MyScript の法定通知およびご利用規約に対するデータ処理に関する補遺

1.1 ここで別段の定義がされている場合を除き、本 DPA で使用されている用語および表現の定義は以下のとおりとします:

“Data Protection Laws” means laws and regulations of the European Union, the EEA and their Member States, Switzerland and the United Kingdom, applicable to the Processing of Personal Data, including the GDPR;

“Data Transfer” means:

• お客様からプロセッサへのユーザー個人データの移転、または
• データ保護法によって（またはデータ保護法のデータ移転制限に対処するために締結されるデータ移転契約の条項により）かかる移転が禁止されている場合のプロセッサからサブプロセッサ、またはプロセッサの 2 つの事業所間でのユーザー個人データの移転を意味します。

“DPA” means this Data Processing Agreement including all Schedules;

“EEA” means the European Economic Area;

“GDPR” means EU General Data Protection Regulation 2016/679;

“End-User” means the physical person(s) granted access by You to use MyScript Cloud recognition through the developer portal;

“Services”means the services MyScript provides either (i) through MyScript apps’ cloud features or (ii) managing and replying to Nebo for Windows’, Nebo’ or MyScript Math’s support requests or (iii) through the MyScript developer portal for text recognition. These Services are only accessible once You have created a MyScript account;

“Sub-processor” means any natural or legal person appointed by or on behalf of Processor to process User Personal Data on Your behalf in connection with the provision of the Services or this DPA;

“User Personal Data” means any Personal Data contained in any files, notes or documents that is uploaded to/sent to the Processor through the Services, such as any of Your content that You upload using MyScript apps’ cloud features. (This may include Your own personal data but also any personal data of any other natural person that you share with the Processor through the Service.)

1.2 The terms “Controller”, “Data Subject”, “Member State”, “Personal Data”, “Personal Data Breach”, “Processing” and “Processor” shall have the same meaning as in the GDPR, and their related terms shall be construed accordingly.

2.1 本 DPA の目的上、および GDPR の定義に従って、MyScript はプロセッサとして、お客様はコントローラとして、それぞれ機能します。

2.2 プロセッサは以下を行うものとします:

• ユーザー個人データの処理において、適用されるすべてのデータ保護法を遵守すること。
• お客様からの文書による指示がある場合を除き、ユーザー個人データを処理しないこと。

2.3 本条により、お客様は、本サービスを提供するために、ユーザー個人データを処理するようプロセッサに指示するものとします。

Processor shall take reasonable steps to ensure the reliability of any employee, agent or contractor of the Processor who may have access to User Personal Data, ensuring in each case that access is strictly limited to those individuals who need to access the relevant User Personal Data for the provision of the Services or to carry out their role within Processor’s organization, and to comply with applicable laws in the context of that individual’s duties to the Processor, ensuring that all such individuals are subject to confidentiality undertakings or professional or statutory obligations of confidentiality.

4.1 Processor’s Security Responsibilities

4.1.1 プロセッサは、自然人の権利および自由に対する様々な可能性および重大性のリスクだけでなく、技術の現状、実施にかかるコスト、および処理の性質、範囲、文脈および目的を考慮して、ユーザー個人データに関し、必要に応じて GDPR 第 32 条 (1) に言及されている措置を含め、そのリスクに適したセキュリティレベルを確保するための適切な技術的措置および組織的措置を実施するものとします。

4.1.2 適切なセキュリティレベルを評価する際、プロセッサは、特に、処理、中でも個人データの漏洩によってもたらされるリスクを考慮するものとします。

4.1.3 Processor’s security measures are further detailed in Schedule 2 of this DPA.

4.2 お客様のセキュリティ責任

4.2.1. You agree that, without prejudice to Processor’s obligations under Section 4.1 (Security Measures) and Section 7 (Personal Data Breach):

4.2.1.1 お客様は、 (i) 本サービスを通じて個人データが処理されるすべての自然人から必要なすべての許可を得ていることを確認すること、および (ii) すべてのログイン認証情報およびパスワードを安全に保管し、定期的に変更することを含め、本サービスの使用について単独で責任を負うものとします。

4.2.1.2. Processor has no obligation to protect User Personal Data that You elect to store or transfer outside of Processor’s (or Sub-processors’) systems.

4.2.2. You are solely responsible for reviewing the security measures and evaluating for yourself whether the Service, the security measures, the additional security information and Processor’s commitments under this Section 4 (Data Security) will meet Your needs, including with respect to any security obligations of Your jurisdiction’s applicable data protection laws.

5.1 プロセッサは、お客様の要求または承認がない限り、ユーザー個人データを第三者に移転せず、サブプロセッサを任命（またはユーザー個人データを開示）しないものとします。

5.2 お客様は、本 DPA の別表 1 に記載されたサブプロセッサに対し、本サービスの提供に必要なユーザー個人データの受領および処理を行う権限を付与するものとします。プロセッサは、新たなサブプロセッサによるユーザー個人データの処理をする前に、別表 1 に対する変更をお客様に通知するものとし、お客様は本サービスの利用を中止することができます。

5.3 プロセッサは、そのサブプロセッサの作為および不作為について、本 DPA ならびに法定通知およびご利用規約の条件に基づいて各サブプロセッサのサービスを直接実行する場合にプロセッサが責任を負うのと同じ範囲で責任を負うものとします。

6.1 Taking into account the nature of the Processing, Processor shall assist You by implementing appropriate technical and organizational measures, insofar as this is possible, for the fulfilment of Your obligations, as reasonably understood by Processor, to respond to requests to exercise Data Subject rights under the Data Protection Laws, namely right of access, right to rectification, restriction of Processing, erasure, data portability, objection to the Processing, or its right not to be subject to an automated individual decision making (hereinafter “Data Subject Request”).

6.2 プロセッサは以下を行うものとします:

• ユーザー個人データに関して、データ保護法に基づきデータ主体から要求を受けた場合、速やかにお客様に通知すること。
• お客様の文書化された指示に基づく場合、またはプロセッサが適用対象となる法律によって必要とされる場合を除き、プロセッサがその要求に応じないようにすること。適用対象となる法律によって必要とされる場合、プロセッサは、適用される法律により許容される範囲において、要求に応答する前に、当該法的要件をお客様に通知するものとします。

6.3 Taking into account the nature of the Processing, Processor will assist You by appropriate technical and organizational measures, insofar as it is possible, for the fulfillment of Your obligation to respond to a Data Subject Request under European Data Protection Laws. In addition, to the extent You, in Your use of the Service, do not have the ability to address a Data Subject Request, Processor shall, upon Your written request, provide You with reasonable cooperation and assistance to facilitate Your response to such Data Subject Request, to the extent Processor is legally permitted to do so and the response to such Data Subject Request is required under European Data Protection Laws. To the extent legally permitted, You shall be responsible for any costs arising from Processor’s provision of such assistance.

7.1 プロセッサは、ユーザー個人データに影響を及ぼす個人データの漏洩を認識した場合、不当な遅延なくお客様および管轄監督機関に通知するものとし、データ保護法に基づきデータ主体に個人データの漏洩を報告または通知する義務を果たすのに十分な情報をお客様に提供するものとします。

7.2 プロセッサは、かかる個人データの漏洩の調査、軽減および是正を支援するために、お客様と協力し、お客様が指示する合理的な商業上の措置を講じるものとします。

7.3 個人データの漏洩に関する通知は、お客様の連絡先に直接送付されます。お客様は、プロセッサに提供された通知用メールアドレスを含む連絡先情報が最新かつ有効であることを確認する責任を単独で負うものとします。

7.4 特定の法的要件の対象となる情報を特定するために、プロセッサがユーザー個人データの内容を評価することはありません。お客様は、個人データの漏洩に関連して適用されるインシデント通知関連の法律を遵守し、第三者への通知義務を果たすことについて、単独で責任を負うものとします。

7.5 Processor’s notification of, or response to, a Personal data Breach under this Section 7.1 (Personal Data Breach) will not be construed as an acknowledgement by Processor of any fault or liability with respect to the Personal Data Breach.

プロセッサは、GDPR 第 35 条もしくは第 36 条、またはその他のデータ保護法の同等の規定によって必要であると合理的に考えられるデータ保護影響評価、ならびに監督当局またはその他の管轄データプライバシー当局との事前協議について、合理的な支援をお客様に提供するものとし、それぞれの場合において、プロセッサによるユーザー個人データの処理にのみ関連し、処理の性質およびプロセッサが入手可能な情報を考慮するものとします。

9.1 お客様からアカウント削除の明示的な要求があった場合、またはお客様自身によってお客様のアカウントが削除された場合、プロセッサは、プロセッサによって処理された、または処理中のユーザー個人データを削除するものとします。削除は確定的なものであり、プロセッサは当該ユーザー個人データのコピーを一切保持しないものとします。

9.2 本サービスが終了した場合、プロセッサは、ユーザー個人データの処理を伴う本サービスの終了日から速やかに、いかなる場合でも 12 カ月以内に、本サービスの提供中にプロセッサ（またはサブプロセッサ）に移転されたユーザー個人データのすべてのコピー（存在する場合）を削除し、また削除させるものとします。

10.1. プロセッサは、本 DPA および適用されるデータ保護法に基づく義務の遵守を確保するため、定期的に監査を実施し、すべてのサブプロセッサにも同様の監査を実施させるものとします。

10.2 本第 10 条に従い、プロセッサおよび/またはサブプロセッサによるユーザー個人データの処理に関し、十分な機密保持契約が締結されていることを条件として、プロセッサは、要求に応じて、本 DPA の遵守を証明するために必要なすべての情報をお客様に提供するものとします。

10.3 お客様は、第 10.1 条に記載された監査を実施するようプロセッサに指示することにより、適用されるデータ保護法に基づき、お客様自身のために、およびお客様がプロセッサとして行動している場合はお客様のコントローラのために、検査を含むあらゆる監査を実施するよう要求または義務付ける権利を有するものとします。

10.4 If You wish to change this instruction regarding the audit, then You have the right to request a change to this instruction by sending Processor a written notice to legal@myscript.com. If Processor declines to follow any request and/or instruction requested by You regarding audits, including inspections, You are entitled to terminate the Services immediately.

11.1 The Processor may not transfer, or authorize the transfer of, User Personal Data to countries outside the EU and/or the EEA without Your prior written consent. If Personal Data processed under this DPA is transferred from a country within the European Economic Area to a country outside the European Economic Area, the Parties shall ensure that the User Personal Data is adequately protected. To achieve this, the Parties shall, unless agreed otherwise, rely on EU adequacy decisions for non-EU countries and/or on EU approved standard contractual clauses for the transfer of Personal Data.

11.2 ユーザー個人データを受領するサブプロセッサのリストおよび各サブプロセッサの所在国は、本 DPA の別表 1 に記載されています。上記第 11.1 条の目的のため、お客様は、別表 1 に記載されたサブプロセッサにユーザー個人データが移転されることに同意するものとします。

12.1 Duration. This DPA takes effect upon Your acceptation of the Legal Notice and Terms of Use and shall remain in effect for as long as the Processor provides You the Services.

12.2 Notices. All notices and communications given under this DPA must be in writing and sent through email to the address used to create a MyScript account in the case of MyScript contacting You, and must be sent to legal@myscript.com in case You wish to notify MyScript.

12.3 Law and jurisdiction. This DPA is governed by the laws of France, excluding its conflict of law provisions. Any dispute arising out of or in connection with this DPA, which the Parties will not be able to resolve amicably, will be submitted to the exclusive jurisdiction of the competent French courts or authorities.

12.4 Severance. Should any provision of this DPA be invalid or unenforceable, then the remainder of this DPA shall remain valid and in force. The invalid or unenforceable provision shall be either (i) amended as necessary to ensure its validity and enforceability, while preserving the Parties' intentions as closely as possible or, if this is not possible, (ii) construed in a manner as if the invalid or unenforceable part had never been contained therein.

12.5 クレーム、苦情、要請があった場合の管轄監督官庁は、Commission Nationale des Informations et des Libertés（CNIL）であり、https://www.cnil.fr/fr/plaintes/ からお問い合わせいただけます。

1.1 MyScript apps' cloud features

1.2 MyScript Cloud recognition through the developer portal

プロセッサは、お客様のためにユーザー個人データを処理する際、以下の技術的および組織的なセキュリティ対策を実施し、維持します:

物理的アクセスコントロール

プロセッサは、権限のない者がユーザー個人データにアクセスできないように、セキュリティで保護された建物やサーバールームなど、物理的なアクセスを防止するための合理的な措置を講じるか、またはプロセッサに代わってデータセンターを運営しているサブプロセッサがかかるコントロールを遵守していることを確認するものとします。

システムアクセスコントロール

プロセッサは、ユーザー個人データが許可なく使用されることを防止するために、合理的な措置を講じるものとします。これらのコントロー ルは、実施される処理の性質に応じて変化するものとし、他の多くのコントロールの中でも、パスワードによる認証、多要素認証との組み合わせ、該当する場合は文書化された承認プロセス、ファイアウォール、文書化された変更管理プロセス、および/または、複数のレベルでのアクセスの記録、および自動セキュリティ更新を含む場合があります。

システムアクセスコントロール

プロセッサは、ユーザー個人データが許可なく使用されることを防止するために、合理的な措置を講じるものとします。これらのコントロー ルは、実施される処理の性質に応じて変化するものとし、他の多くのコントロールの中でも、パスワードによる認証、多要素認証との組み合わせ、該当する場合は文書化された承認プロセス、ファイアウォール、文書化された変更管理プロセス、および/または、複数のレベルでのアクセスの記録、および自動セキュリティ更新を含む場合があります。

データアクセスコントロール

プロセッサは、ユーザー個人データが、適切に権限を与えられたスタッフによってのみアクセスおよび管理が可能であること、データ処理システムを使用する権利を有する者がアクセス権を有するユーザー個人データにのみアクセスできるよう、データベースへの直接のクエリーアクセスが制限されていること、およびアプリケーションのアクセス権が確立および実施されていること、ならびに処理の過程でユーザー個人データが許可なく読み取られ、コピー、変更、または削除されないことを保証するために、合理的な措置を講じるものとします。

トランスミッションコントロール

プロセッサは、データ移転設備によるユーザー個人データの移転先がどのような事業体であるかを確認および確立できるようにするための合理的な手段を講じるものとし、これにより、電送または輸送中にユーザー個人データが許可なく読み取られたり、コピー、修正、削除されたりしないようにするものとします。これらの対策には、認証された安全なサーバー接続の使用や、すべての API におけるクロスオリジンリソース共有の制限などが含まれます。

入力コントロール

プロセッサは、メタデータがデータ処理システムに入力されたかどうか、あるいはそれが変更または削除されたかどうかを確認し、その結果を確かなものとして確立できるようにするための合理的な手段を講じるものとします。プロセッサは、本契約に基づき、認証およびセキュアな監査記録作成のために、業界のベストプラクティスである暗号化プロトコルを利用するものとします。

データのバックアップ

本サービスのデータベースのバックアップは定期的に実施され、安全性が確保されており、ユーザー個人データが偶発的な破壊や損失から保護されるように暗号化されています。スナップショットは 12 時間ごとに撮影されます（AWS）。暗号化されたバックアップは 3 日に 1 度、弊社のサーバーで実施されます。

名称:MyScript SAS

所在地:3 rue de la Rainière 44339, Nantes, France

Contact person’s name, position and contact details:

Emilie Fowell, DPO, legal@myscript.com

移転されたデータに関連する活動:本サービスの履行

役割（コントローラ／プロセッサ）:プロセッサ

3.1 MyScript apps' cloud features

1.個人データが移転されるデータ主体のカテゴリ:

お客様は、ユーザー個人データを本サービスに提出できますが、その範囲はお客様のみによって決定および制御されるものとします。

2.移転される個人データのカテゴリ:

• Unstructured User Personal Data contained in Nebo’ or MyScript Math content sent by You to the Processor through the Service for sharing with MyScript or for storing through MyScript apps’ cloud features.

3.特別なカテゴリのデータ:

MyScript が特別なカテゴリのデータ （人種的または民族的出身、政治的意見、宗教的または哲学的信条、労働組合への加盟、遺伝子または生体情報、健康状態、性生活など）を収集することはありません。ただし、上記のような構造化されていないユーザー個人データの内容は、MyScript には不明です。

4.移転の頻度

構造化されていないユーザー個人データは、お客様の本サービスの利用頻度に応じて、別表 1 に記載された弊社のサブプロセッサに継続的に移転されます。

5.処理の性質

処理の性質は、本サービスの履行です。

6.データ移転とさらなる処理の目的

MyScript は、お客様が要求したサービスを履行するために必要なユーザー個人データを処理します。

7.個人データの保管期間、またはそれが不可能な場合は、その期間を決定するために使用した基準

Unstructured User Personal Data is transferred to Processor’s servers for as long as You decide to store or share User Personal Data through MyScript apps’ cloud features. If You delete Your MyScript account then all User Personal Data is automatically deleted from all storage points.

8.（サブ）プロセッサへの移転については、処理の対象、性質、期間も明記すること

サブプロセッサは、本サービスの履行に必要な範囲でユーザー個人データを処理します。サブプロセッサは、書面による別段の合意がない限り、またはお客様が事前にユーザー個人データの削除を要求した場合を除き、お客様が MyScript アカウントを保有する限り、ユーザー個人データを処理します。本サービスの提供に使用されるサブプロセッサの身元および所在国は、本 DPA の別表 1 に記載されています。

3.2 Nebo の生成人工知能機能

1.個人データが移転されるデータ主体のカテゴリ:

お客様は、ユーザー個人データを本サービスに提出できますが、その範囲はお客様のみによって決定および制御されるものとします。

2.移転される個人データのカテゴリ:

• コンテンツを生成し、お客様のノートブックにインポートするために、お客様が本サービスを通じてプロセッサに送信したノートブックに含まれる構造化されていないユーザー個人データ。

3.特別なカテゴリのデータ:

MyScript が特別なカテゴリのデータ （人種または民族的出身、政治的意見、宗教的または哲学的信条、労働組合への加盟、遺伝子または生体情報、健康状態、性生活など） を収集することはありません。ただし、上記のような構造化されていないユーザー個人データの内容は、MyScript には不明です。

4.移転の頻度

構造化されていないユーザー個人データは、お客様の本サービスの利用頻度に応じて、別表 1 に記載された弊社のサブプロセッサに継続的に移転されます。

5.処理の性質

処理の性質は、本サービスの履行です。

6.データ移転とさらなる処理の目的

MyScript は、お客様が要求した本サービスの履行に必要なユーザー個人データを処理します。

7.個人データの保管期間、またはそれが不可能な場合は、その期間を決定するために使用した基準

Unstructured User Personal Data is temporarily transferred to Sub-processor’s servers when You include it in a request to generate content through the articifial intelligent features.

8.（サブ）プロセッサへの移転については、処理の対象、性質、期間も明記すること

本サービスの提供に使用されるサブプロセッサの身元および所在国は、本 DPA の別表 1 に記載されています。サブプロセッサは、本サービスの履行に必要な範囲でユーザー個人データを処理します。ユーザー個人データは、サブプロセッサである OpenAI によって、違法および/または虐待的なコンテンツを監視するために 30 日間保管され、その後削除されます。ユーザー個人データは、サブプロセッサの AWS サーバによってのみ移転され、瞬時に削除されます。

3.2 MyScript Cloud recognition through the developer portal

1.個人データが移転されるデータ主体のカテゴリ:

お客様は、ユーザー個人データを本サービスに提出できますが、その範囲はお客様のみによって決定および制御されるものとします。

2.移転される個人データのカテゴリ:

• 手書きメモからデジタルテキストに変換するために、お客様が本サービスを通じてプロセッサに送信した文書に含まれる構造化されていないユーザー個人データ。
• エンドユーザーの IP アドレス。

3.特別なカテゴリのデータ:

MyScript が特別なカテゴリのデータ （人種的または民族的出身、政治的意見、宗教的または哲学的信条、労働組合への加盟、遺伝子または生体情報、健康状態、性生活など） を収集することはありません。ただし、上記のような構造化されていないユーザー個人データの内容は、MyScript には不明です。

4.移転の頻度（例: データが単発で移転されるのか、継続的に移転されるのか）

上記のすべてのカテゴリのデータは、別表 1 に記載された弊社のサブプロセッサに移転され、本サービスの利用状況に応じて継続的に移転されます。

5.処理の性質

処理の性質は、本サービスの履行です。

6.データ移転とさらなる処理の目的

MyScript は、サービスを履行するために必要な個人データを処理します。

7.個人データの保管期間、またはそれが不可能な場合は、その期間を決定するために使用した基準

Unstructured User Personal Data is transferred to Processor’s servers the time for the Processing to take place, is then returned to the End-User and is not stored by the Processor. IP addresses are kept in log records for 12 months. Unstructured User Personal Data is not stored by the Processor unless specifically & expressly requested by You in writing.

8.（サブ）プロセッサへの移転については、処理の対象、性質、期間も明記すること

サブプロセッサは、本サービスの遂行に必要なユーザー個人データを処理します。サブプロセッサは、書面による別段の合意がある場合を除き、お客様が本サービスを利用する限り、個人データを処理します。本サービスの提供に使用されるサブプロセッサの身元および所在国は、本 DPA の別表 1 に記載されています。

管轄監督機関

クレーム、苦情、要望があった場合の管轄監督官庁は、Commission Nationale des Informations et des Libertés（CNIL）であり、https://www.cnil.fr/fr/plaintes/ からお問い合わせいただけます。