Connect

このデータ処理に関する付属合意書(以下「付属合意書」)は、PubMatic, Inc.(以下「PubMatic」)と下記の署名欄に記載された当事者(以下「パブリッシャー」)の間で締結され、本付属合意書の主題に関連する当事者間の「パブリッシャーによるConnectの利用に関する付属合意書」(以下「合意書」)の一部を構成します。

本付属合意書に書かれた条件は、EUデータ保護法によって保護もしくは規制されたオーディエンスデータ内の個人データを、PubMaticが収集もしくは処理する範囲のみに適用されます。本付属合意書で強調表記された用語は、本付属合意書中に別途定めのない限り、合意書の本文で与えられたものと同じ意味を持つものとします。

以下のように合意します:

  1. 定義
    1. デマンドパートナー」とは、PubMaticのメディアバイイングパブリッシャーを意味し、デマンドサイドプラットフォーム、アドエクスチェンジ、エージェンシー、エージェンシー・トレーディングデスク、アドネットワーク、合意書の第10条第8項に記載されたPubMaticの顧客を含みますが、これらに限定されるものではありません。
    2. 欧州」とは、本付属合意書の目的において、欧州経済圏(EEA)および/またはその加盟国、スイス、英国を意味します。
    3. 「EUデータ保護法」とは、(i)『EU一般データ保護規則(規則 2016/679)(以下「GDPR」)』、(ii)『EU eプライバシー指令(指令2002/58/EC)』、(iii)『(i)もしくは(ii)の下で、または(i)もしくは(ii)に従って制定されたすべての国内法』、(iv)『1992年6月19日に制定されたスイス連邦データ保護法および付随する規則(以下「スイスDPA」)』、(v)『英国に関しては、2018年欧州連合(離脱)法第3条および2018年データ保護法に基づき、英国法の一部を構成するGDPR(以下総称して「英国プライバシー法」)』(いずれも、優先条項、修正条項、代替条項がある場合はそちらを優先します)を含む、欧州で制定されたすべてのデータ保護およびプライバシーに関する法律および規制を意味します。
    4. 個人データ」とは、適用されるEUデータ保護法の下で当該情報が個人データとして保護される範囲において、特定された、もしくは特定可能な個人に関するあらゆる情報を意味します。
    5. プライバシー要件」とは、データの保護とプライバシーに関する国際的な、あるいは連邦、国または州による法律、規制および業界の自主規制、規定、ガイドラインであって、EUデータ保護法によって保護される(個人データを含む)データの処理について、パブリッシャー、PubMaticおよびデマンドパートナーに適用されるすべてのものを意味します。これには、(i)『欧州インタラクティブ・デジタル広告アライアンス(EDAA)の規則、規定、ガイドライン』、(ii)『ネットワーク広告イニシアティブ(NAI)の規則、規定、ガイドライン』、(iii)『EUデータ保護法』(いずれも、優先条項、修正条項、代替条項がある場合はそちらを優先します)が含まれますが、これらに限定されるものではありません。
    6. PubMatic製品」とは、合意書内で定められたものと同じ意味を持つものとます。
    7. 標準契約条項」とは、https://ec.europa.eu/info/system/files/1_en_annexe_acte_autonome_cp_part1_v5_0.pdfにある2021年6月4日付の欧州委員会実施決定2021/914に付属する契約条項モジュール2(管理者から処理者)のうち、本付属合意書に適用され、履行されるものを意味します。
    8. 復処理者」とは、オーディエンス個人データにアクセス可能で、PubMaticがサービス提供義務の遂行支援を依頼している第三者を意味します。復処理者はPubMaticの関連会社を含む場合がありますが、PubMaticの従業員、委託業者、コンサルタントは除外するものとします。
    9. 英国付属合意書」とは、2018年英国データ保護法S119(A)に基づき、情報コミッショナー事務局が発行した国際データ移転付属合意書(バージョンB1.0)、および、その改訂版または修正版を意味します。
    10. 管理者」、「データ主体」、「処理」、「処理者」は、EUデータ保護法で定められたものと同じ意味を持つものとします
  2. 処理の範囲:パブリッシャーは、PubMatic製品に関して、本付属合意書の付属書1に詳述されたパブリッシャープロパティのエンドユーザーについての、またはそのユーザーに関連する(合意書内で定義された)オーディエンスデータ内の個人データ(以下「オーディエンス個人データ」)をPubMaticが受け取ることを認め、同意するものとします。
  3. 当事者の関係:当事者は、PubMaticが本付属合意書に従い、パブリッシャーの代理を務める処理者として(管理者として行動するか、第三者の管理者に代わる処理者として行動するかを問わず)、合意書に基づいてオーディエンス個人データを処理することを認めるものとします。合意書(本付属合意書を含む)のいかなる規定も、PubMaticがパブリッシャーによるPubMatic製品の使用とは無関係に収集、処理できるデータを収集または使用することを制限または阻止することはありません。
  4. データ保護。PubMaticは以下のように同意します:
    1. オーディエンス個人データの処理については、本付属合意書の付属書1に記載されています。
    2. PubMaticは、適用法に別段の定めがある場合を除き、本付属合意書および合意書に記載されている通り、合意書およびパブリッシャーの書面による合法的な指示に従い、PubMatic製品の提供のみを目的として、オーディエンス個人データの第三国への移転に関するものも含み、オーディエンス個人データを処理します。適用法に別段の定めがある場合、その法律がパブリッシャーへの情報提供を禁止していない限り、データ処理に先立ち、パブリッシャーに法的要件を通知するものとします。パブリッシャーの指示がEUデータ保護法に抵触すると判断した場合、PubMaticはパブリッシャーにその旨を通知します。
    3. PubMaticは、オーディエンス個人データの処理を許可されている人物が守秘義務を負っていること、あるいは、秘密の保持に関する適切な法的義務を負っていることを保証します。
    4. PubMaticは下記セクション5に定められた復処理者の任命条件を尊重します。
    5. PubMaticは、処理の性質を考慮し、EUデータ保護法に基づき、個人からのオーディエンス個人データへのアクセス、訂正、削除、異議申し立てなどの権利行使の要求に対応するため、パブリッシャーがその対応義務を履行できるよう、可能な限り、適切な技術的、組織的手段によってパブリッシャーを支援するものとします。
    6. PubMaticがデータ主体、規制当局、またはその他の第三者からオーディエンス個人データの処理に関する通知、問い合わせ、苦情を受けた場合、適用法によって阻止されない限り、パブリッシャーに速やかに通知し、その詳細を提供するものとします。適用法によって要求されない限り、パブリッシャーの許可がない場合(その許可を不当に保留、遅延することは認められません)、データ主体をパブリッシャーに紹介することを除き、PubMaticはそのような通知、問い合わせ、苦情に直接対応しません。また、パブリッシャーは、PubMaticがパブリッシャーに代わって対応する義務がないことに同意するものとします。
    7. パブリッシャーが、適用されるプライバシー要件によって、PubMatic製品に関するデータ保護影響評価を求められている場合、PubMaticは、当該評価に関連してパブリッシャーが合理的に要求するすべての情報を(機密扱いで)提供します。
    8. パブリッシャーの選択により、PubMaticはPubMatic製品の提供終了後、すべてのオーディエンス個人データを削除またはパブリッシャーに返却し、パブリッシャーの書面による要求に応じて、標準契約条項第8条5項および第16条(d)に記載の個人データ削除証明書をパブリッシャーに提供するものとします。
    9. PubMaticは本付属合意書の義務を順守していることを証明するため、合理的に必要とされるすべての情報を、パブリッシャーが提起する監査上の質問に対する書面による回答(当該監査は年1回を上限にパブリッシャーの負担で実施するものとします)を提供するなどの方法で、パブリッシャーが利用できるようにするものとします。
  5. 復処理:パブリッシャーはPubMaticに対し、以下の条件で、PubMatic製品の稼働に関して、オーディエンス個人データの処理を支援する復処理者を任命する一般的な権限を付与するものとします::パブリッシャーはPubMaticに対し、以下の条件で、PubMatic製品の稼働に関して、オーディエンス個人データの処理を支援する復処理者を任命する一般的な権限を付与するものとします:
    1. PubMaticは、復処理者が本付属合意書に定められているものと同一または実質的に同様の基準で、オーディエンス個人データのデータ保護条件に従うことを保証するものとします。
    2. PubMaticは、復処理者の作為、過失または不作為によって生じた本付属合意書のいかなる違反に対しても全責任を負うものとします。
    3. PubMaticはその時点における復処理者のリストを保持し、要求に応じてパブリッシャーに提供するものとします。
    4. PubMaticが復処理者の任命または交代を希望する場合、パブリッシャーに[10]日前までに通知するものとし、パブリッシャーは通知を受領後[5]日以内であれば、データ保護に関する合理的な根拠に基づき、任命または交代に異議を唱えることができるものとします。パブリッシャーが異議を唱えた場合、(i)PubMaticは提案された復処理者を使用してデータ処理を行わないものとし、または、(ii)これが不可能な場合、パブリッシャーはPubMaticに書面で通知し、都合による契約の解除を行うことができるものとします。
  6. データの移転:
    1. PubMaticが、EUデータ保護法によって保護されるオーディエンス個人データ、および/または欧州を出所とするオーディエンス個人データを欧州以外の国で処理する(もしくは処理させる)範囲において、PubMaticは第一に、EUデータ保護法の要求するところに従い、当該オーディエンス個人データが適切なレベルで保護されていることを保証するため、必要な全ての措置を講じるものとします。この目的のために、当事者は、PubMaticが標準契約条項に従い、当該オーディエンス個人データを処理することを認め、合意します。標準契約条項は以下のように本付属合意書に組み込まれ、その不可欠な部分を形成します:
      1. i)PubMaticは「データ輸入者」、パブリッシャーは「データ輸出者」と見なされます。(ii)第7条、オプションの結合条項が適用されます。(iv)第9条のオプション2が適用され、復処理者を変更する際の通知期間は、上記第5条で合意された通りとします。(iii)第11条では、オプションの文言は適用されません。(iv)第17条では、オプション1が適用され、標準契約条項は[オランダ]の法律に準拠するものとします。(v)第18条(b)では、紛争は[オランダ]の裁判所で解決されるものとします。(vi)標準契約条項の添付資料Iは、本付属合意書の付属書1に記載された情報を記入したものと見なされます。(vii)標準契約条項の添付資料IIは、本付属合意書の付属書2に記載された情報を記入したものと見なされます。
      2. 英国プライバシー法によって保護されているオーディエンス個人データの移転に関して、標準契約条項は、(i)上記(a)に従って記入したものが適用されます、(ii)英国付属合意書の記載通りに修正されたものと見なされ、当事者によって履行され、DPAの不可欠な部分を構成するものとします。また、英国付属合意書第1部の表1~3は、本付属合意書の付属書1および2に記載された情報をそれぞれ記入し、第1部の表4は、「いずれの当事者も」を選択することで記入されたものと見なされます。
      3. スイスDPAによって保護されているオーディエンス個人データの移転に関して、標準契約条項は、以下の修正を加えたうえで、上項(a)に従って適用されます。(i)「規則(EU)2016/679」への言及は、スイスDPAへの言及と解釈されます、(ii)「規則(EU)2016/679」の特定条項への言及は、スイスDPAの同等の条項に置き換えるものとします、(iii)「EU」、「連合」、「加盟国」、「加盟国の法律」への言及は、「スイス」または「スイスの法律」への言及に置き換えるものとします、(iv)「加盟国」という言葉は、スイスのデータ主体がその常居所(すなわちスイス)で権利を訴える可能性を排除するような形で解釈されないものとします、(v)第13条(a)および添付資料IのパートCは使用せず、「管轄監督機関」はスイス連邦データ保護コミッショナーとします、(vi)「管轄監督機関」および「管轄裁判所」への言及は、「スイス連邦データ保護コミッショナー」および「スイスの当該裁判所」への言及に置き換えるものとします、(vii)第17条では、標準契約条項はスイスの法律に準拠するものとします、(viii)第18条(b)では、紛争はスイスの当該裁判所で解決されるものとします。
    2. 標準契約条項の条件は以下の場合に適用されます。(a)オーディエンス個人データの移転に、(適用されるEUデータ保護法で)個人データの適切な保護を提供できると認められている国や地域の法律が適用されない場合、(b)『(データ輸入者としての)PubMaticおよびオーディエンス個人データの移転が、個人データの適切な保護または安全措置を提供できると関係機関または裁判所に認められている適切な枠組みまたは法的に適切な移転メカニズム(以下「適切なメカニズム」)の対象になっていない場合。適切なメカニズムが適用される場合、PubMaticはその適切なメカニズムに従い、オーディエンス個人データを処理することがあります。
  7. セキュリティー:個人の権利と自由に対するさまざまな可能性、重大性のリスクと共に、技術の現状、実施コスト、処理の性質、範囲、文脈、目的を考慮し、PubMaticは、本付属合意書の付属書2に記載されている通り、オーディエンス個人データを保護するため、適切な技術的、組織的セキュリティー対策を実施するものとします。具体的には、PubMaticが送信、保存、またはその他の方法で処理するオーディエンス個人データの偶発的または不法な破壊、紛失、改ざん、権限のない開示またはアクセス(以下「セキュリティーインシデント」)から保護します。セキュリティーインシデントが発生した場合、PubMaticはパブリッシャーに不当な遅延なく通知するものとします。
  8. 雑則:本付属合意書の条項と合意書の条項に矛盾が生じた場合、以下の文書の条項が優先されるものとします(優先される順に記載)。(a)『標準契約条項(該当する場合)』、(b)『本付属合意書』、(c)『合意書の本文』。本付属合意書は、その発効日より、合意書の一部となり、合意書に組み込まれます。本付属合意書で扱っている項目に関する事前の合意がある場合、その合意は本付属合意書によって修正され、差し替えられます。本付属合意書は、合意書の終了または満了後も存続するものとします。契約の終了または満了後、本付属合意書の要件およびプライバシー要件を順守することを条件に、PubMaticは処理を継続することがあります。本付属合意書は副本を作成することができ、各副本は原本と見なされますが、その全通を合わせて1つの合意書を構成します。本付属合意書は、認められた電子署名サービスを通じて締結、またはファクシミリ送信、または署名のうえ画像をスキャンして電子メールで送信することができます。いずれの署名も、該当するすべての目的のためのオリジナル署名として扱われるものとします。

別紙A—付属書1

処理/移転の内容

添付資料1(A):当事者一覧

データ輸入者:

名称:PubMatic, Inc.

担当者の氏名、役職、連絡先:データ保護責任者、連絡先dpo@pubmatic.com

移転されたデータに関連する活動:下記の添付資料1(B)をご参照ください。

署名と日付:本付属合意書をご参照ください。

役割(管理者/処理者):処理者

データ輸出者:

名称:合意書または本付属合意書で「パブリッシャー」とされている当事者。

担当者の氏名、役職、連絡先:合意書に記載の通り。

移転されたデータに関連する活動:下記の添付資料1(B)をご参照ください。

署名と日付:本付属合意書をご参照ください。

役割(管理者/処理者):管理者

添付資料1(B):処理/移転の内容

個人データが移転されるデータ主体のカテゴリー:

移転される個人データは、下記のカテゴリーのデータ主体に関するものです:

パブリッシャープロパティのエンドユーザー、または、PubMatic製品を通じて配信される広告を閲覧しているエンドユーザー。

移転される個人データのカテゴリー

移転される個人データは、下記のカテゴリーのデータに関するものです:

識別子:Cookie、モバイル広告識別子(IDFA、ADID、GPIDなど)、IPアドレス。

移転される機密データ(該当する場合)

移転される個人データは、下記のカテゴリーの機密データに関するものです:

移転の頻度

(例:データの移転が1度限りか継続的か)

継続的。

処理の性質、対象、期間

処理の性質および対象は、合意書に基づくPubMatic製品の提供です。

データ処理の期間は、合意書の契約条件に従って契約が終了するまでの期間と、契約の終了後、本付属合意書の条件に従ってPubMaticがオーディエンス個人データを削除するまでの期間です。

データ移転とさらなる処理の目的

移転の目的は下記の通りです:

合意書に基づき、PubMatic製品を提供するため。

個人データの保持期間、または保持が不可能な場合、その期間を決定するために使用された基準(該当する場合)。

期間を決定するために使用された基準:

パブリッシャーは本付属合意書の条件に従い、処理を目的とした保持期間を決定します。

添付資料1(C):管轄監督機関

新SCCの第13条に基づく管轄監督機関

管轄監督機関はGDPRに基づいて決定されます。

別紙B—付属書2

技術的、組織的なセキュリティー対策

PubMaticはパブリッシャー・サービス基本契約で当事者間で合意した、利用可能なセキュリティー対策を実施します。