view in:
日本語
ENGLISH
汉语
DEUTSCH
ESPAÑOL (LATAM)
ESPAÑOL (ESPANA)
FRANÇAIS
ITALIANO
한국어
POLSKI
PORTUGUESE
グローバルプライバシー義務
直近の更新日: 2024年3月12日
1. はじめに
本グローバルプライバシー義務(「
本グローバルプライバシー義務
」といいます。)は、当社が、当社のベンダーおよびその他の取引先(「
取引先等
」と総称します。)に対し、当社への製品およびサービスの提供に関連して果たすことを期待する特定のデータ保護義務について定めるものです。本グローバルプライバシー義務は、これが盛り込まれている当社と取引先等との契約(「
本契約
」といいます。)を補足するものであり、その一部を構成するものです。
本グローバルプライバシー義務は、当社と取引先等との取引関係に応じて異なる条項が適用されます。どの場合に適用されるかについては、各条に記載しています。
2. 定義
本条はすべての取引先等に適用されます。
本グローバルプライバシー義務において、以下の用語は次の意味を有します。
本契約に別段の定義がない限り、「
AI
」または「
人工知能
」とは、採用される特定の技術またはアプローチにかかわらず、タスクを実行する能力、人間のような認知能力をシミュレートする能力、またはコンテンツ、予測、推奨、もしくは決定などのアウトプットを生成する能力を示す、あらゆる形態の人工知能または情報技術を意味し、かつこれらを含みます。これには、機械学習(監督あり、監督なし、および強化学習をいい、ディープラーニングおよびニューラルネットワークを含みます。)、生成AI、自然言語処理、コンピュータービジョン、大規模言語モデル(「LLM」)、論理・知識ベースのアプローチ(知識表現、帰納論理プログラミング、知識ベース、推論エンジン、演繹エンジン、理由付け、およびエキスパートシステムを含みます。)、ならびに統計的手法などの技術および方法論が含まれますが、これらに限定されません。AIには、人工知能の分野における現在および将来の進化形、方法論、および応用、ならびにこの領域で開発され、または出現しつつある、本書に明示されていないその他の技術もすべて含まれます。
「
AIアウトプット
」とは、入力プロンプトから生成された、AIのアウトプット結果を意味します。
「
自動化された意思決定
」とは、システム、ソフトウェア、またはプロセス(AIの使用を含みます。)を使用して行われる、データ主体に関する意思決定であって、人間が関与せずに行われるもの、または人間による意思決定を容易にするものを意味します。
「
管理者
」とは、単独で、または他者と共同で、個人情報の処理の目的および手段を決定する者または団体を意味します。
「
顧客
」および「
当社
」とは、(i)本契約で特定され、本契約の当事者であるワーナーブラザース・ディスカバリー社、および(ii)本契約で指定されたワーナーブラザース・ディスカバリー社を支配し、これによって支配され、またはこれと共通の支配下にあるあらゆる関係会社または子会社を意味します。
「
データ保護法
」とは、個人データの処理、プライバシー、データ保護(個人情報の保護)、またはサイバーセキュリティに関連する、連邦、州、地方、地域、自治体、外国、国際、多国籍、またはその他の憲法、法律、制定法、条約、規則、規制、条例、法典、およびこれらを解釈または執行する権限を有する規制当局が発行したガイダンスを意味し、随時行われる改正を含みます。
「
データ主体
」とは、個人情報が関連する個人を意味します。
「
データ主体からの要請
」とは、データ主体による情報提供、アクセス、修正、消去、制限、ポータビリティ、異議申し立て、販売禁止、削除、およびその他同様の要請を意味します。
「
処理内容
」とは、本契約に基づき取引先等が処理する個人情報の詳細を意味します。
「
EEA
」とは、欧州経済領域を意味します。
「
EEAデータ移転
」とは、(a)GDPRの対象となる個人情報を、(b)EEA域外の国または地域の受領者へ移転する場合であって、(c)その国または地域が欧州委員会による十分性認定の対象になっていないことを意味します。
「
EEA標準契約条項
」とは、2021年6月4日の欧州委員会決定C(2021) 3972によって採択された、欧州議会および理事会の規則(EU)2016/679に基づく、個人データの第三国への移転に関する標準契約条項を意味し、https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?url=CELEX:32021D0914&locale= enで閲覧可能です。
「
GDPR
」とは、欧州議会および理事会の2016年4月27日付け規則第(EU)2016/679(一般データ保護規則)を意味します。
「
情報セキュリティ義務
」とは、本契約に添付されその他本契約の一部を構成する、適用される情報セキュリティ義務を意味します。
「
その他のデータ移転
」とは、個人情報の移転であって、(i)当該個人情報の受領に適切でないとみなされる他の国(「
制限国
」といいます。)への個人情報の移転を制限する国の法律が適用され、かつ、(ii)EEAデータ移転および英国データ移転のいずれでもないものを意味します。
「
個人情報
」とは、識別された、または識別可能な自然人に関するあらゆる情報を意味します。これには、「個人識別情報」、「個人情報」、「個人データ」と定義される情報、またはデータ保護法で定義されている同様の用語が含まれますが、取引先等が本契約に関連して処理する個人情報に限定されます。
「
処理
」とは、個人情報の収集、記録、編集、構成、記録保存、修正または変更、参照、使用、送信による開示、移転、配布その他の方法による提供、整列または結合、制限、消去または破壊を含む、自動化された手段によるか否かにかかわらず、個人情報に対して行われるあらゆる操作または一連の操作を意味します。
「
処理者
」とは、管理者の代理として個人情報を処理する個人または団体を意味します。
「
セキュリティインシデント
」とは、(i)個人情報の不正な取得、紛失、アクセス、使用もしくは誤用、アクセスの喪失、または個人情報の使用不能(個人情報が保存されている記憶媒体の紛失を含みます。)、または(ii)個人情報の偶発的または違法な破棄、紛失、改ざん、使用もしくは誤用、不正な開示、またはアクセスにつながるセキュリティ違反を意味します。
「
機微個人情報
」とは、人種または民族的出自、政治的意見、宗教的または哲学的信念、労働組合への加盟、身体的または精神的健康状態、性生活または性的指向を明らかにする個人情報、データ主体を一意に識別するための遺伝的データまたは生体データの処理、犯罪歴および犯罪または関連するセキュリティ対策に関する個人情報、政府発行の識別番号、口座の認証情報、決済カード番号を含む金融口座番号、正確なジオロケーションデータ、取引先等や顧客宛てではない通信の内容、ならびに適用されるデータ保護法に基づき「機密性が高い」とみなされ、または強化された保護を必要とされる個人情報のサブセットを意味します。
「
サービス等
」とは、本契約で定める意味を有し、または、本契約に定めのない場合は、本契約に基づき取引先等が当社に提供する製品またはサービスを意味します。
「
副処理者
」とは、処理者に代わって個人情報を処理する者または事業体を意味します。
「
トレーニングデータ
」とは、AIの能力を訓練したり、その他の方法で改善または向上させるために使われる情報を意味します。
「
英国データ移転
」とは、(a)英国GDPRの対象となる個人情報を、(b)英国外の国または地域に移転する場合であって、(c)その国または地域が英国国務大臣による十分性認定の対象になっていないことを意味します。
「
英国GDPR
」とは、2018年EU離脱法第3条により、イングランドおよびウェールズ、スコットランド、ならびに北アイルランドの法律の一部を構成しているGDPRを意味します。
「
英国SCC補遺
」とは、英国情報コミッショナー事務局が発行し、2022年2月2日に2018年データ保護法第119A条に従って議会に提出された補遺のひな型であり、第18条に基づき改訂されたものを意味し、 https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdfで閲覧可能です。
3. 全取引先等に適用される条件
本条はすべての取引先等に適用されます。
法の遵守
取引先等は、適用されるすべてのデータ保護法を遵守し、同法に基づく義務に対処するために適切なプライバシー保護を実施するものとします。取引先等は、データ保護法に基づく義務をもはや果たすことができないと判断した場合、
wbdprivacy@wbd.com
にて顧客に通知するものとします。顧客は、取引先等による不正な個人情報の処理を排除し、修正するための適切な措置を取る権利を有するものとします。
セキュリティ
取引先等は、個人情報を保護するために適切かつ十分な技術的および組織的な対策を実施し、維持するものとします。取引先等のセキュリティ対策は、(i)個人情報の機密性、入手可能性および完全性の確保、(ii)個人情報の安全性または完全性に関して予想される脅威または危険からの保護、ならびに(iii)不正な処理からの保護を目的として策定されます。
第三者とのやり取り
取引先等が以下のいずれか、すなわち、
本契約に関して取引先等が行った個人情報の処理、または
顧客が行った個人情報の処理に関して
個人、規制当局、政府機関、またはその他の第三者から何らかの連絡を受けた場合、取引先等は、法律で禁止されている場合を除き、当該連絡に関する全詳細事項を速やかに顧客(
wbdprivacy@wbd.com
)に通知し、当該連絡に対応するために顧客が合理的に要請するすべての協力を提供するものとします。取引先等は、法的に強制されない限り、顧客の事前の許可なしに当該連絡に直接応答してはならないものとします。
要請およびインシデントへの対応
取引先等は、顧客から事前に書面による承認を得ることなく、(i)データ主体への返信、(ii)処理についての公表、(iii)セキュリティインシデントの通知、または(iv)データ保護当局または処理に関するその他の法的機関への開示において、顧客(顧客の子会社または関係会社を含みます。)の名前を挙げないものとします。
有効期間と存続規定
取引先等が本契約に関連する個人情報の処理を停止した時点で、本グローバルプライバシー義務の規定は終了します。
本第3条(全取引先等に適用される条件)において相反する規定があったとしても、第3.4条、第3.5条、第3.8条および第7条は、本契約および本グローバルプライバシー義務の終了または失効後も存続するものとします。
翻訳版
本グローバルプライバシー義務の英語版と他言語によるバージョンとの間に矛盾がある場合には、英語版が優先されるものとします。
責任制限の否定
疑義を避けるために付言すると、本グローバルプライバシー義務に基づく両当事者の責任は、本契約に記載された責任の制限または排除の対象とならないものとします。
共同経営関係(パートナーシップ)の否定
本グローバルプライバシー義務のいかなる規定も、両当事者間に雇用関係、合弁関係、代理関係、または共同経営関係を生じさせるものとはみなされず、また、いずれの当事者も、第三者、個々の事業体、または公衆に対して、相手方当事者との上記の関係を示唆する行動をとる権限はなく、また、そのような行動をとらないものとします。
4. 処理者に適用される条件
本条は、以下のいずれかが該当する限りにおいて適用されます。
取引先等が、顧客の代理となって処理者として個人情報を処理する場合
本契約において、本条が適用されると明記されている場合
指示
取引先等は、顧客からの文書による指示に従ってのみ個人情報を処理するものとします。ただし、取引先等が従うべき法的義務に従って当該個人情報を処理する必要がある場合はこの限りではありませんが、その場合、取引先等は、当該法的義務により顧客への通知が禁止されていない限り、当該処理を開始する前に当該法的義務について顧客に通知するものとします。顧客からの文書による指示は、(i)取引先等がサービス等を提供し、本契約に基づくその他の義務を履行するために必要な場合、および(ii)その他顧客が随時文書で指示する場合に、個人情報を処理するためのものです。取引先等は、顧客からの指示または命令が適用されるデータ保護法に抵触すると考える場合は、直ちに顧客に通知するものとします。
処理内容
処理の対象となる事項および期間、処理の性質および目的、個人情報の種類、ならびにデータ主体のカテゴリーに関する詳細は、処理内容に記載されています。
使用制限
取引先等は、以下を行わないものとします。(i)個人情報を販売したり、金銭的またはその他の価値のある対価と引き換えに開示したりすること、(ii)サービス等を実行する特定の目的以外で、または顧客の指示に従わずに個人情報を処理すること、(iii)取引先等と顧客との間の直接的なビジネス関係以外で個人情報を処理すること、及び(iv)個人情報を、他者からもしくは他者のために受領した個人の情報、または消費者から収集した個人の情報と組み合わせること。取引先等は、本項の制限事項を理解したことを証明し、これを遵守するものとします。
データ主体からの要請
取引先等は、サービス等に関連して処理する個人情報に関するデータ主体からの要請またはデータ主体からの(もしくはデータ主体の代理人からの)連絡を速やかに顧客に連絡するものとし、データ主体からの要請または連絡を受領したことを確認する以外は、データ主体に返答しないものとします(データ保護法で別途要求される場合、または顧客から指示される場合を除きます。)。取引先等は、適切な技術的および組織的措置、ならびに必要な製品機能の提供を含め、データ主体からの要請に対応できるよう、必要に応じて顧客を支援するものとします。取引先等は、データ主体からの要請または顧客からの支援要請があった場合、速やかに、いかなる場合も5日以内に、かかる支援を提供するものとします。適切な場合、および顧客の合理的な要請に応じて、取引先等は、データ保護法に準拠したプライバシーポリシーまたは通知を該当するデータ主体に提供または案内することを含め、顧客が個人に個人情報の処理について通知することを支援するものとします。取引先等は、自らが支援したデータ主体からの要請に関する完全かつ正確な記録を保持し、顧客に合理的なアクセスを提供するものとします。
担当者の守秘義務
取引先等は、その各担当者が確実に個人情報に適用される守秘義務を負うようにするものとします。
セキュリティ
取引先等は、情報セキュリティ義務に規定された情報セキュリティの手順および慣行を実施し、維持するものとします。
監査と支援
情報セキュリティ義務における監査規定にかかわらず、取引先等は以下を行うものとします。
取引先等が本グローバルプライバシー義務を遵守していることを確認するために合理的に必要とされる情報および支援(データ保護影響評価の完了支援およびデータ保護当局との協議を含みます。)を顧客に提供すること。さらに取引先等は、顧客がデータ保護法を遵守するために合理的に必要な支援を提供するものとします。
顧客の指示により、自身による本グローバルプライバシー義務および/または該当するデータ保護法の遵守状況に関して、取引先等のデータ保護プログラム、および個人情報の処理を行っている施設に対する監査を受け入れるものとします。監査は、顧客またはそのために任命された代行者(取引先等が認めた機密保持契約に代行者が同意することを条件とします。)が実施することができます。顧客は、合理的な事前通知を行い、取引先等の業務を不当に妨害することなく、通常の営業時間内にかかる監査を行います。疑義を避けるために付言すると、本規定は、取引先等の他の顧客の機密情報へのアクセスを顧客に提供することを取引先等に義務付けるものではありません。
セキュリティインシデント
取引先等は、実際のセキュリティインシデントまたは合理的に疑われるセキュリティインシデントが発生した場合、速やかに、かつ、いかなる場合も認識から48時間以内に、顧客に電子メール(
cybersecurity@wbd.com
)で通知するものとします。取引先等は、顧客の指示により、セキュリティインシデントの調査、影響緩和、および対応のために顧客が合理的に必要とするすべての情報および支援を提供します。これには少なくとも、適用されるデータ保護法で必要とされる情報もしくは支援、または顧客がセキュリティインシデントの通知を行うために必要な情報もしくは支援が含まれます。取引先等は、セキュリティインシデントに関連して、データ保護当局またはデータ主体に対して公表または通知を行う前に、顧客と協議することに同意するものとします。取引先等は、取引先等、その関係会社、譲受人、または副処理者が処理する個人情報に影響を及ぼすセキュリティインシデントに起因または関連して顧客が被るすべての費用、債務、損失、損害および経費(弁護士報酬を含みます。)について責任を負い、要求に応じて顧客に対してこれらを支払うものとします。
副処理
取引先等は、副処理者に自己に代わって個人情報の処理を委託しその他処理を許可できるものとします。ただし、その条件として、取引先等は以下を行うものとします。
取引先等に適用される本グローバルプライバシー義務の条項に含まれる義務と同等以上の保護義務を課す書面による義務に関する合意を各副処理者との間で締結していること。
取引先等に適用される本グローバルプライバシー義務の条項に基づく義務を取引先等が果たせるよう、各副処理者が必要に応じて履行できるように、適切なデューデリジェンスを行うこと。
取引先等が新たな副処理者に委託を提案する場合、事前に書面で顧客に通知すること。顧客は、かかる通知を受け取ってから30日間、取引先等が新たな副処理者に委託することに異議を申し立てることができます。顧客がこの期間内に異議を申し立てない場合、取引先等は副処理者に個人情報の処理を許可することができます。顧客が副処理者の使用に異議を申し立てた場合、取引先等は、顧客の異議を受領してから10日以内に速やかに対処します。取引先等がこの10日の期間内に顧客が満足する形で顧客の異議を解決できなかった場合、顧客は、取引先等に書面で通知することにより、いつでも違約金なしで本契約を直ちに解除することができます。取引先等は、(i)新しい副処理者を使用する意図を通知してから30日間、または(ii)副処理者の使用に関する顧客の異議が顧客の満足のいく形で解決されていない期間、新しい副処理者に個人情報の処理をさせないものとします。
各副処理者が行う個人情報のすべての処理について全責任を負うこと。
廃棄または返却
本契約の解除もしくは満了時、またはその他顧客の指示により、取引先等は顧客の指示に従い、(i)本契約に関連して処理した個人情報の完全な写しを、両当事者が合理的に合意した形式およびフォーマットで顧客(または顧客が指定した第三者)に返却し、(ii)本契約に関連して処理した、自己が保有または管理する個人情報(すべての写しを含みます。)を安全に廃棄するものとします。
5. 管理者に適用される条件
本条は、以下のいずれかが該当する限りにおいて適用されます。
取引先等が本契約に関連して処理する個人情報の処理の目的および処理方法を独自に決定している場合
本契約において、本条が適用されると明記されている場合
通知と透明性
取引先等は、(その個人情報が本契約に関連して取引先等によって処理される)データ主体に対して、取引先等がどのようにその個人情報を処理するかについて知らせ、適用されるすべての法律に準拠した、明確、かつ、見やすい場所に表示したプライバシーポリシーを定め、維持するものとします。
セキュリティインシデント
取引先等は、本契約に関連して処理される個人情報に影響が及ぶ実際のまたは合理的に疑われるセキュリティインシデントが発生した場合、関連する顧客に速やかに通知すると共に、セキュリティインシデントの性質、影響を受けた個人情報、セキュリティインシデントに対する取引先等の対応、およびその影響の軽減策に関する情報を速やかに顧客に提供するものとします。
秘密保持
取引先等は、その各担当者が確実に個人情報に適用される守秘義務を負うようにするものとします。
6. 越境移転
本条は、EEAデータ移転、英国データ移転、またはその他のデータ移転が発生した場合に取引先等に適用されます。
データ移転(処理者)
本項は、第4条(処理者に適用される条件)が適用される場合に適用されます。
EEAデータ移転
取引先等が処理する個人情報がEEAデータ移転の対象となる場合、およびその限りにおいて、EEA標準契約条項が参照により本書に組み込まれ、以下のように適用されるものとします。
適用
取引先等はデータ輸入者として行為し、顧客はデータ輸出者として行為します。
ドッキング
第I章第7条の目的上、オプションのドッキング条項が適用されます。
モジュール
モジュール2(管理者から処理者への移転)が適用されます。
指示
第II章第8.1条(モジュール2)の目的上、データ輸入者への指示は、取引先等が提供し、かつ、本契約に従って明示されるサービス等の実施および/または製品の供給に必要な、個人情報を処理する旨の指示とします。
副処理者
第II章第9条(モジュール2)において、オプション2が適用されます(また、意図した変更をデータ輸入者がデータ輸出者に対して通知する期間は30日前とします。)。
救済
第II章第11条において、オプションの文言は適用されません。
準拠法の選択
第IV章第17条および第18条において、適用されるデータ保護法で認められる範囲内で、両当事者は、EEA標準契約条項に基づくそれぞれの義務が、アイルランド共和国の法律に準拠し、アイルランド共和国の裁判所の管轄に従うことに同意します。
別紙IパートAへの記入
別紙IパートA(当事者一覧)は、(i)データ輸出者としての顧客の詳細情報、および(ii)データ輸入者としての取引先等の詳細情報が、それぞれ本契約に記載されている通りに記入されていることをもって、ここに、記入されたものとみなされます。
別紙IパートBへの記入
EEA標準契約条項別紙IパートB(移転内容)は、処理内容に記載された情報をもって、ここに、記入されたものとみなされます。
別紙IパートCへの記入
EEA標準契約条項別紙IパートC(管轄監督機関)については、適用されるデータ保護法で認められる範囲内で、両当事者は、アイルランド共和国のデータ保護当局を選択します。
別紙IIへの記入
EEA標準契約条項別紙II(データの安全性を確保するための技術的かつ組織的措置を含む、技術的かつ組織的措置)は、情報セキュリティ義務に定める条項の内容をもってここに、記入されたものとみなされます。
条項間の矛盾
EEA標準契約条項と本条との間に矛盾または不一致がある場合は、データ主体に最大の保護を与える方法で規定を解釈するものとします。
制限国に関するEEA標準契約条項の解釈
顧客による取引先等への個人情報の開示がその他のデータ移転に相当する場合は、その限りにおいて、EEA標準契約条項が参照により本書に組み込まれ、第6条本項で上記に定めたとおりに適用されるものとします。ただし、(i)EEA標準契約条項における「EU」、「連合」、「EU加盟国」または「加盟国」への言及は、代わりに当該制限国を指すものとし、(ii)「規則(EU)2016/679」または「当該規則」への言及は、代わりに当該制限国のデータ保護法を指すものとし、GDPRの特定の規定または条項への言及は、制限国のデータ保護法のこれに一番近い同等の規定または条項に置き換えるものとし、(iii)「監督機関」は、当該制限国のデータ保護当局を指すものとし、(iv)「条項」への言及は、当該条項を組み込み、修正する本項を指すものとします。
英国データ移転
取引先等が処理する個人情報が英国データ移転の対象となる場合は、その限りにおいて、英国SCC補遺が参照により本書に組み込まれ、以下のように適用されるものとします。
表1への記入
英国SCC補遺表1は、本契約に規定されているとおり、データ輸出者としての顧客の詳細およびデータ輸入者としての取引先等の詳細が記入されたものとします。「開始日」とは、本契約の開始日、発効日、またはそれに相当する日をいいます。顧客の「主要な連絡先」は、「プライバシー責任者」または
wbdprivacy@wbd.com
で連絡可能な、当該個人の代理人です。また、取引先等の「主要な連絡先」は、その具体的な役職名および電子メールアドレスを添えて顧客に随時通知されます。
表2および表3への記入
英国SCC補遺表2は、「承認済みEU SCCであって、附属書の情報が記載され、当該承認済みEU SCCの以下のモジュール、条項またはオプション条項のみを本補遺の目的のために発効させたもの」を選択することで記入されたものとします。英国SCC補遺表2および表3の目的上、「承認済みEU SCC」は、第6条本項で上記のとおり定めた内容で記入されたものとします。
表4への記入
英国SCC補遺表4は、「いずれの当事者でもない」を選択することで記入されたものとします。
条項間の矛盾
英国SCC補遺と本グローバルプライバシー義務との間に矛盾または不一致が生じた場合、英国SCC補遺が優先するものとします。
データ移転(管理者)
本項は、第5条(管理者に適用される条件)が適用される場合に適用されます。
EEAデータ移転
取引先等が処理する個人情報がEEAデータ移転の対象となる場合、およびその限りにおいて、EEA標準契約条項が参照により本書に組み込まれ、以下のように適用されるものとします。
適用
取引先等はデータ輸入者として行為し、顧客はデータ輸出者として行為します。
ドッキング
第I章第7条の目的上、オプションのドッキング条項が適用されます。
モジュール
モジュール1(管理者間の移転)が適用されます。
救済
第II章第11条において、オプションの文言は適用されません。
準拠法の選択
第IV章第17条および第18条においては、適用されるデータ保護法で認められる範囲内で、両当事者は、EEA標準契約条項に基づく両当事者のそれぞれの義務が、アイルランド共和国の法律に準拠し、アイルランド共和国の裁判所の管轄に従うことに同意します。
別紙IパートAへの記入
別紙IパートA(当事者一覧)は、(i)データ輸出者としての顧客の詳細情報、および(ii)データ輸入者としての取引先等の詳細情報が、それぞれ本契約に記載されている通りに記入されていることをもって、ここに、記入されたものとみなされます。
別紙IパートBへの記入
EEA標準契約条項別紙IパートB(移転内容)は、処理内容に記載された情報をもって、ここに、記入されたものとみなされます。
別紙IパートCへの記入
EEA標準契約条項別紙IパートC(管轄監督機関)については、適用されるデータ保護法で認められる範囲内で、両当事者は、アイルランド共和国のデータ保護当局を選択します。
別紙IIへの記入
EEA標準契約条項別紙II(データの安全性を確保するための技術的かつ組織的措置を含む、技術的かつ組織的措置)は、情報セキュリティ義務に定める条項の内容をもってここに、記入されたものとみなされます。
条項間の矛盾
EEA標準契約条項と本条との間に矛盾または不一致がある場合は、データ主体に最大の保護を与える方法で規定を解釈するものとします。
制限国に関するEEA標準契約条項の解釈
顧客による取引先等への個人情報の開示がその他のデータ移転に相当する場合は、その限りにおいて、EEA標準契約条項は参照することにより本書に組み込まれ、第6条本項で上記のとおり定めたとおりに適用されるものとします。ただし、(i)EEA標準契約条項における「EU」、「連合」、「EU加盟国」または「加盟国」への言及は、代わりに当該制限国を指すものとし、(ii)「規則(EU)2016/679」または「当該規則」への言及は、代わりに当該制限国のデータ保護法を指すものとし、GDPRの特定の規定または条項への言及は、制限国のデータ保護法の同等の規定または条項に置き換えるものとし、(iii)「監督機関」は、当該制限国のデータ保護当局を指すものとし、(iv)「条項」への言及は、条項を組み込み、修正する本条を指すものとします。
英国データ移転
取引先等が処理する個人情報が英国データ移転の対象となる場合は、その限りにおいて、英国SCC補遺が参照により本書に組み込まれ、以下のように適用されるものとします。
表1への記入
英国SCC補遺表1は、本契約に規定されているとおり、データ輸出者としての顧客の詳細およびデータ輸入者としての取引先等の詳細が記入されたものとします。「開始日」とは、本契約の開始日、発効日、またはそれに相当する日をいいます。顧客の「主要な連絡先」は、「プライバシー責任者」または
wbdprivacy@wbd.com
で連絡可能な当該個人の代理人です。また、取引先等の「主要な連絡先」は、その具体的な役職名および電子メールアドレスを添えて顧客に随時通知されます。
表2および表3への記入
英国SCC補遺表2は、「承認済みEU SCCであって、附属書の情報が記載され、当該承認済みEU SCCの以下のモジュール、条項またはオプション条項のみを本補遺の目的のために発効させたもの」を選択することで記入されたものとします。英国SCC補遺表2および表3の目的上、「承認済みEU SCC」は、第6条本項で上記のとおり定めた内容で記入されたものとします。
表4への記入
英国SCC補遺表4は、「いずれの当事者でもない」を選択することで記入されたものとします。
条項間の矛盾
英国SCC補遺と本グローバルプライバシー義務との間に矛盾または不一致が生じた場合、英国SCC補遺が優先するものとします。
越境移転に関する追加の規定
取引先等が処理した個人情報がEEAデータ移転、英国データ移転、またはその他の移転の対象になる場合、その限りにおいて本項が適用されます。
補完措置
両当事者は、事件番号C-311/18における欧州連合司法裁判所の判決により、EEA移転または英国移転の対象となった個人情報について、その移転元の地域で処理される際に受ける保護と実質的に同等レベルの保護を受けることを保証するための補完措置が(EEA標準契約条項に記載されている保護措置に加えて)、必要となる場合があることが明確にされていることを確認し、その旨合意します。したがって、両当事者は、かかる実質的同等性を確保するための補完措置として、以下の第6.4条(b)乃至(g)に定める手段について合意しました。
本契約に関連して処理された個人情報の一部またはすべてを閲覧し、またはその写しを取得する要請若しくは要求が、法執行機関、規制機関、司法機関または政府機関(以下「
本件当局
」といいます。)からなされているのを取引先等が知るに至った場合、取引先等は、任意であるか強制であるかを問わず、以下のように対処するものとします。
本件当局からの当該要請について直ちに顧客に通知すること。
第4条(処理者に適用される条件)が適用される場合、取引先等が個人情報の処理者であり、当該個人情報を本件当局に開示することを顧客が許可していないと本件当局に伝えること。
当該個人情報の閲覧に関するあらゆる要請または要求は、書面により(管理者としての)顧客に通知または送達されるべきであることを本件当局に伝えること。
第6.4条(c)に従った上で、顧客が書面で承認しない限りかつ承認するまで、本件当局に当該個人情報を閲覧させないこと。
第6.4条(b)(iv)にかかわらず、取引先等は、顧客による書面での事前承認なしに、本件当局からの要請または要求を受領した後に個人情報を本件当局に開示できるものとします。 ただし、(法律で禁止されている場合を除き)以下を条件とします。
取引先等が、顧客に対し当該要請または要求について事前に合理的な通知を行い、顧客が異議を申立てる、または保護命令もしくはその他の適切な救済を求められるよう合理的な機会を与えること。
取引先等が、顧客の費用負担により、顧客に合理的に協力し、顧客が異議を申し立て、または保護命令もしくは他の適切な救済を求められるようにすること。
いかなる場合においても、取引先等が、個人情報のうち法律上開示が義務付けられる部分のみを開示すること。
取引先等が個人情報を本件当局に開示する場合、取引先等は、法的に義務付けられる範囲内で、かつ、適用される合法的な手続に則ってのみ、当該個人情報を開示するものとします。
取引先等は、民主主義社会にとって必要かつ相応な範囲を超える、大量または無差別的な方法で、故意に個人情報を開示しないものとします。
取引先等は、本件当局からの個人情報の要請について、少なくとも以下のことを禁止する文書による規程を定め、維持し、遵守するものとします。
欧州におけるデータ主体に関する個人情報の大量または無差別的に開示すること。
召喚状、令状、命令書、判決、出頭命令またはその他の法的拘束力のある命令によって欧州におけるデータ主体に関する個人情報の開示を強制されていないにもかかわらず、当該個人情報を本件当局に開示すること。
取引先等は、業界の優れた業務慣行に従って、個人情報を傍受(顧客から取引先等への転送、ならびに異なるシステムおよびサービス間の転送中に発生するものを含みます。)から保護するための措置を講じ、維持するものとします。これには、攻撃者がデータを傍受できないようにするためのネットワーク保護、および攻撃者がデータを読み取ることができないようにするための転送中のデータの暗号化などを実施し、維持することが含まれます。
データ移転に関する追加の規定
顧客が、EEA移転、英国移転またはその他の移転のうち該当するものを行うために必要と考える場合、取引先等は、追加文書の作成および追加的保護の適用、または特定の地域での処理の制限について誠実に協力することに合意するものとします。
個人情報の受領が不適切であると見なされる他の法域への移転を制限している国から発信された個人情報を取引先等が時を問わず処理する場合、取引先等は、顧客の指示により、以下の両方を行うものとします。
当該国で適用されるデータ保護法に基づき、処理を合法的なものにするために必要とされるすべての必要な措置を講じ、かかる必要な契約を締結すること
顧客の個人情報にとって適切な水準の保護措置を確保すること。
権限のあるデータ保護当局が、当事者が依拠するデータ移転メカニズムが無効であると判断した場合、または権限のあるデータ保護機関もしくは適用される法律が、個人情報の移転を一時停止すること、もしくは特定の法域に制限することを義務付けた場合、顧客は、自らの裁量により、取引先等に個人情報の処理の中止を求めることができ、その場合取引先等は、代替のデータ移転メカニズムの使用を促進し、追加文書を作成し、追加的保護を適用し、または処理を特定の法域に制限するために誠意をもって顧客と協力するものとます。
7. 補償
本条はすべての取引先等に適用されます。
本契約に定める取引先等の補償義務に加え、取引先等は、(i)セキュリティインシデントまたは(ii)取引先等もしくは取引先等の関係会社、副処理者(取引先等の関係会社が指名した副処理者を含みます。)および譲受人による本グローバルプライバシー義務に対する違反のいずれかに起因または関連して顧客が被るあらゆる第三者からの請求、訴訟、費用、責任、損失、損害および経費(弁護士報酬を含みます。)(データ保護当局またはデータ主体による請求または訴訟を含みますがこれらに限定されません。)について、顧客を防御し、補償し、顧客に対し損害を与えないものとします。
8. 人工知能
本条は、取引先等が以下のいずれかに該当する限りにおいて適用されます。
本契約に基づき顧客にAIを提供するか、AIへのアクセスを提供する場合
本契約に基づくサービス等の提供において、部分的にまたは全面的にAIを使用している場合
取引先等は、本契約に基づく取引先等の義務の履行に関連して、取引先等によるAIの使用に関連して顧客が合理的に要求する当該情報を提供するものとします。この情報には、データ保護影響評価およびAIのバイアス評価を実施するために顧客が要求するものを含みます。
取引先等は、(i)本契約に関連して顧客に提供された、または本契約に基づく取引先等の義務の履行において取引先等が使用した、あらゆるAIのトレーニングデータが、(A)適用法を完全に遵守し、第三者の権利を侵害することなく取得され、(B)過去および現在においていかなる個人情報も含まないこと、(ii) 取引先等が、本契約に関連して取得したいかなる個人情報も、AIからのAIアウトプットの訓練、改善、向上またはプロンプトに使用しない(または第三者によるかかる使用を促進せずもしくは許可しない)こと、および(iii)取引先等が、本契約に基づく義務の履行において、自動化された意思決定を実施せず、または顧客がこれを実施するのを促進しないことを表明し、保証します。
以前のバージョンを表示する