協約

当事者：

Rüdesheimer Str. 23, 80686 Münchenに所在する、LexCom Informationssysteme GmbH

- 以下、「受託者」または「データ処理者」という -

その顧客

- 以下、「委託者」という -

注記

この文書には、一般データ保護規制（GDPR）第28条3項に準拠した、委託者と受託者間のデータ処理契約の委託者条件が含まれる。委託者は、委託者のオンラインなどの情報サービス（以下「サービス契約」）のユーザー契約を締結することにより、またはサービス契約が既に実施されている場合は、後続の宣言により、これらの条件に拘束されることに同意する。

1. 委託の対象と期間

(1) 対象

データ取り扱いに関する委託の対象は、基のサービス契約をもとに発生する。

(2) 期間

この委託の期間（有効期間）は、基のサービス契約の有効期間に応じる。

2. 委託の具体的内容

(1) 目的とするデータ処理の方法
委託には、次の種類の取り扱いが含まれる。

委託者がオンラインその他の情報サービス各々の利用に際し登録し、製品の機能を提供するために受託者が取り扱いを要する個人情報の取り扱い
他の活動の過程で受託者によるアクセスが避けられない個人情報の取り扱い
- まず、上記a)に定める個人情報は、受託者による評価（とりわけ、製品の最適化および合格ならびに利用状況測定を目的とした製品機能の分析）の一環としてアクセスされる場合がある。この場合、委託の影響を受けるデータは、評価において考慮されず、受託者により削除されるか、偽名化・匿名化される。
- 次に、委託者のローカルに保存された他の個人情報に、メンテナンスまたはサポートサービスの一環としてアクセスすることができる。
さらに、VINに応じて部品を検索するには、受託者は、各メーカーのサーバーにVINを送信する必要がある。メーカーは、VINに応じた部品検索に必要な固有の情報を追加し、受託者に返送する。また、メーカーは、自己の目的のためにVINを取り扱うため、一般データ保護規制（GDPR）に定められる独立のデータ管理者にあたる。委託者はここに、上記の目的においてVINをメーカーに送信する権限を受託者に付与する。

(2) データの種類

個人情報の処理対象は、以下のデータタイプ/カテゴリーである（データカテゴリーのリスト/記述）。

オンラインサービスで委託者が登録した車両識別番号（VIN）とナンバープレートの両方または何れか
とりわけ次の項目を含む、委託者によってオンラインサービスへ登録された顧客データ
- 部品注文用の住所データ
- 画像・テキスト送信先Eメールアドレス
オンラインサービスへの登録時、委託者によって登録された顧客データ
委託者側でローカルに保存された顧客データ（顧客サービスによる遠隔サービスの枠内におけるもの）
- 個人のマスターデータ
- コミュニケーションデータ（電話番号、メールアドレスなど）

(3) 関係者の範囲

処理に関係する者の範囲に含まれるもの：

委託者の顧客

(4) 受託者は、個々のデータ主体の身元を特定できないようにするため顧客データを匿名化または統合し、かつ、主契約に従い合意したサービスの設計、拡張および最適化ならびに提供を目的として、顧客データをこの形態で使用する権利を留保する。両当事者は、上記の通り匿名化されたか、統合された顧客データが本契約において顧客データとみなされないことに合意する。

(5) 受託者は、自己の目的のため、自己の責任において、データ保護法に基づき認められている範囲で顧客データを取り扱い、使用することができる。ただし、法的な許諾により規制されるか、データ主体の同意により認められることを条件とする。本契約は、そのようなデータの取り扱いには適用されない。

3. 取り扱い場所

契約により合意されたデータの取り扱いは、主としてドイツもしくは欧州連合加盟国にて、または欧州経済地域（EEA）での協定批准国にて実施される。第三国に所在する下請業者によりデータが取り扱われる場合は、専ら一般データ保護規則（GDPR）第44条以降の特別要件を遵守して行うものとする。

4. 技術的・組織的措置

(1) 受託者は、特に注文の特定の実行に関して、契約の授与に先立って設定された必要な技術的および組織的措置の実施を文書化し、この文書をこの宣言とともに委託者に提供する。委託者の承認を受けて、文書化された措置が注文の基礎となる。さもなければ、当事者はサービス契約を締結しない。

(2) 受託者は、一般データ保護規則（GDPR）第5条1項、2項に関連して、第28条3項cおよび第32条に従って、セキュリティレベルを保証する。全体として、データセキュリティ対策と、システムの機密性、完全性、可用性、および復元力の面でリスクに適切な保護レベルを確保するための措置である。その際、受託者は、最新の技術水準、導入コスト、処理の性質、範囲および目的、リスクの発生確率および重大度を、一般データ保護規則（GDPR）第32条1項の自然人の権利および自由の範囲を考慮に入れなければならない。

(3) 技術的および組織的な措置は、技術的進歩および発展の影響を受ける。受託者に認められる場合には、別の適当な措置へ転換される。その際、決定された措置の安全規準を下回ることはない。根本的変更の場合には文書化する。

5.データの訂正、制限および削除

(1) 受託者は、委託者に代わって処理されるデータを自らの権限で修正、削除、または処理の制限をしない。それは、委託者の文書化された指示に従ってデータの処理を修正、削除、または制限するだけである。関係者がこれに関して受託者に直接相談する場合、受託者はこの要求を遅滞なく委託者に転送する。

(2) サービスの範囲に含まれる場合、受託者は、削除計画、忘却権、訂正権、データ・ポータビリティ権および情報獲得権を、文書化された委託者の指示に従って即座に保証する。個々の指示がサービス契約と異なるか追加要求がある場合、受託者による事前の同意を必要とする。このとき、受託者が準備したオンラインサービスが規格品であることを考慮しなければならないが、データ保護法に関する委託者の要求への適合は高い費用負担となり得る。この費用は、適切な個々の取り決めにより、委託者が全額負担しなければならない。

6. 受託者による品質確保およびその他義務

受託者は、この委託の規定を遵守することに加え、法的義務を一般データ保護規則（GDPR）第28～33条により負う。ただし、以下の規準の遵守を保証する場合に限る。

一般データ保護規則（GDPR）第38条および第39条により業務を行うデータ保護受託者による書面による契約。その連絡先情報は、直接連絡する目的で委託者に通知される。データ保護受託者を変更する場合は、遅滞なく委託者に通知される。
一般データ保護規則（GDPR）第28条3項2段b、第29条、第30条による機密保持。受託者は、作業実施に際し、機密保持義務を有する、かつデータ保護の関連規定について熟知した被雇用者のみを指名する。個人情報へのアクセス権を有する受託者および指名された各人は、このデータについて、法的に処理の義務がある場合を除き、この契約で与えられた権限を含め、委託者の指示に従って処理することができる。
一般データ保護規則（GDPR）第28条3項2段c、第32条による、この委託に必要な全ての技術的および組織的措置の実施および遵守[付属書1の細目]。
委託者および受託者は、照会があった場合はその任務の履行に際して監督官庁と共同で作業する。
監督官庁がこの委託に関係する場合、監督官庁の管理取扱および措置についての委託者による遅滞なき情報提供。これは、所管官庁が秩序違反の手続または刑事訴訟手続の範囲において個人情報の処理に関し受託者による処理で調査および捜査を行う場合にも適用される。
委託者が受託者による処理に関連して、委託者の立場として、監督官庁の管理、秩序違反の手続、刑事訴訟手続、関係者もしくは第三者による損害賠償請求権、またはその他の請求権にさらされた場合、受託者は、委託者を保護する。
受託者は、定期的に内部プロセスならびに技術的および組織的措置を管理し、自らの責任の範囲において現行のデータ保護権と一致して処理を実施すること、および関係者の権利の保護が保証されることを保証する。
本契約の第7号による委託者の管理権限の範囲における、委託者に対する関係する技術的および組織的措置の検証。

7.下請関係

(1) この規則の目的上、下請け関係とは、主なサービスの提供に直接関連するサービスである。これには、受託者によって提供される付随サービスは含まれません。データ処理システムのハードウェアとソフトウェアの機密性、可用性、完全性、および復元力を保証するためのその他の措置を含むが、これらに限定されるものではない。ただし、外注サービスの外注の場合でも、受託者は、委託者のデータの保護とセキュリティを保証するために、適切かつ法的に準拠した契約上の措置および管理措置を講ずる義務がある。

(2) 委託者はここに、別のデータ取扱業者に委託する一般的な許諾を受託者に与える。

委託者は、一般データ保護規則（GDPR）第28条2～4項による契約上の取り決めの条件に基づき、以下の下請業者の処理に同意する。

下請事業者	住所/国	サービス
Belenus LOB GmbH	Rüdesheimer Str. 23 80686 München DEUTSCHLAND（ドイツ）	内外のIT業務全ての提供
LexCom (China) Co., Ltd	Suite G, 9/F Huamin Empire Plaza, 728 Yan An West Road, Changning Shanghai, 200050 CHINA	顧客サポートの提供
LexCom Japan K.K.	Shin-Yokohama Daini Centre Bldg., 7F, 3-19-5 Shin-Yokohama, JAPAN	顧客サポートの提供
LexCom Information Systems Ltd	Unit C3 Arena Business Centre, 9 Nimrod Way, Wimborne, BH21 7UH, UNITED KINGDOM	顧客サポートの提供
LexCom France SARL	Espace Mama Works 51 Quai Lawton 33300 Bordeaux FRANCE	顧客サポートの提供
OiC Imaging Comercial Ltda	Rua Kara 419, CEP 09750-300, São Bernardo do Campo, São Paulo, BRAZIL	顧客サポートの提供
Element1 Media GmbH	Rüdesheimer Str. 21 80686 München DEUTSCHLAND（ドイツ）	登録された顧客データの編集

既存の下請業者の変更は、次の場合に限り認められる。

受託者が、下請業者へのかかる外注を委託者に合理的な期間内に予め書面で指示し、
委託者が、外注について、受託者へのデータ引き渡し時点までに書面で異議を申し立てず、
かつ一般データ保護規則（GDPR）第28条2～4項により契約上の取り決めまたは拘束力のある申告が基礎となっている場合。

(3) 委託者の個人データの下請け業者への転送およびその開始作業は、下請けの全ての条件が満たされている場合にのみ許可される。

(4) 下請業者によるさらなる外注は、受託者の（少なくとも書面による）明示的な同意を必要とし、全ての契約上の規定が連鎖的契約における追加の下請業者にも課される。

8.委託者の管理権

(1) 受託者と協議の上、委託者は検査を実施するか、または個々のケースで指名される監査人が実施する権利を有する。受託者が事業活動において本契約を遵守していることを確認するための点検を行う権利がある。委託者は、そのような点検を実施する予定であることを適切に受託者に通知しなければならない。このような点検は、通常の営業時間内に行われなければならず、受託者の操作手順を妨害することなく、受託者の営業秘密およびビジネス秘密に関して厳重な機密保持を維持する必要がある。

(2) 受託者は、一般データ保護規則（GDPR）第28条により受託者の義務の遵守を委託者が確信できるようにしなければならない。受託者は、委託者に必要情報の提供要求、ならびに技術的および組織的措置の証明を行う義務を負う。委託者は、原則として、年に1回の検査を実施することができる。特定のインシデントの場合、追加の検査が許可される。

(3) 受託者は、委託者の法的義務を考慮して自らの判断により、受託者の事業を鑑みて機密情報であったり、受託者がその開示によって法的または契約上の義務に違反するような場合、その情報を開示しない権限を有する。

(4) 受託者の裁量で、現場での検査によらず、特定の命令によらず、以下の手段で証明が可能である。

一般データ保護規則（GDPR）第40条によるところの、承認された行動規範の遵守
一般データ保護規則（GDPR）第42条によるところの、承認された認定プロセスに従った認定
独立の担当部局の最新の証明書、報告書または報告の抜粋（例えば会計検査人、監査、データ保護委託者、ITセキュリティ部門、データ保護審査官、品質審査官）
ITセキュリティ監査またはデータ保護監査による適切な証明書（BSI基本保護による）

これに対する前提条件は、この措置により、委託者を本合意書の付録に指定されている技術的および組織的措置の遵守を合理的に満足させることである。

(5) 委託者は、受託者がチェックを実行できるようにするための補償請求を主張することができる。

9. 受託者の違反があった場合の通知

(1) 受託者は、一般データ保護規則（GDPR）第32～36条で言及された個人情報の安全に関する義務、情報漏洩時の申告義務、データ保護の結果査定、および事前協議の遵守において、委託者を支援する。これには次の事柄が該当する。

処理の状況と目的、セキュリティ上の脆弱性に起因する可能性のある違反と重大性を考慮した技術的および組織的手段による適切なレベルの保護を確保し、関連違反イベントの即時検出を可能にする。
個人情報違反の委託者への遅滞のない通知義務。
委託者に対し、関係者を対象とした情報義務の範囲において支援し、かつこれに関して関連する全情報を遅滞なく利用できるようにする義務。
データ保護の結果査定に対する委託者支援。
監督官庁との事前の相談の範囲における委託者支援。

10. 委託者の指示権限

(1) 委託者は、口頭の指示を直ちに文面で確認しなければならない。

(2) 受託者は、指示がデータ保護規定に違反するという見解である場合、委託者に遅滞なく通知する。受託者は、委託者により確認されるか変更されるまでは、適切な指示の実施を中断する権限を有する。本契約により受託者に発生する費用について、受託者は、委託者に対して補償請求権を行使できる。

11. 個人情報の削除および返却

(1) データのコピーまたは複製は、委託者の同意なしには作成されない。これには、適切なデータ処理を保証するために必要な範囲でのバックアップコピー、および法定保持要件への準拠に必要なデータは含まれない。

(2) 契約上合意された作業が完了した時点、または委託者によるサービス契約終了時に、受託者は、所有権を持つ全ての文書、処理結果および利用結果を、委託者に渡す必要がある。契約上の関係に関連して作成されたデータセットは、事前の同意を得て、データ保護ガイドラインに沿って破棄する。テスト資料および廃棄資料についても同様である。削除を記録したログを、要求に応じて提出する必要がある。

(3) 受託者は、それぞれの保存期間に従って、契約終了時以降の要請によって適切なデータ処理の証拠を提供するための文書を保持する。契約期間終了時に、この文書を委託者に渡すことができる。

1. 機密（一般データ保護規則（GDPR）第32条1項b）

物理的なアクセス制御

許可
アクセスコードカード/アクセストランスポンダー
物理的なアクセス認証コンセプト
モニタリングデバイス（ビデオでの監視）
鍵利用規則
外部来訪者およびバッジに関する規則
社内スタッフによる来訪者同行
来訪者出入記録
警報システム/工場セキュリティを利用した勤務時間外の建物のセキュリティ確保
セキュリティーエリアの明確化およびアクセス制御
荷物の発送・受入時のエントランスのセキュリティ確保
ドア安全装置（電子自動開閉ドア、IDカードリーダー、TVモニター、ポーター）
社員による監視（二重管理原則）
財物の保護対策（特殊なガラスはめ工事、警報システム、警備員によるパトロールなど）
データセンターへのセキュアアクセスの分離
施錠可能な部屋でのサーバーの保管
施錠および鍵を利用するか、施錠された部屋でのデータストレージデバイスの保管
バックアップ媒体（テープ、CDなど）の金庫での保管
鍵発行手順書
その他/上記の措置にかかわる規格：

システムへのアクセスの管理

ネットワークの暗号化
施錠および鍵によるデータ処理装置の保管
データ処理システム利用者の特定
IDコードの発行および安全確保
コンピュータワークステーションのパスワード保護
ワークステーションおよび識別名の機能的および一時的な利用制限
ユーザー認証規則
個別パスワードの使用
誤ったパスワードを複数回入力後、ユーザーアカウントを自動ブロック
無効化（スクリーンセーバー作動）後パスワード保護により画面を自動ブロック
パスワードの複雑性および更新頻度について最低要件を定めたパスワードポリシー
ハッシュ法を用いたパスワード保管
新社員に対する権利割当手続
社員異動時の権利取消手続
社員退職時の権利取消手続
一般データ保護規則（GDPR）第28条3項bに従ったデータ保護の取組み
ファイルのまとめに関するガイドライン
システム使用状況の記録および評価
データストレージデバイス廃棄の管理
データ取得にかかわる作業指示および処理手続
制度の見直しおよび承認手続
その他/上記の措置にかかわる規格：

データアクセス制御

アクセス認証、認証コンセプトの明確化
データの入力、変更または削除にかかわる権限の明確化
認証付与（組織的）と認証割当て（技術的）の区別
ドライブの使用および割当ての概念
バックアップからのデータ復元にかかわる規則（実行者、実行時期、および要請者）
認証の定期的な検証
無料および非規制のデータベース検索機能の制限
ログファイルの定期的な評価
端末側でのIDカードリーダー設置
データベースおよび各機能（読取り、書込み、実行）へのアクセス制限
ファイルへのアクセス、ファイルの削除および変更の記録
ワークステーションコンピュータでのマルウェアスキャン
インターネットを対象とするマルウェアフィルタ
Eメールを対象とするマルウェア/スパムフィルタ
ファイアウォール
侵入検知/防止（IDS/IPS）
ログデータへのアクセス制限（ログ管理者のみ）
専用ログサーバーへのログデータの保管
その他/上記の措置にかかわる規格：

分離の管理

顧客/法人の区別
開発、テストおよび生産システムの区別

2. 秘密性（一般データ保護規則（GDPR）第32条1項b）

開示の管理

安全なファイル交換（SFTP/FTPS）
HTTPS接続（TLS1.1および1.2）を介したデータ交換
転送権限、転送の概念の明確化
社員による監視（二重管理原則）
荷物の発送・受入時のエントランスのセキュリティ確保
データストレージデバイス、在庫コントロールの管理
データストレージデバイス設置エリア指定の義務づけ
秘密性を有するデータストレージデバイスの暗号化
ラップトップの暗号化
施錠可能な場所での個人情報の保管
安全なキャビネット
セキュリティーエリア内のバッグなどの事物の持ち出し禁止
データストレージデバイスの安全な削除（物理的な廃棄、反復的な上書きなど）
安全な紙の処分：施錠可能な金属製コンテナ（安全な収集容器）
コピーにかかわる規則
輸送を要するデータストレージデバイスのバックアップコピー
包装および出荷の指示
直接回収、宅配サービス、同行輸送
完全性および正確性の検査

入力の管理

収集したデータのラベリング/区分
ユーザー権限の明確化（役割/プロファイル）
ユーザー権限の差別化（データの読取り、編集、削除、データまたは機能へのアクセス制限）
組織内でのデータ入力責任者の指定
データ入力/削除の記録
改訂/検証を目的とした保存期間にかかわる規則

3. 可用性と耐用性（一般データ保護規則（GDPR）第32条1項b）

可用性の管理

データ保護およびバックアップの概念
データ保護およびバックアップの概念の定期的な見直し
サーバールームへの立入りを必要な人員に限定して許諾
サーバールームへの火災警報装置の設置
サーバールームへの自動消火システムの設置
サーバールームへの水不要の消化剤（二酸化炭素式消火器など）の設置
サーバールームでの空調
稲光/大波からの保護
無停電電源装置（UPS）
非常用電源装置
サーバールームへの水分センサーの設置
別の部屋および発火危険区域でのバックアップシステムの保管
データキャビネット、倉庫でのデータの保管
バックアップストレージメディアの復元可能性の定期的な確認
バックアップストレージメディアが将来において技術的に読取可能であるよう徹底
必要とされる保管条件でのバックアップストレージメディアの保管（空調、保護要件など）
（データ）バックアップの移転の承諾
定期的な脆弱性分析（現場保護、建物保護、ネットワークおよびITシステムへの侵入）
冗長なストレージシステム
代替のデータセンター

4. 可用性およびアクセス権の復元（一般データ保護規則（GDPR）第32条1項c）

危機または緊急時の計画（水害、火災、爆発、攻撃のおそれ、圧壊、地震など）

5. 監視、査定および評価（一般データ保護規則（GDPR）第32条1項d、第25条1項）

監視、査定および評価の手順

データ保護管理手順の明確化
事故対応管理手順の明確化
デフォルト設定によるプライバシー（一般データ保護規則（GDPR）第25条）

注文の管理

デューディリジェンス実施のもと下請業者を選定（とりわけ、データセキュリティに関する場合）
法的要件に従った契約書作成（一般データ保護規則（GDPR）第28条）
既存下請業者にかかわる記録の一元化（標準的な契約管理）
契約開始前の下請業者の現場検査
契約開始後の定期的な下請業者の現場検査（契約期間中）
下請業者のデータセキュリティ概念の検証
下請業者に関する既存の情報セキュリティ証明の調査
下請業者のデータ保護手続にかかわる改善指示
下請業者社員にデータ保護規則遵守を義務づけ