本AppLovinデマンドデータ処理契約

Overview

AppLovin provides this translation as a courtesy. In the event of any conflict with the English version, the English version controls.

発効日: 2023年8月1日

本AppLovinデマンドデータ処理契約(以下「DPA」)は、https://www.applovin.com/termsにて確認可能なAppLovinの利用規約や、AppLovin Corporation(以下「AppLovin」)とユーザーの間で(契約が異なるAppLovin関連会社とのものであっても)適用されるオフライン契約(以下、「契約」)に組み込まれ、これに従うものとします。お客様が本サービスを利用する限りにおいて、お客様は、該当する本契約を受諾または締結した時点で、本DPAに同意したものとみなされます。 

  1. 適用範囲
    1. 両当事者は、適用されるデータ保護法の遵守を保証する目的で、本DPAを締結することに同意するものとします。ユーザーは、ユーザーおよび自らが承認した関係者を代表して、本DPAを締結するものとします。AppLovinは、ユーザーによる本サービスの利用を通じて個人データを開示することがあり、本規約に定める相互の義務を考慮し、両当事者は、本サービスに関連して処理される個人データに関して、以下の規定を遵守することに同意するものとします。以下に修正された場合を除き、本契約の条項は引き続き完全に効力を有するものとします。 
  2. 定義 

    契約および上記で定義された用語に加え、以下の用語は本DPAにおいて以下の意味を有するものとします。

    1. 適切な管轄」とは、EU一般データ保護規則(General Data Protection Regulation、以下GDPR)が適用される場合は欧州委員会が、英国GDPRが適用される場合は英国個人情報保護監督機関により決定された、個人データの処理に関連するデータ主体の権利と自由に対する適切なレベルの保護を保証する国を意味します。
    2. 関係者/関連会社」とは、直接的または間接的に当事者を管理する、あるいは当事者に管理または当事者と共通の管理下にある個人または法人を意味します。
    3. 承認された附則」とは、英国個人情報保護監督機関(International Commissioner’s Office、以下ICO)が発行し、2022年2月2日に、2018年データ保護法(Data Protection Act 2018)のs119Aに従って英国議会に提出されたテンプレート附則(バージョンB.1.0)であり、当該附則の第18条に基づいて改訂されたものを指します。
    4. CCPA」とは、カリフォルニア州民法における2018年カリフォルニア州消費者プライバシー法(California Consumer Privacy Act of 2018) 第1798.100条以下、および2020年カリフォルニア州プライバシー権法(California Privacy Rights Act of 2020)(以下「CPRA」)などにより随時改正される全ての施行規則を指します。
    5. データ保護法」とは、EUのデータ保護法、CCPA、ブラジルの2018年一般データ保護法 No. 13,709(Lei Geral de Proteção de Dados Pessoais、以下「LGPD」)、および本サービスに関連する当事者の個人データ処理に適用される範囲で、個人データの処理に関して自然人のプライバシーの権利を保護するその他の法令を指します。
    6. データ主体の権利」とは、データ保護法に基づきデータ主体に与えらえた権利を意味します。
    7. EUデータ保護法」とは、GDPR、eプライバシー指令、国家の施行法令、およびスイス連邦データ保護法(Swiss Federal Data Protection Act)を指します。
    8. GDPR」とは、欧州議会と欧州理事会のEU一般データ保護規則 2016/679(EU General Data Protection Regulation 2016/679)(以下「EUのGDPR」)、および該当する場合は、2019年のデータ保護、プライバシーおよび電子通信(改訂等)規則(Data Protection, Privacy and Electronic Communications Regulations)に定義される「英国GDPR」を指します。
    9. 加盟国」とは、欧州経済領域の加盟国、およびスイスとイギリスを意味します。
    10. SCC」とは、(a) 欧州連合から、欧州連合が適切な管轄であるとみなしていない第三国へのデータ移転に関しては、委員会実施決定(EU) 2021/914(Commission Implementing Decision (EU) 2021/914)に付属する標準契約条項(Standard Contractual Clauses)のモジュール1(管理者から管理者へ)(以下、「EUのSCC」)、(b) イギリスからのデータ移転に関しては、承認された附則の必須条項 第2編(以下、「英国必須条項」)によってさらに改正されたEUのSCCのモジュール1(管理者から管理者へ)に加え、EUのSCCに対するその他の必要な整合的変更(以下、総称して「英国SCC」)、および(c) 欧州委員会、英国個人情報保護監督機関、その他の該当するデータ保護当局、または権限および管轄を有するその他の機関が随時発行する、GDPRのデータ移転要件に関する更新、改訂、または別個の条項を指します。
    11. 共有個人データ」とは、ある当事者が契約の履行に関し、他の当事者(該当の「他の当事者」を、本定義において「共有当事者」とする)から個人データを受け取った範囲内で処理した個人データのことを指します。明確にするために記すと、共有当事者が受領当事者に対し、当該個人データへのアクセスを許可した場合、当事者は共有当事者から個人データを「受領」したものとみなされます。
    12. 透明性に関する通知」は、第3.2条(a)で定義される意味を有します。
    13. 管理者」、「処理」、「処理者」、「データ主体」、および「個人データ」の語は、EUのデータ保護法に定められる意味を有するものとします。本2.13条において太字で記載された語が表す概念と同様の概念を表すために、データ保護法が異なる語を使用している場合、「管理者」、「処理」、「処理者」、「データ主体」、および「個人データ」は当該のデータ保護法において当該の異なる語に割り当てられている意味を有するものとします。
  3. データ処理、独立した管理者
    1. AppLovinおよびユーザーは、(a) 共有個人データに関し、独立した管理者であり、(b) 個人データの処理の目的および手段を個別に決定します。 
    2. 各当事者は、共有個人データの処理に関して、以下を含むデータ保護法を遵守するものとします:
      1. 各当事者は、データ保護法に基づき要求される、データ主体に対する共有個人データの合法的な処理に関する全ての該当する通知(以下、「透明性に関する通知」)を提供するものとします。 データ保護法の要求に従い、ユーザーはサービスの利用と、AppLovinがどのように個人データを処理するかについて、透明性に関する通知の中で開示するものとします。 
      2. 各当事者は、各当事者は、データ保護法に基づき、適用されるデータ主体の権利が必要とする全ての仕組みを提供し、これを有効にし、政府当局による照会に対応するものとします。
      3. ユーザーは、契約で明示的に許可されている場合を除き、第三者に共有個人データを開示しないものとします。また、ユーザーは以下のいずれかが発生した場合、共有個人データを速やかに削除するものとします: (i) 当該の共有個人データに関連するインプレッションについて、ユーザーが落札しなかった場合、または(ii) 当該の共有個人データに関連する広告リクエストに応じて、ユーザーが広告を提供(直接的または間接的に。後者の場合、第三者の広告サーバーを介するなど)した後。上記を制限することなく、ユーザーは、エンドユーザーもしくはその他のデータ主体、またはモバイルプロパティもしくはパブリッシャーのプロファイリングもしくはトラッキングに関連して、共有個人データを使用しない、あるいは第三者に使用させないものとします。
      4. いずれの当事者も、自らの透明性に関する通知に記載されている以外の目的で共有個人データを処理しないものとします。ただし、当該の処理がデータ保護法および本契約の下で許可されている場合は除きます。
      5. 各当事者は、当該の共有個人データの処理に従事する全ての従業員が、本DPAに準拠して行動することを保証するものとします。
      6. 各当事者は、(i) 共有個人データの偶発的、違法、または不正な破壊、喪失、改ざん、開示、あるいはアクセス、もしくは(ii) 共有個人データの「個人データ侵害」(「セキュリティシステムの侵害」や「データ侵害」など、データ保護法が定義する語または同様の語)に相当するその他のセキュリティ事故((i)および(ii)のいずれの場合も、「データ侵害」)を防止する技術的および組織的なセキュリティ対策を実施するものとします。
      7. 各当事者は、復処理者との契約がデータ保護法を遵守することに同意するものとします。
    3. 各当事者は特に、適用法で禁止されている場合を除き、(i) データ保護法で要求される範囲で、共有個人データに関して当事者が受領したデータ主体の権利の行使の要求、(ii) 共有個人データの処理に関わる規制当局からの問い合わせ、および(iii)共有個人データの重大な破壊、喪失、改ざん、開示、またはアクセスをもたらす、共有個人データに関するデータ侵害について、過度な遅延なく相手方に通知するものとします。 
    4. 本DPAおよび契約の他の箇所に規定される義務と制限を制約することなく、各当事者は、共有個人データの独立した管理者として、当該の当事者による共有個人データの処理を合法的に許可する際、データ保護法の要求に基づいて、関連するデータ主体に対し要求される全ての通知を提供し、当該のデータ主体から必要な許可と同意を全て取得するものとします。
    5. ユーザーは、適用されるデータ保護法と、適用される自主規制の枠組みに従い、データ主体が「販売」や「共有」(かかる語、「販売」と「共有」はデータ保護法とCCPAでそれぞれ定義されます)、または同様の信号に対し同意の意思表示を提供したか、していないか(あるいは撤回した)、もしくはオプトアウト(例: ターゲット広告からのオプトアウト)の意思表示を提供したかについて、AppLovinがユーザーに送信する全ての信号を尊重するものとします。 
    6. CCPAに関して、(i) 契約に定められたその他の制限を制約することなく、ユーザーが広告インベントリに入札、あるいはサービスを通じ広告を提供できるようにするという限定的かつ特定の目的のために、個人共有データがユーザーに開示され、ユーザーは当該の目的の為だけに共有個人データを処理し、(ii) ユーザーは、CCPAに基づき事業者に要求されるものと同レベルのプライバシー保護を保護することも含め、CCPAに従い、(iii) AppLovinは、ユーザーがCCPAに基づくAppLovinの義務に合致する方法で共有個人データを処理することを保証するため、合理的かつ適切な措置を講じることができ、(iv) ユーザーは、自らがCCPAに基づく義務を果たすことができなくなったと判断した場合、速やかにAppLovinに通知し、(v) AppLovinは通知を受けた後、共有個人情報の不正な処理を停止し、是正するための合理的かつ適切な措置を講じることができるものとします。
  4. 全般
    1. SCC、契約、および本DPAの間に矛盾または不一致がある場合、以下の優先順位が適用されます: (i) SCC、(ii) 本DPA、(iii) 契約。 
    2. 本DPAは、契約に規定された責任の制限を変更するものではありません。
    3. 本DPAは、ユーザーが契約に同意した時、またはユーザーがサービスの利用を開始した日に発効します。 本DPAは、契約の終了または期間終了と同時に、自動で終了します。
    4. データ保護法で要求される範囲内において、本DPAは該当する法域の法律に準拠します。 その他のすべての場合においては、本DPAは、契約に規定された法域の法律に準拠するものとします。
  5. 国家間の移転
    1. 両当事者は下記の場合において、AppLovinからユーザーへと移転される際、両当事者はSCCが共有個人データの移転(共有個人データへのアクセスを含む)に適用されることに同意するものとします。
      1. ユーザーが適切な管轄内に設立されておらず、また
      2. 共有個人データの処理がEUのデータ保護法もしくはLGPDの対象となる場合、あるいはAppLovinがSCCの締結を契約上義務付けられている場合。
    2. SCCの目的のため:
      1. 附属書1.A(当事者の一覧)は、附則Iの情報を組み込んだものとみなされます。
      2. 附属書1.B(移転の説明)は、附則IIIの情報を組み込んだものとみなされます。 
      3. 附属書1.C(管轄監督機関)は、附則IIに認定されている監督機関を指すものとみなします。 
      4. 附属書II(技術的および組織的対策)は、附則IIの情報を組み込んだものとみなされます。
      5. SCC 第7条のオプション条項は適用されません。
      6. SCC 第11条(a)のオプション条項は適用されません。
      7. 第17条に従い、SCCはアイルランドの法律に準拠します。  
      8. SCCの第18条(b)に従い、両当事者はキプロスの裁判所においてSCCに基づく紛争を解決するものとします。 
      9. イギリスの必須条項で言及されている表4に関連し、いずれの当事者も、イギリスの必須条項の第19条に従い、承認された附則を打ち切る権利を有しないものとします。
      10. ブラジル国内に設立されたデータ移転元(LGPDに基づく共有個人データの移転目的)に関しては、SCCがブラジル連邦共和国の法律に準拠するものとします。また、LGPDに基づく当該の移転では、適用されるデータ保護法はLGPDであり、監督機関はブラジルの国立データ保護機関(Autoridade Nacional de Proteção de Dados、ANPD)であるものと理解されるものとします。

附則I

当事者

契約当事者と役割

当事者の住所、連絡窓口の担当者の氏名、役職、および連絡先の詳細、また、該当する場合は、データ保護責任者および/またはEUでの代表者の氏名

本条項に基づいて移転されるデータに関連する活動
AppLovin(管理者) AppLovin Corporation

住所: 1100 Page Mill Road, Palo Alto, CA 94304 USA

Eメール: [email protected] 

 個人データは、本サービスに関連してAppLovinからユーザーに転送されます。
ユーザー(管理者) 契約に明記されている通り。

本サービスに関連してユーザーに提供される個人データ。

附則II 

SCC

SCCに組み込まれたとみなされる情報

データ移転元

AppLovin

データ移転先

ユーザー

附属書I.A

当事者の一覧: 本附則Iおよび附則IIにおける「データ移転元」と「データ移転先」についての関連情報は、言及により本書に組み込まれます。

附属書I.B

移転の説明: 以下の附則IIIの関連情報は 、言及により本書に組み込まれます

附属書I.C

管轄監督機関: 管轄監督機関は、キプロスの個人データ保護委員会(Commission for the Protection of Personal Data)とします。ただし、英国SCCの場合、英国SCCの管轄監督機関は英国個人情報保護監督機関とします。

附属書II

技術的および組織的対策

データ移転先は、共有個人データの安全性、機密性、完全性を保護するために、以下を含む適切な管理的、物理的、技術的な保護措置を実施し、維持します。

1.共有個人データの仮名化と暗号化のための措置: 

A. データの最小化とプライバシー・バイ・デザインを自らのソフトウェアや、その他の製品/サービスの開発ライフサイクルに組み込み、共有個人データが契約に反する形で使用されることを防ぎます。例えば、データ移転先は仮名化されたデータのみを扱い、社内の人員および関連する復処理者が身元を直接特定できる個人データ(例えば、名前、住所)を再同定することを禁止する国際的な管理体制をとっています。

B. ユーザーは、本サービスの利用に関連して、慎重に取り扱うべき個人データ(例: GDPRにおける「特別カテゴリーの個人データ」)や身元を直接特定できる個人データを利用しません。

C. ユーザーは共有個人データを保管する際、およびハッシュ化された識別子や、その他の暗号化によって保護された識別子を利用する際、実行可能な限り、適切な業界標準の暗号化技術(例: 保管時の暗号化)を用います。

2.処理システムおよびサービスの継続的な機密性を確保するための措置:

A. ユーザーは書面による情報セキュリティプログラムを実施・維持しており、定期的な脆弱性のスキャンやエンドポイントの保護を含む、個人データの完全性、可用性、およびセキュリティを確保するための措置を実施しています。

B. ユーザーは共有個人データに関して、契約に基づく保持/削除の条件に沿った、文書化された保持/削除スケジュールを用いています。

3.処理システムおよびサービスの継続的な完全性を確保するための措置:

A. ユーザーは、潜在的なデータ侵害から保護し、実際のデータ侵害、または合理的に疑われるデータ侵害を修復するため、適切な管理的、技術的、および物理的なセーフガードを含み、かつ(i) ユーザーの業界に関連するベストプラクティスと(ii) データ保護法で要求されるセキュリティ要件を満たす、書面による情報セキュリティプログラムを実施・維持しています。

4.処理システムおよびサービスの継続的な可用性と復元力を確保するための措置:

A. ユーザーは、安全が確保され監視された運用サイト、イベントおよびその他の監査可能なログ、適切な冗長性を備えた耐性のあるインフラストラクチャ、インシデント対応およびベンダーによる適切な配慮のためのプロセスとポリシー、事業継続計画、予備の手順、災害復旧計画など、自らの書面による情報セキュリティプログラムを通じ、共有個人データの可用性と復元力を維持します。

5.物理的または技術的な事象が発生した場合に、共有個人データへの可用性およびアクセスを適切な時に回復する能力を確保するための措置:

A. 上記参照。

6.処理の安全性を確保するため、技術的および組織的な対策の有効性を定期的にテスト、査定、評価するプロセス:

A. 最低でも年に一度、セキュリティ対策と書面による情報セキュリティプログラムが、ここに定められた要件と、業界のベストプラクティスに合致しているかを見直し、テストします。

B. セキュリティコンプライアンスはユーザーの製品/サービスの開発ライフサイクルに統合されており、ユーザーの各チームは、これらの基準が常に最新の状態に保たれるよう定期的に協力しています。

7.ユーザーの識別と認証のための措置:

A. ユーザーは、権利行使の要求(例: アクセス、ポータビリティ、削除)を提出したデータ主体からの求めを認証し、それに対応するための手順を備えており、該当の手順はデータ保護法に準拠しています。

B. ユーザーは、共有個人データと関連するインフラストラクチャに関して、「知る必要性」に基づいて権限を付与された人員のみがアクセスできるよう(および権限のない現職員または元職員がシステムに不正アクセスできないよう)、適切なシステムへのアクセス制御を保証するための運用上および技術上の管理を実施しています。

8.保管中の共有個人データを保護するための措置:

A. ユーザーが共有個人データを処理できる方法の制限については上記、および契約をより広範に参照してください。

B. ユーザーは、ユーザーまたは自らの復処理者のシステムに保管された共有個人データに関して、データ最小化手順を実施し、維持しています。

9.共有個人データが処理される場所における物理的な安全性を確保するための措置:

A. 共有個人データの処理に関わる施設は、権限を持つ人員のみがアクセス可能であり、それに関し理にかなった物理的な管理が行われています(例: 2段階認証、ファイアウォール、アンチマルウェア、アクセス制御、VPN、アクセスバッジおよびログ、物理的な障壁)。

10.責任を保証するための措置

A. ユーザーはデータ保護法に準拠したデータマッピングを実施し、それに関する処理活動の適切な記録を作成しています。

B. ユーザーは適宜、適切な場合に自主規制の枠組みを見直し、遵守すること、データ保護の影響評価を実施すること、そしてデータ保護責任者(data protection officer、DPO)またはその他のプライバシーやデータセキュリティの責任者を適切に任命することを含め、処理される個人データの適用範囲および性質に適切なプライバシープログラムを実施しています。

附則III

移転の説明

データが移転されるデータ主体のカテゴリー 

移転される個人データは、以下のデータ主体のカテゴリーに属します:

  • AppLovinからユーザーに送信された入札依頼の対象となった個人、またはその他の方法でインプレッションを提供された個人。

移転されるデータのカテゴリー

移転される個人データは、以下のデータのカテゴリーに属します:

モバイルデバイス広告の識別子(例、IDFA/Google広告ID、IPアドレス)またはその他のデジタル/デバイスの識別子

メーカー、モデル、オペレーティングシステム、デバイスプロパティと設定、位置情報、アプリケーションID、アプリケーションバージョンなどのデバイス/ユーザーエージェントデータ

クリックおよび閲覧(インプレッション)のデータ

移転される機密データ(該当する場合)

移転される個人データは、以下の機密データのカテゴリーに属します:

なし。

移転の頻度

契約に基づき、移転はリアルタイムで継続的に行われます。 

処理の性質および移転とさらなる処理の目的

個人データは、契約に基づくサービスの利用に関連して処理されます。

個人データの保持期間、あるいはそれが可能でない場合、その期間を決定するために使用する基準

ユーザーは契約で許可された期間を超えて共有個人データを保持しません。

(復)処理者への移転については、処理の対象、性質、および期間も明記します。

移転される個人データは、以下の受領者または受領者のカテゴリーにのみ開示される場合があります:

ユーザーが本サービスに関連して利用するサービスプロバイダー、およびその透明性に関する通知に別途記載されているサービスプロバイダー。 

処理の期間は、上記のデータ保持期間と一致します。