データ処理契約
最終改訂日：2024年7月3日

日本語版と英語版の間に矛盾が生じた場合、英語版が優先されるものとします。

「お客様」は、「Cognite」の特定のSaaS（ソフトウェア・アズ・ア・サービス）製品（以下、「サブスクリプションアイテム」という。）をご購入になり、及び/又は「プロフェッショナル・サービス」をご発注いただいております。そこで、以下において、「お客様」のことを「データ管理者」と表現し、「Cognite」のことを「データ処理者」と表現させて頂く場合があります。

本「データ処理契約」は、「サブスクリプションアイテム」の購入、及び/又は「プロフェッショナル・サービス」の「Cognite」による提供に関して、「データ管理者」と「データ処理者」の間で締結された「MSA」、「EULA」、「PSA」、及び/又はその他の契約（以下、「契約」という。）の一部分を構成するものとなります。また、本「データ処理契約」に明確に定義されていない括弧付きの用語は、各「契約」に規定された意味を有するものといたします。本「データ処理契約」において、下記の用語の定義等は次の通りとする。
a) 「データ管理者」は、「GDPR」における「管理者」に該当する；
b) 「データ処理者」は、「GDPR」における「処理者」に該当する；
c) 「お客様」とは、「Cognite」による「プロフェッショナル・サービス」の履行又は「サブスクリプションアイテム」の購入に関して、そこで指定された「Cognite」の事業体と契約を締結した者を指す；
d) 「データ処理契約」又は「DPA」は、「データ管理者」に代わって「個人データ」を処理することに関する事項を規定する本契約を意味する；
e) 「GDPR」とは、「個人データの取扱いと関連する自然人の保護に関する、及び、そのデータの自由な移転に関する、並びに、指令95/46/ECを廃止する欧州議会及び理事会の2016年4月27日の規則(EU) 2016/679」を意味する；
f) 「個人データ」とは、「GDPR」第4条（1）において規定された意味を有する；
g) 「個人データ侵害」とは、「GDPR」第4条（12）において規定された意味を有する；
h) 「処理」又は「処理すること」とは、「GDPR」第4条（2）において規定された意味を有する（動詞、名詞、形容詞等品詞による変化形を含む）；
i) 「再委託先」とは、「データ処理者」の依頼により、これに代わって「処理」業務を行う第三者を意味する。
「データ処理者」による「サブスクリプションアイテム」及び「プロフェッショナル・サービス」の履行には、「データ管理者」に代わって「個人データ」を「処理」することを含む場合がある。
「GDPR」第28条3項に従い、「データ処理者」の義務は本「データ処理契約」に規定されるものとする。
「お客様」が、リセラー又はその他の者との間で、「Cognite」の「サブスクリプションアイテム」又は「プロフェッショナル・サービス」の提供を受けることを内容とする契約を締結した場合、本「データ処理契約」において、当該リセラー又はその他の者は「データ処理者」となり、「Cognite」は「再委託先」となるものとし、「お客様」はその旨了承したものとする。その場合、「データ処理契約」は、リセラーを「データ処理者」、「Cognite」を「再委託先」に該当するものと読み替えて適用されるものとする。
１． データ処理の範囲
本「データ処理契約」は、「データ処理者」が「データ管理者」に代わって「個人データ」を「処理」すること、及びそれについての法的制限を定めるものである。本「データ処理契約」に規定された制限及び義務は、「GDPR」を含む適用法令によって課される制限及び義務に付加されるものである。
「データ処理者」による「サブスクリプションアイテム」及び「プロフェッショナル・サービス」の提供には、「データ管理者」の従業員、コンサルタント、顧客、クライアントの氏名、マイナンバー、住所、Eメールアドレス、IPアドレス、生年月日、電話番号、請求書情報、税金情報、及び銀行口座情報等の個人情報を「処理」する場合がある。
さらに、本「データ処理契約」は、「データ管理者」及びその従業員等の「Cogniteアカデミー」の使用についても規制するものである。「データ処理者」は、「データ管理者」から要求された場合、「Cogniteアカデミー」を使用する「データ管理者」の従業員等に関する情報を「データ管理者」と共有することがある。
「データ処理者」が、課金、アカウント管理、データ分析、ベンチマーキング、技術サポート、製品開発、及び法律の遵守などの「データ処理者」自身の事業目的のために、「サブスクリプションアイテム」の運用、サポート、又は使用に関連する個人データを「処理」できることを、「データ管理者」は承認するものとする。「データ処理者」は、かかる「処理」については「データ管理者」となり、データ保護に関する法規に従ってデータを「処理」するものとする。

２． 「データ管理者」の義務
「データ管理者」は、「個人データ」の「処理」が適用法令の下で許容され、適合していることを保証する。
「データ管理者」は、「個人データ」の管理権限を保持し、通知義務の履行、必要な同意の取得及び「データ処理者」へのデータ処理に関する指示を含む、適用を受けるデータ保護関連法規について法令遵守の責任を負う。

３． 「データ処理者」の義務
「データ処理者」は、本「データ処理契約」に定められた義務（事業の目的のもとで必要な限りにおいて、必要となる方法にて履行される）、及び「GDPR」第28条（3）（a）の定めに従い、「データ管理者」からの文書による指示に従って、「データ管理者」を代理して「個人データ」を「処理」するものとする。
「データ処理者」が「データ管理者」を代理して「処理」する「個人データ」は、それがいかなる形式のものであれ、「データ管理者」の書面の承諾なく、第三者に開示又は譲渡されることがあってはならない。「データ処理者」が「データ管理者」を代理して「処理」する「個人データ」は、「データ管理者」の書面の承諾なくして、第三国に輸出されてはならない。法律、裁判所、規制当局又は監督当局が「データ処理者」に対し「個人データ」の処理又は開示を求めた場合、「データ処理者」は、法律により禁止されていない限り、「データ管理者」に対し法律又は規制により要求される事項について通知し、「データ管理者」に当該要求事項に対して異議を述べ又は争う機会を付与するものとする。
「データ処理者」は、「処理」の性質と当該「処理」のために利用可能な情報を考慮し、「データ管理者」が「GDPR」第Ⅲ章に規定されているデータ主体の権利行使に伴って生じる要請に対応するための「データ管理者」の義務を果たすために必要となる技術的及び組織的な措置を適切に実施することについて、「データ管理者」を支援するものとする。「データ管理者」は、「GDPR」に概要が示されている期間内にデータ主体に対応し、関連規定の遵守を確保することについて最終的な責任を負うことを承諾し、同意する。

４．「個人データ」の共有
「データ処理者」は、事業の正当な目的及び本契約に基づく「データ処理者」の義務履行のために必要な場合、「個人データ」を子会社及び関連会社と共有することができる。これらには以下が含まれるが、これらに限定されるものではない。
「データ管理者」へのサポートの提供：
「データ処理者」の契約上の義務の履行。
「GDPR」又は他のデータ保護法制により、グループ内のデータの移動にデータ移動契約が求められる場合、「データ処理者」は、必要により子会社及び関連会社と斯かる契約を締結することを保証する。「データ処理者」は、子会社又は関連会社との「個人データ」の共有が「GDPR」を含む適用を受けるすべてのデータ保護法及び規制を厳格に遵守して行われることに同意する。
５．セキュリティ
「データ処理者」は、「個人データ」の偶発的な、無許可の又は違法な処理、アクセス、コピー、改変、複製、表示又は頒布、及び、偶発的又は違法な紛失、破壊、変更、開示又は破損に対し、常に適切に技術的及び組織的な措置を実施しなければならない。
「データ処理者」は、「GDPR」第32条に従って、以下に規定するものを含む、計画的かつ体系的な処置により、「個人データ」の「処理」に関連した機密性、整合性及びアクセシビリティに関して、十分なデータのセキュリティを確保するものとする。
• 本「データ処理契約」に関する「個人データ」の「処理」に使用されるITシステムその他のシステム、並びに当該システム間のコネクションが、十分な情報セキュリティを確保した方法で構成されていること；
• 「個人データ」の「処理」に使用されるストレージ媒体、データ媒体、及び／又はデータ装置が、破壊、及び権限のない者のアクセスから保護されていること；
• 「データ処理者」が「データ管理者」を代理して「個人データ」を「処理」する上で使用する手段・方法に、破壊的、及び／又は悪意を持ったソフトウェア、及び／又はハッキングに対する防御措置が施されていること；
• 本「データ処理契約」に従って「処理」される「個人データ」が、「データ処理者」自身の情報、第三者の情報、及び／又はその他の情報から分離して保存されていること；及び、
• アクセス権のない者が、本「データ処理契約」に基づき「データ処理者」にアクセス権を付与された「個人データ」が保管、保存若しくは「処理」されている設備、ファイル、又はシステムに対し、アクセスすることができないこと。
「データ処理者」は、計画的かつ体系的な処置によって十分な情報セキュリティを確保するものとし、定期的に（少なくとも年に一度）、本「データ処理契約」及び「契約」に従って「個人データ」を「処理」するために使用されているシステムのセキュリティ検査を行うものとする。

６．実施したデータ処理の記録
「データ処理者」は、本「データ処理契約」に基づく義務の履行に関連する「個人データ」、システム、及び手順が適切なレベルの情報セキュリティを有していることを示す記録を保持し、「データ管理者」から要請があった場合は当該記録を提供するものとする。当該記録保持の一環として、「データ処理者」は、技術的・組織的なセキュリティ対策に加えて、そのデータ処理システムの使用権限を個人に付与する手順を文書に記録するものとする。当該文書は、「データ管理者」、及び／又はノルウェーデータ保護局が要請した場合、それらがアクセスできる形式で保存することを要するものとする。「データ処理者」は、「データ管理者」（若しくは「データ管理者」が任命した適切な能力を有する者）及び／又はノルウェーデータ保護局に対し、当該文書、及び、要請があった場合にはその設備、に対する監査並びに現地視察を認めるものとする。「データ管理者」は、本契約の期間中、１年に１回、当該監査及び現地視察を行うことができるものとする（疑義を避けるために付言すると、重大な欠陥が認識された場合には、「データ管理者」は、当該欠陥が是正されたことを「データ管理者」が十分に確認するために必要な程度まで、追加で当該監査及び／又は現地視察を行うことができる。）。
情報システムの不正使用及び不正使用未遂の記録は、最低3ヶ月間保存することを要する。また、セキュリティレベルに対して重要な影響を及ぼすあらゆる記録及び出来事についても同様とする。
システム及び／又はデータセキュリティ対策が、「データ処理者」の法令及び契約上の義務の履行として不十分である場合、「データ処理者」は、当該欠陥を発見した際（又は「データ管理者」、ノルウェーデータ保護局若しくはその他の権限ある者によって当該欠陥について通知された際）、合理的に実行可能な限り速やかに、また、いかなる場合においても、「個人データ」のセキュリティ及び整合性に対する危険のレベルを考慮した合理的な期間内に、システム又は手順に必要な変更を加えることを要する。

７．個人データ侵害
「データ処理者」は、以下の事象の発生を知った場合、、不当な遅滞なく「データ管理者」に通知する：
a) 「個人データ」の一部又は全部の紛失、意図せざる破壊若しくは破損又は利用不能
b) 偶発的な、無許可の又は違法な「個人データ」の処理
c) 「個人データ侵害」、又は、
d) 規定された手順に違反した情報システムの使用
「データ処理者」は、上記(a)、(b)、(c)又は(d)の発生を知った場合、処理の性質と当該処理のために利用可能な情報を考慮し、不当な遅滞なく、以下の情報を「データ管理者」に提供するものとする：
a) 対象となる「個人データ」のカテゴリ並びに関連するデータ主体及び「個人データ」記録の双方の概数を含む、上記(a)、(b)、(c)及び／又は(d)の状況の説明
b) 結果の見込み、及び
c) 生じうる事態を軽減するための措置を含む、上記(a)、(b)、(c)及び／又は(d)への対処として実施された措置又は実施を提案する措置の説明
「データ処理者」は、「データ処理者」に求められる「処理」の内容及び利用している情報の性質を考慮の上、「データ管理者」が「GDPR」第32条から第36条に基づく義務を履行できるよう「データ管理者」を支援するものとする。
「データ管理者」は、法律若しくは規制の要請又は「データ管理者」の裁量により、「GDPR」第33条及び第34条に基づく通知の内容及び伝達方法を含め、偶発的な、無許可の又は違法な処理及び／又は「個人データ侵害」について、データ主体、データ保護当局、規制当局、法律の執行機関等に通知するかどうかを決定する唯一の権利と責任を有することを保証し、同意する。

８．「個人データ」のへのアクセス及び削除
「データ処理者」は、「データ管理者」から要求をうけた場合には、「データ処理契約」の期間中いつでも、すべての「個人データ」を、整理され、一般的に使用され、機械で読み取り可能なフォーマットで「データ管理者」に提供するべく商業的に合理的な努力を払うものとする。
「サブスクリプションアイテム」の購入期間満了又は終了、もしくは「プロフェッショナル・サービス」の完了の際、及び「データ管理者」から要求をうけた場合、「データ処理者」は、適用法により「データ処理者」が当該「個人データ」を保持する必要がある範囲を除き、コンピュータ又はその他のデバイスに保存され、その他「Cognite」が所有又は管理する「個人データ」のコピーをすべて削除又は破棄するものとする。
「データ管理者」は、当該「個人データ」を削除する手順を定めるものとし、 「データ処理者」は当該手順に従い削除を実行するものとする。 「データ処理者」は、通常の業務の過程で削除されるまで、バックアップ、アーカイブ及び災害復旧システムにおいて「個人データ」を保持することができる。ただし、保持された「個人データ」は、「お客様」と「Cognite」との間の「契約」及び本「DPA」に基づく機密性及びセキュリティに関する必要条件に引き続き従うものとする。
「データ処理者」は、書面による要求に応じて、以下のいずれかを記載した確認書を「データ管理者」に対して発行するものとする：(a)すべての「個人データ」が返却され、 「データ処理者」がいかなる形態の「個人データ」のコピー、トランスクリプト等も保持していないこと、又は(b) 「データ処理者」が適用法により個人データのコピーを保持する必要がある場合には、保持すべき「個人データ」及び関連する適用法。

９． 契約終了
本「データ処理契約」は、「データ処理者」が、「契約」に基づいて「データ管理者」を代理して「個人データ」を「処理」する限り、有効に存続するものとする。

１０．秘密保持
「データ処理者」は、「データ管理者」から受領した「個人データ」を秘密として保持することを要する。この守秘義務は、本「データ処理契約」の終了後も存続するものとする。そのため、「データ処理者」は以下の事項を遵守することを要する：
 a) 「個人データ」の開示、及びアクセス許可の対象を、本「データ処理契約」に基づく「個人データ」の「処理」のために必要な人員に限定すること；
 b) 上記の人員が、「個人データ」の開示を受け、あるいはアクセスする前に、当該データが秘密として取り扱われなくてはならないことを確認し、また、同人員が、本「データ処理契約」に定められた「個人データ」の使用及び開示について規制を受ける義務と同等の義務（但し、いかなる場合においても、本「データ処理契約」の規定と同等以上の義務とする。）を負うこと；
 c) 上記の人員に対し、本「データ処理契約」の目的達成以外の目的で「個人データ」を使用してはならないこと、及び「データ管理者」からの事前の書面による同意を得ずに「個人データ」を第三者に開示してはならない旨指導すること；及び
 d) 上記の人員がこれらの義務を遵守するよう、最善の努力を尽くすこと。


１１．再委託先
「再委託先」を起用することによって、「個人データ」がEU／EEA域外に移転することとなる場合、「データ処理者」は、当該移転が「GDPR」第5章の定めを遵守するものであることにつき責任を負う。
本条に基づく再委託には、「データ処理者」の日常業務の遂行のために第三者に依頼する付随的サービス（通信サービス、メンテナンス、ユーザーサポート、監査、媒体処分など）は含まれない。
「データ処理者」が新規の「再委託先」の採用又は既存の「再委託先」の解任を決定した場合、「データ処理者」は、予定されている新規又は解任させる「再委託先」の着任の８週間前までに、「データ管理者」に対し事前の書面による通知を行うものとする。
「データ管理者」は、上記の新規採用又は解任に対し、通知期間内に異議を述べる権利を有する。「データ管理者」による異議は、異議の明確な理由を示した書面により提出しなければならない。「データ管理者」が規定による４週間の通知期間内に異議を述べなかった場合、「処理者」は「再委託先」の新規着任又は解任を進めることができる。

「Cognite」の全「再委託先」のリストは次のリンクに掲載のとおり（https://www.cognite.com/en/legal/cognite-sub-processors）。

１２．EU/EEA域外の「再委託先」
「データ処理者」が「個人データ」をEU/EEA域外の「再委託先」に移転する場合、「データ処理者」はその移転が「GDPR」第5章に準拠していることを確認する責任を負うものとする。「個人データ」がEU/EEA域内で保持又は保管される場合でも、データにアクセスできる人員がEU/EEA域外に所在する場合には同様の責任を負うものとする。
「両当事者」は、本「データ処理契約」に署名することにより、標準契約条項に関する欧州委員会の2021年6月4日実施決定により採択され改訂された標準契約条項（以下、「SCC」という。）に、署名したものとみなすことに同意するものとする。「データ管理者」及び「データ処理者」は、EU/EEA域外の「再委託先」が処理した「個人データ」についてEU基準による保護を確保するために、EUにて示された「SCC」上に規定されている以下のオプション条項を選択し、かつ、以下に記載されていないオプション条項を除外することに同意した：
 第9条：「再委託先」の起用；
 条項9(a) - MODULE TWOにおいて：「データ管理者」から「データ処理者」に転送する場合、OPTION 2を選択；
条項 9(a) - MODULE THREEにおいて：「データ処理者」から「データ処理者」に転送する場合、OPTION 2を選択
「SCC」のこれらの条項に関する詳細な情報は、付属書１に規定する。
付属書１- 「データ処理者」の提供するデータ処理サービスについての情報
「プロフェッショナル・サービス」（「コンサルタントサービス」を含む）、「サブスクリプションアイテム」及び該当する場合には「Cogniteアカデミー」の提供。

データ処理の目的及び性質
「プロフェッショナル・サービス」、及び/又は「CDF」及び「Cogniteアプリケーション」、及び該当する場合には「Cogniteアカデミー」へのアクセスを提供する行為における「個人データ」の「処理」。

「個人データ」のカテゴリー
 「データ管理者」によって「CDF」に移転された「個人データ」。
 「データ処理者」が「プロフェッショナル・サービス」を提供できるようにするために「データ管理者」によってアクセス可能にされた「個人データ」。
 Cognite Technology（ログデータ、IPアドレス、通信内容など）の使用に関連する「個人データ」。
 連絡先、名前、電子メールアドレス、役職。
 追加的に、「データ管理者」従業員の「Cogniteアカデミー」の使用、受講完了状況及びグレードに関する情報を処理する場合があります。

データ主体のカテゴリー
 「データ管理者」の従業員及びコンサルタント

データの保持期間
 別段の合意がない限り、本契約の期間中。

データ移転の頻度（例：データが単発で移転されるか、継続的に移転されるか）
 「個人データ」は継続的に移転。

管轄の監督官庁の指定
 Datainspektionen（スウェーデン）及びDatatilsynet（ノルウェー）