発効日： 2025 年 5月 15日

本データ処理に関する補遺（以下、「本 DPA」という）は、ジョーシスとお客様の間のジョーシスサービス利用規約またはジョーシス IT アウトソーシング規約、それぞれ該当する場合、（以下、「本規約」という）の一部を形成し、お客様の個人データの処理に関する両当事者の合意を反映する。 本 DPAで定義されていない用語はすべて、本規約に定める意味を有するものとする。 本規約に基づいてお客様に本サービスを提供する際、ジョーシスは、お客様に代わってお客様の個人データを処理することがあり、両当事者は、お客様の個人データに関する以下の条項に従うことに合意する。 明確にするため付言すると、ジョーシスはその単独の裁量により本 DPA を修正できるが、かかる修正によって、お客様が負う責任または義務が大幅に増加することはないものとし、また、データ保護法（以下に定義）で義務付けられている場合を除き、ジョーシスが負う義務または責任が大幅に減少することもあってはならない。

‍

‍

1. 定義。

「データ保護法」とは、本規約に基づくお客様の個人データの処理に適用されるすべての法律および規制を意味する。これには次のものが含まれるが、これらに限定されない。（a）日本の個人情報の保護に関する法律（平成 15 年法律第 57 号）、および同法に基づき公布された拘束力を有する政令および規制（以下、「APPI」という）、（b）カリフォルニア州プライバシー権法によって改正されたカリフォルニア州消費者プライバシー法、および同法に基づき公布された拘束力を有する規制（以下、「CCPA」という）、（c）一般データ保護規則（EU 2016/679）（以下、「EU GDPR」という）、（d）英国の2018 年データ保護法（以下、「英国 GDPR」という）、ならびに（e）オーストラリアの 1988 年プライバシー法（Cth）（いずれの場合も、随時更新され、改正され、または差し換えられる）。

「データ主体」とは、識別されたもしくは識別可能な自然人、または適用されるデータ保護法が定義するその他の類似の用語を意味する。

「個人データ」とは、お客様およびそのテナントが本サービスの一環として、ジョーシスに提供し、またはジョーシスが利用できるようにする、データ保護法に定められた、識別されたまたは識別可能な自然人に関連するあらゆる情報を意味する。

「処理」、「処理者」、「管理者」、および「データ主体」は、EU GDPR に定める意味を有する。

「制限付き移転 」とは、次のものを意味する。（a）EU GDPR が適用される場合は、十分性認定の対象とならない EEA 外の国への個人データの移転、（b）英国 GDPR が適用される場合は、英国から、十分性認定の対象とならないその他の国への移転、および（c）適用されるデータ保護法により越境移転が制限されているその他の国については、十分性認定の対象とならない国、またはその他適用されるデータ保護法を遵守するために何らかの形態の移転手段を実施することが必要とされる国への越境移転（以下、「その他の制限付き移転」という）。

「セキュリティインシデント」とは、ジョーシスが処理中の個人データの偶発的もしくは違法な破棄、喪失、改変、不正開示、または不正アクセスにつながるセキュリティ侵害を意味する。セキュリティインシデントには、失敗したログイン試行、Ping 送信、ポートスキャン、サービス拒否攻撃、ファイアウォールまたはネットワーク化されたシステムに対するその他のネットワーク攻撃など、お客様の個人データのセキュリティを侵害しない不成功に終わった試行や活動は含まれない。

「本サービス」とは、両当事者が締結した注文書類に指定され、ジョーシスサービス利用規約またはジョーシス IT アウトソーシング規約のいずれかに準拠するジョーシスが提供するサービスを意味する。

「標準契約条項」とは、適宜、（i）EU GDPR の対象となる制限付き移転に関しては、欧州委員会がEU GDPR に基づいて個人データを第三国に移転するための標準条項に関する 2021 年 6 月 4 日付の施行決定（EU）2021/914 に従って採択した、「管理者から処理者への移転（Controller-to-Processor）」標準契約条項または「処理者から処理者（Processor-to-Processor）への移転」標準契約条項（欧州委員会が随時改定し、または差し換えることがある）（以下、総称して「EU SCC」という）、（ii）英国 GDPR の対象となる制限付き移転に関しては、2022 年 3 月 21 日付の欧州委員会標準契約条項の国際データ移転に関する補遺（International Data Transfer Addendum to the EU Commission Standard Contractual Clauses）（英国個人情報保護監督機関（Information Commissioner’s Office）が随時改定し、または差し換えることがある）（以下、「英国 SCC」という）、および（iii）適用されるその他のデータ保護法の対象となる制限付き移転に関しては、ジョーシスとお客様の間で組み込みが義務付けられているその他の標準契約条項（以下、「適用されるその他の移転条項」という）を意味する。

「復処理者」とは、個人データをジョーシスに代わって処理する業務をジョーシスから委託された第三者またはジョーシスの関連会社を意味する。

「第三国」とは、個人データに関して、適用されるデータ保護法に基づく十分な保護レベルを提供しているとは認定されていない日本国外の国を意味する。

‍

‍

‍

‍

2. 個人データの処理。

2.1.  本 DPA は、個人データがジョーシスによりお客様に代わって処理される場合に適用される。お客様とジョーシスの間では、個人データに関して、常にお客様が「管理者」として行動し、ジョーシスは「処理者」として行動する。

‍

2.2.  本 DPA に基づく処理の対象は、お客様およびそのテナントからジョーシスに提供される個人データである。 本 DPA に基づく処理の期間は、本 DPA および本規約の期間である。本 DPA に基づく個人データの処理の目的は、ジョーシスがお客様に本サービスを提供することである。処理の性質は、ジョーシスによる本サービスの提供であり、より具体的には本規約に記述されている。データの種類は、お客様およびそのテナントがその独自の裁量により本サービスにアップロードする個人データである。 データ主体の区分には、お客様、テナント、およびそのサービスプロバイダーの従業員、請負業者、代理店、アドバイザー、代理人（自然人）が含まれるが、これらに限定されない。

‍

2.3.  お客様は、本サービスの利用において、適用されるデータ保護法の要件に従って個人データを処理するものとする。これには、ジョーシスを処理者として利用するデータ主体に通知を行い、またはかかるデータ主体から同意を得るにあたって適用される要件などが含まれる。お客様は、個人データの正確性、品質および適法性、ならびにお客様が個人データを取得した手段について、単独で責任を負うものとする。

‍

2.4.  ジョーシスは、処理者としてお客様から受け取った個人データを、本規約に記述する目的でのみ、かつ本規約に基づく義務を履行するために必要な限りにおいて、かつお客様の文書化された指示に厳密に従って（ただし、適用されるデータ保護法に基づく別段の義務に従う場合を除く）処理するものとする。

‍

2.5.  ジョーシスは、本規約の義務を履行する以外の目的で個人データを収集、使用、または保持しないこと、および個人データを「販売」または「共有」しないこと（「販売」および「共有」という用語は CCPA での定義に従う）に同意し、これを証明する。

‍

‍

3. 個人データの移転制限。

ジョーシスは、個人データの越境移転が適用されるデータ保護法に準拠していることを保証するために必要な措置を講じない限り、かかる移転を行わないものとする。ジョーシスが欧州経済領域、英国または日本から第三国への個人データの制限付き移転を行う場合、かかる移転には標準契約条項が適用される。

‍

3.1.  EU への移転。欧州経済領域から移転される個人データに関しては、EU SCC が適用され、これは本 DPA の一部を形成する。 EU SCC の目的上、これは以下のとおりに完成されるものとみなされる。

a. お客様が管理者として行動し、ジョーシスが処理者として行動する場合、モジュール 2 が適用される。

b. お客様が処理者として行動し、ジョーシスが復処理者として行動する場合、モジュール 3 が適用される。

c. お客様は「データ輸出者」であり、ジョーシスは「データ輸入者」である。

d. 該当する場合は、EU SCC について以下が適用される。

i. 第 7 条の任意選択のドッキング条項は適用されない。
ii. 第 9 条では、Option 2 が適用され、新たな復処理者に関する事前通知の最短期間を 30 日とし、ジョーシスは、新たな復処理者を利用する場合、当該復処理者について本 DPA に従いお客様に通知することにより、その通知義務を果たすものとする。
iii. 第 11 条では、任意文言は適用されない。
iv. 第 13 条では、すべての角括弧を削除し、テキストは残す。
v. 第 17 条では、Option 1 が適用され、EU SCC はアイルランドの法律に準拠する。
vi. 第 18 条（b）項では、紛争はアイルランドの裁判所で解決されるものとする。
vii. 本 DPA の付属書 A（処理の対象および詳細）および/または注文フォームには、EU SCC の Annex 1 で必要とされる情報が含まれている。
viii. 本 DPA の付属書 B（技術的措置/組織的対策）には、EU SCC の Annex 2 で必要とされる情報が含まれている。

e. 両当事者は、本 DPA を締結することにより、EU SCC に署名しているものとみなされる。

‍

3.2.英国への移転。英国から移転される個人データのうち、その移転の越境的性質に英国の法律が適用されるものに関しては、英国 SCC が適用され、これは本 DPA の一部を形成する。英国 SCC は、以下のとおりに完成されるものとみなされる。

a. 英国 SCC の Table 1 では、両当事者の主要連絡先情報は、本 DPA の付属書 Aおよび/または注文フォームに記載されている。

b.英国 SCC の Table 2 では、EU SCC は、Appendix Information を含め、適用される。本 DPA の目的上、EU SCC の以下のモジュール、条項または任意規定のみが発効する。
i. 適用されるモジュールは、適宜、Controller to Processor または Processor to Processor とする。
ii. 第 7 条の任意選択のドッキング条項は適用されない。
iii. 第 9 条では、Option 2 が適用され、新たな復処理者に関する事前通知の最短期間を 30 日とし、ジョーシスは、新たな復処理者を利用する場合、当該復処理者について本 DPA に従いお客様に通知することにより、その通知義務を果たすものとする。
iv. 第 11 条では、任意文言は適用されない。

c. 英国 SCC の Table 3 では、
i. 当事者のリストについては、本 DPA の付属書 A に記載されている。
ii. 移転の説明については、本 DPA の付属書 A に記載されている。
iii. Annex II については、本 DPA の付属書 B に記載されている。
iv. 復処理者のリストは、本 DPA の付属書 C の記載のとおりとする。

d. 英国 SCC の Table 4 では、いずれの当事者も法律の変更を理由に 本 DPA を解除することはできない（各チェックボックスにチェックが入れられているものとみなされる）。

e.  本 DPA に組み込まれるのは、Approved Addendum（2022 年 2 月 2 日に ICO が公開し、2018 年データ保護法第 119A 条に従って国会に提出されたテンプレート Addendum B.1.0）の Part 2（Mandatory Clauses）であり、この Mandatory Clauses の第 18 条に従って改定されたものである。

f. 両当事者は、本 DPA を締結することにより、UK SCC およびその中の適用されるTable および Appendix Information に署名しているものとみなされる。

‍

3.3. その他の制限付き移転。その他の制限付き移転の場合、かかる移転は、適用されるデータ保護法に基づき必要とされる、適用されるその他の移転条項に準拠するものとする。この条項は、参照により本 DPA に加えられ、組み込まれるものとする。

a. 本 DPA の付属書 A および付属書 B は、それぞれ、制限付き移転と技術的/組織的対策の詳細を定めるものである。

b. その他の制限付き移転に関連する紛争は、その他の制限付き移転が行われる国の適用法に準拠し、当該国の裁判所において解決されるものとする。

‍

‍

4. 第三者請求と秘密保持。

ジョーシスは、以下の場合を除き、個人データを第三者に開示しないものとする。（i）お客様の請求に応じて行う場合。（ii）本 DPA の定めに従って行う場合。（iii）本サービスを提供するために必要である場合。（iv）適用法もしくは法執行機関の有効かつ拘束力を有する命令により必要とされる場合。本 DPA に定める規定にかかわらず、ジョーシスは、ジョーシスの許可に基づいて個人データを処理する者に必ず秘密保持義務が適用されるようにし、かかる秘密保持義務を負わない者に個人データの処理を許可しないものとする。法律による別段の定めがある場合を除き、ジョーシスは、ジョーシスが受け取った、個人データに関連する執行機関、行政機関、または他の政府機関の召喚状、裁判所命令、行政命令、または仲裁廷命令（以下、「命令等」という）を、法律により禁止されていない限り、お客様に速やかに通知するものとする。ジョーシスは、お客様の要請に応じて、ジョーシスが保有する、命令等に対応できる合理的な情報、およびお客様が命令等に適時に対応するために合理的に必要な支援をお客様に提供するものとする。

‍

‍

5. データ主体の請求。

5.1. ジョーシスは、お客様から要請があった場合、適用される処理の性質を考慮したうえで、お客様が適用されるデータ保護法に基づき、データ主体が適用されるデータ保護法に基づく権利を行使するために行った請求に対応するお客様の義務を遵守するために、可能な限り、適切な技術的/組織的対策によりお客様を支援する。ただしこれは、本サービスの利用によるものも含め、お客様がかかる請求に独力では合理的に対応できない場合に限られる。

‍

5.2. ジョーシスは、データ主体から本人の個人データに関する請求を受けた場合、お客様に通知するとともに、データ主体に対してかかる請求をお客様に提出するよう通知し（適用されるデータ保護法で義務付けられていない限り、これ以外のかかる請求に関する当該データ主体とのやり取りは行わない）、お客様はかかる請求に対応する責任を負うものとする。

‍

‍

6. 技術的/組織的セキュリティ対策。

ジョーシスは、お客様の個人データの機密性、セキュリティ、完全性、可用性および真正性をセキュリティインシデントから守り、保護するために、付属書 B に記載するセキュリティ対策を含む、合理的かつ適切な物理的、技術的、組織的、および管理上の保護策を実施し、維持するものとする。

‍

‍

7. セキュリティインシデントの通知。

セキュリティインシデントが発生した場合、ジョーシスは、そのセキュリティインシデントを認識した後、不当な遅延なくお客様に通知する。また、ジョーシスは、セキュリティインシデントの原因を特定し、ジョーシスが制御できる範囲内でその影響を軽減するために合理的な努力も尽くすものとする。 ジョーシスは、お客様から要請があった場合、処理の性質、ジョーシスが使用できる情報、秘密保持などの情報開示に関する制限事項を考慮したうえで、適用されるデータ保護法に基づくセキュリティインシデント通知義務を果たすために合理的に必要な情報を提供することで、お客様を支援するものとする。

‍

‍

8. 監査権。

お客様から 30 日前までに書面で通知を受けた場合、本規約に定める秘密保持義務に従うことを条件として、ジョーシスは、お客様の個人データの保護に関連する手順を、ジョーシスの第三者証明書および監査報告書（以下、「監査報告書」という）の形式で、ジョーシスがこれらを一般に自己の顧客に提供する範囲内でお客様に提供するものとする。 お客様は、セキュリティインシデントが発生した場合、最新の監査報告書のコピー、セキュリティインシデント報告書、改善計画、ならびに完了時に、特定され是正された根本原因があればそれを示す改善計画のコピーを要求する権利を有するものとする。

‍

‍

9. 復処理者。

お客様は、ジョーシスが付属書 C（「復処理者」）に特定する復処理者を利用して本サービスを提供できることを了承し、これに同意するとともに、ジョーシスに復処理者を利用するための全般的承認を与える。 お客様はさらに、ジョーシスが自己の関連会社を復処理者として利用できることに同意する。 お客様は、復処理者を変更する提案に関する自動通知をジョーシスから受け取り、異議を唱える機会を得られるように登録することができる。お客様は、かかる通知を受けてから 30 日以内であれば、かかる復処理者に対する異議を、データ保護上の正当な懸念に基づく具体的な詳細を提示することにより、ジョーシスに通知することができる。ジョーシスは、かかる異議に合理的な根拠がある限り、合理的な期間内にかかる異議に対応するものとする。 ジョーシスは、復処理者に個人データを処理させる前に、本 DPA に定めるものと実質的に同一のデータ保護義務を当該復処理者に課すものとする。ジョーシスは、引き続き、自己の復処理者について責任を負い、ジョーシスが本DPA に基づく義務に違反する原因となった当該復処理者の作為不作為について、ジョーシス自身の作為不作為の場合と同様に責任を負うものとする。

‍

‍

10. 個人データの削除。

ジョーシスは、法律で別段の定めがある場合を除き、本サービスの提供に関連して処理されたお客様の個人データを、本規約の終了後 180 日以内に削除するものとする。前記にかかわらず、バックアップファイルについては、終了後 7 ヵ月以内に削除するものとする。

‍

‍

11. CCPA。

ジョーシスが、CCPA に基づくカリフォルニア州の消費者であるデータ主体の個人データを処理する場合、CCPA（随時改正または差し換えられることがある）の必要な契約条項が本 DPA に組み込まれる。お客様およびジョーシスは本 DPA により、お客様からジョーシスへの個人データの移転が、いかなる場合も、個人データの販売またはジョーシスへの有償での個人データの移転に相当するものではないこと、および、いかなる規定も個人データのジョーシスへの販売または有償移転を定めるものと解釈されてはならないことを了承し、これに合意する。ジョーシスは、次のいずれも行わないものとする。（a）個人データを販売もしくは共有すること。（b）本サービスを実施する目的以外で、かつ本サービスを実施するために必要な範囲を超えて、または CCPA で認められている目的以外で、個人データを保持、使用、または開示すること。（c）本サービスの実施に必要のない商業的目的で個人データを保持、使用、または開示すること（CCPA で明示的に認められている場合を除く）。（d）お客様とジョーシスの間での直接の取引関係以外の状況で、個人データの保持、使用、開示、公開、移転、提供、またはその他の形態による伝達を行うこと（CCPA で明示的に認められている場合を除く）。（e）個人データを、ジョーシスが他の企業もしくは個人から、また他の企業もしくは個人に代わって受領した個人情報、またはジョーシスが個人とのやり取りから収集した個人情報と組み合わせること。さらに、（i）ジョーシスが個人データを処理する具体的な事業目的が本規約に記載されており、ジョーシスは、お客様が本規約に定める限定的かつ所定の本サービスのみのために、個人データをジョーシスに開示することを了承する。（ii）ジョーシスは、CCPA の適用される全条項を遵守するものとし、これには、（x）付属書 B（技術的措置/組織的対策）に定める個人データに関して、お客様がCCPA により義務付けられているものと同水準のプライバシー保護を提供すること、および（y）お客様が CCPA に基づく義務を履行するために合理的な支援を提供することなどが含まれる。（iii）CCPA により義務付けられている範囲内で、かつ監視の範囲に関する事前の相互合意がある限りにおいて、ジョーシスは、30 日前までに通知を受けた場合、お客様またはその被指名人（ジョーシスの競合他社であってはならず、ジョーシスとの間で適切な秘密保持契約を締結するものとする）に対し、通常の営業時間内に、かつお客様の費用負担により、特にお客様の個人データに関するジョーシスによる CCPA の遵守状況を監視することを許可するものとする。（iv）お客様は、書面での通知により、ジョーシスによる個人情報の不正使用を中止および是正させるための合理的かつ適切な措置を講じる権利を有する。（v）ジョーシスは、CCPA に基づくお客様の個人データに関する自己の義務を果たすことができなくなったと判断した場合、お客様にその旨を通知するものとする。（vi）ジョーシスおよびお客様は、CCPA に基づきなされた消費者からの該当する請求があれば、これを電子メールでお客様に（お客様への通知が必要な場合）、または int-legal@josys.com に（ジョーシスへの通知が必要な場合）転送し、その請求に従うために必要な情報があればこれを相手方に提供することにより、CCPA に基づきなされた個人データに関する消費者からの請求に両者が対応できるようにするものとする。ジョーシスは、個人データを処理する下請業者との契約に、CCPA に規定されている制限事項および要件を含める。

‍

‍

12. テナント。

テナントが、本規約の条件を承諾することで本 DPA の当事者になる場合、データ保護法の下で必要とされる範囲内で、当該テナントは、以下に従うことを条件として、本DPA に基づく権利を行使し、本 DPA に基づく救済を求める権利を有するものとする。データ保護法により、当該テナントが自ら直接ジョーシスに対して、本 DPA に基づく権利を行使するか、または本 DPA に基づく救済を求める必要のある場合を除き、両当事者は、（i）本規約の契約当事者であるお客様のみが、当該テナントに代わって、かかる権利を行使するか、かかる救済を求めるものとすること、および（ii）本規約の契約当事者としてのお客様は、本 DPA に基づくかかる権利を、テナントごとに個別に行使するのではなく、全テナントに対して一括で行使するものとすることに合意する。

‍

‍

13. 責任の制限。

本 DPA に基づきジョーシスならびにお客様およびそのテナントがそれぞれ負う責任は、本規約の責任制限条項に従って制限されるものとする。 疑義を避けるため、本規約および 本DPA に起因または関連して行われた、お客様およびその全テナントからのすべての請求に対するジョーシスの賠償責任総額は、本規約および本 DPA の下での全請求（お客様および全テナントによる請求を含む）の金額を合算する形で適用されるものとし、特に、当該テナントが本規約および本 DPA の契約当事者であるかどうかに関わらず、お客様および/またはテナントに対し、個別かつ別々に適用されるものと解釈されない。

‍

‍

14. 契約の終了。

本 DPA は、本規約が満了または解除されるまで、またはジョーシスがお客様の個人データを処理しなくなるまで、有効に存続するものとする。

‍

‍

15. 雑則。

本 DPA の条項と本規約の条項との間に矛盾がある場合、本 DPA の主題については本 DPA が優先されるものとする。本 DPA により行われる変更を除き、本規約は変更されることなく有効に存続する。本 DPA は、本規約の目的に則して明記された地域の国の法律に準拠し、同法に従って解釈されるものとし、また、両当事者はいずれも、本 DPA の下で生じるあらゆる請求または事項に関して、本規約に明記する司法管轄区域の選択に服することに同意する。必要な規定が欠落している場合、両当事者は、誠実に、適切な規定を追加するものとする。矛盾が生じた場合、個人データの処理に関する優先順位は、 本 DPA、次に本規約の順とする。標準契約条項が本 DPA の不可欠な部分である場合、標準契約条項が優先されるものとする。本 DPA は、本 DPA の主題に関連する従前の書面および口頭による合意事項、伝達内容、およびその他の了解事項すべてに優先し、取って代わるものである。