Skip to Content
Go back
BAS-IP / データ処理に関する補足事項

最終更新日:[2025年12月10日]

本データ処理付録(以下「DPA」)は、あなた(以下「クライアント」「あなた」「あなたの」と呼びます)とBAS-IP DISTRIBUTION LTD(以下「会社」「BAS-IP」「私たち」または「我々」)との間で締結されます。以下、個別に「当事者」または「パーティーの話です。本DPA、当事者間で締結された利用規約(以下「合意」)を補完するものです。

このDPAは、クライアントがBAS-IPの製品およびサービス(通称「サービス」)の利用に関連して提供する個人データの処理および、BAS-IPがクライアントのためにサービスを提供する過程で取得する個人データの処理を規定します。

本DPAで特に定義されていない限り、本DPAで使用されるすべての大文字の用語は契約に定められた意味を有します。このDPAは、サービス利用を規定するあなたと我々の間の契約が終了するまで有効です。本DPAと契約間に矛盾が生じた場合、個人データの処理に関して本DPAの規定が適用されます。

1. 定義

本DPAの目的上、以下の定義が適用されます。

クライアントデータ」とは、クライアントがサービスに関連してBAS-IPにアップロード、送信、またはその他の方法で提供する個人データ、およびサービス実施中にBAS-IPが処理する個人データを指します。

データ保護法」とは、欧州連合、欧州経済領域およびその加盟国であるイギリスを含む、クライアントデータの処理に関するすべての適用される法律および規則を意味します。例えば:

  • EU一般データ保護規則(EU GDPR)、
  • 英国一般データ保護規則(UK GDPR)、
  • 2018年データ保護法、
  • データ(利用およびアクセス)法2025年(DUAA);
  • 当事者および本DPAに基づく処理活動に適用されるその他の適用データ保護法および規則。

データ転送メカニズム」とは、適用されるデータ保護法(EU標準契約条項および英国付録を含む)に準拠し、クライアントデータをある法域から別の法域へ移転することを可能にする、法的に認められたあらゆる仕組み、手段または枠組みを指します。

EU最高機密規則(SCC)「これは、欧州議会および理事会の規則(EU)2016/679に基づき、2021年6月4日に欧州委員会実施決定(EU)2021/914によって承認された、現在定められている)に基づく、クライアントデータの第三者への移転に関するEU標準契約条項を意味します。 https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.

一般データ保護規則(GDPR)」とは、2016年4月27日に欧州議会および理事会が制定した規則(EU)2016/679を指し、個人データの処理およびそのデータの自由な移動に関する自然人の保護を規定し、指令95/46/ECを廃止するものを指します。

国際データ転送」とは、データが収集されている国から、適用されるデータ保護法が適切な保護措置を必要とする国外の国へクライアントデータを移転することを意味します。

公的機関」とは、司法機関を含む政府機関または法執行機関を指します。

機密クライアントデータ」とは、人種または民族的出自、政治的意見、宗教的または哲学的信念、労働組合員であることを明らかにするクライアントデータ、自然人を一意に特定するための遺伝子データ、または生体認証データ、健康、性生活や性的指向に関するデータ、または刑事有罪判決や犯罪に関するデータを含みます。

サービス」とは、当社がクライアントに提供するサービスを意味します。

監督機関」とは、データ保護法の適用を監視する責任を持つ独立した公的機関を指します。

技術的および組織的セキュリティ対策」とは、個人データを意図しない破壊や損失、改変、無許可の開示またはアクセスから保護することを目的とした措置であり、特にネットワークを介したデータ送信を伴う処理およびその他すべての違法な処理形態に対して行われます。

UK GDPR」とは、英国法の一部であるEU一般データ保護規則の保持版を指し、2018年データ保護法およびその他の個人データ処理を規制する英国の適用法による改正を含むものです。

英国付録」とは、英国データ保護法の意味で制限移転を行う当事者向けに情報コミッショナーが発行したEU標準契約条項への国際データ転送付録を意味し、現行 https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf 条項に定められています

コントローラー」、「プロセッサー」、「サブプロセッサー」、「データ主体」、「個人データ」、「処理」は、データ保護法で定められた意味を持ちます。

2. 役割と責任

BAS-IPがサービスに関連してお客様の代理でクライアントデータを処理する場合、あなたはクライアントデータの処理に関して、あなたがコントローラーまたはプロセッサーであり、私たちはデータ保護法で定義されるプロセッサーまたはサブプロセッサーとしてあなたの代理として行動することを認め合意します。このような処理の説明は、本DPAの附則1に記載されています。本DPAは確立された役割に適用され、BAS-IPのプライバシーポリシーに従ってコントローラーとして行動する場合には適用されません。

クライアントが処理者である場合、クライアントはBAS-IPに対し、個人データに関するクライアントの指示および行動、すなわちBAS-IPをサブプロセッサーに任命し、該当する場合は本DPA第9条(下記第9条で修正される可能性のあるものを含む)に基づくEU SCCやその他の付録の結論を結びつけることを保証します。 本DPAの期間中、関連する第三者コントローラーによって引き続き承認されています。

3. 指示

当事者は、本DPAおよび適用される契約が、クライアントがコントロールまたは処理者として、BAS-IPがデータ保護法に基づく処理者またはサブプロセッサとして機能する、クライアントの完全かつ最終的な文書化された指示(以下「指示」)を構成することに合意します。

追加または代替の指示は、当事者間で書面で合意されなければならず、本DPAおよび契約と整合しなければなりません。

4. 加工の説明

サービスに関連してクライアント側のクライアントデータの処理は、本DPAのスケジュール1に記載されています。サービスの一部である新しい機能を反映するために、処理の説明を随時更新する権利を留保します。

5. クライアントの義務

5.1. コントローラーの義務

DPAの範囲内で、クライアントがコントローラーとして行動する場合、クライアントはデータ保護法に基づくクライアントに適用されるすべての要件を遵守する責任を負います。

コントローラーとして行動する際、以下を条件にしています:

(a) クライアントデータの正確性、品質、機密性、安全性を維持すること;

(b) データ主体の権利、データのセキュリティ、機密保持に関するデータ保護法に基づく義務を遵守・履行し、個人データの処理に適切な法的根拠があることを確保すること;

(c) BAS-IPに合法的に取得されたクライアントデータのみを提供し、そのデータが適切で関連性があり、意図された目的に比例していることを保証すること;

(d) クライアントデータの処理に関するBAS-IPへの指示が、データ最小化、目的制限、ストレージ制限の原則を含むデータ保護法に準拠していることを確実にすること。

5.2. 処理者の義務

DPAの範囲内で、クライアントが処理者として行動する場合、クライアントはデータ保護法に基づく処理者として適用されるすべての要件を遵守する責任を負います。

プロセッサーとして行動する際、以下を務めなければなりません:

(a) BAS-IPは、それぞれのコントローラの文書化された命令を正確に反映した処理命令のみを提供すること;

(b) BAS-IPに対して、各コントローラーから合法的に取得され、適切かつ関連性があり、許可された目的に限定されたクライアントデータのみを提供すること;

(c) BAS-IPおよびサブプロセッサの関与について、該当コントローラーとの透明性を維持すること;

(d) 処理者として適用されるデータ保護法のすべての義務を履行すること;

(e) クライアントデータにアクセスする第三者または担当者が本DPAおよび契約を遵守していることを確実にします。

6. BAS-IPの義務

6.1. 一般義務

BAS-IPがプロセッサ/サブプロセッサとして動作する場合、私たちは以下を要求します。

(a) お客様の指示に従い、指定された目的のみでクライアントデータを処理すること;

(b) BAS-IPの合理的な見解に基づく場合に、あなたに通知する:

(i) あなたの指示が適用されるデータ保護法に違反または違反する可能性がある場合;または

(ii) BAS-IPがあなたの指示に従えないこと;

(c) クライアントデータの機密性を確保するための適切な技術的および組織的措置を実施・維持すること;

(d) データ主体の権利、データのセキュリティ、機密保持に関する義務を含む、すべての適用されるデータ保護法の遵守;

(e) 書面契約またはその他の法的拘束力のある手段を通じて、BAS-IPを代表してクライアントデータの処理を担当するサブプロセッサーが、本DPAおよび契約に定められた同等のデータ保護義務の対象となること;

(f) 本DPAに基づくあなたの代理で行われたすべての処理活動の正確な記録を保持し、要請があればあなたに提供すること;

(g) BAS-IPがあなたから提供されたクライアントデータが不正確、不完全、または古いことを認識した場合、遅滞なく通知すること;

(g) データ保護法または指示により、機密顧客データの処理に適切かつ必要な保護措置または制限を適用すること;

(h) BAS-IPが適用されるデータ保護法に基づく義務を遵守していることを証明するために合理的に必要なすべての情報を提供すること。

6.2. クライアントへの通知

当事務所が知り、公的機関によるクライアントデータの開示を法的に拘束力のある要請があった場合、法律でクライアントに通知することを禁止されている場合など、例えば公的機関による調査の機密保持などが禁止されている場合を除き、お知らせいたします。BAS-IPが、あなたと当社の間で行われたDPAに基づくクライアントデータの処理に関して監督当局による通知、問い合わせ、または調査を把握した場合、お知らせいたします。

6.3. 機密保持

クライアントデータを第三者に対してアクセス、使用、開示することは一切ありません。ただし、サービスの維持・提供や契約上の義務、または公的機関の拘束力のある命令(召喚状や裁判所命令など)を遵守するために必要な場合を除きます。

当社がクライアントデータへのアクセスを許可した従業員/請負業者に対し、クライアントデータに関して適切な機密保持義務、契約義務または法定義務を遵守することを確実にします。

6.4. セキュリティ対策

当社は、クライアントデータを実際のまたは疑わしい偶発的または違法な破壊、紛失、改変、無許可の開示またはアクセス(以下「セキュリティインシデント」)から保護するため、本DPAのスケジュール2に定められたセキュリティ基準に従い、クライアントデータを保護するために実施・維持します。

セキュリティ対策は技術的進歩の対象であることを認識しており、当事務所は本DPAのスケジュール2を単独裁量で修正または更新し、その修正や更新がスケジュール2のセキュリティ対策に重大な劣化を招かない限り、任意に行うことができます。

6.5. セキュリティ事件

セキュリティインシデントを認識した場合、私たちは以下を行います。

  • セキュリティインシデントの発生を知り次第、遅滞なく通知いたします。
  • セキュリティインシデントに関するタイムリーな情報(個人データの種類、カテゴリー、影響を受ける個人や記録の潜在数)を、知られること、または合理的な要請に応じて提供すること;および
  • セキュリティインシデントを迅速に封じ込め調査し、関係当局や影響を受けたデータ主体に通知できるように合理的な措置を講じてください。

当社のセキュリティインシデントの通知または対応は、当事人による過失や責任の承認と解釈されません。

6.6. クライアントデータの返却または削除

あなたと当社の間で締結された契約の終了または満了後、私たちは保有または管理するすべてのクライアントデータを削除または返却します。この要件は、適用される法律や契約上の義務により、クライアントデータの一部または全部を保持することが求められる範囲には適用されません。

6.7. 合理的支援

私たちは、以下に関してクライアントに合理的な支援を提供することに同意します。

(a) クライアントデータを対象に、クライアントの代理として処理するデータへのアクセス、修正、消去、制限、携帯性、ブロック、削除に関する要請。データ主体が直接当方にそのような要請を送った場合、本DPA第7条が適用されます。

(b) セキュリティインシデントの調査および当該セキュリティインシデントに関する必要な通知の伝達(本DPA第6.5条の対象)

(c) データ保護影響評価(「DPIA」)の作成および必要に応じて、GDPR第35条および第36条に基づく監督当局とのクライアントの協議。

6.8 監査と認証

6.8.1 監督機関監査

監督機関が当社のデータ処理施設の監査を要求し、クライアントのデータ処理に使用し、クライアントのデータ保護法遵守状況を確認したり監視したりする場合は、監査に協力します。クライアントは、当該監査に関連するすべての費用および手数料、特に当社が監査に費やすすべての合理的な費用および手数料、さらに当社が提供するサービスの料金について責任を負います。

6.8.2 監査

クライアントは、処理開始前およびその後の定期的な期間で、当社が取った技術的および組織的措置を監査することができます。クライアントが当社が処理する個人データの管理者であり、合理的かつタイムリーな事前合意のもと、通常の営業時間内、かつ業務の中断なしに、GDPR第28条に定められた義務の遵守を示すために必要なすべての情報を提供し、監査に貢献することがあります。 これには、クライアントまたはクライアントから委託された他の監査人による検査も含まれます。

クライアントの書面による要請に基づき、合理的な期間内に、当該監査に必要なすべての情報を、当社の管理下にあり、適用法、守秘義務、または第三者に対するその他の義務により開示を妨げられない範囲で、クライアントに提供します。

7. データ主体請求

データ主体がデータ保護法に基づく権利の行使(特にクライアントデータのアクセス、訂正、削除の要請)について当社に連絡してきた場合、当社は合理的なあらゆる努力を講じてそのような要請をあなたに転送します。法的にそのような要請に応答する義務がある場合は、法的に禁止されていない限り、直ちに通知し、その要請のコピーを提供します。

8. サブプロセッサ

BAS-IPは、合意されたリストからサブプロセッサーを雇うためのクライアントからの一般的な書面承認を得ています。BAS-IPは、サブプロセッサの追加または代替に関するリストの変更をクライアントに通知することに同意し、クライアントがそのような変更に異議を唱える機会を与えることに同意します。BAS-IPはクライアントが異議申し立て権を行使できるために必要な情報を提供します。

本DPA第9条が適用される場合、サブプロセッサーの雇用手続きは本DPA第9条の関連規定に基づかれます。その場合、第9条の規定が優先されます。

合意されたサブプロセッサーのリストは、本DPAのスケジュール3に記載されています。

9. クライアントデータの転送

9.1. 将軍

BAS-IPサービスの利用には、適用されるデータ保護法に準拠してクライアントデータを他の法域に移転する可能性があることを認識し、同意いたします。

適切な保護措置が必要な場合は、EUのSCCや英国付録などの適用されるデータ転送メカニズムを用いなければなりません。これらのデータ転送機構は、第9.2節で詳細に説明されているように、このDPAに組み込まれ、不可欠な一部を形成しています。そして9.3。

本DPAの規定と適用されるデータ転送メカニズムとの間に矛盾が生じた場合、該当するデータ転送メカニズムの規定が、当該利益相反の範囲でのみ適用されます。

9.2. GDPRに基づく移転

サービスに関連してお客様のためにクライアントデータの処理がGDPRに基づく「移転」に該当する場合、標準契約条項が適用されます。

あなたがコントローラーで、私たちがプロセッサーの場合、EUのSCCモジュール2が適用され、あなたがプロセッサーで私たちがサブプロセッサである場合、EU SCCのモジュール3が適用されます。

EUのSCCにおいて、BAS-IPは「データインポート者」であり、あなたは「データエクスポート者」です。

EU最高裁判所に含まれる関連規定は参照によって組み込まれており、本DPAの不可欠な一部です。EU最高法典の条項および付録は、以下のように完成されたものとみなされます。

(i) 第7条において、任意のドッキング条項は適用されない。

(ii) 第9条のオプション2(一般書面による承認)が適用される。第9条(a)の目的上、データ輸出者への通知期間は10日間とします。

(iii) 第11条において、選択規定は適用されない。

(iv) 第13条において、特定の事例に応じて特定の選択肢が適用されること;

(v) 第17条において、オプション1が適用される。EUのSCCはドイツ連邦共和国の法律に基づいて管理されます。

(vi) 第18条(b)において、紛争はドイツ連邦共和国の裁判所によって解決されるものとする。

(vii) EU SCCの付属書Iは、本DPAの附則1に記載された情報で完了したものとみなされます。

(viii) EU SCCの付属書IIは、本DPAの附則2に記載された情報で完了したものとみなします。

9.3. 英国データ保護枠組みに基づく移転

サービスに関連してお客様のためにクライアントデータの処理が英国のデータ保護法に基づく「制限付き移転」に該当する場合、英国付録が適用されます。

あなたがコントローラーでBAS-IPがプロセッサーである場合、EUのSCCモジュール2が適用され、あなたがプロセッサーで我々がサブプロセッサである場合は、第9.2項で完了した通りEUのSCCモジュール3が適用されます。このDPAの。

英国付録の目的上、BAS-IPは「輸入者」、あなたは「輸出者」となります。

英国付録に含まれる関連規定は参照によって組み込まれており、本DPAの不可欠な一部です。英国補足書の表は以下のように完成しているとみなされます:

(i) パート1の表1は本DPAの附則1に記載された情報で完了したものとみなされ、輸入者の公式登録番号が328138502、輸出者の公式登録番号がクライアントの口座に含まれている場合;

(ii) パート1の表2は、第9.2項に記載された情報に基づいて完了したものとみなします。このDPA;

(iii) パート1の表3は、本DPAの附則1、2、3に記載された情報で完了したものとみなされます。

(iv) パート1の表4において、いずれの当事者も英国付録第19条に定められた通り、この付録を終了させることはできない。

スケジュール1 – 処理の記述

政党一覧

クライアント(データエクスポート)

名前:あなた、『クライアント』

住所:関連情報はクライアントの口座に記載されています。

連絡先の氏名、役職、連絡先情報:関連情報はクライアントのアカウントに記載されています。

本条項に基づくデータ転送に関連する活動:サービスの提供。

署名および日付:当事者は、データ輸出者による契約の履行が、データインポート者およびデータ輸出者の双方による本DPAの履行を構成することに合意します。プラットフォーム上でのアカウント登録日は、本DPAの締結日とみなされます。

役割:コントローラーまたはプロセッサ

BAS-IP DISTRIBUTION LTD(データインポート業者)

名称:BAS-IP DISTRIBUTION LTD

住所:クラウンハウス 27 オールドグロスターストリート、ロンドン、イングランド

連絡先の氏名、役職、連絡先情報:[氏名、職種、連絡先情報を入力してください。例:メール]

本条項に基づくデータ転送に関連する活動:サービスの提供。

署名および日付:当事者は、データ輸出者による契約の履行が、データインポート者およびデータ輸出者の双方による本DPAの履行を構成することに合意します。プラットフォーム上でのアカウント登録日は、本DPAの締結日とみなされます。

役割:プロセッサまたはサブプロセッサ

転校の説明

  • 個人データが転送されるデータ主体のカテゴリー:
  • クライアントの顧客;
  • 会社がクライアントに提供するサービス中に個人データが転送されたその他のデータ主体。
  • 転送される個人データのカテゴリー:
  • クライアントの顧客に関する個人データ;
  • その他、当社がクライアントに提供するサービス中に転送される可能性のあるその他の個人データ。
  • 機密データ(該当する場合)の移転および適用される制限や安全措置は、データの性質および関連するリスクを十分に考慮したものです:

データインポーターは、クライアントから提供された機密データであり、サービスの遂行に必要な範囲でのみ機密データへのアクセスを得ることができます。そのような場合、データインポート者は、スケジュール2に定められた技術的および組織的措置、その他適切かつ必要な安全措置や制限を適用し、機密データの性質および処理に伴うリスクを考慮し、適用される法律および規制を遵守します。

  • 移送の頻度:

個人データは継続的に転送されます。

  • 加工の性質:

個人データ処理は、収集、記録、整理、構造化、保存、適応または変更、取得、相談、整合または組み合わせ、制限、消去、または破棄を含みます。

  • データ転送およびさらなる処理の目的:

これらの条項に基づくデータ処理の目的は、データインポート者とデータ輸出者の間で締結された契約に基づき、データ輸出者によるサービスのパフォーマンスです。

  • 個人データが保持される期間、またはそれが不可能であれば、その期間を決定する基準は以下の通りです:

個人データは、別に書面で合意された場合や、適用法によりデータインポート者に移転個人データの一部または全部を保持することが義務付けられている場合を除き、データインポート者とデータエクスポート者の間で締結された本DPA期間中に保存されます。

  • (サブ)プロセッサへの転送については、処理の対象、性質、期間も指定してください:

主題:サービスの実施

性質:収集、記録、整理、構造化、保管、適応または改変、回収、相談、整合または組み合わせ、制限、消去または破壊。

期間:データインポーターと(サブ)プロセッサ間で締結されたサービス契約に基づき、(サブ)プロセッサがデータインポート者に対してサービスを提供したパフォーマンス。

有能な監督権限

第13条に従い、これらの条項に基づく有能な監督権限は、データ輸出者に適用される第13条(a)のバージョンによって異なります。

スケジュール2 – 技術的および組織的措置

技術的および組織的措置、データのセキュリティを確保するための技術的および組織的措置を含む

データインポート者が適切なセキュリティレベルを確保するために実施する技術的および組織的措置の説明。処理の性質、範囲、文脈、目的および自然人の権利と自由のリスクを考慮したもの:

  • Data Importerは、処理活動を通じて問題となるすべての個人データの機密性、完全性、可用性、回復性を守り、適切な内部情報セキュリティポリシー、手順、その他の適切な対策を実施することで個人データの損失や破壊から保護することにコミットしています。
  • データインポーターは、個人情報へのアクセスを必要最低限に限定し、そのデータは認可された職員のみがアクセス可能です。
  • Data Importerは、ユーザーアクセス権の厳格な分離を強制するために、ロールベースのアクセス制御およびアクセス制御リストを実装しています。
  • データインポーターの情報セキュリティ手順は定期的に見直しの対象となっています。
  • Data Importerは信頼できるサービスプロバイダーを利用し、個人データが常に保護されるよう、技術的および組織的な対策を運用しています。
  • Data Importerは、データ転送中の個人データの機密性と完全性を保護するための対策を実施しています。
  • Data Importerは、セキュリティインシデントを封じ込め、さらなるデータ損失や損傷を防ぐための技術的および組織的措置を実施しています。

スケジュール3 – サブプロセッサ

コントローラーは以下のサブプロセッサの使用を許可しています:

サブプロセッサ1

名称:Hetzner Online GmbH / Hetzner Finland Oy

住所:インダストリーズ・25, 91710 Gunzenhausen, Germany / Huurrekuja 10, 04360 Tuusula(ヘルシンキ/トゥスラ)、フィンランド

連絡先の氏名、役職、連絡先情報: [email protected] 

処理の説明:Hetzner Online GmbH / Hetzner Finland Oyのサーバー上でのデータのホスティング

サブプロセッサ2

名称:DigitalOcean, LLC

住所:105 Edgeview Drive, Ste. 425, Broomfield, CO 80021, United States

連絡先の氏名、役職、連絡先は [email protected]  

処理の説明:DigitalOcean, LLCのサーバー上でのデータのホスティング