発効日:2019年1月1日

この「デマンドパートナーのデータ処理に関する付属合意書」(以下「付属合意書」)は、PubMatic, Inc.(以下「PubMatic」)と署名欄に記載された当事者(以下「デマンドパートナー」)の間の契約書(以下に定義)の一部を構成します。本付属合意書内で強調表記された用語は、本付属合意書中に別途定めのない限り、契約書本文で与えられたものと同じ意味を持つものとします。

はじめに

A. PubMaticは、デジタル広告インベントリのオークション提供または購入の促進に関わるサプライサイドプラットフォーム、技術プラットフォームを提供します。デマンドパートナーとは、デジタル広告インベントリの購入に関わる技術プラットフォームまたは同様の技術を利用するデマンドサイドプラットフォーム、アドエクスチェンジ、エージェンシー、エージェンシー・トレーディングデスク、アドネットワークの提供者です。

B. PubMaticとデマンドパートナーは、1つもしくはそれ以上の関連する作業明細書、発注書または契約書(総称して「契約」)とともに主契約を締結しており、デマンドパートナーはその下で、PubMaticのデマンドサービス(以下「デマンドサービス」)を介してデジタル広告インベントリを購入できます。

C. PubMatic(およびそのパブリッシャークライアント)は、契約に基づくPubMaticの義務の履行に関連して、デマンドパートナーと共有することが望まれる個人データを管理します。

D. 関係当事者は、契約に基づいて個人データを共有する際、適用される個人情報保護法を遵守し、個人データが処理されるデータ対象者の基本的なデータ保護権を十分に尊重することを確認するために、本付属合意書を締結しました。

以下のように合意します:

  1. 定義:
    • 管理者」「処理者」「データ主体」「個人データ」「処理」(および「処理作業」)「特別カテゴリーの個人データ」とは、適用されるプライバシー法に定められた意味を持つものとします。
    • 適用されるプライバシー法」とは、適用可能なあらゆる個人情報保護法およびデータ保護法(適用される場合はEUデータ保護法を含む)を意味し、随時改正または代替される可能性があります。;
    • EUデータ保護法」とは、(i)2018年5月25日以前の『EUデータ保護指令(指令95/46/EC)』、(ii)2018年5月25日以後の『EU一般データ保護規則(規則 2016/679)』、(iii)『EU eプライバシー指令(指令2002/58/EC)』および(iv)『(i)(ii)(iii)の下で、または(i)(ii)(iii)に従って制定されたすべての国内法』を意味します。
    • プライバシーシールド」とは、米国商務省によって運用されるスイス―米国間および欧州-米国間のプライバシーシールドフレームワークを意味します。
    • プライバシーシールド原則」とは、2016年7月12日の欧州委員会決定 C(2016)4176の添付資料IIに含まれる(補足原則によって補足された)プライバシーシールドフレームワーク原則(優先条項、修正条項、代替条項が存在する場合もあります)を意味します。
  2. 処理の目的:契約に基づく義務を履行するにあたり、PubMaticはデマンドパートナーに一定の入札を要求し、デマンドパートナーはPubMaticに入札します。デマンドパートナーは、このような入札要求には個人データ(IPアドレスおよびその他一意的なデバイス識別子を含む)(以下「データ」)が含まれている可能性があることを認識しています。デマンドパートナーは、デマンドサービスを通じたパブリッシャー・インベントリの入札量を決定する目的(以下「許可された目的」)(または当事者が書面で合意した場合)にのみ、かかる個人データを処理します。
  3. 当事者の関係:当事者は、PubMaticがデマンドパートナーに開示するデータの管理者であることを認め、デマンドパートナーが許可された目的のために厳密に別個の独立した管理者としてデータを処理することを認めます。いかなる場合も、当事者が共同管理者としてデータを共同で処理することはありません。
  4. 法令遵守:各当事者は、適用されるプライバシー法の下で、管理者に適用される義務を遵守する責任を個別に負うものとします。各当事者は、上記に限定されることなく、適用されるプライバシー法の透明性開示要件を満たすプライバシーポリシーをウェブサイト上で一般公開し維持するものとします。
  5.  データの非開示:デマンドパートナーは、(i)『許可された目的のために必要な場合』、(ii)『契約に基づいて許可または要求された場合』、または(iii)『適用される法律によって要求された場合』を除き、PubMaticの事前の書面による同意なしに第三者にデータを開示することはありません。
  6. セキュリティー:デマンドパートナーは、(i)『偶発的または不法な破壊』、(ii)『データの紛失、改ざん、不正開示、または不正アクセス(以下「セキュリティーインシデント」)』からデータを保護するために、適切な技術的および組織的措置を講じるものとします。デマンドパートナーは、確認されたセキュリティーインシデントが発生し被害を受けた場合、遅滞なくPubMaticに通知しなければならず、両当事者は、セキュリティーインシデントの影響を軽減または是正するために必要な措置をとることに合意し、誠意をもって協力し行動するものとします。
  7. 業務委託:デマンドパートナーは、(a)『デマンドパートナーの文書化された指示に従ってデータを処理することに書面で同意すること』、(b)『セキュリティーインシデントからデータを保護するための適切な技術的および組織的なセキュリティー対策を実施すること』、(c)『あるいは、適用されるプライバシー法の要件を満たす方法でデータを処理することを十分に保証すること』を条件として、許可された目的のためにデータを処理する第三者を処理業者として指名できます。
  8. データの移転:EUデータ保護法が適用される場合、デマンドパートナーは、データの移転がEUデータ保護法に準拠し、それを保証する必要な措置を講じない限り、欧州経済圏もしくはその加盟国もしくはスイス(本付属合意書では総称して「EEA」)以外の領域でデータを処理(またはデータ処理を許可)してはならないものとします。そのような措置には、欧州委員会が個人データの適切な保護を提供すると判断した国の受信者、適用されるプライバシー法に従って拘束力のある企業規則の承認を達成した受信者、プライバシーシールドの遵守を証明した米国の受信者、および欧州委員会が採択または承認した標準的な契約条項を実行した受信者へのデータの転送が含まれますが、これに限定されるものではありません。
  9. プライバシーシールド:PubMaticは、プライバシーシールドの遵守を自己認証し、EUデータ保護法によって保護されたデータをデマンドパートナーに移転できます。(C2Pデータを含む)そうしたデータを処理することに関して、デマンドパートナーは、プライバシーシールド原則によって求められるのと同レベルのデータ保護の提供に同意します。そのような保護を提供できなくなったと判断した場合、デマンドパートナーは、その旨をPubMaticに通知し、処理がプライバシーシールド原則によって要求される保護レベルを満たすまで処理を中止または(修正可能な場合には)修正するための合理的かつ適切な措置を講じます。
  10. データの削除:デマンドパートナーは、許可された目的のために、または許可された目的に関連して、データを保持する正当な必要性がある期間を超えてデータを保持することはなく、第三者がデータを保持することも認められません。
  11. 協力とデータ主体の権利:関係当事者のいずれかが、(i)『適用できるプライバシー法の下で(アクセス、訂正、異議、消去、データポータビリティの権利を含む)あらゆる権利の行使をデータ主体が要求した場合』、および(ii)『(総称して「通信」の)処理に関して、データ主体、規制当局ならびにその他の第三者から受信したあらゆる通信、問い合わせ、苦情を受け取った場合』、そうした通信が相手方が行った処理に関するものであれば、速やかに相手方に通知するとともに、両当事者は協力して誠意を持ってそうした通信に必要な対応をとり、適用できるプライバシー法の下で各自の義務を実行するものとします。
  12. 処理条件:両当事者がデータに関して独立した管理者として行動していることを認めているにもかかわらず、デマンドパートナーが(自身が管理者であるか、第三者の管理者に代わって行動しているかにかかわらず)PubMaticの代理処理者としてデータを処理する特定の状況があり、かかるデータがEEA内で適用できるプライバシー法(「C2Pデータ」)によって保護されている場合、デマンドパートナーは、本付属合意書の付録Aに記載されている追加条件を遵守することに同意します。
  13. 存続:本付属合意書は、契約の終了または満了後も存続するものとします。契約が終了または満了した場合、デマンドパートナーは、本付属合意書および適用されるプライバシー法の要件を満たすことを条件に、データの処理を継続することができます。
  14. 雑則:本付属合意書は、適用されるプライバシー法に別途定めがない限り、すべての点において、契約に定められた準拠法および管轄権の規定に準拠し、それに従って解釈されるものとします。契約の発効日から、本付属合意書は契約の一部とみなされ、契約に組み込まれているものとし、契約内の「合意」の参照事項は本付属合意書を含むものと解釈されます。本付属合意書に変更が加えられた場合を除き、契約は変更されず、完全な効力を有します。本付属合意書と契約の他の条項や条件との間に対立や矛盾が生じた場合は、対象事項(たとえば個人情報の保護)に関しては、本付属合意書が優先されます。(i)本付属合意書は、複数の複本を作成して締結することができ、各複本は原本と見なされますが、その全通を併せて一つの合意書を構成します。また、(ii)本付属合意書は、認められた電子署名サービスを通じて締結、またはファクシミリ送信、または署名のうえ画像をスキャンして電子メールで送信することができます。いずれの署名も、該当するすべての目的のためのオリジナル署名として取り扱われるものとします。

付録A

処理に関する条件

C2Pデータを処理する特定の状況が発生した場合、デマンドパートナーは以下に同意します。

  1. デマンドパートナーは、適用される法で義務付けられている場合を除き、PubMatic(または第三者の管理者)の文書化された適法な指示に従って、C2Pデータを処理(およびデマンドパートナーによって C2Pデータを処理することを認められた者[以下「有資格者」]が処理することを保証)します。
  2. デマンドパートナーは、許可された目的のためにのみC2Pデータを処理するものとします。デマンドパートナーによるC2Pデータの処理は許可された目的のために行われます。本付属合意書に別段の定めがない限り、処理期間、C2Pデータの種類、およびデータ主体の分類は、主たる付属合意書に記載されています。
  3. デマンドパートナーは、許可された目的のためにのみC2Pデータを処理するものとします。デマンドパートナーによるC2Pデータの処理は許可された目的のために行われます。本付属合意書に別段の定めがない限り、処理期間、C2Pデータの種類、およびデータ主体の分類は、主たる付属合意書に記載されています。
  4. デマンドパートナーは、PubMaticの書面による事前の同意なしに、C2Pデータの処理を第三者の処理者に委託してはならず、C2Pデータに関連する本付属合意書の違反については、その委託先の作為、過失または不作為に起因する違反に対しても責任を負うものとします。C2Pデータ保護に関連する正当な理由により、デマンドパートナーが第三者の外注先を指名することにPubMaticが同意しない場合、両当事者は、商業的に合理的な解決策を見出すために、かかる懸念事項について協議するものとします。PubMatic は、(i)『デマンドパートナーが(委託先が行う処理の詳細を含む)委託先の参加または脱退を少なくとも30日前までに通知し』、(ii)デマンドパートナーが指名するすべての委託先に対して、本付属合意書に従い、デマンドパートナーが処理するすべてのC2Pデータに関してデマンドパートナーに要求されるのと同じ基準でC2Pデータを保護するデータ保護条件を課す』ことを条件に、デマンドパートナーがデマンドパートナーに代わって委託先にC2P データの処理を委託することに同意します。
  5. デマンドパートナーは、C2Pデータの処理に関して、適用できるプライバシー法に従い、PubMatic(またはその指名する第三者監査人)が監査することを認め、PubMatic(またはその指名する第三者監査人)が監査を実施するために当然必要とされるすべての情報を利用できるようにするものとします。
  6. C2Pデータに関連するセキュリティーインシデントの発生を認知した場合、デマンドパートナーはPubMaticに通知し、本付属合意書セクション6(「セキュリティー」)に詳しく記載されているとおりに、あらゆる妥当な協力および支援を提供します。;
  7. 適用されるプライバシー法により、デマンドサービスに関してデータ保護の影響評価を行うことがPubMaticに要求されている場合、デマンドパートナーは、当該評価に関連してPubMaticが合理的に要求するすべての情報を提供します。
  8. 主たる付属合意書が終了または失効した場合、デマンドパートナーは、(処理のために第三者に委託したデータを含め)所有または管理する(コピーを含む)すべてのC2Pデータを、(PubMaticの選択に従って)破棄またはPubMaticに返却するものとします。ただし、適用できるプライバシー法によりC2Pデータの一部または全部を保持することが義務付けられている場合には、当該法により義務付けられている範囲を除き、C2Pデータを分離し、それ以降の処理から保護するものとします。
  9. デマンドパートナーは、必要なすべての措置を講じてC2Pデータの転送が適用されるプライバシー法に準拠していることを確認しない限り、当該C2PデータをEEA域外で処理せず、もしくは処理を許可しないものとします。かかる措置には、(i)『欧州委員会が承認した処理者の標準契約条項』、(ii)『米国の受信者のプライバシーシールド認証』、および (iii) 『受信者による、EEAデータ保護当局に承認された拘束的企業準則の施行』に基づくことを条件にした、C2Pデータの移転が含まれますが、これに限定されるものではありません。PubMaticは、本契約により、これらの措置が講じられていることを条件に、米国のデマンドパートナーを含め、EEA域外へのC2Pデータ転送またはEEA域外からのC2Pデータへのアクセスを許可します。