Legal Stuff

HubSpotビジネス パートナー データ処理契約 

最終更新日：2024年9月18日 

IMPORTANT NOTE: The English version of this document will govern our relationship - this translated version is provided for convenience only and will not be interpreted to modify the English version. For the English version, please see the HubSpot Legal Stuff page.

最終更新日：2023年9月18日

重要なお知らせ：お客さまと当社の契約関係は本文書の英語版が規定します。本文書の日本語版はお客さまの利便性向上のみを目的として提供されており、本文書の英語版が規定する契約関係には影響を与えません。本文書の英語版については「HubSpot Legal Stuff（HubSpot各種法的文書）」のページをご覧ください。

本データ処理契約（以下、「パートナーDPA」）は、当社のパートナー（以下、「パートナーさま」）とHubSpot, Inc.（以下、「HubSpot」）の間で締結される契約（以下、「パートナー契約」）に組み込まれ、パートナーさまとHubSpot間のデータ共有について規定します（ただし、パートナーさまによるHubSpotの製品とサービスの購入および使用について規定する、パートナーさまとHubSpot間の顧客契約はここに含まれません）。

本パートナーDPAは、次の処理について規定します。（1）パートナーさまが、パートナー契約に関連して、アップロード、移転、またはその他の方法でHubSpotに提供する個人データ。（2）HubSpot（またはその顧客）が、パートナー契約に関連して、アップロード、移転、またはその他の方法でパートナーさまに提供する個人データ。

本パートナーDPAでは、本パートナーDPA（下記で定義するSCCを含む）およびパートナー契約を総称して「本契約」と呼びます。本契約の条件の間に矛盾または齟齬がある場合、（以下の順序で）各文書の規定が優先されるものとします。（a）SCC、（b）本パートナーDPA、（c）パートナー契約。

本パートナーDPAの目的は、次のいずれかのシナリオに対応するための枠組みを確立することにあります。

1. HubSpotおよびパートナーさまのそれぞれが、パートナー契約に関連して、個人データの管理者（以下の定義を参照）になることができ、一方当事者がその個人データの管理者として行動するために、他方当事者にその個人データを移転する場合。
2. HubSpotおよびパートナーさまのそれぞれが個人データの管理者になることができ、一方当事者がその個人データの処理者として、他方当事者に特定のサービスを提供するために（例：Solutions Partnerとしてサービスを履行する、API呼び出しを完了するなど）、他方当事者にその個人データを移転する場合。
3. HubSpotおよびパートナーさまのそれぞれが共同顧客の個人データの処理者になることができ、かかる共同顧客の指示で処理を行うために、かかるデータを相手方当事者に移転する場合。

1. 定義

「事業者」および「サービスプロバイダー」は、CCPA内で与えられた意味を有します。 

「カリフォルニア州の個人情報」とは、CCPAによる保護の対象となる個人データを意味します。

「CCPA」とは、カリフォルニア州民法1798.100条以下を指します（「2018年カリフォルニア州消費者プライバシー法」、改正後は「2020年カリフォルニア州プライバシー権法（CPRA）」とも呼ばれます）。

「管理者」とは、単独または他者と共同で、個人データの処理の目的および手段を決定する自然人もしくは法人、公的機関、政府機関、またはその他の団体を意味します。

「データ プライバシー フレームワーク」とは、米国商務省が実施する、EU・米国間のデータ プライバシー フレームワーク、スイス・米国間のデータ プライバシー フレームワーク、および英国拡張版のEU・米国間のデータ プライバシー フレームワークによる自己認証プログラム（該当する場合）を意味します。なお、いずれのデータ プライバシー フレームワークも修正、廃止、または置換される場合があります。 

「データ プライバシー フレームワーク原則」とは、関連するデータ プライバシー フレームワークに記載されている原則および追加原則を意味します。なお、いずれのデータ プライバシー フレームワーク原則も修正、廃止、または置換される場合があります。 

 「データ保護法」とは、本契約に基づき対象の個人データを処理する各当事者に適用される、データ保護およびプライバシーに関する各国の全ての法律または規制を意味し、欧州データ保護法、CCPA、ならびにオーストラリア、シンガポール、カナダ、およびインドのデータ保護法およびプライバシー法（それぞれ随時修正、廃止、統合、または置換されます）などが含まれます。「欧州」とは、欧州連合（以下、「EU」）、欧州経済領域（以下、「EEA」）、およびその加盟国、ならびにスイスおよび英国を意味します。 

「欧州データ保護法」とは、欧州で適用されるデータ保護法を意味し、次を含みます。（i）個人データの処理に伴う自然人の保護および当該データの自由な移動に関する欧州議会および欧州理事会の規則2016/679（一般データ保護規則。以下、「GDPR」）。（ii）電子通信分野における個人データの処理およびプライバシー保護に関する指令2002/58/EC。（iii）（i）および（ii）の各国における施行。または2018年EU離脱法第3条に基づいて英国国内法の一部を形成するGDPR（以下、「UK GDPR」）。（iv）2020年に改訂されたスイス連邦データ保護法およびその規定（以下、「スイスDPA」）。なお、いずれの法律も修正、廃止、または置換される場合があります。  

「欧州の個人データ」とは、欧州データ保護法による保護の対象となる個人データを意味します。

「共同顧客」とは、パートナーさまとHubSpot両者のお客さまを意味します。

「共同顧客の個人データ」とは、共同顧客が管理者として管理する個人データを意味します。

「HubSpotの個人データ」とは、HubSpotが管理者として管理する個人データを意味します。

「パートナーさまの個人データ」とは、パートナーさまが管理者として管理する個人データを意味します。

「個人データ」とは、HubSpotの個人データ、パートナーさまの個人データ、または共同顧客の個人データに含まれ、適用されるデータ保護法に基づき個人データまたは個人を識別し得る情報と同様に保護される、識別された個人または識別され得る個人に関するあらゆる情報を意味します。

「個人データの侵害」とは、個人データの偶発的もしくは違法な破壊、喪失、改ざん、不正開示、またはアクセスを意味します。

「処理（取り扱い）」とは、個人データに対して行われるあらゆる単一の操作または一連の操作を意味します。かかる操作には、個人データの収集、記録、整理、構造化、保管、調整もしくは変更、復旧、参照、使用、送信による開示、周知あるいはその他の方法による提供、統合もしくは結合、または制限もしくは消去が含まれます。「処理（取り扱い）」という用語の派生語については、上記に準じた意味として解釈されるものとします。

「処理者」とは、管理者の代理で個人データを処理する自然人もしくは法人、公的機関、政府機関、またはその他の団体を意味します。

「標準契約条項」または「SCC」とは、2021年6月4日の欧州委員会実施決定2021/914に付属する標準的な契約条項を意味します。 

「復処理者」とは、処理者に処理サービスを提供する事業体を意味します。

「監督当局」とは、EEA加盟国、スイス、または英国により設立された独立した公的機関を意味します。

「英国向け補足条項」は、2018年データ保護法第119A（1）条に基づき英国情報コミッショナー事務局（ICO）が発行した国際データ移転に関する補足条項を意味します。なお、かかる補足条項は修正、廃止、または置換される場合があります。

2. 法の順守

両当事者は、それぞれ適用されるデータ保護法に基づき、自身の義務および責務を順守することを表明し、保証するものとします。

3. 共同処理者のシナリオ

各当事者は、共同顧客の個人データに関して相手方当事者と共に処理者として行動する範囲で、（i）共同顧客との契約に規定される指示および制限を順守し、（ii）適用されるデータ保護法に規定されるデータ保護の権利を行使できるように、妥当な範囲で相手方当事者に協力します。両当事者は、それぞれの当事者が共同顧客の処理者として行動し、いずれの当事者も、復処理者として相手方当事者を従事させていないことを認め、これに同意します。

4. 管理者から管理者へのシナリオ

各当事者は、個人データに関して相手方当事者と共に処理者として行動する範囲で、適用されるデータ保護法に規定されるデータ保護の権利を行使できるように、妥当な範囲で相手方当事者に協力します。 

両当事者は、それぞれが個人データに関して管理者として独立して行動しており、欧州データ保護法で定義される共同管理者ではないことを認め、これに同意します。

5. 管理者から処理者へのシナリオ

HubSpotがパートナーさまの指示でパートナーさまに代わって個人データを処理する場合の処理作業において、「処理者」という用語はHubSpot、「管理者」という用語はパートナーさま、「個人データ」という用語はパートナーさまの個人データを意味します。パートナーさまがHubSpotの指示でHubSpotに代わってデータを処理する場合の処理作業において、「処理者」はパートナーさま、「管理者」はHubSpot、「個人データ」はHubSpotの個人データを意味します。

B. 処理の範囲。

前記第5条A項に記載されたシナリオに関して、各当事者は、該当するパートナー契約または共同顧客との契約に規定される目的でのみ個人データを処理することに同意します。誤解を避けるために付言すると、処理される個人データの種別および本DPAに服するデータ主体の種別は、本DPAの別紙Aに記載されます。

6. 管理者の義務

両当事者は、管理者として、次を行うことに同意します。

A. 本契約に準拠して、処理者に指示を与え、処理者による個人データの処理についての目的および手段を決定します。

B. 以下を通じて、管理者に適用されるデータ保護法により規定される個人データに関するその保護、セキュリティー、およびその他の義務を順守します。（i）管理者に代わって、処理される個人データのデータ主体である個人の権利を行使するための手順を定め、維持する。（ii）合法的かつ有効に収集されたデータのみを処理し、当該データがそれぞれの用途に関連があり相応なものであるようにする。（iii）自身のスタッフ、または自身に代わって個人データにアクセスもしくは個人データを使用する第三者による本DPAの規定の順守を徹底する。

7. 処理者の義務
A. 処理の要件。両当事者は、処理者として、次を行うことに同意します。

a.（i）適切な技術的および組織的なセキュリティー対策を使用して、処理者の製品とサービスの提供、サポート、および改善の目的（知見およびその他のレポートの提供を含む）でのみ個人データを処理する。（ii）管理者から受けた指示に従って個人データを処理する。処理者は、その他のいかなる目的でも個人データを使用または処理しません。処理者は、本DPAの第6条から第9条に定められた要件を満たすことができない場合、書面によって速やかに管理者に通知します。この場合、管理者は、本契約および該当するパートナー契約を解除すること、またはデータ処理作業を一時停止することを含む、その他の合理的な措置を講じることができます。

b. 管理者からの指示が、適用されるデータ保護法に違反していると処理者が判断した場合、遅滞なく速やかに管理者に通知します。

c. 処理者が、管理者に代わって個人から個人データを収集する場合、当該個人データの収集に関する管理者の指示に従います。

d. （i）処理者に雇用されている者、および（ii）処理者に代わって業務を行うよう委任されたその他の者が、本契約および該当するパートナー契約の規定を確実に順守するよう、商業上合理的な対策を講じます。

e. 自身の従業員、正規代理店、および復処理者が、厳格な守秘義務（契約上の義務か法律上の義務かは問わない）に服していること、ならびに、かかる守秘義務を負っていないいかなる者にも個人データの処理を許可しないことを表明し、保証します。

f. 処理者が、本DPAに準拠して自身の義務を果たすために復処理者を雇用する、または、かかる復処理者に処理作業の全部もしくは一部を委任する意図がある場合、（i）現在処理者が委託している復処理者のリスト（HubSpotの当該リストは、https://legal.hubspot.com/jp/dpaで入手できます）を管理者に提供し、新しい復処理者に委託する場合は、遅くとも30日前までに管理者に通知して、管理者が異議を唱える機会を与えること、（ii）復処理者が処理者の指示に基づき行動する場合、データ保護に関する復処理者の行為もしくは不作為について引き続き管理者に対して責任を負うこと、（iii）かかる復処理者との間で、本契約に規定されるものと同程度に厳格なデータ保護および情報セキュリティーの提供を義務付ける契約上の取り決めを締結することとします。

g. 要求に応じて、処理者のプライバシーポリシーおよびセキュリティーポリシーを管理者に提供します。

h. 処理者が独立したセキュリティー審査を受諾した場合、遅延なく直ちに管理者に通知します。

B. 管理者への通知。処理者は、以下のいずれかを認識した場合、遅延なく直ちに管理者に通知します。

a. 処理者またはその従業員による、本DPAの第6条から第9条、または本DPAに基づき処理される個人データの保護に関して適用されるデータ保護法の不順守。

b. 法執行機関または政府機関による、法的拘束力を持つ個人データの開示請求。ただし、法執行機関による調査の機密保持などの理由により、処理者が管理者に通知することを法律で禁じられている場合は例外とします。

c. 個人データに関する、監督当局による通知、問い合わせ、調査。

d. 管理者のデータ主体から直接受けた苦情または要求（特に、個人データへのアクセス、個人データの修正またはブロックの要求）。処理者は、管理者の書面による事前の承認なく、かかる要求に対応しません。

C. 管理者のサポート。処理者は、次に関して、適時、管理者に合理的な支援を提供します。

a. 適用されるデータ保護法に基づく権利（該当する場合、アクセス、修正、異議申し立て、消去、およびデータポータビリティーの権利を含む）を行使したいという個人からの要求への対応。処理者は、かかる要求を直接受けた場合、速やかに管理者に知らせることに同意します。

b. 個人データの侵害に関する調査ならびにかかる個人データの侵害に関する監督当局および管理者のデータ主体への通知。

c. 状況に応じたデータ保護の影響評価、および必要に応じた監督当局との協議の実施。

D. 必須処理。

処理者は、データ保護法により、契約に関連する以外の理由で個人データを処理することを要求された場合、処理者がかかる処理について管理者に知らせることを法的に禁止されている場合（適用されるEU加盟国の法律に基づく秘密保持義務など）を除き、処理の前に管理者にこの要求を通知します。

E. セキュリティー。処理者は、次に従うものとします。

a. 不正または偶発的な個人データのアクセス、喪失、改ざん、開示、または破壊から保護するために、適切な組織的および技術的なセキュリティー対策（スタッフ、施設、ハードウェアおよびソフトウェア、ストレージおよびネットワーク、アクセス管理、モニタリングおよびログ記録、脆弱性および侵害の検出、インシデント対応、移転中および保管中の個人データ暗号化に関する対策を含む）を維持します。

b. 個人データに関して、処理者のスタッフ全員のセキュリティー、プライバシー、および機密保護対策を十分に行うことに責任を持ち、当該スタッフによる本DPAの条件への不順守があった場合に責任を負います。

c. 処理者のスタッフ全員が本DPAの要件に準拠して個人データのセキュリティー、プライバシー、および機密性を保護していることを確認するために適切な措置を講じます。

d. 処理者、その復処理者、または処理者に代わって行動するその他の第三者による個人データの侵害があった場合、遅滞なく（いかなる場合も個人データの侵害を認識してから48時間以内に）管理者に通知します。

F. カリフォルニア州の個人情報に関する追加条項。 

管理者から受けた指示に従って、処理者がカリフォルニア州の個人情報を扱う場合、両当事者は、CCPAの目的において、管理者は事業者、処理者はサービスプロバイダーであることを認め、これに同意します。両当事者は、処理者が、サービスプロバイダーとして、処理者のサービスの提供、サポート、および改善の目的（知見およびその他のレポートの提供を含む）（以下、「事業目的」）、またはCCPAにより許可されている場合にのみ、カリフォルニア州の個人情報を処理することに同意します。さらに、処理者は次に従うものとします。（i）カリフォルニア州の個人情報を販売または共有しないこと。（ii）適用法で要求された場合を除き、当事者間の直接的な取引関係以外でカリフォルニア州の個人情報を処理しないこと。（iii）カリフォルニア州の個人情報を、他の情報源から収集または受領された個人情報（該当するパートナー契約または共同顧客との契約に基づく処理者の義務に関連して他の情報源から受領された情報を除く）と組み合わせて使用しないこと。 

8. 監査、証明書

A. 監督当局の監査。

監督当局が、データ保護法への順守状況を確認または監視するために、個人データを扱う処理者のデータ処理設備の監査を要求した場合、処理者はかかる監査に協力します。管理者は、監査により処理者がDPAに準拠していないことが明らかになった場合を除き、監査に協力するために処理者が負担した合理的な費用を処理者に弁済します。

B. 処理者の証明書。

処理者は、管理者に順守の証明書を提供するように管理者からEメールによる要求（暦年につき1回を上限とします）を受けた場合、書面で本DPAへの順守を証明する必要があります（HubSpotが処理者の場合、Eメールの宛先はprivacy@hubspot.com、パートナーさまが処理者の場合、パートナーさまはデータ保護に関する連絡先のEメールアドレスを、要求に応じてHubSpotに提供するものとします）。

9. データの返還および削除

両当事者は、データ処理サービスの終了時、または管理者の合理的な要求に応じて、処理者が、管理者の選択により、全ての個人データおよびかかるデータの写しの返還または安全な破棄を実行し、また、復処理者によってこの処置が実行されるように合理的な手段を講じるとともに、管理者が満足する形でかかる手段を講じたと証明することに同意します。ただし、適用されるデータ保護法で、開示された個人データの全部または一部の返還または破棄を禁じられている場合は除きます。この場合、処理者は、自身が保持している個人データの秘密を守り、かかる日以降、適用される法律を順守するために、かかる個人データを積極的に処理することにのみ同意します。

10. データの移転

個人データが移転元の国外に移転される場合、両当事者は、かかる移転をデータ保護法の要件に準拠させるものとします。

（i）データ プライバシー フレームワーク：HubSpotは、データ プライバシー フレームワークを使用して、パートナーさまの欧州データを米国で合法的に受け取り、かかるパートナーさまの欧州データに対してデータ プライバシー フレームワーク原則と同等以上の水準のプライバシー保護を提供します。また、この要件を満たせなくなった場合は、パートナーさまに通知します。

（ii）標準契約条項：欧州データ保護法により、適切な保護措置の実施が義務付けられた場合（HubSpotへのデータ移転がデータ プライバシー フレームワークの対象とならない場合、またはデータ プライバシー フレームワークが無効とされた場合など）、両当事者は以下に組み込まれるSCCを順守し、SCCに従ってパートナーさまの欧州データを処理することに同意するものとします。

b. HubSpotの欧州データ。パートナーさまによる処理を実行するために、（適用される欧州データ保護法における意味において）個人データの適切な水準の保護を実施していない欧州域外の法域にあるパートナーさまの拠点にHubSpotから欧州データ保護法の対象となるHubSpotの個人データ（以下、「HubSpotの欧州データ」）を移転する場合、両当事者は、パートナーさまが以下を順守することにより、データ プライバシー フレームワークの原則と同等以上の水準のプライバシー保護を提供することに同意するものとします。

（i）パートナーさまがデータ プライバシー フレームワークの自己認証を実施した場合、パートナーさまは、データ プライバシー フレームワークを使用して、HubSpotの欧州データを米国で合法的に受け取り、かかるHubSpotの欧州データに対してデータ プライバシー フレームワーク原則と同等以上の水準のプライバシー保護を提供するものとします。また、この要件を満たせなくなった場合は、HubSpotに通知するものとします。

（ii）標準契約条項：欧州データ保護法により、適切な保護措置の実施が義務付けられた場合（パートナーさまへのデータ移転がデータ プライバシー フレームワークの対象とならない場合、またはデータ プライバシー フレームワークが無効とされた場合など）、両当事者は以下に組み込まれるSCCを順守し、SCCに従ってHubSpotの欧州データを処理することに同意するものとします。

c. 標準契約条項。両当事者は、SCCの目的において、次を認め、これに同意します。（i）パートナーさまの欧州データに関して、「データ輸出者」はパートナーさま、「データ輸入者」は（自社およびその関係会社を代表して行動する）HubSpotである。（ii）HubSpotの欧州データに関して、「データ輸出者」は（自社およびその関係会社を代表して行動する）HubSpot、「データ輸入者」はパートナーさまである。（iii）モジュール1の条項は、両当事者が管理者である場合に適用され、モジュール2の条項は、SCCに基づく個人データを受け取る当事者が、管理者である相手方当事者に代わって処理者として行動する場合に適用される。（iv）第7条では、オプションの「結合条項」が適用される。（v）第9条では、モジュール2のオプション2が適用され、処理者は、本DPAの第7条（a）項に従って、復処理者について承認を得るものとする。（vi）第11条では、オプションの言語は削除されるものとする。（vii）第17条および第18条（b）項では、SCCは、アイルランド共和国（または本契約を締結したHubSpot法人が設立されたEEA加盟国）の法律に準拠し、紛争はアイルランド共和国（もしくは本契約を締結したHubSpot法人が設立されたEEA加盟国）の裁判所で解決されるものとする。ただし、かかるHubSpot法人がEEAで設立されていない場合は、アイルランド共和国が適用される。（viii）SCCの付属書Iでは、両当事者の詳細が本契約に規定される。（ix）SCCの付属書Iおよび付属書IIの残りの情報は、本DPAの別紙Aに記載される情報で補完される。

d. 英国向け移転。英国GDPRの対象となる個人データに関しては、上記第10条（c）項に従って、次の修正を加えたSCCが適用されるものとします。（i）SCCは英国向け補足条項に規定されている通りに修正され、かかる補足条項は参照によって組み込まれるものとする。（ii）英国向け補足条項1編の表1、2および3には、本DPAの別紙Aに記載される関連情報が入力されるものとする。（iii）英国向け補足条項1編の表4は、「neither（いずれでもない）」を選択することで完成したものと見なされるものとする。（iv）SCCと英国向け補足条項の間の矛盾は、英国向け補足条項第10条および第11条に従って解決するものとする。

e. スイス向け移転。スイスDPAの対象となる個人データに関しては、上記第10条（c）項に従って、次の修正を加えたSCCが適用されるものとします。（i）「規則（EU）2016/679」およびその中の特定の条項への言及は、スイスDPAおよびその相当する条項もしくは項への言及として解釈されるものとする。（ii）「EU」、「連合」、および「加盟国」への言及は、「スイス」への言及で置き換えられるものとする。（iii）「管轄監督当局」および「管轄裁判所」への言及は、「スイス連邦データ保護情報コミッショナー」および「適切なスイス裁判所」に置き換えられるものとする。（iv）第17条および第18条（b）項において、SCCは、スイス法に準拠し、スイスの裁判所で解決されるものとする。

f. いずれの当事者も、本第10条の規定を順守できない場合、速やかに相手方当事者に通知するものとします。

11. 期間

本DPAは、いずれかの当事者が、パートナー契約に準拠して、相手方当事者によってアップロードまたはその他の方法で提供された個人データに対して処理作業を実行する限り、効力を保持するものとします。

12. 免責

各当事者は、違反側当事者が本DPAまたは適用される法律、規制、または欧州データ保護法に含まれる原則を順守しなかったことに起因する、相手方当事者に対する第三者の請求から生じた、合理的な弁護士費用、本契約に基づく求償権を行使する費用、および保険会社を訴える費用を含む、あらゆる損失、損害、責任、欠陥、訴訟、判決、利息、裁定、罰則、罰金、費用、または経費から、相手方当事者、その子会社、関係会社、その役員、取締役、従業員、および代理人を防御し、免責し、これに害を与えないものとします。各当事者の責任は、適用されるパートナー契約の「責任の限定」条項に従うものとします。

別紙A

付属書類A - 移転の内容

1. データ主体の種別。移転される個人データは、データ輸入者とデータ輸出者の契約に基づき、次の種別のデータ主体に関するものになります。

HubSpotのメンバー、データ輸出者の潜在顧客および実際の顧客ならびに従業員、データ輸出者の営業およびマーケティングにおける見込み客、データ輸出者と商業上の関係を有するまたは有する可能性のある第三者（広告主、顧客、法人のサブスクリプション契約者、請負業者、製品のユーザーなど）。

2. 個人データの種別。移転される個人データは、次の種別の個人データに関するものです。

移転されるデータは、パートナー契約に関連してデータ輸出者によってデータ輸入者に提供された個人データです。かかる個人データには、氏名、Eメールアドレス、連絡先情報、学歴、職歴、およびHubSpotのメンバープロフィールに記載されたその他の情報、履歴書、見込み客および顧客リストに関するCRMデータ、HubSpotメンバーがHubSpotプラットフォームで行った前記およびその他の活動に関してデータ輸出者により提供される注記が含まれます。

1. センシティブデータ（該当する場合）。センシティブデータの取り扱いは、共通のサブスクリプションサービスで認められている範囲において記載されている通り、当事者の間で合意された適用範囲、制約、保護措置に従います。
2. 移転の頻度。
   個人データは継続的に移転されます。 
3. 処理の性質および目的。移転は、以下の目的で行われます。
   移転は、パートナー契約により企図される両当事者の関係を実現することを目的としています。「パートナー契約」は、データ輸入者およびデータ輸出者により締結される、かかる当事者間のデータ共有について規定する契約です（ただし、パートナーさまによるHubSpotの製品とサービスの購入について規定する、パートナーさまとHubSpot間の顧客契約はここに含まれません）。
4. 個人データが保持される期間。
   両当事者間で移転される個人データは、パートナー契約に基づき許可される期間のみ保持することができます。各当事者が、相手方当事者と共に、個人データに関して管理者として行動する範囲で、データ保護法に規定されるデータ保護の権利の行使を可能にするために、相手方当事者と合理的に協力することに同意します。
5. 処理の主旨、性質、および期間。
   処理の主旨、性質、および期間は、本DPAを含む本契約に記載されます。
6. 管轄監督当局。SCCにおける管轄監督当局は、（パートナーさまの個人データに関して）パートナーさままたはパートナーさまのEEAの代表者が拠点とするEEA加盟国の監督機関、または（HubSpotの個人データに関して）［アイルランドのデータ保護コミッショナー］です。英国およびスイスの移転において、管轄監督当局は英国情報コミッショナーまたはスイス連邦データ保護情報コミッショナー（いずれか該当するもの）です。

付属書類B – セキュリティー対策

当社は、さまざまなセキュリティー技術や対策を駆使して、パートナーさまの個人データを保護するべく努めています。全ての個人データは、適切な物理的対策、技術的対策、および組織的対策によって保護されます。当社のセキュリティーの詳細についてはhttps://legal.hubspot.com/jp/securityをご参照ください。