データ処理補遺(DPA)


本契約は英語版により作成されています。翻訳版は参照目的のために提供されるものであり、英語版と翻訳版との間に不一致、齟齬または抵触がある場合には、英語版が優先して適用されるものとします。


本データ処理補遺(以下「本DPA」といいます)は、本契約に関連してKotobaが個人情報を処理することに適用されます。本DPAを締結する主体を、本書では「顧客」といいます。本契約と本DPAの間に何らかの矛盾がある場合、顧客の個人情報の処理に関しては本DPAが優先するものとします。本DPAは、Kotobaとのエンタープライズ関係を有し、本契約に関連して本DPAを締結する顧客、またはその他の方法で本DPAを締結する顧客に適用されます。


第1条 定義

本DPAにおいて使用されるが本DPAにおいて定義されていない大文字の用語は、本契約において与えられた意味と同じ意味を有するものとします。


1.1.「本契約」とは、顧客とKotobaの間で締結された、/terms.htmlに掲載されている利用規約をいいます。本DPAを締結するエンタープライズ顧客については、本DPAは本契約に組み込まれ、その一部を構成します。


1.2.「音声データ」とは、顧客によるサービスの使用を通じて生成された音声録音、音声入力、文字起こし、翻訳、および関連するメタデータをいいます。


1.3.「認定ユーザー」とは、顧客の従業員、委託業者、コンサルタント、および代理人を含む、顧客を代理してサービスにアクセスし使用することを顧客によって承認された個人をいいます。


1.4.「管理者」とは、単独でまたは他者と共同で個人情報の処理の目的および手段を決定する主体をいいます。本DPAの目的において、管理者はCCPAで定義される「事業者」またはデータ保護法の下での類似もしくは類推される指定を含みます。


1.5.「顧客の個人情報」とは、本DPAの附属書Iにより詳細に記載されているとおり、本契約に基づきKotobaが顧客を代理して処理するデータ保護法の下で「個人情報」、「個人データ」、「個人を特定できる情報」または類似の用語として保護される音声データを含む顧客のデータ(顧客の認定ユーザーの個人データを含む場合があります)をいいます。


1.6.「データ侵害」とは、本契約に基づきKotobaによって送信、保存またはその他の方法で処理された顧客の個人情報の偶発的もしくは不法な破壊、喪失、変更、不正な開示またはアクセスにつながるセキュリティ違反をいいます。「データ侵害」には、顧客の個人情報のセキュリティを損なわない不成功の試みや活動(ログイン試行の失敗、ピング、ポートスキャン、サービス拒否攻撃、ファイアウォールやネットワークシステムに対するその他のネットワーク攻撃を含む)は含まれません。


1.7.「データ保護法」とは、適用される範囲において、改正、代替または置き換えられる可能性のある欧州データ保護法および米国プライバシー法をいいます。


1.8.「欧州」とは、本DPAの目的において、欧州経済領域および/またはその加盟国、英国(「UK」)、ならびにスイスをいいます。


1.9.「欧州データ保護法」とは、(a)個人情報の処理および当該データの自由な移動に関する自然人の保護に関する欧州議会および理事会の規則2016/679(一般データ保護規則)(「GDPR」);(b)電子通信分野における個人情報の処理およびプライバシーの保護に関する指令2002/58/EC;(c)英国に関しては、英国の欧州連合(離脱)法2018年第3条によって英国法に取り込まれたGDPR(「UK GDPR」)、2018年データ保護法、欧州連合(離脱)法2018年第2条によって引き続き効力を有するプライバシーおよび電子通信(EC指令)規則2003、ならびに個人情報の処理に関して英国で(全部または一部において)施行されるその他の適用法(総称して「英国データ保護法」);(d)2020年のスイス連邦データ保護法およびその施行令(「スイスFADP」);ならびに(e)上記(a)、(b)、(c)および(d)のいずれかに基づき、これに従い、またはこれと連携して適用されるすべての適用される国内データ保護法;をいい、いずれも随時改正、代替または置き換えられる可能性があります。


1.10.「処理する」、「処理」、「処理された」とは、自動化された手段によるかどうかにかかわらず、データまたはデータセットに対して行われる、収集、記録、編成、構造化、保存、適応または変更、検索、参照、使用、送信による開示、普及、またはその他の方法による利用可能化、整合または結合、制限、消去または破壊などの操作または一連の操作をいいます。


1.11.「処理者」とは、管理者に代わり、管理者の指示に従って顧客の個人情報を処理する主体をいいます。本DPAの目的において、処理者はCCPAで定義される「サービスプロバイダー」またはデータ保護法の下での類似もしくは類推される指定を含みます。


1.12.「制限的移転」とは、欧州データ保護法の適用を受ける顧客の個人情報を、欧州委員会、英国またはスイス当局(適宜)によって適切性の決定がなされていない欧州域外の国へ(直接または経由する形で)移転することをいいます。


1.13.「標準契約条項」または「SCC」とは、https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en に掲載された、2021年6月4日の欧州委員会実施決定2021/914に付属する第三国への顧客の個人情報の移転に関する標準契約条項(随時更新または改正されるものを含みます)をいいます。


1.14.「副処理者」とは、顧客の個人情報へのアクセス権を有し、本契約に基づくサービスの提供に関するKotobaの義務の履行を支援するためにKotobaが委託するサードパーティをいいます。「副処理者」の用語にはKotobaの関連会社が含まれる場合がありますが、Kotobaの従業員、委託業者、およびコンサルタントを除きます。


1.15.「UK補遺」とは、2018年英国データ保護法第119A条(1)に基づき情報コミッショナーオフィスが発行した標準契約条項への国際データ移転補遺(バージョンB1.0)「EU標準契約条項への英国補遺」(同補遺第18条に基づき改訂されるものを含み、随時改正、代替または置き換えられる可能性があります)をいいます。


1.16.「米国プライバシー法」とは、(i)カリフォルニアプライバシー権利法(「CPRA」)により改正されたカリフォルニア消費者プライバシー法(「CCPA」);(ii)バージニア州消費者データ保護法;(iii)コロラド州プライバシー法;(iv)ユタ州消費者プライバシー法;(v)コネチカット州データプライバシー法;ならびに(vi)上記(i)、(ii)、(iii)、(iv)および(v)のいずれかに基づき、これに従い、またはこれと連携して公布されたすべての拘束力のある規制;を含むがこれらに限定されない、米国において施行中のすべてのプライバシー法および規制(いずれも随時改正、代替または置き換えられる可能性があります)をいいます。


第2条 本DPAの適用範囲


2.1. 本DPAは、Kotobaが本契約に基づき顧客の個人情報を処理する範囲において適用されます。


2.2. Kotobaは、顧客を代理した処理者または副処理者として、かつサービスの提供および改善のために必要な範囲において、またはデータ保護法に基づきその他許可される範囲において、顧客の個人情報のみを処理するものとします。


2.3. 当事者は、KotobaがサービスのAPIの提供および継続的な改善の一環として顧客の個人情報を集計、匿名化または非識別化する場合があることに同意します。


2.4. Kotobaが顧客から非識別化された個人情報を受領した場合、Kotobaは当該データを再識別しないものとします。


第3条 当事者の義務


3.1. 両当事者は、データ保護法に基づくそれぞれの義務を遵守するものとし、各当事者は独自の法的および規制上の義務の決定について単独で責任を負います。顧客はさらに、顧客がアカウント認証情報の保護およびサービスに関連して処理される顧客の個人情報のバックアップのための適切な措置を講じることを含む、サービスの安全な使用について責任を負うことを承認します。


3.2. 各当事者は、本DPAに規定される活動および各当事者がデータ保護法に基づくそれぞれの義務を遵守できるよう、相互に合理的に協力するものとします。


第4条 Kotobaの義務


4.1. 許可された目的


4.1.1. Kotobaは、(i)顧客の文書化された指示に従い、かつ(ii)適用法に基づく義務を遵守し、また(iii)Kotobaのプライバシーポリシーまたは本契約に記載されているとおり、サービスの提供、維持、保護、および改善のためにのみ、顧客の個人情報を処理するものとします。Kotobaは、顧客の同意なしに、顧客の個人情報を基盤モデルまたは汎用機械学習モデルの訓練または改善に使用しません。


4.1.2. Kotobaは、顧客の文書化された指示がデータ保護法に違反すると合理的に判断した場合には、顧客に通知するものとします。当事者は、本契約(注文書を含む)がKotobaによる顧客の個人情報の処理に関する顧客の文書化された指示を構成することに同意します。


4.1.3. Kotobaは(データ保護法に基づき許可される場合を除き)、(i)顧客との直接のビジネス関係の外部で、または本契約において特定された限定的かつ明示的な目的以外の目的のために顧客の個人情報を保持、使用、または開示すること;(ii)クロスコンテキスト行動広告のために顧客の個人情報を販売または共有すること;または(iii)顧客の個人情報を他のソースから受領した個人情報と結合することを行わないものとします。


4.2. セキュリティ対策


4.2.1. Kotobaは、データ保護法に基づきデータ管理者に要求されるのと同等レベルのプライバシー保護を提供する、顧客の個人情報をデータ侵害から保護し顧客の個人情報のセキュリティおよび機密性を維持するよう設計された適切な技術的および組織的セキュリティ対策を実施および維持するものとします。Kotobaがこれらの義務を履行できなくなったと判断した場合、顧客に通知するものとし、顧客はデータの不正な処理を停止または是正するための合理的かつ適切な措置を講じる権利を有します。


4.2.2. Kotobaが実施するセキュリティ対策は附属書IIに記載されており(以下「セキュリティ対策」といいます)、随時更新される場合があります。


4.3. アクセスおよび機密保持


Kotobaは、承認なく顧客の個人情報を処理することから自社の担当者を制限し、顧客の個人情報の処理をKotobaが承認した者が適切な契約上または法定の機密保持義務を負うことを確保するものとします。


4.4. データ侵害


Kotobaは、データ侵害を認識した後、不当な遅延なく顧客に通知するものとします。Kotobaは、データ侵害に関する情報が判明または顧客がデータ保護法に基づく義務を履行するために合理的に要請した場合に、当該情報を顧客に適時提供するものとします。Kotobaは、データ侵害を封じ込め、調査し、および軽減するための合理的な措置を講じるものとします。本条に従ったKotobaによるデータ侵害の通知または対応は、データ侵害に関するKotobaによるいかなる過失または責任の承認とも解釈されません。


4.5. 協力


4.5.1. セキュリティ  Kotobaは、顧客の個人情報の性質および関連する処理活動を考慮の上、顧客がデータ保護法に基づくセキュリティ義務の履行を支援するために顧客が合理的に要請するような合理的な支援を提供するものとします。


4.5.2. データ主体の要請  顧客がサービス内で関連する顧客の個人情報に独立してアクセスできない範囲において、Kotobaは、処理の性質を考慮の上、本契約に基づく顧客の個人情報の処理に関する個人からの要請への対応において顧客を支援するための合理的な協力を提供するものとします。かかる要請がKotobaに直接行われた場合、Kotobaは速やかに顧客に通知し、法的に強制される場合を除き、顧客の事前の承認なしにデータ主体を顧客に誘導する以外の方法で要請に直接回答しないものとします。


4.5.3. 法執行機関からの要請  法執行機関が(召喚状または裁判所命令を通じたものを含む)顧客の個人情報の要求をKotobaに送付した場合、Kotobaは当該法執行機関を顧客に直接要請するよう誘導するよう試みるものとします。この取り組みの一環として、KotobaはKotobaの基本的な連絡先情報を法執行機関に提供する場合があります。顧客の個人情報を法執行機関に開示することを余儀なくされる場合、Kotobaは法的に禁じられていない限り、顧客が保護命令またはその他の適切な救済を求めることができるよう合理的な通知を顧客に行います。


4.5.4. データ保護影響評価および事前協議  Kotobaは、Kotobaが実施する処理の種類がデータ保護法に基づくデータ保護影響評価、リスク評価、サイバーセキュリティ監査または類似の評価を必要とする場合、および/またはデータ保護法の遵守に対して管轄権または監督権を有する規制当局、監督当局、政府機関、州機関、司法長官またはその他の権限ある機関への照会、問い合わせ、苦情または事前協議が必要な場合に、顧客に対して合理的な支援を提供することに同意します。


4.5.5. 監査  Kotobaは、(i)本DPAに対するKotobaのコンプライアンスの確認、および/または(ii)顧客がデータ保護法に基づき提供を義務付けられている情報に必要な、KotobaによるCustomerの個人情報の処理に関する顧客からの合理的な情報提供要請に対して、(監査報告書または独立した評価の概要/抜粋を含む場合がある)書面による回答を(機密ベースで)顧客に提供するものとします。顧客は、この権利を1暦年につき1回を超えて行使しないものとします。ただし、顧客が監督当局にこの情報を提供するよう明示的に要請または義務付けられている場合、Kotobaがデータ侵害を経験した場合、または合理的に類似するその他の根拠がある場合はこの限りではありません。本書のいかなる内容も、Kotobaに対して(i)企業秘密または独自情報;(ii)Kotobaの機密保持義務、契約上の義務、または適用法に違反する情報;または(iii)Kotobaのインフラ、ネットワーク、システム、またはデータのセキュリティ、機密性、または完全性を脅かし、損なわせ、またはその他のリスクをもたらす可能性のある情報を提供することを義務付けるものとして解釈されないものとします。


第5条 顧客の義務


5.1. 法令の遵守

顧客は、(i)サービスの使用および顧客の個人情報の処理に関してデータ保護法に基づく自らの義務を遵守すること;(ii)顧客の指示が適法であり、かかる指示に従った顧客の個人情報の処理がデータ保護法に違反しないことを確保すること;および(iii)データ保護法に基づく自らの義務を遵守できない場合、または顧客の処理指示がKotobaまたはその副処理者をデータ保護法の違反に導く可能性がある場合にKotobaに通知することを行うものとします。


5.2. 通知および許可

顧客は、顧客のみがサービスを使用するデータを決定できる立場にあることを認識し、サービスが顧客の個人情報の処理に適切であるかどうかの判断は顧客の単独の責任であることを承認します。顧客は、(i)顧客によるサービスの使用に関連した個人情報の処理について必要なすべての情報提供および通知を行っていること;(ii)本契約が予定する目的のためにKotobaに個人情報を提供するために必要なすべての権利、許可、および同意を有していること;および(iii)本契約の範囲外の保護をデータ保護法が要求する種類の個人情報のためにサービスを使用しないことを表明および保証します。


5.3. 規制当局等の照会

適用法により禁止されていない限り、顧客は、顧客によるサービスの使用に関する政府機関、規制当局またはその他のサードパーティによる照会または苦情をKotobaに速やかに通知するものとします。


第6条 副処理者


6.1. 顧客は、Kotobaが顧客に代わって顧客の個人情報を処理する目的でサブプロセッサーを利用することについて、一般的な事前承認を付与するものとします。顧客は、附属書IIIに掲載された副処理者(以下「副処理者リスト」といいます)の関与を具体的に承認します。Kotobaは、副処理者の顧客の個人情報へのアクセスを、Kotobaが許可された目的の遂行を支援するために必要な範囲に制限し、副処理者の作為または不作為がKotobaによる本DPAに基づく義務の違反をもたらす範囲において、その責任を負い続けるものとします。


6.2. 副処理者の義務  Kotobaは、本DPAが要求する顧客の個人情報の保護と同等以上のデータ保護義務を課す書面による契約を各副処理者と締結するものとします。


6.3. 副処理者の変更  Kotobaは、副処理者に何らかの変更を加える意図がある場合、副処理者リストの更新(またはKotobaが利用可能にするその他の通知手段)を通じて少なくとも10日前に事前通知を行うものとします。顧客は、Kotobaから通知を受領した後5日以内にKotobaへの書面による通知によって、データ保護に関する合理的な根拠(例えば、副処理者に顧客の個人情報を提供することが欧州データ保護法に違反するか、または顧客の個人情報の保護を弱める場合)に基づき、新たな副処理者のKotobaによる指定に書面で異議を申し立てることができます。かかる場合、当事者は双方が受け入れ可能な解決策を達成する観点から、顧客の懸念について誠実に協議するものとします。当事者が双方が受け入れ可能な解決策に達することができない場合、Kotobaは、独自の裁量で、顧客の個人情報の処理に当該副処理者を使用しないか、または顧客が本契約に従いいずれの当事者に対しても責任を負うことなく(ただし、一時停止または終了前に顧客が負担した料金を害することなく)、影響を受けるサービスの部分を一時停止または終了することを顧客に許可するものとします。


第7条 顧客の個人情報の削除または返還


7.1. 本契約の終了または満了、もしくは顧客のエンタープライズアカウントの削除の際、顧客の書面による要請に基づき、Kotobaは本契約の条件に従って所有または管理する顧客の個人情報のすべてを削除または返還するものとします。この要件は、Kotobaまたはその副処理者が適用法によって顧客の個人情報の一部またはすべてを保持することを義務付けられている範囲において、またはバックアップシステムにアーカイブされた顧客の個人情報については適用されないものとします。ただし、バックアップシステムにアーカイブされたデータは安全に分離され、安全に削除されるまでそれ以上の処理から保護されるものとします。当事者は、SCCの第8条第5項および第16条(d)に規定される顧客の個人情報の削除の証明は、顧客の書面による要請があった場合にのみKotobaから顧客に提供されることに同意します。


第8条 国際的なデータ移転


8.1. 顧客は、Kotobaおよびその副処理者が、副処理者リストにより詳細に記載されているKotobaまたはその副処理者がデータ処理業務を維持する米国および他の場所へ、また当該場所において顧客の個人情報を移転および処理する場合があることを承認および同意します。KotobaがSub処理者に顧客の個人情報を移転する場合、かかる移転がデータ保護法および本DPAに準拠して行われることを確保するものとします。


第9条 管轄固有の条件


9.1. 米国


9.1.1. 顧客の個人情報が米国プライバシー法の適用を受ける範囲において、本第9条第1項の条件は本DPAの残りの条件に加えて適用されます。本第9条第1項の条件と本DPAの他の条件との間に矛盾または曖昧さがある場合、本第9条第1項の条件が当該顧客の個人情報に適用される範囲においてのみ優先するものとします。


9.1.2. KotobaはCCPAに基づくサービスプロバイダーであり、本契約に従って顧客にサービスを提供するというビジネス目的のためにのみ、かつ当該目的に基づいて顧客の個人情報を受領します。


9.1.3. Kotobaは、米国プライバシー法によりその他許可される場合を除き、(a)許可された目的以外の目的のために顧客の個人情報を保持、使用または開示すること(本契約に基づくサービスの提供以外の商業目的のために顧客の個人情報を保持、使用または開示することを含む);(b)顧客の個人情報を「販売」または「共有」すること(米国プライバシー法の要件内で定義および解釈されるとおり);および(c)当事者間の直接のビジネス関係の外部において顧客の個人情報を保持、使用または開示することを行わないものとします。Kotobaは、顧客から受領した顧客の個人情報を、Kotobaが別の者もしくは人から受領した個人情報、または個人とのKotobaのやり取りからKotobaが収集した個人情報と組み合わせることに関するCCPAまたはその他の米国プライバシー法の下での適用される制限を遵守するものとします。当事者は、顧客からKotobaへの顧客の個人情報の移転は米国プライバシー法の下で定義および解釈される「販売」には該当しないこと、および顧客は顧客の個人情報と引き換えにKotobaに対して金銭的またはその他の価値ある対価を提供しないことに同意します。


9.1.4. 米国プライバシー法の下で適用される範囲において、KotobaはKotobaによる顧客の個人情報の不正使用を停止および是正するための合理的かつ適切な措置を講じる顧客の権利を承認します。


9.2. 欧州


9.2.1. 顧客の個人情報が欧州データ保護法の適用を受ける範囲において、本第9条第2項の条件は本DPAの残りの条件に加えて適用されます。本第9条第2項の条件と本DPAの他の条件との間に矛盾または曖昧さがある場合、本第9条第2項の条件が当該顧客の個人情報に適用される範囲においてのみ優先するものとします。


9.2.2. 処理指示  第5条(顧客の義務)を害することなく、Kotobaは、データ保護法に基づき禁止されていない限り、顧客からの処理指示が欧州データ保護法に違反していることを認識または信じる場合には、顧客に書面で通知するものとします。


9.2.3. 制限的移転  当事者は、顧客(「データ輸出者」として)からKotoba(「データ輸入者」として)への顧客の個人情報の移転が制限的移転である場合、標準契約条項が本DPAに自動的に組み込まれ、その一部を構成するものとして以下のとおりみなすことに同意します。


(a) GDPRによって保護される顧客の個人情報に関しては、SCCは以下のとおり補完されて適用されます:

(i) モジュール2(管理者から処理者)またはモジュール3(処理者から処理者)が適宜適用されます;

(ii) 第7条において、任意のドッキング条項は適用されません;

(iii) 第9条において、オプション2が適用され、副処理者変更の事前通知期間は第6条第3項に定めるとおりとします;

(iv) 第11条において、任意の文言は適用されません;

(v) 第17条において、オプション1が適用され、SCCはアイルランドの法律に準拠します;

(vi) 第18条(b)において、紛争は上記で選択されたEU加盟国の裁判所の前で解決されます;

(vii) SCCの附属書IはDPAの附属書Iに記載された情報で補完されたものとみなされます;および

(viii) SCCの附属書IIはDPAの附属書IIに記載された情報で補完されたものとみなされます;


(b) 英国データ保護法によって保護される顧客の個人情報に関しては、上記(a)に基づき実施されたSCCが以下の変更を加えて適用されます:

(i) SCCはUK補遺のパート2で指定されたとおりに変更されたものとみなされます;

(ii) UK補遺パート1の表1から3は、それぞれ本DPAの附属書IおよびIIならびに本DPAの第4条第1項の情報(適宜)で補完されたものとみなされます;および

(iii) UK補遺パート1の表4は「いずれの当事者も選択しない」を選択することで補完されたものとみなされます。


(c) スイスFADPによって保護される顧客の個人情報に関しては、SCCも上記(a)に従い、以下の変更を加えて適用されます:

(i) 「規則(EU)2016/679」への言及は、スイスFADPへの言及として解釈されます;

(ii) 「規則(EU)2016/679」の特定の条項への言及は、スイスFADPの同等の条項または節に置き換えられます;

(iii) 「EU」、「連合」、「加盟国」および「加盟国法」への言及は「スイス」または「スイス法」への言及に置き換えられます;

(iv) 「加盟国」という用語は、スイスのデータ主体が常居所地(すなわちスイス)において権利を訴求する可能性を排除するような方法に解釈されないものとします;

(v) 第13条(a)および附属書IのC部は使用されず、「管轄権のある監督当局」はスイス連邦データ保護情報コミッショナーとします;

(vi) 「管轄権のある監督当局」および「管轄権のある裁判所」への言及は「スイス連邦データ保護情報コミッショナー」および「スイスの適用裁判所」への言及に置き換えられます;

(vii) 第17条において、標準契約条項はスイスの法律に準拠します;

(viii) 第18条(b)において、紛争はスイスの適用裁判所の前で解決されるものとします;および

(ix) SCCは、改正スイス連邦データ保護法が発効するまで法人のデータも保護するものとします。


(d) いずれの当事者も標準契約条項に定める規定に矛盾または制限を加える意図を有しておらず、従って、SCCが本契約(本DPAを含む)のいずれかの規定と矛盾する場合、SCCが当該矛盾の範囲において優先するものとします。


9.2.4. 代替の移転取り決め  Kotobaが本DPAに記載されていない顧客の個人情報の移転のための代替の合法的なデータ輸出手段(「代替移転手段」)を採用した場合、顧客への通知をもって、当該代替移転手段は本DPAに記載された適用可能な移転手段の代わりに適用されるものとします(ただし、当該代替移転手段が欧州データ保護法に準拠し、かつ顧客の個人情報が移転される領域に適用される範囲に限ります)。顧客は、当該代替移転手段に法的効力を与えるために合理的に必要なその他の文書を締結し、その他の措置を講じることに同意します。


第10条 責任の制限


10.1. 本DPA(標準契約条項を含む)に基づき、またはこれに関連して生じる、顧客またはその関連会社がKotobaおよびその関連会社ならびにそれぞれの従業員、代理人および副処理者に対して有するクレームまたは救済(契約上、不法行為(過失を含む)または他の責任理論に基づくものを問わない)は、本契約の責任の制限および除外に従うものとします。従って、本契約における当事者の責任への言及は、本契約および本DPAに基づくまたはこれに関連した当該当事者およびその関連会社のすべての累積的な責任を意味します。


第11条 その他の条項


11.1. 本DPAの規定は分離可能です。いずれかの文言、条項もしくは規定または附属書(標準契約条項を含む)の全部または一部が無効または執行不能である場合、かかる無効または執行不能はその文言、条項または規定のみに影響を与え、本DPAの残りの部分または本契約の残余部分は完全な効力を維持するものとします。


11.2. 本DPAは、データ保護法またはSCCもしくはUK補遺によりその他要求されない限り、本契約における準拠法および管轄に関する規定に従って規律され、解釈されるものとします。


附属書 I


A. 当事者のリスト


データ輸出者:


データ輸入者:


B. 処理/移転の説明


個人情報が移転されるデータ主体のカテゴリ


移転される個人情報のカテゴリ


Kotobaは、サービスの一部としてユーザーの氏名を収集または処理しません。

Kotobaは、顧客またはその認定ユーザーがサービスを通じて提供した範囲においてのみ顧客の個人情報を処理します。

個人情報は、顧客またはその認定ユーザーがサービスを通じて提出した音声コンテンツ内に含まれる場合があります。


移転される機微データ(該当する場合)、ならびにデータの性質および関連するリスクを十分に考慮した適用される制限または保護措置(厳格な目的制限、アクセス制限、データへのアクセス記録、経由移転の制限または追加のセキュリティ対策等)


音声録音には個人データが含まれる場合があり、録音の内容によっては、適用されるデータ保護法の下での機微な個人データが含まれる場合があります。


Kotobaが実施する保護措置には以下が含まれます:


移転の頻度(データが一回限りまたは継続的に移転されるかどうか等)


処理は、ユーザーがKotobaアプリケーションと接触し、音声入力またはその他のデータをサービスを通じて提出する際に、継続的かつイベント駆動型で行われます。


処理の性質

本契約およびプライバシーポリシーに記載され、顧客またはその認定ユーザーが随時開始するサービスの提供。


データ移転および更なる処理の目的

本DPAに定義された許可された目的。

Kotobaは、顧客の同意なしに、顧客の個人情報を基盤モデルまたは汎用機械学習モデルの訓練または改善に使用しません。

顧客は、音声データを含む個人データをサービスに提出するために必要なすべての権利、同意、および許可を取得していることを確保する責任を負います。


個人情報が保持される期間、またはそれが不可能な場合はその期間を決定するために使用される基準

個人データは、本契約の期間、およびサービスの運用、セキュリティ、ならびに法的コンプライアンスのために必要な追加期間保持されます。

バックアップコピーは一時的に保持される場合があり、安全に削除されるまで安全に分離され保護されます。


(副)処理者への移転については、処理の主題、性質および期間も明記すること

副処理者は、Kotobaサービスを支援するインフラ、ホスティング、または関連サービスの提供に必要な範囲においてのみ個人データを処理することができます。

副処理者は附属書IIIに記載されており、本DPAに従い随時更新される場合があります。


C. 管轄権のある監督当局

データ輸出者の管轄権のある監督当局は、欧州データ保護法に従って決定されます。


附属書 II

データのセキュリティを確保するための技術的および組織的措置を含む技術的および組織的措置

Kotobaが実施する技術的および組織的セキュリティ対策の説明:


1. 暗号化


2. アクセス制御


3. インフラセキュリティ


4. 監視およびログ記録


5. 脆弱性管理


6. インシデント対応


7. 担当者セキュリティ


8. データ保護およびデータ分離


9. AIおよび音声データ処理セキュリティ


10. モデルおよびAIシステムセキュリティ


11. サービスの可用性およびレジリエンス


12. 継続的なセキュリティ改善

Kotobaは、顧客の個人情報に提供されるセキュリティの全体的なレベルを実質的に低下させないことを条件として、技術的および組織的セキュリティ対策を随時更新または変更する場合があります。


附属書 III(Kotobaの副処理者リスト)