの個人情報のその他の不正な処理を意味します。
    4. データ保護法」とは、該当する個人情報に適用される世界中のすべてのデータ保護、データセキュリティ、プライバシーに関する法律、規則、規制を意味し、該当する場合は以下を含む。(i) 欧州データ保護法、(ii) 米国の州プライバシー法を含む、随時改正、置換または更新される米国のすべての法律、規則および規制、(iii) データセキュリティプログラム、および (iv) 個人情報の性質に適した適用可能な業界標準。
    5. データセキュリティプログラム」または「DSP」とは、2024年2月28日付の大統領令第14117号を実施する、2025年1月8日に公布された米国司法省の規則「懸念国または対象者による米国の機微な個人データおよび政府関連データへのアクセス防止」 (28 CFR Part 202)を指します。これは、2024年2月28日付の大統領令第14117号(懸念国による米国人の機密性の高い個人データおよび米国政府関連データへのアクセス防止)を実施するものであり、2025年1月8日に公布され、その後改正および更新されたものです。
    6. 欧州データ保護法」とは、以下のような欧州連合(「EU」)または欧州経済領域(「EEA」)に適用されるすべてのデータ保護法および規制を意味します。
      1. 一般データ保護規則2016/679(「EU GDPR」)
      2. EU GDPRは、2018年英国欧州連合(離脱)法第3条および2018年英国データ保護法により英国法に組み込まれたもの(「英国GDPR」)である。
      3. 1992年6月19日のスイス連邦データ保護法および関連する政令(「スイスDPA」)
      4. 電子通信分野における個人データの処理とプライバシーの保護に関する指令2002/58/EC、および
      5. (A)および(D)の各国の実施状況。
    7. EU SCC」とは、欧州議会および理事会の規則 (EU) 2016/679に基づく、個人データの第三国への移転に関する標準契約条項に関する2021年6月4日の欧州委員会の実施決定2021/914に付属する契約条項を意味します。
    8. 個人情報」とは、特定された、または特定可能な自然人を識別する、あるいは当該自然人に関連するあらゆる情報を指します。これには、デバイスやオンライン識別子に関連する情報、および適用されるデータ保護法において「個人データ」、「個人を特定できる情報」または類似の用語として定義されるあらゆる情報が含まれます。
    9. 処理」または「処理」とは、自動化された手段によるか否かを問わず、シーゲイトの個人情報に対して実行される操作(個人情報の収集、記録、整理、構造化、変更、使用、アクセス、開示、配布、コピー、転送、保存、その他の保持、削除、整列、結合、制限、適応、取得、参照、破棄、処分など)を限定なく意味します。
    10. 制限付き移転」とは以下を意味します。
      1. EU GDPRが適用される場合、EEAから欧州委員会による十分性認定の対象とならないEEA域外の国への個人情報の移転。
      2. 英国GDPRが適用される場合、英国から、2018年英国データ保護法第17A条に基づく十分性規制の対象とならない、またはそれに基づく規制の対象とならない他の国への個人情報の移転。
      3. スイスデータ保護機関が適用される場合、スイスのデータ保護法で認められた十分性決定に基づかない、スイスから他の国への個人情報の移転。
    11. シーゲートの個人情報」とは、シーゲートによって、またはシーゲートのために作成、所有、もしくは提供された個人情報を指し、かつ、当事者間および/またはその関連会社間のいかなる契約に関連して、当社がシーゲートに代わってアクセスし、取得し、使用し、維持し、または処理する個人情報をいいます。
    12. 機微情報」とは、適用されるデータ保護法に基づき機微情報として分類されるシーゲートの個人情報を指し、以下を含みます:(i) 政府発行の識別番号(社会保障番号、パスポート番号、納税者番号、運転免許証番号など);(ii) 金融口座または決済カードの詳細(口座へのアクセスや信用履歴の閲覧を可能にするコードやパスワードの有無を問いません);(iii) 健康、遺伝、または生体認証に関する情報;(iv) 人種、民族、宗教、性的指向または性生活、政治的または哲学的信条、あるいは労働組合への加入状況を示す情報; (v) 身元調査記録または司法記録(犯罪歴、その他の司法手続きまたは行政手続きに関する情報を含む);および (vi) EU一般データ保護規則(GDPR)、英国一般データ保護規則(UK GDPR)、スイスデータ保護法(DPA)を含む、適用されるデータ保護法の下で「機微な個人情報」、「機微な個人データ」、「機微なデータ」、または「特別な種類のデータ」として指定されている情報。
    13. 標準条項」とは、(該当する場合)、本DPAの第4.1条(欧州経済領域、英国、およびスイスの標準条項)に規定されるEU標準契約条項、英国補遺、およびスイスの修正条項を意味します。
    14. 下請け処理業者」とは、Seagateまたは他の下請け処理業者から委託され、Seagate個人情報へのアクセス、受領、もしくはその他の処理を行う第三者を指します。
    15. 監督機関」とは、データ保護法の遵守に関して管轄権または監督権を有する規制機関、監督機関、政府機関、州機関、司法長官、またはその他の権限を有する機関を意味します。
    16. 当社の関係者」とは、シーゲートの個人情報を処理することを当社が許可した、当社の従業員、請負業者、サービスプロバイダー、ベンダー、下請け処理業者、または代理人を指します。
    17. 英国補足」とは、英国データ保護法2018の第119条(A)に基づき情報コミッショナー事務局が発行した国際データ転送補足(バージョンB1.0)を意味し、随時更新または修正される。
    18. 米国の州のプライバシー法」とは、シーゲートの個人情報が適用を受ける、データプライバシー、データ保護、およびサイバーセキュリティに関するすべての適用法令、規則、および規制を意味します。
    19. 管理者」、「データ主体」、「処理者」、「事業者」、「収集」、「消費者」、「共有」、「販売」、「売却」、「監督当局」、および「サービスプロバイダー」という用語は、データ保護法において定義された意味を有するものとします。
    20. 米国の機微な個人データの大量処理」、「懸念国」、「対象データ取引」、「対象者」、「データブローカー業務」、「雇用契約」、「外国人」、「政府関連データ」、「投資契約」、「セキュリティ要件」、「取引」、および「ベンダー契約」は、DSPにおいて定義された意味を有するものとします。
    21. 含む/含まれる」という表現は、「制限なく含む/含まれる」という意味として解釈され、類似表現も同様に解釈されるものとします。
  2. データ・セキュリティと保護
    1. 当事者の地位。シーゲートの個人情報に関して、当事者は、当社がシーゲートに代わって、当該個人情報を処理者(プロセッサー)として処理することをここに確認し、これに同意します。当社は、本契約および本DPAに規定されるサービスを提供するために必要な範囲において、個人情報を処理するよう指示されます。
    2. CCPARoles。2018年カリフォルニア州消費者プライバシー法(カリフォルニア州民法典第1798.100条以下(「CCPA」)は、該当する場合、カリフォルニア州プライバシー権法(「CPRA」)により改正される)の目的上、会社は、Seagateの指示に従って事業を行うサービスプロバイダーとして個人情報を処理するものとします。
    3. シーゲイト個人情報の非開示会社は、シーゲイトから事前の書面による許可を得ることなく、いかなる目的であれ、いかなる方法であれ、いかなる第三者にもシーゲイト個人情報を開示してはならない。ただし、以下の規定に従ってサブプロセッサーに開示する場合はこの限りではない。第2.5節(処理要件) 以下に示します。前述の規定を制限することなく、いかなる場合においても、当社は、当社または第三者の商業的利益のために、シーゲートの個人情報を第三者に販売または開示してはなりません。シーゲートの個人情報を処理する権限を有する者は、当該情報の機密性を保持することに契約上同意するか、または適切な法的機密保持義務を負っていなければなりません。
    4. 処理の制限。当社は、本契約に基づきシーゲートに本サービスを提供する目的において、かつシーゲートの文書化された適法な指示に従ってのみ、シーゲートの個人情報を処理するものとします(「許容される目的」)。これらの目的のため、シーゲートは、当社に対し、以下に記載される目的のためにシーゲートの個人情報を処理するよう指示します。第V部B(譲渡の概要)別紙I(データ処理の概要)会社は、当事者間および/またはその関連会社間の契約、またはシーゲイトのその他の書面による指示に従ってシーゲイトにサービスを提供するために必要な場合を除き、シーゲイトの個人情報を処理したり、処理を許可したりしてはならない。
    5. 処理要件. 会社は常に以下を遵守しなければならない。(a) シーゲートの個人情報を、許可された目的のためにのみ処理すること。および (b) 自社の目的または第三者の目的のために、シーゲートの個人情報を処理しないこと。当社は、以下の行為を行ってはなりません:(i) シーゲートの個人情報を販売または共有すること;(ii) 許容された目的以外のいかなる目的においても、シーゲートの個人情報を保持、使用、または開示すること(本契約に基づくサービスの履行以外の商業目的でシーゲートの個人情報を保持、使用、または開示することを含みます);または (iii) シーゲートと貴社との間の直接的な取引関係の外で、シーゲートの個人情報を保持、使用、または開示すること。 貴社は、CCPA/CPRAに基づく義務を履行できなくなった場合、シーゲートに通知するものとします。貴社は、本契約に定められた要件および制限事項を理解し、これを遵守することを保証します。第2節また、当社はCCPA/CPRAに基づきサービスプロバイダーに適用される要件を遵守いたします。さらに、当事者間の個人情報の交換は「販売」に該当せず、本契約または本DPAに関連して当事者間で交換される金銭的またはその他の有価の対価の一部を構成しないことを、貴社は認め、同意するものとします。 いかなる場合においても、当社は、シーゲートから受け取ったシーゲートの個人情報を、当社が他の個人または複数の人物から、あるいはその代理として受け取った個人情報、または当社と消費者との間のいかなるやり取りから収集した個人情報と結合することはありません。シーゲートおよび当社は、CCPA/CPRAに定められた要件を読み、理解していることを表明します。
    6. 情報セキュリティプログラム。会社は、Seagateの個人情報を、そのセキュリティ、機密性、または完全性に対する予期される脅威または危険(不正アクセス、収集、使用、コピー、変更、廃棄または開示、不正、違法または偶発的な損失、破壊、取得または損傷、またはその他の不正な処理形式など)から保護するための適切な管理上、技術上、および物理的な保護措置を含む包括的な文書化された情報セキュリティプログラムを実装、維持、監視し、必要に応じて更新します(「情報セキュリティプログラム」)。情報セキュリティプログラムには、添付のセキュリティ基準に記載されている要件および措置が含まれます。附属書II(セキュリティ基準)
    7. 下請け業者に対する制限。当社は、シーゲートに対するサービスの提供に必要な範囲において、本契約に定められた条件に従い、シーゲートの個人情報を下請け業者に開示することができます。第2.7節. 当社は、シーゲートの個人情報を開示するサブプロセッサーのリストを管理し、シーゲートからの要請があった場合には、当該リストをシーゲートに提供します。 本契約の発効日時点で、該当する場合、当社のサブプロセッサーの最新リストは、本契約、または当社がシーゲートに提供し、両当事者が署名したサブプロセッサーのリストを記載したその他の文書に含まれています。 当社は、サブプロセッサをリストに追加する少なくとも [email protected] 宛てにシーゲートに通知するものとします。 シーゲートが通知の受領から 30 営業日以内に提案されたサブプロセッサに異議を唱えなかった場合、当該サブプロセッサは承認されたものとみなされます。 シーゲートが、シーゲート個人情報へのアクセス権を持つ下請け処理業者に異議を唱えた場合、当社は当該下請け処理業者にシーゲート個人情報を開示してはなりません。いずれかの当事者が、下請け処理業者が、処理されるシーゲート個人情報に関連するリスクにふさわしい十分なセキュリティ保証を提供していないと判断した場合、シーゲートは、独自の裁量により、当該下請け処理業者をリストから削除することができます。 シーゲートがサブプロセッサーに異議を唱えた場合、またはサブプロセッサーを除外した場合、当社は、当該サブプロセッサーを代替する者を選定するために、合理的な期間を与えられます。当社が、当該サブプロセッサーにシーゲート個人情報を開示することなく本サービスを提供できない場合、シーゲートは、当社に対する費用負担や責任を負うことなく、当事者間および/またはその関連会社間の適用される契約を解除することができます。
    8. 下請け処理業者の遵守および違反。当社が下請け処理業者を利用しても、本DPAまたは適用されるデータ保護法に遵守する当社の義務が軽減されることはありません。当社は、下請け処理業者によるサービスの履行、データプライバシーの侵害、および本DPAならびに適用されるデータ保護法の違反について、あたかも当社自身が違反したかと同様の範囲で、シーゲートに対し責任を負うものとします。
    9. 会社の社員と下請け処理業者の義務。会社は、Seagate個人情報にアクセスする個人または下請け処理業者が、少なくとも本DPAと同程度の制限事項を設けた書面による契約を締結するものとします。会社は、これらの個人または下請け処理業者が、Seagateの情報処理を完了した後も、すべてのプライバシーおよびデータ保護に関する義務を果たすよう徹底するものとします。この義務は、永久にあるいは少なくとも会社がすべてのSeagate個人情報が削除、破壊、修復不能な状態になったことを保証するまで存続するものとします。
    10. アクセス制限。アクセス制限。会社は、シーゲイトの個人情報へのアクセスを、当事者間および/またはその関連会社間の契約またはシーゲイトの書面による指示に基づいて会社が義務を履行するためにアクセスを必要とする会社の従業員または下請け業者に限定するものとします。これらの従業員または下請け業者は、(a) データ保護およびセキュリティ要件に関するトレーニングを受けていること、および (b) シーゲイトのために処理中および処理後にシーゲイトが要求する要件と同等以上の厳格なデータ機密保持要件を遵守することに同意していること、を満たすものとします。
    11. 要請または苦情の通知。法律で禁止されている場合を除き、当社は、シーゲートの個人情報の処理に関連する要請または苦情を受領した後、2営業日以内に、[email protected]宛てにシーゲートへ通知するものとします。これには以下が含まれます:
      1. データ主体からのデータポータビリティ要求、アクセス、変更、削除、制限要求、および同様の要求。
      2. 処理に関してデータ主体の権利の侵害があったという苦情や申し立て。
    12. 企業の対応。企業は、以下の規定に基づくいかなる要請または苦情に対しても回答いたしません。第2.11条(要請または苦情の通知))ただし、シーゲートから明示的に許可された場合はこの限りではありません。当社は、削除要請を含む(ただしこれに限定されない)あらゆる要請や苦情に関連して行われる措置について、シーゲートと協力するものとします。当社は、法律で禁止されている場合を除き、シーゲートが要請や苦情に対応できるよう支援するための適切なプロセス(技術的および組織的な措置を含みます)の実施に努めるものとします。
    13. 開示の要求。会社がSeagate個人情報の開示を強制する要求またはそのような趣旨の文書(口頭での質問、質問状、法的手続きにおける情報または文書の要求、召喚状、民事調査請求、または同様の請求または処理など、総称して「開示要求」)を受け取った場合、法律で禁止されている場合を除き、会社は速やかにSeagateに通知するものとします。開示要求に法的拘束力がない場合、会社は回答しないものとします。開示要求に法的拘束力がある場合は、適用法で禁止されている場合を除き、会社は、Seagateが開示を停止または制限しなければならない可能性がある権利を行使できるように、回答の48時間前までにSeagateに通知するものとします。会社は開示を停止または制限し、Seagate個人情報の機密性を保持するための合理的な努力を払うものとします。当社は、情報開示請求に応じてシーゲイトが行うあらゆる措置に関してシーゲイトに協力するものとし、これにはシーゲイトの個人情報の機密性を保護するための適切な保護命令またはその他の保証を得るための協力も含まれる。
    14. 協力。会社は、シーゲイトがデータ保護法に基づく義務を履行するにあたり、以下の事項に関してシーゲイトを支援するものとする。(a)登録および通知、(b)説明責任、(c)シーゲイトの個人情報のセキュリティ確保、(d)プライバシーおよびデータ保護影響評価(データ保護法に基づく監査およびリスク評価を含む)の実施、ならびに監督当局との関連協議。
    15. 規制機関の調査への参加。会社は、規制機関によるあらゆる調査において、会社または会社の下請け処理業者が処理を行ったSeagate個人情報に調査が関連する範囲で、Seagateを支援およびサポートするものとします。
    16. 違反の可能性または準拠不能の通知。以下の場合、会社は速やかにSeagateに通知するものとします。
      1. Seagate個人情報の処理に関するSeagateからの指示が適用法に違反していると考える根拠が会社にある場合
      2. 本DPAまたはデータ保護法に定められた何らかの責任を果たすことが不能であり、合理的な期間内にこの不能性が解消されないと考える根拠が会社にある場合
      3. 本DPAに定められた責任を果たすことを妨げる可能性がある何らかの状況または適用法の変更を会社が認識した場合
    17. コンプライアンスのための停止または調整。シーゲートは、適用される法令、本DPA、またはプライバシーもしくはデータ保護に関連する当事者間および/またはその関連会社間の適用される契約への違反または不遵守の可能性があることを防止するため、当社または下請け処理業者によるシーゲートの個人情報の処理を停止することができます。 当社は、シーゲートと協力し、潜在的な違反または不遵守を是正するために、当該処理を調整するものとします。調整が不可能な場合、Seagateは、当事者および/またはその関連会社との間の該当する契約を、会社に対する費用または責任を負うことなく解除することができます。
  3. データセキュリティプログラム
    1. DSPへの準拠。当社は、シーゲートの個人情報の一部が、DSPの適用対象となる「米国の機微な個人データ(Bulk U.S. Sensitive Personal Data)」または「政府関連データ(Government-Related Data)」に該当する可能性があることを認識しています。当社は、シーゲートの個人情報の処理に関して適用される範囲において、当該データのアクセス、移転、および利用に関するすべての適用される制限を含め、本DSPを遵守することを表明し保証し、本DPAに従ってのみシーゲートの個人情報を処理するものとします。本DPAのいかなる規定も、DSPに基づき禁止されている処理または移転を当社が行うことを許可するものではありません。
    2. 禁止される取引。当社は、DSPに基づき禁止されている場合、米国の機微な個人データまたは政府関連データの大量データブローカー業務を行ってはなりません。これには、対象国または対象者が当該データにアクセスすることにつながる取引も含まれます。この制限は、匿名化、仮名化、暗号化、その他の技術的保護措置の有無にかかわらず適用されます。
    3. 制限付き取引。 当社による本サービスの履行において、対象者または懸念国による米国の大量機密個人データまたは政府関連データへのアクセスを招くおそれのあるベンダー契約、雇用契約、または投資契約が関与する場合、当社は以下の措置を講じなければなりません。(a) 事前にシーゲートに通知すること; (b) シーゲートから事前の書面による承認を取得すること;および (c) 本DPAに定めるセキュリティ基準、または当事者間で別途合意されたその他のセキュリティ要件に加え、DSPに基づくすべての適用されるセキュリティ要件を実施すること。
    4. ガバナンスおよび継続的義務。当社は、所有権、支配権、下請け契約、または地理的アクセス状況の変更など、DSPの遵守に影響を及ぼす可能性のある状況の変化を認識した場合は、速やかにシーゲートに通知しなければなりません。シーゲートは、DSPの遵守に関する懸念に対処するために必要と判断した場合、影響を受けるデータへのアクセスを一時停止または制限することがあります。本規定に違反した場合、セクション3 本DPAに対する重大な違反を構成するものであり、また、データセキュリティプログラムへの違反を構成する可能性があります。
  4. データ移転
    1. 欧州経済領域、英国、スイスの標準条項。
      1. 両当事者は、Seagateから当社へのSeagate個人情報の移転が制限付き移転である場合、当該移転は、以下に定めるように、参照により自動的に本データ処理契約に組み込まれ、本データ処理契約の不可欠な一部を構成する適切な標準条項に従うことに同意する。
        1. EU GDPRによって保護されるSeagate個人情報に関しては、EU SCCが以下のように適用されます。
          1. Seagateがデータ輸出者となり、会社がデータ輸入者となります。
          2. 「モジュール2(C2P)」が適用されます;
          3. 第7条では、オプションのドッキング条項が適用されます。
          4. 「モジュール2(C2P)」の第9条においては、「オプション2」が適用され、サブ処理業者の変更に関する事前通知の期間は、本DPAの第2.7条(サブ処理業者に関する制限)に定める通りとします。
          5. 第11条において、この任意規定は適用されません;
          6. 第17条では、
            1. 「モジュール2(C2P)」については、「オプション1」が適用され、
            2. EU SCCはアイルランド法に準拠します。
          7. 第18条 (b) では、紛争はアイルランドの裁判所で解決されるものとします。
          8. EU標準契約条項(SCC)の付属書Iは、以下に定める情報によって記入されたものとみなされます。附属書I (データ処理に関する説明)を本DPAに添付すること;および
          9. EU標準契約条項(SCC)の付属書IIは、以下に定める情報をもって記入済みとみなされます。別紙II (セキュリティ基準)本DPAに準拠します。
        2. 英国GDPRによって保護されるデータに関しては、EU標準契約条項(SCCs)は、以下のとおり適用されるものとします:(i) 以下の規定に従って作成されたものとして適用されるものとします第4.1B.a項上記;および(ii)は、英国補遺書に規定される通り修正されたものとみなされます。同補遺書は、当事者によって締結されたものとみなされ、本DPAに組み込まれ、その不可分の一部を構成するものとします。 EU標準契約条項(EU SCCs)の条項と英国付則の条項との間に矛盾がある場合は、英国付則の第10条および第11条に従って解決されるものとします。さらに、英国付則の第1部の表1から表3には、それぞれ以下の情報が記載されるものとします。附属書I(データ処理の説明)およびII(セキュリティ基準) 本DPAおよび第1部の表4の該当欄は、いずれの当事者も選択しないものとして、記入済みとみなされます。
        3. スイスデータ保護法によって保護されるシーゲートの個人情報に関しては、EU標準契約条項(SCC)に基づき実施される第4.1B.a項 上記は、以下の条件を満たす場合に適用されます:
          1. EU SCCにおける規則(EU) 2016/679または[EU GDPR]への言及は、スイス連邦データ保護法(「FADP」)への言及として解釈されるものとする。
          2. 「EU法」、「連合法」および「加盟国法」への言及は、場合に応じて、スイスおよびスイス法への言及と解釈されるものとします;
          3. 「加盟国」という用語は、スイスのデータ主体がその常居所地(スイス)において権利を主張して訴訟を起こす可能性を排除するような解釈をしてはならない。
          4. EU標準契約条項は、改正FADPの発効まで法人のデータを保護するものとして解釈されるべきである。
          5. 管轄監督機関および管轄裁判所への言及は、スイス連邦データ保護情報コミッショナーおよびスイスの管轄裁判所への言及として解釈されるものとする。
        4. 本DPAまたは本契約のいずれかの条項が、直接的または間接的に標準条項と矛盾する場合、標準条項が優先するものとします。
        5. 会社は、該当する場合、あらゆる下請け処理業者に対しても標準条項の履行を徹底させるものとします。
      2. 代替的な移転メカニズム: 当社が、個人情報の移転に関して、本DPAに記載されていない代替的なデータ移転メカニズム(適用される欧州データ保護法に基づき採用された標準条項の新しいバージョンまたは後継版を含みます)を採用する場合(「代替移転メカニズム」)を個人情報の移転に採用する場合、当該代替移転メカニズムが、本DPAに記載された適用される移転メカニズムに代わって適用されるものとします(ただし、当該代替移転メカニズムが以下の要件を満たす範囲に限ります:(i) 欧州データ保護法に準拠していること;(ii) 個人情報が移転される地域に適用されること; (iii) 以下の通知に関する要件を満たしていること;および (iv) 当社が、当該(代替移転メカニズム)に法的効力を与えるために合理的に必要とされるその他の文書に署名し、その他の措置を講じていること。 さらに、管轄権を有する裁判所または拘束力のある権限を有する監督当局が、(いかなる理由によるものであれ)本DPAに記載された措置では当該シーゲート個人情報を適法に移転することができないと命じ、または決定した場合、シーゲートは、以下に記載される通知に関する考慮事項に従うことを条件として、当社が当該シーゲート個人情報の適法な移転を可能にするために合理的に必要とされる追加の措置または保護措置を実施することができることを認め、これに同意します。 通知に関する考慮事項に基づき、当社は、代替移転メカニズムまたは追加措置を実施する少なくとも 30 営業日前に、[email protected] 宛てにシーゲートに通知する必要があります。 シーゲートが通知受領後30営業日以内に、提案された代替移転メカニズムまたは追加措置に異議を申し立てない場合、当該代替移転メカニズムまたは追加措置は承認されたものとみなされます。シーゲートが当該代替移転メカニズムまたは追加措置に異議を申し立てた場合、当社は当該代替移転メカニズムまたは追加措置を利用してはなりません。 代替移転メカニズムまたは追加措置に対しシーゲートが異議を申し立てた場合、シーゲートは、その単独の裁量により、当社に対する費用または責任を負うことなく、当事者間および/またはその関連会社間の適用される契約を解除することができます。
      3. データ輸出要件のある国からの移転。データ保護法により、Seagateの個人情報を当社(その下請け業者を含む)に移転するために、適用されるデータ輸出制限に関連してさらなる措置を講じる必要がある場合、当社は、必要な同意の取得、適用されるデータ移転契約(標準契約条項など)の締結、または当該移転に対する適切な保護措置が講じられていることを保証する代替ソリューションの実施など、当該データ保護要件を遵守します。
    2. その他の管轄区域に関する規定。 該当する場合、当社は、別紙として添付されている特定の管轄区域の要件を遵守するものとします。別紙III (特定の法域におけるデータプライバシー要件)。
  5. コンプライアンスおよび説明責任
    1. コンプライアンス。当社は、当社およびサブプロセッサーによるシーゲート個人情報の処理が、適用されるすべてのデータ保護法を含め、当社およびサブプロセッサーに適用されるすべての適用法令、自主規制枠組み、および契約上の要件に準拠していることを確保しなければなりません。当社は、本DPAおよび適用されるすべてのデータ保護法に準拠していることを確認するため、当社およびサブプロセッサーの実務について年次レビューを行わなければなりません。 当社は、自己の費用負担において、本DPAで言及されているデータ保護およびセキュリティ条項への遵守を証明するようシーゲートから求められた場合、これに応じなければなりません。
    2. 処理活動の記録。 当社は、当社の代表者およびデータ保護責任者の詳細、実施される処理活動の区分、国境を越えるデータ転送に関する情報、処理データに関して実施されているセキュリティ対策の概要、シーゲート個人情報の各サブプロセッサーの名称、連絡先および処理の詳細、ならびに該当する場合、サブプロセッサーの代表者およびデータ保護責任者に関する最新の記録を維持します。 当社は、要請があった場合、シーゲートまたは監督当局に対し、本記録の過去および現在の写しを提供いたします。
    3. 監査。会社は、書面による要請に基づき、本データ処理契約およびデータ保護法への準拠を証明するために必要なすべての情報をシーゲイトに提供するものとし、シーゲイトまたは独立した第三者監査機関、もしくはシーゲイトがシーゲイトの個人情報の処理に関して委任する監査(オンサイト検査を含む)を許可し、これに協力するものとする。かかる独立した第三者監査人は、当事者との間で秘密保持契約を締結することが義務付けられる。会社は、合理的な期間内に不履行を是正するものとします。是正措置が不可能な場合、シーゲイトは、当事者および/またはその関連会社との間の該当する契約を、会社に対する費用または責任を負うことなく解除することができる。
  6. データ・プライバシー違反発生後の会社の責任
    1. データ・プライバシー違反の通知。会社は、データ・プライバシー違反の可能性を最初に知ってから24時間以内に、把握した、または疑われるデータ・プライバシー違反について書面でSeagateに通知し、速やかに以下の対応を行うものとします。
      1. [email protected]からSeagateにデータ・プライバシー違反を通知する
      2. 調査を行うか、データ・プライバシー違反の調査に必要な支援を提供する
      3. 種類、場所、対象となるデータ主体の大よその数、Seagate個人情報の種類、場所、大よその数(これらに限定されません)を含むデータ・プライバシー違反に関する詳しい情報をSeagateに提供し、データ・プライバシー違反に関する情報が追加され次第速やかにSeagateに継続して提供する
      4. 商取引上合理的な措置を講じて、データ・プライバシー違反の影響を軽減するか、Seagateがそうすることを支援する
      5. Seagateによる承認を条件として改善計画を実行し、Seagate個人情報に関連するデータ・プライバシー違反と脆弱性の解消を監視して、適時に適切な是正措置が行われていることを確認する
    2. 封じ込めと是正。会社は、データ・プライバシー違反を速やかに封じ込めて是正し、さらなるデータ・プライバシー違反を防ぐものとします。会社はまた、適用されるデータ保護法およびデータ・プライバシー違反の封じ込めと是正に関する業界基準を遵守するために必要となるあらゆる措置を取るものとします。
    3. コミュニケーション。会社は、Seagateから事前の承認なく、Seagateの身元を特定されるような方法、または身元を特定されるもしくは明らかにされる可能性があると合理的に推定される方法で、データ・プライバシー違反に関連するコミュニケーションを取ってはならないものとします。
    4. 証拠の保存。会社は、インシデント対応計画を維持するものとします。データ・プライバシー違反を発見した場合、会社は会社のインシデント対応計画に従ってデータ・プライバシー違反に関連する証拠を保存し、明確な指揮命令系統を維持するものとします。
    5. 協力。会社は、Seagate個人情報の利用、開示、保護、および保持に関連するSeagateの権利を保護するためにSeagateが必要とする訴訟、調査、またはその他の措置においてSeagateに協力するものとします。会社はまた、影響を受けるデータ主体、規制機関または第三者に送ることが適切だとSeagateが判断した通知、および/または影響を受けるデータ主体に提供することが適切だとSeagateがみなしたクレジット・レポート・サービスの提供など、データ・プライバシー違反の改善、是正、または調査および/または潜在的な損害の緩和の促進において、Seagateおよび/またはSeagate指定の代理人が要求した合理的な支援および協力を行うことに同意するものとします。会社は、会社のデータ・プライバシー違反に関連するSeagateの合理的な費用に関して責任を負うものとします。これには、調査、是正、通知が含まれますが、これらに限定されません。
  7. Seagate個人情報の返却と安全な削除
    1. データ整合性.会社は、データ整合性を維持するために、以下の事項を含むすべてのSeagateの指示に従うものとします。(a) 会社が保持しているSeagateの個人情報のうち、サービスの提供にもはや必要でなくなったものは、データ保護法によってSeagateの個人情報の保持が義務付けられている場合を除き、破棄すること。(b) 会社がSeagateのために作成したSeagateの個人情報が正確で最新の状態に保たれていることを保証すること。(c) Seagateの要求に応じて、適用される法律に従って、SeagateがSeagateの個人情報にアクセスできるようにすること。
    2. シーゲート個人情報の返還および削除。 以下のいずれか早い時点において:(a)シーゲートからの要請、または(b)シーゲート個人情報の処理に関連する当事者および/またはその関連会社間の契約の満了もしくは早期終了のいずれか早い時点において、シーゲートの指示に従い、 当社は、データ保護法によりシーゲート個人情報の保持が義務付けられている場合を除き、シーゲート個人情報のエクスポートを行うとともに、その下請け処理業者に対し、シーゲート個人情報をエクスポートするよう指示し、またはシーゲートもしくはその第三者指定者に対し、シーゲートが定める機械可読かつ相互運用可能な形式で、すべてのシーゲート個人情報をエクスポートする手段を提供しなければなりません。 当社は、シーゲートがシーゲート個人情報に完全にアクセスし、かつシーゲートに費用負担をかけずに当該情報をエクスポートできるよう、シーゲートが合理的に必要と判断する期間、シーゲート個人情報を保持するものとします。各当事者は、シーゲート個人情報の移行を担当する連絡担当者を指名し、適時の移転を円滑に進めるため、迅速かつ誠実に、善意をもって取り組むものとします。 シーゲートが以下のいずれかを行った日から90日以内に:(a) シーゲート個人情報が正しく受領され、移行されたことを確認した場合; または (b) シーゲートがシーゲート個人情報を移行しないことを選択した旨を当社に通知した日から90日以内に、当社および下請け処理業者は、すべてのシーゲート個人情報を安全に破棄し、シーゲートのワークスペース識別子を解除し、新しいデータで上書きするか、または承認された消去方法によりシーゲート個人情報を破棄しなければなりません。
    3. シーゲイト個人情報の破棄 当社がシーゲイト個人情報を含む紙、電子、またはその他の記録を処分する場合、データ保護法によりシーゲイト個人情報の保持が義務付けられている場合を除き、当社は(シーゲイト個人情報の機密性に基づいて)シーゲイト個人情報を破棄するためにあらゆる合理的な措置を講じます。(a) シュレッダー処理;(b) 永久的な消去および削除;(c) 消磁;または (d) 当該記録に含まれるシーゲート個人情報を、読み取り不能、復元不能、かつ解読不能な状態にするためのその他の変更。 会社がシーゲートの個人情報のコピーを含むハードドライブを廃棄またはその他の方法で使用停止にする場合、会社は、米国国立標準技術研究所(NIST)の NIST 800-88 第 1 版(メディアの消去に関するガイドライン)に従い、シーゲートの個人情報が読み取れない状態となり、破棄されるよう、当該ドライブを安全にシュレッダー処理または破棄しなければなりません。 当社は、当該ドライブがシュレッダー処理または破棄され、シーゲートの個人情報が読み取られず、復元されず、またその他の方法で再構築できないことを書面で証明するものとします。
    4. 保持の通知。会社が本DPAで許可された期間を超えてSeagate個人情報を保持する法的義務を負う場合、会社はSeagateに書面によりその義務を通知し、法的義務を満たすためにSeagate個人情報の保持以外にかかる情報をさらに処理しないものとし、法律で求められる保持期間の終了後にできる限り速やかにSeagate個人情報を返却または破壊するものとします。本DPAは、会社がすべてのSeagate個人情報の管理または制御またはアクセスを停止するまで引き続き有効となります。
    5. 資料。会社は本DPAに従ってSeagate個人情報の保持または処分を文書に記録するものとします。Seagateから要求された場合、会社は保持に関する書類、およびSeagate個人情報が本DPAに従って安全に破壊されたことを示す書面による証明を提供するものとします。
  8. その他
    1. 有効期間。本DPAは、以下のいずれかが満たされるまで有効です:(a) 当事者間の有効な契約が他に存在しなくなった場合、および (b) 当社がシーゲートの個人情報の保管、管理、またはアクセスを一切行わなくなった場合。当社は、契約に規定される通り関係が終了するまで、シーゲートの個人情報を処理します。 本DPAに基づく会社の義務およびシーゲートの権利は、会社がシーゲート個人情報を処理している限り、引き続き有効となります。
    2. 優先順位。本DPAと、当事者および/またはその関連会社との間のいかなる契約との間に矛盾が生じた場合、以下の事項に関する矛盾を除き、本DPAの規定が優先するものとします。別紙II(セキュリティ基準)の場合、他の契約書に定められたセキュリティ基準が、本契約書に規定された最低要件に追加される範囲において、当該他の契約書が優先するものとします。別紙II。本DPAによって標準項目が制限されることはなく、標準条項を補うものとしてのみ、みなされるものとします。
    3. アップデート。会社は、適用される法令を遵守するため、必要に応じて本DPAを更新するよう合理的に協力します。
    4. 第三者受益者。シーゲートの関連会社は、本DPAの意図された第三者受益者であり、各社が本DPAの署名者であるかのように、本DPAの条項を執行することができます。また、シーゲートは、関連会社が当社に対して個別に訴訟を提起する代わりに、関連会社に代わって本DPAの規定を執行することができます。
    5. 監督機関へのDPAの開示。Seagateは、本DPAの概要またはコピーを監督機関に提供できるものとします。
    6. 分離。本DPAのいずれかの条項が無効である場合でも、他の条項に影響は及ばないものとします。両当事者は、その無効な条項を、その無効な条項の目的を組み込んだ合法的な条項に置き換えるものとします。必要な条項が不足している場合、両当事者は善意に基づいて適切な条項を追加するものとします。
    7. 解釈。本DPAの見出しは、あくまでも参考のためのもので、本契約書の解釈に影響を与えるものではありません。

別紙I

データ処理の説明

 

この附属書I標準条項の一部を構成します。

 

モジュール2:コントローラから処理業者への移転(Seagate個人情報に関連)(C2P)

 

    A. 当事者のリスト

     

    データ輸出者

    名前および住所

    Seagate Technology LLC(関連会社および子会社を代表して署名)47488 Kato Road, Fremont, CA, 94538

    担当者名および連絡先

    Seagate Technology LLC(関連会社および子会社を代表して署名)47488 Kato Road, Fremont, CA, 94538 [email protected]

    本標準条項に基づき移転されるデータに関連する活動

    関連会社および子会社を代表して署名するSeagate Technology LLCは、さまざまな業界セグメントのビジネス・プロセスをサポートするハードウェア製品およびソフトウェア・ソリューション、およびサービスのプロバイダです。

    署名と日付:

    本DPAを包含する本契約を締結することにより、データ輸出者は、本契約の発効日において、別紙を含め、本契約に組み込まれたこれらの標準条項に署名したものとみなされます。

     

    データ輸出者の役割(コントローラ/処理業者):

    以下に規定されていますセクション2.1(当事者の地位) 本DPAの。

     

     

    データ輸入者

    名前および住所

    会社名および住所(本契約に明記されているもの)

     

    担当者名、役職、連絡先:

    会社名および住所(本契約に明記されているもの)

     

    本標準条項に基づき移転されるデータに関連する活動:

     

    会社は、本契約に記載されているとおり、データ輸出者にサービスおよびサポートを提供するサービス・プロバイダです。

     

    署名と日付:

    本契約を締結することにより、データ輸入者は、本契約の発効日において、別紙を含め、本契約に組み込まれたこれらの標準契約条項に署名したものとみなされます。

     

    データ輸入者の役割

    Sに規定されている2.1節(当事者の地位) 本DPAの。

     

    B. 移転の説明

     

    データ主体の区分:

    転送される個人データは、過去および現在の以下のカテゴリーのデータ主体に関するものである可能性があります:

    • Seagateの従業員、アドバイザー、コンサルタント、サプライヤ、請負業者、下請け業者、および代理人。
    • Seagateのビジネス・パートナーおよび潜在的ビジネス・パートナー、ならびにそれらの従業員、パートナー、アドバイザー、コンサルタント、サプライヤ、請負業者、下請け業者、および代理人。
    • 潜在的なマーケティング・リードと過去および現在の消費者。
    • Seagateの過去および現在の顧客、ならびにその従業員、パートナー、アドバイザー、コンサルタント、サプライヤ、請負業者、下請け業者、および代理人。

     

    移転される個人データのカテゴリ

    SeagateまたはSeagateの代理人から会社に提供された、または会社が収集した、上記で定めるデータ主体のカテゴリに関連する個人データ。これは、本契約に基づき、Servicesの文書化された合法的な指示に従い、会社がServicesにサービスを提供するために必要なものであり、姓名、電子メール・アドレス、勤務先住所、電話番号などの連絡先情報、およびSeagateから提供されたその他の個人データを含む場合があります。

     

    機密データが転送された場合(該当する場合)、データの性質と関連するリスクを十分に考慮した制限または保護措置が適用されます。

     

    本契約に規定のとおり

    移転の頻度

    継続的。ただし、本契約または当事者間の文書に別段の定めがある場合を除きます。

    処理/処理活動の性質

    本契約に記載されているとおりです。

    データ移転および処理の目的

     

    関連する契約に基づいてサービスを提供すること。

     

    個人データの保持期間、またはそれが不可能な場合は、その期間を決定するために使用した基準:

    次の場合、個人データは保持されます。

    (a) ……に従って第7.2節  (Seagateの個人情報の返却と削除) 本DPAの;または

    (b) 法律で義務付けられている場合。

    (C) 本契約、または当該サービスに適用される関連情報が記載された当事者間の他の文書に定められた期間において、

    いずれか長い方。

     

    下請け処理業者に移転する場合は、処理の対象、性質、期間も明記すること

    会社は、本契約または当事者間で合意された追加文書にすでに別途定められていない場合、下請け処理業者へのデータ移転に関する処理の対象、性質、および期間を、[email protected]宛てに提供するものとします。

     

    C. 管轄監督機関

     

    EU標準契約条項の第13条に基づき、管轄監督当局は、以下のいずれかとなります:(i) データ輸出者が事業所を置くEEA加盟国において当該データ輸出者に適用される監督当局; (ii) データ輸出者がEEA内に事業所を有しない場合、EU一般データ保護規則(GDPR)第27条第1項に基づきデータ輸出者のEU代理人が任命されたEEA加盟国に適用される監督当局;または(iii) データ輸出者に代理人の任命義務がない場合、当該移転に関連するデータ主体が所在するEEA加盟国に適用される監督当局。 英国GDPRが適用される個人データの処理に関しては、管轄監督当局は情報コミッショナー事務所となります。スイスDPAが適用される個人データの処理に関しては、管轄監督当局はスイス連邦データ保護・情報コミッショナーとなります。

     

別紙II

セキュリティ基準

 

この別紙II標準条項の一部を構成します。

 

別紙IIは、最低限のセキュリティ対策 当社が講じる措置となります。当事者間のいかなる契約においても、当社に対し、より高い水準またはより広範なセキュリティ対策を求める場合、当社はそれらの条項を遵守いたします。 当社は、シーゲートの個人情報およびその他のデータを保護するために策定された各種の方針、基準、およびプロセスを維持し、実施しなければなりません。これには、米国国立標準技術研究所(NIST)の「NISTサイバーセキュリティフレームワーク2.0」やISO 27001、ISO 27002などの業界標準が含まれ、当社の従業員はこれらにアクセスすることができます。

 

  1. 情報セキュリティに関する方針および基準。会社は、Seagate個人情報にアクセスする社員およびすべての下請け処理業者、会社、または代理業者向けに、以下を目的として策定されたセキュリティ要件を実行しなければならないものとします。
    1. Seagate個人情報を処理するシステムへの不正アクセスを防止する(物理的アクセス制御)
    2. Seagate個人情報を処理するシステムが許可なしに使用されることを防ぐ(論理的アクセス制御)
    3. Seagate個人情報を処理するシステムを使用することを認められている人だけが、承認されたアクセス権に従って、自身がアクセスを許可されているSeagate個人情報にアクセスできるようにし、また処理中や使用中および保存後に、許可なしにSeagate個人情報を読み取ったり、コピーしたり、変更したり、削除したりできないようにする(データ・アクセス制御)
    4. 電子送信、輸送または保存中にSeagate個人情報を許可なく読み取ったり、コピーしたり、変更したり、削除したりできないようにし、データ移転組織という手段でSeagate個人情報の移転のためのターゲット組織を設定し、検証するようにする(データ移転制御)
    5. Seagate個人情報の処理におけるSeagate個人情報の入力、変更、移転または削除が書面化されているかどうか、誰によって行われたかを記録するためのオーディット・トレールを徹底して行う(入力制御)
    6. Seagate個人情報が指示に従ってのみ処理されるように徹底する(指示の制御)
    7. Seagate個人情報を偶発的な破壊または紛失から確実に保護する(可用性の制御)
    8. さまざまな目的のために収集されたSeagate個人情報が区別して処理されるようにする(区別の制御)

    Seagate個人情報の機密性、可用性または完全性を弱める、あるいは損なうような形で情報セキュリティ慣行を変更しないことを条件として、会社は、最低年1回、またはSeagate個人情報のセキュリティ、機密性または完全性に影響を及ぼすような業務慣行の大幅な変更があった場合は必ず、自社の情報セキュリティ慣行を評価し、見直し、必要に応じて変更するものとします。

  2. 物理的セキュリティ。会社は、Seagate個人情報を使用したり保存したりする情報システムがあるすべての会社のサイトで、商取引上の合理的なセキュリティ・システムを保持しなければならないものとします。会社は、かかるSeagate個人情報へのアクセスを合理的かつ適切に制限するものとします。
  3. 組織的セキュリティ。
    1. 媒体を破棄または再利用する場合、使用を中止する前に、その媒体に保存されているSeagate個人情報が後から回収できない状態にするための手順を実行しなければならないものとします。保守の結果としてファイルが保存されている場所から媒体を移動させる場合、そこに保存されているSeagate個人情報が回収できない状態にするための手順を実行しなければならないものとします。
    2. 会社は、機密情報資産を分類し、セキュリティに関する責任を明確にし、従業員の意識を高めるためのセキュリティに関する方針や手順を実行しなければならないものとします。
    3. すべてのSeagate個人情報のセキュリティ・インシデントは、適切なインシデント対応手順に従って管理しなければならないものとします。
    4. 会社は、輸送および保存する機密情報はすべて、業界基準の暗号化ツールを使って暗号化しなければならないものとします。
  4. ネットワーク・セキュリティ。会社は、ファイアウォール、侵入検出および防止システム、アクセス制御リスト、ルーティング・プロトコルなど、市販の装置や業界基準の技術を使って、ネットワークのセキュリティを維持しなければならないものとします。
  5. アクセス制御。会社は、Seagate個人情報にアクセスできる人をアクセスする必要のある社員に限定することで最小限に抑えるなどして(これだけに限定されない)、適切なアクセス制御を維持しなければならないものとします。
    1. 権限を与えられたスタッフだけが、Seagate個人情報を使用または保存している情報システムへのアクセスの付与、変更または取り消しを行うことができるものとします。会社は適切なアクセス記録を保持し、Seagateが要求した場合はSeagateに提出しなければならないものとします。
    2. ユーザー管理手順を設定して、ユーザーの役割や権限、アクセスの付与、変更、取り消しの方法を定義して、適切な役割分担に対応し、ロギング/モニタリングの要件や構造を定義しなければならないものとします。
    3. 会社のすべての従業員に固有のユーザーIDを割り当てなければならないものとします。
    4. 「最小権限」のアプローチに従って、アクセス権を実行しなければならないものとします。
    5. 会社は、商取引上合理的な物理的および電子的セキュリティを実行して、パスワードを作成および保護しなければならないものとします。
  6. ウイルスおよびマルウェア制御。会社は、予想される脅威や危険、不正アクセスや不正使用からSeagate個人情報を保護するために、最新版のウイルス対策やマルウェア保護ソフトウェアをシステム上にインストールして保持し、マルウェアの定期的なモニタリングやシステム・スキャンを設定しなければならないものとします。
  7. 社員。会社は、自社の社員にSeagate個人情報へのアクセスを提供する前に、会社の情報セキュリティ・プログラムに従うことを義務付ける必要があります。会社は、セキュリティに関する各自の義務を自覚させるために、社員を教育するためのセキュリティ意識向上プログラムを実施しなければならないものとします。このプログラムには、データ分類の義務、物理的セキュリティ制御、セキュリティ慣行、セキュリティ・インシデント報告に関するトレーニングを含めるものとします。会社は、自社の従業員の役割と責任を明確に定義するものとします。雇用の諸条件を適切に適用して、雇用前に予備審査を実施するものとします。会社の社員は、定められているセキュリティに関する方針や手順に厳密に従わなければならないものとします。従業員がデータ・プライバシー違反を犯した場合、懲戒処分を実施しなければならないものとします。
  8. 事業の継続性。会社は、適切なバックアップ、ディザスタ・リカバリ、ビジネス再開計画を実行するものとします。会社は、ビジネス継続性計画とリスク評価の両方を定期的に見直すものとします。ビジネス継続性計画が最新の状態で有効なものであることを確認するために、定期的にテストおよび更新するものとします。
  9. 主任セキュリティ管理者。当社は、指定した主任セキュリティ管理者をシーゲートに通知しなければなりません。当該セキュリティ管理者は、当社の情報セキュリティプログラムおよび本DPAに定められた当社の義務の履行を管理・調整する責任を負います。
  10. 監査。シーゲートは、本契約に記載された当社の義務について監査を行う権利を留保します。  別紙II、……に従い第5.3節  (監査) 本DPAの。
  11. 違反。当社が本DPAに違反していると判断された場合、当社は、不当な遅滞なく、いかなる場合でも30暦日以内に、当該違反を是正しなければなりません。既知または疑われるデータプライバシー違反については、以下の規定が適用されます。第6節  (データプライバシー侵害後の企業の責任) 本DPAの。

別紙III

特別管轄のデータ・プライバシー要件

 

指定された管轄に以下の要件が適用されます。

 

  1. オーストラリア
    1. 適用範囲。本条の規定は、第1節 以下の場合に適用されます:(a) 当社が、オーストラリアに所在するシーゲートの関連会社からシーゲートの個人情報を受け取る、またはこれにアクセスする場合;または (b) シーゲートが、シーゲートの個人情報が本要件の対象となる旨を当社に通知する場合。
    2. 専門職団体または業界団体の会員資格。「機微情報」という用語には、個人の専門職団体または業界団体への所属に関する個人情報も含まれます。
    3. オーストラリア個人情報保護原則。当社は、シーゲートの個人情報を扱う際、または本DPAに基づきサービスを提供する際、1988年個人情報保護法(連邦法)に基づく適用される義務(「オーストラリア個人情報保護原則」を含む)を遵守しなければなりません。
    4. 法執行目的での利用または開示に関する通知。当社が、法執行機関によって、またはその代理として行われる1つ以上の法執行活動のために個人情報を利用または開示する場合、法律で禁止されている場合を除き、当社は当該利用および開示に関する書面による記録を保持し、速やかにその記録の写しをシーゲートに提供しなければなりません。
    5. オーストラリア政府関連識別子。個人情報にオーストラリア政府関連識別子が含まれる場合、会社は、(a)シーゲイトから明示的に指示されない限り、個人のオーストラリア政府関連識別子をその個人の識別子として採用してはならず、(b)個人の身元を確認するために合理的に必要な場合、またはシーゲイトから指示された場合を除き、オーストラリア政府関連識別子を使用または開示してはならない。
    6. 個人情報の収集 シーゲイトが当社に対してシーゲイトに代わって個人情報を収集するよう指示する場合、当社は次の事項を実施しなければならない。 (a) シーゲイトから、次の事項に関する指示を求めること。 (i) データ主体の個人情報の収集に関連してデータ主体に提供しなければならない情報、および (ii) ダイレクトマーケティングの目的で必要なオプトイン同意。 (b) 機密情報、またはデータ主体の同意なしに個人情報を収集しないこと。
    7. オーストラリア政府との会社契約。Seagateが、連邦、州または地域レベルでオーストラリア政府に契約サービス・プロバイダとしてサービスを提供する場合、関連する政府機関との契約によって追加のデータ保護に関する義務に従わなければならない範囲で、Seagateは、適用されるオーストラリアの法律に従って、会社にも同程度の義務を課すものとします。Seagateと会社は、これらの義務を組み込むために、必要に応じて追加契約を取り交わすものとします。
  2. 中国
    1. 適用範囲。本条の規定は、第2節 当社が、中国に所在するシーゲートの関連会社からシーゲートの個人情報を受け取る、またはこれにアクセスする場合、あるいはシーゲートが、シーゲートの個人情報が本要件の対象となる旨を当社に通知した場合に適用されます。
    2. PIPLにおける役割。中華人民共和国個人情報保護法に基づき、シーゲートは「個人情報処理者」としての役割を果たし、処理の目的および方法を決定します。当社は、本DPAの要件およびシーゲートの指示に従い、シーゲートに代わって個人情報を処理する「委託先」となります。
    3. 下請け処理業者。 ただし、第2.4節  (処理に関する制限)に基づき、当社は、シーゲートの明示的な同意がない限り、シーゲートの個人情報を処理するために下請け処理業者を起用することはありません。かかる同意の条件は、DPAの第2.5節  (処理要件). 
    4. 処理期間の制限。当事者間で異なる期間について合意がない限り、会社は、処理の目的を達成するために必要な期間のみ、シーゲイトの個人情報を処理するものとします。
    5. 移転の制限。シーゲートの個人情報が中国国内に保存または保管されている場合、当社はシーゲートの明示的な同意なしに、当該シーゲートの個人情報を中国国外へ移転してはなりません。シーゲートは、当社が当該シーゲートの個人情報を保護するためにデータ保護法を遵守するためのあらゆる措置を講じていることを条件として、必要に応じて当該シーゲートの個人情報を移転することについて、ここに同意します。
  3. インド
    1. 適用範囲。本条の規定は、第3節 2000年情報技術法および2011年情報技術(合理的なセキュリティ対策・手順および機微な個人データまたは情報)規則(「プライバシーに関する規定(「」)は、随時改正および置き換えられるものとし、当該処理がインド国内で行われるか否かにかかわらず、インドのシーゲート関連会社から提供されたシーゲートの個人情報の当社による処理に適用されます。
    2. 第1.12節 DPAは、プライバシー規則の第3条に規定される個人情報の区分を含めるよう改正されるものとします。
  4. 日本
    1. 適用範囲。本条の規定は、第4節日本国内に所在するシーゲートの関連会社から当社が受け取る、またはアクセスするシーゲートの個人情報に適用されます。
    2. 社員。会社は、自社の社員のDPAの遵守状況を監督する責任を負うものとします。
    3. 雇用管理措置。当社は、厚生労働省の「雇用管理ガイドライン」に定めるところに従い、雇用管理に関連するシーゲートの個人情報を保護いたします。
    4. 雇用によって知り得た個人情報。会社は従業員が雇用によって知り得たSeagate個人情報を漏洩したり、悪用したりすることがないように徹底するものとします。
    5. 移転または開示前の同意。会社は、下請け処理業者を含め、本DPAの当事者でない第三者機関(すべての関連会社を含む)に社会保障番号および納税者番号を開示または移転する前に、Seagateから事前に書面による同意を得るものとします。
    6. 目的達成後の返却または破壊。会社は個人情報収集の目的が達成された時点で個人情報の処理を停止し、Seagate個人情報を返却または破壊するものとします。
    7. バックアップ目的。会社はバックアップ以外の目的でSeagate個人情報のコピーまたは複製を行わないものとします。
  5. 韓国
    1. 適用範囲。本条の規定は、第5節シーゲートが韓国に所在するシーゲートの関連会社から受け取る、またはアクセスする個人情報に適用されます。
    2. アクセス制限。当社は、個人情報のアクセスについて、処理の目的上、当該アクセスが合理的に必要とされる当社の従業員に限定します。
    3. 必要な安全対策。会社は以下のような安全対策を確立し、維持するものとします。
      1. 個人情報の安全な取り扱いを定めた社内手順
      2. ファイアウォール、ウイルス対策およびマルウェア対策ソフトウェアなどの技術的な安全対策
      3. ロックなどの物理的アクセスの制限
      4. アクセスログや処理記録の改ざんや偽造を防止するための措置;および
      5. 個人情報保護法(「PIPA」)、PIPAの「施行規則」、情報通信網利用促進及び情報保護法(「PICNU」)、PICNUの「施行規則」、信用情報利用及び保護法、またはその他の韓国の法律で義務付けられている場合、個人情報の暗号化などの個人情報の安全な保管及び送信のための措置。
    4. 固有識別データの暗号化。会社は以下の場合に住民登録番号、運転免許証番号、およびパスポート番号を暗号化するものとします。
      1. 情報または通信ネットワークを介して転送する場合
      2. ポータブル・ストレージ・メディアまたは周辺機器に保存する場合
      3. 外部コンピュータ・ネットワーク、非武装地帯、または個人のコンピュータまたはモバイル機器に保存する場合
      4. 会社のシステムがSeagateが指定するリスク基準に適合しない場合に、会社の社内ネットワークに保存する場合。
    5. パスワードおよび生体認証データの暗号化。会社は形態を問わず保存されているすべてのパスワードと生体認証データを暗号化するものとします。
    6. 開示前の情報。Seagate個人情報を第三者のデータ処理業者に開示または移転する前に、会社は事前にSeagateに合理的に通知するものとします。Seagateの要求に応じて、会社は以下の情報を提供するものとします。(a) 下請け業者に委託した処理業務、(b) 第三者のデータ処理業者の身元情報、および (c) (a) または (b) に対する変更。
    7. トレーニング。会社は、Seagate個人情報の処理中に発生する可能性のある盗難、漏洩、改ざん、または破損からSeagate個人情報を保護するために、Seagateが会社に提供するトレーニングに参加するものとします。
  6. シンガポール
    1. 適用範囲。本条の規定は、第6節 シンガポール個人情報保護法2012年(2012年第26号)が、当社のシーゲート個人情報の処理に適用される場合に適用されます。
    2. セクション1.3DPAの以下の部分は、次のものに置き換えられるものとする。

      1.3「データ・プライバシー違反」とは、Seagate個人情報の偶発的または非合法的な破壊、紛失、変更、不正開示、アクセス、取得、あるいはその他の不正なSeagate個人情報の処理を意味し、以下が含まれます。(a) Seagate個人情報への不正アクセス、収集、使用、開示、コピー、変更、もしくは破棄が行われた場合、または、(b) Seagate個人情報への不正アクセス、収集、使用、開示、コピー、変更、もしくは破棄が行われる可能性がある状況において、Seagate個人情報が保存されているストレージ・メディアまたはデバイスが紛失した場合が含まれます。

    3. 第6.1節 DPAの(データ漏洩の通知)は、以下の文言に置き換えられます:

      6.1 データ・プライバシー違反の通知。会社がデータ・プライバシー違反が発生したと信じるに足る根拠を得た場合、会社はデータ・プライバシー違反を過度の遅滞なく書面でSeagateに通知し、以下を行うものとします。

      1. 調査を行うか、データ・プライバシー違反の調査にあたって合理的な支援を提供する
      2. データ・プライバシー違反に関する情報をSeagateに提供し、関連する追加情報が入手可能になり次第、速やかに提供する
      3. データ・プライバシー違反を阻止し、データ・プライバシー違反の影響を軽減するために商業的に合理的な対策を講じるか、または会社の費用負担の下、Seagateがこれを行うのを支援する
  7. 台湾
    1. 適用範囲。本条の規定は、第7節 台湾に所在するシーゲートの関連会社から当社が受け取る、またはアクセスするシーゲートの個人情報に適用されます。
    2. 下請け処理業者。ただし、第2.4節(処理の制限) DPA の規定に基づき、当社は Seagate の明示的な書面による同意なしに、Seagate の個人情報をいかなるサブプロセッサーにも開示または移転したり、Seagate の個人情報へのアクセスを許可したりしません。
    3. 処理期間の制限。当事者間で異なる期間について合意した場合を除き、会社は、処理の目的を達成するために必要な期間のみ、シーゲイトの個人情報を処理するものとします。
    4. アクセス記録の保存。会社は不正アクセスの発生を定期的に確認するために、必要な期間にわたりアクセス記録を保存するものとします。
  8. タイ
    1. 適用範囲。本条の規定は、第8節タイの「個人データ保護法(B.E. 2562(2019年)」(「PDPA」)が、随時改正または置き換えられる場合であっても、当社がタイに所在するシーゲートの関連会社から受け取る、またはアクセスするシーゲートの個人情報に適用される場合、本規定が適用されます。
    2. DPAの第1.3項は、以下の内容に置き換えられるものとする。

      1.3「データ・プライバシー違反」とは、意図的、故意、過失、偶発的、不正または違法な行為、あるいはコンピュータ犯罪、サイバー脅威、過失または事故、PDPAに基づき発行された通知で規定されるその他の行為に起因する、個人データの紛失、アクセス、使用、修正、または開示を違法にもしくは許可なしに引き起こすセキュリティ対策の違反を意味します。

    3. 第1.12節DPAの規定は、PDPA第26条に規定されている個人データのカテゴリーを含めるように修正されるものとする。
    4. セキュリティ基準。当社は、セキュリティ基準を実施および維持するために最善の努力を尽くし、あらゆる合理的な措置を講じなければなりません。当該基準は、少なくとも以下の要件に準拠するものとします。別紙II(セキュリティ基準)ならびにPDPAに定められた規定および要件、ならびに同法に基づき発出されたその他の規則、規制、通知および/または命令(以下に限定されませんが、「個人データ保護委員会による通知:」を含む)「データ管理者によるセキュリティ対策(B.E. 2565(2022年))」(随時改正、補足、または置き換えられる場合があります)。 

本データプライバシー契約は、2025年6月1日より発効いたします。過去のバージョンについては、以下の通りご確認いただけます:

 

2025年7月31日公開

2024年6月20日公開

2022年12月8日公開

「データの脱炭素化」報告書

AI時代におけるデータ・センターの持続可能性
Seagateについて Seagateのストーリー  持続可能性  トラスト・センター  品質保証 
サポート  製品サポート  Seagateソフトウェア・ダウンロード  LaCieソフトウェア・ダウンロード  Seagate製品登録  LaCie製品登録  保証と交換  Seagateシステム  お問い合わせ 
ニュース・リソース プレス・ルーム  Seagateのストーリー  ブログ 
投資家 
パートナー  間接パートナーおよびリセラー  Seagate Directおよびサプライヤ  Seagate Technology Alliance Program 
採用情報  Seagateの職場紹介  Seagateの企業文化  大学プログラム 
製品のご購入  製品の検索 
Facebook logo LinkedIn logo YouTube logo X logo Instagram logo
©2026 Seagate Technology LLC 法務 プライバシー 脆弱性開示
サイトマップ Seagateブランド・ポータル