このデータ処理契約(Data Protection Agreement、以下「本DPA」といいます。)は、本DPAを参照する発注書又は本利用規約の当事者間で締結され、本DPAに定める義務は発注書又は本利用規約を補足し、当事者に対し追加的な義務を課すものです。
両当事者は、保護データ(データ保護法(Data Protection Act)に基づき当事者に適用されるもの)に関しては、顧客がデータ管理者であり、Dotdigitalがデータ処理者であることに同意するものとします。
本DPAは、顧客が管理する連絡先の個人情報に関連する限りにおいて、データ処理者としてのDotdigitalが顧客に本サービスを提供するにあたっての当事者間の義務の概要を説明するものです。
本DPAの最終更新日は、2025年11月14日です。
定義
下記に別途定める場合を除き、本DPAにおける用語は、https://www.dotdigital.com/terms-ja に掲載されたDotdigital利用規約(以下「本利用規約」といいます。)に定めるものと同一の意味又は両当事者間で合意した意味を持つものとします。
適用法令とは、データ管理者、データ処理者又は本サービスに適用され、これらを拘束する以下の法令等をいいます。
- 当事者に適用される、又は、本サービスが提供され、又は、本サービスに関して適用される法域(本利用規約にて規定する。)において随時有効な法律、制定法、規制、規則又は下位法令
- 当事者に随時適用されるコモンロー及び衡平法
- 拘束力のある裁判所の命令、判決又は決定
- 拘束力をもって当事者に適用される勧告、方針、規則又は命令であって、当事者又は当該当事者の資産、資源若しくは事業について管轄権を有する規制当局が発したもの
データ管理者とは、適用あるデータ保護法に定義される、個人情報に関して実施される処理を決定する当事者をいいます。
データ処理者とは、適用あるデータ保護法に定義される、データ管理者の指示に基づき個人情報に関する処理を行う者をいいます。
データ保護法(Data Protection Laws)とは、管理者、処理者又は本サービスに適用され、これらに対して拘束力を有する以下の法令をいいます。
- Dotdigital EMEA Limitedが提供する本サービスについては、EU一般データ保護規則 2016/679 (General Data Protection Regulation、以下「GDPR」といいます。)、2018年データ保護法(Data Protection Act 2018)、2018年データ保護法第3条第1項に定義され同法第205条第4項により補完される「英国一般データ保護規則(UK GDPR)」、2003年プライバシー及び電気通信規則(EC指令)(Privacy and Electronic Communication (EC Directive) Regulations 2003)及びこれらに対応する若しくは同等の国内法令
- Dotdigital B.V. が提供する本サービスについては、EU一般データ保護規則2016/679 (GDPR)(及びその国内実施法)、2003年プライバシー及び電気通信規則(EC指令))(Privacy and Electronic Communication (EC Directive) Regulations 2003)及びこれらに対応する若しくは同等の国内法令
- Dotdigital, Inc. が提供する本サービスについては、発注書上企図される個人情報の処理に適用ある、あらゆる州法及び連邦法(2018年カリフォルニア州消費者プライバシー法(California Consumer Privacy Act of 2018、以下「CCPA」といいます。)を含みますが、これに限定されません。)
- Dotdigital APAC Pty Ltd. が提供する本サービスについては、発注書上企図される個人情報の処理に適用ある、あらゆる州法及び連邦法(1988年プライバシー法(Privacy Act 1988)及びこれに対応する若しくは同等の国内法令を含みますが、これらに限定されません。)
- Dotdigital SG Pte. Ltd.が提供する本サービスについては、個人情報保護法(2012年第12号)(Personal Data Protection Act (No 12 of 2012) )及び随時有効なあらゆる規制、通知及び他の下位法令
- Dotdigital Japan 合同会社が提供する本サービスについては、発注書上企図される個人情報の処理に適用ある、あらゆる国内法(2003年個人情報保護法を含みますが、これに限定されません。)
- 顧客との関係においては、本サービスを通じて接触を受ける受領者であるデータ主体の拠点における、あらゆるデータ保護及びプライバシー法
- 上記のデータ保護法を随時改定、変更、延長、制定又は統合する適用法令
データ保護損失とは、以下をいいます。
- 監督当局によって課される行政上の罰金、罰則、制裁、責任又は他の救済措置
- 監督当局が命じた、データ主体に対して支払われるべき補償金
データ主体とは、個人情報が関連する個人をいいます(同一の用語又は同等の用語で定義されるかを問わず、適用あるデータ保護法によりさらに定義される場合があります。)。
データ主体リクエストとは、データ保護法に基づきデータ主体の権利を行使するためにデータ主体が行った要求をいいます。
域外受領者とは、第6.2条及び第6.5条に定める意味を有します。
個人情報とは、データ保護法において定める意味又は適用あるデータ保護法において当該同一の用語が定義されていない場合、適用あるデータ保護法における同等の定義語について定める意味を有します。
個人情報侵害とは、保護情報の偶発的又は違法な破壊、紛失、改ざん、不正な開示、又はアクセスにつながるセキュリティ違反をいいます。
処理とは、データ保護法において定められる「処理」と同じ意味を有します(また、「プロセス」等の関連する用語も同様に対応する用語がデータ保護法にあればそれと同義とします。)。
処理指示とは、第3.2.1条に定める意味を有します。
保護データとは、本DPAに基づく処理者の義務の履行に関連して顧客から又は顧客のために受領した個人情報をいいます。
EU SCCsとは、規則(EU)2016/679に基づく2021年6月4日付欧州委員会実施決定により許可された個人情報の第三国への移転のための標準契約条項(2010/87/EU)又は欧州委員会が随時承認する代替条項をいいます。
機微情報とは、その性質又は背景に鑑み、適用のあるデータ保護法、プライバシー規制及びその他の関連する法的規制に基づき、より強固な保護が必要とされる一切の個人情報をいいます。
復処理者とは、顧客のための保護データに関する処理のために、Dotdigital又はDotdigitalの関連会社が委託した他のデータ処理者をいいます。
監督当局とは、データ保護法の管理を担当する地方、国又は多国籍の機関、部門、公務員、議会、公的若しくは法定機関、政府又は専門機関、規制若しくは監督機関、理事会その他の団体をいいます。
英国SCCsとは、(国からの個人情報の移転に関する、情報コミッショナー事務局(Information Commissioner’s Office、以下「ICO」といいます。)の国際データ移転契約(International Data Transfer Agreement、以下「IDTA」といいます。)及びICOの欧州委員会標準契約条項への国際データ移転補遺書若しくは英国が随時承認するその代替条項をいいます。
適用法令(データ保護法及び場合により各々の法令を含みます。)及び当該適用法令において定義される用語は、当該適用法令を置換、修正、拡張、再制定又は統合する適用法令(随時制定される新たなデータ保護法を含みます。)及び当該適用法令で定義される同等の用語にそれぞれ置換又は組み込まれるものとします。各法令には、当該法令に基づき制定された全ての下位法令が含まれるものとします。
1. 本契約との関係
1.1 本DPAは、顧客が本DPAの規定を受諾した日(又は本DPAの規定を組み込んだ発注書に署名した日)に効力を生じ、処理者が本サービスの提供を終了するまで継続します(該当する場合、一時停止期間も含みます。)。
1.2 本DPAによる変更を除き、本利用規約及び発注書は完全に効力を有します。
2. データ処理者及びデータ管理者
2.1 処理者は、保護データを以下の事項に従って処理するものとします。
2.1.1 本DPAに基づく義務の履行に関して、データ保護法に定められたデータ処理者の義務
2.1.2 本DPA、本利用規約及び当該処理に関連した管理者の指示を定めた発注書の規定
2.2 データ管理者は、以下を遵守するものとします。
2.2.1 保護データの処理、本サービスの利用及び本DPAに基づくそれぞれの権利並びに義務の行使及び履行に関連する全てのデータ保護法(データ保護法上必要とされる、登録及び届出の維持を含みます。)
2.2.2 本DPAの規定
2.3 管理者は、以下の事項を保証、表明及び約束します。
2.3.1 管理者が本サービスに関して使用する全てのデータは、その収集、保管、処理(管理者によるデータ主体への必要かつ公正な処理情報の提供及び必要な同意の取得を含む)を含むあらゆる点において、データ保護法を遵守すること
2.3.2 個人情報に関し管理者が処理者に対して行う全ての指示は、常にデータ保護法に従うこと
2.4 管理者は、本サービス及び処理者(並びに各復処理者)がデータ保護法を遵守するため、処理者が要求する変更又は修正について、その同意を不当に保留、遅延し又は条件付けをしないものとします。
3. 指示及び処理の内容
3.1 本DPAを締結することにより、管理者は処理者に対し、以下の目的のために適用法令に従い顧客の保護データを処理するよう指示します。
3.1.1 本サービスを提供する目的
3.1.2 管理者による本サービス又は本ソフトウェアの利用により特定される目的
3.1.3 本利用規約及び本DPAに記載された目的
3.1.4 管理者からの書面による指示により、追加で書面化され、かつ、本DPAのための指示であることを処理者において確認した目的
3.2 処理者が管理者に代わって保護データを処理する場合、処理者は、下記に従うものとします。
3.2.1 適用法令により別段の定めがある場合を除き、管理者が本条に定める書面による指示(当事者間で合意の上随時更新されるものを含み、以下「処理指示」といいます。)に基づき、かつ、これに従ってのみ保護データを処理するものとします(また、その権限下で行動する者がこれを遵守するよう措置を講じるものとします。)。
3.2.2 適用法令により処理指示に従わずに保護データを処理することが求められる場合、保護データの処理に先立ち管理者にその旨を通知するものとします(但し、適用法令が重要な公共の利益を理由として当該情報の提供を禁止する場合は除きます)。
3.2.3処理者が、自らの判断でデータ保護法に違反する処理指示を認識した場合、管理者に通知するものとします。但し、(a) 当該通知は、本DPA第3条及び第2.4条の規定に影響を及ぼさないものとし、また、(b) 強行法規が許容する最大限度において、処理者は、顧客が情報を受領した後に、顧客の処理指示に従って行われた処理に起因又はこれに関連して生じた損失、費用、経費又は責任(データ保護損失を含みます。)について、いかなる責任(契約、不法行為(過失を含みます。)その他を問わず。)も負わないものとします。
3.3 本DPAに基づき処理者が行う保護データの処理の対象及び詳細は、別紙1(データ処理の内容)に定めるものとし、これは当事者間で合意に基づき随時更新される場合があります。
3.4 処理者は、データ保護法により任命が義務付けられる場合、データ保護責任者を任命するものとします。任命されたデータ保護責任者の連絡先は、電子メールPrivacy@dotdigital.comとします。
3.5 上記に加え、処理者は、本利用規約に基づき管理者に本サービスを提供するにあたって、保護データの処理が、本DPAに定める範囲に限定されることを確認するものとします。
4. 技術的及び組織的措置
4.1 処理者は、自己の費用と負担において、処理者による保護データの処理に関連して、適切な技術的及び組織的措置を実施、維持するものとします。また、処理の性質を考慮し、管理者が保護データに関連するデータ主体リクエストに対応する義務を履行できるよう、管理者をサポートするものとします。これらの措置の概要は、https://dotdigital.com/trust-center/technical-and-organizational-security-measures/に記載されています。
5. 復処理者の使用
5.1 管理者は、Dotdigitalに対し、Dotdigitalの現在及び将来の関連会社を復処理者として使用する権限を付与し、また、保護データの処理について、https://dotdigital.com/trust-center/の中から復処理者を任命する権限を付与するものします。本DPAの有効期間中、処理者が新たな第三者を外部の復処理者として任命する場合、管理者に対し、当該外部復処理者の任命に関する事項(当該復処理者が行う処理の詳細を含みます。)を、30日前までに電子メールで通知するものとします。
5.2 管理者は、処理者から通知を受領してから14日以内に、合理的な根拠に基づくデータ保護に関連する事項に限り、前項に基づき任命された外部の復処理者の使用に異議を申し立てることができます。管理者が任命に対する異議を処理者に対して書面により通知した場合、処理者は、当該復処理者の使用を回避しつつ本サービスの提供を提供できるように、本サービスを合理的に変更するよう管理者と誠実に協力するものとします。処理者が管理者からの通知を受領後14日以内に当該変更を行うことができない場合、管理者は、処理者に対する書面による通知により、当該復処理者の使用を必要とする本サービスに関連する限度で、発注書を直ちに解約することができます。当該解約権は、本DPAの有効期間中において、処理者が任命した復処理者に対する異議についての、管理者の唯一かつ排他的な救済措置とします。
5.3 処理者は、以下を保証するものとします。
5.3.1 書面による契約により、復処理者が再委託された義務を履行するためにのみ保護データにアクセスしこれを処理すること、かつ、本DPAに含まれる措置に従ってこれを行うこと
5.3.2 各復処理者の一切の作為及び不作為について、自己の作為及び不作為と同様に全責任を負うこと
5.4 管理者は、処理者及びその復処理者が、本契約に基づき管理者に本サービスを提供するため、個人情報につき制限付きの移転を行うことに同意するものとします。処理者は、各復処理者が、(i)欧州委員会又は監督当局(該当する場合)により適切な保護水準を有するものと認められた第三国又は地域に所在すること、又は、(ii)処理者と適用あるSCCsを締結していること、又は(iii)その他の認められた保護措置を講じていることを確認するものとします。
6. 域外情報移転
6.1 オーストラリア域外移転 処理者がオーストラリアのデータ保護法により保護される保護データを受領した場合、管理者は、処理者が本DPA及び適用あるデータ保護法を遵守することを条件として、本DPAに従って、当該保護データをオーストラリアの域外に所在する復処理者に移転できることを承認し、これに同意するものとします。
6.2 欧州域外移転 管理者は、処理者が保護データを欧州経済領域(EEA)外の国に所在する復処理者(以下、「EEA域外受領者」といいます。)に対し移転できることに同意するものとします。但し、処理者による保護データのEEA域外受領者に対する移転は全て(データ保護法に基づき求められる限度において)EU SCCs及びデータ保護法の他の要件(データ移転影響評価、第三国評価及び必要に応じた追加的保護措置に対する同意を含みますが、これらに限られません。)の適用を受け、これを遵守するものとします。
6.3 欧州経済領域において設立された管理者から処理者に対し保護データを移転する場合であって、関連するDotdigitalの法人の拠点が欧州データ保護法に基づく第三国である場合、処理者はEU SCCsを遵守し、これに従い保護データを処理することに同意するものとします。管理者は、privacy@dotdigital.comに連絡することにより処理者と直接EU SCCsを締結することを求めることができます。
6.4 シンガポール域外移転 処理者がシンガポールのデータ保護法により保護される保護データを受領した場合、管理者は、処理者が本DPA及び適用あるデータ保護法を遵守することを条件として、本DPAに従って、当該保護データをシンガポールの域外に所在する復処理者に移転できること(オーストラリアに所在するホスティング施設内の保護データの物理的保管を含みますが、これに限られません。)を承認し、これに同意します。
処理者は、保護データの受領者が、移転された保護データについて、Personal Data Protection Actに基づく保護水準と同等以上の、法的強制力のある義務に拘束されることを確認し、これを保証するために適切な措置を講じるものとします。
6.5 英国域外移転 管理者は、処理者が英国域外の国に所在する復処理者(以下「英国域外受領者」といいます。)に対し保護データを移転できることに同意するものとします。但し、処理者による保護データの英国域外受領者に対する移転は全て(データ保護法に基づき求められる限度において)英国 SCCs及びデータ保護法の他の要件(データ移転影響評価、第三国評価及び必要に応じた追加的保護措置に対する同意を含みますが、これらに限られません。)の適用を受け、これを遵守するものとします。
6.6 日本域外移転 処理者が日本のデータ保護法により保護される保護データを受領した場合、管理者は、処理者が本DPA及び適用あるデータ保護法を遵守することを条件として、本DPAに従って、当該保護データを日本の域外に所在する復処理者に移転できること(オーストラリアに所在するホスティング施設内の保護データの物理的保管を含みますが、これに限られません。)ができることを承認し、同意します。
7. 職員
7.1 処理者は、保護データを処理する権限を処理者(又は復処理者)により付与された全ての者に対し、保護データの機密保持を義務付ける書面による契約上の義務を負わせるものとします(但し、適用法令に基づき開示が求められる場合を除きます。この場合、処理者は、実務上可能、かつ、適用法令により禁止されていない限り、当該開示に先立ち当該開示要求について管理者に通知するものとします。)。
8. 顧客のコンプライアンス及びデータ主体の権利に関する支援
8.1 処理者は、受領した全てのデータ主体リクエストを、当該リクエストの受領から3営業日以内に管理者に連絡するものとします。
8.2 前項に加え、本利用規約のいかなる規定にもかかわらず、処理者は、データ主体から当該リクエストを受けた後、関連するデータ主体に対し、管理者の身元を開示する権利を有するものとします。
8.3 処理者は、データ保護法に基づく管理者の以下に掲げる事項に関する義務の遵守を確保するため、管理者が合理的に必要とする範囲で(処理の性質及び処理者が入手可能な情報を考慮した上で)、管理者に合理的な支援を提供するものとします。
8.3.1 処理の安全性
8.3.2 データ保護影響評価(データ保護法で定義される用語によります。)
8.3.3 高リスク処理に関する監督当局への事前協議
8.3.4 個人情報侵害への対応にあたり管理者が監督当局に対して行う通知及びデータ主体に対する連絡
9. 記録、情報及び監査
9.1 処理者は、処理者に適用されるデータ保護法に基づき、管理者に代わって実施した全ての処理活動に関する書面記録を維持するものとします。
9.2 処理者は、データ保護法に基づき、管理者に対し、処理者がデータ保護法に規定されるデータ処理者の義務を遵守していることを証明するために合理的に必要な情報を提供し、この目的のために管理者(又は管理者が委任した他の監査人)による監査(検査を含みます)を許可し、これに協力するものとします。但し、管理者が以下の条件を満たすことを条件とします。
9.2.1 管理者による情報請求、監査及又は検査の実施について、処理者に対して相当の期間を定めて事前に通知すること
9.2.2 管理者又は監査人による情報請求、監査及又は検査に関して取得又は生成した全ての情報の秘密を厳重に保持すること(監督当局に対する開示又は適用法令により別途求められる場合を除きます。)
9.2.3 当該監査又は検査が通常の営業時間内に行われ、処理者の事業及び処理者の他の顧客の業務への支障が最小限に抑えられること
9.2.4 情報提供の支援並びに現地での検査及び監査の実施及び協力に伴う処理者の合理的な費用(時間及び実費に基づき計算される費用)を支払うこと
10. 違反通知
10.1 保護データに関連する個人情報侵害について、処理者は、当該侵害を認識してから遅滞となく(但し、いかなる場合においても24時間以内に)、下記を行うものとします。
10.1.1 管理者に対して当該個人情報侵害を通知すること
10.1.2 可能な限り、管理者に対して当該個人情報侵害の詳細を提供すること
10.2 第10.1.1条に定める個人情報侵害の通知には以下の情報を記載するものとします。
10.2.1 個人情報侵害の性質(可能な場合、影響を受けたデータ主体及びデータ記録のカテゴリー及び概数を含みます。)
10.2.2 個人情報侵害によって生じると予想される結果
10.2.3 個人情報侵害に対処するために講じられた又は講じられる予定の措置(適切な場合には、その潜在的な悪影響を軽減するための措置を含みます。)
10.2.4 データ保護法により必要とされる他の情報
10.3 別段の要請がない限り、通知はアカウント保有者に紐づけられたメールアドレス宛に送信されるものとします。
11. 保護データ及びその写しの削除又は返却
11.1 処理者は、保護データを管理者が削除し若しくは返却するための設備を提供することにより、保護データの削除又は返却の義務を履行するものとします。保護データの返却は、管理者からの書面による要請に基づき、管理者が合理的に要求する方式にて、以下のいずれか早い時点から合理的な期間内に提供するものとし、処理者はその写しを削除するものとします(適用法令上データの保管が求められる場合を除きますが、この場合処理者は当該要請について管理者に対して通知するものとします)。
11.1.1 処理に関連する本サービスの提供終了時点
11.1.2 処理者が発注書に基づく義務を履行する目的に照らして、処理者による保護データの処理が不要となった時点、
12. 責任
12.1 本DPAに基づき又は本DPAに関連して提起されるいかなる請求も、本利用規約の規定(免責事項及び制限事項を含みますが、これらに限られません。)に服するものとします。
12.2 前項の規定にかかわらず、前項に定める制限は、データ保護損失には適用されないものとします。いかなる場合においても、各当事者は、本DPA又はその他の規定に基づく個人のデータ保護の権利に関する責任を制限してはならないものとします。
12.3 いずれかの当事者が本DPA又は適用のあるデータ保護法に基づく義務に違反したことに起因又は関連して相手方に生じたデータ保護損失は、当該義務違反をした当事者の責任とみなされます。
13. 協力
13.1いずれかの当事者が保護データの処理に関連して個人又は監督当局から補償請求を受けた場合、速やかに相手方に対しその旨及び請求の詳細を通知するものとします。また、当該当事者は以下を実施するものとします。
13.1.1 相手方の事前の書面による同意(不当に保留又は遅延されないものとします。)なく、責任を認める行為、または関連する請求の和解又は譲歩に合意する行為を行わないものとします。
13.1.2 当該訴訟に関連して相手方と十分に協議するものとします。
14. 政府機関からの要請
14.1 処理者は、政府機関、当局又は執行機関に対し、処理者の顧客のアカウント又は保護データに関連するアクセス権又は情報を任意に提供することはありません。処理者が、政府機関、当局又は執行機関から、管理者に帰属する顧客のアカウントに関連した情報(保護データを含みます。)に対するアクセス権の強制的な要求(裁判所命令、令状、その他の有効な法的手続きによるものを含むものとします。)(以下「政府機関要請」といいます。)を受けた場合、処理者は当該要請の有効性を確認するために必要なあらゆる合理的な措置を講じるものとします。
14.2 処理者が政府機関要請の有効性を確認した場合、処理者は以下を実施するものとします。
14.2.1 政府機関、当局又は執行機関に対し、Dotdigitalが保護データの処理者である旨を通知すること
14.2.2 政府機関、当局又は執行機関に対し、管理者に直接データの提供を要求するよう誘導を試みること
14.2.3 政府機関要請について、管理者に電子メールで通知し、顧客が自ら適切な救済措置を講じられるようにすること(この際、処理者は管理者の連絡先情報を提供することができるものとします。)
14.3 処理者は、以下の場合には、第14.1又は第14.2の規定に従うことを要しないものとします。
14.3.1 処理者が法律上第14.1又は第14.2の行為を禁止されている場合
14.3.2 処理者が、個人、公共の安全又は処理者の本サービス若しくは財産に対する差し迫った重大な危険を防止するために緊急のアクセスが必要であると合理的に判断した場合
別紙1: データ処理の内容
1 処理の対象
処理者による管理者に対する本サービスの提供に関連した保護データ。
2 処理期間
本DPAに従い、処理者が全ての保護データを削除するまでの、該当の発注書に係る期間。
3 処理の性質及び目的
処理者は、本DPA及び本利用規約に従って管理者に本サービスを提供するために、かつ、顧客による本サービスの利用に伴って開始された処理に基づいて、顧客の保護データを処理するものとします。
4 個人情報の種類
管理者の指示により又は管理者が本サービスの提供を通じて処理者に提供する個人情報の種類。これには、連絡先情報(メールアドレス、電話番号、氏名その他の連絡先情報等)、マーケティングに関する嗜好、IPアドレス及び利用情報(オンラインナビゲーションデータ、位置情報、ブラウザデータを含みます。)等が含まれますが、これらに限られません。
5 データ主体のカテゴリー
データ主体には、管理者又は管理者のエンドユーザーにより、本サービスを通じて処理者に提供されるデータの対象となる個人を含みます。
6 機微情報(該当ある場合)
Dotdigitalは、顧客が本サービスに機微情報をアップロードし、又は取得することを予定していません。顧客は、機微情報(GDPR及び英国GDPRに定義される特別カテゴリーデータ、健康情報及び財務情報を含みますが、これらに限られません。)のアップロードが、顧客が事業を行う地域又はデータ主体の所在地によっては禁止され又は追加の管理措置を必要とする場合があることを承認し、これに同意するものとします。
顧客は、本サービスに機微情報をアップロードする場合、privacy@dotdigital.com宛てに電子メールを送信する方法によりDotdigitalに通知し、顧客が事業を行う地域又はデータ主体の所在地のあらゆる適用法令上の規制(データ保護法、プライバシー規制、その他の関連する規制が含まれますが、これらに限られません。)を遵守する責任を単独で負います。
