このデータ処理補足合意書は、2025年12月23日より有効となります。
本データ処理補足合意書およびその付属書(以下「本補足合意書」または「DPA」)は、Gather Servicesのご利用を規律するGatherとお客様との間のサイト利用規約、Gatherプライバシーポリシー、Grapevineプライバシーポリシー、Grapevine利用規約、またはその他の書面もしくは電子的な合意(総称して「本契約」)に関連して、Gather Presence, Inc.(以下「Gather」または「当社」)がお客様(以下「お客様」)に代わって行う個人データの処理に関する合意を反映したものです。
署名済みのコピーが必要ですか? support@gather.town までお気軽にお問い合わせください!
1. 定義
「関係会社」とは、対象企業を直接もしくは間接的に支配する、対象企業に支配される、または対象企業と共通の支配下にある実体を意味します。この定義における「支配」とは、対象企業の議決権の50%超を直接または間接的に所有または支配することを指します。
「Gatherサービス」とは、本契約に規定する、お客様が選択されたサービスを意味します。
「CCPA」とは、カリフォルニア州消費者プライバシー法(Cal. Civ. Code §1798.100以下)およびその実施規則を意味します。
「管理者」とは、個人データの処理の目的および手段を決定する実体を意味し、CCPAで定義される「ビジネス」に該当するものを含みます。
「お客様」とは、オーダーフォームに署名したその関係会社とともに、本契約を締結した実体を意味します。
「お客様データ」とは、本契約において「お客様データ」として定義されるすべてのものを意味します。ただし、当該データが、お客様によって、またはお客様のためにGatherサービスに送信された電子データまたは情報であることを条件とします。
「データ保護法」とは、本補足合意書に基づく個人データの処理に適用される、欧州連合、欧州経済領域およびその加盟国、スイス、英国、ならびに米国およびその各州のデータ保護またはプライバシーに関する法律、規則、および規制を意味します。
「データ主体」とは、個人データが関連する、特定されたまたは特定可能な個人を意味します。
「GDPR」とは、個人データの処理に係る個人情報の保護及び当該データの自由な移動に関する2016年4月27日の欧州議会及び理事会規則 (EU) 2016/679(一般データ保護規則)を意味します。
「個人データ」とは、Gatherサービスの一部としてお客様がGatherに提供する、特定されたまたは特定可能な自然人に関する情報であり、お客様データに該当するものを意味します。
「処理」または「処理すること」とは、自動化された手段によるか否かを問わず、Gatherサービスの一部としてGatherが個人データまたは一連の個人データに対して行う、あらゆる操作または一連の操作を意味します。
「処理者」とは、管理者に代わって個人データを処理する実体を意味し、CCPAで定義される「サービスプロバイダー」に該当するものを含みます。
「セキュリティインシデント」とは、偶発的もしくは不法な破壊、喪失、改ざん、または許可されていない個人個人データの開示やアクセスにつながった、確認済みのセキュリティ侵害を意味します。
「標準契約条項」とは、欧州委員会実施決定2021/914/EUに基づく第三国の処理者への個人データ移転に関する2021年6月4日の欧州委員会決定に従い、お客様とGatherの間で締結され、本補足合意書に付属書1として添付されている合意を意味します。
「復処理者」とは、本契約に関連して個人データを処理するために指定された第三者(Gatherと共通の支配下にある実体、またはGatherによって支配されている実体を含みます)を意味します。
「監督機関」とは、GDPRで規定される意味を有するものとします。
本補足合意書で使用されるものの、ここで定義されていない頭文字が大文字の用語は、本契約で定められた意味を有するものとします。
2. 個人データの処理
2.1. 両当事者は、個人データの処理に関して、お客様が管理者であり、Gatherが処理者であることを確認し、合意します。
2.2. 本補足合意書に基づく処理の対象は個人データです。本補足合意書に基づく処理の期間は本契約の期間中としますが、本補足合意書に記載されているGatherの個人データ保持権利に従うものとします。本補足合意書に基づく個人データ処理の目的は、Gatherが本契約に従いお客様にGatherサービスを提供できるようにすることです。処理の性質はGatherサービスの提供であり、詳細は本契約に記載されています。個人データの種類は、お客様がGatherサービスを利用する中で、お客様独自の裁量で収集および処理されるデータです。データ主体は、お客様のモバイルアプリケーション、ウェブサイト、プラットフォーム、IoTまたはその他のアプリケーションにアクセスして利用する、お客様のエンドユーザーの皆様です。
2.3. Gatherは、本補足合意書の規定、お客様の指示、およびGatherによるGatherサービスの提供に適用されるデータ保護法のみに従って個人データを処理します。お客様は、個人データの処理に関してGatherに提供する指示が、適用されるすべてのデータ保護法(適用される場合はCCPAを含む)を遵守していることを確実にするものとします。さらに、お客様は、個人データの処理に関して Gatherに提供する指示が、適用されるデータ保護法(適用される場合はCCPAを含む)の違反をGatherに引き起こさないことに同意するものとします。
2.4. お客様は、Gatherサービスの利用にあたり、データ保護法および該当する場合はCCPAの要件に従って個人データを処理するものとし、これには処理者としてのGatherの利用に関連してデータ主体に必要な通知を行い、必要な同意を得ることが含まれますが、これらに限定されません。個人データの処理および利用に関するお客様の決定および行動は、データ保護法、CCPA、ならびに本契約および本補足合意書の条件を遵守するものとします。お客様は、個人データの正確性、品質、合法性、およびお客様が個人データを取得した手段について、単独で責任を負うものとします。
3. 個人データの国際移転
Gatherがお客様に代わって処理する個人データは、米国に転送され、保存および処理されます。お客様は、GatherがGatherサービスを提供できるよう、個人データが米国へ移転されること、およびGatherによって米国で保存・処理されることに同意するものとします。お客様が欧州連合、欧州経済領域および/またはその加盟国(以下「EEA」)、スイス、ならびに英国から個人データを移転する場合、その移転は、本補足合意書に付属書1として添付されている標準契約条項を通じて行われます。標準契約条項は、欧州連合、EEAおよび/またはその加盟国、スイス、ならびに英国の外部に移転されない個人データには適用されません。
4. 第三者による要求および守秘義務
4.1. Gatherは、以下の場合を除き、個人データを受託者や第三者に開示しません:(i) お客様の指示がある場合、(ii) 本補足合意書に規定されている場合、(iii) Gatherサービスの提供に必要な場合、または (iv) 適用法もしくは法執行機関の有効で拘束力のある命令によって要求される場合。法律で別途義務付けられている場合を除き、Gatherは、受け取った個人データに関連する召喚状、裁判所、行政機関、仲裁機関の命令、その他の政府情報の要求(以下「要求」)について、速やかにお客様に通知します。お客様からの依頼がある場合、Gatherは要求への対応に役立つ合理的な情報を提供し、お客様が適時に対応できるように合理的に必要な支援を行います。お客様は、Gatherが要求を主張した実体と直接対話する責任を負わないことを承諾するものとします。
4.2. Gatherは、個人データにアクセスまたは処理する権限を持つすべての従業員または関係者が、個人データに関する守秘義務に拘束されるようにします。Gatherは、個人データを処理する権限を持つ従業員または関係者が、お客様の指示がある場合を除き処理を行わないようにします。Gatherは、すべての従業員が個人データの取り扱いに関する法的研修を修了し、それらの法律および本補足合意書に基づくGatherの義務と各自の個人的な義務・責任を認識していることを保証します。
5. データ主体の要求
Gatherは、データ主体から、データ主体のアクセス権、訂正もしくは修正権、処理への異議申立権、消去権(「忘れられる権利」)、データポータビリティ権、処理制限権、または自動化された意思決定の対象とならない権利の行使に関する要求(以下「データ主体要求」)を受け取った場合、速やかにお客様に通知します。Gatherは、お客様がデータ主体からのこのような要求に対応できるよう、可能な範囲で、適切な技術的および組織的措置を含め、合理的かつ迅速な支援をお客様に提供します。データ主体からの要求が直接Gatherに対して行われた場合、Gatherは速やかにお客様に通知し、その要求の詳細をお客様に提供します。
6. セキュリティ
Gatherは、個人データの偶発的な紛失、破壊、改ざん、意図しない開示やアクセス、または不法な破壊のリスクに対して、適切なセキュリティレベルを確保するため、適切な技術的・組織的措置、内部統制、および情報セキュリティルーチンを導入し、維持します。
7. セキュリティインシデントの通知
お客様の個人データに影響を与えるセキュリティインシデントが発生した場合、Gatherがセキュリティインシデントを認識してから72時間以内にお客様に通知します。さらに、Gatherはセキュリティインシデントを調査し、お客様がデータ保護法に基づくデータ侵害通知要件を遵守するために十分な情報を提示します。Gatherはまた、セキュリティインシデントによる影響を緩和し、被害を最小限に抑えるための合理的な措置を講じます。ここに規定するセキュリティインシデントの報告または対応に関するGatherの義務は、Gatherがセキュリティインシデントに関する過失や責任を認めるものとして解釈されるものではありません。
8. 監査および記録
8.1. 両当事者は、本補足合意書(EU標準契約条項の第5条(f)または第12条(2)に基づくものを含む)に基づいて実施される監査が、本セクション8.1に定める仕様に従って行われることに合意します。お客様が監督機関またはこれに類似する国のデータ保護法執行機関から監査の実施を要請または求められない限り、カレンダーイヤーに1回を超えて監査を実施することはできません。お客様は、本契約の「通知」規定に従ってGatherに連絡し、個人データ保護に関するGatherの手続のオンサイト監査を要請することができます。お客様がオンサイト監査を実施する前に、Gatherとお客様は監査の時期、範囲、および期間について相互に合意するものとします。お客様は、監査の結果としてGatherに生じた費用をGatherに払い戻すものとします。さらに、監査は、お客様のスタッフがオンサイトにいる間、Gatherのバーチャルオフィス、機器、スタッフ、および業務運営に損害、支障、遅延を及ぼさないよう(またはどうしても避けられない場合は最小限に抑えるよう)に実施されるものとします。本セクション8.1に基づいて実施される監査は、Gatherのバーチャルオフィス(Gatherには物理的な事業拠点がございません)に限定されるものとします。EU標準契約条項が適用される場合、ここでのいかなる規定も、EU標準契約条項に基づく監督機関またはデータ主体の権利に影響を与えるものとして解釈されないものとします。
8.2. Gatherは、お客様に代わって行う個人データの処理に関する記録を保持し、要請に応じて管轄の監督機関に開示できるようにします。これには以下が含まれます:
Gatherの名称および連絡先、Gatherが代理を務めるお客様、および該当する場合はお客様の代理人およびデータ保護オフィサーの情報
お客様に代わって実施される処理のカテゴリー
第三国または国際組織への個人データの移転、およびそれらの移転が準拠している根拠
Gatherが講じたデータセキュリティ対策の説明
9. 復処理者
お客様は、当社がお客様に代わって個人データを処理するために復処理者を起用することに同意するものとします。現在、本DPAの付属書3にリストされている第三者を復処理者として指定しています。付属書3に記載された復処理者を追加または変更する場合、少なくとも30日前に通知をお送りします。この事前通知メールの受信を希望される場合は、こちらからフォームのご記入をお願いいたします。
復処理者を起用する場合、当社はそれらの復処理者に対し、提供されるサービスの性質に適用可能な範囲で、本DPA(適切な場合は標準契約条項を含む)に定める個人データと同等以上の保護レベルを提供するデータ保護規定を義務付けます。当社は、各復処理者が本DPAの義務を遵守すること、ならびに本DPAに定める義務に違反する復処理者の作為および不作為について引き続き責任を負います。
お客様は、Gatherが新しい復処理者を起用することに対して、Gatherが通知を送付してから30日以内に合理的な理由を書面で通知することにより、異議を申し立てることができます。お客様が新しい復処理者に異議を申し立てる場合、Gatherは、その復処理者の処理を回避するために、サービスの変更やお客様によるサービス利用方法の調整を可能にするよう合理的な努力を払います。お客様からの通知を受領してから30日以内に対象の変更が困難な場合、お客様は、異議申し立てされた復処理者を使用せずには提供できないサービスを解約することができます。お客様がサービスを解約した場合、Gatherは、解約の効力発生日以後の適用される注文書に定められた残りの期間に対応する、支払い済みの未利用分を返金いたします。ここに定める規定にかかわらず、お客様は、GatherがGatherサービスを提供するために付属書3に記載されている復処理者を使用することを承認し、同意するものとします。Gatherは復処理者に対して引き続き全責任を負い、その行為について自らの行為と同様に責任を負うものとし、本追記におけるGatherの義務、行為、および不作為に関する記述は、Gatherの復処理者にも言及しているものとして解釈されます。当事者は、本補足合意書の規定に基づく監査権がGatherの復処理者の施設には及ばないことに合意します。
10. データ保護影響評価および事前相談
お客様からの要請があった場合、Gatherはお客様に対し、GDPR第35条または第36条によりお客様に義務付けられていると合理的に判断されるデータ保護影響評価および監督機関との事前相談に関して、Gatherによる個人データの処理に関連する範囲に限り、処理の性質およびGatherが利用可能な情報を考慮した上で、合理的な支援を提供するものとします。
11. 解約
11.1 本付加書は、本契約の終了または満了まで完全に効力を有するものとします。
11.2 本契約の終了または満了時、お客様はGatherサービスから個人データをエクスポートすることができます。お客様がバーチャルスペースを削除してから30日以内に、Gatherは本契約の条件に従って個人データを削除します。ただし、法律で義務付けられている場合、または適用法で許可されている場合は、紛争の解決やGatherの法的合意およびポリシーの執行に必要な場合はこの限りではありません。Gatherは、サービスを提供するための継続的なニーズ、または利用規約のセクション5.5(d)に規定されている公開投稿や会話など、他のお客様がアクセスできる情報を保持する場合があります。
12. CCPA特有の規定
12.1 Gatherは、CCPAに従い、お客様(「ビジネス」)の代理として「サービスプロバイダー」として行動します。Gatherは、本契約の条件で定められたGatherサービスを提供する特定の目的以外、またはCCPAで定められた以外の目的で、お客様から開示されたお客様データを保持、使用、または開示しません。
12.2 Gatherは、金銭またはその他の価値ある対価を得るために第三者にお客様データを販売することはありません。
12.3 Gatherは、CCPAで許可されている場合を除き、Gatherとお客様との間の直接的な取引関係以外の目的でお客様データを保持、使用、または開示することはありません。
13. 雑則
両当事者は、本契約の一環として機微データ(センシティブデータ)が移転されることを想定していません。本補足合意書に起因または関連する各当事者の責任(契約、不法行為、またはその他いかなる法理に基づくかを問いません)は、本契約の「責任の制限」の項目に従うものとします。本補足合意書と本契約の間に相違がある場合は、本補足合意書の規定が優先します。本補足合意書による変更を除き、本契約は変更されず、そのまま完全に効力を有します。本補足合意書が適用可能なデータ保護法を制限することはありません。本補足合意書の一部の条項が無効または効果を失った場合でも、その他の条項の有効性には影響しません。当事者は、無効な条項を、その本来のビジネス目的を反映した合法的な条項に置き替えるものとします。必要な条項が欠けている場合、両当事者は誠意を持って適切な条項を追加するものとします。相違が生じた場合、個人データの処理に関しては、本補足合意書が優先し、その後に本契約が適用されます。EU標準契約条項が本補足合意書の不可分な一部を構成する場合、EU標準契約条項が優先されます。本補足合意書は、その対象事項に関する以前のすべての書面および口頭による合意、意向表明、その他の了解事項に優先し、それらを置き換えるものです。本補足合意書は複数の副本を作成することができ、そのそれぞれが原本とみなされ、それらすべてが合わさって1つの同一の文書を構成するものとします。
標準契約条項
セクション I
第1条
目的および範囲
(a) 本標準契約条項の目的は、第三国への個人データの移転に関し、個人データの処理に係る個人情報の保護及び当該データの自由な移動に関する2016年4月27日の欧州議会及び理事会規則 (EU) 2016/679(一般データ保護規則)(1) の要件を遵守することを保証することです。
(b) 当事者:
付属書 I.Aに記載されている、個人データを移転する自然人または法人、公的機関、機関、またはその他の組織(以下「データ輸出者」)
付属書 I.Aに記載されている、データ輸出者から直接、または本条項の当事者である別の組織を経由して間接的に個人データを受け取る第三国の組織(以下「データ輸入者」)は、本標準契約条項(以下「本条項」)に合意しました。
(c) 本条項は、付属書 I.Bに定義されている個人データの移転に関して適用されます。
(d) 本条項で参照される付属書を含む「付録」は、本条項の不可分の一部を構成します。
第2条
本条項の効力と不変性
(a) 本条項は、規則 (EU) 2016/679 第46条(1)および第46条(2)(c)に基づき、実効性のあるデータ主体の権利および効果的な法的救済を含む適切な保護措置を定め、また、管理者から処理者へのデータ移転、および/または処理者から処理者へのデータ移転については、規則 (EU) 2016/679 第28条(7)に基づく標準契約条項を定めています。ただし、適切なモジュールの選択、または付録の情報追加・更新のための修正を除き、変更が加えられていないことを条件とします。これは、当事者が本条項で定める標準契約条項をより広範な契約に組み込むこと、および/または本条項に直接的もしくは間接的に矛盾せず、データ主体の基本的人権もしくは自由を損なわない限り、他の条項や追加の保護措置を加えることを妨げるものではありません。
(b) 本条項は、規則 (EU) 2016/679 に基づきデータ輸出者が負う義務を害するものではありません。
第3条
第三者受益者
(a) データ主体は、第三者受益者として、以下の例外を除き、データ輸出者および/またはデータ輸入者に対し、本条項を主張および執行することができます:
第1条、第2条、第3条、第6条、第7条
第8条 – 第8.1条(b)、8.9条(a)、(c)、(d)および(e)
第9条 – 第9条(a)、(c)、(d)および(e)
第12条 – 第12条(a)、(d)および(f)
第13条
第15.1条(c)、(d)および(e)
第16条(e)
第18条 – 第18条(a)および18条(b)
(b) パラグラフ (a) は、規則 (EU) 2016/679 に基づくデータ主体の権利を害するものではありません。
第4条
解釈
(a) 本条項において規則 (EU) 2016/679 で定義されている用語を使用する場合、その用語は同規則と同じ意味を有するものとします。
(b) 本条項は、規則 (EU) 2016/679 の規定に照らして読まれ、解釈されるものとします。
(c) 本条項は、規則 (EU) 2016/679 で規定される権利および義務と矛盾する形で解釈されてはなりません。
第5条
優先順位
本条項と、当事者間で本条項が合意された時点で存在する、またはその後締結される関連契約の規定との間に矛盾がある場合、本条項が優先するものとします。
第6条
移転の説明
移転の詳細、特に移転される個人データのカテゴリーおよび移転目的については、付属書 I.Bに規定されています。
第7条
ドッキング条項(追加加入条項)
(a) 本条項の当事者ではない組織は、当事者の合意を得て、付録を完成させ、付属書 I.Aに署名することにより、いつでもデータ輸出者またはデータ輸入者として本条項に加入することができます。
(b) 加入する組織が付録の記入と付属書 I.Aの署名を完了すると、本条項の当事者となり、付属書 I.Aの指定に従ってデータ輸出者またはデータ輸入者としての権利と義務を負うものとします。
(c) 加入する組織は、当事者となる前の期間に本条項から生じた権利や義務を負わないものとします。
セクション II – 当事者の義務
第8条
データ保護対策
データ輸出者は、データ輸入者が適切な技術的および組織的措置の導入を通じて、本条項に基づく義務を満たすことができると判断するために、合理的な努力を払ったことを保証します。
8.1 指示
(a) データ輸入者は、データ輸出者からの文書による指示に従ってのみ個人データを処理するものとします。データ輸出者は、契約の全期間にわたってこのような指示を出すことができます。
(b) データ輸入者は、その指示に従うことができない場合は、直ちにデータ輸出者に通知するものとします。
8.2 目的の制限
データ輸入者は、データ輸出者からの追加の指示がない限り、付属書 I.Bに定められた移転の特定の目的のためにのみ個人データを処理するものとします。
8.3 透明性
要請があった場合、データ輸出者は、当事者によって完了された付録を含む本条項の写しを、データ主体に無料で提供するものとします。営業秘密またはその他の機密情報(付属書 IIに記載されている対策および個人データを含む)を保護するために必要な範囲において、データ輸出者は、写しを共有する前に本条項の付録の文面の一部を黒塗り(編集)することができます。ただし、その場合、データ主体がその内容を理解できないか、または自身の権利を行使できないときは、わかりやすい要約を提供しなければなりません。要請があった場合、当事者は、黒塗りされた情報を明らかにすることなく、可能な範囲でデータ主体に黒塗りの理由を説明するものとします。本条項は、規則 (EU) 2016/679 第13条および第14条に基づくデータ輸出者の義務を害するものではありません。
8.4 正確性
データ輸入者が、受け取った個人データが不正確であること、または古くなっていることに気づいた場合、不当な遅延なくデータ輸出者に通知するものとします。この場合、データ輸入者はデータ輸出者と協力して、データの削除または訂正を行います。
8.5 処理の期間、およびデータの消去または返却
データ輸入者による処理は、付属書 I.Bに定められた期間に限り行われるものとします。処理サービスの提供終了後、データ輸入者は、データ輸出者の選択に従い、データ輸出者のために処理されたすべての個人データを削除し、それを完了したことをデータ輸出者に証明するか、またはすべての個人データをデータ輸出者に返却した上で既存のコピーを削除するものとします。データが削除または返却されるまで、データ輸入者は本条項の遵守を継続するものとします。データ輸入者に適用される現地法が個人データの返却または削除を禁止している場合、データ輸入者は本条項の遵守を継続し、その現地法で義務付けられている範囲および期間においてのみ処理を行うことを保証するものとします。これは第14条を害するものではなく、特に、データ輸入者が第14条(a)の要件に適合しない法律や慣行の対象である、または対象となったと信じるに足る理由がある場合、契約期間を通じてデータ輸出者に通知するという第14条(e)に基づく義務を害するものではありません。
8.6 処理のセキュリティ
(a) データ輸入者、および送信中はデータ輸出者も、データの偶発的もしくは不法な破壊、喪失、改ざん、または許可されていないデータの開示やアクセス(以下「個人データ侵害」)に対する保護を含む、データのセキュリティを確保するための適切な技術的および組織的措置を導入するものとします。適切なセキュリティレベルの評価にあたり、当事者は、最新技術、導入コスト、処理の性質、範囲、文脈、目的、および処理がデータ主体にもたらすリスクを十分に考慮するものとします。当事者は、処理目的がその方法で達成できる場合、送信中を含め、暗号化または仮名化の採用を検討するものとします。仮名化を行う場合、個人データを特定のデータ主体に帰属させるための追加情報は、可能な限りデータ輸出者の排他的な管理下に置かれるものとします。本パラグラフに基づく義務を遵守するため、データ輸入者は少なくとも付属書 IIに指定されている技術的・組織的措置を導入するものとします。データ輸入者は、これらの措置が適切なセキュリティレベルを提供し続けていることを確認するため、定期的なチェックを行うものとします。
(b) データ輸入者は、契約の履行、管理、および監視に厳格に必要な範囲においてのみ、その従業員に個人データへのアクセスを許可するものとします。データ輸入者は、個人データの処理を許可された従業員が守秘義務を約束していること、または適切な法的守秘義務を負っていることを確実にするものとします。
(c) 本条項に基づきデータ輸入者が処理する個人データに関して個人データ侵害が発生した場合、データ輸入者は、その悪影響を緩和する措置を含め、侵害に対処するための適切な措置を講じるものとします。また、データ輸入者は、侵害を認識した後、不当な遅延なくデータ輸出者に通知するものとします。この通知には、詳細情報を入手できる連絡先、侵害の性質(可能な限り、影響を受けたデータ主体のカテゴリーと概数、および関与する個人データ記録の数)、考えられる影響、および対処のために講じた、または提案する措置(該当する場合はその悪影響を緩和する措置を含む)を記載するものとします。すべての情報を同時に提供することが困難な場合、初期の通知にはその時点で入手可能な情報を記載し、その後入手可能になった情報については不当な遅延なく追加提供するものとします。
(d) データ輸入者は、データ輸出者が規則 (EU) 2016/679 に基づく義務(特に、管轄の監督機関および影響を受けるデータ主体への通知)を遵守できるように、処理の性質およびデータ輸入者が利用可能な情報を考慮した上で、データ輸出者と協力し、支援するものとします。
8.7 機微データ(センシティブデータ)
移転に、人種もしくは民族的出自、政治的意見、宗教的もしくは哲学的信条、労働組合への加入を明らかにする個人データ、遺伝データ、または自然人を一意に識別するためのバイオメトリクスデータ、健康、あるいは個人の性生活もしくは性的指向に関するデータ、または犯罪の有罪判決および犯罪行為に関するデータ(以下「機微データ」)が含まれる場合、データ輸入者は付属書 I.Bに記載されている特定の制限および/または追加の保護措置を適用するものとします。
8.8 さらなる移転(再移転)
データ輸入者は、データ輸出者からの文書による指示に従ってのみ、第三者に個人データを開示するものとします。さらに、データは、欧州連合外 (4)(データ輸入者と同じ国または別の第三国、以下「さらなる移転」)に所在する第三者に対して、その第三者が適切なモジュールのもとで本条項に従うこと、または以下の場合にのみ開示されるものとします:
さらなる移転が、当該移転をカバーする規則 (EU) 2016/679 第45条に基づく十分性認定を受けている国への移転である場合
第三者が、対象となる処理に関して、規則 (EU) 2016/679 第46条または第47条に従った適切な保護措置を別途確保している場合
さらなる移転が、特定の行政・規制・司法手続きにおける法的請求の確立、行使、または防御に不可欠である場合
さらなる移転が、データ主体または他の自然人の生命に関わる重要な利益を保護するために必要である場合
いかなるさらなる移転も、データ輸入者による本条項に基づく他のすべての保護措置、特に目的制限の遵守を条件とします。
8.9 文書化およびコンプライアンス
(a) データ輸入者は、本条項に基づく処理に関するデータ輸出者からの問い合わせに、迅速かつ適切に対応するものとします。
(b) 当事者は、本条項の遵守を証明できなければなりません。特に、データ輸入者は、データ輸出者に代わって実施された処理活動について適切な文書を保持するものとします。
(c) データ輸入者は、本条項で定められた義務の遵守を証明するために必要なすべての情報をデータ輸出者が入手できるようにし、データ輸出者の要請に応じて、本条項が対象とする処理活動の監査を、合理的な間隔で、または不遵守の兆候がある場合に、許可し、それに協力するものとします。監査を決定する際、データ輸出者はデータ輸入者が保有する関連する認証を考慮することができます。
(d) データ輸出者は、監査を自ら実施するか、または独立した監査人に委託することを選択できます。監査には、データ輸入者の施設や物理的な機器の検査が含まれる場合があり、これは適切な場合、合理的な事前通知をもって実施されるものとします。
(e) 当事者は、要請に応じて、監査結果を含む (b) および (c) で参照される情報を、管轄の監督機関に開示できるようにするものとします。
第9条
復処理者の使用
(a) データ輸入者は、合意されたリストからの復処理者の起用について、データ輸出者の一般的な承認を得ています。データ輸入者は、復処理者の追加または変更を含む、そのリストの変更予定について、少なくとも30日前にデータ輸出者に書面で明示的に通知するものとし、これによりデータ輸出者が復処理者の起用前に異議を申し立てるための十分な時間を与えるものとします。データ輸入者は、データ輸出者が異議申立権を行使できるようにするために必要な情報をデータ輸出者に提供するものとします。
(b) データ輸入者が(データ輸出者のために)特定の処理活動を実施するために復処理者を起用する場合、データ主体の第三者受益権を含め、本条項に基づきデータ輸入者自身を拘束するのと本質的に同じデータ保護義務を定める書面による契約を通じて行うものとします (8)。当事者は、本条項を遵守することにより、データ輸入者が第8.8条に基づく義務を満たしていることに同意します。データ輸入者は、復処理者が本条項に従いデータ輸入者が負う義務を確実に遵守するようにするものとします。
(c) データ輸入者は、データ輸出者の要請に応じて、当該復処理者合意書のコピーおよびその後の修正の写しを提供するものとします。営業秘密または個人データを含むその他の機密情報を保護するために必要な範囲において、データ輸入者は、共有する前に契約書のテキストの一部を黒塗りすることができます。
(d) データ輸入者は、復処理者がデータ輸入者との契約に基づく義務を履行することに関して、データ輸出者に対して引き続き全責任を負うものとします。データ輸入者は、復処理者がその契約に基づく義務の履行を怠った場合、データ輸出者に通知するものとします。
(e) データ輸入者は、データ輸入者が事実上消滅、法的存在の終了、または破産した場合に、データ輸出者が復処理者契約を解除し、復処理者に個人データの削除または返却を指示する権利を有するという第三者受益者条項を復処理者と合意するものとします。
第10条
データ主体の権利
(a) データ輸入者は、データ主体から受け取ったすべての要求について、速やかにデータ輸出者に通知するものとします。データ輸出者からの許可がない限り、データ輸入者自身がその要求に対応してはなりません。
(b) データ輸入者は、規則 (EU) 2016/679 に基づくデータ主体の権利行使に関する要求に対応するという、データ輸出者の義務を果たすために、データ輸出者を支援するものとします。この点に関し、当事者は、処理の性質を考慮し、支援が提供される適切な技術的および組織的措置、ならびに必要な支援の範囲について、付属書 IIに規定するものとします。
(c) (a) および (b) に基づく義務を果たすにあたり、データ輸入者はデータ輸出者からの指示に従うものとします。
第11条
救済
(a) データ輸入者は、個別通知またはウェブサイト上での通知を通じ、苦情処理を認可された連絡先について、透明性がありアクセスしやすい形式でデータ主体に提供するものとします。データ輸入者は、データ主体から受け取った苦情に対して迅速に対応するものとします。
(b) 本条項の遵守に関してデータ主体と当事者の一方との間に紛争が生じた場合、その当事者は、その問題を適時かつ円満に解決するために最善の努力を払うものとします。当事者は、当該紛争について互いに情報を共有し、適切な場合はその解決に向けて協力するものとします。
(c) データ主体が第3条に基づく第三者受益者としての権利を行使する場合、データ輸入者は以下に関するデータ主体の決定を受け入れるものとします:
データ主体の常居所もしくは勤務地がある加盟国の監督機関、または第13条に基づく管轄監督機関への苦情の申し立て
第18条に定義される管轄裁判所への紛争の提起
(d) 当事者は、規則 (EU) 2016/679 第80条(1)に記載されている条件に基づき、データ主体が非営利団体、組織、または協会によって代理されることに同意します。
(e) データ輸入者は、適用されるEU法または加盟国法の下で拘束力のある決定に従うものとします。
(f) データ輸入者は、データ主体による選択が、適用法に従って救済を求めるための実体的および手続的な権利を損なわないことに同意します。
第12条
責任
(a) 各当事者は、本条項の違反によって他の当事者に生じた一切の損害について、相手方当事者に対して責任を負うものとします。
(b) データ輸入者は、データ輸入者またはその復処理者が本条項に基づく第三者受益権に違反することによりデータ主体に生じた一切の財産的または非財産的損害についてデータ主体に対し責任を負うものとし、データ主体は賠償金を受け取る権利を有するものとします。
(c) パラグラフ (b) にかかわらず、データ輸出者は、データ輸出者またはデータ輸入者(もしくはその復処理者)が本条項に基づく第三者受益権に違反することによりデータ主体に生じた一切の財産的または非財産的損害についてデータ主体に対し責任を負うものとし、データ主体は賠償金を受け取る権利を有するものとします。これは、データ輸出者の責任、およびデータ輸出者が管理者に代わって行動する処理者である場合は、規則 (EU) 2016/679 または規則 (EU) 2018/1725 に基づく管理者の責任を妨げるものではありません。
(d) 当事者は、データ輸入者(またはその復処理者)によって引き起こされた損害について、データ輸出者がパラグラフ (c) に基づいて責任を負わされた場合、損害に対するデータ輸入者の責任割合に相当する補償額をデータ輸入者に対して求償する権利を有することに同意します。
(e) 本条項の違反の結果としてデータ主体に生じた損害について、複数の当事者が責任を負う場合、すべての責任当事者は連帯して責任を負うものとし、データ主体はこれらの当事者のいずれに対しても裁判所に訴訟を提起する権利を有します。
(f) 当事者は、一当事者がパラグラフ (e) に基づいて連帯責任を問われた場合、その損害に対する他の当事者の責任の割合に相当する補償部分を、他の当事者に対して求償する権利を有することに同意します。
(g) データ輸入者は、自らの責任を回避するために復処理者の過失を主張することはできません。
第13条
監督
(a) データ輸出者がEU加盟国に設立されている場合: 付属書 I.Cに示す、データ移転に関してデータ輸出者による規則 (EU) 2016/679 の遵守を確保する責任を負う監督機関が、管轄監督機関として機能するものとします。
データ輸出者はEU加盟国に設立されていないが、規則 (EU) 2016/679 第3条(2)に従って同規則の地理的適用範囲に該当し、かつ規則 (EU) 2016/679 第27条(1)に従って代理人を指定している場合: 付属書 I.Cに示す、規則 (EU) 2016/679 第27条(1)の意味における代理人が設立されている加盟国の監督機関が、管轄監督機関として機能するものとします。
データ輸出者はEU加盟国に設立されていないが、規則 (EU) 2016/679 第3条(2)に従って同規則の地理的適用範囲に該当し、かつ規則 (EU) 2016/679 第27条(2)に従って代理人を指定する必要がない場合: 付属書 I.Cに示す、本条項に基づく個人データの移転に関連する物品またはサービスの提供対象である、またはその行動が監視されているデータ主体が所在する加盟国のいずれかの監督機関が、管轄監督機関として機能するものとします。
(b) データ輸入者は、本条項への遵守を確実にするためのすべての手続きにおいて、管轄監督機関の管轄に従い、同機関と協力することに同意します。特に、データ輸入者は、問い合わせに対応し、監査を受け入れ、監督機関によって採択された措置(是正措置および補償措置を含む)を遵守することに同意します。また、必要な措置が講じられたことを証明する書面による確認を監督機関に提供するものとします。
セクション III – 公的機関によるアクセスの場合の国内法および義務
第14条
本条項の遵守に影響を与える現地法および実務
(a) 当事者は、データ輸入者による個人データの処理に適用される移転先第三国の法律および慣行(個人データの開示要件、または公的機関によるアクセスを認める措置を含む)が、データ輸入者が本条項に基づく義務を履行することを妨げるものと信じるに足る理由がないことを保証します。これは、基本的人権および自由の本質的な部分を尊重し、民主主義社会において規則 (EU) 2016/679 第23条(1)に記載されている目的のいずれかを保護するために必要かつ比例的な制限を超えない法律および慣行は、本条項に矛盾しないという理解に基づいています。
(b) 当事者は、パラグラフ (a) に基づく保証を提供するにあたり、特に以下の要素を十分に考慮したことを宣言します:
移転の具体的な状況。これには、処理チェーンの長さ、関与する当事者の数、使用される送信チャネル、想定されるさらなる移転、受信者の種類、処理目的、移転される個人データのカテゴリーおよび形式、移転が発生する経済セクター、移転データの保存場所を含みます。
移転先第三国の法律および慣行のうち、移転の具体的な状況に照らして重要となるもの。これには公的機関へのデータの開示を義務付ける、または公的機関によるアクセスを認める法律を含みます。ならびに適用される制限および保護措置 (12)
本条項に基づく保護措置を補完するために実施される、関連する契約上、技術的、または組織的な保護措置。これには、送信中および保存先第三国での個人データの処理に適用される措置を含みます。
(c) データ輸入者は、パラグラフ (b) に基づく評価の実施において、データ輸出者に重要な情報を提供するために最善の努力を払ったことを保証し、また、本条項の遵守を確実にするために引き続きデータ輸出者と協力することに同意します。
(d) 当事者は、パラグラフ (b) に基づく評価を文書化し、要請に応じて管轄監督機関に提供することに同意します。
(e) データ輸入者は、本条項に合意した後、および契約の存続期間中において、現地法の変更、または実務における当該法の適用を示す措置(開示請求など)により、パラグラフ (a) の要件を満たさない法律、または実務の対象となった、もしくはその可能性があると信じるに足る理由が生じた場合、データ輸出者に速やかに通知することに同意します。
(f) パラグラフ (e) に基づく通知の後、またはデータ輸入者が本条項に基づく義務を履行できなくなったとデータ輸出者が信じるに足る他の理由がある場合、データ輸出者は、状況に対処するためにデータ輸出者および/またはデータ輸入者が採用すべき適切な措置(安全および機密性を確保するための技術的または組織的措置など)を速やかに特定するものとします。データ輸出者は、当該移転のための適切な保護措置が確保されないと判断した場合、または管轄の監督機関から指示された場合、データ移転を一時停止するものとします。この場合、データ輸出者は、本条項の下での個人データの処理に関連する範囲において、契約を終了する権利を有します。契約に3者以上の当事者が関与している場合、当事者が別途合意しない限り、データ輸出者は当該当事者に対してのみ解約権を行使することができます。本条の下で契約が終了する場合、第16条(d)および(e)が適用されるものとします。
第15条
公的機関がアクセスする場合のデータ輸入者の義務
15.1 通知
(a) データ輸入者は、以下の場合、データ輸出者および、可能な場合はデータ主体に(必要に応じてデータ輸出者の支援を得て)速やかに通知することに同意します:
本条項に従って移転された個人データの開示を求め、移転先国の法律に基づき公的機関(司法機関を含む)から法的拘束力のある要請を受けた場合(この通知には、要請された個人データ、要請機関、要請の法的根拠、および提供された回答に関する情報を含めるものとします)、または
移転先国の法律に基づき移転された個人データに対し、公的機関が直接アクセスしていることを認識した場合(この通知には、データ輸入者が入手可能なすべての情報を含めるものとします)
(b) 移転先国の法律に基づき、データ輸入者がデータ輸出者および/またはデータ主体への通知を禁止されている場合、データ輸入者は、可能な限り速やかに最大限の情報を伝達できるよう、禁止措置の免除を得るために最善の努力を払うことに同意します。データ輸入者は、データ輸出者からの要請によりそれを証明できるように、最善の努力を払ったプロセスを文書化することに同意します。
(c) 移転先国の法律によって許可されている範囲で、データ輸入者は契約の期間中、定期的に、受領した要請に関するできるだけ多くの関連情報(具体的には要請の件数、要請されたデータの種類、要請機関、要請に対して不服申し立てを行ったかどうか、およびその結果など)をデータ輸出者に提供することに同意します。
(d) データ輸入者は、契約の期間中、パラグラフ (a) から (c) に基づく情報を保存し、要請があった場合に管轄の監督機関に提供することに同意します。
(e) パラグラフ (a) から (c) は、本条項を遵守できない場合にデータ輸出者に速やかに通知するという、第14条(e)および第16条に基づくデータ輸入者の義務を害するものではありません。
15.2 適合性評価および必要最小限の開示
(a) データ輸入者は、開示要件の合法性、特に要請を行った公的機関に付与された権限の範囲内にあるかどうかを評価し、慎重な検討の結果、移転先国の法律、国際法に基づく適用義務、および国際礼譲の原則に照らして要請が不法であると判断する合理的な根拠がある場合は、その要請に対して異議を申し立てることに同意します。データ輸入者は、同様の条件のもと、控訴の可能性を追求するものとします。要請に異議を申し立てる際、データ輸入者は、管轄の司法機関がその実体について判断を下すまで要請の効力を停止させる暫定措置を求めるものとします。適用される手続規則に基づいて開示が義務付けられるまでは、要請された個人データを開示してはなりません。これらの要件は、第14条(e)に基づくデータ輸入者の義務を損なうものではありません。
(b) データ輸入者は、その法的評価および開示要件に対するすべての異議申し立てを文書化し、移転先国の法律で許可されている範囲内において、その文書をデータ輸出者が閲覧できるように同意します。また、要請に応じて管轄監督機関にも提供できるようにするものとします。
(c) データ輸入者は、開示要件に対応する場合、その要請の合理的な解釈に基づいて、認められる必要最小限の情報のみを提供することに同意します。
セクション IV – 最終規定
第16条
本条項の不遵守と解約
(a) データ輸入者は、理由の如何を問わず、本条項を遵守できない場合は、速やかにデータ輸出者に通知するものとします。
(b) データ輸入者が本条項に違反している、または本条項を遵守できない場合、データ輸出者は、再び遵守が確実になる、または契約が終了するまで、データ輸入者への個人データの移転を一時停止するものとします。これは第14条(f)を害するものではありません。
(c) データ輸出者は、本条項に基づく個人データの処理に関連する範囲において、以下の場合に契約を終了する権利を有します:
データ輸出者がパラグラフ (b) に従ってデータ輸入者への個人データ移転を一時停止し、本条項への適合が合理的な期間内、またいかなる場合も一時停止から1か月以内に回復しない場合
データ輸入者が本条項に対して重大または継続的な違反を行っている場合、あるいは
データ輸入者が、本条項の義務に関する管轄裁判所または監督機関の拘束力のある決定に従わない場合
このような場合、データ輸出者は管轄の監督機関に不遵守について通知するものとします。契約に3者以上の当事者が関与している場合、当事者が別途合意しない限り、データ輸出者は当該当事者に対してのみ解約権を行使することができます。
(d) パラグラフ (c) に基づく契約終了前に移転された個人データは、データ輸出者の選択に従い、直ちにデータ輸出者に返却されるか、または完全に消去されるものとします。データのすべてのコピーについても同様に適用されるものとします。データ輸入者は、データの消去をデータ輸出者に対して証明するものとします。データが削除または返却されるまで、データ輸入者は本条項の遵守を継続するものとします。データ輸入者に適用される現地法が、移転された個人データの返却または消去を禁止している場合、データ輸入者は本条項の遵守を継続し、その現地法で義務付けられている範囲および期間においてのみ個人データを処理することを保証するものとします。
(e) 当事者のいずれかは、(i) 欧州委員会が、本条項が適用される個人データの移転を対象とする規則 (EU) 2016/679 第45条(3)に基づく決定を採択した場合、または (ii) 規則 (EU) 2016/679 が個人データの移転先国の法的枠組みの一部となった場合、本条項に拘束される合意を取り消すことができます。これは、規則 (EU) 2016/679 に基づく、当該処理に適用される他の義務を害するものではありません。
第17条
準拠法
本条項は、EU加盟国の法律が第三者受益権を認めている限り、当該加盟国の法律に準拠するものとします。双方の当事者は、本条項が管轄特定条項の「契約主体、適用法、通知」セクションに従って準拠されることに合意し、当該セクションにEU加盟国の指定がない場合は、アイルランド共和国の法律(抵触法の原則は適用しない)に準拠するものとします。
第18条
裁判管轄および管轄裁判所
(a) 本条項から生じるあらゆる紛争は、EU加盟国の裁判所によって解決されるものとします。
(b) 当事者は、管轄裁判所をアイルランドの裁判所とすることに合意します。
(c) データ主体は、常居所を置く加盟国の裁判所において、データ輸出者および/またはデータ輸入者に対して法的訴訟を提起することもできます。
(d) 当事者は、当該裁判所の管轄に従うことに同意します。
標準契約条項に対する英国およびスイスの補足合意書
(a) 本補足合意書は、データ輸出者がデータ輸入者に移転を行う際、その移転に英国GDPRまたはスイスDPA(Gatherデータ処理補足合意書で定義されるもの)が適用される範囲において、必要な限度で標準契約条項を修正・補正するものです。
(b) 標準契約条項は、以下の通り変更されるものとします:
(i) 「規則 (EU) 2016/679」への言及は、適宜「英国GDPR」または「スイスDPA」への言及として解釈されます。
(ii) 「規則 (EU) 2016/679」の特定の箇条への言及は、適宜「英国GDPR」または「スイスDPA」の同等または同等のセクションに置き換えられます。
(iii) 規則 (EU) 2018/1725 への言及は削除されます。
(iv) 「EU」、「連合」、および「加盟国」への言及は、適宜「英国」または「スイス」への言及に置き換えられます。
(v) 第13条(a)および付属書 IIのパートCは不適用とし、「管轄監督機関」は、適宜「英国情報コミッショナー(Information Commissioner)」または「スイス連邦データ保護情報コミッショナー」とします。
(vi) 「管轄監督機関」および「管轄裁判所」への言及は、適宜「情報コミッショナー」および「イングランドおよびウェールズの裁判所」、または「スイス連邦データ保護情報コミッショナー」および「スイスの管轄裁判所」への言及に置き換えられます。
(vii) 第17条において、標準契約条項は、適宜イングランドおよびウェールズ、またはスイスの法律に準拠するものとします。
(viii) 処理に英国GDPRが適用される範囲において、第18条は以下のように置き換えられます。「本条項から生じる一切の紛争は、イングランドおよびウェールズの裁判所によって解決されるものとします。また、データ主体は、英国のいずれかの国の裁判所においてデータ輸出者および/またはデータ輸入者に対して訴訟を提起することができます。当事者は当該裁判所の管轄に服することに同意します」
(ix) 処理にスイスDPAが適用される範囲において、第18条は以下のように置き換えられます。「本条項から生じる一切の紛争は、スイスの管轄裁判所によって解決されるものとします。当事者は当該裁判所の管轄に服することに同意します」
付録
付属書 I
A. 当事者リスト
データ輸出者
名称:本契約で定義されるお客様(自社および許諾された関係会社の代理としてお取引いただきます)
住所:本契約に記載されているお客様の住所(該当する場合)
担当者の氏名、役職、連絡先:本契約に記載、および/またはお客様のGatherアカウントに登録されている、お客様の連絡先詳細
本条項に基づいて移転されるデータに関連する活動:Gatherの顧客利用規約に基づく、お客様によるGatherサブスクリプションサービスの利用に関連する個人データの処理
役割(管理者/処理者):データ管理者
データ輸入者
名称:Gather Presence, Inc.
住所:2261 Market Street #4095 * San Francisco, CA 94114
担当者の氏名、役職、連絡先:security@gather.town
本条項に基づいて移転されるデータに関連する活動:Gather Presence, Inc. の利用規約(https://www.gather.town/terms-of-service)で定義される各種サービス
役割(管理者/処理者):データ処理者
B. 移転の説明
個人データが移転されるデータ主体のカテゴリー
データ輸出者によって別途提供されない限り、移転されるGDPR個人データは以下のカテゴリーのデータ主体に関連します:お客様、およびお客様の従業員やコントラクター(業務委託先)を含むお客様のエンドユーザーの皆様。
移転される個人データのカテゴリー
お客様はお客様独自の判定とコントロールのもとで個人データを本サービスに送信することができ、これには以下のカテゴリーの個人データが含まれる場合がありますが、これらに限定されません:
a. 連絡先情報
b. 本サービスを通じてお客様またはお客様のエンドユーザーの皆様によって送信、送信先、または受信されたその他の個人データ
詳細については、当社のプライバシーポリシーをご覧ください:https://www.gather.town/privacy-policy#Personal-Data
移転される機微データ(センシティブデータ)と適用される制限または保護措置
両当事者は、機微データの移転を想定していません。
移転の頻度(データの移転が1回限りか、または継続的に行われるかなど)
継続的に行われます。
移転および処理の性質と目的
データは、本サイトおよび関連サービスの提供、ならびに本サービスに関連するサポートをお届けするために移転され、処理されます。
個人データが保持される期間、またはそれが困難な場合は、その期間を決定するための基準
当社は、Gather Presence, Inc. のプライバシーポリシー(https://www.gather.town/privacy-policy)に記載されている適法な事業目的のために必要な期間に限り、お客様の個人データを保持します。また、合意書にて異なるポリシーが合意されていない限り、または法律によってより長い保持期間が義務付けられていない限り、お客様がユーザーアカウントを閉鎖してから30日を超えることはありません。
C. 管轄監督機関
標準契約条項の目的上、管轄監督機関として機能する監督機関は、(i) お客様がEU加盟国に設立されている場合、お客様によるGDPRの遵守を確保する責任を負う監督機関、(ii) お客様がEU加盟国に設立されていないが、GDPRの域外適用範囲に該当し、代理人を指定している場合、お客様の代理人が設立されているEU加盟国の監督機関、または(iii) お客様がEU加盟国に設立されていないが、GDPRの域外適用範囲に該当し、代表者を指定する必要がない場合、主にデータ主体が所在するEU加盟国の監督機関となります。英国GDPRまたはスイスDPAが適用される個人データについては、英国情報コミッショナー(Information Commissioner)またはスイス連邦データ保護情報コミッショナー(FDPIC)が管轄監督機関となります。
付属書 II
データのセキュリティを確保するための技術的および組織的措置
当社は現在、本付属書 IIに記載されているセキュリティ対策を遵守しています。以下で定義されていない大文字の用語は、上記のDPA、または本契約で定義された意味を有するものとします。
Gatherはお客様の個人データを暗号化し、送信中および保管中のデータの安全を守ります。
Gatherアプリケーションが受信するデータは、HTTPS、TLS、およびDTLS/SRTPを使用して送信中に暗号化され、保管中のデータはAES256で暗号化されます。なお、Gatherはビデオ、音声、チャットの記録を自社サーバーに保存しません。
Gatherは、処理システムおよび継続的な機密性、完全性、可用性、および耐障害性を確保し、データの品質も維持します。
経営陣は、お客様データの取り扱いに伴うリスクを軽減するため、データ取り扱いおよび分類に関するポリシーを承認し、実施しています。このポリシーは組織全体および関連する委託先企業に適用されます。
Gatherは、物理的または技術的なインシデントが発生した場合に、個人データへのアクセスおよび可用性を迅速に復旧できるようにします。
Gatherは、データセンターまたはその他のコンピュータ設備に影響を与える事態に備え、災害復旧計画(Disaster Recovery Plan)を整備しています。
Gatherは、セキュリティ体制をさらに強化するために、技術的および組織的措置の有効性を測定、評価、および検証するプロセスを設けています。
Gatherは、一連の情報セキュリティポリシーおよび管理策を導入しており、これらは継続的にその有効性が監視され、定期的に第三者による監査を受けています。
Gatherのユーザー識別とアクセス権限の管理、および設定ステータスの監視。
Gatherは、Gatherの全従業員、業務委託先、およびGatherの電子リソースを利用する第三者に適用される「ネットワークおよびアクセス制御ポリシー」を制定しており、すべてのユーザーは認証を受ける必要があります。Gatherは、運用の安全を確保するために適合規則を適用し、セキュリティコントロールのテストを行っています。
継続的な脆弱性評価と対策の実施。
Gatherは自社の情報ポリシーの年次審査を行い、第三者機関に委託して、ネットワークおよびアプリケーションに対する侵入テスト(ペネトレーションテスト)を毎年実施しています。さらに、定期的に脆弱性スキャンを行っています。
Gatherがユーザーのプライバシーやセキュリティに影響を及ぼす重大なセキュリティ脆弱性を認識した場合、すべての開発課題に優先して対応します。
Gatherのコーポレート情報セキュリティポリシー
Gatherは、以下を含む複数の内部情報セキュリティポリシーを導入しています:
適正利用ポリシー
データ分類および取り扱いポリシー
ネットワークおよびアクセス制御ポリシー
セキュリティ管理マニュアル
セキュリティインシデント対応計画
委託先リスク管理プロセス
ソフトウェア開発ライフサイクル
Gatherは、これらのポリシーを開示することに一定制限を設けており、共有が可能な場合でも、事前に極秘保持契約(NDA)の締結をお願いしております。
Gatherは、SOC 2の適合性証明書を取得しています。
付属書 III
復処理者リスト
1.
名称:Grain
ウェブページ:https://grain.com
所在地:米国
処理の説明:ミーティングの録音、自動ノート作成および要約作成
2.
名称:Google Cloud
ウェブページ:https://cloud.google.com/
所在地:詳細はこちらからご確認いただけます:
処理の説明:クラウドホスティングプロバイダー
3.
名称:Mailgun
ウェブページ:https://www.mailgun.com/
所在地:米国
処理の説明:メール配信サービス
4.
名称:Amazon Web Services
ウェブページ:https://aws.amazon.com/
所在地:米国
処理の説明:クラウドホスティングプロバイダー
5.
名称:Amplitude
ウェブページ:https://aws.amplitude.com/
所在地:米国
処理の説明:データアナリティクス
6.
名称:Cloudflare
ウェブページ:https://cloudflare.com/
所在地:米国
処理の説明:クラウドホスティングプロバイダー
7.
名称:New Relic
ウェブページ:https://newrelic.com/
所在地:米国
処理の説明:データアナリティクス
8.
名称:Test RTCs
ウェブページ:https://testrtc.com/
所在地:米国
処理の説明:アプリケーションモニタリング
9.
名称:Twilio
ウェブページ:https://twilio.com/
所在地:米国
処理の説明:メッセージング
10.
名称:LiveKit
ウェブページ:https://livekit.io/
所在地:米国
処理の説明:ビデオ通信
11.
名称:CockroachDB
ウェブページ:https://www.cockroachlabs.com/
所在地:米国
処理の説明:クラウドアプリケーション向けの標準SQLを搭載した分散型データベース
12.
名称:Snowflake
ウェブページ:https://www.snowflake.com/en/
所在地:米国
処理の説明:一元化されたデータウェアハウス
13.
名称:Enterpret
ウェブページ:https://www.enterpret.com/
所在地:米国
処理の説明:ユーザーフィードバックのリポジトリ
14.
名称:Census
ウェブページ:https://www.getcensus.com/
所在地:米国
処理の説明:リバースETLツール
15.
名称:HubSpot
ウェブページ:https://www.hubspot.com/
所在地:米国
処理の説明:顧客関係管理(CRM)プラットフォーム
16.
名称:Sendbird, Inc.
ウェブページ:https://sendbird.com/
所在地:米国
処理の説明:アプリ内チャット
17.
名称:Statsig
ウェブページ:https://statsig.com/
所在地:米国
処理の説明:ゲート機能およびフィーチャーフラグ管理
18.
名称:Stripe
ウェブページ:https://stripe.com/
所在地:米国
処理の説明:請求書作成およびお支払い処理
19.
名称:Sigma
ウェブページ:https://www.sigmacomputing.com/
所在地:米国
処理の説明:データアナリティクス
20.
名称:Zendesk
ウェブページ:https://www.zendesk.com/
所在地:米国
処理の説明:カスタマーサポート
21.
名称:Vanta
ウェブページ:https://www.vanta.com/
所在地:米国
処理の説明:ユーザー向けセキュリティおよびコンプライアンスリクエストの管理
22.
名称:InteractionLabs
ウェブページ:https://www.interactionlabs.ai
所在地:米国
処理の説明:不具合のデバッグに役立てるための利用データの分析
23.
名称:Zapier
ウェブページ:https://zapier.com
所在地:米国
処理の説明:ユーザーの要請に応じた顧客データのエクスポート
24.
名称:Clay Labs Inc.
ウェブページ:https://clay.com
所在地:米国
処理の説明:リレーションシップ管理プラットフォーム
25.
名称:Konfetti, Inc.
ウェブページ:https://getkoala.com
所在地:米国
処理の説明:ウェブサイトでのアクティビティをトラッキングするための高度な分析
26.
名称:Assembly AI, Inc.
ウェブページ:https://assemblyai.com
所在地:米国
処理の説明:ミーティングなどの議事録作成
27.
名称:Wistia, Inc.
ウェブページ:https://wistia.com
所在地:米国
処理の説明:動画のホスティング
28.
名称:Open AI
ウェブページ:https://openai.com/
所在地:米国
処理の説明:Gather内のAI機能を駆動します(ミーティングの要約、メモ、アクションアイテムの作成などを含みますがこれらに限定されません)。こちらのAIはお客様のデータでトレーニングを行うことはありません。
29.
名称:Anthropic
ウェブページ:https://www.anthropic.com/
所在地:米国
処理の説明:Gather内のAI機能に活用されます。こちらのAIはお客様のデータでトレーニングを行うことはありません。
30.
名称:Modal
ウェブページ:https://modal.com/
所在地:米国
処理の説明:クラウドホスティングプロバイダー
31.
名称:Pylon
ウェブページ:https://usepylon.com/
所在地:米国
処理の説明:カスタマーサポートおよびチケットシステム用のプラットフォーム
32.
名称:Turbopuffer
ウェブページ:https://turbopuffer.com/
所在地:米国
処理の説明:クラウドホスティングプロバイダー
33.
名称:PostHog
ウェブページ:https://turbopuffer.com/
所在地:米国
処理の説明:データアナリティクス
34.
名称:LangFuse
ウェブページ:https://langfuse.com
所在地:米国
処理の説明:AIエージェントの処理の効率および最適性のモニタリング
34.
名称:Vercel
ウェブページ:https://langfuse.com
所在地:米国
処理の説明:クラウドホスティングプロバイダー
34.
名称:Default
ウェブページ:https://default.com
所在地:米国
処理の説明:営業およびマーケティングプロセスの自動化システム