Oculus for Businessはご購入いただけなくなりました。Metaの最新のビジネス向けVR、Meta Quest for Businessについて、詳しくはこちらをご覧ください。

Oculus for Businessデータ処理に関する補足

最終更新日: 2020年10月11日

このOculus for Businessデータ処理に関する補足(以下「本補足」)は、利用者とFacebook Ireland Limited (以下「Facebook」または「弊社」)との間のOculus for Business企業用使用同意書(https://www.oculusforbusiness.com/enterprise-use-agreement/で閲覧可能。以下「同意書」)を補足するものです。本補足は、同意書に基づき取得される個人データ(以下で定義)が一般データ保護規則(EU) 2016/679 (「GDPR」)の適用対象となる場合にのみ適用されます。プライバシーや個人データに関して同意書と本補足との間に矛盾がある場合、本補足の規約が優先するものとします。

1.
定義
本補足において、「管理事業者」、「処理事業者」、「データ主体」、「個人データ」、「個人データの侵害」、および「処理」の各用語は、GDPRで定義されたこれらの用語と同一の意味を有するものとします。「処理対象の」および「処理する」は、「処理」の定義に従い解釈されるものとします。本データ処理に関する補足で定義されていないその他の用語(および「貴社」)はすべて、同意書における定義に従うものとします。
2.
データ処理
1. a.
  当事者間においては、貴社の権限のあるユーザーがエンタープライズソフトウェアに提出、投稿、提供したコンテンツまたはデータに含まれる個人データや、貴社の権限のあるユーザーがエンタープライズソフトウェアをどのように操作しているのかに関する、弊社が処理する利用状況や機能の情報(「貴社が保有する個人データ」)については、貴社がその管理事業者であるものとし、貴社が保有する個人データについてはFacebookがその処理事業者であるものとします。
2. b.
  Facebookは、貴社が保有する個人データに関して、本補足に基づき処理事業者としての作業を行うにあたり、次に定める事項を確認するものとします。
  i.
  処理の期間、内容、性質および目的は、同意書に定めるとおりとします。
  ii.
  処理する個人データの種類には、Oculus for Businessプライバシーに関する開示ポリシー(https://business.oculus.com/legal/enterprise-privacy-disclosure/で閲覧可能)に明記されている種類が含まれるものとします。
  iii.
  データ主体のカテゴリには、貴社の代表、権限のあるユーザー、および貴社が保有する個人データから特定される、または特定可能なその他の個人が含まれるものとします。
  iv.
  貴社が保有する個人データに関する管理事業者として貴社が有する権利は、本補足に定めるとおりです。
3. c.
  Facebookは同意書に基づき、またはこれに関連して貴社が保有する個人データを処理する場合にFacebookは次に定める義務を負うものとします。
  i.
  本補足を含む同意書に定める貴社の指示に従ってのみ、貴社が保有する個人データを処理するものとします。ただし、GDPRの第28条(3)項(a)号に基づき適用が除外される場合については、この限りではありません。
  ii.
  貴社が保有する個人データを本補足に基づき処理する権限を付与されたFacebookの従業員について、機密の保持を自ら誓約させ、または貴社が保有する個人データに関する制定法上の適切な機密保持義務を課すことを確約するものとします。
  iii.
  個人データのセキュリティ、機密性または保全性に対する脅威や危険になることが見込まれる行為や事態から個人データを保護するための技術的および組織的対策を講じるものとします。
  iv.
  復処理事業者を選任する場合は、本補足の以下の第2条dおよび第2条eに定める条件を遵守するものとします。
  v.
  Oculus for Businessを通じて提供し得る技術的および組織的かつ適切な措置を講じて貴社を支援し、GDPR第3章に基づくデータ主体の権利行使の要求に応じて貴社が負う義務を果たすことができるようにするものとします。
  vi.
  同意書の効力が失効した時には、同意書に基づき貴社が保有する個人データを削除するものとします。ただし、欧州連合またはEU加盟国の法律上、データ保持が義務付けられる場合を除きます。
  vii.
  本補足に記載されている情報、および製品を介してFacebookが提供するよう義務付けられている、FacebookによるGDPR第28条に基づく義務の遵守の証明に要するすべての情報を提供するものとします。
4. d.
  貴社は、同意書に基づきFacebookが負うデータ処理義務を、その関連企業、およびその他のサードパーティに外注する権限をFacebookに付与します。貴社から書面による要求がある場合、Facebookは当該サードパーティのリストを提供します。Facebookが上述の外注を行う場合は必ず、当該復処理事業者との間で、貴社が保有する個人データの保護に関してFacebookが同意書に基づいて負う義務と比べて保護の程度が下回ることのない義務を当該復処理事業者に負わせる旨の契約を書面で締結するものとします。復処理事業者が当該義務の履行を怠る場合、Facebookは同意書に従って、当該復処理事業者によるデータ保護義務の不履行について引き続き貴社に対して一切の責任を負うものとします。
5. e.
  Facebookが復処理事業者を追加するか、交代させる場合、Facebookは、追加または交代する当該復処理事業者の選任から14日以上前に、当該復処理事業者の追加または交代について貴社に通知するものとします。貴社は、当該追加または代替の復処理事業者の従事に関してFacebookから通知を受けた後、14日以内に、書面をFacebookに交付して本契約をただちに終了することにより、これに異議を唱えることができます。
6. f.
  貴社が保有する個人データに関する個人データの侵害が発覚した場合、Facebookは、不当に遅滞することなくその旨を貴社に通知するものとします。かかる通知には、通知時に当該個人データの侵害に関する詳細を記載するか、通知後、可及的すみやかにこれを交付するものとします。また可能な場合、当該通知には、影響を受ける貴社の記録数、影響を受ける権限のあるユーザーのカテゴリおよび概算数、当該侵害に関して予想される結果、および(必要に応じて)当該侵害が引き起こすことが予想される悪影響を軽減するために行った、または提案する救済手段についても記載するものとします。
7. g.
  同意書に基づき作業を行うにあたり、Facebookは、貴社が保有する個人データを、欧州経済領域(「EEA」)内外の場所を含むことのあるさまざまな場所に移転する場合があります。このような移転先には米国のFacebook, Inc.も含まれます。Facebookと米国のFacebook, Inc.は、両者間における個人データのかかる移転を円滑に行うための契約を締結しています。