最終更新日:2021年11月16日 (英語版)
このTiDBクラウドサービスに関するデータ処理契約 (以下「DPA」という。) は、TiDBクラウドサービス契約 (以下「CSA」という。) の不可欠な一部を構成する。本DPAは、TiDBクラウドサービスの提供を目的としたCSA個人データの処理に関するデータ保護要件を定めるものである。本DPAで定義されていないすべての用語は、CSAで定められた意味を有するものとする。
1. 定義
1.1. 「CSA個人データ」とは、TiDBクラウドサービスの提供又はTiDBクラウドサービス契約 (以下「CSA」という。) に定めるPingCAPのその他の義務の履行に関してPingCAPが処理する個人データをいう。
1.2. 「データ保護法」とは、ある当事者が本契約又は購入契約に基づく権利を行使し、又は義務を履行するにあたり適用を受けるすべてのデータ保護法及びプライバシー法 (EU一般データ保護規則2016 / 679 (以下「GDPR」という。) 及び英国GDPRを含む。) をいう。
1.3. 「管理者」(Controller) 、「データ主体」(Data Subject)、 「個人データ」(Personal Data)、「 処理する」(Process)、「 処理者」(Processor)、「 個人データ侵害」(Personal Data Breach) 及び「監督当局」(Supervisory Authority) は、適用されるデータ保護法に基づきこれらの用語又はこれらと相関する用語に付与された意味を有するものとする。
本DPA中のその他の用語は、本DPA中で明示的に定義されている用語を除き、CSAにおいて当該用語に付与されている意味を有するものとする。
2. 役割及び処理の範囲
PingCAPは、CSAの規定に従ってTiDBクラウドサービスを遂行するものとする。下記第3条乃至第5条において詳細を定めるCSA個人データの処理に関し、両当事者は、PingCAPがTiDBクラウドサービスを提供する場合、お客様が管理者、PingCAPが処理者となることを認識している。
3. お客様によるCSA個人データの処理
お客様は、PingCAPによるCSA個人データの取扱いを可能にするために必要なすべての同意、登録及び権限をお客様が有し、かつ有効に維持することを確保するものとする。
4. PingCAPによるCSA個人データの処理
4.1. PingCAPは、自社によるCSA個人データの処理に関するすべてのデータ保護法を遵守する。
4.2. PingCAPは、次の各号のいずれかに該当する場合に限り、CSA個人データを処理する。
- 4.2.1. お客様からの書面による指示に対応するために必要な場合 (別途合意された場合を除き、CSAに基づくTiDBクラウドサービスを提供するために必要な個人データの処理をいう。)
- 4.2.2. PingCAPが適用を受けるデータ保護法を遵守するために必要な場合。この場合、PingCAPは (法令により許容される限度において) CSA個人データの処理に先立ち、当該法的要求事項をお客様に通知するものとする。
4.3. PingCAPは、お客様からの指示がデータ保護法を侵害すると合理的な判断において認識した場合、お客様に通知する。
4.4. PingCAPは次の各号に定める事項を目的として、CSA個人データの処理に関する適切な技術的・組織的措置を実施する。
- 4.4.1. 当該処理がデータ保護法の要求事項に適合するとともに、データ主体の権利の保護を確保すること。
- 4.4.2. PingCAPが処理するCSA個人データに関し、当該処理により発生するリスク (特に、伝送、保存又はその他の方法により処理されるCSA個人データの偶発的又は違法な破棄、損失、改ざん、無断開示又はアクセスがもたらすリスク) に適したレベルの安全性を、当該CSA個人データの性質、技術開発の状況及び措置の実施費用を考慮した上で確保すること。
4.5. PingCAPは、CSA個人データに影響を及ぼす個人データ侵害を認識した場合、不当な遅延なく、データ保護法に基づきお客様に課される報告義務その他の義務をお客様が履行できる程度に詳細な通知をお客様に対して行う。
4.6. 第4.5条に定めるすべての情報を、個人データ侵害の最初の通知の一部として提供することが不可能な場合、PingCAPは当該情報が合理的に入手可能となり次第、段階的にこれを提供する。
4.7. 第4.4.2条に基づくPingCAPの義務を損なうことなく、PingCAPは、お客様がデータ主体からの要請に対応するにあたり、また、下記の事項に関してデータ保護法に基づくお客様の義務の遵守を確保するにあたり、お客様に合理的な援助、情報及び協力を提供する。
- 4.7.1. 処理のセキュリティ
- 4.7.2. 個人データ侵害に関するお客様による監督当局への届出又はデータ主体への通知
- 4.7.3. 当該個人データの処理に関するデータ保護影響評価の実施
- 4.7.4. リスクの高い処理に関する監督当局との事前相談
4.8. PingCAPは、CSA個人データを処理する権限を付与されたPingCAPのすべての人員が秘密保持を誓約済みであり、又は適切な法定の守秘義務を負っており、かつ、データ保護法を遵守するための適切な教育訓練を受けていることを確保する。
4.9. TiDBクラウドサービスの提供の終了後、又はCSA第5.5条に基づく検証可能な消費者からの要請に応じるために必要な場合、PingCAPはお客様からの要請に応じ、CSA個人データを削除し、又はお客様に返還する。但し、PingCAPは適用法令により要求される限度において、PingCAPが速やかに次の各号のすべてに従うことを条件として、CSA個人データのコピーを保持する権利を有するものとする。
- 4.9.1. どのようなCSA個人データを保持するかを、書面により受領者に通知すること。
- 4.9.2. 当該CSA個人データを当該適用法令に基づき保持しなければならない理由を受領者に通知すること。
4.10. PingCAPは、CSA個人データの処理、又はCSA個人データに関するデータ主体の権利行使に直接又は間接に関係する苦情、通知又は連絡を受けた (監督当局、データ主体、又はその他の者から受けたかを問わない。) 場合、合理的に実行可能な限り速やかにお客様に通知する。
5. 処理の詳細
5.1. 処理の対象事項
PingCAPは、CSAに基づき、CSA個人データの処理を伴う可能性のあるTiDBクラウドサービスの提供を行うことに同意している。
5.2. 期間
CSAが終了し、又は解約若しくは解除された場合であっても、本DPA及び別紙に定める標準契約条項 (該当する場合) は、本DPAに定めるすべてのCSA個人データが削除されるまで有効に存続する。
5.3. 処理の性質及び目的
処理の性質及び目的は、TiDBクラウドサービスの提供である。
5.4. 処理される個人データの種類
PingCAPはTiDBクラウドサービスの提供過程において、お客様が決定及び管理する次の各号に定める種類の個人データを処理する可能性がある。
-
5.4.1. 識別データ、経歴データ、連絡先データ (氏名、生年月日、学歴、住所、電話番号、Eメールアドレス、その他の連絡先情報等)
-
5.4.2. 財務データ (支払情報、取引情報、口座情報等)
-
5.4.3. 雇用データ (雇用主、従業員、役職、事業所の情報、責務等)
-
5.4.4. 技術データ (IPアドレス、運用データ、地理的位置情報、クッキーデータ、デバイス及びブラウザの情報等)
-
5.4.5. 特殊な種類の個人データ (該当する場合) CSAにおいて適用される制限及び条件を前提として、お客様は「特殊な種類の個人データ」又は同様に機密性の高い個人データ (としてデータ保護法に規定され、又は定義されているもの) を、CSA個人データに含めることができる。かかる種類の範囲はお客様が独自の裁量により決定及び管理する。
5.5. データ主体の種類
データ主体の種類は、お客様が決定及び管理し、次の各号に定めるものを含む場合があるが、これらに限られない。
-
5.5.1 お客様の (自然人である) 取引先、顧客、見込み顧客
-
5.5.2 お客様の (自然人である) 従業員、労働者、ベンダー、独立受託業者
-
5.5.3 お客様のベンダー、独立受託業者、取引先、顧客及び見込み顧客の従業員及び連絡担当者
6. 復処理
お客様は、PingCAPによる本件サービスの提供を補助する復処理者をPingCAPが任命することを包括的に承認するものとする。但し、PingCAPが次の各号のすべてに従うことを条件とする。
6.1 PingCAPが復処理者を任命する条件が、適用されるデータ保護法を遵守しているとともに、本DPAにおいてPingCAPに課されている義務と合致することを保証すること。
6.2 復処理者の追加又は交代に関する変更の予定について、PingCAPのウェブサイトで閲覧可能な復処理者の最新リストをお客様に知らせるための合理的な事前通知を、お客様がTiDBクラウドに登録したEメールアドレス宛に行う。かかる通知を受けてから10日以内に、お客様が書面により予定される任命に対する異議 (データ保護への配慮に関する合理的な根拠に基づくもの) を留めた場合、(a) PingCAPは、当該復処理者を用いることなくTiDBクラウドサービスを提供するための取引上合理的な変更を行うべく合理的な努力を尽くすものとし、また、(b) 取引上合理的な変更を行うことができなかった場合は、いずれの当事者も、他方当事者への書面通知により、影響を受けるTiDBクラウドサービスに関する限りにおいて、CSAを直ちに解除することができる。予定する任命に関してお客様からの書面通知がなかった場合、お客様は当該任命に同意したものとみなされる。
疑義を避けるために付言すると、第6.1条は、PingCAPが別紙に定める標準契約条項に基づいて今後復処理者を任命することに対するお客様の包括的同意を構成する。
7. データ移転
TiDBクラウドサービスを遂行するために必要な場合に、お客様がCSA個人データを、英国、スイス又は欧州経済領域 (併せて「制限国」という。) から、(制限国のデータ保護法の意味及び範囲における) 十分なレベルの保護が確保されない国の国内のPingCAPに移転した場合、当該移転には別紙に定める標準契約条項が適用されるものとする。PingCAPは、本DPAに組み込まれている、別紙に定める標準契約条項を遵守すること及び制限国からのCSA個人データを同条項に従って処理することに同意し、これらの目的において、PingCAPは別紙に定める標準契約条項上の「データ輸入者 (data importer)」とし、(たとえお客様が規制国外に所在する事業体であっても) お客様は同条項上の「データ輸出者 (data exporter)」となる。
8. お客様の監査権
PingCAPは、1暦年に1回まで、書面による合理的な事前通知に応じ、PingCAPが本DPAに基づく義務を遵守していることを示すのに必要なすべての情報をお客様に提供するものとし、また、この目的のために、お客様 (又はお客様の委任を受けた他の監査人。但し、当該監査人がPingCAPにとって受け入れ可能な条件の秘密保持契約をPingCAPと締結することを条件とする。) による監査 (調査を含む。) を許可するものとする。但し、かかる監査が通常の営業時間帯に行われ、かつ、(a) PingCAPの業務及びサービス、並びに (b) PingCAPの他の顧客のデータの秘密性又はセキュリティを妨害しないことを条件とする。疑義を避けるために付言すると、別紙に定める標準契約条項に基づく監査権の行使は、本第8条に定めるとおりとする。
9. 言語
本契約の英語版はあらゆる点で優先し、翻訳版との不一致がある場合には、英語版が優先するものとする。
別紙
標準契約条項
1. 定義
1.1. 「標準契約条項」とは、状況に応じて、次のいずれかを意味する。
- a. EU標準契約条項
- b. 英国標準契約条項
1.2. 「EU標準契約条項」とは、2021年6月4日付委員会実施決定 (EU) 2021 / 914に従って承認された、第三国への個人データの転送に関する標準契約条項を意味する。
1.3. 「英国標準契約条項」とは、2010年2月5日付委員会決定2010 / 87 / EUに従って承認された、第三国で設立された処理者への個人データの転送に関する標準契約条項を意味する。
2. EU標準契約条項
DPA第7条の対象となる欧州経済領域又はスイスからのCSA個人データの転送については、EU標準契約条項が以下の方法で参照によりこのDPAに組み込まれる。
2.1. モジュール2 (管理者から処理者) は、お客様が管理者である範囲で適用され、モジュール3 (処理者から処理者) は、お客様が処理者である範囲で適用される。
2.2. オプション条項である第7条は除外される。
2.3. 第9条 (a) については、オプション2 (一般的な書面による承認) が選択され、復処理者の変更の事前通知期間は、DPA第6.2条に定められている。
2.4. 第11条 (a) については、オプション条項は除外される。
2.5. 第17条については、オプション1が選択され、EU標準契約条項はオランダ法に準拠するものとする。
2.6. 第18条については、紛争はオランダ裁判所で解決されるものとする。
2.7. 附属書IパートAについては、以下が適用される。
-
2.7.1. データ輸出者:CSAにおいて「お客様」として識別されたエンティティ
連絡先情報:お客様の現在のアカウントに関連付けられているメールアドレス
役割:DPA第2条の規定の通り
署名と日付:お客様がCSAの契約条件に同意することを確認するチェックボックスをオンにして、「TiDBクラウドサービス契約に同意します」若しくはこれに類するボタンをクリックした日付、又はこれより早い場合はTiDBクラウドサービスクラスタを作成した日付 -
2.7.2. データ輸入者:PingCAP (CSAで定義)
連絡先情報:legal@pingcap.com;
役割:DPA第2条の規定の通り
署名と日付:お客様がCSAの契約条件に同意することを確認するチェックボックスをオンにして、「TiDBクラウドサービス契約に同意します」若しくはこれに類するボタンをクリックした日付、又はこれより早い場合はTiDBクラウドサービスクラスタを作成した日付
2.8. 附属書IパートBについて、移転の説明はDPA第5条 (処理の詳細) に記載されている。
2.9. 附属書IパートCについて、管轄監督当局は、GDPR及びEU標準契約条項第13条に従って決定される。
2.10. 附属書IIについて、DPA第4.4条は、データ輸入者によって実施される技術的及び組織的セキュリティ対策を規定している。
2.11. 附属書IIIについて、管理者は、ここにリストされている復処理者の使用を承認している。
3. 英国標準契約条項
DPA第7条の対象となる英国からのCSA個人データの転送については、英国標準契約条項が次の附則と共にこのDPAに組み込まれる。
3.1. 英国標準契約条項附則1
データ輸出者:CSA、及びデータ輸出者とデータ輸入者の間に適用され英国の標準契約条項が追加されるDPAにおいて「お客様」として識別されるエンティティ
データ輸入者:(データ保護法に定める意味及び範囲内で) 適切なレベルの保護を保証していない国においては、PingCAP (CSAで定義)
データ主体:転送される個人データは、DPA第5.5条に定めるデータ主体のカテゴリに関係する。
データの種類:転送される個人データは、DPA第5.4条に定めるデータのカテゴリに関係する。
特殊な種類のデータ (該当する場合):転送される個人データは、DPA第5.4.5条に定める特別なカテゴリのデータに関係する。
処理手順:転送される個人データは、DPA第3条から第5条に定める基本的な処理手順の対象となる。
3.2. 英国標準契約条項附則2第4条 (a) 及び第5条 (c) に従ってデータ輸入者によって実施される技術的及び組織的セキュリティ対策の説明は、DPA第4.4条に定められている。
3.3. 英国標準契約条項附則3
-
3.3.1. データ輸入者は、国家の安全、防衛及び公共の安全を保護するために民主主義社会において必要と考えられる範囲を逸脱する干渉から保護するため、EU GDPR 2016 / 679の要件に従って、データ輸出者からEU標準契約条項に基づいて受信した個人データ (「SCC個人データ」という。) を保護するための補充的措置を採用すること (暗号化若しくは同様の技術、アクセス制御、又はその他のこれに代わる制御等の適切な技術的及び組織的保護手段を実施することを含む。) を約束する。
-
3.3.2. データ輸入者が公的機関によるSCC個人データへのアクセスに関する法的拘束力のある要求を受け取った場合、データ輸入者は、法執行機関の調査の機密性を保持するための刑法上の禁止等により通知を提供することを禁じられている場合を除き、データ輸出者が介入してそのような開示からの救済を求めることができるよう、当該要求をデータ輸出者に迅速に通知するものとする。データ輸入者が提供を禁止されている場合には、
-
3.3.2.1. 可能な限り多くの情報をできるだけ早く伝達し、それを証明できるようにするために、この禁止事項を放棄する権利を取得するために最善を尽くすものとする。
-
3.3.2.2. 合理的な最善の努力を尽くしたにもかかわらず、データ輸入者がデータ輸出者に通知することを許可されない場合、データ輸出者又はデータ輸出者の管轄監督機関に対して、自らが受け取った要求に関する基本情報を毎年提供するものとする。
-
3.3.2.3. 適用法において許容される範囲においてかかるアクセスの要求に反対し、その法的有効性に異議を唱えるものとする。
-
-
3.3.3. 公的機関によるSCC個人データへのアクセスの要求があった場合、データ輸入者は、大規模、不均衡、無差別であると判断された公的機関に対して、民主主義社会において必要と考えられる範囲を逸脱する方法でSCC個人データを開示しないものとする。
-
3.3.4. この附則3の規定と英国標準契約条項との間に矛盾がある場合は、英国の標準契約条項が優先する。
4. 標準的契約条項に関する相互理解
お客様とPingCAPの双方は、以下のそれぞれが標準契約条項の不可欠な一部を形成すること、及び、標準契約条項に基づくそれぞれの義務の相互理解を設定するものであることに同意する。
4.1. EU標準契約条項第8.9条及び英国標準契約条項第5条 (f) について、お客様は、DPA第8条に従い、各条項に基づいて監査権を行使することを認め、これに同意する。
4.2. EU標準契約条項第9条 (c) 及び英国標準契約条項第5条 (j) について、お客様は、PingCAPが秘密保持義務を理由として復処理契約を提供することを制限される場合があることを認め、これに同意する。
4.3. EU標準契約条項第12条、及び英国標準契約条項第6条について、お客様は、標準契約条項から生じる責任及び請求が、CSA第10条に定める制限に服することを認め、これに同意する。