Google とお客様は、当該契約を補完する、Google 測定データ管理者間のデータ保護に関する条項(以下「管理者条項」)を締結しました。管理者条項に追加された、米国のプライバシー関連州法のデータ管理者に関する本追加条項(本「プライバシー関連州法の管理者に関する追加条項」)は、Google とお客様により締結され、当該契約を補完するものです。本追加条項は、2023 年 1 月 1 日以降、お客様が本追加条項にクリックして同意した、または当事者間で本追加条項が他の方法により同意された日に発効します。
1. はじめに。
Google は、制限付きデータ処理(https://privacy.google.com/businesses/rdp/、随時更新、以下「制限付きデータ処理」)に関連する測定サービスの設定、構成、その他の機能を提供することがあり、お客様はこうした設定や機能を有効にすることができます。プライバシー関連州法の管理者に関する本追加条項は、(制限付きデータ処理が有効になっていない場合の)データの共有設定のみに関するデータ保護規定を提示するもので、測定サービスの提供に適用されるものではありません。制限付きデータ処理などの Google サービスの使用において適用される各プライバシー関連州法の遵守に対しては、お客様のみが責任を負うものとします。
プライバシー関連州法の管理者に関する本追加条項は、適用されるプライバシー関連州法(以下に定義)に関連するデータ共有設定に基づいてお客様の個人データと匿名化されたデータ(以下に定義)が処理されることに両当事者が合意したことを反映しており、また各プライバシー関連州法が適用される範囲においてのみ有効です。
2. 定義と解釈。
2.1 「適用されるプライバシー関連州法」とは、場合に応じて以下を意味します。(a)CCPA、(b)バージニア州の消費者データ保護法(Va. Code Ann. § 59.1-571 et seq.)、(c)すべての施行規則を含むコロラド州のプライバシー法(Colo. Rev. Stat. § 6-1-1301)、(d)データのプライバシーとオンライン モニタリングに関するコネチカット州の法律(Pub. Act No. 22015)、(e)ユタ州の消費者プライバシー法(Utah Code Ann. § 13-61-101 et seq.)
2.2 「CCPA」とは、すべての施行規則を含む、2018 年のカリフォルニア州消費者プライバシー法(カリフォルニア州プライバシー権法(2020 年のカリフォルニア州プライバシー権法による修正を含む)を意味します。
2.3 「匿名化されたデータ」とは、ある当事者から他の当事者に開示される場合における、CCPA で定義される「匿名化」されたデータの情報、およびその他の適用されるプライバシー関連州法で適用される「匿名化されたデータ」を意味します。
2.4 プライバシー関連州法の管理者に関する追加条項に含まれる次の用語は、適用されるプライバシー関連州法で定義されている意味で使用されています。「ビジネス」、「消費者」、「管理者」、「個人データ」、「個人情報」、「処理」、販売」
2.5 プライバシー関連州法の管理者に関する追加条項で定義されていない用語(英語原本で大文字化されている用語)は、当該管理者条項で定義される意味で使用されています。
3. 適用されるプライバシー関連州法の条項。
3.1 匿名化されたデータ。各当事者は、データ共有設定に従って相手方から受け取るいかなる匿名化されたデータについても、適用されるプライバシー関連州法で定められた匿名化されたデータの処理に関する要件を遵守するものとします。
3.2 Google の CCPA 遵守義務。データ共有設定に従って制限付きデータ処理を有効にせずに処理されるお客様の個人データについて、および、CCPA がお客様の個人データの処理に適用される範囲において、当事者は以下を実施します。
- (a)Google は、本契約および補足書類(ヘルプセンター記事など)に詳述されているとおり、または CCPA で認められているとおり、データ共有設定に従ってお客様の個人データを処理します。また当事者は、お客様が、そのような目的でお客様の個人データを Google が使用できるようにすることに同意します。
- (b)Google は、監査において、プライバシー関連州法の管理者に関する追加条項に基づく、以下の義務の遵守の確認を受け入れます。
- (i)お客様は、次の 2 点を要請し確認することで、プライバシー関連州法の管理者に関する追加条項に基づく義務を Google が遵守しているかどうかを確認するための監査を実施できます。(1)お客様が要請を行う時点で、過去 12 か月以内に第三者監査人が実施した監査の結果を反映し、セキュリティ確認の目的で発行された証明書(例: ISO/IEC 27001 証明書または同等の証明書、その他、お客様と Google の間で合意された第三者監査人が実施した監査の証明書)、および(2)こうした遵守状況をお客様が確認するために合理的に必要であると Google が判断したその他の情報。
- (ii)また、Google は、独自の裁量およびお客様からの要請に応じて、プライバシー関連州法の管理者に関する追加条項に基づく義務を Google が遵守していることの確認を第三者の監査機関に依頼することもできます。こうした監査の過程で、Google は、義務の遵守を証明するために必要なすべての情報を、第三者の監査機関が使用できるようにします。お客様がこうした監査の実施を要請した場合、Google はいかなる監査についても(Google の合理的な費用に基づいて)手数料を請求できます。Google は、こうした監査を実施する前に、該当する費用の明細と算出基準をお客様に提示します。こうした監査を実施するための手数料は、いかなる第三者監査人から請求されたものも、お客様が負担するものとします。
- (iii)プライバシー関連州法の管理者に関する追加条項が、以下の情報をお客様もしくはその第三者監査人に開示すること、および以下の情報にお客様もしくは第三者監査人がアクセスするのを許可することを Google に義務づけることはありません。
- (1)お客様以外の Google 事業体の顧客のデータ。
- (2)Google 事業体の内部会計または財務情報。
- (3)Google 事業体の営業秘密。
- (4)Google の合理的な見解から次の可能性がある情報。(a)Google 事業体のシステムまたは施設のセキュリティを侵害する可能性がある情報、または(b)Google 事業体を、適用されるプライバシー関連州法に基づく義務またはセキュリティとプライバシーのいずれかまたは両方についてお客様または第三者に対して負っている義務に違反せしめる可能性がある情報。
- (5)お客様または第三者監査人が、適用されるプライバシー関連州法に基づくお客様の義務を誠意に基づいて履行するため以外の理由でアクセスを求めている情報。
- (c)Google は、CCPA に基づく義務を履行できなくなったと判断した場合、お客様に通知します。
- (d)Google がお客様の個人データを不正に処理しているとお客様が合理的に判断した場合、お客様は、privacy.google.com/businesses/processorsupport に記載されている方法で、その判断を Google に通知する権利を有します。当事者は必要に応じて、誠意を持って協力し、違反と判断された処理を是正します。
- (e)Google は、CCPA に基づく義務を遵守し、CCPA で定められているものと同じ水準のプライバシー保護を提供します。
4. プライバシー関連州法の管理者に関する追加条項の変更。
管理者条項の第 9 項(本管理者条項の変更)に加えて、Google は、次の場合に、通知なしにプライバシー関連州法の管理者に関する追加条項を変更することがあります。(a)変更が適用法、適用される規制、裁判所命令、もしくは政府規制機関または政府機関が発行したガイダンスに基づいている場合、または、(b)変更を行っても、適用されるプライバシー関連州法の下でお客様に重大な悪影響が及ばないと Google が合理的に判断した場合。
2023 年 1 月 1 日