Dropbox Business 契約書

最終更新日：2016 年 9 月 14 日

本 Dropbox Business の契約書（以下「本契約」）は規定通り、本契約に同意する組織（以下「お客様」）が米国、カナダおよびメキシコ（以下「北米地域」）以外の地域に所在する場合はお客様と Dropbox International Unlimited Company（以下「Dropbox」）との間で締結され、お客様の組織が北米地域に所在する場合はお客様とデラウェア法人の Dropbox, Inc.（以下同様に「Dropbox」）との間で締結されます。本契約は、Dropbox Business のクライアント ソフトウェアおよびサービス（以下「Dropbox Business」）、ならびにお客様が利用可能なベータ版のサービス（以下、Dropbox Business と合わせて「本サービス」）へのアクセスと使用を管理します。［同意する］をクリックすることで、本サービスの契約または本サービスの使用契約に署名するものとみなし、本契約に「お客様」として同意するものとします。

EU データ保護指令（95/46/EC）（以下「EU データ保護法」）の実施国の法律で対象とされているお客様のデータを Dropbox, Inc. がお客様に代わって処理する限りにおいて、［同意する］をクリックすると、お客様は Dropbox, Inc. とともに付則 1 に規定された処理者への個人データの移転のための EU 標準契約条項にも同意することになります。

ユーザーが組織による本サービス使用のために本契約および付則 1（該当する場合）に同意する場合、当該組織の代表として同意するものとみなします。ユーザーは、これらの条項に対して当該組織を拘束する権限を持っているものとします。該当しない場合は本サービスに申し込むことはできません。

1. サービス：
   1. 本サービスの提供：お客様およびお客様の本サービス アカウントを使用しているユーザー（「エンド ユーザー」）は、本契約を遵守する上で本サービスにアクセスし使用することができます。
   2. 機能とデータの取り扱い: Dropbox はお客様のデータを転送、保存、取り扱う上で、最低限でも業界標準の技術および組織のセキュリティ対策を使用しています。こうした対策は、お客様のデータの完全性を保護するために構築されたもので、未認証または不正のアクセス、不正使用、不正取り扱いからお客様のデータを守ります。お客様は、Dropbox が米国内およびお客様の居住国外においてもお客様のデータを転送、保存、取り扱うことに同意するものとします。お客様のデータが EU データ保護法の対象であり、Dropbox がお客様に代わってデータ処理者（データ管理者）として処理する限りにおいて、Dropbox は、本契約におけるサービス提供および Dropbox の義務の遂行のために、お客様の指示に従って対象となるお客様のデータを使用および処理するものとします。「お客様のデータ」とは保存済みデータおよびアカウント データを意味します。「保存済みデータ」とは、お客様またはエンド ユーザーが Dropbox サービスに提出されたファイルや構造化データを意味します。「アカウント データ」とは、お客様またはエンド ユーザーが本サービスに提出されたアカウントおよび連絡先を意味します。
   3. 本サービスへの変更：Dropbox は、本サービスを適宜更新する場合があります。Dropbox が本サービスを変更する際、その変更内容がお客様の機能性を著しく縮小するものである場合は、Dropbox はお客様のアカウントに登録されているメール アドレスにその旨を通知します。
   4. ソフトウェア: 本サービスには、自動更新される Dropbox ソフトウェアのダウンロードをお客様に許可しています。お客様は本サービスにアクセスする場合に限り、本ソフトウェアを使用することができます。本ソフトウェアに適用されるコンポーネントがオープンソースのライセンスのもとで提供されている場合、Dropbox はそのライセンスをお客様が利用できる状態にし、そのライセンスの条件は本規約の一部規制を明示的に無効にすることができます。
   5. ベータ版サービス：Dropbox は、現在テスト中または評価中の機能や製品を提供する場合があります。これらの製品と機能は、アルファ、ベータ、プレビュー、先行アクセスまたは評価版（あるいは意味の似ている言葉や表現）と呼ばれ、区別されます（以下「ベータ版サービス」）。本契約または別紙 1 にこれと異なる規定がある場合でも、すべてのベータ版サービスには次の条項が適用されます：（a）お客様は、ベータ版サービスを使用または使用を拒否することができます。（b）ベータ版サービスにはサポートが提供されない場合があり、お客様に通知することなく適宜変更される場合があります。（c）ベータ版サービスには、Dropbox Business と同等の信頼性または可用性が確保されない場合があります。（d）ベータ版サービスには、Dropbox Business に課されているのと同様のセキュリティ対策と監査は実施されていません。（e）ベータ版サービスに起因または関連して生じる損害について、Dropbox はいかなる責任も負いません。自己責任でご利用ください。
2. お客様の義務：
   1. 遵守: エンド ユーザーによる本サービスの使用は、お客様が責任を負うものとします。お客様およびエンド ユーザーは、Dropbox の利用目的に関する制限（AUP）に従って本サービスを使用するものとします。お客様は、Dropbox が本サービスを提供する上で必要な同意および本契約に記述されている事項において管理者が関与する上で必要な同意をエンド ユーザーから得るものとします。該当する場合、お客様は本サービスを使用する上で適用される法律および規制を遵守するものとします。
   2. 本サービスの顧客管理: お客様は、管理コンソールでエンド ユーザーを「管理者」に指定することができます。管理者は、本サービス アカウントでお客様のデータにアクセス、開示、制限または削除する権限を所有しています。また、管理者には本サービス アカウントへのアクセスを監視、制限、または停止する権限もあります。お客様の内部管理または本サービスの管理において Dropbox は責任を負いません。お客様は次の責任を負うものとします: (i) パスワードおよび管理者のアカウントの機密性を維持すること、(ii) 管理者アカウントへのアクセスを管理すること、および (iii) 管理者が本サービスを使用する上で本契約への遵守性を保証すること。お客様は、本サービスをお客様がリセラーから購入してリセラーの担当者をお客様の本サービス アカウント管理者とした場合、以下に説明するように当該リセラーがお客様のデータを含むアカウント情報をコントロールし、お客様の本サービス アカウントにアクセス可能であることを理解しているものとします。
   3. 無断使用および不正アクセス：お客様はエンド ユーザーによる本サービスの無断使用を防ぎ、いかなる本サービスの無断使用も終了させるものとします。本サービスは 13 歳未満の方のご利用を対象としていません。お客様は 13 歳以下の人物による本サービスの使用を許可しないものとします。本サービスの無断使用や不正アクセスが見られた場合は迅速に Dropbox に通知するものとします。
   4. 用途の制限：お客様は本制限が法律で禁じられている場合を除き、(i) 本サービスの販売、再販、貸付を行わないこと、(ii) 本サービスの使用または故障により、物理的損傷、死亡または人身被害につながる活動に本サービスを使用しないこと、(iii) 本サービスを逆行分析の対象にしたり、当該行為を試みること、当該行為に対して誰かを援助しないこととします。
   5. サードパーティ リクエスト：
      1. 「サードパーティ リクエスト」とは、エンド ユーザーの本サービス使用記録に関連するサードパーティからのリクエストを意味します。これには、エンド ユーザーまたはお客様の本サービス アカウントへの/からの情報が含まれます。サードパーティ リクエストには、有効な捜査令状、裁判所命令、召喚令状、またはエンド ユーザーからの開示同意書があるその他の要請が含まれます。
      2. お客様はご自分のアクセス権を使用して情報を取得し、サード パーティ リクエストに返答する義務があります。お客様はサード パーティ リクエストに返答するために必要な情報の取得を試み、いかようにしても情報を取得できない場合のみに Dropbox に問い合わせることができます。
      3. Dropbox は、法律の定める範疇およびサードパーティ リクエストの規約範囲内で商業上相応の努力を尽くし、(A) Dropbox のお客様がサード パーティ リクエストを受領したことを迅速に通知し、(B) サードパーティ リクエストに反するお客様の商業上相応な要求に応じ、(C) サードパーティ リクエストに応じるために必要な情報およびツールをお客様に提供します（お客様が他にその情報を入手することができない場合）。お客様がサードパーティ リクエストに迅速に応じることができない場合、Dropbox がそうすることも可能ですがその義務は負いません。
3. サードパーティ サービス：お客様が本サービスとサードパーティ サービス（例: Dropbox API を使用するサービスなど）を併用する場合、(a) サードパーティによるお客様のデータへのアクセスや使用の取り扱い方法を含む、サードパーティの行動や怠慢において Dropbox は責任を負わず、(b) Dropbox はサードパーティにより提供されたいかなるサービスも保証またはサポートしないものとします。
4. ご利用の停止：
   1. Dropbox のエンド ユーザー アカウント：エンド ユーザーが (i) 本契約に違反した場合、(ii) Dropbox の責任が問われるよう本サービスが使用されたと Dropbox が合理的な見解によりみなす場合、Dropbox は該当のエンド ユーザー アカウントを一時停止もしくは終了することをお客様に要求することができます。お客様がそのエンド ユーザー アカウントを迅速に一時停止または終了しない場合、Dropbox はそれを施行する権限を有します。
   2. セキュリティ上の緊急事態：本契約にかかわらず、セキュリティ上の緊急事態において Dropbox は本サービスの使用を自動的に一時停止することができます。Dropbox は商業上相応の努力を尽くし、セキュリティ上の緊急事態を防止または終結するために、必要に応じてこの一時停止を厳密に審査します。「セキュリティ上の緊急事態」とは、(i) 本サービス、他のお客様の本サービスの利用または本サービスを提供する上で使用するインフラストラクチャーを中断する、またはその可能性を与える本サービスの使用方法、および (ii) サードパーティによる本サービスの無断使用を意味します。
5. 知的所有権：
   1. 権利の留保：本契約にて明示的に定められている場合を除き、本契約は (i) お客様のデータに関するいかなる知的所有権も Dropbox に譲与することはなく、または (ii) 本サービスまたは Dropbox の商標およびブランド機能に関するいかなる知的所有権もお客様に譲与することはありません。「知的所有権」とは、特許、著作権、企業秘密、商標、著作者の人格権、その他同様の権利における、現在および将来的な全世界での権利を意味します。
   2. 制限付きの許可: お客様は、Dropbox が本サービスを提供する上で合理的に必要な制限付きの許可を譲与します（例: データ保存のホスティングなど）。この許可は、Dropbox が本サービスを提供するために提携している提携企業または認定サードパーティー（例: 支払いを処理する企業など）にも与えられます。
   3. フィードバック：お客様またはエンド ユーザーが Dropbox または Dropbox のフォーラムに投稿したご意見/ご感想、コメント、提案は、お客様に義務を負うことなく、Dropbox の自由裁量でいかなる目的においても当社製品/サービス、ライセンス/二次ライセンスへ使用および組み入れることができ、その内容を一部修正することができます。
   4. 顧客リスト：Dropbox は、当ウェブサイトやプロモーション資料において Dropbox の顧客リストにお客様の名前を掲載できるものとします。
6. 料金とお支払い：
   1. 料金: お客様は支払いを負担し、Dropbox またはお客様のリセラーがお客様の選択した支払い方法を使用してすべての当該料金を請求することを承認します。法律上で求められる場合を除き、料金は返金されません。お客様は完全で正確なお支払い情報および連絡先を Dropbox またはお客様のリセラーに提供する責任があります。料金を滞納した場合、Dropbox は本サービスを一時停止または解約することができます。
   2. 自動更新とトライアル版: お客様のアカウントで自動更新が設定されている場合、またはトライアル期間内の場合、お客様が自動更新をキャンセルまたは無効にすることを Dropbox（また、該当する場合はお客様のリセラー）に通知しない限り、Dropbox（またはお客様のリセラー）はトライアル期間の終了時または更新時に、自動的に請求することができます。 Dropbox はお客様に次回の請求日より少なくとも 30 日前に通知をすることで、本サービス料金を変更することができます。
   3. 税金: お客様には、すべての税金を支払う責任があります。Dropbox またはお客様のリセラーは必要に応じて税金を請求します。お客様が法律により税金の差し控えを要求されている場合、お客様はDropbox またはお客様のリセラーに正式な税金受領書またはその他の適切な文書を提出する必要があります。
   4. 発注書: お客様が発注書または発注番号を必要とされる場合、お客様は (i) 購入時に発注番号を提示する、および (ii) 発注書の利用規約は本契約には適用されず、無効であることに同意するものとします。お客様がリセラーを通じて購入された場合、Dropbox Business の契約書と矛盾する当該リセラーによるいかなる規約や条件またはお客様とリセラー間の発注書は無効とします。
7. 期限と解約：
   1. 期限：お客様の本サービスの加入期間の満了、解約または本契約が解約されるまで、本契約は効力を有するものとします。
   2. 違反による解約：Dropbox またはお客様のいずれかは、次の場合に本契約を解約することができます。(i) 一方の当事者が本契約に対して重大な違反を犯し、書面による通知の受け取りから 30 日間以内に当該違反を是正しない場合、または (ii) 一方の当事者が業務運営を停止した場合、または倒産処理手続きの対象となり、当該処理手続きを 90 日間以内に退けられない場合。
   3. 解約の影響：本契約を解約する場合、(i) Dropbox がお客様に承認した権利は即座に終了し（同項の明記を除く）、(ii) Dropbox はお客様が保存済みデータをエクスポートできるように、その当時の価格でお客様にアカウントへのアクセスを提供することができ、(iii) 商業上相応な一定の期間において Dropbox はお客様のアカウントに関連するいかなる保存済みデータも削除することができます。次の項目は本契約の終了または解約においても存続します。 2(e) （サードパーティ リクエスト）、5（知的所有権）、6（料金とお支払い）、7(c) （解約の影響）、8（補償）、9（免責）、10（法的責任の制限）、11（紛争）および 12（一般条項）。
8. 補償：
   1. お客様：お客様は (i) 顧客データ、(ii) 本契約に違反した顧客による本サービスの使用、または (iii) 本契約に違反したエンド ユーザーによる本サービスの使用に関するサードパーティからの Dropbox および Dropbox の関連企業に対する請求により生じた、いかなる法的責任、損害、費用（示談費用および妥当な弁護士費用を含む）に対して Dropbox を補償、弁護、免責します。
   2. Dropbox: Dropbox は、Dropbox の技術を使用して本サービスをお客様に提供した上で、サードパーティのあらゆる著作権、企業秘密、米国特許、商標を侵害したとするサードパーティによるお客様に対する申し立てにより生じた、いかなる法的責任、損害、費用（示談費用および妥当な弁護士費用を含む）に対して、お客様を補償、弁護、免責します。Dropbox は同項で記述した点にて、次のいかなる場合においても一切の責任を負いません。(i) 変更形態による本サービスの使用、または Dropbox が提供していないマテリアルと組み合わせた本サービスの使用から問題が生じた場合、(ii) お客様、エンド ユーザー、またはその他のサードパーティにより提供されたあらゆるコンテンツ、情報、またはデータから問題が生じた場合。
   3. 侵害の可能性：Dropbox では、本サービスまたはサードパーティの知的所有権を侵害した可能性があると信じる場合に、次の措置を取る権利を有します。(i) お客様が本サービスを継続して利用できる権利を獲得し、その費用は Dropbox が負担し、(ii) 侵害することなく同等の代替サービスを提供し、または (iii) 本サービスを変更して侵害を解消します。Dropbox が同項に記述したオプションは商業上相当ではないとみなした場合、Dropbox はお客様による影響を受けているサービスの使用を一時停止または終了することができます（本サービスのプリペイド価格を日割り計算して返金）。
   4. 一般事項：補償を求める関係者は、申し立てについて迅速に相手方当事者に通知し、その申し立てに抗弁する同当事者と協力するものとします。補償を求める関係者は弁護側の完全な管理権および支配権を有するものとしますが、例外は次の通りです。 (i) 補償を求める関係者から負担を認める事前の書面による承諾書を必要とする場合、不当に非公表にしたり遅延させたりしないこと、(ii) 自己の弁護士と共に費用を自己負担することで相手方当事者は弁護に参加することが可能であること。上記の補償は、サードパーティの知的所有権が相手方当事者により侵害された場合の本契約における Dropbox およびお客様の唯一の救済策です。
9. 免責：本サービスは「現状有姿」で提供されます。本契約で明示的に規定されている場合を除き、法律の定める最大限の範疇において、お客様、Dropbox、その提携企業、供給業者、配給業者は、商品性、特定目的の適合性および権利の侵害がない場合も含み、あらゆる場合において明示的または黙示的による一切の保証を排除します。保存済みデータの管理およびバックアップの責任はお客様が担うものとします。
10. 法的責任の制限：
    1. 間接責任の制限：法律の定める最大限の範疇において、Dropbox またはお客様の補償義務である場合を除き、お客様、Dropbox、その提携企業、供給業者、配給業者は本契約のもとに (I) 間接的損害、特別損害、付随的損害、必然的損害、懲戒的損害、懲罰的損害、または (II) 使用不能損失、データ紛失、取引上の損失、収益損害、利益損害（直接的または間接的な場合を含む）に対する一切の責任を負いません。これは、当事者がこのような損害が潜在的であると認識および認識できるはずだった場合においても、または直接損害が救済を果たさない場合においても適用されます。
    2. 法的責任の限度: 法律の定める最大限の範疇において、本契約に基づいた Dropbox の債務総額は100,000 US ドルを超えないもの、または法的責任が起因する出来事から 12 か月間に遡ってお客様により本サービスについて支払われた金額を超えないものとします。
11. 争議：
    1. 問題解決の試み：Dropbox は正式な訴訟申し立てを行う前に、問題解決が可能であるかを検討します。Dropbox に対する苦情を申し立てる前に、双方とも 12(e) 項目の通知手順により連絡を取り合い問題解決を試みるものとします。苦情を提出されてから 30 日間以内に問題が解決されない場合、お客様または Dropbox は正式に苦情を申し立てることができます。
    2. 仲裁合意：お客様と Dropbox は、下記の仲裁合意の例外に該当する場合を除き、最終的かつ拘束力のある仲裁を通じて、本規約または本サービスに関与するあらゆる苦情を解決することに同意するものとします。米国仲裁協会（AAA）は、 商業仲裁規制および消費者関連の争議における補足規則のもとにその仲裁を処理します。仲裁は米国カリフォルニア州サンフランシスコ郡または双方が書面にて同意した場所で行われます。
    3. 仲裁合意における例外：当事者の一方は、未認証の使用または本サービスの乱用、知的所有権の侵害を阻止する場合に限り、正式な訴訟申し立てを行う前に問題解決を試みるための上述した通知手順を実行せず、米国カリフォルニア州サンフランシスコ郡の連邦裁判所または州立裁判所にて訴訟を起こすことができます。その場合、お客様および Dropbox はその裁判地と対人管轄権に同意するものとします。
    4. 共同訴訟なし：お客様の苦情は個人的なレベルで Dropbox と解決されるものとし、提訴人または集団訴訟の原告または代表訴訟人として苦情を申し立てることはできないものとします。集団での仲裁、集団訴訟、民間法務長官法またはその他の仲裁方法は認められていません。
12. 一般条項：
    1. 条件の変更: Dropbox は本契約を必要に応じて変更訂することができます。最新版は、Dropbox Business ウェブサイトに常時掲載されます。Dropbox の自由裁量による重要性の高い変更は、Dropbox によりユーザー（例: 当該アカウントに登録されているメール アドレス）に変更内容が通知されます。その他の変更は Dropbox のブログまたは利用規約のページに掲載されます。また、ユーザーはこのような掲載事項を定期的に確認する責任があります。変更が有効になった後も、サービスへのアクセスまたは使用を継続することにより、変更された契約を遵守することに同意するものとします。お客様が変更された契約条件に同意しない場合、お客様は通知を受信されてから 30 日間以内に本サービスをキャンセルすることができます。
    2. 完全合意: お客様の請求書および発注書を含む Dropbox との（該当する場合）本契約は、本契約の主題に関するお客様と Dropbox 間の完全合意事項を記載しており、書面または口頭においても本契約は以前の合意事項および本契約の主題に該当する諸条件に優先し取って代わるものです。本契約を生成する文書間で不一致がある場合は、Dropbox の請求書、Dropbox の発注書、本契約の順に規制されます。
    3. 準拠法：本契約は法の抵触に関する原則を除き、米国カリフォルニア州の法律に準拠するものとします。
    4. 可分性：法的強制力がないと判断された条項は、当事者の意向を反映するようにするため、および当該条項が法的強制力を持つようにするために必要最低限の範囲で修正されます。本契約の残りの条項は、引き続き効力を有します。
    5. 通知：通知は、第 1 種郵便、航空便、または翌日配達で送付する必要があり、届いた時点で受領したとみなされます。お客様への通知は当該アカウントのメール アドレスに送信され、送信した時点で受領したとなされます。Dropbox への通知は法務部への複写を同封した上で、Dropbox, Inc., P.O. Box 77767, San Francisco, CA 94107 宛に送付するものとします。
    6. 権利放棄：1 つの不履行に対して権利を放棄しても、その後の不履行に対する権利を放棄することにはなりません。
    7. 譲渡：お客様は、本契約のいかなる部分も Dropbox による書面による同意なしに譲渡したり名義変更を行うことはできません。Dropbox は、合併、企業再編成、全資産または大部分の売却に関連して本契約やいかなる権利または責任を関連者に譲渡する場合を除き、お客様への事前通知なく本契約を譲渡することはできません。他のいかなる譲渡も無効とみなされます。
    8. 代理関係：Dropbox およびお客様は法律上のパートナーまたは代理人ではなく、独立した当事者です。
    9. 不可抗力：支払いの義務を除き、当事者の合理的な管理（例: 天災、戦争、テロ、暴動、労働状況、政府の措置、インターネットの中断）を超える状況が原因の不完全履行に対して、Dropbox およびお客様は一切の責任を負いません。
    10. 第三受益者：本契約には第三受益者は存在しません。この項目に限定されることなく、本契約に基づいた上でのお客様の権利において、お客様のエンド ユーザーは本契約の第三受益者ではありません。
    11. エクスポートの制限: 本サービスを通じて行うお客様のデータのエクスポートおよび再エクスポートは、United States Export Administration Regulations（米国輸出管理規則）により管理されている場合があります。キューバ、イラン、北朝鮮、スーダン、シリア、また米国により通商禁止の対象になっている国々では、本サービスを使用することはできません。お客様は、エクスポートの制限に違反して本サービスを使用したり、米国により通商禁止の対象になっている国で本サービスを使用したりすることはできません。また、お客様は、米国商務省の輸出禁止対象者リスト（Table of Denial Orders）、エンティティ リスト（The Entity List）、または米国財務省の特別指定国民（The List of Specially Designated Nationals）に属する人物に本サービスを提供しないものとします。

十分なレベルのデータ保護を確保していない第三国に設立された処理者への個人データ移転のための 95/46/EC 指令第 26 条（2）項について

データ輸出機関の名称：Dropbox International Unlimited Company と Dropbox Business 契約書を締結している当事者であるお客様
（データ輸出者）

および

データ輸入期間の名称：Dropbox, Inc.
住所：333 Brannan Street, San Francisco, CA 94107 USA
（データ輸入業者）

（以下それぞれを「当事者」といい、総称して「両当事者」といいます）は

付属書類 1 に規定する個人データのデータ輸出者によるデータ輸入者への移転に関して、個人のプライバシー、基本的権利、および自由の保護に関する適切な安全措置を提示するため、以下の契約条項（以下「本契約条項」）に合意します。

本契約条項の目的において:

1. 「個人データ（personal data）」、「特別な種類のデータ（special categories of data）」、「処理（process/processing）」、「管理者（controller）」、「処理者（processor）」、「データ主体（data subject）」および「監査当局（supervisory authority）」については、個人データの処理に関する個人の保護および当該データの自由な移動に関する 1995 年 10 月 24 日の欧州議会および理事会の 95/46/EC 指令 ¹ における定義と同じ意味を有するものとします。
2. 「データ輸出者」とは、個人データを移転する管理者を意味します。
3. 「データ輸入者」とは、データ輸出者の指示および本契約条項の条件に従い個人データの受領後にデータ輸出者の代わりに処理するためにデータ輸出者から個人データを受領することに同意し、95/46/EC 指令第 25 条（1）項に規定する適切な保護を確保する第三国のシステムの適用を受けない処理者を意味します。
4. 「下請処理者」とは、データ輸入者から、またはデータ輸入者の他の下請処理者から委託を受け、データ輸入者の指示、本契約条項の条件および書面による下請契約の条件に従い個人データの受領後にデータ輸出者の代わりに行う処理活動のみを目的としてデータ輸入者またはデータ輸入者の他の下請処理者から個人データを受領することに同意する処理者を意味します。
5. 「適用されるデータ保護法令」とは、データ輸出者の設立国である加盟国においてデータ管理者に適用される、個人の基本的権利および自由（特に個人データの処理に関するプライバシー権）を保護する法令を意味します。
6. 「技術的および組織的なセキュリティ対策」とは、特に処理にネットワークを介したデータ送信が関係する場合に不慮もしくは不法な破壊または不慮の紛失、改変、不正な開示またはアクセスから、およびその他すべての不法な処理形態から個人データを保護することを目的とした対策を意味します。

移転および特に特別な種類の個人データ（該当する場合）の詳細については、本条項の不可欠な部分である以下の付属書類 1 に規定するとおりとします。

1. データ主体は、第三受益者として、データ輸出者に対し、本条、第 4 条（b）～（i）項、第 5 条（a）～（e）項および（g）～（j）項、第 6 条（1）項および（2）項、第 7 条、第 8 条（2）項ならびに第 9 条～第 12 条を強制することができます。
2. データ輸出者が事実上または法律上消滅した場合、データ主体は、データ輸入者に対し、本条、第 5 条（a）～（e）項および（g）項、第 6 条、第 7 条、第 8 条（2）項ならびに第 9 条～第 12 条を強制することができます。ただし、承継法人が契約または法の適用によりデータ輸出者の法的義務をすべて承継し、その結果承継法人がデータ輸出者の権利および義務を承継する場合を除くものとし、この場合、データ主体は当該承継法人にこれらの条項を強制することができます。
3. データ輸出者とデータ輸入者の双方が事実上もしくは法律上消滅した、または支払不能となった場合、データ主体は、データ輸入者に対し、本条、第 5 条（a）～（e）項および（g）項、第 6 条、第 7 条、第 8 条（2）項ならびに第 9 条～第 12 条を強制することができます。ただし、承継法人が契約または法の適用によりデータ輸出者の法的義務をすべて承継し、その結果承継法人がデータ輸出者の権利および義務を承継する場合を除くものとし、この場合、データ主体は当該承継法人にこれらの条項を強制することができます。このような下請処理者の対第三者責任は、本契約条項に基づく下請処理者自身の処理業務に限られるものとします。
4. 両当事者は、データ主体が明示的に希望し、それが国内法により認められる場合には、データ主体が団体その他の機関に代表されることに対し異議を申し立てないものとします。

データ輸出者は以下に同意し保証するものとします。

1. 個人データの処理（移転自体を含む）は、適用されるデータ保護法令の関連規定に従って実行されており、引き続き実行されること（および、該当する場合は、データ輸出者の設立国である加盟国の関係当局に通知されていること）、および当該国の関連規定に違反していないこと。
2. データ輸入者に対し、移転された個人データをデータ輸出者に代わってのみ、適用されるデータ保護法令および本契約条項に従って処理するよう指示していること、および個人データ処理サービスの継続期間中指示すること。
3. データ輸入者が以下の付属書類 2 に規定する技術的および組織的なセキュリティ対策に関して十分な保証を提供すること。
4. 適用されるデータ保護法令の要件の評価後において、特に処理にネットワークを介したデータ送信が関係する場合に、不慮もしくは不法な破壊、不慮の紛失もしくは改変、または不正な開示もしくはアクセスから、およびその他のすべての不法な処理形態から、個人データを保護するためにセキュリティ対策が適切であること、ならびに、その対策を最新技術および実施コストに照らし、保護されるべきデータの処理およびその性質により生じるリスクに見合ったレベルのセキュリティを確保すること。
5. セキュリティ対策を確実に遵守すること。
6. 特別な種類のデータが移転される場合、データ主体のデータが 95/46/EC 指令に規定する適切な保護を提供していない第三国へ移転される可能性があることを、移転の前または移転の後可能な限り速やかに、データ主体に通知されているか、または今後通知されること。
7. データ輸出者が移転を継続するまたは一時中断を解除することを決定する場合は、第 5 条（b）項および第 8 条（3）項に従いデータ輸入者または下請処理者から受領した通知をデータ保護監督当局に転送すること。
8. 要請があった場合には、本契約条項（付属文書 2 を除く）の写しおよびセキュリティ対策の要約、ならびに本契約条項に従い作成しなければならない下請処理サービスの契約の写しをデータ主体が入手できるようにすること。ただし、本契約条項またはこのような契約に商業的情報が含まれていないものとし、含まれている場合はこのような商業的情報を削除できるものとします。
9. 下請処理の場合、処理活動が、個人データおよびデータ主体の権利についてデータ輸入者が本契約条項に基づき提供するものと同等以上の保護を提供する下請処理者により、第 11 条に従って実行されること。
10. 第 4 条（a）～（i）項を確実に遵守すること。

データ輸入者は以下に同意し保証するものとします。

1. データ輸出者の代わりに、データ輸出者の指示および本契約条項に従ってのみ個人データを処理すること。どんな理由であってもこれらを遵守することができない場合、遵守できない旨を速やかにデータ輸出者に通知するものとします。この場合、データ輸出者はデータの移転の一時中断と契約の解除の一方または両方をすることができるものとします。
2. データ輸出者自身に適用される法令によりデータ輸出者から受けた指示および契約に基づく義務に応えることが禁止されていると考える理由がないこと、ならびに本契約条項が規定する保証および義務に重大な悪影響を及ぼしうる変更がこの法令にあった場合は、このような変更を認識次第速やかにデータ輸出者に通知すること。この場合、データ輸出者はデータの移転の一時中断と契約の解除の一方または両方をすることができるものとします。
3. 移転された個人データを処理する前に、付属書類 2 に規定する技術的および組織的なセキュリティ対策を講じていること。
4. データ輸出者に対し以下を速やかに通知すること。
   1. 法執行機関による法的拘束力を有する個人データの開示要求。ただし、法執行機関の捜査の秘密を保持するための刑事法に基づく禁止など、通知することが禁止されている場合を除きます。
   2. 不慮のアクセスまたは不正なアクセス。
   3. データ主体から直接受けた要求。ただし、別途応答の許可を受けている場合を除き、このような要求には応答せずにデータ輸出者に通知することとします。
5. 移転対象である個人データの処理に関するデータ輸出者からの問い合わせのすべてについて、速やかにかつ適切に対応すること、および移転されたデータの処理に関して監督当局の助言に従うこと。
6. データ輸出者の要請により、自己のデータ処理施設について、本契約条項が適用される処理活動の監査を受け入れること。この監査は、データ輸出者または必要な専門資格を有して秘密保持義務を負う独立の構成員であり、データ輸出者が選定した者で構成される監査機関が該当する場合、監督当局と合意の上で実施するものとします。
7. 要請があった場合には、データ主体に本契約条項または既存の下請処理サービス契約の写しを提出すること。ただし、本契約条項または当該契約に商業的情報が含まれる場合を除くものとし、この場合は当該商業的情報を削除することができますが、付属文書 2 についてはデータ主体がデータ輸出者から写しを取得することができない場合にはセキュリティ対策の要約と差し替えるものとします。
8. 下請処理の場合は、事前にデータ輸出者に通知し、事前に書面による承諾を得ていること。
9. 下請処理者による処理サービスが第 11 条に従って実施されること。
10. 本契約条項に基づいて締結した下請処理サービス契約の写しを速やかにデータ輸出者に送付すること。

1. 両当事者は、当事者または下請処理者が第 3 条または第 11 条に規定する義務に違反したことによりデータ主体が損害を被った場合、当該データ主体はこのような損害についてデータ輸出者から賠償を受ける権利を有することに合意します。
2. データ輸出者が事実上もしくは法律上消滅し、または支払不能となったために、データ輸入者または下請処理者が第 3 条または第 11 条に規定する義務に違反したことに起因する賠償請求をデータ主体が第 1 項に従いデータ輸出者に対して提起することができない場合、データ輸入者は、データ主体がデータ輸入者に対し、データ輸出者として請求を提起することができることに同意します。ただし、承継法人が契約または法の適用によりデータ輸出者の法的義務をすべて承継した場合を除くものとし、この場合はデータ主体が当該法人に対して自己の権利を行使することができます。
   データ輸入者は、自己の責任を回避するために、下請処理者による義務違反に依拠することはできません。
3. データ輸出者およびデータ輸入者の両者が事実上もしくは法律上消滅したか、または支払不能となったために、下請処理者が第 3 条または第 11 条に規定する義務に違反したことに起因する第 1 項または第 2 項に規定する請求をデータ主体がデータ輸出者またはデータ輸入者に対して提起することができない場合、下請処理者は、データ主体がデータの下請処理者に対し、データ輸出者またはデータ輸入者と同様に、本契約条項に基づく処理業務に関して請求を提起することができることに同意します。ただし、承継法人が契約または法の適用によりデータ輸出者またはデータ輸入者の法的義務をすべて承継した場合を除くものとし、この場合はデータ主体が当該法人に対して自己の権利を行使することができます。下請処理者の責任は、本契約条項に基づいて自己が行った処理業務に限られるものとします。

1. データ輸入者は、データ主体がデータ輸入者に対して第三受益者の権利を行使する場合または本契約条項に基づく損害補償請求を提起する場合、データ主体による以下の決定を承認することに同意します。
   1. 紛争を、独立した人物または、該当する場合、監督当局による調停に付すこと。
   2. 紛争を、データ輸出者の設立国である加盟国の裁判所に付託すること。
2. 両当事者は、データ主体が行った選択が、その他の国内法または国際法の規定に従い救済を求めるというデータ主体の実体法上または手続法上の権利を損なうものではないことに同意します。

第 8 条

監督当局との協力

1. データ輸出者は、監督当局から要請を受けた場合または適用されるデータ保護法令により義務付けられる場合には、本契約の写しを監督当局に寄託することに同意します。
2. 両当事者は、監督当局がデータ輸入者および下請処理者の監査を実施する権利を有することに同意します。このような監査は、適用されるデータ保護法令に基づくデータ輸出者の監査に適用されるものと同じ範囲について実施されるものとし、これと同じ条件が適用されます。
3. データ輸入者は、第 2 項に従ったデータ輸入者または下請処理者の監査の実施を妨げる、データ輸出者または下請処理者に適用される法令の存在を速やかにデータ輸出者に通知するものとします。この場合、データ輸出者は第 5 条（b）項の対策を講じる権利を有するものとします。

本契約条項は、データ輸出者の設立国である加盟国の法律に準拠するものとします。

両当事者は、本契約条項を変更または修正しないことを約束します。これは、本契約条項に矛盾するものでない限り、両当事者が必要な場合に業務関連の問題に関する条項を追加することを妨げるものではありません。

1. データ輸入者は、データ輸出者の書面による事前の同意を得ずに、本契約条項に基づきデータ輸出者の代わりに実施する処理業務を下請に出さないものとします。データ輸入者がデータ輸出者の同意を得て本契約条項に基づく義務を下請に出す場合、下請処理者と書面によって契約を締結し、本契約条項に基づいてデータ輸入者に課される義務と同様の義務を下請処理者に課すものとします³。下請処理者がこのような書面による契約に基づくデータ保護の義務を履行しない場合、データ輸入者はデータ輸出者に対し、下請処理者の当該契約上の義務の不履行について全面的に責任を負うものとします。
2. データ輸入者と下請処理者の間の事前の書面による契約には、データ輸出者またはデータ輸入者が事実上もしくは法律上消滅または支払不能となり、契約または法の適用によりデータ輸出者またはデータ輸入者の法的義務をすべて承継する承継法人が存在しないために、第 6 条第 1 項に規定するこれらに対する賠償請求をデータ主体が提起することができない場合のために、第 3 条に規定するものと同様の第三受益者条項も含むものとします。このような下請処理者の対第三者責任は、本契約条項に基づく下請処理者自身の処理業務に限られるものとします。
3. 第 1 項に規定する契約の下請処理のデータ保護に関する規定は、データ輸出者の設立国である加盟国の法律に準拠するものとします。
4. データ輸出者は、本契約条項に基づいて締結され、第 5 条（j）項に従いデータ輸入者に通知された下請処理契約のリストを保存するものとします。このリストは、年 1 回以上更新するものとします。当該リストは、データ輸出者のデータ保護監督当局に提供されるものとします。

個人データ処理サービスの終了後の義務

1. 両当事者は、データ処理サービスの提供終了時に、データ輸入者および下請処理者が、データ輸出者の選択により、移転されたすべての個人データおよびこれのコピーをデータ輸出者に返却するか、またはすべての個人データを破棄しデータ輸出者にその旨証明することに同意します。ただし、データ輸入者に課される法令が移転された個人データの全部または一部の返却または破棄を禁止している場合を除きます。この場合、データ輸入者は移転された個人データの秘密保持を保証し、その後は移転された個人データを積極的に処理しないものとします。
2. データ輸入者および下請処理者は、データ輸出者または監督当局の要請があった場合には、自己のデータ処理施設について、第 1 項に規定する手順について監査を受け入れることを保証します。

A～C 項および付属文書で用いられていますが本契約条項では定義されていない太字の用語は、データ輸出者と Dropbox International Unlimited Company 間で締結された Dropbox Business 契約書に記載されている意味で使用されています。

1. セキュリティ監査: データ輸入者は独立した第三者監査機関により発行された、ISO/IEC 27001:2013 および ISO/IEC 27018:2014 認定を保有しています。データ輸入者は、契約期間中本サービスのために上記認定を維持するために必要な ISO/IEC 27001:2013 監査および ISO/IEC 27018 監査を継続的かつ定期的に実施します。また、データ輸入者は、Service Organization Control 2（SOC 2）タイプ II 監査も定期的に実施しています。データ輸入者はさらに、データ輸出者の書面による要請に基づき、データ輸入者の機密保持義務に従って 1 年に 1 回を超えない頻度で SOC 2 タイプ II 報告書の写しを提供します。データ輸入者は監査が終わり次第、データ輸入者の機密保持要件に従って新しい SOC 2 報告書を利用可能にします。データ輸入者は、自身のセキュリティ ポリシー、手順、統制のデザインと有効性を評価する Statement on Standards for Attestation Engagements No. 16（SSAE 16）、International Standard on Assurance Engagements No. 3402（ISAE 3402）、Service Organization Control 1（SOC 1）タイプ II または Service Organization Control 2（SOC 2）タイプ II の各監査を実施する第三者下請サービス会社を定期的に確認しています。

   データ輸出者は、この A 項に定められたデータ輸入者の義務が本契約条項の第 5 条（f）項および第 12 条（2）項の監査権を完全に満たしていることに同意するものとします。

2. 下請処理: データ輸入者は、本サービスの限定的部分（サポート サービスを含みます）を提供するために、データ輸入者に代わって他の会社に委託する場合があり、データ輸出者は本契約条項に記載されているとおりデータ輸入者が当該下請処理者に対して個人データの処理を下請けに出すことに同意するものとします。データ輸入者は、データ輸入者と下請処理者との間の書面による契約書に規定されたとおり、下請処理者は本サービスを提供するためにのみ個人データにアクセスして使用します。データ輸入者と下請処理者間の下請処理契約で少なくとも Dropbox Business 契約書で要求するレベルのデータ保護を提供している場合において、データ輸出者は、下請処理者との契約に関して本契約条項の下でデータ輸入者に適用される要件はすべて完全に満たされることを確認するものとします。
3. 法的責任：本契約条項は、Dropbox Business 契約書の「法的責任の制限」セクションに記載されている責任の制限と除外の対象となるものとします。すなわち、データ輸入者と Dropbox International Unlimited Company の総責任額は、合計で Dropbox Business 契約書に定められている制限を超えないものとします。誤解を避けるため、データ輸出者は同一の損失に関してデータ輸入者と Dropbox International Unlimited Company の双方から損害を回収することはできないものとします。

本付属文書は、標準契約条項の一部をなすものであり、両当事者が記入し、署名しなければなりません。

加盟国は、国内の手順に従って、本付属文書に含めるべき追加情報を記入または指定することができます。

データ輸出者

データ輸出者（データの移転に関連した活動内容を簡潔に説明してください）:

Dropbox International Unlimited Company と Dropbox Business 契約書を締結したお客様

データ輸入者

データ輸入者（データの移転に関連した活動内容を簡潔に説明してください）:

Dropbox, Inc. - 個人ユーザー向けおよびビジネス向けクラウド サービスの世界的なプロバイダー。Dropbox, Inc. とその提携会社は、ファイルの保存、複数のデバイスでのファイル同期、他のユーザーとの共同編集を可能にするウェブサイト、ソフトウェア、モバイル アプリケーションを提供しています。Dropbox, Inc. のサービスには、API（Application Programming Interface）からもアクセス可能です。

データ主体

移転される個人データのデータ主体の種類（具体的に説明してください）:

データ輸出者およびデータ輸出者の関連会社のエンド ユーザーには、データ輸出者の社員、コンサルタント、委託業者に加えて、データ輸入者が提供するサービスを使用しているエンド ユーザーと共同作業または共有している個人が含まれます。

データの種類

移転される個人データのデータの種類（具体的に説明してください）:

データ輸入者のサービスを通じてエンド ユーザーが保存または転送した電子形式のエンド ユーザーを特定できる情報と会社内のデータ（オンラインおよびオフラインのデータ両方）、ドキュメント、画像、その他のコンテンツまたはデータ。

処理業務

移転される個人データは、以下の基本的な処理活動の対象となります（具体的に説明してください）:

データ輸入者またはその下請処理者は個人データを使用および処理し、データ輸出者はデータ輸入者に対して、Dropbox Business 契約書のもとでサービスを提供するために個人データを使用および処理するように指示します。

本付属文書は、標準契約条項の一部をなすものであり、両当事者が記入し、署名しなければなりません。

第 4 条（d）項および第 5 条（c）項（または添付されたドキュメント/法令）に従ってデータ輸入者が講じる技術的および組織的なセキュリティ対策の内容:

データ プライバシーに関する連絡先

データ輸入者のデータ プライバシー責任者には、privacy@dropbox.com より連絡できます。

セキュリティ対策

データ輸入者は、Dropbox Business のセキュリティに関するホワイトペーパー（https://www.dropbox.com/…/Security_Whitepaper.pdf より入手可能）に詳しく説明するとおり、個人データを保護するために、下記のとおり適切な運営的、技術的および物理的な対策を講じており、今後も維持します。データ輸入者は、上記 URL（またはデータ輸入者が通知した URL）で入手できる最新バージョンで、時折これらのセキュリティ対策を更新します。ただし、データ輸入者が本文書またはこの付属文書 2 で説明されている運営的、技術的、物理的なセキュリティ機能を実際に縮小するような形でセキュリティ対策の更新を行った場合、データ輸入者はデータ輸出者に通知するものとします。

1. サービスのセキュリティ
   1. Dropbox アーキテクチャ: データ輸入者のサービスはデータ転送、暗号化、ネットワーク構成、アプリケーションレベルの制御機能を拡張可能で安全なインフラストラクチャにわたり取り入れ、複数のセキュリティ レイヤーを使用して設計されています。データ輸入者のサービスのエンド ユーザーは、デスクトップ、ウェブ、モバイル クライアントからいつでもファイルおよびフォルダにアクセスできます。すべてのクライアントは安全なサービスに接続し、ファイルへのアクセスを提供します。また、他のユーザーとのファイル共有を許可したり、ファイルが追加/変更/削除された場合はリンクしているデバイスでファイルを最新の状態に更新します。本サービスは多様なインターフェースから利用/アクセスすることができます。それぞれにセキュリティ設定やセキュリティ機能を設けているので、容易なアクセスを保証しながらデータを処理し保護します。
   2. 信頼性: データ輸入者のサービスは複数の重複するレイヤーでデータ紛失を防ぎ、可用性を確実にしています。
   3. 暗号化: データ輸出者とデータ輸入者間で行われる転送中のデータを保護するために、データ輸入者は 128 ビット以上の AES 暗号化で保護された安全な SSL/TLS トンネルでデータを転送します。 ファイル データの保存には、256 ビットの AES 暗号化を使用しています。データ輸入者の暗号化キー マネジメントのインフラストラクチャは操作性、技術性、セキュリティ管理の手順を備え、キーへの直接アクセスを最小限に抑えるように設計されています。暗号化キーの生成、交換、ストレージは、分散的に処理されるように配分されます。
   4. ユーザー管理機能: データ輸入者のサービスのエンド ユーザーは紛失したファイルや過去のファイル バージョンを復元し、これらのファイルを追跡、回収することが可能です。データ輸入者のサービスでは 2 段階認証という手順を使用し、保護をさらに強化することができます。
   5. データセンター: データ輸入者の企業向けシステムとプロダクション システムは米国内の第三者下請サービス会社のデータセンターに格納されています。十分なセキュリティ管理のために、データ輸入者はすべての下請サービス会社のデータセンターの Service Organization Control（SOC）1 および/または SOC 2 レポートを少なくとも年に 1 回は確認します。
2. 情報セキュリティ:
   1. ポリシー: データ輸入者は情報セキュリティ、物理的なセキュリティ、問題対応、論理的アクセス、物理的なプロダクション アクセス、マネジメントの変更、サポートなどにわたり、綿密な一連のセキュリティ ポリシーを設定しています。ポリシーは少なくとも年に 1 度は見直し承認されています。データ輸入者の社員には、このようなポリシーに更新があった場合には通知し、セキュリティ トレーニングも提供されています。
   2. 社員ポリシーおよびアクセス: データ輸入者の内部ポリシーでは、バックグランド チェック（地域法で認められる範囲で）、セキュリティ ポリシーの確認、セキュリティ ポリシー改訂版の伝達、機密保持契約を含むオンボーディング手順を必要とします。社員または契約社員が企業から退職した場合、すべてのアクセス権限は退職後直ちに取り消されます。データ輸入者は技術的なアクセス コントロールと内部ポリシーを使用し、社員または契約社員が自己判断でファイル データにアクセスしたり、エンド ユーザーのアカウントでメタデータやその他の情報にアクセスすることを制限します。エンド ユーザーのプライバシーとセキュリティを保護するため、少数の社員または契約社員のみが、エンド ユーザーのファイルが保管されている環境にアクセスできるものとします。アクセス権限のリクエスト、正当化、承認に関する記録は、管理者により記録され、適切な担当者によりアクセス権限が付与されます。
   3. ネットワーク セキュリティ: データ輸入者は、複数の保護レイヤを提供するように設計されたネットワーク セキュリティと監視技術を維持します。データ輸入者は、ファイアーウォール、ネットワーク セキュリティの監視、侵入検出システムを含む業界標準の保護技術を導入して、承認されたトラフィックのみがデータ輸入者のインフラに到達できるようにしています。
   4. 変更管理: データ輸入者は、セキュリティ関連の変更がプロダクション環境に導入する前にすべて承認されるようにしています。データ輸入者のアプリケーションまたはサービスの改善を行うデベロッパーによって、ソース コードが変更されます。データ輸入者のインフラストラクチャへの変更追加は、承認されたユーザーにのみ制限されています。セキュリティ要件が満たされていることを確実にするため、サービスのアプリケーション レベルの変更は、自動化された品質管理（「QA」）テストの手続きに従う必要があります。QA 手順を無事に完了すると、変更が導入されます。
   5. 遵守: データ輸入者およびそのデータ センター提供者、そしてその管理サービス提供者は、独立した第三者監査機関が実施する通常のセキュリティ監査の対象です。データ輸入者は通常の ISO/IEC 27001:2013 および ISO/IEC 27018:2014 監査に継続的に参加し、また、データ輸入者はすべての下請サービス会社の SOC 1 および/または SOC 2 レポートをレビューします。下請サービス会社の SOC 1 および/または SOC 2 レポートが利用可能でない場合、データ輸入者はセキュリティ サイト訪問を行い、適切な物理的、環境的、運営的セキュリティ コントロールがコントロール条件および契約要件を満たしていることを確認します。データ輸入者は、下請サービス提供者よりデータ輸入者に提供された時点で、追加の証明者や遵守の証明を継続的に評価します。
3. 物理的なセキュリティ
   1. インフラストラクチャ: プロダクション システムが設置されている第三者組織施設への物理的なアクセスは、職務を遂行するために必要な場合において、データ輸入者により承認されたユーザーにのみ制限されます。プロダクション環境施設への追加アクセスを必要とするユーザーは、適切な管理者による明示的な承認によりアクセス権限が付与されます。
   2. オフィス: データ輸入者は、物理的なセキュリティ ポリシーを施行し、データ輸入者のオフィスのセキュリティを監督する責任がある物理セキュリティ チームを保有します。会社サービスを含むエリアへのアクセスは、バッジ アクセス システムにより権限が与えられ、承認された担当者にのみ制限されています。