Gatherのデータ処理に関する契約

本データ処理補遺契約は、2024年9月30日より有効となる。

このデータ処理に関する追加契約とその別紙（以下、「本追加契約」または「DPA」といいます。）は、サイトの利用規約、Gather プライバシーポリシーまたはその他顧客によるGatherのサービスの使用に関し規定するGather Presence, Inc（以下、「Gather」または「当社」といいます。）と顧客の間のその他の書面または電子的方法による合意（以下「本契約」といいます。）に関連して、Gatherが顧客のために行う個人データの処理に関する当事者の合意を示すものです。 

サイン入りコピーが必要ですか？電子メール support@gather.town

1. 定義 

「関連当事者」とは、ある者を直接または間接的に支配する者、当該者に支配される者、または当該者とともに共通支配下にある者を意味します。 本定義における「支配」とは、ある者の議決権の50％以上を直接または間接的に所有または支配することを意味します。

「Gatherのサービス」とは、本契約に規定される、顧客が選択したサービスをいいます。 

「CCPA」とは、カリフォルニア州消費者プライバシー法（Cal. Civ. Code §1798.100 et seq）およびその施行規則を意味します。 

「管理者」とは、個人データの処理の目的および手段を決定する者を意味し、CCPA で定義される「事業者（business）」も該当します。  

「顧客」とは、本契約を締結した者、および注文書に署名したその関連当事者を意味します。  

「顧客データ」とは、本契約において「顧客データ」として定義されるものをいいます。ただし、当該データは、顧客がGatherのサービスに提出した、または顧客のために提出された電子データまたは情報とします。 

「データ保護法」とは、本追加契約に基づく個人データの処理に適用される、欧州連合、欧州経済領域およびその加盟国、スイス、連合王国並びに米国およびその州の、データ保護またはプライバシーに関する法律、規則および規制を意味します。 

「データ主体」とは、当該個人データに関係する特定された者または識別可能な者を意味します。  

「GDPR」とは、個人データの処理に関する自然人の保護および当該データの自由な移動ならびに指令95/46/ECの撤廃に関する2016年4月27日の欧州議会および理事会の規則（EU）2016/679（一般データ保護規則）を意味します。  

「個人データ」とは、Gatherのサービスの一環として顧客がGatherに提供する、特定または識別可能な人に関連する情報であって、顧客データに該当するものをいいます。 

「処理」とは、自動化された手段であるか否かを問わず、Gatherのサービスの一環としてGatherが個人データまたはその集合に対して行う操作またはその集合を意味します。 

「処理者」とは、管理者に代わって個人データを処理する事業者を意味し、CCPA で定義される「サービス提供者(service provider)」もこれに該当するものとします。  

「セキュリティ事故」 とは、偶発的または違法な破壊、紛失、改ざん、不正な開示、権限のない個人による送信、保存またはその他の処理された個人データへのアクセスにつながったセキュリティ侵害であって、その存在が確認されたものを意味します。

「標準契約条項」とは、欧州委員会実施決定914/2021/EUに基づく第三国に設立された処理者への個人データの移転に関する標準契約条項に関する2021年6月4日の欧州委員会決定に従い、顧客とGatherの間で締結され、本追加契約に別紙1として付されている契約書を意味します。

「副処理者」とは、本契約に関連して個人データを処理するために選任された、Gatherと共通の支配下にある者またはGatherが支配する者を含む第三者を意味します。 

「監督機関」(Supervisory Authority) とは、GDPRに規定される意味を有するものとします。 

本追加契約に使用されるが定義されていない用語は、本契約に規定される意味を有するものとします。  

2. 個人情報の取り扱いについて

2.1. 当事者は、個人データの処理に関して、顧客が管理者であり、Gatherが処理者であることを確認し、合意します。 

2.2. 本追加契約に基づく処理の対象は、個人データです。本追加契約に基づく処理の期間は、本追加契約に記載された個人データを保持するGatherの権利を前提に、本契約の期間中とします。本追加契約に基づく個人データの処理の目的は、Gatherが本契約に従って顧客にサービスを提供することです。処理の性質は、Gatherのサービスの提供であり、その具体的な内容は本契約に定められているとおりです。個人データの種類は、顧客が、Gatherのサービスの使用を通じて、自身のみの判断で収集および処理するデータです。データ主体は、顧客のモバイルアプリケーション、ウェブサイト、プラットフォーム、IoTまたはその他のアプリケーションにアクセスし、これを使用する顧客のエンドユーザーです。 

2.3.Gatherは、本追加契約、顧客の指示、およびGatherによるサービスの提供に際し適用されるデータ保護法に従ってのみ、個人データを処理するものとします。顧客は、個人データの処理に関して、Gatherに提供した指示が、（適用のある場合）CCPAを含むすべての該当するデータ保護法を遵守していることを確認するものとします。顧客はさらに、個人データの処理に関してGatherに対する指示が、Gatherをして（適用のある場合）CCPAを含む適用されるデータ保護法に違反させるものではないことに、同意するものとします。 

2.4.顧客は、Gatherのサービスを利用するにあたり、データ保護法および（適用のある場合）CCPAの要件に従って個人データを処理するものとし、これには、Gatherの利用に関連してデータ主体に対し必要となる処理者としての通知の提供およびデータ主体からの必要な同意の取得を含みますが、これに限定されません。個人データの処理および使用に関する顧客の決定および行動は、データ保護法、CCPA、本契約および本追加契約の条項に準拠するものとします。顧客は、個人データの正確性、品質、合法性、および顧客が個人データを取得する手段に関して、単独で責任を負うものとします。 

3. 個人データの国際的な移転

Gatherが顧客のために処理する個人データは、米国に移転され、米国で保管および処理されます。顧客は、Gatherがサービスを提供するために、個人データが米国に移転されること、およびGatherが米国で個人データを保管し処理することに同意するものとします。顧客が欧州連合、欧州経済領域もしくはその加盟国（以下「EEA」といいます。）、スイスまたは連合王国から個人データを移転する場合、その移転は本追加契約の別紙1として添付されている標準契約条項に基づいて行われます。標準契約条項は、欧州連合、EEAまたはその加盟国、スイスおよび連合王国外に移転されない個人データには適用されません。 

4. 第三者からの要求および機密保持

4.1.Gatherは、(i) 顧客の要請、(ii) 本追加契約の規定、(iii) Gatherのサービスの提供に必要な場合、または (iv) 適用法または法執行機関の有効かつ拘束力のある命令によって要求される場合を除き、第三者に対して個人データを開示しないものとします。Gatherは、行政機関またはその他の政府機関の召喚状または司法上、行政上、仲裁上の命令（以下「本要求」といいます。）を受けた場合、そのようにしないことが法律で義務付けられている場合を除き、個人データに関連するものについて速やかに顧客に通知するものとします。Gatherは、顧客の要請に応じて、Gatherが保有する情報のうち本要求への対応にあたり関連しうる合理的な情報、および顧客が本要求に適時に応じるために合理的に必要な支援を、顧客に提供します。顧客は、Gatherが本要求を行う者と直接対話する責任を負わないことを確認します。 

4.2.Gatherは、すべての従業員や個人データにアクセスし処理する権限を有する者が、個人データに関する守秘義務に拘束されることを保証するものとします。Gatherは、その従業員や個人データを処理する権限を有する者において、顧客の指示による場合を除いては、個人データの処理をさせないものとします。Gatherは、すべての従業員が、個人データの取扱いに関する法律に関する研修を受け、当該法律および本追加契約に基づくGatherの義務、および個人の義務について認識していることを確認します。

5. データ主体からの要請

Gather は、データ主体から、データ主体のアクセス権、訂正権または修正権、処理に反対する権利、消去権（「忘れられる権利」）、データポータビリティ、処理の制限または自動化された個別意思決定の対象とならない権利の行使に関する要請を受けた場合、速やかに顧客に通知します（かかる要請をそれぞれ「データ主体の要請」といいます。）。Gatherは、顧客がデータ主体からの当該要請に対応できるよう、可能な限り、適切な技術的および組織的手段を含む、合理的かつ適時なあらゆる支援を顧客に提供するものとします。データ主体の要請がGatherに直接なされた場合、Gather は速やかに顧客に通知し、要請のあった内容を全て顧客に提供するものとします。 

6. セキュリティ

当社は、個人情報の紛失、破壊、改ざん、不正な開示またはアクセス、もしくは違法な破壊のリスクに応じたセキュリティレベルを確保するため、適切な技術的ないし組織的対策、内部統制、情報セキュリティルーチンを実施し、また維持します。 

7. セキュリティ事故の通知

お客様の個人データに影響を及ぼすセキュリティ・インシデントが発生した場合、Gather は、Gather がセキュリティ・インシデントを認識してから 72 時間以内にお客様に通知します。さらに、Gather は、セキュリティ・インシデントを調査し、お客様がデータ保護法に基づくデータ侵害通知要件を遵守するのに十分なセキュリティ・インシデントに関する情報をお客様に提供します。Gather はまた、セキュリティ・インシデントの影響を軽減し、セキュリティ・インシデントから生じる損害を最小限に抑えるための合理的な措置を講じます。Gather本書に定めるセキュリティ・インシデントの報告または対応の義務は、セキュリティ・インシデントに関する過失または責任をGather が認めることではなく、また認めると解釈されるものでもありません。 

8. 監査と記録

8.1.両当事者は、EU 標準契約条項の第 5 条(f)項または第 12 条(2)項に基づく場合を含め、本追加条項に基づいて実施される監査は、本第 8.1 項で特定される仕様に従って実施されることに同意する。ただし、お客様が、監督当局またはいずれかの国もしくは地域におけるデータ保護法の施行に責任を負う同様の規制当局から監査を実施するよう要求または要請された場合はこの限りではありません。お客様は、本契約の「通知」の規定に従って、Gather に連絡し、Gatherの個人データ保護に関する手続の実地監査を依頼することができます。お客様がGatherの手続を実地監査する前に、Gather およびお客様は、監査の時期、範囲および期間について相互に合意するものとします。お客様は、監査の結果Gather が負担した費用および経費をGather に払い戻すものとします。さらに、監査は、お客様の人員 が当該監査または検査の過程で当該仮想構内にいる間、Gatherの仮想構内、設備、人員、および業務運営に損害、傷害、または混乱を生じさせないような方法(または、回避できない場合は、最小限に抑える方法)で実施するものとします。本第 8.1 項に基づき実施される監査は、Gatherの仮想構内に限定されるものとします (Gather は物理的な事業所を有しません)。EU 標準契約条項が適用される場合、本契約のいかなる規定も、EU 標準契約条項 に基づく監督当局またはデータ主体の権利に影響を及ぼすものと解釈されないものとします。 

8.2. Gather は、顧客のために実施する個人データの処理に関する記録を保管し、要求があった場合、関連監督当局に提供するものとし、これには以下が含まれるものとします： 

1. GatherおよびGatherが代行する顧客の名称および連絡先、並びに該当する場合は顧客の代表者およびデータ保護責任者 
2. 顧客のために実施される処理のカテゴリ 
3. 第三国または国際機関への個人データの移転、およびそれらの移転が法令を遵守するものである根拠 
4. Gatherが講じたデータセキュリティ対策の説明 

9. 副処理者

顧客は、当社が顧客に代わる個人データの処理を、副処理者に委託する場合があることに同意するものとします。当社は現在、このDPAの別紙3に掲載されている第三者を副処理者として選任しています。当社は、別紙3にリストされている副処理者を追加または置き換える場合は、変更が行われる少なくとも30日前までに通知します。顧客がこちらのフォームに記入して、かかる変更の前にそのような電子メールを受信することにオプトインした場合は、当社は顧客に通知します。

当社は、副処理者と契約する場合、当該副処理者による処理の性質に応じて適用可能な範囲で、本 DPA と少なくとも同レベルの個人データ保護 (該当する場合、標準契約条項を含む) を提供するデータ保護条件を副処理者に課すものとします。当社は、各副処理者が本 DPA の義務を遵守していること、および本 DPA に基づく当社の義務違反の原因となった当該副処理者の行為または不作為に対して、責任を負うものとします。

お客様は、Gatherから新しいサブプロセッサーに関する通知を受領してから 30 日以内に、Gather に書面で速やかに通知することにより、Gatherが新しいサブプロセッサーを使用することに異議を唱えることができます。お客様が新しいサブプロセッサーに異議を唱えた場合、Gather は、お客様が異議を唱えたサブプロセッサーによる個人データの処理を回避するために、本サービスまたはお客様による本サービスの使用に変更を加えることができるよう、合理的な努力を払うものとします。Gather が、お客様からの通知を受領してから 30 日以内にかかる変更を行うことができない場合、お客様は、異議を申し立てられたサブプロセッサーを使用しなければ提供できない本サービスを終了することができます。お客様が本サービスを終了する場合、Gather は、終了の発効日以降、該当する注文書に指定された残りの期間に対応する前払い料金をお客様に返金します。本契約に定めるいかなる規定にもかかわらず、お客様は、Gather がGather のサービスを提供するために付属書 3 で特定されるサブプロセッサーを使用できることを認め、これに同意するものとします。Gather は、そのサブプロセッサーに対して引き続き責任を負い、その作為および不作為について、自らの作為および不作為と同様に責任を負うものとし、本補遺契約におけるGatherの義務、作為および不作為への言及は、Gatherのサブプロセッサーにも言及するものと解釈されるものとします。両当事者は、本追加条項に基づいて提供される監査権は、Gatherのサブプロセッサーの施設には及ばないことに同意するものとします。 

10. データ保護影響評価と事前協議

顧客の要請に応じて、Gatherは、GDPR第35条または同第36条により顧客に義務付けられていると顧客が合理的に考えるデータ保護影響評価および監督当局との事前協議について、個人データの処理に関連する限度で、処理の性質やGatherにおいて利用可能な情報を考慮したうえ、合理的な支援を提供します。

11. 終了

11.1本補遺は、本契約の満了または終了まで完全に効力を有するものとする。 

11. 2 本契約の満了または終了に伴い、お客様は、Gather サービスから個人データを抽出することができます。お客様による仮想スペースの削除から 30 日以内に、Gather は、本契約の条件に従って個人データを削除します。ただし、法律により要求される場合、または適用される法律により許可される場合は、紛争の解決もしくはGatherの法的合意およびポリシーの施行を目的とする場合を除きます。 

12. CCPAに特に関連する条項

12.1 Gather は、中環法に基づき、「事業者」であるお客様に代わって「サービス・プロバイダー」として行動します。Gather は、本契約の条件に従い、または中環法に別途規定されるとおり、Gather サービスを提供する特定の目的以外の目的で、お客様から開示されたお客様データを保持、使用または開示しません。 

12.2 Gather は、金銭的またはその他の価値ある対価のために、顧客データを第三者に売却しません。  

12.3 Gather は、Gather とお客様との間の直接的な取引関係以外では、中 国消費者庁に規定されている場合を除き、お客様データを保持、使用または開示しません。 

13. その他

当事者は、本契約の一部としてセンシティブデータの移転を想定していません。本追加契約に起因または関連する各当事者の責任は、契約、不法行為その他理論構成にかかわらず、本契約の「責任の制限」条項の適用の対象となります。本追加契約の規定と本契約の規定との間に矛盾がある場合、本追加契約が優先するものとします。本追加契約による変更を除き、本契約は変更されず、完全に効力を持ちます。本追加契約は、適用されるデータ保護法を制限するものではありません。本追加契約のいずれかの条項が無効である場合でも、残りの条項には影響しません。当事者は、無効な条項を、その無効な条項のビジネス上の目的を反映した合法的な条項に置き換えるものとします。必要な条項が不足している場合、当事者は誠意を持って適切な条項を追加するものとします。矛盾がある場合、個人データの処理に関する優先順位は、本追加契約に次いで本契約とします。EU標準契約条項が本追加契約の不可欠な部分である場合、EU標準契約条項が優先するものとします。本追加契約は、本追加契約の主題に関連する従前のすべての書面および口頭による合意、コミュニケーション、およびその他の了解に優先し、置き換えられます。本追加契約は1つまたは複数の副本で作成される場合があり、それぞれが原本とみなされ、すべてが合わさって1つの同じ文書を構成するものとみなされます。 

標準契約条項  

第I章

第1条

目的と範囲

(a) 本標準契約条項の目的は、個人データの第三国への移転に関し、「個人データの処理に関する自然人の保護および当該データの自由な移転に関する欧州議会および理事会の2016年4月27日の規則(EU)2016/679」（一般データ保護規則）の要件の遵守を確保することである。

(b) 当事者：

1. 別紙I.Aに記載されている、自然人もしくは法人、公的機関・部局(agency)その他の団体（以下単に「主体」という）であって個人データを移転するもの（以下それぞれを「データ輸出者」という）、および、
2. 別紙I.Aに記載されている、データ輸出者から直接にまたは他の者（この者も本条項の当事者とする）を介し間接的に個人データを受領する第三国にある主体（以下それぞれを「データ輸入者」という）は、本標準契約条項（以下「本条項」という）に同意した。

(c) 本条項は、別紙I.B.に記載されている個人データの移転に関し適用される。

(d) 本条項のAppendix（その中のAnnexを含む）は、本条項の一部を構成する。

第2条

本条項の効果および変更の禁止

(a) 本条項は、規則(EU)2016/679第46条(1)および同第46条 (2)(c)に従い、データ主体の執行力ある権利および有効な法的救済措置を含む適切な保護措 置、並びに、管理者から処理者および／または 処理者から処理者へのデータ移転に関しては規則(EU)2016/679第28条(7)に従った標準契約条項を定める。但し、本条項は、適切なモジュールを選択することまたはAppendixの記載事項を追加または更新することを除き、変更されてはならない。このことは、両当事者が、本条項に定める標準契約条項を他の契約の一部として含めること、または、本条項と直接的もしくは間接的に抵触しないこと、および、データ主体の基本権もしくは自由を害しないことを条件として、他の条項または追加保護措置を追加することを妨げるものではない。

(b) 本条項は、データ輸出者が規則(EU)2016/679上負う義務に影響を与えない。

第3条

第三受益者

(a) データ主体は、データ輸出者および／またはデータ輸入者に対し、第三受益者(third-party beneficiaries)として、本条項の履行を強制することができる。但し、以下の規定を除く。

1. 第 1 条、第 2 条、第 3 条、第 6 条、第 7 条。
2. 第 8 条 – 第 8.1(b)、8.9(a)、(c)、(d)、および (e)。 
3. 第 9 条 – 第 9 条(a)、(c)、(d)、(e)。 
4. 第 12 条 – 第 12 条(a)、(d)、(f)。
5. 第 13 条。
6. 第 15.1 条(c)、(d)、および (e)。
7. 第 16 条(e);
8. 第 18 条 – 第 18 条(a);

(b) 上記(a)項は、規則(EU)2016/679に基づくデータ主体の権利を変更するものではない。

第4条

解釈

(a) 本条項において規則(EU)2016/679上定義されている用語が使用されている場合、それらの用語は規則(EU)2016/679と同じ意味を有する。

(b) 本条項は、規則(EU)2016/679の規定に照らして読まれかつ解釈されなければならない。

(c) 本条項は、規則(EU)2016/679に定める権利および義務に矛盾する方法で解釈されてはならない。

第5条

優先関係

本条項と、本条項が合意された時点で存在するまたは合意後締結されることある両当事者間の関連合意の規定との間に矛盾がある場合には、本条項が優先する。

第6条

移転の内容

移転の詳細、および、特に移転される個人データのカテゴリおよび移転の目的は、別紙I.B.記載の通りとする。

‍

第7条

参加条項

(a) 本条項の当事者ではない者も、両当事者の同意があれば、Appendixに必要事項を記入しかつ別紙I.Aに署名することにより、データ輸出者またはデータ輸入者として、いつでも本条項に参加できる。

(b) 当該参加者は、Appendixに必要事項を記入しかつ別紙I.Aに署名した時点で、本条項の当事者となり、別紙I.Aで特定されたところによりデータ輸出者またはデータ輸入者の権利を得および義務を負う。

(c) 当該参加者は、当事者となる前の期間において本条項に基づき生じた権利を得または義務を負うことはないものとする。

第II章 – 当事者の義務

第8条

データ保護措置

データ輸出者は、データ輸入者が適切な技術的・組織的措置を講じることによって本条項上の義務を履行できることを確認するため合理的な努力をしたことを保証する。

8.1. 指示

(a) データ輸入者は、データ輸出者からの文書化された指示に基づいてのみ個人データを処理するものとする。データ輸出者は、契約期間を通じてそのような指示を与えることができる。

(b) データ輸入者は、これらの指示に従えない場合には、直ちにデータ輸出者に通知するものとする。

8.2. 目的の制限

データ輸入者は、データ輸出者からのさらなる指示がない限り、別紙I.Bに規定されている移転の特定の目的のためにのみ個人データを処理するものとする。

8.3. 透明性

データ輸出者は、要請に応じ、両当事者が作成した別紙を含む本条項のコピーをデータ主体が無料で利用できるように作成するものとする。別紙IIに記載されている措置を含む営業秘密その他の秘密情報および個人データを保護するために必要な範囲で、データ輸出者はコピーを共有する前に本条項のAppendixの文言の一部をマスキングすることができるが、要約がなければデータ主体がその内容を理解したり、権利を行使したりすることができない場合には意味のある要約を提供しなければならない。要請に応じて、両当事者は、マスキングされた情報を明らかにすることなく可能な限り、マスキングの理由をデータ主体に提供するものとする。 この条項は、規則(EU)2016/679の第13条および第14条に基づくデータ輸出者の義務を損なうものではない。

8.4. 正確性

データ輸入者が受け取った個人データが不正確であること、または古くなっていることに気付いた場合、不当な遅滞なくデータ輸出者に通知する。この場合、データ輸入者はデータ輸出者と協力してデータの消去または修正を行う。

8.5. データの処理の期間及びデータの消去または返却

データ輸入者による処理は、別紙I.Bに指定されている期間のみ行われるものとする。 処理サービスの提供終了後、データ輸入者は、データ輸出者の選択により、データ輸出者のために処理されたすべての個人データを削除し、削除したことをデータ輸出者に証明するか、データ輸出者に返却し、存在するコピーを削除する。データが削除または返却されるまで、データ輸入者は引き続き本条項の遵守を確保する。データ輸入者に適用される現地法が個人データの返却または削除を禁止している場合、データ輸入者は引き続き本条項の遵守を確保し、その下で要求される範囲および期間のみデータを処理することを保証し、現地の法律により要求される期間に限り処理を行うものとする。これは、第14条、特に第14条 (e)に基づく、データ輸入者が第14条(e)の要件と整合しない法律または慣行の対象となる、または対象となっていると信じる理由がある場合に契約期間を通じてデータ輸出者に通知するというデータ輸入者の義務に影響を与えるものではない。

8.6. 処理のセキュリティ

(a) データ輸入者および個人データを移転中のデータ輸出者は、偶発的又は違法な破壊、紛失、改ざん、不正な開示またはアクセス（以下「個人データ侵害」という。）につながるセキュリティ違反に対する保護を含む、個人データのセキュリティを確保するための適切な技術的および組織的措置を実施するものとする。適切なレベルのセキュリティを評価する際には、最新技術、実装のコスト、処理の性質、範囲、文脈、目的、及びデータ主体の処理に伴うリスクを十分に考慮に入れる必要がある。両当事者は、特に、処理の目的をそのように達成できるように、移転中を含め、暗号化又は仮名化に依拠することを検討するものとする。仮名化の場合、個人データを特定のデータ主体に帰属するための追加情報は、可能な場合にはデータ輸出者の排他的管理下に残るものとする。本項に基づく義務を遵守する際、データ輸入者は、少なくとも別紙 II に指定されている技術的および組織的措置を実施するものとする。データ輸入者は、これらの措置が適切なレベルのセキュリティを提供し続けていることを確認するために定期的なチェックを実行するものとする。

(b) データ輸入者は、契約の履行、管理、監視に厳密に必要な範囲に限り、その職員のメンバーに個人データへのアクセスを許可するものとする。データ輸入者は、個人データを処理する権限を与えられた人物が守秘義務を負っているか、または適切な法律上の守秘義務を負っていることを保証する。

(c) 本条項に基づいてデータ輸入者によって処理された個人データに関するデータ侵害が発生した場合、データ輸入者は、起こり得る悪影響を軽減するための措置を含め、個人データ侵害に対処するための適切な措置を講じるものとする。データ輸入者はまた、侵害を認識した後、不当な遅滞なくデータ輸出者に通知するものとする。かかる通知には、より多くの情報を入手できる連絡先の詳細、侵害の性質の説明（可能であれば、関連するデータ主体および個人データ記録のカテゴリとおおよその数を含む。）、生じうる結果、および必要に応じて、起こり得る悪影響を軽減するための措置を含む、違反に対処するために講じられた、または提案された措置を含むものとする。 すべての情報を同時に提供することができない場合、最初の通知にはその時点で入手可能な情報が含まれるものとし、さらなる情報が入手可能になった場合には、その後不当な遅滞なく提供されるものとする。

(d) データ輸入者は、データ輸出者が規制(EU)2016/679に基づく義務を遵守できるように、（特に、処理の性質とデータ輸入者が利用できる情報を考慮して監督機関および影響を受けるデータ主体に通知を行うことについて）データ輸出者と協力し、支援するものする。

8.7 センシティブデータ

移転の対象に、人種／民族的出自／政治的意見／宗教上または思想上の信念／労働組合加入／遺伝データまたは生体データで個人識別目的のもの／健康・性生活・性的傾向を示す個人データ／有罪判決および犯罪に関する個人データ（以下「センシティブデータ」という。）が含まれる場合、データ輸入者は、別紙I.B.に記載された特別な制限または追加保護措置を講じなければならない。

8.8 再移転

データ輸入者は、データ輸出者からの書面による指示がある場合にのみ、個人データを第三者に開示するものとする。データ輸入者は、第三者が適切なモジュールに基づき本条項に拘束されるかまたは拘束されることに同意した場合、または以下の場合に限り、欧州連合域外（データ輸入者と同じ国または他の第三国）に所在する第三者に個人データの開示（以下「再移転」という。）を行う。

1. 当該再移転が、規則(EU)2016/679第45条に基づく十分性認定国への移転でありかつ同認定が当該再移転に適用される場合
2. 当該第三者が、当該処理に関し、規則(EU)2016/679第46条または第47条に従った適切な保護措置を別途講じる場合
3. 当該再移転が、特定の行政・規制・司法上の手続に関連し法的権利の立証・行使・防御に必要な場合
4. 当該再移転が、データ主体または他の個人の命等に係わる極めて重要な(vital)利益を保護するために必要な場合

如何なる再移転も、データ輸入者が本条項に基づく他の全ての保護措置（特に処理目的の制限）を遵守することを条件とする。

8.9 文書化とコンプライアンス

(a) データ輸入者は、本条項に基づく処理に関するデータ輸出者からの問い合わせに迅速かつ適切に対応するものとする。

(b) 両当事者は、本条項の遵守を証明できなければならない。特に、データ輸入者は、データ輸出者に代わって実行される処理活動に関する適切な文書を保管するものとする。

(c) データ輸入者は、本条項に定められた義務の遵守を証明するために必要なすべての情報をデータ輸出者に提供し、データ輸出者の要求に応じて、本条項の対象となる処理活動の、適切な間隔による場合、または違反の兆候がある場合の監査を可能にし、これに貢献するものとする。レビューまたは監査を決定する際、データ輸出者はデータ輸入者が保有する関連認証を考慮することができる。

(d) データ輸出者は、自ら監査を実施するか、独立した監査人を委任するかを選択することができる。監査には、データ輸入者の敷地または物理的施設での検査が含まれる場合があり、必要に応じて合理的な通知を行って実施されるものとする。

(e) 当事者は、監査の結果を含む、(b) 項および (c) 項で言及される情報を、要求に応じて権限を有する監督機関に提供するものとする。

第9条

副処理者の使用

(a) データ輸入者は、合意されたリストにある副処理者に処理を再委託することに関しデータ輸出者からの包括的授権を得ている。 データ輸入者は、副処理者の追加・交替により当該リストを変更しようとする場合、その30日前までに、その旨データ輸出者に書面で個別通知し、副処理者への再委託前にデータ輸出者が当該変更に反対することができる十分な猶予を与えなければならない。かかる変更は副処理者が関与する前に行われる。データ輸入者は、データ輸出者が異議を唱える権利を行使できるようにするために必要な情報をデータ輸出者に提供するものとする。

(b) データ輸入者が（データ輸出者に代わり）処理業務を副処理者に再委託する場合、本条項に基づきデータ輸入者が負う義務（データ主体の第三受益者としての権利に関する義務を含む)と実質的に同じデータ保護義務を規定する契約書により行わなければならない。両当事者は、本条の遵守により、データ輸入者が第8.8条[再移転]に基づく義務を履行することに同意する。 データ輸入者は、副処理者が本条項上のデータ輸入者が負うのと同じ義務を遵守するようにしなければならない。

(c) データ輸入者は、データ輸出者の要求に応じ、上記の副処理者との契約書（およびその後の変更）のコピーをデータ輸出者に提供しなければならない。 データ輸入者は、当該コピー提供前に、企業秘密またはその他の秘密情報（個人データを含む。）保護のために必要な限度で当該契約書にマスキングを行うことができるものとする。

(d) データ輸入者は、データ輸出者に対し、副処理者のデータ輸入者との契約上の義務履行について全て責任を負わなければならない。データ輸入者は、副処理者が当該契約上の義務に違反した場合、データ輸出者にその旨通知しなければならない。

(e) データ輸入者は、副処理者との間で第三受益者条項について合意し、データ輸入者が事実上消滅し、法令上消滅しまたは支払不能になった場合において、データ輸出者が当該副処理契約を解除し、かつ、副処理者に対し個人データの消去・返却を指示する権利を有すようにしなければならない。

第10条

データ主体の権利

(a) データ輸入者は、データ主体から受けた請求を速やかにデータ輸出者に通知しなければならない。データ輸入者は、データ輸出者から対応権限を与えられていない限り、当該請求に自ら対応してはならない。

(b) データ輸入者は、データ輸出者が規則(EU)2016/679上のデータ主体の権利行使への対応義務を履行することに関しこれを支援しなければならない。 これに関し、両当事者は、処理内容を考慮の上、支援内容である適切な技術的・組織的措置並びに必要な支援の範囲・程度を別紙IIに規定するものとする。

(c) データ輸入者は、上記(a)項および(b)項の義務履行に際し、データ輸出者の指示に従わなくてはならない。

第11条

救済

(a) データ輸入者は、データ主体に、透明性がありかつ容易にアクセスできる形態で、個別の通知によりまたはWebサイト上で、苦情対応窓口を知らせなければならない。データ輸入者は、データ主体から受けた苦情に速やかに対応しなければならない。

(b) 本条項の遵守に関し、データ主体といずれかの当事者との間に紛争が生じた場合、両当事者は、当該問題を適時に友好的に解決するために最善の努力を払わなければならない。両当事者は、当該紛争について相互に継続して情報を提供し、必要に応じ、その解決に協力しなければならない。

(c) データ主体が第3条に従い第三受益者としての権利を行使した場合、データ輸入者は、以下のデータ主体の決定を受入れなければならない。

1. データ主体の居住地もしくは勤務地のEU加盟国の監督機関または第13条に定める管轄監督機関に苦情を申し立てること。
2. 第18条に定める管轄裁判所に当該紛争について提訴すること。

(d) 両当事者は、規則(EU)2016/679第80条(1)に定める条件に従い、データ主体は非営利の団体・組織・協会により代理される権利を有することを受け入れなければならない。

(e) データ輸入者は、適用のあるEU法またはEU加盟国法上拘束力ある決定に従わなくてはならない。

(f) データ輸入者は、データ主体が行った選択が、データ主体が適用法に従い救済を求める実体上・手続上の権利を変更するものではないことに同意する。

第12条

責任

(a) 各当事者は、本条項の違反により他の当事者が蒙った損害について、他の当事者に対し、責任を負わなければならない。

(b) データ輸入者は、データ輸入者またはその副処理者が本条項上の第三受益者としての権利を侵害したことによりデータ主体が蒙った物的または精神的損害に関し、データ主体に対し責任を負うものとし、また、当該データ主体は当該損害の賠償を請求する権利を有するものとする。

(c) 上記第(b)項にかかわらず、データ輸出者は、データ輸出者またはデータ輸入者（もしくはその副処理者）が本条項上のデータ主体の第三受益者としての権利を侵害したことによりデータ主体が蒙った物的または精神的損害に関し、データ主体に対し責任を負うものとし、また、当該データ主体は当該損害の賠償を請求する権利を有するものとする。 これは、データ輸出者、および、データ輸出者が他の管理者の処理者である場合には当該管理者の規則(EU)2016/679上またはEU機関データ保護規則上の責任を変更するものではない。

(d) 両当事者は、データ輸出者が上記(c)項に基づきデータ輸入者（またはその副処理者）に責任を負った場合、データ輸入者に対し、当該損害に対するデータ輸入者の責任に応じ求償権を有することに同意する。

(e) 本条項違反の結果としてデータ主体に生じた損害について複数の当事者が責任を負う場合、その責任を負う当事者全員が連帯して責任を負うものとし、データ主体はこれら当事者のいずれかの者に対しても裁判所に提訴する権利を有するものとする。

(f) 両当事者は、いずれかの当事者が上記(e)項に基づき責任を負った場合、他の当事者に対し、当該損害に対する他の当事者の責任に応じ求償権を有することに同意する。

(g) データ輸入者は、副処理者の行為について自らの責任を回避することはできない。

第13条

監督

(a)データ輸出者が EU 加盟国に設立されている場合：データ移転に関しては、データ輸出者による規則(EU)2016/679の遵守を管轄する監督機関を管轄監督機関とし、当該機関が別紙I.Cに管轄監督機関として記載されなければならない。

データ輸出者が、EU加盟国内に設立されていないものの規則(EU)2016/679第3条(2)により規則(EU)2016/679の適用を受け、規則(EU)2016/679第27条(1)のEU域内代理人を選任している場合：規則(EU)2016/679第27条(1)に定める代理人が所在するEU加盟国の監督当局を管轄監督機関とし、当該機関が別紙I.Cに管轄監督機関として記載されなければならない。

データ輸出者がEU加盟国内に設立されていないものの、規則(EU)2016/679第3条(2)により規則(EU)2016/679の適用を受けるが規則(EU)2016/679第27条(2)により代理人選任を要しない場合：製品・サービスが提供されまたはその行動が監視されるデータ主体が所在するいずれかのEU加盟国の監督機関を管轄監督機関とし、当該機関が別紙I.Cに管轄監督機関として記載されなければならない。

(b) 特に、データ輸入者は、当該監督機関からの照会に応じ、その監査に服し、および、当該監督機関の措置（是正命令および賠償命令を含む。）に従うことに同意する。データ輸入者は、当該監督機関に対し必要な措置を講じた旨の確認書を提出しなければならない。

第III章 – 公的機関によるアクセスの場合の現地法および義務

第14条

本条項の遵守に影響を与える現地の法律および慣行

(a) 両当事者は、データ輸入者による個人データの処理に適用される移転先第三国の法令・慣行（個人データの開示義務または公的機関によるアクセスを認める法令を含む。）がデータ輸入者による本条項上の義務履行を妨げると信ずべき理由がないことを保証する。 上記は、基本権および自由の本質を尊重し、かつ、規則(EU)2016/679第23条(1)に定めるいずれかを保護するために民主主義社会において必要かつ比例的な範囲を超えない法令・慣行は、本条項に矛盾するものではないという認識を前提とする。

(b) 両当事者は、(a)項の保証を行うに際し、特に以下の要素を十分に考慮したことを宣言する。

1. 移転の具体的状況（処理の連鎖の長さ、関与する関係者数、利用される移転経路を含む。）／予定されている再移転／受領者のタイプ／処理目的／移転される個人データのカテゴリおよび形態／移転が行われる経済分野／移転されたデータの保存場所。
2. 移転先第三国の法令・慣行（公的機関へのデータ開示を要求する法令・慣行または公的機関によるアクセスを許容する法令・慣行を含む）。移転の具体的状況に照らし関連する法令・慣行、および、適用される制限および保護措置。
3. 本条項に基づく保護措置を補完するために講じられる契約的・技術的・組織的な関連保護措置（伝送中および移転先国で個人データの処理に適用される措置を含む）。

(c) データ輸入者は、上記(b)項に基づく評価実施に際し、データ輸出者に関連情報を提供するために最善の努力をしたことを保証するものとし、また、本条項遵守のためデータ輸出者と継続して協力することに同意する。

(d) 両当事者は、上記(b)項に基づく評価を文書化し、かつ、要求に応じ管轄監督機関に提出することに同意する。

(e) データ輸入者は、本条項に同意した後および本契約の契約期間中、自己が、上記(a)項の要件に合致しない法令・慣行の適用対象となっているまたはなったと信ずべき理由（当該第三国の法令改正によるもの、または、上記(a)項の要件に合致しない法令運用を示す措置（開示要求等）を含む。）がある場合、速やかにデータ輸出者にその旨通知することに同意する。 

(f) 上記第(e)項に基づく通知受領後、または、データ輸出者に、データ輸入者が本条項上の義務をもはや履行できないと信ずべき理由がある場合、データ輸出者は、これに対処するため、データ輸出者および/またはデータ輸入者が講じるべき適切な措置（例：セキュリティおよび秘密保持に関する技術的・組織的措置)を速やかに決定しなければならない。 データ輸出者は、適切な保護措置が確保できないと判断した場合または管轄監督機関から指示があった場合、当該データ移転を中断しなければならない。 この場合、データ輸出者は、本条項に基づく個人データの処理に関する限り、本契約を解除できるものとする。 本契約の当事者が三当事者以上である場合、データ輸出者は、関係当事者に対してのみこの解除権を行使することができる（但し当事者が別段の合意をした場合を除く）。 本条に基づき本契約が解除された場合、第16条(d)および(e)が適用される。

第15条

公的機関によるアクセスがあった場合のデータ輸入者の義務

15.1. 通知

(a) データ輸入者は、以下のいずれかの場合、データ輸出者および可能であればデータ主体に（必要に応じデータ輸出者の協力を得て）速やかにその旨通知することに同意する。

1. 移転先国の法令に基づき、公的機関（司法当局を含む。）から、本条項に従い移転された個人データの開示を求める法的拘束力ある要求を受けた場合。この通知には、開示要求された個人データ、要求した公的機関、要求の法的根拠および要求への対応に関する情報を含めなければならない。
2. 移転先国の法令に従い、本条項に従い移転された個人データに公的機関が直接アクセスしていることを認識した場合。当該通知には輸入者が入手できる全ての情報を含めなければならない。

(b) 移転先国の法令により、データ輸入者がデータ輸出者および／またはデータ主体に上記の通知を行うことが禁止されている場合、データ輸入者は、可能な限り多くの情報を早急に通知できるよう、当該禁止の免除を得るために最善の努力をすることに同意する。 データ輸入者は、データ輸出者の要求に応じ、かかる最善の努力を証明できるようその努力を文書化することに同意する。

(c) 移転先国の法令で認められている場合、データ輸入者は、データ輸出者に対し、本契約の契約期間中定期的に、受けた要求に関し、可能な限りの関連情報（特に、要求件数、要求されたデータの種類、要求した当局、要求に対する異議申立の有無とその結果等）を提供することに同意する。 

(d) データ輸入者は、本契約の契約期間中、上記(a)～(c)の情報を保存し、要求に応じ、管轄監督機関に提供することに同意する。

(e) 上記第(a)項～第(c)項は、第14条(e)項および第16条に基づくデータ輸入者の義務（本条項を遵守できない場合速やかにデータ輸出者にその旨通知すべき義務）を変更するものではない。

15.2. 適法性の検討とデータ最小化

(a) データ輸入者は、開示要求の適法性（特に要求した公的機関の権限の範囲内か否か）を検討し、慎重に検討した結果、当該要求が移転先国の法令、国際法上の義務および国際協調原則上違法であると考える合理的な根拠があると判断した場合には当該要求に異議を申立てることに同意する。 データ輸入者は、上記と同じ条件に基づき異議申立ての可能性を追求しなければならない。 当該要求に異議を申し立てる場合、データ輸入者は、管轄司法当局が最終判断をするまで、当該要求の効果を一時的に停止するための暫定的措置を求めなければならない。 データ輸入者は、適用される手続規則上要求されるまで、要求された個人データを開示してはならない。 上記は、第14条(e)に基づくデータ輸入者の義務を変更するものではない。

(b) データ輸入者は、当該開示要求に対する法的検討および異議申立てを文書化し、移転先国の法令上許容される範囲内で、データ輸出者に当該文書を提出することに同意する。データ輸入者は、また、要求に応じ、管轄監督機関にも当該文書を提供しなければならない。 

(c) データ輸入者は、上記開示要求に応じる場合、当該要求の合理的な解釈上許される最小限の情報のみ提供することに同意する。

第IV章 – 最終条項

第16条

本条項の不遵守と解除

(a) データ輸入者は、理由の如何を問わず、本条項を遵守できない場合、速やかにデータ輸出者にその旨通知しなければならない。

(b) データ輸入者が本条項に違反した場合または本条項を遵守することができない場合、データ輸出者は、その遵守が再び確保されるかまたは契約が終了するまで、データ輸入者への個人データの移転を停止しなければならない。これは、第14条(f)を変更するものではない。

(c) データ輸出者は、以下のいずれかの場合、それが本条項に基づく個人データの処理に関する場合、本契約を解除することができる。

1. データ輸出者が上記(b)項に従いデータ輸入者への個人データの移転を停止し、かつ、合理的な期間内（如何なる場合でも停止から1か月以内）に本条項の遵守が回復されない場合
2. データ輸入者が本条項に実質的または持続的に違反している場合
3. データ輸入者が、本条項上の義務に関し管轄裁判所または管轄監督機関の拘束力ある決定に従わない場合

この場合、データ輸出者は管轄監督機関に当該不遵守を通知しなければならない。 本契約の当事者が三当事者以上からなる場合、データ輸出者は、関係の当事者に対してのみこの解除権を行使することができる（但し当事者が別段の合意をした場合を除く。）。

(d) 上記第(c)項に基づく契約解除前に移転された個人データについては、データ輸出者の選択により、直ちにデータ輸出者に返還するかまたは全て消去しなければならない。そのコピーについても同様とする。 データ輸入者は、データ輸出者に対し、当該データ消去を証明しなければならない。 当該データが消去されるか返却されるまで、データ輸入者は引き続き本条項を遵守しなければならない。 データ輸入者に適用される移転先国の法令が、移転された個人データの返却または消去を禁止している場合、データ輸入者は、本条項を引続き遵守し、かつ、当該移転先国の法令上要求される範囲および期間内でのみ当該個人データを処理することを保証する。

(e) いずれの当事者も、(i) 欧州委員会が、本条項の適用対象である個人データの移転を適用対象に含む、規則(EU)2016/679第45条(3)に基づく決定を採択した場合、または、(ii)規則(EU)2016/679が個人データの移転先国の法制度の一部となった場合には、本条項に拘束される旨の合意を取り消すことができる。 上記は、規則(EU)2016/679に基づく当該処理に適用される他の義務を変更するものではない。

第17条

準拠法

本条項の準拠法は、第三受益者の権利を認める、いずれかのEU加盟国法とする。 両当事者は、Jurisdiction Specific TermsのContracting Entity; Applicable Law; Noticeに記載の法または、ここに EU 加盟国が指定されていない場合は、アイルランド共和国の法律に準拠するものとする（ただし、抵触法の原則は参照しない。）。

第18条

法廷地と管轄の選択

(a) 本条項から生じた全ての紛争は、EU加盟国の裁判所で解決されるものとする。

(b) 両当事者は、アイルランドの裁判所を管轄裁判所とすることに合意する。

(c) データ主体は、また、データ輸出者および／またはデータ輸入者に対し、当該データ主体が常居所を有するEU加盟国の裁判所に提訴することもできる。

(d) 両当事者は、上記裁判所の管轄権に服することに同意する。

連合王国およびスイスに係る標準契約条項の追加条項

(a) この追加条項は、移転時のデータ輸出者の当該データ移転時の処理に影響（Gatherデータ処理補遺で定義される）UK GDPRまたはスイスDPAが適用される範囲で、データ輸出者からデータ輸入者への移転に機能するように、必要な範囲で標準契約条項を修正するものである。

(b) 標準契約条項は、以下の変更を加えて修正されるものとする。

(i) 「規制 (EU) 2016/679」への言及は、適宜、UK GDPRまたはスイス DPAへの言及として解釈されるものとする。

(ii) 「規則 (EU) 2016/679」の特定の条項への参照は、適宜、UK GDPRまたはスイスDPAの同等の条項またはセクションに置き換えられるものとする。

(iii) 規則 (EU) 2018/1725 への言及は削除する。

(iv) 「EU」、「連合」、および「加盟国」への言及は、適宜、「連合王国」または「スイス」への言及に置き換えられるものとする。

(v) 別紙 II の13条(a) およびパート C は使用されず、「管轄監督機関」は適宜連合王国情報コミッショナーまたはスイス連邦データ保護情報コミッショナーを指すものとする。

(vi) 「管轄監督機関」および「管轄裁判所」への言及は、適宜、「情報コミッショナー」および「イングランドおよびウェールズの裁判所」または「スイス連邦データ保護情報コミッショナー」および「該当する裁判所」への言及に置き換えられるものとする。

(vii) 第 17 条において、標準契約条項は、適宜、イングランドおよびウェールズまたはスイスの法律に準拠するものとする。

(viii) UK GDPRが処理に適用される限り、18 条は次のように置き換えられるものとする。「本条項から生じる紛争は、イングランドおよびウェールズの裁判所によって解決されるものとする。また、データ主体は、連合王国のいずれかの国の裁判所にデータ輸出者またはデータ輸入者に対して法的手続を起こすこともできる。両当事者は、かかる裁判所の管轄に従うことに同意する。」。

(ix) スイスDPA が処理に適用される限り、18 条は次のように置き換えられるものとする。「本条項から生じる紛争は、スイスの管轄裁判所によって解決されるものとする。両当事者は、かかる裁判所の管轄に従うことに同意する。」

別紙

別紙I

A. 当事者のリスト

データ輸出者

名前: 本契約に定義されている顧客（顧客自身および許可された関連当事者を代表して） 

住所: 本契約に規定されている顧客の住所 （該当する場合）

担当者の氏名、役職および連絡先の詳細: 本契約に規定されている、または顧客のGatherアカウントに規定されている、顧客の連絡先の詳細

本条項に基づいて移転されるデータに関連する活動：Gatherサービス利用規約に基づく、顧客によるGatherサブスクリプションサービスの使用に関連する個人データの処理

役割 （管理者/処理者）：データ管理者

データ輸入者

名称 ： Gather Presence, Inc.

住所：2261 マーケット・ストリート #4095 * サンフランシスコ, CA 94114

担当者の氏名、役職、連絡先の詳細：security@gather.town

これらの条項に基づいて移転されるデータに関連するアクティビティ： Gather Presence, Inc のサービス規約(https://www.gather.town/terms-of-service)に定義されているサービス

役割（管理者/処理者）：データ処理者

B. 移転の説明

個人データが移転されるデータ主体のカテゴリ

データ輸出者によって別段の定めがない限り、移転されるGDPR個人データは、次のカテゴリのデータ主体に関連する: 顧客および顧客のエンドユーザー（顧客の従業員や委託先を含む。）。

移転される個人データのカテゴリ

顧客は、個人データをサービスに送信することができます。その範囲は顧客の独自の裁量で決定および管理され、以下のカテゴリの個人データが含まれる場合がありますが、これらに限定されません。 

ａ．連絡先 

b.　顧客または顧客のエンドユーザーが本サービスを通じて提出、送信、または受信したその他の個人データ。

詳細については、当社のプライバシー ポリシーを参照されたい：https://www.gather.town/privacy-policy

センシティブデータの移転及び適用される制限または保護措置

当事者はセンシティブデータの移転を想定していない。

移転の頻度（例： データが 1 回限りで移転されるか、継続的に移転されるか）

継続的。

移転と処理の性質と目的

データは、本サイトと本サービス、および本サービスに関連するサポートの提供を容易にするために移転および処理される。

個人データの保存期間、またはそれが不可能な場合はその期間を決定するために使用される基準

当社は、締結された契約で別のポリシーが合意されている場合、または当社がデータを長期間保持する法的義務がある場合を除き、Gather Presence, Inc のプライバシー ポリシー (https://www.gather.town/privacy-policy）に規定されている正当な事業目的に必要な期間のみ、かつ ユーザー アカウントを閉鎖してから30日を超えない期間のみ顧客の個人データを保持する。

C. 所管の監督当局

標準契約条項の目的上、権限のある監督当局として機能する監督当局は、(i) 顧客が EU 加盟国に拠点を置く場合、顧客のGDPR遵守を保証する責任を負う監督当局、および (ii) 顧客が EU 加盟国に設立されていないが、GDPRの域外範囲内にあり、代表者を任命している場合、顧客の代表者が設立されている EU 加盟国の監督当局。または、(iii) 顧客が EU 加盟国に拠点を置いていないが、代表者を任命する必要なくGDPRの域外適用範囲内にある場合、データ主体が主に所在する EU 加盟国の監督当局。連合王国GDPRまたはスイス DPA の対象となる個人データに関しては、適宜、管轄監督当局は連合王国情報コミッショナーまたはスイス連邦データ保護情報コミッショナーである。

別紙 II

データのセキュリティを確保するための技術的および組織的措置を含む技術的および組織的措置

当社は現在、この別紙 II に記載されている安全対策を遵守している。 以下で別途定義されていないすべての大文字の用語は、上記の DPA、あるいは本契約に規定されている意味を有するものとする。

1. Gatherは個人データを暗号化し、送信中および保管中に個人データを保護する。

Gather アプリケーションによって受信されたデータは、移転中は HTTPS、TLS、DTLS/SRTP を使用して暗号化され、保存中のデータは AES256 で暗号化される。Gatherは、ビデオ、音声、チャットの記録をサーバーに保存しない。

2. Gatherは、データ品質を確保しながら、処理システムとサービスの機密性、完全性、可用性、回復力を継続的に確保する。

当社の経営陣は、顧客データの取扱いに伴うリスクを軽減するために、データの取扱いと分類に関するポリシーを承認し、導入した。 このポリシーは、組織全体および関連する委託先に適用される。

3. Gatherは、物理的または技術的なインシデントが発生した場合に、個人データの可用性とアクセスをタイムリーに復元できることを保証する。

Gather は、Gather のデータ センターまたはその他のコンピューター設備に影響を与えるイベントが発生した場合に備えて、災害復旧計画を策定している。 

4. Gatherには、セキュリティ体制を強化するために、技術的および組織的対策の有効性をテスト、評価、評価するためのプロセスがある。

Gather は、一連の情報セキュリティ方針および管理策の有効性を継続的に監視し、第三者による監査を定期的に受けています。

5. Gatherのユーザーの識別と承認、構成ステータスのモニタリング

Gather には、電子リソースを使用するすべてのGather従業員、請負業者、および第三者に適用されるネットワークおよびアクセス制御ポリシーがあり、すべてのユーザーは承認される必要がある。Gatherは、コンプライアンス ルールを適用し、運用のセキュリティを確保するためにセキュリティ制御をテストしている。

6. 継続的な脆弱性の評価と修復

Gather は、情報ポリシーを毎年見直し、サードパーティ企業を利用して当社のネットワークとアプリケーションに対する侵入テストを毎年実施し、脆弱性スキャンを定期的に実施している。 

Gatherは、ユーザーのプライバシーやセキュリティに影響を与える重大なセキュリティの脆弱性を認識した場合には、その脆弱性への対処を他のエンジニアリングタスクよりも優先する。

7. 企業情報セキュリティポリシーの収集

Gather では、次のようないくつかの内部情報セキュリティ ポリシーを導入している。

• 適切な利用ポリシー
• データの分類と取扱いポリシー
• ネットワークおよびアクセス制御ポリシー
• セキュリティ管理マニュアル
• セキュリティ事故対応計画
• ベンダーのリスク管理プロセス
• ソフトウェア開発ライフサイクル
  

Gather がこれらのポリシーを共有できる範囲は限られており、共有できる場合にも範囲には制限があり秘密保持契約が必要となる。 

Gather はSOC 2コンプライアンス認証を取得している。

別紙Ⅲ

副処理者のリスト

1.

名前 穀物

ウェブページ ：https://grain.com

場所 アメリカ

処理の説明 会議記録、自動メモ取り、要約

2.

名前：Google Cloud

ウェブページ： https://cloud.google.com/

場所：完全な情報は以下  

• https://cloud.google.com/about/locations
• https://www.google.com/about/datacenters/locations/

処理の説明：クラウド ホスティング プロバイダー

3.

名前：Mailgun

ウェブページ：https://www.mailgun.com/

場所：アメリカ

処理の説明： メール配信サービス

4.

名前：Amazon Web Services

ウェブページ https://aws.amazon.com/

場所：アメリカ

処理の説明 ：クラウド ホスティング プロバイダー

5.

名前：Amplitude

ウェブページ： https://aws.amplitude.com/

場所：アメリカ

処理の説明： データ分析

6.

名前：Amplitude

ウェブページ： https://cloudflare.com/

場所：アメリカ

処理の説明 ：クラウド ホスティング プロバイダー

7.

名前：New Relic

ウェブページ https://newrelic.com/

場所：アメリカ

処理の説明： データ分析

8.

名前：Test RTCs

ウェブページ：：https://testrtc.com/

場所：アメリカ

処理内容： アプリケーション監視

9.

名前：Twilio

ウェブページ：https://twilio.com/

場所：アメリカ

処理の説明： メッセージング

10.

名前ライブキット

ウェブページ：https://livekit.io/

場所：アメリカ

処理の説明ビデオ

11.

名前ゴキブリDB

ウェブページ：https://www.cockroachlabs.com/

場所：アメリカ

処理内容：クラウド・アプリケーション用の標準SQLによる分散データベース。

12. 

名前スノーフレーク

ウェブページ：https://www.snowflake.com/en/

場所：アメリカ

処理内容：集中型データウェアハウス 

13.

名前 エンタープレット

ウェブページ：https://www.enterpret.com/

場所：アメリカ

処理内容： 顧客フィードバック・レポジトリ

14.

名前国勢調査

ウェブページ：https://www.getcensus.com/

場所：アメリカ

処理の説明 リバースETLツール

15.

名前 ハブスポット

ウェブページ ：https://www.hubspot.com/

場所：アメリカ

処理内容： 顧客関係管理プラットフォーム

16. 

会社名 株式会社センドバード

ウェブページ ：https://sendbird.com/

場所：アメリカ

処理内容： アプリ内チャット

17. 

名前 Statsig

ウェブページ ：https://statsig.com/

場所 アメリカ

処理の説明 ゲーティングと特徴フラグ

18. 

名前ストライプ

ウェブページ ：https://stripe.com/

場所 アメリカ

処理内容課金、請求書発行、支払い 

19. 

名前 シグマ

ウェブページ ：https://www.sigmacomputing.com/

場所 アメリカ

処理の説明： データ分析

20. 

名前 ゼンデスク

ウェブページ ：https://www.zendesk.com/

場所 アメリカ

処理内容 カスタマーサポート

21. 

名前 ヴァンタ

ウェブページ ：https://www.vanta.com/

場所 アメリカ

処理の説明 セキュリティおよびコンプライアンスに関するお客様のご要望

22.

名前 インタラクションラボ

ウェブページ ：https://www.interactionlabs.ai

場所 アメリカ

処理の説明 問題のデバッグを支援するための使用データの分析

23.

名前 ザピア

ホームページ：https://zapier.com

場所米国

処理の説明：顧客からの要請があった場合の顧客データのエクスポート

24.

会社名クレイラボ株式会社

ウェブページ：https://clay.com↪CF_200D↩

場所 アメリカ↪Cf_200D

処理の説明：関係管理プラットフォーム

25.

名前株式会社カンフェティ⇄200D

ウェブページ ：https://getkoala.com↪CF_200D↩

場所 アメリカ⇄200D

処理の説明ウェブサイトのエンゲージメントを追跡するための高度な分析。