OceanBaseデータ処理に関する補遺

下記の翻訳は、情報の提供のみを目的として提供されています。本翻訳と英語版の間で齟齬、不一致又は矛盾がある場合（特に翻訳版の遅滞による場合）、英語版が優先します。

OceanBaseデータ処理に関する補遺

本OceanBaseデータ処理に関する補遺（以下「本DPA」といいます。）は、該当するOceanBase契約事業体（CSAに定義します。）（以下「OceanBase」又は「当社」といいます。）とお客様又はお客様が代理する事業体（以下「お客様」又は「本件顧客」といいます。）の間で締結されたOceanBaseクラウドサービス契約（以下「CSA」といいます。）に組み込まれ、かつ、当該契約の不可欠な一部を構成します。

本DPAの諸条件とCSAのいずれかの条件の間に矛盾又は不一致がある場合、当該矛盾又は不一致の範囲において、本DPAの諸条件が優先するものとします。

本DPAは、OceanBaseクラウドサービスの提供を目的とした本件顧客個人データの処理に関するデータ保護要件を定めます。

1. 定義

1.1 「本件顧客個人データ」とは、お客様に対するOceanBaseクラウドサービスの提供又はCSAに定めるOceanBaseのその他の義務の履行に関連してOceanBaseが処理する本件顧客データに含まれる一切の本件個人データをいいます。

1.2 「管理者」とは、単独で又は他の者と共同して、本件個人データの処理の目的及び方法を定める事業体をいいます。

1.3 「データ主体」とは、識別番号又は物理的、生理的、精神的、経済的、文化的もしくは社会的アイデンティティに特有な一もしくは複数の識別子を参照すること等により、直接又は間接的に識別され得る自然人をいいます。

1.4 「処理者」とは、他の組織を代理して本件個人データを処理する組織をいいますが、当該他の組織の従業員は含まれません。

1.5 本DPAに定義されていない全ての大文字の用語は、CSAに定める意味を有するものとします。

2. 適用範囲及び役割

2.1 本DPAは、お客様にOceanBaseクラウドサービスを提供することを目的として、本件顧客個人データがOceanBaseにより処理される場合に適用されます。この場合、OceanBaseは、お客様に対する処理者となり、お客様は、管理者又は処理者のいずれかとなる可能性があります。

3. 本件顧客による十分な同意の確保

3.1 お客様は、本DPAの目的において、OceanBaseが本件顧客個人データを適法に処理（OceanBaseクラウドサービスを通じた本件顧客による本件顧客個人データの第三者との共有及び／又は受領を含みますが、これらに限られません。）することを可能にするためにデータ保護法に基づき要求される場合がある全ての同意、許可及び／又は承認を取得し、かつ、維持することを確保するものとします。

4. OceanBaseによる本件顧客個人データの処理

4.1 OceanBaseは、本DPAに基づく本件顧客個人データの処理に関連してOceanBase及び処理者に適用される全てのデータ保護法を遵守します。

4.2 OceanBaseは、以下のいずれかの場合に限り本件顧客個人データを処理します。

a) お客様の文書化された指示に従う場合。これには、CSAに基づきOceanBaseクラウドサービスを提供するために必要に応じて行う本件顧客個人データの処理が含まれるものとします。

b) OceanBaseが対象となるデータ保護法を遵守するために要求される場合。この場合、（適用ある法令等により認められる範囲において）OceanBaseは、本件顧客個人データを処理する前に、お客様に対して当該法的要件を通知するものとします。

4.3 OceanBaseの合理的な見解において、お客様からの指示がデータ保護法に違反する可能性があることをOceanBaseが認識した場合、OceanBaseは、速やかにお客様に通知するものとし、この場合、お客様は、自らの指示を撤回し、及び／又は修正することができます。

4.4 明確化のために付言すると、OceanBaseは、以下を行ってはなりません。(a)本件顧客個人データを売却し、もしくは共有する（当該用語は、適用あるデータ保護法に定義するところによります。）こと、(b)OceanBaseの商業的利益のために、本件顧客個人データを保持し、使用し、もしくは第三者に開示すること、(c)お客様との直接的な取引関係の範囲外で、CSA及び本DPAに規定する取引の目的以外の商業的な目的のため、もしくは適用ある法令等により別途認められる場合に、本件顧客個人データを保持し、使用しもしくは開示すること、又は(d)適用ある法令等により明示的に認められる場合を除き、本件顧客個人データを、OceanBaseが他の者からもしくは他の者を代理して受領した本件個人データもしくはデータ主体とのやり取りから収集した本件個人データと結合すること。

4.5 OceanBaseは、本件顧客個人データの処理に関して以下のとおり適切な技術的かつ組織的な措置を講じます。

a) 処理がデータ保護法の要件を満たし、データ主体の権利の保護を確保する。及び

b) 本件顧客個人データの処理により生じるリスク（特に、転送され、保存されもしくは別途処理された本件顧客個人データに関する偶発的もしくは違法な破壊、喪失、改ざん、不正開示又は不正アクセスから生じるリスク）に対する適切なセキュリティレベルを確保するために、本件顧客個人データの性質並びに技術上の発展状況及び措置を講じるための費用を考慮する。

4.6 OceanBaseは、本件顧客個人データを処理する権限を有するOceanBaseの全ての人員が本件顧客個人データの機密性を知らされていること、本件顧客個人データに関する秘密保持義務及び使用制限に拘束されること、及びデータ保護法を確実に遵守するために適切に訓練されていることを確保します。

4.7 OceanBaseは、OceanBaseクラウドサービスの提供が終了した後のお客様の書面による要請により又は本件顧客個人データに対するデータ主体の権利を行使するためにデータ主体による要請を遵守する必要に応じて、本件顧客個人データを削除し、又はお客様に返却します。但し、適用ある法令等に基づき要求される場合、OceanBaseは、本件顧客個人データのコピーを保持する権利を有するものとします。

4.8 OceanBaseが直接又は間接的に、本件顧客個人データの処理もしくは本件顧客個人データに関するデータ主体の権利の行使に関連する苦情、通知又は連絡（政府機関もしくはデータ主体又はその他からであるかを問いません。）を受領した場合、OceanBaseは、実務上合理的に可能な限り速やかにお客様に通知します。

4.9 OceanBaseは、データ保護法に基づくお客様の義務の履行について、お客様に対し、以下に関するものを含む合理的な支援、情報及び協力を提供します。

a) 本件顧客個人データに対する権利を行使するためのデータ主体による要請に対応すること。

b) 本件個人データ侵害について、お客様が政府機関又はデータ主体に通知すること。

c) 要求に応じて、本件顧客個人データの処理に関するデータ保護影響評価を実施すること。

d) リスクの高い処理に関して政府機関と協議すること。

5. 本件個人データ侵害に関する通知

5.1 OceanBaseは、本件顧客個人データに影響を及ぼす本件個人データ侵害を認識した後、書面により、不当な遅滞なくお客様に通知します。OceanBaseは、不当な遅滞なく、OceanBaseの知る範囲で、お客様に以下を提供するものとします。

a) 本件個人データ侵害の性質（影響を受けた本件顧客個人データの種類、影響を受けたデータ主体の概数及び影響を受けた本件顧客個人データの記録の概数を含みます。）

b) 本件個人データ侵害により起こり得る結果（もしあれば）

c) 本件個人データ侵害に関して講じた又は講じる予定の措置（起こり得る悪影響を軽減するための措置を含みます。）の内容

5.2 OceanBaseが上記第5.1条に定める情報のいずれかをお客様に提供することができない場合、OceanBaseは、当該情報が合理的に入手可能になり次第、段階的に当該情報を提供します。

6. 処理の詳細

6.1 処理の主題。　OceanBaseは、本件顧客個人データの処理を伴う可能性のある、CSAに基づくOceanBaseクラウドサービスの提供に同意します。

6.2 処理の性質及び目的。　処理の性質及び目的は、OceanBaseクラウドサービスを提供することにあります。

6.3 処理される本件顧客個人データの種類。　OceanBaseは、OceanBaseクラウドサービスを提供する過程で、お客様が決定し、管理する以下の種類の本件顧客個人データを処理する場合があり、いずれの場合もお客様の文書化された指示に従います。

a)識別データ、経歴データ及び連絡先データ（氏名、生年月日、学歴、住所、電話番号、電子メールアカウント及びその他の連絡先詳細等）

b)財務データ（支払情報、取引情報、アカウント情報等）

c)雇用データ（雇用主、従業員、役職、勤務先情報、職責等）

d)特別な種類の本件顧客個人データ（適用ある場合）。CSAの適用ある制限及び／又は条件に従い、お客様は、「特別な種類の個人データ」又は類似の機微な個人データ（データ保護法に記載又は定義します。）を本件顧客個人データに含めることができ、その範囲は、お客様の単独の裁量によりお客様により決定され、管理されます。

e)お客様又はお客様のエンドユーザーがOceanBaseクラウドサービスに移転又はアップロードされたその他の種類の本件顧客個人データ

6.4 データ主体の種類。　データ主体の種類は、お客様により決定及び管理され、また、以下を含む場合がありますが、これらに限られません。

a)（自然人である）お客様のビジネスパートナー、顧客、潜在的顧客

b)（自然人である）お客様の従業員、労働者、ベンダー、独立契約者

c)お客様のベンダー、独立契約者、ビジネスパートナー、顧客及び／又は潜在的顧客の従業員及び／又は連絡担当者

6.5 データ配置場所。　本件顧客個人データは、本件顧客のデータベースクラスターを配置するために当社が提供し、本件顧客が選択する地域（以下「配置地域」といいます。）で保存／ホストされます。本件顧客が入手したOceanBaseクラウドサービス（データの移転サービスを含みます。）を提供するために合理的に必要な場合又は法律もしくは拘束力を有する行政機関の命令を遵守するために必要な場合を除き、当社が配置地域の外から本件顧客個人データを処理することはありません。本件顧客は、そのエンドユーザーが本件顧客個人データにアクセスした地域、本件顧客もしくはそのエンドユーザーによる本件顧客個人データの移転又は共有及びその他の配置地域に関する追加の指定について単独で責任を負います。

7. 復処理

7.1 お客様は本書をもって、OceanBaseに対し、お客様を代理して本件顧客個人データを処理する復処理者を任命するための一般的な承認を付与します。但し、OceanBaseは、自らが当該復処理者を任命する条件が適用あるデータ保護法を遵守すること及び本DPAにおいてOceanBaseに課される義務に合致することを確保します。

7.2 データ保護法で別途要求される場合（この場合第7.3条が適用されるものとします。）を除き、第7.1条は、OceanBaseによる本DPA、添付文書に定めるEU標準契約条項及び英国標準契約条項補遺に基づく追加の復処理者の任用について、お客様の一般的な承認を構成します。

7.3 データ保護法で要求される場合、OceanBaseは、復処理者の任命の前に、お客様に対して合理的な事前の通知を送付するものとします。当該合理的な事前の通知には、お客様のアカウントに関連付けられた電子メールアドレスに連絡すること及びOceanBaseのウェブサイトで入手可能な復処理者の最新の一覧にお客様を誘導することが含まれる場合があります。当該通知を受領してから10日以内に、お客様がOceanBaseに対して書面により提案された任命に対する異議（又はデータ保護上の懸念に関連する合理的な根拠）を通知した場合において、

a) OceanBaseは、当該提案された復処理者の使用を回避する、OceanBaseクラウドサービスの提供において商業的に合理的な変更の提供を選択することができます。又は

b) OceanBaseが商業的に合理的な変更を提供できないときは、お客様は、(i)CSAの条件に従いCSAを終了すること、もしくは(ii)影響を受けるOceanBaseクラウドサービスの利用を中止することができます。

提案された任命に関してお客様からの書面による通知がない場合、当該任命は、お客様により同意されたとみなされるものとします。

8. データ移転

8.1 (i)欧州経済領域及びスイス並びに／又は(ii)英国（以下「制限対象国」と総称します。）から、OceanBaseクラウドサービスの提供に要求される（制限対象国のデータ保護法の意味において及びこれに準拠する範囲において）適切な保護水準を確保していない国又は地域にあるOceanBaseに対してお客様が本件顧客個人データを移転することについて、当該移転は、添付文書に定める(i)EU標準契約条項及び／又は(ii)英国標準契約条項補遺に準拠するものとします。

8.2 OceanBaseは、添付文書に定めるEU標準契約条項及び英国標準契約条項補遺（適用ある方）を遵守することに同意します。これらの目的上、お客様が制限対象国の外に所在する事業体であるかにかかわらず、添付文書に定めるEU標準契約条項及び英国標準契約条項補遺に基づいて、OceanBaseは、「データ輸入者」となるものとし、お客様は、「データ輸出者」となるものとします。

8.3 EU標準契約条項及び英国標準契約条項補遺並びに添付文書は本書をもって本DPAに組み込まれ、その不可欠な一部を構成するものとします。

9. お客様の情報に関する権利

9.1OceanBaseは、データ保護法に基づきOceanBaseによる本件顧客個人データの処理に適用される義務を遵守します。各暦年につき1回を上限として、書面による事前の合理的な通知により、OceanBaseは、お客様に対し、OceanBaseによる本DPAに基づく義務の遵守を証明するために必要な情報（OceanBaseのセキュリティポリシーを含みますが、これに限られません。）を提供することができるものとします。適用ある法令等又はEU標準契約条項及び英国標準契約条項補遺（適用ある方）に基づく本件顧客の監査要件を、上記の必要な情報の提供によって合理的に満たすことができない場合、OceanBaseは、お客様（又はお客様から委任された他の監査人）による追加監査（検査を含みます。）を許可します。但し、(a)お客様は、当該追加監査が適用ある法令等により要求されることをOceanBaseが合理的に満足するように証明し、(b)本件当事者らは、監査を行う前に、範囲、時期、期間、管理及び証拠の要件について相互に合意し、(c)本件顧客が監査人に委任した場合、当該監査人は、OceanBaseと競合する事業を運営してはならず、OceanBaseが許容できる条件でOceanBaseと秘密保持契約を締結し、並びに(d)適用ある法令等により認められる範囲で、OceanBaseの要請に基づき、本件顧客は、当該監査に関する全ての費用及び報酬（OceanBaseが当該監査に費やした一切の時間に関する全ての合理的な費用及び報酬を含みます。）を負担する責任を有します。

9.2 OceanBaseは、データ保護法に基づく自らの義務を履行できなくなったと判断した場合、書面によりお客様に通知します。お客様は、OceanBaseに通知することにより、本件顧客個人データの不正な処理を停止し、是正するための合理的かつ適切な措置を講じる権利を有します（OceanBaseがお客様に対し、データ保護法に基づく自らの義務を履行できなくなった旨の通知を行った場合を含みます。）。

9.3 疑義を避けるために付言すると、添付文書に定めるEU標準契約条項及び英国標準契約条項補遺に基づく監査権の行使は、本第9条に記載されるところによるものとします。

10. 期間

CSAの満了又は早期終了にかかわらず、添付文書に定めるEU標準契約条項及び英国標準契約条項補遺（適用ある方）は、本DPAに記載する全ての本件顧客個人データの削除又は返却が行われるまで有効に存続します。

OceanBaseデータ処理に関する補遺の添付文書

EU標準契約条項及び英国標準契約条項補遺

1. 定義

1.1 「EU標準契約条項」とは、こちらで閲覧可能な2021年6月4日の欧州委員会実施決定（EU）2021/914に基づき承認された第三国に対する個人データの移転に関する標準契約条項をいいます。

1.2 「英国標準契約条項補遺」とは、こちらで閲覧可能な、2022年3月21日に発効した欧州委員会標準契約条項に関する国際データ移転補遺（バージョンB1.0）をいいます。

1.3 「管理者」、「データ主体」及び「処理者」という用語は、適用あるデータ保護法に基づき当該用語又はこれに対応する用語に与えられた意味と同じ意味を有するものとします。

2. EU標準契約条項

本DPA第8条に従った欧州経済領域又はスイスからの本件顧客個人データの移転について、EU標準契約条項は、以下の方法で、本DPAに組み込まれます。

2.1 お客様が管理者の場合、モジュール2（管理者から処理者）が適用されるものとし、お客様が処理者の場合、モジュール3（処理者から処理者）が適用されるものとします。

2.2 オプションである第7条は、除外されます。

2.3 第9条(a)について、オプション2（書面による一般的な承認）が選択され、復処理者の変更に関する事前通知の期間は、本DPA第7条に定めます。

2.4 第11条(a)について、オプション条項は、除外されます。

2.5 第17条について、オプション1が選択され、EU標準契約条項は、アイルランド法に準拠するものとします。

2.6 第18条について、紛争は、アイルランドの裁判所において解決されるものとします。

2.7 付属書IのパートAについては、以下が適用されるものとします。

a) データ輸出者：CSAにおいて「お客様」と特定される事業体
連絡先情報：お客様のアカウントに関連付けられた電子メールアドレス
本条項に基づき移転されたデータに関連する業務：データ輸入者は、CSAに従い、データ輸出者にOceanBaseクラウドサービスを提供します。
役割：本DPA第2条に記載されるとおり
署名及び日付：お客様がCSAの受諾を示すボックス（例えば、私は、OceanBaseクラウドサービス契約に同意します、又は類似のボタン）をクリックした日、CSAに言及する注文書を締結した日又はOceanBaseが提供する無料のサービスを利用した日

b) データ輸入者：OceanBase（CSAに定義します。）
住所：CSAに記載するとおり
連絡先情報：CSAの「通知」の条に基づき記載されるとおり
本条項に基づき移転されたデータに関連する業務：データ輸入者は、CSAに従い、データ輸出者にOceanBaseクラウドサービスを提供します。
役割：本DPA第2条に記載されるとおり
署名及び日付：お客様がCSAの受諾を示すボックス（例えば、私は、OceanBaseクラウドサービス契約に同意します、又は類似のボタン）をクリックした日、CSAに言及する注文書を締結した日又はOceanBaseが提供する無料のサービスを利用した日

2.8 付属書IのパートBについて、移転の内容は、本DPA第6条（処理の詳細）に記載するところによります。移転の頻度は、継続的である場合があります。

2.9 付属書IのパートCについて、管轄監督機関は、一般データ保護規則及びEU標準契約条項第13条に従って定められるものとします。

2.10 付属書IIについて、本DPA第4.5条(a)は、データ輸入者が講じる技術的かつ組織的な安全管理措置について記載します。

2.11 付属書IIIについて、管理者は、こちら[MH: Kindly replace the link once the Japanese-language site is launched.] に記載する復処理者の利用を許可します。

2.12 スイス法に準拠する本件個人データに関連する移転の場合、本件当事者らは、以下の事項に合意します。

a) 2021年のSCCにおける「EU」、「連合」又は「加盟国」に対する全ての言及がスイスへの言及と解釈され、EU標準契約条項におけるEU法の規定に対する全ての言及がスイス法における関連規定に対する言及と解釈されること。

b) EU標準契約条項第17条の目的上、EU標準契約条項がスイス法に準拠すること。

c) EU標準契約条項第18条の目的上、EU標準契約条項から生じる一切の紛争がスイスの裁判所において解決されること。

d) EU標準契約条項の付属書IのパートCの目的上、管轄監督機関がスイスのデータ保護機関であること。

3. EU標準契約条項に関する相互理解

3.1 お客様及びOceanBaseは、以下の各項がEU標準契約条項の不可欠な部分を構成すること及びEU標準契約条項に基づくそれぞれの義務に対する相互理解を定めることに合意します。

a) EU標準契約条項第8.9条について、お客様は、本DPA第9条に従い、各条に基づいてお客様の監査権を行使することを確認し、これに同意します。