Skip to main content
EnglishJapanese

最終更新:2021年9月8日

Metacore Games Ltd - ベンダー向けデータ処理規約

本「ベンダー向けデータ処理条件」(以下「DPA」)の文書は、Metacoreとベンダーの間で締結される業務委託契約の不可欠な部分です。


定義

「管理者」、「処理者」、「データ主体」、「個人データ」、および「処理」(およびその他の形態の「処理」)の意味は、適用されるデータ保護法で定義されたものとします。該当する場合、個人データは「個人を特定できる情報」を含むものとみなします。

「適用されるデータ保護法」とは、個人データの処理とそのようなデータの自由な移動、およびデータ保護指令(Directive 95/46/EC)(EU一般データ保護規則)と適用される法律の廃止に関する自然人の保護における欧州議会及び理事会規則2016/679を含む(ただしこれに限定されません)、個人データまたは個人を特定できる情報の処理、使用、または開示を管理する法律、規則、または制定準拠法を意味します。

「モデル条項」とは、欧州委員会が第三国への個人データの転送に関する標準契約条項に関する決定2021/94で採用した標準契約条項を意味し、随時修正または置換される可能性があります。


データの処理

任命。 Metacoreは管理者として、本サービスの提供中に、Metacoreのエンドユーザーおよびその他の個別に合意されたデータ主体に関する個人データを処理する処理者としてベンダーを任命しますが、いずれの場合も、ベンダーまたは第三者ではなく、Metacoreの利益のみを目的とします。ベンダーは、カリフォルニア州消費者プライバシー法(「CCPA」)で定義されている「サービス提供者」として機能します。ベンダーおよびその下請け業者は、Metacoreの個人データを、CCPAで「販売」と定義される方法で、第三者に販売、貸与、リリース、開示、流布、提供、転送、または口頭、書面、または電子的またはその他の手段で伝達してはなりません。各当事者は、適用されるデータ保護法に基づいて適用される義務を遵守するものとします。

処理の範囲。 ベンダーは、次の場合にのみ個人データを処理するものとします。(a) 処理の主題、性質及び目的は、Metacoreの文書化された指示書(以下「目的」)に従い、本契約に基づくベンダーの義務の履行に必要な処理業務を含むものとします。(b) 処理の期間は、契約の期間に準ずるものとします。(c) 個人データの種類とカテゴリは、Metacoreのエンドユーザーに関連する個人データ、またはサービスを提供する過程で処理される、別途合意されたその他のデータ(以下「データ」)に限定されます。ベンダーは、目的以外のためにデータを処理してはなりません。

処理の機密性。 ベンダーは、次を保証するものとします。(a) データの処理を許可した人物は、そのような処理に関して厳格な守秘義務(契約上または法定時を問わず)の対象となります。(b) そのような人物は全員、目的のために必要な場合にのみデータを処理します。

データ転送。 ベンダーは、欧州経済地域および欧州委員会が、初期転送の時点で(以下で定義される)個人データの適切な保護を提供するものとして指定した地域の外でデータを処理する場合、両当事者はMetacoreからベンダーへの個人データの転送(「初期転送」)に適用されるモデル条項に同意するものとします。モデル条項は、この参照により両当事者間で実行されたとみなされ、このDPAの不可欠な部分としてここに組み込まれます。モデル条項のうち、具体的にはモジュール2「管理者から処理者への転送」が、このDPAに適用されます。モデル条項の目的:(a) Metacoreはデータ輸出者とします。(b) ベンダーはデータ輸入者とします。(c) データ主体、データの種類、データの特別な種類(存在する場合)、処理操作、およびデータ輸入者によって実装される技術的および組織的措置は、このDPAに指定されているものとします。モデル条項と本DPAの間に矛盾または不一致がある場合は、モデル条項が優先されます。ベンダーが、欧州経済領域外、および欧州委員会が個人データの適切な保護を提供するものとして指定した地域外の副処理者(以下に定義)にデータを転送する場合、ベンダーは、そのようなデータ転送に対し、適用されるデータ保護法で義務付けられている適切な保護手段を必ず提供するものとします。

副処理者。 ベンダーは、Metacoreの事前の書面による同意なしに、データの処理を第三者(ベンダーの関連会社を含む)(それぞれを「副処理者」と呼称)に委託してはなりません。Metacoreは、ベンダーの副処理者の許可に同意します。ただし、次の条件を満たしている必要があります。(a) 販売者は、副処理者の追加について、少なくとも30日前にMetacoreに通知するものとします(副処理者が行う処理の説明を添える)。(b) 副処理者がデータの処理を開始する前に、ベンダーは適切なデューデリジェンスを実施して、適用されるデータ保護法で要求される適切なレベルのデータ保護を副処理者が保証できることを確実にします。(c) ベンダーは、本DPAと実質的に同じ書面による条件でデータを処理するよう副処理者に依頼します。(d) ベンダーは、副処理者の作為、エラー、または不作為によって引き起こされた本DPAの違反に対して完全な責任を負うものとします。Metacoreが、ベンダーによる副処理者の関与に合理的に同意せず、ベンダーがデータの処理にそのような副処理者を使用しないことを拒否した場合、Metacoreは、本DPAおよび本契約を、責任を負わず直ちに終了する権利を有します。ベンダーは、その副処理者の完全かつ正確なリストを保持するものとし、Metacoreの要求に応じて、そのようなリストの最新のコピーをMetacoreに提供または利用可能にするものとします。

データ主体の要求。 ベンダーは、合理的かつ適宜の支援をすべてMetacoreに自費で提供し、Metacoreが次の事項に対応できるようにするものとします。(a) データ主体からの法定権利を行使するための要求(該当する場合、アクセス、修正、消去、異議、制限、およびデータポータビリティの権利を含む)。または(b) データ主体、監督当局、またはデータの処理に関連するその他の第三者から受け取ったその他の問い合わせ、苦情、またはその他の通信。そのような要求、問い合わせ、苦情、またはその他の通信がベンダーに直接行われた場合、ベンダーは速やかにMetacoreに通知し、その詳細を提供するものとします。

データセキュリティ。 ベンダーは、データを偶発的または違法な破壊、紛失、改ざん、および不正な開示またはアクセス(それぞれを「セキュリティインシデント」と呼称)から保護するための適切な技術的および組織的対策を維持するものとします。そのような措置は、自然人の権利と自由、実施のコスト、および処理の性質、範囲、文脈、および目的のさまざまな可能性と重大度のリスクを考慮して、最新技術を反映するものとします。ベンダーがセキュリティインシデントを認識した場合、ベンダーは直ちに(いかなる場合でも48時間以内に)Metacoreにそのことを通知し、Metacoreがその影響を調査、修正、または軽減するため、または適用されるデータ保護法で規定された期間内に、セキュリティインシデントに関する通知および文書化の義務を履行するために要求される可能性がある、すべての必要かつ最新の情報と支援を自費で提供するものとします。

データ保持。 契約の終了または満了時、またはMetacoreの要求に応じて、ベンダーは、Metacoreの選択およびMetacoreの指示に従い、その所有または管理下にあるすべてのデータおよびそのコピーを破棄するか、Metacoreに返却するものとします。ベンダーは、欧州連合またはその加盟国の適用法および規制の要求に従って、データまたはその一部を保持することができます。ただし、かかる法律および規制の遵守に厳密に要求される場合を除き、ベンダーがさらなる処理からデータを分離および保護する場合に限ります。

監査権。 Metacore、またはMetacoreが指定した第三者監査員は、Metacore自身の費用負担で、通常の営業時間内のいつでも、5暦日前の通知(または監督当局が要求する直前の通知)に基づいて、ベンダーによる本DPAの遵守を監査する権利を有するものとします。ベンダーは、Metacoreがそのような監査を実施するために必要なすべての情報、システム、および人員を利用可能にするものとします。

補償。 ベンダーは、Metacoreおよびその各役員、取締役、従業員、下請け業者、代表者、および代理人を、あらゆる損害、訴訟、第三者の請求、責任、費用および費用から補償および防御し、無害に保つことに同意するものとします。これには次から生じる、または関連する、そのような訴訟または請求に起因する合理的な弁護士費用および費用を含みます。(i) セキュリティインシデント。(ii) データに関するベンダーの過失または故意の不正行為。および/または (iii) ベンダーによる本DPAの違反。