（1）MEFERIテクノロジーズ株式会社（中国の法律に基づいて設立され、登録事務所は中国四川省成都センチュリーシティロードハイテクゾーン1129号天府ソフトウェアパークA5階5階、610000（以下「MEFERI」、「プロセッサー」、「当社」、「私たち」または「当社の」））

（2）顧客（以下「顧客」、「管理者」または「お客様」）とは、以下に定義されるMEFERIのサービスに加入または使用し、MEFERIの主要なサービス利用規約またはその他のマスター契約（以下「主要契約」）に同意した法人です。

本DPAは主要契約の不可欠な部分を形成し、サービスに関連して顧客に代わってMEFERIが個人データを処理することに関する当事者の合意を反映します。

本DPAが利用可能になった後、主要契約に同意するか、サービスにアクセスまたは使用することにより、お客様は、自身に代わって、また、適用可能なデータ保護法で求められる範囲において、その承認されたユーザーの名前で、その承認されたユーザーに代わって、本DPAを締結するものとします。

本DPAと主要契約の間に矛盾がある場合、個人データの処理に関する当該矛盾の範囲において本DPAが優先するものとします。

1. 定義

1.1. 「主契約」とは、お客様とMEFERI（または第18.4条に基づくMEFERIの契約関連会社）との間で締結される、サービス提供に関する主要な書面による契約（利用規約、一般利用規約、マスターサービス契約、サービス契約、サブスクリプション契約など）を意味し、特定のサービスプランの規約（「MeCare（プラン名）：一般利用規約」など）およびそれに基づいて締結される注文書または作業明細書を含みます。本DPAは、かかる主契約の不可欠な一部を構成します。

1.2. 「適用データ保護法」とは、本DPAに基づく個人データの処理に適用されるすべての法律および規制を意味し、これにはGDPR、および随時改正または更新される国内実施法、規制、二次立法が含まれますが、これらに限定されません。

1.3. 「管理者」とは、GDPR第4条(7)に定める意味を有する。本DPAにおいては、顧客が管理者となる。

1.4. 「データ主体」とは、GDPR第4条(1)に定める意味を有する。

1.5. 「GDPR」とは、個人データの処理に関する自然人の保護及び当該データの自由な移動に関する2016年4月27日の欧州議会及び理事会規則（EU）2016/679（指令95/46/ECを廃止するもの）（一般データ保護規則）を意味します。

1.6. 「個人データ」とは、GDPR第4条(1)に定める意味を有し、付録1に詳述するとおり、MEFERIが顧客に代わってサービスを提供する際に処理する個人データに限定されます。

1.7. 「個人データ漏洩」とは、GDPR第4条(12)に定める意味を有し、具体的には、MEFERIによって送信、保管、またはその他の方法で処理される顧客個人データの偶発的または違法な破壊、紛失、改ざん、不正開示、またはアクセスにつながるセキュリティ侵害を指します。

1.8. 「処理」とは、GDPR第4条(2)に定義されている意味を有する。「処理」および「処理済み」はこれに従って解釈されるものとする。

1.9. 「プロセッサー」とは、MEFERI Technologies Co., Ltd.（MEFERI）または、本DPAの第18.4条に従って該当する場合は、顧客との主要契約の契約当事者であるMEFERI関連会社を意味します。

1.10. 「サービス」とは、MEFERIが主要契約に基づき顧客に提供する製品およびサービスを意味し、具体的には、MEFERIのShadowalk MDM/EMMクラウドソリューション、MEFERIが処理者として機能するCIAOインテリジェントショッパーアシスタント（ISA）ソリューションのクラウドホスト型コンポーネント、およびMEFERIが顧客の個人データを処理する関連サポートサービス（MEFERI MeCareサービス契約に基づいて提供されるサービスを含むがこれらに限定されない）が含まれますが、これらに限定されません。明確にするために、サービスには、個人データの継続的な処理が顧客の環境内でのみ行われるMEFERIソフトウェアのオンプレミス展開は含まれません。ただし、MEFERIが顧客の指示に基づきサポートのためにかかるシステムにアクセスする場合は除きます。

1.11. 「サブプロセッサー」とは、MEFERIがサービスに関連して顧客に代わって個人データを処理するために雇用した第三者を意味します。

1.12. 「技術的および組織的措置」または「TOM」とは、MEFERIが個人データを保護するために実施するセキュリティ対策を意味し、詳細は付録2に記載されています。

1.13. 「サードパーティパートナーソリューション」とは、MEFERIのハードウェアまたはサービスと統合または併用される可能性のあるサードパーティが提供するソフトウェアまたはサービス（決済ソリューション（例：WorldLine「Tap on Mobile」）や小売セルフスキャンソフトウェア（例：4MAX「Scan & Go」）など）を意味し、お客様はかかるサードパーティと直接の契約関係を有する場合があります。

2. 役割と責任

2.1. 当事者の役割：お客様はお客様の個人データの管理者であり、MEFERIはお客様の個人データの処理者です。各当事者は、適用されるデータ保護法に基づくそれぞれの義務を遵守するものとします。

2.2. 管理者としての顧客の義務: 顧客は以下のことを表明し、保証します。

a. MEFERIは、個人データの処理およびMEFERIに発行するあらゆる処理指示に関して、適用データ保護法のすべての適用規定を遵守しており、今後も遵守し続けます。

b. MEFERIは、個人データの正確性、品質、合法性、および個人データを取得した手段（必要なすべての同意の取得、必要なすべての通知の提供、本DPAおよび主要契約に従ったMEFERIによる個人データの処理の有効な法的根拠の確保を含む）について単独で責任を負います。

c. MEFERIに対する個人データの処理に関する指示は、適用されるデータ保護法に準拠するものとします。

2.3. MEFERIの処理者としての義務: MEFERIは次の義務を負う。

a. MEFERIが適用されるEU法または加盟国の法律で義務付けられている場合を除き、個人データの処理は、第三国または国際機関への個人データの移転を含め、お客様からの書面による指示に基づいてのみ行います。この場合、MEFERIは、当該法律が重要な公共の利益を理由として当該情報を禁止していない限り、処理前に当該法的要件をお客様に通知するものとします（GDPR第28条(3)(a)）。主要契約および本DPAは、MEFERIに対する個人データ処理に関するお客様の書面による指示を構成します。

b. MEFERIの判断により、指示が適用データ保護法（GDPR第28条(3)）に違反していると判断した場合は、直ちに顧客に通知します。

3. 処理の詳細

3.1. 処理の対象、処理の期間、処理の性質および目的、個人データの種類、ならびにデータ主体のカテゴリーについては、本DPAの付録1（処理の詳細）に定められています。

4. 機密保持

4.1. MEFERIは、個人データを処理する権限を有する担当者が機密保持を約束しているか、または適切な法的機密保持義務を負っていることを保証するものとします（GDPR第28条(3)(b)）。

5. 処理のセキュリティ

5.1. MEFERIは、最新技術、実装コスト、処理の性質、範囲、状況、目的、および自然人の権利と自由に対するさまざまな可能性と重大性のリスクを考慮し、付録2（技術的および組織的措置）に記載されているように、リスクに適したセキュリティレベルを確保するために適切な技術的および組織的措置を実施および維持するものとします（GDPR第28条(3)(c)および第32条）。

5.2. MEFERI は、TOM を随時更新または変更することができますが、かかる更新および変更によってサービスの全体的なセキュリティが著しく低下することはありません。

6. サブプロセス

6.1. 一般的な承認：お客様は、MEFERI に対し、サービス提供に関連してお客様に代わって個人データを処理するサブプロセッサーを雇用する一般的な書面による承認を付与します（GDPR 第 28 条 (2)）。

6.2. 現在のサブプロセッサーおよび新規サブプロセッサーの通知：MEFERIは、現在のサブプロセッサーのリストを維持し、顧客の要請に応じて、または指定されたウェブページ（付録3を参照）を通じて顧客に提供するものとします。MEFERIは、他のサブプロセッサーの追加または交代に関する変更を少なくとも30暦日前までに顧客に通知し、顧客に当該変更に異議を申し立てる機会を与えるものとします。

6.3. 新規サブプロセッサーへの異議：お客様がMEFERIによる新規サブプロセッサーの使用に異議を唱える合理的な根拠を有する場合、お客様はMEFERIからの通知受領後10営業日以内に書面にて速やかにMEFERIに通知するものとします。お客様が異議を唱えた場合、MEFERIは、お客様に不当な負担をかけることなく、異議の対象となる新規サブプロセッサーによる個人データの処理を回避するために、サービスの変更をお客様に提供するか、またはお客様のサービス設定または使用方法に商業的に合理的な変更を推奨するよう合理的な努力を払います。MEFERIが30暦日を超えない合理的な期間内にかかる変更を提供できない場合、お客様はMEFERIに書面による通知をすることにより、異議の対象となる新規サブプロセッサーを使用せずにMEFERIが提供できないサービスの該当部分を終了することができます。

6.4. サブプロセッサーの義務：MEFERIは、委託するサブプロセッサーが、本DPAに基づきMEFERIに課せられるものと少なくとも同等のデータ保護義務を課すEU法または加盟国の法律に基づく書面による契約またはその他の法的行為の対象となることを保証するものとし、特に、処理が適用データ保護法（GDPR第28条(4)）の要件を満たすような方法で適切な技術的および組織的措置を実施するための十分な保証を提供するものとします。

6.5. 責任: MEFERI は、サブプロセッサーのデータ保護義務の履行について、顧客に対して全責任を負うものとします。

7. データ主体の権利

7.1. MEFERIは、処理の性質を考慮し、可能な限り、GDPR第3章に規定されているデータ主体の権利（アクセス権、訂正権、消去権など）の行使要求に応じるという顧客の義務を履行するために、適切な技術的および組織的措置を実施することにより、顧客を支援するものとします（GDPR第28条(3)(e)）。

7.2. MEFERIがデータ主体から顧客個人データに関する直接の要求を受けた場合、MEFERIは速やかに当該要求を顧客に通知するものとし、当該要求が顧客に関連するものであることを確認する場合を除き、データ主体への返答は行わないものとします。顧客は、データ主体からの当該要求すべてに対応する責任を負うものとします。

8. 管理者への支援

8.1. MEFERIは、処理の性質およびMEFERIが入手可能な情報を考慮し、GDPR第32条から第36条（処理のセキュリティ、監督機関への個人データ侵害の通知、データ主体への個人データ侵害の通知、データ保護影響評価、および監督機関との事前協議）（GDPR第28条(3)(f)）に基づく義務の遵守を確保するために、顧客に合理的な支援を提供するものとします。

9. 個人データ侵害通知

9.1. 顧客への通知:

MEFERIは、顧客の個人データに影響を与える個人データ侵害を認識した後、遅滞なく、いかなる場合でも48時間以内に顧客に通知するものとします（GDPR第28条(3)(f)および第33条(2)）。

9.2. 当該通知には、可能な限り、以下の事項を記載するものとする。

a. 個人データ漏洩の性質（可能な場合、関係するデータ主体のカテゴリーとおおよその数、関係する個人データ記録のカテゴリーとおおよその数を含む）。

b. MEFERIのデータ保護責任者または詳細情報を取得できるその他の連絡先担当者の名前と連絡先。

c. 個人データ漏洩の起こりうる結果。

d. MEFERI が個人データ漏洩に対処するために講じた、または講じる予定の措置（適切な場合には、その潜在的な悪影響を軽減するための措置を含む）。

9.3. すべての情報を同時に提供することが不可能な場合、またその限りにおいては、情報は不当な遅延なく段階的に提供されることがあります。

9.4. お客様は、適用されるデータ保護法に基づく自社のデータ侵害通知義務の遵守について単独で責任を負います。本第9条に基づくMEFERIによる個人データ侵害の通知または対応は、MEFERIが個人データ侵害に関する過失または責任を認めたものと解釈されることはありません。

10. データの削除または返却

10.1. MEFERIは、お客様の選択により、処理に関連するサービスの提供終了後、すべての個人データを削除またはお客様に返却し、EUまたは加盟国の法律で個人データの保管が義務付けられている場合を除き（GDPR第28条(3)(g)）、既存のコピーを削除します。具体的な保管および削除のスケジュールは、主要契約書または別途合意されたとおりとなります。

11. 監査と検査

11.1. MEFERIは、GDPR第28条に規定された義務の遵守を証明するために必要なすべての情報を顧客に提供するものとし、顧客または顧客が委託した別の監査人が実施する検査を含む監査を許可し、これに協力するものとします（GDPR第28条(3)(h)）。

11.2. 当該監査は、MEFERIの通常の営業時間内に、30暦日以上の合理的な事前書面通知を条件として実施されるものとし、MEFERIの事業活動を不当に妨げるものであってはなりません。お客様とMEFERIは、監査の範囲、時期、期間について相互に合意するものとします。

11.3. お客様は、監査人が書面による秘密保持契約に基づいて業務を行うことを保証するものとします。お客様は、自らの費用および委任された監査人の費用を負担するものとします。監査の結果、MEFERIによる本DPAの重大な違反が明らかになった場合、MEFERIは、相互に合意した上限額まで、合理的な監査費用を負担するものとします。

11.4. 法律で認められる範囲において、MEFERI は、適切な機密保持義務を条件として、独立した第三者監査人による関連証明書（例：ISO 27001、SOC 2 タイプ II）またはその要約を顧客に提供することにより、監査義務を履行することができます。

12. 国際データ転送

12.1. MEFERIは、GDPR第V章で要求される適切な保護措置（欧州委員会が承認した標準契約条項の締結など）が確実に実施されることなく、欧州経済領域（EEA）外の国またはGDPR第45条に基づき欧州委員会が適切とみなす国に個人データを転送しません。

12.2. 本サービスの主なデータ処理拠点、特に顧客個人データがMEFERIの主要クラウドインフラストラクチャ上でホストされる場合、その拠点は欧州経済領域（EEA）内のAmazon Web Services（AWS）リージョンeu-west-3（フランス、パリ）となります。クラウドインフラストラクチャプロバイダーおよびその所在地を含むサブプロセッサーに関する詳細は、付録3に記載されています。

12.3. MEFERIが、適切なレベルの保護が確保されていない第三国（EEA域外または欧州委員会が適切とみなさない国）のサブプロセッサーに個人データを移転する場合、MEFERIは、かかる移転がGDPR第V章に基づく適切な移転メカニズム（標準契約条項など）の対象となることを保証するものとします。これには、12.2に規定された主要な処理場所がEEA域内であっても、MEFERIが、インフラストラクチャまたはサポート担当者がそのような第三国に所在するサブプロセッサーのサービスを利用する場合に発生する可能性のある移転が含まれます。

13. MEFERIによるサードパーティパートナーソリューションの利用

13.1. お客様は、MEFERI のハードウェアまたはサービスがサードパーティ パートナー ソリューション (例: CIAO デバイス上の支払処理ソリューション、特定の小売管理ソフトウェア) と併用される場合があることを認めます。

13.2. お客様がかかる第三者パートナーソリューションの利用を選択する場合、お客様は当該ソリューションの提供者と直接契約関係を結ぶことがあります。この場合、当該第三者プロバイダーは、お客様と当該第三者との契約に基づき、自らのサービスに関連して取り扱う個人データの管理者または処理者として行動することがあります。

13.3. 本DPAは、MEFERIがお客様の処理者として行う個人データの処理のみに適用されます。お客様が当該プロバイダーと直接関係を有するサードパーティパートナーソリューションのプロバイダーが行う処理活動には適用されません。ただし、当該プロバイダーが本DPA第6条に基づきMEFERIのサブプロセッサーとして活動している場合は除きます。

14. 責任および補償

14.1. 本DPAに基づく各当事者の責任は、主契約に定める責任の制限および免除に従うものとします。

14.2. お客様は、本DPAまたは適用データ保護法に基づく義務のお客様による違反に起因してMEFERIが被ったすべての請求、訴訟、第三者による請求、損失、損害、および費用（合理的な弁護士費用を含む）について、MEFERIを補償し、免責するものとします。

15. 期間および終了

15.1. 本DPAは、主契約の発効日に開始され、主契約の終了または満了まで、またはMEFERIが顧客に代わって個人データの処理を停止するまでのいずれか遅い日まで有効に存続するものとします。

15.2. 機密保持義務、データの削除/返却、およびその性質上終了後も存続する規定は、本DPAの終了または満了後も存続するものとします。

16. 本DPAの変更

16.1. MEFERIは、修正版を自社のウェブサイトに掲載するか、または顧客に通知することにより、本DPAを随時修正することができます。

16.2. MEFERIが本DPAに重大な変更を加える場合、MEFERIはお客様に対し、当該変更について合理的な期間内に通知するものとします（例：お客様の指定連絡先への電子メール、またはサービス内での通知）。お客様が当該通知期間経過後も引き続き本サービスをご利用いただいた場合、変更後のDPAに同意したものとみなされます。お客様が重大な変更に異議を唱える場合、お客様は本契約の条項に従って本契約を解除することができます。

17. 準拠法および紛争解決

17.1. 準拠法：本DPAは、お客様と当該主契約の当事者であるMEFERI事業体（以下「契約当事者MEFERI事業体」といいます）との間で締結された主契約において準拠法として規定されている法律に準拠し、それに従って解釈されるものとします。

17.2. 紛争解決:

a. 両当事者は、本DPA、その解釈、有効性、違反、または終了に起因または関連する紛争、論争、または請求（以下「紛争」といいます）を、それぞれの権限を有する代表者間の誠意ある交渉を通じて友好的に解決するよう努めるものとします。b. 当事者による交渉開始の書面通知から30暦日以内に交渉によって紛争が解決されない場合、当該紛争は、主契約に規定される紛争解決メカニズム（例：仲裁または裁判手続き）および裁判地に従って解決されるものとします。c. 主契約に仲裁に関する規定がある場合：

i. かかる仲裁は、本DPAに基づく紛争を解決するための主要な手段とします。ii. 主契約に別段の定めがない限り、または主契約において本DPAに関連する事項の仲裁の詳細について規定されていない限り、両当事者は、かかる紛争が相互に合意した国際的に認められた仲裁機関（深セン国際仲裁裁判所（SCIA）、シンガポール国際仲裁センター（SIAC）、香港国際仲裁センター（HKIAC）、または契約当事者であるMEFERI事業体がEUを拠点とする関連会社である場合はEU内の適切な機関など）によって管理される仲裁に付託されることに同意します。iii. 仲裁は英語で実施されるものとします。仲裁地または法的場所は、主契約に指定されるとおりとしますが、指定されていない場合、または特定の紛争について異なる場所が相互に合意されている場合は、両当事者の合意により選択される場所、または合理的な期間内に合意に至らない場合は契約当事者が選択する場所とします。iv. 仲裁判断は、仲裁地の法律により認められる、手続き上の不公平または管轄権の欠如を理由とする上訴権を条件として、最終的なものであり、両当事者を拘束するものとします。

d. 主契約において裁判訴訟が規定されている場合、下記第17.3条に従い、当該主契約で規定されている裁判所が管轄権を有するものとします。

17.3. 強制的なデータ保護法に関する考慮事項: a. 本DPAまたは主要契約の他の規定にかかわらず、適用可能なデータ保護法(GDPRを含むがこれに限定されない)がデータ主体に、通常の居住地または勤務地、または侵害の疑いのある場所の裁判所に訴訟を提起する、または監督機関に苦情を申し立てる強制的な権利を付与している場合、かかる権利は本DPAの条件によって損なわれることはありません。 b. GDPRが適用される場合、MEFERIおよび顧客は、準拠法または管轄権の選択によって、データ主体が居住する欧州連合加盟国の法律の強制的な規定から利益を得ることが妨げられないようにするものとします。

17.4. 継続的な履行: 紛争が解決されるまでの間、当事者は、DPA または主要契約が終了しない限り、実行可能な範囲で本 DPA に基づくそれぞれの義務を履行し続けるものとします。

18. 連絡先情報 / データ保護

18.1. プロセッサー：MEFERI Technologies Co., Ltd. 住所：5F, A5, Tianfu Software Park, No. 1129, Century City Road, High-tech Zone, 610000, Chengdu, Sichuan, PRChina

– データ保護に関するお問い合わせのメールアドレス: legal@meferi.com

18.2. データ保護に関するお問い合わせおよびDPO（MEFERI Technologies Co., Ltd.の場合）：本DPAに基づくデータ保護に関するすべてのお問い合わせは、上記第18.1項でMEFERI Technologies Co., Ltd.に指定された電子メールアドレスまでお問い合わせください。

18.3. MEFERI Technologies Co., Ltd.のEU代表者（GDPR第27条に基づく）：EU代表者名：MEFERI Poland Sp. z oo 住所：Ul. Modelarska 18/2, 40-142 Katowice, Poland EUデータ保護に関するお問い合わせ先メールアドレス（MEFERI Technologies Co., Ltd.による処理に関するEUのデータ主体および監督当局向け）： poland@meferi.com

18.4. MEFERI関連会社による処理：お客様がMEFERI Technologies Co., Ltd.（例：MEFERI Poland Sp. z oo）（以下「契約MEFERI関連会社」）の関連会社と主要契約を締結し、当該契約MEFERI関連会社がその主要契約に基づく個人データの処理者として行動する場合：

a) 本DPAは、契約しているMEFERI関連会社が行う処理活動に適用され、ここでの「MEFERI」または「処理者」へのすべての言及は、かかる契約しているMEFERI関連会社を指すものとみなされます。

b) 当該MEFERI契約関連会社による処理に関するデータ保護に関するお問い合わせの連絡先は、主要契約書に記載されているか、またはMEFERI契約関連会社が顧客に別途通知するとおりとします。MEFERI Poland Sp. z ooの連絡先は以下のとおりです。住所：Ul. Modelarska 18/2, 40-142 Katowice, Poland

メールアドレス: poland@meferi.com

電話番号: +48 734-143-579

c) このような場合の本DPAの準拠法および紛争解決は、契約しているMEFERI関連会社との主要契約によって決定されるものとします。

19. 完全な同意

19.1. 本DPA（付属書類を含む）は、本契約の主題に関する両当事者間の完全な合意を構成するものであり、本契約の主題に関する、書面または口頭による従前および同時のあらゆる合意、提案、または表明に優先するものとします。

以上の証として、両当事者は、主要契約の発効日または顧客によるサービスの使用日をもって、本データ処理契約に同意したことを認めます。

—

付録1

処理の詳細

この付録 1 は DPA の一部を構成し、顧客に代わって MEFERI が行う個人データの処理について説明しています。

A. 当事者一覧

管理者/顧客:

サービス提供に関してMEFERIと主要契約を締結した法人。個人データの処理の目的と手段はお客様が決定します。

プロセッサー / MEFERI:

MEFERI Technologies Co., Ltd.、または本DPAの第18.4条に従って該当する場合、顧客との主要契約の契約当事者であるMEFERI関連会社が顧客にサービスを提供します。

B. 処理の説明

1. 処理の対象：

主要契約に基づきお客様が加入している MEFERI サービス (MEFERI Shadowalk MDM/EMM クラウド ソリューションおよび CIAO Intelligent Shopper Assistant (ISA) ソリューションのクラウド ホスト コンポーネントを含むがこれらに限定されない) の提供、維持、サポート、および改善の文脈における個人データの処理。

2. 処理期間：

MEFERI と顧客との間の主要契約の期間中、およびすべての個人データが DPA の第 10 条に従って削除または返却されるまで。

3. 処理の性質と目的：

– MEFERI Shadowalk MDM/EMMクラウドソリューション：お客様が所有するモバイルデバイス群をリモートで管理、保護、監視、サポートできるようにします。これには、デバイスのプロビジョニング、構成管理、アプリケーション管理、セキュリティポリシーの適用、デバイスの追跡（お客様が有効化している場合）、リモート診断、デバイスの状態と使用状況に関するレポートの生成が含まれます。

– MEFERI CIAO ISAクラウドコンポーネント（MEFERIがプロセッサーの場合）：顧客（小売業者）向けのインテリジェント・ショッパー・アシスタント・ソリューションの運用を円滑にするため。これには、ユーザー認証、ショッピングリストの管理、製品情報の処理、顧客インタラクションデータ（小売業者に提供される分析用）、および顧客の指示に基づくサードパーティサービスとの統合の実現が含まれる場合があります。

– MeCare サービス契約: MEFERI MeCare サービスの場合 (MEFERI がプロセッサーとして機能する場合): 該当する「MeCare (プラン名): 一般利用規約」および MeCare サポート サービス ガイドに記載されているとおり、契約によるサポート、メンテナンス、修理、監視、およびデバイス管理サービスを提供するため。これには、お客様のデバイスに保存または送信される、あるいはサービス提供の過程でお客様から提供される個人データへのアクセス、収集、またはその他の処理が含まれる場合があります。

– サポートサービスの場合：サービスの技術サポート、トラブルシューティング、メンテナンス、アップデートを提供するため。これには、お客様のリクエストと指示に基づいて、サービス内またはお客様のシステムで処理される個人データへのアクセスが含まれる場合があります。

– 本DPAおよび主要契約書に定められた顧客の文書化された指示に従うこと。

– 適用される法的義務を遵守するため。

4. データ主体のカテゴリー：

– 顧客の従業員、請負業者、および承認されたユーザー: 顧客に代わってサービスを管理または使用する個人 (例: Shadowalk を使用する IT 管理者、CIAO を管理または使用する販売スタッフ)。

– 顧客の管理対象デバイスのエンドユーザー（Shadowalk の場合）：Shadowalk ソリューションを通じて顧客が管理するモバイル コンピューターまたはその他のデバイスを使用する個人（例：顧客の従業員）。

– 顧客の顧客（買い物客）（CIAO の場合、MEFERI が小売業者の顧客に代わってクラウド バックエンドで個人データを処理する場合）：小売業者の店舗で CIAO ISA デバイスを使用する個人。

5. 処理される個人データの種類:

処理される個人データの種類は、お客様が利用するサービス、およびお客様による当該サービスの設定方法と利用方法によって異なります。個人データには以下が含まれる場合があります。

– ユーザーアカウントおよび連絡先情報: 氏名、メールアドレス、ユーザー名、パスワード、電話番号、役職、部署、従業員 ID、サービス内の役割/権限 (顧客によるサービス管理に該当する場合)。

– デバイス情報 (Shadowalk の場合): デバイス識別子 (例: シリアル番号、IMEI、MAC アドレス、UDID)、デバイス モデル、オペレーティング システムのバージョン、IP アドレス、ネットワーク情報、デバイスの構成設定、インストールされているアプリケーション、デバイスの場所データ (お客様が有効にした場合)。

– 使用状況およびログデータ（ShadowalkおよびCIAOクラウドの場合）：サービスの使用に関連するシステムログ、監査証跡、アクティビティログ、パフォーマンスデータ、診断データ。

– 買い物客データ（CIAO の場合、該当する場合）：買い物客アカウントの詳細（例：ロイヤルティ ID、CIAO の小売業者のアプリを通じて登録するために買い物客が提供した場合の電子メール）、買い物リスト、製品スキャン履歴、CIAO デバイスとのインタラクション データ。

– サポート データ: サポートのやり取り中にお客様から提供される情報。連絡先の詳細、問題の説明、システム構成の詳細、トラブルシューティングのために MEFERI と共有されるログまたはファイルに含まれる個人データなどが含まれます。

– 顧客（またはその許可されたユーザーもしくはデータ主体）がサービスに送信することを選択したその他の個人データ。

6. 個人データの特別なカテゴリ（該当する場合）

MEFERIは、お客様に代わって特別なカテゴリーの個人データ（GDPR第9条に定義）を処理する意図はありません。お客様は、MEFERIとの書面による明示的な合意があり、適切な保護措置が講じられている場合を除き、特別なカテゴリーの個人データをアップロード、提供、またはMEFERIに処理を指示してはなりません。お客様が事前の合意なしにそのようなデータを提供する場合、お客様は、かかる処理の有効な法的根拠を確保する責任を単独で負うものとします。

—

付録2

技術的および組織的セキュリティ MEASURES (TOMS)

本付録2は、個人データの処理における適切なレベルのセキュリティを確保するためにMEFERIが実施する技術的および組織的措置について説明しています。MEFERIは、サービスの全体的なセキュリティを著しく低下させない限り、これらの措置を随時更新することができます。

1. 情報セキュリティポリシーとガバナンス：

a. MEFERI は、個人データを保護するために設計された社内ポリシーと手順を維持します。

b. 情報セキュリティに関する責任が定義され、割り当てられています。

c. 個人データに対する脅威を特定し、軽減するために定期的なリスク評価が実施されます。

2. 人員のセキュリティ：

a. 個人データにアクセスする従業員および請負業者には、守秘義務が課されます。

b. データ保護とセキュリティ責任に関するセキュリティ意識向上トレーニングが関係者に提供されます。

c. 適用法で認められている場合、機密性の高い役割を担う人員に対して経歴調査が行われることがあります。

3. 物理的なアクセス制御:

a. 個人データが処理される可能性のある MEFERI の敷地および施設 (オフィスなど) への不正な物理的アクセスを防止するための対策が講じられています。

b. これには、セキュリティ境界、アクセス制御システム、監視、および適切な場合の物理アクセスのログ記録が含まれます。

c. MEFERI が本サービスに使用するデータセンター（主要なクラウド サービス プロバイダーである Amazon Web Services (AWS) のデータセンター）については、MEFERI は AWS が実装する堅牢な物理的セキュリティ対策に依存しています。

4. システムアクセス制御（論理アクセス）

a. 個人データを処理する IT システムへのアクセスは、許可された担当者に制限されます。

b. 一意のユーザー ID と強力な認証メカニズム (複雑なパスワード、適切かつ実行可能な場合は多要素認証など) が使用されます。

c. アクセス権は、最小権限の原則（ロールベースのアクセス制御）に基づいて付与されます。

d. アクセス権の定期的なレビューが実施されます。

e. リモート アクセスには安全なプロトコルが使用されます。

5. データアクセス制御:

a. データ処理システムの使用を許可された人物が、割り当てられた役割と責任に従って、アクセス権が参照する個人データのみにアクセスできるようにするための措置が講じられています。

b. 個人データは、サービスの提供に必要な場合、またはお客様の指示がある場合を除き、処理中、使用中、および保管後に許可なく読み取られ、コピー、変更、または削除されることはありません。

c. 職務とデータの分離は適切な場合に実施されます。

6. トランスミッション制御:

a. 個人データは、電子送信または転送中に不正な読み取り、コピー、変更、または削除から保護されます。

b. 暗号化技術（例：転送中のデータにはトランスポート層セキュリティ（TLS）/セキュアソケットレイヤー（SSL））を使用して、パブリックネットワーク経由で送信される個人データを保護します。

c. 個人データを含む物理メディアの転送が発生する場合は、安全な方法が使用されます。

7. 入力制御:

a. 個人データがデータ処理システムに入力、変更、または削除されたかどうか、また誰が入力、変更、または削除したかを後から確認および確認できるようにするための措置が講じられています（例：監査ログを通じて）。

b. 個人データの処理に関連する重要なシステムアクティビティに対して、ログ記録および監査機能が実装されています。

8. データのバックアップと復元:

a. データの可用性と整合性を確保するために、サービス内で処理される個人データの定期的なバックアップが実行されます。

b. バックアップおよびリカバリ手順が定義され、定期的にテストされます。

c. バックアップは安全に保存されます。

9. 可用性制御と回復力:

a. システムは、個人データの可用性と処理システムおよびサービスの回復力を確保するように設計および構成されます。

b. これには、主にMEFERIの主要クラウドサービスプロバイダー（Amazon Web Services – AWS）のインフラストラクチャを活用した冗長性、フォールトトレランス、災害復旧機能などの対策が含まれます。

10. データの分離:

a. 顧客の個人データは、サービス内の他の MEFERI 顧客のデータから論理的に分離されます。

11. 安全なソフトウェア開発（MEFERIのクラウドプラットフォーム向け）

a. 安全なコーディングのプラクティスと原則は、MEFERI のクラウド プラットフォームのソフトウェア開発ライフサイクルに組み込まれています。

b. セキュリティテスト（脆弱性スキャン、侵入テストなど）は、サービスに応じて適宜実施されます。

c. MEFERI のソフトウェアの脆弱性を特定、評価、および修正するための手順が整備されています。

12. インシデント管理:

a. MEFERI は、個人データ侵害を含むセキュリティ インシデントの検出、対応、回復のためのインシデント対応計画と手順を維持します。

b. インシデントは調査され、文書化され、適切な是正措置が講じられます。

c. 適用データ保護法および本DPAの要件に従って、社内および社外への通知に関するコミュニケーション計画が策定されます。

13. サブプロセッサー管理:

a. サブプロセッサーを雇用する前にデューデリジェンスを実施し、サブプロセッサーが適切なレベルのデータ保護を提供できることを確認します。

b. サブプロセッサーとの間で、本DPAに基づきMEFERIに課せられるものと同等以上のデータ保護義務を課す契約が締結されています。

14. 監視とログ記録:

a. 個人データを処理するシステムは、適切かつ実行可能な場合、セキュリティイベントや異常が監視されます。

b. セキュリティインシデントの検出、調査、対応のために、必要に応じて関連ログが収集およびレビューされます。

15. 暗号化:

a. 適切かつ技術的に実行可能な場合（例：機密性の高い個人データを含むデータベース ストレージの場合）には、保存中の個人データの暗号化が実装されます。

b. パブリックネットワーク経由で転送される個人データの暗号化は、業界標準のプロトコル（TLS など）を使用して実装されます。

*(お客様は、セキュリティ対策は技術の進歩と開発の影響を受けること、および MEFERI がセキュリティ対策を随時更新または変更する可能性があることを認めますが、そのような更新と変更によってお客様が購入したサービスの全体的なセキュリティが低下しないことを条件とします。)*

—

付録3

サブプロセッサ

お客様は、MEFERIに対し、以下に列挙するサブプロセッサーのカテゴリーを利用するための一般的な許可を与えます。MEFERIは、特定のサブプロセッサーの最新リストを維持し、MEFERIのウェブサイト上の指定されたウェブページに掲載することにより、お客様に提供します。 https://meferi.com/en/us/legal/subprocessors ）。また、MEFERIのデータ保護担当者（例： legal@meferi.com ).

サブプロセッサーのカテゴリーと目的:

1. クラウド インフラストラクチャ プロバイダー: – サブプロセッサーおよびメイン契約に基づいて顧客に提供されるサービスのメインホスティングの詳細:

– 事業体: Amazon Web Services EMEA SARL (または EEA で提供されるサービスに関する関連する AWS 契約事業体)。

– 目的: メイン契約に基づいて顧客に提供される MEFERI のサービス (例: Shadowalk Cloud、CIAO Cloud バックエンド) をホストするための基盤となるクラウド コンピューティング インフラストラクチャ (サーバー、ストレージ、ネットワーク、データベース) を提供すること。

– 顧客個人データの処理場所 (プライマリホスティング): 本 DPA に基づいて顧客個人データを処理するプライマリ AWS リージョンは、欧州経済領域 (EEA) 内の eu-west-3 (フランス、パリ) です。

– データ転送の安全対策：AWSは、個人データの転送を規定する標準契約条項（SCC）を含むデータ処理補足条項（DPA）を提供しています。この条項は、AWSがEEA域外の適格性判定の対象外の場所でデータを処理する場合、またはEEA域外の場所に転送する場合に適用されます。お客様はAWSのデータ処理補足条項を以下でご確認いただけます。  https://d1.awsstatic.com/legal/aws-dpa/aws-dpa.pdf AWS GDPRコンプライアンスに関する情報は、  https://aws.amazon.com/compliance/gdpr-center/

CDNに関する注意事項（該当する場合）：MEFERIがサービスのパフォーマンス向上のためにAWS CloudFrontまたは類似のコンテンツ配信ネットワーク（CDN）サービスを利用する場合、特定のデータ（通常は静的アセットまたはキャッシュされたコンテンツで、設定によっては個人データが含まれる場合と含まれない場合があります）のコピーが、世界中のAWSエッジロケーションに一時的にキャッシュされることがあります。ただし、サービスにおけるお客様の個人データの正式な保管および主要な処理は、上記で指定されたAWSリージョン（eu-west-3）内で行われます。MEFERIは、CDN経由で配信されるお客様の個人データがGDPRの要件に従って処理されることを保証します。

– 主要契約に基づいて顧客に提供されるサービスのためのその他のクラウド インフラストラクチャ プロバイダー:

– 現在、MEFERI は、上記以外に、主要ホスティングまたは主要契約で定義されたサービスの直接提供のために、他のサードパーティのクラウド インフラストラクチャ プロバイダーを利用していません。

2. 通信サービスプロバイダー:

– 目的: サービス提供および使用に関連して、顧客またはその許可されたユーザーへの重要な通信を容易にするため (例: サービス通知、パスワードリセット、セキュリティアラートの電子メール配信、重要なアラートまたは 2 要素認証コードの SMS 配信)。

– 使用される特定のサブプロセッサー:

– 電子メールによる通信の場合:

– エンティティ: Amazon Web Services EMEA SARL (Amazon Simple Email Service – SES を利用)。

– MEFERI の特定の目的: サービスに関連して、顧客の許可されたユーザーにトランザクションおよびサービス関連の電子メール通知 (アカウントアラート、パスワードリセット、サービス更新、重要なセキュリティ情報など) を送信するため。

– 処理場所：メール送信インフラストラクチャは、主にMEFERIがサービスに利用するAWSリージョン内にあります（例えば、可能な場合はアイルランドのeu-west-1やパリのeu-west-3などのEEAリージョンから送信するように設定されています）。SESを介した個人データ（メールアドレスやメールの内容など）の処理は、AWSデータ処理補足条項に準拠します。

– データ転送の安全対策：Amazon Web Servicesデータ処理補足契約（標準契約条項を含む）の対象となります。

で： https://d1.awsstatic.com/legal/aws-dpa/aws-dpa.pdf.

– SMS通信の場合:

– 法人: Twilio Inc.

– MEFERI の特定の目的: 重要なアラートや 2 要素認証 (2FA) コードの配信など、サービスの一部としてお客様の許可されたユーザーに SMS 通知を送信するため (お客様がそのような機能を有効にして使用している場合)。

– 処理されるデータの性質: 通常、顧客の許可されたユーザーの電話番号と SMS メッセージの内容 (認証コード、アラート テキストなど) が含まれます。

– 処理場所：主に米国。

– データ移転の安全対策：個人データの移転は、Twilioのデータ処理補足契約（標準契約条項（SCC）を含む）に準拠します。お客様は、TwilioのDPAを以下のウェブサイトでご確認いただけます。 https://www.twilio.com/legal/data-protection-addendum.

– その他の通信サービスプロバイダー:

– 現在、MEFERIは、本DPAに基づき、メールおよびSMSに関して上記に記載されている範囲を超えて、お客様の個人データを処理するために、他の第三者通信サービスプロバイダーを利用していません。他の種類の通信サービスを必要とする特定の機能が導入され、お客様がオプトインされた場合、MEFERIはこのリストを更新し、本DPA第6.2条に従ってお客様に通知します。

3. 分析およびサービスパフォーマンス監視プロバイダー:

目的：MEFERIのサービス（Shadowalk Cloud、CIAO Cloudバックエンドなど）のパフォーマンスを監視し、エラーを特定し、利用パターンを分析し、サービスの安定性、機能性、およびユーザーエクスペリエンスを維持・向上させること。MEFERIのサービスのためにこれらのプロバイダーが処理するデータは、通常、仮名化、集約、または技術データ／運用データで構成されています。MEFERIは、サポートまたはトラブルシューティングの目的でお客様に明示的に指示または同意された場合を除き、これらのプロバイダーを利用して、サービス内のお客様の個人データの特定の内容を分析することはありません。

– 使用される特定のサブプロセッサー:

– 事業体: Functional Software, Inc. (Sentry として事業を行っています)。

– MEFERI の特定の目的: MEFERI のクラウドベースのサービス (Shadowalk Cloud、CIAO Cloud バックエンド) 内でのリアルタイムのエラー追跡、診断、パフォーマンス監視により、技術的な問題を特定して解決します。

– 処理されるデータの性質: 通常、エラーメッセージ、スタックトレース、デバイス/ブラウザ情報、IPアドレス（MEFERIはSentryの機能の範囲内で可能な場合は匿名化または保存しないように設定する場合があります）、およびサービスイベントに関連するその他の運用メタデータが含まれます。MEFERIは、顧客の個人データの取得を最小限に抑えるようにSentryとの統合を構成します。

– 処理場所：主に米国。

– データ転送の安全対策：転送は、標準契約条項を含むSentryのデータ処理補足契約に準拠します。詳細は以下をご覧ください。 https://sentry.io/legal/dpa/

– ウェブサイトおよびポータル分析（コントローラーとしてのMEFERI）：

– MEFERIのコーポレートウェブサイト（例：meferi.com）およびMEFERIがデータ管理者として機能するその他のMEFERI所有の公開ポータルに関連する分析については、分析プロバイダー（Google Analyticsなど）およびデータ処理の詳細は、MEFERIの一般プライバシーポリシーに記載されています。これらのプロバイダーは、お客様に提供されるサービスにおいてMEFERIに代わってお客様の個人データを処理する場合を除き、本DPAに基づくサブプロセッサーとしてここに記載されていません。

4. サポートおよびカスタマーサービスツール:

– 目的: 顧客サポートの問い合わせを管理し、ヘルプデスク サービスを提供し、MEFERI のサービスのサポートに関連するコミュニケーションを促進します。

– 使用される具体的なツール:

– MEFERIは、support.meferi.comからアクセスできる独自のカスタマーサポートポータルおよびチケットシステムを利用しています。このシステムはMEFERIによって開発および保守されており、本付録の第1項（「クラウドインフラストラクチャプロバイダー」）に記載されているとおり、Amazon Web Services（AWS）が提供するMEFERIのクラウドインフラストラクチャ上でホストされています。

– このサポートポータルを通じてお客様の許可されたユーザーによって送信された個人データ（連絡先の詳細、お問い合わせ内容など）は、この MEFERI が運営するシステム内で処理されます。

– MEFERIは現在、本DPAに基づく顧客個人データを処理する顧客サポートプラットフォームにおいて、サードパーティのSaaS（Software-as-a-Service）プロバイダーを利用していません。 – サポートポータルにおけるデータ処理とユーザーの同意：

– support.meferi.com にアクセスするユーザーは、MEFERI のプライバシー ポリシーおよびサポート ポータルに適用されるユーザー契約の条件に従うものとします。これらの条件は、ユーザーがポータルに直接送信した個人データの MEFERI による収集および使用を規定します。

– サードパーティプロバイダーの将来の関与：

– MEFERI が将来、顧客の個人データを処理するためにサードパーティのサポートまたは顧客サービスツールプロバイダーを利用することを選択した場合、このリストは更新され、本 DPA の第 6.2 項に従って顧客に通知されます。

5. 技術下請業者（例：専門的な開発、保守、セキュリティテストなど）

– 現在、MEFERI は、主に社内の人員を使用して、サービス (MEFERI Shadowalk MDM/EMM クラウド ソリューションや CIAO Intelligent Shopper Assistant (ISA) ソリューションのクラウド ホスト コンポーネントなど) の専門的な技術サービス、ソフトウェア開発、システム メンテナンス、セキュリティ テストを行っています。

– MEFERI は現在、本 DPA に基づき MEFERI に代わって顧客の個人データを処理することが必要となる立場で、第三者の技術下請業者を雇用していません。

– MEFERI が将来、顧客の個人データを処理する技術下請業者と契約することを決定した場合、MEFERI はこの下請業者リストを更新し、本 DPA の第 6.2 条に従って顧客に通知し、必要に応じて適切なデータ転送保護策を実施することを含め、かかる契約が本 DPA に規定されている下請処理の要件に準拠することを保証します。

6. 認定修理サービスセンターおよび物流プロバイダー:

– 目的: 該当するサービス契約 (MeCare サービス プランなど) または保証条件に基づいて、MEFERI 製品のデバイス修理、診断、改修、および関連する物流サービスを提供する。

– エンティティ/カテゴリ: MEFERI またはその関連会社が MEFERI デバイスの修理および取り扱いを行うために契約している認定サードパーティ サービス センターまたは物流パートナー。(MEFERI はこのような認定プロバイダーのネットワークを維持しています。特定の修理に関する具体的なプロバイダーの詳細は、顧客の所在地とサービス リクエストの性質によって異なる場合があります)。

– 処理されるデータの性質: 次のようなものが含まれる場合があります:

– 修理を調整するお客様の担当者の連絡先情報（名前、電子メール、電話番号、発送先住所）。

– デバイス識別子（シリアル番号、モデル）。

– 顧客から提供された問題の説明。

修理のために送付されたデバイスに、お客様が出荷前に削除または保護していない場合、個人データが残っている可能性があります。MEFERIは、修理のためにデバイスを送付する前に、個人データをバックアップおよび／または削除するようお客様に指示しており、MEFERIの当該データの紛失に対する責任は、主要契約または適用されるサービス規約に従って限定されます。ただし、修理センターが診断または修理の過程で当該データにアクセスする場合、当該データはお客様の個人データとして扱われます。

– 処理担当者の所在地：修理サービスセンターは、お客様の所在地とMEFERIのサービスネットワークに応じて、EEA、中華人民共和国、その他の国を含む世界中のさまざまな地域に設置される場合があります。MEFERIは、ご要望に応じて、または可能な場合はRMAプロセスの一環として、特定の修理センターの所在地に関する情報を提供します。

– データ保護の安全策：顧客の個人データにアクセスする可能性のあるすべての認定修理サービスセンターおよび物流業者は、MEFERI（または契約を締結するMEFERI関連会社）との書面による契約の対象となります。これらの契約には、本DPAに規定されているものと同等以上のデータ保護要件を課す機密保持義務およびデータ処理条件が含まれます。欧州経済領域（EEA）外の、欧州委員会が適切と判断しない国に所在するこれらの業者への顧客の個人データの転送については、MEFERIは、標準契約条項（SCC）など、GDPR第V章に基づく適切な転送メカニズムが確実に実施されるようにします。デバイス上の個人データへのアクセスは、診断および修理に必要な範囲に限定されます。