データ処理付属書
本データ処理付属書(「DPA」)は、Anysphere, Inc.(「Anysphere」または「Vendor」)が、本サービスを通じて Customer により提供される個人データを、Anysphere と Customer 間で締結されるマスターサービス契約(「Agreement」)に従って処理することを定めるものです。本 DPA は、個人データの処理に関する Customer の指示および当事者双方の権利義務を規定するものです。本 DPA に別段の定めがある場合を除き、Agreement は変更されることなく、引き続き完全な効力を有するものとします。本 DPA と Agreement の間に矛盾が生じた場合には、当該矛盾がある範囲において、本 DPA が優先して適用されるものとします。
-
定義。 本DPAにおいては、以下の用語はそれぞれ下記の意味を有するものとします。本DPAで定義されていないが大文字で始まる用語は、本契約で定義された意味を有するものとします。本DPAにおいて、本契約で別途定義されていないその他のすべての用語は、プライバシー法において与えられる対応する意味を有するものとします。
-
“Controller to Processor Clauses”とは、次を意味します。(a) GDPR の適用を受ける個人データの移転に関しては、2021年6月4日付の欧州委員会決定 2021/914 に定められた第三国への個人データ移転に関する標準契約条項であって、特にモジュール 2(Controller to Processor)(「EU SCCs」)を含むもの、および (b) UK GDPR の適用を受ける個人データの移転に関しては、UK Information Commissioner により発行された EU Commission Standard Contractual Clauses(バージョン B.1.0)への International Data Transfer Addendum(「UK Addendum」)をいい、いずれの場合も、随時修正、更新または差し替えられる場合を含みます。
-
“EU/UK Privacy Laws”とは、次を意味します。(a) General Data Protection Regulation 2016/679(「GDPR」);(b) Privacy and Electronic Communications Directive 2002/58/EC;(c) UK Data Protection Act 2018、同法で定義され、さらに Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 により改正された UK General Data Protection Regulation(UK Data Protection Act 2018 と合わせて「UK GDPR」)および Privacy and Electronic Communications Regulations 2003;ならびに (d) 上記のいずれかを実施する、関連する法律、指令、命令、規則、規制その他の拘束力のある文書であって、いずれの場合も、適用され効力を有する限りにおいて、随時改正、統合、再制定または差し替えられる場合を含みます。
-
“Personal Data”とは、サービスを提供するためにベンダーがカスタマーに代わって処理する情報のうち、いかなるプライバシー法令においても “personal data” または “personal information” と定義されるすべての情報を意味します。
-
“Privacy Laws”とは、該当する限りにおいて、EU/UK Privacy Laws、US Privacy Laws およびその他いかなる法域における、データ保護、プライバシーまたは Personal Data の利用に関する類似の法律を意味し、いずれの場合も、適用され効力を有する限りにおいて、随時改正、統合、再制定または差し替えられる場合を含みます。
-
“Processor to Processor Clauses”とは、次を意味します。(a) GDPR の適用を受ける個人データの移転に関しては、2021年6月4日付の欧州委員会決定 2021/914 に定められた第三国への個人データ移転に関する標準契約条項であって、特にモジュール 3(Processor to Processor)を含むもの、および (b) UK GDPR の適用を受ける個人データの移転に関しては、UK Information Commissioner により発行された EU Commission Standard Contractual Clauses(バージョン B.1.0)への International Data Transfer Addendum をいい、いずれの場合も、随時修正、更新または差し替えられる場合を含みます。
-
“Third Country”とは、関連する限りにおいて、欧州経済領域または UK のデータ保護法の適用範囲外の国もしくは地域であって、関連する管轄当局により随時 Personal Data について十分な保護を提供すると承認された国または地域を除くものを意味します。
-
“US Privacy Laws”とは、該当する限りにおいて、California Consumer Privacy Act(California Privacy Rights Act により改正されたもの)、Virginia Consumer Data Protection Act、Colorado Privacy Act、Connecticut Data Privacy Act、Utah Consumer Privacy Act、およびデータ保護、プライバシーまたは Personal Data の利用に関する、いずれかの州における類似の法律を意味します。
-
-
改定。 当事者は、本契約または本DPAに基づき想定されるとおりにVendorが引き続きプライバシー法を遵守して個人データを処理するため、またはプライバシー法の法的解釈に対応するために変更が必要となる場合には、本DPAの改定について誠実に協議することに合意する。Vendorは、プライバシー法または変化し続ける法的要件を遵守するために必要な範囲で本DPAを更新する権利を留保するが、そのような更新は、本DPAに基づくCustomerの権利を実質的に制限したり、Customerの義務を実質的に増加させたりしないことを条件とする。Vendorは、その発効日の少なくとも三十(30)日前までに、かかる更新について書面でCustomerに通知するものとする。ただし、法律によりこれより短い通知期間が要求される場合を除く。
-
当事者の役割。 当事者は、プライバシー法の目的上、Customer はプライバシー法に定められる「service recipient(サービス受領者)」「controller(管理者)」「business(事業者)」またはこれに類する用語に該当し、Vendor はプライバシー法に定められる「service provider(サービス提供者)」「processor(処理者)」「contractor(受託者)」またはこれに類する用語に該当することを認識する。
-
処理の詳細。 両当事者は、処理の詳細が本契約書に添付された 別紙1 に記載されたとおりであることに合意するものとします。
-
顧客の義務。 顧客は、本サービスに関連してベンダーに個人データを提供するにあたり、すべてのプライバシー法を遵守するものとします。顧客は、以下の事項を表明し、保証します。(a) 顧客に適用されるプライバシー法は、顧客から受領した指示をベンダーが履行し、ベンダーが本DPAに基づく義務を遂行することを妨げるものではないこと、(b) すべての個人データは、常に、個人への通知義務および同意取得義務を含め、すべてのプライバシー法を遵守して、顧客または顧客の代理人により収集され、処理および保管されてきたこと、ならびに (c) 顧客は、本DPAに定めるとおり個人データをベンダーに開示し、ベンダーが本DPAに従って個人データを処理できる正当な法的根拠を有していること。顧客は、本契約に基づく個人データの処理がプライバシー法を遵守していない、または遵守しなくなると判断した場合には、不当な遅滞なくベンダーに通知するものとし、その場合、ベンダーは当該個人データの処理を継続する義務を負わないものとします。
-
個人データの取扱い。 本DPAの下で処理されるすべての個人データの所有権は、引き続きCustomerに帰属する。Vendorは、個人データについて、次の場合にのみ処理を行うものとする。(i) 別紙1でさらに詳述されるサービスを提供するため、ならびに随時Customerから文書で与えられる指示(サービスを通じて提供される同意および承認を含む)に従い、その中で定められた目的のために処理を行う場合、(ii) Vendorに適用される法的義務を遵守するための場合、および (iii) 個人データの利用に関してCustomerから書面により別途指示された場合。Vendorは、適用されるプライバシー法の下で自らの義務をもはや果たすことができない、または個人データの利用に関してCustomerからのいかなる指示にも従うことができないと判断した場合、不当な遅滞なくCustomerに通知するものとする。プライバシー法により要求される範囲で、かつCustomerがVendorによる個人データの利用がプライバシー法または本DPAに違反していると合理的に信じる合理的な理由を有し、その旨を書面で通知した場合、Vendorは、VendorがCustomerのプライバシー法上の義務と整合する方法で個人データを利用することを確保するうえで、Customerが合理的かつ適切な措置を講じることができる権利をCustomerに付与し、個人データの権限のない利用を中止し、是正するものとする。Vendorは、個人データを処理する各従業員またはその他の者に対し、本契約の規定に従い、当該個人データに関して適切な守秘義務を課すものとする。
-
禁止事項。 適用されるプライバシー法が求める範囲で、Vendor は以下の行為を行ってはなりません。(a) 個人データを販売すること(ただし、匿名化、集計化または仮名化された形式の場合を除きます)。(b) コンテキストをまたいだ行動広告の目的で個人データを共有すること。(c) 次の目的以外で個人データを保持、利用または開示すること:(i) 本サービスを提供するという特定の目的のため、(ii) 匿名化、集計化または仮名化されたデータを用いて本サービスを開発、改善または強化するため、または (iii) プライバシー法により別途認められている場合。(d) 上記に記載された場合を除き、Vendor と Customer 間の直接の事業関係の範囲外で個人データを保持、利用または開示すること。および (e) Customer から、または Customer に代わって受領した個人データを、当該個人データが関連する個人との Vendor による別個のやり取り、またはその他の情報源から収集され得るいかなる個人データとも結合すること(ただし、事業目的を遂行するため、またはプライバシー法により別途認められている場合を除きます)。
-
サブプロセッサーの利用。 Vendor が、個人データをその代理として処理するためにサブプロセッサーを起用する場合には、その範囲において:
-
カスタマーは、本第8条の要件を条件として、別紙2 に定めるサブプロセッサーを起用することについて、ベンダーに包括的な書面による承認を付与するものとします。
-
ベンダーが新たなサブプロセッサーを任命する場合、またはサブプロセッサーの追加または交替に関して何らかの変更を行うことを意図する場合、ベンダーは trust.cursor.com/subprocessors に更新情報を掲載することにより、30営業日前までに書面でカスタマーに通知するものとし、その期間中、カスタマーは、個人データの機密性またはセキュリティ、またはサブプロセッサーのプライバシー法令の遵守に関連する合理的かつ文書化された理由に基づき、当該任命または交替に異議を唱えることができます(カスタマーがそのような異議を述べない場合、ベンダーは当該任命または交替を進めることができます)。緊急の状況(例:セキュリティインシデント、サービスの中断)によりサブプロセッサーの即時の変更が必要となる場合、ベンダーは変更を即時に行うことができ、その後10営業日以内に通知を行うものとします。カスタマーが本項に記載されたサブプロセッサーの任命または交替に異議を唱える場合、ベンダーは、別のサブプロセッサーの提案や、特定されたリスクを軽減するための追加的なセーフガードの実装を含め、カスタマーの懸念に対処するため商業的に合理的な努力を行うものとします。当事者が、カスタマーによる書面での異議通知から30日以内に当該異議を解決できない場合、カスタマーは、ベンダーに対する書面通知により、当該サービスの影響を受ける部分を終了させることができます。当該終了が行われた場合、ベンダーは、終了されたサービスの残存未使用期間に対応する、あらかじめ支払われた料金を日割りでカスタマーに返金するものとします。
-
ベンダーは、サブプロセッサーに対し、本DPAにおいて提供されるものと同等以上の水準のデータ保護義務を課す条項を含む書面契約に基づいてのみサブプロセッサーを起用するものとします。ベンダーは、かかるサブプロセッサーがそれぞれの義務を履行しないことに関して、カスタマーに対して責任を負うものとします。
-
-
支援。 プライバシー法により要求される範囲で、かつ処理の性質を考慮して、ベンダーは、個人データの処理に関連し、その結果として生じるカスタマーの義務へのコンプライアンスを可能にするために、適切な技術的および組織的措置を通じて、以下の点についてカスタマーに合理的な支援を行うものとします。(a) プライバシー法に基づく権利を行使する個人からの要求への対応(可能な範囲で、関連する個人データの提供、削除または訂正、またはカスタマーが同様の対応を行えるようにすることを含みます);(b) 個人データを、不正または違法なアクセス、破壊、使用、改ざんまたは開示から保護するため、その性質に適した合理的なセキュリティ手続および実務を実装すること;(c) 個人データ侵害について、関連する管轄当局および/または影響を受ける個人に通知すること;(d) データ保護影響評価の実施および、必要な場合には、関連する管轄当局との事前協議を行うこと;ならびに (e) 本DPAを締結すること。
-
セキュリティ対策。 Vendor は、技術水準の最新の状況、実装コスト、処理の性質・範囲・状況および目的を考慮に入れたうえで、附属書 3 に定める内容、または随時 Customer と Vendor 間で別途合意し文書化された内容に従い、リスクに見合った適切なレベルのセキュリティを提供することを目的とした、適切な技術的および組織的対策を実装し、かつ自らの権限ある要員がこれらに準拠するよう徹底するものとする。Vendor は、処理の期間中、サービス全体のセキュリティ水準を実質的に低下させないものとする。プライバシー関連法令により要求される範囲で、Vendor は、セキュリティ侵害に起因する個人データの偶発的または違法な破壊、喪失、改ざん、または不正な開示もしくはアクセスについて、遅滞なく、かついかなる場合も四十八(48)時間以内に、書面により Customer に通知するものとし、侵害に関するさらなる詳細情報は、追加情報が判明し次第、段階的に提供されるものとする。Customer は、前述の内容を制限することなく、サービスの自らの利用について単独で責任を負うことに同意し、その内容には以下が含まれるものとする。(a) Customer がサービスへアクセスするために使用するアカウント認証情報、システムおよびデバイスの保護、(b) Customer がサービスとともに使用する Customer のシステムおよびデバイスの保護、ならびに (c) Customer Data のバックアップを自ら維持すること。
-
アクセスおよび監査。 Customer の合理的な要請があった場合、Vendor は、本 DPA に基づく Vendor の義務への準拠を示すうえで合理的に必要な範囲で自己の保有する情報を Customer に提供し、また重大な違反が発見された場合を除き Customer 単独の費用負担にて、Customer または Customer によって選任され Vendor により合理的に受け入れられた別の監査人が実施する監査(検査を含む)を受け入れ、これに協力するものとする。Customer は、そのような監査を 12 か月ごとに 1 回を超えない頻度で、Vendor に対して 30 日前までの書面による事前通知を行い、かつ当事者が監査の範囲について合意し、監査人が秘密保持義務を負うことを条件として実施することができる。さらに、個人データ侵害事案、または規制当局もしくはデータ保護当局からの要請に続いて Vendor のデータ保護コンプライアンスに関して合理的な懸念が生じた場合には、Customer は追加の監査を実施することができる。Customer による、または Customer の指示による監査に代わる手段として、プライバシー法により認められる範囲で、Vendor は、Vendor の費用負担にて資格を有する独立監査人を手配し、Vendor のポリシーおよび技術的・組織的対策について、プライバシー法に基づく Vendor の義務の履行を支援することを目的として、適切かつ一般に認められた管理基準またはフレームワークおよび評価手順を用いた評価を実施させ、その評価報告書を Customer の合理的な要請に応じて Customer に提供することができるものとする。前述にかかわらず、Vendor は、他の顧客に対して負う秘密保持義務または法的義務に違反する事態を招く範囲で、Customer に対し情報、施設またはシステムへのアクセスを付与することを求められないものとする。
-
個人データの削除。 顧客からの書面による指示に従い、ベンダーは、サービスの提供終了時に、顧客の求めに応じて、当該要請から三十(30)日以内に、すべての個人データを削除し、または顧客に返却するものとします。ただし、法令により当該個人データの保存が要求される場合はこの限りではありません。なお、顧客から要請があった場合、ベンダーはかかる措置を講じたことについて書面による証明を行うものとします。
-
データ移転。 ベンダーが第三国において EU/UK プライバシー法の適用を受ける個人データを処理し、データインポーターとして行動する範囲において、ベンダーはデータインポーターとしての義務を遵守し、カスタマーは、本 DPA に組み込まれその一部を構成する「コントローラーからプロセッサーへの条項」に定められたデータエクスポーターとしての義務を遵守するものとし、さらに次のとおりとします。
-
当該 Controller to Processor Clauses の Annex I または Part 1(該当するもの)において、Customer はコントローラ、Vendor はプロセッサとし、本 Agreement、この DPA および Annex 1 に定められた当事者、連絡担当者の詳細および処理の詳細が適用され、Start Date は Agreement の発効日とし、本 Agreement の締結に関連して当事者が行った署名(いかなる形式によるものも含む)およびその署名日が、当該当事者から求められる日付付き署名として適用されるものとする;
-
該当する場合、UK Addendum の Part 1 の目的において、関連する Addendum EU SCCs(UK Addendum において定義されるとおりの意味を有する)は、本 Section 13 に基づいてこの DPA に組み込まれた EU SCCs とする。万一、この DPA と SCCs の間に矛盾または不明瞭な点がある場合には、SCCs が優先して適用されるものとする;
-
当該 Controller to Processor Clauses の Annex II または Part 1(該当するもの)の目的においては、Annex 3 に定められた技術的および組織的セキュリティ対策、ならびに Customer を支援するために Vendor が講じる技術的および組織的対策が、それぞれ適用されるものとする;および
-
該当する場合、当該 Controller to Processor Clauses の Annex III または Part 1(該当するもの)の目的においては、Schedule 4(Authorized Sub-contractors)に定められた承認された下請業者の一覧が適用されるものとする;
-
該当する場合、以下の目的において:(i) Clause 9 については、Option 2(「General written authorization」)が選択されたものとみなされ、Section 8 に規定される通知期間が適用されるものとする;(ii) Clause 11(a) については、独立した紛争解決に関する任意条項は削除されたものとみなされる;(iii) Clause 13 および Annex I.C については、管轄監督機関は Ireland Data Protection Commission とする;(iv) Clauses 17 および 18 については、Option 1 が選択されたものとみなされ、準拠法および管轄裁判所は The Republic of Ireland とする;(vi) Part 1 においては、輸入者としての Vendor は、当該 UK Addendum の Section 19 に従って UK Addendum を終了することができるものとする;
-
Vendor は、第三国において Personal Data を処理するために、アフィリエイトまたは第三者のサブプロセッサを任命することができるものとし、その場合、Vendor は、Customer に代わって任命する関連するサブプロセッサ(アフィリエイトを含む)との間で Processor to Processor Clauses を締結するものとする;および
-
Vendor は、適切性認定、EU-US Data Privacy Framework、Privacy Laws に基づく特定状況における例外、またはデータ移転に関して Privacy Laws への準拠を確保するためのその他の適法な手段に依拠することができるものとする。
-
そのような移転に関する越境移転または当該移転に適用されるプライバシー法の遵守に関する紛争は、本契約に定められた準拠法および裁判管轄に従って解決されるものとします。
別紙 1
処理の詳細
1. 処理の性質
- 契約書に定めるとおり、ベンダーがカスタマーにベンダーのサービスを提供することに関連して行う、個人データへのアクセス、利用、開示、保存、削除および/またはその他の処理。
2. 処理の目的
- 契約書に定めるとおり、ベンダーがカスタマーに対してサービスを提供すること。
3. 個人データが処理される対象者のカテゴリ
- カスタマーの Authorized Users。
4. 処理される個人データのカテゴリ
- ベンダーがカスタマーに代わって収集した、またはその他の方法でカスタマーからベンダーに提供された個人に関するデータ。
5. プライバシー法に基づき「センシティブ」または「特別カテゴリ」とみなされる、処理の対象となる個人データの種類
- カスタマーおよび/またはその従業員等は、本契約に基づきセンシティブデータまたは特別カテゴリデータを一切提供しないものとし、ベンダーはカスタマーにより提供されたセンシティブデータの処理について責任を負わないものとします。ベンダーは、特別カテゴリに該当する個人データを意図的に収集または処理しません。
6. 処理の頻度(例:一度限りまたは継続的)および期間
- 関連する個人データは、契約期間中および契約書に定められた契約終了後の保存期間を通じて、継続的に処理されます。
7. 第 8 条に基づき承認されたサブプロセッサーが実施する処理の対象、性質および期間
- 本別紙 1および別紙 2に定めるとおり。
別紙 2
承認されたサブプロセッサー
ベンダーの承認済みサブプロセッサーの一覧は、https://trust.cursor.com/subprocessors で管理および更新されています。
別紙 3
技術的および組織的対策
本別紙 3 は、Anysphere, Inc.(「Anysphere」)がデータ処理契約(「DPA」)に基づき実施する技術的および組織的セキュリティ対策を定めるものです。Anysphere は SOC 2 Type II 認証を取得しており、当社の Trust Center https://trust.cursor.com(「Trust Center」)を通じて認証書の写しを入手いただけます。さらに、Anysphere のセキュリティ対策の詳細は、https://www.cursor.com/security で提供されている当社のセキュリティページにも記載されています。Anysphere の技術的および組織的セキュリティ対策には、以下が含まれます。
-
アクセス制御: 個人データへのアクセスは認可された担当者のみに制限されており、役割ベースのアクセス制御と多要素認証などの強力な認証メカニズムによってアクセスの安全性を確保しています。
-
従業員トレーニングと意識向上: 従業員は、データ保護、プライバシー、およびセキュリティに関するベストプラクティスについて、定期的なトレーニングを受講しています。
-
データ暗号化: Anysphere は、業界標準の暗号化プロトコルを採用し、個人データが保存時および送信時のいずれにおいても暗号化されるようにしています。暗号鍵は安全に管理され、定期的に更新されています。
-
インフラストラクチャセキュリティ: Anysphere のインフラストラクチャフレームワークおよびセキュリティプロトコルについては、当社の Trust Center で説明しています。
-
ネットワークセキュリティ: ネットワークセキュリティは、ファイアウォールや侵入検知・防止システムの導入によって維持されており、定期的に脆弱性評価およびペネトレーションテストを実施しています。Trust Center を通じて、ペネトレーションテストレポートのコピーをリクエストできます。
-
アプリケーションセキュリティ: 安全なソフトウェア開発手法(コードレビューやセキュリティテストを含む)に従うとともに、一般的な Web 攻撃から保護するために Web アプリケーションファイアウォールを使用しています。
-
データバックアップと復旧: 個人データの定期的なバックアップを実施し、安全に保管しています。災害復旧および事業継続計画を策定し、定期的にテストしています。
-
データセンターセキュリティ: データセンターは、アクセス制御、監視システム、セキュリティ要員などの物理的セキュリティ対策によって保護されています。データセンターへのアクセスは、認可された担当者のみに制限されています。
-
オフィスセキュリティ: オフィスは、アクセス制御、警報システム、監視カメラによって保護されており、来訪者には入館手続きが求められ、認可された担当者が同行します。
-
セキュリティ監視: Anysphere は、セキュリティインシデントを検知し対応するため、システムおよびネットワークを継続的に監視しています。セキュリティ情報およびイベント管理システムを使用して、セキュリティイベントを相関付け、分析しています。
-
インシデント対応: セキュリティインシデントに迅速かつ効果的に対応するためのインシデント対応計画を整備しており、データ侵害に関する通知手続きは、適用される法令および規制に準拠しています。
-
プライバシー・バイ・デザイン: 「Privacy by Design」の実装を通じて、データ保護の原則をシステムおよびプロセスの設計・開発段階から組み込んでいます。リスクを特定し軽減するために、定期的にプライバシー影響評価を実施しています。
-
データ最小化: 個人データの収集および処理は、特定された目的に必要な範囲に限定しており、必要に応じてデータの匿名化および仮名化技術を使用します。
-
継続的な監視と改善: Anysphere は、データのプライバシーおよびセキュリティに関するポリシーを継続的に監視し、ユーザーのデータを最高水準で保護するために、必要に応じて改善および更新を行っています。クライアントの信頼と安心を維持するため、業界のベストプラクティスおよび変化する法的要件の最前線に立ち続けるよう努めています。
これらの対策を実施することで、Anysphere は高水準のデータプライバシーおよびセキュリティを維持し、ユーザーが本サービスを安心して利用できるよう努めています。