Uber のデータ処理契約について

Uber は、Uber 個人データを含む Uber 機密情報の処理に適用されるデータ処理契約（以下「DPA」）に定める条件への同意をサプライヤーに要求します。

本規約は、Uber 機密情報の機密性およびセキュリティを保護し、Uber がグローバルデータ保護法に基づく要件を満たし得るようにさせることを目的としています。かかるグローバルデータ保護法には、（サプライヤーによる Uber 個人データの処理に応じて）適当な場合、欧州連合の一般データ保護規則（「GDPR」）、ブラジルの Lei Geral de Proteção de Dados Pessoais （「LGPD」）、オーストラリアのプライバシー法、インドのデジタル個人データ保護法、米国の各州のプライバシー法（カリフォルニア州消費者プライバシー法（「CCPA」）を含みます）が含まれます。

DPA は特に次の事項を扱います。

1. サプライヤーによる Uber 機密情報の処理に関する一般的な要件および制限。データセキュリティ、データセキュリティに関わるインシデント、リスク評価と監査、データの保持と削除、副処理者の使用に関する要件および制限を含みます。
   
2. Uber 個人データの処理に関して、Uber およびサプライヤーが果たす役割の指定。
   1. DPA は特に、各当事者が次のいずれの役割を果たしているのかを指定することを両当事者に求めています。
      1. 「管理者」または「処理者」
      2. CCPA の定義するところによる「企業」、「サービスプロバイダー」、「請負業者」または「第三者」
   2. また、DPA は上記の指定に基づく各当事者の責任も明記します。

Uber の DPA についてご不明な点がございましたら、Uber の担当者にお知らせください。

UBER データ処理契約

本データ処理契約（以下「本契約」）は、サプライヤーによる以下の処理に適用される要件を定めます。(1) Uber 個人データを含む Uber 機密情報（下記第 2 条を参照）、(2) Uber 個人データ（下記第 3 条を参照）。

本契約は、Uber と会社または法主体（以下「サプライヤー」）（それぞれを個別に「当事者」とし、両者を併せて「両当事者」とします）との間の主契約および主契約に基づいて締結されるすべての追加の契約（以下「主契約」と総称）の一部を成します。

第 1 条：用語の定義

以下に定義する用語に加えて、「企業」、「請負業者」、「販売」、「販売する」、「サービスプロバイダー」および「共有」の語は、CCPA/CPRA に規定される意味を有するものとします。

1. 管理者：単独で、または他者と共同で、個人データの処理の目的および手段を決定する自然人または法人。
2. データ保護法：本 DPA に基づく Uber 個人データの処理に適用されるすべての法律および規制。
   
3. データ主体：個人データが関連する自然人。
4. データセキュリティインシデント：実際の、Uber 機密情報への不正アクセス、または Uber 機密情報の不正取得もしくは違法な処理、またはかかる Uber 機密情報またはサプライヤーもしくはその副処理者がかかるデータを処理するために使用するシステムのセキュリティもしくは完全性の侵害、またはそれらの合理的な疑い。
   
5. 削除：Uber 機密情報を物理的または論理的に破棄し、回復できないようにすること。
   
6. 発見：サプライヤーがデータセキュリティインシデントを発見する、データセキュリティインシデントについて通知を受ける、または合理的な注意を払っていればデータセキュリティインシデントを発見していたであろう事例。
   
7. 個人データ：特定のまたは特定可能なデータ主体に関する情報。
   
8. 処理：自動化された手段によるか否かを問わず、個人データまたは個人データの集合に対して行われるあらゆる操作または一連の操作（収集、記録、整理、構造化、保存、改変または変更、検索、参照、使用、送信による開示、頒布またはその他の提供、整列または結合、制限、消去または破壊など）。
   
9. 処理者：管理者に代わって個人データを処理する自然人または法人。
   
10. 副処理者：Uber 機密情報を処理するためにサプライヤーが雇う処理者。
    
11. システム：あらゆるファイルシステム、計算システム、データベース、デバイス、機器、サーバー、Web サイト、アプリケーション、ソフトウェア、ストレージメディア、ネットワーク、インフラストラクチャ、ネットワーク環境またはドメイン（すべての開発、品質保証、ステージングおよび本番環境を含みますがこれらに限定されません） 。
    
12. Uber：Uber Technologies, Inc. および Uber の子会社または関連会社。
    
13. Uber データ主体：その Uber 個人データがサプライヤーによって処理されている、または今後処理されるデータ主体。
    
14. Uber 個人データ：契約の目的のためにサプライヤーが処理する Uber データ主体の個人データ。
    
    本契約において、主契約に関連してサプライヤーとやり取りする責任を負う Uber の従業員の氏名および連絡先情報、ならびにそれらのやり取りの結果サプライヤーが偶発的に受領する個人データは、Uber 個人データに含まれません。
    
15. Uber 機密情報：Uber が所有または管理するすべてのデータ、記録または情報（Uber 個人データを含みます）のうち、本契約においてさらに詳述するとおり、本サービスに関連して、Uber によりもしくは Uber に代わってサプライヤーに開示もしくは提供され、または利用可能な状態とされる、または Uber に代わってサプライヤーにより収集、作成、維持もしくは使用されるもの。
    
16. Uber システム：Uber が所有、ライセンス、運用もしくは管理するシステム、または Uber がサプライヤーにアクセス権を付与しているシステム。

第 2 条：要件：Uber 機密情報

1. データセキュリティ：サプライヤーは、Uber 機密情報の完全性、セキュリティおよび機密性を維持するため、適切な物理的・管理上・組織的・技術的な安全対策およびその他のセキュリティ対策を維持するものとします。この対策には、少なくとも、本契約の別紙 1 に定める対策を含むものとします。
2. セキュリティマネージャー：サプライヤーは、本契約に基づくサプライヤーの義務を管理および調整し、主契約の期間を通じて Uber がそれらを利用できるようにする責任を負う個人を指名するものとします。
3. データセキュリティインシデント
   1. 調査。サプライヤーは、データセキュリティインシデントを発見した場合、サプライヤーの費用においてかかるデータセキュリティインシデントの原因、性質および侵害の範囲を完全かつ徹底的に調査し、データセキュリティインシデントの影響を是正および軽減し、Uber が適用法および社内のデータセキュリティインシデント対応プロセスを遵守するために必要とするまたは要求するすべての情報を Uber に提供するために、あらゆる合理的な措置を講じるものとします。Uber から要求があった場合、サプライヤーは、その調査と結果に関する詳細な補足報告を提供するものとします。サプライヤーは、Uber および/または Uber の調査担当者がサプライヤーのシステムおよび/または施設に速やかにアクセスするのを認めることを含め、各データセキュリティインシデントに対する調査および対応において、自身の費用負担で Uber に完全に協力するものとします。
      
   2. Uber への通知。サプライヤーは、発見から 48 時間以内に、主契約に基づき通知受取人に指定された Uber の担当者またはチームを介し、vendorsecurity@uber.com 宛てのメールで Uber に通知するものとします。サプライヤーは、かかる通知に次の事柄を記載し、その後も必要に応じてこれを補足するものとします。
      1. データセキュリティインシデントの説明。原因（特定可能な場合）、場所、日時、データセキュリティインシデントとその発見を含みます。
         
      2. データセキュリティインシデントを調査し、影響を軽減するためにサプライヤーが講じた、または今後講じるであろう措置の説明。
         
      3. そのデータが暗号化されていたか編集されたかを含め、影響を受けた Uber 機密情報の種類と量。
         
      4. 影響を受けたすべての Uber データ主体の人数、場所（州/国）および身元（該当する場合）。適用されるデータ保護法で義務付けられている場合、影響を受けた Uber データ主体のうち子ども、青年または高齢者の人数を含む。
         
      5. データセキュリティインシデントによって予想される結果。
         
      6. かかる結果を軽減し、Uber 機密情報をさらに保護するためにサプライヤーが講じた、または講じる予定の対策の説明。
         
      7. データセキュリティインシデントに対応して行うサプライヤーの是正措置計画。
   3. 第三者への通知。サプライヤーは、データ主体、規制機関、またはその他の第三者に対して、法律で要求される通知（以下「必須通知」）を行うにあたり Uber を支援するものとします。そのような場合、（i）Uber は、法律で別途義務付けられている場合を除き、かかる通知の内容、時期および配信方法につき単独で決定権を持ちます。（ii）サプライヤーは、適用法で別途義務付けられている場合を除き、Uber があらかじめ書面にて承認および指示した場合にのみ、必須通知を伝達することができます（この場合、法律で別段の義務を課されていない限り、サプライヤーは可能な限り速やかに、かつ、いかなる場合も通知の伝達に先立ち、Uber にかかる通知の写しを提出するものとします）。（iii）サプライヤーは、サプライヤーがデータセキュリティインシデントについて全面的または部分的に責任を負う場合、上記の通知に関連して Uber が負担した合理的な費用のすべてを Uber に払い戻すものとします。
      
   4. 開示禁止。サプライヤーは、Uber があらかじめ書面で同意した場合を除き、Uber に関連するデータセキュリティインシデント、Uber 機密情報、Uber データ主体または Uber システムの存在またはそれらに関する情報を、一切（政府当局に対しても）開示しないものとします。
      
   5. 軽減と改善。サプライヤーは速やかに、不当に遅延することなく（i）データセキュリティインシデントを発生させた、またはその原因となったすべての脆弱性、アクティビティおよびその他の状況を抑制し、（ii）必要および適切なすべての是正措置を取るものとし、かかるデータセキュリティインシデントを軽減および是正するため、Uber に対し合理的な協力を行います。
      
   6. 一般からの問い合わせ。サプライヤーは、データセキュリティインシデントに関連するメディア、報道機関、またはその他の一般市民からの問い合わせ、質問、またはその他の要求（以下「一般からの問い合わせ」）を管理し、これらに対応する責任を負うものとします。サプライヤーは、一般からの問い合わせの管理および対応を担当する 1 人以上の担当者を指名し、要求があればこれら担当者全員の氏名と連絡先情報を Uber に提供するものとします。
      
4. データの保持および削除：サプライヤーは、（i）主契約の解除もしくは満了の場合、（ii）サプライヤーが事業を縮小し、もしくは支払不能に陥った場合、（iii）主契約に基づく義務を履行するのに必要ではなくなった場合、または（iv）Uber から要求があった場合、自身が占有、保管および管理するすべての Uber 機密情報を速やかに（Uber の選択に従い）削除または Uber に返却するものとします。
   
5. リスク評価
   1. サプライヤーは、発効日までに Uber が実施する情報セキュリティリスク評価（以下「リスク評価」）を完了し、合格するものとします。
      
      サプライヤーは初回のリスク評価後、Uber の要求に応じて、年 1 回を上限として、または次のいずれかの場合にリスク評価を完了するものとします。（i）サプライヤーが、初回もしくは最新の評価の際に範囲外であった追加の製品やサービスを Uber に提供し始めた、または、かかる追加の Uber 機密情報を処理し始めた場合、（ii）Uber 機密情報の処理の性質もしくは目的が変わった場合、（iii）サプライヤーが、欧州経済領域（「EEA」）に所在する Uber データ主体の Uber 個人データを EEA 外に移転し始めた、または Uber 個人データを、初回もしくは最新の評価の際に範囲外であった別の第三国へ移転し始めた場合、（iv）サプライヤーが Uber 機密情報の処理に対し、当該データのセキュリティもしくは本契約を遵守するサプライヤーの能力に影響を及ぼす可能性のある重大な変更を加えた場合、（v）Uber がデータ保護法もしくはその他のデータセキュリティコンプライアンス義務を遵守するために、合理的な理由により評価が必要である場合、（vi）Uber が管理責任もしくはその他の法律上の義務を伴う要求、命令もしくは和解を遵守するために、合理的な理由により評価が必要である場合、または（vii）データセキュリティインシデントが発生した場合。
      
   2. 要件。サプライヤーは、リスク評価を完了するために合理的に必要となるすべての情報を Uber に提供するものとします。かかる情報には、リスク評価アンケート、情報セキュリティポリシー・手順、データ分類・取り扱いポリシー・手順、業界で認められた枠組み（ISO、SSAE16、SOC、NIST など）に照らしてサプライヤーの情報セキュリティプログラム・システム・内部統制・Uber 個人データの処理に関連する手順の有効性を評価するデータセキュリティコンプライアンスレポートまたは監査レポート、および、Uber がサプライヤーの情報セキュリティプログラム・管理体制・Uber 機密情報の処理を評価するために必要とするその他の情報が含まれます。また、かかる情報には、サプライヤーによる Uber 個人データの処理に関する詳細情報（データの種類、処理の目的、Uber データ主体の種類および人数、処理の場所、副処理者、ならびにデータ保持が含まれます）も含まれます。サプライヤーのポリシー、手順、またはその他の文書の写しを Uber に提供するか、双方が合意した画面共有アプリケーションを介して提示することができます。
      
   3. 監査ログ。サプライヤーは、違法、不正または不適切なシステムアクティビティの監視、分析、調査および報告を可能にし、情報システムの個々のユーザーの行為を個別に当該ユーザーまで追跡することで各ユーザーに自身の行為の責任を負わせ、データセキュリティインシデントの適切な調査を可能にするために必要な範囲で、情報システムの監査ログおよび記録（アプリケーションログ、アクセスログ、認証ログ、ネットワークログ、エンドユーザーデバイスログ、セキュリティシステムログを含みます）を維持するものとします。
6. 監査。
   1. 監査。サプライヤーは、Uber が書面による合理的な事前通知を行った上で、営業時間内に、自己の費用負担でサプライヤーの施設、ネットワーク、システム、手順、Uber 機密情報の処理および本契約の遵守を監査することを認めるものとします。Uber は年に 1 回を上限としてこの権利を行使できます。ただし、データセキュリティインシデントが発生した場合や、データ保護法またはその他の法律上の義務を遵守するために必要な場合はこの限りではありません。
   2. 監査の要件。サプライヤーは、知識のある人員、該当する物理的施設、文書、インフラストラクチャ、および Uber 機密情報を処理する、またはその他の方法で Uber の施設、ネットワーク、システム、手順にアクセスし得るアプリケーションソフトウェアを利用可能とすることにより、前項に定める監査に対して合理的な協力を行うものとします。Uber は、かかる監査の費用および経費（または監査を実施する第三者の手数料および費用）を負担するものとします。ただし、かかる監査で本契約を含む主契約の重大な違反が判明した場合、または主契約の重大な違反が理由で監査が開始された場合はその限りではなく、その場合には、サプライヤーは上記の費用および経費を Uber に払い戻します。サプライヤーは、かかる監査で明らかになったすべての問題に速やかに対処し、これを是正します。
7. 副処理者
   1. 許可された副処理者。サプライヤーは、リスク評価において特定された者以外の副処理者に、Uber 機密情報を処理させてはならないものとします。サプライヤーが他の副処理者を雇おうとする場合、処理の少なくとも 30 日前までに、Uber 機密情報を処理する目的も含めて Uber に通知するものとします。Uber がかかる雇用に異議を申し立てなければ、Uber はかかる雇用を承認したものとみなされます。
      
   2. 副処理者の義務。サプライヤーは、Uber 機密情報の処理に先立ち、各副処理者との間で、本契約に基づきサプライヤーに課される義務と同等以上に厳格であり、少なくとも同等の保護を Uber 機密情報に与えるような義務を課す契約を締結するものとします。Uber はかかる契約の写しを要求することができ、サプライヤーがかかる契約を提供しない場合、またはかかる契約が Uber 機密情報の十分な保護を含まない場合、かかる副処理者の使用への同意を差し控えることができます。サプライヤーはかかる契約を Uber と共有する前に、企業秘密または機密情報を保護するために必要な範囲で、当該契約を編集することができます。
      
   3. 副処理者のデータ保護法の遵守。サプライヤーは、副処理者が Uber 個人データを処理するにあたり、適用されるデータ保護法を遵守するよう取り計らう責任を負います。
      
   4. 責任。サプライヤーによる副処理者の使用は、本契約に基づくサプライヤーの責任に影響する、またはこれを制限するものではありません。
8. 補償：会社は、主契約に別段の定めがない限り、会社による Uber 個人データの紛失、改変もしくは悪用、Uber 個人データの不正アクセス、破棄もしくは開示、または会社による本 DPA 第 4 条の違反に何らかの形で起因または関連する申立から生じるすべての損失、損害、料金および経費を全面的に補償し、これらの損失等から Uber、その取締役、役員、従業員および代理人を防御し、かかる Uber 等を免責することに同意します。
9. 大量の米国人の機微個人データの移転制限
   1. 定義：本第 2 条第 8 項において：
      1. 「アクセス」、「大量」、「大量の米国機微個人データ」、「懸念国」、「対象データ取引」、「対象者」、「データブローカー業務」、「政府関連データ」、「機微個人データ」および「米国人」という用語は、米国司法省機微データ規則（28 CFR Part 202）で付与された意味を有します。
         
      2. 「対象データ」とは「大量の米国機微個人データ」および/または「政府関連データ」を指します。
         
      3. 「対象エンティティ」とは「対象者」または「懸念国」を指します。
   2. サプライヤーが主契約に関連して対象データへのアクセスを提供される場合、サプライヤーは以下を表明および保証します。
      1. 自身が対象エンティティではないこと。
         
      2. 対象エンティティとの間で、かかるデータのデータブローカー業務を伴う対象データ取引に関与しないこと。
         
      3. Uber が明示的に許可する場合、または 28 CFR Part 202 によって別途許可される場合を除き、（A）対象エンティティがかかる対象データにアクセスするのを許可しないこと、および（B） 副処理者が対象データへのアクセスを対象エンティティに提供するのを禁止すること。
         
      4. 28 CFR Part 202 に関連して Uber が展開する暗号化、マスキング、非識別化、またはプライバシー強化戦略もしくはセキュリティ管理を回避せず、回避しようと試みないこと。
         
      5. Uber により実施される調査に伴う場合を含め、Uber が本第 2 条第 8 項または 28 C.F.R. part 202 の遵守に関連して合理的に要求する情報を、Uber に提供すること。
         

第 3 条：要件：Uber 個人データ

1. 両当事者の役割：主契約に別段の定めがない限り、両当事者は、Uber が主契約に関連して処理される Uber 個人データの管理者であること^[1]と、サプライヤーがかかる処理に関して処理者および/またはサービスプロバイダーであることを了承し、これに同意します。
2. 一般要件：サプライヤーは、以下を認め、これに同意します。
   1. Uber 個人データの処理に関して、適用されるデータ保護法に基づくすべての要件を理解し、遵守すること。
   2. 適用されるデータ保護法に基づく義務を自身が履行できなくなったと判断した場合、法律で別段の義務が課される場合を除き、Uber に通知すること。かかる通知の受領後、Uber は、サプライヤーによる Uber 個人データの処理を中止し、かかる処理によって生じる Uber データ主体へのリスクを修正するための合理的で適切な措置を講じる場合があり、サプライヤーは、かかる措置に関連して Uber を合理的に支援するものとします（該当する場合、かかる処理の中止を含みます）。
      
   3. 両当事者が別途書面で合意した場合を除き、主契約に基づく義務を履行するために必要でない限り、いかなる目的のためにも、Uber 個人データを貸与、販売、共有もしくは開示せず、他のデータと組み合わせず、またはその他の処理を行わないこと。
      
   4. サプライヤーに提供された、またはサプライヤーによって収集された匿名化データを使用して、Uber データ主体の再特定を試みないこと。
      
   5. サプライヤーの従業員に Uber の個人データを処理させないこと。ただし、その従業員が Uber 個人データの機密性を維持することに同意している場合、または当該従業員が Uber 個人データの機密性を維持するよう法律で義務付けられている場合を除きます。
3. 処理者/サービスプロバイダー/請負業者の要件：サプライヤーが主契約において処理者、サービスプロバイダー、または請負業者に指定されている場合、サプライヤーは、その指定に従って処理する Uber 個人データに関連して、以下の記載事項に従います。
   
   1. 処理業者および/またはサービスプロバイダーに指定されている場合、（a）法律で別途義務付けられる場合を除き、Uber の書面による指示に従い、指定された資格でのみ Uber 個人データを処理します。（b）自己の目的、または副処理者もしくはその他の第三者の目的（機械学習モデル、人工知能システムまたはそれらに類する技術をトレーニング、開発または改良する目的を含みます）のために、Uber 個人データをコピーまたは複製してはなりません。
      
   2. サプライヤーによる個人データの処理との関連で、合理的かつ適切な範囲で、Uber が次の事柄を行うのを支援します。
      1. GDPR 第 32 条から第 36 条に基づく Uber の義務（適切な場合）、または他の適用されるデータ保護法に基づく類似の義務を履行すること。
         
      2. 適用される GDPR の第 28 条を含む、適用されるデータ保護法の遵守を実証すること。
         
   3. Uber が、サプライヤーが適用されるデータ保護法に基づく自身の義務に沿った方法で Uber 個人データを使用するよう取り計らうための、また、Uber 個人データの不正使用を停止および是正するための、合理的で適切な措置を取ることを認めます。
      
   4. 法律で別途義務付けられる場合を除き、Uber データ主体、またはサプライヤーもしくは Uber に対する権限を有する政府機関もしくは規制機関から、サプライヤーによる Uber 個人データの処理に関する要請があった場合、速やかに Uber に通知し、かかる要請または要求への対応において Uber に協力します。
4. 管理者の要件：サプライヤーが主契約において管理者に指定されている場合、サプライヤーは以下を了承し、これに同意します。
   1. 自身がデータ保護法に基づく Uber 個人データの独立した管理者であること。
      
   2. 自身による Uber 個人データの処理の目的および方法を決定すること。
      
   3. 自身による適用データ保護法の遵守につき責任を負うこと。これには、データ主体に、彼らの個人データが処理されることおよび彼らの権利の行使方法を通知し、必要な同意を得ることが含まれます。
      
   4. Uber 個人データの処理に関して、データ保護法に基づき自身に適用される義務を遵守すること。
5. 越境移転：サプライヤーによる個人データの処理に、Uber データ主体の個人データの移転が含まれる場合：
   1. サプライヤーは、かかる移転に適用されるすべてのデータ保護法を遵守するものとします。
      
   2. その個人データが移転される Uber データ主体の所在地に基づき適用される範囲で、本契約の付録 2 に定める要件を遵守すること。

第 4 条：雑則

1. 発効日：本契約は、主契約の締結日をもって発効します。
2. 終了および存続：主契約における別段の規定にかかわらず、本契約および本契約のすべての条項は、サプライヤーが Uber 機密情報を処理または保持している限り存続するものとします。
   
3. コンプライアンス違反。サプライヤーは、本契約を遵守できない場合、速やかに Uber に通知するものとします。サプライヤーが合理的な期間内に遵守できない場合、またはサプライヤーが本契約もしくは本契約に基づく義務に重大な形でもしくは恒久的に違反している場合、Uber は、Uber 機密情報の処理に関連する限り、本契約および主契約を解除できるものとします。ただし、第 2 条第 9 項の違反は重大な違反とみなされ、Uber は主契約をただちに解除する権利を有するものとします。
4. 無効な条項。本契約の個々の条項が無効である、または無効となった場合、残りの条項の有効性は影響を受けないものとします。両当事者は無効な条項を、所期の商業上の意図を可能な限り達成できる法的に許容される条項に置き換えるものとします。
   
5. 抵触。本契約が（i）主契約と抵触する場合は本契約が優先されるものとし、（ii）Uber とサプライヤーとの間の HIPAA に基づくビジネスアソシエイト契約（以下「BAA」）と抵触する場合は BAA が優先されるものとします。
   
6. 適用法および裁判管轄。主契約に定められた適用法および裁判管轄が、本契約に適用されます。

別紙 1
組織的な/管理上の、物理的および技術的な措置

1. 組織的な/管理上のセキュリティ対策：サプライヤーは、以下を実装しており、Uber 機密情報の処理を行う間、必要に応じてこれらを維持および更新します（かかる更新によって、Uber 機密情報の保護のため用いられる安全対策が削減され、効力が低下しない場合に限ります）：
   1. 本サービスについて定めるポリシー、実務および手順から成る包括的な情報およびネットワークセキュリティプログラム（以下総称して「データセキュリティプログラム」）であって、（i）最新のベストプラクティスに合致しており、（ii）適用されるすべてのデータ保護法を遵守しており、（iii）適切な範囲でペイメントカード業界データセキュリティ基準（PCI DSS）を遵守しており、（iv）ISO 27000、NIST 800-53、CIS top 20 または HITRUST のセキュリティ基準を遵守しまたはこれらに準拠しており、（v）当てはまる範囲で、米国司法省機微データ規則（28 CFR Part 202）を遵守しているもの。サプライヤーは、要求に応じて、そのデータセキュリティプログラムの文書を Uber が利用できるようにするものとします。
   2. データセキュリティインシデントのリスクを検出、防止、および軽減することを目的とする、文書化されたデータ喪失防止プログラム。少なくとも次の各号を含むものとします。
      1. Uber 機密情報の喪失を防ぐための適切なポリシーおよび技術的管理手段。
      2. Uber 機密情報の継続的アクセス、メンテナンスおよび保管、ならびにバックアップサイトおよび代替通信ネットワークのセキュリティニーズに対応する災害復旧/事業継続計画。
   3. Uber 機密情報へのアクセスを、主契約に関連する役割および職務を遂行するために当該アクセスを必要とする者に限定するポリシーおよび手順。
   4. 効果的な認証方法を通じてすべてのアクセス権を確認する手順。
   5. Uber 機密情報へのアクセス権を持つサプライヤーの処理者または副処理者の情報セキュリティリスク評価を、少なくとも 2 年に 1 回実施するためのプロセス。かかる処理者/副処理者は、本契約における要件と同等以上に手厚く Uber 機密情報を保護する情報セキュリティ管理手段を備えるものとします。Uber は、サプライヤーが副処理者に対して行ったかかるリスク評価の写しを要求することができ、評価の結果、副処理者が Uber 機密情報を保護するのに十分な情報セキュリティ管理手段を備えていないことが判明した場合、かかる副処理者を使用することへの同意を差し控えることができます。
   6. サプライヤーの従業員を対象としたセキュリティ意識向上プログラム。これには、セキュアデータの取り扱い、パスワードおよび認証情報の保護、ソーシャルエンジニアリング、潜在的なセキュリティインシデントの特定および報告の方法など、情報セキュリティのトピックに関する定期的なトレーニングが含まれます。
   7. 業界標準のリスク評価プロセスを活用し、発見された脆弱性の修正に優先順位を付ける継続的な脆弱性管理プログラム。Uber 機密情報の機密性、可用性、または完全性に影響を与える可能性のある脆弱性が検出された場合、サプライヤーは要求に応じて、脆弱性が修正されたことを示し、Uber がデータセキュリティインシデントが発生したかどうかを判断できるようにするための十分な証拠を提供するものとします。
   8. Uber 機密情報が処理されるデバイス/システムの資産分類および在庫管理を含む、業界標準のセキュリティベースラインを実施する安全な資産管理プログラム。
   9. データセキュリティインシデントを適時に検出、特定、報告、対応、軽減および是正するための正式な書面のプロセス。これには、システム管理者を含むサプライヤーの従業員が、異常なイベントをインシデント処理チームおよびサプライヤーに報告し、必要または要求に応じて、影響を受ける個人および法主体、規制当局、ならびにその他の一般市民に通知させるためのプロセスが含まれます。
   10. 定期的に計画および実施される、インシデントのシミュレーション（テーブルトップ演習やレッドチーム演習など）。
   11. クライアントベースの攻撃や Web アプリケーションなどの全範囲の混合攻撃を含む、ペネトレーションテスト用の確立されたプログラム。
   12. 基本的なセキュリティ設定および保護を可能にするための、クラウドサービス向けのガバナンスおよびリスク管理プログラム。
   13. 使用するプログラム言語に応じたコーディング慣行を確立し、全従業員に安全なコードを記載するためのトレーニングを提供します。
   14. かかるアクセスが法律により要求される場合や、個人への重大な被害の差し迫ったリスクがある場合を除き、政府によるデータへのアクセスを拒否する政府機関データアクセスポリシー。
   15. 政府機関からのデータ開示要求の法的根拠を評価し、かかる要求に対応するためのポリシーと手順。
   16. 政府機関からのデータアクセス要求を管理する責任者を対象とする個別のトレーニング。これには、適用されるデータ保護法に基づく要件が含まれる場合があります。
   17. 政府機関からのデータ要求、行った回答、および関連する政府当局を文書化および記録するためのプロセス。
   18. 法律で禁止されていない限り、政府機関のデータアクセス要求または要件について Uber に通知するための手順。
2. 物理的なセキュリティ対策
   1. サプライヤーは、Uber 機密情報を処理するために使用する施設に対して適切な物理的セキュリティ対策を実装しており、今後も必要に応じて、Uber 機密情報の処理が続く限り、かかる対策を維持および更新します。また、物理的インフラストラクチャ、事業、および既知の脅威に変更がないかを継続的に監視します。
3. 技術的なセキュリティ対策：サプライヤーは、Uber 機密情報の処理を行っている間、以下を行うものとします。
   1. Uber 機密情報を処理するために使用するアプリケーションおよびインフラストラクチャの脆弱性スキャンと評価を実施します。
   2. 不正アクセスを防止するため、多要素認証を含む複数の層のアクセス制御を使用してコンピューターネットワークを保護します。
   3. 経営陣の承認、強固な管理、記録、アクセスイベントとその後の監査のモニタリングなどの仕組みを通じて、アクセスを制限します。
   4. データセキュリティインシデントが発生したか否か、およびデータセキュリティインシデントの起こり得る結果をサプライヤーが判断するのに十分なほど詳細なイベントログ（Uber 機密情報がアクセスされ、取得され、変更されまたは削除されたか否かを含みます）を、Uber 機密情報を処理するすべてのシステムにつき導入および維持します。これらのイベントログは、少なくとも 13 か月保持され、Uber から要求があれば 7 暦日以内に提供される必要があります。ログに他の法主体または顧客に関連するイベント情報が含まれる場合、サプライヤーは要求に応じて Uber のイベントログデータを分離できる必要があります。
   5. セキュリティイベントの監視と記録を保証する他のコンピューターシステムとアプリケーションを特定し、ログファイルを合理的に管理します。
   6. 継続的で自動化されたモニタリングおよびアラートプロセスを使用してイベントログを確認および分析することで、異常なイベントやアクティビティを検出して対応し、調査します。
   7. Uber 機密情報を処理するすべてのシステムで、悪意のあるコードを特定する、最新の業界標準の商用ウイルス/マルウェアスキャンソフトウェアを使用します。
   8. ネットワーク境界およびネットワーク間の保護を強化します。
   9. 移転中には Uber 機密情報を暗号化します。
   10. 保管中の Uber 機密情報を暗号化し、すべての暗号化キーを単独で管理および保護します（すなわち、処理者または副処理者を含む他の第三者がこれらの暗号化キーにアクセスすることはできません）。

別紙 2
越境移転

両当事者による別途の合意がない限り、この別紙 2 では、データ保護法により要求される場合に両当事者が国境を越えた個人データの移転を可能にするために使用する仕組みを定義します。具体的には、本サービスが以下の国の Uber データ主体の個人データの移転を必要としており、両当事者が以下に同意する場合：

1. EEA またはスイス。サプライヤーのサービスが、EEA またはスイスの Uber データ主体の個人データを、これらの地域外の、十分なレベルのデータ保護を提供していないと欧州委員会に認識されている国または地域へ移転することを伴う場合、本契約において両当事者が別段の合意を行っていない限り、両当事者は、欧州委員会の承認を受けた 2021 年 6 月 4 日付の標準契約条項（以下「SCC」）を本契約に組み込み、これを遵守することに同意するものとします。SCC が上記のように本契約に組み込まれた場合：
   1. サプライヤーが管理者に指定された場合、モジュール 1（管理者から管理者への移転）が適用されます。
   2. サプライヤーが処理者に指定された場合、モジュール 2（管理者から処理者への移転）が適用されます。
   3. 任意のドッキング条項（第 7 条）は適用されないものとします。
   4. 第 11 条（救済）に含まれる任意の文言は適用されません。
   5. 第 17 条（準拠法）における準拠法はオランダ法とします。
   6. 両当事者が主契約で別段の合意をしていない限り、第 18 条（裁判地および裁判管轄の選択）に基づく裁判所はオランダの裁判所とします。
   7. 両当事者が主契約で別段の合意をしていない限り、SCC の第 13 条（監督）における管轄監督当局はオランダデータ保護局（Autoriteit Persoonsgegevens）です。
   8. 両当事者は、主契約の目的で Uber 個人データの移転先となるいずれの国においても、法律および慣行が、サプライヤーが SCC に基づく義務を履行する妨げとはならないと考えていることを表明します。
   9. 両当事者は、SCC の付属書 1 に代わって、以下のとおり合意します。
      1. データ輸出者である Uber とデータ輸入者であるサプライヤーの ID および連絡先情報は、主契約および本契約に記載されたとおりです。
         
      2. 処理の性質および目的は、本サービスのためであるか、または主契約もしくは本契約に別途規定されるとおりです。
      3. 移転される Uber 個人データは、主契約または本契約で規定するとおり、サプライヤーによって保持されます。
      4. Uber データ主体および移転される Uber 個人データのカテゴリは、Uber 個人データの処理に先立って実施されたリスク評価で文書化されたカテゴリです。
      5. 両当事者は、SCC の付属書 2 に代わり、本契約の別紙 1 を遵守することに同意します。
      6. SCC の付属書 3（適用される場合）に代わって、両当事者は、Uber 個人データの正式な副処理者が、Uber 個人データの処理に先立って実施されたリスク評価で特定された、または本契約もしくは主契約で別途規定された者であることに同意します。
2. 英国：サプライヤーのサービスが、英国の Uber データ主体の個人データを、十分なレベルのデータ保護を提供していないと認識されている法域へ移転することを伴う場合、SCC は、2018 年英国データ保護法 119A に基づいて情報コミッショナーオフィスが発行した「EU 標準契約条項の英国補遺」（以下「英国補遺」）の規定に反しない範囲で適用されます。かかる英国補遺は必要に応じ、本契約の 第 3 条 5 項 (b) に基づいてサプライヤーと Uber との間で締結されたものとみなされます。
3. ブラジル：サプライヤーによる個人データの処理が、ブラジルの Uber データ主体の Uber 個人データの国境を越えた移転（両当事者間の移転であるか第三者への移転であるかを問いません）を伴う場合、サプライヤーは、適用されるすべてのデータ保護法の遵守（標準契約条項またはその他の法律上要求される法的文書など、適切な法的メカニズムの導入を含みます）を確保し、処理にあたって、少なくとも本契約に定めるものと同等の個人データへの保護および安全対策が提供されるように取り計らうものとします。
   1. ブラジルの Uber データ主体の個人データの、両当事者間での越境移転。個人データの処理が、ブラジルの Uber データ主体の Uber 個人データを、十分なレベルのデータ保護を提供していないと管轄当局に認識されている国または地域へ国境を超えて両当事者間で移転することを伴う場合、両当事者は、次のリンクで入手できる、ブラジルデータ保護当局により発行された 2024 年決議第 19 号の付属書 II に含まれるブラジル標準契約条項を、その全文が本契約に明記されている場合と同様に本契約の一部とし、これを遵守することに同意します。ブラジル標準契約条項。その場合：
      1. 国境を越えた個人データの移転にあたって、Uber またはその関連会社は、データ処理者とみなされます。
      2. ブラジル SCC の第 1 条第 1 項に含まれる情報一覧表は、主契約、本契約、および各当事者のプライバシー通知に記載された Uber およびサプライヤーの資格要件および連絡先情報に置き換えられます。
      3. ブラジル SCC の第 1 条第 1 項に含まれるチェックボックスのうち、両当事者の役割に関して、「輸出者/管理者」のチェックボックスを Uber について選択したものとみなされます。サプライヤーについては、本契約の第 3 条第 1 項（「当事者の役割」）に基づく、または主契約に規定するサプライヤーの分類に対応する「輸入者」のチェックボックスが選択されたものとみなされます。
      4. 両当事者は次のとおり同意します。（i）Uber 個人データの国境を越えた移転の主な目的が、主契約または本契約に定めるサービスの履行であること。（ii）移転される Uber 個人データが、主契約または本契約に定めるとおり、適用されるデータ保護法および各当事者のプライバシー通知に従って保持されること。（iii）Uber データ主体および移転されるそれぞれの Uber 個人データのカテゴリが、かかる個人データの処理に先立って実施されたリスク評価で文書化されたカテゴリであること。この情報は、ブラジル SCC の第 2 条第 1 項に含まれるデータ移転の説明表を置き換えるものです。
      5. 転送について定めるブラジル SCC の第 3 条第 1 項において、両当事者は、両当事者が管理者を務める場合にオプション A が適用されることに同意します。サプライヤーが処理者を務める場合、オプション B が適用されるものとし、第 3 条第 1 項に含まれる説明表は、サプライヤーが Uber 個人データの処理に先立って実施したリスク評価によって、または主契約の定めに従い置き換えられます。
      6. 両当事者の責任について定めたブラジル SCC の第 4 条第 1 項において、両当事者は、オプション A が適用されること、ならびに両当事者が管理者を務める場合、輸出者も輸入者も第「a」号、第「b」号および第「c」号に定める義務を履行する責任を負うことに同意します。サプライヤーが処理者を務める場合、かかる義務は Uber 単独の責任となります。
      7. ブラジル SCC のセクション III に含まれる表は、本契約の別紙 1 に置き換えられます。
   2. サウジアラビア。サプライヤーによる個人データの処理が、サウジアラビアの Uber データ主体の Uber 個人データを、十分なレベルのデータ保護を提供していないと管轄当局に認識されている国または地域へ移転することを伴う場合、両当事者は、本契約において両当事者が別段の合意を行った場合を除き、サウジ・データ・AI 庁（SDAIA）により承認された 2024 年 9 月 個人データの移転に関する標準契約条項 バージョン 1.0（以下「KSA SCC」）を本契約に取り込み、これを遵守することに同意します。SCC が上記のように本契約に組み込まれた場合：
      1. テンプレート 1：（管理者から管理者への移転）は、サプライヤーが管理者に指定された場合に適用されます。
      2. テンプレート 2：（管理者から処理者への移転）は、サプライヤーが処理者に指定された場合に適用されます。
      3. 第 8 条（準拠法および裁判管轄）で言う準拠法とは、サウジアラビア王国の法律とします。本条項の規定の適用に起因する紛争は、同王国の管轄下にあり、その裁判所に帰属するものとします。
      4. 第 9 条（管轄当局の要求の遵守）で言う管轄当局とは、サウジ・データ・AI 庁（SDAIA）とします。
      5. 両当事者は、主契約の目的で Uber 個人データの移転先となるいずれの国においても、法律および慣行が、「個人データの輸入者」であるサプライヤーが KSA SCC に基づく義務を遵守および履行する妨げとはならないと考えていることを表明します。
      6. 付属書 1 において、両当事者の情報は、本契約および主契約に規定するとおりです。Uber は Uber データ主体の個人データの個人データ輸出者および管理者に指定され、一方、サプライヤーは Uber データ主体の個人データの個人データ輸入者に指定され、本契約第 3 条 1 項「両当事者の役割」に記載される役割を果たします。
      7. 付属書 2 において、両当事者は次のとおり同意します。
         1. Uber データ主体および移転される Uber 個人データのカテゴリは、Uber 個人データの処理に先立って実施されたリスク評価で文書化されたカテゴリです。
         2. 移転の目的は、本サービスのためであるか、または主契約もしくは本契約に別途規定されるとおりです。
         3. 移転される Uber 個人データは、主契約または本契約で規定するとおり、サプライヤーによって保持されます。
         4. KSA SCC の付属書 3 に代わり、両当事者は、本契約の別紙 1 を遵守することに同意します。

1. お住まいの地域における Uber 機密情報の管理者の決定については、Uber プライバシー通知を参照してください。指定された管理者以外の事業体が Uber を代表して本契約を締結する場合、該当するデータ管理者から契約締結の権限が付与されています。Uber は、本契約についてのデータ管理者として、別の Uber 関連会社を指名する権利を有します。 ↑