15 契約法務, 海外法務

この「Q&Aで学ぶ英文契約の基礎」第7回では、契約の一形態である「規約」(または約款）に関し、前回に続き、Amazon Web Service（以下「AWS」）の利用規約である"AWS Customer Agreement" ^[1]（以下「AWS契約」）を取り上げて解説します。前回説明した通り、AWSは、現時点で世界最大売上・シェアのクラウドサービスです（日本国内でも同様）。

Q1: AWS契約の構成はどのようになっていますか？

A1：AWS契約本体とこれに付属する多数の規約類から構成されています。

具体的には、AWS契約本体に以下のような規定があります（訳は著者によるもので分かり易いよう意訳しています。また、[　 ]内は著者による注記です）。

13.2 Entire Agreement. This Agreement incorporates the Policies by reference and is the entire agreement between you and us regarding the subject matter of this Agreement.（以下省略）

13.2 完全合意.　本契約は、本契約中で「規約」(Policy)に言及することにより「規約」を本契約の一部とし、（「規約」を含めた）本契約は、本契約で定める事項に関するお客様と弊社[Amazon Web Service（以下「AWS」）]間の全ての合意を規定したものです。（以下省略）

14. Definitions.

（中略）

“Policies” means the Acceptable Use Policy, Privacy Policy, the Site Terms, the Service Terms, the Trademark Use Guidelines, all restrictions described in the AWS Content and on the AWS Site, and any other policy or terms referenced in or incorporated into this Agreement, but does not include whitepapers or other marketing materials referenced on the AWS Site.

（後略）

14. 定義.

（中略）

「規約」（Policies）とは次のものを意味します。

・「適正利用規約」（Acceptable Use Policy）

（主な規定事項）違法・有害コンテンツの配信、他人サイトへの不正アクセス、その他AWSサービスを利用した不正行為の禁止

・「プライバシー規約」（Privacy Policy）

（主な規定事項）AWSが取得する顧客の個人データ（個人ユーザ・法人ユーザの担当者等のデータ）の取扱い

・「サイト規約」（Site Terms）

（主な規定事項）AWSサイトを介したAWSと顧客間のやりとり、AWSサイト上の著作物の使用、その他AWSサイトの利用条件

・「サービス条件」（Service Terms）

（主な規定事項）AWSで提供される各種サービスの内容自体に関する条件

・「商標使用ガイドライン」（Trademark Use Guidelines）

（主な規定事項）AWSの商標の使用に関するガイドライン

・「AWSコンテンツ」に定める条件

（主な規定事項）本サービス（AWSサービス）で提供される「コンテンツ」（ソフトウェア・データ等）自体に記載されている利用条件

・「AWSサイト」上に記載されている条件

・その他本契約で言及されているかまたは本契約の一部を構成する規約または条件

但し、「規約」には次のものは含まれません。

・「AWSサイト」上で言及されているホワイトペーパー（白書）またはその他広告宣伝資料・情報（marketing materials）

（後略）

上記のように、AWS契約はそれ自体が、AWSの用意した規約（契約条項）に顧客が同意することにより成立します(第6回A4参照）が、AWS契約自体にも多くの規約類が付属しています。

これは、AWSの競合サービスであるGoogle Cloud Platform （以下「GCP」という）の利用規約である"Google Cloud Platform Terms of Service" ^[2]でも同様です。

英文契約では、このように本体となる契約（以下「本体契約」）に、以下のような方法で、"Appendix," "Addendum"などの名称の他の規定・契約類（以下「付属契約」）が付属することがよくあります。

(a) 本体契約に物理的に添付する。

(b) 本体の契約中でその付属契約に言及する。

Q２:当社（本社：東京）では、当社とEU（欧州連合）域内の子会社との間でAWS上でデータのやりとりをしています。このEU域内子会社の社員情報や顧客（個人ユーザ）のデータを当社に移転しまたはそのデータを当社が直接AWS上で閲覧・利用する場合は、EUの「一般データ保護規則」（General Data Protection Regulation[3]）（以下「GDPR」）による規制があると思いますが、これに関し、AWS契約ではどのように扱われていますか？

A２：ご指摘の通り、これはGDPR上の「個人データ」(4(1))（数字は条文番号。本ページにおいて同じ）のEU域内からEU域外への移転（以下「域外移転」）に該当しGDPR上の規制（第5章）を受けます。貴社の例の場合、次の方法で適法に域外移転を行うことができます。

① 貴社EU域内子会社とAWS間: AWSが用意しているStandard Contractual Clauses（以下「AWS SCC」）を適用

② 貴社EU域内子会社と貴社（東京）間：所定のStandard Contractual Clauses（以下「SCC」）を別途締結

【①について】

A1で説明したAWS契約第14条の「規約」の定義の最後にある「その他本契約で言及されているかまたは本契約の一部を構成する規約または条件」に当たるものとして次のものがあります。

AWS GDPR Data Processing Addendum（以下「DPA」) ^[4]

├ Annex 1（添付１）: AWS Security Standards（以下「AWS SS」）

└ Annex 2（添付２）：Standard Contractual Clauses（「AWS SCC」）

（顧客によるAWS利用のGDPR上の位置付け）

顧客がAWS上のサービス・ソフトウェアを利用して個人データを保存その他処理（移転を含む）することは、GDPR上は、顧客からAWSへの個人データの処理委託と考えられます。この場合、顧客はAWSとの間で個人データの処理委託に関する契約を締結しなければなりません（GDPR28(3), (9)）。

（DPAの意義）

上記のDPAには以下のような文言があり、DPAが、(i) AWS契約の付属契約であり、また、(ii)GDPR第28条の処理委託契約であることが分かります。

（DPA頭書）

This Data Processing Addendum (“DPA”) supplements the AWS Customer Agreement ... when the GDPR applies to your use of the AWS Services to process Customer Data.（後略）

本Data Processing Addendum (「DPA」)はお客様（顧客）がAWSサービスを利用して「顧客データ」を処理することに対しGDPRが適用される場合にAWS Customer Agreement.....の内容を補足します。（後略）

(DPA本文1.1)

1.1 Scope and Roles. This DPA applies when Customer Data is processed by AWS. In this context, AWS will act as “processor” to Customer who may act either as “controller” ... with respect to Customer Data (as each term is defined in the GDPR).

1.1 本DPAの適用範囲と目的. このDPAは「顧客データ」がAWSにより処理される場合に適用されます。この場合、AWSは「処理者」(processor)、顧客は「管理者」(controller)とみなされます（「処理者」・「管理者」の意味はＧＤＰＲに定義する通り）。

上記の通り、このDPAには添付1として「AWS SS」が（物理的に）添付されています。これはAWSにおいて顧客データの漏えい・不正アクセス防止策などのためどのようなセキュリティー（安全確保）措置が講じられるかを定めています。

更にDPAには添付２として「AWS SCC」が（物理的に）添付されています。これは上記個人データをEUの域内から域外のAWSサーバに移転する場合に適用されるSCC（対処理者）です。なお、SCC（Standard Contractual Clauses）とは、GDPRにおいてEU域内からEU域外への個人データ移転（以下「域外移転」）を適法に行う手段として認められている契約の条項です(GDPR46(2)(b),(c), 46(4)）。

【②について】

上記①のSCCは、あくまでも、AWSを相手方契約当事者・移転先とするものです。

従って、このSCCは、例えば、日本企業のEU域内子会社が、個人データについて次のような行為をする場合に限り適用されるに過ぎません。

(a) EU域内AWSサーバに保存した後EU域外AWSサーバに転送する場合

(b) 最初からEU域外AWSサーバにアップロードする場合

一方、EU域内子会社が、EUの域内または域外のAWSサーバに保存されている個人データについて、EU域外のAWS以外の第三者（日本の親会社を含む）に対し次のような行為をする場合には適用されません・

(a) 転送する（例えば、メールに添付したfileで送信）場合

(b) AWS上またはAWS外で閲覧その他アクセスを許可する場合

従って、これらの場合は、上記①のAWSとのSCCは無関係ですから、EU域内子会社は、別途日本の親会社とSCC（対管理者または対処理者）の締結等をしなければなりません。

【EUによる日本に対する十分性認定について】

EU域内から日本への個人データの移転（以下「日本への移転」）については2019年1月に欧州委員会が日本に対し、(i) EU域内から日本に移転される個人データに限定し(ii)日本国内の移転先が所定のルール（「補完的ルール」）を遵守することを条件として十分性認定を行いました。

従って、以後、日本への移転は、移転先において、(i) 補完的ルールを反映した社内規程の制定、(ii) 社員に対する補完的ルールに関する教育・研修などの遵守体制を整備することにより、この十分性認定に基づいて行うこともでき、必ずしもSCCに基づいて行わなくともよいことになりました（今後もSCCに基づく移転を選択することも可能）。

しかし、このことは、以下の理由から、十分性認定に基づき日本への移転を行う場合であっても、必ずしも契約書が不要になったことを意味しません。

(1). 移転先が処理者(processor)（処理委託先）である場合

例えば、日本の親会社がEU域内の子会社の社員（日本からの出向社員を含む）の個人データ（例:人事労務データ）の処理を引き受ける場合は、上記のGDPR第28条の処理委託契約を締結しなければなりません (28(3),(9)) 。

(2). 移転先が共同管理者である場合

例えば、日本の親会社とEU域内の子会社間で子会社の人事労務情報、個人の顧客・ユーザ、取引先責任者・担当者などの個人データを同一のデータベースやクラウドシステム上で管理するなどの場合、両者はGDPR第26条の「共同管理者」(joint controllers)であると認定される可能性があります。

この場合、両者は同条に基づき、GDPR上の管理者の義務（例：データ主体（本人）への情報提供、データ主体からの権利行使への対応）に関し各自の責任・役割・関係を「取決め(arrangement）」により定めなければなりません (26(1), (2))。従って、実務上一般的には両者間でこの取決めのための契約書締結が必要となります。

(3). 移転先が単独管理者である場合

日本への移転の移転先が処理者でも共同管理者でもない者（「単独管理者」）である場合も種々の理由からGDPR上および実務上移転契約書が必要になります[5]。

従って、企業としては、日本への移転に関し、上記およびその他の要考慮事項を検討し、SCCまたは十分性認定のいずれを域外移転の方法として選択するか、または、両者を組合わせる（例：SCCを原則としSCCを締結してない予想外の移転に十分性認定を使う）か等を判断しなければなりません。

「Q&Aで学ぶ英文契約の基礎」第7回はここまでです。次回は、英文契約書においてよく用いられる表現または特有な表現などの英語表現について解説します。

[1] 【AWS Customer　Agreement】（「AWS契約条項」）　英語原文。　このページの最下部で「日本語」を選択するとAWSによる和訳が表示される。なお、本ページ上の訳は著者独自のものである。

[2] 【Google Cloud Platform Terms of Service】（「GCP契約条項」）　英語原文

[3] 【GDPR】　個人情報保護委員会のサイトからGDPRの原文併記の和訳その他関係資料が入手可能

[4] 【「DPA」】 AWS GDPR Data Processing Addendum

[5] 【EU域内から日本への個人データの移転】　詳細は以下を参照：①浅井敏雄『日欧個人情報・個人データの国際移転の実務 [第3版] －十分性認定後の選択肢と対応－』（2019年6月）、または、②国際商事法務2019年9月号掲載予定の浅井敏雄『EUから日本への個人データ移転　～十分性認定後の対応～』

＝＝＝＝＝＝＝＝＝＝

本コラムは著者の経験にもとづく私見を含むものです。本コラム内容を業務判断のために使用し発生する一切の損害等については責任を追いかねます。事業課題をご検討の際は、自己責任の下、業務内容に則して適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

（＊）この「Q&Aで学ぶ英文契約の基礎」シリーズでは、読者の皆さんの疑問・質問等も反映しながら解説して行こうと考えています。もし、そのような疑問・質問がありましたら、以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが、筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com（「AT」の部分をアットマークに置き換えてください。）

【筆者プロフィール】
浅井敏雄（あさいとしお）
企業法務関連の研究を行うUniLaw企業法務研究所代表

1978年東北大学法学部卒業。1978年から2017年8月まで複数の日本企業および外資系企業で法務・知的財産部門の責任者またはスタッフとして企業法務に従事。1998年弁理士試験合格。2003年Temple University Law School （東京校） Certificate of American Law Study取得。GBL研究所理事、国際取引法学会会員、IAPP (International Association of Privacy Professionals) 会員。

【発表論文・書籍一覧】
https://www.theunilaw2.com/

メルマガ会員登録