データ処理付属書(DPA)

本DPAは、登録住所を2810 N Church St, STE 88941, Wilmington, DE 19802, United StatesとするDivetIQ(以下「処理者」)と、注文書に署名しまたはその他の方法でDivetIQサービスの利用を契約した顧客主体(以下「管理者」)との間で締結されます。

管理者は個人データの処理の目的および手段を決定し、DivetIQは管理者の文書による指示にのみ基づいて個人データを処理します。詳細は本DPAに記載のとおりです。

「個人データ」「処理」「データ主体」「管理者」「処理者」および「監督機関」は、GDPRに定める意味を有します。「顧客データ」とは、管理者または管理者の代理によりDivetIQサービスに提供されたデータ(個人データを含む)を意味します。「再委託先」とは、DivetIQが管理者の代理で個人データを処理するために起用するすべての第三者を意味します。

DivetIQは、契約に記載されたサービスの提供(サポートおよびセキュリティインシデント対応を含む)のためにのみ管理者の代理で個人データを処理します。処理の対象事項、期間、性質および目的、個人データの種類および対象者のカテゴリーは、附属書Iに記載されます。

DivetIQは、DivetIQに適用される法令により別段の処理が要求される場合を除き、管理者の文書による指示にのみ基づいて個人データを処理します。DivetIQが指示がGDPRその他のデータ保護法令に違反すると判断した場合、当該事項を不当な遅滞なく管理者に通知します。

DivetIQは、個人データの処理を許可された従業員が秘密保持義務を引き受けているか、または適切な法定の秘密保持義務を負っていることを確保します。個人データへのアクセスは知る必要のある範囲に限定されます。

DivetIQは、リスクに見合うレベルのセキュリティを確保するため、以下を含む適切な技術的および組織的措置を実施します。

• 保存時のAES-256暗号化および伝送時のTLS 1.3による個人データの暗号化。
• ISO 27001およびSOC 2 Type IIに準拠した情報セキュリティ管理。
• 行・列・フィールドレベルのルールのための属性拡張を備えたロールベースアクセス制御。
• 改ざん不可能で追記専用の監査ログ、法令要件に従い保持。
• ペネトレーションテスト、脆弱性スキャン、WAFおよびDDoS対策。
• 事業継続、災害復旧、定期的にテストされるバックアップ。
• 24時間365日のオンコール対応を伴う、文書化されたインシデント対応プロセス。

DivetIQの技術的および組織的措置の最新版は附属書IIに記載され、Customer Trust Centerでも入手可能です。

管理者は、DivetIQによる再委託先の起用に対し一般的な承認を与えます。DivetIQは、Customer Trust Centerに最新の再委託先一覧を維持し、変更予定がある場合は効力発生の少なくとも30日前に管理者へ通知し、データ保護上の合理的な理由による異議申立ての機会を提供します。

DivetIQは、各再委託先に対し本DPAに定めるものに劣らないデータ保護義務を課し、各再委託先の義務履行について管理者に対し責任を負い続けます。

DivetIQは、アクセス、訂正、削除、制限、可搬性および異議申立てに関するデータ主体の要求(DSAR、忘れられる権利、同意管理のサポートを含む)に管理者が対応できる運用ツールを提供します。DivetIQが直接データ主体から要求を受けた場合、当該要求を不当な遅滞なく管理者に転送し、管理者の指示がない限り応答しません。

DivetIQは、顧客データに影響を及ぼす個人データ侵害を認識した後、不当な遅滞なく、かついかなる場合も72時間以内に管理者に通知します。当該通知には、管理者が適用法令に基づく自らの通知義務を履行するために合理的に必要な情報が含まれます。

処理の性質およびDivetIQが利用可能な情報を考慮し、DivetIQは、GDPR第35条および第36条が要求するデータ保護影響評価の実施および監督機関との協議について、管理者に合理的な支援を提供します。

個人データが欧州経済領域、英国またはスイス外の十分性決定の対象でない国に移転される場合、当該移転は欧州委員会の標準契約条項(モジュール2:管理者から処理者へ)、英国国際データ移転付属書、および同等のメカニズム、ならびに補完的な技術的および組織的措置によって規律されます。

顧客は要請によりEU内のみのデータレジデンシーを選択できます。

DivetIQは、本DPAの遵守を立証するために合理的に必要なすべての情報を管理者に提供します。DivetIQは、要求に応じて秘密保持を条件として年次の第三者監査レポート(SOC 2 Type IIおよびISO 27001の証明書を含む)を提供します。強行法規により要求される場合、管理者は、合理的な事前通知のもと、営業時間中、DivetIQの業務を不合理に妨げない方法で、年に1回を限度として監査を実施することができます。

契約の終了または満了時、DivetIQは、適用法令により保持が要求される場合を除き、管理者の選択に従い、30日以内にすべての個人データを返却または削除します。管理者は、DivetIQの文書化された保持スケジュールに従いバックアップコピーが限定的な期間保持される場合があり、本DPAと同等の保護の対象となることを了解します。

顧客データは、共有または第三者のAIモデルの学習に使用されることは一切ありません。顧客データを処理するAI機能は、管理者のテナント内に展開されるか、学習目的で保持されないテナント別コンテキストに対するステートレス推論として実行されます。法的または同等に重要な効果をもたらす自動化された意思決定が使用される場合、管理者はGDPR第22条その他の適用法令(EU AI法を含む)により要求される保護措置を実施する責任を負います。

対象事項:DivetIQヘッドレスプラットフォームおよび関連サービスの提供。

期間:契約期間、および個人データの返却または削除に必要な契約終了後の期間。

性質および目的:管理者によるサービス設定に従った、顧客データのホスティング、保存、伝送、分析およびAI支援の処理。

データ主体のカテゴリー:従業員、業務委託先、顧客、サプライヤー、応募者、その他のサービスにアップロードまたは処理される個人。

個人データのカテゴリー:識別子、連絡先情報、雇用データ、財務および調達データ、顧客関係データ、ならびに管理者がサービスを通じて処理することを選択するその他のカテゴリー。

DivetIQは、本DPA第6条(セキュリティ対策)に記載のセキュリティ対策を実施します。詳細かつ最新の記述はCustomer Trust Centerで維持され、当社のセキュリティ態勢の進化に応じて更新されます。これらの措置の実質的な引下げは、事前に通知されます。

本DPAに関するご質問は、dpo@divetiq.comまたは郵送(2810 N Church St, STE 88941, Wilmington, DE 19802, United States)までお送りください。