付録II:欧州委員会が承認した標準契約条項(モジュール4)

これらの標準契約条項は、第三国への個人データ移転におけるGDPR準拠を確保するためのものです。

第1節


第1条

目的及び範囲

  1. これらの標準契約条項の目的は、個人データの第三国への移転に関して、個人データの処理に係る自然人の保護及び当該データの自由な移動に関する2016年4月27日付の欧州議会及び理事会規則(EU)2016/679(一般データ保護規則(GDPR))の要件の遵守を確保することにある。
  2. 当事者:
    • 個人または法人、公的機関、機関またはその他の団体(以下「エンティティ」とする)が、個人データを移転する主体として別紙I.Aに記載されているもの(以下それぞれ「データ輸出者」とする。)は、
    • 別紙I.Aに記載されたとおり、データ輸出者から直接または本条項の当事者である他のエンティティを通じて間接的に個人データを受け取る第三国のエンティティ。 (以下それぞれ「データ輸入者」とする。)は、これらの標準契約条項(以下「本条項」とする。)に同意します。
  3. 本条項は、別紙I.Bに定める個人データの移転について適用されるものとする。
  4. 本条項の附属書(これにおいて参照される別紙を含む。)は、本条項の不可分の一部を構成するものとする。

第2条

条項の効力及び不変性

  1. 本条項は、規則(EU)2016/679第46条第1項及び第2項(c)に基づき、データ主体に対して強制力のある権利及び有効な法的救済手段を含む適切な保護措置を定めるものであり、また、管理者から処理者への移転及び/又は処理者から処理者への移転に関しては、同規則第28条第7項に基づく標準契約条項を構成するものとする。ただし、適切なモジュールの選択又は附属書における情報の追加若しくは更新を除き、本条項は変更されないことを条件とする。 本条項は、当事者が、本条項に定める標準契約条項をより広範な契約に組み込み、かつ/又は他の条項若しくは追加的な保護措置を付加することを妨げるものではない。ただし、これらが本条項と直接又は間接的に抵触せず、かつデータ主体の基本的権利又は自由を害しないことを条件とする。
  2. 本条項は、規則(EU)2016/679に基づきデータ輸出者に課される義務に影響を及ぼすものではない。


第3条

第三者受益者

  1. データ主体は、第三者受益者として、データ輸出者及び/又はデータ輸入者に対し、本条項を援用し、かつこれを執行することができる。ただし、以下の例外を除く。
    • 第1条、第2条、第3条、第6条及び第7条。
    • 第8条第1項(b)及び第3項(b)。
    • 第13条。
  2. (a)項は、規則(EU)2016/679に基づきデータ主体に認められる権利に影響を及ぼすものではない。

第4条

解釈

  1. 本条項において規則(EU)2016/679で定義される用語が使用される場合、当該用語は同規則における意味と同一の意味を有するものとする。
  2. 本条項は、規則(EU)2016/679の規定に照らして解釈されるものとする。
  3. 本条項は、規則(EU)2016/679に定める権利及び義務に反するように解釈されてはならない。


第5条

優先順位

本条項と、本条項の合意時において当事者間で締結されている関連契約の規定又はその後に締結される関連契約の規定との間に矛盾が生じた場合には、本条項が優先して適用されるものとする。

第6条

移転の内容

移転の詳細、特に移転される個人データの種類及びその移転の目的は、別紙I.Bに定めるものとする。

第7条

加入条項

  1. 本条項の当事者でないエンティティは、当事者の同意を得た上で、別紙を記入し別紙I.Aに署名することにより、いつでもデータ輸出者又はデータ輸入者として本条項に加入することができる。
  2. 当該エンティティは、別紙を記入し別紙I.Aに署名した時点で、本条項の当事者となり、別紙I.Aにおけるその指定に従い、データ輸出者又はデータ輸入者としての権利及び義務を有するものとする。
  3. 当該エンティティは、本条項の当事者となる前の期間については、本条項に基づくいかなる権利又は義務も有しない。


第2節 当事者の義務


第8条

データ保護措置

データ輸出者は、適切な技術的及び組織的措置の実施を通じて、データ輸入者が本条項に基づく義務を履行する能力を有することを確認するために、合理的な努力を尽くしたことを表明し保証する。

第8条第1項 指示

  1. データ輸出者は、管理者として行動するデータ輸入者からの文書による指示に基づいてのみ、個人データを処理しなければならない。
  2. データ輸出者は、当該指示に従うことができない場合(当該指示が規則(EU)2016/679又はその他のEU若しくは加盟国のデータ保護法に違反する場合を含む。)には、直ちにその旨をデータ輸入者に通知しなければならない。
  3. データ輸入者は、サブプロセッシングの文脈又は権限ある監督当局との協力に関する場合を含め、規則(EU)2016/679に基づくデータ輸出者の義務の履行を妨げるおそれのあるいかなる行為も行ってはならない。
  4. 処理サービスの提供が終了した後、データ輸出者は、データ輸入者の選択により、データ輸入者のために処理したすべての個人データを削除し、その削除をデータ輸入者に対して証明するか、又は当該個人データをすべてデータ輸入者に返還するとともに、既存の複製を削除しなければならない。

第8条第2項 処理の安全性

  1. 当事者は、データの安全性を確保するため、送信中を含め、偶発的又は違法な破壊、滅失、改変、無権限の開示又はアクセスにつながる安全性の侵害(以下「個人データ侵害」という。)からの保護を含め、適切な技術的及び組織的措置を実施しなければならない。 適切な安全性の水準を評価するにあたり、当事者は、最新の技術水準、実施に要する費用、個人データの性質、処理の性質、範囲、状況及び目的、並びに当該処理に伴うデータ主体に対するリスクを十分に考慮しなければならない。また、処理の目的が当該方法により達成可能である場合には、送信中を含め、暗号化又は仮名化の利用を検討しなければならない。
  2. データ輸出者は、(a)項に従い、データの適切な安全性を確保するため、データ輸入者を支援しなければならない。 本条項に基づきデータ輸出者が処理する個人データに関して個人データ侵害が発生した場合、データ輸出者は、これを認識した後、遅滞なくデータ輸入者に通知するとともに、当該侵害への対応についてデータ輸入者を支援しなければならない。
  3. データ輸出者は、個人データの処理を許可された者が、秘密保持を遵守する旨の誓約を行っていること、又は秘密保持に関する適切な法令上の義務を負っていることを確保しなければならない。

第8条第3項 文書化及び遵守

  1. 当事者は、本条項の遵守を証明することができるものとする。
  2. データ輸出者は、本条項に基づく義務の遵守を証明するために必要なすべての情報をデータ輸入者に提供するとともに、監査を可能にし、これに協力しなければならない。

第9条

データ主体の権利

当事者は、データ輸入者に適用される現地法に基づき、又はデータ輸出者がEU域内でデータ処理を行う場合には規則(EU)2016/679に基づき、データ主体からなされる照会及び請求に対応するにあたり、相互に支援しなければならない。

第10条

救済

データ輸入者は、苦情の処理を担当する連絡窓口について、個別の通知又はそのウェブサイトを通じ、透明性が高く容易にアクセス可能な方法でデータ主体に通知しなければならない。 データ輸入者は、データ主体から受領した苦情に対し、速やかに対応しなければならない。

第11条

責任

  1. 各当事者は、本条項の違反により他の当事者に生じた損害について、当該他の当事者に対して責任を負うものとする。
  2. 各当事者は、本条項に基づく第三者受益者としての権利に違反することによりデータ主体に生じた有形又は無形の損害について、当該データ主体に対して責任を負い、当該データ主体はこれに対する補償を受ける権利を有するものとする。 本項は、規則(EU)2016/679に基づきデータ輸出者に帰属する責任に影響を及ぼすものではない。
  3. 本条項の違反によりデータ主体に生じた損害について複数の当事者が責任を負う場合、当該当事者はすべて連帯して責任を負うものとする。
  4. 当事者は、いずれかの当事者が(c)項に基づき責任を負う場合には、当該当事者が、損害に対する各当事者の責任割合に応じた補償の分担分について、他の当事者に対して求償する権利を有することに同意する。
  5. データ輸入者は、自らの責任を免れるために、処理者又はサブ処理者の行為を理由として援用することはできない。


第3節 公的機関によるアクセスに関する現地法及び義務


第12条

本条項の遵守に影響を及ぼす現地法及び慣行

  1. 当事者は、データ輸入者による個人データの処理に適用される移転先の第三国の法令及び慣行(個人データの開示を求める要件又は公的機関によるアクセスを認める措置を含む。)が、データ輸入者による本条項に基づく義務の履行を妨げるものであると信ずるに足る理由がないことを表明し保証する。 これは、基本的権利及び自由の本質を尊重し、規則(EU)2016/679第23条第1項に掲げる目的のいずれかを保護するために、民主的社会において必要かつ相当な範囲を超えない法令及び慣行は、本条項と抵触しないとの理解に基づくものである。
  2. 当事者は、(a)項における保証に関し、特に以下の要素を十分に考慮したことを表明する。
    • 移転の具体的状況には、処理チェーンの長さ、関与する主体の数、使用される伝送経路、予定される再移転、受領者の種類、処理の目的、移転される個人データのカテゴリ及び形式、移転が発生する経済分野、並びに移転されたデータの保存場所などが含まれます。
    • 移転先の第三国における法令及び慣行(公的機関へのデータ開示を求める要件又はその機関によるアクセスを認める措置を含み、移転の具体的状況に照らして関連するもの)、並びに適用される制限及び保護措置;
    • これらの条項に基づく保護措置を補完するために講じられる関連する契約上、技術的または組織的な保護措置には、データの送信や移転先国における個人データの処理に適用される措置が含まれます。
  3. データ輸入者は、(b)項に基づく評価の実施にあたり、データ輸出者に対し関連する情報を提供するために最善の努力を尽くしたことを表明し保証するとともに、本条項の遵守を確保するため、今後もデータ輸出者と協力することに同意する。
  4. 当事者は、(b)項に基づく評価を文書化し、要請があった場合には、権限ある監督当局にこれを提供することに同意する。
  5. データ輸入者は、本条項に同意した後、かつ契約期間中において、(a)項の要件に適合しない法令又は慣行に自らが服している又は服するに至ったと信ずるに足る理由がある場合(第三国の法令の変更又は当該法令が実務上適用されていることを示す措置〔開示請求等〕により、当該要件に適合しないことが示される場合を含む。)、速やかにデータ輸出者に通知することに同意する。
  6. (e)項に基づく通知があった場合、又はデータ輸出者が、データ輸入者が本条項に基づく義務をもはや履行できないと信ずるに足る理由を有する場合には、データ輸出者は、当該状況に対処するため、データ輸出者及び/又はデータ輸入者が講ずべき適切な措置(例えば、安全性及び機密性を確保するための技術的又は組織的措置)を速やかに特定しなければならない。 データ輸出者は、当該移転について適切な保護措置を確保できないと判断した場合、又は権限ある監督当局からその旨の指示を受けた場合には、当該データの移転を停止しなければならない。 この場合、データ輸出者は、本条項に基づく個人データの処理に関する限りにおいて、本契約を解除する権利を有する。 本契約に二当事者を超える当事者が含まれる場合、データ輸出者は、関係する当事者に対してのみ当該解除権を行使することができるものとする。ただし、当事者間で別段の合意がある場合を除く。 本条項に基づき本契約が解除された場合には、第16条(d)及び(e)が適用されるものとする。

第13条

公的機関によるアクセスに関するデータ輸入者の義務

第13条第1項 通知

  1. データ輸入者は、次のいずれかに該当する場合には、速やかに(必要に応じてデータ輸出者の支援を受けて)、データ輸出者及び可能な限りデータ主体に通知することに同意する。
    • 移転先国の法令に基づき、公的機関(司法当局を含む。)から、本条項に基づき移転された個人データの開示について法的拘束力のある要請を受領した場合、その通知には、要請された個人データ、要請を行った機関、要請の法的根拠及びこれに対して行った対応に関する情報を含めなければなりません。
    • 移転先国の法令に基づいて、公的機関によるデータへの直接なアクセスを認識した場合には、輸入者が入手可能なすべての情報を含めて通知します。
  2. 移転先国の法令により、データ輸出者及び/又はデータ主体への通知が禁止されている場合には、データ輸入者は、当該禁止の解除を得るために最善の努力を尽くし、可能な限り速やかに、可能な限り多くの情報を提供することを目的として行動することに同意する。 データ輸入者は、データ輸出者からの要請に応じて当該最善の努力を証明できるよう、これを文書化することに同意する。
  3. 移転先国の法令により許容される範囲において、データ輸入者は、契約期間中、定期的に、受領した要請に関する可能な限り多くの関連情報(特に、要請の件数、要請されたデータの種類、要請を行った機関、当該要請に対して異議が申し立てられたか否か及びその結果等)をデータ輸出者に提供することに同意する。
  4. データ輸入者は、(a)項から(c)項に基づく情報を契約期間中保存し、要請があった場合には、権限ある監督当局にこれを提供することに同意する。
  5. (a)項から(c)項は、本条項を遵守できない場合に速やかにデータ輸出者に通知するデータ輸入者の義務(第14条(e)及び第16条に基づくもの)に影響を及ぼすものではない。

第13条第2項 適法性の確認及びデータ最小化

  1. データ輸入者は、開示要請の適法性を検討し、特に当該要請が要請を行った公的機関に付与された権限の範囲内にとどまるか否かを確認するとともに、慎重な評価の結果、当該要請が移転先国の法令(国際法上の義務及び国際礼譲の原則を含む。)に照らして違法であると考えるに足る合理的な理由があると判断した場合には、当該要請に異議を申し立てることに同意する。 データ輸入者は、同様の条件の下で、上訴その他の不服申立ての可能性を追求しなければならない。 当該要請に異議を申し立てる場合には、データ輸入者は、権限ある司法当局が本案について判断するまでの間、当該要請の効力を停止することを目的として、仮の措置の取得を求めなければならない。 データ輸入者は、適用される手続法に基づき開示が求められるまで、要請された個人データを開示してはならない。 これらの要件は、第14条(e)に基づくデータ輸入者の義務に影響を及ぼすものではない。
  2. データ輸入者は、開示要請に関する法的評価及び当該要請に対する異議申立ての内容を文書化し、移転先国の法令により許容される範囲において、当該文書をデータ輸出者に提供することに同意する。 データ輸入者は、要請があった場合には、これを権限ある監督当局に提供することにも同意する。
  3. データ輸入者は、開示要請に応答するにあたり、当該要請の合理的な解釈に基づき、許容される範囲で最小限の情報のみを提供することに同意する。


第4節 最終規定


第14条

本条項の不遵守及び契約の解除

  1. データ輸入者は、いかなる理由による場合であっても、本条項を遵守することができない場合には、速やかにデータ輸出者に通知しなければならない。
  2. データ輸入者が本条項に違反した場合又は本条項を遵守できない場合には、データ輸出者は、遵守が再び確保されるまで又は本契約が解除されるまでの間、データ輸入者への個人データの移転を停止しなければならない。 本項は、第14条(f)に影響を及ぼすものではない。
  3. データ輸出者は、本条項に基づく個人データの処理に関する限りにおいて、以下の場合には本契約を解除する権利を有する。
    • データ輸出者が(b)項に基づきデータ輸入者への個人データの移転を停止し、本条項の遵守が合理的な期間内に、また有効な停止から1か月以内に是正されない場合を示します。
    • データ輸入者が本条項に重大な違反又は継続的な違反をしている。
    • データ輸入者が、本条項に基づく義務について、権限ある裁判所または監督当局の判決に従わなかった場合を指します。

    本条項に違反した場合には、データ輸入者は、当該不遵守について権限ある監督当局に通知しなければならない。 本契約に二当事者を超える当事者が含まれる場合、データ輸出者は関連当事者に対してのみ、解除権を行使することができます。ただし、当事者が別段の合意をしている場合を除きます。

  4. (c)項に基づき本契約が解除される前に移転された、EU域内においてデータ輸出者により収集された個人データは、その複製を含め、直ちにすべて削除されなければならない。 データ輸入者は、当該データの削除をデータ輸出者に対して証明しなければならない。 当該データが削除又は返還されるまで、データ輸入者は、本条項の遵守を引き続き確保しなければならない。 データ輸入者に適用される現地法により、移転された個人データの返還又は削除が禁止されている場合には、データ輸入者は、本条項の遵守を引き続き確保することを表明し保証するとともに、当該現地法に基づき必要とされる範囲及び期間に限り、当該データを処理するものとする。
  5. いずれの当事者も、(i) 規則(EU)2016/679第45条第3項に基づき、欧州委員会が本条項の適用対象となる個人データの移転を対象とする決定を採択した場合、又は (ii) 規則(EU)2016/679が当該個人データの移転先国の法制度の一部となった場合には、本条項に拘束されることへの同意を撤回することができる。 本項は、当該処理に関して規則(EU)2016/679に基づき適用されるその他の義務に影響を及ぼすものではない。

第15条

準拠法

本条項は、第三者受益者の権利を認める国の法令に準拠するものとする。 当事者は、準拠法をスペイン法とすることに同意する。

第16条

管轄及び裁判地の選択

本条項に起因する紛争は、スペインの裁判所を専属的合意管轄とする。



別紙I

当事者一覧

データ輸入者:

  • 名称:ILOVEPDF, S.L.
  • 住所:Calle Sabino de Arana, 60, 08028 Barcelona
  • 連絡担当者:Juan Oriol(Legal Director)連絡先:legal@ilovepdf.com
  • 本条項に基づき移転される個人データに関連する活動:個人データの輸入者に対するサービスの提供(当該サービスの提供が、ILOVEPDF(データ輸出者)から顧客(データ輸入者)への個人データの国際的移転を伴う限りにおいて)。
  • 役割:処理者

データ輸入者: [データ輸入者の識別情報及び連絡先(データ保護を担当する連絡先を含む。)]

  • 名称:[...](未記入の場合は、クライアントの名称が適用されるものとする。)
  • 住所:[...](未記入の場合は、クライアントの名称が適用されるものとする。)
  • 連絡担当者の氏名、役職、及び連絡先詳細:[...](未記入の場合は、契約締結又はサービスの運用においてクライアントを代表する者の情報が適用されるものとする。)
  • 本条項に基づき移転される個人データに関連する活動:個人データの輸出者によるサービスの提供(当該サービスの提供が、ILOVEPDF(データ輸出者)から顧客(データ輸入者)への個人データの国際的移転を伴う限りにおいて)。
  • 署名及び日付:[...](未記入の場合は、クライアントによるサービスの初回利用日が当該日付とみなされるものとする。)
  • 役割:管理者

移転の内容

個人データが移転されるデータ主体の種類

ILOVEPDFが提供するサービスの利用に際し、データ輸入者がアップロードするファイルに含まれるデータ主体の種類(例:従業員、顧客、取引先等)

移転される個人データの種類
ILOVEPDFが提供するサービスの利用に際し、データ輸入者がアップロードするファイルに含まれる個人データの種類。

移転される機微データ(該当する場合)及び当該データの性質及び関連するリスクを十分に考慮した上で講じられる制限又は保護措置(例えば、厳格な目的制限、アクセス制限〔専門的な訓練を受けた担当者に限定したアクセスを含む。〕、データへのアクセスの記録の保持、再移転の制限又は追加的なセキュリティ対策等)

データ輸入者がILOVEPDFが提供するサービスの利用に際してアップロードするファイルに特別な種類の個人データが含まれる場合に限り、当該特別な種類の個人データが処理されるものとする。

移転の頻度(例:一回限りか継続的にデータが移転されるか)
ILOVEPDFからデータ輸入者への個人データの国際的移転を伴う場合。

処理の性質
ILOVEPDFがサービスを提供するために必要な範囲において、個人データをデータ輸入者に提供する。

データ移転及びその後の処理の目的
ILOVEPDFのためにサービスを提供するため。

個人データの保存期間、または、その決定が不可能な場合の基準>
サービスを提供するために厳格に必要な範囲、およびその後は、適用される法律によって要求され、個人データ処理に関連する請求の主張または防御に必要な範囲内で保存します。

バージョン管理: 2026年2月19日木曜日



おっと!インターネット接続に問題があります...