お客様の個人データの取り扱いについて

本書は、管理者(第1条で定義されます。)である当社顧客の指示に基づいて、取扱者(第1条で定義されます。)である株式会社アイ・アールジャパン(以下「当社」といいます。)が行う、GDPR(欧州における一般データ保護規則)が適用される個人データの処理に適用されます。本書は、当社が管理者と締結する業務に関する契約(以下、単に「本契約」といい、業務委託契約を含みますがこれに限りません。)が適用される範囲内において効力を有するものとし、本書に定める事項については、GDPRの適用範囲に関し、本書が優先して適用されるものとします。

第1条 (定義)

本書において以下の用語は、以下に定める意味を有するものとします。但し、本書において定義されていないものについては、GDPR第4条における定義が適用されます。

  1. 「個人データ」とは、識別された又は識別され得る自然人(以下「データ主体」という。)に関するあらゆる情報をいいます。
  2. 「取扱い」とは、自動的な手段であるか否かに関わらず、個人データ又は個人データの集合に対して行われるあらゆる作業又は一連の作業をいいます。
  3. 「管理者」とは、単独で又は他と共同して、個人データの取扱いの目的及び手段を決定する自然人、法人、公的機関、行政機関又はその他の団体をいいます。
  4. 「取扱者」とは、管理者のために個人データの取扱いを行う自然人、法人、公的機関、行政機関又はその他の団体をいいます。

第2条 当事者の義務

1.当社は、本書に関連して顧客の個人データを処理する際は、GDPRに定められる規定及び義務を遵守するものとし、かかる規定及び義務は、別添1記載の個人データの種類、データ主体のカテゴリー、処理の性質及び目的に及ぶものとします。当社は、別添1記載の処理の目的のためにのみ処理を実施するものとします。

2.当社が個人データを取扱う場合、当社は、GDPR第28条3項に従い、以下の各号に定める義務を遵守するものとします。 なお、本条項における契約又は法的行為は書面(電磁的方法による記録も含む)で行うものとします。

  1. 当社は、EU法又はEU加盟国の国内法によって取扱いの実施が要求されている場合を除き、顧客からの文書化された指示(本契約又は本書に定められるものを含みます。)にのみ従い、個人データの取扱いを行うものとします。また、当社がEU法又はEU加盟国の国内法によって取扱いの実施が要求されている場合には、当社は当該法律が重要な公共の利益に基づいて当該通知を禁止している場合でない限り、当社は、取扱う前に当該法律要件について顧客に通知するものとします。
  2. 当社は、当社が個人データの取扱いを許可した当社の役職員に対し、秘密保持義務を負わせるものとします。
  3. 当社は、GDPR第32条により要求されている個人データの保護のためのすべての対策(適切な技術的及び組織的対策)を講じるものとします。
  4. 当社が他の取扱者に個人データの取扱いを委託する場合には、事前の特定又は管理者の一般的な書面の許可なしに他の取扱者に委託してはならないものとします。一般的な書面の許可の場合、当社は、他の取扱者の追加又は代替に関するあらゆる意図された変更について管理者に通知しなれければならず、それによって顧客に当該変更に不服を申し立てる機会を提供するものとします。また、かかる承諾を得たうえであっても、当社が他の取扱者に個人データの取扱いを委託する場合には、当社が契約又はEU法並びにEU加盟国の国内法に基づき負うのと同じデータ保護義務を課すものとします。
  5. 当社は、取扱いの性質を考慮し、可能な限り、顧客がGDPR第3章に定められたデータ主体の権利行使の要求に応じる義務を履行するため、適切な技術的及び組織的対策によって、顧客を支援するものとします。
  6. 当社は、取扱いの性質及び当社の利用可能な情報を考慮し、GDPR第32条(取扱いの保護)、第33条(個人データ侵害の監督機関への通知)、第34条(データ主体への個人データ侵害の通知)、第35条(データ保護影響評価)及び第36条(事前協議)の各条文に定められる管理者の義務を履行するため、顧客を支援するものとします。
  7. 当社は、本契約の終了後、本契約の定めに従いすべての個人データを、顧客の選択により消去又は顧客に返却することとします。
  8. 当社は、GDPR第28条に定められた義務の遵守を証明します。また、顧客又は顧客より委任された他の監査人によって実施される調査を含めた監査への準備を行うために合理的に必要とされるすべての情報を、顧客による事前の書面による通知を条件として合理的期間内に入手可能な状態にします。

3.当社は、個人データの取扱いに関し、顧客の指示のもと監督機関の業務遂行において監督機関と協力するものとします。

4.当社は、顧客の個人データの侵害を発見したときは、遅滞なく、GDPR第33条第3項記載の事項を顧客に通知するものとします。 また、当社は、管理者がGDPR第33条第5項記載の義務を果たすため合理的に必要な支援を行うものとします。

[別添1]

個人データの種類:

  • 氏名
  • 勤務先
  • 勤務先の住所
  • 携帯電話番号
  • 勤務先の電話番号
  • 勤務先のメールアドレス
  • ソフトウェア/システムユーザーアカウント
  • ネットワークに関する情報識別子(IPアドレス、cookie等)
  • 電子メール、電子ファイル
  • 仕事上の情報及び文書(例えば、作業ファイル)

データ主体のカテゴリー:

  • 顧客の株主、機関投資家、議決権行使担当者
  • その他

取扱いの性質及び目的:本契約に基づくサービスの提供

取扱い期間:本契約に定める取扱い期間