プライバシー ポリシー

Google広告データ管理者間のデータ保護規約 (Google Ads Controller-Controller Data Protection Terms)

Google および本規約に同意いただいた相手方当事者(以下、「お客様」)は、データ管理者サービスの提供に関する契約(以下、その時々における変更を含め、「本契約」)を締結しています。

以下の本 Google 広告データ管理者間のデータ保護規約(以下、別紙とあわせて「本データ管理者規約」)は、Google とお客様との間で締結され、本契約を補足するものです。本データ管理者規約は、本規約効力発生日をもって効力が生じ、同日以降、その目的事項に関連してそれまでに適用されていた規約に置き換わります。

あなたが、お客様に代わって本データ管理者規約を承諾される場合、あなたは、次の事項を保証するものとします。 (a) ご自身が、お客様を本データ管理者規約に拘束する完全な法的権限を有すること、 (b) ご自身が、本データ管理者規約を読み、理解していること、および、 (c) ご自身が、お客様を代表して本データ管理者規約に同意すること。 あなたにお客様を拘束する法的権限がない場合には、本データ管理者規約を承諾しないでください。

1.じめに

本データ管理者規約は、データ管理者個人データの処理に関する当事者間の合意の内容を定めています。

2.定義および解釈

2.1本データ管理者規約において、以下の文言および表現の意味内容は、以下のとおりとします。

「追加規約」とは、別紙1で参照される追加の規約であって、一定の適用データ保護法に関連したデータ管理者個人データの処理に適用される規約に関する両当事者の合意を反映するものをいいます。

「関連会社」とは、直接・間接を問わず、ある当事者を支配し、ある当事者により支配され、またはある当事者と共通の支配下にある事業体をいいます。 「適用データ保護法」とは、欧州データ保護法、LGPD、アメリカ合衆国のプライバシー関連州法を含む、データ管理者個人データの処理に適用される国、連邦、EU、州、地方、またはその他のプライバシー、データセキュリティ、データ保護の法律または規制をいいます。

「データ管理者データ主体」とは、データ管理者個人データに係るデータ主体をいいます。

「データ管理者個人データ」とは、データ管理者サービスの提供または使用(該当するもの)に関連して、本契約に基づき当事者が処理する個人データをいいます。

「データ管理者サービス」とは、business.safety.google/adsservices に記載される、該当するサービスをいいます。

「最終データ管理者」とは、各当事者について、データ管理者個人データの最終的な管理者をいいます。

「EU の GDPR」とは、個人情報の処理および個人情報の自由な移動に対する自然人の保護を目的として、EUデータ保護指令(Directive 95/46/EC)に代わり、2016年4月27日に欧州議会および理事会によって採択されたEU一般データ保護規則(規則(EU)2016/679)をいいます。

「欧州データ保護法」とは、場合により(a) GDPR および/または(b) スイスの FDPA をいいます。

「GDPR」とは、(a) EU の GDPR および/または (b) イギリスの GDPR をいいます。

「Google」とは、本契約においてお客様の相手方となる Google 法人をいいます。

「Google 法人」とは、Google LLC、Google Ireland Limited、または Google LLC のその他の関連会社をいいます。

「LGPD」とは、ブラジルの一般データ保護法(Lei Geral de Proteção de Dados Pessoais)をいいます。

「スイスの FDPA」とは、1992年6月19日の(スイスの)データ保護に関する連邦法(1993年6月14日のデータ保護に関する連邦法規則を含む)または2020年9月25日改正データ保護に関する連邦法(2022年8月31日のデータ保護に関する連邦法規則を含む)をいいます。

「本規約効力発生日」とは、お客様が本データ管理者規約を承諾するためにクリックしたか、両当事者がその他の方法により当該規約に合意した日をいいます。

「イギリスの GDPR」とは、イギリスの 2018 年欧州連合離脱法に基づき、欧州の GDPR を修正しイギリスの法令に組み込んだもの、および同法に基づく適用ある二次的な法律をいいます。

「アメリカ合衆国のプライバシー関連州法」とは、(i) 2018年カリフォルニア州消費者プライバシー法(2020年カリフォルニア州プライバシー権法により改正されたものを含む)およびそのすべての施行規則(以下、「CCPA」)、(ii) バージニア州消費者データ保護法(Va. Code Ann. § 59.1-571 et seq.)、(iii) コロラド州プライバシー法(Colo. Rev. Stat. § 6-1-1301 et seq.)、(iv) データのプライバシーとオンライン モニタリングに関するコネチカット州の法律(Pub. Act No. 22015)、および (v) ユタ州消費者プライバシー法(Utah Code Ann. § 13-61-101 et seq.)をいいます。

2.2本データ管理者規約において用いられる「データ管理者」(controller)、「データ主体」(data subject)、「個人データ」(personal data)、「処理」(processing)、「データ処理者」(processor)は、(a) 適用データ保護法または (b) かかる意味または法律が存在しない場合は GDPR において定められた意味を有します。

2.3含む」および「含んでいる」は、「限定なく含んでいる」ことを意味します。本データ管理者規約中の例は、あくまで例示であり、特定の概念の唯一の例ではありません。

2.4 本データ管理者規約において言及されている法的枠組み、法令その他の制定法は、改正または再制定があった場合、最新のものを指すものとします。

2.5 本データ管理者規約の翻訳版と英語版との間に齟齬がある範囲において、英語版が適用されるものとします。

3.本データ管理者規約の適用

3.1 全般 本データ管理者規約は、両当事者が本データ管理者規約に合意したデータ管理者サービスのみに適用されます(例えば、(a) お客様が本データ管理者規約を承諾するためにクリックしたデータ管理者サービス、または(b) 本契約が参照により本データ管理者規約を組み込んでいる場合に、本契約の対象となるデータ管理者サービス)。

3.2 追加規約の組込み 追加規約は、本データ管理者規約を補足するものとします。

4.処理に関する役割および制限

4.1 独立したデータ管理者 第4.3条(最終データ管理者)に従うことを条件として、各当事者は、

(a) データ管理者個人データの独立した管理者であり、

(b) データ管理者個人データの処理の目的および手段を個別に決定し、

(c) データ管理者個人データの処理に関して、適用データ保護法に基づき自己に適用される義務を遵守します。

4.2 処理に関する制限 第4.1条(独立したデータ管理者)は、本契約に基づきデータ管理者個人データを使用またはその他処理する各当事者の権利に対する制限に影響を及ぼしません。

4.3 最終データ管理者 本データ管理者規約に基づくいずれの当事者の義務も軽減することなく、各当事者は、(a) 他方当事者の関連会社または顧客が最終データ管理者である可能性があること、および(b) 他方当事者がその最終データ管理者の代わりにデータ処理者として行為することができることを認めます。各当事者は、その最終データ管理者がデータ管理者規約に準拠することを確保します。

4.4 透明性 お客様は、Google のサービスを使用するサイト、アプリ、またはその他のプロパティからの情報を Google がどのように使用するかについての情報を Google が https://business.safety.google/privacy/ で公開していることを確認します。第 4.1 条(c)に基づく義務を損なうことなく、お客様は、Google によるデータ管理者個人データの処理に関する情報をデータ管理者データ主体に提供するために当該ページへのリンクを使用することができます。

5. 責任

(a) 本契約にアメリカ合衆国のある州の法律が適用される場合には、本契約の別の定めにかかわらず、本データ管理者規約に基づくまたは関連した、一方当事者からの相手方当事者への責任総額は、本契約に基づき当該当事者の責任の上限として定められる特定の金額または支払額に基づき定める金額のうち上限の金額に限定されることになります(よって、本契約の責任限定からの補償に関する請求についての除外は、適用データ保護法に関連する本契約に基づく補償の請求には適用されません)。

(b) 本契約にアメリカ合衆国の州ではない法域の法律が適用される場合には、本データ管理者規約に基づくまたは関連した両当事者の責任は、本契約における除外および責任限定の規定に従うものとします。

6. 本データ管理者規約の効果

6.1 優先順位 追加規約に矛盾または不一致があった場合には、第4.2条(処理に関する制限)および第6.2条(データ処理者規約に対する影響のないこと)を条件として、次の優先順位が適用されます。

(a) 追加規約(該当する場合)

(b) 本データ管理者規約のその他の条項

(c) 本契約のその他の部分

6.2 データ処理者規約に対する影響のないこと 本データ管理者規約は、データ管理者サービス以外のサービスについてのデータ管理者とデータ処理者間、データ処理者間、またはデータ処理者とデータ管理者間の関係を反映する Google とお客様との間の別個の規約には影響を及ぼしません。

7. 本データ管理者規約の変更

7.1 URLの変更 Google は、本データ管理者規約で参照する URL および当該 URL のコンテンツを随時変更できるものとします。ただし、Google は、以下のいずれかの目的においてのみ、 business.safety.google/adsservices に記載される潜在的なデータ管理者サービスのリストを変更することができるものとします。

(a) サービスの名称変更を反映させるため、

(b) 新たなサービスを追加するため、または

(c) (i) 当該サービスを提供する全ての契約が終了している場合、(ii) Google がお客様の同意を得ている場合、もしくは (iii) 当該サービスまたは当該サービスの特定の機能がデータ処理者サービスにその分類が変更された場合に、サービス(またはサービスの機能)を削除するため。

7.2 データ管理者規約の変更 Google は、以下の場合、本データ管理者規約を変更することができます。

(a)第7.1条(URLの変更)に記載される変更である場合

(b)法人の名称または形態の変更を反映する場合

(c) 適用される法律または規制、裁判所命令、政府の監督者または官庁によって発されたガイダンスを遵守するために必要であるか、Google による代替移転ソリューション(別紙1Aに規定)の採用を反映する場合

(d)その他の方法で、(i) 当事者の、適用データ保護法に基づくデータ管理者個人データの管理者としての分類を変更することを目的とせず、(ii) (x) 追加規約において、追加規約の範囲内のデータ、もしくは (y) 本データ管理者規約の他の規定については、データ管理者個人データを、使用しもしくはその他の方法で処理する各当事者の権利について、その範囲の拡大や制限の撤廃を行わず、または (iii) お客様に重大な悪影響を及ぼさないと Google が合理的に判断した場合。

7.3 変更の通知 Google が第7.2条(b)に基づき本データ管理者規約を変更しようとする場合であって、かつ、当該変更がお客様に重大な悪影響を及ぼすと Google が合理的に判断した場合、Google は、当該変更の効力が生じる少なくとも30日前までに(または、適用法令、裁判所命令、もしくは政府の規制当局や機関が発するガイダンスに従うために必要となるそれより短い期間中に)、お客様に通知するよう商業上合理的な努力を払います。お客様が当該変更が不服である場合には、お客様は、Google による当該変更の通知を受けてから90日以内に Google への書面による通知を行うことにより、本契約を終了することができます。

別紙 1: 適用データ保護法に関する追加規約

A - 欧州データ保護法に関する追加規約

1. はじめに

本別紙1Aは、データ管理者個人データの処理に欧州データ保護法が適用される範囲においてのみ適用されます。

2. 定義

2.1 本別紙1Aにおいて、以下の文言および表現の意味内容は、以下のとおりとします。

十分性認定国」とは、以下に定めるものをいいます。

(a) EU の GDPR に従って処理されるデータについて:EEA、または EU の GDPR に基づく十分性認定を受けている国もしくは地域、

(b) イギリスの GDPR に従って処理されるデータについて:イギリス、またはイギリスのGDPR および2018年データ保護法に基づく十分性認定を受けている国もしくは地域、ならびに/または

(c) スイスの FDPA に従って処理されるデータについて:スイス、または(i) スイス連邦データ保護・情報コミッショナーによって公表される法律により十分なデータ保護水準が確保されている国家の一覧に掲載されているか、もしくは(ii) スイスの FDPA に基づきスイス連邦評議会による十分性認定を受けている国もしくは地域。

ただし、いずれの場合も、任意のデータ保護枠組みに基づく場合を除きます。

代替移転ソリューション」とは、欧州データ保護法に従った個人データの第三国への適法な移転を可能にする、データ管理者SCCs以外のソリューション(例えば、参加法人が十分性認定を受けていることが認められているデータ保護フレームワークなど)をいいます。

データ管理者SCCs」とは、business.safety.google/adscontrollerterms/sccs/c2c に規定される規約をいいます。

EEA」とは、欧州経済領域をいいます。

欧州データ管理者個人データ」とは、EEA またはスイスに所在するデータ管理者データ主体のデータ管理者個人データをいいます。

欧州の法令」 とは、(a) EU または EU 加盟国の法令(EU の GDPR がデータ管理者個人データの処理に適用される場合)、(b) イギリスまたはイギリスの一部の法令(イギリスの GDPR がデータ管理者個人データの処理に適用される場合)、および (c) スイスの法令(スイスの FDPA がデータ管理者個人データの処理に適用される場合)をいいます。

Google 最終データ管理者」とは、Google が処理するデータ管理者個人データの最終データ管理者をいいます。

許容される欧州移転」とは、十分性認定国内におけるデータ管理者個人データの処理、または十分性認定国へのデータ管理者個人データの移転をいいます。

制限される欧州移転」 とは、(a) 欧州データ保護法の対象となり、かつ(b) 許容される欧州移転に該当しない、データ管理者個人データの移転をいいます。

イギリスのデータ管理者個人データ」とは、イギリスに所在するデータ管理者データ主体のデータ管理者個人データをいいます。

2.2データ輸入者」(data importer)および「データ輸出者」(data exporter)は、データ管理者SCCsにおいて定められた意味を有します。

3. Google 最終データ管理者

Google 最終データ管理者は、(i) Google が処理する欧州データ管理者個人データについては、Google Ireland Limited、また(ii) Google が処理するイギリスのデータ管理者個人データについては、Google LLCとします。各当事者は、その最終データ管理者が、該当する場合はデータ管理者SCCsに準拠することを確保します。

4. データの移転

4.1 制限される欧州移転 いずれの当事者も、欧州データ保護法における制限される欧州移転に関する規定を遵守する場合には、制限される欧州移転を行うことができます。

4.2 代替移転ソリューション

(a) Google が、制限される欧州移転のために代替移転ソリューションを採用した場合、(i) Google は、当該制限される欧州移転が当該代替移転ソリューションに従って行われることを確保し、(ii) 当該制限される欧州移転には、本別紙1Aの第5項(データ管理者SCCs)は適用されません。

(b)Google が、制限される欧州移転のために代替移転ソリューションを採用していない場合、またはもはや採用しないことをお客様に通知した場合、当該制限される欧州移転には、本別紙1Aの第5項(データ管理者SCCs)が適用されます。

4.3 再移転に関する規定

(a) 第4.3項の適用本別紙1Aの第4.3項(b)(データ提供者個人データの使用)および第4.3項(c)(データ提供者個人データの保護)は、以下の限りにおいて適用されます。

(i)一方の当事者(以下、「データ受領者」)が、本契約に関連して相手方当事者(以下、「データ提供者」)から提供されたデータ管理者個人データ(かかるデータ管理者個人データを「データ提供者個人データ」といいます)を処理し、

(ii)t当該データ提供者またはその関連会社が、代替移転ソリューションに基づく認定を受けており、かつ、

(iii)当該データ提供者が、データ受領者に対し、当該代替移転ソリューションに基づく認定を書面にて通知していること。

(b)データ提供者個人データの使用

(i)適用される代替移転ソリューションに再移転に関する原則が含まれている場合、当該 代替移転ソリューションの再移転に関する原則に従って、データ受領者は、データ提供者個人データを、関連するデータ管理者データ主体からの同意と一致する方法でのみ使用するものとします。

(ii)データ提供者が、本契約に基づき要求される関連するデータ管理者データ主体からの同意を得ることを怠った場合、データ受領者は、要求される同意に合致するデータ提供者個人データを使用した場合に第4.3項(b)(i)に違反したとはみなされないものとします。

(c)データ提供者個人データの保護

(i)データ受領者は、データ提供者個人データについて、適用ある移転代替ソリューションの下で要求される保護と少なくとも同等のレベルの保護を提供するものとします。

(ii)データ受領者が第4.3項(c)(i)を遵守できないと判断した場合、データ受領者は、(A) データ提供者に書面で通知し、かつ(B) データ提供者個人データの処理を中止するか、またはかかる不遵守を是正するための合理的かつ適切な措置を講じるものとします。

(d)代替移転ソリューションの採用および認定 Google および/またはその関連会社による代替移転ソリューションの採用または認定に関する情報は、https://business.safety.google/adsdatatransfers に掲載されています。本第4.3項(d)は、第4.3項(a)(iii)の目的上、本規約発効日における Google またはその関連会社の現在の認定に関する書面による通知を構成するものとします。

5. データ管理者SCCs

5.1 お客様への欧州データ管理者個人データの移転

(a)Google が欧州データ管理者個人データをお客様に移転し、かつ

(b)当該移転が、制限される欧州移転にあたる 限りにおいて、データ輸入者としてのお客様は、データ輸出者としての Google Ireland Limited(該当するGoogle 最終データ管理者)との間で、データ管理者SCCsを締結したものとみなされ、当該移転は、データ管理者SCCsの対象となります。

5.2 お客様へのイギリスのデータ管理者個人データの移転

(a)Google がイギリスのデータ管理者個人データをお客様に移転し、かつ

(b)当該移転が、制限される欧州移転である 限りにおいて、データ輸入者としてのお客様は、データ輸出者としての Google LLC(該当する Google 最終データ管理者)との間で、データ管理者SCCsを締結したものとみなされ、当該移転は、データ管理者SCCsの対象となります。

5.3 Google への欧州データ管理者個人データの移転 両当事者は、お客様が欧州データ管理者個人データを Google に移転する限りにおいて、Google Ireland Limited(該当する Google 最終データ管理者)の住所が十分性認定国にあり、当該移転は許容される欧州移転であるため、データ管理者SCCsが要求されないことを認めるものとします。これは、本別紙1Aの第4.1項(制限される欧州移転)に基づくGoogle の義務には影響しません。

5.4Google へのイギリスのデータ管理者個人データの移転 お客様がイギリスのデータ管理者個人データを Google に移転する限りにおいて、データ輸出者としてのお客様は、データ輸入者としての Google LLC(該当する Google 最終データ管理者)との間で、データ管理者SCCを締結したものとみなされ、Google LLCの住所が十分性認定国にないため、当該移転は、データ管理者SCCsの対象となります。

5.5 Google への連絡およびお客様情報

(a)お客様は、データ管理者SCCsに関連して、 https://support.google.com/policies/troubleshooter/9009584 から、またはその他 Google が随時提供する手段により、Google Ireland Limited および/または Google LLC に連絡することができます。

(b)お客様は、Google がデータ管理者SCCsに基づき、(i) データ輸入者(データ保護の責任を負う連絡担当者を含みます)の身元および連絡先の詳細、ならびに (ii) データ輸入者が実施する技術的および組織的対策を含む、一定の情報を記録することを要求されることを認めるものとします。したがって、お客様は、要求された場合であってお客様が該当する場合、Google が提供する手段により、当該情報を Google に提供するものとし、提供されるすべての情報が正確かつ最新の状態に保たれるよう確保するものとします。

5.6データ主体からの問い合わせへの対応 該当するデータ輸入者は、データ輸入者による該当するデータ管理者個人データの処理に関して、データ主体および監督当局からの問い合わせに対応する責任を負います。

5.7終了時のデータ削除

(a)データ管理者SCCsに基づき、Google LLCがデータ輸入者として行為し、お客様がデータ輸出者として行為し、かつ

(b)お客様がデータ管理者SCCs第16条(c)に従って本契約を解除する限りにおいて、データ管理者SCCs第16条(d)の目的において、お客様は、Google に対し、データ管理者個人データを削除するよう指示し、欧州の法令において保存が要求されている場合を除き、Google は、(Google が当該データの独立したデータ管理者であること、ならびにデータ管理者サービスの性質および機能性を考慮して)当該削除が合理的に可能な限りにおいて、合理的に実行可能な限り速やかに、当該削除を促進します。

6.データ管理者SCCsが適用される場合の責任

本別紙1Aの第5項(データ管理者SCCs)に基づきデータ管理者SCCsが適用される場合、責任総額は、本契約に基づき、もしくはそれに関連する、

(a)お客様に対する、Google、Google LLC および Google Ireland Limited の責任、ならびに

(b) Google、Google LLCおよび Google Ireland Limited に対する、お客様の責任 の合計責任総額となります。統合されたデータ管理者SCCsには、第5条(責任)が適用されます。データ管理者SCCsの第12条は、前の文に影響しません。

7.第三者受益者

Google LLCおよび/または Google Ireland Limitedが、本契約の当事者ではないが、本別紙1Aの第5項(データ管理者SSCs)に基づき該当するデータ管理者SCCsの当事者である場合、Google LLCおよび/または Google Ireland Limited(該当する場合)は、第4.3条(最終データ管理者)、ならびに本別紙1Aの第3項(Google 最終データ管理者)、第5項(データ管理者SSCs)および第6項(データ管理者SCCsが適用される場合の責任)の第三者受益者となります。本第7項(第三者受益者)が本契約の他の規定と矛盾し、または整合しない限りにおいては、本第7項(第三者受益者)が適用されることとします。

8. 優先

8.1データ管理者SCCs、本別紙1A、本データ管理者規約のその他の条項、および/または本契約のその他の部分に矛盾または不一致があった場合には、データ管理者SCCsが優先されるものとします。

8.2追加的な商業規定 本契約は、本データ管理者規約により修正されることを条件として、有効に存続します。本別紙1Aの第5.5項(Google への連絡)ないし第5.7項(終了時のデータ削除)および第6項(データ管理者SCCsが適用される場合の責任)は、データ管理者SCCsの第2条(a)(条項の効力および不変性)で容認される、データ管理者SCCsに関連する追加的な商業規定となります。

8.3データ管理者SCCsの変更のないこと 本契約(本データ管理者規約を含みます)中のいかなる定めも、データ管理者SCCsを変更し、もしくはデータ管理者SCCsと矛盾すること、または欧州データ保護法に基づくデータ主体の基本的権利または自由を損なうことを意図していません。

B - アメリカ合衆国のプライバシー関連州法に関する追加規約

1. はじめに

Google は、business.safety.google/rdp で公開されている随時更新されるサポート文書に記載されている制限付きのデータ処理(以下、「制限付きデータ処理」)に関連する特定の製品内設定、構成、またはその他の機能をデータ管理者サービスのために提供することができ、お客様はこれらを有効にすることができます。本別紙1Bは、アメリカ合衆国のプライバシー関連州法に関連する本契約に基づくお客様個人データおよび非識別化データ(以下に定義)の処理に関する両当事者の合意を反映したものであり、アメリカ合衆国の各プライバシー関連州法が適用される範囲においてのみ有効です。

2. 追加の定義と解釈

本別紙1Bにおいて、以下の文言および表現の意味内容は、以下のとおりとします。

(a)お客様個人データ」とは、Google がお客様のために、Google の提供するデータ管理者サービスにおいて処理する個人データをいいます。

(b)非識別化データ」とは、一方当事者から他方当事者に開示される際に「非識別化」(CCPA の定義による)されたデータ情報および「非識別化データ」(他のアメリカ合衆国のプライバシー関連州法の定義による)をいいます。

(c)指示」とは、アメリカ合衆国のプライバシー関連州法にのみ従って、お客様個人データを、(a) RDP サービスおよび関連する技術的サポートを提供するために、(b) お客様による RDP サービス(データ処理者サービスの設定およびその他の機能を含む)および関連する技術的サポートの利用を通じてより詳細に特定されるとおりに、(c)本別紙1Bを含む本契約の形で規定されているとおりに、(d) お客様によってなされるその他の書面による指示であって、本別紙1Bの目的において指示にあたると Google によって認識されるものにおいて詳細が記載されるとおりに、および (e) サービス プロバイダおよびデータ処理者のためにアメリカ合衆国のプライバシー関連州法の下で許可されるとおり処理するよう求める、お客様から Google への指示を総称していいます。

(d)RDP サービス」とは、制限付きデータ処理の下で運営されるデータ管理者サービスをいいます。

(e)期間」とは、本規約発効日から本契約に基づくGoogleによるデータ管理者サービスの提供が終了するまでの期間を意味します。

(f) 本別紙1Bで使用される「事業」、「消費者」、「個人情報」、「販売」、「販売する」、「サービス プロバイダ」、および「共有」という用語は、アメリカ合衆国のプライバシー関連州法において定められている意味を有します。

(g)お客様は、制限付きデータ処理を含む Google サービスの利用において、アメリカ合衆国のプライバシー関連州法を遵守することに関して単独で責任を負うものとします。

3. (制限付きデータ処理における)アメリカ合衆国のプライバシー関連州法に関する規約

制限付きデータ処理の下で処理されるお客様個人データに関して、また、お客様個人データの処理にアメリカ合衆国のプライバシー関連州法の1つ以上が適用される範囲において、以下のとおり定めます。

3.1データの処理

3.1.1役割および遵守ならびに承認

(a)データ処理者およびデータ管理者の責任 両当事者は、次の事項を確認し、合意するものとします。

(i)別紙1Bの第7項(アメリカ合衆国のプライバシー関連州法に基づくデータ処理の対象および詳細)が、お客様個人データの処理の対象および詳細を規定していること。

(ii)Google が、サービス プロバイダであり、かつ欧州データ保護法に基づくお客様個人データのデータ処理者であること。

(iii)お客様は、アメリカ合衆国のプライバシー関連州法に基づくお客様個人データのデータ管理者またはデータ処理者に該当すること。

(b)データ処理者であるお客様 お客様がデータ処理者である場合において、

(i)お客様は、関連するデータ管理者が、(i) 指示、(ii) Google をもう一つのデータ処理者としてお客様が任命すること、および (iii) 本別紙1Bの第3.6項(委託先)に記載される委託先に Google が委託することを承認していることを継続的に保証するものとします。

(ii)お客様は、本別紙1Bの第3.3.2項(a)(インシデント通知)および第3.6項(委託先)に基づき Google によって提供される通知を関連するデータ管理者に直ちに転送するものとします。

(iii)お客様は、本別紙1Bの第3.3.3項(c)(お客様の監査の権利)および第3.6項(委託先)に基づき Google によって利用可能とされる情報を関連するデータ管理者に対して利用可能とできるものとします。

3.1.2お客様の指示 本別紙1Bを締結することにより、お客様は、Google に対し、指示にのみ従って、お客様個人データを処理することを指示するものとします。

3.1.3Google による指示の遵守 Google は、アメリカ合衆国のプライバシー関連州法によって禁止されていない限り、指示を遵守します。

3.1.4 追加プロダクト Google または第三者が提供するプロダクト、サービスもしくはアプリケーションであって、(a) RDP サービスの一部ではなく、かつ (b) RDP サービスのユーザー インターフェース内での使用のためにアクセス可能であるか、その他の形でデータ処理者サービスと統合されているもの(以下、「追加プロダクト」)をお客様が使用する場合、RDP サービスは、当該追加プロダクトの RDP サービスとの相互運用のために必要となる範囲で、RDP サービスにおいて、当該追加プロダクトがお客様個人データにアクセスすることが許可されるものとします。正確を期すため、本別紙1Bは、個人データが追加プロダクトとの間で送受信されることを含め、お客様が利用する追加プロダクトの提供に関連した個人データの処理には適用されないことを付記します。

3.2本期間満了時のデータの削除 お客様は、Google に対し、適用される法令に従って、本期間終了時においてGoogle のシステムからすべての残存するお客様個人データ(既存の複製データを含む)を削除するよう指示します。Google は、適用される法令により保存が要求される場合を除き、実行可能な限り速やかに、最大180日間以内に、この指示に従うものとします。

3.3 データセキュリティ

3.3.1Google のセキュリティ措置および支援

(a)Google のセキュリティ措置 Google は、偶発的または不法な破壊、紛失、改ざん、不正な開示またはアクセスからお客様個人データを保護するための技術的および組織的措置を実行し、維持するものとします(以下、「セキュリティ措置」)。セキュリティ措置には、(i) 個人データを暗号化するため、(ii) Google のシステムおよびサービスの秘密保持、インテグリティ、アベイラビリティおよび回復力を継続的に確保するため、(iii) インシデント発生後に個人データへのアクセスを適時に復旧するため、また (iv) 有効性の定期的な検査のための措置が含まれます。Google は、セキュリティ措置を随時更新または修正することができますが、これによりお客様個人データの全体のセキュリティを低下させないものとします。

(b)アクセスおよびコンプライアンス Google は、お客様個人データの処理を許可されたすべての者に、機密保持を誓約させ、または適切な法令に基づく機密保持義務を負わせるようにします。

(c)Google のセキュリティ支援 Google は、(Google が利用可能なお客様個人データおよび情報の処理の性質を考慮の上)以下に掲げる事項により、お客様が、アメリカ合衆国のプライバシー関連州法に基づく個人データのセキュリティおよび個人データの侵害に関するお客様(または、お客様が処理者である場合には、関連するデータ管理者)の義務を含む、個人データのセキュリティおよび個人データの侵害に関するお客様(または、お客様が処理者である場合には、関連するデータ管理者)の義務を遵守できるよう支援します。

(i)第3.3.1項(a)(Google のセキュリティ措置)に基づくセキュリティ措置の実行および維持

(ii)第3.3.2項(データ インシデント)に定める条件の遵守

(iii)第3.3.3項(c)(お客様の監査権)に基づき付与される権利のお客様への提供

3.3.2データ インシデント

(a)インシデント通知 Google がデータ インシデント(以下に定義)を認識した場合、Google は、(i) お客様に対し、データ インシデントが発生した旨を速やかにかつ不当な遅滞なく通知し、かつ(ii)損害を最小限にし、お客様個人データを保護するための、合理的な措置を速やかに講じます。本別紙1Bにおいて、「データ インシデント」とは、Google によって管理されまたはその他コントロールされているシステム上のお客様個人データに関する偶発的もしくは不法な破壊、紛失、改ざん、不正な開示またはアクセスにつながる Google のセキュリティの侵害をいいます。データ インシデントには、不正なログインの試行、Ping、ポートスキャン、DoS攻撃およびその他ファイアウォールまたはネットワークシステムに対するネットワーク攻撃など、お客様個人データのセキュリティに脅威を与えない、成功しなかった試行や活動は含まれません。

(b)通知の発信 Google は、データ インシデントに関する通知を、本別紙1Bに関する Google からのお知らせを受け取るために、RDP サービスのユーザーインターフェースまたはその他Google が提供する方法を経由してお客様が指定したメールアドレス(以下、「通知メールアドレス」)に発信するか、または Google の裁量により(お客様が通知メールアドレスを提供していない場合などに)他の直接的な連絡方法(例えば、電話、電子メール、直接の面談など)で通知いたします。お客様は、通知メールアドレスを提供すること、および通知メールアドレスが最新かつ有効であることを確認することについて、単独で責任を負うものとします。

(c)第三者通知 お客様は、お客様に適用されるインシデント通知に関する法律を遵守すること、および、 データ インシデントに関する第三者への通知義務を履行することについて単独で責任を負います。

(d) Google の過失承服の不存在 第3.3.2項(データ インシデント)に基づくデータ インシデントに対するGoogle からの通知または返答は、データ インシデントに関していかなる過失や責任をもGoogle が認めたものとは解されません。

3.3.3 お客様のセキュリティ上の責任と評価

(a)お客様のセキュリティ上の責任 第3.3.1項(Google のセキュリティ措置および支援)および第3.3.2項(データ インシデント)を変更しない範囲で、次の事項に同意します。

(i)お客様が以下の各号を含めた RDP サービスの利用について責任を負うこと。 (1)お客様個人データに関するリスクに対して適切なセキュリティのレベルを確保するため、RDP サービスを適切に利用すること (2)お客様が RDP サービスにアクセスするために使用するアカウント認証のために要求される情報、システムおよびデバイスを保護すること

(ii)お客様がGoogle のシステムまたは委託先のシステム以外の場所にお客様個人データを保管または移転することを選択した場合、Google は、かかるお客様個人データを守る義務を負わないこと。

(b)お客様のセキュリティ評価 お客様は、第3.3.1項(a)(Google のセキュリティ措置)に記載されている、Google によって実行、維持されるセキュリティ措置が、最先端の技術、実施コストやお客様個人データおよび各個人に対するリスクの処理の性質、範囲、背景や目的を考慮の上、お客様個人データに関するリスクに対して適切なレベルのセキュリティを提供していることにつき承諾し、同意するものとします。

(c)お客様の監査の権利

(i)お客様は、(1) お客様の要求日から 12 か月以内に、第三者監査人により実施された監査の結果を反映するセキュリティ検証について発行された証明書(SOC 2 Type II または ISO/IEC 27001 認証、もしくは同等の認証、またはお客様と Google が合意した第三者の監査人により実施された監査のその他のセキュリティ認証など)、および(2) お客様が本別紙1Bに基づく Google の義務の遵守を検証するために合理的に必要であると Google が判断するその他の情報を要求し、確認することにより、かかる遵守を検証するための監査を実施することができます。

(ii)または、Google は、独自の裁量で、お客様からのリクエストに応じ、本別紙1Bに基づく Google の義務の遵守を確認するために、第三者による監査を開始することができます。かかる監査の間、Google は、かかる遵守を証明するために必要なすべての情報を第三者監査人に対して利用可能にします。お客様がかかる監査をリクエストする場合、Google は、監査のための(Google の合理的な費用に基づく)料金を請求することができます。Google は、監査に先立って、お客様に対し請求される料金およびその根拠となった計算式の詳細について提供します。お客様は、お客様が任命した第三者監査人によって請求される監査を実施するための料金について責任を負います。

(iii)本別紙1Bは、Google に対して、以下の各号に掲げる情報について、お客様またはその第三者監査人への情報開示またはアクセス許可を何ら要求するものではありません。

(1)Google 法人の他のお客様に関するデータ

(2)Google 法人の内部会計情報または財務情報

(3)Google 法人の営業秘密

(4)Google の合理的見解として、(A) Google 法人のシステムまたは施設のセキュリティを脅かす可能性のある情報、または(B) Google 法人に、アメリカ合衆国のプライバシー関連州法上の義務違反またはお客様もしくは第三者に対するセキュリティおよび/もしくはプライバシーの義務違反を生じさせる可能性のある情報

(5)お客様またはその第三者監査人がアメリカ合衆国のプライバシー関連州法に基づくお客様の義務の誠実な履行以外の理由でアクセスを求める情報

3.4影響評価の支援 Google は、データ保護の影響評価やアメリカ合衆国のプライバシー関連州法に基づき求められる範囲における規制に関する事前相談に関して、(処理の性質やGoogle が取得できる情報を考慮して)以下の各号の方法によって、お客様がお客様(または、お客様が処理者である場合には、関連するデータ管理者)の義務の遵守を確実にできるよう支援します。

(a) セキュリティ文書を提供すること

(b) 本契約(本別紙1Bを含む)に含まれる情報を提供すること

(c) Google の通常の運用に従い、RDP サービスの性質やお客様個人データの処理に関係するその他の資料(例えば、ヘルプセンター資料など)を提供または入手可能にすること

3.5データ主体の権利

3.5.1データ主体からの請求への対応 Google がデータ主体からお客様個人データに関する請求を受けた場合には、お客様は、次の事項を行う権限をGoogle に与え、Google は、お客様に対してここに次の事項を通知します。

(a) お客様個人データに関するデータ主体からの特定の請求(オンライン広告の設定やオプトアウト ブラウザ プラグインなど)に対して、Google が直接的かつ標準的な方法により対応することを可能にする、Google 法人がデータ主体に対して提供するツール(ある場合)(以下、「データ主体ツール」)の標準機能に従って、データ主体の請求に直接対応すること(当該請求がデータ主体ツールを介して行われたとき)。

(b) データ主体に対して、お客様へ当該請求を提出するように助言すること(当該請求がデータ主体ツールを介さずに行われたとき)。この場合、お客様が、当該請求に返答する責任を有することになります。

3.5.2データ主体の請求に関する Google の支援アメリカ合衆国のプライバシー関連州法に基づきデータ主体の権利を行使するための請求に対応するお客様(または、お客様が処理者である場合には、関連するデータ管理者)の義務を果たすにあたって、Google は、あらゆる場合において、お客様個人データを処理することの特質を考慮した上で、以下の方法でお客様を支援します。

(a) RDP サービスの機能の提供

(b) 第3.5.1項(データ主体からの請求への対応)に規定される責任を果たすこと

(c) データ主体ツールを利用可能にすること(RDP サービスに適用される場合)

3.5.3 修正 お客様が、お客様個人データが不正確であるか、最新でないと認識した場合には、お客様は、アメリカ合衆国のプライバシー関連州法により要求されるときには、(該当する場合において)RDP サービスの機能を用いて行う場合を含め、かかるデータの修正や削除に責任を負うものとします。

3.6委託先

(a) お客様は、RDP サービスの提供に関連して、Google が他の事業体を委託先として採用することについて、包括的な承認を与えるものとします。委託先に委託する場合には、Google は以下のことを行います。

(i) 書面による契約によって、(1) 処理委託先は、委託された義務の遂行に必要な限度でのみ、お客様個人データを入手および利用し、また、(本別紙1Bを含む)本契約に従ってこれらを行うこと、および(2) お客様個人データの処理がアメリカ合衆国のプライバシー関連州法の対象となる場合は、本別紙1Bのデータ保護義務が委託先に課されることを確保します。

(ii) 新たな委託先に委託する場合、アメリカ合衆国のプライバシー関連州法で義務付けられている場合には、当該新規委託先に関する通知を行い、アメリカ合衆国のプライバシー関連州法で義務付けられている場合には、さらに、お客様が当該委託先に異議を唱える機会を提供します。

(iii) 委託先へ委託されたすべての義務および委託先のすべての行為および過失について、完全な責任を保持します。

(b) お客様は、Google に対する書面による通知をもって、自己都合により直ちに本契約を終了することにより、新規委託先に異議を唱えることができます。ただし、お客様が、第3.6条(a)(ii)に記載されるとおり新規委託先の委託について通知を受けてから90日以内にかかる通知を行うことを条件とします。

3.7Google へのお問合せ お客様は、本別紙1Bに規定された権利の行使に関連して、 privacy.google.com/businesses/processorsupport に記載の方法を用いるか、その他、Google から随時提供される方法によって、Google に問い合わせすることができます。

4. アメリカ合衆国のプライバシー関連州法に関する規定

4.1非識別化データ 制限付きデータ処理が有効であるか否かにかかわらず処理されるお客様個人データに関して、また、お客様個人データの処理にアメリカ合衆国のプライバシー関連州法の1つ以上が適用される範囲において、各当事者は、本契約に基づき相手方当事者から受領する非識別化データに関して、アメリカ合衆国のプライバシー関連州法に定める非識別化データの処理に関する要件を遵守するものとします。本第4.1項(非識別化データ)の目的上、お客様個人データとは、本契約に基づき、当事者がデータ管理者サービスの提供または使用に関連して処理する個人データを意味します。

5. CCPA に基づく Google の義務

5.1制限付きデータ処理の下で処理されるお客様個人データに関して、および当該お客様個人データの処理に CCPA が適用される範囲において、Google は、お客様のサービス プロバイダとして、CCPA の下でサービス プロバイダとして、CCPA に基づきサービス プロバイダに対して許可されている場合を除き、Google の合理的な判断により、以下のことを行います。

(a)Google は、本契約に関連してお客様から取得したお客様個人データを販売または共有することはありません。

(b) Google は、随時更新される business.safety.google/rdp において公開されているサポート文書に詳しく記載されているとおり、お客様のために CCPA に基づく事業目的および RDP サービスの実施という特定の目的以外に、お客様個人データを保持、使用、開示することはありません(Google とお客様との間の直接的な事業関係以外を含む)。

(c)Google は、CCPA に基づき許可されている範囲を除き、Google がお客様から、またはお客様の代理として受領したお客様個人データを、(i) Google が別の者から、または別の者の代理として受領した個人情報、または (ii) Google と消費者とのやりとりから収集された個人情報と結合することはありません。

(d)Google は、本契約およびサポート文書(ヘルプセンターの記事など)にさらに記載されているとおり、または CCPA で認められているとおり、RDP サービスの実施という特定の目的のために Google にかかるお客様個人データを処理し、両当事者は、お客様がかかる目的のためかかるお客様個人データを Google に提供することに同意するものとします。

(e)Google は、本別紙1Bの第3.3.3項(c)(お客様の監査権)に従い、Google が本別紙1Bに基づく義務を遵守していることを確認するための監査を許可します。

(f)Google は、CCPA に基づく義務をもはや果たすことができないと判断した場合、お客様に通知します。本第5.1項(f)は、本契約の他の部分におけるいずれかの当事者の権利および義務を軽減するものではありません。

(g)Google が不正な方法でお客様個人データを処理しているとお客様が合理的に考える場合、お客様は、 privacy.google.com/businesses/processorsupport に記載されている方法でその旨を Google に通知する権利を有し、両当事者は、必要に応じて、違反が疑われる処理行為を是正するために誠意をもって協力するものとします。

(h)Googleは、CCPA の下で適用される義務を遵守し、CCPA によって要求されるのと同じレベルのプライバシー保護を提供します。

5.2 制限付きデータ処理が有効化されていない状態で処理されたお客様個人データに関して、 およびお客様個人データの処理に CCPA が適用される範囲において、

(a)Google は、該当する場合、本契約およびサポート文書(ヘルプセンターの記事など)にさらに記載されているとおり、または CCPA の下で許可されているとおり、データ管理者サービスの実施という特定の目的のためにかかるお客様個人データを処理し、両当事者は、お客様がかかる目的のためにかかるお客様個人データを Google に提供することに同意するものとします。

(b)Google は、本別紙1Bの第3.3.3項(c)(お客様の監査権)に従い、Google が本別紙1Bに基づく義務を遵守していることを確認するための監査を許可します。

(c)Google は、CCPA に基づく義務をもはや果たすことができないと判断した場合、お客様に通知します。

(d)Google が不正な方法でお客様個人データを処理しているとお客様が合理的に考える場合、お客様は、 privacy.google.com/businesses/processorsupport に記載されている方法でその旨を Google に通知する権利を有し、両当事者は、必要に応じて、違反が疑われる処理行為を是正するために誠意をもって協力するものとします。

(e)Googleは、CCPA の下で適用される義務を遵守し、CCPAによって要求されるのと同じレベルのプライバシー保護を提供します。

6. 本別紙1Bの変更

データ管理者規約第7条(本データ管理者規約の変更)に加え、以下に該当する場合、Google は、予告なく本別紙1Bを変更できるものとします。 (a) 適用される法律または規制、裁判所命令、政府の監督者または官庁によって発されたガイダンスに基づく変更である場合、または、 (b) アメリカ合衆国のプライバシー関連州法に基づき、お客様に対して重大かつ不利益な影響力を有さないとGoogle が合理的に決定した場合

7. アメリカ合衆国のプライバシー関連州法に基づくデータ処理の対象と細目

対象

Google によるお客様への RDP サービスおよびその他関連する技術サポートの提供

本処理の期間

本期間および本期間の終了から、別紙1Bに従い、Google によってすべてのお客様個人データが削除されるまでの期間

本処理の性質と目的

Google は、お客様へ RDP サービスおよびその他関連する技術サポートを提供するという目的のために、本別紙1B に従って、またはその他アメリカ合衆国のプライバシー関連州法に基づき処理者が認めるところに従って、お客様個人データを処理します(データ処理者サービスおよび指示に適用される、収集、記録、整理、構成、保管、修正、回収、使用、開示、組み合わせ、消去および破壊を含みます)。

個人データの種類

お客様個人データには、アメリカ合衆国のプライバシー関連州法で規定される種類の個人データが含まれる場合があります。

データ主体のカテゴリー

お客様個人データは、以下のカテゴリーのデータ主体に関連するものとなります。

  • Google が、自らによる RDP サービスの提供において個人データを収集する対象とするデータ主体、および/または
  • お客様によって、お客様の指図により、またはお客様のために RDP サービスに関連して個人データがGoogle に移転されるデータ主体。

RDP サービスの性質により、これらのデータ主体には、(a) オンライン広告の対象とされているか、対象とされる個人、(b) Google による RDP サービスの提供に関連する特定のウェブサイトもしくはアプリケーションを閲覧した個人、および/または(c) お客様のプロダクトもしくはサービスの顧客やユーザーである個人が含まれる場合があります。

Google 広告データ管理者間のデータ保護規約、第 7.0 版

2023 年 9 月 1 日

旧版

本規約の日本語訳は参考訳です。日本語訳と英語との間に齟齬が生じた場合、英語の原文が優先します。