データ処理契約

最終更新日: 2026年2月10日

本データ処理契約（以下「本契約」）は、Proton AG（Route de la Galaise 32, 1228 Plan-les-Ouates, Switzerland、会社識別番号 CHE-354.686.492、以下「処理者」）と、Protonのサービスを利用する企業（法的形態に関わらず、本サービスを利用するあらゆる事業体または組織を指す。以下「企業」）との間の、Proton AGの利用規約に基づくサービス契約（以下「基本契約」）の一部を構成します。

本契約は、企業のProtonサービスの利用がデータ保護法の対象となる個人データの処理を伴う範囲において、データ保護法の特定の要件を規定します。

本契約は、当社のデータ保護の慣行および措置に関するプライマリーな参照資料としての役割を果たす当社のプライバシーポリシーを補完するものです。

本契約の期間は、基本契約の期間に従うものとします。本契約で定義されていない用語は、基本契約に定められた意味を持つものとします。

前文

A) 企業はデータ管理者（以下「管理者」）として行動します。

B) 企業は、個人データの処理を伴う特定のサービス（以下に定義）を、データ処理者（以下「処理者」）として行動するProton AGに下請けさせることを希望しています。

C) 両当事者は、データ処理に関する現在の法的枠組みの要件、ならびに個人データの処理に関する自然人の保護および当該データの自由な移動に関する2016年4月27日の欧州議会および理事会の規則 (EU) 2016/679（指令95/46/ECを廃止するもの）（一般データ保護規則）、およびその他の適用されるデータ保護法を遵守するデータ処理契約の締結を求めています。

D) 両当事者は、それぞれの権利と義務を定めることを希望しています。

以下の通り合意します：

1. 定義と解釈

本DPAで使用される大文字の用語および表現は、本契約で別段の定義がない限り、以下の意味を持つものとします：

1.1) 「本契約」とは、本データ処理契約およびすべての別紙を意味します。

1.2) 「企業個人データ」とは、基本契約に関連して処理される、企業または企業の顧客もしくは従業員に関連する個人データを意味します。

1.3) 「契約処理者」とは、副処理者を意味します。

1.4) 「データ保護法」とは、EUデータ保護法、および適用される範囲において、その他の国のデータ保護法またはプライバシー法を意味します。

1.5) 「EEA」とは、欧州経済領域を意味します。

1.6) 「EUデータ保護法」とは、EU指令95/46/EC（各加盟国の国内法に置き換えられ、GDPRおよびGDPRを施行または補完する法律を含め、随時改正、置換、または代替されるもの）を意味します。

1.7) 「GDPR」とは、EU一般データ保護規則2016/679を意味します。

1.8) 「データ転送」とは、以下を意味します：

1.8.1) 管理者から処理者または契約処理者への企業個人データの転送。
1.8.2) 処理者から副処理者への、または副処理者の2つの事業所間での企業個人データの再転送。

1.9) 「サービス」とは、メール、カレンダー、ドライブ、および処理者が開発したその他のサービスなど、処理者が提供するオンラインのセキュアなサービスを意味します。サービスの詳細および価格は、処理者のウェブサイトで確認できます。

1.10) 「副処理者」とは、本契約に関連して管理者のために個人データを処理するために、処理者によって、または処理者に代わって任命された者を意味します。

「委員会」、「管理者」、「データ主体」、「加盟国」、「個人データ」、「個人データ侵害」、「処理」、および「監督機関」という用語は、GDPRまたはその他の適用されるデータ保護法と同じ意味を持つものとし、それらの同族語も同様に解釈されるものとします。

2. 企業個人データの処理

処理者は以下のことを行うものとします：

2.1) 企業個人データの処理において、適用されるすべてのデータ保護法を遵守すること。

2.2) 第2項における管理者の文書化された指示に基づく場合を除き、企業個人データを処理しないこと。

管理者は処理者に対し、以下の目的で企業個人データを処理するよう指示します：

2.3) サービスおよび関連する技術サポートを提供するため。

2.4) 法的義務の履行または紛争解決のため。

2.5) サービスのセキュリティ、プライバシー、機密性、および機能性の最適化を目的とした内部タスクを実行するため。

2.6) 内部報告、財務報告、およびその他の類似する内部タスクを実行するため。

3. 処理者の人員

処理者は、企業個人データにアクセスする可能性のある契約処理者の従業員、代理人、または請負業者の信頼性を確保するために合理的な措置を講じるものとします。これには、基本契約の目的のために厳密に必要な場合、および/または契約処理者に対するその個人の職務に関連してデータ保護法およびその他の関連法令を遵守するために必要な場合に、関連する企業個人データを知る/アクセスする必要がある個人にアクセスが厳密に制限されることを確保し、そのようなすべての個人が守秘義務の誓約または専門的もしくは法的な守秘義務の対象となることを確保することが含まれます。

4. セキュリティ

GDPR第32条(1)に従い、処理者は、技術の現状、実装コスト、および処理の性質、範囲、文脈、目的を考慮し、リスクに対して適切なセキュリティレベルを確保するための適切な技術的および組織的措置を講じるものとします。これらの措置は、個人データ侵害のリスクを含め、発生の可能性と重大性が異なるリスクを考慮し、自然人の権利と自由を保護するように設計されるものとします。

処理者はまた、処理活動に関連するリスクを評価し、GDPR第32条(1)に定められた要件と整合性のある措置を適用し、常に企業個人データのセキュリティを確保するものとします。

5. 副処理

本契約に従い、企業は処理者に対し、副処理者を関与させ、企業個人データを開示または転送する一般的な権限を付与します。企業は、処理者のプライバシーポリシーに概説されている副処理者のリストを確認し承認します。このリストは処理者によって定期的に更新される場合があり、その場合、企業はプライバシーポリシーの通知プロセスに従って処理者から通知を受けることを理解します。さらに、企業は、処理者が企業グループ内の任意の会社に個人データを開示および転送することを許可します。

処理者は、副処理者が提供するサービスの性質に適用される範囲において、企業個人データの保護に関して本契約と同等以上に制限的かつ保護的な契約を処理者と締結することを保証します。

6. データ主体の権利

処理の性質を考慮し、処理者は、データ保護法に基づくデータ主体の権利行使の要求に対応する企業の義務の履行のために、企業を合理的に支援するものとします。

処理者は以下のことを行うものとします：

6.1) 企業個人データに関して、データ保護法に基づきデータ主体から要求を受け取った場合、速やかに企業に通知すること。そして

6.2) 管理者の文書化された指示がある場合、または処理者が対象となる適用法によって要求される場合を除き、その要求に応答しないことを保証すること。この場合、処理者は、契約処理者が要求に応答する前に、適用法によって許可される範囲で、その法的要件を管理者に通知するものとします。

7. 個人データ侵害

処理者は、適用されるデータ保護法およびその内部の個人データ侵害手順に従って、個人データ侵害を管理するものとします。企業の個人データに影響を与える個人データ侵害が発生した場合、処理者は遅滞なく企業に通知し、必要に応じてデータ主体への通知を含むデータ保護法に基づく義務を企業が履行できるようにするために十分な情報を提供するものとします。そのような場合、処理者は、企業がデータ保護法に基づく個人データ侵害の報告またはデータ主体への通知の義務を果たすことを可能にするために十分な情報を企業に提供するものとします。

処理者は、企業と協力し、そのような各個人データ侵害の調査、軽減、および是正を支援するために、企業が指示する合理的な商業的措置を講じるものとします。

各当事者は、データ侵害が当該当事者に起因する範囲において、調査、是正、軽減の費用、およびその他の関連費用を負担するものとします。

各当事者は、本契約に基づく義務の当該当事者による違反に起因する範囲において、権限のある規制機関、政府機関、または管轄裁判所によって科された罰金、違約金、損害賠償、またはその他の関連金額の費用を負担するものとします。

8. データ保護影響評価および事前協議

処理者は、データ保護影響評価、および監督機関またはその他の権限のあるデータプライバシー当局との事前協議に関して、企業に合理的な支援を提供するものとします。これは、管理者がGDPR第35条もしくは第36条、またはその他のデータ保護法の同等の規定によって必要であると合理的に判断する場合であり、いずれの場合も、契約処理者による企業個人データの処理に単に関連し、かつ処理の性質および契約処理者が利用可能な情報を考慮して行われるものとします。

9. 企業個人データの削除または返却

企業個人データの処理を伴うサービスが停止された場合、処理者は、適用法で許可される範囲で、かつ処理者の利用規約およびプライバシーポリシーに従って、すべての企業個人データを削除するものとします。企業がデータのコピーを必要とする場合、アカウントの削除前にそれを要求する必要があります。アカウントが削除された後の要求は、もはや考慮されません。

10. 監査権

第10項に従い、処理者は、本契約の遵守を証明するために必要なすべての情報を要求に応じて企業に利用可能にし、契約処理者による企業個人データの処理に関して、企業または企業が委任した監査人による検査を含む監査を許可し、これに貢献するものとします。企業は、個人データ侵害または規制当局による指示があった場合を除き、カレンダー年につき1回を超えて監査権を行使しないものとします。企業は、本契約に基づき処理者を監査する意図がある場合、少なくとも60日前までに書面で処理者に通知するものとします。監査は処理者の営業時間内に行われ、処理者の業務を妨害せず、企業、処理者、およびその他のデータ主体の個人データの保護を確保するものとします。処理者と企業は、監査に適用される日付、範囲、期間、およびセキュリティと機密保持の管理について、事前に相互に合意するものとします。企業は、監査の実施前に、管理者による秘密保持契約への署名が求められる場合があることを認めます。

企業の知る権利および監査権は、本契約がデータ保護法の関連要件を満たす情報および監査権を別途付与しない範囲においてのみ、第10項に基づいて発生します。

11. データ転送

可能な限り、処理者は、スイス、EU内の国、および/または十分性認定の対象となる国へのデータの転送のみを行うか、または許可するものとします。これらは以下に規定される通りです。 GDPR第45条およびスイスFADP第16条。本契約に基づいて処理される個人データが、スイス、EU内の国、または十分性認定の対象となる国から、この範囲外の国に転送される場合、両当事者は個人データが適切に保護されることを保証するものとします。これを達成するために、両当事者は、別段の合意がない限り、スイス、EU、および/または英国が承認した、その時点での個人データの転送に関する標準契約条項、またはデータ保護法で規定されるその他の転送メカニズムに依拠するものとします。処理者は、転送の性質に関して適切な保護措置が実施されていることを条件として、副処理者へのそのような転送を行うことを許可されるものとします。

12. 一般条項

適用法の遵守。 処理者は、本契約、および本契約に基づくその役割に適用されるデータ保護法に従って、企業個人データを処理します。処理者は、その事業または業界の性質上、企業にのみ適用されるデータ保護法の遵守について責任を負いません。

機密保持。 各当事者は、本契約に関連して他方の当事者およびその事業について受領した情報（「機密情報」）を機密として保持し、以下の場合を除き、他方の当事者の事前の書面による同意なしに当該機密情報を使用または開示してはなりません：

(a) 法律により開示が求められる場合。

(b) 関連する情報が、両当事者の過失なくすでにパブリックドメインにある場合。

通知。 本契約に基づくすべての通知および連絡は書面によるものとし、メールで送信されます。管理者への通知は、基本契約に基づくサービスの利用に関連するアドレスに送信されるメールによって行われます。処理者への通知は、アドレス legal@proton.me に送信されるメールによって行われます。

準拠法および管轄裁判所。 本契約は、抵触法の規定にかかわらず、スイス法に準拠するものとします。本契約、注文書、参照により組み込まれる文書、Proton技術、またはサービスに起因または関連して生じる紛争、訴訟、請求、または訴訟原因は、スイスのジュネーブの専属管轄権の対象となります。

本規約の英語版と翻訳版との間に矛盾がある場合は、英語版が優先されるものとします。