顧客データ処理追補契約
発効日: 2025年1月1日
このDPAは、特定の顧客に対するMagmaのマスタークラウド契約(「MCA」)または利用規約(「ToS」)の一部です。 注文書に署名済みの場合で、当社のMCAを参照している場合(または署名済みの契約書や利用規約がこのDPAを参照する場合)、このDPAは個人データの処理に関する限り適用されます。Magmaの企業向けサービスを購入または継続して利用することにより、顧客はこのDPAに同意し、このDPAは当社のMCA(または適用される条項)を補足します。
セクションA – 主要な用語
変数 | 値 |
|---|---|
コントローラー(s) | マスタークラウド契約または適用される注文書で示される顧客である、あなた。 |
プロセッサー(s) | Code Charm, Inc. dba Magma |
EU代表 | Prighter.com |
処理目的 | |
処理の期間 | 基本契約に基づく必要な期間またはこのDPAに従って削除されるまで |
データ対象者のカテゴリ | - 顧客の従業員および契約者 |
個人データのカテゴリー | - Eメールアドレス、名前、IPアドレス |
保存・処理の場所 | - ドイツ、ニュルンベルクのデータセンターパーク |
オンプレミス監査 | いいえ(監査はセクションB.7に従って処理されます) |
サブプロセッサー | - Hetzner GmbH (ドイツ) |
EU/EEA/スイス以外へのデータ移転 | このDPAに記載される適法な移転メカニズム(例: 標準契約条項、データプライバシーフレームワーク)のある国またはエンティティにのみ許可されます。 |
具体的な指示 | 基本契約およびこのDPAに記載されている指示以外のものはなく、書面で合意されていない限り。 |
セクションB – 法的条件
1. 目的および範囲
1.1 データ保護法への準拠。 このDPAは、EU規則2016/679 (GDPR)、英国GDPR、スイス連邦データ保護法 (FADP)、米国州プライバシー法(例: CCPA/CPRA、および類似要件を持つその他の州)など、適用されるデータ保護またはプライバシー法および規制を遵守することを目的としており、これらの法律に準じた用語(総称して「データ保護法」)を含みます。
1.2 適用範囲。 このDPAは、Magmaが顧客名義で個人データを処理する範囲にのみ適用され、Magmaマスタークラウド契約(「MCA」)またはこのDPAに言及する同等の署名済み契約に基づくものです。基本契約を補足し、矛盾がある場合は、このDPAが優先されます(書面で明示されない限り)。
1.3 顧客の保証。 顧客は、個人データを収集および処理するための合法的な根拠(例: 同意、正当な利益)を持っていることを保証する責任があります。顧客は、データ対象者(または米国法における「消費者」)に必要な通知を提供し、必要な同意を取得しており、Magmaにデータを提供することで第三者の権利または適用法を侵害していないことを保証します。
2. 解釈
2.1 「コントローラー」、「プロセッサー」、「個人データ」、「処理」、「サブプロセッサー」、「データ対象者」などの用語は、GDPRおよび他のデータ保護法の類似の定義に基づく意味を持ちます。
2.2 米国州プライバシー法の下で、CCPA/CPRAのような法律では、「事業者」、「サービスプロバイダー」、「販売」、「共有」、「消費者」、「個人情報」はこれらの法令からの意味を持ちます(それらの法律が適用される範囲で)。
2.3 このDPAとデータ保護法の強制的な要件との間に矛盾がある場合は、後者が優先されます。
3. 処理の説明
3.1 処理の詳細。 処理の性質、カテゴリ、期間、目的および個人データの種類は、セクションA(主要な用語)および基本契約に記載されています。
3.2 コントローラーの責任。 顧客は、個人データが関連性があり、正確で、必要な目的に限定されていることを保証する必要があります。Magmaは、個人データ自体の合法性の審査には責任を負いません。
4. パーティーの義務
4.1 指示と目的の制限
Magmaは、顧客の文書化された指示に従ってのみ個人データを処理し、このDPAおよび基本契約に基づいたものに限ります(法律で要求される場合を除く)。
Magmaは、指示がデータ保護法に違反していると思われる場合は、即座に顧客に通知します。
4.2 データの消去または返却
基本契約の終了時または顧客の要求により、Magmaは全ての個人データを削除または返却し、その削除を証明します(法律でさらに保持が要求されない限り)。
顧客がコピーを保持したい場合は、基本契約終了前にデータのエクスポートまたは取得を行う必要があります。
4.3 処理のセキュリティ
Magmaは、以下のセクションC(TOMs)に概説されている個人データを保護するために技術的および組織的な措置を講じます。
個人データ侵害が発生した場合、Magmaは顧客に遅延なく通知し(いずれにせよ認識から72時間以内に)、顧客が侵害通知義務を果たすために必要な詳細を提供します。
Magmaは、個人データの処理を許可された職員が秘密保持契約に同意していることを保証します。
4.4 文書化と遵守
パーティーはそれぞれ、このDPAに準拠していることを示すために必要な記録を保持します。
Magmaは、Magmaの遵守を確認するために顧客の合理的な情報要求に協力します。
4.5 サブプロセッサーの使用
一般的な承認: 顧客は、セクションAまたはMagmaのオンラインサブプロセッサーリストに掲載されているサブプロセッサーの採用をMagmaに許可します。
変更: Magmaは、サブプロセッサーの追加または交換に際し、お客様に15日以上前に通知し、顧客に書面的に(不合理な反対ではない場合)反対する機会を提供します。
責任: Magmaは、サブプロセッサーがこのDPAの義務を履行する上で完全に責任を持っています。
サブプロセッサーは、このDPAと同等の保護を持つ条件に拘束されなければなりません。
4.6 国際的な転送
Magma(およびサブプロセッサー)は、EU/EEA/スイス/英国以外に個人データを処理することができ、処理がデータ保護法に準拠している場合に限ります。
必要に応じて、標準契約条項、データプライバシーフレームワーク、または他の法的な転送メカニズムが適用されます。
合法的な転送メカニズムが無効化された場合、お客様と良好な協力関係を維持し、適法な代替メカニズムを採用します。
5. データ対象者の権利
5.1 リクエストの処理: Magmaがデータ対象者リクエスト(例: アクセス、訂正、消去、ポータビリティ)を直接受け取った場合、顧客に速やかに転送し、指示を待ちます(法律で禁止されていない限り)。
5.2 支援: Magmaは、データ対象者リクエストの履行および他の義務(例: データ保護影響評価、侵害通知)を履行するために、Magmaが関連情報や能力を持っている範囲で顧客を合理的に支援します。
6. 個人データ侵害通知
Magmaは顧客に遅延なく(情報が得られた後72時間以内に)顧客の個人データが関与する個人データ侵害について通知し、侵害の性質、影響を受けたデータのカテゴリ、および講じられたまたは提案された対策を含めて通知します。
Magmaは、法で要求される場合、監督当局や影響を受けた個人への通知の努力に協力します。
7. セキュリティレポートと検査
7.1 情報共有: 書面による要求に応じて、MagmaはこのDPAに準拠していることを示すのに十分な証明書または関連文書(例: 第三者監査サマリー)のコピーを提供します。
7.2 監査:
確認済みの個人データ侵害後、または監査がデータ保護機関によって要求された場合、顧客は自分の費用でMagmaの関連システムまたは記録の合理的な監査を実施することができます。
そのような監査の範囲、時期、および期間は事前に合意され、少なくとも30日前に通知されなければなりません。
監査はMagmaの業務に不当な不当な妨害を与えてはならず、機密保持義務に従うものとします。
7.3 このセクションは、EU SCCs第8.9条の監査義務または他のデータ転送フレームワークの同等の規定を満たします。
8. 米国州プライバシー法(例: CCPA/CPRA)
8.1 サービスプロバイダーの関係: 顧客の個人データがカリフォルニア消費者プライバシー法(カリフォルニアプライバシー権法によって改正されたもの、集合的に「CCPA」)、または類似の米国州プライバシー法に従う範囲で、Magmaは「サービスプロバイダー」(またはGDPRの用語を使用する場合は「プロセッサー」)として機能し、顧客は「事業者」です。
8.2 販売または共有の禁止: Magmaは顧客の個人データを適用される米国のプライバシー法で定義される「販売」または「共有」(「共有」の定義に基づく)のいずれも行わず、基地契約のサービスを実行するための特定の事業目的のため以外、または法律で要求される場合を除き、個人情報を収集、保持、利用、または公開しません。Magmaは「価値ある対価」として顧客の個人データを受け取ったり処理したりしません。
8.3 データ対象者のリクエスト(CCPA): Magmaは消費者の要求への対応を支援する範囲で(例: 権利の知識、消去、販売/共有からのオプトアウト)、顧客の指示または法律で要求される場合のみ支援します。
8.4 証明: Magmaは、サービスプロバイダーの役割に関する制限および義務を理解し、適用される米国プライバシー法に従って遵守し、顧客の個人データをコンテキストを超えた動作広告または基地契約およびこのDPAの範囲外の目的で使用しないことを証明します。
9. 終了
このDPAは、基本契約の終了または満了の後、または顧客の指示に基づくMagmaの個人データ処理の完了後に終了します。
Magmaが何らかの理由でこのDPAに準拠できない場合、速やかに顧客に通知し、顧客は違反が修正できない場合、関連する処理または基本契約を停止または終了することができます。
10. 責任と賠償
9.1 責任の制限: このDPAに起因する、または関連する全ての責任は、基本契約で定められた制限/除外に従うものとします(データ保護法または米国州プライバシー法に要求されない限り)。
9.2 直接責任: 法律がプロセッサー/サービスプロバイダー(Magma)に直接責任を課す場合、このDPAのいかなる内容もデータ対象者/消費者に対するMagmaの責任や義務を制限しません。ただし、Magmaと顧客との間の契約上の責任は基本契約の制限に従うものとします。
セクションC – 技術的および組織的な対策(TOMs)
Magmaは、以下を含むレベルのセキュリティを確保するために、適切な危険に対する措置を実施しています。
セキュリティ管理とポリシー
データ取り扱いに関する役割、責任および手順を明示したセキュリティポリシーの文書化。
システムへの変更を追跡する変更管理プロセスの定義。
アクセス制御と認証
ユニークなユーザーアカウント、厳格なパスワードポリシー(複雑性、更新)。
アクセス権の付与または解除に際して「必要性の原則」を遵守。
資格情報の暗号化伝送。
ログ記録とモニタリング
ユーザーアクセスおよび主要イベントをトラッキングするシステム/アプリケーションログ。
不正アクセスや異常な活動を検出するためのモニタリング。
サーバーとワークステーションのセキュリティ
セキュリティパッチとOSの更新の適時適用。
ファイアウォールと侵入検知/防止システムによる保護。
TLS/SSLまたは同等のプロトコルを用いたデータの安定化。
バックアップと業務継続性
安全に保存された定期的なデータバックアップ; テスト済み復旧手順。
業務継続性のための災害復旧計画の文書化。
物理的セキュリティ
データセンターへのアクセス制限(例: ロックされた施設、警備員、バッジ/カードシステム)。
メディアが廃棄される際の安全な処分/拭き取り。
インシデント対応
エスカレーション手順を含むインシデント処理計画。
潜在的なセキュリティ脅威の24時間/7日のモニタリングとログ記録。
モバイル/ポータブルデバイス管理
個人データにアクセスするすべてのデバイスの承認が必要。
暗号化と、該当する場合のリモートワイプの能力。
安全な開発とテスト
安全なコーディングとテスト手法(コードレビュー、脆弱性スキャン)。
アプリケーションスタック内の潜在的な脆弱性を定期的に評価。
セクションD – データ転送と標準契約条項
EU/EEA、スイス、または英国のデータ保護法が越境データ転送に適用される場合、パーティーは以下に依存します:
Magmaが自己認証する場合のEU-USデータプライバシーフレームワーク、またはスイス-US/英国エクステンション、
および/または、ヨーロッパ委員会が採択した標準契約条項(必要に応じて英国の付録を含む)、
またはその他の合法的なメカニズム。
これらのメカニズムは参考として取り込まれています。 セクションAおよびセクションCの付録が必要に応じてSCCsの添付として機能します。
セクションE – 最終条項
優先順位. このDPAと他の合意との間に矛盾がある場合、個人データの処理に関しては、このDPAが優先されます(明示的に記載されていない限り)。
準拠法. このDPAは、基本契約と同じ準拠法および管轄地に基づいています(データ保護法によって別の要求がない限り)。
完全合意. このDPAは、基本契約と共に、顧客を代行して行うデータ処理の対象に関する完全な合意を構成します。
変更. お客様の権利に重大な影響を与える変更がある場合は、基本契約の通知条項に従って事前にお客様に通知します。
