Data processing addendum

効力発生日：2025年6月30日

本データ処理付随合意書（「DPA」）は、Twelve Labsエンタープライズ利用規約の添付書類です。本DPAで定義されていない定義語は、当該利用規約において定義される意味を有します。

目的および期間。
1.1. 目的。本DPAは、本契約に関連する顧客個人データの処理に関して、データ保護法を遵守するという当事者間の合意を反映するものです。本DPAで明示的に定義されていないすべての定義語は、本契約に規定される意味を有するものとします。本DPAまたはその別紙の文言が本契約と矛盾する場合、その範囲において本DPAが優先するものとします。
1.2. 期間および存続。本DPAは、本契約の効力発生日、または本契約の効力発生日後に本DPAが締結された場合は当事者が本DPAに署名した日付をもって法的拘束力を生じるものとします。プロバイダーは、本契約に定めるとおりに関係が終了するまで、顧客個人データを処理するものとします。
定義。 本DPAの目的において、以下の用語および本DPAの本文内で定義される用語が適用されます。
2.1. 「顧客個人データ」とは、プロバイダーが顧客に代わって処理する個人データである顧客データを意味します。
2.2. 「データ保護法」とは、顧客個人データが適用を受ける、適用可能なプライバシーおよびデータ保護に関する法律、規則、規制を意味します。「データ保護法」には、2018年カリフォルニア州消費者プライバシー法（カリフォルニア州プライバシー権利法により改正）（「CCPA」）、EU一般データ保護規則 2016/679（「GDPR」）およびそれぞれの国内実施法、スイス連邦データ保護法、英国一般データ保護規則、および2018年英国データ保護法（それぞれ、随時改正、採択、または変更されるものを含みます）が含まれますが、これらに限定されません。
2.3. 「個人データ」とは、適用されるデータ保護法の下で「個人データ（personal data）」または「個人情報（personal information）」という用語に割り当てられた意味を有します。
2.4. 「処理」または「処理すること」とは、自動的な手段によるものであるか否かを問わず、収集、記録、組織化、構造化、保存、修正もしくは変更、復元、参照、送信による開示による利用、伝達、その他の方法による提供、整列もしくは結合、制限、消去、または破棄など、個人データまたは個人データのセットに対して実行される操作または一連の操作を意味します。
2.5. 「セキュリティインシデント」とは、プロバイダーに起因する、顧客個人データの偶発的もしくは不法な破壊、紛失、改ざん、不正開示、またはアクセスにつながるセキュリティの侵害を意味します。
2.6. 「サブプロセッサー」とは、プロバイダーが顧客個人データを処理するために採用したベンダーを意味します。
顧客個人データの処理条件。
3.1. 書面による指示。プロバイダーは、本契約および当事者間で合意された指示に従って、クラウドサービスを提供するために顧客個人データを処理するものとします。
3.2. サブプロセッサーの使用許可。顧客は、プロバイダーがサブプロセッサーを採用することを承認します。顧客は、サブプロセッサーがさらにベンダーを採用する場合があることを了承するものとします。
3.3. プロバイダーおよびサブプロセッサーのコンプライアンス。プロバイダーは、(i) 本DPAと整合性のある、顧客個人データのデータ保護要件を当該サブプロセッサーに課す書面による契約をサブプロセッサーと締結するものとし、(ii) 顧客個人データの処理に関する義務をサブプロセッサーが履行しなかった場合、顧客に対して引き続き責任を負うものとします。
3.4. サブプロセッサーに対する異議申し立ての権利。データ保護法で義務付けられている場合、プロバイダーは、顧客がクラウドサービスにログインした際にアクセス可能な通知および/または文書内で通知することにより、新しいサブプロセッサーを採用する前に顧客に通知するものとします。プロバイダーは、新規サブプロセッサーの通知がプロバイダーの顧客ベースに最初にアクセス可能になった日から10日間（「異議申立期間」）、顧客が新しいサブプロセッサーに異議を申し立てることを認めます。顧客が異議申立期間内に新しいサブプロセッサーの選定に対して正当な異議を提起した場合、当事者は異議の理由を解決するために誠意を持って協力するものとします。
3.5. 守秘義務。顧客個人データの処理を許可された者は、守秘義務に従うか、当該情報の機密性を維持することに契約上同意するか、または適切な法的守秘義務を負わなければなりません。
3.6. 個人データに関する問い合わせおよび要求。データ保護法で義務付けられている場合、プロバイダーは、データ保護法に基づいて顧客個人データに付与された権利を行使する個人からの要請に関して、合理的な支援を提供し、顧客からの合理的な指示に従うことに同意します。
3.7. データ保護評価、データ保護影響評価、および事前相談。データ保護法で義務付けられている場合、プロバイダーが実行する処理のタイプについて、顧客の判断により、データ保護評価、データ保護影響評価、および/または関連するデータ保護当局との事前相談が必要とされる場合、プロバイダーは顧客に対して合理的な支援および情報を提供することに同意します。
3.8. 実証可能なコンプライアンス。プロバイダーは、顧客からの合理的な要求に応じて、本DPAへの準拠を証明するために合理的に必要な情報を提供することに同意します。
3.9. カリフォルニア州特別条項。プロバイダーによる顧客個人データの処理がCCPAの適用を受ける範囲において、本セクションも適用されるものとします。顧客は、本契約および本DPAに従ってプロバイダーが顧客にクラウドサービスを提供するという限定的かつ特定の目的のために、顧客個人データをプロバイダーに開示またはその他の方法で利用可能にします。プロバイダーは以下を行うものとします。(i) CCPAに基づく適用可能な義務を遵守すること、(ii) CCPAで要求されるのと同じレベルの保護を提供すること、(iii) CCPAに基づく義務を満たすことができなくなった場合は顧客に通知すること、(iv) 顧客個人データを「販売」または「共有」（これらの用語はCCPAで定義されているとおり）しないこと、(v) 本契約に基づいてクラウドサービスを提供すること、またはCCPAで別途許可されていること以外の目的（商業目的を含みます）で顧客個人データを保持、使用、または開示しないこと、(vi) 顧客とプロバイダーとの間の直接的な取引関係の範囲外で顧客個人データを保持、使用、または開示しないこと、(vii) CCPAで別途許可されている場合を除き、プロバイダーが (a) 他の人物から、またはその代理として受け取った個人データ、または (b) プロバイダー独自の独立した消費者とのやり取りから収集した個人データと、顧客個人データを統合しないこと。顧客は、以下を行うことができます。(1) プロバイダーが顧客のCCPA義務と整合する方法で顧客個人データを処理することを確実にするために、当事者間で合意された合理的かつ適切な措置を講じること、および (2) 通知を行った上で、プロバイダーによる顧客個人データの不正な処理を停止および是正するために、当事者間で合意された合理的かつ適切な措置を講じること。
3.10. 集約および匿名化。プロバイダーは、以下を行うことができます。(i) クラウドサービスの提供に関連して、顧客または顧客個人データが関連するデータ主体を識別するために合理的に使用できないことを条件として、集約および/または匿名化された情報を編集すること（「集約および/または匿名化データ」）、および (ii) 合法的なビジネス目的のために集約および/または匿名化データを使用すること。
情報セキュリティプログラム。プロバイダーは、別紙Aに従って、顧客個人データを保護するために設計された合理的な管理上、技術上、および物理的な保護措置を導入し、維持するものとします。
セキュリティインシデント。セキュリティインシデントを認識した時点で、プロバイダーは、不当な遅延なく、またデータ保護法の下で要求される時間枠内に、顧客の注文書または顧客のユーザーアカウントから顧客が提供したメールアドレス宛てに、電子メールで書面による通知を提供することに同意します。可能な場合、当該通知には、顧客が管轄当局またはセキュリティインシデントの影響を受ける個人への独自の通知義務を遵守するために、データ保護法の下で必要なすべての利用可能な詳細情報が含まれるものとします。
顧客個人データの国境を越えた移転。

6.1. 顧客個人データの国境を越えた移転。顧客は、プロバイダーおよびそのサブプロセッサーが、欧州経済領域、スイス、および/または英国から米国を含む、国境を越えて顧客個人データを移転することを承認します。
6.2. EEA、スイス、および英国の標準契約条項。欧州経済領域、スイス、および/または英国を起源とする顧客個人データが、適用されるデータ保護法に基づき適切なレベルの保護を提供していると認められていない国のプロバイダーに顧客によって移転される場合、当事者は、その移転が、本DPAに添付され、参照により本契約に組み込まれる別紙Bによって補完される、欧州議会および理事会の規則 (EU) 2016/679 に基づく第三国への個人データの移転に関する標準契約条項に関する2021年6月4日の委員会実施決定 (EU) 2021/914 の付属書におけるモジュール2の義務（「標準契約条項」）によって規律されることに同意します。注文書への各当事者の署名は、標準契約条項が本契約の下で適用される範囲において、標準契約条項への署名とみなされるものとします。
監査および評価。データ保護法によって顧客に監査または評価の権利が付与されている場合、顧客（またはその指定された代理人）は、顧客個人データの処理に関連するプロバイダーのポリシー、手続き、および記録の監査または評価を実施することができます。監査または評価は、(i) プロバイダーの通常の営業時間内に実施され、(ii) プロバイダーに対して合理的な事前通知を行い、(iii) プロバイダーの業務への不必要な混乱を防ぐ方法で実施され、(iv) 合理的な秘密保持手続きに従うものとします。さらに、顧客個人データの処理を管轄する政府当局の指示により実施される場合を除き、監査または評価は年に1回に限定されるものとします。
顧客個人データの削除。本契約の満了または終了時に、当事者間で別途合意がない限り、プロバイダーは、適用法に基づきコピーを保持することが義務付けられている場合を除き、すべての顧客個人データを削除するものとします（プロバイダーのデータ保持スケジュールに従って削除されるバックアップまたはアーカイブコピーを除きます）。この場合、プロバイダーは、適用法により義務付けられている範囲を除き、その後の処理から当該顧客個人データを隔離し、保護するものとします。
顧客の義務。顧客は、(i) 自らがデータ保護法を遵守しており、今後も遵守すること、および (ii) 本契約に従ったプロバイダーによる顧客個人データの処理がデータ保護法に違反せず、また顧客と第三者との間のいかなる合意または義務の違反も引き起こさないことを表明し、保証します。
処理の詳細。
10.1. 目的。処理の目的は、本契約に基づくクラウドサービスです。
10.2. 期間。処理は、本契約の満了または終了まで継続します。
10.3. データ主体のカテゴリー。本契約に基づいて顧客個人データが処理されるデータ主体。
10.4. 処理の性質および目的。プロバイダーによる顧客個人データの処理の目的は、クラウドサービスの履行です。
10.5. 顧客個人データの不特定多数の種類。本契約に基づいて処理される顧客個人データ。
アカウントデータ。プロバイダーは、https://www.twelvelabs.io/privacy-policy （随時更新されるものを含みます）で入手可能なプライバシーポリシーに従って、顧客が授権したユーザーによるクラウドサービスの利用に関する個人データ（「アカウントデータ」）を処理する場合があります。アカウントデータは顧客データではありません。

DPA別紙A

情報セキュリティ基準

本別紙Aは本DPAの一部を構成します。本別紙Aで定義されていない定義語は、本DPAにおいて定められた意味を有します。

プロバイダーは、顧客個人データを保護するために設計された合理的な管理上、技術上、および物理的な保護措置を導入し、維持するものとします。当該保護措置には、以下のものが含まれます。

情報セキュリティ方針。プロバイダーは、書面による情報セキュリティ方針を維持するものとします。
セキュリティリーダーシップ。プロバイダーは、情報セキュリティの管理を担当する1名以上の従業員を任命しています。
バックグラウンドチェック。適用法で許可されている場合、プロバイダーは採用プロセスの一環として新規従業員に対して身元調査を実施します。
守秘義務。顧客個人データへのアクセス権を持つプロバイダーの人員は、守秘義務を負います。
トレーニング。プロバイダーは、すべての従業員に対して毎年情報セキュリティ意識向上トレーニングを提供します。
アクセス制御。プロバイダーは、顧客個人データへの資格を必要最小限（Need-to-Know）の従業員およびサブプロセッサーに制限します。
暗号化。必要に応じて、顧客個人データは、業界標準の暗号化技術を使用して、送信中および保管中に暗号化されるものとします。
マルウェア対策。プロバイダーは、悪意のあるコードやウイルスから保護するために設計された、従業員のワークステーション向けの最新のマルウェア防止対策を維持します。
ホスティングセキュリティ。プロバイダーは主にGoogle Cloud PlatformおよびAmazon Web Servicesを使用して、顧客個人データをホストします。Google Cloud Platformのセキュリティ対策に関する詳細については、以下をご覧ください：https://cloud.google.com/security/compliance。 Amazon Web Servicesのセキュリティ対策に関する詳細については、以下をご覧ください：https://aws.amazon.com/compliance/programs/。
多要素認証。プロバイダーの人員は、顧客個人データをホストする主要なシステムおよびアプリケーションにアクセスするために、多要素認証を使用する必要があります。
論理的分離。プロバイダーは、顧客個人データがプロバイダーの他のクライアントデータから論理的に分離されていることを確実にします。
インシデント対応計画。プロバイダーは、インシデント対応計画を維持します。
顧客個人データのバックアップ。プロバイダーは、業界標準のバックアップシステムおよび顧客個人データのバックアップを維持します。

DPA別紙B

標準契約条項の補足条項

本別紙Bは本DPAの一部を構成し、標準契約条項を補足するものです。本別紙Bで定義されていない定義語は、本DPAにおいて定められた意味を有します。

当事者は、以下の条件が標準契約条項を補足することに同意します。

補足条項。当事者は以下に同意します。(i) 新しい第1条(e)が標準契約条項に追加され、次のように読み替えるものとします。「本契約に基づいて適用される範囲において、本条項は、スイス連邦データ保護法の対象となる個人データの当事者による処理に対しても、準用して適用されるものとします。適用可能な場合、EU加盟国の法律またはEUの監督当局への言及は、スイス連邦データ保護法の対象となる個人データの移転に関連するスイス法の下での適切な言及を含むように修正されるものとします。」、(ii) 新しい第1条(f)が標準契約条項に追加され、次のように読み替えるものとします。「本契約に基づいて適用される範囲において、本条項は、別紙IIIによって補完されるように、英国データ保護法（別紙IIIにおいて定義）の対象となる個人データの当事者による処理に対しても、準用して適用されるものとします。」、(iii) 第7条の任意の文言は削除されます、(iv) 第9条のオプション1は削除され、オプション2が維持されます。データ輸入者は、本DPAのセクション3.4に従って新しいサブプロセッサーについてデータ輸出者に通知しなければなりません、(v) 第11条の任意の文言は削除されます、および (vi) 第17条および第18条において、準拠法および管轄裁判所は、アイルランド（EEA移転の場合）、スイス（スイス移転の場合）、またはイングランドおよびウェールズ（英国移転の場合）のものとします。
別紙I。標準契約条項の別紙Iは、次のとおりとする。

A. 当事者一覧

データ輸出者：顧客。

住所：本契約の通知セクションに規定されるとおり。

連絡担当者の氏名、役職、および連絡先の詳細：本契約の通知セクションに規定されるとおり。

本条項に基づいて移転されるデータに関連する活動：クラウドサービス。

役割：管理者。

データ輸入者：プロバイダー。

住所：本契約の通知セクションに規定されるとおり。

連絡担当者の氏名、役職、および連絡先の詳細：本契約の通知セクションに規定されるとおり。

本条項に基づいて移転されるデータに関連する活動：クラウドサービス。

役割：処理者。

B. 移転の説明：

個人データが移転されるデータ主体のカテゴリー：顧客によってクラウドサービスにアップロードされる顧客個人データに含まれるデータ主体。

移転される個人データのカテゴリー：顧客によってクラウドサービスにアップロードされる顧客個人データ内に存在する画像、動画、およびその他のコンテンツ。

移転される機微データ（該当する場合）、および目的の厳格な制限、アクセス制限（専門トレーニングを受けたスタッフのみへのアクセス制限を含む）、データへのアクセス記録の保持、再移転の制限、または追加の安全対策など、データの性質および関連するリスクを十分に考慮した適用される制限または保護措置：顧客によってクラウドサービスにアップロードされる顧客個人データに存在する画像または動画に含まれる機微データ。機微データは、別紙Aに規定される保護措置の対象となります。

移転の頻度（データの移転が単発的に行われるか、継続的に行われるか等）：個人データは、クラウドサービスの標準的な機能に従って、または当事者間で別途合意されたとおりに移転されます。

処理の性質：クラウドサービス。

データ移転およびその後の処理の目的：クラウドサービス。

個人データが保持される期間、またはそれが不可能な場合は、その期間を決定するために使用される基準：データ輸入者は、DPAに従って個人データを保持するものとします。

（サブ）プロセッサーへの移転については、処理の目的、性質、および期間も明記すること：上記で特定された目的、性質、および期間。

C. 管轄監督機関：第13条によって義務付けられている監督機関。第13条によって監督機関が義務付けられていない場合は、アイルランドデータ保護委員会（DPC）とし、これが不可能な場合は、第13条に規定される条件と一致する方法で当事者間において別途合意されるものとします。

D. 明確化条項：当事者は以下に同意します。(i) 条項の第8.5条および第16条(d)で要求される削除の証明書は、データ輸出者の書面による要請に応じて提供されるものとします、(ii) 条項の第8.6条(c)に基づいてデータ輸入者が講じる義務がある措置は、データ輸入者の影響を受けたシステムのみを対象とするものとします、(iii) 条項の第8.9条に規定される監査は、本DPAのセクション7に従って実施されるものとします、(iv) 条項の第14条(f)および第16条(c)により想定される解除権は、条項の解除に限定されるものとします、(v) データ輸入者が別途指定しない限り、データ輸出者は、条項の第15.1条(a)に従ってデータ主体と連絡を取る責任を負うものとします、および (vi) 条項の第15.1条(c)の下で要求される情報は、データ輸出者の書面による要請に応じて提供されるものとします。