LEGAL HOME / General

データ処理補足規定

本Tapjoyデータ処理補足規定(「DPA」)は、2018年5月25日から発効し、お客様によるTapjoyの「広告サービス」、「パブリッシャー·サービス」またはその両方(これらのサービスを総称して「本サービス」といいます。)の利用に関するTapjoy, Inc.(「Tapjoy」)とお客様(適宜、「お客様」、「広告主」または「パブリッシャー」といいます。)との間の契約、および、http://www.tapjoy.com/legalにおいて入手可能なお客様に適用される契約(適宜、「広告契約」または「パプリッシャー契約」といい、これらを総称して「Tapjoy契約」といいます。)に組み込まれ、その一部となります。

お客様がEEA(欧州経済領域)またはスイスに由来する個人データをTapjoyに提供する場合には、お客様およびTapjoyは、本 DPAがTapjoyによる本サービスの提供およびお客様による本サービスの利用の過程において行われる、Tapjoyによる個人データの収集、移転および処理に適用されることに同意することになります。

  1. 定義本DPAにおける用語は、定義語として使用されているか否かを問わず、下記の意味を有します。本DPAで定義されていない用語は、お客様に適用のあるTapjoy契約で定義された意味を有します。
    1. 広告サービス」とは、お客様の広告契約に基づいて実行される一または複数の掲載申込みに基づきTapjoyが提供するモバイル·アプリ内広告サービスを意味します。
    2. 広告サービス·データ」とは、お客様の広告サービスの利用に関連して、お客様がTapjoyに提供し、お客様の便益のためにのみ使用される個人データを意味します。
    3. 適用データ保護法」とは、本DPAの対象となる個人データの処理に適用される、プライバシーおよびデータ保護に関するすべての国際法、連邦法、国内法および州法を意味します。これらには、個人データの処理に適用されるEU(欧州連合)の法律および規則、特に、(i)2018年5月25日まで効力を有するEUデータ保護指令(指令95/46/EC)、(ii)2018年5月25日以降適用されるEU一般データ保護規則(規則(EU)2016/679)(「GDPR」)、(iii)EU e-Privacy指令(指令2002/58/EC) および、制定された場合は、発行日以降適用されるEU e-Privacy規則、ならびに(iv)(i)、(ii)、(ii)または(iii)に基づき制定されるデータ保護に関する国内法が含まれますが、これらに限定されません。
    4. 管理者」とは、個人データの処理の目的および手段を決定する者(組織)をいいます。
    5. EEA」とは、欧州経済地域を意味します。
    6. モデル契約条項」とは、https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en,で入手可能な個人データの移転に関する標準契約条項を意味し、具体的には、(a)パブリッシャー収益化データの移転のための、管理者から管理者への移転の場合の標準契約条項2004(セットII)(委員会決定2004/915/EC)、ならびに(b)広告サービス·データおよびパブリッシャー·サービス·データの移転ための、管理者から処理者への移転の場合の標準契約条項2010(委員会決定2010/87/EU)を意味します。
    7. 個人データ」とは、本契約に基づき処理される、識別されたまたは識別可能な個人(データ主体)に関する情報であって、お客様もしくはTapjoyのいずれか、またはその両方がデータ管理者である情報を意味します。
    8. プライバシー·シールド」とは、米国商務省が定めるEU-米国プライバシー·シールド·フレームワークおよびスイス-米国プライバシー·シールド·フレームワークを意味します。
    9. 処理者」とは、管理者に代わって個人データを処理する者(組織)を意味します。
    10. 処理」とは、GDPRに基づき定められる意味を有します。
    11. パブリッシャー収益化データ」とは、Tapjoyのパブリッシャー収益化サービスの利用に関連して使用するために、お客様のモバイル·アプリケーションに統合されたTapjoy SDKを介して提供される個人データを意味し、これには、お客様のモバイル·アプリケーションのエンドユーザーであるデータ主体のモバイルデバイス識別子およびIPアドレスが含まれます。
    12. パブリッシャー·サービス·データ」とは、お客様によるTapjoyの収益化以外のパブリッシャー·サービスの使用に関連して、もっぱらお客様の便宜のために使用される目的でお客様がTapjoyに提供する個人データを意味します。
    13. パブリッシャー·サービス」とは、お客様のパブリッシャー契約に基づきお客様が利用するTapjoyパブリッシャー·サービスを意味し、これには、Tapjoyのパブリッシャーサービス利用規https://www.tapjoy.com/ja/legal/publishers/publishers-terms-of-service/において定義される、収益化サービス、分析サービスおよび仮想通貨管理サービスが含まれることがあります。
    14. セキュリティ·インシデント」とは、Tapjoyが処理者としてお客様のために処理する個人データの破棄、紛失、改ざん、不正開示であって、Tapjoyが管理する保存場所内にあるお客様の個人データへの不法または不正のアクセスにより発生したものを意味します。
    15. 移転」とは、個人データが由来する国または法域以外の国または法域に所在する個人、事業体またはシステムによる当該個人データへのアクセス、または、これらへの当該個人データの移転もしくは引渡し、もしくは開示を意味します。
  2. 処理の目的および内容
    1. 各々の役割
    お客様およびTapjoyは、各々が、お客様のTapjoy契約および本DPAに記載された目的のためにのみ、または、お客様とTapjoyとの間の別途の書面による合意に従い、個人データを処理し、移転することに合意します。お客様およびTapjoyは、以下のとおり確認し、同意します。
      1. 広告サービス。 管理者であるお客様は、お客様の広告契約に基づき、かつ、本DPAに従い、広告サービスに関連する広告サービス·データを処理する処理者としてTapjoyを任命します。
      2. パブリッシャー収益化サービス。 管理者であるお客様は、お客様のパブリッシャー契約に基づき提供されるパブリッシャー収益化データに関して、お客様およびTapjoyが、各々、独立して管理者を務めることを確認します。
      3. その他のパブリッシャー·サービス。 管理者であるお客様は、お客様の広告契約に基づき、かつ、本DPAに従い、パブリッシャー·サービス·データを処理する処理者としてTapjoyを任命します。
    お客様およびTapjoyは、GDPR第9条において言及されている特別カテゴリーの個人データについては、互いにこれを移転もしくは提供せず、または処理する責任を負いません。
  3. 管理者としての義務
    1. 義務の遵守。 お客様およびTapjoyは各々、自己が個人データの管理者として行動する際は、お客様による本サービスの利用およびTapjoyによる本サービスの提供において、適用データ保護法を含むすべての適用法令を遵守すること(当該遵守には、適用データ保護法に基づき求められる管理者の一切の義務の履行が含まれます。)に同意します。お客様およびTapjoyは各々、セキュリティ·インシデントから個人データを保護するためのセキュリティ措置(これにはGDPR第32条に基づいて必要とされるすべての措置が含まれます。)を実施し、維持します。
    2. データ主体の要求。 お客様およびTapjoyは各々、自己が管理者として行動する際は、それぞれの個人データに関するデータ主体の要求(個人データに関するアクセス、訂正、修正、処理の制限、ポート、処理に対する異議申し立て、ブロックまたは削除の要求を含みますがこれらに限定されません。)について、(お客様とTapjoyとの間の場合と同様)これを受領および管理する唯一の独立した義務を負います。該当する場合は、法的に認められる範囲において、お客様およびTapjoyは各々、データ主体の要請の取扱いに関して、相手方に合理的な協力および支援を提供します。
    3. 第三者の要求。 該当する場合は、法的に許容される範囲において、お客様およびTapjoyは各々、互いの要請に応じて、規制当局、個人、監督官庁、裁判所またはその他の第三者から受領した連絡、照会または苦情に関して、合理的な協力および支援を相手方に提供します。
    4. 処理者の任命。 お客様およびTapjoyが独立した管理者である場合、各当事者は、本DPAおよびお客様のパブリッシャー契約に定める目的のために個人データの処理を行う第三者であるデータ処理者を任命することができます。ただし、当該任命は、データ処理者が、(i)当該パブリッシャー契約(およびお客様とTapjoyとの間のその他の契約上の合意)に従って個人データにつき処理を行うことに書面により同意していること、(ii)当該パブリッシャー契約が適用される個人データをセキュリティ·インシデントから保護するために適切な技術的および組織的セキュリティ措置を、本DPAで要求される基準に従って実施していること、さらに、(iii)その他、GDPR第28条に基づくすべての要件を含め、適用データ保護法上の要請を満たす方法で個人データを処理することにつき十分な保障を提供すること、を条件とします。
  4. 国際的移転義務
    1. ヨーロッパ·データ。 お客様およびTapjoyは、以下のとおり合意します: EEAもしくはスイス、またはGDPRもしくはEU指令95/46/ECを承認する他の国もしくは法域(「対象地域」と総称します。)に由来する個人データ(「ヨーロッパ·データ」)は、対象地域外の法域に移転してなりません。ただし、当該移転が「承認移転メカニズム」に従う場合はこの限りではありません。「承認移転メカニズム」とは、(i)受領者が、EEAもしくはスイス、または欧州委員会もしくはスイス連邦データ保護庁(いずれか該当するもの)が個人データの適切な保護を提供していると決定した他の国に所在している場合、または(ii)受領者について、次の(a)から(d)のいずれかである場合をいいます:(a)適用データ保護法に従って拘束力のある会社規則に従ってヨーロッパ·データを受領する場合、(b)対象地域に拠点を置く当該個人データの移転元とモデル契約条項を締結している場合、(c)米国に所在し、EU-USまたはスイス-USプライバシー·シールド(いずれか該当するもの)への準拠を証明している場合、または(d)その他の承認移転メカニズムに従い当該データを移転する場合。
    2. モデル契約条項。 お客様は、本文書により、お客様に適用されるモデル契約条項に同意し、これを締結します。当該モデル契約条項の条件は、言及により本契約に組み込まれ、本契約の一部を構成します。モデル契約条項においては、お客様がデータの移転元であり、Tapjoy, Inc.がデータ移転先です。
      1. 管理者から管理者への移転の場合のモデル契約条項-詳細: 第II条(h)において、お客様およびTapjoyは、選択肢(iii)を選択し、管理者から管理者への移転の場合のモデル契約条項の別紙A(Annex A)に定めるデータ処理原則に準拠し、これを遵守することに同意します。別紙B(Annex B)において、(i)データ主体は、お客様がTapjoy収益化サービスを使用するモバイル·アプリケーションのエンドユーザーであり、(ii)移転の目的は、お客様のパブリッシャー契約に従ったデータの使用を許可することであり、(iii)移転されるデータは、本DPAおよびお客様のパブリッシャー契約に記載されているとおりであり、(iv)個人データの受領者はTapjoy, Inc.であり、(v)センシティブなデータは移転されておらず、かつ、移転してはならず、(vi) 該当するデータ登録情報はなく、(vii)追加の有用な情報はなく、また、(viii)データ保護に関する問い合わせ連絡窓口は、お客様のパブリッシャー契約に基づくお客様およびTapjoyの通常の連絡窓口とします。
      2. 管理者から処理者への移転の場合のモデル契約条項-詳細: 附属書1(Appendix 1)において、(i) データ主体とは、広告主に関しては、Tapjoyの広告サービスにより広告されるお客様の製品またはサービスの現在のまたは潜在的なの顧客、パブリッシャーに関しては、お客様のモバイル·アプリケーションのエンドユーザー、広告主およびパブリッシャーの両方に関する場合は、お客様の本サービスの利用に責任を負う個人(従業員、エージェントまたは代理人)であり、(ii)移転されるデータは、本DPAおよびお客様のTapjoy契約に記載されるとおりであり、(iii)特別なカテゴリーのデータについてはこれを移転しておらず、かつ、移転してはならず、(iv)移転された個人データは、お客様のTapjoy契約に基づきTapjoyがお客様に対して行うサービスの提供に関連して処理されます。附属書2(Appendix)2において、データ移転先は、データ移転元とデータ移転先を当事者とする本 DPAの添付書類1の記載に従い、データ移転元が提供する個人データのセキュリティ、機密性および完全性を保護するための管理上、物理上および技術上の保護を維持し、データ移転先は、お客様のTapjoy契約が有効である間、本サービスの全般的なセキュリティを実質的に低下させないようにします。
      3. 優先順位: 適用されるモデル契約条項の条件がお客様のTapjoy契約の他の条項と矛盾する場合、モデル契約条項が優先します。
    3. プライバシー·シールド。 お客様は、Tapjoyが米国を本拠地としていることを了解します。Tapjoyは、プライバシー·シールドの遵守の認証手続きを現在進めており、当該認証および遵守を維持することを表明します。したがって、認証の効力発生日以降、Tapjoyが有効かつ最新の認証を維持する限り、Tapjoyが米国においてヨーロッパ·データを合法的に受領し、処理することができることに、お客様は同意することになります。複数の承認移転メカニズムが適用される場合、当該移転は、まず、Tapjoyのプライバシー·シールドの自己証明に準拠し、次いでモデル契約条項に準拠します。
    4. 将来の要件。 お客様およびTapjoyは、将来の適用データ保護法または方針に基づき要求される許可、認可または同意の申請および取得を可能にするために、相互に商業的に合理的な協力をすることに合意します。
  5. プライバシー方針の開示
    1. 各当事者は、公表されたプライバシー方針において、データ主体ための連絡窓口を指定します
    2. 各当事者は、適用データ保護法により要求される、両当事者間の関係およびデータ移転の性質を反映したプライバシー方針を、そのウェブサイトおよびそのモバイル·アプリケーションにおいて表示します。
  6. データ主体の同意に関するお客様の義務
    1. お客様は、Tapjoyが本サービスを提供するためにモバイルデバイス識別子およびIPアドレスデータを使用することを認めます。したがって、お客様が管理者である、本DPAに基づき提供される個人データに関して、お客様は、データ主体の同意が自由に、十分な説明を受けたうえでなされ、具体的かつ曖昧さのないものであり、また(パブリッシャー収益化データに関しては)オンライン行動ターゲティング広告に関し、オーディエンスのセグメンテーションおよびターゲティングための利用が同意対象に含まれていることを確保するために十分な通知·同意メカニズムを実施していることを表明します。
    2. お客様およびTapjoyは、モバイル·オプトアウト·シグナルを尊重します。お客様はTapjoyに対し、デバイス設定でオプトアウトしたデバイス(「オプトアウトデバイス」)からの個人データを提供しません。ただし、お客様が付随するオプトアウト·シグナルを提供する場合はこの限りではありません。Tapjoyは、オンライン行動ターゲティング広告を目的として、オプトアウトデバイスから個人データを故意に収集または使用することはしません。
    3. 要請がある場合、お客様はTapjoyに対し、パブリッシャー収益化データに関して、データ主体の同意を得るためのお客様のプロセスまたはメカニズムを説明する文書を提供することに同意します。
    4. お客様およびTapjoyは、COPPAフラグ付け、GDPRの同意またはオプトアウトデバイスに関するあらゆるシグナルを伝達する適用可能なOpenRTB仕様を使用し、これを尊重することに同意します。
    5. Tapjoyの単独の裁量により、通知または同意のメカニズムまたはテンプレート(例えば、TapjoyのSDKを介して有効化されたプライバシー通知とそれへの同意画面またはインタースティシャル)(「SDKツール」)をお客様に提供することを選択した場合、その限りにおいて、これを実施するか否かの決定はお客様の裁量により行われるものであることを、お客様は了承します。お客様は、当該SDKツールはもっぱら「現状有姿」で提供されること、また、当該ツールに依拠すべきではなくまたはTapjoyによる当該ツールの提供をTapjoyの法律上の助言として依拠すべきではないこと、そして、お客様とTapjoyとの間における場合と同様、お客様によるデータ主体の同意に関する義務の遵守の性質およびその十分性については、お客様のみが責任を負うことを理解し、これに同意します。
  7. 処理者としてのTapjoyの義務

Tapjoyは、お客様の処理者として行動する場合、以下に同意します。

  1. データ主体の要求。 Tapjoyは、お客様のためのTapjoyによる個人データの処理に関連して、適用データ保護法に基づく権利(アクセス、訂正、異議申し立て、消去およびデータの移転を可能とすることなどの権利を適宜含みます。)の行使を希望するデータ主体からの要請、またはお客様のためのTapjoyによる個人データの処理に関連して、個人、規制当局、裁判所またはその他の第三者からその他の連絡、照会または苦情をTapjoyが受領した場合、法的に許容される範囲内で、速やかにお客様に通知します。当該処理および当該要請の性質を考慮し、Tapjoyは、お客様が適用データ保護法に基づきデータ主体の要請に対応する義務を履行するに際して、可能な限りお客様を支援します。お客様の要請がある場合、お客様が当該データ主体の要請をかなえることができない限度において、Tapjoyは、お客様による対応を支援するための商業的に合理的な取り組みを、法的に許可され、かつ、適用データ保護法および規則に基づき要求される限りおいて、提供します。
  2. 秘密保持およびセキュリティ。 Tapjoyは、お客様のTapjoy契約の秘密保持条項に従い、Tapjoyがお客様のために処理する個人データの秘密を保持することに同意します。Tapjoyは、お客様のための個人データの処理に関与するTapjoyの人員に対し、Tapjoyのための業務完了後も効力を有する秘密保持契約書を締結することを要求し、かつ、お客様のTapjoy契約に従い、お客様のためにTapjoyが処理する個人データへのアクセスを、業務上知る必要のある人員に限定します。Tapjoyは、要請がある場合はお客様に対し、Tapjoyの書面化されたプライバシーおよび情報セキュリティに関する方針の写しを提供します。個人データに影響を及ぼすセキュリティ·インシデントが発生したと判断した場合、Tapjoyは、速やかにお客様に通知し、セキュリティ·インシデントによる影響および損害を緩和するために合理的な措置を講じ、お客様に対し、お客様が適用データ保護法に基づく自己のセキュリティ·インシデント報告義務を履行するために合理的に要求する情報および協力を、適時に提供します。お客様は、セキュリティ侵害の企て(お客様の個人データまたはお客様の個人データを保存するTapjoyの機器もしくは施設への不正アクセスに至らない事態を意味します。)に関してTapjoy側がお客様に対して一切の義務を負わないこと、また、Tapjoyによる本項の遵守を、現実のまたは企てにとどまったセキュリティ·インシデントに関連してTapjoy側が落ち度または責任を認めたとみなしてはならないことに同意します。
  3. 終了時の取扱い。 Tapjoyがお客様のための処理者であるTapjoy契約の終了または期間満了の際は、お客様の要請に応じて、Tapjoyは、下請処理者が保有する複製および個人データを含め関連する一切の個人データを破棄または匿名化します。ただし、例外として、Tapjoyは、その法律上、会計上および監査上の目的のために一定の個人データを保持することができます。
  4. 監査。 Tapjoy契約の秘密保持条項に従うことを条件に、Tapjoyは、お客様に対し、お客様の費用で、合理的に受け入れ可能な第三者である監査人により、本DPAに基づくお客様の処理者としてのTapjoyの義務の遵守を監査する権利を付与します。これには、監査の実施に必要な情報、システムおよびスタッフへのアクセスの提供が含まれます。お客様の監査の権利は、お客様が監査の意向についての合理的な事前通知を行い、監査が通常の業務時間中に行われ、お客様の監査人がTapjoyの業務に不必要な混乱を生じさせないための合理的な一切の措置を講じることを条件とします。この監査の権利は年1回まで行使することができます。ただし、(i)データ保護管轄官庁の指示により早急に要求される場合、または(ii)Tapjoyに影響を及ぼすセキュリティ·インシデントを理由に追加の監査が必要であるとお客様が合理的に信じる場合には、その限りにおいて、例外とします。
  5. 下請処理者。 お客様の処理者である場合Tapjoyは、お客様の事前の書面による同意なしに、個人データの処理を第三者である下請処理者に委託しません。前述にかかわらず、以下の(i)から(iii)を条件に、お客様は、Tapjoyが個人データ処理のために第三者である下請処理者を使用することに同意します:(i)Tapjoyが、要請がある場合、Tapjoyのその時点で最新の下請処理者のリストをお客様に提供すること、(ii)Tapjoyが下請処理者の追加または削除に関して少なくとも14日前の通知(実施する当該処理の詳細を含みます。)を行うこと。通知方法は、直接電子メールをするか、公表されているTapjoyの下請処理者のリストを更新するか、その他Tapjoyの広告主およびパブリッシャーに通常、連絡される方法によるかを問いません、(iii)Tapjoyが下請処理者に対し、本DPAの条項と同程度の保護を与えるデータ保護条項に拘束されることを要求すること、および(iv)Tapjoyが、下請処理者の作為、過誤または不作為に起因する本DPAの違反に対して全面的に責任を負うこと。お客様が個人データの保護に関連する理由により、Tapjoyによる第三者下請処理者の任命への同意を合理的に拒否する場合、Tapjoyが当該下請処理者を任命しないか、またはお客様が本DPAを終了し、本サービスの利用を停止することを選択することができます。

効力発生日:2018525

別紙1Attachment 1)

Tapjoyセキュリティ対策

Tapjoy 設備アクセス管理

構内、システム、ネットワークへの物理的なアクセスを保護するために、Tapjoyの業界標準のセキュリティ対策には、無線自動識別装置(RFID)ドアロック·スケジュール、単一の従業員バッジ、およびオンサイト·セキュリティ担当者が含まれます。

Tapjoyシステム·アクセス管理

Tapjoyのオンライン·システムを保護するために、Tapjoyは、複雑なパスワード(大文字、小文字、数字、記号文字)を要求し、4回続けてログインに失敗した場合のロックアウトを伴うパスワード変更、およびマルチファクタ認証によるシングル·サイン·オン(SSO)を実施しています。疑わしいアクティビティ、ユーザアカウント、および許可について、四半期に1回の精査、年1回の監査を実施しています。ダッシュボード、エンジニアリング·バックエンド·プロダクション·システム、および財務システムに関するTapjoyの重要なシステム·アクセス管理ポリシーにおいて、すべてのアクセスはバイス·プレジデント以上の承認を必要と定めています。アクセス要求は監査トレールのためにで記録され、アクセスレベルは毎年監査され、再承認を受けています。

Tapjoyネットワークおよびデータ

Tapjoy のネットワークを保護するために、Tapjoy は、アクティブ·ディレクトリ(AD) またはLightweight Directory Access Protocol (LDAP) によってコントロールされたラップトップおよびモバイルのアカウントにフルディスク暗号化を実施しています。Tapjoyすべてのコードおよび技術インフラは、マルチファクタ認証によって保護されています。Tapjoyダッシュボードは、ロールの割り当てによって管理され、アクセス管理のためのログインリストファイルによって監査され、内部ユーザーのアクセスはSSOによって管理されています。ロールまたはそのアクセシビリティの変更または追加には、バイス·プレジデントの承認が必要です。

Tapjoyストレージと移転管理

収集された個人データは、Tapjoyインフラ全体において、保存状態で暗号化されます。外部トラフィックにはSSLの使用が要求されます。可能な場合は常に、データは匿名化または仮名化されます。広告主の支払い情報については、Tapjoy はサービス提供のためにPCI 準拠の第三者を使用しているため、当該情報は直接、受理または処理されることはありません。

Tapjoy ジョブ管理

管理者と処理者の責任を分別するために、Tapjoyは、データ管理者/移転元である広告主およびデータ処理者/移転先であるTapjoy間の、特定の言語とモニターされたパフォーマンスによる契約を整備しています。

Tapjoy アベイラビリティ管理

Tapjoyは、データを偶発的な損壊や紛失から保護するために、適切なバックアップ手順、リモートストレージ、アンチウイルス/ファイアウォール·システム、および災害時回復プロトコルを実施しています。

Tapjoy インプット管理

Tapjoy は、データ管理および保守の完全な証拠を維持するために、ログギングおよびレポ―ティングのシステムを実施しています。

Table of content