Skip to Main

LexisNexis データ処理に関する補遺

1.範囲及び定義

1.1.本LexisNexis データ処理に関する補遺(以下「DPA」という)は、お客様(以下「お客様」または「お客様の」という) とLexisNexis法人(以下「LN」、「当社」または「当社の」という)間の契約(以下「本契約」という)の一部を構成し、これに基づいて当社はお客様(該当する場合には、その関連会社を含む)に対し一定のサービス(以下「本サービス」という)を提供し、またその中で本DPAが参照されます。

1.2.「データ保護法」とは、適用されるすべてのプライバシーおよびデータ保護に関する法律、規則、規制,判決、命令、その他の政府の要求事項を意味するものとします。「管理者」、「データ主体」、「個人データ」、「個人データ侵害」、「処理」および「処理者」という用語は、データ保護法で付与された意味を有し、これらの法律が「個人データ」の代わりに「個人情報」等の同等又は対応する用語を使用している場合、本文では同じものとして読み替えます。

2.処理

2.1.当社は、処理がデータ保護法の要件を満たし、データ主体の権利を確実に保護し、データ保護法の下で要求されるレベルと少なくとも同等レベルの保護規準を提供するような方法によって、適切な技術的及び組織的対策を実施します。

2.2. 当社が処理を行う対象は本サービスに関して提供される個人データとします。処理期間は、本契約に基づいて個人データを廃棄されるまでの本サービスの提供期間とします。処理の性質と目的は、本サービスの提供に関連しています。処理される個人データの種類は、本サービスのために提供される個人データです。データ主体のカテゴリーは、本サービスのために個人データが提供される者です。

2.3.当社は、お客様に代わって個人データを処理する範囲で、以下のことを行います。

  1. 第三国または国際機関への個人データの転送を含め、お客様の文書による指示に従ってのみ個人データを処理します。但し、適用法令によって要求される場合には、その法令が公共の利益という重要な理由で、かかる情報を禁止している場合を除き、処理前にその法的要件をお客様に通知すること。
  2. 個人データを処理する権限を与えられた者が守秘義務を負っていること、あるいは適切な法的守秘義務を負っていることを保証すること。
  3. データ保護法に従って必要なあらゆるセキュリティ対策を講ずること。
  4. 3.1項および3.2項で言及されている別の処理業者を雇用するための条件を尊重すること。
  5. 処理の性質を考慮して、データ主体がデータ保護法に定められた権利を行使するためにお客様に要求した場合に、可能な限り、適切な技術的および組織的措置を講じることによってお客様が義務を履行することを支援すること。
  6. データ保護法に基づくお客様による義務の遵守を確保するために、処理の性質および当社が入手できる情報を考慮して、お客様を支援すること。
  7. お客様の選択により、処理に関連するサービス提供の終了後、すべての個人情報を削除またはお客様に返却し、適用法令により個人情報の保管が義務づけられていない限り、既存のコピーを削除すること。
  8. データ保護法に定められた義務の遵守を証明するために必要なすべての情報をお客様に提供し、お客様またはお客様が委任した別の監査人が実施する検査を含む監査を許可し、それに貢献すること。

そして、当社に対するお客様の指示がデータ保護法に抵触すると判断した場合、速やかにお客様に通知すること。

2.4.本DPAを含む本契約は、本サービスにおけるお客様の使用および設定とともに、個人データの処理に関するお客様の完全かつ最終的な文書による当社への指示となります。追加または代替の指示については、両当事者が別途、合意する必要があります。

3.サブ・プロセッサー

3.1.当社がお客様に代わって個人データを処理している範囲内で、当社は本DPAに従って個人データの処理を行う他の処理業者を、以下に掲げるリストの中から雇い入れる一般的な権限をお客様から得ています。https://www.lexisnexis.com/global/privacy/subprocessors.page(本リストは当社によって随時更新される可能性があります)。リストを変更する場合、当社は少なくとも14日前までにウエブサイトのリストを更新することにより、お客様に連絡します。お客様はリスト更新後14日以内に、理由を記して当社に通知することにより、かかる変更に異議を唱えることが出来ます。当社は本契約に基づいてお客様が有する払い戻し、または契約解除の権利を害することなく、お客様が合理的に異議を唱える新しい処理業者による個人データの処理を回避するため合理的な努力を払うものとします。

3.2. 当社がお客様のために特定の処理を行うことを他の処理業者に委託する場合、当該他の処理業者には、契約または適用法令に基づく法律行為により実質的に本DPAに規定されているのと同様のデータ保護義務が課されます。特に処理がデータ保護法の要件を満たすよう適切な技術的および組織的措置を実施する十分な保証を提供します。他の処理業者がデータ保護義務を履行できない場合、当社は(本契約の条項に従い)その処理業者の義務の履行についてお客様に対し、継続して完全な責任を負うものとします。

4.データ主体の権利

4.1.当社がお客様のために個人データを処理している限り、当社は法的に認められる範囲において、その受け取ったデータ主体の権利に関する要請を速やかにお客様に通知するものとします。

4.2. 各当事者は、他方当事者がデータ主体の権利要求に関連するデータ保護法に基づく義務の履行を支援するため、他方当事者と合理的に協力するものとします。

5.転送

5.1.当社は、お客様自身の国に由来する個人データが他の国に転送される範囲において、かかる転送がデータ保護法による適切な保護措置の対象となることを保証します。

6.処理の安全性

6.1.両当事者は、技術水準、実装のコスト、処理の性質、範囲、事情、目的、ならびに自然人の権利および自由の可能性および重大度が変化するリスクを考慮し、リスクに適したレベルのセキュリティを確保するために、とりわけ次の事項を含む適切な技術的および組織的な対策を実施するものとします。

  1. 個人データの仮名化と暗号化。
  2. 処理システムとサービスの継続的な機密性、完全性、可用性および回復力を確保する能力。
  3. 物理的または技術的な事故が発生した場合に、個人データの可用性とアクセスをタイムリーに回復する能力。
  4. 処理上のセキュリティを確保するための技術的および組織的な措置の有効性を定期的にテストし評価するプロセス。

6.2.適切なセキュリティレベルを評価する際には、当社は処理によって生じるリスク、特に送信、保存、その他の処理を行った個人データの偶発的または違法な破壊、紛失、改ざん、不正開示またはアクセスから生ずるリスクを考慮するものとします。

6.3.両当事者は、適用法により義務付けられている場合を除き、個人データにアクセスできるいずれかの当事者の権限の下で行動する自然人が、お客様からの指示がない限り、データを処理しないようにするための合理的な措置を講じるものとします。

7.個人データの侵害

7.1.当社がお客様のために個人データを処理している範囲において、当社は個人データの侵害を認識した後、不当な遅延なくお客様に通知し、お客様によるデータ保護法の下での義務の履行を支援するため、さらなる情報を求めるお客様の要請に合理的に対応するものとします。

8.処理活動の記録

8.1.当社は、データ保護法で要求されるすべての記録を保持し、お客様に代わって個人データを処理する場合に適用される範囲で、必要に応じてお客様が利用できるようにします。

9.監査

9.1.監査は次の通りとします。

  1. 適切な守秘義務契約又は非開示契約の締結を条件とし、
  2. 30日前に書面で通知し、当該レビューの計画を提供した上で、本契約に違反しているという合理的な確信が示された場合を除き、1 年に 1 回のみの実施とし、
  3. また、相互に合意した時間、場所及び方法で実施する。

10.紛争

10.1.本DPAの条件と本契約の間に矛盾がある場合、法律で要求される範囲において、本DPAの条件が優先するものとします。

11.法域固有の条項

11.1.本書の別紙に記載されている法域のいずれかのデータ保護法に由来する、またはそれに従って個人データを当社が処理している範囲において、前述の条件に加えて、該当する法域に関して、当該別紙で指定されている条件が適用されます。

付属文書
法域固有の条件

1.欧州経済領域、英国、スイス

1.1.お客様が欧州経済領域(「EEA」)、英国(「UK」)またはスイスからEEA、英国またはスイス以外にあるLNに個人データを転送する限り、当事者がデータ保護法に基づく代替の転送メカニズムまたは基盤に依存できる場合を除いて、当事者は、かかる転送に関し、http://data.europa.eu/eli/dec_impl/2021/914/oj で利用可能な2021年6月4日の欧州委員会実施決定(EU) 2021/914 により承認された標準契約条項(「本条項」) に合意したとみなされ、これにより、

  1. お客様はデータ輸出者となり、LNはデータ輸入者となります。
  2. 脚注;条項11(a) オプションおよび条項17オプション1は省略され、該当する付属書は、それぞれDPAおよび本契約書に規定されている情報で補完されます。
  3. 各当事者が管理者として機能する限り、モジュール1が適用され、モジュール2,3,および4は省略されます。
  4. お客様が管理者として機能し、LNが処理者として機能する限り、モジュール2が適用され、モジュール1,3,および4は省略され、条項9(a)オプション1が省略されて、オプション2の期間は14日間となります。
  5. 管轄監督当局とは、データ輸出者が設立された国の監督当局を意味します。
  6. 本条項はデータ輸出者が設立された国の法律に準拠します。
  7. 本条項に起因する紛争は、データ輸出者が設立された国の裁判所によって解決されるものとします。そして、
  8. 本契約の条項と本条項の間に矛盾がある場合、本条項が優先するものとします。

1.2.英国からの個人データの転送に関連して、上記のセクション1.1に基づいて実施される本条項は、次の変更を条件として適用されるものとします。

  1. 本条項は、2018 年英国データ保護法第 119A 条に基づいて発行された欧州委員会の標準契約条項に対する国際データ転送補遺のパート 2 で指定されているように修正され、随時修正または置き換えられる可能性があります (「英国補遺」)。
  2. 英国補遺の第1部の表1から 3は、DPA および本契約 (該当する場合) に記載されている情報をもってそれぞれ完成となります。
  3. 英国補遺の第1部の表4は、「どちらの当事者でもない。」を選択することによって完成となります。

1.3.スイスからの個人データの転送に関連して、上記のセクション1.1に基づいて実施される本条項は、次の変更を条件として適用されるものとします。

  1. 規則(EU)2016/679」への言及は、データ保護に関するスイス連邦法(「FADP」)への言及として解釈されるものとします。
  2. 「レギュレーション(EU)2016/679」の特定の条項への言及は、FADPの同等の条項またはセクションに置き換えられるものとします。
  3. 「EU」、「ユニオン」、「加盟国」、「加盟国の法律」への言及は、該当する場合、「スイス」または「スイス法」への言及に置き換えられるものとします。
  4. 「加盟国」という用語は、スイスのデータ主体が自分の権利にアクセスする可能性を排除するように解釈してはならない。
  5. 条項13(a) および付属書IのパートCは使用されず、「管轄監督機関」はスイス連邦データ保護情報コミッショナーとなります。
  6. 本条項はスイス法に準拠するものとします。そして、
  7. 本条項に起因する紛争は、スイスの裁判所によって解決するものとします。

2.ブラジル

2.1.各当事者は、次のことを行うものとします。

  1. ブラジル一般データ保護法, 2018年 nº 13.709 (Lei Geral de Proteção de Dados Pessoais) (LGPD)に基づく義務を遵守すること。
  2. 当事者自身が行う個人データ処理業務の記録を保持すること。
  3. データ保護責任者を任命すること、および
  4. 個人データを無許可のアクセスや、偶発的または違法な破壊、紛失、改ざん、通信、またはあらゆる形態の不適切または違法な処理から保護出来るセキュリティ、技術、管理上の措置(国家当局によって定められた適用可能な最低技術基準を含む)を採用すること。

2.2.お客様がブラジルからブラジル国外にあるLNに個人情報を転送する場合、当事者がデータ保護法に基づく代替の転送メカニズム、または根拠に依存することが出来る場合を除いて、LNは、データ主体の原則と権利、およびLGPDに基づいて提供されるデータ保護体制を遵守します。 

3.南アフリカ

3.1.LNが運営者として、責任者であるお客様のために個人情報を南アフリカ個人情報保護法2013年第4号(以下「POPIA」)の範囲内で処理する限りにおいて、LNはPOPIA第19条に言及されているセキュリティ対策をさらに確立し維持するとともに、データ主体の個人情報が、権限のない者によってアクセスまたは取得されていると信じるに足る合理的な理由が存在する場合には、直ちにお客様に通知するものとします。

4.米国

LexisNexis データ処理補遺に対する米国の州プライバシー法の補遺

最終更新日2022年12月16日