データ処理に関する追加条項

最終更新日: 2024 年 5 月 7 日

このデータ処理補足契約(「DPA」)は、デラウェア州法人で、主たる事業所が400 ALABAMA STREET, SUITE 202, SAN FRANCISCO, CA 94110(「W&B」)にある WEIGHTS AND BIASES, INC. と顧客(以下に定義)との間で、顧客が同意を示すボックスをクリックするか、W&B 資産による処理のために個人データを W&B に転送するか、またはその他この DPA への同意を積極的に示す場合に適用されます。これにより、お客様は、(A) お客様自身、またはお客様が代表する組織、会社、その他の法人 (それぞれ「顧客 ) に代わって、本 DPA (明確にするために標準契約条項を含む) に同意し、(B) お客様とその関連会社を本 DPA に拘束する権限があることを表明することになります。お客様がそのような権限を持っていない場合、または本 DPA に同意しない場合は、直接的または間接的に W&B に個人データを転送することはできません。 W&B は、独自の裁量により本 DPA の条件を変更または更新する権利を留保します。その発効日は、(I) かかる更新または変更の日から 30 日後、および (II) 顧客による個人データの継続的な転送のいずれか早い方となります。

本DPAは、W&Bのマスターサービス契約( https://wandb.ai/site/termsで入手可能)の一部を構成します。ただし、W&Bとお客様が本サービスの使用に関して別途書面による契約を締結している場合は、当該別の契約が当事者間の契約(「契約」)に優先し、その契約に基づいてW&Bは、適用データ保護法に従って個人データの処理を伴うW&B資産をお客様に提供します。本DPAの目的は、W&Bがお客様に代わって個人データを処理する条件を規定することです。

本DPAは、本文およびスケジュール1からスケジュール4で構成されます。本DPAの承諾には、標準契約条項(以下に定義)およびその付属書類(以下のスケジュール2を参照)の承諾が含まれます。

1. 定義

本DPAで使用されているが定義されていない大文字の用語は、契約書に定められた意味を持ちます。管理者、データ主体、処理者、監督当局という用語は、適用されるデータ保護法に定められた意味を持ちます。

  1. 適用されるデータ保護法」とは、本契約に基づく個人データの処理に適用される、あらゆる法域のプライバシー、データ保護、データセキュリティに関する法律および規制を意味し、これには欧州データ保護法、英国GDPR、CCPAが含まれますが、これらに限定されません。
  2. CCPA 」とは、2018年カリフォルニア州消費者プライバシー法およびそれに基づいて公布されたすべての規制(それぞれ随時改正されるものを含み、2020年カリフォルニア州プライバシー権法およびそれに基づいて公布されたすべての規制を含む)を意味します。 
  3. EEA 」とは欧州経済領域を意味します。 
  4. 欧州データ保護法」とは、本契約に基づく個人データの処理に適用される範囲において、EEAおよび欧州連合、ならびに前述の各加盟国のGDPRおよびその他のデータ保護法および規制を意味します。
  5. GDPR 」とは、個人データの処理およびそのデータの自由な移動に関する自然人の保護に関する2016年4月27日の欧州議会および理事会の規則 (EU) 2016/679、ならびに指令95/46/ECの廃止 (一般データ保護規則) を意味します。 
  6. 情報セキュリティインシデント」とは、当社が所有、保管、または管理する個人データの偶発的または違法な破壊、紛失、変更、不正開示、またはアクセスにつながる、当社のセキュリティの侵害が確認されたことを意味します。情報セキュリティインシデントには、失敗したログイン試行、ping、ポートスキャン、サービス拒否攻撃、またはファイアウォールやネットワークシステムへのその他のネットワーク攻撃など、個人データのセキュリティを侵害しない失敗した試行または活動は含まれません。 
  7. 個人データ」とは、適用データ保護法で定義される「個人データ」、「個人情報」、または「個人を特定できる情報」を構成する顧客データ、またはそれにより規制される同様の性質の情報を指します。ただし、かかるデータは、顧客によってまたは顧客に代わってサービスに提出された電子データおよび情報です。 
  8. 公的機関」とは、司法機関を含む政府機関または法執行機関を意味します。 
  9. 処理」または「プロセス」とは、自動的な手段であるか否かを問わず、個人データまたは個人データのセットに対して実行されるあらゆる操作または一連の操作を意味し、収集、記録、整理、構造化、保管、適応または変更、検索、参照、使用、送信による開示、配布またはその他の方法による提供、調整または組み合わせ、制限、消去または破壊などが含まれます。 
  10. セキュリティ対策」とは、個人データのセキュリティと整合性を保護し、情報セキュリティインシデントを防止するために設計された管理上、技術上、物理的な保護手段として実装および維持される当社のセキュリティ対策であり、本契約のスケジュール2付録IIIおよび適用データ保護法で要求されるその他の対策にさらに記載されています。 
  11. 標準契約条項」とは、2021年6月4日の欧州委員会実施決定 (EU) 2021/914により承認された欧州議会および理事会の規則 (EU) 2016/679に従った、第三国への個人データの移転に関する標準契約条項を意味します。現在、https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj に掲載されています。
  12. サブプロセッサー」または「サブプロセッサー」とは、当社が本サービスに関連して個人データを処理するために雇用する第三者プロセッサーを意味します。 
  13. UK GDPR 」とは、スケジュール21、キーリングスケジュールによって補足された2018年英国データ保護法を意味します。

2. DPAの期間と範囲

本DPAは、本契約の満了または終了にかかわらず、当社が個人データを処理する限り有効です。本DPAのスケジュール1および2は、欧州データ保護法の対象となる処理にのみ適用されます。本DPAのスケジュール3は、英国GDPRの対象となる処理にのみ適用されます。本DPAのスケジュール4は、お客様がかかる処理に関して「企業」(CCPAの定義による)である限り、CCPAの対象となる処理にのみ適用されます。

3. 顧客向け指示

会社は、お客様から会社への指示に従ってのみ個人データを処理します。本DPAは、かかる指示を完全に表現したものであり、お客様からの追加指示は、両当事者が署名した本DPAの修正に従ってのみ会社を拘束します。お客様は、サービスを通じて、契約で許可されている方法で個人データを処理するよう会社に指示します。会社は、次の場合に直ちにお客様に通知するものとします。(a) お客様からの指示が適用データ保護法に違反していると判断した場合、(b) 会社が個人データの処理に関するお客様の指示に従うことができない場合、または(c) 会社が、お客様の指示または本DPAの条件や要件に反して、適用データ保護法の変更の対象であると信じる理由がある場合。

4. 個人データのセキュリティ

  1. 当社のセキュリティ対策。当社は、更新された対策によって個人データの全体的な保護が実質的に低下しない限り、随時セキュリティ対策を更新することがあります。
  2. 情報セキュリティ インシデント。当社は、当社が認識したあらゆる情報セキュリティ インシデントを遅滞なくお客様に通知します。かかる通知には、潜在的なリスクを軽減するために講じられた手順や、情報セキュリティ インシデントに対処するために当社がお客様に推奨する手順など、情報セキュリティ インシデントの入手可能な詳細が記載されます。情報セキュリティ インシデントに関する当社の通知または対応は、情報セキュリティ インシデントに関する当社の過失または責任の承認と解釈されることはありません。
  3. コンプライアンスと DPIA の監査。

    1. お客様は、暦年あたり 1 回を限度として、本 DPA に基づく義務に対する当社の遵守状況を監査できます。また、欧州データ保護法で要求されるその他の機会に、お客様の監督当局により義務付けられている場合を含め、お客様の単独費用負担で、15 日以上前に書面で通知することにより監査できます。このような監査は、当社の主たる事業所で通常の営業時間内に実施する必要があり、当社の事業活動を不当に妨げてはなりません。
    2. 当社は、監査を実施するために合理的に必要な情報および支援を顧客または顧客の監督当局に提供することにより、各監査に貢献します。第三者が監査を実施する場合、当社の合理的な判断により監査人が独立していない、当社の競合相手である、またはその他の理由で明らかに不適切であると判断した場合、当社は監査人に異議を唱えることができます。当社が異議を唱えた場合、顧客は別の監査人を任命するか、自ら監査を実施する必要があります。
    3. 要求された監査で評価される管理または対策が、お客様の監査要求から 12 か月以内に資格のある第三者監査人によって実施された当社の SOC 2 タイプ 2、ISO、NIST または同様の監査レポートに記載されており、当該レポートの日付以降に監査された管理に重大な変更がないことが会社によって確認されている場合、お客様は、当該管理または対策の監査を要求する代わりに、当該レポートを受け入れることに同意するものとします。
    4. お客様は、監査の過程で発見された不遵守事項を速やかに当社に通知し、欧州データ保護法で禁止されている場合、または監督当局から別途指示されている場合を除き、本第 4 条 (c) に基づく監査に関連して作成された監査レポートを当社に提供するものとします。お客様は、監査レポートを、お客様の規制監査要件を満たす目的、および/または本 DPA の要件への準拠を確認する目的でのみ使用できます。
    5. お客様は、本第 4 条 (c) に基づく監査または検査に関連して会社および第三者が費やした時間について、その時点の会社の専門サービス料金で会社に払い戻すものとします。この料金は、お客様の要求に応じて利用可能となります。明確にするために、お客様は、かかる監査を実行するためにお客様が任命した監査人が請求する料金について責任を負うものとします。
  4. データ保護影響評価(DPIA)。お客様からの書面による要請があった場合、当社は、お客様が関連情報にアクセスできない範囲で、かつ当社が当該情報を入手できる範囲で、適用データ保護法に基づくお客様の義務を履行し、お客様のサービス利用に関連するデータ保護影響評価を実施するために必要な合理的な協力および支援をお客様に提供します。

5. 顧客の責任

  1. 顧客の義務。 顧客は、個人データの正確性、品質、合法性、および個人データを取得した手段について単独で責任を負うものとします。 顧客は、適用データ保護法で適用される範囲において、サービスの使用が、個人データの販売またはその他の開示をオプトアウトした者を含む、いかなるデータ主体の権利も侵害しないことを明確に認識し、同意するものとします。 契約に基づく顧客の義務を制限することなく、顧客は、(a) 顧客が、(1) 個人データに関するリスクに適したセキュリティ レベルを確保するためにサービスを適切に使用すること、(2) 顧客がサービスにアクセスするために使用するアカウント認証資格情報、システム、およびデバイスを保護すること、(3) 会社がサービスを提供するために使用する顧客のシステムとデバイスを保護すること、および (4) 個人データをバックアップすることを含め、サービスの使用について単独で責任を負うことに同意します。 (b) 当社が本契約で想定されているとおりに個人データを処理するために、適用法または規制で要求されるとおり、個人データが関係する個人およびその他すべての当事者(顧客が処理者である場合は最終管理者がそうすることを保証するなど)にすべての通知を行い、すべての同意を得ていること。
  2. 禁止データ。お客様は、当社の事前の書面による同意がない限り、顧客データには社会保障番号やその他の政府発行の身分証明書番号、医療保険の携行性と責任に関する法律 (HIPAA) の適用対象となる保護対象医療情報、個人の病歴、精神的または身体的状態、医療専門家による治療または診断に関するその他の情報、健康保険情報、生体認証情報、オンライン アカウントのパスワード、金融口座の認証情報、納税申告データ、信用報告書または消費者報告書、ペイメント カード業界データ セキュリティ基準の適用対象となるペイメント カード情報、グラム リーチ ブライリー法、公正信用報告法、またはいずれかの法律に基づいて公布された規制の適用対象となる情報、16 歳未満の子供に関するすべての情報を含むがこれらに限定されない、子供の個人データを管理する適用データ保護法の制限の対象となる情報、または (GDPR で定義される) 特別なデータ カテゴリに該当する情報が含まれないことを当社に表明し、保証します。

6. 法律およびデータ主体の権利の遵守

  1. 法律の遵守。各当事者は、適用されるすべてのデータ保護法を遵守します。特に、顧客は管理者(または管理者の代理人)としての義務を遵守し、会社は処理者としての義務を遵守します。
  2. 個人データの開示と政府の要請。当社は、以下の場合を除き、個人データを公的機関を含むいかなる第三者にも開示しません。(i) 本DPAを含む契約で許可されている場合、または(ii) 有効かつ/または拘束力のある公的機関の裁判所命令(法執行機関の召喚状など)を含む適用データ保護法に準拠するために必要な場合。当社が公的機関から個人データへのアクセスまたは開示を要求する拘束力のある命令を受け取った場合、当社は法的に禁止されていない限り、お客様にその要求を通知します。
  3. データ主体の要求に対する支援。当社は(個人データの処理の性質を考慮して)、当社が所有または管理する個人データに関して、データ主体による適用データ保護法に基づく権利の行使要求(「データ主体の要求」)を満たすために、適用データ保護法に基づく義務をお客様が履行するために合理的に必要な支援をお客様に提供します。適用データ保護法で許可されている場合、お客様は、当該支援に対して、当社のその時点の専門サービス料金で当社に報酬を支払うものとし、当該料金はお客様の要求に応じて利用可能となります。
  4. リクエストに対するお客様の責任。お客様が直接対応できるように、必要に応じてデータ主体のリクエストをリダイレクトすることをお客様が当社に許可した場合を除き、当社はデータ主体のリクエスト自体には対応しません。当社がデータ主体のリクエストを受け取った場合、当社はデータ主体にリクエストをお客様に提出するようアドバイスし、お客様はリクエストに対応する責任を負います。

7. 欧州および英国のデータ保護法の特定規定、法律の変更。

  1. GDPR。当社は、当社のサービス提供に直接適用されるGDPRに従い、本契約のスケジュール1および2に規定されているとおりに個人データを処理します。
  2. 英国GDPR。当社は、当社のサービス提供に直接適用される英国GDPRに従い、本契約のスケジュール3に規定されているとおりに個人データを処理します。

8. サブプロセッサー

  1. サブプロセッサー契約への同意。お客様は、以下のサブプロセッサーに個人データの処理を許可します: (i) 当社の関連会社、および (ii) 本契約のスケジュール 2 付属書 III に規定されるサブプロセッサー (こちらでも参照できます: https://security.wandb.ai/?itemUid=e3fae2ca-94a9-416b-b577-5c90e382df57 ) (当社が随時更新するもの、または当社が随時お客様に提供するその他の Web サイト アドレス) (「サブプロセッサー サイト」)。
  2. 下請け業者との契約要件。下請け業者と契約する場合、当社は、下請け業者が提供するサービスの性質に適用される範囲で、個人データに関して本DPAに定められたものと同等以上の保護義務を定めた書面による契約を当該下請け業者と締結するものとします。当社は、下請け業者に下請け委託した契約に基づくすべての義務、またはそれに関連する下請け業者の行為および不作為について責任を負うものとします。
  3. サブプロセッサーの変更。本契約の発効日以降に会社が新しいサブプロセッサーを雇用する場合、会社はサブプロセッサー サイト (関連するサブプロセッサーの名前と所在地、サブプロセッサーが実行する活動を含む) を更新します。このセクション 8 (c) は GDPR には適用されませんが、代わりに、本契約のスケジュール 1 のセクション 4 (g) と 4 (h) に規定されている標準契約条項の要件に置き換えられます。
  4. サブプロセッサーの変更に対する異議申し立ての機会。お客様が個人データの保護に関する合理的な理由により会社に書面で通知してかかる関与に異議を申し立てる場合、お客様と会社は誠意を持って協力し、かかる異議に対処するための相互に受け入れられる解決策を見つけるものとします。両当事者が合理的な期間内に相互に受け入れられる解決策に達することができない場合、お客様は、その唯一の救済策として、会社に書面で通知することにより本契約を解除することができます。

9. 個人データの返却または削除

お客様からの書面による要請、または本契約の終了もしくは満了後、当社は本契約に従って個人データを削除または返却します。この要件は、適用法により当社が個人データの一部または全部を保持することが義務付けられている範囲、または当社がバックアップ システムにアーカイブした個人データには適用されません。当社は、個人データを安全に隔離し、それ以上の処理から保護し、最終的には当社の削除ポリシーに従って削除するものとします。本契約の終了または満了後、お客様は、当社が当社の標準ポリシーに従って所有または管理するすべての個人データの削除を自動的に開始できることを承認し、これに同意するものとします。

10. その他

DPA によって明示的に修正されない限り、契約の条件は完全に効力を維持します。本 DPA と契約のその他の条件との間に矛盾または不一致がある場合、本 DPA が優先します。契約またはこれに関連して締結された注文書にこれと異なる規定があっても、両当事者は、当社の個人データへのアクセスが、契約に関して両当事者が交換する対価の一部を構成しないことを認め、同意します。契約にこれと異なる規定があっても、本 DPA に基づき会社が顧客に通知することが要求または許可される通知は、(a) 契約の通知条項に従って、(b) 顧客との主な連絡担当者に、または (c) サービス関連の通信またはアラートを提供するために顧客が提供する電子メールに通知できます。顧客は、かかる電子メール アドレスが有効であることを保証する責任を単独で負います。

スケジュール 1 - 標準契約条項データ転送の転送メカニズム

1. 定義

本附則第1条および第2条において、これらの用語は以下のように定義されるものとする。

  1. EU C-to-P移転条項」とは、モジュール2(コントローラーからプロセッサー)を参照する範囲において、標準契約条項のセクションI、II、III、およびIV(該当する場合)を意味します。
  2. EU P-to-P 移転条項」とは、モジュール 3 (プロセッサ間) を参照する範囲で、標準契約条項のセクション I、II、III、および IV (該当する場合) を意味します。

2. 国際移転メカニズム

  1. EU C-to-P移転条項。顧客および/またはその関連会社が個人データの管理者およびデータ輸出者であり、当社がその個人データに関して処理者およびデータ輸入者である場合、当事者は、スケジュール1の追加条件に従って、EU C-to-P移転条項を遵守するものとします。
  2. EU P-to-P 移転条項。顧客および/またはその関連会社が管理者に代わって行動するプロセッサであり、個人データのデータ輸出者であり、会社がその個人データに関するプロセッサおよびデータ輸入者である場合、当事者は、スケジュール 1 の追加条件に従い、EU P-to-P 移転条項の条件を遵守するものとします。サービスの履行において、GDPR または欧州データ保護法に基づく個人の保護またはプライバシーに関するその他の法律の対象となる個人データが、欧州データ保護法の意味における適切なレベルのデータ保護を確保していない国に移転される場合、以下に挙げる移転メカニズムがそのような移転に適用され、そのような移転が欧州データ保護法の対象となる範囲で当事者が直接実施することができます。

3. 役割

EU C-to-P 移転条項および EU P-to-P 移転条項の目的上、顧客はデータ輸出者、会社はデータ輸入者であり、両当事者は以下に同意するものとします。関連会社が個人データの移転について EU C-to-P 移転条項または EU P-to-P 移転条項に依拠する場合、およびその範囲において、本スケジュールにおける顧客への言及には当該関連会社が含まれます。本スケジュール 1 で EU C-to-P 移転条項または EU P-to-P 移転条項が明示的に言及されていない場合は、両方に適用されます。

4. 標準契約条項の運用規定および追加条件

  1. 標準契約条項への参照。標準契約条項に含まれる関連規定は参照により組み込まれ、本DPAの不可欠な一部となります。標準契約条項の付属書に必要な情報は、スケジュール2に記載されています。
  2. ドッキング条項。第7項に基づくオプションは適用されません。
  3. 指示。本DPAおよび契約は、個人データの処理に関して当社に契約書に署名した時点での、お客様から当社への完全かつ最終的な文書化された指示です。追加または代替の指示は、本DPAおよび契約書の条件に従わなければなりません。条項8.1(a)の目的上、個人データの処理に関するお客様の指示には、サービスの実行を目的としてEEA外にある第三者への転送が含まれます。
  4. 削除の証明。両当事者は、標準契約条項の第 8.5 項および第 16(d) 項に記載されている個人データの削除の証明は、顧客からの書面による要求があった場合にのみ会社から顧客に提供されることに同意します。
  5. 処理のセキュリティ。条項 8.6(a) の目的上、お客様は、ここに規定された技術的および組織的対策がお客様の要件を満たしているかどうかについて独自の判断を下す責任を単独で負い、(最新技術、実装コスト、個人データの処理の性質、範囲、状況、目的、および個人へのリスクを考慮して)会社が実装および維持するセキュリティ対策とポリシーが、個人データに関するリスクに適切なレベルのセキュリティを提供することに同意します。条項 8.6(c) の目的上、個人データ侵害(情報セキュリティ インシデントなど)は、本 DPA のセクション 4(b) に従って処理されます。
  6. SCC の監査。両当事者は、標準契約条項の第 8.9 項に記載されている監査が本 DPA の第 4 条 (c) に従って実行されることに同意します。
  7. サブプロセッサーの使用に関する一般承認。条項 9 のオプション 2 が適用されます。データ インポーターは、付録 III (以下のスケジュール 2 を参照) に規定されているサブプロセッサーの雇用について、データ エクスポーターの一般承認を受けています。データ インポーターは、サブプロセッサーの追加または交換によるリストの変更を予定している場合は、その旨をデータ エクスポーターに書面で通知するものとします。データ インポーターは、データ エクスポーターが異議を申し立てる権利を行使できるようにするために必要な情報をデータ エクスポーターに提供するものとします。会社がサービス提供に関連してサブプロセッサーと EU P-to-P 転送条項を締結する場合、お客様は、会社および会社の関連会社に、コントローラーに代わって、サービス提供に従事するサブプロセッサーによるサブプロセッサーの雇用に関する一般承認、ならびにそのようなサブプロセッサーの追加または交換に関する意思決定および承認権限を付与するものとします。
  8. 新しいサブプロセッサーの通知および異議申し立ての権利。条項 9 (a) に従い、お客様は、当社が上記セクション 4 (g) に記載されているように新しいサブプロセッサーを雇用できることを承認し、明示的に同意します。当社は、上記セクション 4 (g) に規定されている手順に従って、サブプロセッサーの変更をお客様に通知するものとします。お客様は、DPA のセクション 8 (d) に記載されているように、新しいサブプロセッサーに異議を申し立てることができます。
  9. 救済。第 11 項のオプションは適用されません。当社は、個人データに関するデータ主体の要求を受け取った場合、顧客に通知し、不当に遅滞することなく苦情または紛争を顧客に伝えるものとします。当社は、それ以外の場合、要求を処理する義務を負いません (顧客と別途合意しない限り)。
  10. 責任。第 12 条 (b) に基づく当社の責任は、当社が GDPR に基づき特に処理者に向けられた義務を遵守しなかった場合、または GDPR 第 82 条に規定されているように、顧客の合法的な指示の範囲外で、またはそれに反して行動した場合に、処理によって生じた損害に限定されるものとします。
  11. 監督第13条は以下のように適用される。
    1. お客様が EU 加盟国に所在する場合、データ転送に関する規則 (EU) 2016/679 へのお客様の準拠を確保する責任を負う監督当局が、管轄の監督当局として機能するものとします。
    2. 顧客がEU加盟国に所在していないが、第3条(2)に従って規則(EU)2016/679の適用地域内にあり、規則(EU)2016/679の第27条(1)に従って代表者を任命している場合、規則(EU)2016/679の第27条(1)の意味での代表者が所在する加盟国の監督当局が管轄監督当局として機能するものとします。
    3. 顧客が英国に拠点を置いている場合、または英国 GDPR の適用地域範囲内にある場合、情報コミッショナー事務局が管轄の監督機関として機能します。
  12. 政府によるアクセス要求の通知。第15条(1)(a)の規定に基づき、当社は政府によるアクセス要求があった場合、顧客(のみ)に通知し、データ主体には通知しないものとします。顧客は必要に応じてデータ主体に速やかに通知する責任を単独で負うものとします。 
  13. 準拠法。第 17 条の適用上、準拠法は本契約の条項で指定される法律とします。本契約が EU 加盟国の法律に準拠していない場合、標準契約条項は次のいずれかに準拠します。(i) アイルランドの法律、または (ii) 本契約が英国の法律に準拠している場合は英国の法律。
  14. 裁判所および管轄の選択。第 18 条に基づく裁判所は、本契約で指定される裁判所とします。本契約に起因または関連して生じる紛争または訴訟を解決するための専属管轄権を持つ裁判所として本契約で EU 加盟国の裁判所が指定されていない場合、両当事者は、標準契約条項から生じる紛争を解決するための専属管轄権を (i) アイルランド、または (ii) 本契約で英国が専属管轄権を持つと指定されている場合は英国のいずれかの裁判所が持つことに同意します。
  15. 標準契約条項に基づく英国からのデータ輸出。英国からの個人データの移転は、英国 GDPR のみの対象となりますが、かかる処理が本契約のスケジュール 3 の対象となる場合を除き、(i) 標準契約条項における GDPR または EU もしくは加盟国の法律への一般的および具体的な言及は、英国の適用データ保護法 (つまり、英国 GDPR) における同等の言及と同じ意味を持ちます。また、(ii) データ輸出者またはデータ主体が拠点を置く加盟国が定める標準契約条項のその他の義務は、英国 GDPR に基づく義務を参照するものとします。
  16. 矛盾。 標準契約条項は、本DPAおよび本DPAに規定される追加の保護措置の対象となります。標準契約条項によって付与される権利および義務は、別段の定めがない限り、本DPAに従って行使されます。本DPAの本文と標準契約条項の間に矛盾または不一致がある場合、標準契約条項が優先するものとします。

5. EU P-to-P移転条項に関する追加条件。

EU P-to-P 移転条項(のみ)の目的上、当事者は以下のことに同意します。

  1. 指示および通知。条項 8.1(a) の目的のため、お客様は、個人データに関して関連する管理者の指示に基づいてプロセッサーとして行動することを当社に通知します。お客様は、本 DPA に従ってサブプロセッサーを任命するための当社への承認を含め、契約および本 DPA に規定されている処理指示が関連するコントローラーによって承認されていることを保証します。お客様は、必要に応じて、当社から受信した通知を関連するコントローラーに転送する責任を単独で負うものとします。
  2. 処理のセキュリティ。第 8.6 条 (c) および (d) の規定に基づき、当社は、当社が処理した個人データに関する個人データ侵害 (すなわち、情報セキュリティ インシデント) を顧客に通知するものとします。
  3. 文書化とコンプライアンス。第 8.9 条の目的上、関連するコントローラーからのすべての問い合わせは、顧客によって会社に提供されるものとします。会社がコントローラーから直接問い合わせを受けた場合、会社はその問い合わせを顧客に転送するものとし、顧客は、適切な場合、関連するコントローラーからのそのような問い合わせに応答する責任を単独で負うものとします。
  4. データ主体の権利。本DPAの第10条および第3条に従い、当社は、データ主体から直接受け取ったリクエストについて、それを処理する義務を負うことなく顧客に通知するものとします(別途合意しない限り)。ただし、関連する管理者には通知しないものとします。顧客は、そのようなリクエストに対応する関連義務を果たすために関連する管理者と協力する責任を単独で負うものとします。

スケジュール 2 - 標準契約条項の附属書 I から III

このスケジュール 2 には、標準契約条項の付録 I から III が含まれており、以下の各当事者が指定箇所に記入し、署名する必要があります。

附属書I

A. 当事者一覧

データエクスポート者/管理者: 顧客
データインポート者:

名称: Weights and Biases, Inc.
住所: 400 Alabama Street, Suite 202, San Francisco, CA 94110
担当者名、役職、連絡先: Cameron Kinloch、CFO
役割: 処理者 (または状況に応じてサブ処理者)
これらの条項に基づいて転送されるデータに関連する活動: 契約および本DPAに従った個人データの処理

B. 移転の説明

本契約に基づき当社が実施する処理活動は、以下のように説明されます。

個人データが転送されるデータ主体のカテゴリー

‍プロセッサーのソフトウェアおよびサービスのエンドユーザーの個人データ(コントローラーがプロセッサーに提出したコントローラーのエンドカスタマーデータ主体の個人データを含む)

転送される個人データのカテゴリー

管理者が随時選択する

‍ 機密データは転送され(該当する場合)、厳格な目的の制限、アクセス制限(専門的なトレーニングを受けたスタッフのみのアクセスを含む)、データへのアクセス記録の保持、転送の制限、追加のセキュリティ対策など、データの性質と関連するリスクを十分に考慮した制限または保護措置が適用されます。

管理者がソフトウェアまたはサービスを介してそのようなデータを送信することを選択した場合にのみ、

‍ 転送の頻度

プロセッサーの「マルチテナントクラウド」および「W&B専用クラウド」ソフトウェアおよびサービスの提供については、契約に基づいて許可されたコントローラーによって決定された継続的なベースで

プロセッサの「顧客管理シングルテナントクラウド」、「オンプレミス」、および/または「W&B専用クラウド」(BYOB、コントローラが継続的な共有をオフにする)ソフトウェアオファリングの場合、コントローラが、コントローラの要求に応じて技術サポートの提供中に個人データをプロセッサに送信する方法でソフトウェアおよび/またはサービスを構成する場合のみ

処理の性質

プロセッサーの「マルチテナントクラウド」および「W&B専用クラウド」ソフトウェアおよびサービスの提供については、契約書に記載されているソフトウェアおよびサービスに関する個人データの処理

プロセッサの「顧客管理シングルテナントクラウド」、「オンプレミス」および/または「W&B専用クラウド」(BYOB、コントローラが継続的な共有をオフにする)ソフトウェアオファリングについては、コントローラの要求に応じて技術サポートを提供している間、ただしコントローラが個人データをプロセッサに送信する方法でソフトウェアおよび/またはサービスを構成する範囲に限ります。

データ転送およびさらなる処理の目的

プロセッサーの「マルチテナントクラウド」および「W&B専用クラウド」ソフトウェアおよびサービス提供については、プロセッサーが契約に基づいてコントローラーにサービスを提供するため

プロセッサの「顧客管理シングルテナントクラウド」、「オンプレミス」および/または「W&B専用クラウド」(BYOB、コントローラが継続的な共有をオフにする)ソフトウェアオファリングについては、コントローラの要求に応じて技術サポートを提供している間、ただしコントローラが個人データをプロセッサに送信する方法でソフトウェアおよび/またはサービスを構成する範囲に限ります。

個人データが保持される期間

契約期間中

‍ (下請)処理者への転送の場合

契約期間中

C. 管轄監督当局

本DPAのスケジュール1セクション4(k)に特定される標準契約条項の第13条に従った管轄監督当局。

付録 II - データのセキュリティを確保するための技術的および組織的措置を含む技術的および組織的措置

当社は、本DPAに基づき管理者から受け取ったすべての個人データを、以下の技術的および組織的措置に従って処理します。

Weights and Biases, Inc. は、個人データの保護のために、以下に定める措置または Weights and Biases, Inc. が合理的に提供している措置を含め、適切な管理上、技術上、物理的および手続き上のセキュリティ措置を講じており、今後もこれを維持します。

運用セキュリティ

  • Weights and Biases, Inc. の情報セキュリティ ポリシーは、社内標準のフレームワークを確立します。
  • 指定されたセキュリティ チームは、従業員のプライバシーと情報セキュリティに関するポリシー、標準、ベースライン、手順、ガイドライン、トレーニング プログラムの設計、実装、管理を担当します。
  • Weights and Biases, Inc. は、最小権限の原則に基づいて、生産システムや顧客データなどの情報リソースへのアクセスを許可し、毎年アクセス制御のレビューを実施しています。
  • Weights and Biases, Inc. では、認証、バージョン管理システム、インフラストラクチャ コンソール用のユーザー ID、パスワード、OTP、証明書などの機密性の高いシステムやアプリケーションにアクセスするために 2 要素認証を必要とし、管理アクセスにはコンテキスト認識型アクセス制御を必要とします。
  • 従業員は、Weights and Biases, Inc. の行動規範および利用規定を含むセキュリティに関するポリシーに同意し、雇用開始前に身元調査に合格する必要があります。
  • Weights and Biases, Inc. は、認証メカニズムの管理と使用を統制するための従業員パスワードに関する正式なガイドラインを確立し、パスワード マネージャー、自動スクリーンセーバー ロック、ハード ディスク暗号化、その他のエンドポイント セキュリティ対策の使用を義務付けています。
  • バージョン管理システムは、ソース コード、ドキュメント、リリース ラベル、およびその他の変更管理タスクの管理に役立ちます。システムへのアクセスは、システム管理者によって承認される必要があります。
  • Weights and Biases, Inc. は、事業中断やセキュリティ インシデントに効果的に対応し、顧客への影響を最小限に抑えるための事業継続およびインシデント対応計画を策定しています。
  • 正式なリスク管理プロセスでは、リスク許容度と、特定された脅威と指定された許容度に基づいてリスクを評価するプロセスが指定されます。Weights and Biases, Inc. は、少なくとも年に 1 回、第三者にリスク評価を実施してもらっています。
  • Weights and Biases, Inc. は毎日バックアップを実行し、バックアップ ポリシーで事前に定義されたスケジュールに従ってバックアップを保持します。


インフラストラクチャセキュリティ

  • 暗号化
    • Weights and Biases, Inc. は、ユーザーからの Web アプリケーションへのすべての接続が、証明書付きの SSL および TLS 構成を使用して暗号化されることを保証します。Web サイトとアプリケーションはどちらも HTTPS 経由でのみアクセスできます。
    • Weights and Biases, Inc. は、保存時に暗号化されたデータベースに顧客/パートナーのデータを保存します。
    • キー管理プロセス (現在は Google Cloud Platform 経由) は、組織による暗号化技術の使用をサポートします。
  • ネットワークセキュリティー
    • 実稼働環境は、必要なサービスのみが有効になっている分離された仮想プライベート クラウド ネットワークで実行されます。外部の管理アクセスは、コンテキスト認識型アクセス制御プロキシを介して仲介されます。
    • Weights and Biases, Inc. は、ロード バランサーを使用して、着信アプリケーション トラフィックを複数のインスタンスと可用性ゾーンに自動的に分散します。
    • Weights and Biases, Inc. は、承認されたネットワーク ポートとプロトコルのみが実装されるように構成を使用します。Web アプリケーション ファイアウォールは、アプリケーションを外部の脅威から保護します。
    • Weights and Biases, Inc. のツールは、サーバーの CPU 使用率、空きストレージ容量、メッセージの経過時間、Weights and Biases, Inc. のデータベース、サーバー、およびメッセージ キューの読み取り I/O を監視し、事前に設定された基準に基づいて、イベントやインシデントを適切な担当者に通知します。インシデントはポリシーに従ってエスカレートされます。


製品セキュリティ

  • Weights and Biases, Inc. は、エンタープライズ グレードのロールベース アクセス制御 (RBAC)、シングル サインオン (SSO) 認証、および製品内データ保護を採用しています。
  • Weights and Biases, Inc. は、顧客からの削除要求後 30 日以内に顧客データを削除します。

継続的なイノベーション

  • セキュリティ チームは、従業員のデバイス、クラウド環境、ネットワークにおける悪意のあるアクティビティの制御と監視を継続的に評価します。
  • Weights and Biases, Inc. は、少なくとも年に 1 回、運用環境のサードパーティ脆弱性スキャンを実施します。 – Weights and Biases, Inc. は、外部のユーザーと従業員が障害、インシデント、懸念事項を報告するためのプロセスを提供します。
  • Weights and Biases, Inc. は AICPA SOC 2 Type II に準拠しており、最新の SOC 2 監査のコピーはリクエストに応じて提供可能です。

付録 III - サブプロセッサーのリスト

コントローラーは、以下のサブプロセッサーの使用を許可しています:  https://security.wandb.ai/?itemUid=e3fae2ca-94a9-416b-b577-5c90e382df57

スケジュール 3 - 英国 GDPR の移転メカニズム

A. 定義

  1. UK GDPR IDTA 」 とは、「国際データ移転契約」( https://ico.org.uk/media/for-organisations/documents/4019538/international-data-transfer-agreement.pdfを参照)の条項を意味し 、2018年データ保護法第119A条に基づいて発行されます。
  2. UK GDPR補遺」 または 「UK補遺」 とは、「欧州委員会の国際データ移転に関する標準契約条項に対する国際データ移転補遺」( https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf で参照可能)の条項を 意味し、2018年データ保護法第119A条に基づいて発行されます。

B. 国際移転メカニズム

この附則第3条において、これらの用語は以下のように定義されるものとする。

サービスの遂行において、英国 GDPR または英国で適用される個人の保護やプライバシーに関するその他の法律の対象となる個人データが英国から、欧州データ保護法の意味における適切なレベルのデータ保護が保証されていない国に転送される場合、かかる転送には英国 GDPR IDTA および/または英国補遺が適用され、かかる転送が英国 GDPR の対象となる範囲で、当事者によって直接執行される場合があります。

C. 付録情報

このDPAのスケジュール2に記載されている付録IからIIIには、英国IDTAおよび英国補遺の付録情報が含まれており、参照によりそこに組み込まれています。

スケジュール 4 - カリフォルニアのスケジュール

A. このスケジュール 4 の目的上、「事業」、「事業目的」、「販売」、「共有」、および「サービス プロバイダー」という用語は、CCPA でそれぞれ定義されている意味を持ち、「個人情報」とは、その処理が CCPA によって規制されている個人情報を構成する個人データを意味します。

B. 両当事者の意図は、個人情報に関して、当社がサービスプロバイダーであるということです。当社は、(i) 個人情報を「販売」または「共有」(CCPA の定義による)しないものとします。(ii) 本契約で指定されたサービスを提供する特定の事業目的以外の目的で個人情報を保持、使用、開示しないものとします。(iii) 適用データ保護法で許可されている場合を除き、当社と顧客との直接の事業関係以外で個人情報を保持、使用、開示しないものとします。(iv) 適用データ保護法で許可されている場合を除き、顧客から受け取った個人情報を、第三者から、または第三者に代わって収集または受け取った個人情報と組み合わせないものとします。

C. 両当事者は、DPA に記載されている顧客の指示により承認された当社の個人情報の保持、使用、開示が、当社のサービスの提供および両当事者間のビジネス関係に不可欠であることを認めます。