プライバシー ポリシー

Google 広告データ処理に関する、米国のプライバシー関連州法のサービス プロバイダおよび処理者向け付加条項(U.S. State Privacy Laws Service Provider and Processor Addendum to Google Ads Data Processing Terms)

Google とお客様は、本契約を補完する、Google 広告データ処理規約(以下「データ処理規約」)またはGoogle 広告データ管理者間のデータ保護規約(以下「管理者規約」)(以下、場合に応じてそれぞれ「データ保護規約」)を締結しました。データ保護規約に追加された、米国州法のサービス プロバイダおよび処理者向け本付加条項(以下「プライバシー関連州法の処理者向け本付加条項」)は、Google とお客様により締結され、本契約を補完するものです。プライバシー関連州法の処理者向け本付加条項は、適用されるプライバシー関連州法(以下に定義)に関連する本契約に基づいてお客様の個人データが処理されることに両当事者が合意したことを反映しており、また各プライバシー関連州法が適用される範囲においてのみ有効です。

1.じめに。

Google は、business.safety.google/rdpで提供されているサポート文書(随時更新)に記載されている制限付きデータ処理(以下「制限付きデータ処理」)に関連する(場合に応じて)データ処理者サービスまたはデータ管理者サービスの設定、構成、その他の機能を提供することがあり、お客様はこれらの設定や機能を有効にすることができます。プライバシー関連州法の処理者向け本付加条項は、制限付きデータ処理が有効になっている範囲において適用され、2023 年 1 月 1 日、またはお客様が本付加条項にクリックして同意もしくは当事者らがプライバシー関連州法の処理者向け本付加条項に他の方法で同意した日のいずれか遅い日に発効します。

2. 定義と解釈。

2.1

適用されるプライバシー関連州法」とは、場合に応じて、以下を意味します。(a) CCPA、(b) バージニア州の消費者データ保護法(Va. Code Ann. § 59.1-571以下)、(c) すべての施行規則を含むコロラド州のプライバシー法(Colo. Rev. Stat. § 6-1-1301)、(d) データのプライバシーとオンライン モニタリングに関するコネチカット州の法律(Pub. Act No. 22015)、および (e) ユタ州の消費者プライバシー法(Utah Code Ann. § 13-61-101以下)

2.2CCPA」とは、すべての施行規則を含む、2018 年のカリフォルニア州消費者プライバシー法(2020 年のカリフォルニア州プライバシー権法による修正、その他の修正を含む)を意味します。

2.3匿名化されたデータ」とは、ある当事者から他の当事者に開示される場合における、CCPAで定義される「匿名化」されたデータの情報、およびその他の適用されるプライバシー関連州法で適用される「匿名化されたデータ」を意味します。

2.4指示等」とは、お客様がGoogle に対して行う、適用されるプライバシー関連州法に従ってお客様の個人データを処理するための指示であって、(a) RDPサービスおよび関連する技術サポートを提供することを目的とし、(b) お客様によるRDPサービスおよび一切の関連技術サポートの使用を通じて詳細に指定され(当該サービスの設定およびその他の機能によるものを含みます。)、(c) 本契約(プライバシー関連州法の処理者向け本付加条項を含みます。)の形で文書化されたとおりとし、さらに、(d) プライバシー関連州法の処理者向け本付加条項のための指示を構成するものとして、お客様が行い、Google が確認したその他の書面による指示で文書化されたものがあればそのとおりとし、(e) サービス プロバイダおよび処理者に、適用されるプライバシー関連州法に基づいて認められたとおりにお客様の個人データを処理することを目的としたもののみを、総称して意味します。

2.5RDPサービス」とは、データ保護規約に従い、場合に応じて処理者サービスまたは管理者サービスのいずれかであって、制限付きデータ処理の下で行われるものを意味します。

2.6 プライバシー関連州法の処理者向け本付加条項に含まれる次の用語は、適用されるプライバシー関連州法で定義されている意味で使用されます。「ビジネス」、「消費者」、「管理者」、「個人データ」、「個人情報」、「処理」、「処理者」、「販売」、「サービス プロバイダ」および「共有」。

2.7 プライバシー関連州法の処理者向け本付加条項で定義されていない用語(英語原文文で大文字化されている用語)は、データ処理規約で定義される意味で使用されます。

3. 適用されるプライバシー関連州法の条項。

制限付きデータ処理に基づき処理されるお客様の個人データについて、また、一つまたは複数の適用されるプライバシー関連州法がお客様の個人データの処理に適用される範囲において、当事者は以下を実施します。

3.1. データの処理。

3.1.1 役割および規制の遵守、権限の付与。

(a)処理者および管理者の責任。両当事者は、以下を認め、これに同意します。

(i)プライバシー関連州法の処理者向け本付加条項の別紙1は、お客様の個人データの処理の対象事項および詳細を定めるものです。

(ii)Google は、適用されるプライバシー関連州法における、サービス プロバイダおよびお客様の個人データの処理者です。

(iii)お客様は、適用されるプライバシー関連州法における、お客様の個人データの(場合に応じて)管理者または処理者です。

(iv)各当事者は、お客様の個人データの処理に関して、適用されるプライバシー関連州法に基づき自らに適用される義務を遵守します。

(b)処理者であるお客様。お客様が処理者の場合:

(i)お客様は、関連する管理者が、(1) 指示等、(2) お客様がGoogle を追加の処理者として指名すること、および(3) プライバシー関連州法の処理者向け本付加条項の第3.6項(委託業者)に記載のとおり、Google が委託業者と契約すること、を承認したことを継続的に保証します。

(ii)お客様は、第3.3.2項(a)(インシデント通知)および第3.6項(委託業者)に基づきGoogle から提供された通知について、直ちに関連する管理者に転送するものとします。

(iii)お客様は、第3.3.3項(c)(お客様の監査権)および第3.6項(委託業者)に基づきGoogle から提供された情報を、関連する管理者の利用に供することができます。

3.1.2 お客様の指示等。お客様は、プライバシー関連州法の処理者向け本付加条項を締結することにより、Google に対し、指示等に従った形に限って、お客様の個人データを処理するよう指示します。

3.1.3 Google による指示等の遵守。Google は、適用されるプライバシー関連州法に基づき禁止されていない限り、指示等に従います。

3.1.4 追加製品。お客様が、Google または第三者から提供された製品、サービスまたはアプリケーションのうち、(a) RDPサービスの一部ではなく、かつ(b) RDPサービスのユーザー インターフェース内での使用のためにアクセス可能であるか、またはその他の形でRDPサービスと統合されているもの(以下「追加製品」)を使用した場合、RDPサービスは、追加製品とRDPサービスとの相互運用のために必要とされるところに従い、当該追加製品がお客様の個人データにアクセスすることを許可する場合があります。明確にするために付言すると、プライバシー関連州法の処理者向け本付加条項は、お客様が使用する追加製品の提供に関連する個人データ(当該追加製品によって送受信される個人データを含みます。)の処理には適用されません。

3.2. 期間満了時のデータ削除。 お客様は、適用法に従い、本契約期間終了時に残りのすべてのお客様の個人データ(既存のコピーを含みます。)を、Google のシステムから削除するようGoogle に指示します。Google は、合理的に実行可能な限り速やかにこの指示に従います。

3.3. データ セキュリティ。

3.3.1Google のセキュリティ対策および支援。
(a)

Google のセキュリティ対策。 Google は、お客様の個人データを偶発的または違法な破壊、損失、改ざん、不正な開示またはアクセスから保護するための技術的および組織的対策(以下「セキュリティ対策」)を実施し、維持します。セキュリティ対策には、以下の措置が含まれます。(a)個人データの暗号化、(b)Google のシステムおよびサービスの継続的な機密性、完全性、可用性および耐障害性を確保することを支援すること、(c)インシデント後の個人データへの適時のアクセスの回復を支援すること、ならびに(d)有効性の定期的なテスト。Google は、セキュリティ対策を随時更新または修正することができますが、当該更新または修正が、お客様の個人データの全体的なセキュリティの低下をもたらさないことを前提とします。

(b)

アクセス権およびコンプライアンス。Google は、お客様の個人データを処理する権限を有するすべての者が、守秘義務を遵守していること、または適切な制定法上の守秘義務を負っていることを保証します。

(c)

Google によるセキュリティ支援。 Google は、お客様が個人データのセキュリティおよび個人データの侵害に関するお客様の(または、お客様が処理者である場合は、関連する管理者の)義務(適用されるプライバシー関連州法に基づくお客様の(または、お客様が処理者である場合は、関連する管理者の)義務を含みます。)を満たすために、お客様の個人データの処理の性質およびGoogle が利用できる情報を考慮して)以下の方法によりお客様を支援します。

(i)

第3.3.1項(a)(Google のセキュリティ対策)に従いセキュリティ対策を実施および維持すること。

(ii)

第3.3.2項(データ インシデント)の条項を遵守すること。

(iii)

第3.3.3項(c)(お客様の監査権)に基づき付与される権利をお客様に提供すること。

3.3.2データ インシデント。
(a)

インシデント通知。 Google は、データ インシデント(以下に定義)を認識した場合、(i)不当な遅滞なく、お客様に当該データ インシデントを通知し、(ii)被害を最小限に抑え、お客様の個人データを保護するために合理的な措置を速やかに講じます。プライバシー関連州法の処理者向け本付加条項において、「データ インシデント」とは、Google が管理その他支配するシステム上のお客様の個人データの偶発的または違法な破壊、損失、改変、不正な開示またはアクセスにつながるGoogle のセキュリティ侵害を意味します。「データ インシデント」には、功を奏さなかったログイン試行、ping、ポートスキャン、サービス拒否攻撃、およびファイアウォールまたはネットワーク化されたシステムに対するその他のネットワーク攻撃を含む、お客様の個人データのセキュリティを侵害しない、功を奏さなかった試行または活動は含まれません。

(b)

通知の交付。 Google は、プライバシー関連州法の処理者向け本付加条項に関連してGoogle から一定の通知を受けるためにRDPサービスのユーザー インターフェースを通じて、もしくはGoogle が提供するその他の手段により、お客様により指定された電子メールアドレス(以下「通知用電子メールアドレス」)宛てに、または、Google の裁量により(お客様から通知用電子メールアドレスの提供がない場合を含みます。)その他の直接通信(例えば、電話、電子メール、または面談など。)により、データ インシデントの通知を交付します。お客様は、通知用電子メールアドレスを提供すること、および通知用電子メールアドレスが最新で有効であることを確保することについて、単独で責任を負います。

(c)

第三者通知。 お客様は、お客様に適用されるインシデント通知関連法を遵守すること、およびデータ インシデントに関連する第三者通知義務を履行することについて、単独で責任を負います。

(d)

Google の帰責性を認めるものではないこと。 本第3.3.2項(データ インシデント)に基づくデータ インシデントに関するGoogle の通知または対応は、Google がデータ インシデントに関する過失または責任を認めたものと解釈されてはなりません。

3.3.3お客様のセキュリティに関する責任および評価。
(a)

お客様のセキュリティに関する責任。 お客様は、第3.3.1項(Google のセキュリティ対策および支援)ならびに第3.3.2項(データ インシデント)に基づくGoogle の義務に影響を与えない前提で、以下に同意するものとします。

(i)

お客様は、以下を含めたRDPサービスの使用に責任を負います。(1) お客様の個人データに関するリスクに対し適切な水準のセキュリティを確保するために、RDPサービスを適切に使用すること、および(2) お客様がRDPサービスへのアクセスのために使用するアカウント認証のための認証情報、システムおよびデバイスを保護すること。

(ii)

Google は、お客様がGoogle およびその委託業者のシステム外で保存または転送することを選択したお客様の個人データを保護する義務を負いません。

(b)

お客様のセキュリティ評価。 お客様は、第3.3.1項(a)(Google のセキュリティ対策)に規定される、Google が実施し維持するセキュリティ対策は、業界水準、実施費用ならびにお客様の個人データの処理の性質、範囲、経緯および目的、ならびに個人に対するリスクを考慮の上、お客様の個人データに係るリスクに対して適切な水準のセキュリティを提供するものであることを認め、これに同意するものとします。

(c)

お客様の監査権。

(i)

お客様は、次の2点を要請し確認することで、プライバシー関連州法の処理者向け本付加条項に基づく義務を Google が遵守しているかどうかを確認するための監査を実施できます。(1)お客様が要請を行う時点で、過去 12 か月以内に第三者監査人が実施した監査の結果を反映し、セキュリティ確認の目的で発行された証明書(例: SOC 2 Type IIまたはISO/IEC 27001 証明書もしくは同等の証明書、その他、お客様と Google との間で合意された第三者監査人が実施した監査によるセキュリティ証明書)、および(2)こうした遵守状況をお客様が確認するために合理的に必要であると Google が判断したその他の情報。

(ii)

他方、Google は、独自の裁量およびお客様からの要請に応じて、プライバシー関連州法の処理者向け本付加条項に基づく義務をGoogle が遵守していることを確認するために、第三者による監査を実施することもできます。当該監査の過程で、Google は、義務の遵守を証明するために必要なすべての情報を、第三者の監査機関が使用できるようにします。お客様が当該監査の実施を要請した場合、Google はいかなる監査についても(Google の合理的な費用に基づいて)手数料を請求できます。Google は、当該監査の実施前に、該当する費用の明細と算出基準をお客様に提示します。また、当該監査を実施するための手数料は、お客様が指名したいかなる第三者監査人から請求されたものも、お客様が負担するものとします。

(iii)

プライバシー関連州法の処理者向け本付加条項が、以下の情報をお客様もしくはその第三者監査人に開示すること、および以下の情報へのお客様もしくは第三者監査人のアクセスを許可することを Google に義務づけることはありません。

(1)

お客様以外のGoogle 事業体の顧客に関する一切のデータ。

(2)

Google 事業体の内部会計または財務情報。

(3)

Google 事業体の営業秘密。

(4)

Google の合理的な見解において、次の可能性がある情報。(a) Google 事業体のシステムまたは施設のセキュリティを侵害する可能性がある情報、または(b) Google 事業体をして、適用されるプライバシー関連州法に基づく義務またはセキュリティとプライバシーのいずれかまたは両方についてお客様または第三者に対して負っている義務に違反せしめる可能性がある情報。

(5)

お客様または第三者監査人が、適用されるプライバシー関連州法に基づくお客様の義務を誠実に履行するため以外の理由でアクセスを求めている情報。

3.4 影響評価の支援。 Google は、適用されるプライバシー関連州法に基づき要求される範囲で、データ保護の影響評価に関するお客様の(または、お客様が処理者である場合は、関連する管理者の)義務を満たすために、(処理の性質およびGoogle が利用できる情報を考慮して)以下の方法によりお客様を支援します。

(a) セキュリティ文書の提供。

(b) 本契約(プライバシー関連州法の処理者向け本付加条項を含みます。)に含まれる情報の提供。

(c) RDPサービスの性質およびお客様の個人データの処理に関するその他の資料(例えば、ヘルプセンターの資料)を、Google の標準的な取り扱いに従い、提供またはその他の方法で利用可能にすること。

3.5. データ主体の権利。

3.5.1 データ主体の要求への応答。Google がお客様の個人データに関する要求をデータ主体から受けた場合、お客様は、本項をもって以下のいずれかを行うことをGoogle に許可し、Google は、本項をもって、これを行うことをお客様に通知します。

(a)

Google が、お客様の個人データに関連するデータ主体からの特定の要求に直接かつ定型的な方法で対応することを可能にする、Google 事業体がデータ主体に対し提供するツール(もしあれば)(例えば、オンライン広告設定やオプトアウト ブラウザープラグイン)(以下「データ主体ツール」)の標準機能に従って、データ主体の要求に直接対応すること(要求がデータ主体ツールを介して行われる場合)。

(b)

要求をお客様に対し提出するようデータ主体に対し助言すること。お客様は、当該要求に対応することに責任を負うこととします(要求がデータ主体ツールを介して行われない場合)。

3.5.2 Google によるデータ主体の要求支援。Google は、お客様の個人データの処理の性質を考慮し、以下の方法により、お客様がデータ主体の権利行使の要求に対応するために、適用されるプライバシー関連州法に基づくお客様の(または、お客様が処理者である場合は、関連する管理者の)義務を履行することを支援します。

(a)

RDPサービスの機能を提供すること。

(b)

第3.5.1項(データ主体の要求への応答)に定める誓約を遵守すること。

(c)

RDPサービスに該当する場合は、データ主体ツールを利用可能にすること。

3.5.3訂正。 お客様の個人データが不正確または古いものであることをお客様が認識した場合、お客様は、適用されるプライバシー関連州法により要求される場合は、RDPサービスの機能の使用を含め(利用可能な場合)、当該データを訂正または削除する責任を負うものとします。

3.6. 委託業者。

(a)

お客様は一般的に、RDPサービスの提供に関連してGoogle が他の事業体を委託業者として起用することを許可します。委託業者を起用する場合、Google は以下を行います。

(i)

(1) 委託業者が、委託された義務を履行するために必要な範囲においてのみお客様の個人データにアクセスしこれを使用すること、およびかかるアクセスおよび使用を本契約(プライバシー関連州法の処理者向け本付加条項を含みます。)に従って行うことを、書面による契約により確保し、(2) お客様の個人データの処理について、適用されるプライバシー関連州法が適用される場合は、プライバシー関連州法の処理者向け本付加条項に定めるデータ保護の義務が委託業者にも課されることを確保すること。

(ii)

新たな委託業者を起用する際には、適用されるプライバシー関連州法により要求される場合には当該新たな委託業者の起用について通知し、さらに、適用されるプライバシー関連州法により要求される場合には当該委託業者につき異議を申し立てる機会をお客様に提供すること。

(iii)

委託業者に委託したすべての義務ならびに委託業者によるすべての作為および不作為について引き続き全責任を負うこと。

(b)

お客様は、Google に対する書面による通知により直ちに本契約を都合により解除することにより、新たな委託業者につき異議を申し立てることができます。ただし、お客様が、本契約第3.6項(a)(ii)に定める新たな委託業者を起用することの通知を受けてから90日以内に、当該通知を行うことを条件とします。

3.7 Google との連絡。 お客様は、プライバシー関連州法の処理者向け本付加条項に基づく権利の行使に関して、privacy.google.com/businesses/processorsupportに記載されている方法またはGoogle が適宜提供するその他の手段により、Google に連絡することができます。


3.8. 匿名化されたデータ。 各当事者は、本契約に従って相手方から受け取るいかなる匿名化されたデータについても、適用されるプライバシー関連州法で定められた匿名化されたデータ処理に関する要件を遵守するものとします。


4.Google のCCPA上の義務。

制限付きデータ処理に基づき処理されるお客様の個人データに関して、かつ、当該お客様の個人データの処理にCCPAが適用される範囲において、Google は、お客様のサービス プロバイダとして行為し、Google が合理的に判断するところに従い、CCPAに基づきサービス プロバイダとして別途認められない限り、以下を行います。

(a) Google は、本契約に関連してお客様から入手した一切のお客様の個人データの販売または共有を行わないものとします。

(b) Google は、business.safety.google/rdp(随時更新)で入手可能な補足書類に詳述されているとおり、お客様に代わってCCPAに基づくビジネス目的およびRDPサービスを履行する特定の目的以外のために、お客様の個人データを保持、使用、または開示しないものとします(Google とお客様の直接的なビジネス関係の範囲外における場合を含みます)。

(c) Google は、CCPAで認められている場合を除き、business.safety.google/rdpで入手可能な補足書類に詳述されているとおり、Google がお客様から、またはお客様のために受領するお客様の個人データを、(i) Google が他の者から、もしくは他の者のために受領する個人情報、または(ii) Google 自身による消費者とのやり取りから収集された個人情報と組み合わせないものとします。

(d) Google は、本契約および補足書類(ヘルプセンター記事など)に詳述されているデータ管理者サービスを遂行するという特定の目的のため、またはその他CCPAで認められているとおり、お客様の個人データを処理します。また当事者らは、お客様が、そのような目的でお客様の個人データを Google が使用できるようにすることに同意します。

(e) Google は、プライバシー関連州法の処理者向け本付加条項第3.3.3項(c)(お客様の監査権)に従って、プライバシー関連州法の処理者向け本付加条項に基づく義務をGoogle が遵守していることを検証するための監査を許可するものとします。

(f) Google は、Google がCCPAに基づく義務を履行できなくなったと判断した場合、お客様に通知します。本第4項(f)は、本契約のその他の条項に定めるいずれかの当事者の権利および義務を軽減するものではありません。

(g) Google がお客様の個人データを不正に処理しているとお客様が合理的に判断した場合、お客様は、privacy.google.com/businesses/processorsupport に記載されている方法で、その判断をGoogle に通知する権利を有します。当事者は必要に応じて、誠意を持って協力し、違反と主張されている処理を是正します。

(h) Google は、CCPAに基づく義務を遵守し、CCPAで定められているものと同じ水準のプライバシー保護を提供します。

5. 制限付きデータ処理。

お客様は、制限付きデータ処理を含めた、お客様によるGoogle サービスの使用において適用される各プライバシー関連州法の遵守について、単独で責任を負います。

6. プライバシー関連州法の処理者向け付加条項の変更。

(場合に応じて)データ処理規約第15項(本データ処理規約の変更)または管理者規約第 10 項(本管理者規約の変更)に加えて、Google は、次の場合に、通知なくプライバシー関連州法の処理者向け本付加条項を変更することがあります。(a) 変更が適用法、適用される規制、裁判所命令、もしくは政府規制機関または政府機関が発行したガイダンスに基づいている場合、または、(b) 変更を行っても、適用されるプライバシー関連州法の下でお客様に重大な悪影響が及ばないとGoogle が合理的に判断した場合。

別紙1: データ処理の対象事項および詳細

対象事項

Google によるお客様へのRDPサービスおよび関連する技術サポートの提供。

処理期間

本契約期間に、本契約期間終了後、Google がプライバシー関連州法の処理者向け本付加条項に従い、すべてのお客様の個人データを削除するまでの期間を加えた期間。

処理の性質および目的

Google は、プライバシー関連州法の処理者向け本付加条項に従い、または適用されるプライバシー関連州法に基づき処理者が許可する方法で、RDPサービスおよびこれに関連する技術サポートをお客様に提供することを目的として、お客様の個人データを処理(RDPサービスならびに指示等に応じて、収集、記録、整理、構築、保管、改変、検索、使用、開示、統合、消去および破棄を含みます。)します。

個人データの種類

お客様の個人データには、適用されるプライバシー関連州法に規定される種類の個人データが含まれる場合があります。

データ主体のカテゴリー

お客様の個人データは、以下のカテゴリーのデータ主体に関するものです。

  • Google がRDPサービスの提供において個人データを収集するデータ主体、および/または

  • RDPサービスに関連して、お客様により、お客様の指示により、もしくはお客様のために個人データがGoogle に転送されるデータ主体。

RDPサービスの性質に応じて、これらのデータ主体には、以下の個人が含まれる場合があります。(a) オンライン広告の対象となった、もしくは対象となる個人、(b) Google がRDPサービスを提供している特定のウェブサイトもしくはアプリケーションを閲覧したことがある個人、および/または(c) お客様の製品もしくはサービスの顧客もしくはユーザーである個人。

2023 年 1 月 1 日

本付加条項の上記日本語訳は参考訳です。いかなる場合においても、英語と日本語の間に齟齬が生じた時は、英語の原文が優先します。