個人情報保護附則（Airtime（チーム向け））

発効日：2025 年 4 月 23 日

この個人情報保護附則（以下「DPA」といいます）は、mmhmm inc.（以下「当社」）と、当社がサービス（以下で定義される「契約」で定義されているもの）を提供する相手方（以下「クライアント」）との間の契約（以下で定義される）に組み込まれ、その一部を構成し（また、該当する場合は、現行版の契約を修正するものとする）、それぞれを「当事者」とし、総称して「両当事者」とします。本 DPA は、ここに記載される事項において、本契約の主題に関して、適用される当社サービス利用規約、Airtime（チーム向け）契約、注文書または作業明細書（総称して「本契約」）を含む、両当事者間の合意および関連する契約文書に適用され、相違がある場合、これらに優先します。

本契約に基づきクライアントにサービスを提供する過程で、当社はクライアントに代わって個人データを処理することがあり、両当事者はそれぞれが合理的かつ誠実に行動し、個人データに関して以下の規定を遵守することに同意します。 本 DPA は、クライアントが本契約を（その当該条項に従い）締結した時点で、当社とクライアントによって署名されたものとみなされます。

1. 定義

本 DPA において

a.「個人情報保護法」とは、プライバシー、データ保護、データセキュリティ、侵害通知、または個人データの処理に関連する、あらゆる司法管轄区で適用されるすべての法律および規制を意味します。これには、カリフォルニア州消費者プライバシー法（California Consumer Privacy Act、California Civ. Code § 1798.100）、その規則および 2020 年カリフォルニア州プライバシー権法（California Privacy Rights Act of 2020、以下「CCPA」）による改正を含む、米国のその他の州が制定したプライバシー法（CCPA と併せて「米国各州のプライバシー法」）、EU 一般データ保護規則（General Data Protection Regulation、Regulation (EU) 2016/679）（以下「GDPR」）、2018 年英国データ保護法（United Kingdom Data Protection Act of 2018、以下「英国プライバシー法」）、およびスイス連邦データ保護法（Swiss Federal Act on Data Protection、以下「FADP」）が含まれますが、これらに限定されません。誤解を避けるために記すと、個人データに関わる当社の処理活動が所定の個人情報保護法の範囲内にない場合、当該法は本 DPA の目的には適用されません。

b.「データ対象者」とは、個人情報に関連する、特定または識別可能な自然人を意味し、個人情報保護法で定義される「消費者」を含みます。

c.「EU SCCs」とは、欧州議会および理事会の規定（Regulation (EU) 2016/679）に基づく個人データの第三国への移転に関する標準契約条項に関する 2021 年 6 月 4 日の委員会実施決定（Commission Implementing Decision (EU) 2021/914）に従って発行された標準契約条項（Standard Contractual Clauses）（http://data.europa.eu/eli/dec_impl/2021/914/oj に定められています）を意味します。

d.「個人データ」には、当社が本サービスを提供するために処理する「個人データ」、「個人情報」、「個人を特定できる情報」および類似の用語が含まれ、これらの用語は、適用される個人情報保護法で定義されるものと同じ意味を有するものとします。明確にするために記すと、個人データには、両当事者の業務上の連絡先情報（具体的には、本契約の管理のために両当事者の連絡を円滑にする目的のみで使用される両当事者の連絡担当者の氏名を含む、業務上の住所、電話番号、電子メールアドレス）は含まれません。

e.「処理」およびその同義語である「処理する・される」などとは、収集、録画、整理、作成、構造化、保存、適応または修正、検索、診断、使用、送信・頒布・その他の方法による開示、整列または組み合わせ、制限、消去、または破棄など、自動化された手段であるか否かを問わず、個人データまたは個人データの集合に対して行われる操作または一連の操作を意味します。

f.「セキュリティ侵害」とは、個人データの偶発的または違法な取得、破壊、喪失、改ざん、不正な開示、または個人データへの接続を意味します。

g.「サブプロセッサー」とは、当社が個人データの処理を委託する第三者、または当社の関連会社を意味します。

h.「UK SCCs」とは、英国データ保護機関（Information Commissioner’s Office）が発行した欧州理事会標準契約条項に対する国際データ移転補則（the International Data Transfer Addendum、https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-DPA.pdf に定められています）を意味します。

i.「事業者（Business）」、「管理者（Controller）」、「処理者（Processor）」、および「サービスプロバイダー（Service Provider）」という用語は、適用される個人情報保護法で定義されています。

2.   当事者の役割：処理の範囲と目的

a. 本 DPA は、当社がサービスを提供するために処理する個人データ（もしあれば）に適用されます。

b. 両当事者は、クライアントが管理者または事業者である場合、当社がその処理者またはサービスプロバイダーであることに同意するものとします。クライアントが処理者またはサービスプロバイダーである場合、当社はクライアントの処理者（すなわち、サブプロセッサー）またはサービスプロバイダーとして機能します。

c. 当社は、(i) 本 DPA を含む本契約に基づくクライアントへの義務を履行するため、(ii) クライアントに代わって、(iii) 個人情報保護法（CCPA の全適用規定を含む）を遵守するためにのみ、個人データを処理します。疑義を避けるために記すと、当社は、以下の明示的な事業目的のために、本契約に基づきクライアントにサービスを提供するためにのみ個人データを処理します。その目的とは、クライアントがライブおよび録画ビデオコンテンツを作成し、ビデオを編集し、ビデオおよび関連コンテンツを保存し、仮想ビデオライブラリを作成するためのソフトウェアを提供するため、およびその他本契約に定めのとおりです。

d. 個人情報保護法に基づいて許可された場合を除き、当社は以下を遵守します。

　i. クライアントと当社間の直接的な取引関係以外、または本 DPA に規定されていない目的（商業目的を含む）のために、個人データを保持、使用、または開示することはしません

　ii. 適用される米国各州のプライバシー法で定義される「ターゲット広告」を目的とした、個人データの「販売」や「共有」、または、個人データの処理は行いません

　iii. 当社が他の個人（単独あるいは複数）から直接、または他の個人（単独あるいは複数）の代理で受け取る個人データと、当社と個人とのやりとりから収集する個人データを結びつけることについて、個人情報保護法に基づいて該当する制限に従います

e. クライアントは (i) 当社が個人情報保護法に準拠した方法で個人データを処理していることを保証され、(ii) 通知を受けた場合、個人データの不正使用を停止し、是正するための合理的かつ適切な措置を講じる権利を保持します。

3.  個人データ処理要件

当社は以下を行います。

a. クライアントに適用される個人情報保護法の下で要求されるのと同レベルの個人データの保護を提供すること（CCPA の下で事業者に要求されるレベルの保護を CCPA の対象となる個人データに提供することを含む）。

b. 個人データの処理を許可する者が、守秘義務を負うか、または適切な法の下での守秘義務の下にあることを保証すること。

c. データ主体（またはその合法的な代理人）が個人情報保護法に基づく権利（個人データへのアクセスや削除の権利など）を行使するための検証可能な要求に応じるクライアントの義務の履行を支援すること。

d. (i) 個人データの処理に関する第三者またはデータ主体からの苦情、または (ii) 個人情報保護法で禁止されていない限り、クライアントに代わって当社が行う個人データの処理に関する政府またはデータ主体からの接続または情報提供の要求があった場合は、速やかにクライアントに通知する。当社が第三者、データ主体、または政府からの要請を受けた場合、適用法で禁止されている場合を除き、当社は、要請への対応を支援する場合、その方法についてクライアントからの書面による指示を待ちます。

e. 個人情報保護法により必要とされた場合、およびクライアントの単独費用負担によってクライアントの書面による要請があった場合、クライアントの (i) 個人データの処理または処理提案のデータ保護影響評価の実施、および (ii) 個人データの処理または処理提案に関連する規制当局との協議のために、クライアントに合理的な支援を提供すること。

f. 当社が、(i) 本 DPA または個人情報保護法に基づく義務をもはや果たすことができないと判断した場合、(ii) 本 DPA に違反し、かかる違反を是正するために協力する場合、または (iii) 当社の見解において、クライアントからの指示が個人情報保護法を侵害していると判断した場合、速やかにクライアントに通知すること。

4. データセキュリティ

当社は、個人データを保護するために、本書の別紙 A に定めるとおり、適切な管理的、技術的、物理的、組織的措置を実施します。

5. セキュリティ侵害

当社は、セキュリティ侵害が確認された場合、速やかに、いかなる場合でも 72 時間以内にクライアントに通知します。当社は、個人情報保護法の下で直接適用されるセキュリティ侵害関連の義務を遵守し、クライアントのセキュリティ侵害関連の義務の遵守を支援します：

a. 当社の費用負担で、セキュリティ侵害の影響を軽減し、個人データが侵害を受けたデータ主体のリスクを軽減するための措置を講じる。ただし、本契約に規定されている当社の制限責任に従うこと。

b. 以下の情報を、判明している範囲でクライアントに提供すること

　i. 可能な場合、セキュリティ侵害の発生原因、関係するデータ主体のカテゴリーおよび概数、関係する個人データ記録のカテゴリーおよび概数を含む、セキュリティ侵害の性質

　ii. セキュリティ侵害がもたらすと思われる影響

　iii. セキュリティ侵害に対処するために当社が講じた、または講じることを提案した措置（適切な場合、起こりうる悪影響を軽減するための措置を含む）

6.  サブプロセッサー

a. クライアントは、当社が本 DPA および個人情報保護法の規定に従って、個人データを処理するためにサブプロセッサーを使用できることを認識し、同意するものとします。当社が個人データに関する権利または義務をサブプロセッサーに委託する場合、当社は以下を行います： (i) 個人データを保護するために、適用される個人情報保護法に準拠した適切なプライバシーおよびセキュリティ対策を維持することができるサブプロセッサーを選定し、保持するための措置を講じること、および (ii) サブプロセッサーが、本 DPA に基づき当社に課される義務と同等以上の義務を遵守することを要求すること。

b. 現在のサブプロセッサーリストは、こちらで参照できます。当社は、サブプロセッサーが変更された場合、このリストを維持・更新します。当社は、サブプロセッサーリストの変更（以下「通知」）、またはリスト公開場所の変更を、クライアントがmmhmm-subprocessors@mmhmm.app に電子メールを送信することで当社に登録された場合、クライアントに通知します。クライアントが、当社に登録された電子メールアドレス宛に通知を受領した後 20 日以内に、データ保護を理由に新しいサブプロセッサーに対して合理的かつ書面で異議を申し立てた場合、両当事者は、クライアントが当該サブプロセッサーによる個人データへのアクセスについて特定した異議を解決するために誠意をもって協力します。当社とクライアントが、当該サブプロセッサーによる個人データへのアクセスについてクライアントが特定した重大なリスクを軽減する方法について合意に至らない場合、クライアントは、通知後 60 日以内に当社に通知することにより、本契約を解除することができます。

7.  データ移転

a. 当社は、適用される個人情報保護法を遵守することなく、個人データの国境を越えた処理に関与したり、個人データを収集元の国以外の国に直接または間接的に移転したりしないものとします。当社が個人データの移転に関与する場合、当社は、ある国から別の国へ個人データを移転する前に、合法的なデータ移転手順が導入されていることを確認するものとします。

b. 法的に要求される範囲において、本 DPA を締結することにより、クライアントと当社は、本 DPA の一部を構成する EU SCC に署名したものとみなされ（下記 第 7 項 (c) および (d) に記載されている場合を除き）、以下のとおり完了したものとみなされます。

　i. EU SCCs のモジュール 2 は、クライアント（管理者）から当社（処理者）への個人データの移転に適用され、EU SCCs のモジュール 3 は、クライアント（処理者）から当社（サブプロセッサー）への個人データの移転に適用される

　ii. 第 7 条（オプションのドッキング条項）は含まれない

　iii. 第 9 条（サブプロセッサーの使用）において、両当事者はオプション 2（一般的な書面による承認）を選択します。サブプロセッサーのリストは、クライアントに提供され、本 DPA の第 6 項に従って更新されるものとする

　iv. 第 11 条（是正）において、データ主体による独立した紛争解決機関への苦情申し立てを認めることを必要とするオプション文言は含まれないものとみなす

　v. 第 17 条（準拠法）において、両当事者はオプション 1（第三者受益権を認める EU 加盟国の法）を選択する。 両当事者はアイルランド法を選択する

　vi. 第 18 条（裁判地および管轄権の選択）に基づき、両当事者はアイルランドの裁判所を選択する

　vii. 附属書類 IA（当事者リスト）は、以下のとおり完了したものとみなされる

　　1. データエクスポーターは、本 DPA に定義されるとおりクライアントであり、場合により管理者または処理者である。データインポーターは当社であり処理者である

　　2. 両当事者の氏名、住所、および連絡先の情報は、本契約に規定されているとおりとみなされる

　　3. 移転されるデータに関連するクライアントの活動は、当社のサービスを受けることであり、移転されるデータに関連する当社の活動は、かかるサービスを提供することである

　　4. 両当事者は、本契約を締結することにより、附属書類 IA に署名したものとみなされる

　viii. 附属書類 IB（移転の説明）は以下の通り完了したものとする　

　　1. 個人データが移転されるデータ主体の分類：個人データが移転される場合、その個人データはクライアントの従業員に関するものである

　　2. 移転される個人データの分類：個人データが移転される場合、その個人データは、氏名、メールアドレス、プロフィール写真、および Airtime で作成またはアップロードされた動画コンテンツに関するものである

　　3. 移転される機密なデータ（該当する場合）および適用される制限または保護措置： 両当事者は、本契約に基づき機密データが移転されることを意図していない

　　4. 移転頻度：本契約の期間中、継続的に行われる

　　5. 処理の性質：個人データが移転される場合、当社の処理活動は、本契約および DPA で議論されたものに限定されるものとする

　　6. データ移転およびさらなる処理の目的：個人データが移転される場合、当社による個人データの移転およびさらなる処理の目的は、クライアントにサービスを提供することである

　　7. 個人データが保持される期間、またはそれが不可能な場合、その期間を決定するために使用される基準：個人データが移転された場合、本契約、DPA、または適用される法的要件に基づき、クライアントにサービスを提供するために必要な期間、個人データは保持される。個人データは、当社のデータ保持ポリシーに従って消去されるまで、システムバックアップにも保持される

　　8. 処理者あるいはサブプロセッサーへの転送については、処理の対象、性質、期間も明記すること：本サービスを提供する目的で個人データがサブプロセッサーに提供される範囲については、上記と同じである

　ix. 附属書類 IC の下では、法的に許される限り、管轄監督機関はアイルランドデータ保護委員会である

　x. 附属書類 II（技術的及び組織的措置）は、本書の別紙 A で補完される

　xi. 附属書類 III（サブプロセッサーのリスト）は、両当事者が第 9 条に基づく一般認可を選択しているため、適用されない

c. 法律上要求される範囲において、本 DPA の締結により、両当事者は UK SCCs に署名したものとみなされ、UK SCCs は本 DPA の一部を構成し、UK SCCs に規定される本 DPA の他の部分に優先します。UK SCCs 内の表は、以下のとおり完了したものとみなされます。

　i. 表1：両当事者の詳細は、そのいずれかが当該譲渡に関与する限りにおいて、両当事者およびその関連会社とし、主要連絡先は、本契約に定める連絡先とする

　ii. 表 2：表 2 で言及される Approved EU SCCs は、両当事者により締結され、本 DPA の第 7 項 (b) に記入される EU SCCs とする

　iii. 表 3：付属書  I  は、上記の第 7 条 (b) (vii) ～ (ix) に規定されるとおり補完されたものとみなされる。付属書類 Ⅱは本書の別紙 A に記載される。付属書類 III は適用されない

　iv. 表 4：クライアントは、UK SCCs の第 19 条に定めるとおり、本 DPA を終了することができる

d. FADP の対象となる個人データの移転については、EU SCCs は、本 DPA の第 7 条 (b) に規定されるとおり、本 DPA の一部を構成しますが、FADP が要求する範囲において以下の違いがあります。 (i) EU SCCs における GDPR への言及は、データ移転が GDPR ではなく FADP のみの対象である限り、FADP への言及として理解されるものとする、(ii) EU SCCs における「加盟国」という用語は、EU SCCs の第 18 条 (c)に従い、スイスのデータ主体がその常居所地（スイス）でその権利を訴える可能性を排除するように解釈されないものとする、 (iii) 関連する監督機関は、スイス連邦データ保護情報コミッショナー（GDPR ではなく FADP の対象となる移転の場合）、または当該コミッショナーと EU SCCs で特定された監督機関の両方（それぞれ FADP と GDPR が適用される場合）である。

8. 監査

本書に定める条件に従い、当社は、本 DPA の遵守を証明するために必要なすべての情報をクライアントに提供し、クライアントまたはクライアントの委任を受けた別の監査人が実施する検査を含む合理的な監査を許可し、これに協力します。

a. 依頼された監査範囲が、過去 12 ヶ月以内に第三者監査人によって発行された監査報告書に記載され、監査された統制に重大な変更がないことを確認した当該報告書を当社がクライアントに提供した場合、クライアントは、当該報告書に記載された同じ統制の監査を依頼する代わりに、第三者監査報告書に記載された調査結果を受け入れることに同意します。

b. 監査報告書が提供されない場合、クライアントまたは第三者による監査は、(i) 10 営業日以上の事前通知の後、通常の営業時間内（現地時間午前 9 時～午後 5 時）に合意された日のみ実施され、(ii) 1 営業日以内に制限され、(iii) 当社のその時点の監査費用をクライアントが支払うことを条件として実施されるものとします。

c. 第三者が監査を実施する場合、第三者監査人は、（政府当局の監査権を損なうことなく）両当事者によって相互に合意されなければなりません。当社は、クライアントが要求した第三者監査人に対する同意を不当に保留しません。第三者監査人は、当社が受諾可能な書面による守秘義務契約を締結しなければなりません。

d. クライアントは、第三者による監査報告書を含む監査結果を当社に速やかに提供しなければなりません。そのような結果と報告書、および監査中に得られたその他の情報（クライアントの個人データを除く）はすべて、当社の機密情報です。

e. 以下の項目については、当社に対して開示または利用可能にすることを要求できません (i) 当社の他の顧客または顧客のデータ、(ii) 当社の内部会計または財務情報、(iii) 当社の企業秘密、(iv) 当社の合理的な見解において、(1) 当社のシステムまたは施設のセキュリティを侵害する可能性のある情報、または (2) 当社が適用法に基づく義務、または第三者に対するセキュリティおよび/またはプライバシー義務に違反する可能性のある情報、  (v) EU SCCs、UK SCCs、または個人情報保護法に基づくクライアントの義務の誠実な履行以外の理由で求められる情報。

f. クライアントは、本第 8 項に従って実施される監査が、個人情報保護法に基づく当社の監査義務を満たすことに同意します。

9. 個人データの返却または破棄

個人情報保護法により別段の定めがある場合を除き、当社は、クライアントの選択により、(a) クライアントからの書面による要請、または (b) 本契約の終了時に、すべての個人データをクライアントに返却し、または安全に破棄します。個人情報保護法で禁止されている範囲を除き、当社は、個人データを返却または削除できない場合、クライアントに通知します。疑義を避けるため記すと、当社は、定期的なバックアップに含まれる個人データを保持することがあり、それら個人データを当社が保持する限り、本 DPA の規定が適用されます。

10. 補償および制限責任

個人情報保護法で認められている範囲において、両当事者は互いを免責し、両当事者の責任は本契約の規定に従って制限されるものとします。

11. 存続

本 DPA の規定は、当社またはそのサブプロセッサーが個人データを処理する限り、本契約の終了または失効後も存続します。

別紙 A

当社のデータセキュリティ対策

当社が個人データを処理する場合、当社は個人データの処理について、以下の管理的、技術的、物理的、組織的なセキュリティ対策を実施し、維持します。

当社の情報セキュリティプログラムには、当社の職員、および個人データにアクセスできるすべての下請け業者または代理人（以下、「データ担当者」）に対する特定のセキュリティ要件が含まれています。

1. 情報セキュリティ方針および基準

当社は、書面による情報セキュリティ方針、基準、および手順を維持します。これらの方針、基準、手続きは常に最新の状態に維持し、個人データを使用または保存する情報システムに関連する変更が加えられるたびに改訂するものとします。これらの方針、基準、および手順は、以下を目的として設計され、実施されるものとします。

a. 権限のない者が個人データ処理システムに物理的にアクセスできないようにする（物理的なアクセス制御など）

b. 情報セキュリティプログラムを調整するために、1 人以上の従業員、または適格な下請け業者を指定する

c. 個人データ処理システムが許可なく使用されないようにする（論理的アクセス制御など）

d. データ担当者が、アクセス権を有する個人データのみにアクセスできるように し（例えば、アクセス権を設定する）、また、個人データが許可なく読み取り、複製、修正、削除されないようにする（例えば、データアクセスを制御する）

e. 電子的な送信、輸送、保管中に個人データが許可なく読み取り、複製、修正、削除されないようにすること、およびデータ転送設備による個人データの転送受取人が確立され、検証されるようにする（例： データ転送管理）

f. 個人データを処理するすべてのシステムが、定期的な内部および外部の脆弱性スキャンを含む脆弱性管理プログラムの対象であることを保証し、リスク評価の結果、特定された脆弱性に対処するための組織的な改善計画がある

g. 個人データがクライアントと当社およびそのサブプロセサー間で転送されている間、暗号化されていることを確認する

h. 当社およびそのサブプロセッサーにおいて、個人データが保管時に暗号化されていることを確認する

2. 物理的セキュリティ

当社は、個人データを使用または保存する情報システムが設置されているすべての当社サイト（「処理拠点」）において、当該処理拠点へのアクセスを合理的に制限し、侵入を検出、防止、および対応するための措置を講じることを含む、商業上合理的なセキュリティシステムを維持します。

3. 組織的セキュリティ

当社は、以下のような情報セキュリティ方針と手順を維持します。

a. データ廃棄：当社の在庫または管理から離れる前に、媒体に保存された個人データのその後の復元を防止するために、媒体を廃棄または再利用する場合の手順

b. データ最小化：メディアに保存されている個人データの不当な取得を防止するため、メンテナンス作業の結果、ファイルが置かれている施設からメディアを退去させる場合の手順

c. データ分類：機密情報資産を分類し、セキュリティ責任を明確にし、全従業員の注意を喚起するための方針と手順が実施され、維持される

d. インシデント対応：すべてのセキュリティ侵害は、適切なインシデント対応および修復手順に従って管理される

4. ネットワークセキュリティ

当社は、ネットワークセキュリティに対処する、商業的に合理的な情報セキュリティポリシーと手順を維持します。

5. アクセスコントロール（管理）

a. 当社は、個人データを処理する情報システムへのアクセスを管理します。

b. 権限を与えられた当社のスタッフのみが、個人データを処理する情報システムへのアクセスを許可、変更、または取り消すことができます。

c. 当社は、パスワードを作成し保護するために、商業上合理的な物理的および技術的な保護措置を実施します。

6. ウイルスおよびマルウェアの管理

当社は、悪意のあるコードから個人データを保護し、個人データを扱う一般的にマルウェアの影響を受けやすいシステムには、アンチウイルスおよびマルウェア保護ソフトウェアをインストールし、維持します。これらのシステムのアーキテクチャは、内在的にマルウェアの拡散を防止するものであり、マルウェア対策ソフトウェアがこれらのシステム上で機能する許可を与えることは、アーキテクチャに内在する制御能力を弱める可能性があります。

7. 人事

a. 当社は、セキュリティ義務について、全従業員をトレーニングするためのセキュリティ意識向上プログラムを実施し、維持しています。このプログラムには、データ分類義務、物理的セキュリティ管理、セキュリティ慣行、セキュリティ侵害報告に関するトレーニングが含まれます。

b. データ担当者は、確立されたセキュリティ方針および手順に厳格に従います。データ担当者が関連するポリシーと手続きに従わない場合は、懲戒処分が適用されます。

c. 当社は、個人データを処理する可能性のある従業員、代理人、または請負業者の信頼性を確保するために、合理的な手段を講じるものとします。

8. 事業継続

当社は、災害復旧および事業再開計画を実施します。当社はまた、当社の事業や処理が変化した場合を含め、新しい法律や状況に照らして、情報セキュリティプログラムを調整するものとします。