免責事項: この文書は、https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX%3A32021D0914&locale=en#ntc12-L_2021199EN.01003701-E0012で入手可能なテキストに基づいて作成されたものであり、便宜上の目的で提供されています。
権威あるテキストや法的ガイダンスとみなされるべきではありません。


標準契約条項

プロセッサーからプロセッサーへ

セクション I

第1条

目的と範囲

    1. 本標準契約条項の目的は、個人データの第三国への移転に関して、個人データの処理に関する自然人の保護および当該データの自由な移動に関する2016年4月27日付欧州議会および理事会規則(EU)2016/679(一般データ保護規則)([1])の要件を確実に遵守することです。
    2. 当事者
      1. 附属書I.Aに記載されている、個人データを転送する自然人または法人、公的機関、代理店またはその他の団体(以下、「データ輸出者」といいます。
      2. 附属書 I.A に記載されているように、データ輸出者から直接または間接的に、同じく本条項の当事者である他の事業体を経由して個人データを受領する第三国の事業体(以下、それぞれ「データ輸入者」といいます)は、本標準契約条項(以下、「条項」といいます)に同意しているものとします。
    3. 本条項は、付属書I.B.に定める個人データの移転に関して適用されます。
    4. 本条項で言及されている付属文書を含む本条項の付属文書は、本条項の不可分の一部を構成します。

第2条本条項の効力と不変性

  1. 本条項は、規則(EU)2016/679 の第 46 条(1)項および第 46 条(2)(c)項に従い、強制可能なデータ主体の権利および効果的な法的救済を含む適切な保護措置を定めるものであり、また、管理者から処理者へのデータ移転および/または処理者から処理者へのデータ移転に関しては、規則(EU)2016/679 の第 28 条(7)項に従い、標準的な契約条項を定めるものです。
    ただし、本条項と直接的または間接的に矛盾しないこと、または情報主体の基本的権利もしくは自由を害しないことを条件とします。
  2. 本条項は、規則(EU)2016/679によりデータ輸出者が従う義務を損なうものではありません。

第3条第三者受益者

  1. データ主体は、以下の例外を除き、データ輸出者および/またはデータ輸入者に対して、 第三者受益者として本条項を適用し、執行することができます:

    (i) 第1項、第2項、第3項、第6項、第7項;

    (ii) 第8.1条(a)、
    (c)および
    (d)および第8.9条(a)、
    (c),
    (d),
    (e),
    (f)および
    (g);

    (iii) 第9条(a)、
    (c),
    (d)および
    (e);

    (iv) 第12条(a)、(d)および(f);

    (v) 第13条

    (vi) 第15.1条(c)、(d)および(e);

    (vii) 第16条(e);

    (viii) 第18条(a)および(b)。

  • (a)項は、規則(EU)2016/679に基づくデータ主体の権利を損なうものではありません。
  • 第4条解釈

    1. 本条項において、規則(EU)2016/679で定義されている用語が使用されている場合、これらの用語は同規則における意味と同じ意味を有するものとします。
    2. 本条項は、規則(EU)2016/679の規定に照らして読み解かれるものとします。
    3. 本条項は、規則(EU)2016/679に規定される権利および義務と矛盾する形で解釈されないものとします。

    第5条階層本条項と、本条項が合意された時点またはその後締結された両当事者間の関連契約の規定との間に矛盾がある場合、本条項が優先するものとします。 第6条移転の説明移転の詳細、特に移転される個人データのカテゴリーおよび移転の目的は、付属書I.B.に明記されています。 第7条 – オプションドッキング条項

    1. 本条約の当事者でない事業体は、両当事者の同意があれば、附属書に記入し、附属書 I.A に署名することにより、データ輸出者として、またはデータ輸入者として、いつでも本条約に加盟することができます。
    2. 附属書を完成し、附属書 I.A に署名した場合、加盟当事者は本条項の締約国となり、附属書 I.A の指定に従ってデータ輸出者またはデータ輸入者の権利および義務を有するものとします。
    3. 加盟国は、締約国になる前の期間から、本条項に基づいて生じるいかなる権利または義務も有しないものとします。

    セクション II – 当事者の義務第 8 条データ保護保護措置データ輸出者は、データ輸入者が適切な技術的および組織的措置を実施することにより、本条項 に基づく義務を果たすことができると判断するために合理的な努力を払ったことを保証します。8.1 指示

    1. データ輸出者はデータ輸入者に対し、データ処理に先立ちデータ輸出者がデータ輸入者に提供する管理者の指示に基づき処理者として行動することを通知しています。
    2. データ輸入者は、データ輸出者からデータ輸入者に通知された管理者からの文書化された指示、およびデータ輸出者からの文書化された追加指示に基づいてのみ、個人データを処理するものとします。
      かかる追加の指示は、管理者からの指示と矛盾しないものとします。
      管理者またはデータ輸出者は、契約期間中、データ処理に関してさらに文書化された指示を与えることができます。
    3. データ輸入者は、その指示に従うことができない場合、直ちにデータ輸出者に通知するものとします。
      データ輸入者が管理者の指示に従うことができない場合、データ輸出者は直ちに管理者に通知するものとします。
    4. データ輸出者は、管理者とデータ輸出者との間の契約または連合法もしくは加盟国の法律に基づくその他の法律行為に規定されているのと同じデータ保護義務をデータ輸入者に課していることを保証します([2])。

    8.2 目的の制限データ輸入者は、データ輸出者からデータ輸入者に通知された、またはデータ輸 出者からデータ輸入者に通知された、管理者からの更なる指示がない限り、付属書 I.B.に記載された特定の転送目的のためにのみ個人データを処理するものとします。8.3 透明性データ輸出者は、要求があれば、両当事者によって記入された付属文書を含む本条項の コピーをデータ対象者に無料で提供するものとします。
    ただし、データ対象者がその内容を理解したり権利を行使したりすることができな い場合は、意味のある要約を提供するものとします。
    要求があった場合、両当事者は、冗長化された情報を明らかにすることなく、可能な限 り冗長化の理由をデータ対象者に提供するものとします。8.4 正確性データ輸入者は、受領した個人データが不正確であること、または古くなっているこ とを認識した場合、データ輸出者に遅滞なく通知するものとします。
    この場合、データ輸入者はデータ輸出者と協力してデータを修正または消去するものとします。
    8.5 データ処理の期間およびデータの消去または返却データ輸入者によるデータ処理は、付属書I.B.に規定された期間のみ行われるものとします。データ処理サービスの提供が終了した後、データ輸入者は、データ輸出者の選択により、管理者の代理として処理されたすべての個人データを消去し、その旨をデータ輸出者に証明するか、または管理者の代理として処理されたすべての個人データをデータ輸出者に返却し、既存のコピーを消去するものとします。
    データが削除または返却されるまで、データ輸入者は引き続き本条項を遵守するものとします。
    データ輸入者に適用される現地の法律が個人データの返却または削除を禁止している場合、データ輸入者は引き続き本条項を遵守し、当該現地の法律で義務付けられている範囲および期間のみ個人データを処理することを保証するものとします。
    これは、第 14 条、特に第 14 条(e)に基づくデータ輸入者が、第 14 条(a)に基づく要件と一致しない法律または慣行の適用を受ける、または受けるようになったと信じるに足る理由がある場合、契約期間中を通じてデータ輸出者に通知するという要件を損なうものではありません。 8.6 処理の安全性

    1. データ輸入者、およびデータ送信中にデータ輸出者は、偶発的または不法なデータ の破壊、紛失、改ざん、不正な開示、またはデータへのアクセス(以下「個人情報漏 洩」といいます。)
      適切なセキュリティ・レベルを評価する際には、両当事者は、最新技術、実装のコスト、処理の性質、範囲、文脈および目的、ならびにデータ対象者の処理に伴うリスクを十分に考慮するものとします。
      両当事者は、特に、処理の目的がそのような方法で達成され得る場合には、送信中も含め、暗号化または仮名化を利用することを検討するものとします。
      偽名処理の場合、個人データを特定のデータ対象者に帰属させるための追加情報は、 可能な限り、データ輸出者または管理者の排他的管理下に置かれるものとします。
      本項に基づく義務を履行する場合、データ輸入者は、少なくとも付属書類 II に規定された技術的および組織的措置を実施するものとします。
      データ輸入者は、これらの措置が引き続き適切なレベルのセキュリティを提供することを保証するために、定期的な検査を実施するものとします。
    2. データ輸入者は、契約の履行、管理およびモニタリングのために厳密に必要な範囲に限り、データへのアクセスをその従業員に許可するものとします。
      データ輸入者は、個人情報を処理する権限を与えられた者が守秘義務を負うか、または適切な守秘義務を負っていることを保証するものとします。
    3. 本条項に基づいてデータ輸入者によって処理された個人データに関して個人情報漏えいが 発生した場合、データ輸入者は、その悪影響を軽減するための措置を含む、漏えいに対 処するための適切な措置を講じるものとします。
      データ輸入者はまた、違反に気づいた後、データ輸出者、および適切かつ実行可能な場合は管理者に、過度な遅滞なく通知するものとします。
      このような通知には、詳細情報を入手できる連絡先の詳細、違反の性質(可能な場合、関係するデータ対象者および個人データ記録のカテゴリーおよびおおよその数を含む)、起こりうる結果、およびデータ違反に対処するために講じられた、または提案された措置(起こりうる悪影響を軽減するための措置を含む)が含まれるものとします。
      すべての情報を同時に提供することが不可能な場合、最初の通知にはその時点で入手可能な情報を含めるものとし、その後、入手可能になり次第、不当な遅延なく追加情報を提供するものとします。
    4. データ輸入者は、データ輸出者が規則(EU)2016/679に基づく義務を遵守できるように、特に、データ輸入者が処理の性質および利用可能な情報を考慮した上で、管轄監督当局および影響を受けるデータ主体にデータ輸出者が通知できるように、データ輸出者に協力し、支援するものとします。

    8.7 機微データ人種的もしくは民族的出身、政治的意見、宗教的もしくは哲学的信条、または労働 組合員であることを明らかにする個人データ、遺伝子データ、または自然人を一意に 識別するためのバイオメトリクスデータ、健康に関するデータ、人の性生活もしくは性 的指向に関するデータ、または前科および犯罪に関するデータ(以下「機微データ」と いう)を伴う移転が行われる場合、データ輸入者は付属文書Ⅰ.B.に規定された特定の制限お よび/または追加の保護措置を適用するものとします。
    8.8 上方への転送データ輸入者は、データ輸出者からデータ輸入者に伝えられた管理者の文書化された指示 に基づいてのみ、個人データを第三者に開示するものとします。
    さらに、欧州連合([3])域外に所在する第三者(データ輸入者と同じ国または他の 第三国、以下「転送先」)にデータを開示できるのは、その第三者が適切なモジュールの下で本条項 に拘束される場合、またはそれに同意する場合に限ります:

    1. 転送先が、転送先をカバーする規則(EU)2016/679の第45条に従った妥当性決定の恩恵を受けている国である場合;
    2. 第三者が、規則(EU)2016/679の第46条または第47条に従って適切な保護措置を確保する場合;
    3. 特定の行政、規制、または司法手続きにおいて、法的請求の確立、行使、または防御のために必要な場合。
    4. データ主体または他の自然人の重大な利益を保護するために転送が必要な場合。

    データ転送は、データ輸入者が本条項に基づくその他の保護措置、特に目的制限を遵守することを条件とします。 8.9 文書化とコンプライアンス

    1. データ輸入者は、本条項に基づく処理に関するデータ輸出者または管理者からの問い合わせに迅速かつ適切に対応するものとします。
    2. 両当事者は、本条項を遵守していることを証明できるものとします。
      特に、データ輸入者は、管理者に代わって行われた処理活動に関する適切な文書を保管するものとします。
    3. データ輸入者は、本条項に定める義務の遵守を証明するために必要なすべての情報をデータ輸出者に提供するものとし、データ輸出者はこれを管理者に提供するものとします。
    4. データ輸入者は、合理的な間隔で、または不順守の兆候がある場合に、データ輸出者による本条項の対象となる処理活動の監査を許可し、これに協力するものとします。
      データ輸出者が管理者の指示により監査を要求する場合も同様とします。
      監査を決定する際、データ輸出者はデータ輸入者が保有する関連証明書を考慮することができます。
    5. 監査が管理者の指示に基づいて実施される場合、データ輸出者はその結果を管理者に提供するものとします。
    6. データ輸出者は、自ら監査を行うか、または独立した監査人に委任するかを選択できます。
      監査は、データ輸入者の敷地内または物理的施設における検査を含むことができ、 適切な場合には、合理的な予告をもって実施されるものとします。
    7. 締約国は、(b)及び(c)に掲げる情報を
      (b)及び
      (c)に規定する情報を、監査の結果を含め、所轄の監督当局の要請に応じて提供するものとします。

    第9条サブプロセッサーの使用

    1. オプション 1:書面による事前承認 データ輸入者は、管理者の書面による事前承認なしに、本条項に基づいてデータ輸出者に代わ って実行される処理業務をサブ処理者に再委託してはなりません。
      データ輸入者は、管理者がその許可を決定するために必要な情報を添付して、下請け業者に委託する前に、少なくとも[期間を指定]して具体的な許可の申請を提出するものとします。
      管理者は、データ輸出者にその旨を通知するものとします。
      管理者によって既に認可されているサブプロセッサーのリストは、附属書 III.
      オプション 2:オプション 2:書面による一般的な承認 データ輸入者は、合意されたリストからサブプロセッサーと契約するためのコントロー ラの一般的な承認を得るものとします。
      データ輸入者は、サブプロセッサーの追加または交換によるリストの変更について、少なくとも[期間を指定]前に書面で管理者に通知するものとします。
      データ輸入者は、管理者が異議を唱える権利を行使するために必要な情報を管理者に提供するものとします。
      データ輸入者は、データ輸出者に対し、サブプロセッサーの契約について通知するものとします。
    2. データ輸入者が(管理者に代わって)特定の処理活動を実行するためにサブプロセッ サを使用する場合、データ主体の第三者受益権の観点も含め、実質的に本条項に基づいてデータ 輸入者を拘束するものと同じデータ保護義務を規定する書面による契約によってこれを行 うものとします。([4]) 両当事者は、本条項を遵守することにより、データ輸入者が第 8.8 条に基づく義務を果たすことに同意します。
      データ輸入者は、データ輸入者が本条項に従って従う義務をサブプロセッサーが遵守することを保証するものとします。
    3. データ輸入者は、データ輸出者または管理者の要求に応じて、そのようなサブ プロセッサ契約およびその後の変更のコピーを提供するものとします。
      業務上の秘密または個人データを含むその他の機密情報を保護するために必要な範囲において、データ輸入者は、コピーを共有する前に契約書の本文を編集することができます。
    4. データ輸入者は、データ輸出者に対し、データ輸入者との契約に基づくサブプロセッサーの義務の履行について全責任を負うものとします。
      データ輸入者は、サブプロセッサーがその契約に基づく義務を履行しなかった場合、データ輸出者に通知するものとします。
    5. データ輸入者は、データ輸入者が事実上消滅した場合、法律上存在しなくなった場合、または支払不能になった場合、データ輸出者がサブプロセッサー契約を解除し、サブプロセッサーに対して個人データの消去または返却を指示する権利を有する第三者受益条項をサブプロセッサーと合意するものとします。

    第10条データ主体の権利

    1. データ輸入者は、データ主体から受領した要求について、データ輸出者、および必要に応じて管理者に速やかに通知するものとします。
    2. データ輸入者は、データ輸出者と協力して、適切な場合には、データ主体が規則(EU)2016/679又は規則(EU)2018/1725に基づく権利行使の要請に応じる義務を履行する際に、管理者を支援するものとします。
      この点に関して、両当事者は、処理の性質を考慮した適切な技術的及び組織的措置を附属書IIに定めるものとし、これによって支援が提供されるものとし、また、必要とされる支援の範囲及び程度についても定めるものとします。

    3. (a)および
      (b)の義務を履行する場合、データ輸入者は、データ輸出者から通知された管理者からの指示に従うものとします。

    第11条救済

    1. データ輸入者は、データ対象者に対し、苦情処理権限を有する連絡窓口を、個別通 知またはウェブサイトを通じて、透明で容易にアクセス可能な形式で通知するも のとします。オプション:データ輸入者は、データ対象者が独立した紛争解決機関([5]) 情報主体に費用を負担させることなく。
      データ主体は、(a)に規定された方法で、そのような救済手段を利用すること、または救済を求める際に特定の順序に従う必要がないことを通知するものとします。]
    2. 本条項の遵守に関して情報主体者と一方の当事者との間で紛争が生じた場合、当該当事 者は、適時に友好的に問題を解決するために最善の努力を払うものとします。
      両当事者は、そのような紛争について相互に情報を提供し、適切な場合にはその解決に協力するものとします。
    3. データ主体が第3条に従って第三者受益権を行使する場合、データ輸入者はデータ主体の決定を受け入れるものとします:
      1. 常居所地または勤務地の加盟国の監督当局、または第13条に基づく管轄監督当局に苦情を申し立てます;
      2. 第18条の意味において、紛争は管轄裁判所に付託されます。
    4. 両当事者は、データ主体が、規則(EU)2016/679の第80条(1)に規定される条件の下で、非営利団体、組織または協会によって代表される可能性があることを受け入れます。
    5. データ輸入者は、適用される EU または加盟国の法律に拘束される決定に従うものとします。
    6. データ輸入者は、データ対象者が行った選択が、適用法に従って救済を求める実質的および手続き上の権利を損なわないことに同意するものとします。

    第12条責任

    1. 各当事者は、本条項の違反により相手方当事者に与えた損害について、相手方当事者に責任を負うものとします。
    2. データ輸入者またはそのサブプロセッサーが本条項に基づく第三者の受益者の権利に違反することによってデータ主体に与えた物質的または非物質的な損害について、データ輸入者はデータ主体に対して責任を負うものとし、データ主体は補償を受ける権利を有するものとします。
    3. (b)項にかかわらず、データ輸出者またはデータ輸入者(またはそのサブプロセッサー)が本条項に基づく第三者受益者の権利に違反することによってデータ主体に与えた重大または非重要な損害について、データ輸出者はデータ主体に対して責任を負うものとし、データ主体は補償を受ける権利を有するものとします。
      これは、データ輸出者の責任、およびデータ輸出者が管理者の代理を務める処理者である場合、規則(EU)2016/679または規則(EU)2018/1725(該当する場合)に基づく管理者の責任を損なうものではありません。
    4. 両当事者は、データ輸出者がデータ輸入者(またはそのサブプロセッサー)によって生じた損害について(c)項に基づく責任を負う場合、データ輸入者の損害に対する責任に対応する補償金の一部をデータ輸入者に請求する権利を有することに同意するものとします。
    5. 本条項に違反した結果、データ対象者に生じた損害について複数の当事者が責任を負う場合、すべての責任当事者は連帯して責任を負うものとし、データ対象者はこれらの当事者のいずれに対しても裁判所に訴訟を提起する権利を有します。
    6. 両当事者は、一方の当事者が(e)項に基づき責任を負う場合、他方の当事者に対し、損害に対する責任に対応する補償金の一部を返還請求する権利を有することに同意するものとします。
    7. データ輸入者は、自らの責任を回避するためにサブプロセッサーの行為を援用することはできません。

    第13条監督

    1. [Where the data exporter is established in an EU Member State:] データ移転に関して、データ輸出者による規則(EU)2016/679の遵守を確保する責任を負う監督当局は、付属書I.C.に示すとおり、管轄監督当局として行動するものとします。 [データ輸出者がEU加盟国に設立されていないが、規則(EU)2016/679の第3条(2)に従って規則(EU)2016/679の適用範囲内にあり、規則(EU)2016/679の第27条(1)に従って代表者を任命している場合:]。規則(EU)2016/679の第27条(1)の意味における代表者が設置されている加盟国の監督当局は、附属書I.Cに示されるとおり、管轄監督当局として行動するものとします。 [データ輸出者がEU加盟国に設立されていないが、規則(EU)2016/679の第3条(2)に従い、規則(EU)2016/679の第27条(2)に従い代表者を任命することなく、規則(EU)2016/679の適用範囲に含まれる場合。付属書I.Cに示されるように、本条項に基づいて商品またはサービスの提供に関連して個人データが移転され、またはその行動が監視されるデータ主体が所在する加盟国のいずれかの監督当局が、管轄監督当局として行動するものとします。
    2. データ輸入者は、本条項の遵守を確保するためのあらゆる手続きにおいて、管轄の監督当局の管轄下に服し、これに協力することに同意するものとします。
      特に、データ輸入者は、照会に応じ、監査に応じ、是正措置および補償措置を含む監督当局が採用した措置を遵守することに同意するものとします。
      データ輸入者は、監督当局に対し、必要な措置が講じられたことを書面で確認するものとします。

    第III章 現地法および公的機関によるアクセスの場合の義務第14条本条項の遵守に影響を及ぼす現地法及び慣行

      1. 両当事者は、データ輸入者による個人データの処理に適用される第三国の法律および慣行(個人データの開示要件または公的機関によるアクセスを許可する措置を含む)が、データ輸入者による本条項に基づく義務の履行を妨げると信じるに足る理由がないことを保証します。
        これは、基本的な権利および自由の本質を尊重し、規則(EU)2016/679の第23条(1)に列挙された目的の一つを保護するために民主主義社会において必要かつ妥当な範囲を超えない法律および慣行は、本条項と矛盾しないという理解に基づくものです。
      2. 両当事者は、(a)の保証を提供するにあたり、特に以下の要素を十分に考慮したことを宣言します:
        1. 処理の連鎖の長さ、関与する関係者の数、使用される転送経路を含む転送の具体的状況、意図される転送先、受信者のタイプ、処理の目的、転送される個人データのカテゴリーと形式、転送が行われる経済分野、転送されるデータの保管場所;
        2. 移転先の第三国の法律および慣行(公的機関へのデータ開示を要求するもの、またはそのような当局によるデータへのアクセスを許可するものを含む)、ならびに移転の特定の状況に照らして関連する、適用される制限および保護措置([6]);
        3. 本条項に基づく保護措置を補完するために導入された、契約上、技術上、または組織上の関連する保護措置。
      3. データ輸入者は、(b)項に基づく評価を行うにあたり、データ輸出者に関連情報を提供するために最善の努力を払ったことを保証し、本条項の遵守を確保するためにデータ輸出者と引き続き協力することに同意します。
      4. 両当事者は、(b)に基づく評価を文書化し、要請に応じて所轄の監督当局に提供することに同意します。
      5. データ輸入者は、本条項に同意した後、契約期間中、第三国の法律の変更または(a)項の要件に沿わない当該法律の実際の適用を示す措置(開示請求など)の後を含め、(a)項の要件に沿わない法律または慣行の適用を受ける、または受けるようになったと信じるに足る理由がある場合、データ輸出者に速やかに通知することに同意するものとします。
        データ輸出者はその通知を管理者に転送するものとします。
      6. (e)項に従った通知後、またはデータ輸出者がデータ輸入者が本条項に基づく義務を履行できなくなったと信じるに足る理由がある場合、データ輸出者は、管理者と協議の上、適切であれば、データ輸出者および/またはデータ輸入者が状況に対処するために採用すべき適切な措置(セキュリティおよび機密性を確保するための技術的または組織的な措置など)を速やかに特定するものとします。データ輸出者は、データ移転のための適切な保護措置が確保できないと判断した場合、または管理者もしくは管轄の監督当局からそのように指示された場合、データ移転を停止するものとします。この場合、データ輸出者は、本条項に基づく個人データの処理に関する限り、契約を解除する権利を有するものとします。契約が2つ以上の当事者にまたがる場合、データ輸出者は、当事者間で別段の合意がない限り、関連する当事者に関してのみこの契約解除権を行使することができます。本条項に従って契約が解除された場合、第16条(d)および(e)が適用されるものとします。

    第 15 条公的機関によるアクセスの場合のデータ輸入者の義務15.1 通知

      1. データ輸入者は、以下の場合、データ輸出者、および可能であればデータ主体に(必要であればデータ輸出者の協力を得て)速やかに通知することに同意します:
        1. 司法当局を含む公的機関から、本条項に従って移転された個人データの開示に関する法的拘束力のある要請を、移転先の国の法律に基づいて受けた場合。
        2. データ輸出者は、この通知を管理者に転送するものとします。
          • データ輸入者がデータ輸出者および/またはデータ対象者に通知することを仕向け地 の国の法律で禁止されている場合、データ輸入者は、可能な限り多くの情報を可能な限 り早く通知することを目的として、その禁止の免除を得るために最善の努力を払うこ とに同意します。
            データ輸入者は、データ輸出者の要求があった場合にそれを証明できるように、最善の努力を文書化することに同意します。
          • データ輸入者は、仕向け国の法律で許可されている場合、データ輸出者に対し、 契約期間中定期的に、受領した要求に関する可能な限りの関連情報(特に、要求の数、 要求されたデータの種類、要求した当局/国、要求に対する異議申し立ての有無およびその 結果など)を提供することに同意するものとします。
            データ輸出者はこの情報を管理者に転送するものとします。
          • データ輸入者は、(a)から(c)に従った情報を契約期間中保存し、要求があれば管轄監督当局に提供することに同意します。
          • 第(a)項から第(c)項は、第 14 条(e)項および第 16 条に従ってデータ輸入者が本条項を遵守できない場合にデータ輸出者に速やかに通知する義務を損なうものではありません。

        15.2 適法性とデータ最小化のレビュー

        1. データ輸入者は、開示要求の合法性、特にそれが要求元の公的機関に付与された 権限の範囲内にあるかどうかを検討し、慎重に評価した結果、その要求が仕向け 国の法律、国際法の下で適用される義務、および国際的な衡平法上の原則に基づ いて違法であると考える合理的な根拠があると結論付けた場合には、その要求に異議を 唱えることに同意するものとします。
          データ輸入者は、同じ条件下で、上訴の可能性を追求するものとします。
          請求に異議を申し立てる場合、データ輸入者は、管轄の司法当局がその是非を決定するまで、請求の効力を停止することを目的とした暫定措置を求めるものとします。
          データ輸入者は、適用される手続き規則に基づいて要求されるまで、要求された個人データを開示しないものとします。
          これらの要件は、第 14 条(e)に基づくデータ輸入者の義務を損なうものではありません。
        2. データ輸入者は、その法的評価および開示要求に対する異議申し立てを文書化し、仕向け 国の法律で許容される範囲内で、その文書をデータ輸出者が入手できるようにするこ とに同意するものとします。
          また、データ輸出者は、要求があれば管轄の監督当局にもそれを提供するものとします。
          データ輸出者は評価書を管理者に提供するものとします。
        3. データ輸入者は、開示請求に応じる際、開示請求の合理的な解釈に基づき、許容される最小限の情報を提供することに同意します。

        第4節 – 最終規定第16条条項の不履行および解除

        1. データ輸入者は、理由の如何を問わず、本条項を遵守できない場合は、データ輸出者に速やかにその旨を通知するものとします。
        2. データ輸入者が本条項に違反した場合、または本条項を遵守できない場合、データ輸出者は、遵守が再度確保されるか、または契約が解除されるまで、データ輸入者への個人データの移転を停止するものとします。
          これは第 14 条(f)を損なうものではありません。
        3. データ輸出者は、本条項に基づく個人データの処理に関する限りにおいて、以下の場合に契約を解除する権利を有するものとします:
          1. データ輸出者が(b)項に従ってデータ輸入者への個人データの転送を一時停止し、合理的な期間内に、いかなる場合でも一時停止から1ヶ月以内に本条項への遵守が回復されない場合;
          2. データ輸入者が本条項に実質的または継続的に違反している場合。
          3. データ輸入者が、本条項に基づく義務に関する管轄の裁判所または監督当局の拘束力のある決定を遵守しない場合。これらの場合、データ輸入者は管轄の監督当局および管理者にかかる不遵守を通知するものとします。
            契約が2つ以上の当事者にまたがる場合、データ輸出者は、当事者間で別段の合意がない限り、関連する当事者に関してのみこの解除権を行使することができます。
        4. (c)に従って契約が終了する前に移転された個人データは、データ輸出者の選択により、直ちにデータ輸出者に返却されるか、またはデータ全体が削除されるものとします。
          データのコピーについても同様とします。
          データ輸入者はデータ輸出者に対し、データの削除を証明するものとします。
          データが削除または返却されるまで、データ輸入者は本条項を遵守するものとします。
          データ輸入者に適用される現地の法律が、転送された個人データの返却または削除を禁止している場合、データ輸入者は引き続き本条項を遵守し、当該現地の法律で義務付けられている範囲および期間のみデータを処理することを保証するものとします。
        5. いずれの当事者も、以下の場合には、本条項に拘束される旨の合意を撤回することができます。
          (i) 欧州委員会が、本条項が適用される個人データの移転を対象とする規則(EU) 2016/679の第45条(3)に従った決定を採択する場合。
          (ii) 規則(EU) 2016/679が個人データの移転先の国の法的枠組みの一部となった場合。
          これは、規則(EU)2016/679に基づき当該処理に適用されるその他の義務を損なうものではありません。

        第17条準拠法[選択肢1:本条項は、EU加盟国のいずれかの法律に準拠するものとし、当該法律が第三者受益権を認めている場合に限ります。
        両当事者は、これが_________(加盟国を指定)の法律であることに同意します。][選択肢 2:本条項は、データ輸出者が設立されている EU 加盟国の法律に準拠するものとします。当該法が第三者受益権を認めていない場合は、第三者受益権を認めている他の EU 加盟国の法に準拠するものとします。両当事者は、これを_______(加盟国を指定)の法律とすることに合意します。] 第18条裁判地および管轄権の選択

        1. 本条項に起因する紛争は、EU加盟国の裁判所により解決されるものとします。
        2. 両当事者は、_____(加盟国を明記)の裁判所とすることに合意します。
        3. データ対象者は、データ輸出者および/またはデータ輸入者に対して、その者が常居所を有する加盟国の裁判所に対して法的手続きを取ることもできます。
        4. 両当事者は、かかる裁判所の管轄権に服することに同意します。

        付表の説明的注記: 各移転または各移転カテゴリーに適用される情報を明確に区別することが可能でなければな らず、またこの点に関して、データ輸出者及び/またはデータ輸入者としての両当事者のそれぞれの 役割を決定することが可能でなければなりません。
        この透明性が 1 つの付録で達成できる場合、各移転/カテゴリー及び/又は契約関係に ついて別々の付録に記入し署名する必要は必ずしもありません。
        ただし、十分な透明性を確保するために必要な場合は、別個の付属書を使用する必要があります。

        付録 I

        A.当事者リスト

        データエクスポーター[データ輸出者の身元および連絡先の詳細、ならびに該当する場合は、データ保護責任者および/または欧州連合における代表者の身元および連絡先の詳細]。

        • Name: …………………………………住所Contact person’s name, position and contact details:………. ……………………………………………………..Activities relevant to the data transferred under these Clauses: ………………………………………………………. ……………………………………………………….Signature and date:…………………役割(管理者/処理者):
        • ……….

        データ輸入者:[データ輸入者の身元および連絡先(データ保護に責任を持つ連絡先を含む

        • Name: ……………………………….Address: ……………………………..担当者の氏名、役職、連絡先:………. ………………………………………………………Activities relevant to the data transferred under these Clauses: ………………………………………………………. ……………………………………………………….Signature and date: …………………役割(管理者/処理者):
        • ………….

        B.譲渡の説明
        個人データが移転されるデータ主体のカテゴリー … 移転される個人データのカテゴリー … 移転されるセンシティブなデータ(該当する場合)、および、例えば厳密な目 的制限、アクセス制限(特別な訓練を受けたスタッフのみのアクセスを含む)、 データへのアクセス記録の保持、転送の制限、または追加のセキュリティ対策など、 データの性質および関連するリスクを十分に考慮した制限または保護措置の適用。
        … データ転送の頻度(例えば、データが単発的に転送されるか、継続的に転送されるか) …
        … 情報処理の性質 … 情報移転および追加処理の目的 … 個人情報の保持期間、またはそれが不可能な場合は、その期間を決定 するために使用した基準 … (サブ)処理業者への移転の場合は、処理の対象、性質および期間も明記 …

        C.管轄監督機関第13条に従い、所轄監督官庁を特定してください。

        付録 II

        データの安全性を確保するための技術的および組織的措置を含む技術的および組織的措置 説明的注記:技術的及び組織的な措置は、(一般的な用語ではなく)具体的な用語で記載されなければなりません。
        特に、どの措置が各譲渡/譲渡のセットに適用されるかを明確に示す必要性については、別添の最初のページの一般的なコメントも参照。 処理の性質、範囲、文脈および目的、ならびに自然人の権利および自由に対するリスクを考慮した上で、適切なレベルのセキュリティを確保するためにデータ輸入者によって実施される技術的および組織的措置(関連する認証を含む)の説明。

        [可能な措置の例:

        個人データの仮名化・暗号化の措置

        処理システムおよびサービスの継続的な機密性、完全性、可用性、回復力を確保するための対策

        物理的または技術的な事故が発生した場合に、個人データへの可用性およびアクセスを適時に回復する能力を確保するための措置

        処理の安全性を確保するための技術的・組織的措置の有効性を定期的にテスト、評価、評価するためのプロセス

        ユーザー識別と認証のための措置

        伝送中のデータ保護対策

        保管中のデータ保護対策

        個人データを取り扱う場所の物理的安全性を確保するための措置

        イベントログを確実に記録するための対策

        デフォルト構成を含むシステム構成を確保するための対策

        社内IT・ITセキュリティガバナンス・管理への取り組み

        プロセスおよび製品の認証・保証のための措置

        データ最小化のための措置

        データ品質確保のための対策

        限定的なデータ保持を確保するための措置

        説明責任確保のための措置

        データ・ポータビリティの確保と消去のための措置】について]

        サブ)プロセッサーへの移管についても 管理者に、また処理者からサブ処理者への移転の場合はデータ輸出者に支援を提供できるよう、(サブ)処理者が講じるべき具体的な技術的および組織的措置を記載すること。

        付録 III

        サブプロセッサー一覧 説明的注釈:この附属書は、サブプロセサー(第9条(a)項、オプション1)を特定的に認可する場合に記入する必要があります。
        管理者は、以下のサブプロセスの使用を承認しています:

        • Name: …………….住所: …………………………………….連絡担当者の氏名、役職、連絡先:…… 加工の説明(複数のサブ・プロセッサーが許可されている場合は、責任の明確な区分を含む):……………………..
        • ………………….

        [1] データ輸出者が、管理者としての欧州連合機関または団体に代わって行動する規則(EU)2016/679の対象となる処理者である場合、規則(EU)2016/679の対象ではない別の処理者(サブ処理)に従事する際に本条項を信頼することで、欧州連合機関による個人データの処理に関する自然人の保護に関する2018年10月23日の欧州議会および理事会の規則(EU)2018/1725の第29条(4)の遵守も保証されます、Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (
        OJ L 295, 21.11.2018, p. 39)、本条項と規則(EU) 2018/1725の第29条(3)に基づく管理者と処理者の間の契約またはその他の法律行為に規定されるデータ保護義務が一致する限りにおいて。
        これは特に、管理者と処理者が決定2021/915に含まれる標準契約条項に依拠する場合に当てはまります。[2]規則(EU)2016/679の第28条4項、および管理者がEUの機関または団体である場合は、規則(EU)2018/1725の第29条4項を参照。[3]欧州経済領域に関する協定(EEA協定)は、欧州連合(EU)の域内市場をEEAの3カ国であるアイスランド、リヒテンシュタイン、ノルウェーに拡大することを規定。
        規則(EU) 2016/679を含むEUのデータ保護法はEEA協定の対象であり、同協定の付属書XIに組み込まれています。
        したがって、データ輸入者による EEA 内の第三者への開示は、本条項における対内移転には該当しません。
        [4]この要件は、サブプロセッサーが第 7 条に従って適切なモジュールの下で本条項に同意することで満たすことができます。
        [5]データ輸入者は、仲裁判断の執行に関するニューヨーク条約を批准している国に設立された仲裁機関を通じてのみ、独立した紛争解決を提供することができます。
        [6]このような法律や慣行が本条項の遵守に与える影響については、全体的な評価の一環として、さまざまな要素を考慮することができます。
        そのような要素には、十分に代表的な時間枠をカバーする、公的機関からの開示請求の過去の事例、又はそのような請求がなかったことに関する、関連し文書化された実務経験が含まれる場合があります。
        これは特に、デューディリジェンスに従って継続的に作成され、上級管理職レベルで証明された内部記録またはその他の文書を指します。
        データ輸入者が本条項を遵守することを妨げられないと結論付けるために、この実務経験を信頼する場合、他の関連する客観的要素によって裏付けられる必要があります。
        特に、締約国は、その実務経験が、判例や独立監視機関による報告書など、同じ部門における要請の有無、および/または実務における法律の適用に関する、公に入手可能な、またはその他の方法でアクセス可能な信頼できる情報によって裏付けられ、矛盾していないかどうかを考慮しなければなりません。