データ処理契約

1. 序文と適用範囲

本データ処理契約（以下「DPA」）は、Strion Inc.（以下「当社」）とお客様（以下「お客様」）との間のAdrow SaaSプラットフォーム（以下「本サービス」）の利用に関する利用規約（以下「本契約」）に組み込まれ、その一部を構成するものです。本DPAは、本サービスの提供過程においてお客様の個人データを処理者として処理する限りにおいて適用されます。本DPAは本契約の存続期間中有効です。

2. 定義

本DPAで使用されるが定義されていない大文字の用語は、本契約に定める意味を持つものとします。本DPAにおいて、以下の用語は以下に定める意味を持ちます：

• 「適用データ保護法」とは、GDPR（General Data Protection Regulation、EU 2016/679）を含むがこれに限定されない、本契約に基づく個人データの処理に適用されるすべての法律および規制を意味します。
• 「管理者」とは、GDPRに定義された意味を有します。
• 「顧客個人データ」とは、サービス提供の過程において、当社がお客様に代わって処理者として処理するすべての個人データを意味します。
• 「データ主体」とは、GDPRに定義された意味を有します。
• 「個人データ」とは、GDPRに定義された意味を有します。
• 「処理者」とは、GDPRに定義された意味を有します。
• 「セキュリティインシデント」とは、顧客個人データの偶発的または違法な破壊、紛失、改変、不正な開示またはアクセスにつながるセキュリティ侵害を意味します。
• 「標準契約条項」または「SCC」とは、欧州議会および欧州理事会の規則（EU）2016/679に基づき、欧州委員会により採択された、第三国への個人データ移転に関する標準契約条項を意味します。
• 「サブプロセッサー」とは、顧客個人データを処理するために当社が委託する第三者を意味します。

3. 役割と責任

当事者は、お客様の個人データの処理に関して、お客様が管理者であり、Strion Inc.が処理者であることを認め、合意するものとします。お客様は、処理の合法性およびお客様の個人データの正確性を含むがこれに限定されない、適用データ保護法に基づく管理者としての義務を遵守する責任を単独で負うものとします。当社は、お客様に代わって、かつお客様の文書化された指示に従ってのみ、お客様の個人データを処理するものとします。

4. 処理の範囲と目的

当社は、本契約に記載されたとおり、本サービスの提供、維持、改善の唯一の目的のためにお客様の個人データを処理するものとします。処理の対象、期間、性質、目的、個人データの種類、およびデータ主体のカテゴリーは、お客様の本サービスの使用により決定されます。

5. 再委託処理

お客様は、お客様の個人データを処理するためにサブプロセッサーを利用することについて、当社に対する一般的な承認を提供するものとします。当社は現在のサブプロセッサーの一覧を維持し、リクエストに応じてお客様に提供します。当社はサブプロセッサーの追加または変更に関する予定される変更についてお客様に通知し、お客様がかかる変更に異議を申し立てる機会を提供します。お客様が新しいサブプロセッサーに対して合理的な異議の根拠がある場合、当事者は解決策を見つけるために誠実に交渉するものとします。当社はサブプロセッサーに対し、本DPAに定めるものと同等以上のデータ保護義務を課すものとします。

6. データ主体の権利

お客様が本サービス内で関連するお客様の個人データに独自にアクセスできない範囲において、当社は処理の性質を考慮し、お客様がデータ主体からの適用データ保護法に基づく権利行使のリクエストに対応できるよう合理的な支援を提供するものとします。かかる支援はお客様の負担とします。

7. セキュリティ対策

当社は、お客様の個人データをセキュリティインシデントから保護し、お客様の個人データのセキュリティと機密性を維持するために、適切な技術的・組織的セキュリティ対策を実施し維持するものとします。これらの対策は、お客様の個人データへの不正アクセス、使用、改変、または開示を防止するよう設計されています。お客様は、これらの対策が技術の進歩と発展の影響を受け、当社が随時更新または変更する場合があることを認めるものとします。ただし、かかる更新・変更が本サービス全体のセキュリティの重大な低下をもたらさないことを条件とします。

8. セキュリティインシデントの通知

当社がセキュリティインシデントを認識した場合、過度な遅延なくお客様に通知するものとします。通知には、可能な範囲で、セキュリティインシデントの性質、影響を受けるデータ主体と個人データレコードのカテゴリーと概数、セキュリティインシデントの起こりうる結果、およびセキュリティインシデントに対処するために当社が講じた、または講じる予定の措置を記載します。本条に基づく当社のセキュリティインシデントの通知または対応は、当該セキュリティインシデントに関する当社の過失または責任を認めるものと解釈されないものとします。

9. 国際的なデータ移転

当社は、欧州経済領域（以下「EEA」）の域外にお客様の個人データを移転し処理する場合があります。お客様の個人データの移転がGDPRの対象であり、移転先の国が欧州委員会の十分性認定の対象でない場合、かかる移転は標準契約条項に準拠するものとし、同条項は本DPAに参照として組み込まれたものとみなされます。お客様は「データ輸出者」として、当社は「データ輸入者」としてSCCを締結したものとみなされます。

10. 監査

お客様は、合理的なリクエストに基づき、かつお客様の負担において、本DPAに基づく当社の義務の遵守について監査を行うことができます。かかる監査を容易にするため、当社は遵守を証明するために必要なすべての情報（最新のサードパーティ監査報告書（SOC 2等）の要約を含む）をお客様に提供します。当社の施設またはシステムの直接的な監査は許可されません。

11. 責任の制限

本DPAに起因または関連する各当事者の責任は、本契約に定める責任制限に従うものとします。本DPAに起因または関連するお客様からのすべての請求に対する当社の総責任額は、請求の原因となった事由が発生する前の12ヶ月間にお客様が本契約に基づいて当社に支払った料金の総額を超えないものとします。

12. 期間、解約およびデータの返還

本DPAは、当社が本契約に基づきお客様に代わってお客様の個人データを処理する限り有効です。本契約の解約または満了時に、当社は、お客様の選択に基づき、すべてのお客様の個人データを削除またはお客様に返還するものとします。ただし、適用法が個人データの保管を要求する場合を除きます。お客様は本契約の期間中、いつでも本サービスからデータをエクスポートすることができます。