注記：この翻訳は自動生成されたものであり、便宜上提供されるものです。この自動生成された翻訳は、人間の翻訳の品質には及びません。また、エラーが含まれている可能性があります。この翻訳は「現状有姿」で提供され、翻訳の正確性、完全性、信頼性に関するいかなる保証もありません。本契約の英語版と外国語に翻訳されたバージョンとの間に矛盾がある場合は、英語版のみが有効とみなされます。

データ処理特約

このデータ処理特約（「DPA」）は、ソフォスとお客様との間で締結された、ソフォスによる特定の製品および/またはサービスのお客様への提供に関する契約（「主契約」）の一部を構成し、明示的に組み込まれるものです。別途定義されていない限り、すべての頭字語は、以下の第1条に記載の意味を持ちます。

1.定義

1.1  DPAにおいて、以下の用語は、以下の意味を持ちます。

「関連会社」とは、各当事者に関して、当該当事者を支配し、当該当事者によって支配され、または当該当事者と共通の支配下にいる事業体を意味します。この定義において、「支配」とは、法人の議決権または資本金50%超の実質的な所有権、または当該事業体の経営を指揮する契約上または法律上の権利を有すること意味します。

「適用されるデータ保護法」とは、主契約に基づき、管理者の個人データの処理に適用されるすべての法令を意味し、該当する場合は、 GDPR、英国データ保護法、およびCCPA を含みます。

「受益者」とは、MSP契約で与えられた意味を持ちます。

「CCPA」とは、2020年カリフォルニア州プライバシー権法により改正されたカリフォルニア州消費者プライバシー法を意味します。これには、カリフォルニア州民法典（Cal. Civ. Code）§§ 1798.100 - 1798.199.100の規定、およびそれに基づくカリフォルニア消費者プライバシー法規制（Cal. Code Regs. Tit.11, div.6，ch.1）が含まれ、各々改正されたものをいいます。

「管理者」とは、（a）お客様がエンドユーザーである場合、お客様を意味します。（b）お客様がMSPである場合、受益者を意味します。（c）お客様がOEMである場合、エンドカスタマーを意味します。

「管理者の個人データ」とは、ソフォスが本サービス提供の一環として管理者の代理で処理する個人データを意味します。

「お客様」は次のいずれかを意味します：（1）主契約が、ソフォスとマネージドサービスプロバイダーまたはマネージドセキュリティサービスプロバイダー（それぞれを「MSP」）の間で締結されている場合（「MSP契約」)、MSP、 （2）主契約が、相手先ブランド製造業者（「OEM」）に、ソフォス製品を自社製品と組み合わせてバンドルされたユニットの一部として第三者に販売、サブライセンス、または提供する権限を付与する契約（「OEM契約」）の場合、OEM、（3）主契約がお客様との直接契約である場合、エンドユーザー（「エンドユーザー」)。

「データ主体」とは、管理者の個人データに関連する個人を意味します。

「データ主体の要求」とは、適用されるデータ保護法に基づき権利を行使するデータ主体からのあらゆる要求を意味します。

「EEA」とは、欧州連合の加盟国を含む欧州経済領域を意味します。

「エンドカスタマー」とは、OEM契約で与えられた意味を持ちます。

「EU SCCs」とは、欧州議会および理事会の規則（EU）2016/679に基づく、第三国への個人データ移転に関する標準契約条項で、欧州委員会が2021年6月4日に実施した決定（EU）2021/914により承認されたものを意味します。

「GDPR」とは、適宜改正される一般データ保護規則（EU）2016/679を意味します。

「個人データ」は、適用されるデータ保護法の下で定義される「個人データ」または「個人情報」を意味し、識別または 識別可能な個人または世帯に関連する情報が含まれます。

「個人データ侵害」とは、管理者の個人データに関する偶発的または違法な破壊、損失、改ざん、不正な開示またはアクセスにつながるセキュリティ侵害（ただし、お客様またはそのユーザーが原因で発生したものを除く）を意味します。

「処理者」とは、管理者の指示に基づいて、管理者のために個人データを処理する個人または法人を意味し、CCPAに従って「サービスプロバイダー」として行動する法人を含みます。

「制限された移転」とは、拘束的企業準則や標準契約条項などの適切な移転メカニズムがない場合、欧州データ保護法の下で禁止される第三国への個人データの移転を意味します。

「本サービス」とは、主契約に基づきソフォスが提供する製品および/またはサービスを意味します。

「ソフォス」とは、イングランドおよびウェールズに登録された会社であるSophos Limited（登録番号：2096520、所在地：The Pentagon, Abingdon, OX14 3YP, United Kingdom）を意味します。

「標準契約条項」または「SCCs」とは、以下のいずれかを意味します：（i）GDPRが制限された移転に適用される場合、EU SCCs；（ii）英国データ保護法が制限された移転に適用される場合、英国付属書；および（iii）スイスDPAが制限された移転に適用される場合、スイス SCCs。

「復処理者」とは、管理者の個人データに関連するデータ処理業務を実施するためにソフォスが任命した法人を意味します。

「監督機関」とは、適用されるデータ保護法に関する権限のある規制当局を意味し、該当する場合には、GDPRで定義される監督機関も含まれます。

「スイスDPA」とは、随時改正される2020年9月25日付スイス連邦データ保護法を意味します。

「スイスSCCs」とは、スイス連邦データ保護情報コミッショナー（「FDPIC」）が発行、承認、またはその他の方法で認定した、第三国への個人データ移転に関する適用可能な標準データ保護条項を意味します。

「第三国」とは、EEA、イギリス（「英国」）またはスイス以外の国で、EEA、英国またはスイスのデータ保護法（「欧州データ保護法」）に基づき、欧州委員会またはスイスまたは英国の同等の機関または個人によって十分な保護の水準が確保されていると決定されていない国を意味します。

「英国付属書」とは、英国情報コミッショナー事務所が発行し、2018年データ保護法第119A条に従い、2022年2月2日に議会に提出された、EU SCCsに対する国際データ移転付属書を意味します。

「英国データ保護法」とは、英国の2018年データ保護法および英国の2018年欧州連合（離脱）法第3条に基づき英国法に取りこまれたGDPRを意味し、随時改正されたものを指します。

1.2. このDPAでは、小文字の用語「管理者」、「処理者」、「データ主体」、「個人データ」、「処理」（およびその派生語）は、適用されるデータ保護法で与えられた意味を持ちます。

1.3. このDPAで別途定義されていない大文字の用語は、主契約でその用語に与えられた意味を持ちます。

2. 範囲

2.1. このDPAは、ソフォスが本サービス提供の一環としてお客様の代理として管理者の個人データを処理する場合に適用されます。ソフォスによる管理者の個人データの処理の対象、期間、処理の性質と目的、処理される管理者の個人データの種類、データ主体のカテゴリは、以下に定める内容に従います：（a）DPA、（b）主契約、（c）別紙1（データ処理の詳細）、（d）第4条に基づいて発行されたお客様の指示。

2.2. お客様は、管理者が以下の事項について、（a）管理者が、ソフォスがお客様に代わって実施する管理者の個人データの処理について適法な根拠を有すること、（b）管理者が、お客様とソフォスによる管理者の個人データの処理に必要となる場合、必要なすべてのデータ主体の同意を得ていること、（c）管理者が、その他、適用されるデータ保護法に準拠し、かつ、管理者の個人データの処理に関するソフォスへの指示がすべての点で適用されるデータ保護法に準拠することを保証する責任を負います。

2.3. 両当事者は、管理者の個人データに関して、ソフォスが処理者または復処理者であり、お客様は（a）お客様がエンドユーザーである場合には管理者、または（b）お客様がMSPまたはOEMである場合には、それぞれ、受益者またはエンドカスタマーの処理者であることに同意します。

3. お客様の指示

3.1. お客様は、本サービスを提供および推敲するために合理的に必要な範囲、およびDPAならびに主契約に規定されている場合、管理者の個人データの処理をソフォスに対して指示します（「お客様の指示」）。ソフォスは、（a）ソフォスとお客様との間で書面による別段の合意がある場合、または（b）ソフォスが適用される法令に基づき処理を行うことを要求される場合（この場合、当該法令が重要な公共の利益に基づいてそのような情報の提供を禁止する場合を除き、ソフォスは処理する前に、お客様に当該法的要請を通知するものとします）を除き、お客様の指示に従って管理者の個人データを処理するものとします。お客様が管理者の個人データに関して処理者として行動する場合、お客様は、お客様の指示が関連する管理者によって適切に承認されており、当該管理者によって発行された指示と矛盾しないことを保証するものとします。

3.2. ソフォスは、お客様の指示が適用されるデータ保護法に違反していることを認識した場合、お客様に

3.3. 前項に制限されることなく、CCPAが管理者の個人データに適用される範囲で、ソフォス また、以下の点にも同意します。:

1. ソフォスは、DPAおよび主契約の条件に従い、本サービスの履行という特定の事業目的のため、および適用される法令により別途認められる場合を除き、管理者の個人データを使用、開示、またはその他の方法で処理しないものとします。 
2. ソフォスは、第7条の条件に従い、管理者の個人データの処理を行う復処理者を従事させることができ、当該従事は管理者の個人データの販売とはみなされないものとします。
3. ソフォスは、お客様とソフォスの間の直接的な取引関係の範囲を超えて、またはソフォスの独自の商業目的のために、管理者の個人データを処理しないものとします。 
4. ソフォスは、管理者の個人データを「共有」または「販売」（用語の定義はCCPAの定義に従う）しないものとします。 
5. ソフォスは、CCPAに基づく自己の義務を遵守し、CCPAで要求されるのと同等水準のプライバシー保護を提供します。
6. ソフォスがCCPAの条件を遵守できないおそれがあると判断した場合、ソフォスはお客様に速やかに通知し、管理者の個人データをCCPAに基づく管理者の義務に適合する方法で処理されることを保証するために、お客様が合理的かつ適切な措置を講じる権利をお客様に付与します。
7. ソフォスは、第4.6条に定める場合を除き、主契約の満了または終了時に管理者の個人データを保持しないものとします。

3.4.       ソフォスは、第3.3条に定める義務を理解し、遵守することを保証します。

4. ソフォスの義務

4.1 協力義務。管理者の個人データの処理の性質を考慮し、ソフォスは、必要な範囲でお客様（お客様が MSP または OEM である場合には、管理者）に対して、以下を行うための合理的な補助を提供します。（i）適用されるデータ保護法に基づく権利を行使するデータ主体からの要請に対応すること（ソフォスが当該要請を受領した場合にはお客様に通知するものとし、お客様からの許可がない限りは自ら対応しないものとします）、（ii）データ保護影響評価、その他適用されるデータ保護法に基づき実施が求められる評価を実施すること、（iii）適用されるデータ保護法に基づき必要な場合に監督当局と協議し協力すること。ソフォスは、これらの支援に要する費用が名目的な金額を超える場合は、その支援に対して費用を請求する権利を留保します。

4.2 第三者からの要求。法令で禁止されていない限り、ソフォスは、管理者の個人データの処理に関連して監督機関、司法当局または法執行機関から受け取るプライバシーに関する要求、通信、問い合わせまたは苦情をお客様に通知し、その詳細のすべてを提供するものとします（「第三者からの要求」）。ソフォスは、（1）お客様の書面による指示がある場合、または（2）適用される法律により回答が義務付けられている場合を除き、第三者からの要求に直接応答しないものとします。

4.3 機密性。管理者の個人データを処理するソフォスのすべての従業者は、データ保護、セキュリティおよび機密保持の義務に関して適切な訓練を受け、書面または法定の機密保持義務に従うものとします。

4.4. セキュリティ。ソフォスは、リスクに相応しいセキュリティ水準を確保し、管理者の個人データが個人データ侵害から保護するため、適切な技術的および組織的措置を講じるものとします。こうした措置は、リスクに適切に対応できるセキュリティ水準を確保できるよう、最新の技術水準、実装に掛かる費用、処理の性質、範囲、状況および目的、ならびに自然人の権利および自由に対するリスクの発生可能性と重大性の程度を考慮するものとします。特に、ソフォスが講じる措置は、DPAの別紙2に記載されているものを含みます。

 4. 5. 個人データ侵害。個人データ侵害が発生したことを確認した場合、ソフォスは、お客様に遅滞なく通知し、お客様（お客様がMSPまたはOEMである場合はその管理者）が適用されるデータ保護法に基づくデータ侵害報告義務を（適用されるデータ保護法の定める期限に従って）果たすために合理的に必要とされるすべての適時情報を提供し、協力するものとします。さらにソフォスは、個人データ侵害の影響を是正または軽減するために合理的に必要な対策および措置を講じ、個人データ侵害に関連する状況の進展についてお客様に随時報告します。

 4.6  サービス終了。本サービスの提供終了時、またはお客様からの書面による要請があった場合、 ソフォスは、適用法により要求される場合、または司法上またはコンプライアンス上の要請に従うために保持が必要とされる場合を除き、管理者の個人データを、当該本サービスの終了または当該要請の後合理的な期間内に削除するものとします。ソフォスが管理者の個人データを保持する必要がある場合、ソフォスは、保持されている限り、管理者の個人データの機密性およびセキュリティが継続的に維持されるよう措置を講じます。

5. お客様の監査権限

5.1 お客様は、ソフォスが独立した第三者監査機関によるSSAE 18 SOC 2基準に基づく定期的な監査を受けていることを認識します。合理的な要請があった場合、ソフォスは、お客様にSOC 2監査報告書の写しを提供するものとし、これらの報告書は、主契約の機密情報条項に従い、ソフォスの機密情報として扱われます。また、ソフォスは、お客様が提出する合理的な書面による監査の質問票に回答するものとします。ただし、お客様が当該権利を行使できるのは年に1回を超えないものとします。

5.2 お客様が、第5.1条に基づき提供された資料が、DPAにおけるソフォスの遵守状況を示すのに不十分であると合理的に判断する場合、お客様は、ソフォスに対し、DPAに定められた義務の遵守状況を示すために合理的に必要なすべての情報を提供し、お客様またはお客様の独立した第三者監査機関による監査（検査を含む）を許可し、かつこれに参加することを書面で要請することができます。ただし、以下の規定に従うものとします。

第5.2条に基づき審査または監査を依頼する前に、お客様は、第5.1条に記載されている関連するソフォスの第三者認証および監査を考慮するものとします。

1. お客様は、第5.2条に基づく監査または検査の実施の要請について、監査の提案された範囲、期間、開始日を提供し、少なくとも30日前までにソフォスに合理的な通知を行うものとします。
2. 第三者監査人が監査を行う場合は、当該第三者監査人は、信頼性が高く、十分に実績がある専門家または企業でなければならず、適切な機密保持義務を負っているものとし、また、ソフォスの競合他社であってはなりません。
3. お客様は、ソフォスの通常の営業時間内に、かかる監査または検査を実施し、ソフォスの事業活動への支障を最小限にとどめるものとします（また、お客様は、お客様の監査人がこれを行うことを保証するものとします）。
4. 監査または検査は、監督当局または適用されるデータ保護法によって要求される場合を除き、年に1回を超えて実施されないものとします。
5. お客様（または必要に応じてお客様の監査人）は、他のソフォスのお客様（およびその情報）にアクセスすることはできません。
6. 監査または検査により、DPAに基づくソフォスの重大な義務の違反が明らかになった場合を除き、お客様は、ソフォス、その従業者、および専門アドバイザーが費やした時間に対する料金を含め、ソフォスが負担した合理的な費用および経費をソフォスに支払うるものとします。
7. 適用法により禁止されない限り、お客様は、第5.2条に基づき実施された監査に関連して作成された監査報告書の写しをソフォスに提供するものとします。
8. 監査または検査から得られた情報は、ソフォスの機密情報とみなされます。

6.1 復処理者

6.1. ソフォスは、  https://www.sophos.com/en-us/legal/sub-processor (「復処理者リスト」）に記載された復処理者およびソフォス関連会社を従事させることについて、一般的な許可を得ているものとします。ソフォスは、第6条に記載の条件に従い、追加の復処理者（それぞれ「新規復処理者」）を従事させることがあります。

6.2. ソフォスは、新規復処理者の追加を予定している場合、その詳細を復処理者リストに掲載し、お客様に電子メールを送信して通知するものとします。

6.3.お客様が、当該通知から30日以内に、ソフォスによる新規復処理者の指定について（管理者の個人データの保護に関連する合理的な理由に基づく）書面による異議を申し立てない場合、お客様は、その新規復処理者に同意したものとみなされます。お客様が異議を唱えた場合、 両当事者は、異議申し立て後30日間にわたり、代替手段について合意するために合理的な努力を払うものとします。両当事者が当該期間内に合意に至らない場合、 お客様は、ソフォスに対して書面による30日前までの通知をもって、新規復処理者によって影響を受ける本サービスの一部を終了することを選択することができ、ソフォスは、終了後の残余期間に対応する前払い料金について、比例配分による金額を返金し、またはクレジットの付与を行うものとします。

6.4.ソフォスは、復処理者に対して、DPAで規定されている要件と実質的に同等のデータ保護要件を課すものとします。ソフォスは、各復処理者の義務の履行について、引き続き完全な責任を負います。

6.5. 復処理者の従事により管理者の個人データの制限付き移転を必要とする場合、ソフォスは、適用されるデータ保護法の遵守を確保するために、適切な移転メカニズムを実施し、維持します。

7. 国際的なデータ移転

7.1. 特定の製品では、お客様が、データが生成された管轄区域外にある可能性のあるデータセンターを含む、当該製品係る管理者の個人データをどこにホストするかを選択できる場合があります。これらの拠点には、（a）欧州経済領域、（b）英国、（c）米国、または主契約で指定されるその他の拠点が含まれます（「中央ストレージ拠点」）。これらの製品の場合、当該選択は、製品のインストール、アカウントの作成、または関連製品の初回使用時にお客様によって行われるものとします。お客様が選択した後、中央ストレージ拠点を後日変更することはできません。

7.2. お客様は、（該当する場合には）選択された中央ストレージ拠点にかかわらず、ソフォスが適用されるデータ保護法およびDPAの規定を遵守することを条件として、管理者の個人データを国際的に移転する場合があることに同意するものとします。当該移転が制限された移転に該当する場合、ソフォスは欧州のデータ保護法の遵守を確保するため、標準契約条項等の適切な移転メカニズムを実施および維持するものとします。

7.3. お客様からソフォスに対して制限された移転が行われる場合、以下の条件が適用されるものとします。

7.3.1. 標準契約条項は、参照によりここに明示的に組み込まれ、DPAの一部を構成します。

7.3.2. 標準契約条項の目的において：

7.3.2.1. 管理者の個人データに関して、お客様はデータ輸出者であり、ソフォスはデータ輸入者および処理者です。

7.3.2.2. お客様が管理者である場合、標準契約条項のモジュール2が、別紙4の条件に従って適用されます。お客様が管理者を代理して行動する処理者である場合、標準契約条項のモジュール3が、別紙4の条件に従って適用されます。

7.3.2.3. 主契約への両当事者の署名と日付が、標準契約条項の署名と日付とみなされます。  

8. 期間

8.1 DPAは、（a）両当事者が主契約を締結した日、または（b）主契約が発効する日（発効日が締結日より遅い場合）に開始し、以下のいずれか早い日まで存続します。（i）主契約または関連するライセンス証書に記載されているお客様の本サービスの使用および受領の資格の有効期限の終了、および（ii）主契約の終了。

9. その他の規制

9.1. DPAの変更は、書面によるもので、かつ、各当事者またはその代理人によって署名された場合にのみ有効です。

9.2. DPAに起因または関連して発生するいかなる問題に関しても、ソフォスのお客様に対する責任は、主契約に定めるソフォスの責任制限を超えないものとします。主契約に定めるソフォスの責任制限は、主契約およびDPA双方に対して合算して適用され、主契約およびDPA全体に対して単一の責任制限の枠組みが適用されるものとします。

9.3. DPA（SCCsを除く）は、法律の抵触に関する原則を考慮することなく、イングランドおよびウェールズの法律に準拠し、これに従って解釈されます。適用法により許容される範囲において、DPAに起因または関連して生じるいかなる紛争または請求について、イングランドの裁判所が専属的管轄権を有するものとします。

9.4. 主契約、DPA、および主契約ならびにDPAで明示的に参照される文書は、主契約に関連してソフォスが収集、処理、利用する個人データに関する当事者間の完全な合意を構成し、当事者間の当該事項に関する以前のすべての合意、取り決め、および了解に優先するものとします。

9.5. DPAの条件と当事者間で締結されたSCCsの条件が矛盾する場合、適用されるSCCsの条件（Annexを含む）が優先されるものとします。

10. 法律の変更

10.1. 適用されるデータ保護法の変更によりDPAの修正が必要となった場合、各当事者は、相手方当事者に書面で通知することができます。両当事者は、かかる変更に対応するために、本契約の必要な修正について誠実に協議し、交渉するものとします。両当事者は、第10条またはその他の規定に従い、DPAを修正することに対して、合理的な理由なく同意または承認を留保しないものとします。

証拠書類のリスト 

別紙 1:処理の内容 

別紙2:技術的および組織的措置 

別紙3:制限された移転に関する追加条項

別紙3への付属書類）:SCCsのAppendix（モジュール2/モジュール3）：管理者から処理者/処理者から処理者 

別紙1

処理の内容

別紙1は、ソフォスがお客様の代わりに処理者として行う処理について規定します。

（a）処理の対象 

ソフォスは、お客様によって提供されたシステム、ネットワーク、デバイス、ファイル、その他のデータ内のセキュリティ上の脅威を検出し、防止し、管理する、またはソフォスが検出し、防止し、管理するよう支援するように設計されたサービスを提供しています。これらのシステム、ネットワーク、デバイス、ファイル、その他のデータに保持されている情報の内容は、お客様によってのみ決定されます。

（b）処理業務の性質と目的

• 主契約に基づき、本サービスを提供します。
• 管理者は、個人データに対して以下の基本的な処理活動を行います。

本サービスを提供する過程で個人データまたは個人データの集合体に対して行われる、収集、記録、整理、構造化、保存、修正もしくは変更、検索、照会、使用、送信による開示、配布またはその他の方法による利用可能化、整列もしくは結合、制限、消去または破壊などの操作または一連の操作。

（c）処理業務の期間

管理者の個人データは、主契約の有効期間中およびDPAの規定に従って処理されるものとします。

（d）データ主体

管理者の個人データは以下のカテゴリのデータ主体に関連しています:

（e）個人データの種類

管理者の個人データは以下の種類のデータに該当します。

• ユーザー名およびその他の識別子
• ネットワークおよびネットワーク活動情報 
• 本サービスに関連して送信または処理される可能性のあるその他の情報

（f）特別な種類のデータ（該当する場合）

管理者の個人データは以下の特別な種類のデータに関係するものとします。

ソフォスのシステム、ネットワーク、デバイス、ファイル、その他のデータに保持される情報の内容は、すべてお客様が単独で決定します。特段の定めがない限り、ソフォスの本サービスは、特別な種類のデータを処理することを目的として設計されていません。 

別紙2

技術的および組織的措置

この情報セキュリティの概要は、管理者の個人データを保護するためのソフォスの企業管理に適用されます。

セキュリティの運用とポリシー

ソフォスは、ソフォスの所有または管理下にある管理者データの偶発的または違法な破壊、損失、アクセス、または改ざんから保護するため、管理者の個人データの保護に関連する物理的、技術的、管理的、または組織的な安全対策を実施することに同意します。ソフォスは、業界標準のフレームワークをもとに管理者の個人データの保護に関するポリシーと基準を維持し、ソフォスの事業活動に一貫したセキュリティとプライバシーの基準を確立します。  

組織のセキュリティ

セキュリティの運用とポリシーに従うことは、組織全体の各構成員の責任です。当該セキュリティの運用とポリシーに対する企業としてのコンプライアンスを促進するために、情報セキュリティ部門は、以下を提供します。

1. ポリシー/標準および法規制遵守のための戦略立案、意識向上および教育、リスクアセスメントおよびリスク管理、契約上のセキュリティ要件の管理、アプリケーションおよびインフラストラクチャのコンサルティング、保証テストの実施、および会社のセキュリティの方向性の推進。
2. セキュリティテストの実施、環境全体に対するセキュリティ制御の導入を可能にするセキュリティソリューションの設計と実装。
3. 実装されたセキュリティソリューション、環境、資産に関するセキュリティ運用の実施、およびインシデント対応活動の管理。

人的セキュリティ

採用プロセスの一環として、現地の法律に従い、従業員は雇用時にスクリーニング手続を受けるものとします。ソフォスの年次コンプライアンス研修には、従業員が情報セキュリティとデータ保護に関するオンラインコースを修了する義務が含まれます。セキュリティ意識向上プログラムでは、特定の職務に特化した資料を提供される場合があります。

物理的および環境的セキュリティ

ソフォスは、管理者の個人データをホスティングするすべてのシステムが、不正な物理的アクセスを防止するために、物理的に安全な環境で維持されるよう措置を講じます。また、建物、コンピュータ施設、記録保管施設など、管理者の個人データが保管されている物理的な場所へのアクセス制限について、権限を有する者のみがアクセスできるように設計および実装し、バッジによるアクセス管理、機密エリアへのアクセス制限、施設アラーム、訪問者登録および記録を含むがこれらに限定されない手段により、起こり得る不正アクセスを検知できるようにします。

コミュニケーションと運用管理

ソフォスは、管理者の個人データの完全性とセキュリティを確保することを目的として設計された正式な変更管理プログラムを通じて、インフラストラクチャ、システム、アプリケーションへの変更を管理します。当該管理には、適宜、診断、事業影響分析、および管理者の承認が含まれます。セキュリティおよびデータ保護インシデントに対応するためのインシデント対応手順には、インシデント分析、封じ込め、対応、是正、報告、および通常の運用への復帰が含みます。

サイバーセキュリティ攻撃から保護するために、リスクに基づいて追加の管理措置が実装される場合があります。当該管理には、情報セキュリティポリシーおよび標準、アクセス制限、多要素認証、指定された開発およびテスト環境、マルウェア検知、メールおよびウェブトラフィックのスキャン、管理された検出および対応、重要イベントのログとアラート、データの種類に基づく情報処理手順、システムおよびアプリケーションの脆弱性スキャンなどが含まれますが、これらに限定されません。

アクセス制御

ソフォスは、管理者の個人データがホスティングされているすべてのシステムへのアクセスが、アクセスを必要とする各個人を一意に識別し、権限を有する者にのみ、最小権限の原則に基づいてアクセス権を付与し、不正な人物が管理者の個人データへアクセスすることを防止し、権限を有する者へのアクセス範囲を適切に制限および制御し、関連するすべてのアクセスイベントを記録するアクセス制御システムを用いて保護することを目的として、適切なセキュリティ対策および手順を維持します。

再委託先管理

ソフォスは、管理者の個人データを処理する再委託先が、再委託先が従事する該当のサービスに関して、一般に認められた業界標準および慣行に従い、ソフォスのプログラムと同等以上の厳格なデータセキュリティプログラムを維持することを保証する責任を負います。ソフォスは、ベンダーのセキュリティ管理策の特定、評価、検証に焦点を当てたリスク管理プログラムを維持します。

システム開発および保守

公開された第三者の脆弱性情報については、ソフォス環境での適用可能性についてレビューされます。ソフォスの事業とお客様へのリスクに基づいて、是正措置の実施には事前に決定された所定の期限が設けられています。また、リスクに基づき、新規および主要なアプリケーションとインフラストラクチャに対して脆弱性スキャンと評価を実施します。本番環境への導入前に、開発環境でコードレビューとスキャナーを使用して、リスクに基づき、コーディングの脆弱性をプロアクティブに検出します。これらのプロセスにより、脆弱性のプロアクティブな特定とコンプライアンスが可能になります。

コンプライアンス

情報セキュリティ、法務、プライバシー、コンプライアンス部門は、ソフォスに適用される地域の法規制を特定するために協業します。これらの要件には、ソフォスおよびお客様の知的財産、ソフトウェアライセンス、従業員およびお客様の個人データの保護、データ保護およびデータ処理手順、国境を越えたデータ伝送、財務および運用手順、技術に関する規制輸出管理、フォレンジック要件などの分野が含まれます。情報セキュリティプログラム、内部および外部監査/評価、内部および外部の法律顧問との協議、内部統制評価、内部ペネトレーションテストおよび脆弱性評価、契約管理、セキュリティに対する意識、セキュリティコンサルティング、ポリシーエクセプションレビュー、リスク管理などのメカニズムが組み合わさって、これらの要件へのコンプライアンスを促進します。

別紙3

制限された移転に関する追加条項

別紙3には、制限された移転に適用される追加条項、および適用される標準契約条項のAppendix（ANNEX I～III）を完成させるために必要な情報が含まれています。

1. お客様が管理者の個人データに関して管理者である場合、別紙3の条件に従い、SCCsのモジュール2が適用されます。
2. お客様が管理者の代理として管理者の個人データに関して処理者を務める場合、別紙3 の条件に従い、SCCs の モジュール3 が適用されます。
3. EU SCCsにおいて:
   3.1 第7条: オプションのドッキング条項は適用されません。
   3.2 第9条(a): オプション 2 （一般許可）が適用され、データ輸入者は、意図する変更の少なくとも 30 日前に書面でデータ輸出者に通知するものとします。
   3.3 第11条: オプションの言語は適用されません。
   3.4 第17条: EU SCCs はアイルランド共和国の法律に準拠するものとします。
   3.5 第18条: 紛争はアイルランド共和国の裁判所で解決するものとします。
   3.6 EU SCCs のAppendixには、Exhibit 3 の添付書の付属書に記載されている情報が記載されます。
4. 英国付属書において：
   4.1 表 1 に関連する当事者の詳細は、別紙3 の付属書のANNEX I に記載されています。
   4.2 表2の目的上、英国付属書は、上記と同じ選択肢と期間に従って、EU SCCsに添付されるものとします。
   4.3 表3に記載されている付属書の情報の欄には、別紙3の付属書のANNEX IおよびANNEX IIの情報が記載されるものとします。
5. スイスSCCsにおいて：
   5.1 EU SCCsにおけるGDPRへの言及は、スイスDPAへの言及と解釈するものとします。
   5.2 EU」、「連合」、「加盟国」、「加盟国の法律」への言及は、それぞれスイスおよびスイスの法律への言及と解釈するものとします。
   5.3「権限のある監督機関」および「権限のある裁判所」への言及は、FDPICおよびスイスの権限のある裁判所への言及と解釈するものとします。
   5.4 スイスSCCsの関連する附属書は、別紙3の付属書に記載された情報により記入されるものとします。

別紙3への付属書

SCCsへの付属書

モジュール2またはモジュール3（該当する場合）

ANNEX I

A.当事者リスト 

1.データ輸出者: 

データ輸出者の署名と日付: 主契約に定める日付と署名 

2.データ輸入者:

データ輸入者の署名と日付: 主契約に定める日付と署名 

B.移転の説明 

別紙1に記載されている通り。

1.2 転送された個人データのカテゴリ

別紙1に記載のとおり。

（該当する場合）移転されるセンシティブデータ、および、厳格な目的の制限、アクセス制限（専門的なトレーニングを受けたスタッフのみにアクセスを許可する等）、データへのアクセス記録の保持、再移転に対する制限、追加のセキュリティ対策を含む、データの性質および関連するリスクを十分に考慮した適用制限または保護措置。

別紙1に記載されている通り。センシティブデータが移転される場合は、適用される制限については別紙2を参照。

移転の頻度（例えば、データが一度だけ移転されるか、継続的に移転されるか）。

継続的。

処理の性質

別紙1に記載されている通り。

データ移転およびそれ以降の処理の目的

別紙1に記載されている通り。

個人データが保持される期間、またはそれが不可能な場合、その期間を決定するために使用される基準

別紙1に記載されている通り。

（復）処理者への移転については、処理の対象、性質、および期間。

別紙1に記載されている通り。

C.権限のある監督機関 

権限のある監督機関は、データ輸出者が設立された加盟国の監督機関、またはGDPRに従って決定された監督機関です。

ANNEX II - データのセキュリティを確保するための技術的および組織的措置を含む技術的および組織的措置

DPAの別紙2に記載のとおり。

ANNEX III – 復処理者のリスト 

当事者が復処理者の使用に対する一般的な許可に同意しているため、適用されません。