Cybersecurity as a Service Delivered

Privacy

注記：この翻訳は自動生成されたものであり、便宜上提供されるものです。この自動生成された翻訳は、人間の翻訳の品質には及びません。また、エラーが含まれている可能性があります。この翻訳は「現状有姿」で提供され、翻訳の正確性、完全性、信頼性に関するいかなる保証もありません。本契約の英語版と外国語に翻訳されたバージョンとの間に矛盾がある場合は、英語版のみが有効とみなされます。

データ処理付属契約

このデータ処理付属契約（「DPA」）は、ソフォスと顧客との間で締結された、ソフォスによる特定の製品および/またはサービスの顧客への提供に関する契約（「メイン契約」）の一部を構成し、明示的に組み込まれるものです。.別途定義されていない限り、すべての頭字語は、以下の第1条に記載の意味を持ちます。

1. 定義

1.1 このDPAにおいて、以下の用語は、以下の意味を持ちます。
““アフィリエイト」とは、各当事者に関して、当該当事者を支配する、支配される、または共通の支配下にいる事業体を意味します。この定義の目的上、「コントロール「」とは、事業体の議決権または資本金の50%以上（50%）の受益権、または当該事業体の経営を指揮する契約上または法上の権利を意味します
“適用されるデータ保護法” とは、関連する場合には GDPR、英国データ保護法、CCPA を含め、本契約に基づく管理者個人データの処理に適用されるすべての法令を意味します。
“受益者” は、MSP契約で与えられた意味を持ちます。
“CCPA」とは、2020年カリフォルニア州プライバシー権法により改正されたカリフォルニア州消費者プライバシー法を意味し、Cal.に規定されています。Civ.法典§§ 1798.100 - 1798.199.100およびそれに基づくカリフォルニア消費者プライバシー法規制、Cal.法規タイトル11, div.6，ch.1, 各々改正された通り;
“C“コントローラー” は、（a）お客様がエンドユーザーである場合、お客様を意味します。（b）お客様がMSPである場合、受益者を意味します。（c）お客様がOEMである場合、エンドカスタマーを意味します。
“管理者の個人データ”とは、Sophosがサービス提供の一環として管理者の代理で処理する個人データを意味します。
“顧客” は次の意味です：(1) マネージドサービスプロバイダーまたはマネージドセキュリティサービスプロバイダー（以下、「MSP”) 本契約がソフォスとMSPの間に締結されている場合（MSP契約”), (2) 本契約が、Sophos製品を自社製品と組み合わせてバンドルされたユニットの一部として第三者に販売、サブライセンス供与、または提供する権限を有するOEM（「OEM」）との場合、OEM（）OEM契約”); (3) エンドユーザー (“エンドユーザー（）、メイン契約が顧客との直接契約である場合。
““データ主体”とは、管理者が指す個人を意味します。個人データに関連する;
“データ主体からの要求”とは、適用されるデータ保護法に基づき権利を行使するデータ主体からのあらゆる要求を意味します。
“EEA” これは、欧州連合加盟国を含む欧州経済地域を意味します。
“エンドカスタマー” は、OEM契約で与えられた意味を持ちます。
“EU SCCs「は、欧州委員会が2021年6月4日に実施した決定（EU）2021/914に基づき、欧州議会および理事会の規則（EU）2016/679に従い、第三国への個人データ移転に関する標準契約条項を意味します。
“GDPR”とは、適宜改正される一般データ保護規則（EU）2016/679を意味します。
““個人データ” は、適用されるデータ保護法の下で定義される「個人データ」または「個人情報」を意味し、個人に関連するすべての情報を含みます。特定または識別可能な個人または世帯;
“個人データ侵害」とは、管理者個人データの偶発的または違法な破壊、損失、改ざん、不正な開示またはアクセスにつながるセキュリティ侵害（お客様またはそのユーザーが原因で発生したもの以外）を意味します
“プロセッサー」とは、管理者の指示に基づいて個人データを処理する個人または法人（CCPAに従って「サービスプロバイダー」として行動する個人または法人を含む）を意味します。
“制限付き移転」とは、個人データを第三国に移転することを意味し、企業内規程や標準契約条項などの適切な移転手段がない場合、欧州データ保護法の下で禁止される移転を指します。
“サービス”とは、本契約に基づきソフォスが提供する製品および/またはサービスを意味します。
““Sophos” とは、イングランドおよびウェールズに登録された会社であるSophos Limited（登録番号：2096520、所在地：The Pentagon, Abingdon, OX14 3YP, United Kingdom）を意味します。
“標準契約条項「または「SCC」とは、以下のいずれかを示します：（i）GDPRが制限された移転に適用される場合、EU SCC；（ii）英国データ保護法が制限された移転に適用される場合、英国付録；および（iii）スイス連邦データ保護局が制限された移転に適用される場合、スイス SCC；
“サブプロセッサー”とは、データ処理を実施するためにソフォスが任命した任意の事業体を意味しますアクティビティコントローラーの個人データに関連する;
“監督機関」とは、適用されるデータ保護法に関する権限のある規制当局を意味し、該当する場合には、GDPRで定義される監督機関も含まれます。
“スイスのDPA」とは、随時改正される2020年9月25日付スイス連邦データ保護法を意味します。
“スイスSCC”とは、スイス連邦データ保護情報コミッショナー（「FDPIC」）が発行、承認、またはその他の方法で認定した、第三国への個人データ移転に関する適用可能な標準データ保護条項を意味します。
“第三国」とは、EEA、英国（「UK」）またはスイス以外の国で、EEA、英国またはスイスのデータ保護法に基づき、欧州委員会またはスイスまたは英国の相当機関または個人によって適切なレベルの保護が確保されていると指定されていない国を意味します（「欧州データ保護法」”);
“英国補足条項”とは、英国情報コミッショナー事務所が発行し、2018年データ保護法第119条A項に従い、2022年2月2日に議会に提出された、EU SCCsに対する国際データ移転補足条項を意味します。
“英国データ保護法”とは、英国のデータ保護法2018および英国の欧州連合（離脱）法2018の第3条に基づき英国法に留保されたGDPRをいい、随時改正されたものを指します
1.2. このDPAでは、小文字の用語「管理者」、「処理者」、「データ主体」、「個人データ」、「処理」（およびその派生語）は、適用されるデータ保護法で与えられた意味を持ちます。
1.3. このDPAで別途定義されていない大文字の用語は、本契約でその用語に与えられた意味を持ちます。

2. 範囲

2.1. このDPAは、ソフォスがサービス提供の一環として顧客の代理として管理者個人データを処理する場合に適用されます。ソフォスのコントローラー個人データの処理の対象、期間、処理の性質と目的、処理されるコントローラー個人データの種類、データ主体のカテゴリは、以下の通りです：（a）本DPA、（b）メイン契約、（c）附属書1（データ処理の詳細）、（d）以下のセクション4に従って発行されたお客様の指示。
2.2. お客様は、コントローラーが（a）ソフォスがお客様に代わって実施するコントローラー個人データの処理について合法的な根拠を有すること、（b）お客様とソフォスによるコントローラー個人データの処理に必要なすべてのデータ主体の同意を得ていること、（c）その他、適用されるデータ保護法に準拠し、コントローラー個人データの処理に関するソフォスへの指示がすべての点で適用されるデータ保護法に準拠することを保証する責任を負います。
2.3. 両当事者は、コントローラー個人データに関して、ソフォスが処理者またはサブ処理者であり、お客様は（a）お客様がエンドユーザーである場合のコントローラー、または（b）お客様がMSPまたはOEMである場合、それぞれ、受益者またはエンドカスタマーの処理者であることに同意します。

3. お客様の指示

3.1. お客様は、本サービスの提供および実行に必要な範囲内でのコントローラー個人データの処理および本DPAおよび本メイン契約に記載されているその他の処理について、ソフォスに指示します（お客様の指示”).ソフォスは、(a)ソフォスと顧客との間で書面による別段の合意がある場合、または(b)ソフォスが従う法律で要求される場合を除き、管理者個人データを顧客指示に従って処理するものとします（その法律が重要な公共の利益に基づいてそのような情報の提供を禁止する場合を除き、処理前に顧客にその法的要件を通知するものとします）。顧客が管理者個人データに関して処理者として行動する場合、顧客は、顧客指示が関連する管理者によって承認されており、当該管理者によって発行された指示と矛盾しないことを保証するものとします。
3.2. ソフォスは、顧客指示が適用されるデータ保護法に違反していることを認識した場合、顧客に速やかに通知し、管理者個人データの処理を停止するものとします。
3.3. 前述の制限なしに、CCPAがコントローラーの個人データに適用される範囲で、Sophos また、以下の点にも同意します。:
- a. ソフォスは、本DPAおよび本メイン契約の条件に従い、サービスの実施という特定の業務目的のために、および適用法により別段の認可がある場合を除き、管理者個人データを使用、開示、またはその他の方法で処理しないものとします
- b. ソフォスは、第7条の条件に従い、管理者個人データの処理を行う下請処理者を雇用することができ、当該雇用は管理者個人データの売却とはみなされないものとします
- c. ソフォスは、顧客とソフォスの間の直接的なビジネス関係の外で、またはソフォスの独自の商業目的のために、管理者個人データを処理しないものとします。
- d. ソフォスは、管理者個人データを「共有」または「販売」（CCPAの下でこれらの用語が定義されるように）しないものとします。
- e. Sophosは遵守します with CCPAに基づく義務を遵守し、CCPAで要求されるのと同じレベルのプライバシー保護を提供します。
- f. SophosがCCPAの条件を遵守できないと判断した場合、Sophosは顧客に速やかに通知し、管理者個人データが整合的な方法で処理されることを保証するために、顧客が合理的かつ適切な措置を講じる権利を付与します。管理者の義務とともにアンダー CCPA；
- g. ソフォスは、第4.6条に定める場合を除き、本契約の満了または終了時に管理者の個人データを保持しません。
3.4. ソフォスは、第3.3条に定める義務を理解し、遵守することを保証します。

4. ソフォスの義務

4.1. 協力。管理者の個人データの処理の性質を考慮し、ソフォスは、(i)データ保護法に基づく権利を行使するデータ主体からの要請に対応するため（そのような要請を受領した場合には顧客に通知するものとし、顧客からの許可がない限りは自ら対応しないものとする）、(ii)データ保護影響評価その他のデータ保護法に基づき実施が求められる評価を実施するため、(iii)適用されるデータ保護法に基づき必要な場合に監督当局と協議し協力するため、顧客（または顧客がMSPまたはOEMである場合には管理者）に合理的な支援を提供するものとします。Sophosは、以下の権利を留保します。名目的な金額を超える場合は、その支援費用を請求します
4.2. 第三者からの要請。法律で禁止されていない限り、ソフォスは、管理者個人データの処理に関連して監督機関、司法当局または法執行機関から受け取るプライバシーに関する要求、通信、問い合わせまたは苦情を顧客に通知するものとします（第三者からのリクエスト”), 同じ内容の詳細をすべて提供する。ソフォスは、(1)顧客の書面による指示がある場合、または(2)適用される法律により義務付けられている場合を除き、第三者からの要請に直接応答しません。
4.3. 機密性.管理者の個人データを処理するソフォスのすべての従業員は、データ保護、セキュリティおよび機密保持の義務に関して適切な訓練を受け、書面によるまたは法定の機密保持義務に従うものとします
4.4. セキュリティ.ソフォスは、リスクに相応しいセキュリティレベルを確保し、管理者個人データが個人データ侵害から保護されるよう、適切な技術的および組織的対策を実施します。このような対策は、リスクの程度、実装コスト、処理の性質、範囲、文脈および目的、ならびに自然人の権利および自由に対するさまざまな可能性と深刻さの度合いを考慮に入れて、リスクに相応しいセキュリティレベルを確保するように行われます。特に、ソフォスが講じる対策は、本DPAの<mark type="highlight">別紙2</mark>に記載されているものを含みます。
4.5. 個人データ侵害.個人データ侵害が発生したことを確認した場合、ソフォスは、顧客に遅滞なく通知し、顧客（および顧客がMSPまたはOEMである場合はその管理者）が適用されるデータ保護法に基づくデータ侵害報告義務を果たすために合理的に必要とするすべての適時情報を提供し、協力するものとします（および適用されるデータ保護法が要求する時間枠に従って）。ソフォスは、個人データ侵害の影響を是正または軽減するために合理的に必要な対策および行動をさらに講じ、個人データ侵害に関連する開発について顧客に情報提供を続けます。
4.6. サービス終了。本サービスの提供終了時、またはお客様からの書面による要請があった場合、 Sophosは、管理者個人データを合理的な期間内に削除するものとする。サービスの終了またはリクエスト, 適用法により要求される場合、または司法またはコンプライアンス要件を遵守する必要がある場合を除き。ソフォスが管理者個人データを保持する必要がある場合、ソフォスは、保持されている限り、管理者個人データの機密性およびセキュリティが継続的に維持されるよう措置を講じます。

5. お客様の監査権限

5.1. お客様は、ソフォスが独立した第三者監査機関によるSSAE 18 SOC 2基準に基づく定期的な監査を受けていることを認めます。合理的な要請があった場合、ソフォスは、お客様にSOC 2監査報告書の写しを提供するものとし、これらの報告書は、本契約の機密情報に関する規定に従い、ソフォスの機密情報として扱われます。また、ソフォスは、お客様が提出する合理的な書面による監査質問にも対応するものとし、ただし、お客様は、この権利を年1回以上行使することはできません
5.2. お客様が、第5.1条に基づき提供された資料が、本DPAにおけるソフォスの遵守状況を示すのに不十分であると合理的に判断する場合、お客様は、ソフォスに対し、本DPAに定められた義務の遵守状況を示すために合理的に必要なすべての情報を提供し、お客様またはお客様の独立した第三者監査機関による監査（検査を含む）を許可し、かつこれに参加することを書面で要請することができます。ただし、以下の規定に従うものとします。
- h. 本第5.2条に基づき審査または監査を依頼する前に、お客様は、第5.1条に記載されている関連するSophosの第三者認証および監査を考慮するものとします
- i. Cお客様は、本第5.2条に基づく監査または検査の実施の要請について、少なくとも30日前までにソフォスに合理的な通知を行うものとします。監査の提案された範囲、期間、開始日を提供する。
- j. 第三者監査人が監査を行う場合は、当該第三者監査人は、評判が高く、確立された専門家または企業でなければならず、適切な機密保持義務に従い、また、サプライヤーの競合他社であってはなりません。
- a. お客様は、事業活動への最小限の中断で、Sophosの通常の営業時間内に、かかる監査または検査を実施するものとします（また、お客様は、お客様の監査人がこれを行うことを保証するものとします）。
- b. 監査または検査は、監督当局または適用されるデータ保護法によって要求される場合を除き、年1回以下で実施するものとします。
- c. お客様（または監査人、状況により）は、他のSophosの顧客（およびその情報）にアクセスすることはできません。
- d. ただし、監査または検査により、本DPAに基づくソフォスの重大な義務の不履行が明らかになった場合はこの限りではありません。お客様は、ソフォス、その従業員、および専門アドバイザーが費やした時間に対する料金を含め、ソフォスが負担した合理的な費用および経費を負担するものとします。
- e. 適用法により禁止されない限り、お客様は、本第5.2条に基づき実施された監査に関連して作成された監査報告書の写しをSophosに提供するものとします。
- f. I監査または検査から得られた情報は、Sophosの機密情報とみなされます。

6. サブプロセッサー

6.1. ソフォスは一般的に許可使用するサブプロセッサとはリストアップされた at https://www.sophos.com/en-us/legal/sub-processor (“サブプロセッサ一覧”), そしてSophos関連会社。ソフォスは、本第6条に記載の条件に従い、追加のサブプロセッサ（それぞれ「新規サブプロセッサ」）を雇用することがあります。
6.2. ソフォスは、新規サブプロセッサーの追加を予定している場合、その詳細をサブプロセッサーリストに掲載し、お客様にメールを送信して通知します。
6.3. お客様が、そのような通知から30日以内に、新規サブプロセッサーのソフォスの任命に（管理者個人データの保護に関連する合理的な理由に基づく）書面による異議を申し立てない場合、お客様は、その新規サブプロセッサーに同意したものとみなされます。お客様が異議を唱えた場合、両当事者は、以下の30日以内に代替の手配について合意するために合理的な努力を払うものとします。当事者が上記期間内に合意に至らない場合、お客様は、Sophosに対して書面による30日間の通知を行うことで、新規サブプロセッサによって影響を受ける本サービスの一部を終了することを選択することができ、Sophosは、終了後の残りの期間の事前支払済み料金について、比例的な払い戻しまたはクレジットを認可するものとします。
6.4. ソフォスは、サブプロセッサーに対して、本契約で規定されている要件と実質的に同等のデータ保護要件を課します。ソフォスは、各サブプロセッサーの義務の履行について、引き続き完全な責任を負います。
6.5. サブプロセッサーの関与がコントローラーの個人データの制限付き移転を必要とする場合、Sophos 適用されるデータ保護法への準拠を確保するために、適切な移転メカニズムを実施し、維持します。

7. 国際データ転送

7.1. 特定の製品では、お客様が、データが生成された管轄区域外にある可能性のあるデータセンターを含む、当該製品のコントローラー個人データをどこにホストするかを選択できます。これらの場所は、（a）欧州経済領域、（b）英国、（c）米国、またはメイン契約で指定されるその他の場所を含めることができます（「セントラルストレージ場所”).これらの製品の場合、選択は、製品のインストール、アカウントの作成、または関連製品の初回使用時に顧客が行います。顧客が選択した後、中央ストレージ場所は後日変更することはできません。
7.2. お客様は、選択された中央ストレージ場所（該当する場合）に関わらず、Sophosがコントローラー個人データを国際的に転送することができることに同意するものとします。ただし、以下の条件を満たす必要があります。適用されるデータ保護法および本DPAの規定。転送が制限付き転送である場合、Sophosは以下の通りです。適切な移転メカニズムを実施し、維持する、例えば標準契約条項, 欧州のデータ保護法への準拠を確保するため
7.3. 制限付き送金に該当する場合行われる from the 顧客宛にソフォス:
- 7.3.1. 標準契約条項は、参照によりここに明示的に組み込まれ、本契約の一部を構成します。
- 7.3.2. 標準契約条項の目的：
  - 7.3.2.1. 管理者個人データに関して、お客様はデータ輸出者であり、ソフォスはデータ輸入者および処理者です。
  - 7.3.2.2. お客様が管理者である場合、標準契約条項のモジュール2が、附属書4の条件に従って適用されます。お客様が管理者の代理として行動する処理者である場合、標準契約条項のモジュール3が、附属書4の条件に従って適用されます。.
  - 7.3.2.3. 本契約の当事者の署名と日付は、標準契約条項の署名と日付とみなされます。

8. 期間

8.1. 本契約は、（a）両当事者が本契約を締結した日、または（b）本契約が有効となる日（いずれか遅い方）から開始し、以下のいずれか早い日まで継続します。（i）本契約または関連するライセンス資格に記載されているお客様のサービスの使用および受領の資格の有効期限の終了、および（ii）本契約の終了

9. その他の規制

9.1. Any a本契約の変更は、書面によるもので、かつ、各当事者によって、またはその代理によって署名された場合にのみ有効です。
9.2. 本契約に起因または関連して発生するいかなる問題に関しても、ソフォスの顧客に対する責任は、本契約に定めるソフォスの責任制限を超えることはありません。本契約に定めるソフォスの責任制限は、本契約および本契約全体に適用され、本契約および本契約全体に単一の責任制限制度が適用されるものとします。
9.3. 本契約（SCCは除く）は、法律の抵触に関する原則を考慮せず、イングランドおよびウェールズの法律に従い、解釈されます。適用法により許可される範囲内で、イングランドの裁判所は、本契約に起因または関連して発生する可能性のある紛争または請求を決定する専属的管轄権を有するものとします。
9.4. 本契約、本契約、および本契約および本契約で明示的に参照される文書は、本契約に関連してソフォスが収集、処理、使用した個人データに関する当事者間の完全な合意を構成し、当事者間の当該主題に関する以前のすべての合意、取り決め、および了解に優先するものとします。
9.5. 本契約の条件と当事者間で締結されたSCCの条件が矛盾する場合、適用されるSCCの条件（その附属書を含む）が優先されます。

10. 法律の変更

10.1. If 適用データ保護法の変更により本契約の変更が必要となった場合、いずれかの当事者は、相手方当事者に書面による通知を行うことができます。当事者は、かかる変更に対応するために、本契約の必要な変更について誠実に議論し、交渉します。当事者は、本条10項またはその他の規定に従い、本契約を改正することに対して、不合理な同意または承認の拒否はしません。

証拠書類のリスト

Exhibit 1: 処理の詳細

Exhibit 2: 技術的および組織的対策

Exhibit 3: 制限付き移転に関する追加条項

Attachment (to Exhibit 3): SCCsの付録（モジュール2/モジュール3）：コントローラーからプロセッサーへ/プロセッサーからプロセッサーへ

展示品1

処理の説明

この展示品1は、ソフォスが顧客に代わってプロセッサーとして実行する処理について説明しています。

(a) 処理の対象

ソフォスは、顧客によって提供されたシステム、ネットワーク、デバイス、ファイル、その他のデータ内のセキュリティ上の脅威を検出し、防止し、管理する、またはソフォスが検出し、防止し、管理するよう支援するように設計されたサービスを提供しています。これらのシステム、ネットワーク、デバイス、ファイル、その他のデータに保持されている情報の内容は、顧客によってのみ決定されます。

(b) 処理操作の性質と目的

本契約に基づき、本サービスを提供します。
管理者は、個人データに対して以下の基本的な処理活動を行います。
サービス提供の過程で個人データまたは個人データの集合体に対して行われる、収集、記録、整理、構造化、保存、適応または変更、検索、照会、使用、送信による開示、拡散またはその他の方法による利用可能化、整列または組み合わせ、制限、消去または破壊などの操作または一連の操作。

(c) 処理操作の期間:

コントローラー個人データは以下のように処理されます。本契約の期間中、および本DPAの規定に従って。

(d) データ主体

コントローラーの個人データは以下のカテゴリのデータ主体に関連しています:

コントローラーの担当者およびエンドユーザー
サービスに関連して管理者の代理として個人データが処理されるその他のデータ主体

(e) 個人データの種類

管理者個人データは以下の種類のデータに該当します。

ユーザー名およびその他の識別子
ネットワークおよびネットワーク活動情報
サービスに関連して送信または処理される可能性のあるその他の情報

(f) 特別な種類のデータ（該当する場合

管理者個人データは以下の特別な種類のデータに該当します。

Sophosのシステム、ネットワーク、デバイス、ファイル、その他のデータに保持されている情報の内容は、お客様のみが決定します。特に指定がない限り、Sophosのサービスは特別な種類のデータを処理するように設計されていません。

附属書2

技術的および組織的対策

この情報セキュリティの概要は、管理者個人データを保護するためのSophosの企業統制に適用されます。

セキュリティ慣行とポリシー

ソフォスは、管理者の個人データの保護に関連する物理的、技術的、管理的、または組織的な安全対策を実施することに同意します。これには、ソフォスの所有または管理下にある管理者データの偶発的または違法な破壊、損失、アクセス、または変更に対する保護が含まれます。ソフォスは、業界標準のフレームワークに由来する管理者個人データの保護に関するポリシーと基準を維持し、ソフォスの事業活動に一貫したセキュリティとプライバシーの基準を確立します。

組織のセキュリティ

組織全体で働く個人がこれらの慣行と基準に従うことはその責任です。企業がこれらの慣行と基準に従うことを促進するために、情報セキュリティの機能は以下を提供します。

ポリシー/基準および規制への戦略とコンプライアンス、意識向上と教育、リスク評価と管理、契約セキュリティ要件管理、アプリケーションおよびインフラストラクチャのコンサルティング、保証テスト、および会社のセキュリティの方向性を推進します。
セキュリティテスト、環境全体にセキュリティ制御の採用を可能にするセキュリティソリューションの設計と実装。
実装されたセキュリティソリューション、環境、資産のセキュリティ運用、インシデント対応活動の管理。

人事セキュリティ

採用プロセスの一環として、現地の法律に従い、従業員は雇用時に審査プロセスを受けます。ソフォスの年間コンプライアンス研修には、従業員が情報セキュリティとデータ保護に関するオンラインコースを修了することが含まれます。セキュリティ意識プログラムでは、特定の職務に特化した資料も提供される場合があります。

物理的および環境的セキュリティ

ソフォスは、コントローラー個人データをホストするすべてのシステムが物理的に安全な環境で維持され、不正な物理的アクセスが防止されるように、また、建物、コンピューター施設、記録保管施設など、コントローラー個人データが保管されている物理的な場所でのアクセス制限が、許可された個人のみがアクセスできるように設計および実装され、バッジアクセス制御、機密エリアへのアクセス制限、施設アラーム、訪問者登録およびログを含む、発生する可能性のある不正アクセスを検出できるように設計および実装されるように予防措置を講じています。

コミュニケーションと運用管理

ソフォスは、コントローラー個人データの完全性とセキュリティを確保するために設計された正式な変更管理プログラムを通じて、インフラストラクチャ、システム、アプリケーションへの変更を管理しています。管理には、テスト、事業影響分析、および適切な場合には管理者の承認が含まれます。セキュリティおよびデータ保護インシデントに対応するためのインシデント対応手順があり、これにはインシデント分析、封じ込め、対応、是正、報告、および通常の運用への復帰が含まれる場合があります

サイバーセキュリティ攻撃から保護するために、リスクに基づいて追加の管理措置が実施される場合があります。このような管理には、情報セキュリティポリシーおよび基準、アクセス制限、多要素認証、指定された開発およびテスト環境、マルウェア検出、メールおよびウェブトラフィックのスキャン、管理された検出および対応、主要イベントのログとアラート、データの種類に基づく情報処理手順、システムおよびアプリケーションの脆弱性スキャンなどが含まれますが、これらに限定されません。

アクセス制御

ソフォスは、コントローラー個人データがホストされているすべてのシステムへのアクセスが、アクセスを必要とする各個人を一意に識別し、承認された個人にのみアクセスを許可し、最小権限の原則に基づいて、不正な人物がコントローラー個人データへのアクセスを得ることを防止し、承認された人物に許可されたアクセスの範囲を適切に制限および制御し、関連するすべてのアクセスイベントを記録するアクセス制御システムの使用を通じて保護されることを保証するために、適切なセキュリティ対策および手順を維持します。

下請業者管理

ソフォスは、コントローラー個人データを処理する下請業者が、適用されるサービスに関してソフォスのプログラムと同等以上の厳格なデータセキュリティプログラムを維持することを保証する責任を負います。これは、一般に認められた業界標準および慣行に従ったものです。ソフォスは、ベンダーのセキュリティ制御の特定、評価、検証に焦点を当てたリスク管理プログラムを維持します。

システム開発および保守

公開されたサードパーティの脆弱性は、ソフォス環境での適用可能性についてレビューされます。ソフォスのビジネスと顧客へのリスクに基づいて、是正のための事前に決定された期間があります。また、リスクに基づいて、新規および主要なアプリケーションとインフラストラクチャに対して脆弱性スキャンと評価を実施します。プロダクション前に開発環境でコードレビューとスキャナーを使用して、リスクに基づいてコーディングの脆弱性を積極的に検出します。これらのプロセスにより、脆弱性の積極的な特定とコンプライアンスが可能になります。

コンプライアンス

情報セキュリティ、法務、プライバシー、コンプライアンス部門は、ソフォスに適用される地域法規制を特定する作業を行います。これらの要件には、会社の知的財産、お客様の知的財産、ソフトウェアライセンス、従業員およびお客様の個人データの保護、データ保護およびデータ処理手順、国境を越えたデータ伝送、財務および運用手順、技術に関する規制輸出管理、フォレンジック要件などの分野が含まれます。情報セキュリティプログラム、内部および外部監査/評価、内部および外部の法的助言の協議、内部統制評価、内部ペネトレーションテストおよび脆弱性評価、契約管理、セキュリティ意識、セキュリティコンサルティング、ポリシー例外レビュー、リスク管理などのメカニズムが組み合わさって、これらの要件へのコンプライアンスを促進します。

別紙3

制限付き移転に関する追加条項

この別紙3には、制限付き移転に適用される追加条項、および適用される標準契約条項の付録（附属書I～III）を完成させるために必要な情報が含まれています。

お客様が管理者個人データに関して管理者である場合、この別紙3の条件に従い、標準契約条項のモジュール2が適用されます。
お客様が管理者の代理として管理者個人データに関して処理者を務める場合、本 Exhibit 3 の条件に従い、SCCs の Module 3 が適用されます。
EU SCCの目的のためには:
- 3.1. 条項 7: オプションのドッキング条項は適用されません。
- 3.2. 条項 9(a): オプション 2 (一般許可) が適用され、データ輸入者は、意図する変更の少なくとも 30 日前に書面でデータ輸出者に通知するものとします。
- 3.3. 条項 11: オプションの言語は適用されません。
- 3.4. 条項 17: EU SCC はアイルランド共和国の法律に準拠するものとします。
- 3.5. 条項 18: 紛争はアイルランド共和国の裁判所で解決するものとします。
- 3.6. EU SCC の付録には、本 Exhibit 3 の添付書の付属書に記載されている情報が記載されます。
英国付録の目的上、 以下のとおりとする：
- 4.1. 表 1 に関連する当事者の詳細は、本 Exhibit 3 の添付書の付属書 I に記載されています。
- 4.2. 表2の目的上、英国補足は、上記のとおり同じオプションと期間を付記してEU SCCに添付するものとする。
- 4.3. 表3に記載されている付属情報の欄は、この附属書3の付属書の附属書Iおよび附属書IIの情報で埋めるものとする。.
スイスSCCの目的のために, EU SCCは以下のように適用されます:
- 5.1. AnEU SCCにおけるGDPRへの言及は、スイスDPAへの言及と解釈する。
- 5.2.「EU」、「連合」、「加盟国」、「加盟国の法律」への言及は、それぞれスイスおよびスイスの法律への言及と解釈する。
- 5.3.「権限のある監督機関」および「権限のある裁判所」への言及は、FDPICおよびスイスの権限のある裁判所への言及と解釈する。
- 5.4. スイスSCCの関連する附属書は、この附属書3の付属書の情報で埋めるものとする。

附属書3

SCCSへの付属書

モジュール2またはモジュール3（該当する場合）

ANNEX I

A. 当事者リスト

データ輸出者:

氏名	本契約に基づきSophosに提供された通り
住所	本契約に基づきSophosに提供された通り
組織を特定するために必要なその他の情報	本契約に基づきSophosに提供された通り
連絡担当者の氏名: 役職: 連絡先情報:	本契約に基づきSophosに提供された通り
本SCCの下で転送されるデータに関連する活動	本契約に定める製品の購入
役割	コントローラー（お客様がエンドユーザーの場合）またはプロセッサー（お客様がMSPまたはOEMの場合）

データ輸出者の署名と日付:
本契約に定める日付と署名

データ輸入者:

氏名	Sophos Limited
住所	The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, UK
組織を特定するために必要なその他の情報	本契約書に定義されている通り。
連絡担当者の氏名: 役職: 連絡先情報:	プライバシー顧問 [email protected]
本SCCの下で転送されるデータに関連する活動	本契約書に記載されている通り、製品の提供
役割	処理者

データ輸入者の署名と日付:本契約に定める日付と署名

B. 移転の説明

1.1. カテゴリ: 個人データが転送されるデータ主体.
別紙1に記載されている通り。
1.2. カテゴリ 転送された個人データ
別紙1に記載のとおり。.

（該当する場合）移転される機密データ、およびデータの性質および関連するリスク（例えば、厳格な目的限定、専門的なトレーニングを受けたスタッフのみへのアクセス制限、データへのアクセス記録の保持、さらなる移転に対する制限、または追加のセキュリティ対策など）を十分に考慮した適用される制限または保護手段。

別紙1に記載されている通り。機密データが移転される場合は、適用される制限については別紙2を参照。

移転の頻度（例：データが一度だけ移転されるか、継続的に移転されるか）。

継続的。

自然 処理の

別紙1に記載されている通り。

データ移転およびさらなる処理の目的

別紙1に記載されている通り。

個人データが保持される期間、またはその期間を決定するために使用される基準（可能であれば）。

別紙1に記載されている通り。

（サブ）処理者への移転については、処理の対象、性質、期間も指定すること。

別紙1に記載されている通り。

C. 権限のある監督機関

権限のある監督機関は、データ輸出者が設立された加盟国の監督機関、またはGDPRに従って決定された監督機関です。

附属書II - データのセキュリティを確保するための技術的および組織的措置を含む技術的および組織的措置

DPAの附属書2に記載のとおり。

附属書III - サブ処理者のリスト

当事者がサブ処理者の使用に対する一般的な許可に同意しているため、適用されません。