データ保護附属書

この日本語版は、参照することのみを目的とした翻訳版であり こちらへ、本契約の英語版と日本語版に異なる点がある場合には、英語版が優先します。

THIS JAPANESE VERSION OF TWILIO JAPAN’S DATA PROTECTION ADDENDUM IS PROVIDED AS A REFERENCE ONLY. IN THE EVENT OF ANY DIFFERENCES BETWEEN THE ENGLISH AND JAPANESE VERSIONS, THE ENGLISH VERSION HERE SHALL CONTROL.

最終更新日: 2023年8月3日

本データ保護附属書(以下、「本附属書類」といいます)は、お客様による(以下に定義される)本サービスの利用について定める、お客様と当社との間における契約(以下、「本契約」といいます)の一部を構成するものです。

I. はじめに

 

1.定義

  • 適用されるデータ保護法」とは、本契約に基づく当社による個人情報の処理に適用されるあらゆる法令をいいます。
  • コントローラー」とは、個人データを処理する目的及び手段を単独で又は他者と共同で決定する自然人又は法人、公的機関、代理業者又はその他の団体をいいます。
  • カスタマー・アカウント・データ」とは、お客様のアカウントへのアクセスのためにお客様ご自身が提供した個人の氏名又は連絡先情報、お客様がご自身のアカウントに関連付けた個人の請求情報など、お客様と当社との関係に関連する個人データをいいます。お客様アカウントデータには、本人確認認証を目的として(以下に定義する多要素認証サービスの提供を含む)、又は加入者記録(以下に定義)を保持する法的義務の一環として、当社が収集することが必要となる可能性のある個人データも含まれます。
  • カスタマー・コンテンツ」とは、(a)テキスト、メッセージ本文、音声及び動画媒体、画像、電子メール本文、電子メール受信者、音声並びに(該当する場合は)お客様がその指定ソフトウェア及びサービスから本サービスに提供する詳細など、本サービス(以下に定義)を利用した結果としてやり取りされる個人データ、並びに(b)本サービス内の通信ログ、お客様が本サービス(以下に定義)にアップロードしたマーケティングキャンペーンデータなど、お客様に代わり保存が行われるデータをいいます。
  • カスタマーデータ」とは、本契約に定める意味を有します。お客様データには、お客様アカウントデータ、カスタマー利用状況データ、お客様コンテンツ、及び要配慮データ(それぞれ本附属書類に定義)が含まれます。
  • カスタマー利用状況データ」とは、お客様コンテンツの公衆交換電話網又はその他通信手段のいずれかを介した電話番号を活用して行われた送信又は交換を目的として当社が処理するデータをいいます。このデータには、(a)個々のデータ主体の電話番号、本サービスを提供する際に生成されたデバイスの位置に関するデータ、通信の日時、期間、種類、及び(b)本サービスの依頼元の特定、本サービスの品質の最適化と維持、システム乱用の調査と防止に使用されるアクティビティログなど、通信の送信元及び送信先の特定に使用されるデータが含まれます。
  • 多要素認証サービス」とは、Twilioサービスの一環として提供されるサービスをいいます。このサービスに基づき、お客様は、お客様のエンドユーザーによるお客様のソフトウェアアプリケーション又はサービスの利用に関連して、当該エンドユーザーの身元を確認するために付加的な要素を追加します。
  • 個人データ」とは、識別された、又は識別可能な自然人(以下、「データ主体」といいます)に関連する情報をいいます。識別可能な自然人とは、特に氏名、識別番号、位置データ、オンライン識別子などの識別子、又は当該自然人の身体的、生理学的、遺伝的、精神的、経済的、文化的、社会的なアイデンティティに固有の単一又は複数の要素を参照することにより、直接的又は間接的に識別可能な人をいいます。
  • プロセッサー」とは、コントローラーに代わり個人データを処理する事業体をいいます。
  • 処理」とは、自動化された手段によるかどうかにかかわらず、個人データ又は一連の個人データに関して行われる操作又は一連の操作をいいます。この操作には、収集、記録、整理、構造化、保存、翻案、改変若しくは変更、検索、参照、使用、送信による開示、頒布、その他の方法による提供、調整若しくは組み合わせ、制限、消去、破棄などが含まれます。
  • セキュリティインシデント」とは、お客様データの偶発的若しくは違法な破棄、紛失、改竄、不正開示、又はお客様データへの不正アクセスの発生が確認されたもの又は合理的にその疑いがあるものをいいます。
  • 要配慮データ」とは、次のいずれかに該当するデータをいいます。(a)社会保障番号、パスポート番号、運転免許証番号、又はこれに類する識別子(若しくはその一部)、(b)クレジットカード番号又はデビットカード番号(クレジットカード又はデビットカードを一部非表示(下4桁のみの表示)にする場合を除く)、財務情報、銀行の口座番号又はパスワード、(c)雇用、財務、遺伝、生体認証、又は健康に関する情報、(d)人種的、民族的、政治的若しくは宗教的な所属、労働組合への加入、又は性生活若しくは性的指向に関する情報、(e)アカウントのパスワード、母親の旧姓、又は生年月日、(f)犯罪歴、(g) GDPR(以下に定義します)又はプライバシー及びデータ保護に関連するその他の適用法令に基づく「特別なカテゴリーのデータ」の定義に該当するその他の情報又は情報の組み合わせ
  • 本サービス」とは、Twilio又はその関連会社によって提供された製品及びサービスで、(該当する場合)(a)お客様によって使用される、トライアル若しくはその他無償で提供される製品及びサービスを含むがこれらに限定されないもの、又は(b)お客様によって注文書を用いて注文されたものをいいます。
  • 加入者記録」とは、当社が特定の国の電話番号をお客様又はお客様のエンドユーザーに提供する(以下、「電話番号割り当て」といいます)ために必要な身分証明書及び物理的住所の証明書を含むお客様アカウントデータをいいます。法令により義務付けられている場合、加入者記録は、ローカル接続サービスを提供する地域の電気通信事業者、又は地方自治体の機関と共有されます(これらの規制要件に関する追加情報については、https://www.twilio.com/guidelines/regulatoryにて閲覧可能です)。
  • サブプロセッサー」とは、(a)当社がお客様コンテンツを処理する場合及びお客様が当該お客様コンテンツの処理を行う場合における当社、又は(b)お客様に対する本サービスの提供を目的としてお客様コンテンツを処理するために当社が委託先とする第三者のプロセッサーをいいます。なお、電気通信事業者はサブプロセッサーではありません。
  • 第三者の要請」とは、データ主体、規制当局、又は第三者からの要求、通信、問い合わせ、又は苦情をいいます。
  • Twilioプライバシーノーティス」とは、https://www.twilio.com/legal/privacyにおいて閲覧可能な本サービスに係る現時点での最新のプライバシーノーティスをいいます。

第1条に定義されていない(英語版における頭文字が大文字の)用語は、本附属書類又は本契約で定められた意味を有するものとします。

II. コントローラー及びプロセッサー

 

2.関係

2.1 プロセッサーとしての当社。 お客様と当社は、お客様コンテンツの処理に関して、お客様がコントローラー又はプロセッサーのいずれも務めることができること、及び当社がプロセッサーであることを認め、これに同意します。当社は、第5条(お客様の指示)に定めるお客様の指示に従い、お客様コンテンツを処理するものとします。

2.2 お客様アカウントデータのコントローラーとしての当社。 お客様と当社は、お客様アカウントデータの処理に関して、お客様がコントローラーであること、及び当社が独立したコントローラーであり、お客様との共同のコントローラーではないことを認め、これに同意します。当社は、次の目的及び場合において、コントローラーとしてお客様アカウントデータを処理するものとします。(a)お客様との関係を管理するため、(b)会計業務及び税務申告など、当社の中核となる事業運営を行うため、(c)セキュリティインシデント、詐欺、その他本サービスの乱用又は悪用を検知、防止、又は調査するため、(d)本人確認を行うため、(e)当社が加入者記録を保持するための法的又は規制上の義務を遵守するため、(f)その他適用されるデータ保護法に基づき、さらに本附属書類、本契約、及びTwilioプライバシーノーティスに従い、許可されている場合。

2.3 カスタマー利用状況データのコントローラーとしての当社。 お客様と当社は、カスタマー利用状況データの処理に関して、お客様がコントローラー又はプロセッサーのいずれかである可能性があること、及び当社が独立したコントローラーであり、お客様との共同のコントローラーではないことを認め、これに同意します。当社は、次のいずれかの目的及び場合において、通信サービスプロバイダーとしての必要な機能を遂行するために、コントローラーとしてカスタマー利用状況データを処理するものとします。(a)当社の会計、税務、請求、監査、及び法令遵守のため、(b)本サービス及びプラットフォームの提供、最適化、維持、並びにセキュリティのため、(c)詐欺、スパム、本サービスの不正又は違法な利用を調査するため、(d)適用法令による義務を履行するため、(e)その他適用されるデータ保護法に基づき、さらに本附属書類、本契約、及びプライバシーポリシーに従い、許可されている場合。

3.使用目的の制限。当社は、本契約に基づき、本サービスを提供するために個人データを処理するものとします。処理の性質及び目的、処理行為、処理の継続期間、個人データの種類、及びデータ主体のカテゴリーは、本附属書類の別表1(処理の詳細)においてさらに詳述されています。

4.法令遵守。お客様は、ご自身が(a)本サービスの利用及び個人データの独自の処理において、適用されるデータ保護法を遵守しており、今後も引き続き当該データ保護法を遵守すること、及び(b)本契約及び本附属書類の規定に従って処理するために、当社に個人データを送信する権利、又は当該個人データへのアクセスを提供する権利を有しており、今後も引き続き当該権利を有することを保証する責任を負います。

 

III. プロセッサーとしての当社 – お客様コンテンツの処理

 

5.お客様の指示。 お客様は、次の場合において、お客様に代わり、なお且つお客様の指示に従い、お客様コンテンツを処理するプロセッサーとして当社を任命するものとします。(a)本契約、本附属書類に定められている場合、及びお客様に本サービスを提供するためにその他必要な場合(これには、セキュリティインシデントの調査、スパム、詐欺行為、https://www.twilio.com/legal/aupにおいて閲覧可能な現時点での最新のTwilioサービス利用ポリシーへの違反の防止並びにネットワークの悪用又は乱用の検出及び防止が含まれます)、(b)適用されるデータ保護法を含む、適用法令を遵守するために必要な場合、(c)お客様と当社の間で書面による別段の合意がある場合(以下、「許可された目的」といいます)。

5.1 指示の適法性。お客様は、ご自身の指示が適用されるデータ保護法を遵守していることを保証するものとします。お客様は、ご自身の事業にどのような法令が適用されるのか、当社による本サービスの提供が当該法令の要件を満たしているのか、今後満たすのかどうかを判断することのいずれについても、当社が責任を負わないことを認めるものとします。お客様は、当社によるお客様コンテンツの処理がお客様の指示に従い行われた場合には、適用されるデータ保護法を含む適用法令に当社が違反していないことを保証するものとします。当社は、お客様の指示が適用されるデータ保護法を含む適用法令に違反していることを認識した場合、又は合理的にそのように判断した場合には、その旨をお客様に通知するものとします。

5.2 追加指示。 本契約又は本附属書類の範囲外の追加指示については、当該追加指示の実行に対してお客様が当社に支払う義務を負う可能性のある追加料金を含め、お客様と当社の間で書面により合意するものとします。

 

6.機密保持

6.1 第三者の要請への対応。当社によるお客様コンテンツの処理に関連し、直接当社に第三者の要請がなされた場合、当社は、法律上認められている範囲で、速やかにその旨をお客様に通知し、その詳細を提供するものとします。当社は、お客様の事前同意なく、第三者の要請には対応しないものとします。ただし、そのように対応すること、又は第三者の要請がお客様に関連することを確認することが法律上義務付けられている場合を除きます。

6.2 当社従業員の守秘義務。当社は、当社がお客様コンテンツの処理を許可した人物が、本契約における当社の守秘義務に従って個人データを保護することに同意していることを保証するものとします。

 

7.サブプロセッサー

7.1 以降の副処理に対する承認。お客様は、以下の要件を満たすことを条件として、当社が以降のサブプロセッサーに処理を委託することを一般的に許可するものとします。

(a) 当社が以降の以降のサブプロセッサーによるお客様コンテンツへのアクセスを本サービスの提供に厳密に必要な場合に制限し、なお且つ当社がその他の目的における以降のサブプロセッサーによる個人データの処理を禁止すること。

(b) 本附属書類の別表4(法域別の条件)に定める要件を含め、当社が任命したサブプロセッサーが適用されるデータ保護法で義務付けられている基準に従いお客様コンテンツを保護することを求める契約上のデータ保護義務(個人データを保護するための適切な技術的及び組織的措置を含む)を当該サブプロセッサーに課すことに当社が同意すること。

(c) 当社のサブプロセッサーの作為、過失、又は不作為に起因する本附属書類に対する違反があった場合に、当社がその責任を負うものとすること。

7.2 既存のサブプロセッサー及びサブプロセッサー変更に関する通知。お客様は、許可された目的において本サービス内でお客様コンテンツを処理するために、当社が第三者のサブプロセッサーを委託先とすることに同意するものとします。ただし、当社がそのサブプロセッサーの最新リストを https://www.twilio.com/en-us/legal/sub-processorsに掲載していること、及びお客様が新規のサブプロセッサーに関する通知を予約する仕組みが含まれていることを条件とします。お客様が当該通知を予約している場合、当社は、サブプロセッサーが変更された際には、その詳細を合理的に実行可能な範囲で速やかに提供するものとします。インフラストラクチャ提供事業者の変更について、当社は、変更の60日前までに書面で通知するよう努め、いかなる場合も当該変更の30日以上前までに書面で通知するものとします。当社のその他のサブプロセッサーについて、当社は、変更の30日前までに書面で通知するよう努め、当該変更の10日以上前までに書面で通知するものとします。

7.3 新規サブプロセッサーに関する異議申し立ての権利。 お客様は、当社によるサブプロセッサーの任命又は交代に先立ち、それらに対する異議申し立てができます。ただし、当該異議は、データ保護に関する合理的な理由に基づき、書面により行われることを条件とします。この場合、お客様と当社は、商業的に合理的な代替解決策について誠実に協議することに同意します。書面によるお客様の異議申し立てを当社が受領した日から90日以内にお客様と当社が解決に至ることができない場合、お客様は、書面で当社に通知することにより、影響を受ける本サービスの利用を中止することができます。影響を受ける本サービスを中止する前にお客様が負担したいかなる料金に対しても、当該中止による不利益は生じないものとします。当社による新規サブプロセッサーの交代又は任命に先立ちいかなる異議の申し立ても行われない場合、当社は、お客様が新規サブプロセッサーを承認したものとみなします。

 

8.データ主体の権利。当社は、本サービスを通じて、お客様コンテンツの削除、コピーの取得、又は利用の制限などを含む多数のセルフサービス機能をお客様に提供します。お客様は、データ主体からの第三者の要請への、本サービスを介した対応に関して、適用されるデータ保護法に基づく義務の遵守を支援するために、当該セルフサービス機能を一切の追加費用なしで利用することができます。お客様の要請に応じて、当社は、お客様が、本サービスを通じて利用可能なセルフサービス機能を用いてデータ主体である第三者からの要請を解決することができない場合、その限度で、適用されるデータ保護法に基づくデータ主体の権利に関するお客様のデータ保護義務の遵守を支援するために、合理的且つ適時な追加支援を行うものとします。

 

9.影響評価及び協議。当社は、データ保護の影響評価、又は適用されるデータ保護法に基づき必要となる可能性のある規制当局との協議に関連し(お客様に合理的な協力を行うことにより、当社がその取り組みに重要なリソースを割り当てることが必要になる場合に限り、お客様の費用負担において)、お客様に合理的な協力を行うものとします。

 

10.お客様コンテンツの返却又は削除。当社は、本附属書類の別表1(処理の詳細)の第3条(処理の継続期間)に従い、本サービス内に保存されているお客様コンテンツを削除するか、お客様に返却するものとします。

10.1 附属書類の期間延長。本契約が終了した場合、当社は、本附属書類の別表1(処理の詳細)に定める期間、お客様コンテンツを保持することができます。ただし、当社は、お客様コンテンツが(a)許可された目的に必要な場合にのみ処理され、なお且つ(b)本契約、本附属書類、及び適用されるデータ保護法に従って引き続き保護されることを保証するものとします。

10.2 法律で義務付けられる保持。本第10条の規定に別段の定めがある場合であっても、当社は、適用されるデータ保護法を含む適用法令で義務付けられている場合には、お客様コンテンツ又はその一部を保持することができます。ただし、当該お客様コンテンツが本契約、本附属書類、及び適用されるデータ保護法の条件に従い引き続き保護されていることを条件とします。

 

IV. セキュリティ及び監査

11.セキュリティ

11.1 セキュリティ対策。当社は、本契約に定める技術的及び組織的なセキュリティ対策を実施しており、これを維持するものとします。お客様データの保護を目的とする当社の技術的及び組織的セキュリティ対策に関する追加情報は、本附属書類の別表2(技術的及び組織的セキュリティ対策)に定められています。

11.2 セキュリティ要件の判断。お客様は、本サービスには、音声録音の暗号化、お客様のアカウントにおける多要素認証の可用性、又はオプションのトランスポート・レイヤー・セキュリティ(TLS)暗号化など、お客様が本サービスを利用することにより処理されるお客様データのセキュリティに影響を与える、お客様が利用を選択できる特定の機能が含まれていることを認めるものとします。お客様は、当社が提供しているデータセキュリティに関する情報(監査報告書を含む)を確認すること、及び本サービスがお客様の要件及び法的義務(適用されるデータ保護法に基づく義務を含む)を満たしているかどうかを独自に判断することについて責任を負います。お客様はさらに、以下についての責任を負います。本サービスを適切に設定すること、及び当社が提供する機能を利用し、お客様による本サービスの利用により処理されるお客様データの性質を踏まえた適切なセキュリティを維持すること。

11.3 セキュリティインシデントに関する通知。当社は、以下の方法でセキュリティインシデントに関する通知を行うものとします。

(a) 当社は、当社をプロセッサーとするお客様データに影響を与えるセキュリティインシデントが発生した場合、遅滞なく、なお且ついかなる場合も当社による当該インシデントの発見から72時間以内に、適用法又は規制で認められる範囲でお客様に通知するものとします。

(b) 当社は、当社をコントローラーとするお客様データに影響を与えるセキュリティインシデントが発生した場合、遅滞なく、適用法又は規制で認められる範囲でお客様にその旨を通知します。

(c) 当社は、お客様がご自身のアカウントで指定した電子メールアドレス宛ての電子メールにより、お客様にセキュリティインシデントに関する通知を行います。

当社は、セキュリティインシデントを特定するために合理的な努力を払い、セキュリティインシデントが当社による本附属書類の違反に起因している場合には、当該セキュリティインシデントの原因を是正するものとします。当社は、適用されるデータ保護法に基づき、お客様が規制当局又はセキュリティインシデントの影響を受けるデータ主体に通知する必要がある場合には、お客様に合理的な支援を行うものとします。

 

12.監査。お客様と当社は、当社がお客様に代わりプロセッサーを務める限りにおいて、適用されるデータ保護法及び本附属書類に基づく当社による義務の遵守をお客様が評価できなければならないことを認めるものとします。

12.1 当社の監査制度。当社は、外部の監査人を使用して、お客様コンテンツの処理に関するセキュリティ対策の妥当性について確認するものとします。当該監査は、当社の選択による独立した第三者のセキュリティ専門家により、当社の費用負担で少なくとも年に1回実施され、その結果、機密扱いの監査報告書(以下、「監査報告書」といいます)が作成されます。

12.2 お客様の監査。合理的な間隔でお客様から書面による要請を受けた場合、合理的な機密管理に従い、当社は、当社の最新の監査報告書の写しをお客様に提供するものとします。お客様は、適用されるデータ保護法で認められている監査権がこれらの監査報告書により満たされることに同意するものとします。当社による監査報告書の提供により十分な情報が提供されない場合、又はお客様が規制当局の監査に対応する必要がある場合、お客様は、当社との間で次の点に関して相互に合意された監査計画に同意するものとします。(a)独立した第三者の使用を保証すること、(b)適時に当社に対する書面の通知を行うこと、(c)営業時間内にのみアクセスを求めること、(d)当社のその時点における最新のレートでのお客様に対する請求を受諾すること、(e)年に1回以上の頻度で監査を実施すること、(f)指摘事項をお客様に関連するデータのみに制限すること、(g)法令で認められている範囲で、収集された情報のうち、その性質上機密扱いにすべき情報についてお客様に守秘義務を負わせること。

 

V. 国際条項

 

13.法域別の条件。当社が、本附属書類の別表4(法域別の条件)に定める法域において、適用されるデータ保護法により保護された個人データを処理する場合、本附属書類の条件とは別に、適用される法域に関して別表4に定める条件が適用されます。

 

14.国境を越えるデータ移転の仕組み。お客様が本サービスを利用する際に、ある法域(欧州経済地域英国、スイス、ガーンジー、ジャージー又は本附属書類の別表4(法域別の条件)に定めるその他の法域)から当該法域外に所在する当社に対し、合法的に個人データを移転するための再移転に関する仕組み(以下、「移転方法」といいます)が必要となる場合、本附属書類の別表3(国境を越えるデータ移転方法)に定める条件が適用されます。

 

VI. 雑則

 

15. 協力及びデータ主体の権利。いずれかの当事者が次のいずれかについて要請を受けた場合、当該当事者は、速やかに他方当事者に書面でその旨を通知するものとします。(a)適用されるデータ保護法に基づくデータ主体の権利(該当する場合、アクセス権、訂正権、異議申し立ての権利、削除権、及びデータポータビリティの権利を含む)の行使に関する当該データ主体の要請、(b)他方当事者が行うお客様アカウントデータ又はお客様の利用状況データの処理に関連する第三者の要請。お客様と当社は、第三者の要請に対応し、適用されるデータ保護法に基づくそれぞれの義務を履行するために、必要に応じて誠実に協力することに同意します。

 

16. 矛盾。以下の文書の間に矛盾又は不一致が存在する場合、それらの優先順位は以下のとおりとします。(1)本附属書類の別表4(法域別の条件)において適用される条件、(2)本附属書類の別表4(法域別の条件)を除く本附属書類の条件、(3)本契約、(4)Twilioプライバシーノーティス。本附属書類に関連して請求の申し立てがなされた場合、本契約に定める除外事項及び制限事項を含むがこれらに限定されない条件に従うものとします。

  

17. 更新。当社は、本附属書類の条件を随時更新することができます。ただし、当社は、次のいずれかの結果により更新が必要となった場合には、少なくとも30日前までに書面でお客様にその旨を通知するものとします。(a)適用されるデータ保護法における変更、(b)合併、買収、又はその他類似の取引、(c)新製品若しくは新サービスのリリース、又は既存の本サービスの重大な変更。本附属書類の最新規約は、https://www.twilio.com/legal/data-protection-addendumから入手できます。


処理の詳細

 

1.処理の性質及び目的。当社は、本契約に基づき、本サービスを提供するために必要な個人データを処理するものとします。当社は、お客様の個人データ及びお客様のエンドユーザーの個人データを販売することはなく、報酬を得ること及び第三者自体のビジネス上の利益を目的として当該エンドユーザーの情報を当該第三者と共有することもありません。

1.1 お客様コンテンツ。当社は、本附属書類の第5条(お客様の指示)に定めるお客様の指示に従い、プロセッサーとしてお客様コンテンツを処理するものとします。

1.2 お客様アカウントデータ。当社は、本附属書類の第2.2条(お客様アカウントデータのコントローラーとしての当社)に定める目的において、コントローラーとしてお客様のアカウントデータを処理するものとします。

1.3 カスタマー利用状況データ。当社は、本附属書類の第2.3条(カスタマー利用状況データのコントローラーとしての当社)に定める目的において、コントローラーとしてお客様の利用状況データを処理するものとします。

 

2.処理行為

2.1 お客様コンテンツ。お客様コンテンツに含まれる個人データは、以下の基本的な処理行為の対象になります。

(a) 主にアプリケーションプログラミングインターフェイスの形式で提供される、プログラム可能な通信製品及びサービスをお客様に提供すること。これには、お客様のソフトウェアアプリケーション、サービス及びお客様の指示に従い指定された第三者と公衆交換電話網との間で、又はその他の通信ネットワークを経由して行われる送信も含まれます。個人データの保存は、当社のネットワーク上で行われます。

(b) お客様に代わり電子メール通信を受信者に送信及び配信することを可能にする製品及びサービスを提供すること。当社は、お客様に代わり当社が送信する電子メール通信に関する分析レポートもお客様に提供します。個人データの保存は、当社のネットワーク上で行われます。

(c)お客様によりエンドユーザーに関連するデータの統合、取扱及び管理が認められる製品及びサービスを提供すること。Twilioのネットワークに個人データを保管すること。

2.2 お客様アカウントデータ。お客様アカウントデータに含まれる個人データは、本サービスを提供する処理行為の対象になります。

2.3 カスタマー利用状況データ。カスタマー利用状況データに含まれる個人データは、本サービスを提供する処理行為の対象になります。  

 

3.処理の継続期間。個人データが保持される期間、及び当該期間を決定するための基準は次のとおりです。

3.1 お客様コンテンツ。

(a) サービス。 本契約の終了に先立ち、(x) 当社は、お客様が本サービスを介してお客様コンテンツを削除するということを選択するまで、保存されたお客様コンテンツを許可された目的で処理し、(y)お客様は、本サービスを介してお客様コンテンツを削除することについて、単独で責任を負うことに同意するものとします。本別紙1の第3.1条(b)(SendGridサービス)に定める場合を除いて、本契約が終了した時点で、当社は、(i)終了の効力発生日から30日間、お客様が本サービスを介して、保存されているお客様コンテンツのコピーを取得できるようにし、(ii)終了の効力発生日から30日後に、保存されているお客様コンテンツをに自動的に削除し、(iii)終了の効力発生日から60日後に、当社のバックアップシステムに保存されているお客様コンテンツを自動的に削除します。当社のバックアップシステムに保存されたお客様コンテンツは、適用法令で別途義務付けられている場合を除き、安全に隔離され、それ以上の処理から保護されます。

(b)SendGridサービス。 本契約が終了した時点で、当社は、(i)お客様の選択により、「SendGrid」又は「Twilio SendGrid」の名称が付された一切のサービス及びアプリケーションプログラミングインターフェイス(総称して「SendGridサービス」といいます)内に保存されたお客様コンテンツ(コピーを含む)を削除するか、お客様に返却し、(ii)終了の効力発生日から1年後に、当社のバックアップシステムのSendGridサービス内に保存されたお客様コンテンツを自動的に削除します。

3.2 お客様アカウントデータ。 当社は、(a)お客様に本サービスを提供するため、(b)当社の正当な業務上のニーズのため、又は(c)適用法令により必要とされる限り、お客様アカウントデータを処理します。お客様アカウントデータは、Twilioプライバシーノーティスに従い保存されます。

3.3 カスタマー利用状況データ。 本契約が終了した時点で、当社は、本別表1の第1.3条(カスタマー利用状況データ)に定める目的で、本契約に定める守秘義務に従い、カスタマー利用状況データを保持、使用、及び開示することができます。当社が本別表1の第1.3条(お客様利用状況データ)に定める目的でカスタマー利用状況データを必要としなくなった場合、当社は、カスタマー利用状況データを匿名化又は削除するものとします。

 

4.データ主体のカテゴリー

4.1 お客様コンテンツ。お客様のエンドユーザー。

4.2 お客様アカウントデータ。 お客様のTwilioアカウントへのアクセス又は多要素認証サービス若しくは当社から受領した割り当て電話番号の使用をお客様から許可されているお客様の従業員及び個人。

4.3 カスタマー利用状況データ。お客様のエンドユーザー。

 

5.個人データのカテゴリー。当社は、お客様アカウントデータ、お客様コンテンツ、及びカスタマー利用状況データに含まれる個人データを処理します。

 

6.要配慮データ又は特別なカテゴリーのデータ

6.1 お客様コンテンツ。お客様又はそのエンドユーザーが本サービスを利用して送信される通信に要配慮データを含めることを選択した場合、要配慮データは本サービスを介して随時処理される場合があります。お客様は、本サービスを介して要配慮データを送信若しくは処理する前、又はお客様のエンドユーザーに要配慮データの送信若しくは処理を許可する前に、適切な保護措置が講じられるようにする責任を負います。 

6.2 お客様アカウントデータ及びカスタマー利用状況データ。  

(a) 電話番号の割り当てを受けるために必然的に処理されるパスポート又はこれに類する識別子―記録を含む加入者データの形式で、お客様アカウントデータに要配慮データが含まれることがあります。

(b)カスタマー利用状況データには、要配慮データは含まれません。

 


技術的及び組織的セキュリティ対策

お客様データを保護するための当社の技術的及び組織的セキュリティ対策の全文は、https://www.twilio.com/legal/security-overview(以下、「セキュリティ概要書 」といいます)において閲覧可能です。

該当する場合、本別表2はEU標準契約条項の付録IIとして機能します。次の表では、以下に定める技術的及び組織的セキュリティ対策に関する詳細情報を示しています。

技術的及び組織的セキュリティ対策

技術的及び組織的セキュリティ対策の証拠


個人データの仮名化及び暗号化の措置

セキュリティ概要書の第13条(暗号化)を参照


処理システム及びサービスの継続的な機密保持、完全性、可用性、及びレジリエンスを確保するための措置

セキュリティ概要書の第18条(レジリエンス及びサービス継続性)及び第19条(カスタマーデータのバックアップ)を参照


物理的又は技術的なインシデントが発生した場合に、個人データの可用性及びアクセスを適時に回復できるようにするための措置

セキュリティ概要書の第18条(レジリエンス及びサービス継続性)及び第19条(カスタマーデータのバックアップ)を参照


処理のセキュリティを確保するために、技術的及び組織的セキュリティ対策の有効性を定期的に試験、評価、及び査定するためのプロセス

セキュリティ概要書の第3条(セキュリティに関する組織及び制度)、第7条(セキュリティ認証及び証明)、及び第15条(ペネトレーションテスト)を参照


ユーザーの識別及び認証のための措置

セキュリティ概要書の第11条(アクセス権の管理)を参照


送信中のデータを保護するための措置

セキュリティ概要書の第13条(暗号化)及び第19条(カスタマーデータのバックアップ)を参照


保存中のデータを保護するための措置

セキュリティ概要書の第8条(ホスティングアーキテクチャ及びデータの分離)及び第13条(暗号化)を参照


個人データが処理される場所の物理的セキュリティを確保するための措置

セキュリティ概要書の第9条(物理的セキュリティ)を参照


イベントログを確実に記録するための措置


デフォルト設定を含む、システム構成を確保するための措置


社内のIT及びITセキュリティのガバナンス及び管理に関する措置

セキュリティ概要書の第3条(セキュリティに関する組織及び制度)を参照


プロセス及び製品の認証/保証に関する措置

セキュリティ概要書の第3条(セキュリティに関する組織及び制度)及び第7条(セキュリティ認証及び証明)を参照


データを確実に最小化するための措置

当社は、当社が世界中で個人データを処理するための「行動規範」として、拘束的企業準則(BCR)を組織として採用しています。BCRは、GDPRのデータ保護原則に基づいています。当社のBCRは、2018年5月に欧州連合のデータ保護機関により承認されており、当社は、BCRで確立された取り組みを年単位で監査及び再認証しています。当社による個人データの処理方法に関する詳細については、https://www.twilio.com/legal/privacyにおいて閲覧可能なTwilioプライバシーノーティスに定められており、https://www.twilio.com/legal/bcrにおいて閲覧可能な当社のBCRでさらに詳しく説明されています。


データ品質を確保するための措置

当社は、当社が世界中で個人データを処理するための「行動規範」として、拘束的企業準則 (BCR)を組織として採用しています。BCRは、GDPRのデータ保護原則に基づいています。当社のBCRは、2018年5月に欧州連合のデータ保護機関により承認されており、当社は、BCRで確立された取り組みを年単位で監査及び再認証しています。当社による個人データの処理方法に関する詳細については、https://www.twilio.com/legal/privacy において閲覧可能なTwilioプライバシーノーティスに定められており、https://www.twilio.com/legal/bcr において閲覧可能な当社のBCRでさらに詳しく説明されています。


限定的データ保持を確実に行うための措置

当社は、当社が世界中で個人データを処理するための「行動規範」として、拘束的企業準則 (BCR)を組織として採用しています。BCRは、GDPRのデータ保護原則に基づいています。当社のBCRは、2018年5月に欧州連合のデータ保護機関により承認されており、当社は、BCRで確立された取り組みを年単位で監査及び再認証しています。当社による個人データの処理方法に関する詳細については、https://www.twilio.com/legal/privacy において閲覧可能なTwilioプライバシーノーティスに定められており、https://www.twilio.com/legal/bcr において閲覧可能な当社のBCRでさらに詳しく説明されています。


説明責任を果たすための措置

当社は、当社が世界中で個人データを処理するための「行動規範」として、拘束的企業準則 (BCR)を組織として採用しています。BCRは、GDPRのデータ保護原則に基づいています。当社のBCRは、2018年5月に欧州連合のデータ保護機関により承認されており、当社は、BCRで確立された取り組みを年単位で監査及び再認証しています。当社による個人データの処理方法に関する詳細については、https://www.twilio.com/legal/privacy において閲覧可能なTwilioプライバシーノーティスポリシーに定められており、https://www.twilio.com/legal/bcr において閲覧可能な当社のBCRでさらに詳しく説明されています。


データポータビリティの許可及び削除の確保に関する措置

お客様は、https://www.twilio.com/docs において閲覧可能な本サービスに関して適用されるドキュメントに定めるとおり、本サービスのセルフサービス機能を使用し、お客様コンテンツをエクスポート又は削除することができます。

 

データポータビリティのセルフサービス機能の例については、次を参照してください。 https://support.twilio.com/hc/en-us/articles/223183588-Exporting-SMS-and-Call-Logs

 

データポータビリティのセルフサービス機能の例については、次を参照してください。
https://docs.sendgrid.com/ui/managing-contacts/create-and-manage-contacts#export-contacts

 

データ削除のセルフサービス機能の例については、次を参照してください。
https://support.twilio.com/hc/en-us/articles/223181008-Twilio-SMS-message-and-traffic-storage

データ削除のセルファサービス機能の列については、次を参照してください
https://docs.sendgrid.com/api-reference/contacts/delete-contacts


コントローラーに対する(プロセッサーから(サブ)プロセッサーへの移転の場合には、お客様に対する)支援を行うために(サブ)プロセッサーが講じるべき技術的及び組織的措置。

当社が本附属書類の第7.1条(以降の副処理に対する承認)に基づきサブプロセッサーに委託を行う場合、当社及びサブプロセッサーは、本附属書類に含まれる義務と実質的に同様のデータ保護義務を伴う契約を締結します。各サブプロセッサーの契約は、当社がお客様に対する義務を遂行することができるものでなければなりません。個人データを保護するための技術的及び組織的措置を実施することに加え、サブプロセッサーは、以下を行う義務を負います。(a)セキュリティインシデントが発生した場合、当社がお客様に通知できるよう、当社にその旨を通知すること、(b)お客様による当社への指示に基づき、当社から指示された場合に個人データを削除すること、(c)当社の承認なく、追加のサブプロセッサーに委託しないこと、(d)個人データを処理する場所を変更しないこと、(e)お客様による当社への指示と矛盾する形で個人データを処理しないこと。



国境を越えるデータ移転方法

1.定義

  • BCRサービス」とは、SendGridサービスを除く全てのサービスをいいます。
  • EEA」とは、欧州経済地域をいいます。
  • EU標準契約条項」とは、決定2021/914で欧州委員会が承認した標準契約条項をいいます。
  • Twilio BCR」とは、https://www.twilio.com/legal/binding-corporate-rulesに定める当社の拘束的企業準則をいいます。
  • Twilio CBPR及びPRP認証とは、アジア太平洋経済協力会議(「APEC」)の越境プライバシー規則(「CBPR」)システム及びプロセッサーシステム向けのプライバシー認証(「PRP」)に基づく当社による認証で、http://www.cbprs.org/compliance-directory/cbpr-system にて閲覧可能なディレクトリに登録されているものをいいます。
  • 英国国際データ移転契約」とは、英国個人情報保護監督機関によって発行され2022年3月21日に施行された、欧州委員会標準契約条項の国際データ移転附属書のバージョンB1.0をいいます。
  • 「データプライバシーフレームワーク」とは、EU・米国間データプライバシーフレームワーク又はスイス・米国間データプライバシーフレームワークについて、米国商務省が運営する自己認証制度をいいます。
  • 「データプライバシー原則」とは、データプライバシーフレームワークの原則(補足原則による補足を含む)をいいます。

2.国境を越えるデータ移転方法

2.1 優先順位。本サービスが複数に及ぶ移転方法の対象となる場合、個人データの移転には、以下の優先順位に従い、該当する、次のいずれかの単一の移転方法が適用されるものとします。(a)本別表3の第2.2条(データプライバシーフレームワーク)に定めるデータプライバシーフレームワーク、(b) 本別表3の第2.3条(Twilio BCR)に定めるTwilio BCR、(c)本別表3の第2.4条に定めるEU標準契約条項(EU標準契約条項)、(d)第2.5条に定める英国国際データ移転契約(EU標準契約条項)、又は(e)適用されるデータ保護法で認められたその他適用されるデータ移転方法((a)(b)(c)及び(d)のいずれも該当しない場合)。

2.2 データプライバシーフレームワーク。本サービスを介し、EEA又はスイスで生成された個人データをTwilio Inc.が処理する場合、当社は、Twilio Inc.がデータプライバシーフレームワークに基づく自己認証を行っており、かかる個人情報データの処理に際してはデータプライバシー原則を遵守することを表明します。お客様が (a) アメリカ合衆国に所在し、かつデータプライバシーフレームワークに基づく自己認証を行っているか、又は (b) EEA若しくはスイスに所在する場合、当社はさらに次の内容を実施することに同意します。(i) 個人データには、データプライバシー原則の要件と同等以上の保護を確保すること、(ii) データプライバシーフレームワークに対する自己認証について撤回、終了、取消、又はそれ以外の形で無効になった場合には、不当に遅延することなく、その旨をお客様に書面で通知すること(その場合、本別表3の第2.1条(優先順位)に定める優先順位に従い、代わりの移転方法を適用します)、(iii) 個人データの不正処理が発生した場合には、書面で通知した上で、お客様と連携して、不正処理を中止し修正するための合理的かつ適切な対策を取るものとします。

2.3 Twilio BCR。当社は、Twilio BCRに基づきBCRサービス内で個人データを処理するものとします。お客様と当社は、BCRサービスに関し、Twilio BCRがEEA、スイス、又は英国から(a)アメリカ合衆国に所在する当社、又は(b)EEA域外に所在する当社の事業体に対するお客様アカウントデータ、お客様コンテンツ、及びカスタマー利用状況データの合法的な移転方法であることに同意するものとします。なお、Twilio BCRは、SendGridサービスの移転方法としては機能しません。

2.4 EU標準契約条項。EU標準契約条項は、本サービスを介し直接又は再移転により、EEA、スイス、ガーンジー若しくはジャーンジーから、以下の(a)及び(b)に該当するEEA、スイス、ガーンジー若しくはジャーンジー以外の国又は欧州経済地域若しくはスイス以外に所在する受領者に移転される個人データに適用されるものとすることに同意します。(a)関連所轄機関により、個人データに対して適切なレベルの保護を提供していると認められていないこと、(b)Twilio BCRの対象ではないこと。EU標準契約条項の対象となるデータ移転については、EU標準契約条項が締結されたとみなされるとともに、この参照により本附属書類に組み込まれているものとみなされ、以下のとおり、履行されているものとします。

(a)(i)当社がお客様アカウントデータを処理している場合、及び(ii)お客様がカスタマー利用状況データを処理している場合には、EU標準契約条項のモジュール1(コントローラー間の移転に関するSCC)が適用されるものとします。

(b)お客様がお客様コンテンツのコントローラーであり、当社がお客様コンテンツを処理している場合には、EU標準契約条項のモジュール2(コントローラーからプロセッサーへの移転に関するSCC)が適用されるものとします。

(c)お客様がお客様コンテンツのプロセッサーであり、当社がお客様コンテンツを処理している場合には、EU標準契約条項のモジュール3(プロセッサー間の移転に関するSCC)が適用されるものとします。

(d)お客様がカスタマー利用状況データのプロセッサーであり、当社がカスタマー利用状況データを処理している場合には、EU標準契約条項のモジュール4(プロセッサーからコントローラーへの移転に関するSCC)が適用されるものとします。

(e)各モジュールに関して、該当する場合には以下のとおりとします。

(i)EU標準契約条項の第7条において、任意選択によるドッキング条項は適用されないものとします。

(ii)EU標準契約条項の第9条において、オプション2が適用され、サブプロセッサー変更に関する事前の書面による通知の期間は、本附属書類の第7.2条(既存のサブプロセッサー及びサブプロセッサー変更に関する通知)に定めるとおりとします。

(iii)EU標準契約条項の第11条において、任意選択による文言は適用されないものとします。

(iv)第17条(オプション1)において、EU標準契約条項はアイルランド法に準拠するものとします。

(v)EU標準契約条項の第18条(b)項において、紛争はアイルランドの裁判所の判断に従い解決されるものとします。

(vi)EU標準契約条項の付録I、パートAにおいては、以下のとおりとします。

データ輸出者: お客様。

連絡先: お客様のアカウントの通知設定においてお客様が指定した電子メールアドレス。

データ輸出者の役割: データ輸出者の役割は、本附属書類の第2条(関係)に定められています。

署名及び日付: 本契約を締結することにより、データ輸出者は、本契約の効力発生日を以て、本契約に組み込まれたこれらのEU標準契約条項(それらの付録を含む)に署名したものとみなされます。

データ輸入者: Twilio Inc.

連絡先: 当社のプライバシーチーム - privacy@twilio.com

データ輸入者の役割: データ輸入者の役割は、本附属書類の第2条(関係)に定められています。

署名及び日付: 本契約を締結することにより、データ輸入者は、本契約の効力発生日を以て、本契約に組み込まれたこれらのEU標準契約条項(それらの付録を含む)に署名したものとみなされます。

(vii)EU標準契約条項の付録I、パートBにおいては、以下のとおりとします。

データ主体のカテゴリーは、本附属書類の別表1(処理の詳細)の第4条に定められています。

移転される要配慮データは、本附属書類の別表1(処理の詳細)の第6条に定められています。

移転は、本契約の期間中、継続的に行われます。

処理の性質は、本附属書類の別表1(処理の詳細)の第1条に定められています。

処理の目的は、本附属書類の別表1(処理の詳細)の第1条に定められています。

個人データを保持する期間は、本附属書類の別表1(処理の詳細)の第3条に定められています。

サブプロセッサーへの移転の場合、処理の主題、性質、及び継続期間については、https://www.twilio.com/legal/sub-processorsで定められています。

(viii)EU標準契約条項の付録I、パートCにおいては、以下のとおりとします。アイルランドデータ保護委員会を所轄の監督機関とします。

(ix)本附属書類の別表2(技術的及び組織的セキュリティ対策)は、EU標準契約条項の付録IIとしての機能を果たします。

2.5 英国国際データ移転契約。 お客様と当社は、英国国際データ転送契約が、本サービスを介し、英国から直接又は再移転の形により、英国から以下の(a)及び(b)に該当する英国以外の国又は受領者に移転される個人データに適用されることに同意するものとします。(a)管轄権を有する英国の規制当局又は英国の政府機関により、個人データに対して適切なレベルの保護を提供していると認められていないこと(b)Twilio BCRの対象ではないこと。英国国際データ移転契約の対象となる英国からのデータ移転については、英国国際データ移転契約が締結されたとみなされるとともに、この参照により本附属書類に組み込まれているものとみなされ、以下のとおり、履行されているものとします。

(a) 英国国際データ移転契約の表1における、お客様と当社の詳細及び主要な連絡先は、本別表3の第2.4条(e)(vi)に記載されています。

(b) 英国国際データ移転契約の表2における、英国国際データ移転契約が添付されている承認済のEU標準契約条項、モジュール及び選択条項のバージョンに関する情報は、本別表3の第2.4条(EU標準契約条項)に記載されています。

(c) 英国国際データ移転契約の表3における、

  1. 当事者のリストは、本別表3の第2.3条(e)(vi)に記載されています。
  2. 移転の詳細は、別表1(処理の詳細)の第1条(処理の性質及び目的)に定められています。
  3. 付録IIは、本附属書類の別表2(技術的及び組織的セキュリティ対策)に記載されています。
  4. サブプロセッサーのリストは、https://www.twilio.com/legal/sub-processorsに掲載されています。

(d) 英国国際データ移転契約の表4における、輸入者及び輸出者の双方は、英国国際データ移転契約の条件に基づき、英国国際データ移転契約を終了することができます。

2.6 Twilio CBPR認証。当社のプライバシープログラムは、APEC CBPR認証及びPRP認証を取得しています。これらは、政府が支援するデータプライバシー認証制度であり、国際的に認知されたデータプライバシー保護措置の遵守を証明するものです。該当する範囲で、当社は、Twilio CBPR及びPRP認証に基づき、個人データを処理するものとします。

2.7 矛盾。EU標準契約条項又は英国国際データ移転契約と、別表4(法域別の条件)を含む本附属書類のその他の規定、本契約、又はTwilioプライバシーノーティスとの間に矛盾がある場合、EU標準契約条項又は英国国際データ移転契約の条項が適用される場合はそれらが優先するものとします。


法域別の条件

1. オーストラリア:

1.1「適用されるデータ保護法」の定義には、オーストラリアのプライバシー原則及びプライバシー法(Australian Privacy Principles and the Australian Privacy Act)(1988年)が含まれます。

1.2「個人データ」の定義には、適用されるデータ保護法に基づき定義されている「個人情報」が含まれます。

1.3「要配慮データ」の定義には、適用されるデータ保護法に基づき定義されている「要配慮情報」が含まれます。

2. ブラジル:

2.1「適用されるデータ保護法」の定義には、一般データ保護法(Lei Geral de Proteção de Dados)が含まれます。

2.2「セキュリティインシデント」の定義には、データ主体に関連するリスク又はデータ主体に損害をもたらす可能性のあるセキュリティインシデントが含まれます。

2.3「プロセッサー」の定義には、適用されるデータ保護法に基づき定義されている「事業者」が含まれます。

3. カナダ:

3.1「適用されるデータ保護法」の定義には、連邦個人情報法保護及び電子文書法(Federal Personal Information Protection and Electronic Documents Act)が含まれます。

3.2 当社のサブプロセッサーは、本附属書類の第7条(サブプロセッサー)に定めるとおり、適用されるデータ保護法に基づく第三者であり、なお且つ当社は、本附属書類と実質的に類似した条件を含む書面による契約を当該サービスプロバイダーと締結しています。当社は、そのサブプロセッサーに対して適切なデューデリジェンスを実施しています。

3.3 当社は、本附属書類の第11条(セキュリティ)に定めるとおり、技術的及び組織的措置を講じるものとします。

4. 欧州経済地域(EEA):

4.1「適用されるデータ保護法」の定義には、一般データ保護規則(General Data Protection Regulation)EU 2016/679(以下、「GDPR」といいます)が含まれます。

4.2 当社が本附属書類の第7.1条(以降の副処理に対する承認)に基づきサブプロセッサーに委託を行う場合、以下のことを行うものとします。

(a)任命されたサブプロセッサーに対し、適用されるデータ保護法で義務付けられている基準に基づきお客様コンテンツを保護するように求める。このデータ保護法には、GDPRの第28条(3)項で言及されているデータ保護義務と同じものが含まれており、特に、処理がGDPRの要件を満たすような形で、適切な技術的及び組織的措置を講じるために十分な保証を提供することが含まれます。

(b)任命されたサブプロセッサーに対し、(i)欧州連合が「十分な」水準の保護を行っていると宣言している国においてのみ個人データを処理することに書面で同意すること、又は(ii)EU標準契約条項と同等の条件で、若しくは所轄の欧州連合データ保護機関が認めた拘束的企業準則に従ってのみ個人データを処理することを求める。

4.3 本附属書類又は本契約に別段の定め(いずれかの当事者の補償義務を含みますが、これに限定されません)がある場合であっても、いずれの当事者も、他方当事者によるGDPRへの違反に対して、GDPRの第83条に基づき規制当局又は政府機関が当該他方当事者に対し発令又は賦課したGDPRの制裁金について責任を負わないものとします。

4.4 お客様は、当社がコントローラーとして、適用されるデータ保護法に基づき、カスタマー利用状況データに関わるセキュリティインシデントについて規制当局に通知することを義務付けられる場合があることを認めるものとします。規制当局が当社に対し、当社と直接的な関係のない、影響を受けるデータ主体(お客様のエンドユーザーなど)への通知を求めた場合、当社は、この要求についてお客様に通知するものとします。お客様は当社に対し、影響を受けるデータ主体に通知するための合理的な支援を行うものとします。

5イスラエル:

5.1「適用されるデータ保護法」の定義には、プライバシー保護法(Protection of Privacy Law)が含まれます。

5.2「コントローラー」の定義には、適用されるデータ保護法に基づき定義されている「データベース所有者」が含まれます。

5.3「プロセッサー」の定義には、適用されるデータ保護法に基づき定義されている「保有者」が含まれます。

5.4 当社は、お客様コンテンツの処理を許可された人員に対し、データの秘密保持の原則を遵守し、適用されるデータ保護法について十分な説明を受けていることを求めます。当該人員は、本附属書類の第6条(秘密保持)に従い、当社との秘密保持契約に署名するものとします。

5.5 当社は、データ主体のプライバシーを確保するため、本附属書類の第11条(セキュリティ)に定められているセキュリティ対策を実施及び維持し、本契約の条件を遵守することにより、十分な措置を講じる義務を負います。

5.6 当社は、サブプロセッサーが本附属書類の第7.1条(以降の副処理に対する承認)に従い当社との契約を締結している場合を除き、個人データを当該サブプロセッサーに移転しないようにする義務を負います。

6. 日本:

6.1「適用されるデータ保護法」の定義には、個人情報の保護に関する法律(Act on the Protection of Personal Information:APPI)が含まれます。

6.2「個人データ」の定義には、APPI第2条第1項にいう特定の個人に関する情報で、当社がお客様に本サービスを提供する際に、お客様が当社に委託する情報が含まれます。

6.3 当社は、APPI第4章の規定に基づき、個人情報の取り扱いに関する個人情報保護委員会の規則で定められた基準に適合するプライバシープログラムを保有しており、今後も維持することに同意します。それに伴い、当社は以下の措置を講ずるものとします。

(a) 当社は、(i) 本契約に基づき、付属書類の別表 1(処理の詳細)(以下、「利用目的」といいます)に規定されているとおりに、お客様にサービスを提供するために必要な個人データの処理を行うものとし、かつ、(ii) お客様の承諾なく利用目的以外の目的で個人データの処理を行わないものとします。

(b) 当社は、本附属書類の第11条(セキュリティ)に規定される APPI に従って、個人データの不正な開示又は紛失を予防するとともに個人データを安全に管理するため、適切且つ必要な措置を実施し、維持するものとします。

(c) 当社は、(i) 別表4の第6.3(a)条に違反した場合、又は (ii) 当社が顧客データに影響を与えるセキュリティインシデントを発見した場合、いずれの場合においても、第11.3条(セキュリティインシデントに関する通知)に従って顧客に通知を行うものとします。当社は、お客様が規制当局又はセキュリティインシデントの影響を受けるデータ対象者に対して通知を行う必要がある場合、お客様に対して合理的な支援を提供します。

(d) 当社は、個人データにアクセスできる従業員に対して、(i) 当該個人データを秘密に保持することを義務付ける従業員契約を締結するよう、(ii) 秘密保持義務に違反した者が懲戒処分や解雇の対象となりうるよう、(iii) 個人データの安全な管理のために適切な従業員の監督及び訓練を行うよう、かつ(iv) 当社従業員を含め、個人データにアクセスし当該アクセスを管理できる権限を持つ従業員の人数を限定することによって、当該アクセスが使用目的に必要な期間に限って認められるよう、確実を期するものとします。

(e) 当社は、お客様が、本契約において当社に権限を与えた場合を除いて、個人データをいかなる第三者にも開示しないものとします。サブプロセッサーを雇う場合、当社は本附属書類の第7条(サブプロセッサー)に定められた義務に従い、個人データの秘密性とセキュリティを維持するための手続が適切に行われるよう確実を期すものとします。

(f) 当社は、お客様から委託され、お客様のために取り扱った個人データについて記録を残すものとします。

(g) 当社は、第三者の要請を速やかにお客様に通知し、法的に必要とされる場合又は当該第三者の要請がお客様に関連していることを確認する場合を除いて、お客様の事前の承諾なしに当該第三者の要請に応答しないものとします。お客様が、本サービスを通じて利用可能なセルフサービス機能を用いてデータ主体からの第三者の要請を解決することができない場合、その限度において、当社は、お客様の要請に応じて、本附属書類の第8条(データ主体の権利)に基づき、データ主体からのこのような第三者の要請を解決するためにお客様を支援する合理的な協力と支援を提供するものとします。

(h) 適用法令で禁止されている場合を除き、当社は政府当局又は裁判所の命令又は処分によって個人データを開示することを求める第三者の要請について、速やかにお客様に通知するものとします。当社は、(i) https://www.twilio.com/legal/law-enforcement-guidelines で閲覧可能な法執行ガイドラインを遵守し、かつ(ii) 個人データは必要最低限の範囲で、厳に必要とされた目的のために限り提供するものとします。

(i) お客様は、適用されるデータ保護法及び本附属書類の第12条(監査)の規定に基づき、当社の義務の履行について評価を行うことができます。さらに、当社は、本契約に基づく当社の個人データ処理に関するお客様からの問い合わせや質問に対し、誠意をもって合理的期間内に対応します。お客様は、APPI 関連の問い合わせを privacy@twilio.com 宛てに送付することができます。当社は、書面による要請があれば、チーフプライバシーオフィサーを特定します。

(j) 当社は、お客様が個人情報保護委員会又はその他の規制当局に報告を行う場合、書面による要請に応じて、顧客に合理的な協力を提供するものとします。

(k) 当社の主要な処理施設は米国、及びお客様の本サービスの利用に応じてhttps://www.twilio.com/legal/sub-processors に記載された場所(以下、総称して「処理場所」といいます)に所在しています。当社は、本附属書類の第7.2条(既存のサブプロセッサー及びサブプロセッサー変更に関する通知)及び第7.3条(新規サブプロセッサーに関する異議申し立ての権利)に基づき、それぞれ処理場所につき変更が生じた場合はその旨をお客様に通知し、お客様が異議を申し立てられるよう機会を設けるものとします。当社が日本以外の国で個人データの処理を行う場合、当社は本附属書類に記載されたプライバシープログラムを遵守するよう確実を期すものとします。当社は、個人データの処理に関する当社の義務に重大な影響を与える可能性のある適用法令につき変更が生じた場合はその旨を速やかにお客様に通知するものとし、その場合、お客様はご自身の裁量で個人データの転送を停止することができます。

6.4 データ主体の同意の条件は以下のとおり適用されます。

(a) お客様は、利用目的のために当社に個人データを委託します。お客様は、当社が、個人データの第三者への提供を制限するAPPIの規定で用いられる「第三者」に該当しないことに同意します。そのため、日本国内での移転について、データ主体の事前の承諾を必要とする要件は適用されません。

(b) お客様は、別表4の第6.3条に定めるTwilio CBPR及びPRP認証、並びに当社のプライバシープログラムが、個人情報保護委員会及びAPPIが定める同等の基準を満たすことに同意するものとします。そのため、日本国外に所在する第三者への個人データの提供について、当該国外移転についてのデータ主体の事前の承諾を必要とするAPPIの制限は適用されません。お客様は、Twilio CBPR及びPRP認証、並びに当社のプライバシープログラムの継続的な実施が行われるよう、またデータ主体からの第三者の要請に対応するために、別表4の第6.3(h)条に定める必要な措置を講じることができます。 

(c) お客様は、お客様が当社のサポート従業員に通信内容へのアクセスを指示する場合、電気通信事業法第4条に基づくデータ主体の同意が必要となる場合があることを確認します。お客様は、本附属書類の第 4 条(法令遵守)によって求められる、本サービスの使用及び指示において具体的に必要とされる、一切の同意に関する要件に従うものとします。

7. メキシコ:

7.1「適用されるデータ保護法」の定義には、民間が保有する個人データの保護に関する連邦法及びその規則(Act on the Protection of Personal Information)が含まれます。

7.2 プロセッサーとして活動する際に、当社は以下を行うものとします。

(a)本附属書類の第5条(お客様の指示)に定めるお客様の指示に従い、個人データを処理する。

(b)本サービスを提供するために必要な範囲でのみ、個人データを処理する。

(c)適用されるデータ保護法及び本附属書類の第11条(セキュリティ)に従いセキュリティ対策を実施する。

(d)本契約に従い処理された個人データに関する秘密を保持する。

(e)本契約の終了時に、本附属書類の第10条(お客様コンテンツの返却又は削除)に従い、すべての個人データを削除する。

(f)本附属書類の第7条(サブプロセッサー)従い、サブプロセッサーにのみ個人データを移転する。

8. シンガポール:

8.1「適用されるデータ保護法」の定義には、2012年個人データ保護法(Personal Data Protection Act 2012:PDPA)が含まれます。

8.2 当社は、本附属書類の第11条(セキュリティ)に定められた適切な技術的及び組織的対策を実施し、本契約の条件を遵守することにより、PDPAに準拠した保護基準に基づき個人データを処理するものとします。

9. スイス:

9.1「適用されるデータ保護法」の定義には、適宜改正されるデータ保護に関するスイス連邦法(Swiss Federal Act on Data Protection: FADP)が含まれます。

9.2 当社は、本附属書類の第7.1条(以降の副処理に対する承認)に基づきサブプロセッサーを雇う場合、以下の措置を講ずるものとします。

(a) 当社は、任命されたサブプロセッサーに対し、GDPR第28条第3項で言及されるものと同等のデータ保護義務を定めるなど、適用データ保護法が要求する基準においてカスタマー・コンテンツを保護すること、とりわけ処理がGDPRの要件を満たすような態様で、適切な技術的及び組織的措置が実施されるよう十分な保証を提供するよう求めます。

(b) 当社は、任命されたサブプロセッサーに対し、(i) スイスが「適切な」保護レベルを有すると宣言した国においてのみ個人データの処理を行うことに書面で同意すること、又は (ii) EU標準契約条項と同等の条件若しくは欧州連合のデータ保護管轄当局により付与された拘束的企業準則の承認に従ってのみ個人データを処理するよう求めるものとします。

9.3 別表3(国境を越えるデータ移転方法)の第2.4条(EU標準契約条項)に基づき、スイスから移転される個人データにEU標準契約条項が適用される場合、その範囲において、以下の修正がEU標準契約条項に適用されます。

(a) 「EU加盟国」及び「加盟国」に言及する場合、スイスが含まれると解釈されます。

(b) 当該移転又は転送にFADPが適用される場合、その範囲において、

(i) 「規則(EU)2016/679」に言及する場合、FADPに言及していると解釈されます。

(ii) 付録I、パートCに定める「所管の監督機関」とは、スイス連邦データ保護・情報委員会を意味します。

(iii) 第17条(オプション1)において、EU標準契約条項はスイスの法律に準拠するものとします。

(iv) EU標準契約条項の第18条(b)において、紛争はスイスの裁判所にて解決されるものとします。

10. 英国(UK):

10.1 本附属書類において「GDPR」に言及する場合、その範囲において、対応する英国のGDPR及び2018年データ保護法に言及しているとみなされるものとします。

10.2 当社が本附属書類の第7.1条(以降の副処理に対する承認)に基づきサブプロセッサーに委託を行う場合、以下のことを行うものとします。

(a)任命されたサブプロセッサーに対し、適用されるデータ保護法で義務付けられている基準に基づきお客様コンテンツを保護するように求める。このデータ保護法には、GDPRの第28条(3)項で言及されているデータ保護義務と同じものが含まれており、特に、処理がGDPRの要件を満たすような形で、適切な技術的及び組織的措置を講じるために十分な保証を提供することが含まれます。

(b) 任命されたサブプロセッサーに対し、(i)英国が「十分な」水準の保護を行っていると宣言している国においてのみ個人データを処理することに書面で同意すること、又は(ii)英国国際データ移転契約と同等の条件で、若しくは所轄の英国データ保護機関が認めた拘束的企業準則に従ってのみ個人データを処理することを求めること。

10.3 本附属書類又は本契約に別段の定め(いずれかの当事者の補償義務を含みますが、これに限定されません)がある場合であっても、いずれの当事者も、他方当事者による英国GDPRへの違反に関連して、英国GDPRの第83条に基づき規制当局又は政府機関が当該他方当事者に対し発令又は賦課した英国GDPRの制裁金について責任を負わないものとします。

10.4 お客様は、当社がコントローラーとして、適用されるデータ保護法に基づき、カスタマー利用状況データに関わるセキュリティインシデントについて規制当局に通知することを義務付けられる場合があることを認めるものとします。規制当局が当社に対し、当社と直接的な関係のない、影響を受けるデータ主体(お客様のエンドユーザーなど)への通知を求めた場合、当社は、この要求についてお客様に通知するものとします。お客様は当社に対し、影響を受けるデータ主体に通知するための合理的な支援を行うものとします。

11. アメリカ合衆国:

11.1 「米国州プライバシー法」とは、アメリカ合衆国で施行されている個人データの保護及び処理に関連する全ての州法を意味し、カリフォルニア州プライバシー権法(「CCPA」)に基づく改正後のカリフォルニア消費者プライバシー法、バージニア消費者データ保護法、コロラド州プライバシー法、コネチカット州データプライバシー法及びユタ州消費者プライバシー法などが含まれますが、これらに限定されるものではありません。

11.2 「適用されるデータ保護法」の定義には、米国州プライバシー法が含まれます。

11.3 以下の用語は、当社が CCPA の対象となる個人データを処理する場合に適用されます。

(a) 第11.3条で使用される「個人情報」という用語は、CCPAで規定される意味を持つものとします。

(b) 当社は、カスタマー・コンテンツを処理する場合におけるサービスプロバイダーとなります。当社は、本附属書類に規定された処理目的及び処理活動を含む、本契約に規定された事業目的(「本件目的」)のためにのみ、カスタマー・コンテンツに含まれる個人情報の処理を行うものとします。当社は、サービスプロバイダーとして、カスタマー・コンテンツを販売又は共有したり、カスタマー・コンテンツを(i)商業的に保持、使用若しくは開示を行うことを含む、本件目的以外の目的で若しくは別途CCPA で許可された態様以外で、又は (ii) お客様と当社の直接の取引関係以外で、保持、使用若しくは開示しないものとします。

(c) 当社は、(i) CCPAに基づきサービスプロバイダーとして適用される義務を遵守し、(ii) 個人情報についてCCPAに基いて要求されるものと同等の水準のプライバシー保護を行うものとします。お客様は、本サービスの使用及びお客様自身の個人情報の処理において、CCPA の要件を遵守していること、かつ今後も遵守し続ける義務を負います。

(d) お客様は、当社がCCPA に基づくお客様の義務に合致した態様で個人情報を使用するよう、合理的かつ適切な措置を講じる権利を有します。

(e) 当社は、CCPA に基づくサービスプロバイダーとしての義務をもはや果たすことができないと判断した場合、お客様に通知します。

(f) 通知を受けた場合、お客様は個人情報の不正使用を停止及び是正するため、本契約に基づき合理的かつ適切な手段を講じる権利を有します。

(g) 当社は、お客様が本契約に規定される消費者の要請に関する義務を遵守できるよう、合理的な追加的かつ適時な支援を提供するものとします。

(h) CCPA の対象となる個人情報を処理するために当社が使用するサブプロセッサーについては、当社と当該サブプロセッサーとの間の契約が、サービスプロバイダー及び請負業者に関する契約上の要件を含むがこれに限定されない、CCPA を遵守するよう確実を期すものとします。

(i) 当社は、お客様から又はお客様に代わって受領したカスタマー・コンテンツを、他者から若しくは他者に代わって受領した個人情報又は消費者とのやりとりから収集した個人情報と結びつけることはありません。ただし、それがCCPA及びその規制、又はカリフォルニア州プライバシー保護局が採用する規制によって許可された事業目的の遂行に必要である場合は、この限りではありません。

(j) 当社は、自らがCCPAに基づく義務を理解及び遵守していることを証明します。

11.4 当社は、お客様に提供するいかなる本サービスの対価としても、カスタマー・コンテンツを受領しないことを承認及び確認とします。