発効日:2021年10月26日
この「EUにおけるパブリッシャーのデータ処理に関する付属合意書」(以下「付属合意書」)は、PubMatic, Inc.(以下「PubMatic」)と貴社(以下「パブリッシャー」)の間で締結され、本付属合意書の主題に関連する両者間の全合意文書(以下それぞれ「合意書」)の一部を構成します。本付属合意書は、両当事者によって締結またはそのほかの方法で承認された日(以下「発効日」)から効力を生じます。
本付属合意書に書かれた条件は、EUデータ保護法によって保護もしくは規制されている(個人データを含む)データを、PubMaticが収集もしくは処理する範囲にのみ適用されます。本付属合意書内で強調表記された用語は、本付属合意書中に別途定めのない限り、合意書の本文で与えられたものと同じ意味を持つものとします
以下のように合意します。
- 定義
「適切なメカニズム」とは、セクション9で定められたものと同じ意味を持つものとます。
「データ」とは、本付属合意書のセクション2で定められた意味を持ちます。
「デマンドパートナー」とは、PubMaticのメディアバイイングパブリッシャーを意味し、広告主、デマンドサイドプラットフォーム、アドエクスチェンジ、エージェンシー、エージェンシー・トレーディングデスク、アドネットワークを含みますが、これらに限定されるものではありません。
「EEA」とは、本付属合意書では、スイスと英国を含む欧州経済圏を意味します。
「欧州データ保護法」とは、データ処理の当事者に適用される場合、(i)『規則 2016/679(EU一般データ保護規則)(以下「GDPR」)』、(ii). 『EU eプライバシー指令(指令2002/58/EC)』、(iii)『(i)および(ii)を国内法化したもの』、(iv)『1992年6月19日に制定されたスイス連邦データ保護法および付随する規則』、(v)『英国に関しては、2018年データ保護法、GDPRおよびeプライバシー指令に代わる国内法、または、データおよびプライバシーに関連し、EU離脱の結果として制定された国内法』を意味します。ただし、いずれも、優先条項、修正条項、代替条項がある場合はそちらを優先します。
本付属合意書において「欧州」とは、欧州経済圏(EEA)、英国、スイスを意味します。
「EUデータ保護法」とは、(i)『EU一般データ保護規則(規則 2016/679)』、(ii)『EU eプライバシー指令(指令2002/58/EC)』、(iii)『(i)もしくは(ii)の下で、または(i)もしくは(ii)に従って制定されたすべての国内法』(いずれも、優先条項、修正条項、代替条項がある場合はそちらを優先します)を意味します。
「個人データ」とは、適用されるEUデータ保護法の下で当該情報が個人データとして保護される範囲において、特定された、もしくは特定可能な個人に関するあらゆる情報を意味します。
「プライバシー要件」とは、(i)『本付属合意書に基づき、パブリッシャー、PubMatic、デマンドパートナー、および、それぞれのデータ処理に適用される欧州データ保護法』、(ii)『欧州インタラクティブ・デジタル広告アライアンス(EDAA)、ネットワーク広告イニシアティブ(NAI)、IABの透明性と同意に関するフレームワーク(TCF)の規則、規定、ガイドラインを含む(これに限定されない)自主規制、規則、ガイドライン』を意味します(いずれも、優先条項、修正条項、代替条項がある場合はそちらを優先します)。
「プライバシーシールド」とは、いずれも米国商務省によって運用される自己認証プログラムであって、EU―米国間のプライバシーシールド、ならびにスイス―米国間のプライバシーシールドフレームワークを意味します。(優先条項、修正条項、代替条項が存在する場合もあります)
「プライバシーシールド原則」とは、2016年7月12日の欧州委員会決定 C(2016)4176の添付資料IIに含まれる(補足原則によって補足された)プライバシーシールドフレームワーク原則(優先条項、修正条項、代替条項が存在する場合もあります)を意味します。
「パブリッシャープロパティ」とは、合意書内でその意味が定められますが、合意書内で規定されていない場合は、ウェブサイト、モバイルアプリケーションおよびパブリッシャーが所有または運用し、PubMatic製品を介してアクセスできる、またはPubMatic製品に関して使われる個人データが収集される、あらゆるデジタルメディアプロパティを意味します。
「PubMatic製品」とは、合意書内でその意味が定められますが、合意書内で規定されていない場合は、https://pubmatic.com/legal/program-descriptionsに記載されたPubMaticのオンライン広告サービス、製品、機能を意味します。
「トラッキングテクノロジー」とは、ユーザーのデバイスに保存されたデータを保存、もしくはそれにアクセスするために使用される技術を意味し、(該当する場合は)Cookie、モバイルSDK、ブラウザキャッシュ、一意識別子、ウェブビーコン、ピクセルならびに同様の追跡技術を含みます。
「PubMaticプライバシーポリシー」とは、PubMaticの公開ウェブサイトに掲載されたプライバシーポリシーを意味します。最新版は www.pubmatic.com/privacy-policy で入手可能です(プライバシーポリシーは随時更新または修正されます)。
「標準契約条項」とは、2004年12月27日付の欧州委員会決定C(2004) 5271に基づき、欧州委員会が承認した管理者に関する標準契約条項(2004年)を意味します。
「新SCC」とは、欧州議会および欧州委員会の規則(EU) 2016/679に基づく個人データの第三国への移転に関する標準契約条項のうち、2021年6月4日付の欧州委員会実施決定2021/914に付属する契約条項を意味します。
「データ主体」「処理」(および処理作業)とは、欧州のデータ保護法によって定められた意味を持つものとします。
- 処理の範囲:当事者は、当事者間で別途合意しない限り、(i)『PubMatic製品に関して、PubMaticプライバシーポリシーに詳述された、パブリッシャープロパティのエンドユーザーについての、またはそのユーザーに関連する(個人データを含む)データ(以下「データ」と総称)をPubMaticが収集または受信すること』、(ii)『PubMaticおよびそのすべてのデマンドパートナーが特定のデータを収集するためにトラッキングテクノロジーを利用すること』に合意します。当事者は、PubMatic(およびそのすべてのデマンドパートナー)が、合意書で意図された目的およびPubMaticプライバシーポリシーに記述されたその他の目的(以下「許可された目的」)のためにデータを処理することに合意します。
- 当事者の関係:当事者は、データが個人データを含む場合に限り、当事者がそれぞれに個別の独立した管理者として、またPubMaticの場合は許可された目的のためだけに、そうしたデータを処理するものとします。
- 同意の要求:PubMaticおよびそのすべてのデマンドパートナーはいずれも、パブリッシャープロパティを訪れたデータ主体、もしくはPubMatic製品を介してパブリッシャープロパティに提供された広告を閲覧したデータ主体と、直接の関係を持ちません。それにともない、個人データの処理のための同意が法的根拠となる場合、およびプライバシー要件に従ってトラッキングテクノロジーの使用に必要不可欠な場合に、パブリッシャーは、(i)『許可された目的のためにPubMatic製品を介してデータを収集、処理または共有するため』、(ii)『PubMatic製品のパフォーマンスに関するデータの収集を目的にトラッキングテクノロジーを使用するため』、PubMaticおよびそのすべてのデマンドパートナーに代わって、関連するデータ主体からすべての必要な同意を得る責任を負うものとします。パブリッシャーは、該当するプライバシー要件に従って、そうした同意の取得、記録または同意の取り消しを可能にするメカニズムをパブリッシャープロパティ上において常時維持ならびに運用することを表明し、保証します。ユーザーがEEAに居住している場合、PubMaticは、IABの透明性と同意に関するフレームワーク(「業界フレームワーク」)に登録し、これに対応します。
- 通知要件:パブリッシャーは、パブリッシャープロパティ上でPubMatic製品を介して行われるデータ収集および利用慣行について、すべてのデータ主体に適切に通知されていると確認する責任を負うことに合意します。パブリッシャーは、プライバシー要件ならびに(本付属合意書を含む)合意書の全要件を満たし、データの収集元となる全てのパブリッシャープロパティ内で公的にアクセス可能なプライバシー通知を明確に掲載し、維持し、従うことを表明し、保証します。前述の一般性を損なうことなく、こうした通知は最低でも、(i)『データが広告目的に収集されることを伝える声明』、(ii)『PubMaticおよびそのすべてのデマンドパートナーによって収集される個人データの種類およびパブリッシャープロパティを介した広告配信を含む処理の目的に関する説明』、(iii)『個人データにアクセスできる個人の分類に関する説明』、(iv)『データ管理者の身元』、(v)『関連する選択メカニズムへの明確なリンクもしくはそのアクセス方法に関する説明』、および(vi)『該当するプライバシー要件の情報や透明性要件を遵守するために必要なあらゆる情報』を含まなければなりません。PubMaticプライバシーポリシー、PubMaticが収集するデータおよびPubMatic製品によるその利用法についての説明は、本付属合意書で述べられている通知義務を遵守するのに役立ちます。
- 禁止されたデータの共有:子どもと推定されるデータ主体について、その子どもの居住国において適用されるプライバシー要件の下で、適用される法に違反してパブリッシャープロパティが子どもを対象としている場合、または子どもがアクセスする可能性が高い場合、パブリッシャーは、PubMatic製品にそのパブリッシャープロパティを含めず、運用を開始しないものとし、PubMatic製品内でフラグを立て、または、PubMatic製品上におけるパブリッシャープロパティの公開および運用開始に先駆けてPubMaticに書面で通知し、子どもと推定されるデータ主体に関するあらゆる個人データを、該当する欧州のデータ保護法の下でPubMaticおよびそのすべてのデマンドパートナーに提供するものとします。
- 不履行:(本付属合意書を含む)合意書で述べられたデータに関する同意ならびに通知の義務にパブリッシャーが従えない場合、パブリッシャーは直ちにPubMaticに通知しなければなりません。
- 協力ならびにデータ主体の権利:当事者は、要求があれば、相互に、他の当事者がプライバシー要件で述べられた義務を遵守できるよう、(費用は各自の負担において)合理的かつ時機を得た支援ならびに協力を提供するものとします。ここには、(i)『データに関連して、EUデータ保護法が定めるあらゆる権利(データへのアクセス、訂正、異議申し立て、消去、データポータビリティーに関する権利を含む)を行使するためのデータ主体からの要求』、ならびに(ii)『データの処理に関して、データ主体、規制当局または他の第三者から受けた連絡、問い合わせまたは苦情(以下、「連絡」)』に他の当事者が対応できるようにすることを含みます。データに関してデータ主体から直接連絡を受けた場合、当事者はそれぞれ、他の当事者に直ちに通知するものとします。当事者の一方が、もう一方の当事者について本付属合意書を遵守していない可能性を懸念する場合、秘密保持義務、情報開示方針に従い、全当事者は、情報を交換し、そうした不履行の原因特定と修復に向けた合理的手順を取ることに合意します。
- 標準契約条項:
- (a) 標準契約条項および本付属合意書のセクション9(c) は、PubMaticとパブリッシャーが2021年9月27日以前に本付属合意書を締結した場合のみ、2022年12月27日まで適用されます。それ以降は、新SCCおよびセクション9(d)が適用され、標準契約条項は適用されないものとします。PubMaticとパブリッシャーが2021年9月27日以降に本付属合意書を締結した場合、新SCCおよびセクション9(d)が適用されます。PubMaticは、セクション9(a)に定めた通りに適用される標準契約条項または新SCC(以下総称して「当該SCC」)を順守し、これに従ってデータを処理することに同意します。当事者は、当該SCCが本付属合意書に組み込まれ、その不可欠な部分を形成することに同意するものとします。標準契約条項および新SCC(該当する場合)の条件は以下の場合に適用されます。(i)『適用されるデータの移転に、(適用されるEUデータ保護法に記載される)個人データの適切な保護を提供できると認められている国や地域の法律が適用されない場合』、(ii)『PubMaticおよび適用されるデータの移転が、プライバシーシールド(欧州データ保護法の対象になる国や地域で法的に有効と見なされる場合)、および、優先される米国EU間データ移転プログラム(以下「適切なメカニズム」)など、個人データの適切な保護または安全措置を提供できると関係機関または裁判所に認められている適切な枠組みまたは法的に適切な移転メカニズムの対象になっていない場合』。
- (b)適切なメカニズムが適用される場合、PubMaticは、(該当する場合)プライバシーシールド原則を含む適切なメカニズムに従い、データを処理することがあります。
- (c)標準契約条項のため、当事者は以下に同意するものとします。(i)PubMaticは「データ輸入者」、パブリッシャーは「データ輸出者」と見なされます、(ii)本付属合意書の添付資料Aは標準契約条項の添付資料Bに置き換えられます、(iii)標準契約条項第2条(h)のため、データ輸入者はオプション(iii)を選択します。いずれの当事者も、標準契約条項のいかなる条項についても否定または制限する意思はないものとします。したがって、標準契約条項と本付属合意書を含む合意書の条項に矛盾が生じた場合、矛盾する箇所については標準契約条項が優先されます。
- (d)新SCCのため、当事者は以下に同意するものとします。(i)PubMaticは「データ輸入者」、パブリッシャーは「データ輸出者」と見なされます、(ii)モジュール1が適用されます、(iii)第7条では、オプションの結合条項が適用され、第11条では、オプションの文言は適用されません、(iv)第17条では、オプション1が適用され、新SCCはオランダの法律に準拠するものとします、(v)第18条(b)では、紛争はオランダの裁判所で解決されるものとします、(vi)新SCCの添付資料Iは、本付属合意書の添付資料Aに記載された情報を記入したものと見なされます、(vii)新SCCの添付資料IIは、本付属合意書の添付資料Bに記載された情報を記入したものと見なされます。
- いずれの当事者も、標準契約条項または新SCC(該当する場合)のいかなる条項も否定または制限する意思はないものとします。したがって、標準契約条項または新SCCと本付属合意書を含む合意書の条項に矛盾が生じた場合、矛盾する箇所については標準契約条項または新SCC(該当する場合)が優先されます。
- 窓口。パブリッシャーは、その組織内でデータに関する問い合わせに随時対応する権限を有する個人をPubMaticに通知し、かかる問い合わせに速やかに対応するものとします。PubMatic内でデータに関する問い合わせに随時対応する権限を有し、かかる問い合わせに速やかに対応できる個人の連絡先は、dpo@pubmatic.com(または、パブリッシャーに随時通知されるその他の連絡先)です。
- 法律の変更。データ処理に適用されるプライバシー要件に変更が生じ、当事者の合理的な見解において、PubMatic製品、PubMatic製品の提供または使用方法、および/または、本付属合意書の条件の変更が必要になる場合、その当事者は(合理的な行動によって)そのような変更を要求する権利を有します。ただし、変更を要求する当事者は、可能な限り、かかる変更について(30)日前までに書面(電子メールを含む)で通知し、かかる変更について誠意を持って話し合うことに同意するものとします。要求された変更が、いずれかの当事者に重大な損害を与えるか(猜疑を避けるため、いずれかの当事者が欧州データ保護法に違反することを含む)、いずれかの当事者によるPubMatic製品の提供または使用(該当する場合)を著しく変化させる場合、当該当事者は書面による通知をもって、その責任を負うことなく、影響を受けるPubMatic製品に関する契約を終了できるものとします。
- データの移転:EUデータ保護法によって保護されたデータ、もしくは(英国を含む)EEAまたはスイスを出所とするデータ(以下、「EEAの個人データ」)、もしくは(適用対象となる場合は)EEA外の国もしくはスイスを出所とするデータをPubMaticが処理する(もしくは処理される原因となる)範囲において、PubMaticは第一に、EUデータ保護法が要求するところに従い、そうしたEEAの個人データを適切なレベルで保護していることを保証するために必要な全ての措置を講じるものとします。この目的のために、全当事者は、PubMaticがプライバシーシールドフレームワークに従っていることを自己認証したうえで、あらゆるEEAの個人データを適切に保護することを認識し、合意します。PubMaticは、プライバシーシールド原則が要求するところに従い、EEAの個人データを保護することに合意します。PubMaticのプライバシーシールド認証が失効している、もしくは無効とみなされる場合、全当事者は直ちに、または可及的速やかに、誠意を持って協力し、代替となる移転メカニズムを導入し、プライバシー要件に従ってEEAの個人データに対する適切なセーフガードを保証するものとします。
- セキュリティー:両当事者は、自身が所有もしくは管理するデータのコピーを、(i)『偶発的もしくは不法な破壊』、ならびに(ii)『データの紛失、変更、権限のない開示もしくはアクセス』から保護するための適切な技術的および組織的措置を講じるものとします。
- 雑則:本付属合意書によって変更が加えられない限り、合意書は変更されず、効力を有します。本付属合意書内の条項と合意書内の条項に矛盾が生じた場合、本付属合意書の条項を優先します。本付属合意書は、その発効日より、合意書の一部となり、合意書に組み込まれます。本付属合意書で扱っている項目に関する事前の合意がある場合、その合意は本付属合意書によって修正され、差し替えられます。本付属合意書は、合意書の終了もしくは有効期限切れ後も存続するものとします。合意書の終了もしくは有効期限終了後も、本付属合意書の要件およびプライバシー要件を遵守することを条件に、PubMaticは処理を継続することがあります。本付属合意書は複数の複本を作成して締結することができ、各複本は原本と見なされますが、その全通を併せて一つの合意書を構成します。本付属合意書は、認められた電子署名サービスを通じて締結、またはファクシミリ送信、または署名のうえ画像をスキャンして電子メールで送信することができます。いずれの署名も、該当するすべての目的のためのオリジナル署名として取り扱われるものとします。
添付資料A
移転の内容
A. 当事者一覧
管理者/データ輸出者:
1. 名称:
住所:
担当者の氏名、役職、連絡先: