エクスペディア TAAP「クマの手」オンライン契約 – 管理者間契約 (SCC を含む)

本 C2C 契約の原文である英語版は、他の言語に翻訳されている場合があります。本契約の英語版と他言語版との間に不一致または相違がある場合は、英語版が優先されるものとします。

範囲: このグローバル管理者間契約 (以下「本 C2C 契約」といいます) は、相手方当事者と締結した契約 (オンラインクリックラップ契約の形式をとることがあります) (エクスペディア TAAP「クマの手」に基づくマーケティング パートナーとして貴社を指名している契約、この活動に関係したすべての関連アクティビティを本 C2C 契約において以下「関連活動」といいます) の一環として、エクスペディアと貴社がそれぞれ個人データを処理する場合に、関連アクティビティに関係して両当事者間で締結された当該契約 (以下「原契約」といいます) を補足し、原契約に適用されるものであり、原契約に関連したエクスペディアと貴社それぞれによる個人データの処理に関する規約、要件、および条件を定めたものです。本 C2C 契約において、「 エクスペディア」および「当社」とは、原契約の当事者である Expedia, Inc. および / またはその他の Expedia Group 企業を指します。また、「貴社」とは、原契約で説明されているように、アプリケーションに記載されている指定された事業体を指します (「エクスペディア」または「貴社」への言及は、原契約で要求される範囲において、すべて複数形として解釈されるものとします)。

1. 定義および解釈

1.1 本 C2C 契約は、原契約の条項に従い、原契約に組み込まれます。原契約で定められている解釈および定義された用語は、本 C2C 契約で別途定義されている場合を除き、本 C2C 契約でも同様に解釈されるものとします。

  1. a. 適切な技術上および組織上の措置、管理者、個人データ、個人データ侵害、処理、 および監督機関 (ならびに合理的にこれらと同等の用語) はそれぞれ、適用データ保護法令においてこれらの用語に付与されている意味を有するものとします。
  2. b. 適用データ保護法令とは、関連する法域において適用される、個人データの利用または処理に関連する法律および規制を意味します。
  3. c. 許容される目的とは、(i) 予約の履行、(ii) 予約に関するサポートの提供、(iii) エクスペディア TAAP「クマの手」の登録およびアカウント管理、(iv) 原契約に基づくコミッションおよび他の金額の支払い、(v) 貴社向けのレポートの作成および原契約の履行に関連した消し込み、苦情の処理、および類似した活動のために必要になる追加の処理、(vi) エクスペディア TAAP「クマの手」アカウントのサポート、(vii) エクスペディア TAAP「クマの手」会員およびサブユーザーへの連絡、(viii) サイトの使いやすさの最適化を含む、当社のサービスの改善、(ix) 分析、ビジネス インテリジェンス、事業報告用のレポートの作成、(x) 不正防止、(xi) 法執行機関からの要請および税務当局からの監査要請への対応、(xii) 事業上の資産の取引の促進 (合併、買収、または資産の売却に及ぶ場合があります)、(xiii) その他の態様での、原契約、エクスペディアのプライバシーポリシー、および適用法令に基づく当社の義務の遵守、ならびに (xiv) 旅行税の決定、計算、および報告ならびに随時要請されるその他の該当する税務目的を意味します。
  4. d. DPF とは、米国商務省による EU-米国間データ プライバシー フレームワーク認定、または欧州委員会 (もしくはその他の関連する国内機関) によって随時承認される代替または補足の認定メカニズムを意味します。これには、米国と第三国間 (英国およびスイスを含みますが、これらに限定されません) への DPF の拡張を許可しているその他の国により発行された補足的な十分性認定が含まれます。
  5. e. 制限付き移転対象国とは、欧州経済領域のすべての加盟国、スイス、英国、およびブラジルを意味します。
  6. f. 制限付き移転データとは、制限付き移転対象国の顧客がアクセスすることを当社が意図した販売サイトを介して行われた予約に関連する顧客データを意味します。
  7. g. 標準契約条項 / SCC とは、2021 年 6 月 4 日に発行され、随時、修正、置換、補足、または取って代わられる、欧州連合から第三国への個人データの移転に関する承認された欧州委員会の標準契約条項を意味し、最新版の標準契約条項全文は、https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en で確認することができます。
  8. h. エクスペディア TAAP「クマの手」の個人データとは、エクスペディア TAAP「クマの手」ウェブサイトを介して貴社によって当社に提供された個人データ、またはエクスペディア TAAP「クマの手」それ自体、もしくはエクスペディア TAAP「クマの手」ウェブサイトを利用してなされた予約の円滑化に関連してその他の方法で処理された個人データを意味します。
当事者の関係
  1. 1.2 貴社および当社は、それぞれ、原契約に基づく各当事者の権利および義務、ならびに適用法令に基づく貴社および当社の責任を履行するために、個人データを収集および処理するものとします。そのため、各当事者は、(i) 独立した自律的な管理者として個人データを処理し、(ii) 適用データ保護法令を遵守し、(iii) 適用データ保護法令の違反における自己の作為または不作為について責任を負うものとします。
貴社の責任

1.3 貴社は、以下を遵守します。 

Your responsibilities
  1. a. 当社が許容される目的のためにエクスペディア TAAP「クマの手」の個人データを処理できるようにするための法的根拠を満たすこと。
  2. b. 貴社のプライバシーポリシーおよび他の適切な手段を通じて、エンドカスタマーの個人データが、許容される目的のために当社と共有されることを、顧客が確実に認識しているようにすること。
  3. c. 当社による顧客の個人データの取扱いに関する詳細について、当社のプライバシーポリシーを確認するよう顧客に案内すること。
  4. d. 原契約に関連するエクスペディア TAAP「クマの手」の個人データの当社による処理の過程において、当社による適用データ保護法令の遵守を支援するために、当社に協力し、合理的なサポートを提供すること。
当社の責任

1.4 当社 (および該当する場合は当社のグループ企業) は、以下を遵守するものとします。 

  1. a. 許容される目的に関連してのみ、エクスペディア TAAP「クマの手」の個人データを処理すること。
  2. b. 許容される目的に関連する場合を除き、エクスペディア TAAP「クマの手」の個人データの全部または一部をいかなる個人に対しても漏えいしないこと。
  3. c. 原契約に関連するエクスペディア TAAP「クマの手」の個人データの貴社による処理の過程において、貴社による適用データ保護法令の遵守を支援するために、貴社に協力し、合理的なサポートを提供すること。
  4. d. エクスペディア TAAP「クマの手」ウェブサイトにおいて、当社の適法かつ最新の Cookie 通知 (必要な場合) および当社のプライバシーポリシーを表示および遵守すること。
顧客および第三者

1.5 貴社は、当社が以下のとおりであることを了承するものとします。

  1. a. 予約に関して顧客にEメールを送信する場合があること。
  2. b. エクスペディア TAAP「クマの手」の個人データ (銀行に関するデータを含みます) を以下の目的で当社の第三者であるサービスプロバイダーに移転する場合があること。
    1. i. 貴社、貴社の代表者、およびサブユーザーのエクスペディア TAAP「クマの手」アカウントの管理およびサポート
    2. ii. 予約のためのサポートの提供
    3. iii. 原契約に基づくコミッションおよび他の金額の支払い
データセキュリティ

1.6 両当事者は、管理者としての権能において、以下を行うものとします。

  1. a. 各当事者が処理する個人データを個人データ侵害から保護するための適切な技術上および組織上の措置を維持すること。
  2. b. 当事者の保有または管理下にあるシステム内で個人データ侵害が確認された場合、その個人データ侵害が (i) 原契約に基づいて他方当事者によっても処理されているエクスペディア TAAP「クマの手」の個人データに影響するか否か、および (ii) 監督機関に報告すべきものであるか否かの両方について、当該侵害の完全な詳細を含めて、他方当事者にすみやかに通知すること。当該場合、両当事者は、合理的かつ誠実に協力し、その個人データ侵害の影響の是正または緩和に努めるものとし、当該協力の合理的な費用は、その個人データ侵害の被害を受けた当事者が負担するものとします。
越境移転 

1.7 データ プライバシー フレームワーク (DPF) : 貴社と当社は、貴社と当社の間における米国または移転元の制限付き移転対象国の適用データ保護法令において「十分性」が認められていない国への制限付き移転データの移転に関して、(a) DPF が関係機関によって認められた移転方法である限りにおいては、制限付き移転対象国から米国内の当社へのデータの越境移転のために合意したメカニズムを DPF とすること、また (b) DPF が有効な移転方法ではない限りにおいては (移転元の制限付き移転対象国の適用データ保護法令において「十分性」が認められていないへの制限付き移転データの移転を含む)、SCC がかかる移転に適用され、当社が以下の第 1.11 条の規定に基づいて SCC を締結することに同意するものとします。貴社が最新の DPF 認定も保有している場合、貴社への制限付き移転データの移転も同様に、DPF に基づいて、かつ上記に定めるとおり SCC を代替メカニズムとして行うことができます。

1.8 DPF フローダウン義務: 貴社は、貴社が DPF で求められているのと同じレベルの保護を制限付き移転データに提供することに同意するものとし、貴社が同じレベルの保護を提供できなくなったと判断した場合は、その旨をすみやかに当社に通知するものとします。当該場合、または貴社が制限付き移転データを DPF で求められている基準に従って保護していないと当社が別途合理的に判断した場合、当社は (a) 不正な処理を停止および是正するための合理的かつ適切な措置を講じるよう貴社に指示する (その場合、貴社は当該措置を特定し、それに同意し、それを導入するためにすみやかに誠意をもって当社に協力するものとします)、(b) 適用データ保護法令に基づく処理に適用される可能性がある代替の保護措置に同意する、または (c) 貴社に通知することにより、本 C2C 契約および原契約 (または当社の選択により、それらの影響を受ける部分) をペナルティなしに解除することができます。貴社が最新の DPF 認定も保有している場合、上記の規定および以下の第 1.9 条の規定は、双方向の義務として適用されるものとみなされます。

1.9 DPF 開示義務 : 貴社は、当社が米国商務省、連邦取引委員会、欧州のデータ保護機関、またはその他の米国もしくは EU の司法機関もしくは規制機関の要請に応じて、これらの機関に対し、本 C2C 契約および原契約の関連するプライバシー規定を開示できること、また当該開示が秘密保持義務の違反とはみなされないことを了承するものとします。

1.10 非制限付き移転対象国への SCC の拡張: 制限付き移転対象国ではないが、適用データ保護法令に従って、エクスペディア TAAP「クマの手」の個人データを移転元の国以外の国に移転する前に適用する必要がある保護措置の対象となっている国 (以下、それぞれを「 非制限付き移転対象国」といいます) を移転元とするエクスペディア TAAP「クマの手」の個人データの貴社と当社の間の移転に関連して、貴社と当社は、(a) その特定の国の保護措置を満たしている限りにおいて、以下の第 1.11 条に定められている SCC が当該の付加的な移転にも拡張されるものとみなされること、および / または (b) 第 1.11 条に定められている措置が不十分である、もしくは補足的な措置が必要である場合は、そうした追加の措置 (適用データ保護法令を満たすために随時求められることがある、関連文書の締結、同意の収集、必要な申請の実施など) を講じることに同意するものとします。

1.11 上記の第 1.7 条に従って、貴社と当社は、本 C2C 契約により、以下の選択を除き、変更なしで SCC を締結することに同意するものとします。:

  1. a. 貴社が制限付き移転対象国またはその他 GDPR 第 45 条に従って「十分性」が認められている国に所在している場合、SCC のモジュール 1 は貴社からエクスペディアへの移転に関して一方向にのみ適用されるものとします。それ以外の場合、SCC のモジュール 1 は双方向 (当社から貴社への移転および貴社から当社への移転の両方) に適用されます。
  2. b. SCC の第 11 条 (a) の目的において、オプションの言語は削除されます。
  3. c. SCC の第 13 条の目的において、関連する段落は「付属書類 I.C に示されているように、規則 (EU) 2016/679 の第 27 条 (1) の意味における代表者が設置されている加盟国の監督機関が管轄監督機関として行動するものとします」です。
  4. d. SCC の第 17 条の目的において、準拠法はアイルランドの法律です。
  5. e. SCC の第 18 条 (b) の目的において、選択はアイルランドです。
  6. f. 英国から英国外への個人データの移転を対象とするために、以下の第 19 条が SCC に新たに追加されます。

「第 19 条

英国の GDPR と DPA 2018

両当事者は、英国の GDPR および 2018 年データ保護法の範囲に該当する越境移転 (以下「英国からの移転」といいます) を対象とするために、問題となっている移転に関連する範囲で、本条項が拡張および適用されることに同意するものとします。こうした英国からの移転の目的において、標準契約条項バージョン B1.0 の国際データ移転に関する補遺 (随時、修正、置換、補足、または取って代わられるものを含む) として添付された文書に定められているとおりに、当該補遺の規定が適用されるものとします。」

  1. g. スイスからスイス国外への個人データの移転を対象とするために、以下の第 20 条が SCC に新たに追加されます。

「第 20 条

スイス – FADP

両当事者は、データ保護に関する連邦法 (以下「 FADP」といいます) の範囲に該当する越境移転 (本条項では、以下「 スイスからの移転」といいます) を対象とするために、問題となっている移転に関連する範囲で、本条項が拡張および適用されることに同意するものとします。こうしたスイスからの移転の目的において、準拠法は選択された加盟国の法律とみなされるものとし、裁判地の選択は選択された加盟国とし、連邦データ保護情報コミッショナー (以下「FDPIC」といいます) を管轄監督機関とするものとします。さらに、両当事者は、両当事者がスイスからの移転向けに特別に作成した個別の標準契約条項を締結しなくて済むように、スイスからの移転について、英国の GDPR および FADP を遵守するために FCPIC が必要とみなす、当該のさらなる変更が本条項に加えられるものと解釈すること、また、当該法律に基づいて生じるスイスからの移転に関する要件に従って、または FDPIC が発行するガイダンスで別途定められているように、本条項を解釈することに同意するものとします。加えて、両当事者は、スイスからの移転を行う際に、FADP を確実に遵守するために必要になるすべてのことを行うものとします。」

  1. h. ブラジルからブラジル国外への個人データの移転を対象とするために、以下の第 21 条が SCC に新たに追加されます。

「第 21 条

ブラジル – LGPD

両当事者は、ブラジルの一般データ保護法 (法律番号 13,709/18、Lei Geral de Proteção de Dados) (以下「LGPD」といいます) の範囲に該当する越境移転 (本条項では、以下「ブラジルからの移転」といいます) を対象とするために、問題となっている移転に関連する範囲で、本条項が拡張および適用されることに同意するものとします。こうしたブラジルからの移転の目的において、準拠法は選択された加盟国の法律とみなされるものとし、裁判地の選択は選択された加盟国とし、ブラジルの国家データ保護機関 (以下「 ANPD」といいます) を管轄監督機関とするものとします。さらに、両当事者は、両当事者がブラジルからの移転向けに特別に作成した個別の標準契約条項を締結しなくて済むように、ブラジルからの移転について、LGPD を遵守するために ANPD が必要とみなす、当該のさらなる変更が本条項に加えられるものと解釈すること、また、当該法律に基づいて生じるブラジルからの移転に関する要件に従って、または ANPD もしくはその他のブラジルの関連機関が発行するガイダンスで別途定められているように、本条項を解釈することに同意するものとします。加えて、両当事者は、ブラジルからの移転を行う際に、LGPD を確実に遵守するために必要になるすべてのことを行うものとします。」

  1. i. SCC の拡張対象となり得る、上記に指定されていないその他の国からの個人データの移転を対象とし、当該国から当該国以外の国に所在する当事者への個人データの移転に対して適切な保護措置が講じられるようにするために、以下の第 22 条が SCC に新たに追加されます。

「第 22 条

その他の第三国への移転

両当事者は、本条項とほぼ同等の条件および保護を求めている、関連する法域において適用される、個人データの利用または処理に関連するその他の法律および規制 (以下「適用データ保護法令」といいます) の範囲に該当する越境移転を対象とし、当該国から別の国に個人データを移転 (本条項では、以下「第三国からの移転」といいます) するために、問題となっている移転に関連する範囲で、本条項が拡張および適用されることに同意するものとします。こうした第三国からの移転の目的において、準拠法は選択された加盟国の法律とみなされるものとし、裁判地の選択は選択された加盟国とし、第三国のデータ保護機関または規制機関を管轄監督機関とするものとします。さらに、両当事者は、両当事者が第三国からの移転向けに特別に作成した個別の標準契約条項を締結しなくて済むように、第三国からの移転について、第三国の適用データ保護法令を遵守するために当該監督機関が必要とみなす、当該のさらなる変更が本条項に加えられるものと解釈すること、また、当該法律に基づいて生じる第三国からの移転に関する要件に従って、または関連監督機関が発行するガイダンスで別途定められているように、本条項を解釈することに同意するものとします。加えて、両当事者は、第三国からの移転を行う際に、適用データ保護法令を確実に遵守するために必要になるすべてのことを行うものとします。」

1.12 本 C2C 契約の付属書類 1 (SCC 処理の概要) は、SCC の付属書類 1 を構成します。本 C2C 契約の付属書類 2 (技術上および組織上の措置) は SCC の付属書類 2 を構成し、貴社が SCC の付属書類 2 にある要件を満たすための十分な技術上および組織上の措置を提供し、それを当社が受け入れた場合にのみ、エクスペディアに適用されます。これに該当しない場合、付属書類 2 は両当事者に適用されるものと解釈し、「エクスペディア」および「Expedia Group」への言及は、すべて状況に応じたいずれかの当事者を指すものと解釈するものとします。SCC の目的において、本 C2C 契約の補遺は英国の補遺を構成します。

付属書類 I – SCC 処理の概要
モジュール 1 : 管理者と管理者の間 (貴社から当社)
A. 当事者リスト

データ輸出者 :

当事者

「貴社」、エクスペディア TAAP「クマの手」会員、または同等の用語として識別される当事者

住所

原契約に明記されているとおり

Expedia Group のすべての当事者の担当者の氏名、役職、および連絡先

エクスペディアの担当者に随時通知されるEメールアドレスを使用しているアカウントマネージャー

SCC に基づいて移転されるデータに関連した活動

 

当社が原契約に従って貴社に提供するエクスペディア TAAP「クマの手」ウェブサイトで行われる予約

役割

管理者

データ輸入者 : 

当事者

原契約で「当社」または「エクスペディア」として識別される EU 以外に所在する当事者

住所

原契約に明記されているとおり

担当者の氏名、役職、および連絡先

エクスペディア TAAP「クマの手」会員の担当者に随時通知されるEメールアドレスを使用しているアカウントマネージャー

本条項に基づいて移転されるデータに関連した活動

当社が原契約に従って貴社に提供するエクスペディア TAAP「クマの手」ウェブサイトで行われる予約

役割

管理者

 

B. 移転の説明

 

データ主体のカテゴリー

顧客とエクスペディア TAAP「クマの手」会員、およびそれらのサブユーザー

個人データのカテゴリー

識別データ :

  1. 姓名 (エージェントと旅行者の両方)
  2. 生年月日
  3. ジェンダー
  4. ログイン情報 (エージェント)

連絡先 :

  1. 住所
  2. Eメールアドレス
  3. 電話番号 (固定電話および携帯電話)
  4. ファックス番号
  5. その他の連絡先情報
  6. 生年月日 (航空券の場合)
  7. ジェンダー (航空券の場合)
  8. 国籍 (パスポートより)
  9. TSA の詳細

金融情報 :

  1. 銀行口座番号
  2. 銀行情報
  3. クレジットカード情報

旅行情報 : 予約履歴と旅行に関する希望

税務代理人の場合のみ :

  1. 納税者番号

以下に関連して必要になる個人データを含むが、これに限定されないエクスペディア TAAP「クマの手」会員によって要求され、同意されたその他の情報 :

  1. 報告、監視、分析
  2. シングルサインオン、ロイヤルティ プログラム

機密データ

なし (旅行の際にバリアフリーに対応するために個人が自発的に提供する場合を除く)

移転の頻度 (データが 1 回限り移転されるか、それとも継続的に移転されるかなど)

エクスペディア TAAP「クマの手」会員のビジネスニーズに応じて継続的または臨時的

処理の性質

以下に定める目的を促進するために必要になるすべての処理操作

データの移転および追加の処理の目的

原契約に定義されている許容される目的

個人データの保持期間、またはその記載が不可能な場合はその期間を決定するために使用される基準

Expedia Group の保持ポリシーに準拠 (バックアップまたは法的理由により、エクスペディア TAAP「クマの手」の個人データを原契約の終了後も保持する場合、エクスペディアは当該データを原契約に従って引き続き保護するものとする)

(副) 処理者への移転の場合は、処理の対象、性質、および期間も記入

随時更新される https://support.ean.com/hc/en-us/articles/360000986389-EAN-Data-Services-Vendor-List

 

C. 管轄監督機関

SCC の第 13 条に従って、管轄監督機関を特定してください。

アイルランドのデータ保護機関

 

モジュール 1 : 管理者と管理者の間 (当社から貴社)

A. 当事者リスト

データ輸出者 : 

上記のモジュール 1 (貴社から当社) で、データ輸入者として特定されている当事者。詳細については上記を参照してください。

 

データ輸入者 :

上記のモジュール 1 (貴社から当社) で、データ輸出者として特定されている当事者。詳細については上記を参照してください。

B. 移転の説明
  • データ主体のカテゴリー
  • 個人データのカテゴリー
  • 機密データ

モジュール 1 のとおり

  • 移転の頻度
  • 処理の性質
  • 目的

モジュール 1 のとおり

個人データの保持期間、またはその記載が不可能な場合はその期間を決定するために使用される基準

エクスペディア TAAP「クマの手」会員の保持ポリシーに準拠

(副) 処理者への移転の場合は、処理の対象、性質、および期間も記入

該当なし

 

C. 管轄監督機関

モジュール 1 のとおり

 

付属書類 II - 技術上および組織上の措置 

モジュール 1 の目的に適用される技術上および組織上の措置は、以下のとおりです。

対象

措置

個人データの仮名化および暗号化に関する措置

  • Expedia Group は、データ転送に対して Expedia Group の情報分類および処理基準に基づいた業界標準の暗号化プロトコルをサポートしています。
  • データ処理要件は、カテゴリーに基づいています。Expedia Group 全体で、処理されるデータに応じて異なるセキュリティ要件が採用されています。たとえば、クレジットカード
  • 顧客 (およびその従業員) の個人データは、EG の情報分類および処理基準に従って、可能であれば、必要に応じて、Expedia Group によって仮名化 (および匿名化)
  • クレジットカード番号はトークン化 / 仮名化されており、平文のクレジットカード番号を処理しなくて済むようになっています。
  • Expedia Group では、VPN、SSL などによる暗号化接続を利用し、多要素認証メカニズムを利用しています。

処理システムとサービスの秘密性、完全性、可用性、回復力を継続的に確保するための措置

  • Expedia Group では、データの完全、有効、かつ正確な処理を確保するために、すべての情報処理施設の管理と運用について責任を果たし、手順を維持しています。
  • 主要な処理施設では、データの処理と完全性に対する制御が継続的にテストおよび証明される、堅牢な SOX プログラムによる監視を実施しています。
  • EG のシステムでは、不正なアクセス、変更、および / または削除を確実に防止するために、業界標準のログ記録と監視を実施しています。
  • Expedia Group では、冗長アーキテクチャ、データ レプリケーション、完全性チェックを通じて、サービスの回復力を維持しています。

物理的または技術的なインシデントが発生した場合に、個人データの可用性とアクセスを適時に復元できるようにするための措置

  • Expedia Group
  • サーバーには、Expedia Group の堅牢なパッチ適用ポリシーに基づいてパッチが適用され、業界標準の AV / AM プログラムによって保護されています。加えて、EG
  • エクスペディアサイトをオンラインのままにし、サービスの中断を最小限に抑えるために、可用性と信頼性の監視を実施しています。
  • Expedia Group

処理のセキュリティを確保するための技術上および組織上の措置の有効性を定期的にテストおよび評価するためのプロセス

  • Expedia Group の技術上および組織上の措置は、堅牢な内部テストだけでなく、外部評価機関によっても毎年監査されています。
  • EG では、第三者評価機関を利用して PCI 評価を毎年実施し、PCI に継続的に準拠するようにしています。
  • EG

ユーザーの識別と認証のための措置、転送中のデータの保護のための措置、保管中のデータの保護のための措置

  • Expedia Group のシステムは、業界のベストプラクティスに準拠しており、タイムアウト セッションや、ロックアウト
  • Expedia Group では、Expedia Group

個人データが処理される場所の物理的セキュリティを確保するための措置

  • セキュリティ オペレーション センターが 24 時間 365 日対応しており、正式なインシデント対応計画を少なくとも年に一度レビューおよびテストしています。
  • すべてのシステムが外部のサービスプロバイダーによって定期的に制御およびテストされています。
  • Expedia Group の各顧客には、独自の顧客 ID を付与しています。各顧客のすべてのデータセットがこの ID
  •  

イベントログを確実に記録するための措置

Expedia Group では、ログに記録されたイベントから、誰が、何を、どこで、いつ、どのターゲットに、どのソースから行って、それに成功または失敗したかどうかがわかるように、堅牢なログ記録と監視に関する要件を維持しています。

システム構成 (デフォルト構成を含む) を確保するための措置、内部 IT および IT セキュリティのガバナンスおよび管理のための措置、プロセスおよび製品の認定 / 保証のための措置

  • Expedia Group (EG)
  • Expedia Group のビルド標準では、ビジネス要件を満たすシステムコンポーネント、サービス、プロトコルのみを有効としています。オペレーティング
  • Expedia Group では、セキュリティに対して多層防御戦略を採用しています。重要な機能と制御 (マルウェア対策、WAF、ネットワーク セグメンテーション、DLP など)
  • エクスペディアのシステムは、Amazon Web Services (AWS) とデータセンターにホストされており、それらはコンプライアンスを確保するために Expedia

データ最小化を確保するための措置、データの品質を確保するための措置、データの保持制限を確保するための措置、説明責任を確保するための措置

  • 最小化 : Expedia Group では、最小限の量のデータのみを収集、処理、保存するようにしています。当社では、必要な場合にのみ、識別可能な形式を使用しています。
  • 保持 : Expedia Group
  • 品質 : Expedia Group には、正式な品質管理プログラムである顧客体験管理 (CEM) プログラムがあります。当社は、常に EG
  • 説明責任 : Expedia Group では、正式なガバナンスプログラムと法務 / プライバシー部門を維持して、ポリシー、業界の規制 /

データのポータビリティを可能にし、消去を確実にするための措置

  • Expedia Group は、データ保護法 (データ主体からの要求に関連するものを含む) の遵守について直接責任を負っており、適用されるデータ保護法に従って、アクセス、削除、ポータビリティを含む、データ主体のすべての要求に対応しています。
  • EG のデータ保持ポリシーでは、税務および会計目的などの特定の法的義務が消滅するまでデータを保持することを求めている法的義務やその他の免除を含む、データのカテゴリーに応じて異なる保持期間とバックアップが定められています。Expedia Group が個人データを破棄できない場合、Expedia Group は引き続き当該個人データに適用される当事者間の原契約の関連する保護措置を延長し、それ以上処理しないものとします。

(副) 処理者への移転の場合は、管理者を、また処理者から副処理者への移転の場合はデータ輸出者を支援できるように (副) 処理者がとるべき具体的な技術上および組織上の措置についても説明してください。

  • Expedia Group は、そのベンダーの情報セキュリティ慣行についてデューデリジェンスを実施し、ベンダーに対し、適切な技術上および組織上の措置を導入および維持することを義務付けることを含め、包括的なセキュリティ要件を満たすよう求めています。
  • Expedia Group は、詳細なセキュリティ影響評価 (以下「SIA」といいます) プロセスを正式に策定しています。データにアクセスするすべての新規ベンダーを契約前および契約期間中に必要に応じてスクリーニングしています。
  • さらに、Expedia Group では、堅牢なベンダー処理者規約をすべてのベンダーに課しており、義務がすべての副処理者に確実に適用されるようにしています。

 

欧州委員会の標準契約条項の国際データ移転に関する補遺 (補遺)

本補遺は、制限付き移転を行う当事者のために情報コミッショナーによって発行されたものです。情報コミッショナーは、法的拘束力のある契約として締結された場合に制限付き移転に対して適切な保護措置が用意されているとみなします。

第 1 部 表

表 1 : 当事者

開始日

本補遺が添付されている SCC (EU SCC)の日付。

当事者

主な連絡先

輸出者 : EU SCC のとおり。

 

輸入者 : EU SCC のとおり。

 

表 2 : 選択された SCC、モジュール、および選択された条項

EU SCC の補遺

本補遺が添付されている承認された EU SCC のバージョン。

表 3 : 付録情報

付録情報” とは、承認された EU SCC の付録に規定されている、選択されたモジュールに関して提供する必要がある情報 (当事者を除く) を意味し、本補遺については以下の付属書類に規定されています。

付属書類 IA : 当事者リスト

付属書類 IB : 移転の説明

付属書類 II : 技術上および組織上の措置

EU SCC のとおり

表 4 : 承認された補遺が変更された場合の本補遺の終了

第 19 条に規定されている本補遺を終了できる当事者

該当当事者なし

第 2 部 : 必須条項

承認された補遺の必須条項。ICO によって発行され、2018 年データ保護法の第 119A 条に従って 2022 年 2 月 2 日に議会に提出されたテンプレート補遺 B.1.0 であり、当該必須条項の第 18 条に基づいて改訂されたものを含みます。