ESET Services – 目次

データ処理契約

2025年11月26日以降有効

個人データの処理と関連する自然人の保護に関する、および、そのデータの自由な移動に関する、ならびに指令95/46/ECを廃止する欧州議会および理事会の2016年4月27日の規則(EU)2016/679(以下「GDPR」といいます。)の要件、ならびにグレートブリテンおよび北アイルランド連合王国で適用されるデータ保護法に従い、ESET(以下「プロセッサー」といいます。)とお客様(以下「コントローラー」といいます。)は、本規約の主題を主契約として遂行する過程で、コントローラーに代わって本人の個人データを処理することに関連して、個人データの処理条件、その保護方法、および両当事者のその他の権利と義務を定義するために、データ処理に関する契約関係を構築します。

  1. 個人データ本規約を遵守して本サービスを提供するためには、プロセッサーがコントローラーに代わって、識別され、または識別可能な自然人に関する情報(以下「個人データ」といいます。)を処理する必要がある場合があります。
  2. 許可。管理者は、処理者が次の手順を含む個人データを処理することを許可します。
    1. 「処理目的」とは、本規約に準拠した、付属書に定める注文された本サービスの提供をいいます。
    2. 「処理期間」とは、本サービスが提供される期間をいいます。
    3. 「個人データの範囲およびカテゴリー」には、本サービスの提供中にコントローラーにより提供され、または利用可能とされた個人データ(特に本サービスに係る要請において、または当該本サービスに係る要請への対応中に提供された個人データ)、および本サービスの遂行中にコントローラーから本製品またはデバイスへの一時的または恒久的なアクセスが許可された場合にプロセッサーがアクセスまたは利用できる個人データが含まれます。
    4. 「本人」とは、コントローラーのデバイスの許可されたユーザー、またはコントローラー(および該当する場合はその関連事業体)の従業員もしくは業務受託者である自然人、および本サービスの遂行中にコントローラーがプロセッサーにそのデータを提供する、または利用可能とする可能性のある人をいいます。
    5. 「処理業務」とは、処理目的のために必要なすべての業務を意味します。
    6. 「文書化された指示」とは、本規約、その付属書、本サービスに係る文書、または本サービスの提供に関する要請文書に記載された個人データの処理に関する指示をいいます。
  3. 処理者の義務。プロセッサーは、以下の義務を負うものとします。
    1. 本規約に準拠して本サービスを提供する目的で、かつ文書化された指示のみを根拠として、個人データの処理(個人データの第三国への移転を含む。)を行うこと。ただし、EUまたはEU加盟国もしくは英国の法に基づき処理が要求される場合はその限りでないものとし、その場合、プロセッサーは、公共の利益に関わる重要な理由で法が禁止していない限り、処理前にその法的要求をコントローラーに通知するものとします。
    2. 個人データを処理する権限を有する者(以下「権限者」といいます。)に対し、GDPRに基づく権利および義務、義務違反の場合の責任について指示すること、ならびに個人データを処理する権限を有する権限者が秘密保持を約束し、文書化された指示に従うことを確保すること。
    3. コントローラーの個人データを処理する際にリスクに見合ったセキュリティレベルを確保するため、技術の状況、実施コスト、処理の性質、範囲、文脈および目的、ならびに自然人の権利と自由に対するリスクの可能性および重大性に照らし、GDPR第32条に基づき要求される、処理の安全管理に関するすべての措置を講じること。
    4. 処理の性質を考慮して、コントローラーがGDPR第3章に定められた本人の権利行使の要求に応じる義務を履行するために、可能な限りにおいて、適切な技術的および組織的な手段を用いて、コントローラーを支援すること。
    5. 要請があれば、処理の性質およびプロセッサーが利用できる情報に照らし、GDPR第32条から第36条に基づく義務の遵守を確保するために、コントローラーに合理的な支援を行うこと。処理者は、個人データの処理の違反または個人データのセキュリティの侵害を検出した場合すみやかに管理者に通知するものとします。プロセッサーは、当該違反の調査および是正に合理的な範囲で協力し、さらなる悪影響を抑えるために合理的な措置を講じるものとします。
    6. コントローラーの選択により、コントローラーのために処理を行ったすべての個人データを、処理に関連する本サービスの提供終了後30営業日以内に削除または返却し、EU法またはEU加盟国の法により個人データの保存が要求されない限り、既存のコピーを削除すること。コントローラーは、プロセッサーに対し、処理期間の終了後10日以内にその決定を通知するものとします。この規定は、特別な立法に照らしたアーカイブの目的、または法的請求権の立証、行使、もしくは防御の目的のために必要な範囲で個人データを保持するプロセッサーの権利に影響を与えないものとします。
    7. 管理者の代理として実行した処理活動のすべての分類について、最新の記録を保持します。
    8. 本規約、その付属書、および本サービスに係る文書の一部としてコンプライアンスを実証するために必要なすべての情報をコントローラーが利用できるようにし、また、高度の必要性がある場合は、コントローラーまたはコントローラーによって委任された他の監査人による、本合意の範囲において行われた処理に関する監査を受け入れること。コントローラー側から個人データの処理について監査または管理を行う場合、コントローラーは、予定する監査または管理の少なくとも10日前に、プロセッサーに書面で通知する義務を負うものとします。
  4. 別の処理者の関与。プロセッサーは、本規約(主に本合意および本サービスに係る文書)に準拠して特定の処理に係る活動を行うために、広く別のプロセッサー(以下「サブプロセッサー」といいます。)を利用することができます。プロセッサーは、そのようなサブプロセッサーが本合意に定められているのと同じ義務に拘束されることを確保するものとします。この場合でも、プロセッサーは、サブプロセッサーによる個人データの処理について、コントローラーに対する責任を全面的に負うものとします。プロセッサーは、本サービスの実行を目的として、ディストリビューターをサブプロセッサーとして利用することができます。プロセッサーは、他のサブプロセッサーの追加または交代に関する変更の意図をコントローラーに通知し、それによってコントローラーにそのような変更に異議を唱える機会を与える義務を負います。新しいサブプロセッサーに対する異議は、通知後7営業日以内に受理されなければならず、当該期間内に異議がない場合は、コントローラーは新しいサブプロセッサーを受諾したものとみなされます。コントローラーが新しいサブプロセッサーに対して合理的に異議を唱え、その異議が合理的な期間内に満足に解決できない場合、コントローラーはプロセッサーに対して30日前に書面で通知することにより、違約罰なしで本合意を解除することができます。コントローラーの異議が提起されてから30日経っても解決されず、プロセッサーが本合意の解除の通知を受け取らなかった場合、コントローラーは新しいサブプロセッサーを受諾したものとみなされます。
  5. 処理の地域。処理者は、管理者の決定に基づき、欧州経済地域または欧州委員会の決定による安全な国であると指定された国で処理が行われるように最善を尽くします。標準契約条項(標準契約条項 | ESETサービス | ESETオンラインヘルプで入手可能)は、欧州経済地域または欧州委員会の決定による安全な国であると指定された国以外での個人データの転送および処理に適用されるものとします。
  6. セキュリティ。処理者はISO 27001の認証を受け、ネットワーク、オペレーティングシステム、データベース、アプリケーション、要員および業務プロセスの改造でセキュリティ統制を適用するときには、ISO 27001フレームワークを使用して、階層型の防御セキュリティ戦略を実装します。規制要件および契約要件の遵守は、処理者の他のインフラストラクチャおよび処理に対して同様に定期的に評価され、確認されます。また、遵守のための必要な手順が継続的に実施されます。プロセッサーは、ISO 27001に基づくISMSを用いてデータのセキュリティを組織化しています。セキュリティ文書には主に、情報セキュリティ、物理的セキュリティ、機器のセキュリティ、インシデント管理、データ漏洩およびセキュリティインシデントの処理などに関するポリシー文書が含まれます。
  7. 技術的および組織的な対策。処理者は、偶発的および不法な損害および破壊、偶発的な損失、変更、不正なアクセスおよび開示に対して個人データを保護するものとします。この目的のために、処理者は、処理のモードと、GDPRの要件に準拠して、データ主体の権利の処理によって提示されるリスクに対応する適切な技術的および組織的な対策を採用するものとします。技術的および組織的な対策の詳細は、特定の本製品に関するセキュリティ文書に記載されます。
  8. 処理者の連絡先情報。個人データ保護に関するすべての通知、要求、要望、他の連絡事項は、ESET, spol. s.r.o.ESET, spol. s.r.o.: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.