Twilioデータ保護附属書
このTWILIOデータ保護補遺の日本語版は、参照用にのみ提供されています。HTTPS://WWW.TWILIO.COM/EN-US/LEGAL/DATA-PROTECTION-ADDENDUM で入手可能な英語版とこの日本語版との間に矛盾、不一致または相違がある場合は、英語版が優先されます。
最終更新日:2026年4月9日
本データ保護附属書(以下、「本附属書類」といいます)は、お客様による本サービス(以下に定義)の利用について定める、お客様とTwilioとの間における契約(以下、「本契約」といいます)の一部を構成するものであり、Twilioによるカスタマーデータ(以下に定義)の利用及びこれに関連するカスタマー個人データ(以下に定義)の処理について定めるものです。
1.定義
「関連会社」とは、特定の当事者を直接的若しくは間接的に支配し、若しくは当該当事者によって直接的若しくは間接的に支配され、又は当該当事者と共通の支配下にある事業体を意味します。本定義において「支配」とは、対象事業体の議決権の50%超を直接的又は間接的に所有していることを意味します。
「適用されるデータ保護法」とは、本契約に基づくTwilioによる個人データ(以下に定義)の処理に適用されるすべての法令を意味し、以下を含みますが、これらに限定されるものではなく、また、随時改正され又は置き換えられるものを含みます。
(a) オーストラリア: 1988年オーストラリアプライバシー法
(b) ブラジル:一般個人データ保護法(Lei Geral de Proteção de Dados)
(c) カナダ:個人情報保護及び電子文書に関する連邦法
(d) 欧州経済領域:一般データ保護規則(EU 2016/679)及び電子通信プライバシー指令(2002/EC/58)
(e) イスラエル:プライバシー保護法
(f) 日本:個人情報保護法
(g) メキシコ:私人が保有する個人データの保護に関する連邦法及びその規則
(h) シンガポール: 2012年個人データ保護法
(i) スイス:改正スイス連邦データ保護法
(j) 英国:英国一般データ保護規則、2018年データ保護法、及び2003年電子通信プライバシー規則
(k) アメリカ合衆国:アメリカ合衆国において施行されている個人データの保護及び処理に関する全ての州法。これには、28 CFRパート202「懸念国又は対象者による米国機微個人データ及び政府関連データへのアクセス」、カリフォルニア州プライバシー権利法によって改正されたカリフォルニア州消費者プライバシー法、バージニア州消費者データ保護法、コロラド州プライバシー法、コネチカット州データプライバシー法、及びユタ州消費者プライバシー法を含む場合がありますが、これらに限定されません。
「コントローラー」とは、個人データを処理する目的及び手段を単独で又は他者と共同で決定する、あるいは適用されるデータ保護法に基づき別途定義又は解釈される、自然人又は法人、公的機関、政府機関又はその他の団体をいいます。
「カスタマーアカウントデータ」とは、お客様とTwilioとの関係に関連する個人データをいい、(a) お客様(自然人の場合)、個人、又はお客様のアカウントを設定し、これにアクセスする権限をお客様から付与された個人の連絡先データ、(b) 請求管理及び購入履歴に関するデータ、(c) セキュリティ及び本人確認の目的で、お客様のアカウントの管理、本サービス(以下に定義)の提供、又はエンドユーザー(以下に定義)の身元確認ためにTwilioが必要とすることのある個人データを含みます。これには、Know-Your-Customer(KYC)要件の充足に関連して収集される情報、加入者記録(以下に定義)を保持するTwilioの義務の一環として収集される情報、及び本附属書類に定めるその他の適用される法定要件に関連して収集される情報などが含まれます。
「カスタマーコンテンツ」とは、個人データを含むデータであって、(a) 本サービスの利用の結果としてやりとりされる通信内容(テキストメッセージ本文、音声、音、動画媒体、画像、電子メール本文、件名及び受信者など)に含まれるもの、並びに、該当する場合には、(x) お客様が指定したソフトウェアアプリケーション又はその他の製品及びサービスから本サービスに提供したデータ、又は (y) 本サービスの一環としてお客様の利用のために生成されたデータに含まれるもの、並びに (b) お客様に代わって保存されるもの(例えば、(i) 本サービス内の通信内容、文字起こし、録音又は通信ログ、又は (ii) お客様が本サービスにアップロードしたマーケティングキャンペーンデータ)をいいます。
「通信利用状況データ」とは、カスタマーコンテンツ公衆交換電話網又はその他の通信ネットワークを介してカスタマーコンテンツを送信、配信若しくは交換するため、並びに本サービスのパフォーマンスを最適化及び維持し、システムの乱用を調査及び防止し、本サービスへの要求の送信元を特定するためにTwilioが処理するデータ(個人データを含みます)をいい、(a) 送信者/受信者情報、電話番号、通信ログ、その他通信の種類、日時、期間及びステータス(送信済み、開封済み、不達など)に関するメタデータ、並びに通信の送信元及び送信先の特定に使用されるトラフィック記録及びルーティングの詳細などの電子通信メタデータ、又は (b) 本サービスの提供若しくはTwilioのアプリケーションプログラミングインターフェースの使用に関連して生成されたデバイスデータ(オペレーティングシステム、ブラウザの詳細、IPアドレス、識別子、おおまかな位置データ及びアクティビティログなど)を含みます。カスタマーコンテンツ
「カスタマーデータ」とは、(a) お客様又はお客様のエンドユーザーが、お客様による本サービスの利用に関連して当社に提供するデータ、又は (b) 本サービスの一環として、お客様の利用のために生成されるデータをいいます。
「カスタマー個人データ」とは、カスタマーデータに含まれる、要配慮データを含む個人データをいいます。
「エンドユーザー」とは、本契約に基づくお客様による本サービスの利用に関連して使用される、お客様によって提供されたソフトウェアアプリケーション又はその他の製品及びサービスを介した場合を含む、本サービスのあらゆるユーザーをいいます。
「個人データ」とは、識別された又は識別可能な自然人(以下、「データ主体」といいます)に関連するあらゆるデータ又はその他の情報をいい、「個人データ」及び「データ主体」の両用語は、適用されるデータ保護法に基づいて別途定義又は解釈される場合もあります。識別可能な自然人とは、特に氏名、識別番号、位置データ、オンライン識別子などの識別子、又は当該自然人の身体的、生理学的、遺伝的、精神的、経済的、文化的、若しくは社会的なアイデンティティに固有の一つ又は複数の要素を参照することにより、直接的又は間接的に識別され得る人をいいます。
「プロセッサー」とは、コントローラーに代わり個人データを処理する、又は適用されるデータ保護法に基づき別途定義又は解釈される事業体をいいます。
「処理」とは、自動化された手段によるかどうかにかかわらず、個人データ又は個人データの集合に関して行われる操作又は一連の操作をいいます。この操作には、収集、記録、整理、構造化、保存、翻案、改変若しくは変更、検索、参照、使用、送信による開示、頒布、その他の方法による提供、調整若しくは組み合わせ、制限、消去、破棄などが含まれます。
「セキュリティインシデント」とは、確認されたカスタマー個人データの偶発的若しくは違法な破棄、紛失、改変、不正な開示、又はお客様データへの不正なアクセス、又は適用されるデータ保護法に基づき別途定義又は解釈される場合をいいます。
「要配慮データ」とは、(a) 社会保障番号、パスポート番号、運転免許証番号、又はこれに類する識別子(若しくはその一部)、(b) クレジットカード番号又はデビットカード番号(クレジットカード又はデビットカード番号を一部非表示(つまり下4桁のみの表示)にする場合を除く)、財務情報、銀行口座番号又はパスワード、(c) 雇用、財務、遺伝、生体認証、又は健康に関する情報、(d) 人種的、民族的、政治的若しくは宗教的な所属、労働組合への加入、又は性生活若しくは性的指向に関する情報、(e) アカウントのパスワード、母親の旧姓、又は生年月日、(f) 犯罪歴、又は (g) 適用されるデータ保護法に基づく「要配慮」又は「特別なカテゴリーのデータ」の定義に該当するその他の情報又は情報の組み合わせのうち、いずれかに該当する個人に関するデータをいいます。
「本サービスの乱用」とは、本サービスの乱用又は不正使用をいい、スパム、詐欺、違法行為又はTwilioサービス利用ポリシー(最新版は、https://www.twilio.com/ja-jp/legal/aupにて閲覧できます)の違反も含まれます。
「本サービス」とは、お客様が注文書に従って購入する、又はその他の方法で使用する、Twilio又はその関連会社によって提供される製品、サービス及びプラットフォーム(該当する場合)をいい、それらの更新、修正又は改良も含まれます。
「加入者記録」とは、Twilioが特定の国の電話番号をお客様又はお客様のエンドユーザーに提供する(以下、「電話番号割り当て」といいます)ために必要な本人確認書類及び現住所確認書類を含むカスタマーアカウントデータをいいます。
「サブプロセッサー」とは、(a) 当社又はその関連会社がカスタマー個人データを処理する場合であって、お客様が当該データのプロセッサーである場合における当社若しくはその関連会社、又は (b) お客様に対する本サービスの提供を目的としてカスタマー個人データを当社のサブプロセッサーとして処理するために当社が委託先とする第三者のプロセッサーをいいます。本サービスを提供するために当社が利用する通信事業者は、サブプロセッサーとはみなされません。
「第三者の要請」とは、データ主体、規制当局、又は第三者からの要求、連絡、問い合わせ、又は苦情をいいます。
「Twilioプライバシーノーティス」とは、本サービスに適用されるプライバシーノーティスをいい、最新版はhttps://www.twilio.com/legal/privacyにおいて閲覧できます。
第1条に定義されていない(英語版における頭文字が大文字の)用語は、適用される場合、本附属書類又は本契約で定められた意味を有するものとします。本附属書類における各条又は別表への言及は、本附属書類の各条又は別表を指します。
2. カスタマー個人データに関する当社及びお客様の役割。お客様と当社は、(a) 当社が、第3条(コントローラーとして行うカスタマー個人データの処理)に定めるコントローラーとしてカスタマー個人データを処理する場合を除き、(お客様に代わって行動する)プロセッサー又はサブプロセッサーであること、及び (b) お客様はカスタマー個人データに関して、そのエンドユーザーに代わってコントローラー又はプロセッサーとして行動する場合があることを確認し、同意します。当社によるプロセッサー又はサブプロセッサーとしてのカスタマー個人データの処理は、第4条(プロセッサーとして行うカスタマー個人データの処理)に定めるとおりとします。
3. コントローラーとして行うカスタマー個人データの処理
3.1 カスタマー個人データのコントローラーとしての当社。 お客様と当社は、以下の場合につき、当社がカスタマー個人データの独立したコントローラーとして行動することを確認し、同意します。
(a) 第3.2条(カスタマーアカウントデータのコントローラーとしての当社)、第3.3条(通信利用状況データのコントローラーとしての当社)、及び第3.4条(カスタマーコンテンツのコントローラーとしての当社)に記載される正当な事業目的に必要な範囲において、当該処理が本契約、Twilioプライバシーノーティス、及び適用されるデータ保護法を含む適用法令に従って行われる場合。
(b) その他適用されるデータ保護法に基づき、さらに本附属書類、本契約、及びTwilioプライバシーノーティスに従い、許可されている場合。
(c) その他、お客様により授権又は要請された場合(本サービス固有の条件において合意された場合、又はお客様による本サービスの特定の機能の使用及び設定による場合を含みます)。
お客様及び当社はそれぞれ、カスタマー個人データにつき、共同ではなく独立したコントローラーとして、カスタマー個人データに関する全ての権利及び義務を有するものとします。
3.2 カスタマーアカウントデータのコントローラーとしての当社。お客様及び当社は、当社が以下の目的で処理するカスタマーアカウントデータの独立したコントローラーであることに同意します。
(a) 請求、お客様のアカウント、及び当社とお客様との関係を管理するため(本サービスへのアクセス又は利用に必要なKnow-Your-Customer(KYC)及び本人確認を含みます)。
(b) 会計、監査、税務申告等、当社の中核的な事業運営を遂行するため。
(c) セキュリティインシデントを予防、検出、調査し、当社のプラットフォーム及びサービスのセキュリティを管理するため。
(d) Twilioの社内ツールの開発又は改良、及びその目的でのモデルトレーニングなどを介して、本サービスの乱用を予防、検出、調査するため、又はスパム、詐欺、違法行為に対抗するために電気通信事業者、規制当局、法執行機関を支援するため。
(e) ビジネスアナリティクス、内部報告、財務報告、予測、キャパシティ計画及び収益計画、並びに製品戦略のため。
(f) 新製品及びサービスの開発改良、並びに本サービスのパフォーマンス、機能、安全性、セキュリティの向上のため。
(g) (加入者記録の保持を含むがこれに限定されない)当社の法律上及び規制上の義務を遵守するため。
3.3 通信利用状況データのコントローラーとしての当社。お客様及び当社は、当社が以下の目的で処理する通信利用状況データの独立したコントローラーであることに同意します。
(a) (i) 当社の会計、税務、請求、監査、法令遵守目的、(ii) 本サービスの提供、最適化、維持、(iii) セキュリティインシデントの予防、検出、調査、当社のプラットフォーム及びサービスのセキュリティ管理など、電子通信サービス事業者として必要な責務を果たすため。
(b) Twilioの社内ツールの開発又は改良、及びその目的でのモデルトレーニングなどを介して、本サービスの乱用を予防、検出、調査するため、又はスパム、詐欺、違法行為に対抗するために電気通信事業者、規制当局、法執行機関を支援するため。。
(c) (加入者記録の保持、通信業界の行動規範、電気通信事業者との契約上の約束事項を含むがこれらに限定されない)当社の法律上及び規制上の義務を遵守するため。
(d) 新製品及びサービスの開発改良、並びに本サービスのパフォーマンス、機能、安全性、セキュリティの向上のため。
(e) 通信利用状況データを匿名化、非識別化、又は集計し、お客様、お客様のエンドユーザー、又はいかなるデータ主体も特定できないようにするため。
3.4 カスタマーコンテンツのコントローラーとしての当社。お客様及び当社は、以下の目的のために必要な範囲で当社が処理するカスタマーコンテンツについて、当社が独立したコントローラーであることを確認し、同意します。
(a) セキュリティインシデントを予防、検出、調査し、当社のプラットフォーム及びサービスのセキュリ ティを管理するため。
(b) Twilioの社内ツールの開発又は改良、及びその目的でのモデルトレーニングなどを介して、本サービスの乱用を予防、検出、調査するため、又はスパム、詐欺、違法行為に対抗するために電気通信事業者、規制当局、法執行機関を支援するため。
(c) (加入者記録の保持、通信業界の行動規範、電気通信事業者との契約上の約束事項を含むがこれらに限定されない)当社の法律上及び規制上の義務を遵守するため。
(d) 新製品及びサービスの開発改良、並びに本サービスのパフォーマンス、機能、安全性、セキュリティの向上のため。
(e) ビジネスアナリティクス、内部報告、財務報告、予測、キャパシティ計画及び収益計画、並びに製品戦略のため。
(f) その他、お客様により授権又は要請された場合(本サービス固有の条件において合意された場合、又はお客様による本サービスの特定の機能の使用及び設定による場合を含みます)。
3.5 データ最小化及びプライバシー保護の方法。合理的に必要な場合、当社は、第3.1条(カスタマー個人データのコントローラーとしての当社)から第3.4条(カスタマーコンテンツのコントローラーとしての当社)に定める上記の目的のために使用されるカスタマー個人データが、(a) お客様、お客様のエンドユーザー又はいかなるデータ主体も特定できないように、かつ (b) 適用されるデータ保護法上の個人データに該当しないように、当該データを最小化、匿名化、非識別化、仮名化、及び/又は集計するための適切な措置を講じるものとします。
3.6 匿名化、非識別化、及び集計されたデータ。当社が第3.5条(データ最小化及びプライバシー保護の方法)又は本契約に基づき匿名化、非識別化、又は集計されたカスタマー個人データは、本附属書類の対象となりません。ただし、当社はカスタマー個人データを再識別し、又はそれを試みることはないものとします。
4.プロセッサーとして行うカスタマー個人データの処理
4.1 カスタマー個人データのプロセッサーとしての当社。第3条(コントローラーとして行うカスタマー個人データの処理)に定める場合を除き、お客様及び当社は、当社がカスタマー個人データをコントローラーとしてではなく、プロセッサー又はサブプロセッサーとして処理することに同意します。プロセッサー又はサブプロセッサーとして、当社は、第4.2条(お客様の指示)に定めるお客様の指示、特定の本サービスについてお客様が承諾した条件、又は本サービス内の特定の機能の使用及び設定を通じてお客様が承諾した条件に基づいて、カスタマー個人データを処理します。
4.2 お客様の指示。第3条(コントローラーとして行うカスタマー個人データの処理)に別途定められている場合を除き、お客様は、本契約及び本附属書類(別表1(処理の詳細)を含みます)に定めるお客様の指示に従って、かつお客様に代わってカスタマー個人データを処理するプロセッサー又はサブプロセッサー、並びに、当社の他の製品、サービス又は機能の推奨又はデモンストレーションをお客様に行うことを含む、本サービスの提供のためにカスタマー個人データを処理するプロセッサー又はサブプロセッサーとして当社を任命します。
4.3 指示の適法性。お客様は、カスタマー個人データの処理に関するご自身の指示が適用されるデータ保護法を遵守していることを保証するものとします。お客様がカスタマー個人データのプロセッサーである場合、お客様は、当社をサブプロセッサーとして任命すること、及びご自身の指示が、関係するコントローラーによって授権されていることを保証するものとします。お客様は、ご自身の事業にどのような法令が適用されるのか、当社による本サービスの提供が当該法令の要件を満たしているのか、今後満たすのかどうかを判断することのいずれについても、当社が責任を負わないことを認めるものとします。お客様は、当社によるカスタマー個人データの処理がお客様の指示に従って行われることにより、適用されるデータ保護法を含む適用法令に当社が違反しないことを保証するものとします。当社は、お客様の指示が適用されるデータ保護法を含む適用法令に違反していることを認識した場合、又は合理的にそのように判断した場合には、その旨をお客様に通知するものとします。
4.4 追加指示。 カスタマー個人データの処理に関する、本契約及び本附属書類の範囲外の追加指示については、当該追加指示の実行に対してお客様が当社に支払う義務を負う可能性のある追加料金を含め、お客様と当社の間で書面により合意するものとします。
5.守秘義務
5.1 第三者の要請への対応。当社によるプロセッサー又はサブプロセッサーとしてのカスタマー個人データの処理に関連し、第三者の要請が直接当社になされた場合、当社は、法律上認められている範囲で、速やかに当該第三者の要請についてお客様に通知し、その詳細を提供するものとします。当社は、お客様の事前同意なく、第三者の要請には対応しないものとします。ただし、当社がそのように対応すること、又は第三者の要請がお客様に関連することを確認することが法律上義務付けられている場合を除きます。該当する場合、当社は、(a) 法執行機関向けガイドライン(その最新版はhttps://www.twilio.com/legal/law-enforcement-guidelinesにて閲覧できます)を遵守し、(b) 第三者の要請の一環として提供されるカスタマー個人データを、当該第三者の要請に必要な最小限の範囲、かつその目的に厳密に必要な範囲に限定します。
5.2 加入者記録。適用法令により要求される場合、加入者記録は、現地の接続サービスを提供する現地の電気通信事業者又は現地の政府当局と共有されます。これらの規制要件に関する追加情報は、https://www.twilio.com/guidelines/regulatoryにて閲覧できます。
5.3 当社担当者の守秘義務。当社は、当社がカスタマー個人データの処理を許可した者が、本契約における当社の守秘義務に従ってカスタマー個人データを保護することに同意していることを保証するものとします。
6.サブプロセッサー
6.1 サブプロセッサーへの委託に対する承認。お客様は、ここに、以下の要件に服することを条件として、当社が第三者のサブプロセッサーに対して、当社がプロセッサー又はサブプロセッサーとして処理するカスタマー個人データのその後の処理を委託することを一般的に許可するものとします。
(a) 当社が、自らのサブプロセッサーによるカスタマー個人データへのアクセス及び処理を本サービスの提供に厳密に必要な場合に制限すること。
(b) 当社が、適用されるデータ保護法(別表4(カリフォルニア州個別の条件)に定める要件を含むが、これに限定されません)のもとで要求される基準に従い、カスタマー個人データを保護することを求める契約上のデータ保護義務(個人データを保護するために設計された、適切な技術的及び組織的措置を含みます)を当該サブプロセッサーに課すことに同意すること。
(c) 当社のサブプロセッサーの作為、過失、又は不作為に起因する本附属書類に対する違反があった場合に、当社がその責任を負うものとすること。
6.2 既存のサブプロセッサー及びサブプロセッサー変更に関する通知。当社は、そのサブプロセッサーの最新リストをhttps://www.twilio.com/legal/sub-processorsに掲載しており、そこではお客様が新規のサブプロセッサーに関する、又は既存のサブプロセッサーの交代に関する通知を受け取るために登録する方法が記載されています。お客様が当該通知の受領に登録した場合、当社は、サブプロセッサーが変更された際には、その詳細を合理的に実行可能な範囲で速やかに提供するものとします。本サービスのインフラストラクチャプロバイダーの変更については、当社は、当該変更についてお客様に合理的に実行可能な範囲で速やかに、ただし、当該変更の30日前までに書面で通知するものとします。本サービスのインフラストラクチャプロバイダーではない、当社のその他のサブプロセッサーについて変更が生じた場合、当社は、当該変更についてお客様に合理的に実行可能な範囲で速やかに、ただし、当該変更の10日前までに書面で通知するものとします。
6.3サブプロセッサーに関する異議申し立ての権利。お客様は、当社による新規サブプロセッサーの任命又は既存のサブプロセッサーの交代について、第6.2条(既存のサブプロセッサー及びサブプロセッサー変更に関する通知)に定める該当する通知期間中、それらに対する異議申し立てができます。ただし、当該異議は、データ保護に関する合理的な理由に基づき、書面により行われることを条件とします。この場合、お客様と当社は、商業的に合理的な代替解決策について誠実に協議することに同意します。お客様と当社が第6.2条(既存のサブプロセッサー及びサブプロセッサー変更に関する通知)に定める該当する通知期間中に解決に至ることができない場合、お客様は、書面で当社に通知することにより、影響を受ける本サービスの利用を中止することができます。影響を受ける本サービスを中止した場合、当該中止は、中止前にお客様に発生した料金に影響を及ぼさないものとします。お客様によって、第6.2条(既存のサブプロセッサー及びサブプロセッサー変更に関する通知)に定める該当する通知期間が終了するまでにいかなる異議の申し立ても行われない場合、当社は、お客様が(該当する場合は)新規サブプロセッサー又は変更後のサブプロセッサーを承認したものとみなします。
7. データ主体の権利。当社は、本サービスを通じて、当社がプロセッサー又はサブプロセッサーとして取り扱うカスタマー個人データについて、削除、コピーの取得、又は利用の制限を行うための各種セルフサービス機能をお客様に提供します。お客様は、第三者の要請のうちデータ主体本人からの要請に本サービスを通じて対応するにあたり、適用されるデータ保護法に基づく義務の履行を支援するため、これらのセルフサービス機能を追加費用なしで利用することができます。お客様から書面による要請があった場合、当社は、お客様が本サービスを通じて利用可能なセルフサービス機能ではデータ主体本人からの要請に対応できない限度で、適用されるデータ保護法に基づくデータ主体の権利に関するお客様の義務の履行を支援するため、合理的かつ適時な追加支援を行うものとします。
8. 影響評価及び協議。当社がプロセッサー又はサブプロセッサーとしてカスタマー個人データを処理する場合、当社は、データ保護影響評価、又は適用されるデータ保護法に基づき必要となる可能性のある規制当局との協議に関連して、お客様に合理的な協力を行うものとします。ただし、当該協力のために当社が相当なリソースを割り当てることが必要になる場合に限り、その費用はお客様の負担とします。
9.カスタマー個人データの返却又は削除。当社がプロセッサー又はサブプロセッサーとしてカスタマー個人データを処理する場合、当社は、別表1(処理の詳細)の第6条(処理の継続期間)に従い、本サービス内に保存されているカスタマー個人データを削除するか、お客様に返却するものとします。
9.1 本附属書類の存続。本契約が終了した場合、当社は、別表1(処理の詳細)に定める期間、カスタマー個人データを保持及び保管し続けることができます。ただし、当社は、カスタマー個人データが別表1(処理の詳細)に定める目的に必要な場合にのみ処理され、かつ、本契約、本附属書類、及び適用されるデータ保護法に従って引き続き保護されることを保証するものとします。
9.2 法令で義務付けられる保持。本第9条の規定に別段の定めがある場合であっても、当社は、適用されるデータ保護法を含む適用法令で義務付けられている場合には、カスタマー個人データ又はその一部を保持することができます。ただし、当該カスタマー個人データが本契約、本附属書類、及び適用されるデータ保護法の定めに従い引き続き保護されていることを条件とします。
10.セキュリティ
10.1 セキュリティ対策。当社は、本契約に定める技術的及び組織的なセキュリティ対策を実施しており、これを維持するものとします。これらの対策は、カスタマー個人データを含むカスタマーデータの保護を目的とするものです。当社の技術的及び組織的セキュリティ対策に関する追加情報は、別表2(技術的及び組織的セキュリティ対策)に定められています。
10.2 セキュリティ要件の判断。お客様は、本サービスには、音声録音の暗号化、お客様のアカウントにおける多要素認証の利用可能性、又は任意のトランスポート・レイヤー・セキュリティ(TLS)暗号化を含むがこれらに限定されない、お客様が利用を選択できる特定の機能が含まれており、これらがお客様による本サービスの利用の結果処理されるカスタマーデータのセキュリティに影響を与えることを認めるものとします。お客様は、当社が提供しているデータセキュリティに関する情報(監査報告書を含みます)を確認すること、及び本サービスがお客様の要件及び法的義務(適用されるデータ保護法に基づく義務を含みます)を満たしているかどうかを独自に判断することについて責任を負います。お客様はさらに、お客様による本サービスの利用の結果処理されるカスタマーデータの性質を踏まえ、適切なセキュリティを維持するために、本サービスを適切に設定し、当社が提供する機能を利用する責任も負います。
10.3 セキュリティインシデントに関する通知。 当社は、以下の方法でセキュリティインシデントに関する通知を行うものとします。
(a) 当社は、当社がプロセッサー又はサブプロセッサーとして処理するカスタマー個人データに関するセキュリティインシデントが発生した場合、当社が当該セキュリティインシデントを発見した後、不当な遅滞なく、お客様に通知するものとします。
(b) 当社は、当社をコントローラーとするカスタマー個人データに影響を与えるセキュリティインシデントが発生した場合、適用されるデータ保護法を含む適用法令により認められ、かつ求められる範囲で、不当な遅滞なく、お客様にその旨を通知します。
(c) 当社は、お客様がご自身のアカウントで指定した電子メールアドレス宛ての電子メールにより、お客様にセキュリティインシデントに関する通知を行います。
当社は、適用されるデータ保護法に基づき、お客様が規制当局又はセキュリティインシデントの影響を受けるデータ主体に通知する必要がある場合には、お客様に合理的な支援を行うものとします。
11. 監査。お客様は、当社がお客様のカスタマー個人データのプロセッサー又はサブプロセッサーとして行動する場合、以下の監査権を有するものとします。
11.1 当社の監査制度。当社は、外部の監査人を利用して、当社がプロセッサー又はサブプロセッサーとして行うカスタマー個人データの処理に関し、技術的及び組織的セキュリティ対策の妥当性を検証します。当該監査は、当社が選択した独立した第三者のセキュリティ専門家により、当社の費用負担で少なくとも1暦年につき1回実施され、その結果、機密扱いの監査報告書(以下、「監査報告書」といいます)が作成されます。合理的な間隔でお客様から書面による要請を受けた場合、合理的な機密管理に従い、当社は、当社の最新の監査報告書の概要の写しをお客様に提供するものとします。さらに、1暦年につき1回を超えない範囲で、当社は、プロセッサー又はサブプロセッサーとして行うカスタマー個人データの処理に関連して、当社が本附属書類を遵守していることを確認するために必要な、お客様からの合理的な書面による情報提供要請に対し、機密保持を前提として書面で回答するものとします。
11.2 お客様の監査。お客様は、適用されるデータ保護法に基づき必要とされる監査権が、第11.1条(当社の監査制度)に定める権利の行使によって合理的に満たされない場合に限り、本契約の期間中、お客様又はお客様によって正当な権限を付与された代表者らが、当社の本附属書類の条件の遵守状況を評価するための監査(以下、各々を「お客様の監査」といいます)を実施できることに同意します。さらに、お客様と当社が、第11.1条(当社の監査制度)に定める権利の行使では適用されるデータ保護法に基づき必要とされる監査権を満たさないと判断する場合、お客様は、以下の内容を含む監査計画について、当社と相互に合意するものとします。
(a) 独立した第三者監査人を使用すること。
(b) 第11.2条に基づくお客様の監査を実施する権利を行使するにあたり、お客様が合理的な事前の書面による通知を当社に行うこと。
(c) 当社の管理する施設及び当社の担当者へのお客様のアクセスを通常の営業時間内に限定すること。
(d) お客様の監査を支援するため、当社のその時点で有効な料金を支払うようお客様に求めること
(e) お客様の監査の実施を1暦年につき1回を超えない範囲までに制限すること。
(f) 当社がプロセッサー又はサブプロセッサーとして行動する場合、お客様の監査による指摘事項を、お客様に関連するカスタマー個人データのみに制限すること。
(g) 法令で認められている範囲で、お客様の監査から収集された情報のうち、その性質上機密扱いにすべき情報については、お客様にも守秘義務を負わせること。
12. 国際条項
12.1 カリフォルニア州個別の条件。当社が、カリフォルニア州プライバシー権法及びその施行規則により改正されたカリフォルニア州消費者プライバシー法(California Consumer Privacy Act, Cal. Civ. Code § 1798.100 et seq.)(以下、総称して「CCPA」といいます)にて定義される個人情報を処理する範囲において、別表4(カリフォルニア州個別の条件)に定める条件が適用されます。
12.2 国境を越えるデータの移転方法。お客様による本サービスの利用に、ある法域(例えば、欧州経済領域、英国、スイス、ガーンジー及びジャージー)から当該法域外に所在する当社の業務拠点に個人データを適法に移転するための仕組み(以下、「移転方法」といいます)が必要となる範囲において、別表3(国境を越えるデータ移転方法)に定める条件が適用されます。
13. 雑則
13.1 法令遵守。お客様は、(a) 本サービスの利用及び自らによる個人データの処理において、適用されるデータ保護法を遵守しており、今後も引き続き当該データ保護法を遵守すること、及び (b) お客様が本契約及び本附属書類の規定に基づく処理を行うために、当社に個人データを移転し、又は当該個人データへのアクセスを提供する権利を有しており、将来にわたり当該権利を有し続けることを保証する責任を負います。
13.2 矛盾。以下の文書の間に矛盾又は不一致が存在する場合、それらの優先順位は以下のとおりとします:(1) 移転方法、(2) 別表4(カリフォルニア州個別の条件)において適用される条件、(3) 別表4(カリフォルニア州個別の条件)以外の本附属書類の条件、(4) 本契約、及び (5) Twilioプライバシーノーティス。本附属書類に関連して請求の申し立てがなされた場合、本契約に定める免責及び責任制限を含むがこれらに限定されない条件に従うものとします。
13.3 完全合意。本附属書類は、お客様と当社の間で従前に合意されたデータ保護に関する条件又は個人データの処理に関する条件に優先し、これらに取って代わるものとします。
13.4 更新。当社は、少なくとも30日前までに書面でお客様にその旨を通知することにより、本附属書類の条件を随時更新することができます。本附属書類のその時点における最新の条件は、https://www.twilio.com/ja-jp/legal/data-protection-addendumにて閲覧できます。
別表1
処理の詳細
該当する場合、別表1は、EU標準契約条項、英国国際データ転送契約及びブラジル標準契約条項(いずれも別表3(国境を越えるデータの移転方法)で定義)の付録Iとして機能します。
1. データ主体のカテゴリ。お客様のエンドユーザー及びお客様の最終消費者。
2. カスタマー個人データのカテゴリ。カスタマーアカウントデータ、通信利用状況データ及びカスタマーコンテンツ。
3. 要配慮データ又は特別なカテゴリに該当するデータ。カスタマーコンテンツは、適用されるデータ保護法の下で要配慮データに該当する場合があり、お客様又はお客様のエンドユーザーがカスタマーコンテンツ内に要配慮データを含めることを選択した場合、カスタマーコンテンツは、本サービスを通じて処理される要配慮データを随時含む可能性があります。お客様は、本サービスを通じて要配慮データを送信若しくは処理する前に、又はお客様のエンドユーザーに本サービスを通じて要配慮データの送信若しくは処理を許可する前に、適切な保護措置が講じられるよう保証する責任を負います。
4.移転の頻度:継続的
5. 処理の性質及び目的。カスタマー個人データは、以下の基本的な処理活動の対象となります。
当社は、第4.2条(お客様の指示)に定めるお客様の指示に従い、カスタマー個人データをプロセッサー又はサブプロセッサーとして処理するものとします。
当社は、第3条(コントローラーとしてのカスタマー個人データの処理)に定める適法な事業目的を遂行するために必要な範囲でカスタマー個人データをコントローラーとして処理するものとします。
6.処理の継続期間。当社によって個人データが保持される期間、及び当該期間を決定するための基準は次のとおりです:
当社がプロセッサー又はサブプロセッサーとして行動する場合、カスタマー個人データは、当該個人データが当社により収集され又は受領された目的を達成するために必要な期間保持されるものとし、その詳細は、別表1第6.1条及び第6.2条、並びにhttps://help.twilio.com/articles/4410585868443及びhttps://segment.com/docs/privacy/account-deletionに掲載されている本サービスのデータ保持及び削除に関する文書に定めるとおりとします。
6.1 サービス。本契約の終了前において、(a) 当社は、お客様が本サービスを通じて当該カスタマーコンテンツを削除することを選択するまで、保存されたカスタマーコンテンツを第4.2条(お客様の指示)に定める目的のために処理するものとし、(b) お客様は、本サービスを通じたカスタマーコンテンツの削除について、自ら単独で責任を負うものとします。別表1第6.2条(SendGridサービス)に定める場合を除き、本契約の終了時に、当社は、(i) 終了の効力発生日から30日間、お客様が本サービスを通じて保存されたカスタマーコンテンツのコピーを取得できるようにし、(ii) 終了の効力発生日から30日後に、保存されたカスタマーコンテンツをに自動的に削除し、(iii) 終了の効力発生日から60日後に、当社のバックアップシステムに保存されたカスタマーコンテンツを自動的に削除します。当社のバックアップシステムにアーカイブされたカスタマーコンテンツは、適用されるデータ保護法を含む適用法令により別途義務付けられている場合を除き、安全に隔離され、それ以上の処理が行われないよう保護されます。
6.2 SendGridサービス。本契約が終了した時点で、当社は、(a) お客様の選択により、「SendGrid」又は「Twilio SendGrid」の名称が付された一切のサービス及びアプリケーションプログラミングインターフェース(総称して「SendGridサービス」といいます)内に保存されたカスタマーコンテンツ(コピーを含みます。)を削除するか、お客様に返却し、(b) 終了の効力発生日から1年後に、当社のバックアップシステムのSendGridサービス内に保存されたカスタマーコンテンツを自動的に削除します。
当社がコントローラーとして行動する場合、カスタマー個人データは、当該個人データが当社により収集又は受領された目的を果たすために必要な期間、当社のデータ保持ポリシーに従って保持されるものとします。
別表2
技術的及び組織的セキュリティ対策
カスタマー個人データを含むカスタマーデータを保護するための当社の技術的及び組織的セキュリティ対策の全文は、https://www.twilio.com/ja-jp/legal/security-overview(以下、「セキュリティ概要書」といいます)にて閲覧できます。当社の拘束的企業準則プロセッサーポリシーはhttps://www.twilio.com/en-us/legal/bcr/processorにて閲覧できます。
該当する場合、別表2はEU標準契約条項の付録II、英国国際データ移転契約の表3及びブラジル標準契約条項に基づく所定のセキュリティ対策として機能します。
セキュリティ概要書と本契約に定められたセキュリティ関連条項との間に矛盾又は不一致が生じた場合、本契約に定められたセキュリティ関連条項が優先して適用されるものとします。
以下の表では、当社の技術的及び組織的セキュリティ対策に関する詳細情報を示しています。
技術的及び組織的セキュリティ対策
技術的及び組織的セキュリティ対策に関する参照先
個人データの仮名化及び暗号化の措置
セキュリティ概要書第12条(暗号化)を参照
処理システム及びサービスの継続的な機密性、完全性、可用性、及びレジリエンスを確保するための措置
セキュリティ概要書第16条(レジリエンス及びサービス継続性)及び第17条(カスタマーデータのバックアップ)を参照
物理的又は技術的なインシデントが発生した場合に、個人データの可用性及び個人データへのアクセスを適時に回復できるようにするための措置
セキュリティ概要書第16条(レジリエンス及びサービス継続性)及び第17条(カスタマーデータのバックアップ)を参照
処理のセキュリティを確保するために、技術的及び組織的措置の有効性を定期的に試験、評価、及び査定するためのプロセス
セキュリティ概要書第3条(セキュリティに関する組織及び制度)、第7条(セキュリティ認証及び証明)、及び第14条(ペネトレーションテスト)を参照
ユーザーの識別及び認証のための措置
セキュリティ概要書第10条(アクセス権の管理)を参照
送信中のデータを保護するための措置
セキュリティ概要書第12条(暗号化)及び第17条(カスタマーデータのバックアップ)を参照
保存中のデータを保護するための措置
セキュリティ概要書第8条(ホスティングアーキテクチャ及びデータの分離)及び第12条(暗号化)を参照
個人データが処理される場所の物理的セキュリティを確保するための措置
セキュリティ概要書第5条(物理的セキュリティ)を参照
イベントログを確実に記録するための措置
デフォルト設定を含む、システム構成を確保するための措置
社内のIT及びITセキュリティのガバナンス及び管理に関する措置
セキュリティ概要書第3条(セキュリティに関する組織及び制度)を参照
プロセス及び製品の認証/保証に関する措置
セキュリティ概要書第3条(セキュリティに関する組織及び制度)及び第7条(セキュリティ認証及び証明)を参照
データ品質及びデータ最小化を確保するための措置
当社がカスタマー個人データのプロセッサーとして行動する場合、お客様の指示に基づき、当社は、お客様が個人データを正確かつ最新の状態に保つ義務を遵守できるよう支援します。
お客様が当社に対し、当社がお客様に代わって処理するカスタマー個人データが不正確であることを通知した場合、当社は、お客様が当該データを遅滞なく更新、修正、又は消去できるよう支援します。また、当社は、当該データが開示された自らのグループメンバーや第三者プロセッサーに対し、当該個人データを更新、修正、又は消去する必要性を通知するための措置を講じます。
限定的なデータ保持を確保するための措置
当社がカスタマー個人データのプロセッサーとして行動する場合、お客様の指示に基づき、当社は、当該データが最初に収集された目的のために必要な期間に限り、お客様がカスタマー個人データを保存できるよう支援します。
お客様が当社に対し、当社がお客様に代わって処理するカスタマー個人データがもはや必要でないと指示した場合、当社は、お客様が当該データを遅滞なく、かつ本契約の条件に従って、消去、制限、又は匿名化できるよう支援します。また、当社は、当該データが開示された自らのグループメンバーや第三者プロセッサーに対しても、当該個人データを消去、制限、又は匿名化する必要性を通知するための措置を講じます。
説明責任を果たすための措置
当社は、当社内での個人データのグローバルな取扱い、処理、移転について定める、拘束的企業準則を採用しています。
データポータビリティを可能にし、削除を確保するための措置
お客様は、https://www.twilio.com/docsにて閲覧できる、本サービスに関して適用されるドキュメントに定めるとおり、本サービスのセルフサービス機能を使用し、カスタマーコンテンツをエクスポート又は削除することができます。
データポータビリティのセルフサービス機能の例については、次を参照してください:https://support.twilio.com/hc/en-us/articles/223183588-Exporting-SMS-and-Call-Logs
データポータビリティのセルフサービス機能の例については、次を参照してください:https://docs.sendgrid.com/ui/managing-contacts/create-and-manage-contacts#export-contacts
データ削除のセルフサービス機能の例については、次を参照してください:
https://support.twilio.com/hc/en-us/articles/223181008-Twilio-SMS-message-and-traffic-storage
データ削除のセルフサービス機能の例については、次を参照してください:https://www.twilio.com/docs/sendgrid/api-reference/contacts/delete-contacts.
データ削除のセルフサービス機能の例については、次を参照してください:https://www.twilio.com/docs/sendgrid/api-reference/contacts/delete-contacts
第三者サブプロセッサーが講じる措置
当社が本附属書類の第6.1条(サブプロセッサーへの委託に対する承認)に基づきサブプロセッサーに委託を行う場合、当社及びサブプロセッサーは、本附属書類に定める義務と実質的に同様のデータ保護義務を伴う契約を締結します。各サブプロセッサーの契約は、当社がお客様に対する義務を遂行することができるものでなければなりません。個人データを保護するための技術的及び組織的措置を実施することに加え、サブプロセッサーは、以下を行う義務を負います。(a) セキュリティインシデントが発生した場合、当社がお客様に通知できるよう、当社にその旨を通知すること、(b) お客様による当社への指示に基づき、当社から指示された場合に個人データを削除すること、(c) 当社の承認なく、追加のサブプロセッサーに委託しないこと、(d) 個人データを処理する場所を変更しないこと、又は (e) お客様による当社への指示と矛盾する形で個人データを処理しないこと。
別表3
国境を越えるデータ移転方法
1. 定義
- 「「BCRサービス」とは、SendGridサービス及びプライベートベータオファリング(以下に定義)を除く全てのサービスをいいます。
- 「ブラジル標準契約条項」とは、2024年8月23日付決議CD/ANPD No. 19/2024の付録IIに定める標準契約条項をいいます。
- 「データプライバシーフレームワーク」とは、EU・米国間及び/又はスイス・米国間データプライバシーフレームワークについて、米国商務省が運営する自己認証制度をいいます。
- 「データプライバシー原則」とは、データプライバシーフレームワークの原則(補足原則による補足を含む)をいいます。
- 「EEA」とは、欧州経済地域をいいます。
- 「EU標準契約条項」とは、欧州委員会決定2021/914において欧州委員会が承認した標準契約条項をいいます。
- 「プライベートベータオファリング」とは、アルファ、ベータ、一般提供されていないもの、限定リリース、開発者プレビューとして指定される特定の本サービス、又は上記の全ての場合において、非公開若しくは私的な形で招待により限られた数の顧客にのみ提供される類似の本サービスをいいます。
- 「Twilio BCR」とは、https://www.twilio.com/legal/binding-corporate-rulesに定める当社の拘束的企業準則をいいます。
- 「TwilioグローバルCBPR及びグローバルPRP認証」とは、グローバル越境プライバシー規則(「グローバルCBPR」)システム及びプロセッサー向けグローバルプライバシー認証(「グローバルPRP」)システムに基づく当社による認証で、https://www.globalcbpr.orgにて閲覧できるディレクトリに登録されているものをいいます。
- 「英国国際データ移転契約」とは、英国情報コミッショナーが発行し、2022年3月21日に発効した、EU委員会標準契約条項に対する国際データ移転附属書のバージョンB1.0をいいます。
2. 国境を越えるデータ移転方法
2.1 優先順位。本サービスに複数の移転方法が適用される場合、個人データの移転は、単一の移転方法に従います。当該移転方法は、本別表3に定めるとおり、以下の優先順位で適用されるものとします。(a) データプライバシーフレームワーク(第2.2条)、(b) Twilio BCR(第2.3条)、(c) EU標準契約条項(第2.4条)、(d) 英国国際データ移転契約(第2.5条)、(e) ブラジル標準契約条項(第2.7条)、(f) TwilioグローバルCBPR及びグローバルPRP認証(第2.8条)、又は (g) 上記のいずれも適用されない場合は、適用されるデータ保護法で認められたその他のデータ移転方法。
2.2 データプライバシーフレームワーク。Twilio Inc.がEEA、スイス又は英国に由来する個人データを本サービスを介して処理する場合において、当社は、Twilio Inc.がEU・米国間データプライバシーフレームワーク、EU・米国間データプライバシーフレームワークの英国拡張版及びスイス・米国間データプライバシーフレームワークに基づく自己認証を行っており、かかる個人データの処理に際してはデータプライバシー原則を遵守することを表明します。お客様が (a) アメリカ合衆国に所在し、かつデータプライバシーフレームワークに基づく自己認証を行っているか、又は (b) EEA、スイス若しくは英国に所在する場合、当社はさらに次の内容を実施することに同意します。(i) 個人データについて、データプライバシー原則の要件と同等以上の保護を確保すること、(ii) データプライバシーフレームワークに対する自己認証について撤回、終了、取消、又はそれ以外の形で無効になった場合には、不当に遅延することなく、その旨をお客様に書面で通知すること(その場合、別表3の第2.1条(優先順位)に定める優先順位に従い、代わりの移転方法を適用します)、(iii) 個人データの不正処理が発生した場合、お客様から書面による通知を受けたときは、お客様と連携して、当該不正処理を中止し、これを是正するための合理的かつ適切な対策を取るものとします。
2.3 Twilio BCR。当社は、Twilio BCRに基づきBCRサービス内で個人データを処理するものとします。お客様と当社は、BCRサービスに関し、Twilio BCRがEEA又はスイスから (a) アメリカ合衆国に所在する当社、又は (b) EEA域外に所在するその他の当社の事業体に対するカスタマー個人データの合法的な移転方法であることに同意するものとします。なお、Twilio BCRは、SendGridサービス又はプライベートベータオファリングの移転方法としては機能しません。
2.4 EU標準契約条項。EU標準契約条項は、本サービスを介し直接又は再移転により、EEA、スイス、ガーンジー若しくはジャージーから、(a) 関係する所管当局により個人データについて十分な保護水準を提供していると認められておらず、かつ (b) Twilio BCRの対象でもない、EEA、スイス、ガーンジー又はジャージー以外の国又はこれらの地域外に所在する受領者に移転される個人データに適用されるものとします。EU標準契約条項の対象となるデータ移転については、EU標準契約条項が締結されたとみなされるとともに、この参照により本附属書類に組み込まれているものとみなされ、以下のとおり補完されるものとします。
(a) (i) 当社がカスタマーアカウントデータ及び通信利用状況データを処理している場合、及び (ii) お客様がカスタマー個人データのコントローラーであり、当社が第3条(コントローラーとして行うカスタマー個人データの処理)に従ってカスタマー個人データを処理している場合には、EU標準契約条項のモジュール1(コントローラーからコントローラーへの移転)が適用されるものとします。
(b) お客様がカスタマー個人データのコントローラーであり、当社が第4条(プロセッサーとして行うカスタマー個人データの処理)に従ってカスタマー個人データを処理している場合には、EU標準契約条項のモジュール2(コントローラーからプロセッサーへの移転)が適用されるものとします。
(c) お客様がカスタマー個人データのプロセッサーであり、当社が第4条(プロセッサーとして行うカスタマー個人データの処理)に従ってカスタマー個人データを処理している場合には、EU標準契約条項のモジュール3(処理者から処理者への移転)が適用されるものとします。
(d) 各モジュールに関して、該当する場合には以下のとおりとします。
(i) EU標準契約条項の第7条において、任意選択によるドッキング条項は適用されないものとします。
(ii) EU標準契約条項の第9条において、オプション2が適用され、サブプロセッサー変更に関する事前の書面による通知の期間は、第6.2条(既存のサブプロセッサー及びサブプロセッサー変更に関する通知)に定めるとおりとします。
(iii) EU標準契約条項の第11条において、任意選択による文言は適用されないものとします。
(iv) 第17条(オプション1)において、EU標準契約条項はアイルランド法に準拠するものとします。
(v) EU標準契約条項の第18条(b)項において、紛争はアイルランドの裁判所の判断に従い解決されるものとします。
(vi) EU標準契約条項の付録I、パートAにおいては、以下のとおりとします。
データ輸出者: お客様
連絡先: お客様のアカウントの通知設定においてお客様が指定した電子メールアドレス。
データ輸出者の役割:データ輸出者の役割は、適宜、第3条(コントローラーとして行うカスタマー個人データの処理)及び第4条(プロセッサーとして行うカスタマー個人データの処理)に定められています。
署名及び日付:本契約を締結することにより、データ輸出者は、本契約の効力発生日を以て、本附属書類に組み込まれたこれらのEU標準契約条項(それらの付録を含む)に署名したものとみなされます。
データ輸入者: Twilio Inc.
連絡先: Twilio Privacy - privacy@twilio.com
データ輸入者の役割: データ輸入者の役割は、適宜、第3条(コントローラーとして行うカスタマー個人データの処理)及び第4条(プロセッサーとして行うカスタマー個人データの処理)に定められています。
署名及び日付:本契約を締結することにより、データ輸入者は、本契約の効力発生日を以て、本附属書類に組み込まれたこれらのEU標準契約条項(それらの付録を含む)に署名したものとみなされます。
(vii) EU標準契約条項の付録I、パートBにおいては、以下のとおりとします。
データ主体のカテゴリーは、別表1(処理の詳細)の第1条(データ主体のカテゴリ)に定められています。
移転される要配慮データは、別表1(処理の詳細)の第3条(要配慮データ又は特別なカテゴリに該当するデータ)に定められています。
移転は、本契約の期間中、継続的に行われます。
処理の性質及び目的は、別表1(処理の詳細)の第5条(処理の性質及び目的)に定められています。
個人データを保持する期間は、別表1(処理の詳細)の第6条(処理の継続期間)に定められています。
サブプロセッサーへの移転の場合、処理の対象、性質、及び継続期間については、https://www.twilio.com/legal/sub-processorsに定められています。
(viii) EU標準契約条項の付録I、パートCにおいては、以下のとおりとします。アイルランドデータ保護委員会を管轄監督当局とします。
(ix) 別表2(技術的及び組織的セキュリティ対策)は、EU標準契約条項の付録IIとしての機能を果たします。
2.5 英国国際データ移転契約。英国国際データ転送契約は、本サービスを介し、英国から直接又は再移転により、(a) 英国について管轄権を有する規制当局又は英国の政府機関により、個人データについて十分な保護水準を提供していると認められておらず、かつ、(b) Twilio BCRの対象でもない、英国以外の国又は英国外に所在する受領者に移転される個人データに適用されるものとします。英国国際データ移転契約の対象となる英国からのデータ移転については、英国国際データ移転契約が締結されたとみなされるとともに、この参照により本附属書類に組み込まれているものとみなされ、以下のとおり補完されるものとします。
(a) 英国国際データ移転契約の表1における、お客様と当社の詳細及び主要な連絡先は、別表3の第2.4条(d)(vi)に記載されています。
(b) 英国国際データ移転契約の表2における、英国国際データ移転契約が添付されている承認済みのEU標準契約条項、モジュール及び選択条項のバージョンに関する情報は、別表3の第2.4条(EU標準契約条項)に記載されています。
(c) 英国国際データ移転契約の表3における、
(i) 当事者のリストは、別表3の第2.4条(d)(vi)に記載されています。
(ii) 移転の詳細は、別表1(処理の詳細)の第5条(処理の性質及び目的)に定められています。
(iii) 付録IIは、別表2(技術的及び組織的セキュリティ対策)に記載されています。
(iv) サブプロセッサーのリストは、https://www.twilio.com/legal/sub-processorsに掲載されています。
(d) 英国国際データ移転契約の表4における、輸入者及び輸出者の双方は、英国国際データ移転契約の条件に基づき、英国国際データ移転契約を終了することができます。
2.6 EU標準契約条項の適用。EU標準契約条項は、データ保護法又は規則に基づき国際的な移転又はアクセスに適切性を満たす手段が要求される国の外部から移転される又は遠隔的にアクセスされる全てのカスタマー個人データに適用されます。要求される適切性を満たす手段は、EU標準契約条項を締結することによって直接的に、又は、あらゆる国若しくは受領者への再移転を通じて満たすことができます。そのいずれの場合も、EU標準契約条項がなければ、当該移転又はアクセスが適用されるデータ保護法に基づき禁止される場合に限ります。EU標準契約条項は、EEA、スイス、ガーンジー又はジャージーの域内外を問わず、当事者の所在地に関係なく、本附属書類全体が全ての当事者に適用されるよう、(例えば、用語の点において)若干修正されなければなりません。ただし、このような修正は、EEA、スイス、ガーンジー又はジャージーのデータ保護法令が適用されるデータ移転には適用されません。
2.7 ブラジル標準契約条項の適用。ブラジル標準契約条項は、本サービスを介し、ブラジルから直接又は再移転により、第三国若しくは地域、又は第三国若しくは地域に所在する受領者に移転される個人データに適用されます。ただし、(a) ブラジルデータ保護当局(以下、「ANPD」といいます)による適切性認定の対象となる場合、又は (b) 個人データの保護に関する一般法(Lei Geral de Proteção de Dados)第33条に従い、個人データに対する適切な保護措置を提供するものとしてANPDにより認められ又は承認された移転方法の対象となる場合を除きます。ブラジル標準契約条項の対象となるデータ移転については、ブラジル標準契約条項が締結されたとみなされるとともに、この参照により本附属書類に組み込まれているものとみなされ、以下のとおり補完されるものとします。
(i) ブラジル標準契約条項の第2条は、データ移転を記載する本別表3の第2.4条(d)(vi)に定める情報により満たされます。
(ii) ブラジル標準契約条項の第3条においては、オプションBが適用され、本附属書類の第6条(サブプロセッサー)に従って再移転が認められます。処理の対象、性質及び継続期間については、https://www.twilio.com/legal/sub-processors に定められています。
(iii) ブラジル標準契約条項の第4条は、本別表3の第2.4条(d)(vi)に定める情報により満たされます。当社がコントローラーである場合、当社は、ブラジル標準契約条項に定義される「指定当事者」となり、ブラジル標準契約条項の第14条(透明性)、第15条(データ主体の権利)及び第16条(インシデント報告)の目的上、その役割を担うものとします。お客様は、お客様が別途コントローラーとなる個人データについて、ブラジル標準契約条項の第14条(透明性)、第15条(データ主体の権利)及び第16条(インシデント報告)の遵守について引き続き責任を負うものとします。
(iv) ブラジル標準契約条項の第9条において、任意選択によるドッキング条項は適用されないものとします。
(v) ブラジル標準契約条項の第III節(セキュリティ対策)は、別表2(技術的及び組織的セキュリティ対策)に定める情報により補完されたものとみなされます。
2.8 グローバル越境プライバシー規則の適用。Twilioのプライバシープログラムは、グローバルCBPR及びグローバルPRPに基づく認証を受けています。グローバルCBPR及びグローバルPRPは、政府が支援するデータプライバシー認証であり、国際的に認められたデータプライバシー保護への準拠を証明するものです。Twilioは、適用される範囲でTwilioグローバルCBPR及びグローバルPRP認証に従い、グローバルCBPR参加エコノミーからTwilioに移転された個人データを処理します。
2.9 矛盾。(a) EU標準契約条項、英国国際データ移転契約又はブラジル標準契約条項(該当するもの)、(b) 別表4(カリフォルニア州個別の条件)を含む本附属書類のその他の規定、(c) 本契約、又は (d) Twilioプライバシーノーティスの間に矛盾又は不一致がある場合には、EU標準契約条項、英国国際データ移転契約又はブラジル標準契約条項(該当するもの)が優先するものとします
別表4
カリフォルニア州個別の条件
1. 当社は、第3条(コントローラーとして行うカスタマー個人データの処理)に従い、コントローラーとしてCCPAの対象となるカスタマー個人データを処理する独立した「事業者」です。
2. 以下の条件は、当社が第4条(プロセッサーとして行うカスタマー個人データの処理)に従い、プロセッサーとしてCCPAの対象となるカスタマー個人データを処理し、「サービスプロバイダー」として行動する場合に適用されます:
(a) 別表4で使用される「個人情報」という用語は、CCPAで規定される意味を持つものとします。
(b) 当社は、本附属書類に規定された処理目的及び処理活動を含む、本契約に規定された事業目的(「本件目的」)のためにのみ、カスタマー個人データの中の個人情報の処理を行うものとします。当社は、サービスプロバイダーとして行動する場合、カスタマー個人データに含まれる個人情報を販売又は共有せず、また、当該データを、(a) 本件目的以外の目的で、又は本件目的以外の商業目的のために、CCPAにより別途認められる場合を除き、保持、使用若しくは開示せず、(b) お客様と当社との直接の取引関係の外で保持、使用若しくは開示しないものとします。
(c) 当社は、(a) CCPAに基づき自らがサービスプロバイダーとして行動する場合に適用される義務を遵守し、(b) 個人情報についてCCPAに基づいて要求されるものと同等の水準のプライバシー保護を行うものとします。お客様は、本サービスの使用及びお客様自身の個人情報の処理において、CCPAの要件を遵守していること、かつ今後も遵守し続ける責任を負います。
(d) お客様は、当社がCCPA に基づくお客様の義務に合致した態様で個人情報を使用するよう、合理的かつ適切な措置を講じる権利を有します。
(e) 当社は、CCPAに基づくサービスプロバイダーとしての義務をもはや果たすことができないと判断した場合、お客様に通知します。
(f) 通知を受けた場合、お客様は個人情報の不正使用を停止及び是正するため、本契約に基づき合理的かつ適切な手段を講じる権利を有します。
(g) 当社は、お客様が本契約に規定される消費者の要請に関する義務を遵守できるよう、合理的な追加的かつ適時な支援を提供するものとします。
(h) CCPAの対象となる個人情報を処理するために当社が使用するサブプロセッサーについては、当社と当該サブプロセッサーとの間の契約が、サービスプロバイダー及び請負業者に関する契約上の要件を含むがこれに限定されない、CCPAを遵守するよう確実を期すものとします。
(i) 当社は、お客様から又はお客様に代わって受領したカスタマー個人データを、他者から若しくは他者に代わって受領した個人情報又は消費者とのやりとりから収集した個人情報と結びつけることはありません。ただし、それがCCPA及びその規制、又はカリフォルニア州プライバシー保護局が採用する規制によって許可された事業目的の遂行に必要である場合は、この限りではありません。
(j) 当社は、自らがCCPAに基づく義務を理解及び遵守していることを表明します。
3. 当社は、お客様に提供する本サービスの対価としても、カスタマー個人データに含まれる個人情報を受領しないことを承認及び確認します。