データ保護附属書
この日本語版は、参照することのみを目的とした翻訳版であり こちらへ、本契約の英語版と日本語版に異なる点がある場合には、英語版が優先します。
THIS JAPANESE VERSION OF TWILIO JAPAN’S DATA PROTECTION ADDENDUM IS PROVIDED AS A REFERENCE ONLY. IN THE EVENT OF ANY DIFFERENCES BETWEEN THE ENGLISH AND JAPANESE VERSIONS, THE ENGLISH VERSION HERE SHALL CONTROL.
最終更新日: 2024年11月12日
本データ保護附属書(以下、「本附属書類」といいます)は、お客様による本サービス(以下に定義)の利用について定める、お客様と当社との間における契約(以下、「本契約」といいます)の一部を構成するものであり、当社によるカスタマーデータ(以下に定義)の利用及び関連するカスタマー個人データ(以下に定義)の処理について定めるものです。
1.定義
「関連会社」とは、特定の当事者との間で直接的又は間接的な支配、若しくは被支配、又は共通の支配下の関係にある事業体を意味する。本定義において「支配」とは、対象事業体の議決権の50%以上を直接的又は間接的に所有していることを意味する。
「適用されるデータ保護法」とは、本契約に基づく当社による個人データ(以下に定義)の処理に適用される全ての法令を意味し、以下を含むが、これらに限定されません。また、これらは随時修正又は置き換えられる場合があります。
(a) オーストラリア: 1988年オーストラリアプライバシー法
(b) ブラジル :一般個人データ保護法(Lei Geral de Proteção de Dados)
(c) カナダ:個人情報保護及び電子文書に関する連邦法
(d) 欧州経済領域:一般データ保護規則(EU 2016/679)及び電子通信プライバシー指令(2002/EC/58)
(e) イスラエル:プライバシー保護法
(f) 日本:個人情報保護法
(g) メキシコ:私人が保有する個人データの保護に関する連邦法及びその規則
(h) シンガポール: 2012年個人データ保護法
(i) スイス:改正スイス連邦データ保護法
(j) 英国:英国一般データ保護規則、2018年データ保護法、及び2003年電子通信プライバシー規則
(k) アメリカ合衆国: アメリカ合衆国において施行される全ての個人データの保護及び処理に関する州法。これには、カリフォルニア州プライバシー権利法によって改正されたカリフォルニア州消費者プライバシー法、バージニア州消費者データ保護法、コロラド州プライバシー法、コネチカット州データプライバシー法、ユタ州消費者プライバシー法を含むが、これらに限定されません。
「コントローラー」とは、個人データを処理する目的及び手段を単独で又は他者と共同で決定する、あるいは適用されるデータ保護法に基づき別途定義又は解釈される、自然人又は法人、公的機関、代理業者又はその他の団体をいいます。
「カスタマー・アカウント・データ」とは、(a) お客様のアカウントを設定し、これにアクセスし、請求を管理する権限をお客様から付与された個人の氏名又は連絡先情報、及び、(b) お客様本人確認(Know-Your-Customer)やその他本人確認目的でお客様のエンドユーザーの本人確認を行う場合、又は加入者記録(以下に定義)を保持する当社の法的義務の一環として利用される、お客様のアカウント管理又は本サービスの利用において当社が必要とする可能性のある、お客様と当社の関係に関連する個人データも含まれます。
「カスタマー・コンテンツ」とは、(a)本サービスの利用の結果としてやりとりされる通信内容に含まれる、テキスト、メッセージ本文、音声、音、動画媒体、画像、電子メール本文、電子メール件名及び受信者といったデータ、及び該当する場合には、(x)お客様が指定したソフトウェアアプリケーション又はその他製品及びサービスから本サービスに提供したデータ、又は(y) 本サービスの一環としてお客様の利用のために生成されたデータ、並びに(b)本サービス内の通信内容、文字起こし、録音又は通信ログ、又は(ii)お客様が本サービスにアップロードしたマーケティングキャンペーンデータなど、お客様に代わって保存される、個人データを含むデータをいいます。
「通信利用状況データ」とは、 (a) カスタマー・コンテンツを通信するために用いられる公衆交換電話網又はその他通信手段のいずれかを介した電話番号の活用、(b) 通信の送信元及び送信先の追跡及び特定に使用されるデータ、本サービスを提供する際に生成されたデバイスの位置に関するデータ、通信の日時、期間、種類、及び(c)本サービスの依頼元の特定、本サービスの品質の最適化と維持、システム乱用の調査と防止に使用されるアクティビティログを含む、通信ネットワークを通じたカスタマー・コンテンツの送信、頒布又は交換を目的として当社が処理する電子通信メタデータをいいます。
「カスタマーデータ」とは、本契約に定める意味を有し、本附属書類においては、カスタマー・アカウント・データ、カスタマー・コンテンツ、及び通信利用状況データもが含まれます。
「カスタマー個人データ」とは、カスタマーデータに含まれる、要配慮データを含む個人データをいいます。
「エンド ユーザー」とは、本契約に基づくお客様の本サービスの利用に関連して使用される、お客様によって提供されたソフトウェアアプリケーション又はその他製品及びサービスを介した場合を含む、本サービスのあらゆるユーザーをいいます。
「個人データ」とは、識別された、又は識別可能な自然人(以下、「データ主体」といいます)に関連する全てのデータ又はその他の情報をいい、両用語は、適用されるデータ保護法に基づいて別途付与される定義又は解釈を有する場合もあります。識別可能な自然人とは、特に氏名、識別番号、位置データ、オンライン識別子などの識別子、又は当該自然人の身体的、生理学的、遺伝的、精神的、経済的、文化的、社会的なアイデンティティに固有の単一又は複数の要素を参照することにより、直接的又は間接的に識別可能な人をいいます。
「プロセッサー」とは、コントローラーに代わり個人データを処理する、又は適用されるデータ保護法に基づき別途定義又は解釈される事業体をいいます。
「処理」とは、自動化された手段によるかどうかにかかわらず、個人データ又は一連の個人データに関して行われる操作又は一連の操作をいいます。この操作には、収集、記録、整理、構造化、保存、翻案、改変若しくは変更、検索、参照、使用、送信による開示、頒布、その他の方法による提供、調整若しくは組み合わせ、制限、消去、破棄などが含まれます。
「セキュリティインシデント」とは、確認された、カスタマー個人データの偶発的若しくは違法な破棄、紛失、改竄、不正開示、又はお客様データへの不正アクセスの発生、又は適用されるデータ保護法に基づき別途定義又は解釈される場合をいいます。
「要配慮データ」とは、 (a)社会保障番号、パスポート番号、運転免許証番号、又はこれに類する識別子(若しくはその一部)、(b)クレジットカード番号又はデビットカード番号(クレジットカード又はデビットカード番号を一部非表示(つまり下4桁のみの表示)にする場合を除く)、財務情報、銀行の口座番号又はパスワード、(c)雇用、財務、遺伝、生体認証、又は健康に関する情報、(d)人種的、民族的、政治的若しくは宗教的な所属、労働組合への加入、又は性生活若しくは性的指向に関する情報、(e)アカウントのパスワード、母親の旧姓、又は生年月日、(f)犯罪歴、(g) 適用されるデータ保護法に基づく「要配慮」又は「特別なカテゴリーのデータ」の定義に該当するその他の情報又は情報の組み合わせのうち、いずれかに該当する個人のデータを言います。
「本サービス」とは、お客様が注文書に従って購入する、又はその他の方法で使用する、Twilio又はその関連会社によって提供された製品、サービス及びプラットフォーム(該当する場合)をいい、それらの更新、修正又は改良も含まれます。
「加入者記録」とは、当社が特定の国の電話番号をお客様又はお客様のエンドユーザーに提供する(以下、「電話番号割り当て」といいます)ために必要な身分証明書及び物理的住所の証明書を含むお客様アカウントデータをいいます。
「サブプロセッサー」とは、(a)当社及びその関連会社がカスタマーコンテンツを処理する場合及びお客様が当該データの処理を行う場合における当社若しくはその関連会社、又は(b)お客様に対する本サービスの提供を目的としてカスタマー個人データを当社のサブプロセッサーとして処理するために当社が委託先とする第三者のプロセッサーをいいます。本サービスを提供するために当社が利用する電気通信事業者は、サブプロセッサーとはみなされません。
「第三者の要請」とは、データ主体、規制当局、又は第三者からの要求、通信、問い合わせ、又は苦情をいいます。
「Twilioプライバシーノーティス」とは、https://www.twilio.com/ja-jp/legal/privacyにおいて閲覧できる本サービスに係る現時点での最新のプライバシーノーティスをいいます。
第1条に定義されていない(英語版における頭文字が大文字の)用語は、適用される場合、本附属書類又は本契約で定められた意味を有するものとします。本附属文書における条項又は別表への言及は、本附属文書の条項又は別表を指します。
2. カスタマー個人データに関する両当事者の役割。 お客様と当社は、(a) 当社が、第3条(コントローラーとして行うカスタマー個人データの処理)に定めるコントローラーとしてカスタマー個人データを処理する場合を除き、(お客様に代わって行動する)プロセッサー又はサブプロセッサーであること、及び (b) お客様はカスタマー個人データについて自らのエンドユーザーに代わってコントローラー又はプロセッサーとして行動することができることを確認し、同意します。当社による、プロセッサー、又はサブプロセッサーとしてのカスタマー個人データの処理は、第4条(プロセッサーとして行うカスタマー個人データの処理)に従うものとします。
3. コントローラーとして行うカスタマー個人データの処理
3.1 カスタマー個人データのコントローラーとしての当社。 お客様と当社は、以下の場合につき、当社がカスタマー個人データの独立したコントローラーとして行動することを確認し、同意します:
(a) 第3.2条(カスタマー・アカウント・データのコントローラーとしての当社)、第3.3条(通信利用状況データのコントローラーとしての当社)、及び第3.4条(カスタマー・コンテンツのコントローラーとしての当社)に記載される正当な事業目的に必要な範囲において、当該処理が本契約、Twilioプライバシーノーティス、及び適用されるデータ保護法を含む適用法令に従って行われる場合。
(b)その他適用されるデータ保護法に基づき、さらに本附属書類、本契約、及びTwilioプライバシーノーティスに従い、許可されている場合。
(c) その他、本サービス固有の条件で合意された場合又はお客様が本サービスの特定の機能を使用及び設定する場合を含め、お客様により授権又は要請された場合。
当社及びお客様はそれぞれ、カスタマー個人データにつき、共同ではなく独立したコントローラーとして、カスタマー個人データに関する全ての権利及び義務を有するものとします。
3.2 カスタマー・アカウント・データのコントローラーとしての当社。 お客様及び当社は、当社が以下の目的で処理するカスタマー・アカウント・データの独立したコントローラーであることに同意します:
(a) (本サービスへのアクセス又は利用に必要なお客様本人確認(Know-Your-Customer)を含む)や身元確認を含む)請求、カスタマー・アカウント、及び当社とお役様の関係を管理するため。
(b) 会計、監査、税務申告等、当社の中核的な事業運営を遂行するため。
(c) ビジネスアナリティクス、内部報告、財務報告、予測能力及び収益計画、並びに製品戦略のため。
(d) 新製品及びサービスの開発改良、並びに本サービスのパフォーマンス、機能性、安全性、セキュリティの向上のため。
(e) (加入者記録の保持を含むがこれに限定されない)当社の法律上及び規制上の義務を遵守するため。
3.3 通信利用状況データのコントローラーとしての当社。 お客様及び当社は、当社が以下の目的で処理する通信利用データの独立したコントローラーであることに同意します:
(a) (i)当社の会計、税務、請求、監査、法令遵守目的、(ii)本サービスの提供、最適化、維持、(iii)セキュリティインシデントの予防、検出、調査、当社のプラットフォームとサービスのセキュリティ管理など、電子通信サービス事業者として必要な責務を果たすため。
(b) スパム、詐欺、違法行為、Twilioサービス利用ポリシー(最新版はhttps://www.twilio.com/ja-jp/legal/aupにて閲覧できます。)の違反など、本サービスの乱用又は不正使用を予防、検出、調査するため、又はスパム、詐欺、違法行為に対抗するために電気通信事業者、規制当局、法執行機関を支援するため。
(c) (加入者記録の保持、通信業界の行動規範、電気通信事業者との契約上の約束事項を含むがこれらに限定されない)当社の法律上及び規制上の義務を遵守するため。
(d) 新製品及びサービスの開発改良、並びに本サービスのパフォーマンス、機能性、安全性、セキュリティの向上のため。
(e) 通信利用状況データを匿名化、非識別化、又は集計し、お客様、お客様のエンドユーザー、又はいかなるデータ主体も特定できないようにするため。
3.4 カスタマー・コンテンツのコントローラーとしての当社。 当社及びお客様は、以下の目的で必要とされる範囲で当社が処理するカスタマー・コンテンツの独立したコントローラーであることを確認し、同意します:
(a) セキュリティインシデントを予防、検出、調査し、当社のプラットフォーム及びサービスのセキュリ ティを管理するため。
(b) スパム、詐欺、違法行為、Twilioサービス利用ポリシー(最新版はhttps://www.twilio.com/ja-jp/legal/aupにて閲覧できます。)の違反など、本サービスの乱用又は不正使用を予防、検出、調査するため、又はスパム、詐欺、違法行為に対抗するために電気通信事業者、規制当局、法執行機関を支援するため。
(c) (加入者記録の保持、通信業界の行動規範、電気通信事業者との契約上の約束事項を含むがこれらに限定されない)当社の法律上及び規制上の義務を遵守するため。
(d) 新製品及びサービスの開発改良、並びに本サービスのパフォーマンス、機能性、安全性、セキュリティの向上のため。
(e) ビジネスアナリティクス、内部報告、財務報告、予測能力及び収益計画、並びに製品戦略のため。
(f) その他、本サービス固有の条件で合意された場合又はお客様が本サービスの特定の機能を使用及び設定する場合を含め、お客様により授権又は要請された場合。
3.5 データの最小化及びプライバシー保護の方法。 合理的に必要な場合、当社は、第3.1条(カスタマー個人データのコントローラーとしての当社)から第3.4条(カスタマー・コンテンツのコントローラーとしての当社)に定める上記の目的のために使用されるカスタマー個人データを、(a)お客様、お客様のエンドユーザー又は一切のデータ主体を特定せず、(b)適用されるデータ保護法上の個人データに該当しないように、最小化、匿名化、非識別化、仮名化、及び/又は集計するための適切な対策を講じるものとします。
3.6 匿名化、非識別化、及び集計されたデータ。 当社が第3.5条(データの最小化及びプライバシー保護の方法)又は本契約に基づき匿名化、非識別化、又は集計されたカスタマー個人データは、本附属書類の対象となりません。ただし、当社はカスタマー個人データを再識別し、又はそれを試みることはないもとのします。
4.プロセッサーとして行うカスタマー個人データの処理
4.1 カスタマー個人データのプロセッサーとしての当社。 第3条(コントローラーとして行うカスタマー個人データの処理)に定める場合を除き、お客様及び当社は、当社がカスタマー個人データをコントローラーとしてではなく、プロセッサー又はサブプロセッサーとして処理することに同意します。プロセッサー又はサブプロセッサーとして、当社は、第4.2条(お客様の指示)に定められたお客様の指示、特定の本サービスに関して又は本サービス内の特定の機能のお客様による使用及び設定を通じてお客様が承諾した条件に基づいて、カスタマー個人データを処理します。
4.2 お客様の指示。 第3条(コントローラーとして行うカスタマー個人データの処理)に別途定められている場合を除き、お客様は、本契約及び本附属書類(別表1(処理の詳細)を含みます。)に定める内容に基づく処理、並びに、お客様に当社の他の製品、サービス又は機能の推奨又はデモンストレーションを行うことを含む、本サービスの提供のために、お客様に代わって、またお客様の指示に従って、カスタマー個人データを処理するプロセッサー又はサブプロセッサーとして当社を任命します。
4.3 指示の適法性。 お客様は、カスタマー個人データを処理する旨のご自身の指示が適用されるデータ保護法を遵守していることを保証するものとします。お客様がカスタマー個人データの処理者である場合、お客様は、当社をサブプロセッサーとして任命すること、及びご自身の指示が、関係するコントローラーによって授権されていることを保証するものとします。お客様は、ご自身の事業にどのような法令が適用されるのか、当社による本サービスの提供が当該法令の要件を満たしているのか、今後満たすのかどうかを判断することのいずれについても、当社が責任を負わないことを認めるものとします。お客様は、当社によるカスタマー個人データの処理がお客様の指示に従い行われた場合には、適用されるデータ保護法を含む適用法令に当社が違反していないことを保証するものとします。当社は、お客様の指示が適用されるデータ保護法を含む適用法令に違反していることを認識した場合、又は合理的にそのように判断した場合には、その旨をお客様に通知するものとします。
4.4 追加指示。 カスタマー個人データの処理に関する、本契約及び本附属書類の範囲外の追加指示については、当該追加指示の実行に対してお客様が当社に支払う義務を負う可能性のある追加料金を含め、お客様と当社の間で書面により合意するものとします。
5.守秘義務
5.1 第三者の要請への対応。 当社によるプロセッサー又はサブプロセッサーとしてのカスタマー個人データの処理に関連し、直接当社に第三者の要請がなされた場合、当社は、法律上認められている範囲で、速やかに当該第三者の要請についてお客様に通知し、その詳細を提供するものとします。当社は、お客様の事前同意なく、第三者の要請には対応しないものとします。ただし、当社がそのように対応すること、又は第三者の要請がお客様に関連することを確認することが法律上義務付けられている場合を除きます。該当する場合、当社は、(a) 法律執行要請ガイドライン(その最新版はhttps://www.twilio.com/legal/law-enforcement-guidelinesにて閲覧できます。)を遵守し、(b) 第三者の要請の一環として提供されるカスタマー個人データを、当該第三者の要請に必要な最小限の範囲、かつその目的に厳密に必要な範囲に制限します。
5.2 加入者記録。適用法令により要求される場合、加入者記録は、現地の接続サービスを提供する現地の電気通信事業者や、現地の政府当局と共有されます。これらの規制要件に関する追加情報は、https://www.twilio.com/guidelines/regulatory にて閲覧できます。
5.3 当社従業員の守秘義務。 当社は、当社がカスタマー個人データの処理を許可した人物が、本契約における当社の守秘義務に従ってカスタマー個人データを保護することに同意していることを保証するものとします。
6.サブプロセッサー
6.1 復処理に対する承認。 お客様は、ここに、以下の要件に服することを条件として、当社が第三者のサブプロセッサーに対して、当社がプロセッサー又はサブプロセッサーとして処理するカスタマー個人データの以降の処理を委託することを一般的に許可するものとします:
(a)当社が、以降の自らのサブプロセッサーによるカスタマー個人データへのアクセス及び処理を本サービスの提供に厳密に必要な場合に制限すること。
(b)当社が、適用されるデータ保護法(別表4(カリフォルニア州個別の条件)に定める要件を含むが、これに限定されません。)のもとで要求される基準に従い、カスタマー個人データを保護することを求める契約上のデータ保護義務(個人データを保護するために設計された、適切な技術的及び組織的措置を含みます。)を当該サブプロセッサーに課すことに同意すること。
(c)当社のサブプロセッサーの作為、過失、又は不作為に起因する本附属書類に対する違反があった場合に、当社がその責任を負うものとすること。
6.2 既存のサブプロセッサー及びサブプロセッサー変更に関する通知。 当社は、そのサブプロセッサーの最新リストを https://www.twilio.com/ja-jp/legal/sub-processorsに掲載しており、お客様が新規のサブプロセッサーに関する、又は既存のサブプロセッサーの交代に関する通知を予約する方法が記載されています。お客様が当該通知を行う場合、当社は、サブプロセッサーが変更された際には、その詳細を合理的に実行可能な範囲で速やかに提供するものとします。本サービスのインフラストラクチャ・プロバイダーの変更については、当社は、当該変更についてお客様に合理的に実行可能な範囲で速やかに、ただし、当該変更の30日前までに書面で通知するものとします。本サービスのインフラストラクチャ・プロバイダーではない、当社のその他のサブプロセッサーについて変更が生じた場合、当社は、当該変更についてお客様に合理的に実行可能な範囲で速やかに、ただし、当該変更の10日前までに書面で通知するものとします。
6.3サブプロセッサーに関する異議申し立ての権利。 お客様は、当社による新規サブプロセッサーの任命又は既存のサブプロセッサーの交代について、第6.2条(既存のサブプロセッサー及びサブプロセッサー変更に関する通知)に定める該当する通知期間中、それらに対する異議申し立てができます。ただし、当該異議は、データ保護に関する合理的な理由に基づき、書面により行われることを条件とします。この場合、お客様と当社は、商業的に合理的な代替解決策について誠実に協議することに同意します。お客様と当社が第6.2条(既存のサブプロセッサー及びサブプロセッサー変更に関する通知)に定める該当する通知期間中に解決に至ることができない場合、お客様は、書面で当社に通知することにより、影響を受ける本サービスの利用を中止することができます。影響を受ける本サービスを中止した場合、それ以前にお客様が負担したいかなる料金についても、当該中止による不利益は生じないものとします。お客様によって、第6.2条(既存のサブプロセッサー及びサブプロセッサー変更に関する通知)に定める該当する通知期間が終了するまでにいかなる異議の申し立ても行われない場合、当社は、お客様が(該当する場合は)新規サブプロセッサー又は更新されたサブプロセッサーを承認したものとみなします。
7.データ主体の権利。当社は、本サービスを通じて、当社がプロセッサー又はサブプロセッサーであるカスタマー個人データの削除、コピーの取得、又は利用の制限といった多数のセルフサービス機能をお客様に提供します。お客様は、データ主体からの第三者の要請への、本サービスを介した対応に関して、適用されるデータ保護法に基づく義務の遵守を支援するために、これらセルフサービス機能を一切の追加費用なしで利用することができます。お客様の書面による要請に応じて、当社は、お客様が、本サービスを通じて利用可能なセルフサービス機能を用いてデータ主体である第三者からの要請を解決することができない場合、その限度で、適用されるデータ保護法に基づくデータ主体の権利に関するお客様のデータ保護義務の遵守を支援するために、合理的且つ適時な追加支援を行うものとします。
8.影響評価及び協議。当社がプロセッサー又はサブプロセッサーとしてカスタマー個人データを処理する場合、当社は、データ保護の影響評価、又は適用されるデータ保護法に基づき必要となる可能性のある規制当局との協議に関連し(お客様に合理的な協力を行うことにより、当社がその取り組みに重要なリソースを割り当てることが必要になる場合に限り、お客様の費用負担において)、お客様に合理的な協力を行うものとします。
9.カスタマー個人データの返却又は削除。当社がプロセッサー又はサブプロセッサーとしてカスタマー個人データを処理する場合、当社は、別表1(処理の詳細)の第6条(処理の継続期間)に従い、本サービス内に保存されているカスタマー個人データを削除するか、お客様に返却するものとします。
9.1 附属書類の期間延長。本契約が終了した場合、当社は、別表1(処理の詳細)に定める期間、カスタマー個人データを保持及び保管し続けることができます。ただし、当社は、カスタマー個人データが別表1(処理の詳細)に定める目的に必要な場合にのみ処理され、かつ、本契約、本附属書類、及び適用されるデータ保護法に従って引き続き保護されることを保証するものとします。
9.2 法律で義務付けられる保持。本第9条の規定に別段の定めがある場合であっても、当社は、適用されるデータ保護法を含む適用法令で義務付けられている場合には、カスタマー個人データ又はその一部を保持することができます。ただし、当該カスタマー個人データが本契約、本附属書類、及び適用されるデータ保護法の条件に従い引き続き保護されていることを条件とします。
10.セキュリティ
10.1 セキュリティ対策。当社は、本契約に定める技術的及び組織的なセキュリティ対策を実施しており、これを維持するものとします。カスタマー個人データを含む、カスタマーデータの保護を目的とする当社の技術的及び組織的セキュリティ対策に関する追加情報は、別表2(技術的及び組織的セキュリティ対策)に定められています。
10.2 セキュリティ要件の判断。お客様は、本サービスには、音声録音の暗号化、お客様のアカウントにおける多要素認証の可用性、又はオプションのトランスポート・レイヤー・セキュリティ(TLS)暗号化を含むがこれらに限定されない、お客様が本サービスを利用される結果処理されるお客様データのセキュリティに影響を与える、お客様が利用を選択できる特定の機能が含まれていることを認めるものとします。お客様は、当社が提供しているデータセキュリティに関する情報(監査報告書を含をふくみます。)を確認すること、及び本サービスがお客様の要件及び法的義務(適用されるデータ保護法に基づく義務を含みます。)を満たしているかどうかを独自に判断することについて責任を負います。お客様はさらに、以下についての責任を負います。本サービスを適切に設定すること、及び当社が提供する機能を利用し、お客様による本サービスの利用により処理されるお客様データの性質を踏まえた適切なセキュリティを維持すること。
10.3 セキュリティインシデントに関する通知。 当社は、以下の方法でセキュリティインシデントに関する通知を行うものとします。
(a) 当社は、当社がプロセッサー又はサブプロセッサーとして処理するお客様のカスタマー個人データに関わるセキュリティインシデントが発生した場合、当社がセキュリティインシデントを発見後、不当な遅滞なく、お客様に通知するものとします。
(b) 当社は、当社をコントローラーとするカスタマー個人データに影響を与えるセキュリティインシデントが発生した場合、遅滞なく、適用されるデータ保護法を含む適用法令で認められる範囲でお客様にその旨を通知します。
(c) 当社は、お客様がご自身のアカウントで指定した電子メールアドレス宛ての電子メールにより、お客様にセキュリティインシデントに関する通知を行います。
当社は、適用されるデータ保護法に基づき、お客様が規制当局又はセキュリティインシデントの影響を受けるデータ主体に通知する必要がある場合には、お客様に合理的な支援を行うものとします。
11.監査。お客様は、当社がお客様のカスタマー個人データのプロセッサー又はサブプロセッサーとして行動する場合、以下の監査権を有するものとします。
11.1 当社の監査制度。 当社は、外部の監査人を使用して、当社がプロセッサー又はサブプロセッサーとして行動するカスタマー個人データの処理に関する技術的及び組織的セキュリティ対策の妥当性について確認するものとします。当該監査は、当社が選択した独立した第三者のセキュリティ専門家により、当社の費用負担で少なくとも1暦年につき1回実施され、その結果、機密扱いの監査報告書(以下、「監査報告書」といいます。)が作成されます。合理的な間隔でお客様から書面による要請を受けた場合、合理的な機密管理に従い、当社は、当社の最新の監査報告書の概要の写しをお客様に提供するものとします。さらに、当社は、プロセッサー又はサブプロセッサーとして当社がカスタマー個人データを処理することに関連して、当社が本附属書類を遵守していることを確認するために必要な情報を、お客様から書面で合理的に要請を受けた場合、1暦年につき1回を超えない範囲で、秘密扱いで書面にて回答を提供するものとします。
11.2 お客様の監査。お客様は、第11.1条(当社の監査制度)に定める権利の行使により、適用されるデータ保護法に基づき要求される監査権を合理的に満たすことができない場合に限り、本契約の期間中、お客様又はお客様によって正当な権限を付与された代表者らが、当社の本附属書類の条件の遵守状況を評価するための監査(以下、各々を「お客様の監査」といいます。)を実施できることに同意します。当社による監査報告書の提供により十分な情報が提供されない場合、又はお客様が規制当局の監査に対応する必要がある場合、お客様は、当社との間で次の点に関して相互に合意された監査計画に同意するものとします。お客様と当社が、第11.1条(当社の監査制度)に定める権利の行使が適用されるデータ保護法に基づき要求される監査権を満たさないと判断する範囲において、お客様は、当社との間で以下の内容を含む、相互に合意した監査計画に同意するものとします:
(a)独立した第三者の監査人の使用を要請すること。
(b)第11.2条に基づくお客様の監査の権利の行使に関して、合理的な事前の書面で当社に通知するようお客様に要求すること。
(c)当社の管理する施設及び当社の従業員へのお客様のアクセスを通常の営業時間内に限定すること。
(d)お客様の監査を支援するため、当社のその時点における最新のレートでの支払いをお客様に請求すること。
(e)お客様の監査の実施を1暦年につき1回までに制限すること。
(f)当社がプロセッサー又はサブプロセッサーとして行動する場合、お客様の監査による指摘事項を、お客様に関連するカスタマー個人データのみに制限すること。
(g)法令で認められている範囲で、お客様の監査から収集された情報のうち、その性質上機密扱いにすべき情報については、お客様にも守秘義務を負わせること。
12. 国際条項
12.1 カリフォルニア州個別の条件。 当社が、別表4(カリフォルニア州個別の条件)に定める法域において、適用されるデータ保護法により保護された個人データを処理する場合、本附属書類の条件とは別に、適用される法域に関して別表4に定める条件が適用されます。当社がカリフォルニア州プライバシー権法及びその施行規則により改正されたカリフォルニア州消費者プライバシー法、カリフォルニア州民法第1798.100条等(以下、総称して「CCPA」といいます。)にて定義される個人情報を処理する範囲において、別表4(カリフォルニア州個別の条件)に定める条件が適用されます。
12.2 国境を越えるデータの移転方法。お客様が本サービスを利用する際に、ある法域(欧州経済地域、英国、スイス、ガーンジー及びジャージー)から当該法域外に所在する当社の業務拠点へ、合法的に個人データを移転するために再移転方法(以下、「移転方法」といいます。)が必要となる場合、別表3(国境を越えるデータ移転方法)に定める条件が適用されます。
13. 雑則
13.1 法令遵守。 お客様は、(a) ご自身が本サービスの利用及び個人データの処理において、適用されるデータ保護法を遵守しており、今後も引き続き当該データ保護法を遵守すること、及び(b)ご自身が本契約及び本附属書類の規定に基づく処理を行うために、当社に個人データを送信する権利、又は当該個人データへのアクセスを提供する権利を有しており、将来にわたり当該権利を有し続けることを保証する責任を負います。
13.2 矛盾。 以下の文書の間に矛盾又は不一致が存在する場合、それらの優先順位は以下のとおりとします:(1)別表4(カリフォルニア州個別の条件)において適用される条件、(2)別表4(カリフォルニア州個別の条件)以外の本附属書類の条件、(3)本契約、(4)Twilioプライバシーノーティス。本附属書類に関連して請求の申し立てがなされた場合、本契約に定める除外事項及び制限事項を含むがこれらに限定されない条件に従うものとします。
13.3 完全合意。本附属文書は、お客様と当社の間で従前に合意されたデータ保護に関する条件又は個人データの処理に関する条件に優先します。
13.4 更新。 当社は、少なくとも30日前までに書面でお客様にその旨を通知することにより、本附属書類の条件を随時更新することができます。本附属書類の最新規約は、 https://www.twilio.com/ja-jp/legal/data-protection-addendumにて閲覧できます。
別表1
処理の詳細
該当する場合、別表1は、EU標準契約条項及び英国国際データ転送契約(いずれも別表3で定義)の付録Iして機能します。
1. データ主体のカテゴリ。 お客様のエンドユーザー及びお客様の最終消費者。
2. お客様個人データのカテゴリ。 カスタマー・アカウント・データ、通信利用状況データ及びカスタマー・コンテンツ。
3. 要配慮データ又は特別なカテゴリに該当するデータ。 カスタマー・コンテンツは、適用されるデータ保護法の下で要配慮データに該当する場合があり、お客様又はお客様のエンドユーザーがカスタマー・コンテンツ内に要配慮データを含めることを選択した場合、カスタマー・コンテンツは随時、本サービスを通じて処理される要配慮データを含む可能性があります。お客様は、本サービスを通じて要配慮データを送信若しくは処理する前に、又はエンドユーザーに要配慮データの送信若しくは処理を許可する前に、適切な保護措置が講じられるよう保証する責任を負います。
4.移転の頻度:継続的
5.処理の性質及び目的。 カスタマー個人データは、以下の基本的な処理活動の対象となります:
当社は、第4.2条(お客様の指示)に定めるお客様の指示に従い、カスタマー個人データをプロセッサー又はサブプロセッサーとして処理するものとします。当社は、第3条(コントローラーとしてのカスタマー個人データの処理)に定めるその適法な事業目的を遂行するために必要とされるカスタマー個人データをコントローラーとして処理するものとします。
6.処理の継続期間。当社によって個人データが保持される期間、及び当該期間を決定するための基準は次のとおりです:
当社がプロセッサー又はサブプロセッサーとして行動する場合、カスタマー個人データは、第6.1条及び第6.2条に定めるとおり、当該個人データが当社により収集及び/又は受領された目的を果たすために必要な期間、並びにhttps://help.twilio.com/articles/4410585868443 及びhttps://segment.com/docs/privacy/account-deletion にて閲覧できる、本サービスのデータ保持及び削除に関する文書に定める期間、保持されるものとします。
6.1 サービス。 本契約の終了に先立ち、(a) 当社は、お客様が本サービスを介してカスタマー・コンテンツを削除するということを選択するまで、保存されたお客様コンテンツを第4.2条(お客様の指示)に定める目的で処理し、(b)お客様は、本サービスを介してお客様コンテンツを削除することについて、単独で責任を負うことに同意するものとします。別表1の第6.2条(SendGridサービス)に定める場合を除いて、本契約が終了した時点で、当社は、(i)終了の効力発生日から30日間、お客様が本サービスを介して、保存されているお客様コンテンツのコピーを取得できるようにし、(ii)終了の効力発生日から30日後に、保存されているお客様コンテンツをに自動的に削除し、(iii)終了の効力発生日から60日後に、当社のバックアップシステムに保存されているお客様コンテンツを自動的に削除します。当社のバックアップシステムに保存されたお客様コンテンツは、適用されるデータ保護法を含む適用法令で別途義務付けられている場合を除き、安全に隔離され、それ以上の処理から保護されます。
6.2 SendGridサービス。 本契約が終了した時点で、当社は、(a)お客様の選択により、「SendGrid」又は「Twilio SendGrid」の名称が付された一切のサービス及びアプリケーションプログラミングインターフェイス(総称して「SendGridサービス」といいます)内に保存されたお客様コンテンツ(コピーを含む)を削除するか、お客様に返却し、(b)終了の効力発生日から1年後に、当社のバックアップシステムのSendGridサービス内に保存されたお客様コンテンツを自動的に削除します。
当社がコントローラーとして行動する場合、カスタマー個人データは、当該個人データが当社により収集又は受領された目的を果たすために必要な期間、当社のデータ保持ポリシーに従って保持されるものとします。
別表2
技術的及び組織的セキュリティ対策
カスタマー個人データを含む、カスタマーデータを保護するための当社の技術的及び組織的セキュリティ対策の全文は、 https://www.twilio.com/ja-jp/legal/security-overview (以下、「セキュリティ概要書 」といいます)にて閲覧できます。当社の拘束的企業準則・プロセッサー・ポリシーはhttps://www.twilio.com/en-us/legal/bcr/processorにて閲覧できます。
該当する場合、別表2はEU標準契約条項の付録II及び英国国際データ転送契約の表3として機能します。
次の表では、当社の技術的及び組織的セキュリティ対策に関する詳細情報を示しています。
技術的及び組織的セキュリティ対策
技術的及び組織的セキュリティ対策の証拠
個人データの仮名化及び暗号化の措置
セキュリティ概要書の第12条(暗号化)を参照
処理システム及びサービスの継続的な機密保持、完全性、可用性、及びレジリエンスを確保するための措置
セキュリティ概要書の第16条(レジリエンス及びサービス継続性)及び第17条(カスタマーデータのバックアップ)を参照
物理的又は技術的なインシデントが発生した場合に、個人データの可用性及びアクセスを適時に回復できるようにするための措置
セキュリティ概要書の第16条(レジリエンス及びサービス継続性)及び第17条(カスタマーデータのバックアップ)を参照
処理のセキュリティを確保するために、技術的及び組織的セキュリティ対策の有効性を定期的に試験、評価、及び査定するためのプロセス
セキュリティ概要書の第3条(セキュリティに関する組織及び制度)、第7条(セキュリティ認証及び証明)、及び第14条(ペネトレーションテスト)を参照
ユーザーの識別及び認証のための措置
セキュリティ概要書の第10条(アクセス権の管理)を参照
送信中のデータを保護するための措置
セキュリティ概要書の第12条(暗号化)及び第17条(カスタマーデータのバックアップ)を参照
保存中のデータを保護するための措置
セキュリティ概要書の第8条(ホスティングアーキテクチャ及びデータの分離)及び第12条(暗号化)を参照
個人データが処理される場所の物理的セキュリティを確保するための措置
セキュリティ概要書の第5条(物理的セキュリティ)を参照
イベントログを確実に記録するための措置
デフォルト設定を含む、システム構成を確保するための措置
社内のIT及びITセキュリティのガバナンス及び管理に関する措置
セキュリティ概要書の第3条(セキュリティに関する組織及び制度)を参照
プロセス及び製品の認証/保証に関する措置
セキュリティ概要書の第3条(セキュリティに関する組織及び制度)及び第7条(セキュリティ認証及び証明)を参照
データを確実に最小化するための措置
当社がカスタマー個人データのプロセッサーとして行動する場合、お客様の指示に基づき、当社は、お客様が個人データを正確かつ最新の状態に保つ義務を遵守できるよう支援します。
お客様が当社に対し、当社がお客様に代わって処理するカスタマー個人データが不正確であることを通知した場合、当社は、お客様が当該データを遅滞なく更新、修正、又は消去できるよう支援します。また、当社は、当該データが開示された自らのグループメンバーや第三者プロセッサーに対し、当該個人データを更新、修正、又は消去する必要性を通知できるよう措置を講じます。
限定的データ保持を確実に行うための措置
当社がカスタマー個人データのプロセッサーとして行動する場合、お客様の指示に基づき、当社は、当該データが最初に収集された目的のために必要な期間に限り、お客様がカスタマー個人データを保存できるよう支援します。
お客様が当社に対し、当社がお客様に代わって処理するカスタマー個人データがもはや必要でないと指示した場合、当社は、お客様が当該データを遅滞なく、かつ本契約の条件に従って、消去、制限、又は匿名化できるよう支援します。また、当社は、当該データが開示された自らのグループメンバーや第三者プロセッサーに対しても、当該個人データを消去、制限、又は匿名化する必要性を通知できるよう措置を講じます。
説明責任を果たすための措置
当社は、当社内での個人データのグローバルな取扱い、処理、移転について定める、拘束的企業準則を採用しています。
データポータビリティの許可及び削除の確保に関する措置
お客様は、https://www.twilio.com/docs にて閲覧できる、本サービスに関して適用されるドキュメントに定めるとおり、本サービスのセルフサービス機能を使用し、お客様コンテンツをエクスポート又は削除することができます。
データポータビリティのセルフサービス機能の例については、次を参照してください: https://support.twilio.com/hc/en-us/articles/223183588-Exporting-SMS-and-Call-Logs
データポータビリティのセルフサービス機能の例については、次を参照してください:
https://docs.sendgrid.com/ui/managing-contacts/create-and-manage-contacts#export-contacts
データ削除のセルフサービス機能の例については、次を参照してください:
https://support.twilio.com/hc/en-us/articles/223181008-Twilio-SMS-message-and-traffic-storage
データ削除のセルフサービス機能の例については、次を参照してください:https://www.twilio.com/docs/sendgrid/api-reference/contacts/delete-contacts
第三者サブプロセッサーが講じる措置
当社が本附属書類の第6.1条(復処理に対する承認)に基づきサブプロセッサーに委託を行う場合、当社及びサブプロセッサーは、本附属書類に含まれる義務と実質的に同様のデータ保護義務を伴う契約を締結します。各サブプロセッサーの契約は、当社がお客様に対する義務を遂行することができるものでなければなりません。個人データを保護するための技術的及び組織的措置を実施することに加え、サブプロセッサーは、以下を行う義務を負います。(a)セキュリティインシデントが発生した場合、当社がお客様に通知できるよう、当社にその旨を通知すること、(b)お客様による当社への指示に基づき、当社から指示された場合に個人データを削除すること、(c)当社の承認なく、追加のサブプロセッサーに委託しないこと、(d)個人データを処理する場所を変更しないこと、(e)お客様による当社への指示と矛盾する形で個人データを処理しないこと。
別表3
国境を越えるデータ移転方法
1.定義
- 「BCRサービス」とは、SendGridサービスを除く全てのサービスをいいます。
- 「EEA」とは、欧州経済地域をいいます。
- 「EU標準契約条項」とは、決定2021/914で欧州委員会が承認した標準契約条項をいいます。
- 「Twilio BCR」とは、https://www.twilio.com/legal/binding-corporate-rulesに定める当社の拘束的企業準則をいいます。
- 「Twilio CBPR及びPRP認証」とは、アジア太平洋経済協力会議(「APEC」)の越境プライバシー規則(「CBPR」)システム及びプロセッサーシステム向けのプライバシー認証(「PRP」)に基づく当社による認証で、http://www.cbprs.org/compliance-directory/cbpr-system にて閲覧できるディレクトリに登録されているものをいいます。
- 「英国国際データ移転契約」とは、英国個人情報保護監督機関によって発行され2022年3月21日に施行された、欧州委員会標準契約条項の国際データ移転附属書のバージョンB1.0をいいます。
- 「データプライバシーフレームワーク」とは、EU・米国間データプライバシーフレームワーク又はスイス・米国間データプライバシーフレームワークについて、米国商務省が運営する自己認証制度をいいます。
- 「データプライバシー原則」とは、データプライバシーフレームワークの原則(補足原則による補足を含む)をいいます。
2.国境を越えるデータ移転方法
2.1 優先順位。本サービスが複数に及ぶ移転方法の対象となる場合、個人データの移転には、以下の優先順位に従い、該当する、次のいずれかの単一の移転方法が適用されるものとします。(a)別表3の第2.2条(データプライバシーフレームワーク)に定めるデータプライバシーフレームワーク、(b) 別表3の第2.3条(Twilio BCR)に定めるTwilio BCR、(c)別表3の第2.4条に定めるEU標準契約条項(EU標準契約条項)、(d)第2.5条に定める英国国際データ移転契約(EU標準契約条項)、又は(e)適用されるデータ保護法で認められたその他適用されるデータ移転方法((a)(b)(c)及び(d)のいずれも該当しない場合)。
2.2 データプライバシーフレームワーク。Twilio Inc.がEEA、スイス又は英国で生成された個人データを本サービスを介して処理する場合において、当社は、Twilio Inc.がEU・米国間データプライバシーフレームワーク、EU・米国間データプライバシーフレームワークの英国拡張版及びスイス・米国間データプライバシーフレームワークに基づく自己認証を行っており、かかる個人データの処理に際してはデータプライバシー原則を遵守することを表明します。お客様が (a) アメリカ合衆国に所在し、かつデータプライバシーフレームワークに基づく自己認証を行っているか、又は (b) EEA、スイス若しくは英国に所在する場合、当社はさらに次の内容を実施することに同意します。(i) 個人データには、データプライバシー原則の要件と同等以上の保護を確保すること、(ii) データプライバシーフレームワークに対する自己認証について撤回、終了、取消、又はそれ以外の形で無効になった場合には、不当に遅延することなく、その旨をお客様に書面で通知すること(その場合、別表3の第2.1条(優先順位)に定める優先順位に従い、代わりの移転方法を適用します)、(iii) 個人データの不正処理が発生した場合には、書面で通知した上で、お客様と連携して、不正処理を中止し修正するための合理的かつ適切な対策を取るものとします。
2.3 Twilio BCR。 当社は、Twilio BCRに基づきBCRサービス内で個人データを処理するものとします。お客様と当社は、BCRサービスに関し、Twilio BCRがEEA又はスイスから(a)アメリカ合衆国に所在する当社、又は(b)EEA域外に所在する当社の事業体に対する―カスタマー個人データの合法的な移転方法であることに同意するものとします。なお、Twilio BCRは、SendGridサービスの移転方法としては機能しません。
2.4 EU標準契約条項。EU標準契約条項は、本サービスを介し直接又は再移転により、EEA、スイス、ガーンジー若しくはジャーンジーから、以下の(a)及び(b)に該当するEEA、スイス、ガーンジー若しくはジャーンジー以外の国又は欧州経済地域若しくはスイス以外に所在する受領者に移転される個人データに適用されるものとすることに同意します。(a)関連所轄機関により、個人データに対して適切なレベルの保護を提供していると認められていないこと、(b)Twilio BCRの対象ではないこと。EU標準契約条項の対象となるデータ移転については、EU標準契約条項が締結されたとみなされるとともに、この参照により本附属書類に組み込まれているものとみなされ、以下のとおり、履行されているものとします。
(a)当社がカスタマー・アカウント・データ及び通信利用状況データを処理している場合、及び(ii)お客様がカスタマー個人データを処理しており、当社が第3条(コントローラーとして行うカスタマー個人データの処理)に従ってカスタマー個人データを処理している場合には、EU標準契約条項のモジュール1(コントローラーからコントローラーへの移転)が適用されるものとします。
(b)お客様がカスタマー個人データのコントローラーであり、当社が第4条(プロセッサーとして行うカスタマー個人データの処理)に従ってカスタマー個人データを処理している場合には、EU標準契約条項のモジュール2(管理者から処理者への移転)が適用されるものとします。
(c)お客様がカスタマー個人データのプロセッサーであり、当社が第4条(プロセッサーとして行うカスタマー個人データの処理)に従ってカスタマー個人データを処理している場合には、EU標準契約条項のモジュール3(処理者から処理者への移転)が適用されるものとします。
(d)各モジュールに関して、該当する場合には以下のとおりとします。
(i)EU標準契約条項の第7条において、任意選択によるドッキング条項は適用されないものとします。
(ii)EU標準契約条項の第9条において、オプション2が適用され、サブプロセッサー変更に関する事前の書面による通知の期間は、第6.2条(既存のサブプロセッサー及びサブプロセッサー変更に関する通知)に定めるとおりとします。
(iii)EU標準契約条項の第11条において、任意選択による文言は適用されないものとします。
(iv)第17条(オプション1)において、EU標準契約条項はアイルランド法に準拠するものとします。
(v)EU標準契約条項の第18条(b)項において、紛争はアイルランドの裁判所の判断に従い解決されるものとします。
(vi)EU標準契約条項の付録I、パートAにおいては、以下のとおりとします。
データ輸出者: お客様
連絡先: お客様のアカウントの通知設定においてお客様が指定した電子メールアドレス。
データ輸出者の役割: データ輸出者の役割は、適宜、 第3条(コントローラーとして行うカスタマー個人データの処理)及び第4条(プロセッサーとして行うカスタマー個人データの処理)に定められています。
署名及び日付: 本契約を締結することにより、データ輸出者は、本契約の効力発生日を以て、本契約に組み込まれたこれらのEU標準契約条項(それらの付録を含む)に署名したものとみなされます。
データ輸入者: Twilio Inc.
連絡先: 当社のプライバシー - privacy@twilio.com
データ輸入者の役割: データ輸入者の役割は、適宜、 第3条(コントローラーとして行うカスタマー個人データの処理)及び第4条(プロセッサーとして行うカスタマー個人データの処理)に定められています。
署名及び日付: 本契約を締結することにより、データ輸入者は、本契約の効力発生日を以て、本契約に組み込まれたこれらのEU標準契約条項(それらの付録を含む)に署名したものとみなされます。
(vii)EU標準契約条項の付録I、パートBにおいては、以下のとおりとします。
データ主体のカテゴリーは、別表1(処理の詳細)の1条(データ主体のカテゴリ)に定められています。
移転される要配慮データは、別表1(処理の詳細)の第3条(要配慮データ又は特別なカテゴリに該当するデータ)に定められています。
移転は、本契約の期間中、継続的に行われます。
処理の性質及び目的は、別表1(処理の詳細)の第5条(処理の性質及び目的)に定められています。
個人データを保持する期間は、別表1(処理の詳細)の第6条(処理の継続期間)に定められています。
サブプロセッサーへの移転の場合、処理の主題、性質、及び継続期間については、https://www.twilio.com/ja-jp/legal/sub-processorsでで定められています。
(viii)EU標準契約条項の付録I、パートCにおいては、以下のとおりとします。アイルランドデータ保護委員会を所轄の監督機関とします。
(ix)別表2(技術的及び組織的セキュリティ対策)は、EU標準契約条項の付録IIとしての機能を果たします。
2.5 英国国際データ移転契約。 お客様と当社は、英国国際データ転送契約が、本サービスを介し、英国から直接又は再移転の形により、英国から以下の(a)及び(b)に該当する英国以外の国又は受領者に移転される個人データに適用されることに同意するものとします:(a)管轄権を有する英国の規制当局又は英国の政府機関により、個人データに対して適切なレベルの保護を提供していると認められていないこと、かつ、(b)Twilio BCRの対象ではないこと。英国国際データ移転契約の対象となる英国からのデータ移転については、英国国際データ移転契約が締結されたとみなされるとともに、この参照により本附属書類に組み込まれているものとみなされ、以下のとおり、履行されているものとします。
(a) 英国国際データ移転契約の表1における、お客様と当社の詳細及び主要な連絡先は、別表3の第2.4条(e)(vi)に記載されています。
(b) 英国国際データ移転契約の表2における、英国国際データ移転契約が添付されている承認済のEU標準契約条項、モジュール及び選択条項のバージョンに関する情報は、別表3の第2.4条(EU標準契約条項)に記載されています。
(c) 英国国際データ移転契約の表3における、
(i) 当事者のリストは、別表3の第2.3条(e)(vi)に記載されています。
(ii) 移転の詳細は、別表1(処理の詳細)の第5条(処理の性質及び目的)に定められています。
(iii) 付録IIは、別表2(技術的及び組織的セキュリティ対策)に記載されています。
(iv) サブプロセッサーのリストは、https://www.twilio.com/ja-jp/legal/sub-processorsに掲載されています。
(d) 英国国際データ移転契約の表4における、輸入者及び輸出者の双方は、英国国際データ移転契約の条件に基づき、英国国際データ移転契約を終了することができます。
2.6 EU 標準契約条項の適用。 EU 標準契約条項は、データ保護法又は規則に基づき国際的な移転又はアクセスに適切性の手段が要求される国の外部から移転される又は遠隔的にアクセスされる全てのカスタマー個人データに適用されます。要求される適切性の手段は、EU 標準契約条項を締結することによって直接的に、又は、あらゆる国若しくは受領者への再移転を通じて満たすことができます。いずれの場合も、EU 標準契約条項が存在しない場合には、適用されるデータ保護法に基づき、当該移転又はアクセスが禁止される状況に限られます。EU標準契約条項は、EEA、スイス、ガーンジー又はジャージーの国内外を問わず、当事者の所在地に関係なく、本附属文書全体が全ての当事者に適用されるよう、(例えば、用語の点において)若干修正されなければなりません。ただし、このような修正は、EEA、スイス、ガーンジー又はジャージーのデータ保護法令が適用されるデータ移転には適用されません。
2.7 矛盾。EU標準契約条項又は英国国際データ移転契約と、別表4(カリフォルニア州個別の条件)を含む本附属書類のその他の規定、本契約、又はTwilioプライバシーノーティスとの間に矛盾がある場合、EU標準契約条項又は英国国際データ移転契約の条項が適用される場合はそれらが優先するものとします。
別表4
カリフォルニア州個別の条件
1. 当社は、第3条(コントローラーとして行うカスタマー個人データの処理)に従い、コントローラーとしてCCPAの対象となるカスタマー個人データを処理する独立した「事業者」です。
2. 以下の用語は、当社が第4条(プロセッサーとして行うカスタマー個人データの処理)に従い、処理者としてCCPAの対象となるカスタマー個人データを処理し、「サービスプロバイダー」として行動する場合に適用されます:
(a) 別表4で使用される「個人情報」という用語は、CCPAで規定される意味を持つものとします。
(b) 当社は、本附属書類に規定された処理目的及び処理活動を含む、本契約に規定された事業目的(「本件目的」)のためにのみ、カスタマー個人データに含まれる個人情報の処理を行うものとします。当社は、サービスプロバイダーとして行動する場合、カスタマー・コンテンツに含まれる個人情報を販売又は共有したり、カスタマー個人データを(a)商業的に保持、使用若しくは開示を行うことを含む、本件目的以外の目的で若しくは別途CCPA で許可された態様以外で、又は (b) お客様と当社の直接の取引関係以外で、当該データを保持、使用若しくは開示しないものとします。
(c) 当社は、(a) CCPAに基づき自らがサービスプロバイダーとして行動する場合に適用される義務を遵守し、(b) 個人情報についてCCPAに基いて要求されるものと同等の水準のプライバシー保護を行うものとします。お客様は、本サービスの使用及びお客様自身の個人情報の処理において、CCPA の要件を遵守していること、かつ今後も遵守し続ける義務を負います。
(d) お客様は、当社がCCPA に基づくお客様の義務に合致した態様で個人情報を使用するよう、合理的かつ適切な措置を講じる権利を有します。
(e) 当社は、CCPA に基づくサービスプロバイダーとしての義務をもはや果たすことができないと判断した場合、お客様に通知します。
(f) 通知を受けた場合、お客様は個人情報の不正使用を停止及び是正するため、本契約に基づき合理的かつ適切な手段を講じる権利を有します。
(g) 当社は、お客様が本契約に規定される消費者の要請に関する義務を遵守できるよう、合理的な追加的かつ適時な支援を提供するものとします。
(h) CCPA の対象となる個人情報を処理するために当社が使用するサブプロセッサーについては、当社と当該サブプロセッサーとの間の契約が、サービスプロバイダー及び請負業者に関する契約上の要件を含むがこれに限定されない、CCPA を遵守するよう確実を期すものとします。
(i) 当社は、お客様から又はお客様に代わって受領したカスタマー個人データを、他者から若しくは他者に代わって受領した個人情報又は消費者とのやりとりから収集した個人情報と結びつけることはありません。ただし、それがCCPA及びその規制、又はカリフォルニア州プライバシー保護局が採用する規制によって許可された事業目的の遂行に必要である場合は、この限りではありません。
(j) 当社は、自らがCCPAに基づく義務を理解及び遵守していることを証明します。
3. 当社は、お客様に提供するいかなる本サービスの対価としても、カスタマー個人データに含まれる個人情報を受領しないことを承認及び確認とします。