データ処理契約
最終更新日:2026年2月10日
本データ処理契約(以下「本契約」といいます)は、Proton AG(所在地:Route de la Galaise 32, 1228 Plan-les-Ouates, Switzerland、会社識別番号:CHE-354.686.492)(以下「処理者」といいます)と、Protonのサービスを利用する会社(以下「会社」といい、法的形態を問わず、本サービスを利用するあらゆる事業または組織を意味します)との間の、Proton AGの利用規約に基づくサービス契約(以下「主契約」といいます)の一部を構成します。
本契約は、会社によるProtonサービスの利用が、データ保護法の適用を受ける個人データの処理を伴う範囲において、データ保護法上の特定の要件を規律します。
本契約は、当社のデータ保護の実務および措置に関するプライマリーの参照先となる当社のプライバシーポリシーを補完するものです。
本契約の有効期間は、主契約の有効期間に従うものとします。 本契約で定義されていない用語は、主契約で定める意味を有するものとします。
前文
A) 会社はデータ管理者(以下「管理者」といいます)として行為します。
B) 会社は、個人データの処理を伴う特定のサービス(以下に定義します)を、データ処理者として行為するProton AG(以下「処理者」といいます)に再委託することを希望しています。
C) 両当事者は、データ処理に関する現行の法的枠組みの要件、ならびに、個人データの処理に係る自然人の保護および当該データの自由な移動に関する2016年4月27日付欧州議会および理事会規則(EU)2016/679(指令95/46/ECを廃止する一般データ保護規則)およびその他の適用されるデータ保護法に適合するデータ処理契約を実施することを求めます。
D) 両当事者は、それぞれの権利および義務を定めることを希望します。
以下のとおり合意します。
1. 定義と解釈
本DPAにおいて別段の定義がない限り、本DPAで使用される大文字表記の用語および表現は、以下の意味を有します。
1.1) 「本契約」とは、本データ処理契約およびすべての別紙を意味します。
1.2) 「会社個人データ」とは、主契約に関連して処理される、会社または会社の顧客もしくは従業員に関するあらゆる個人データを意味します。
1.3) 「契約処理者」とは、再処理者を意味します。
1.4) 「データ保護法」とは、EUデータ保護法、ならびに適用される範囲において、その他の国のデータ保護法またはプライバシー法を意味します。
1.5) 「EEA」とは、欧州経済領域を意味します。
1.6) 「EUデータ保護法」とは、GDPRならびにGDPRを実施または補完する法律を含め、各加盟国の国内法に置き換えられ、その都度改正、差替えまたは代替されるEU指令95/46/ECを意味します。
1.7) 「GDPR」とは、EU一般データ保護規則2016/679を意味します。
1.8) 「データ移転」 とは、以下を意味します。
- 1.8.1) 管理者から処理者または契約処理者への企業個人データの転送。
- 1.8.2) 処理者から副処理者への、または副処理者の2つの事業所間での企業個人データの再転送。
1.9) 「サービス」とは、メール、カレンダー、ドライブ、その他処理者が開発するサービスなど、処理者が提供するオンラインの安全なサービスを意味します。 サービスの詳細および料金は、処理者のウェブサイトで確認できます。
1.10) 「再処理者」とは、本契約に関連して、管理者に代わって個人データを処理するために、処理者によりまたはその代理で選任された者を意味します。
「委員会」、「管理者」、「データ主体」、「加盟国」、「個人データ」、「個人データ侵害」、 「処理」および「監督当局」という用語は、GDPRまたはその他の適用されるデータ保護法におけるものと同一の意味を有し、それらの関連用語もこれに従って解釈されるものとします。
2. 企業個人データの処理
処理者は以下のことを行うものとします:
2.1) 会社個人データの処理にあたり、適用されるすべてのデータ保護法を遵守すること。
2.2) 第2条における管理者の文書化された指示による場合を除き、会社個人データを処理しないこと。
管理者は処理者に対し、以下の目的で企業個人データを処理するよう指示します:
2.3) サービスおよび関連する技術サポートを提供すること。
2.4) 法的義務を履行し、または紛争を解決すること。
2.5) サービスのセキュリティ、プライバシー、機密性および機能を最適化することを目的とした内部業務を行うこと。
2.6) 内部報告、財務報告その他これらに類似する内部業務を行うこと。
3. 処理者の人員
処理者は、会社個人データにアクセスする可能性のある契約処理者の従業員、代理人または請負人の信頼性を確保するために合理的な措置を講じるものとし、いずれの場合も、当該アクセスが、主契約の目的のために厳格に必要であり、かつ/または契約処理者における当該個人の職務の文脈においてデータ保護法およびその他の関連法令を遵守するために、関連する会社個人データを知る必要があり/アクセスする必要がある者に厳格に限定されることを確保するものとします。また、そのようなすべての個人が、機密保持の誓約または職業上もしくは法定の守秘義務に服することを確保するものとします。
4. セキュリティ
処理者は、GDPR第32条第1項に従い、技術水準、実施費用、ならびに処理の性質、範囲、文脈および目的を考慮したうえで、リスクに見合ったセキュリティ水準を確保するため、適切な技術的および組織的措置を実施するものとします。 これらの措置は、個人データ侵害のリスクを含む、発生可能性および重大性がさまざまなリスクを考慮し、自然人の権利および自由を保護するよう設計されるものとします。
処理者はまた、処理活動に関連するリスクを評価し、GDPR第32条第1項に定める要件に適合する措置を適用し、常に会社個人データの安全性を確保するものとします。
5. 副処理
本契約に従い、会社は、処理者が再処理者を起用し、会社個人データを当該再処理者に開示または移転することについて、一般的な承認を付与します。 会社は、処理者のプライバシーポリシーに記載された再処理者の一覧を承認し、また、この一覧が処理者により定期的に更新される場合があることを理解するものとし、その場合、会社はプライバシーポリシーの通知プロセスに従って処理者から通知を受けるものとします。 さらに、会社は、処理者がその企業グループ内のいずれの会社に対しても個人データを開示および移転することを承認します。
処理者は、再処理者に対し、再処理者が提供するサービスの性質に適用される範囲において、会社個人データの保護に関し、本契約と同等以上に制限的かつ保護的な契約を処理者との間で締結させることを確保します。
6. データ主体の権利
処理の性質を考慮し、処理者は、データ保護法に基づくデータ主体の権利行使請求に対応する会社の義務を履行するため、合理的な範囲で会社を支援するものとします。
処理者は以下のことを行うものとします:
6.1) 会社個人データに関して、いずれかのデータ保護法に基づくデータ主体からの請求を受領した場合、速やかに会社に通知すること。
6.2) 管理者の文書化された指示がある場合、または処理者が服する適用法によって要求される場合を除き、当該請求に応答しないことを確保すること。この場合、処理者は、適用法で認められる範囲において、契約処理者が当該請求に応答する前に、当該法的要件を管理者に通知するものとします。
7. 個人データ侵害
処理者は、適用されるデータ保護法およびその内部の個人データ侵害手続に従って、あらゆる個人データ侵害を管理するものとします。 会社個人データに影響を及ぼす個人データ侵害が発生した場合、処理者は、必要に応じてデータ主体への通知を含む、データ保護法に基づく会社の義務を履行できるようにするための十分な情報を提供し、遅滞なく会社に通知するものとします。 このような場合、処理者は、データ保護法に基づく個人データ侵害の報告またはデータ主体への通知に関する会社の義務を会社が履行できるよう、会社に十分な情報を提供するものとします。
処理者は、各個人データ侵害の調査、被害軽減および是正を支援するため、会社と協力し、会社の指示に従って合理的な商業上の措置を講じるものとします。
各当事者は、データ侵害が当該当事者に起因する範囲において、調査、是正、被害軽減およびその他の関連費用を負担するものとします。
各当事者は、本契約に基づく自己の義務違反に起因する範囲において、権限ある規制機関、政府機関または管轄裁判所により課される罰金、制裁金、損害賠償その他の関連金額を負担するものとします。
8. データ保護影響評価および事前協議
処理者は、会社個人データの処理に関して、かつ、処理の性質および契約処理者が利用可能な情報を考慮したうえで、GDPR第35条または第36条、またはその他のデータ保護法の同等の規定により必要であると管理者が合理的に判断するデータ保護影響評価および監督当局またはその他の権限あるデータプライバシー当局との事前協議について、会社に合理的な支援を提供するものとします。
9. 企業個人データの削除または返却
会社個人データの処理を伴うサービスが終了した場合、処理者は、適用法で認められる範囲において、かつ処理者の利用規約およびプライバシーポリシーに従い、すべての会社個人データを削除するものとします。 会社が自社データのコピーを必要とする場合、会社は自社のアカウントの削除前にこれを請求しなければなりません。アカウントが削除された後になされた請求は、もはや考慮されません。
10. 監査権
本第10条に従い、処理者は、要請に応じて、本契約の遵守を証明するために必要なすべての情報を会社に提供可能な状態にし、契約処理者による会社個人データの処理に関して、会社または会社が指名した監査人による監査(検査を含みます)を許容し、これに協力するものとします。 会社は、個人データ侵害または規制当局の指示があった場合を除き、監査権を暦年につき1回を超えて行使してはなりません。 会社は、本契約に基づき処理者を監査する意向について、少なくとも60日前までに書面で処理者に通知するものとします。 監査は、処理者の営業時間内に実施され、処理者の業務を妨げてはならず、かつ、会社、処理者およびその他のデータ主体の個人データの保護を確保するものとします。 処理者と会社は、監査に適用される日程、範囲、期間、ならびにセキュリティおよび機密保持の管理措置について、事前に相互に合意するものとします。 会社は、監査の実施前に、管理者により秘密保持契約の締結が要求される場合があることを認めます。
会社の情報提供請求権および監査権は、本契約がデータ保護法の関連要件を満たす情報提供請求権および監査権を別途付与していない範囲に限り、第10条に基づいてのみ発生します。
11. データ転送
可能な限り、処理者は、スイス、EU、および/または十分性認定の対象国の範囲内にある国にのみ、GDPR第 45条およびGDPR第 16条のスイスFADPに定めるところに従い、データを移転し、またはその移転を許可するものとします。 本契約に基づいて処理される個人データが、スイス、EU域内の国、または十分性認定の対象国から、この範囲外の国へ移転される場合、両当事者は、当該個人データが適切に保護されることを確保するものとします。 これを実現するため、両当事者は、別段の合意がない限り、個人データの移転についてスイスおよび/またはEUおよび/または英国が承認し、その時点で有効な標準契約条項、またはデータ保護法で定めるその他の移転メカニズムに依拠するものとします。 処理者は、移転の性質に関して適切な保護措置が実施されることを条件として、再処理者に対してそのような移転を行う権限を有するものとします。
12. 一般条項
適用法の遵守。 処理者は、本契約および本契約における自己の役割に適用されるデータ保護法に従って、会社個人データを処理します。 処理者は、会社の事業または業界により会社のみに適用されるデータ保護法の遵守について、責任も義務も負いません。
機密保持。 各当事者は、本契約に関連して相手方およびその事業に関して受領したあらゆる情報(以下「機密情報」といいます)を機密として保持し、以下の場合を除き、相手方の事前の書面による同意なく、当該機密情報を使用または開示してはなりません。
(a) 開示が法令により要求される場合。
(b) 当該情報が、両当事者の責めによらず、既に公知となっている場合。
通知。 本契約に基づき行われるすべての通知および連絡は書面によるものとし、メールで送信されるものとします。 管理者への通知は、主契約に基づくサービス利用に関連するアドレス宛てに送信されたメールにより行われるものとします。 処理者への通知は、次のアドレス宛てに送信されたメールにより行われるものとします:legal@proton.me。
準拠法および管轄裁判所。 本契約は、これに反する法域の法選択または法抵触の規定にかかわらず、スイス法に準拠するものとし、本契約、注文書、参照により組み込まれた文書、Protonの技術、またはサービスに起因し、または関連して生じる紛争、訴訟、請求または訴因は、スイス・ジュネーブの専属管轄に服するものとします。
本規約の英語版と翻訳版との間に矛盾がある場合は、英語版が優先されるものとします。