Goodnotes 向けデータ処理補足条項

最終更新日：2026年3月

‍

本データ処理補足契約（以下「本DPA」という）は、お客様（以下「ライセンシー」という）と、イングランドおよびウェールズに設立され、登録事務所を1Goodnotes Lane, London, EC2N 2AX）（以下「ライセンサー」という）との間で締結されたGoodnotes教育ライセンス契約（以下「ライセンス契約」という）に基づきライセンス供与されるソフトウェアに関連するライセンシーの個人データの処理に適用される。

本DPAに定める相互の義務を考慮し、当事者は、本DPAに定める条項が関連するライセンス契約を補完するものであり、かつ当該ライセンス契約の一部を構成するものであることに合意する。ライセンシー個人データの処理に関連して、本DPAの条項とライセンス契約の条項との間に矛盾または不一致が生じた場合、本DPAの条項が優先する。

文脈上別段の定めがある場合を除き、本DPAにおける「ライセンス契約」への言及は、本DPAにより修正されたもの（本DPAを含む）を指すものとする。

‍

1. 定義および解釈
1. 本DPAにおいて、以下の用語は下記に定める意味を有するものとし、関連する用語もこれに従って解釈されるものとする：
  適用されるデータ保護法
  とは、本DPAが適用される状況下におけるライセンシーの個人データの処理に関して、ライセンサーまたはライセンシーに適用される、個人データの保護に関連するすべての適用法令を意味し、これには以下が含まれるが、これらに限定されない：(a) 欧州議会および理事会による一般データ保護規則2016/679（「GDPR」）； (b) 2018年欧州連合（離脱）法により英国法の一部となったGDPRの英国版（「英国GDPR」）および2018年データ保護法。いずれの場合も、EU加盟国または英国においてこれらを補足、改正、または置き換えるすべての法令を含む；および (d) その他の国のデータ保護法またはプライバシー法；」「管理者」、「データ主体」、「個人データ」、「個人データ侵害」、「処理」、「処理者」および「特別な種類の個人データ」は、適用されるデータ保護法に規定される意味を有し、関連する用語も同様に解釈されるものとする；
  公認ライセンス取得者
  は、ライセンス契約において当該用語に与えられた意味を有する；
  EU域内限定の移籍
  本DPAの第5条に基づき策定されるEU標準契約条項が存在しない場合、当該移転の時点でGDPR（またはGDPRのデータ移転制限に対処するために締結されたデータ移転契約の条項）により禁止される、ライセンシーからライセンサーへの（またはその逆の）ライセンシー個人データの移転、もしくはライセンサーによるライセンシー個人データの第三者への移転をいう（データ移転）。
  EU標準契約条項
  とは、決定2021/914/EC（随時改正または置き換えられるものを含む）の一部を構成する標準契約条項（その付属書を含む）をいい、本DPA（データ移転）の第5条に規定される関連するモジュールおよびオプションが組み込まれたものをいう。
  Goodnotes
  は、ライセンス契約において当該用語に与えられた意味を有する；
  ライセンシー情報
  は、ライセンス契約において当該用語に与えられた意味を有する；
  ライセンシーの個人データ
  とは、ライセンシーデータに含まれ、本DPAに基づきライセンサーによって処理される個人データを指す。
  ライセンサーのプライバシーに関するお知らせ
  とは、https://www.goodnotes.com/privacy-policy に掲載されているライセンサーのプライバシーに関する通知を意味します；
  パーティー
  本DPAの当事者をいう；
  ソフトウェア
  は、ライセンス契約において当該用語に与えられた意味を有する。
  サブスクリプションサービス
  は、ライセンス契約において当該用語に与えられた意味を有する；
  英国に関する補足
  本DPAの第5.5条（データの移転）に規定される意味を有する；および
  英国国内限定の移籍
  本DPA第5条に基づき策定された関連する英国付則が存在しない場合、当該移転の時点で英国GDPR（または英国GDPRのデータ移転制限に対処するために締結されたデータ移転契約の条項）により禁止される、ライセンシーからライセンサーへの個人データの移転（またはその逆）、もしくはライセンサーによるライセンシーの個人データの再移転を意味する（データ移転）。
2. コンプライアンス
1. 各当事者は、本DPAに関連してライセンシーの個人データを処理する際、適用されるデータ保護法に従わなければならない。
2. ライセンシーは、以下の義務を負うものとする：
  1. すべてのライセンシー個人データが、適用されるデータ保護法に従って収集され、ライセンサーに提供されていることを確認し、かつ、適用されるデータ保護法で要求される場合には、当該個人データをライセンサーに提供する前に、データ主体の同意（下記第2.3項に従い、未成年者の親権者または後見人の同意を含む）を取得しなければならない。
  2. データ主体に対し、その個人データがライセンサーに提供される可能性があることを通知する；
  3. すべてのライセンシー個人データが正確であることを確保し、必要に応じて最新の状態に保つこと；および
  4. ライセンシーの個人データに不正確な点があることを知った場合は、ライセンサーに通知する。
3. データ主体が未成年者（すなわち16歳未満）であり、ライセンシーが当該データ主体の個人データをライセンサーに提供する前にその同意を得る必要がある場合、ライセンシーは、当該未成年者の親権者（すなわち親または後見人）から当該同意を得なければならない。ライセンシーは、当該データ主体から個人データに関する同意を得ることに単独で責任を負う。
4. 本DPAの有効期間中、適用されるデータ保護法が変更され、本DPAがライセンシーの個人データの適法な共有および処理を規律する目的において不十分となった場合、当事者は、ライセンサーが適用されるデータ保護法の当該変更に対処するために合理的に必要と認める本DPAの修正を行うことができることに合意し、当該修正後のDPAは、本ページ（https://goodnotes.com/data-processing-addendum）に掲載された時点で当事者間で効力を生じるものとする。
5. 本DPAは、ライセンス契約の満了または解除に伴い終了するものとします。
3. データ管理者としてライセンシーの個人データを処理する際の義務
1. 当事者は、ライセンサーが特定の状況において、独立した管理者としてライセンシーの個人データを処理することを認め、これに同意する。また、ライセンサーが独立した管理者としてライセンシーの個人データを処理する状況については、ライセンサーのプライバシー通知に定められている。
2. 本DPAに基づき、ライセンサーがライセンシーの個人データについて独立した管理者として行動する場合、以下の通りとする：
  1. ライセンシーは、本DPAに関連してライセンサーによって個人データが処理される可能性のあるデータ主体に対し、ライセンサーのプライバシー通知を周知させることに同意する。
  2. 各当事者は、相手方の費用負担において、ライセンシー個人データに関連する適用されるデータ保護法に基づく義務の履行を支援するため、相手方から合理的に要請された協力を行うものとする。
  3. ライセンサーは、ライセンシーの個人データに影響を及ぼす個人データ漏洩を認識した時点で、直ちにライセンシーに通知しなければならない。
4. 処理者としての立場におけるライセンシーの個人データの処理に関する義務
1. 第3条に基づき、ライセンサーが独立した管理者としてライセンシーの個人データを処理する場合を除き、当事者は、ライセンサーが、管理者の立場にあるライセンシーに代わって、処理者としてライセンシーの個人データを処理することを認め、これに同意する。本処理活動の詳細は、別紙1（データ処理の詳細）に規定されている。
2. ライセンサーが本DPAに基づきライセンシーの個人データの処理者としての役割を果たす限りにおいて、ライセンサーは以下の義務を負うものとする：
  1. ライセンシーからの文書による指示に基づき、そのサービスおよび本ソフトウェアを提供するため、ならびにライセンス契約に基づく義務を履行するために必要な範囲において、ライセンシーの個人データを処理する。ただし、適用法令により別段の措置が求められる場合はこの限りではない。その場合、ライセンサーは、当該法令で認められる限りにおいて、当該処理を行う前に、その法的要件をライセンシーに通知するものとする。
  2. ライセンシーの個人データを処理する権限を有する者が、守秘義務を遵守することを確約しているか、または適切な法的守秘義務を負っていることを確保すること；
  3. 技術的および組織的な適切な措置（付録3に規定されるものを含む）を実施し、維持すること。これらは、ライセンシーの個人データに対する不正または違法な処理、ならびにライセンシーの個人データの偶発的な紛失、破壊、または毀損から保護するためのものであり、技術の発展状況および措置の実施コストを考慮した上で、生じうる損害および保護対象となるライセンシーの個人データの性質にふさわしいものでなければならない。
  4. ライセンシーは、ライセンサーが当該サブプロセッサーのリスト（下記付録2を参照）を維持することを条件として、ライセンシー個人データを処理するために別のプロセッサー（以下「サブプロセッサー」という）を起用することを、一般的に許可する。ただし、これには以下の条件が適用される。(i) ライセンサーは、サブプロセッサーが本DPAの第4.2条に規定されるものと実質的に同様の拘束力のある契約上の義務を負うことを確保すること、および (ii) ライセンサーが、当該サブプロセッサーによる当該義務の履行について、ライセンシーに対し全面的な責任を負い続けること。ライセンサーは、サブプロセッサーの追加または交代について、変更が効力を生じる少なくとも14暦日前までに通知を行うものとし、これを受けてライセンシーはサブプロセッサーの変更に異議を申し立てることができる。当該30日間の期間内に異議が申し立てられた場合、当事者は誠意をもって当該異議の解決について協議するものとする；
  5. 処理の性質を考慮し、ライセンシーが、ライセンシーの個人データに関して、データ主体から適用されるデータ保護法に定められた権利の行使を求める要請に応じる義務を履行できるよう、可能な範囲で適切な技術的および組織的措置を講じてライセンシーを支援すること。
  6. ライセンシーの個人データに関連する個人データ侵害について、その事実を知った時点で、遅滞なくライセンシーに通知し、かつ、当該個人データ侵害に関連して適用されるデータ保護法に基づくライセンシーの義務を履行するために合理的に必要とされるすべての情報を提供し、処理の性質およびライセンサーが入手可能な情報を考慮した上で、データ保護影響評価および関連するデータ保護当局との事前の協議（ならびに他の適用されるデータ保護法に基づく類似の義務）に関して、適用されるデータ保護法に基づくライセンシーの義務の履行を支援するものとします。
  7. ライセンシーの個人データを、EU、英国、またはGDPR第45条に基づき欧州委員会、あるいは英国GDPR第45条に基づき英国政府大臣により十分性認定を受けた管轄区域の外へ移転しないこと（該当する場合）（「関連管轄区域」）に、当該ライセンシー個人データの関連管轄区域外への移転が、適用されるデータ保護法で認められた適切な保護措置の対象となることを確保しない限り、移転してはならない。
  8. 当該ライセンス契約の終了または満了時、かつライセンシーの選択により、適用法令により当該ライセンシー個人データの保存が義務付けられている場合を除き、ライセンサーが処理し、かつライセンサーが保有するライセンシー個人データのすべてのコピーを返却するか、または安全に破棄すること；および
  9. ライセンシーからの要請に応じて、ライセンシーの個人データの処理に関して、英国GDPRおよびGDPRの第28条（ならびにその他の適用されるデータ保護法に基づく類似の要件）への準拠を証明するために必要なすべての情報をライセンシーに提供し、暦年につき1回を上限とし、ライセンサーの通常の営業時間内において、かつ合理的な事前書面通知を条件とし、適切な機密保持条項に合意した上で、ライセンシーまたはライセンシーが委任した監査人による監査（検査を含む）を許可し、これに協力するものとします。
5. データの転送

EU域内での制限付き移転
1. EU制限付き移転に関しては、ライセンシーおよびライセンサーは、以下を組み込んだEU標準契約条項をここに締結する：(i) 一般条項（第1条 ～第6条）； (ii) 本DPAの付録4のパートAに従い、適用されるモジュール1（管理者の管理者の間での移転）、モジュール2（管理者の処理者への移転）、およびモジュール4（処理者の管理者の間での移転）；(iii) 本DPAの付録4のパートAに規定される関連するオプション；および(iv) 以下に定める通り記入された付属書：
  1. EU標準契約条項の付属書Iには、本DPAの付録4のパートBに記載された詳細が事前に入力されていなければならない；
  2. EU標準契約条項の付属書IIには、本DPAの付録3（技術的および組織的措置）に記載された詳細をあらかじめ記入するものとする。
  3. EU標準契約条項の付属書IIIには、本DPAの付録2（サブ処理者）に記載された詳細情報をあらかじめ記入するものとする。
2. 第5.1条の目的上、EU標準契約条項は、EU域内限定移転の開始時に効力を生じるものとする。
3. サブプロセッサーとの間でEU制限付き移転を開始する前に、ライセンサーは当該サブプロセッサーとEU標準契約条項を締結し、一般条項（第1条～第6条）およびモジュール3（プロセッサーからプロセッサーへの移転）を組み込むものとする。
  
  英国における制限付き移転
4. 英国における制限付き移転に関しては、ライセンシーおよびライセンサーは、第5.1条に従い、当該英国における制限付き移転に関してEU標準契約条項および英国補遺を締結する。
5. 本DPAにおいて、「英国付則」とは、英国情報コミッショナー事務所が2018年英国データ保護法第119A条に基づき発行したEU標準契約条項の付則をいい、以下を含むものとする：
  1. 本DPAの付録4のパートBに記載され、当該英国補遺の表1（当事者）に挿入された当事者の詳細；
  2. 表2の最初の選択肢について、英国補遺には、本DPAに組み込まれている承認済みEU標準契約条項（SCCs）が組み込まれていることを明確にするため；
  3. 当該英国付則の表3（付録情報）に挿入された、本DPAの付録4のパートBにそれぞれ記載された当事者のリストおよび個人データの移転に関する説明；
  4. 本DPAの付録3（技術的および組織的措置）に規定される技術的および組織的セキュリティ措置の説明。当該英国付録の表3（付録情報）に挿入されたもの。
  5. 本DPAの付録2（下請け処理業者）に記載され、当該英国付録の表3（付録情報）に挿入された下請け処理業者のリスト；および
  6. 当該英国付録の表4に規定されるオプション・エクスポーター；
6. ライセンシーおよびライセンサーは、以下の事項に合意する。
  1. 本英国付則は、上記第5.1条に従って締結されたEU標準契約条項に組み込まれたものとみなされる。
  2. 彼らは、EU標準契約条項に組み込まれた英国補遺条項に拘束されるものとする；および
  3. 当該英国付則およびこれに組み込まれているEU標準契約条項は、英国制限移転が開始された時点で効力を生じるものとする。
7. サブ処理業者との間で英国限定移転を開始する前に、ライセンサーは当該サブ処理業者とEU標準契約条項を締結し、一般条項（第1条～第6条）、モジュール3（処理業者から処理業者への移転）、および英国補遺を組み込むものとする。
6. 一般条項
1. 本DPAの変更は、書面によるものであり、かつ当事者双方が署名した場合に限り、効力を生じるものとする。

付録1 – データ処理の詳細

本付録1はDPAの一部を構成し、ライセンサーがライセンシーに代わって行うライセンシーの個人データの処理について規定するものである。

ライセンシーの個人データの処理の対象となる事項は、以下の通りです：
1. ライセンサーGoodnotes 提供：ライセンシーおよびその認定ライセンシーGoodnotes ユーザーである場合、ライセンサーは、ライセンシーに代わって、処理者としての立場で、Goodnotes 保存されたライセンシーの個人データをホストします
2. ライセンサーによるライセンシーへのサブスクリプション・サービスおよびソフトウェアの提供：ライセンサーは、ライセンシーおよびその認定ライセンシーに対し、サブスクリプション・サービスの設定、管理、およびその他の提供を行うため、ライセンシーに代わってデータ処理者としての立場で、ライセンシーの個人データを処理します。
ライセンシーの個人データの処理期間は、ライセンス契約の有効期間に準じます。
B. 個人データの処理の性質および目的：
1. ライセンシーの個人データの処理の性質および目的は、ライセンサーがライセンシーに対し、Goodnotes 、サブスクリプション・サービスおよび本ソフトウェアを提供できるようにすることにあります。
C. 個人データの種類：
1. 処理されるライセンシーの個人データには、以下の属性の一部またはすべてが含まれる場合があります：(i) 個人識別子および連絡先情報（メールアドレスを含む）；(ii) 教育機関の詳細；(iii) 診断データ（これには、認定ライセンシーが本ソフトウェアの使用中に経験する可能性のある問題を診断および解決するために必要な情報が含まれます）； (iv) 認定ライセンシーによる本ソフトウェアの利用に関して自動的に収集または生成される情報；(v) 認定ライセンシーがGoodnotes 、サブスクリプションサービスおよび／または本ソフトウェアにアップロードまたは共有することを選択した情報／選択内容、または認定ライセンシーがライセンサーに提供することを選択した情報。
D. 特別の種類の個人データ：
なし。
E. ライセンシーの個人データが関連するデータ主体の区分：
データ主体の区分には、以下のいずれか、またはすべてが含まれる場合があります：サブスクリプション・サービスGoodnotes ライセンシーによる利用者（認定ライセンシーを含む）。
F. ライセンシーの義務および権利：
ライセンシーの義務および権利は、ライセンス契約に定められています。

付録2 – 再委託先

ライセンサーは、以下のサブプロセッサーを利用しています：

Amazon Web Services
振幅
Braze
データドッグ
Google
Google フォーム
HubSpot
聴く
MailChimp
マルカニ
Mixpanel
Paddle（またはその他の同様の決済代行業者）
小枝
ユーザーインタビュー
UserTesting
UserVoice
Zendesk Inc.
サマライズ
StreamNative
雪の結晶
Statsig
Hex.Technologies

付録3 – 技術的および組織的措置

AWSサーバーに保存されたデータは、保存時に暗号化されます；
ネットワークへのアクセスはTeleportを使用して厳重に制限され、ログが記録されています；
データはAWS Shieldを使用してDDoS攻撃から保護されており、
AWS GuardDuty を使用して侵入検知システムを導入しています
データベースサーバーはプライベートネットワーク内にあり、アクセスは制限されています。
アクセスは、Oktaを通じて認証される「Teleport」というゼロトラストソリューションを使用して記録されます。
データは転送中にTLS v1.2を使用して暗号化されます。

付録4 - EU標準契約条項の内容

第1部：EU標準契約条項の選定モジュールおよびオプション
‍
DPAの第5条の規定に基づき、ライセンシーおよびライセンサーは、EU標準契約条項の以下のモジュールおよびオプションが本契約に組み込まれているものとみなされることに合意する：

第7条（ドッキング条項）

第7条は組み込まれないものとする；

第8条（データ保護の措置）

モジュール1、2、および4；

第9条（下請け処理業者の利用）

モジュール2、オプション1において、言及されている具体的な期間は14日間とする。

第10条（データ主体の権利）

モジュール1、2、および4；

第11条（救済措置）

第1モジュール、第2モジュールおよび第11条(a)項の選択肢は、組み込まれないものとする。

第12条（責任）

モジュール1、2、および4；

第13条（監督）

第13条(a)項の該当するすべての段落を盛り込んだモジュール1およびモジュール2；

第14条（本条項の遵守に影響を及ぼす現地の法令および慣行）

モジュール1、2、および4；

第15条（公的機関によるアクセスがあった場合のデータ輸入者の義務）

モジュール1、2、および4；

第16条（条項の不履行および契約の解除）

第16条(d)項について、モジュール1、2、および4に関連する部分；

第17条（準拠法）

モジュール1および2、該当するオプション1および2、ならびに適用される法は、データ輸出者が事業所を置くEU加盟国の法とする。ただし、(i) 当該法が第三者受益権を認めていない場合、または (ii) データ輸出者がEU加盟国に事業所を置いていない場合、適用される法はイングランドおよびウェールズの法とする。

モジュール4および適用される法は、ライセンス契約の準拠法条項に規定される国の法とする。ただし、当該法が第三者受益権を認めていない場合、適用される法はイングランドおよびウェールズの法とする；

第18条（裁判地の選択および管轄）

第1条および第2条ならびにそこに挿入される裁判所は、第17条（準拠法）に規定される加盟国の裁判所とする。また、

第4条およびそこに挿入される国は、ライセンス契約において管轄権を有すると規定された国とする。ただし、当該国の法律において第三者受益権が認められていない場合、そこに挿入される国はイングランドとする。

第2部：EU標準契約条項の附属書Iの内容
‍

参加団体一覧

‍

データエクスポーター

名称：ライセンス契約書に記載されたライセンシー。

住所：ライセンス契約書に記載のとおり。

担当者の氏名、役職および連絡先：ライセンス契約の通知条項に定める通りとする。ただし、データ輸入者がデータ輸出者に別途通知した場合を除く。

本条項に基づき移転されるデータに関連する活動：ライセンス契約に定められているとおり。

役割（管理者／処理者）：管理者（該当する場合）

‍

データインポーター

名称：ライセンス契約に記載されたライセンサー。

住所：ライセンス契約書に記載のとおり。

本条項に基づき移転されるデータに関連する活動：ライセンス契約に定められているとおり。

役割（管理者／処理者）：管理者／処理者（該当する場合）

‍

振替に関する説明

個人データが移転されるデータ主体の区分：付録1に定める、当該個人データに関連するデータ主体の区分に従う。

移転される個人データの区分：別紙1に定める処理対象となる個人データの種類に従う。

転送された機密データ（該当する場合）および、データの性質や関連するリスクを十分に考慮した制限や保護措置（例えば、厳格な利用目的の限定、アクセス制限（専門的な研修を受けた職員のみがアクセスできることを含む）、データへのアクセス記録の保持、第三者への転送に関する制限、または追加のセキュリティ対策など）：該当なし

データの転送頻度（例：データが単発的に転送されるか、継続的に転送されるか）：ライセンス契約に別段の定めがない限り、継続的である。

処理の内容：別紙1に記載された処理の内容に従う。

データ転送およびその後の処理の目的：別紙1に記載された目的に従う

個人データの保存期間、またはそれが不可能な場合は、その期間を決定するために用いる基準：DPA第4.2.8条に準拠する

（下請け）処理業者へのデータ提供については、付録1に記載された処理の対象、性質、および期間に従い、処理の対象、性質、および期間も明記してください。

‍

管轄監督当局

第13条に基づき、管轄監督当局を特定する：データ輸出者が事業所を置くEU加盟国の管轄監督当局、およびデータ輸出者がEU加盟国に事業所を置いていない場合は、イングランドおよびウェールズのデータ保護当局。

Goodnotes 向けデータ処理補足条項

1. 定義および解釈

2. コンプライアンス

3. データ管理者としてライセンシーの個人データを処理する際の義務

4. 処理者としての立場におけるライセンシーの個人データの処理に関する義務

5. データの転送

6. 一般条項

付録1 – データ処理の詳細

ライセンシーの個人データの処理の対象となる事項は、以下の通りです：

B. 個人データの処理の性質および目的：

C. 個人データの種類：

D. 特別の種類の個人データ：

E. ライセンシーの個人データが関連するデータ主体の区分：

F. ライセンシーの義務および権利：

付録2 – 再委託先

ライセンサーは、以下のサブプロセッサーを利用しています：

付録3 – 技術的および組織的措置

付録4 - EU標準契約条項の内容

第2部：EU標準契約条項の附属書Iの内容
‍

参加団体一覧

‍

データエクスポーター

‍

データインポーター

‍

振替に関する説明

管轄監督当局

第3部：EU標準契約条項の附属書IIIの内容
‍
データ管理者は、以下のサブ処理業者の利用を承認しています：
付録2に記載された事業体

法律

製品情報

使用事例

業界別

リソース

はじめに

ダウンロード

Goodnotes 向けデータ処理補足条項

1. 定義および解釈

2. コンプライアンス

3. データ管理者としてライセンシーの個人データを処理する際の義務

4. 処理者としての立場におけるライセンシーの個人データの処理に関する義務

5. データの転送

6. 一般条項

付録1 – データ処理の詳細

ライセンシーの個人データの処理の対象となる事項は、以下の通りです：

B. 個人データの処理の性質および目的：

C. 個人データの種類：

D. 特別の種類の個人データ：

E. ライセンシーの個人データが関連するデータ主体の区分：

F. ライセンシーの義務および権利：

付録2 – 再委託先

ライセンサーは、以下のサブプロセッサーを利用しています：

付録3 – 技術的および組織的措置

付録4 - EU標準契約条項の内容

第2部：EU標準契約条項の附属書Iの内容‍

参加団体一覧

‍

データエクスポーター

‍

データインポーター

‍

振替に関する説明

管轄監督当局

第3部：EU標準契約条項の附属書IIIの内容‍データ管理者は、以下のサブ処理業者の利用を承認しています：付録2に記載された事業体

法律

製品情報

使用事例

業界別

リソース

はじめに

ダウンロード

第2部：EU標準契約条項の附属書Iの内容
‍

第3部：EU標準契約条項の附属書IIIの内容
‍
データ管理者は、以下のサブ処理業者の利用を承認しています：
付録2に記載された事業体