バージョン5、2022年12月30日施行

Cloudflare, Inc. ("Cloudflare") と本規約に同意する取引相手（"お客様") は、Cloudflareが提供するサービスに関するEnterprise Subscription Agreement, Self-Serve Subscription Agreementまたはその他の書面もしくは電子契約（"本契約") を締結しています。 本データ処理補遺、付録を含む （「DPA」）、本契約の一部を構成しています。

本DPAは、お客様が本DPAに署名した日または当事者が本DPAに別途合意した日（以下「DPA発効日」）から有効となり、その主題に関連する以前に適用された条件（本サービスに関するデータ処理の修正、合意、補遺を含む）に取って代わり、優先されるものとします。

お客様がお客様を代表して本DPAを受諾する場合、お客様は以下のことを保証するものとします：(a) お客様を本DPAに拘束する法的権限を完全に有していること、(b) 本DPAを読み、理解したこと、(c) お客様を代表して、本DPAに同意すること。 お客様を拘束する法的権限がない場合は、本DPAを受諾しないでください。

データ処理条件

本DPAは、本サービスを提供するために、Cloudflareがお客様に代わってプロセッサー（または該当する場合はサブプロセッサー）として個人データを処理し、当該個人データが適用データ保護法（以下に定義します）の対象となる場合に適用されます。

両当事者は、適用されるデータ保護法に従って当該個人データを保護するために適切な保護措置が講じられていることを確認するために、本DPAを締結することに合意しました。 従って、Cloudflareは、お客様のためにプロセッサー（または該当する場合はサブプロセッサー）として処理する個人データに関して、以下の規定を遵守することに同意するものとします。

1. 定義

1.1 このDPAでは、以下の定義を使用します：

a) "適切な国" とは、欧州データ保護法に基づき、個人データの適切な保護を提供すると認められている国または地域を意味します。

b) "関連会社" とは、当事者に関して、直接的または間接的に、当該当事者を支配し、当該当事者に支配され、または当該当事者と共通支配下にある企業体を意味します（ただし、当該支配が存在する限りにおいてのみ）。

c) 「適用されるデータ保護法」とは、欧州データ保護法および米国データ保護法を含む、本契約に基づく個人データの処理に適用されるすべての法令をいいます。

d) 「Cloudflare Group」とは、Cloudflareおよびその関連会社のいずれかを意味します。

e) "コントローラ" 個人データの処理の目的および手段を決定する事業者を意味し、適用されるデータ保護法に基づいて定義される「コントローラ」、「ビジネス」、または類似の用語を含みます。

f) 「お客様グループ」とは、お客様およびその関連会社を意味します。

g) 「欧州データ保護法」とは、本契約に基づく個人データの処理に適用される欧州連合、欧州経済領域、それらの加盟国、スイスおよび英国のすべての法令（該当する場合、（i）個人データの処理に関する自然人の保護および当該データの自由移動に関する欧州議会および理事会の規則2016/679（一般データ保護規則）（the"EU GDPR" )を含む；(ii) イギリスの欧州連合（離脱）法2018及びイギリスデータ保護法2018の第3条によりイギリス法に保存されるEU GDPR（「"UK GDPR" 」）； (iii) 1992年6月19日のスイス連邦データ保護法及びその対応条例（「Swiss DPA」）；(iv) EU e-プライバシー指令（指令2002/58/EC）、および (v) (i)、(ii)、(iii)、(iv)のいずれかに基づき、これに従い、またはこれと関連して適用されるあらゆる国内データ保護法。

h) "個人データ" とは、適用されるデータ保護法において、'個人データ', '個人情報', または '個人識別情報' （または類似の用語）と定義されているすべてのデータを意味します。

i) "処理", "データ主体", 及び "監督機関" は、欧州データ保護法において付与される意味を有するものとします。

j) "Processor" とは、コントローラに代わって個人データを処理する事業者を意味し、情報を受け取る事業者がサービスを提供する目的でのみ個人データ情報を保持、使用、または開示することを要求する書面による契約に基づき、他の事業者が事業目的のために自然人の個人情報を開示する事業者を含み、「プロセッサ」、「サービスプロバイダー」または適用データ保護法に基づいて定義される類似用語を含みます。

k) "サービス" は、インターネットプロパティ、アプリケーションおよびネットワークのパフォーマンス、セキュリティおよび可用性を高めるために設計された、Cloudflareまたはその認定パートナーが提供、マーケティングまたは販売するすべてのクラウドベースソリューションと、上記に関連して利用可能となるソフトウェア、ソフトウェア開発キットおよびアプリケーションプログラミングインターフェース（"API" ）を指すものとします。

l) "EUSCCs" とは、欧州議会および理事会の規則（EU）2016/679に基づく個人データの第三国への移転に関する標準契約条項に関する2021年6月4日の欧州委員会の実施決定2021/914に付属する契約条項のことをいいます。

m) "Restricted Transfer" とは、以下を意味する：(i) EU GDPRまたはデータ保護に関するスイス連邦法が適用される場合、欧州委員会またはスイス連邦データ保護・情報コミッショナー（該当する場合）による適切性判断の対象とならない、欧州経済領域またはスイス（該当する場合）から欧州経済領域またはスイス以外の国への個人データの移転、および (ii) 英国GDPRが適用される場合、英国データ保護法2018の17A条による十分性規制に基づかない英国からその他の国への個人データの移転が該当します。

n) "UK Addendum" とは、英国データ保護法2018のs.119(A)に基づき情報コミッショナー事務所が発行した国際データ移転補遺（バージョンB1.0）（随時更新または修正される）をいいます。

o) 「米国データ保護法」とは、本契約に基づく個人データの処理に適用される米国のすべての法令を意味し、（a）2018年カリフォルニア消費者プライバシー法、2020年カリフォルニアプライバシー権法により改正されたもの（Cal． Civ. Code § 1798.100 - 1798.199, 2022）およびその施行規則（以下、総称して「CCPA」）、（b）バージニア州消費者データ保護法（発効時）、（c）コロラド州プライバシー法およびその施行規則（発効時）、（d）ユタ州消費者プライバシー法（発効時）、（e）コネチカット州 SB6、個人データプライバシーとオンラインモニタリングに関する法律（発効時）。

1.2 エンティティ "コントロールズ" は、以下の場合、他のエンティティを制御する：(a) その企業の議決権の過半数を保有する、(b) その企業の会員または株主であり、その企業の取締役会または同等の経営機関の過半数を解任する権利を有する、(c) その企業の会員または株主であり、単独または他の株主または会員との合意に基づいて、その企業の議決権の過半数を支配している；また、2つの事業体は、どちらかが他方を（直接または間接的に）支配している場合、あるいは両者が同じ事業体に（直接または間接的に）支配されている場合、「共通支配」にあるものとして扱われます。

1.3 本 DPA において、本サービスを「提供する」または「提供する」とは、本契約に定義された本サービスを提供することを意味します；

2. 当事者の状況

2.1 本DPAに従って処理される個人データの種類、および処理の主題、期間、性質、目的、データ主体のカテゴリーは、付属書1に記載されているとおりです。

2.2 各当事者は、個人データに関連して、適用されるデータ保護法が要求するのと同レベルのプライバシー保護を遵守し提供することを保証します。 当事者間において、個人データの正確性、品質、適法性、およびお客様が個人データを取得する手段については、お客様が唯一の責任を負うものとします。

2.3 個人データに関する本DPAに基づく当事者の権利および義務に関して、当事者は、お客様がコントローラー（または第三者のコントローラーに代わって個人データを処理するプロセッサー）であり、Cloudflareがプロセッサー（または場合によりサブプロセッサー）であることを認め、同意するものとします。

2.4 お客様が処理者である場合、お客様は、クラウドフレアを別の処理者として任命すること、および該当する場合はEU SCC（下記第6.2条（b）および（c）で修正される場合を含む）の締結を含む個人データに関するお客様の指示および行動が、関連する第三者の管理者によって承認されている（および本DPAの期間中は、引き続き承認する）ことをクラウドフレアに保証するものとします。

3. Cloudflareの義務

3.1 Cloudflareは、プロセッサーまたはサブプロセッサーとしての役割において処理するすべての個人データに関して、以下のことを保証します：

(a) 本サービスを提供するという限定的かつ特定された事業目的のためにのみ、かつ、以下に従って個人データを処理すること：(i) 本契約および本DPAに規定されたお客様の書面による指示。ただし、クラウドフレアが適用されるEUまたは加盟国の法律により要求される場合はこの限りではなく、(ii) 適用データ保護法の要件に従う。 クラウドフレアが適用データ保護法に基づいて個人データを処理する必要がある場合、クラウドフレアは、その法律が公共の利益の重要な理由でそのような情報を禁止していない限り、処理前にその法的要件をお客様に通知するものとします；

(b) マーケティングまたは広告の目的で個人データを使用しないこと；

(c) 個人データの処理によってもたらされるリスクに適したセキュリティレベル、特に個人データの偶発的または違法な破壊、損失、改ざん、不正な開示、またはアクセスに対する保護を確保するための適切な技術的および組織的手段を実施すること。 かかる措置には、付属書2に定めるセキュリティ対策（「セキュリティ対策」）が含まれるが、これに限定されない。 お客様は、セキュリティ対策が技術的な進歩および開発の対象となること、ならびに、かかる更新および修正が本サービスの全体的なセキュリティを低下または減少させないことを条件に、Cloudflareがセキュリティ対策を随時更新または修正することがあることを認めます；

(d) 権限を有する者のみが当該個人データにアクセスできるようにし、個人データへのアクセスを許可した者が契約上または法令上の守秘義務を負っていることを確認すること；

(e) Cloudflare、そのサブプロセッサー、またはその他の特定もしくは未特定の第三者が、お客様へのサービス提供を目的として送信、保存、またはその他の処理を行った個人データの偶発的または違法な破壊、損失、変更、不正な開示、またはアクセスにつながるセキュリティ違反に気づいた場合、過度な遅延なくお客様に通知する、またはその他の特定もしくは未特定の第三者（「個人データ侵害」）に対して、個人データに影響を及ぼす限りにおいて、当該個人データ侵害に関してクラウドフレアが保有するすべての合理的な情報を含む、合理的な協力および支援をお客様に提供します；

(f) 適用される法律により要求される場合を除き、お客様の事前の書面による同意なしに、個人データの侵害に関する公表（「Breach Notice」）を行わないこと；

(g) データ対象者がお客様と関連していることをCloudflareが確認できる範囲において、データ対象者からそのデータ対象者の個人データに関するデータ保護権（アクセス権、修正権、消去権を含む）の行使を求める要請（「データ対象者の要請」）を受けた場合、速やかにお客様に通知します。 Cloudflareは、お客様の事前の書面による同意なしに、データ対象者のリクエストに応じないものとします。ただし、当該リクエストがお客様に関するものであることを確認する場合は、この限りではありません（お客様はここに同意するものとします）；

(h) Cloudflareが可能な範囲で、適用法に沿って、顧客がCloudflareの支援なしにデータ対象者リクエストに対処する能力を持たない場合、データ対象者の個人データに関して適用データ保護法に基づくデータ保護権（アクセス、修正または消去の権利を含む）を行使するためのデータ対象者リクエストに対応するために、顧客に対して合理的支援を提供します。 お客様は、要求者が、要求がなされた個人データに関するデータ主体であることを確認する責任を負います。 Cloudflareは、本款に依拠してお客様に善意で提供された情報に対して、一切の責任を負いません。 お客様は、当該支援の提供に関連してCloudflareが負担したすべての費用を負担するものとします；

(i) 適用法令を遵守するために必要な範囲を除き、本契約の終了もしくは満了または本サービスの完了後、お客様の選択により、本DPAに従って処理されたすべての個人データ（その写しを含む）を削除または返却すること；

(j) 処理の性質およびクラウドフレアが利用可能な情報を考慮し、適用されるデータ保護法に基づくクラウドフレアの義務に関して、顧客が合理的に要求する支援を顧客に提供すること：

(i) データ保護影響評価および事前協議（これらの用語は適用されるデータ保護法で定義されます；）

(ii) 個人データの侵害に対応する、適用データ保護法に基づく監督当局への通知及び/又はお客様によるデータ主体への連絡。

(iii) お客様が、処理の安全性に関して適用データ保護法に基づく義務を遵守していること；

ただし、お客様は、当該支援の提供に関連してクラウドフレアが負担したすべての費用を負担するものとします。

(k) 第3.1条(a)に基づきお客様から提供された指示が適用データ保護法を侵害するとクラウドフレアが判断した場合、または適用データ保護法に基づく義務をもはや果たすことができないとクラウドフレアが判断した場合、お客様に通知すること ii.

3.2 クラウドフレアがCCPAの範囲内でお客様に代わって個人データを処理する範囲において、クラウドフレアはお客様に対して以下の追加約束をします：クラウドフレアは、本契約および本DPAに規定された目的以外の目的、および「販売」免責事項を含むCCPAの下で許可された目的以外で、当該個人データを保持、使用、または開示しないものとします。 Cloudflareは、CCPAで定義されているように、当該個人データを「販売」または「共有」することはありません。 本第3.2条は、本契約または本DPAにおいてクラウドフレアがお客様に対して行うデータ保護の約束を制限または削減するものではありません。

3.3 Cloudflareは、第2項および第3項の義務および制限、ならびに適用されるデータ保護法を理解し、これを遵守することを証明するものとします。

4. サブプロセシング

4.1 クラウドフレアは、本サービスを提供する特定の目的のためにのみ、個人データをサブプロセッサーに開示するものとします。

4.2 クラウドフレアは、本DPAに関連して、クラウドフレアに代わってサービスの一側面を提供するために関与するサブプロセッサーが、当該サブプロセッサーに対して、本DPAにおいてクラウドフレアに課せられる条件（すなわち、データ保護義務）に劣らない個人データの保護条件を課す書面による契約（「関連条件」）に基づいてのみそうなるようにするものとします。 クラウドフレアは、当該サブプロセッサーによる関連条項の履行を確保し、当該サブプロセッサーによる関連条項の違反について、お客様に対して責任を負うものとします。

4.3 お客様は、(a)CloudflareがCloudflare Groupの他のメンバーをサブプロセッサーとして任命すること、(b)CloudflareおよびCloudflare Groupの他のメンバーが、サービスの履行をサポートするために第三者のデータセンター運営者、ビジネス、エンジニアリングおよびカスタマーサポートプロバイダーをサブプロセッサーとして任命することを、書面による一般承認として付与するものとします。

4.4 Cloudflareは、サブプロセッサのリストを https://www.cloudflare.com/gdpr/subprocessors/ で管理します。 また、個人データの処理を開始する日の少なくとも30日前までに、新規および代替のサブプロセッサー名をリストに追加します。 お客様がデータ保護に関連する合理的な理由で新規または交換のサブプロセッサーに異議を唱える場合、お客様は、通知から10日以内に書面にて当該異議をクラウドフレアに通知し、当事者は誠実に問題の解決に努めるものとします。 クラウドフレアがサブプロセッサーを使用せずに本契約に従ってお客様に本サービスを提供することが合理的に可能であり、その裁量でそうすることを決定した場合、お客様は提案されたサブプロセッサー使用に関して本第4条4項に基づくそれ以上の権利を有さないものとします。 Cloudflareがその裁量でサブプロセッサーの使用を要求し、提案された新規または代替サブプロセッサーの使用に関するお客様の異議を満たすことができない場合、お客様は、個人データの処理に提案された新規サブプロセッサーを使用するサービスに関してのみ、Cloudflareが当該新規または代替サブプロセッサーの使用を開始する日をもって該当する注文書を終了することができるものとします。 お客様が、本第4.4条に従って、新規または交換のサブプロセッサーに対して適時に異議を述べない場合、お客様は、当該サブプロセッサーに同意し、異議を申し立てる権利を放棄したものとみなされます。

5. 監査と記録

5.1 クラウドフレアは、適用データ保護法に従い、クラウドフレアが個人データの処理に関して適用データ保護法上の処理者の義務を遵守していることを示す目的で、顧客が合理的に要求することができるクラウドフレアの保有または管理する情報を顧客に提供するものとします。

5.2 クラウドフレアは、個人データに関連する適用保護法に基づくお客様の監査権を、提供することにより履行することができるものとします：

(a) 独立した外部監査人が作成した、Cloudflareの技術的および組織的な対策が十分であり、認められた業界の監査基準に従っていることを証明する13ヶ月以内の監査報告書；

(b) 本DPAに基づきクラウドフレアが実施する個人データの処理に関連してデータ保護監督当局が追加情報を要求または要求する場合、クラウドフレアが保有または管理している追加情報。

(c) お客様の個人データがEU SCCsの対象となり、本5.2項に従って提供された情報が、お客様の合理的な判断により、クラウドフレアが本DPAまたは適用データ保護法に基づく義務を遵守していることを確認するには不十分である限り、クラウドフレアは、お客様が、本契約期間（本契約で定義）中の年間期間につき1回のオンサイト監査を要求し、クラウドフレアが5.3項に従い、本DPAの義務遵守していることを確認できるものとします。

5.3 お客様が希望する監査には、以下の追加条件が適用されるものとします：

(a) お客様は、Cloudflareの監査報告書のレビューに関する要望を、customer-compliance@cloudflare.com に送付する必要があります。

(b) Cloudflareが第5.2条(c)に基づく監査の依頼を受領した後、Cloudflareおよびお客様は、合理的な開始日、範囲、期間、および第5.2条(c)に基づく監査に適用するセキュリティおよび機密管理について事前に協議し合意するものとします。 可能な限り、このような監査のための証拠は、Cloudflareの直近の第三者監査で収集された証拠に限定されます。

(c) Cloudflareは、第5.2条(c)に基づく監査に対して、手数料（Cloudflareの合理的な費用に基づく）を請求できるものとします。 Cloudflareは、かかる監査に先立ち、適用される料金の詳細およびその計算根拠をお客様に提供します。 お客様は、かかる監査の実行のためにお客様が指名した監査人が請求する手数料を負担するものとします。

(d) クラウドフレアは、5.2(c)項に基づく監査を行うために顧客が指名した監査人が、クラウドフレアの合理的な見解において、適切な資格または独立性を有していない、クラウドフレアの競合他社、またはその他の明らかに不適当（すなわち、上記の側面と同等のクラウドフレアの事業に有害な影響を与える可能性がある監査人）であれば、書面にて異議を申し立てられるものとします。 Cloudflareによるそのような異議申し立てがあった場合、お客様は別の監査人を任命するか、自ら監査を実施する必要があります。 EU SCC（以下の第6.2条(a)項および(b)項において修正される場合を含む）が適用される場合、本第5.3項のいかなる規定も、EU SCCを変更または修正するものではなく、EU SCCに基づく監督当局またはデータ主体の権利に影響を与えるものではない。

6. EEA、スイス、英国からのデータ移転

6.1 本サービスに関連して、当事者は、Cloudflare（およびそのサブプロセッサー）が、欧州経済領域（「EEA」）、スイス、および英国外で、お客様またはお客様グループのメンバーがコントローラー（または場合により第三者のコントローラーに代わるプロセッサー）となる可能性のある、欧州データ保護法によって保護される特定の個人データを処理することがあると想定しています。

6.2 当事者は、欧州データ保護法により保護される個人データのお客様またはお客様グループのメンバーからCloudflareへの移転が制限付き移転である場合、以下のように適切なEU SCCの対象となることに同意するものとします：

(a) EU Transfers: EU GDPRによって保護される個人データに関連して、EU SCCsは以下のように完成して適用されます：

(i) お客様（またはお客様グループの関連メンバー）がコントローラーである場合、モジュール 2 が適用され、お客様（またはお客様グループの関連メンバー）がプロセッサーである場合、モジュール 3 が適用されます；

(ii) 第 7 条において、オプションのドッキング条項が適用されます；

(iii) 第9条において、オプション2が適用され、サブプロセッサの変更の事前通知の期間は、本DPAの第4.3条に定めるとおりとします；

(iv) 第 11 条において、オプション文言は適用されない；

(v) 第17条において、オプション2が適用され、データ輸出者の加盟国が第三者の受益権を認めない場合、ドイツの法律が適用されるものとします；

(vi) 第18条(b)において、紛争は、当事者間の本契約を管轄する裁判管轄の裁判所、または当該裁判管轄がEU加盟国でない場合には、ドイツ・ミュンヘンの裁判所において解決するものとします。 いずれの場合においても、第17条および第18条（b）は、裁判地の選択および裁判管轄が準拠法の国に属するという点で一致するものとします；

(vii) EU SCCのAnnex Iは、本DPAのAnnex 1に記載された情報により完成したものとみなされる。

(viii) EU SCCs の Annex II は、本 DPA の Annex 2 に記載された情報で完了したものとみなすものとする。

(b) UK Transfers: UK GDPRで保護されている個人データに関しては、本DPAの第6.2項(a)に記載されているように、EU SCCが適用され、当該個人データの移転には、以下を除いて適用されるものとします：

(i) EU SCCは、譲渡する顧客（または顧客グループの関連メンバー）とCloudflareとの間で締結されたものとみなされるUK Addendumによって規定されるように修正されるものとします；

(ii) EU SCC の条件と英国補遺の条件との間に矛盾がある場合は、英国補遺の第 10 条および第 11 条に従って解決されるものとします；

(iii) 英国補遺の目的上、英国補遺第1部の表1～表3は、本DPAの付属書に含まれる情報を用いて完成したものとみなされること。

(iv) 英国補遺第1部の表4は、"neither party "を選択することにより、記入されたものとみなされる。

(c) スイス移転： データ保護に関するスイス連邦法（改正または置換されたもの）によって保護される個人データに関しては、本DPAの第6.2条（a）に規定されたEU SCCsが、当該個人データの移転に適用されるものとしますが、以下の場合は除きます：

(i) 当該個人データに関する管轄監督官庁は、スイス連邦データ保護・情報委員会とします；

(ii) 第 17 条において、準拠法はスイス法とします；

(iii) EU SCC における「加盟国」という表現は、スイスを指すものと解釈され、スイスに所在するデータ主体は、スイスにおいて EU SCC に基づく権利を行使し、実施する権利を有するものとする。

(iv) EU SCCにおける「一般データ保護規則」、「規則2016/679」または「GDPR」への言及は、データ保護に関するスイス連邦法（改正または置き換えられたもの）への言及と理解するものとします。

(d) 以下の条項は、EU SCC（上記6.2(b)項および(c)項に基づき修正される場合を含む：）

(i) お客様は、本 DPA の第 5 条に規定され、その要件に従って、EU SCC に基づく監査の権利を行使することができます。

(ii) クラウドフレアは、本DPA第4条および第6.3条に規定され、その要件に従ってサブプロセッサーを任命することができ、お客様は、EU SCCに基づくサブプロセッサーに対する異議申し立ての権利を、本DPA第4.3条に規定される方法で行使することができます。

(e) 本DPAのいずれかの条項が、直接的または間接的にEU SCC（および必要に応じてUK Addendum）と矛盾する場合、後者が優先されるものとします。

6.3 第6.2条に基づいてCloudflareに行われた制限付き移転に関して、Cloudflareは、（個人データの「輸出者」であるか「輸入者」であるかを問わず）欧州データ保護法を完全に遵守して、個人データの輸出者と輸入者の間で実施されるEU SCCに従って、または輸入者が採用した代替移転メカニズム（第6.5条に定義）が適用されていない限り、個人データのさらなる制限付き移転に参加しない（またサブプロセッサが参加するのを許可しない）とするものとします。

6.4 お客様が特定の国または地域への転送に関するEU SCCの妥当性の評価を行おうとする場合、Cloudflareは、可能な範囲で、当該評価の目的のためにお客様に合理的な支援を提供するものとし、お客様は当該支援の提供に関連してCloudflareが負担したすべての費用を負担するものとします。

6.5 Cloudflareが本DPAに記載されていない個人データの移転について代替データ輸出メカニズム（適用される欧州データ保護法に従って採用されたプライバシーシールドの新バージョンまたは後継を含む）を採用する範囲（"代替移転メカニズム" )、お客様は、本DPAに記載された適用可能な移転メカニズムの代わりに代替移転メカニズムが適用され（ただし、当該代替移転メカニズムが欧州データ保護法に準拠し、個人データが移転される地域に及ぶ範囲に限る）、当該代替移転メカニズムに法的効力を与えるために合理的に必要となるその他の文書の締結およびその他の行為を行うことに同意するものとします。

7. 第三者によるデータアクセス要求

7.1 クラウドフレアがプロセッサーまたはサブプロセッサー（該当する場合）として顧客のために処理する個人データを要求する第三者の法的手続きに気づいた場合、クラウドフレアは以下を行います：

(a) そのような通知が法的に禁止されている場合を除き、直ちにその旨をお客様に通知すること；

(b) 第三者が個人データの処理者またはサブ処理者（該当する場合）であり、お客様の同意なしに個人データを開示する権限がないことを通知すること；

(c) 第三者がお客様に連絡し、データ要求をお客様に向けるよう指示できるよう、必要最低限のお客様の連絡先を第三者に開示すること。

(d) Cloudflareが、お客様の承認を得て、または強制的な法的強制力により、第三者の法的手続きに応じて個人データへのアクセスを提供または開示する範囲において、Cloudflareは、法的に要求される範囲内で、適用される法的手続きに従って、最小限の個人データを開示するものとします。

7.2 クラウドフレアのプロセッサーまたはサブプロセッサーとしての役割（該当する場合）において、政府当局（司法当局を含む）が発行し、個人データへのアクセスまたは開示を要求する第三者の法的手続きの対象となる場合があります。 クラウドフレアがプロセッサーまたはサブプロセッサー（該当する場合）としてお客様のために処理する個人データを要求する政府当局（司法当局を含む）が発行した第三者の法的手続きに気付いた場合、クラウドフレアが合理的な努力でその要求を検討し、その結果、個人データを要求する当該第三者の法的手続きが法律の矛盾を生じさせることを特定できる範囲で、クラウドフレアは以下を行います：

(a) 上記7.1項において特定されたすべての措置を講じる；

(b) 個人データを作成する前に、控訴裁判所レベルまで法的救済を追求すること。

(c) 適用される手続き上の規則により要求されるまで（そしてその範囲内で）、個人データを開示しないこと。

7.3 第7.1条および第7.2条は、個人に対する死亡または重大な身体的傷害の危険を伴う緊急事態により、政府の要請が必要であるとクラウドフレアが誠実に信じる場合には適用されないものとします。 この場合、Cloudflareは、データ開示が法的に禁止されている場合を除き、開示後できるだけ早くお客様に通知し、その詳細をお客様に提供するものとします。

7.4 クラウドフレアは、個人データを要求する第三者の法的手続きについて、クラウドフレアの半期透明性レポート（https://www.cloudflare.com/transparency/）の形で、お客様に定期的に最新情報を提供します。

7.5 お客様がCloudflareと本DPAを締結した時点で、Cloudflareは以下に列挙するコミットメントを行います。 Cloudflareは、 https://www.cloudflare.com/transparency/において、必要に応じてこれらのコミットメントを更新します：

(a) Cloudflareは、当社の暗号化キーや認証キー、あるいは顧客の暗号化キーや認証キーを誰かに渡したことはありません。

(b) Cloudflareは、当社のネットワークのどこにも、法執行機関のソフトウェアや機器をインストールしたことはありません。

(c) Cloudflareは、いかなる法執行機関に対しても、当社のネットワークを通過するお客様のコンテンツのフィードを提供したことはありません。

(d) Cloudflareは、法執行機関またはその他の第三者の要請により、その暗号化を弱めたり、妥協したり、破壊したりしたことはありません。

8. 一般

8.1 本DPAは、引き続き完全な効力を有する本契約に基づく当事者の権利及び義務を害するものではありません。 本DPAの条項と本契約の条項が矛盾する場合、主題が個人データの処理に関係する限り、本DPAの条項が優先するものとします。

8.2 EU SCCのもとを含む本DPAに基づく、またはこれに関連するCloudflareの責任は、本契約に含まれる責任の除外および制限に従うものとします。 いかなる場合も、Cloudflareは、データ主体または管轄のデータ保護当局に対する責任を制限または排除しません。

8.3 EU SCC に明示的に規定されている場合または適用データ保護法の問題として要求される場合を除き、本 DPA は、第三者受益権を付与するものではなく、本契約の当事者およびそれぞれの許可された後継者および譲受人のみの利益を意図しており、その他の者の利益のためではなく、本契約のいかなる条項も執行することはできない。

8.4 本DPAおよびこれに関連する行為は、法の抵触に関する原則に影響されることなく、本契約に規定された法律に準拠し、これに従って解釈されるものとします。 当事者は、本契約に定める裁判所の人的管轄権および裁判地に同意するものとします。

8.5 本DPAのいずれかの条項が何らかの理由で無効または執行不能と判断された場合でも、本DPAの他の条項は引き続き執行可能です。 上記の一般性を制限することなく、お客様は、第8.2条（責任の制限）が、本DPAのいずれかの条項の執行不能にかかわらず、有効に存続することに同意するものとします。

8.6 本DPAは、本契約の主題に関する当事者の最終的、完全かつ排他的な合意であり、当該主題に関する当事者間のすべての事前の協議および合意に優先し、統合されるものとします。

アネックス1

データ処理の説明

本付属書1は、DPAの一部を構成し、Cloudflareがお客様のために行う処理を記述しています。

A.当事者リスト

アネックス2

技術的・組織的なセキュリティ対策

Cloudflareは、ISO/IEC 27000規格に準拠した情報セキュリティプログラムを実施し、維持するものとします。 Cloudflareのセキュリティプログラムには、以下のものが含まれるものとします：

個人データの暗号化の措置

Cloudflareは、個人データを適切に保護するために、暗号化を実施しています：

• 公的機関が利用できることが分かっているリソースで、能動的および受動的な攻撃に対する効果的な保護を提供するように設計された最先端の暗号化プロトコルを使用する；

• 信頼できる公開鍵認証局およびインフラストラクチャ；

• 対称型暗号化では最低128ビットの鍵長、非対称型アルゴリズムでは最低2048ビットRSAまたは256ビットECC鍵長など、効果的な暗号化アルゴリズムとパラメータ化。

処理システムおよびサービスの継続的な機密性、完全性、可用性および回復力を確保するための措置

Cloudflareは、本番環境における処理システムやサービスのセキュリティを以下のように強化します：

• 本サービスを提供するために使用されるコードのセキュリティを高めるためにコードレビュープロセスを採用し、使用前および使用中にコードおよびシステムの脆弱性をテストしています；

• 外部からのバグバウンティープログラムを維持する；

• 暗号化されたデータの整合性を検証するためのチェックを使用することと

• 予防的、反応的な侵入検知を採用。

Cloudflareは、地理的に分散されたデータセンターに高可用性システムを導入しています。

Cloudflareは、個人データを保護し、機密性を維持するために、以下のような入力管理策を実施しています：

• データの入力、閲覧、変更、削除のための権限規定；

• 認証情報（パスワード）およびハードトークンを使用して、認証された人員を認証すること；

• ユーザーIDが一定期間使用されないと、自動的にサインアウトする機能；

• データの入力、保存されたデータの読み取り、変更、削除を保護すること。

• データ処理施設（コンピュータのハードウェアおよび関連機器を収容する部屋）を施錠して安全に保管することを義務づける。

物理的または技術的な事故が発生した場合に、個人データへの可用性およびアクセスを適時に回復する能力を確保するための措置

Cloudflareは、個人データを偶発的な破壊または損失から保護するために、維持することを含む措置を実施します：

• 災害復旧および事業継続の計画および手順；

• 地理的に分散されたデータセンターで

• 電源やインターネット接続などのインフラを冗長化しています；

• バックアップは代替サイトに保存され、プライマリシステムの障害時に復元可能である。

• 定期的にテストされるインシデント管理手順。

処理の安全性を確保するために、技術的・組織的措置の有効性を定期的にテストし、評価し、評価するプロセス

Cloudflareの技術的および組織的な対策は、Cloudflareのセキュリティ& プライバシーコンプライアンスプログラムの一環として、外部の第三者監査人により定期的にテストおよび評価されています。 これには、ISO/IEC 27001の年次監査、AICPA SOC 2 Type II、PCI DSS Level 1、およびその他の外部監査が含まれる場合があります。 また、対策は内部監査によって定期的に検証され、さらに年次および目標に応じたリスクアセスメントも実施されています。

ユーザーの識別と認証のための措置

Cloudflareは、ユーザー認証と権限管理について、以下のような効果的な対策を実施しています：

• 強制的なアクセス制御と認証のポリシーを適用すること；

• 識別と認可のゼロトラストモデルを適用する；

• 物理的なハードトークンの使用を義務付けるなど、固有の認証情報および強力な多要素認証を使用して、許可された人員を認証すること；

• 役割に応じた適切な権限の割り当てと管理、承認、例外管理。

• 最小権限アクセスの原則を適用する。

送信中のデータ保護のための措置

Cloudflareは、送信中に権限のない者によって個人データが読み取られ、コピーされ、変更され、または削除されることを防ぐために、効果的な対策を実施します（以下、「送信中」といいます：

• 公的機関が利用可能であることが分かっているリソースで、能動的および受動的な攻撃に対する効果的な保護を提供するように設計された最先端のトランスポート暗号化プロトコルを使用する；

• 信頼できる公開鍵認証局やインフラを利用する；

• 適切なファイアウォール、相互のTLS暗号化、API認証、データが通過するゲートウェイやパイプラインを保護するための暗号化、ソフトウェアの脆弱性やバックドアの可能性をテストするなど、トランスポート暗号化を提供する送受信システムに対するアクティブおよびパッシブ攻撃に対する保護策を実施する；

• 対称型暗号化では最低128ビットの鍵長、非対称型アルゴリズムでは最低2048ビットのRSAまたは256ビットのECC鍵長など、効果的な暗号化アルゴリズムとパラメータ化を採用する；

• 正しく実装され、正しく保守されたソフトウェアを使用し、脆弱性管理プログラムの対象とし、監査により適合性をテストする；

• 暗号鍵を確実に生成、管理、保管、保護するための安全な手段を実施すること。

• 監査ログ、監視、データ通信の追跡。

保管中のデータ保護のための措置

Cloudflareは、保管中の個人データを保護するために、データ処理システムへのアクセスを制御および制限し、効果的な対策を実施します：

• 公的機関が利用可能であることが分かっているリソースで、能動的および受動的な攻撃に対する効果的な保護を提供するように設計された最先端の暗号化プロトコルを使用する；

• 信頼できる公開鍵認証局やインフラを利用する；

• データを保存しているシステムのソフトウェアの脆弱性やバックドアの可能性を検証する；

• 個人情報を保存するすべてのディスクを128ビット以上の鍵長を持つAES-XTSで暗号化することを義務付けるなど、効果的な暗号化アルゴリズムとパラメータ化を行う。

• 正しく実装され、正しく保守されたソフトウェアを使用し、脆弱性管理プログラムの対象とし、監査により適合性をテストする；

• 暗号鍵を確実に生成、管理、保管、保護するための安全な手段を実施すること；

• データ処理システムにアクセスするシステムおよびユーザを識別し、権限を付与すること；

• 一定期間操作が行われないと、自動的にユーザーをサインアウトさせること。

• データ処理システムおよびストレージシステムへのアクセスの監査記録、監視、および追跡。

Cloudflareは、データ処理システムの特定の領域に対してアクセス制御を実施し、許可されたユーザーのみが、それぞれのアクセス許可（認可）によってカバーされる範囲および程度で個人データにアクセスできること、および個人データが許可なく読み取り、コピー、修正または削除されないことを保証します。 を含む様々な施策により実現するものとする：

• 個人データに対する各従業員のアクセス権に関する従業員ポリシーおよびトレーニング；

• ユーザー識別と認可のゼロトラストモデルを適用する；

• 物理的なハードトークンの使用を義務付けるなど、固有の認証情報および強力な多要素認証を使用して、許可された人員を認証すること；

• 個人データの削除、追加、修正の権限を持つ者の行動を監視すること；

• 差別化されたアクセス権や役割の割り当てを含め、許可された人物にのみデータを公開すること。

• データへのアクセスを制御し、データの破棄を制御し、文書化する。

個人データが処理される場所の物理的セキュリティを確保するための措置

クラウドフレアは、個人データが処理または使用されるデータ処理装置（すなわち、データベースおよびアプリケーションサーバー、ならびに関連ハードウェア）に対して、権限のない者がアクセスすることを防ぐために、効果的な物理的アクセス制御ポリシーおよび手段を維持および実施します（以下を含みます：

• セキュアエリアの確立

• アクセス経路を保護・制限する；

• 従業員および第三者に対するアクセス権限の設定（それぞれの文書を含む）；

• 個人データがホストされているデータセンターへのすべてのアクセスは、記録、監視、追跡されます。

• 個人データが保管されているデータセンターは、セキュリティアラームシステム、およびその他の適切なセキュリティ手段によって保護されています。

イベントロギングを確実に行うための対策

Cloudflareは、システム管理者を含む個人データへのアクセスを記録、監視、追跡し、受け取った指示に従ってデータが処理されるようにするため、ログ記録および監視プログラムを実施しています。 など、さまざまな施策で実現しています：

• 物理的なハードトークンの使用を義務付けるなど、固有の認証情報および強力な多要素認証を使用して、許可された人員を認証すること；

• ユーザー識別と認可のゼロトラストモデルを適用する；

• システム管理者の識別情報を更新していること；

• 高リスクの異常を検知・評価し、対応するための手段を導入している；

• 処理インフラに対する安全かつ正確で、変更されていないアクセスログを12ヶ月間保存すること。

• ログの設定、監視システム、アラート、インシデント対応プロセスを少なくとも年1回テストすること。

初期設定を含むシステム構成を確保するための方策

Cloudflareは、サードパーティーのシステムを含む、本番のデータ処理環境をサポートするすべてのシステムの構成ベースラインを維持しています。 設定ベースラインは、CIS（Center for Internet Security）レベル1ベンチマークなどの業界のベストプラクティスに合わせる必要があります。 自動化されたメカニズムを使用して、本番システムにベースライン構成を強制し、不正な変更を防止する必要があります。 ベースラインの変更は、少数の権限を持つCloudflareの担当者に限定され、変更管理プロセスに従う必要があります。 変更は監査可能でなければならず、ベースライン構成からの逸脱を検出するために定期的にチェックしなければならない。

Cloudflareは、最小特権の原則を使用して情報システムのベースラインを構成します。 デフォルトでは、アクセス設定は「deny-all」に設定されており、デフォルトのパスワードは、Cloudflareネットワークへのデバイスのインストール前、またはソフトウェアやオペレーティングシステムのインストール直後に、Cloudflareのポリシーに合うように変更する必要があります。 システムは、国際原子時または協定世界時（UTC）に基づいてシステムの時間クロックを同期させるように構成され、時間データの修正へのアクセスは許可された人員に制限されます。

IT・ITセキュリティの内部ガバナンスとマネジメントのための施策

Cloudflareは、ITシステムの許容される使用と一般的な情報セキュリティに関する内部ポリシーを維持します。 クラウドフレアは、全従業員に対し、少なくとも毎年、一般的なセキュリティおよびプライバシーに関する意識向上トレーニングを実施するよう求めています。 Cloudflareは、個人データの処理を制限し保護し、文書化し実施しています：

• Cloudflareのデータおよび情報システムの機密性、完全性、真正性、可用性を保護し、業務をサポートするデータおよび情報システムに対するセキュリティ管理の有効性を確保するために、正式な情報セキュリティ管理システム（ISMS）を導入します。

• Cloudflareは、顧客情報の処理者および管理者として、Cloudflareのグローバルマネージドネットワークを支える方針および手続きの機密性、完全性、真正性、可用性を保護するために、正式なプライバシー情報管理システム（PIMS）を導入しています。

Cloudflareは、監査に備え、また証拠保全のため、技術的・組織的措置の文書を保管します。 Cloudflareは、その雇用する者及び当該職場のその他の者が、本付属書2に定める技術的及び組織的措置を認識し、これを遵守するよう合理的な措置を講じるものとします。

プロセスや製品の認証・保証のための措置

クラウドフレアのISMSの実施と関連するセキュリティリスク管理プロセスは、業界標準であるISO/IEC 27001の外部認証を取得しています。 クラウドフレアの包括的なPIMSの実装は、顧客情報の処理者および管理者の両方として、業界標準のISO/IEC 27701の外部認証を取得しています。

CloudflareはPCI DSS Level 1に準拠しており、Cloudflareは第三者であるQualified Security Assessorによって毎年監査を受けています。 Cloudflareは、AICPA Trust Service Criteriaに基づくAICPA SOC 2 Type II認証など、その他の認証も取得しており、これらの認証やCloudflareが随時取得する認証の詳細は、Cloudflareのウェブサイトにて公開されます。

サブ）プロセッサーへの転送については、管理者（およびプロセッサーからサブプロセッサーへの転送については、データエクスポーター）に支援を提供できるように、（サブ）プロセッサーが取るべき特定の技術的および組織的措置についても記述すること。