本文へスキップ

データ処理契約 - マネージド・ソリューション

本データ処理契約(「DPA」)は、エクイニクスによるお客様の個人データの処理にデータ保護法が適用される範囲において、お客様に対するManaged Solutions(「サービス」)の提供を規定するお客様とエクイニクス間の契約(「契約」)を補足し、その一部を構成します。

従って、両当事者は、かかる処理活動を管理するために、本DPAに合意し、これを締結しました。

定義。以下に定義されていない大文字の用語は、本契約で与えられた意味を持つ。

「CCPA」とは、2018年カリフォルニア州消費者プライバシー法(Civil Code section 1798.100他)を意味する。

「管理者」とは、個人データの処理の目的および手段を決定する主体を意味します。

「クロスコンテキスト行動広告」は、CCPAによって与えられる意味を有する。

「お客様データ」には、お客様が本サービスを利用する過程でロード、保存、受信、取得、送信、またはその他の方法で処理したすべてのデータが含まれます。

「顧客個人データ」とは、顧客データの一部を構成するすべての個人データを意味します。

「お客様SCC契約」とは、本DPAの一部を構成し、制限付き移転の開始時に発効し、Equinix - お客様SCC契約に記載されている標準契約条項を組み込んだお客様とエクイニクスの間の契約を意味します。

「データ保護法」とは、本サービスに関連するエクイニクスによる顧客データの処理に適用される、個人データの処理を規制するすべての法律を意味します。

「データ主体」とは、個人データに関連する、特定または識別可能な生存する個人を意味する。

「GDPR」とは、一般データ保護規則(General Data Protection Regulation)、規則(EU)2016/679を意味する。

「個人データ」とは、特定または識別可能な自然人に関する情報であって、その収集、使用、開示、保存またはその他の処理がデータ保護法により規制されているものをいいます。

「個人データの漏えい」とは、送信、保存、またはその他の方法で処理された個人データの偶発的または違法な破壊、紛失、改ざん、不正な開示、または個人データへのアクセスにつながるセキュリティ違反を意味します。

「処理者」とは、管理者に代わって個人データを処理する事業体を意味します。

「処理」(「処理される」および「処理」を含む)とは、アクセス、収集、記録、整理、保管、検索、協議、使用など、個人データに対して行われるあらゆる操作または一連の操作を意味し、この用語はデータ保護法の下でさらに定義される場合があります。

「制限付き移転」とは、標準契約条項またはその他の適用される法的メカニズムがない場合、データ保護法の下で違法となる顧客個人データの国際的または国境を越えた移転を意味します。

「セキュリティインシデント」 エクイニクスのセキュリティポリシーまたは機密保持ポリシーに違反する可能性のある事象、またはデータ、人員、またはその他のエクイニクスリソースに関する適切なセキュリティ、機密保持、または可用性を維持するエクイニクスの能力を脅かす可能性のある事象。

「販売」は、CCPAによって与えられた意味を有する。

「標準契約条項」または「SCC」とは、当事者間の制限付移転に適用される場合、(i)欧州実施決定(EU)2021/914(「EU SCCs」)に規定されている、(ii)英国の補遺に規定されている、または(iii)その他の適用されるデータ保護法に基づき管轄当局が発行する、個人データの国際移転に関する関連標準契約条項を意味します。

「ターゲティング広告」は、CCPAによって与えられる意味を有する。

"英国補遺 "とは、2018年データ保護法第119A条(1)に基づき英国情報コミッショナーが発行した標準契約条項に対する国際データ移転補遺を意味します。

1.処理の実行

1.1 エクイニクスがサービス提供の結果としてお客様の個人データを処理する場合、お客様は管理者として、エクイニクスは処理者として行動し、本DPAの規定は、本サービスの製品ポリシーおよび両当事者の責任を説明する共有責任モデルの条件に従って適用され、これによって補足されます:共有責任モデル

1.2 各当事者は、データ保護法に基づくそれぞれの義務を遵守し、少なくともデータ保護法で要求されるレベルの顧客個人データの保護を提供します。

1.3 エクイニクスによるお客様の個人データ処理の範囲および性質は、本DPAの別表1に記載されています。

1.4 お客様個人データの処理の目的および手段は、お客様が決定します。お客様は、本契約および本DPAに基づくエクイニクスの義務を損なうことなく、またデータ保護法に基づく義務を制限することなく、本契約および本DPAに基づきお客様が指示した目的のために、お客様の個人データがエクイニクスに合法的に提供され、エクイニクスによって処理されることを保証するために必要なすべての措置を講じます。

1.5 エクイニクスは、本契約および本DPAに基づく義務を履行するための特定の事業目的でのみ、お客様の個人データを処理します。本契約および本DPAは、お客様の個人データの処理に関するエクイニクスに対するお客様の完全な書面による指示を形成します。上記にかかわらず、エクイニクスは、適用されるデータ保護法を遵守するためにお客様の個人データを処理する場合がありますが、そのような情報が法律で禁止されていない限り、処理前にお客様にその法的要件を通知します。お客様は、通知により、エクイニクスによるお客様の個人データの不正使用を停止し、是正するための合理的かつ適切な措置を講じる権利を有します。

1.6 データ保護法により明示的に許可されている場合を除き、エクイニクスは、集合形式であるか個別形式であるかを問わず、お客様の個人データを販売、保持、使用、共有、開示、またはその他の方法で処理することはありません:

  • 1.6.1 営利目的、または第1.5項に記載された特定の目的以外の別の事業への対応を含むその他の目的。

  • 1.6.2 エクイニクスとお客様との直接の取引関係以外の場合。

  • 1.6.3 クロスコンテクスト行動広告またはターゲット広告の場合。

1.7 エクイニクスは、エクイニクスがお客様から、もしくはお客様の代理として受領する、または本サービスの提供を通じてエクイニクスが生成する、集計された、匿名、非特定、または仮名のお客様の個人データは、個人との関連付けや再特定ができないことに同意します。エクイニクスは、そのような情報を再特定しようとしないことを公約します。エクイニクスは、データ保護法で認められている場合を除き、お客様の個人データを、他の個人から、または他の個人を代表して受領した個人データ、またはエクイニクス自身とデータ対象者とのやり取りから収集した個人データと組み合わせることはありません。

1.8 お客様は管理者として、データ対象者にお客様の個人データの処理について通知し、データ保護法に基づくデータ対象者の権利行使の要求に対応する責任を負います。お客様は、エクイニクスが本サービスを設定し、お客様がエクイニクスの支援なしにお客様の個人データにアクセス、変更、および削除できるように設計された適切な技術的および組織的対策を導入していることを認めるものとします。処理の性質およびお客様の個人データへのエクイニクスのアクセス範囲が限定的であることを考慮し、エクイニクスは、お客様がデータ主体の権利を遵守できるようにするために合理的に必要とされるさらなる支援を、要求に応じてお客様に提供します。

1.9 お客様は、エクイニクスに対して、エクイニクスを条件として、エクイニクスの関連会社または第三者をさらなるプロセッサー(「サブプロセッサー」)として従事させる権限を付与します:

  • 1.9.1 データ保護法に準拠したデータ処理契約を顧客と締結すること;

  • 1.9.2 サブプロセッサの使用に変更がある場合は、事前に顧客に通知し、顧客が異議を 唱える機会を与えること。

  • 1.9.3 サブプロセッサーが顧客個人データの処理に関する義務を履行しなかった場合、顧客に対して引き続き責任を負うこと。

本契約の日付時点でエクイニクスが契約しているサブプロセッサーは、本DPAの別表2に記載されているサブプロセッサーです。

2.セキュリティ

2.1 エクイニクスは、お客様の個人データのデータ処理者としての立場において、自然人の権利及び自由に対する様々な可能性及び重大性のリスクだけでなく、最新技術、実施コスト、及び処理の性質、範囲、背景、目的を考慮し、お客様の個人データを保護するために合理的に必要と考えられる適切な技術的及び組織的セキュリティ対策を講じ、合理的に実行可能な限りにおいて、データ保護法に基づくお客様のセキュリティ義務を支援します。両当事者は、場合によっては、エクイニクスが追加の技術的および組織的セキュリティ対策を個別の商用製品およびサービスとして提供する可能性があることを認めます。エクイニクスのセキュリティ管理は、本第2.1条のコミットメントとともに、お客様データのセキュリティに関するエクイニクスの唯一の責任を構成します。エクイニクスのセキュリティ管理は、スケジュール3に記載されています。また、これらの対策はISO 27001に規定された要件にも準拠しています。これらの要件に関するセキュリティ管理の説明は、ご要望に応じてお客様に提供されます。

2.2 エクイニクスは、個人データの侵害を認識した場合、過度な遅滞なくお客様に通知します。エクイニクスが入手可能な情報である限り、エクイニクスは、個人データ侵害の性質および結果、個人データ侵害に対処するために講じられた、または講じられる予定の措置に関する情報、およびデータ保護法に基づいてお客様が入手する権利を有するその他の情報をお客様に提供します。

2.3 エクイニクスは、お客様の個人データを処理する権限を付与された者が守秘義務を誓約していること、または適切な守秘義務の下にあることを保証します。

3.監査

3.1 エクイニクスの監査プログラム。エクイニクスは、お客様の個人データの処理に関するセキュリティ対策の妥当性を評価するため、外部監査人を雇用します。かかる監査は、エクイニクスの費用負担により、少なくとも年に1回実施されます。監査は、エクイニクスの選択により、資格のある独立した第三者のセキュリティ専門家によって実施され、その結果、極秘の監査サマリー(「監査レポート」)が作成されます。エクイニクスは、お客様の書面による要請があれば、合理的な間隔で、最新の監査レポートのコピーをお客様に提供します。かかる監査レポートはすべてエクイニクスの機密情報であり、お客様のみが使用できるように提供されます。

3.2 顧客の監査。お客様は、データ保護法により付与された監査権が本監査報告書の提出により満たされることに同意します。お客様が、本監査報告書がエクイニクスの本DPAの遵守を検証するのに十分な情報を提供していないことを証明できる範囲において、またはお客様が監督当局によりさらなる監査を手配する必要がある場合、両当事者はお客様の監査計画の範囲について相互に合意します:(a) 独立した第三者の利用を保証すること、(b) 監査開始の合理的な事前通知を書面でエクイニクスに提供すること、(c) 通常の営業時間内にのみエクイニクスの従業員およびインフラストラクチャへのアクセスを要求すること、(d) 監査にエクイニクスの従業員が費やした時間について、その時点でのエクイニクスの料金でお客様に請求することを受け入れること;(e) 監査は年1回までとすること、(f) 調査結果をお客様に関連するデータのみに限定すること、(g) 法律または規制により許可される範囲で、お客様およびその第三者監査人に、お客様の監査中に開示または収集された情報の機密保持を義務付けること。

4.顧客コンテンツの返却または削除

4.1 エクイニクスは、お客様の書面による要請があれば、お客様の費用と負担で、お客様の個人データを削除または返却するために合理的に必要な支援を提供します。

4.2 法律により必要とされる保持。本第4条と異なる規定にかかわらず、エクイニクスは、データ保護法を含む適用法令により要求される場合、お客様の個人データまたはその一部を保持することができます。

5.国際送金

5.1 当事者間で制限付き移転が行われる場合、当事者は、エクイニクスのカスタマーSCC契約書(以下「SCC契約書」といいます:Equinix - Customer SCC Agreement、またはその他の適用可能な法的メカニズムで利用可能なエクイニクスのCustomer SCC Agreementに記載されている形式の標準契約条項を締結することに同意するものとします。カスタマーSCC契約は、本DPAに組み込まれ、本DPAの一部を構成し、当事者間の制限付き移転の開始時に発効します。

6.資料請求

6.1 エクイニクスは、要請があれば、処理の性質およびエクイニクスが利用可能な情報を考慮し、データ保護法により要求されるデータ保護またはプライバシー影響評価に関するお客様の義務について、合理的な範囲でお客様を支援します。

7.その他

7.1 お客様は、エクイニクスがその合理的な見解において、両当事者のデータ保護法への継続的な準拠を確保するために必要であると判断した場合、エクイニクスの独自の裁量で本DPAを随時変更できること、およびかかる変更されたDPA条件が掲載された時点で発効することを認め、同意します。

7.2 本DPAの条項は、本契約の条項の一部を構成し、本契約の条項を補足するものであり、本DPAの条項と本契約の条項の間に曖昧さ、矛盾、矛盾がある場合は、本DPAの条項が優先します。本DPAは、エクイニクスがお客様の個人データの処理者として本サービスに関して締結した他のすべての契約に取って代わります。

スケジュール1:データ処理契約

1.3項に従い、これがエクイニクスの処理の範囲と性質です。

Tier NameProduct examplesPurpose of ProcessingEquinix RoleCustomer RoleCategories of Personal Data
Infrastructure as a ServiceManaged Private Cloud(a) Backup, support, planning, and enabling migration, deployment, and development of Services; Encryption (enabled by default for data at rest in MPC Storage) (b) Infrastructure management (preventing, detecting, investigating, mitigating, and repairing problems, including security incidents and problems identified in the Services; and (c) Enhancing delivery, efficacy, quality, and security of our Services, including keeping Services up to date, and enhancing reliability, efficacy, quality, and security and fixing defects.Data ProcessorData ControllerAs determined by Customer
Enhanced Platform as a ServiceManaged Private BackupAs aboveData ProcessorData ControllerAs determined by Customer
Infrastructure as a ServiceManaged Private StorageAs aboveData ProcessorData ControllerAs determined by Customer

情報処理契約の別表2

1.9項に従い、これがサブプロセッサーリストである:

Globally: Equinix Services Inc.

Equinix (US) Enterprises Inc.

Equinix (UK) Enterprises Ltd.

Equinix (Germany) Enterprises GmbH

Equinix (Netherlands) Enterprises BV

Virtu Secure Webservices BV

Equinix (Italy) Enterprises SRL

Equinix (Japan) Enterprises KK

Equinix (Japan) Technology Services KK

Equinix do Brasil Solucoes de Tecnologia en Informatica Ltda

Equinix do Brasil Telecommunicacoes Ltda

Equinix MX Services SA de CV

Equinix (Canada) Enterprises Ltd.

Equinix (Sweden) Enterprises AB

Equinix (France) Enterprises SAS

Equinix (Spain) Enterprises SAU

Equinix (Finland) Enterprises Oy

Equinix (Ireland) Enterprises Ltd

別表3 - 技術的および組織的な尺度

下表は、エクイニクスがサービス提供のために実施している技術的組織的対策を示しています:

DomainPractices
Organization of Information Security Organizational Context Risk Management Strategy Roles, Responsibilities, and Authorities Policy OversightEquinix has organized governance of Information Security around the following teams and programs which review, evaluate and enhance Equinix security practices: Audit and compliance – Equinix formally complies with various industry standards, such as ISO 27001. Audit attestations and certificates are provided by qualified third-party auditors. These auditors coordinate activities with various business and technology teams like Business Assurance Services, Internal Audit, and Operations. Information Security team – Working closely with the legal organization, this team is charged to follow global and business unit guidelines to help ensure compliance with local and federal laws and regulations. Information Security Risk Management - Working closely with business representatives to establish Equinix' priorities, constraints, risk tolerance and appetite statements, and ensuring that assumptions are established, communicated, and used to support operational risk decisions. Information Security policies – The Equinix Information Security team administers and enforces a comprehensive set of confidential Information security policies that is reviewed and endorsed by senior management. This team ensures that the internal policies are global in scope, covering country-specific and region-specific laws, regulations, and business requirements. Areas covered by these internal security policies include, but are not limited to: acceptable use of technology, anti-virus and malware, data backup and retention, data classification, labeling and handling, logical access, passwords, patch management, mobile devices, personal computers, remote access and VPN, and social media.
Information Protection Human Resource SecurityEquinix has implemented and maintains employee security training programs regarding information security risks and requirements. The security awareness training programs are reviewed and updated at least annually. Where permitted by law, and to the extent available from applicable governmental authorities, Equinix requires each employee to undergo a background check.
Asset ManagementAsset Inventory - Equinix has implemented processes that focus on identifying and cataloging all assets used to deliver services. This process includes physical assets, virtual assets and intangible assets like software licenses. By maintaining an accurate up to date inventory, Equinix can effectively track its assets, monitor their usage, and plan for maintenance. Asset Handling - This involves implementing technical and organizational measures to protect assets from damage, theft, or unauthorized access. Technical measures may include implementing security systems to safeguard physical assets, such as surveillance cameras and access control systems. Equinix may employ encryption and authentication protocols to protect customer data stored on digital assets. Organizational measures involve establishing policies and procedures for asset handling, including guidelines for asset maintenance, usage, and disposal.
Physical and Environmental SecuritySafeguarding physical security of every IBX Center where information systems processing and storing customer data are located is a high operational priority. Each IBX Center uses an array of security equipment, techniques and procedures to monitor the facility and to control and record access. Access – The access control subsystem allows authorized users inside the building and within the facility. Biometric security devices, proximity cards and other technologies identify users to the access control system, and upon authentication allow contacts to navigate the IBX as permitted. Alarm Monitoring and Intrusion Detection – The alarm monitoring and intrusion detection subsystem monitor the status of various devices associated with the security system. Monitoring devices include door position switches, glass break detectors, motion detectors, and tamper switches. If the status of any device changes from their secure state, an alarm is activated, the event is recorded, and appropriate measure is taken. CCTV – The closed-circuit television subsystem provides the display, control, recording and playback of live video from cameras throughout the facility, as well as outside the facility where legally permitted. This system is integrated with the alarm monitoring and intrusion detection subsystem, so in the event of an alarm, cameras are displayed automatically to view the event in real time.
Communications and Operations ManagementVulnerability Assessments - Equinix performs regular internal and external vulnerability assessments and penetration testing of the Equinix EMS information systems and will investigate identified issues and track them to resolution in a timely manner. Malicious Software - Equinix has anti-malware controls to help avoid malicious software gaining unauthorized access to customer data including malicious software originating from public networks. Change Management - Equinix maintains controls designed to log, authorize, test, approve and document changes to existing resources and will document change details within its change management or deployment tools. Equinix will test changes according to its change management standards prior to migration to production. Equinix will maintain processes designed to detect unauthorized changes to the Equinix information systems and track identified issues to a resolution. Data Integrity - Equinix maintains controls designed to provide data integrity during transmission, storage, and processing within the Equinix Services information systems. Event Logging - Equinix logs, or enables Customer to log, access and use information systems containing customer data -specific to that customer- registering the access ID, time, authorization granted or denied, and relevant activity. Backup/Restore – Customer Data is backed up where applicable via backup tooling. Equinix employees managing these backups have no access to the Customer Data. In case a restore is required, Customer can request this restore.
Access ControlEquinix makes the Customer Data accessible only to authorized personnel, and only as necessary to maintain and provide the Equinix Services. Equinix maintains access policies and controls to manage authorizations for access to the customer data from each network connection and user through the use of firewalls, controlled access connectivity or functionally equivalent technology and authentication controls. Data Segregation - Equinix maintains access controls designed to restrict unauthorized access to Customer Data and segregate each Customer's Data from other Customers' Data. User access controls - Relates to access to Equinix information include, but are not limited to: - least privilege principles based on personnel job functions - review and approval prior to provisioning access - at least quarterly review of access privileges - when necessary, revoke access privileges in a timely manner - two-factor authentication for access to the Customer Data - monitoring by Equinix (or enabled Customers) for anomalies in access activity such as for example (but not limited to) repeated attempts to gain access to the information system using an invalid password.
Information SecurityIncident Management Incident Response Process - Equinix maintains incident response plans (runbooks) to respond to potential security threats to the Managed Solution Services. Equinix runbooks will have defined processes to detect, mitigate, investigate, and report security incidents. The Equinix runbooks include incident verification, attack analysis, containment, data collection, and problem remediation. For each Security Breach that is a Security Incident, appropriate notification by Equinix EMS will be made in compliance with local regulations. Service Monitoring - Equinix monitors on a continuous basis, or enables Customer to monitor, for anomalies related to security events (for example but not limited to repeated attempts to gain access to the information system using an invalid password).
Business Continuity ManagementEmergency and Contingency plans - Equinix maintains emergency and contingency plans for the facilities in which Equinix information systems that process Customer Data are located. These plans will be tested annually. Data recovery - Equinix redundant storage and its procedures for recovering data are designed to attempt to reconstruct Customer Data in its original or last-replicated state.
このページは役に立ちましたか?