Need pharma insights? Register for Evaluate Discovery

検索
Close this search box.
検索

1.定義

a. 「適切な国」とは、EUおよび英国のデータ保護法に基づき、個人データが適切に保護されていると認められている国または地域を意味します。
b. 「契約」とは、ライセンス商品およびサービスの提供を規定する、お客様とサプライヤーとの間の契約を意味します。
c. 「契約個人データ」とは、ライセンス製品およびサービスに関連して、本契約に基づき、一方の当事者が他方の当事者に提供または利用可能となる個人データを意味します。 このような情報は、データ対象者の以下のカテゴリーに関連します;
i. お客様の従業員、請負業者、代理人;
ii. サプライヤーがライセンス製品を通じてお客様に提供する個人データには、医療従事者に関する個人データが含まれる場合があります;
d. 「お客様の個人データ」とは、本契約に基づき、ライセンス製品およびサービスに関連して、お客様のためにサプライヤーが処理する個人データを意味します。
e. “データ保護法 “とは、個人データの処理に関する自然人の保護および当該データの自由な移動に関するEU規則2016/679(”GDPR”)、EU e-プライバシー指令(指令2002/58/EC)(”e-プライバシー指令”)(以下、総称して “EUデータ保護法 “という、「EUデータ保護法」)、2018年英国欧州連合(離脱)法第3条および2018年英国データ保護法(総称して「英国データ保護法」)により英国法の一部を構成するGDPR、およびカリフォルニア州プライバシー権法によって修正されたものを含むカリフォルニア州消費者プライバシー法(「CCPA」)など、米国で適用され制定されたすべての法律が適用されます。
f. 「個人データ」、「管理者」、「処理者」、「サブ処理者」、「データ主体」、および「監督機関」は、データ保護法に基づく意味を有します。
g. 「処理」とは、収集、記録、整理、構造化、保存、適応または変更、検索、協議、使用、送信による開示、普及またはその他の方法で利用可能にすること、整列または結合、制限、消去または破壊など、自動化された手段であるか否かを問わず、個人データまたはそのサブセットに対して実行される操作または一連の操作を意味します。
h. 「個人データの漏えい」とは、偶発的または違法な個人データの破壊、紛失、改ざん、不正な開示、または個人データへのアクセスにつながるセキュリティ違反を意味します。
i. 「目的」とは、サプライヤーによるお客様へのライセンス商品およびサービスの提供を意味します。
j. 「制限された移転」とは、データ保護法により個人データの移転が禁止されている国または地域への個人データの移転、またはデータ保護法により個人データの移転が合法であるために個人データを適切に保護するための追加的な措置を講じることを要求される個人データの移転を意味します。
k. 「EU標準契約条項」とは、2021年6月4日付の欧州委員会実施決定(EU)2021/914により承認され、現在https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en。
l. 「EU委員会標準契約条項に対する英国国際データ移転補遺」または「英国補遺」とは、英国情報コミッショナーが制限付き移転を行う当事者向けに発行した補遺を意味し、現在https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf。

2.両当事者の役割

a. 各当事者は、本契約に基づいて処理する契約個人データの独立した管理者です。 各当事者は、データ保護法に基づき管理者として適用される義務を遵守する責任を、個別かつ個別に負うものとします。
b. サプライヤーは、お客様に代わってお客様の個人データを処理するものとします。 両当事者は、サプライヤーが処理者であり、顧客が顧客個人データの管理者であることに同意するものとします。

3.両当事者の義務

3.1 契約個人データ

a. 各当事者は

i. 合意個人データは、データ保護法に基づき、適法性、公正性、透明性、目的の限定、データの最小化、正確性、保存の制限、およびセキュリティの原則を含むがこれらに限定されない、それぞれの義務に従って処理されるものとします;
ii. 契約個人データの処理に関する十分な透明性を確保するために、データ保護法に基づき要求される情報をデータ対象者に提供すること;
iii. 不正、偶発的、または違法なアクセス、損失、開示、または破壊から契約個人データを保護するために、適切な技術的および組織的対策を実施します;
iv. 合意個人データの処理に関して監督当局から受領した照会、苦情、通知、またはその他の連絡の合理的な詳細を相手方当事者に提供し、相手方当事者に合理的に協力して対応すること;
v. データ保護法に基づく自らの義務を遵守できるようにするため、相手方当事者が合理的に要求する情報および支援を合理的に提供するよう行動すること;
vi. データ対象者がその権利を行使するための独自の要求を処理する。 当事者間で共有される個人データの処理に対するデータ主体からの、またはデータ主体の代理からの要求に関して、当事者はそのような異議またはオプトアウト要求を尊重するために協力します;
vii. 同意の個人データを処理する権限を付与された者が、適切な守秘義務(契約上の義務であれ、法的義務であれ)の下にあることを保証すること;
viii. 契約個人データの処理に使用される処理業者との間で、本データ保護規約と少なくとも同レベルのデータ保護義務を含む書面による契約を締結し、データ保護法に従って契約個人データを保護すること。 サプライヤーは、以下の目的のために契約個人データを開示することがあります。 (i) セキュリティ、不正検知、不正モデリングおよび関連目的。 (ii) サプライヤーに対するウェブサイト、アプリケーション、開発、クラウドホスティング、メンテナンスおよびその他のサービスの提供。 サプライヤーは、提供する契約個人データを合理的に必要なものに限定します;
ix. 当該処理者が本「データ保護条件」に含まれる義務を遵守すること、および当事者が本「データ保護条件」に基づく義務に違反する原因となる当該処理者の作為または不作為について、引き続き責任を負うものとします;
x. 契約個人データに関する個人データ漏えいが発生した場合、過度な遅滞なく、ただしいかなる場合であっても48時間以内に相手方当事者に通知するものとします。 両当事者は、個人データ漏えいの影響を緩和または是正するために必要な措置に合意し、これを講じるために誠意をもって協力するものとします。 本契約のいかなる規定も、通知する当事者が他方の当事者に過度の遅滞なく通知を行う限りにおいて、一方の当事者が他方の当事者に通知する前に、データ保護法により要求される可能性のある規制当局に個人データ侵害の通知を行うことを禁止するものではありません;
xi. 欧州経済地域(「EEA」)、EU、または英国内の個人に関連する「契約個人データ」の範囲内で、以下の場合を除き、相手方当事者から受領した個人データをEEA、EU、または英国外に移転しないこと;
– 移籍先は適正な国である;
– GDPR第46条に基づき、適切な保護措置が講じられていること;
– 拘束力のある会社規則がある。
– GDPR第49条の特定状況に対する適用除外のいずれかが移転に適用されます。
b. 本契約に基づき本契約個人データを他方の当事者に提供した当事者(以下「開示当事者」といいます)は、以下の権利を有します: (i) 当該相手方当事者(「受領当事者」)が、データ保護法に基づく開示当事者の義務に合致する方法で、かつデータ保護法によって要求される方法で、当該契約個人データを使用することを確保するために、合理的かつ適切な措置を講じること。 (ii) 合理的な書面による事前通知を受け、データ保護法に基づき、当該契約個人データの不正使用を停止し、是正するための合理的かつ適切な措置を講じること。 受領当事者は、データ保護法に基づく義務を果たすことができなくなったと判断した場合、開示当事者に通知します。

3.2 顧客の個人データ
a. サプライヤーが本契約に関連して顧客の個人データを処理する場合、サプライヤーは以下を行います;
i. 第三国または国際組織への個人データの移転に関しても含め、お客様の書面による指示に基づき、本契約に基づく義務の履行に必要な場合、または適用法により要求される場合にのみ、お客様の個人データを処理するものとします(ただし、当該法律が公益上の重要な理由でこれを禁止している場合を除き、サプライヤーは、処理前にまずお客様に当該法的要件を通知するものとします);
ii. お客様の個人データを処理する権限を付与された者が、適切な守秘義務(契約上の義務であるか法定義務であるかを問わない)の下にあることを保証すること。不正または違法な処理(お客様の個人データの不正または違法な開示、アクセス、および/または改ざんを含むがこれらに限定されない)に対する保護、および偶発的な損失、破壊または損傷に対する保護を含むお客様の個人データの安全性を確保し、お客様の個人データの処理がデータ保護法の要件を満たし、データ対象者の権利の保護を確保するために、あらゆる適切な技術的および組織的措置を維持すること。 このような措置は常に、業界標準のセキュリティおよびデータ保護法の遵守を保証するものとします;
iii. 処理の性質を考慮し、データ主体の個人データへのアクセス権、修正権、消去権、およびポータビリティを含むがこれらに限定されない、GDPR第3章に規定されるデータ主体の権利行使の要求に応じる顧客の義務の履行について、可能な限り、適切な技術的および組織的措置により顧客を支援すること(誤解を避けるため、サプライヤーはデータ主体の権利を満たす顧客の義務を満たすために顧客を支援し、可能にするのみであり、サプライヤーがデータ主に直接対応することはない);
iv. お客様の書面による一般的な許可なしに、サブプロセッサーを雇用せず、お客様の個人データをサブプロセッサーまたは第三者サービスプロバイダーに転送および/または開示しないこと。 サプライヤーは、認可を受けたすべてのサブプロセッサーと、本データ保護規約に規定されたものと少なくとも同レベルの保護を提供する義務を含む書面による契約を締結し、サプライヤーは、当該サブプロセッサーの履行について顧客に対する責任を負うものとします。 サプライヤーは、以下の目的のため、お客様の個人データをサブプロセスに開示することがあります。 (i) セキュリティ、不正検知、不正モデリングおよび関連目的。 (ii) サプライヤーに対するウェブサイト、アプリケーション、開発、クラウドホスティング、メンテナンス、およびその他のサービスの提供。ただし、サプライヤーは、提供するお客様の個人データを合理的に必要なものに限定するものとします;
v. 該当する範囲において、データ保護法に従い、プライバシー影響評価、データ保護影響評価、またはGDPR第35条(データ保護影響評価)および第36条(事前協議)に基づく事前協議に参加し、あらゆる合理的な支援を提供すること;
vi. お客様の選択により、処理に関連するサービスの提供終了後、すべてのお客様の個人データを削除または返却し、適用される法律により個人データの保存が義務付けられている場合を除き、既存のコピーを削除します;
vii. 本データ保護規約の遵守を証明するために必要なすべての情報をお客様に提供し、管理者または管理者の委任を受けた別の監査人が実施する検査を含む監査を許可し、これに貢献すること;
viii. お客様の個人データに関する個人データ漏えいが発生した場合、過度な遅滞なく、ただしいかなる場合も48時間以内にお客様に通知するものとします。 サプライヤーは、個人データ漏えいの影響を軽減または是正するために必要な措置に合意し、これを講じるため、誠意をもってお客様と協力するものとします。 本規約のいかなる規定も、サプライヤーが、不当に遅延することなく顧客に通知する限り、データ保護法により要求される可能性のある規制当局への個人データ侵害の通知を、顧客への通知に先立って行うことを禁止するものではありません;
ix. 顧客個人データの処理がCCPAの対象となる限りにおいて、そうでない場合: (i) 本契約に規定されている場合、ライセンス製品およびサービスを提供するために必要な場合、またはデータ保護法で認められている場合を除き、お客様の個人データを保持、使用または開示すること; (ii) 顧客の個人データを、他の顧客または個人に関連する個人データと組み合わせること(データ保護法で認められている場合を除く)。 (iii) お客様の個人データを販売または共有すること(これらの用語はデータ保護法で定義されています)。

4.国際送金

4.1 契約個人データ
a. 両当事者間の契約個人データの移転がEUデータ保護法上の制限付き移転に該当する限りにおいて、両当事者はここに、参照により本契約に組み込まれるEU標準契約条項のモジュール1を締結し、以下の通りとする;
i. 第7条では、オプションのドッキング条項が適用される;
ii. 第11節のオプションの文言は削除される;
iii. 第17条および第18条において、標準契約条項の準拠法および紛争地はオランダ法とする。
iv. 本データ保護規約の付属書1の表に含まれる情報は、EU標準契約条項の付属書に適宜入力されるものとする。
b. 両当事者間の契約個人データの移転が英国データ保護法上の制限付き移転に該当する範囲において、両当事者はここに、EU委員会標準契約条項に対する英国国際データ移転補遺を締結するものとし、同補遺は参照により本契約に組み込まれるものとし、以下のとおりとする;
i. 英国補遺の表1、表2および表3は、本データ保護規約の付属文書に記載された情報により記入されたものとみなされ、表4は「いずれの当事者でもない」を選択することにより記入されたものとみなされます;
ii. EU標準契約条項と英国追補条項の間に矛盾がある場合は、英国追補条項の第10項および第11項に従って解決される。

4.2 顧客の個人データ
a. サプライヤーによる顧客個人データの処理がEUデータ保護法上の制限付き移転に該当する範囲において、両当事者はここに、参照により本契約に組み込まれるEU標準契約条項のモジュール2を締結し、以下の通りとします;
i. 第7条では、オプションのドッキング条項が適用される;
ii. 第9条のオプション2が適用され、サブプロセッサの変更は本データ保護規約の付属書2に従って通知されます;
iii. 第11節のオプションの文言は削除される;
iv. 第 17 条および第 18 条において、標準契約条項の準拠法および紛争地は、お客様が決定するものとします。
v.本データ保護規約の付属書1の表に含まれる情報は、それに従ってEU標準契約条項の付属書に入力されるものとする。
b. サプライヤーによる顧客個人データの処理が英国データ保護法上の制限付き移転に該当する範囲において、両当事者は、EU委員会標準契約条項に対する英国国際データ移転補遺を締結するものとし、当該条項は参照により本契約に組み込まれるものとし、以下のとおりとします;
i. 英国補遺の表1、表2および表3は、本データ保護規約の付属文書に記載された情報により記入されたものとみなされ、表4は「いずれの当事者でもない」を選択することにより記入されたものとみなされます;
ii. EU標準契約条項と英国追補条項の間に矛盾がある場合は、英国追補条項の第10項および第11項に従って解決される。

5.責任の制限

データ保護法に基づき、サプライヤーが貢献したデータ保護法違反の結果、顧客がデータ対象者に支払った補償金をサプライヤーに請求する権利を顧客が有する範囲において、サプライヤーは、関連するデータ対象者に生じた損害に対する責任に関連する金額についてのみ責任を負うものとします。

附属書1 標準契約条項情報

データエクスポーター データインポーター SCCモジュール 個人データが移転されるデータ主体の分類 移転される個人データの分類 機密データの転送 転送の頻度(例えば、データが単発的に転送されるのか、継続的に転送されるのか) 加工の性質 データ転送とさらなる処理の目的 個人データの保存期間、またはそれが不可能な場合は、その期間を決定するために使用した基準
サプライヤー お客様 モジュール1 ライセンス製品を通じてサプライヤーがお客様に提供する個人データ;

– 投資家またはメディア関係者

– 製薬会社の連絡先

– 治験責任医師および治験関係者

– 企業のウェブサイトや直接提出された連絡先情報

個人情報には、氏名、勤務先電話番号、勤務先メールアドレス、役職が含まれます。 該当なし 契約期間中継続 本契約に基づくサービスの提供 許諾商品およびサービスの内容において、お客様に提供されること。 契約期間中