国際データ処理に関する補遺

本データ処理補遺契約は、添付の全スケジュール(以下「本スケジュール」という。“補遺”2023年1月1日付(以下「2023年」)。“補遺発効日”)は、既存または同時期の商品・役務契約(以下“)の一部を構成する。“協定書”)との間でSycomp A Technology Company, Inc. (サイコンプ) とクライアント企業(“会社概要”)が、本追加条項を受諾するにあたり、自己を代表して、および/または自己の法人関連会社の代理人として行動する。.

当社とSycomp社は、Sycomp社が当社に対して特定のソフトウェアおよびSaaSライセンス、プロフェッショナルサービスおよびハードウェア(本補遺において「Sycomp社ソフトウェアおよびSaaSライセンス、プロフェッショナルサービスおよびハードウェア」という。“ソリューション”)、第三者相手先商標製品メーカー、ソフトウェアおよびSaaSのライセンサーおよびサービスプロバイダー(“)によって提供される。“再販パートナー”).シコンプは、ソリューションを提供するにあたり、適用法(以下に定義)で定義される最小限の会社個人データ(以下に定義)を収集し、処理する。再販パートナーのみが、会社の顧客、従業員、役員、請負業者、および代理人に関する情報(適用法で定義される個人情報/個人データを含むがこれらに限定されない)を含むがこれらに限定されない、会社の個人データに関連する情報にアクセスすることができ、シコンプが会社の個人データにアクセスせず、会社の個人データの処理に関与しない場合、会社は、再販パートナーとの関係が適用法に基づく会社の個人データの処理を支配し、本補遺が適用されないことを認める。.

本補遺で使用される用語は、本補遺に規定される意味を有するものとする。本契約で他に定義されていない大文字の用語は、本契約で与えられた意味を持つものとする。 以下に修正される場合を除き、本契約の条項は引き続き完全な効力を有するものとする。.

両当事者は、以下に定める条件を本契約の補遺として追加することに合意する。.

1.              グローバル用語

1.1 定義.

1.1.1 “アフィリエイト”「ここで、支配とは、議決権証券の所有、契約、その他を問わず、直接的または間接的に、企業の経営や方針を指示する、または指示させる権限を有することをいう。.

1.1.2 “適用法令”とは、会社の個人データに適用されるプライバシー法またはセキュリティ法を意味します。これには、一般データ保護規則(EU 2016/679)(「GDPR」)、プライバシーおよび電子通信に関する指令(2002/58/EC)、英国データ保護法(DPA)および英国GDPR、スイス連邦データ保護法、2018年カリフォルニア州消費者プライバシー法(カリフォルニア州民法第1798.100条ほか、)および2020年カリフォルニア州プライバシー権法、バージニア州消費者データ保護法(Va. Code Ann. tit. 59.1, Ch. 53 et seq.)、コロラド州プライバシー法(Colo. Rev. Stat. Ann. § 6-1-1302 et seq.)、ユタ州消費者プライバシー法(Utah Code Ann. § 13-61-101 et seq.)、前述の法令と類似の範囲を有するその他の米国州プライバシー法およびその下で採択された施行規則(これらはすべて、随時改正される可能性があります。.

1.1.3 “企業個人データ” 当社のために当社によって処理され、または当社によって収集された情報であって、直接的または間接的に、特定の個人または世帯を識別し、関連し、記述し、関連付けることが可能であり、または合理的に関連付けることができるものをいいます。.

1.1.4                “「データ主体” 会社個人データに含まれる、または過去に含まれた個人または世帯を意味します。.

1.1.5                “「個人情報漏洩” とは、送信、保存、またはその他の方法で処理された会社個人データの偶発的、不正、または違法な破壊、紛失、改ざん、開示、またはアクセスを意味します。適用法に記載されている「違反」、「データ漏洩」、または「個人データ漏洩」の定義が、ここに記載されている定義よりも範囲が広い場合は、当該法の定義が優先されるものとします。.

1.1.6                “「プロセス” 会社個人データに対して実行されるあらゆる操作または一連の操作を意味します。.

1.1.7                “処理記録” 当社のために実施されたすべての処理活動に関する、完全、正確、かつ最新の書面による記録。.

1.1.8                “「プロセッサー” 会社個人データの処理を行うすべての事業体を意味します。本契約および補遺の目的上、サイコンプおよび許可された下請け業者は処理者となります。.

1.1.9                “「レギュレーター” 適用法の施行に責任を負う政府機関を指す。.

1.1.10              “販売”/”セール” は、適用法(2018年カリフォルニア州消費者プライバシー法等)に定める意味を有します。例として、限定するものではありませんが、「販売」とは、事業者が消費者の個人情報を金銭またはその他の価値ある対価で他の事業者または第三者に販売、貸与、解放、開示、普及、利用可能にすること、または譲渡することを意味する場合があります。.

1.1.11              “シェア” は、適用法(2020年カリフォルニア州プライバシー権法等)に規定される意味を有します。 例えば、「共有」とは、クロスコンテクスト行動広告のために、第三者への当社個人データの開示(貸与、公開、開示、普及、利用可能化、譲渡、または口頭、書面、電子的もしくはその他の手段による伝達)を意味する場合があります。.

1.1.12 “サブプロセッサー”とは、会社の個人データを処理するためにSycompによって指名された処理者(第三者およびSycomp関連会社を含む)を意味します。これには、2018年カリフォルニア州消費者プライバシー法の対象となるサービスプロバイダーとして定義される事業体が含まれます(ただし、これらに限定されません)。.

1.2            データ処理の権限。.

1.2.1 当事者は、本契約の通常の履行過程において、Sycompが会社の個人データを処理することを意図していません。ただし、サイコンプが会社の個人データを処理する場合、サイコンプは本追加条項に従って処理するものとする。.

1.2.2 シコンプは、本契約、本補遺、または会社の文書化された指示に指定された目的以外の目的で、会社の個人データを処理しないものとする。 いかなる処理指示が適用法に違反するとシコンプが判断した場合、シコンプは直ちに会社に通知するものとする。 サイコンプは、本契約に基づくソリューションの提供およびサービスの履行に必要な場合を除き、商業的な目的で会社の個人データにアクセス、保持、使用、または開示しないものとする。.

1.2.3                スケジュール1 この補遺には、Sycompによる会社個人データの処理に関する特定の情報が記載されています。当社は、本追加条項を合理的に修正することができる。 スケジュール1 は、随時Sycompに書面で通知するものとする。.

1.3            適用法の遵守。. シコンプおよび会社は、適用法(これらに関連し、または今後制定されるすべての規制を含む)およびその他の類似の法令を遵守することを表明し、保証するものとします。会社は、ソリューションの提供に関連して、会社の個人データを当社に提供するために必要なすべての権利を有することを表明します。.

1.4            機密性とセキュリティ.

1.4.1 Sycompは、適用法を遵守し、Sycompによる会社個人データの処理に関して、適切な技術的および組織的対策を実施し、維持するものとする。 具体的には、シコンプは、契約期間中、ISO/IEC 27001:2013に準拠し、会社からの要求に応じてこれを証明する証明書を提供する。 シコンプは、会社の代理人および会社のために個人データを処理する代理人が、会社の個人データの機密保持を義務付ける契約に署名していることを確認するものとし、また、会社の個人データを処理するシコンプの代理人が、本補遺契約および関連法の遵守について適切な研修を受けるよう、あらゆる合理的な手段を講じるものとする。.

1.5            データ主体の権利.

1.5.1 Sycompは、Sycompまたはそのサブプロセッサーが保持する会社個人データに関して、データ主体が適用法に基づく権利を行使するための苦情、連絡、または要求への対応において、会社を支援するものとする。これには、会社からの要求(「データ主体の要求」)があった場合、当社およびそのサブプロセッサーが、データ主体個人のデータへのアクセス、修正、処理からの削除、取り消し不能な削除または破棄、訂正、転送(データポータビリティの権利)、機微な個人情報(この語句は適用法で定義される場合がある)の使用制限または使用の制限、または販売もしくは共有(これらの語句は適用法で定義される場合がある)を行わない能力を維持することが最低限含まれるものとします。.

1.5.2 Sycompまたは下請け業者もしくはその他の下請け業者が、会社の指示に関連してデータ対象者からデータ収集を直接行う場合、Sycompは、データ対象者についての情報が収集される時点またはその前に、データ対象者が会社のプライバシーポリシーを受け取るようにするものとします。.

1.5.3 シコンプは、データ対象者の要請を受けた場合、速やかに会社に通知するものとします。 適用法令により要求された場合、シコンプはデータ主体にシコンプが(適用法令に基づき)サービスプロバイダーまたはプロセッサーであることを通知し、データ主体は会社または適切な再販パートナーに連絡するものとします。 そうでない場合、Sycompはそのような要求に応じるかどうか、またどのように応じるかについて、会社からの指示を待つものとします。 会社は、データ対象者の要請を当社に指示できるよう、最新の連絡先情報を当社に提供するものとします。.

1.6            個人情報漏洩.

1.6.1 無許可の第三者による会社の個人データへのアクセスまたは取得が実際にあった場合、またはその疑いがある場合、Sycompは、個人データ漏洩の可能性があることを過度な遅延なく(ただし、個人データ漏洩の可能性を認識してから48営業時間以内)直ちに会社に通知し、会社が合理的に必要とする詳細を書面または電子メールで(可能な限り、個人データ漏洩の可能性を認識してから10営業日以内に)会社に提供するものとします。 さらに、Sycompは個人情報漏洩の可能性を調査し、是正するものとし、個人情報漏洩が当社またはSycompに関連当局または影響を受けるデータ対象者に通知する法的義務をもたらす場合、または影響を受けるデータ対象者を危険にさらす場合、Sycompは個人情報漏洩が再発しないことを当社が満足する保証を提供するものとします。 Sycompは、会社の個人データの漏洩が発生した場合、すべての対応措置が文書化され、再発を防止するために行われた事象および改善措置(もしあれば)の両方について、事故後のレビューが行われることを保証する。 Sycompは、適用される法律または規制により要求される調査、報告、その他の義務(規制当局からの問い合わせまたは調査への対応を含む)、または会社により要求されるその他の義務を含むがこれらに限定されない、会社の問題処理に全面的に協力することに同意し、個人データ漏洩により生じた損害に対応し、損害を軽減するために会社と協力する。 サイコンプは、当社の書面による事前の許可なく、個人データ漏洩を第三者に通知しないものとします。.

1.6.2 シコンプは、会社および各会社関連会社と協力し、かかる個人データ漏えいの調査、緩和、および是正を支援するために、合理的な商業上の措置を講じるものとし、また、かかる措置を講じることをサブプロセッサーに要求するものとします。.

1.7            個人情報の削除・返却. .Sycompは、会社の書面による要求があった場合、遅滞なく、会社の個人データを安全に削除するか、ハードコピーまたは電子形式で会社に返却するものとする。Sycompは、本契約により期待されるサービスの完了後、合理的に可能な限り速やかに、適用法またはその他の関連法によりデータの保存が義務付けられている場合を除き、電子形式およびハードコピー形式の会社個人データの既存のコピーをすべて安全に削除するものとする。会社の個人データがバックアップメディアに保存されている場合、会社の個人データの削除は、バックアップメディアがSycompのシステムを復元するために使用される場合にのみ必要となる。.

1.8            データ・プライバシー影響評価と事前協議。. Sycompは、Sycompによる会社個人データの処理に関連して適用法で要求されるデータ保護影響評価について、会社に合理的な支援を提供するものとします。.

1.9            補償。.  Sycompは、Sycompまたはそのサブプロセッサーが管理する会社の個人データに関わるセキュリティ侵害、またはSycompによる本補遺契約におけるデータ保護およびプライバシーに関する義務の重大な違反を含め、本補遺契約の違反により発生した損害への対応および/またはその軽減に要したすべての費用を会社に払い戻し、補償することに同意する。.

1.10         シコンプの単独費用による履行。. シコンプが本補遺を遵守すること、および本契約に関連して適用法を遵守するためにシコンプに要求される措置は、シコンプの単独かつ排他的な費用負担によるものであり、ソリューションの追加料金をもたらすものではありません(ただし、本契約にすでに規定されている場合を除きます)。本契約に関連して適用法を遵守するために当社に要求される措置は、当社の単独かつ排他的な費用負担となります(ただし、本契約にすでに規定されている場合を除きます)。.

1.11         本補遺の変更。. ただし、Sycompは、少なくとも30日前に書面にて会社に通知し、会社が重要な変更に同意しない場合は、当該通知を受け取ってから7日以内に契約を解除する機会を提供しない限り、本補遺契約の保護を著しく弱めることはないものとする。.

1.12 適用法の変更。適用法令が実質的に変更され、新規または改正された適用法令への本追加条項の適合性が危ぶまれる場合(以下「適用法令変更」という。“新しい法律”)に対応するために必要であると当社が合理的に判断する本追加条項の修正を提案することができる。“改正案”). 当社とSycompの両社は、Sycompの書面による同意(不合理な留保を行わないものとする)を得て、誠実に修正案について交渉するものとする。.

1.13         一般用語 個人データの処理に関して本追加条項の下でサイコンプに課された義務は、個人データが処理される限り、本追加条項の終了または失効後も存続するものとする。 本追加条項のいずれかの条項が無効または法的強制力がない場合でも、本追加条項の残りの部分は有効であり、効力を有するものとします。 無効または執行不能な規定は、(a)規定の趣旨を可能な限り維持しつつ、その有効性および執行可能性を確保するために必要な修正を行うか、または(b)それが不可能な場合は、無効または執行不能な部分が存在しなかったかのように解釈されるものとします。当社およびSycompは、本追補条項が本契約の他の部分で扱われている条項を含むことを明示的に認識し、これに同意する。 会社とSycompは、ここに定める条件が本契約の補遺として追加されることに同意する。 本補遺と本契約の他の部分は、一緒に読まれ、可能な限り、互いに協調するように解釈されるものとする。 ただし、いかなる場合においても、本補遺は、本契約の一部に基づくSycompの会社に対する義務またはコミットメントを排除、制限、またはその他の方法で減少させるものとはみなされないものとする。.

2.              国際用語。. 会社が、欧州経済地域、スイス、英国、ブラジル、またはその他の米国外の該当する司法管轄区の居住者の個人情報が本契約に従って処理される可能性があることをサイコンプに通知した場合、本第2条の規定は、すべての当事者およびソリューションの提供に関連する会社の個人データの処理に適用されるものとします。.

2.1            サブプロセス.

2.1.1 会社は、以下の別表1、セクションCに提示されたリストから、サイコンプがサブプロセッサーを雇用することを許可する。サイコンプは、このリストにサブプロセッサを追加する場合、会社に書面で通知する。この通知を受け取った場合、会社は、適用法で義務付けられている場合は、合理的な根拠に基づいて、サブプロセッサの追加に異議を唱えるための30日間の猶予が与えられる。会社による合理的な反対にもかかわらず、サイコンプがサブプロセッサーを雇用することを選択した場合、会社は本契約の解除条項に従って本契約を解除する権利を有する。.

2.1.2 各サブプロセッサーに関して、Sycomp は以下を行うものとする:

2.1.2.1 各サブプロセッサーについて適切なデューデリジェンスを実施し、当該サブプロセッサーが本追加条項で要求される企業個人データの保護レベルを提供できることを確認し、規制当局から要求があった場合は当該デューデリジェンスの証拠を提出すること;;

2.1.2.2 拘束力のある書面による契約を締結し、本補遺に定める条件と実質的に同様の条件を、当社と各サブプロセッサーとの間の契約に含めること;;

2.1.2.3 承認されたサブプロセッサーが、当社の事業目的のためにのみ、すべての適用法、規則、規制、および当社の指示に準拠して情報を使用することに同意していることを確認する。

2.1.2.4 会社の個人データに関連するサブプロセッサの行為について、会社に対して全責任を負うものとします。.

2.2            国際的なデータ転送。.  

2.2.1 会社の個人データを国際的に移転する場合、または会社から欧州経済地域(「EEA」)、スイス、英国(「英国」)内で受領した会社の個人データの場合、当該データをEEA外または国際機関に移転する場合(「国際移転」)、Sycompは会社から事前に書面による同意または指示を得なければなりません。 会社が当該国際移転に同意した場合、Sycompは当該移転(およびその後の移転)を確実に行うものとします:(i)会社の個人データのセキュリティおよび機密性に関する適切な規定を含む書面による契約に従っていること、(ii)関連法に基づき、会社の個人データの国境を越えたデータ移転に関する法的強制力のあるメカニズム(その形式および内容は、会社の書面による承認に従うものとする)に従っていること、(iii)本補遺契約に従っていること、(iv)その他、関連する個人情報保護法に準拠していること。 当事者が、EEA、スイス、および英国によって承認された妥当性メカニズム(「妥当性メカニズム」、例えば、米国と欧州連合の間のEU-USデータプライバシー枠組みを促進するための大統領令14086に基づく移転メカニズム)に基づく代替移転メカニズムを利用することができない限り、当事者は、会社の個人データの移転を促進するために、必要に応じて承認された標準契約条項(「SCC」)またはその他の法的に許容される契約条項を締結し、本追加条項に追加するものとします。.

2.2.2                テリトリー.

2.2.2.1            欧州経済領域。. EEA居住者の会社個人データの国際的な移転の促進に関しては、当事者は、本補遺に別表2で組み込まれるEEA SCCを締結したものとみなされるものとします。.

2.2.2.2            欧州経済領域 そして イギリス. EEA居住者および英国居住者の会社個人データの国際的な移転の促進に関して、当事者は、本補遺に別表2および別表3で組み込まれているEEA SCCおよび英国国際データ移転補遺を締結したものとみなされるものとします。.

2.2.2.3            イギリスのみ。. 英国(「英国」)居住者の会社個人データおよびEEA居住者の会社個人データの国際的な移転の促進に関しては、当事者は、本補遺に別表4で組み込まれる英国国際データ移転契約を締結したものとみなされるものとします。.

2.2.2.4            ブラジル. ブラジル居住者の企業個人データの国際的な移転を促進するため、両当事者は、ブラジルSCCが利用可能である場合、本契約を締結し、本契約に添付したものとみなされるものとします。.

2.2.2.5 矛盾がある場合、SCC、UK国際データ転送契約/補遺またはその他の特定の条項が添付されている場合は、本補遺の条項よりも優先されるものとする。.

2.2.2.6 スイスの1992年6月19日付データ保護に関する連邦法(以下「FADP」)の適用を 受ける個人データの移転に関しては、以下の事項が適用されます:(i) 「加盟国」という用語は、第 18 条(c)に従い、常居所地においてその権利を行使する法的手続 きを起こす可能性からスイスのデータ主体を除外するように解釈してはならない。.

2.2.2.7 当事者が国際移転を促進するために適正化メカニズムに依拠することができる場合、当事者は、適切な移転メカニズムは、標準契約条項または英国国際データ移転契約/補遺ではなく、かかる適正化メカニズムでなければならないことに同意する。.

2.3            関連記録と監査権。.

2.3.1 シコンプは、処理記録を保持し、適用法および本追加条項の下でのシコンプの義務の遵守を証明するために会社が合理的に必要とする情報(処理記録を含む)を、会社の要請に応じて適時に提供するものとする。 処理記録には、会社のためにSycompが処理したすべての会社の個人データの説明、処理の種類、処理の目的、同意の記録(ある場合)、および会社が合理的に要求するその他の情報が最低限含まれるものとする。.

2.3.2 Sycompは、適用法に基づく当社の義務を遵守するため、当社の費用負担で、以下の事項に関して、合理的な追加支援、情報、および協力を当社に提供するものとする:(i) データセキュリティ、(ii) データ侵害通知、(iii) 会社の個人データおよび/または会社のデータプライバシーまたはセキュリティ慣行に関する規制当局または個人からの要請への対応、および (iv) データプライバシー影響評価の実施。 Sycompは、データ対象者の会社個人データに関する要求に応じるという会社の義務の履行を支援するために、適切な技術的および組織的手段を導入し、維持するものとします。 これには、会社の個人データに関連するすべての要求が記録され、要求の受領後3日以内に会社に照会されるようにすることが含まれます。 サイコンプは、サイコンプのコンプライアンスを監視する当社の取り組みに協力するものとします。.

3.              アメリカ合衆国の用語。. 会社が、本契約に従って米国居住者の個人情報を処理する可能性があることをサイコンに通知した場合、本第3条の規定は、すべての当事者およびソリューションの提供に関連する会社の個人データの処理に適用されるものとします。.

3.1             両当事者の関係. Sycompがデータ保護法の対象となる企業の個人データを処理する範囲において、Sycompは2018年カリフォルニア州消費者プライバシー法および2020年カリフォルニア州プライバシー権法で定義される「サービスプロバイダー」、バージニア州消費者データ保護法およびコロラド州プライバシー法で定義される「処理者」、および適用法に従って理解されるこれらの用語と同様の意味を持つその他の用語に該当します。.

3.2            企業個人データの処理目的. サイコムがソリューションに関連して受領、アクセス、転送、または収集する企業個人データは、下記別表5に詳述するように、サイコムがソリューションを提供する目的でのみ行われるものであり、当該データの販売には該当せず、また金銭その他の対価を目的とするものでもありません。また、ターゲット広告やクロスコンテキスト広告を目的として、企業の個人データが共有されることはありません。.

3.3            当社の個人情報の取り扱いについて. 会社にソリューションを提供する過程において、また、ソリューションに関連して会社が受領、アクセス、転送、または収集する会社ユーザー情報に関連して、サイコンプは以下のことを行います:

3.3.1 適用法またはその他の個人情報保護法を遵守しない原因となる行為を行わないこと;;

3.3.2 会社にソリューションを提供するために厳密に必要な場合を除き、データ対象者から追加の会社個人データを収集しないこと;;

3.3.3 すべての会社の個人データを、本契約の機密保持規定に基づき「機密情報」として扱うこと;;

3.3.4 会社にソリューションを提供するために厳密に必要な場合を除き、データ対象者を特定または再特定しようとせず、いかなる個人情報もデータ対象者またはデータ対象者のオンライン活動と関連付けないこと;;

3.3.5 会社にソリューションを提供するために厳密に必要とされる場合を除き、会社の個人データを第三者のデータと混同しないこと;;

3.3.6 いかなる状況においても、会社の個人データを第三者に販売、共有、またはライセンス供与したり、第三者の利益のために使用したりしないこと。

3.3.7 適用法令に基づく義務をもはや果たすことができないと判断した場合は、直ちに当社に通知すること。.

3.4            下請け業者。. サイコンプが会社の個人データを処理する業務委託先と契約する場合、サイコンプと各業務委託先との間の契約に、本補遺に定める条件と実質的に同様の条件を含めるものとします。.

3.5            関連記録と監査権。. 適用法令により要求される場合、および会社の要求に応じて、サイコンプは、本付則および/または適用法令を遵守していることを証明するために合理的に必要な個人データを会社に提供するものとする。.

3.6            認証だ。. シコンプは、ソリューションの提供に関連する企業の個人データの使用に関する制限を理解し、これを遵守することを証明します。.

この補遺は、上記に最初に記載された補遺発効日から有効となり、当社との各契約の拘束力のある一部となる。. 

スケジュール 1:データ処理

A.             企業データの処理内容

1.     個人データが移転されるデータ主体の分類

従業員および下請業者

2.     移転される個人データの分類

氏名、勤務先および/または自宅の住所、勤務先Eメール、電話番号などの連絡先情報。.

3.     移転される機密データおよび適用される制限と保護措置

当社が機密性の高い個人データを転送することはありません。

4.     移籍の頻度

ソリューション提供中の継続

5.     加工の性質

企業の個人データは、本契約に規定された方法で処理されるものとし、業務指示書またはその他の書面において当事者によって変更される場合があります。特に、企業の個人データは以下の目的で使用および開示されます:

遠隔地の従業員へのハードウェアおよびソフトウェアの提供を含む、当社へのソリューションの販売および提供に関する連絡および通信

6.     移転およびさらなる処理の目的

企業の個人データは、本契約に規定された目的、および業務指示書またはその他の書面において当事者によって変更される可能性がある目的のために処理されるものとします。.

遠隔地の従業員へのハードウェアおよびソフトウェアの提供を含む、当社へのソリューションの販売および提供

7.     個人データの保有期間

ソリューションの販売、納品、サポート期間中、およびその履歴を証明するために法的に認められている場合。

B.              技術的・組織的対策

当社のISMSセキュリティプログラムには、不正なアクセス、取得、使用または誤用、開示、破壊、変更から会社および第三者の情報を保護するための、商業上合理的かつ技術的に適切な方針が含まれている。情報は、その機密性と損失リスクに応じて保護されます。すべての対策がすべての種類の情報に適用されるわけではありませんが、セキュリティ・プログラムには、以下の基本方針と慣行が含まれています:

この情報セキュリティ方針は、当社の情報セキュリティマネジメントシステム(ISMS)の方針、実践、および手順の概要を外部の利害関係者に提供するものです。セキュリティはあらゆる組織の成功の鍵であり、サイコンプはパートナーおよび顧客と継続的に協力し、業務の完全性を最適化し、改善します。.

  • 最低限の技術的・組織的対策
    当社のISMSセキュリティプログラムには、不正なアクセス、取得、使用または誤用、開示、破壊、変更から会社および第三者の情報を保護するための、商業上合理的かつ技術的に適切な方針が含まれている。情報は、その機密性と損失リスクに応じて保護されます。すべての対策がすべての種類の情報に適用されるわけではありませんが、セキュリティ・プログラムには、以下の基本方針と慣行が含まれています:

  • 許容される使用
    利用規定(Acceptable Use Policy)は、ISMS 登録範囲内のデータ、資産、およびリソースを、そのような利用を許可されたすべての要員が利用するための、最低限許容される要件を定めるものである:

    • 年次従業員セキュリティ意識向上トレーニングおよびISMSポリシーのレビュー

    • システム監視制御

    • オンプレミスおよびオフプレミスでの適切なリソースの取り扱いと保護

  • アクセス・コントロール
    アクセス・コントロール・ポリシーには、「情報」が処理または保存されるシステムへの不正アクセスを防止するための適切な措置が含まれる:

    • ユーザーアカウントの承認、作成、終了のための正式なアクセス制御プロセス

    • パスワード管理と多要素認証

    • 物理的な管理と継続的な監視により安全なエリアを確立

    • 従業員および承認された第三者に対するアクセスおよびアクセス権限の保護と制限

    • ユーザーおよび特権アクセスアカウントの年次レビュー

  • エンドユーザー・デバイス
    デスクトップおよびモバイルデバイスセキュリティポリシーは、エンドユーザーコンピューティングデバイスの管理のためのフレームワークを確立する。このポリシーは、すべてのワークステーションと、ラップトップ、タブレット、スマートフォンなどのモバイルデバイスに適用される:

    • 正式なハードウェアおよびソフトウェアの承認・登録プロセス

    • 一貫性のある文書化された構成基準

    • リアルタイムの悪意のあるソフトウェア保護と電子メールフィルタリングメカニズムの実装

    • データアットレストおよびデータイントランジットを含む業界標準の暗号化技術の使用

    • アイドル状態を放置した場合、ユーザーデバイスを一時的に自動ロックアウト。

    • 複数の誤ったパスワードが入力された場合、ユーザーIDを自動的に一時的にロックアウト。

  • 人事
    人事方針は、従業員および第三者の下請け業者が自らの責任を理解し、以下のような役割を担うにふさわしい人物であることを保証するものである:

    • 入社プロセスには、雇用契約、下請契約、秘密保持契約、身元調査、犯罪歴調査(該当する場合)が含まれる。

    • 情報セキュリティ違反に対する懲戒手続き

    • オフボーディング・プロセスには、アクセス権限の終了と資産の返却が含まれる。

  • ネットワークとシステムのセキュリティ
    ネットワークとセキュリティのポリシーは、ネットワークとシステムの安全な運用と保護を保証します:

    • 正式なハードウェアおよびソフトウェアの承認・登録プロセス

    • 役割ベースの承認、多要素認証による安全なアクセス

    • ポートロックダウンとパスワード保護

    • リモートアクセスの制限と制御

    • 脅威と異常検知のためのモニタリングとロギング

    • 変更管理の職務分掌

    • 許容される暗号化基準の遵守

  • リスク、インシデント、脆弱性管理
    リスク、インシデント、脆弱性管理ポリシーは、情報セキュリティリスク、インシデント、既知または発見された脆弱性を報告、対応、管理するためのワークフロー、タスク、責任、機能を定める:

    • ISMS資産に対する脅威、それらの脅威によって悪用される可能性のある脆弱性を特定し、リスク所有者を割り当て、必要であればリスク処理オプションを確立するための年次リスクアセスメント。

    • 年1回の脆弱性スキャンを実施し、重要かつ高度の脆弱性をタイムリーに解決する。

    • セキュリティインシデントの報告、記録、解決のための正式なプロセス(教訓を含む

    • 必要に応じて外部関係者と連絡を取るためのプロセス

  • 継続性と可用性
    シコンプは、重要なシステムおよびデータを偶発的な破壊または損失から確実に保護するために、以下を含む合理的かつ適切な対策を実施し、維持します:

    • インフラの冗長性

    • データレプリケーションとテープバックアッププロセスを含む、事業継続と復旧手順のメンテナンス

    • 個人情報保護方針に従い、処理に合法的な根拠が存在しなくなった場合に、個人情報を含む記録を廃棄すること。

  • プライバシーポリシー
    Sycompのプライバシーポリシーは、当社が収集、使用、共有するユーザー情報に関する当社の慣行を説明するものです。本個人情報保護方針は、当社とお客様またはお客様が勤務する会社およびお客様が当社とやり取りする会社の間で交わされる契約書またはその他の文書で特に合意されない限り、お客様が当社のウェブサイト、電子メールによるコミュニケーション、製品、その他の機能またはサービス(以下「サービス」)を通じて当社とやり取りする際に当社が収集する情報に適用されます。 詳細については、以下をご覧ください。 https://sycomp.com/privacy-policy/

C.             認定サブプロセッサー

サイコンプ・ア・テクノロジー・カンパニー

サブプロセッサーのリスト

A. 第三者従業員によるサブプロセッサーへの接触
サブプロセッサー名連絡先加工内容
株式会社セールスフォース・ドットコム.セールスフォース・タワー
415 Mission Street, 3rd Floor サンフランシスコ, CA 94105 USA取引先の口座記録
株式会社アブシズ.インド500032テランガナ州ガチボブリDLFサイバーシティShanta Sriram Techpark6階SFDC管理
マイクロソフト株式会社700 ベルビュー・ウェイ NE - 22階
ベルビュー, WA, 98004 USAMS 365 - Eメール、シェアポイント、その他のビジネスアプリケーション
B. マネージド・サービス・プロバイダー(MSP)サブプロセッサー
国名クーリエサービスホワイトグローブ
アンザスDHL
アポポスト
日本佐川イーディーコム
台湾ゼロワン
シンガポールTCK(ローカル出荷)
アドコム(インターナショナル)
DHL(小さい箱)
マムジスティックスPTEリミテッド(まれに)
タイDHL
インドブルーダートNA
イジェッツ
JSカーゴ(バンガロール市内配送)
DTDC
欧州・中東・アフリカDHL(全EUおよび英国)ACSフランス
DPD(英国)CCSドイツ
UPS(ベルギー)レーナス
タイガーAG(CH)ASLカーゴ
エメラルド・フレート・エクスプレス(CZ)ファスト・フォワード・フレート
ボローレ・ロジスティクス(CZ)エメラルド貨物
オプティス(CZ)ドアからドアへ
BDAロジスティクス(オランダ)マイケル・リンチ・ロジスティクス
エメラルド貨物(IR)
イスラエルONEのドライバー(S1)NA
タクシー(手渡し)
無停電電源装置
バーチャル・グラフィティ
アメリカフェデックス
アドコム(稀)
アラブ首長国連邦DXB
カナダフェデックス
ピューロレーター
無停電電源装置
南アフリカクーリエ・ガイ ワールドワイド・エクスプレス.

スケジュール2:EU標準契約条項

  1. EEA標準契約条項は以下の通り:
    1.  当社が管理者である場合、モジュール2(管理者から処理者)が適用されます。.
    2. 会社がプロセッサーである場合、モジュール3(プロセッサーからプロセッサーへ)が適用される。.
    3. 第7項では、オプションのドッキングが適用される。.
    4. 第9条では、オプション2が適用され、サブプロセッサーに対する事前通知の期間は30日間とする。.
    5. 第11条(a)では、オプション条項は適用されない。
    6. 第13条では、会社が欧州連合に事業所を有している場合はオプション1が適用され、会社が欧州連合に事業所を有しておらず、選任された代表者を有している場合はオプション2が適用され、会社が欧州連合に事業所も代表者も有していない場合はオプション3が適用される。.
    7. 第17条(オプション2)では、アイルランド共和国法が適用される。.
    8. 第18条(b)では、紛争はアイルランド共和国の裁判所で解決される。.
  2. EEA Standard Contractual Clauses, Annex I, Part Aは以下のように記入されている:
    1. データエクスポーター:会社
    2. 連絡先の詳細:本契約の各構成要素に記載されている会社住所、会社連絡先、Eメールアドレス
    3. データエクスポーターの役割コントローラー
    4. 署名および日付:当該契約書の日付における署名
    5. 標準契約条項に基づき移転されるデータに関連する活動:契約書に記載されたサービスの提供.
    6. データインポーター: Sycomp, Inc.
    7. 連絡先950 Tower Lane, Suite 1785, Foster City, CA 94404, [email protected]
    8. データインポーターの役割プロセッサー
    9. 署名と日付当該契約書の日付における署名
    10. 標準契約条項に基づき移転されるデータに関連する活動:契約書に記載されたサービスの提供.
  3. EEA Standard Contractual Clauses, Annex I, Part Bは以下のように記入されている:
    1. 個人データが移転されるデータ主体のカテゴリー別表1に定めるとおり。.
    2. 移転される個人データの分類別表1に定めるとおり。.
    3. 機密データの移転別表1に定めるとおり。セーフガードは附属書IIに従って記載される。.
    4. 転送頻度:データは継続的に転送される。.
    5. 処理の性質:処理の性質は、別表1に定めるとおりです。.
    6. データ移転およびさらなる処理の目的:データ移転および処理の目的は、別表1に定めるとおりです。.
    7. 個人データが保持される期間、またはそれが不可能な場合は、その期間を決定するために使用される基準:処理期間は別表1に定めるとおり。.
    8. サブ)プロセッサーへの移転については、処理の対象、性質、期間も明記すること:サブプロセッサーが行う処理の対象、性質、および期間は、サイコンプに関して本付属書1.Bに定めるものと同じとする。.
  4. EEA標準契約条項、附属書I、パートCは以下のように記入されている:管轄監督当局はアイルランド共和国である。
  5. EEA標準契約条項、付属書II。技術的・組織的措置は別表1のセクションBに記載されている。.

スケジュール3:UK国際データ移転補遺条項

  1. 英国の補遺は以下のように完成している:
    1. パート1
      1. 表 1:開始日とは、本契約の発効日である。表 2 の第 2 項に記載された両当事者
      2. 表2:選択されたSCC、モジュールおよび選択された条項:別表2のセクション1に詳述されているとおり
      3. 表3:付属情報:SCCs(当事者以外)の付属文書に記載され、別表2のセクション2、3、5に記載される、選択されたモジュールについて提供されなければならない情報を意味する。.
      4. 表4:輸入者は、UK補遺第19条に定めるとおり、UK補遺を終了することができる。
    2. パート2
      1. 第2部:承認された補遺の必須条項であり、ICOが発行し、2022年1月28日にデータ保護法2018のs119Aに従って国会に提出されたテンプレート補遺B.1.0であり、それらの必須条項の第18条に基づき改訂されたものである。.

スケジュール 4:英国国際データ移転協定

  1. 英国の補遺は以下のように完成している:
    1. 表1
      1. 開始日:本契約の発効日。.
      2. 当事者の詳細:<>
      3. 表 2:選択された SCC、モジュール、および選択された条項:本付録 2 の第 1 節に詳述されている。
    2. 表2
      1. 準拠法イングランドおよびウェールズ
      2. 法的請求の主な場所イングランドおよびウェールズ
      3. 輸出業者の地位: コントローラー
      4. 輸入者の地位:輸出者の加工業者またはサブ加工業者
      5. 英国GDPRの適用の有無英国のGDPRが適用されます
      6. リンクされた契約:補遺契約書には、輸入業者に対する輸出業者の指示が記載されている。
      7. 期間:リンク契約(補遺契約)の有効期間
      8. 期間満了前の IDTA の終了:輸入者は、UK IDTA の第 29 条に定めるところに従い、UK 付則を終了することができる。
      9. 両当事者は、期間満了前に IDTA を終了することができる:輸出者と輸入者
      10. 輸入者はさらなる譲渡を行うことができるか:輸入者は、第16.1条(譲渡データの譲渡)に従い、譲渡データを別の組織または個人(別の法人)に譲渡することができます。.
      11. 更なる譲渡のための具体的要件:以下に定める認定受取人(または認定受取人のカテゴリー)へ:補遺第2.1項
      12. 見直し期日:両当事者は、輸出者の要請に応じて、年 1 回を超えない頻度でセキュリティ要件を見直す。
    3. 表3
      1. 移転データ:移転データのカテゴリーは、参照されるリンク契約(補遺)の情報が更新された場合、自動的に更新されます。.
      2. 特別カテゴリーのデータ:上記のいずれにも該当しない。特別カテゴリーおよび犯罪記録データのカテゴリーは、参照されるリンク契約(補遺)で情報が更新された場合、自動的に更新されます。.
      3. 関連するデータ対象:データ対象者のカテゴリーは、参照されるリンク契約(補遺)の情報が更新された場合、自動的に更新されます。.
      4. 目的:輸入者は、補遺、本契約、または本契約および補遺の対象となる業務明細書に定める目的のために、移転データを処理することができます。リンクされた契約(補遺)の情報が更新された場合、目的は自動的に更新されます。.
    4. 表4
      1. セキュリティ要件:セキュリティ要件は別表1のセクションBに記載されている。.
      2. セキュリティ要件の更新:セキュリティ要件は、参照されるリンク契約(補遺)の情報が更新された場合、自動的に更新される。.
    5. パート2
      1. 特別保護条項:特別保護条項はない
    6. パート3
      1. 商業条項:本契約および補遺の条件を超える商業条項はない。.

    第5条事業目的

    サイコンプは、以下の業務目的のために、会社に代わって会社の個人データを処理することがあります(該当するものすべてにチェックを入れてください):

    • アカウントの維持またはサービス、顧客サービスの提供、注文および取引の処理または履行、顧客情報の確認、支払処理、融資の提供、分析サービスの提供、ストレージの提供、または当社に代わって同様のサービスを提供することを含む、当社に代わってソリューションを提供すること。.
    • 会社の個人データの使用が合理的に必要かつ適切な範囲内で、セキュリティと完全性の確保に協力すること。.
    • ソリューションの既存の意図された機能を損なうエラーを特定し、修復するためのデバッグ。.
    • 技術開発と実証のための社内研究を行う。.