データ処理補遺 – 2022年8月

「データプライバシー法」とは、プライバシー、データ保護、データセキュリティ、通信の秘密、侵害通知、または個人データの処理に関する該当法域で適用される範囲の法律および規制を意味します。かかる法律および規制には、米国カリフォルニア州消費者プライバシー法(同州民法§1798.100以下)(以下「CCPA」)、2020年米国カリフォルニア州プライバシー権法および施行法、ならびにEU一般データ保護規則(規則2016/679)(以下「GDPR」)、英国データプライバシー法が含まれますが、これらに限定されません。

「データ主体」とは、個人データと関連する、特定されたまたは識別可能な人物を指します。

「EUおよびEEA」とは、欧州連合および欧州経済地域（それぞれの加盟国を含む）ならびにスイスを指します。

「EU SCC」とは2021年6月4日付け欧州委員会実施決定（EU）2021/914に定められるEU標準契約条項のモジュール1および2を指します。これらは個人データの第三国への移転向けの標準契約条項に関するもので、該当するデータプライバシー法に基づき管轄当局によって随時修正または差し替えられます（https://eur-lex.europa.eu/eli/dec_impl/2021/914/ojで閲覧可能）。

「本件指示」とは、書面もしくはテキスト形式（メールなど）で、またはサブスクリプションサービスを使用して、お客様がPendoに対して出す個人データ処理の指示を意味します。

「損失」とは、損失、賠償責任、損害賠償、補償、裁定、和解取り決めに基づき行われる支払い、請求、罰金、法手続き、費用およびその他の経費（金利と罰則、弁護士などの専門家報酬および経費を含むがこれらに限定されない）を指します。前述の各項目は発生原因が契約、不正行為 (過失、虚偽表明、法定義務違反、保証違反、本契約違反に起因するサードパーティによる請求を含むがこれらに限定されない)、その他の原因であるかどうかを問いません。

「個人データ」とは、（i）特定または識別可能な自然人、または（ii）特定または識別可能な法人に関連する情報（かかる情報は適用されるデータプライバシー法で個人データまたは個人を特定できる情報と同様に保護される）を意味し、かかる情報は（i）および（ii）のそれぞれについて、本サービスを提供するためにPendoがお客様の代わりに処理者として処理するお客様データの一部を構成します。ただし第2(f)(i)条の定めを例外とします。データプライバシー法に従って十分匿名化されたものまたは集計されたものは個人データに含まれないことを誤解のないよう付記します。

「個人データの侵害」とは、セキュリティ侵害のうち、伝送、保存、またはその他の方法で処理された個人データの偶然または違法な破壊、紛失、改ざん、未承認の開示、またはアクセスにつながるものを指します。

「人員」とはある当事者が本サービスの提供に関連して契約または雇用するすべての者を指し、従業員、コンサルタント、請負業者、下請業者、随時許可される代理人を含みます。

「処理する」または「処理」とは、自動的手段によるかどうかにかかわらず、個人データに対して実行される単独または一連の操作を指します。例として、回収、記録、整理、保存、脚色もしくは変更、検索、参照、伝送による開示、流布、またはそれ以外の方法による公開、調整もしく組み合わせ、消去、または破壊が挙げられます。

「標準契約条項」、または「SCC」とは、（i）本 DPAに基づく処理にGDPRが適用される場合はEU SCCを指し、（ii）本DPAに基づく処理活動に英国データプライバシー法が適用される場合は英国SCCを指します。

「副処理者」とは、個人データを処理するためにPendoが契約する事業者またはPendoの関連会社を指します。

「監督当局」とはデータプライバシー法で定義されるデータ保護当局を指します。

「英国」とはグレートブリテンおよび北アイルランド連合王国を指します。

「英国データプライバシー法」とはデータの保護、個人データの処理、プライバシーおよび/または電子通信に関連して英国で随時施行されるすべての法律（英国GDPRおよび2018年データ保護法を含む）を指します。

「英国GDPR」とは2018年欧州連合（離脱）法第3条により英国法の一部を構成する、英国一般データ保護規則を指します。

「英国付録」とは2018年データ保護法第119A（1） 条に基づきICOが発行したEU SCCのデータの越境移転に関する付録第B1.0版、および第119A（1）条に従って随時ICOが発行する改定版または差し替え版を指します (詳細は本DPA別紙Cを参照)。

「英国 SCC 」とは英国GDPR第46条に従って随時修正または差し替えられる英国付録を指します。

a. お客様は、本サービスの使用にあたり、常にデータプライバシー法に従って、個人データを処理し、個人データの処理に関する本件指示を提供するものとします。お客様は、自らが提供する本件指示が個人データに関して適用されるすべての法律、規則および規制に準拠すること、ならびにお客様の本件指示に従って個人データを処理することで、Pendoがデータプライバシー法に違反する結果に至らないことを保証するものとします。お客様はPendoの処理業務に関連してデューデリジェンスを実施済みである旨、およびお客様が本サービスを使用しかつPendoが個人データの処理に従事するという提案の趣旨に、Pendoの処理業務が適合していると納得している旨を保証するものとします。

b. お客様は次の（i）～（iii）の正確性、品質、および合法性に単独で責任を負うものとします。（i）お客様が直接または代理人によって間接的にPendoに提供する個人データ、（ii）お客様の個人データ入手手段、および（iii）お客様がPendoに提供する本件指示。お客様は、本契約に違反するか本サービスの性質上不適切な個人データをPendoに提供またはPendoと共有しないものとします。お客様はまた、適用されるデータプライバシー法へのお客様の違反に付随するあらゆる損失に対してPendoを補償するものとします。お客様は本契約の一部としてPendoに提供する個人データの性質が変更された場合、Pendoに通知するものとします。

c. Pendoは次の（i）～（iii）の条件の下で、個人データを処理するものとします。（i）処理の目的が本契約で定めるものであること、（ii）本DPAに定める条件およびお客様が提供する他の本件指示文書に従って処理されること (ただし、Pendoに適用されるEEAまたは英国の法律によって別の要件が必要とされる場合を例外とし、この場合Pendoは当該法律でかかる情報の提供が禁止される場合を除き、当該要件についてお客様に通知するものとする)、および（iii）データプライバシー法に準拠した処理であること。お客様は前述に従い、およびお客様による本サービスの使用の一部として、個人データの処理をPendoに指示します。Pendoは本件指示がデータプライバシー法に違反すると考える場合、お客様に速やかに通知するものとします。

d. 当事者は、お客様がPendoに対して提供するか利用可能にする個人データ、またはPendoが本契約に従いお客様の代わりに処理する個人データに関して、PendoがGDPRおよび/または英国GDPRに基づく個人データの処理者であり、かつ本契約に基づきお客様から業務目的で個人データを受領する、CCPA上のサービスプロバイダーであることを認め、同意するものとします。Pendoは、お客様から提供される前述の個人データを売却することも、本契約に基づきお客様から提供される個人データを本サービスの履行もしくは本契約の別の定めに必要な場合やCCPAによって認められる場合を除き、保持、使用、または開示することもありません。「サービスプロバイダー」および「売却」という用語は、CCPA第1798.140条の定義に準ずるものとします。Pendoは本条の制限を理解した旨を証明します。

e. 本処理の主題、性質、目的および期間、ならびに収集される個人データの種類およびデータ主体の区分は本DPAの別紙AパートBに記載されています。

f. 人員の個人データ

g. Pendoは本サービス終了後、お客様の選択に基づき、個人データを返却または削除するものとします。ただし、適用法により保持が義務付けられる場合を除きます。本DPAの規定は、Pendoが個人データを処理する限り、本契約の終了または満了後も存続します。

a. Pendoは個人データを知る必要または個人データにアクセスする必要があるPendoの従業員 (以下「認定従業員」) に対する信頼性と適切なトレーニングを確保し、Pendoが本契約に基づく自己の義務を履行できるようにするために商業的に合理的な手段を講じるものとします。

b. Pendoは、すべての認定従業員が個人データの機密性を認識し、かつ機密保持契約に署名していることを徹底するものとします。当該契約では、本サービスに付随する自己の義務に従う場合を除き、雇用中および退職後における個人データの開示またはその他の処理を認定従業員に禁止しています。

a. Pendo may use Subprocessors to fulfil its contractual obligations to Customer under the Agreement or to provide certain Services on behalf of Pendo. Customer hereby confirms its general written authorization for Pendo’s use of the Subprocessors listed at https://pendoiowp.wpenginepowered.com/legal/authorized-subcontractors/. Pendo shall maintain an up-to-date list of the names and locations of all Subprocessors used for the Processing of Personal Data under this DPA at https://pendoiowp.wpenginepowered.com/legal/authorized-subcontractors/. Pendo shall update the list on its website of any Subprocessor to be appointed at least thirty (30) days prior to the date on which the Subprocessor shall commence Processing Personal Data. Customer may sign up to receive email notification of any such changes. The details of the sign up process are set forth in the aforementioned URL. Subprocessors are required to abide by the same level of data protection and security as Pendo under this DPA (including any applicable Standard Contractual Clauses).

b. Pendoによる新規副処理者の利用に対して合理的に異議を唱えるために、かかる新規副処理者の任命についてPendoから通知を受けてから30日以内にお客様がPendoに書面通知を発行し、かつPendoがかかる副処理者による個人データの処理を回避するために商業的に合理的な代替策を提供しない場合、お客様はその唯一かつ排他的な救済措置として、Pendoがかかる新規副処理者を利用しなければ提供できない本サービスを打ち切ることができます。

c. Pendoはその副処理者の作為および不作為に対して、Pendoがかかる作為または不作為を行ったと仮定した場合に自らが本DPAに基づき負う責任と同等の責任をお客様に対して負うものとします。

d. サブスクリプションサービスでは、サードパーティとのインテグレーションへのリンクを提供します。かかるサービスには、お客様のアカウントまたはサブスクリプションサービスのインスタンスに直接統合される特定のサービスが含まれまが、これらに限定されるものではありません。お客様がかかるサードパーティサービスの有効化もしくは使用、または当該サービスへのアクセスを選択した場合、かかるサードパーティサービスへのアクセスおよび使用には当該サードパーティの利用規約およびプライバシーポリシーのみが適用されます。Pendoはかかるサードパーティのサービスの任意の側面 (コンテンツやデータの扱い方法を含むがこれらに限定されない)、またはお客様とかかるサードパーティサービスのプロバイダーの間で交わされるやりとりについて一切推奨せず、一般的もしくは法的責任を負うことも何らかの表明をすることもありません。サードパーティサービスのプロバイダーが本DPAに基づく副処理者とみなされることはいかなる目的においてもありません。

Pendoは、技術水準、導入コスト、および処理の性質、範囲、文脈、目的、ならびに自然人の権利と自由にかかわる可能性と重大性が多岐にわたるリスクを踏まえ、個人データ処理に伴うリスクに適したセキュリティレベルを確保するために、適切な技術的および組織的対策（少なくとも別紙Bに記載され、お客様の承認を受けたものを含む）を維持するものとします。Pendoは個人データへのアクセスを認定従業員および副処理者に制限するために商業的に合理的な手順を講じるものとします。

a. 本DPAに基づく処理にGDPRまたは英国データプライバシー法が適用される場合、Pendo（データ輸入者）およびお客様（データ輸出者）は、標準契約条項 (SCC)、特例、またはその他の適切な保護策がない場合にデータプライバシー法によって禁じられる移転に関連してSCCの拘束を受けます。(「制限付き移転」)。

b. 当事者は第6（a）条の目的において、個人データの制限付き移転に関連して次の（i）および（ii）を認め、同意するものとします。（i）両当事者が第2 (f)(i)に従って処理する人員の個人データに関してSCCモジュール1が適用されること、および（ii） 第2（d）条に従ってお客様の代わりにPendoが処理する個人データに関してSCCモジュール2が適用されること。

c. EU SCCは第6（a）の目的で本契約に組み込まれるものとします。移転については別紙Aパート1に、技術および組織的措置については別紙Bに詳述されており、いずれもEU SCCの別紙1にそれぞれ付属書1および2として付録されるものとみなされます。

d. 当事者はEU SCCモジュール1および2に関して（i）～（iv）を選択します。（i）任意条項7を含めること、（ii）条項9（a）でオプション2を選択し、期間を「30日」に指定すること (モジュール2のみ)、（iii）条項11（a）の任意の項を削除すること、および（iv）条項17の加盟国準拠法および条項18の法廷地としてオランダを含めること。

e. 当事者は英国データプライバシー法の対象となる英国の転送に関して、英国SCCが本契約に組み込まれることを認め、同意するものとします。

f. SCCと本DPAの間に矛盾が生じる場合、当該SCCが優先されます。

Pendoはデータプライバシー法に基づく権利行使（データへのアクセス、消去、またはデータ移植性など）リクエスト (以下、かかるリクエストの個々または全体を「データ主体のリクエスト」) をデータ主体から受けた場合、法律上許容される範囲で速やかにお客様に通知します。ただし、当該データ主体のリクエストがお客様からPendoに通知された場合には、かかる通知は不要とします。

a. Pendoは処理の性質および利用可能な情報を考慮に入れたうえで、お客様がその他の方法で該当情報にアクセスできない場合に限り、お客様が次のいずれかの行為をするために合理的に必要な範囲でお客様に対して協力および支援の手を差し伸べるものとします。

b. Pendoは本DPAに基づく義務の遵守を実証するために十分な記録を維持するものとします。

c. Pendoは、セキュリティ対策の妥当性を検証するための外部監査人サマリーレポート (社外秘)、および本DPAへの処理者の遵守を実証するために必要なその他の情報をお客様からの書面による要求に応じて提供するものとします。当該レポートは本契約の守秘義務条項に基づきPendoの機密情報に該当します。

d. 個人データが漏洩した場合、Pendoはかかる漏洩について遅滞なくお客様に知らせ、必要かつ妥当な是正策を講じます。さらにPendoは、処理の性質および利用可能な情報を考慮に入れたうえで、お客様がデータプライバシー法に基づく義務を遵守するために合理的に必要な範囲でお客様に対して協力および支援の手を差し伸べるものとします。各当事者は本条に付随する潜在的な損害を軽減するために、他方当事者を合理的な範囲で支援するものとします。

a. 報告体系、組織構造、およびシステム制御に対する責務の適切な割り当てが文書化されると共に、伝達されます。お客様のアプリケーション/情報のセキュリティ、可用性、処理の完全性、機密性およびプライバシーに対するサービス組織の統制手段の監督責任を持つ役員レベルの最高情報セキュリティ責任者（CISO）の任命はその一例です。

b. Pendoでは社内全体で継続的にリスクを評価するための枠組みを確立しています。リスク管理プロセスには、経営陣のリスク許容度、および新規または進展するリスクの評価が組み込まれています。

a. 求人情報には職務要件が記載され、採用プロセスでは当該要件を満たす候補者の能力が評価されます。
b. 候補者が職位の責任を引き受ける前に、経験とトレーニングについて評価されます。
c. Pendo従業員のうちお客様データへのアクセス権を持つメンバーは、身元調査を受ける必要があります。
d. Pendoの従業員は、新入社員には入社後2週間以内の研修、既存社員には年に1度の定期研修で、データプライバシーの概念と責任およびプライバシーに対するPendoの取り組みに関する研修を受けます。
e. Pendoの従業員は入社時にPendoの行動規範、機密保持声明、およびプライバシー慣行文書を読み、内容を受け入れる必要があり、その後も年に1度、内容を再確認する必要があります。

a. Pendoはサードパーティの拠点内で行われるサービスについて、サービスレベル契約に沿った履行の妥当性を監視します。
b. Pendoのプライバシーポリシーまたはその他の特定の指示もしくは要件のうち該当箇所に即した形で個人情報を保護するという合意をサードパーティがPendoと交わさない限り、かかるサードパーティに機密情報を開示することはできません。
c. Pendoは契約上のセキュリティ要件を満たすサードパーティの能力を評価します。サードパーティはPendoの機密情報の保存または処理について、監査済みサードパーティのセキュリティ証明書（たとえば、SOC 2 Type II、ISO 27001）を保持する必要があります。
d. 機密情報への認定アクセスについて定める機密保持契約がサードパーティと交わされます。

a. 運用管理およびインシデント対応管理のためのポリシーと手順では、インシデントを記録し、必要に応じて見直し（たとえば、システム変更）を行い、適切な措置を講じることを義務付けています。
b. セキュリティ障害およびインシデントの報告手順に関する従業員の手引きとなるように、正式なインシデント対応計画および標準的なインシデント報告フォームが文書化されています。
c.インシデント対応計画には報告された事象の解決および上申プロセスが必然的に伴います。これには、インシデントについて内部と外部ユーザーに通知する必要性の検討、および各ユーザー側で講じる是正措置や「事後」レビュー要件の通知などが含まれます。

a. Pendoのアプリケーションシステムの変更には、リスクレベルに見合う許可、設計、実装、構成、テスト、修正、承認の文書化が含まれます。
b. Pendoの変更管理ポリシーおよび手順では、システム変更が本番環境に組み込まれる前に、ビジネスおよび技術面の適切な管理者による見直しと承認を義務付けています。
c. 本番環境に移行する前に別のテスト環境で変更をテストします。
d. 変更管理プロセスには、内部または外部のユーザーに伝える必要がある変更の特定が含まれます。システムおよび組織的な変更はPendoアプリケーションを通じて内部および外部のユーザーに伝えられます。

a. Pendoの担当者は固有のユーザー名が割り当てられ、Pendoのシステムにアクセスするために強力なパスワードの使用が義務付けられます。CISOが承認した特定の使用事例で必要とされる場合を除き、共有アカウントは許可されません。
b. 技術的に可能な場合、Pendoのシステムとアプリケーションへのアクセスに2要素認証を使用します。
c. システムへのアクセス権は、ユーザーの職務および/または管理者の具体的なリクエストに応じて、ビジネスニーズを基準に付与または変更されます。
d. Pendoではアクセス権の適切性を判断するために、重要な本番用システムへの特権がある通常のユーザーアクセス権を四半期に1度見直しています。
e. 日常的なトランザクション処理以外での本番データへの変更に対してアクセスを制限するため、制御措置が設けられています。

a. Pendoではアプリケーションとインフラストラクチャのペネトレーションテストを少なくとも年に1度実施しています。
b. Pendoでは自社アプリケーションの脆弱性を検出するために、脆弱性スキャンを少なくとも週に1度実行しています。
c. 管理者は重大度に基づく所定の期間内に、ペネトレーションテストと脆弱性スキャンで特定されたすべての脆弱性に対処しています。

a. ネットワークの外部接続ポイントはファイアウォールで保護されています。
b. すべてのパソコンにウイルス/マルウェア対策およびエンドポイント検出・対応ソフトウェアが導入され、Pendo人員が使用するパソコン（ノートパソコンなど）を保護するために定期的に更新されます。
c. Pendoのアプリケーションには、許容値範囲外の入力に対するコード検証チェック機能が備わっており、アラートを発して対処を促します。
d. 機密データは安全なクラウドサービスに保存され、転送中および保存時に保護および暗号化されます。TLS、HTTPS、SSH、SFTP、またはその他の暗号化技術を使用して転送中のデータを保護しています。AES-256またはその他の適切な業界標準を使用して保存中のデータを保護しています。
e. Pendoのポリシーでは非本番環境またはテスト環境での機密または個人データの使用を制限しています。
f. Pendoのポリシーでは、外付けUSBドライブに機密データを書き込む必要がある例外的かつまれな状況で、データを安全に暗号化する責任をユーザーに義務付けています。

a.アプリケーション、データベース、ソフトウェア、システムおよびサービスにお客様データが含まれる場合またはサービス提供、これらすべてについて目録を作成し、管理者レベルのビジネスオーナーを割り当てています。ビジネスオーナーはシステムの変更を許可し、ユーザーアクセスを承認する義務を負います。

a. Pendoの受付担当者は、営業時間中、オフィス館内への入退出を監視しています。営業時間外および受付担当者の不在時には、扉は施錠されます。
b. Pendoオフィス館内への訪問者は入館記録に署名し、臨時のIDバッジの提供を受けます。
c. 重要な機器が置かれている領域の物理的な鍵とカードでの入退出は許可された個人に制限されます。Pendoの管理者は年に1度鍵と入退出カードの保有者を見直しています。

a. Pendoでは処理待ちキューを測定し、受信データ処理の適時性を検証しつつ、リアルタイムで結果をモニタリングするツールを使用しています。
b. 処理中に失われたデータを検出し、エンジニアリングチームへのアラートを自動的に作成します。
エンジニアリングチームがアラートに対処します。
c. Pendoアプリケーション内での処理中にエラーが発生した場合、変更管理プロセスに従って変更チケットが開始され、エラーの調査と解決が図られます。
d. Pendoではお客様データのうち既定の保持期間より古いものや、お客様が指定したその他の保存期間を過ぎたデータを、定期的に安全に廃棄しています。この廃棄プロセスは、個々のデータ主体に関連する個人情報の削除にも対応しています。

「別紙情報」とは、承認済みEU SCCの別紙に記載され、選択したモジュール向けに提供が必要とされる情報（「当事者」を除く）で、本付録では次の場所に記載されています。