データ処理契約

このデータ処理に関する補遺の条件をご理解いただけない場合は、サービスをご利用になる前に、当社までご連絡ください。

このデータ処理補遺（以下「DPA」）は、お客様のremot.it利用規約を補足するものです。お客様のremot3.it契約は、お客様がサービスの使用に関してremot3.it, Inc.の事業体と別の契約を締結していない限り、remot.it利用規約です（その用語はremot3.it契約において定義されています）。本DPAは、EU一般データ保護規則（「GDPR」）の対象となるデータ処理活動の文脈で、ユーザーが本サービスを使用している範囲に適用されます。

本DPAは、株式会社remot3.it（本DPAでは「remot3.it」と表記します）が締結するものです。お客様は、お客様のremot3.itアカウントまたはremot3.it契約に対応する法人を代表して本DPAを受諾するには、既存のremot3.itアカウントをお持ちであるか、remot3.it契約の当事者であることが必要です。お客様とremot3.itを総称して、このDPAでは「当事者」と呼びます。

本DPAは、remot.itサービスのアカウントを作成した時点で、あなたとremot3.itの間で法的拘束力を持つようになります。お客様が既存のremot3.itアカウントをお持ちでない場合、またはremot3.it契約の当事者でない場合、お客様は本DPAを受け入れることができず、受け入れの試みは無効であり、何の効力もありません。

1.一般

本DPAは、サービスを提供する目的でremot3.itが収集、開示、保存、アクセスまたはその他の方法で処理する個人データ（これらのフレーズはそれぞれ以下に定義されます）の処理に関するデータ保護、セキュリティおよび機密性の要件を定めています。

2.定義

本DPAで使用される場合、これらの用語は以下の意味を有します。本DPAの中で定義されていない大文字の用語は、remot3.it契約で与えられた意味を持ちます。

「適用法」とは、個人データのプライバシー、機密性、セキュリティおよび保護に関する欧州連合（「EU」）または国内のすべての適用法および規制を意味し、以下を含みますが、これらに限定されるものではありません。欧州連合データ保護指令95/46/EC（2018年5月25日から発効した一般データ保護規則2016/679（「GDPR」）などにより随時改正または置換される）、およびGDPRを補完するEU加盟国法。EU指令2002/58/EC（「e-Privacy指令」）、随時改正または置換されるもの、およびクッキーおよびその他の追跡手段の使用ならびに未承諾電子メール通信を規制する法律を含むe-Privacy指令を実施するEU加盟国の法律、およびセキュリティ侵害通知を規制しデータセキュリティ要件を課するEU加盟国の法律。

「データ管理者」とは、単独で、または他者と共同で、個人データの処理の目的および手段を決定する主体を意味します。

「データ処理者」とは、データ管理者に代わって個人データを処理する事業者をいいます。

「データ対象者」とは、個人データが関連する特定または識別可能な自然人を意味します。

「顧客」とは、データ対象者または識別可能な自然人を意味します。

「指示」とは、本DPAおよびデータ管理者またはその関連会社がデータ処理者に特定の個人データの処理を指示するための書面による契約または文書を意味します。

「個人データ」とは、識別された、または識別可能な自然人に関するあらゆる情報を意味します。識別可能な自然人とは、特に名前、識別番号、位置情報、オンライン識別子などの識別子、またはその自然人の身体、生理、遺伝、精神、経済、文化、社会的アイデンティティに固有の1以上の要素を参照して、直接的または間接的に識別できる人であり、サービスをあなたに提供するという目的で remot3.it によって収集、開示、保管、アクセス、その他の処理をされたものを指します。

「処理」とは、個人データまたは個人データの集合に対して行われる、収集、記録、整理、構造化、保存、適応または変更、検索、相談、使用、送信による開示、普及またはその他の利用可能化、調整または結合、制限、消去または破壊などの操作または一連の操作を意味します。

「偽名化」とは、追加情報を使用せずに個人データを特定のデータ対象者に帰属させることができなくなるような方法で、個人データを処理することを意味します。

「センシティブデータ」とは、人種または民族的出身、政治的意見、宗教的または哲学的信条、労働組合への加盟、遺伝情報、生体情報、健康、性生活または性的指向に関するデータを明らかにする個人データを指します。

「サブプロセッサー」とは、データ処理者またはその他のサブプロセッサーが、データ管理者に代わって、またデータ管理者の権限の下で個人データを処理するために従事する事業体を指します。

3.個人情報の取り扱いについて

3.1 データ処理者としてのremot3.it当事者は、remot3.itが電子機器ネットワーキングプラットフォームを運営および管理し、お客様のネットワークデバイスのデバイス接続を容易にする限りにおいて、remot3.itがお客様に代わってデータ処理者として行動し、お客様がデータ管理者として行動することを認め、同意します。remot3.itは以下の第5条（「サブプロセッサ」）に定める要件に従ってサブプロセッサを従事させるものとします。

3.2 データ管理者としてのremot3.it 当事者は、remot3.itが電子機器ネットワーキングプラットフォームを運営、管理し、お客様のネットワークデバイスのデバイス接続を容易にする限りにおいて、remot3.itがデータコントローラとして機能していることを認め、同意するものとします。

3.3 データ対象者としてのお客様当事者は、remot3.itが電子機器ネットワーキングプラットフォームを運営、管理し、お客様のリモートネットワーク機器のデバイス接続を容易にする限りにおいて、お客様、お客様がお客様のデバイスおよびアカウントへのアクセスを提供する者がデータ対象者として行動することを認め、同意するものとします。

3.3 個人データの処理当社は、お客様によるサービスの使用および指示の提供において、適用法の要件に従って個人データを処理し、合法的な指示をremot3.itに提供するものとします。当社は、データ対象者が個人データの処理に関する適切な情報を提供されるようにし、適用法で要求される場合は、当該処理についてデータ対象者の同意を得るようにするものとします。

3.4 remot3.itの個人データの処理。remot3.itがデータ処理者およびデータ管理者として行動している範囲において、remot3.itは以下のことを行います。(c) remot3.itの公認監査人が行う監査または検査に貢献し、合理的な要求に応じてそれぞれの監査報告書を提供する（年に1回を超えない頻度）、ただし、お客様は当該監査報告書に関してremot3.itと非開示契約を締結するものとする；(d) 個人データを処理するためにremot3.itにより承認された者が個人データの秘密を尊重することを確約される；(e) 個人データを処理するためにremot3.itが行う検査に協力する。(d)要求に応じて、あなたに合理的な支援を提供し、あなたの費用負担で、データ保護影響評価の実施と監督当局との協議に関して、適用法で義務付けられているデータコントローラーの義務の遵守を促進します。

3.5 処理の内容remot3.itによる個人データの処理の主題は、remot3.it契約に基づくサービスの実行です。処理の期間、処理の性質および目的、本DPAの下で処理される個人データの種類およびデータ主体のカテゴリは、本DPAの別表Aでさらに規定されています。

4.データ対象者の権利

4.1 データ対象者の要求 remot3.itは、適用法またはその他の適用される法律もしくは規制要件で認められる範囲において、データ対象者が個人データへのアクセス、訂正または消去の権利、処理を制限または反対する権利、およびデータポータビリティに対する権利を行使する正式な要求についてユーザーに通知し、ユーザーから書面で指示がない場合はその要求に応じないようにするものとします。

5.サブプロセッサー

5.1 サブプロセッサの選任。あなたはそれを認め、同意するものとします。(a) remot3.it の関連会社はサブプロセッサーとして保持されることがあり、(b) remot3.it と remot3.it の関連会社はサービスの提供に関連して第三者のサブプロセッサーを雇用することがあります。remot3.it または remot3.it 関連会社はサブプロセッサーと書面による契約を結び、個人データ保護に関して本契約で remot3.it に課せられるのと同等のデータ保護義務がサブプロセッサーに課せられることにします。サブプロセッサーがremot3.itとの当該書面による合意に基づくデータ保護義務を履行しない場合、remot3.itは、remot3.it契約に別途規定がある場合を除き、当該合意に基づくサブプロセッサーの義務履行についてお客様に対して責任を負い続けるものとします。このDPAによって、データコントローラは、データ処理者としてremot3.itに、サービスを実行するために必要なサブプロセッサーを従事させる一般的な書面による権限を提供します。

5.2 現在のサブプロセッサーのリスト remot3.itは、サービスのためのサブプロセッサーのリストを利用できるようにするものとします。remot3.itのサブプロセッサーの現在のリストは、スケジュールCで見つけることができます。remot3.itは、remot3.itのサブプロセッサーの追加、交換またはその他の変更を反映してリストを更新するものとします。

5.3.新しいサブプロセッサーに対する異議申し立て権お客様は、remot3.it契約の解除および責任条項に従い、正当な理由でremot3.itが新しいサブプロセッサーを使用することに合理的に反対することができます。データ対象者は、これらのサブプロセッサーがサービスの提供に不可欠であること、およびサブプロセッサーの使用に異議を唱えるとremot3.itがデータ対象者にサービスを提供できなくなる可能性があることを認識するものとします。

6.セキュリティ

6.1 個人データ保護のための管理。各当事者は、個人データのセキュリティ、機密性及び完全性を保護するために、適切な技術的及び組織的措置を実施し、維持するものとし、これには、適切な場合を含みます。(a) 個人データの仮名化及び暗号化 (b) 個人データの処理に関わる処理システム及びサービスの継続的な機密性、完全性、可用性及び回復力を確保する能力 (c) 物理的又は技術的事故が発生した場合に、個人データの可用性とアクセスを適時に回復する能力 (d) 個人データの処理のセキュリティを確保するための技術的及び組織的措置の有効性を定期的にテスト、評価及び査定するためのプロセス。

6.2 個人データのインシデント管理と通知 remot3.itは、個人データの損失、盗難、誤用、不正アクセス、開示、取得、破壊、その他の妥協（「インシデント」）を含むデータセキュリティインシデント管理に対処する、適用法に準拠したデータセキュリティインシデント管理プログラムを実施、維持するものとします。適用される法律、規制、法執行の要件に従うために必要な範囲を除いて、remot3.itは、remot3.itがあなたのために処理する個人データに影響を与えるシステムで発生した事件を認識した後、適用法に従って不合理な遅延なしにあなたに通知します。

6.3 技術的および組織的なセキュリティ対策。remot3.itのセキュリティ対策の現在の詳細は、スケジュールBで見つけることができます。remot3.itは、データの整合性、およびデータの保護の高い基準を修正および維持するために必要に応じて、セキュリティ対策を更新します。

7.顧客データの返却と削除

7.1 remot3.itは、サービスの提供の終了時にデータ対象者に対するすべての個人データを削除し、個人データのさらなる保存が適用法で要求または許可されていない限り、既存のコピーを削除します。

8.データ転送

8.1 データ転送メカニズム。当事者は、本サービスを提供するために必要な場合、本DPAの下で処理された個人データを欧州経済領域（「EEA」）またはスイスの外に転送することができることに同意するものとします。remot3.itが本DPAの下で保護される個人データを欧州委員会が妥当性決定を出していない管轄区域に移転する場合、remot3.itは適用法に従って個人データの移転のために適切な保護措置が実施されていることを確認することにしています。

9.データ管理者およびデータ処理者としてのremot3.itの役割

両当事者は、(1)リモートネットワーク機器の監視および接続、(2)remot3.itの製品およびサービスの分析、開発および改善、(3)remot3.itユーザーへの製品およびサービスの提供のためにネットワークサービスに関わる個人データの処理を行う範囲で、remot3.itはお客様からまたはお客様を通じて受け取る個人データの処理に関してデータコントローラおよびデータプロセッサとして機能していると認め、同意するものとします。

10.終了

本DPAは、remot3.it契約の終了条件と同じ期間を有し、その条件に従うものとします。個人データに関して適切なセキュリティ対策を実施するremot3.itの義務は、本DPAの終了後も存続し、remot3.itが個人データを保持している限り適用されます。本DPAとremot3.it契約との間に矛盾がある場合、矛盾の範囲内で本DPAが適用されるものとします。

11.11. 責任の制限

本DPAに起因または関連する各当事者（各関連会社を含む）の責任は、契約、不法行為またはその他のいかなる責任理論に基づくものであっても、総体として、remot3.it契約の「責任の制限」の項に従うものとし、当該条項における当事者の責任に関する言及は、remot3.it契約およびすべてのDPAの下でその当事者およびそのすべての関連会社が共に負う責任の総体であることを意味します。

12.準拠法

本DPAおよび本DPAまたはその主題に起因または関連して生じるあらゆる紛争または請求は、カリフォルニア州サンフランシスコを管轄とするアメリカ合衆国の法律に準拠し、これに従って解釈されるものとします。

13.権利行使の方法

これらの権利のいずれかを行使するためには、remot3.itセキュリティオフィスに書面で要求を提出する必要があります。

電子メール：legal@remote.it

住所 341 Hawthorne Ave.

カリフォルニア州パロアルト市、94301

アメリカ合衆国

その際、お願いしたいことがあります。

自分自身を確認する
GDPRがお客様に適用されることを裏付ける情報の提供
懸念している具体的な情報またはデータの特定
行使を希望する権利の内容をご記入ください。

remot3.it,Inc.は、お客様の身元を証明する書類の提示をお願いすることがあります。この要求は、要求者がこのDPAの対象となる情報の所有者であることを確認するために必要です。

14.データ管理者に連絡するにはどうすればよいですか？

このDPAに含まれるものに関してご質問がある場合は、セキュリティオフィスまでご連絡ください。

電子メール：security@remote.it

住所：remot3.it, Inc.
1309 Ross Street
Suite A
Petaluma CA 94954
United States

15.データ処理契約の更新

remot3.itはこのDPAを随時更新することができます。いかなる変更も、改訂されたDPAが掲示された時点で有効となります。

スケジュール A:remot3.itがデータ処理者及びデータ管理者として機能する処理の説明

対象事項： remot3.itによるお客様へのサービスの提供。

処理の期間r emot3.it契約の期間と、個人データが保持されている間、remot3.it契約の期間満了からの期間。

データ対象者remote.itの非有料ユーザー、remote.itの有料ユーザー

データ処理活動。I oTネットワークプラットフォームを管理し、remot3.itユーザーに代わってリモートネットワーク機器への接続を容易にする。

個人データのカテゴリー

remote.itネットワークプラットフォームの管理および遠隔地のネットワーク機器への接続に必要な個人情報。

メールアドレス
いちじてきユーザしきべつし
一意なリモートデバイス識別子

決済処理に必要な個人情報

ユニークペイメントトランザクションID
メールアドレス
remot3.itは、このスケジュールに記載されている処理活動の文脈で、機密データを意図的に処理することはありません。

スケジュールB：セキュリティ対策

本付録は、データ処理者が、作成、収集、受領、またはその他の方法で取得した個人データのセキュリティを保護するために、最低限維持しなければならない適切な技術的および組織的セキュリティ対策と手続きについて説明しています。データ処理者は、監査を容易にするため、また証拠保全のために、以下に示す適切な技術的及び組織的なセキュリティ対策及び手続きの措置に関する文書を保管するものとする。

1.データセンター

データ処理への物理的なアクセス管理データ処理者は、個人データが処理または利用されるデータ処理設備（サブプロセッサー設備を含む）への無権限者の物理的アクセスを防止するために、適切な措置を講じるものとする。これは、データ処理者およびサブプロセッサーが契約によって維持することによって達成される。
セキュリティエリアを設定し、オーナーによる24時間体制のセキュリティサービスを提供。
個人情報を預けるデータセンターは、セキュリティアラームシステムなど適切なセキュリティ対策が施されていること
スタッフおよび第三者に対するアクセス権限の設定。
個人情報が保管されているデータセンターへのアクセスはすべて記録され、監視、追跡されます。
データ処理システムへのアクセス制御データ処理者および契約によるサブ・プロセサーは、そのデータ処理システムが権限のない者に使用されることを防止するために適切な措置を講じるものとする。これは、データ処理者および契約によるサブ・プロセッサが以下を維持することを保証することによって達成される。
データ処理者システムに対するユーザーのパスワード/キーによる識別。
ユーザー接続を放置すると自動的にタイムアウトし、ユーザー接続を再開するにはIDとパスワードが必要です。
誤ったパスワードが複数回入力された場合、ユーザー接続を自動的に切断する機能
接続イベントのログファイルを保持する。
侵入の試みを監視する。
スタッフ・ユーザーID、パスワード・キーの発行方針。
スタッフおよびユーザーの識別情報、パスワード/キーを保護するための方針。
スタッフおよびユーザーに割り当てられた具体的な業務内容
スタッフおよびユーザーのIDおよびパスワード/キーは、特定のスタッフおよびユーザーの職能に限定されます。
個人情報へのアクセス権に関する方針
スタッフおよびユーザーに、規則に関する義務およびその義務に違反した場合の結果について知らせるための方針。
スタッフが職務の遂行に必要な個人データおよびリソースにのみアクセスすることを保証するための方針
適用される個人情報保護義務と責任に関するスタッフへの教育。
データコンテンツへのアクセスはすべて記録され、監視され、追跡される。
ネットワークアクセス経路の保護と制限（ネットワークセキュリティ）。
バックアップと可用性の管理データ処理者および契約によるサブ・プロセサーは、個人データが不慮の破壊や損失から保護されるよう、適切な対策を実施し、維持するものとする。これは、データ処理者および契約によるサブプロセッサーが維持することによって達成される。
7日以内にデータアクセスが復旧できるようインフラを冗長化し、少なくとも週1回のバックアップを実施。
データのバックアップはオフサイトで保管され、データベースサーバーのSANインフラに障害が発生した場合、リストアできるようになっています。
バックアップコピーの保持を制御するポリシー。
少なくとも6ヶ月に一度、ここに記載されたすべてのセキュリティ対策を定期的にチェックすること。
検知されたセキュリティインシデントは、実施されたデータ復旧手順とその実行者の識別情報とともに記録されます。

2.データ

アクセスおよび入力の制御データ処理者およびサブ・プロセッサーは、契約により、データ処理システムを使用する権利を有するスタッフおよびユーザーが、適切なアクセス許可（以下「許可」）の範囲内および範囲でのみデータにアクセスでき、許可なく個人データの読み取り、コピー、修正または削除ができないことを約束する。これは、データ処理者およびサブ処理者が契約を維持することによって達成されるものとする。
個々のユーザー、および特定の機能専用の識別特性を割り当てること。
権限を与えられた人員の認証；一旦割り当てられたら、その後他の人に再割り当てできないユーザーIDなどの個々の認証クレデンシャル
メモリへのデータ入力、および保存されたデータの読み取り、変更、削除のための認可ポリシー。
お客様が有効化した設定による認証制御。例えば、ユーザーコード、キーまたはパスワードは少なくとも8文字またはシステムの最大許容数であること、ユーザーコード、キーまたはパスワードは初回使用時に変更すること、ユーザーコード、キーまたはパスワードは一定期間（例：90日）後に変更することなどが挙げられる。
一定期間使用されていないユーザー接続を自動的にログオフし、パスワードまたはキーの再入力を要求する。
個人データを削除、追加、修正することができるスタッフおよびユーザーに関する能力および権限の監視。
認可プロファイルを監視し、更新するためのポリシー。
スタッフまたはユーザーが個人データにアクセスする資格を失った場合に備えて、スタッフおよびユーザーの認証情報（ユーザーID、パスワード、キーなど）を保持するためのポリシー（自動停止を含む）。
データ処理者のシステム管理者データ処理者および契約によるサブ・プロセサは、システム管理者を監視し、システム管理者が受けた指示にしたがって行動することを保証するために適切な手段を講じるものとする。これは、データ処理者及び契約によるサブ処理者が維持することによって達成される。
各スタッフまたはユーザーの個人データへのアクセス権に関する方針。
システム管理者の個別指名
システム管理者のアクセスログを登録し、少なくとも6ヶ月間、安全かつ正確に、変更されることなく保存するための適切な措置を講じていること。
システム管理者の識別情報（氏名、機能または組織領域を含む）および割り当てられたタスクのリストと、要求に応じてデータコントローラに提供すること。
データストレージ
データベースに静的に保存された個人データ（「静止データ」）は、業界で受け入れられている標準的な暗号化技術を使用して暗号化されています。
パスワードデータベース内のすべてのパスワードは、ハッシュ化および塩漬けされています。パスワードが平文で保存されることはありません。
送信管理データ処理者および契約によるサブプロセッサーは、個人データの送信中または輸送中に、権限のない第三者による読み取り、コピー、改ざん、削除を防止するために適切な措置を講じるものとする。これは、データ処理者および契約によるサブプロセッサーが維持することによって達成される。
個人情報が通過するゲートウェイやネットワークを保護するための業界標準のファイアウォールや暗号化技術
すべてのAPIコールは、個人データ（Data "In Flight"）に対してHTTPSを要求しています。
一般に認められた業界標準を使用して可能な限り、すべての個人データの送信はログに記録され、追跡されます。
個人データの転送の完全性と正確性の監査（エンド・ツー・エンド・チェック）。
異なる目的のための処理の分離データ処理者および契約によるサブ処理者は、個人データおよび異なる目的のために収集されたデータを別々に処理できるようにするための適切な措置を実施する。例えば、クレジットカードやその他の個人データは、通常のデータ接続とは別に処理されます。これは、データ処理者および契約によるサブプロセッサーが維持することによって達成される。
個人情報へのアクセスは、アプリケーションのセキュリティにより、適切なスタッフおよびユーザーに分離されています。
データベース内のモジュールで、どのデータをどの目的で使用するか、つまり目的や機能ごとに分けること。
データベースレベルでは、個人データは異なる領域に保存されるか、またはソフトウェアモジュールやソフトウェアモジュールがサポートする機能によって分離される。
特定の目的および機能のみを目的として設計されたインターフェース、バッチ処理、レポートなど、特定の目的のために収集された個人データおよびその他のデータは、別々に処理されます。

3.ジョブコントロール

本契約を締結することにより、お客様は remot3.it に対し、適用法に従ってのみお客様の個人データを処理し、データ処理修正条項を含むその他の適用契約の書式に文書化された通りにサービスおよび関連技術サポートを提供し、さらにお客様が与え、本契約の目的のための指示を構成するものとして remot3.it が認めたその他の書面による指示にも文書化されている通りに、指示するものとします。

4.下請け業者のセキュリティ

データ処理者は、サブ・プロセサーを含む外部組織を通じてセキュリティ対策を採用する場合、データ処理者は、採用した対策が本契約に適合することを保証する、実行された活動の書面による説明を入手することを保証します。

スケジュール C：remote.it サブプロセッサー

remot3.itのサービス提供をサポートするため、remot3.itはデータ処理活動でremot3.itを支援する第三者のサービスプロバイダを雇用することがあります。当社がデータ処理者としてこれらのサービスプロバイダーと協力する場合、第三者のサービスプロバイダーはremot3.itのサブプロセッサー（以下「サブプロセッサー」）です。

このページでは、サブプロセッサーを特定し、その所在地、およびサブプロセッサーが当社に提供するサービスについて説明します。サブプロセッサーと契約する前に、当社は、詳細なセキュリティおよび法的分析など、広範なデューデリジェンスを実施します。私たちは、私たちの品質基準が満たされない限り、サブプロセッサーと契約することはありません。当社のサブプロセッサーはすべて、適用されるデータ保護法の遵守を強制する契約条項の対象となります。

現在、remot3.itは以下のサブプロセッサーを使用しています。