発効日:2019年1月1日

この「パブリッシャーのデータ処理に関する付属合意書」(以下「付属合意書」)は、PubMatic, Inc.(以下「PubMatic」)と貴社(以下「パブリッシャー」)の間で締結され、本付属合意書の主題に関連する両者間の全合意文書(以下それぞれ「合意書」)の一部を構成します。

本付属合意書に書かれた条件は、EUデータ保護法によって保護もしくは規制されている(個人データを含む)データを、PubMaticが収集もしくは処理する範囲にのみ適用されます。本付属合意書内で強調表記された用語は、本付属合意書中に別途定めのない限り、合意書の本文で与えられたものと同じ意味を持つものとします

以下のように合意します。

  1. 定義

管理者」とは、個人データを処理する目的と手段を決定する法人を意味します。

データ」とは、本付属合意書のセクション2で定められた意味を持ちます。

デマンドパートナー」とは、PubMaticのメディアバイイングクライアントを意味し、デマンドサイドプラットフォーム、アドエクスチェンジ、エージェンシー、エージェンシー・トレーディングデスク、アドネットワークを含みますが、これらに限定されるものではありません。

EEA」とは、本付属合意書では、スイスと英国を含む欧州経済圏を意味します。

EUデータ保護法」とは、(i)『EU一般データ保護規則(規則 2016/679)』、(ii)『EU eプライバシー指令(指令2002/58/EC)』、(iii)『(i)もしくは(ii)の下で、または(i)もしくは(ii)に従って制定されたすべての国内法』(いずれも、優先条項、修正条項、代替条項がある場合はそちらを優先します)を意味します。

個人データ」とは、適用されるEUデータ保護法の下で当該情報が個人データとして保護される範囲において、特定された、もしくは特定可能な個人に関するあらゆる情報を意味します。

プライバシー要件」とは、データの保護とプライバシーに関する国際的な、あるいは連邦、国または州による法律、規制および業界の自主規制、規定、ガイドラインであって、EUデータ保護法によって保護される(個人データを含む)データの処理について、パブリッシャー、PubMaticおよびPubMaticのデマンドパートナーに適用されるすべてのものを意味します。これには、(i)『欧州インタラクティブ・デジタル広告アライアンス(EDAA)の規則、規定、ガイドライン』、(ii)『ネットワーク広告イニシアティブ(NAI)の規則、規定、ガイドライン』、および(iii)『EUデータ保護法』(いずれも、優先条項、修正条項、代替条項がある場合はそちらを優先します)が含まれますが、これらに限定されるものではありません。

プライバシーシールド」とは、いずれも米国商務省によって運用される自己認証プログラムであって、2016年7月12日の決定 C(2016)4176に従い欧州委員会によって承認されたEU―米国間のプライバシーシールド、ならびに2017年1月11日にスイス連邦参事会によって承認されたスイス―米国間のプライバシーシールドフレームワークを意味します。

プライバシーシールド原則」とは、2016年7月12日の欧州委員会決定 C(2016)4176の添付資料IIに含まれる(補足原則によって補足された)プライバシーシールドフレームワーク原則(優先条項、修正条項、代替条項が存在する場合もあります)を意味します。

パブリッシャープロパティ」とは、合意書内でその意味が定められますが、合意書内で規定されていない場合は、ウェブサイト、モバイルアプリケーションおよびパブリッシャーが所有または運用し、PubMaticサービスを介してアクセスできる、またはPubMaticサービスに関して使われる個人データが収集される、あらゆるデジタルメディアプロパティを意味します。

PubMaticサービス」とは、合意書内でその意味が定められますが、合意書内で規定されていない場合は、合意書に記載された内容に従ってPubMaticからパブリッシャーに提供される各種広告サービスを意味します。

トラッキングテクノロジー」とは、ユーザーのデバイスに保存されたデータを保存、もしくはそれにアクセスするために使用される技術を意味し、(該当する場合は)Cookie、モバイルSDK、ブラウザキャッシュ、一意識別子、ウェブビーコン、ピクセルならびに同様の追跡技術を含みます。

PubMaticプライバシーポリシー」とは、PubMaticの公開ウェブサイトに掲載されたプライバシーポリシーを意味します。最新版は www.pubmatic.com/privacy-policy で入手可能です(プライバシーポリシーは随時更新または修正されます)。

データ主体」「処理(および処理作業」とは、EUデータ保護法によって定められた意味を持つものとします。

  1. 処理の範囲:当事者は、当事者間で別途合意しない限り、(i)『PubMaticサービスに関して、PubMaticプライバシーポリシーに詳述された、パブリッシャープロパティのエンドユーザーについての、またはそのユーザーに関連する(個人データを含む)データ(以下「データ」と総称)をPubMaticが収集または受信すること』、(ii)『PubMaticおよびそのすべてのデマンドパートナーが特定のデータを収集するためにトラッキングテクノロジーを利用すること』に合意します。当事者は、PubMatic(およびそのすべてのデマンドパートナー)が、合意書で意図された目的およびPubMaticプライバシーポリシーに記述されたその他の目的(以下「許可された目的」)のためにデータを処理することに合意します。
  2. 当事者の関係:当事者は、データが個人データを含む場合に限り、当事者がそれぞれに個別の独立した管理者として、またPubMaticの場合は許可された目的のためだけに、そうしたデータを処理するものとします。
  3. 同意の要求:PubMaticおよびそのすべてのデマンドパートナーはいずれも、パブリッシャープロパティを訪れたデータ主体、もしくはPubMaticサービスを介してパブリッシャープロパティに提供された広告を閲覧したデータ主体と、直接の関係を持ちません。それにともない、個人データの処理のための同意が法的根拠となる場合、およびプライバシー要件に従ってトラッキングテクノロジーの使用に必要不可欠な場合に、パブリッシャーは、(i)『許可された目的のためにPubMaticサービスを介してデータを収集、処理または共有するため』、(ii)『PubMaticサービスのパフォーマンスに関するデータの収集を目的にトラッキングテクノロジーを使用するため』、PubMaticおよびそのすべてのデマンドパートナーに代わって、関連するデータ主体からすべての必要な同意を得る責任を負うものとします。パブリッシャーは、該当するプライバシー要件に従って、そうした同意の取得、記録または同意の取り消しを可能にするメカニズムをパブリッシャープロパティ上において常時維持ならびに運用することを表明し、保証します。ユーザーがEEAに居住している場合、PubMaticは、IABの透明性と同意に関するフレームワーク(「業界フレームワーク」)に登録し、これに対応します。
  4. 通知要件:パブリッシャーは、パブリッシャープロパティ上でPubMaticサービスを介して行われるデータ収集および利用慣行について、すべてのデータ主体に適切に通知されていると確認する責任を負うことに合意します。パブリッシャーは、プライバシー要件ならびに(本付属合意書を含む)合意書の全要件を満たし、データの収集元となる全てのパブリッシャープロパティ内で公的にアクセス可能なプライバシー通知を明確に掲載し、維持し、従うことを表明し、保証します。前述の一般性を損なうことなく、こうした通知は最低でも、(i)『データが広告目的に収集されることを伝える声明』、(ii)『PubMaticおよびそのすべてのデマンドパートナーによって収集される個人データの種類およびパブリッシャープロパティを介した広告配信を含む処理の目的に関する説明』、(iii)『個人データにアクセスできる個人の分類に関する説明』、(iv)『データ管理者の身元』、(v)『関連する選択メカニズムへの明確なリンクもしくはそのアクセス方法に関する説明』、および(vi)『該当するプライバシー要件の情報や透明性要件を遵守するために必要なあらゆる情報』を含まなければなりません。PubMaticプライバシーポリシー、PubMaticが収集するデータおよびPubMaticサービスによるその利用法についての説明は、本付属合意書で述べられている通知義務を遵守するのに役立ちます。
  5. 禁止されたデータの共有:子どもと推定されるデータ主体について、その子どもの居住国において適用されるプライバシー要件の下でパブリッシャープロパティが子どもを対象としている場合、または子どもがアクセスする可能性が高い場合、パブリッシャーは、PubMaticサービスにそのパブリッシャープロパティを含めず、運用を開始しないものとし、PubMaticサービス内でフラグを立て、または、PubMaticサービス上におけるパブリッシャープロパティの公開および運用開始に先駆けてPubMaticに書面で通知し、子どもと推定されるデータ主体に関するあらゆる個人データを、該当するEUデータ保護法の下でPubMaticおよびそのすべてのデマンドパートナーに提供するものとします。
  6. 不履行:(本付属合意書を含む)合意書で述べられたデータに関する同意ならびに通知の義務にパブリッシャーが従えない場合、パブリッシャーは直ちにPubMaticに通知しなければなりません。
  7. 協力ならびにデータ主体の権利:当事者は、要求があれば、相互に、他の当事者がプライバシー要件で述べられた義務を遵守できるよう、(費用は各自の負担において)合理的かつ時機を得た支援ならびに協力を提供するものとします。ここには、(i)『データに関連して、EUデータ保護法が定めるあらゆる権利(データへのアクセス、訂正、異議申し立て、消去、データポータビリティーに関する権利を含む)を行使するためのデータ主体からの要求』、ならびに(ii)『データの処理に関して、データ主体、規制当局または他の第三者から受けた連絡、問い合わせまたは苦情(以下、「連絡」)』に他の当事者が対応できるようにすることを含みます。データに関してデータ主体から直接連絡を受けた場合、当事者はそれぞれ、他の当事者に直ちに通知するものとします。当事者の一方が、もう一方の当事者について本付属合意書を遵守していない可能性を懸念する場合、秘密保持義務、情報開示方針に従い、全当事者は、情報を交換し、そうした不履行の原因特定と修復に向けた合理的手順を取ることに合意します。
  8. データの移転:EUデータ保護法によって保護されたデータ、もしくは(英国を含む)EEAまたはスイスを出所とするデータ(以下、「EEAの個人データ」)、もしくは(適用対象となる場合は)EEA外の国もしくはスイスを出所とするデータをPubMaticが処理する(もしくは処理される原因となる)範囲において、PubMaticは第一に、EUデータ保護法が要求するところに従い、そうしたEEAの個人データを適切なレベルで保護していることを保証するために必要な全ての措置を講じるものとします。この目的のために、全当事者は、PubMaticがプライバシーシールドフレームワークに従っていることを自己認証したうえで、あらゆるEEAの個人データを適切に保護することを認識し、合意します。PubMaticは、プライバシーシールド原則が要求するところに従い、EEAの個人データを保護することに合意します。PubMaticのプライバシーシールド認証が失効している、もしくは無効とみなされる場合、全当事者は直ちに、または可及的速やかに、誠意を持って協力し、代替となる移転メカニズムを導入し、プライバシー要件に従ってEEAの個人データに対する適切なセーフガードを保証するものとします。
  9. セキュリティー:両当事者は、自身が所有もしくは管理するデータのコピーを、(i)『偶発的もしくは不法な破壊』、ならびに(ii)『データの紛失、変更、権限のない開示もしくはアクセス』から保護するための適切な技術的および組織的措置を講じるものとします。
  10. 雑則:本付属合意書によって変更が加えられない限り、合意書は変更されず、効力を有します。本付属合意書内の条項と合意書内の条項に矛盾が生じた場合、本付属合意書の条項を優先します。本付属合意書は、その発効日より、合意書の一部となり、合意書に組み込まれます。本付属合意書で扱っている項目に関する事前の合意がある場合、その合意は本付属合意書によって修正され、差し替えられます。本付属合意書は、合意書の終了もしくは有効期限切れ後も存続するものとします。合意書の終了もしくは有効期限終了後も、本付属合意書の要件およびプライバシー要件を遵守することを条件に、PubMaticは処理を継続することがあります。本付属合意書は複数の複本を作成して締結することができ、各複本は原本と見なされますが、その全通を併せて一つの合意書を構成します。本付属合意書は、認められた電子署名サービスを通じて締結、またはファクシミリ送信、または署名のうえ画像をスキャンして電子メールで送信することができます。いずれの署名も、該当するすべての目的のためのオリジナル署名として取り扱われるものとします。