マスターライセンス契約 – データ管理者とデータ処理者間のデータ処理に関する付則
STATS PERFORM – コントローラーからプロセッサーへのデータ処理に関する「チームパフォーマンス・マスター・ライセンス契約」の付則
本「管理者と処理者間のデータ処理補足契約」(以下、本契約に添付される付録、別紙およびスケジュール(以下、総称して「DPA」)を含む。適用される場合)は、Team Performanceマスターライセンス契約(「MLA」) 作業指示書および/または(該当する場合)その他の契約(以下、総称して「本契約」)の一部を構成し、これに含まれるものとします。本契約は、お客様に提供されるプラットフォーム経由サービス(作業指示書およびMLAで言及されるもの)の特定のサービスに関連するものであり、お客様(以下、「ライセンシー」または「お客様」または「お客様の」)に対し、本契約に基づき提供されるプラットフォーム経由サービス(ワークオーダーおよびMLAで言及されるもの)の特定のサービスに関連して、お客様がデータ管理者であり、本契約の当事者であるPerform Content Limitedまたは関連する関連会社(当該当事者を「Stats Perform」または「当社」、「私たち」または「当社の」といいます)がデータ処理者としての役割を果たす場合、本DPAは、本契約の一部を構成し、本契約に組み込まれます。
MLAの条項と本DPAの条項との間に矛盾がある場合、本DPAの条項が優先する。これを条件として、MLAはその他の点において引き続き完全に効力を有する。
ここに、以下の通り合意する。
1. 定義
1.1. 本DPAにおいて、大文字で表記された用語は、以下に定める意味、または場合によっては本契約の他の箇所に定める意味を有するものとします。
| アフィリエイト | 「当事者」とは、契約期間中、随時、当事者を直接または間接に支配する者、当事者によって支配される者、または当事者と共に共通の支配下にある者をいう。 |
| データ保護法 | とは、当事者に適用される、プライバシーおよび/または個人データの保護に関するすべての法令、法律、二次法規および規則を意味し、該当する場合、以下を含む:(i) EUに関しては、一般データ保護規則(EU)2016/679(「EUGDPR」)および、これを施行し、これに取って代わり、またはこれを補完するすべての関連する加盟国の法律または規則; (ii) 英国に関しては、2018年データ保護法(「UKDPA」)、UK GDPR(UK DPAにおいて定義される意味を有するもの)(「UKGDPR」)、および2003年プライバシー・電子通信(EC指令)規則(SI 2003/2426); および(iii) これらを随時施行、改正、拡大、再制定、置き換え、統合、または補足する適用される法令。 |
| EU標準契約条項 | とは、2021年6月4日付の欧州委員会実施決定(EU)2021/914の附属書に規定され(リンク先から入手可能)、 その関連する付属書は本DPAに規定されており、またはこれらを修正、置換、または優先する欧州委員会により承認された条項のセットをいう。 |
| ICO UK 補遺 | とは、英国データ保護法(UK DPA)第119A条に基づき、英国情報コミッショナーが発行した、EU標準契約条項(SCCs)に対する「国際データ移転に関する補足条項」を指し、これは2022年3月21日に発効したものである(リンク先から入手可能)。 |
| 国際移籍 | とは、EU一般データ保護規則(GDPR)または英国一般データ保護規則(GDPR)(いずれか適用されるもの)の第5章の適用を受ける移転をいう。 |
| 国際移籍条項 | とは、EU標準契約条項(SCC)および、該当する場合はICO UK補遺を意味する。 |
| ライセンシーの個人データ | 「ライセンシーデータ」とは、本DPAの別紙に記載され、本サービスに関連して当社が処理する、MLAに定義される「ライセンシーデータ」に含まれるあらゆる個人データを指します。本DPAの第2.2条に従い、これにはライセンシーの関連会社の個人データが含まれる場合があります。 |
| サービス | 本契約に基づき提供されるプラットフォーム経由のサービスを指す。 |
1.2.「データ主体」、「個人データ」、「処理」およびその派生語、ならびに「管理者」および「処理者」という用語は、データ保護法において定義される意味を有するものとします。
2. 予約
2. 1. Stats Performがライセンシーに本サービスを提供する過程において、ライセンシーは、処理のためにライセンシー個人データを本サービスに提供または入力する場合があります。 かかる目的において、ライセンシーはデータ管理者となり、Stats Performはデータ処理者となり、本DPAは当該状況に適用される。Stats Performがライセンシーに代わって行うライセンシー個人データの処理の対象(性質、目的、期間、その他の側面を含む)は、本DPAの別紙に規定されている。
2.2. ライセンシー個人データには、ライセンシーの関連会社がデータ管理者である個人データが含まれる場合があります。ライセンシーは、本サービスに関連してStats Performがライセンシー個人データを処理することに関して、ライセンシーの関連会社を代表して、Stats Performに対し指示その他の要件を伝達する権限を有することを確認するものとします。
2.3. Stats Performは、本サービスの提供に必要な範囲、または当事者間で書面により別途合意された範囲において、ライセンシーおよび/またはライセンシーの関連会社(状況に応じて)に代わってライセンシーの個人データを処理するため、ライセンシーにより任命される。
2.4. ライセンシーは、自身およびその関連会社(以下「関連会社」という)が、データ保護法に従い、以下の事項を保証する唯一の責任を負うことを認め、かつ、以下を保証し表明する。 ライセンシー個人データのいかなる処理も適切な法的根拠に基づいて行われ、当該データの処理に際して適切な通知が関連するデータ主体に提供され、ライセンシー個人データが正確かつ最新のものであり、かつ当該データに関して適切なデータ保存期間が定義され実施されていることを保証し、表明する。
3. 期間
本DPAは発効日から適用され、本契約または本サービスの終了または満了(以下「契約期間」という)まで、その効力を維持するものとします。
4. データ保護コンプライアンス
4.1. 契約期間中、処理者としての立場においてライセンシーの個人データを処理するにあたり、法令に別段の定めがある場合を除き、Stats Performは以下の事項を遵守することに同意する:
4.1.1. ライセンシーの個人データの処理に関して、適用されるデータ保護法を遵守すること;
4.1.2. ライセンシーの個人データは、本サービスの提供に関連して必要とされる場合に限り、本サービスの文脈においてライセンシーが随時合理的に与える文書化された適法な指示に従い、また匿名化されたデータの社内ビジネス分析のためにのみ処理するものとします。 Stats Performは、それ以外の場合においても、自らが従うべき適用法令に基づきライセンシーの個人データを処理することを求められる場合があり、その場合は、当該法令が公共の利益という重要な理由によりそのような情報の提供を禁止している場合を除き、処理に先立ち、その法的要件をライセンシーに通知するものとする。ライセンシーは、その指示がStats Performを法令違反の状態に陥らせないことを継続的に保証し、表明する。
4.1.3. 指示がデータ保護法に違反すると判断した場合、ライセンシーにその旨を通知するものとし、Stats Performは当該指示を無視する権利を有する。
4.1.4. Stats Performよりライセンシーの個人データの処理を許可されたすべての担当者が、守秘義務を遵守することを確約しているか、または適切な法的守秘義務を負っていることを確保すること;
4.1.5. 保護すべきライセンシー個人データの性質および(以下に定義する)セキュリティ侵害から生じうる損害のリスクを考慮し、当該個人データを適切に保護するため、(本DPAの別紙に定める措置に従い)適切な技術的および組織的措置を講じるものとする。
4.1.6. データ保護法に基づき受領したデータ主体からの請求、またはライセンシーの個人データに関連する規制当局もしくは法執行機関からの要請について、遅滞なくライセンシーに通知する。Stats Performは、各データ主体からの請求について受領確認を行うことができる。 ライセンシーとの合意がある場合、Stats Performは、データ保護法に基づくデータ主体からの請求に対応するというライセンシーの義務を履行するため、可能な範囲において、適切な技術的および組織的措置を講じ、ライセンシーを支援することができる(その費用はライセンシーが負担する)。
4.1.7. ライセンシーの費用負担において、データセキュリティ、データ漏洩の通知、データ保護影響評価、およびプライバシーおよびデータ保護に関する事項を管轄する監督当局との事前の協議に関して、ライセンシーがデータ保護法を遵守できるよう、ライセンシーが合理的に必要とする支援を提供すること。
4.1.8. サービスの提供終了後、ライセンシーの選択および費用負担により、ライセンシー個人データを削除するか、またはすべてのライセンシー個人データをライセンシーに返却し、正当な事業目的のために保持される匿名化されたライセンシーデータ、または適用法令に基づき継続的な保存が求められるライセンシー個人データを除き、すべてのライセンシー個人データの既存のコピーを削除すること;および
4.1.9. ライセンシーの費用負担において、Stats Performが本DPAを遵守していることを立証するために合理的に必要な情報をライセンシーに提供し、かつ、当事者間で合意する合理的な事前通知に基づき、独立した第三者による監査および検査を許可する。 本条項に基づき監査権を行使する場合、ライセンシーは、かつ監査を実施する当事者に対し、第5条に従い、以下を遵守させるものとする:(a) 監査は、監査が実施されるStats Performまたはその関連会社の所在地の通常の営業時間内にのみ実施すること; (b) 監査の実施に際しては、業務運営に支障を来さないようあらゆる合理的な注意を払い、特に他のクライアントの環境に対するリスク(例:サービスレベルへの影響、データの可用性、機密性に関する側面)を回避または軽減するよう確保すること;(c) 適用されるデータ保護法の規定およびStats Performの合理的な要求事項を遵守すること; (d) 本サービスの複雑性、本サービスから生じるリスク、本サービスの重要度、および本サービスがライセンシーの事業継続に及ぼす潜在的な影響を考慮し、監査権限を比例原則に従って行使すること; (e) 関連する、一般に認められた国内外の監査基準を遵守すること;(f) 自社の従業員または第三者監査人が、監査を実施するために適切かつ関連する技能および知識を有していることを確保すること;および(g) 本項に基づき共有されるすべての情報を機密情報として扱うこと。
5. 監査
上記の第4.1.9条に関し、Stats Performは、そのサブ処理者に対して、(EU GDPRまたはUK GDPR(該当するもの)の第28条(3)(h)の要件を満たすことを前提として)監査権を行使するものとする。ただし、これはサブ処理者との合意に基づくものとする。 Stats Perform は、その独自の裁量により、かつライセンシーの法的義務を十分に考慮した上で、当該情報が Stats Perform の事業にとって機密性が高い場合、または当該情報を開示することにより Stats Perform が法的または契約上の義務に違反することになる場合、情報の開示を差し控える権利を有する。 特に、Stats Performは、合意された検査の目的のために厳密に必要ではない、Stats Performのライセンシーに関するデータや情報、Stats Performのコストに関するデータや情報、品質および契約管理報告書、またはその他のいかなる情報についても、ライセンシーにアクセスを許可しないものとします。
6. 委託先
6.1. Stats Performは、本DPAに基づきライセンシーの個人データの処理に関与する下請業者(以下、それぞれ「下請処理者」という)を、本第6条に従って選定する。
6.2. 本DPAに基づく特定のデータ処理業務の遂行のためにライセンシーの個人データの処理に従事する現在のサブプロセッサーの一覧は、別紙(随時更新されるもの)に記載されている。発効日をもって、ライセンシーは、ライセンシーの個人データに関して、これらのサブプロセッサーの利用に同意する。
6.3. Stats Performは、別紙に記載された下請け処理業者のリストと異なり、かつライセンシーの個人データの処理に影響を及ぼす、新規または代替の下請け処理業者について、ライセンシーに適切に通知するものとします。ライセンシーが合理的な理由に基づきかかる変更に異議を唱える場合は、本条項に従いStats Performから通知を受けた日から14日以内にStats Performに通知しなければならず、そうでない場合、当該変更は承諾されたものとみなされます。 本条項に従い合理的な根拠に基づき異議が申し立てられた場合、当事者は誠意をもって協議を行い、代替措置について合意するものとします。ただし、Stats Performの合理的な判断において、かかる代替措置について合意に至らなかった場合、Stats Performは、当該サブプロセッサーの変更に関連する本サービスを終了する権利を有するものとします。
6.4. サブ処理業者を起用する場合、Stats Performは以下の措置を講じるものとする:
6.4.1. 合理的なデューデリジェンスを実施すること;
6.4.2. ライセンシーの個人データの処理に関して適切な保護措置を講じるため、可能な限り本DPAの条項と実質的に同等の条件で契約を締結すること。これには、必要に応じて国際データ移転条項(またはこれに類するもの)を含めることができる。
6.4.3. サブ処理者が本DPAに基づくデータ処理義務を履行することについて、ライセンシーに対し全面的な責任を負うものとする。
7. セキュリティインシデント
7.1.「セキュリティ侵害」とは、Stats Perform によって送信、保存、またはその他の方法で処理されたライセンシーの個人データについて、偶発的または違法な破壊、紛失、改ざん、不正開示、または不正アクセスを招くセキュリティ上の侵害をいう。
7.2. Stats Performは、セキュリティ侵害を認識した場合は、遅滞なくライセンシーに通知するものとします。実行可能な場合、Stats Performは段階的な通知を行うものとします。
7.3. Stats Performは、セキュリティ侵害を調査し、その原因を特定し、防止し、その影響を軽減するために合理的な措置を講じるものとする。Stats Performは、データ保護法に準拠するためにライセンシーが合理的に要請する追加措置を、ライセンシーの費用負担において講じるものとする。
7.4. データ保護法の要件に従うことを条件として、ライセンシーは、Stats Performの事前の書面による承認なしに、セキュリティ侵害に関するいかなる提出書類、通信、通知、プレスリリース、または報告書も公表または公開してはならない。なお、かかる承認は、不当に保留されることはないものとする。
8. 国際的なデータ転送
8.1. ライセンシーは、Stats Performがライセンシーの個人データを国外へ移転する場合があることを了承する。Stats Performは、国外移転が行われる場合、適用されるデータ保護法に基づく適切な保護措置を講じるものとし、必要に応じて、当該輸入者との間で適切な国際移転条項(または代替となる標準契約条項)を締結する。
8.2. ライセンシーがEU一般データ保護規則(GDPR)の適用対象であり、欧州経済領域(EEA)外での処理を目的としてライセンシー個人データをStats Performに提供する場合において、当該提供が国際的なデータ移転に該当し、かつEU一般データ保護規則(GDPR)第45条に規定される十分性認定に基づくものでないときは、当事者は、本DPAに組み込まれ、その一部を構成するとみなされるEU標準契約条項(SCC)のモジュール2(または、該当する場合は モジュール3)のEU標準契約条項(EU SCCs)を遵守するものとする。当該条項は、本DPAに組み込まれ、その一部を構成するものとみなされ、以下の通り作成される:
8.2.1. EU標準契約条項(SCC)の第7条(ドッキング条項)は適用されない。
8.2.2. 別紙に「合意されたリスト」が記載されており、期間が14日間である場合、EU標準契約条項の第9条(a)項については、選択肢2が適用される。
8.2.3. EU標準契約条項(SCC)第11条(a)項に基づく任意の救済条項は適用されない;
8.2.4. 該当する場合、EU標準契約条項(SCC)の第13条に基づく管轄監督当局は、アイルランドデータ保護委員会とする。
8.2.5. EU標準契約条項の第17条に関しては、選択肢2が適用され、準拠法はアイルランド共和国とする。
8.2.6. EU標準契約条項(SCC)第18条(b)項に基づく裁判地および管轄裁判所は、アイルランド共和国の裁判所とする。
8.2.7. EU標準契約条項(SCC)の付属書IおよびIIには、以下の別表に記載された情報が記載されているものとみなされる。
8.3. ライセンシーが英国GDPRの適用を受け、英国国外での処理を目的としてライセンシー個人データをStats Performに移転する場合において、当該移転が国際移転であり、かつ英国GDPR第45条に規定される十分性認定に基づくものではないときは、 その場合、上記第8.2条に従いEU標準契約条項(EU SCCs)が適用され、かつ、ICO UK付則に規定される通り修正されたものとみなされる。当該ICO UK付則は、当事者によって締結されたものとみなされ、本DPAに組み込まれ、その一部を構成するものとする。本第8.3条に従いICO UK付則が適用される場合:
8.3.1. ICO UK 補遺の第1部の表1および表3は、EU標準契約条項(SCC)の付録および(したがって)以下の別表に記載された関連情報をもって、記入済みとみなされるものとする。
8.3.2. 第1部の表2において、「付録 EU SCCs」とは、(上記の第8.2条に従い)本DPAに組み込まれたEU SCCs(ICO UK付録で定義される付録情報を含む)とみなされる。
8.3.3. 第1部の表4は、「いずれの当事者も該当しない」を選択することで記入済みとみなされる。
8.3.4. EU標準契約条項(SCC)の条項とICO UK補遺の条項との間に矛盾が生じた場合は、ICO UK補遺の第9条、第10条および第11条に従って解決されるものとする。
8.4. 国際データ移転条項が適用される場合、その各規定は、本DPAにおけるStats Performのデータ処理義務(第4条から第7条に規定されるものを含む)に優先する。国際データ移転条項の規定と本DPAまたは本契約の規定との間に矛盾が生じた場合、国際データ移転条項が優先する。 本契約の条項および本DPAの条項は、国際データ移転条項をいかなる形でも変更するものではなく、またその意図も有しない。
9. 損害賠償
9.1. 本契約における責任の免除または制限、あるいは本契約の規定にかかわらず、ライセンシーは、Stats Perform およびその関連会社ならびにそれらの役員、従業員、代理人および下請業者(以下、それぞれを「補償対象者」)に対し、本契約および本DPAに従ってライセンシー個人データを処理したことに起因または関連して生じた第三者の請求、執行措置、またはその他の手続の結果として、いかなる補償対象者が被った請求、損失、要求、訴訟、責任、罰金、違約金、合理的な費用、損害賠償および和解金(合理的な弁護士費用および訴訟費用を含む)について、補償を行うものとし、ここにその旨に同意する。
9.2. 第9.1条および第10.2条の規定に従い、本DPAに基づくいずれの当事者の責任についても、本契約における責任制限条項が適用されるものとする。
10. その他
10.1. 本DPAにおける条項のタイトルおよびその他の見出しは、参照の便宜を図るためのものに過ぎず、本DPAの一部を構成するものではなく、また、本DPAの意味または解釈に影響を及ぼすものではない。
10.2. 本DPAのいかなる規定も、適用法令により制限または免除することができない当事者の責任を排除または制限するものではない。前項を条件として、(i) 本DPA(あらゆる別紙、付属書および付録を含む)は、本契約の目的事項に関する当事者間の完全な合意を構成し、当該目的事項に関連する当事者間の過去のすべての合意、了解、交渉および協議に優先する。 かつ(ii)本DPAの締結に際し、いずれの当事者も、本DPAに明示的に規定されているものを除き、過失によるか否かを問わず、いかなる陳述、表明または保証にも依拠しておらず、また、これらに基づくいかなる権利または救済手段も有しないものとする。
10.3. ライセンシーは、本DPAに基づきライセンシーの費用負担で履行される義務に関連して、Stats Performおよび/またはその関連会社が負担した費用および経費(合理的な弁護士費用、ならびに書面の作成および送付にかかる費用を含むが、これらに限定されない)を、請求書発行日から30日以内にStats Performに支払うものとする。
10.4. 契約の解除または契約違反に関する通知はすべて、英語で書面により、相手方の主な連絡担当者および法務部門宛てに行うものとする。通知は、有効な受領証または電子ログにより確認された受領時に、送達されたものとみなされる。郵便による通知は、書留郵便の発送日から48時間経過した時点で受領されたものとみなされる。
10.5. 本DPAの各条項は分離可能である。いかなる文言、条項または規定が、その全部または一部において無効または執行不能である場合でも、その無効または執行不能は当該文言、条項または規定のみに影響を及ぼし、本DPAの残りの部分は引き続き完全に効力を有する。
10.6. 本DPAは英国法に準拠し、当事者は、本DPAに関するいかなる紛争(契約上のものか契約外のものかを問わない)についても、救済のための代替的裁判地を定める第8条に起因する紛争を除き、英国の裁判所の専属的管轄権に服する。ただし、いずれの当事者も、その財産、知的財産権または機密情報を保護するために、差止命令その他の救済措置を求めて、いかなる裁判所にも申し立てを行うことができる。
スケジュール
データ処理に関する詳細
| A部:当事者の概要 | |
|---|---|
| コントローラー | プロセッサ |
| 本契約書に記載された住所、連絡先、事業内容および署名(該当する場合)を有するライセンシー。 | Stats Perform(その住所、連絡先、事業内容および署名(該当する場合)は本契約に定められている通り)。 |
| 本DPAに関するStats Performの連絡先メールアドレスは、privacy@statsperform.comです。 | |
| パートB:サービスの説明およびライセンシーの個人情報 | |
|---|---|
| サービス内容: | 本契約に定めるプラットフォーム経由のサービス。 |
| 処理の対象: | 契約期間中、ライセンシーがStats Performのプラットフォームにアップロード、入力、または提供した、Stats Performによるホスティングおよび関連サービスに関連するライセンシーの個人データ。 |
| 処理の頻度および期間 | 本契約の終了または満了まで、あるいはそれより前にライセンシーがライセンシー個人データを削除した時点まで、継続的に。 |
| 処理の内容および目的: | Stats Performは、本サービスの一環として、ライセンシーの個人データに関して以下の処理活動を行います。これには、ホスティング、サービスサポート、および保存、バックアップ、データベース監視を含む社内ソフトウェアおよび業務プロセスのサポートが含まれます。 |
| 個人データの種類: | ライセンシーの個人情報は、本サービスに入力、アップロード、または提供されるライセンシーデータの種類によって異なりますが、以下を含む(ただしこれらに限定されない)場合があります: 連絡先情報 - メールアドレス、氏名、住所、生年月日、役職、経歴(例:過去の所属チーム情報および実績)、スポーツ参加に関する統計情報、特別カテゴリーデータ(例:選手の怪我に関する健康データ)、評価・意見および推奨事項、検査結果、画像および/または肖像写真、動画映像 |
| データ主体の区分: | ライセンシーの従業員、アスリートおよび関連するスポーツ専門家、請負業者(およびその従業員)、サプライヤー(およびその従業員)。 |
| 個人データの保存期間: | 本契約に基づく当事者の義務を履行するために必要な期間。 |
| パートC:下請け処理業者のリスト | ||
|---|---|---|
| 名前 | 処理の種類 | 処理の場所 |
| 第三者 | ||
| Google Cloud | データホスティング | ベルギー |
| Amazon Web Services (AWS) | データホスティング | 英国、オーストラリア、またはアイルランドのいずれかの地域。 |
| K-Sport Universal S.R.L | データホスティング(Dynamixに関連して) | 英国、オーストラリア、またはアイルランドのいずれかの地域。 |
| Stats Perform アフィリエイト | ||
| Stats LLC | データホスティング | アメリカ |
| パフォーム・コンテンツ・サービス・リミテッド | データホスティング | イギリス |
| ランニングボール株式会社 | データホスティング | スイス |
| RunningBall Informacao Desportiva Unipessoal, Lda. | データホスティング | ポルトガル |
| ランニングボール・エスディーエヌ・ビーエイチディー | データホスティング | マレーシア |
| ランニングボール・サービス・アンド・コンサルティング株式会社 | データホスティング | キプロス |
| ランニングボール・スポーツ・インフォメーションGmbH | データホスティング | オーストリア |
| オプタ・スポーツ・データ株式会社 | データホスティング | アメリカ |
| オプタ・スポーツ・データ・リミテッド | データホスティング | イギリス |
| オプタ・スポーツ・データ社 | データホスティング | イタリア |
| オプタスポーツSA | データホスティング | スペイン |
| パートD:技術的および組織的措置 | |
|---|---|
| セキュリティ対策 | 練習 |
| 暗号化 | データおよび通信を保護するため、関連するサービスには業界標準の暗号化手法が適用されており、データは転送中および保存時に暗号化されます。 |
| 物理的または技術的なインシデントが発生した場合、個人データの可用性およびアクセスを速やかに復旧できる体制を確保すること | Stats Performは、(a) 通常業務時間中にライセンシーのユーザーが本サービスを利用できるよう、(b) 不具合がMLAに従って是正されるよう、および (c) 本サービスにアップロードされたライセンシーデータが定期的にバックアップされるよう、合理的な努力を払うものとします。 インシデント発生時には、適切なセキュリティインシデント管理方針および手順が適用されます。 ライセンシーは、通常業務時間中いつでもStats Performに連絡し、不具合を報告することができます。Stats Performは、MLAの条項に従い、当該不具合の修正または回避策を提供するために合理的な努力を払うものとします。 Stats Performは、書面による事業継続および災害復旧計画を策定し、維持しています。 |
| 継続的な機密性、完全性、可用性、および回復力 | 本サービスは、主にAmazon Web Services(AWS)およびGoogle Cloudといった安全なデータセンターでホストされています。 ライセンシーデータ(ライセンシーの個人データを含む)の機密性、可用性、および完全性を保護するため、商業的に合理的かつ適切な方法および安全対策が講じられています。 Stats Performは、ライセンシーデータ(ライセンシーの個人データを含む)へのアクセスを許可された担当者が、機密保持を誓約しているか、または適切な法的機密保持義務を負っていることを保証します。 Stats Performの全従業員は、データセキュリティに関する適切な研修を受けており、関連するセキュリティ慣行およびポリシーを遵守しなければなりません。システム管理者、開発者、および特権アクセス権を持つその他のユーザーは、特別かつ継続的な研修を受けます。 マルウェア対策およびウイルス対策の制御を維持し、悪意のあるソフトウェアによるライセンシーデータ(ライセンシー個人データを含む)の偶発的または違法な破壊、紛失、改ざん、不正開示、または不正アクセスを防止します。 当社オフィスへの物理的なアクセスは、アクセスカード、FOB、および/または生体認証(指紋または顔認証)によって管理されています。 当社の技術は、適用されるデータプライバシー法に基づくライセンシーおよび当社のそれぞれの義務を容易に履行できるよう、個人からのデータ権利に関する要請に準拠するように設定および整備されています。当社は、ライセンシーからの要請に応じて、個人の個人データを取得および削除することができます。 |
| 対策の効果について、定期的に検証、評価および査定を行う | Stats Performは、四半期ごとに2つのエンドポイントで継続的なテストを実施しており、対象となるエンドポイントは四半期ごとにローテーションされます。 Stats Performの人事部門による入社・退社手続きでは、アカウントおよびアクセス権限の付与・解除が行われます。 個人データの処理に関与するプロバイダー候補を選定する際、当社は当該プロバイダーに対して適切なデューデリジェンスを実施し、これらの第三者によって処理される個人データ(存在する場合)が、適用されるデータ保護法に従って取り扱われることを確保します。 当社は、本サービスの提供に関連してライセンシーデータ(ライセンシー個人データを含む)にアクセスする技術系および非技術系の従業員を含む、従業員の役割と責任を定めた適切なIT、セキュリティ、およびデータ保護ポリシーを社内で策定・維持しています。これには、当社のグループデータ保護ポリシーおよび情報セキュリティハンドブックが含まれます。 英国および/または欧州経済領域(EEA)外に拠点を置き、かつEUまたは英国による十分性認定を受けていない国に所在するプロバイダーへ個人データを移転する必要がある場合、当社は当該個人データの保護およびデータプライバシー法の遵守を確保するために、適切な保護措置を講じます。 さらに、当社は、システムへの従業員のアクセスを監視し、セキュリティ上の脅威に迅速に対応するための堅固なプロセスを整備しています。 Stats Performは、本サービスに関連する情報ガバナンスおよびデータ管理について、商業的に合理的な管理措置を維持しています。 Stats Performは、本サービスを提供するために必要な最小限の個人データを使用するよう合理的な努力を払います。 |
