デジタリー・サービス
データ保護に関する補遺

このデータ保護補足契約（以下「DPA」）は、以下に定義する契約書に明記されるInstructure事業体（以下「Digitary」または「サービスプロバイダー」）と、以下に定義する契約書に明記される顧客または会員（以下「データ管理者」または「会員」）との間で締結されるものであり、契約日より有効となります。「契約書」とは、注文書および付随する利用規約、または特定のDigitaryサービスの購入に関して両当事者間で締結されるその他の書面または電子契約を意味します。本DPAの条件は、参照により本契約の条件に組み込まれます。

本DPAは、以下の範囲においてのみ適用され、個人データの処理に適用されるものとします：1) Digitaryが、適用されるデータ保護法（以下に定義）の条件下で、データ処理業者またはサービスプロバイダーである場合、2) データ管理者が、適用されるデータ保護法の対象となる場合、および 3) Digitaryが、本契約に基づき、個人データの処理を実行する場合。

 

1.定義 本DPAにおける以下の用語は、以下の意味を有するものとします：

1. 1. 「適用されるデータ保護法」とは、プライバシー、データ保護、データセキュリティ、違反通知、または個人データの処理に関連する、あらゆる司法管轄区において適用されるすべての法律、規制、およびその他の法的要件を意味します。Civ.カリフォルニア州消費者プライバシー法（California Consumer Privacy Act）、California Civ. Code § 1798.100 et seq.およびその改正（以下「CCPA」）、一般データ保護規則（General Data Protection Regulation）、規則（EU）2016/679（以下「GDPR」）、スイス連邦データ保護法（Swiss Federal Data Protection Act）、および2018年英国データ保護法（United Kingdom Data Protection Act of 2018）（以下「英国プライバシー法」）を含みますが、これらに限定されません。
   2. 「CCPA」とは、2018年カリフォルニア州消費者プライバシー法（Cal. Civ. Code § 1798.100～1798.199）およびカリフォルニア州司法長官が提供する関連規則またはガイダンスを意味します。ただし、本DPAは、会員への本サービスの提供に関連してサービス提供者が受領またはアクセスする個人情報のみに適用され、サービス提供者が本サービス契約とは無関係に処理する個人情報には適用されないものとします。
   3. 「データ管理者」とは、単独で、または他者と共同で、個人データ処理の目的および手段を決定する自然人または法人を指し、本DPAの目的上、データ管理者として上記で特定されます；
   4. 「データ処理者」とは、単独で、または他者と共同で、データ管理者に代わって個人データを処理する自然人または法人を指し、本DPAにおいてはDigitaryを指します；
   5. 「データ主体」は、適用されるデータ保護法において与えられる意味を有するものとする；
   6. 「技術的および組織的な安全対策」とは、偶発的または違法な破壊、偶発的な紛失、改ざん、不正な開示またはアクセス、特に処理にネットワーク経由のデータ転送が含まれる場合、およびその他すべての違法な形態の処理から個人データを保護することを目的とした対策を意味します。
   7. 「個人データ」には、「個人データ」、「個人情報」、および「個人を特定できる情報」が含まれ、これらの用語は、適用されるデータ保護法で定義されているのと同じ意味を有します。
   8. 「個人データの漏えい」とは、個人データの偶発的または違法な破壊、紛失、改ざん、不正な開示、流出、または個人データへのアクセスを意味します。
   9. 「処理」とは、収集、記録、整理、作成、構造化、保存、適応または変更、検索、相談、使用、送信による開示、普及またはその他の方法による利用可能化、整列または結合、制限、消去または破壊など、自動化された手段であるか否かを問わず、個人データまたは個人データの集合に対して行われる操作または一連の操作を意味します。
   10. 「サブプロセッサー」とは、個人データの処理のためにDigitaryが従事するデータ処理業者の関連会社または下請業者を意味します。
   11. 「EU標準契約条項」とは、欧州議会および理事会の規則（EU）2016/679に従って個人データを第三国に移転するための標準契約条項に関する2021年6月4日の欧州委員会実施決定（EU）2021/914に従って発行された標準契約条項を意味し、http://data.europa.eu/eli/dec_impl/2021/914/oj で入手可能であり、以下の「データ移転」のセクションに記載されているとおりに記入されています。
   12. 「英国標準契約条項」とは、以下の「データ移転」に記載されているとおり完成された、EU委員会標準契約条項に対する国際データ移転DPA（発効日現在、https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/）で入手可能なものを意味します。

 

2.処理の性質と目的 当該処理は、本契約に詳述されている該当するデジタリーのサービス（以下「本サービス」といいます）について、本契約に規定された目的のためにのみ、本契約の期間中、実施されるものであり、これには、成績証明書、その他の資格証明書タイプおよび入学関連文書の要求を満たすことが含まれ、特定の文書または記録を記録保持者から記録受領者に送付させる注文の処理を含む場合があります。デジタリーは、会員による本サービスの利用が適用されるデータ保護法を遵守しているかを監視する義務を負わないものとします。本DPAを含む本契約の諸条件は、会員による本サービスの設定またはオプションの設定とともに、標準契約条項の目的も含め、個人データの処理に関する会員のDigitaryに対する完全かつ最終的な指示を構成するものとします。上記を制限するものではありません：

1. 1. デジタリーは、会員の「サービスプロバイダー」としてのデジタリーの役割と矛盾する方法で個人データを処理しません。
   2. デジタリーは、会員の「サービスプロバイダー」としてのデジタリーの役割と矛盾する方法で、個人データを「販売」または「共有」することはありません。

 

3.データ管理者 データコントローラーは、そのクライアントおよび/または生徒のユーザーデータの限定された量をDigitaryに提供します。両当事者は、Digitaryおよび/またはサブプロセッサーによる個人データのすべての処理は、本契約に定めるデータコントローラーの指示にのみ従って行われることに同意するものとします。Digitaryは、データ管理者が適用されるデータ保護法の該当条項に定める権利および義務を有することを理解し、これに同意するものとします。Digitaryは、個人データに関するデータ管理者からの指示が、適用されるデータ保護法に違反するとDigitaryが判断した場合、速やかにデータ管理者に通知するものとします。また、Digitaryは、適用されるデータ保護法に基づく義務を果たすことができなくなったと判断した場合、速やかにデータ管理者に通知するものとします。

 

4.ディジタリーの義務 Digitaryは、本DPAの条項および適用されるデータ保護法に基づくデータ処理者である限りにおいて、同意するものとします：

1. 1. その場合、Digitary が法的に禁止されていない限り、Digitary はデータ管理者にそのような法的要件を直ちに通知するものとします；
   2. 個人データを処理する権限を与えられた者が守秘義務を負うか、または適切な守秘義務の受託者の下にあることを確認すること；
   3. 適用されるデータ保護法に従い、実行される処理の性質、範囲および種類に適切な、商業的に適切な技術的および組織的セキュリティ対策を実施および維持していること、ならびに（もしあれば）サブ・プロセッサーの技術的および組織的セキュリティ対策をレビューしていること；
   4. Digitaryが個人データの漏洩を確認した場合、48時間以内にデータ管理者に通知すること；
   5. データ管理者が本サービスを利用する際に、個人データに関する要求に直接対応する能力がない場合、データ管理者が、適用されるデータ保護法に基づく権利（アクセス権、訂正権、異議申立権、および消去権を含む）の行使を求めるデータ主体からの要求に対応できるよう、合理的な支援を提供すること；
   6. 法執行機関による個人データに関連する法的拘束力のある要求（個人データ漏洩への対応、個人データ漏洩に関連する適用されるデータ漏洩通知法への準拠を含む）、およびデータ保護影響評価と協議（データ保護影響評価と協議が必要な場合、データ管理者を支援する場合）を遵守するために、データ管理者を合理的に支援すること；
   7. 個人データ漏洩が発生したことが判明した後、過度な遅滞なく、データ管理者に個人データ漏洩を通知し、可能な範囲で以下の情報を提供します：
      1. 可能であれば、関係するデータ主体のカテゴリーとおおよその数、関係する個人データ記録のカテゴリーとおおよその数を含む、個人データ漏えいの内容；
      2. 個人データ漏えいがもたらすと思われる結果
      3. 個人データの漏洩に対処するためにDigitaryが講じた、または講じようとしている措置（適切な場合、その起こりうる悪影響を軽減するための措置を含む）；
   8. 個人データの処理に関する監督当局の要請を遵守し、これに協力すること；
   9. 適用されるデータ保護法に基づく義務の遵守を合理的に証明するために必要なデータ処理活動を、年1回を超えない範囲で、データ管理者による監査のために提出すること。ただし、データ管理者または第三者の代理人は、かかる監査情報の守秘義務に拘束されるものとします。ただし、かかる監査情報については、Digitaryまたは第三者の代理人は守秘義務を負うものとします。明確化のため、かかる監査または検査は、Digitaryがデータコントローラに代わって適用されるデータ保護法の対象となる個人データを処理することのみに限定され、Digitaryの事業または情報システムまたはその他のメンバーのその他の側面には適用されないものとします。データコントローラーは、監査に対して60日前にDigitaryに書面による通知を行うものとし、Digitaryの事業運営に最小限の混乱をもたらす方法で監査を実施するものとし、他の会員のデータまたは情報、または監査の許可された目的に直接関連しないその他の機密情報を受領する権利を有しないものとします。本条項は、Digitaryの敷地内において監査を実施する権利をData Controllerに付与するものではありません。データコントローラーは、監査に費やされた合理的な時間について、その時点のDigitaryの現行料金でDigitaryに払い戻すものとし、この料金は要求に応じてデータコントローラーに提供されるものとします。
   10. 但し、適用される法的要件により個人データの保存が必要とされる場合は、(a)法的に許される範囲で、法的要件およびDigitaryが保存する予定の特定の個人データ記録をデータコントローラに通知し、(b)法的要件の遵守以外の目的で個人データを処理せず、(c)実行可能な限り速やかに当該個人データを安全に破棄するものとします。

 

5.サブプロセッサー。 データコントローラは、Digitaryが本サービスを提供するために、適用法に従って個人データの処理のためにサブプロセッサーを使用できることを認め、これに同意するものとします。Digitaryの現在のサブプロセッサーのリストは、スケジュールAで入手できます。Digitaryは、本DPAに定めるデータ保護義務と実質的に同一の契約上の義務をあらゆるサブプロセッサーに課すものとし、サブプロセッサーがかかるデータ保護義務を履行することに対して、データコントローラに対して引き続き責任を負うものとします。Digitaryは、新たなサブプロセッサが個人データの処理を提案する10日前に、提案されたサブプロセッサの身元をデータコントローラに通知します。データ管理者が、当該サブプロセッサーが本DPAに基づき要求される保護レベルを提供できないと合理的に判断し、当該サブプロセッサーに対してDigitaryに合理的な異議申し立てを行った場合、両当事者は、適切な解決策を見出すために誠意をもって協力するものとし、これには、(i)Digitaryが、当該サブプロセッサーが当該保護レベルを提供することを合理的に保証する記録または情報をデータ管理者に提供すること、または(ii)サービスを変更する、もしくは代替のサブプロセッサーからサービスを受けるための利用可能な代替手段を提供することが含まれるものとします。

 

6.データ管理者の義務 データ管理者は、Digitaryに対して以下の事項に同意し、表明し、保証するものとします：

1. 1. Digitaryが本契約に基づくサービスを履行するため、または本DPAで意図される個人データを処理するために必要な、適用されるデータ保護法に基づくすべての必要な権利および同意を取得していること。
   2. データ管理者は、適用法に違反して個人データを処理するようDigitaryに指示しないものとします。法律が変更された場合、本DPAによって提供される保証および義務に実質的な悪影響を及ぼす可能性があるため、データ管理者は速やかにその旨をDigitaryに通知するものとします。
   3. 適用されるデータ保護法に準拠したデータ保護ポリシーを実施し、維持すること。

 

7.データの移転 本サービスが、英国、EEAまたはスイスのデータ管理者から、当該管轄区域外でデータを処理するDigitaryのシステムまたは担当者への個人データの移転を伴う限りにおいて、両当事者はこれに同意するものとします：

1. 1. EEAおよびスイスから移転される個人データに関しては、EU標準契約条項が本DPAの一部を構成し、抵触する範囲において本DPAの他の部分に優先し、以下のとおり完了したものとみなされます：
      1. データ管理者は管理者として、Digitaryは処理者として、EU標準契約条項の対象となる個人データに関して行動し、そのモジュール2が適用されます。
      2. 条項7（オプションのドッキング条項）が含まれている。
      3. 第9条（サブプロセッサの使用）において、当事者はオプション2（一般的な書面による承認）を選択します。サブプロセッサーの初期リストは、本DPAの別表Aに記載されており、Digitaryはそのリストを更新し、サブプロセッサーの追加または交換が予定されている場合は、少なくとも10日前にデータコントローラーに通知するものとします。
      4. 第11条（救済）では、データ主体が独立した紛争解決機関に苦情を申し立てることを認めるというオプション要件は適用されない。
      5. 第17条（準拠法）において、当事者はオプション1（第三者の受益権を認めるEU加盟国の法律）を選択する。当事者はアイルランド法を選択する。
      6. 第18条（裁判地および管轄権の選択）により、当事者はアイルランドの裁判所を選択する。
      7. EU標準契約条項の付属書IおよびIIは、DPAの別表BおよびCに規定されている。
      8. EU標準契約条項の附属書III（サブプロセッサーのリスト）は、別表Aに定める。
      9. 本DPAを締結することにより、両当事者は、EU SCCsおよびその適用される表および付属情報に署名したものとみなされます。
   2. 英国から移転される個人データであって、その移転の国際的性質に英国法（欧州経済地域の管轄区域の法ではなく）が適用されるものについては、英国SCCが本DPAの一部を構成し、英国SCCに規定される本DPAの他の部分よりも優先されます（ただし、英国が英国SCCの更新版を発行しない限り、更新された英国SCCが優先されます）。本規定で使用される未定義の大文字用語は、英国SCCにおける定義を意味するものとする。英国SCCにおいては、以下のように完成されたものとみなされる：
      1. 英国SCCの表1：
         1. 両当事者の詳細は、両当事者およびその関連会社のいずれかがかかる譲渡に関与する範囲とし、本契約に定めるものを含むものとする。
         2. 主要連絡先は、本契約に定める連絡先とする。
      2. 英国SCCの表2：表2に記載された承認EU SCCは、両当事者により締結されたEU SCCとする。
      3. 英国SCCの表3：附属書1A、1B、IIおよびIIIは、協定および別表Bに定める。
      4. 英国SCCの表4：Digitaryは、UK SCCsの第19条に定めるとおり、本DPAを終了することができる。
      5. 本DPAを締結することにより、両当事者はUK SCCsおよびその適用される表および付属情報に署名したものとみなされる。

 

8.責任

1. 1. 両当事者は、本DPAまたは本契約のいかなる規定も、適用されるデータ保護法に基づく会員それぞれの責任および義務を免除するものではないことに同意するものとします。
   2. 本DPAの下で、または本DPAに関連して、各当事者の相手方当事者に対する責任は、本契約の規定に従って制限される。
   3. 会員は、Digitaryが本サービスの履行において会員に代わって個人データを処理する権利を有する範囲に関する指示について、Digitaryが会員に依存していることを認めるものとします。従って、デジタリーは、デジタリーの作為または不作為に起因するデータ主体からの請求について、かかる作為または不作為が会員の指示に起因するものである限り、または会員が適用されるデータ保護法に基づく義務を遵守しなかったことに起因するものである限り、本契約に基づく責任を負わないものとします。 両当事者は、Digitaryの責任は、本DPAおよび本契約に基づく自らの処理業務に限定されることに同意するものとします。両当事者は、本サービスに関連しないデータ管理者の作為または不作為に関連するデータ管理者による適用されるデータ保護法違反に起因または関連する損害について、Digitaryが責任を負わないことに同意するものとします。

 

9.批准。 本契約のその他の条件はすべて批准され、完全な効力を有します。本DPAは本契約の補遺であり、本契約と抵触する範囲において支配し、優先するものとします。

スケジュールA

サブプロセッサー

当社のサービスの提供をサポートするために、デジタリーは、特定のお客様データにアクセスできるデータ処理業者（以下、それぞれを「サブ処理業者」といいます）と契約し、使用することがあります。このページは、各サブプロセッサーの身元、所在地および役割に関する重要な情報を提供します。

デジタリーのサブ・プロセッサーのリストは、以下のサイトで公開される。 www.digitary.net/subprocessors.

スケジュールB

譲渡の説明

モジュール2コントローラをプロセッサに転送する

個人データが移転されるデータ主体のカテゴリー

• • 学生などデータ管理者のエンドユーザー

移転される個人データのカテゴリー

• • 連絡先情報、成績表データ、資格データ、在籍確認、出席記録、その他の教育情報または身元情報

転送の頻度（例えば、データが単発的に転送されるのか、継続的に転送されるのか）：

• • データ管理者がDigitaryにサービスの提供を依頼している間、継続的に。

処理の性質

• • 処理の性質は、本契約および関連する注文書に記載されているとおりです。

データ移転およびさらなる処理の目的

• • データ転送の目的は、本契約および関連する注文書に基づくDigitaryによるサービスの提供を促進することです。

個人データの保管期間、またはそれが不可能な場合は、その期間を決定するために使用した基準：

• • データは、適用される法律によって別途要求されない限り、処理の目的を達成するために必要な期間保持されます。

サブ）プロセッサーへの移転については、処理の対象、性質、期間も明記すること：

• • サブプロセッサーへの譲渡は、プロセッサーへの譲渡と同じ目的である。

C日程

セキュリティ要件

両当事者は、個人データの処理に関して、以下の管理的、技術的、物理的、組織的なセキュリティ対策を実施し、維持します：

両当事者の情報セキュリティプログラムには、両当事者の職員、および個人データにアクセスできるすべてのサブプロセッサーまたは代理人（「データ担当者」）に対する特定のセキュリティ要件が含まれています。セキュリティ・プログラムは以下の分野をカバーしています：

1. 1. 情報セキュリティ方針および基準。両当事者は、管理的、技術的、物理的なセキュリティ管理および手続きに対応する、書面による情報セキュリティ方針、基準、および手続きを維持します。これらの方針、基準、および手順は、常に最新の状態に維持し、個人データを使用または保存する情報システムに関連する変更が加えられるたびに改訂するものとします。
   2. 物理的セキュリティ。両当事者は、個人データを使用または保存する情報システムが設置されているすべての当事者拠点（「処理拠点」）において、当該処理拠点へのアクセスを合理的に制限し、侵入を検出、防止、および対応するための措置を講じることを含む、商業上合理的なセキュリティシステムを維持します。
   3. 組織のセキュリティ。両当事者は、許容されるデータ使用基準、データ分類、およびインシデント対応プロトコルに対処する情報セキュリティ方針および手順を維持する。
   4. ネットワークセキュリティ。両当事者は、ネットワークセキュリティに対応する商業的に合理的な情報セキュリティポリシーおよび手順を維持する。
   5. アクセス管理。両当事者は、以下の事項に同意するものとします：(2) 両当事者は、パスワードを作成し保護するために、商業上合理的な物理的および技術的保護措置を実施します。
   6. ウイルスおよびマルウェアの管理。両当事者は、悪意のあるコードから個人データを保護し、個人データを取り扱うすべてのシステムエンドポイントにアンチウィルスおよびマルウェア保護ソフトウェアをインストールし、維持し、ウェブサーバーに適用される制御を維持します。
   7. 人事。両当事者は、従業員にセキュリティ義務について教育するためのセキュリティ意識向上 プログラムを実施し、維持している。データ取扱要員は、確立されたセキュリティポリシーと手続きに従う。データ要員が関連する方針および手続を遵守しなかった場合は、懲戒手続が適用される。
   8. 事業の継続性。両当事者は、最新の状態に維持され、定期的に改訂される災害復旧および事業再開計画を実施する。また、両当事者は、ビジネスや処理の変化など、新しい法律や状況に照らして、情報セキュリティ・プログラムを調整する。