Ultralytics 処理契約

最終更新日：2026年3月26日

本データ処理契約（以下「本DPA」という）は、顧客（以下「顧客」、「お客様」）Ultralytics, Inc.（以下「Ultralytics」、「「当社」、「当社」）との間で締結された（i）Ultralytics利用規約および／または（ii）本DPAを参照する適用される注文書、エンタープライズ契約、またはその他の書面による契約（それぞれを

本DPAは、以下の事項に関する当事者間の合意を反映したものです：

(A) 管理者と処理者間の契約条件：本サービスに関連して、Ultralytics処理者（または、顧客が処理者である場合は再委託処理者）として、顧客に代わって顧客の個人データを処理すること；および
(B) データ管理者間の条件：各当事者が独立したデータ管理者として行うデータ管理者個人データの処理は、第10条に規定される範囲に限定される。

本DPAは、本契約の有効期間中、Ultralytics 顧客に代わって顧客の個人データをUltralytics 限り、効力を有するものとします。

本DPAは、Ultralytics 顧客個人データの処理Ultralytics 適用されます。誤解を避けるために明記しますが、本DPAは、Ultralytics Ultralytics YOLO 顧客による使用、導入、または運用には適用されず、これらは顧客の単独の責任において行われるものとします。

Ultralytics 、法令、規制上の指針、または本サービスの変更を反映させるため、本DPAを随時更新Ultralytics 。更新は掲載日をもって効力を生じますが、顧客の同意なしに（適用法令で要求される場合を除き）、顧客の個人データに対するプライバシー保護を実質的に低下させるような更新は行いません。

1. 定義

「関連会社」とは、当事者を直接または間接に支配する、当事者に支配される、または当事者と同一の支配下にあるあらゆる事業体を指す。ここで、「支配」とは、議決権の50％超を所有することをいう。

「適切な保護措置」とは、適用されるデータ保護法、特にGDPR第46条（ただしこれに限定されない）に基づき認められる、個人データの移転に関する法的拘束力のある仕組みをいう。

「サブ処理者」とは、本サービスに関連して、Ultralytics 、Ultralytics個人データを処理するために委託した処理者を指します。

「当社アカウントデータ」とは、当社と顧客との関係に関連する個人データを指し、これには、顧客のアカウントへのアクセスを顧客から許可された個人の氏名または連絡先情報、および顧客が自身のアカウントに関連付けた個人の請求情報を含みます。また、当社アカウントデータには、顧客との関係の管理、本人確認、または適用される法令で別途要求される場合のために、当社が収集する必要のあるあらゆるデータも含まれます。

「当社の利用データ」とは、本サービスの提供に関連して当社が収集および処理する本サービスの利用データを指し、これには、通信の発信元および宛先を特定するために使用されるデータ、アクティビティログ、ならびに本サービスのパフォーマンスを最適化および維持し、システムの不正利用を調査・防止するために使用されるデータが含まれますが、これらに限定されません。

「顧客データ」とは、顧客またはその権限を有するユーザーが、本サービスに関連して処理のためにアップロード、送信、転送、またはその他の方法で提供したあらゆるデータ、コンテンツ、資料、ファイル、情報（データセット、画像、動画、注釈、ラベル、メタデータ、モデルの入力および出力、その他のコンテンツを含む）を意味し、これには顧客による本サービスの利用を通じて顧客のために生成されたデータも含まれる。

「顧客個人データの漏洩」とは、本サービスUltralytics 処理する顧客個人データについて、偶発的または違法な破壊、紛失、改ざん、不正開示、または不正アクセスにつながるセキュリティ侵害を意味します。顧客個人データの漏洩には、失敗に終わった試み、または顧客個人データを危険にさらさない活動（例：ログインの失敗、ポートスキャン、サービス拒否攻撃、またはファイアウォールやネットワークシステムに対するその他の攻撃）は含まれません。

「データ保護法」とは、本契約に基づく当事者による個人データの処理に適用される、プライバシーおよびデータ保護に関するすべての適用法令を意味し、これには（該当する場合）、GDPR、英国GDPR、スイスFADP、ePrivacy/PECR、CCPA/CPRA、およびその他の適用される米国各州のプライバシー法が含まれる。

「GDPR」とは、規則（EU）2016/679を意味する。「UK GDPR」とは、英国法に組み込まれたGDPRを意味する。「スイスFADP」とは、スイス連邦データ保護法（改正後）を意味する。「指示」とは、第2.2項に記載される通り、顧客の個人データのUltralytics 文書で示した指示を意味する。

「SCCs」とは、EU標準契約条項（決定2021/914）を意味する。「UK Addendum」とは、ICO国際データ移転補遺を意味する。その他の大文字で表記された用語は、データ保護法および／または本契約において定義された意味を有する。

「サービス」とは、本契約Ultralytics 提供するサービスおよび機能を指し、本契約に詳述されている通り、Ultralytics に関連するサポート、管理、およびドキュメントを含みます。

「Ultralytics 」とは、UltralyticsクラウドベースのSaaS環境をいい、顧客はこれを通じてデータセットのアップロード、管理、アノテーション、バージョン管理を行うほか、コンピュータビジョンモデルのトレーニング、評価、比較、エクスポート、デプロイを行うことができ、プロジェクトやユーザーを管理し、関連機能やサポートにアクセスすることができる。また、Ultralytics 本DPAに従い、顧客に代わって顧客の個人データをUltralytics 。

「Ultralytics YOLO 」とは、Ultralytics 適用されるオープンソースライセンスUltralytics 提供しているオープンソースのコンピュータビジョンモデルおよび関連するソースコードを意味し、お客様はこれらをダウンロードし、ご自身の環境において独自にデプロイ、ホスト、および運用することができます。明確にするために付言しますが、Ultralytics Ultralytics YOLO モデルUltralytics デプロイまたは使用する場合、Ultralytics 本DPAに基づき、お客様に代わって個人データを処理Ultralytics 。

2. お客様の責任

2.1 法令の遵守。お客様は、個人データの処理および本サービスの利用に関連して、必要な通知の提供、ならびに必要な同意および承認の取得を含め、データ保護関連法令を遵守する責任を負います。

2.2 指示。本契約（本DPAを含む）および本契約に従った顧客による本サービスの設定および利用は、顧客の個人データのUltralytics 顧客の指示のすべてを構成する。顧客は、本契約および本サービスと矛盾しない限り、契約期間中に追加の指示を行うことができる。Ultralytics 、追加の指示により重大な変更または負担が生じるとUltralytics 判断した場合、当事者は誠意をもって協議を行うものとする。

2.3 提供禁止データ。当事者間で書面による明示的な合意（適用されるデータ保護法で要求される追加的な保護措置に関する合意を含む）がない限り、顧客は、GDPR第9条（またはこれに相当する規定）に定めるUltralytics 特別の種類の個人データUltralytics 、またはGDPR第10条に定める犯罪歴もしくは犯罪行為に関するUltralytics 、Ultralytics 提供、送信、またはその他の方法で利用可能にしてはならない。

例として、またこれに限定されるものではありませんが、禁止データには以下が含まれます：

政府発行の識別番号（パスポート番号、国民ID番号、社会保障番号など）；
健康または医療に関する情報（自然人を一意に識別する目的で使用される生体認証情報を含む）；
個人の人種的または民族的出自、政治的見解、宗教的または哲学的信条、あるいは労働組合への加入に関する情報；
自然人を一意に識別する目的で処理される遺伝データまたは生体認証データ；
適用されるデータ保護法により制限されている場合、児童に関する個人データ；
および、有罪判決、犯罪行為の嫌疑、または法執行活動に関するデータ。

さらに、本サービスは、支払いカード情報、銀行口座番号、または正確な位置情報など、適用されるデータ保護法に基づき高度な保護を要するその他のデータを処理することを意図したものではありません。本サービスにアップロードされる、または本サービスを通じて処理されるデータセット、画像、動画、注釈、ラベル、メタデータ、その他のコンテンツに禁止データが含まれていないことを確認する責任は、お客様が単独で負うものとします。本条項に違反して禁止データを処理した場合は、本DPAの重大な違反となります。

2.4 不適切なデータ；損害賠償。顧客は、Ultralytics 提供される顧客の個人データの合法性Ultralytics 当該データが本サービスに適していることを確保する責任を単独で負うものとします。顧客は、本契約、本DPA、または適用されるデータ保護法に違反して本サービスに個人データを提供したことに起因する第三者からの請求Ultralytics 防御し、Ultralytics 損害賠償Ultralytics ものとします。

3. データ処理者としてのUltralytics

3.1 利用目的の限定。 Ultralytics 、顧客の個人データを、(a) 本契約および別紙Aに従って本サービスを提供するため、(b) 顧客の指示に従うため、および (c) 適用法令で要求される場合に限り、処理Ultralytics 。Ultralytics 、顧客から書面または本サービスを通じて明示的に指示された場合を除き、Ultralyticsトレーニング、改善、または開発のために、顧客の個人データまたは顧客データUltralytics 。

3.2 法の抵触。 Ultralytics 、法的要件により指示に従って顧客の個人データを処理できないことをUltralytics 、Ultralytics （法律で認められる範囲内で）顧客にUltralytics 、必要に応じて、顧客が法令に準拠した指示を出すまで、影響を受ける処理（安全な保管を除く）を一時停止Ultralytics 。

3.3 従業員の守秘義務。 Ultralytics 、顧客の個人データを処理する権限を有する者が守秘義務を遵守するよう確保するUltralytics 。顧客は、Ultralytics 、本契約／DPAの履行に関連して合理的に必要とされる範囲において、守秘義務を条件として、顧客の個人データをその専門アドバイザーおよび監査人にUltralytics 同意するものとします。

3.4 再委託。 Ultralytics 、第5条に従い再委託業者を利用Ultralytics 、当該再委託業者による同等の義務の履行について引き続き責任を負うものとする。

3.5 削除／返却。本サービスの終了に伴い、Ultralytics 、法令により保存が義務付けられている場合を除き、本契約および別紙Aに従い、顧客個人データを削除Ultralytics 。SCCに基づく削除証明書は、顧客の要請に応じて提供されます。

4. データ主体（または消費者）の権利

4.1 データ主体（または消費者）からの要請。 Ultralytics 、法的に許容される範囲において、データ主体（または消費者）からUltralytics データ主体（または消費者）のアクセス権（または開示権）、訂正権、処理の制限、消去（または削除、あるいは「忘れられる権利」）、データポータビリティ、処理への異議申立て、または自動化された個人に対する意思決定の対象とならない権利（以下「データ主体（または消費者）からの請求」という）の行使を求める請求を受けた場合、遅滞なく当該アカウントの主要連絡先を通じて顧客に通知するものとする。

4.2 支援。処理の性質に鑑み、Ultralytics 、お客様が利用可能な本サービスの機能を用いて当該要請に応じることができない場合、データ保護法に基づくデータ主体の権利行使の要請に対応するため、お客様に合理的な支援を提供Ultralytics 。

4.3 DPIA；事前の協議。 Ultralytics 、処理のUltralytics可能な情報を考慮し、データ保護法により要求される場合、かつ顧客が別途関連情報にアクセスできない場合において、(i) データ保護影響評価、および (ii) 監督当局との協議および／または協力について、顧客に対し合理的な支援を提供Ultralytics データ保護法により要求される場合、または顧客の個人データ侵害に関連する場合を除き、顧客は12ヶ月間の期間において、かかる支援を1回を超えて要請してはならない。顧客は、法律で認められる範囲において、かかる支援の提供に際してUltralytics負担した合理的な費用および経費Ultralytics弁済するものとする。

5. 再委託先

5.1 一般的な授権。顧客は、本サービスのために顧客の個人データを処理するため、Ultralytics サブ処理業者を起用することについて、書面による一般的なUltralytics 付与する。

5.2 リストおよび通知。現在のサブプロセッサーのリストは、ultralytics（以下「リスト」という）で閲覧可能です。Ultralytics 、リストの更新通知を購読するための仕組みUltralytics 、新たなサブプロセッサーについて、当該サブプロセッサーが顧客の個人データを処理することを承認する少なくとも10日前に通知を行います。顧客は、利用可能な場合、当該通知を購読する責任を負います。顧客が購読しない場合、顧客は、当該仕組みを通じて事前の通知を受け取れない可能性があることを了承するものとします。いかなる場合においても、リストの更新は、サブプロセッサーの変更に関する通知を構成するものとします。顧客は、特定のサブプロセッサーが本サービスの提供に不可欠であり、サブプロセッサーの利用に異議を唱えることは、当社が顧客に本サービスを提供できなくなる可能性があることを了承するものとします。

明確にするために申し上げますと、Ultralytics （英国）Ultralytics Spain, S.L.を含む、本サービスの提供Ultralytics 、Ultralytics サービスに関連Ultralytics .に代わって顧客の個人データを処理する場合、グループ内のサブプロセッサーとして機能することがあります。

5.3 新規下請け処理業者に対する異議申立て。顧客は、第5.2条に基づき、合理的なデータ保護上の理由がある場合、新規の下請け処理業者の起用に対して書面により異議を申し立てることができます。Ultralytics 顧客の異議に合理的にUltralytics 場合、顧客は書面による通知をもって当該サービスを中止することができます。ただし、当該中止前に発生した料金の支払義務が免除されることはありません。

5.4 義務の転嫁。 Ultralytics 、サブプロセッサーが適用されるデータ保護法に従い、顧客の個人データに対して適切なレベルの保護を提供できるかどうかを評価するため、合理的かつリスクベースのデューデリジェンスを実施した後にのみ、当該サブプロセッサーを起用Ultralytics 、ベンダー管理プログラムの一環として、サブプロセッサーを定期的に監視するものとします。Ultralytics そのサブプロセッサーが、本DPAに規定されるものと同等か、あるいはそれ以上の保護水準を有するデータ保護義務を負うことをUltralytics 。顧客の要請があった場合、Ultralytics 、SCCsの要件に基づき、関連するサブプロセッサーのデータ保護条項の写し（機密保持のため一部が黒塗りされている場合があります）Ultralytics 。

6. セキュリティ

6.1 措置。 Ultralytics 、技術の現状、処理の性質、範囲、状況および目的、ならびに自然人の権利および自由に対する発生可能性および深刻度が異なるリスクを考慮し、GDPR第32条を含む適用されるデータ保護法に従い、当該リスクに見合ったセキュリティレベルを確保するために、適切な技術的および組織的措置を講じ、維持Ultralytics これらの措置は別紙Cに記載されており、Ultralytics 、かかる更新が顧客個人データの全体的な保護水準を実質的に低下させないことを条件として、随時これを更新Ultralytics 。

6.2 顧客の責任。前項にかかわらず、顧客は、本DPAに明示的に規定されている場合を除き、アカウント認証情報の保護、適切なアクセス制御の設定、および顧客のユーザーが適用されるデータUltralytics提供するセキュリティ機能に準拠した方法で本サービスにアクセスし利用することを確保することを含め、本サービスの安全な利用について責任を負うことを認める。

7. 顧客監査およびコンプライアンスの証明

7.1 文書化。合理的な要請があった場合、Ultralytics 、本DPAの遵守を証明するために合理的に必要な情報（入手可能な場合は、最新の第三者監査報告書または認証書を含む）を提供するUltralytics 。Ultralytics 、本DPAの遵守を証明するのに十分な記録Ultralytics 、法律によりより長い期間が要求されない限り、契約終了後も合理的な期間（例えば3年間）にわたり当該記録を保管Ultralytics 。

7.2 監査。データ保護法で要求され、かつ文書による記録が不十分な場合、顧客は、合理的な事前書面通知を行い、かつ費用を負担することを条件として、Ultralytics関連するシステムおよびプロセスに対する監査または検査を請求することができる。かかる監査または検査は、監査の範囲、時期、期間、ならびに監査に関連してUltralytics費やした時間およびリソースに対する合理的な償還率について、当事者間で書面による合意がなされた後にのみ実施されるものとする。本条項に基づき実施される監査は、以下の要件を満たすものとする：

(a) 12か月間に1回を超えて発生しないこと；
(b)Ultralytics通常の営業時間内に行われること；
(c) 合理的な機密保持、セキュリティ、および安全対策の対象となること；および
(d) 顧客の個人データの処理に合理的に関連するシステムおよび記録に限定されるものとする。

顧客は、監査の過程で重大な不適合Ultralytics 判明Ultralytics 、Ultralytics 当該事項に対処するための合理的なUltralytics を確保できるよう、速やかにUltralytics 通知しなければならない。

8. 個人データの漏洩

8.1 通知。 Ultralytics 、顧客の個人データ漏洩を認識した後、不当な遅滞なく、かつ遅くとも72時間以内に、顧客に通知Ultralytics 。

8.2 支援。 Ultralytics 、Ultralytics可能な情報を踏まえ、顧客が規制当局および影響を受けるデータ主体に対して行う必要がある通知について、合理的な支援Ultralytics 。

8.3 過失の認諾を構成しない。データ漏洩の通知は、過失または責任の認諾を構成するものではない。顧客の個人データ漏洩が、顧客またはそのユーザーの作為もしくは不作為によって引き起こされた場合には、データ漏洩の通知義務は適用されない。

9. 移籍（EU／英国／スイス）

9.1 国際的なデータ移転。お客様は、Ultralytics主要なデータ処理業務が、本サービスの提供に必要な範囲において、米国およびその他の地域で行われる場合があることを了承するものとします。

明確にするために付記すると、Ultralytics .とその関連会社（Ultralytics （英国）Ultralytics Spain, S.L.を含む）の間でも、当該関連会社が本サービスに関連してサブプロセッサーとして機能する場合、顧客の個人データが移転されることがあります。かかる移転が適用されるデータ保護法上の国際移転に該当する場合、当該移転は、SCC（該当する場合はモジュール3）またはその他の有効な移転メカニズムを含む、適切な保護措置の対象となります。

データ保護の水準が十分であると認められていない国への顧客個人データの移転が必要となる場合、当該移転は、適用されるデータ保護法に基づき、適切な保護措置を講じた上で行われるものとする。これには、該当する場合、本DPAに組み込まれているSCCsおよび英国補遺が含まれる。

9.2 EU標準契約条項（SCC）。GDPRの適用を受ける顧客の個人データを、十分性認定を受けていない第三国へ移転する場合、当事者はEU標準契約条項（SCC）を適用する。顧客が管理者である場合はモジュール2（管理者→処理者）が適用され、顧客が処理者である場合はモジュール3（処理者→再委託処理者）が適用される。SCCの付属書は、別紙B（付属書I/III）および別紙C（付属書II）を用いて作成する。

9.3 英国補遺。英国GDPRの適用を受けるデータ移転については、当事者は、別紙B/Cおよび適用される移転メカニズムの選択を参照して作成された英国補遺を本契約に組み込むものとする。

9.4 スイス。スイスへのデータ移転については、EU標準契約条項（SCC）が、スイスの標準的な修正（GDPRへの言及にはスイスのFADPや、管轄当局としてのFDPICなどが含まれる）を加えて適用され、別紙への言及により補完される。

9.5 政府機関からの情報開示請求。 Ultralytics 、適用される法令およびSCCに準拠して、顧客の個人データに関する法的拘束力のある請求Ultralytics これには、（法的に認められる場合）、顧客への通知および合理的な協力が含まれます。

10. 管理者間契約条件（Ultralytics ／利用／セキュリティ運用）

10.1 適用範囲。本条は、各当事者が独立した管理者（共同管理者ではない）として行う管理者個人データの処理に適用されるものとし、Ultralytics会社アカウントデータおよび会社利用データの処理が含まれる。

10.2 独立した管理者の義務。各当事者は、以下の義務を負うものとする：

(a) データ保護法に従って個人データを処理すること；
(b) 適切なセキュリティ対策を講じること；および
(c) 自社のデータ処理に関する規制当局からの連絡に対応すること。

10.3Ultralytics データ処理。 Ultralytics 、管理者として、アカウント管理、請求、セキュリティ監視および不正利用の防止、本人確認、法令遵守、監査・会計、およびサービス運用（パフォーマンスおよび信頼性を含む）を目的として、企業アカウントデータおよび企業利用データをUltralytics 。かかる処理については、Ultralytics に記載されています。本DPAのいかなる規定も、当事者間に共同管理者関係を成立させるものと解釈されるものではありません。

誤解を避けるために明記しますが、Ultralytics 独立したデータ管理者として、営業活動、デモンストレーション、パートナーシップ、および顧客関係管理（CRM）活動の一環として、限定的な業務連絡先データ（氏名、会社のメールアドレス、業務上の連絡先情報など）を処理する場合があります。

11. カリフォルニア州の規定（CCPA／CPRA）

11.1 サービスプロバイダー／処理者。CCPA／CPRAが適用される範囲において、Ultralytics 顧客に代わって顧客の個人データをUltralytics 、Ultralytics 「サービスプロバイダー」および／または「処理者」としてUltralytics 、当該個人情報を「販売」または「共有」することはありません。

11.2 利用の制限。 Ultralytics 、CCPA/CPRAで認められる場合を除き、本サービスの提供という直接的な事業目的の範囲を超えて、顧客の個人データを保持、利用、または開示Ultralytics 。

11.3 差別。当事者は、消費者がその権利を行使したことを理由として、当該消費者を差別してはならない。

12. 総則

12.1 責任の制限。本契約における制限および免責事項は、法令またはSCCs／英国補遺により禁止されている場合を除き、本DPAにも適用される。

12.2 規定の分離可能性。本DPAのいずれかの規定が無効または執行不能となった場合でも、本DPAの残りの部分は有効かつ効力を有するものとします。無効または執行不能な条項については、(i) 当事者の意図を可能な限り維持しつつ、その有効性および執行可能性を確保するために必要な修正を加えるか、または、それが不可能な場合には、(ii) 当該無効または執行不能な部分が当初から含まれていなかったものとみなして解釈されるものとする。

12.3 本DPAの締結。本DPAは本契約に組み込まれ、その一部を構成する。顧客は、以下の方法により、本DPA（該当する場合、EU標準契約条項および英国補遺を含む）を締結する。

(a) 本契約に同意し、その拘束を受けることに同意すること（利用規約の「同意する」ボタンをクリックする、または同様の方法によるものを含む）、
(b) 本契約を組み込んだ、または本契約を参照する注文書、作業明細書、その他の書面による合意書を締結すること、または
(c) 当社が本DPAを提供した後も、本サービスを利用し、または利用を継続すること。

お客様は、本契約に同意し、および／またはお客様に代わって本サービスを利用する個人が、お客様および（該当する場合）その関連会社を拘束する権限を有することを表明し、保証するものとします。

12.4 お問い合わせ。プライバシーに関するお問い合わせ：ultralytics；データ保護責任者（DPO）：ultralytics；法的通知：ultralytics。

13. 当事者；関連会社

顧客は、本DPAを、顧客自身および本契約に基づき本サービスの利用権限を有し、かつ顧客個人データの管理者／処理者である関連会社（「許可された関連会社」）を代表して締結する。顧客は、許可された関連会社を拘束する権限を有することを表明する。

別紙A：個人データの処理に関する詳細

Nature： Ultralytics 、本契約に記載されているとおり、Ultralytics （モデルのトレーニング、推論、データセット管理、デプロイメント・ワークフロー、ならびに関連するサポートおよび管理を含む）にアクセスし、利用できるようにするクラウドベースのソフトウェアおよび関連サービス（以下「本サービス」という）Ultralytics

明確にするために申し上げますと、本サービスにはUltralytics が含まれており、Ultralytics 本DPAに従い、当該プラットフォームを通じてお客様に代わってお客様の個人データをUltralytics 。これとは別に、Ultralytics YOLO Ultralytics 提供しており、顧客はこれを自社の環境において独自に導入・運用することができます。Ultralytics Ultralytics Ultralytics YOLO を導入または使用する場合、Ultralytics 顧客に代わって個人データをUltralytics 、当該導入および使用に関連して、適切な技術的および組織的措置の実施、処理の目的および手段の決定、ならびに適用されるデータ保護法への遵守の確保については、顧客が単独で責任を負うものとします。

目的： Ultralytics 、以下の目的のために、お客様に代わってお客様の個人データをUltralytics ：

本契約および顧客の文書化された指示に従い、本サービスを提供、運用、保護、およびサポートすること；
顧客から提供された、本契約および本DPAと矛盾しない、文書化されたその他の合理的な指示に従うこと；
お客様またはその権限を有するユーザーが本サービスの利用において行ったリクエスト（カスタマーサポートへの問い合わせを含む）に対応するため；
detect インシデント、不正行為、悪用、およびサービスの不正利用を監視、防止、およびdetect すること；ならびに
適用される法的義務を遵守するため。

Ultralytics 、お客様から書面または本サービスを通じて明示的に指示された場合を除き、お客様の個人Ultralytics学習または改善にUltralytics 。なお、明確にするために申し上げますと、Ultralytics 、本サービスの運営、セキュリティ確保、および改善のために、当社の利用データならびに集計データまたは匿名化されたデータ（許可されている場合）を利用Ultralytics 。

お客様が本サービスのコミュニティ機能または公開機能を通じてデータセット、モデル、その他のコンテンツを共有することを選択した場合、当該共有はお客様による文書化された指示とみなされます。お客様は、当該データを他のユーザーに提供するために必要なすべての権利および法的根拠を有していることを確認する責任を単独で負うものとします。

処理期間： Ultralytics 、本契約の有効期間中、およびお客様の指示に従って本サービスを提供するために必要な期間、お客様の個人データをUltralytics 。本契約の終了または満了後、Ultralytics 、適用法令によりさらなる保存が義務付けられている場合を除き、本契約および本DPAに従い、お客様の個人データを削除またはUltralytics 。明確にするために付言すると、Ultralytics 第10条に基づき独立した管理者として管理者個人データ（企業アカウントデータおよび企業利用データを含む）Ultralytics する場合、当該処理はUltralytics に定められた期間行われるものとします。

データ主体の区分：顧客の個人データは、顧客が決定し管理する以下の区分に該当するデータ主体に関するものである場合があります：

顧客の従業員、請負業者、代理人、および代表者；
顧客の承認済みユーザーおよび管理者；
および、顧客のエンドユーザー、顧客、あるいは顧客が本サービスに提供することを選択したその他の個人の個人データ。

個人データの区分：顧客の個人データには、顧客または顧客の代理人が本サービスを通じて提出した、あるいは利用可能にした範囲において、以下の区分に該当する個人データが含まれる場合があります：

氏名、メールアドレス、ユーザー名／ユーザーID、組織名、ユーザーの役割／権限（例：管理者／ユーザー）などのアカウントおよびユーザー識別情報。
利用状況およびデバイス／技術データ（IPアドレス、デバイス識別子、システム属性（例：デバイスタイプ、オペレーティングシステム、ブラウザの種類）、ログファイル、タイムスタンプ、認証イベント、アクセス履歴、および（該当する場合）インストール済みのアプリケーションや設定の詳細など）は、企業のデバイス管理またはセキュリティワークフローの一環として収集されます。
ユーザー生成のプロンプト、コメント、注釈、データセットのメタデータまたはラベルなど、お客様が提供するコンテンツおよび入力情報、ならびに本サービスを通じてお客様がアップロードまたは送信するその他のコンテンツ（画像、動画、音声、その他のファイルを含む）。ただし、当該コンテンツに個人データが含まれる場合に限る。
カスタマーサポートとのやり取り、問題報告、トラブルシューティング情報、管理担当者の連絡先など、サポートおよび通信に関するデータ。

処理される個人データのカテゴリーには、Ultralytics に記載されているものが含まれる場合があります。

機微なデータまたは特別な種類のデータ：本サービスは、特別な種類の個人データ（GDPR第9条または適用されるデータ保護法における同等の規定に定義されるもの）や、刑事上の有罪判決および犯罪に関する個人データ（GDPR第10条）を処理するよう設計または意図されたものではありません。また、Ultralytics 書面による明示的な合意がありUltralytics 追加的な保護措置が講じられている場合を除き、お客様はかかるデータを提供してはなりません。

別紙B：附属書Iおよび附属書IIIの情報（EU標準契約条項および英国補遺）

以下には、EU標準契約条項（SCC）の附属書Iおよび附属書III、ならびに英国補遺の表1、附属書1A、および附属書1Bで要求される情報が含まれています。

1. 当事者

データエクスポーター：

名称：顧客の法人名
商号（異なる場合）：[任意]
住所：お客様の登録住所
登録番号（ある場合）：[任意]
担当者名、役職、連絡先：氏名、役職、メールアドレス
本条項に基づき移転されるデータに関連する活動：本契約、本DPA、および別紙Aに記載のとおり、本契約に基づくサービスの利用。これには、本サービスUltralytics 、Ultralytics 顧客個人データを移転することが含まれる。
署名および日付：本契約／DPAの締結／受諾により
役割（管理者／処理者）：管理者

データインポーター：

名称：Ultralytics .
商号（異なる場合）：該当なし
住所および連絡先：5001 Judicial Way, Frederick, MD, 21703, United States;ultralytics
登録番号（ある場合）：6755919
本条項に基づき移転されるデータに関連する活動：本サービスの提供、運用、セキュリティ確保、保守、およびサポートを行うため、ならびに本契約、本DPA、および別紙Aに記載されるその他の目的のために、顧客に代わって顧客の個人データを処理すること。
署名および日付：本契約／DPAの締結／受諾により
役割（管理者／処理者）：DPAの第3条に記載のとおり。

2. 譲渡の概要

フィールド	詳細
データ主体	DPAの別紙Aに記載されているとおり
個人データの区分	DPAの別紙Aに記載されているとおり
特別分類の個人データ（該当する場合）	DPAの別紙Aに記載されているとおり
処理の内容	DPAの別紙Aに記載されているとおり
個人データの利用目的	DPAの別紙Aに記載されているとおり
処理および保存の期間（またはその期間を決定するための基準）	DPAの別紙Aに記載されているとおり
移送の頻度	本契約またはDPAに規定される個人データに関するすべての義務および権利を提供し、履行するために必要な範囲において
データ受領者への個人データの移転先	当社は、以下のURLにてサブプロセッサーの一覧を公開します：ultralytics グループ内のサブプロセッサー： Ultralytics （英国） - エンジニアリングサポート、カスタマーサポート、オンボーディング支援、および営業活動（デモンストレーションやパートナーシップを含む） Ultralytics Spain, S.L.（スペイン） - エンジニアリングサポート、営業活動、および顧客対応業務（ビジネス連絡先データの限定的な処理を含む）

3. 管轄監督当局

監督当局は、EU標準契約条項の第13条に従って決定されるデータ輸出者の監督当局とする。本英国付則における監督当局は、英国情報コミッショナー事務局とする。

別紙C：技術的および組織的なセキュリティ対策

以下は、EU標準契約条項（SCC）の附属書IIおよび英国補遺の附属書IIで要求される情報を記載したものです。

技術的および組織的なセキュリティ対策	詳細
個人データの仮名化および暗号化の措置	顧客の個人データは、プラットフォームの各コンポーネントと外部エンドポイント間の通信において、業界標準のセキュアな接続（TLS）を用いた転送中の暗号化によって保護されています。クラウドサービスに保存されたデータについては、クラウドプロバイダーが管理する保存時の暗号化および安全な鍵管理制御が適用されています。
処理システムおよびサービスの機密性、完全性、可用性、および回復力を継続的に確保するための措置	Ultralytics 、不正アクセスを制限するように設計されたシステム構成、侵入検知および監視、脆弱性スキャンおよびペネトレーションテスト、転送中および保存時の暗号化、ならびにデータの保持・廃棄に関する管理措置を含め、本サービスにおけるセキュリティ、機密性、および可用性に関するUltralytics 。Ultralytics 、可用性を確保したマネージドクラウドサービスを利用して運用されています。当社のインフラストラクチャ・アズ・ア・サービス（IaaS）プロバイダーは、レプリケーションおよび高可用性を通じてデータベースの耐障害性をサポートしています。Ultralytics 、下流のサブプロセッサーの技術的および組織的措置（TOMs）が、本契約に定められた基準を満たすか、あるいはそれを上回ることを保証します。
物理的または技術的なインシデントが発生した場合に、個人データの可用性およびアクセスを適時に復旧させるための措置	Ultralytics 顧客データUltralytics 、クラウドプロバイダーが提供するネイティブサービスを使用してバックアップされます。バックアップは監視され、異常が発生した場合は調査および是正措置が講じられます。バックアップデータは保存時および転送時に暗号化され、アクセスは権限のある担当者に限定されています。事業継続および災害復旧計画には、復旧時点目標（RPO）、復旧時間目標（RTO）、および明確に定義された役割と責任が含まれています。
処理のセキュリティを確保するため、技術的および組織的措置の有効性を定期的に試験、評価および検証するプロセス	Ultralytics 、システムおよびネットワークに対する定期的な脆弱性スキャンと、本番環境に対するペネトレーションテストUltralytics 。脆弱性管理には、依存関係のスキャンやCI/CDパイプラインに組み込まれたセキュア開発プラクティスが含まれており、特定された脆弱性は深刻度とリスクに基づいて優先順位付けされ、是正措置が講じられます。さらに、Ultralytics 、標準的なISMS運用の一環として、年次リスク評価および経営層レビューUltralytics 。
ユーザー認証および認可のための措置	Ultralytics 、認証およびIDプロバイダーを採用しており、ユーザー認証とセッション管理をサポートしています。エンジニアリングシステム（ソースコードリポジトリを含む）へのアクセスは、権限を持つ担当者に限定されており、ロールベースの権限、ブランチ保護、および必須のレビューによって管理されています。内部アクセスについては、最小権限の原則とロールベースのアクセス制御が適用されています。
送信中のデータ保護措置	Ultralytics へのネットワーク接続は、指定されたフロントエンドエンドポイントを経由する安全なHTTPS（TLS）接続に限定されています。プラットフォームのコンポーネントとストレージサービス間の内部通信は、転送中にTLSを使用して暗号化されます。
保存中のデータ保護措置	Ultralytics では、顧客データは、冗長性とバックアップ機能を備えた、暗号化されたマネージドクラウドサービスに保存されます。このマネージドクラウドサービスは、組み込みの暗号化機能、自動バックアップ、冗長ストレージ、および高可用性を提供します。保存中のデータには、クラウドプロバイダーが管理する暗号化が適用されます。
個人データが処理される場所の物理的セキュリティを確保するための措置	Ultralytics は、サードパーティのクラウドサービスプロバイダーを利用してホストされています。ホスティングデータセンターの物理的および環境的な保護対策は、関連するサブプロセッサー組織によって運用されています。Ultralytics 、サブプロセッサー組織の保証報告書Ultralytics 、少なくとも年1回、リスク分析を実施しています。
イベントのログ記録を確保するための措置	Ultralytics 、監視、トラブルシューティング、およびインシデント調査のためにクラウドネイティブのロギングUltralytics 。プラットフォームの可用性やセキュリティに関するアラートは、社内では社内連絡ツールや電子メールを通じて、社外にはホスト型ステータスページを通じて通知されます。さらに、Ultralytics 、顧客データを処理または保存するアプリケーション、ツール、およびリソースへのアクセス権限をUltralytics 見直しています。
デフォルト設定を含むシステム構成の確保に向けた措置	Ultralytics 、Ultralytics Ultralytics YOLO ベースに対する変更を管理するための文書化された変更管理プロセスをUltralytics 。これには、変更の開始、文書化、開発基準、テスト、レビュー、およびリリースまたはデプロイ前の承認が含まれます。変更内容はバージョン管理システムで追跡され、ピアレビューおよびCI/CDパイプラインによる検証が行われます。
社内ITおよびITセキュリティのガバナンスと管理に関する措置	Ultralytics 、サービスに関する約束事項および社内のコンプライアンス要件に沿ったセキュリティポリシーと手順Ultralytics 、主要なポリシーと手順については年次レビューを実施しています。従業員は、専用のガバナンス・リスク・コンプライアンス（GRC）ツールを通じてポリシーへの同意を示す必要があり、年次セキュリティ意識向上研修およびプライバシー研修の受講が義務付けられています。また、エンジニア職については、セキュアコーディング研修の受講も求められます。リスクは一元化されたリスク登録簿に記録され、少なくとも年1回、正式なレビューが行われます。
プロセスおよび製品の認証・保証に関する措置	Ultralytics 、サードパーティのマネージドサービス（サブサービス組織を含む）にUltralytics 、統制のモニタリングの一環として、毎年それらのSOC 2レポートを審査しています。ベンダーに対するデューデリジェンスはリスクベースで行われ、ベンダーは「重要」「高」「中」「低」の4段階に分類され、契約上の保護措置と定期的な再評価が実施されています。
データの最小化を確保するための措置	Ultralytics 、顧客との契約および適用されるデータ保護要件に従って顧客データをUltralytics 、サービスの提供およびサポート（データセットの管理、アノテーション、モデルのトレーニング、評価、および関連するプラットフォーム機能を含む）に必要な範囲に処理を限定しています。Ultralytics YOLO の利用は顧客が管理するものであり、Ultralytics はその文脈において顧客の推論ワークロードを処理Ultralytics 。
データ品質を確保するための措置	Ultralytics 、プラットフォームおよびオープンソースコードのリリースにおいて、ピアレビュー、自動テスト、CI/CDワークフロー、管理された変更管理など、完全性と信頼性を確保するために設計された管理された開発およびデプロイメント手法Ultralytics 。
データの保存期間を制限するための措置	Ultralytics 、サービス契約の一環として、データの保持および廃棄に関する取り組みUltralytics 。プラットフォーム上の顧客データはマネージドサービスを利用してバックアップされ、削除および返却は、顧客との契約および適用される法令に従って行われます。
説明責任を確保するための措置	Ultralytics 、セキュリティおよびプライバシーに関するインシデントを特定、報告、管理、追跡するためのインシデント対応計画および文書化された手順をUltralytics 。これには、ultralytics を通じた外部への脆弱性報告に関する連絡手順も含まれます。インシデントは文書化され、その深刻度に応じてエンジニアリング部門、法務部門、および経営陣が関与して対応されます。
データのポータビリティを可能にし、消去を確実にするための措置	Ultralytics 送信された顧客の個人データは、本契約および本DPAに従い、顧客自身によって、および／または顧客の要請に基づき削除される場合があります。削除が必要とされる場合、Ultralytics 顧客の指示および適用される法的要件に従ってUltralytics 。（ポータビリティについては、お客様が本サービスからお客様のデータをエクスポートまたは取得できる範囲でサポートされます。）Ultralytics YOLO モデルは、完全なデータガバナンス管理を確保するため、お客様が専用環境内にデプロイします。
サブプロセッサーの技術的および組織的措置	Ultralytics 、サードパーティのサービスプロバイダーの選定および監視にあたり、リスクベースのベンダー管理プログラムUltralytics 、これにはコンプライアンス証明書の確認、ならびに契約上のセキュリティおよびデータ保護要件の審査が含まれます。Ultralytics サブサービス組織を監視し、そのSOC 2レポートを毎年審査しています。Ultralytics サブプロセッサーとデータ処理契約を締結しており、その契約に含まれるデータ保護義務は、本DPAに規定されているものと実質的に同様のものです。

別紙D：英国に関する補足資料

EU委員会標準契約条項に関する国際データ移転補遺

第1部：表

表1：当事者

フィールド	輸出業者	輸入業者
開始日	本英国付則は、DPAと同じ発効日とする。
当事者の詳細	顧客	会社概要
主な連絡先	本DPAの別紙Bを参照のこと	本DPAの別紙Bを参照のこと

表2：選定されたSCC、モジュールおよび条項

フィールド	詳細
EU標準契約条項	本英国付録が添付される承認済みEU標準契約条項（SCC）のバージョンは、DPAに定義され、DPAの第6.2条および第6.3条により補完されたものである。

表3：付録情報

「付録情報」とは、承認済みEU標準契約条項（SCC）の付録に規定される、選択されたモジュールについて提供が義務付けられている情報（当事者を除く）をいい、本英国補遺においては、以下の場所に規定されているものを指す：

別紙	参考文献
附属書1A：締約国一覧	上記の表1のとおり
別紙2B：譲渡の概要	本DPAの別紙Bを参照のこと
附属書II：データのセキュリティを確保するための技術的および組織的措置を含む技術的および組織的措置	本DPAの別紙Cを参照のこと
別紙III：サブ処理業者のリスト（モジュール2および3のみ）	本DPAの別紙Bを参照のこと

表4：承認済み英国付録が変更された場合の、当該英国付録の終了

注：本条項は、ICOが承認済みの英国補遺を変更した結果、(a) 英国補遺に基づく義務の履行にかかる当該当事者の直接費用、または (b) 英国補遺に基づく当該当事者のリスクが、実質的かつ不均衡で、かつ立証可能な程度に増加する場合、選定された当事者（存在する場合）が英国補遺を解除することを認めるものである。

フィールド	選択
承認済みの英国付録が変更された場合、本英国付録を終了する	x 輸入者 x 輸出者 ☐ いずれの当事者でもない

本英国付則の締結

各当事者は、相手方当事者も本英国付則に拘束されることに同意することを条件として、本英国付則に定められた条項に拘束されることに同意する。

承認済みEU標準契約条項（SCC）の付属書1Aおよび第7条では当事者による署名が求められていますが、英国からのデータ移転を行う目的において、当事者は、本英国補遺を当事者に対して法的拘束力を持たせ、かつデータ主体が本英国補遺に定められた権利を行使できるようにするあらゆる方法で、本英国補遺を締結することができます。本英国補遺の締結は、承認済みEU標準契約条項およびそのいかなる部分への署名と同等の効力を有する。

本英国付録の解釈

本英国付則において、承認済みEU標準契約条項（SCC）で定義されている用語が使用される場合、それらの用語は承認済みEU標準契約条項におけるものと同一の意味を有するものとします。また、以下の用語は、以下の意味を有します：

期間	定義
英国に関する補足	とは、DPAの別紙Dとして添付され、EU標準契約条項（SCCs）を組み込んだ本国際データ移転補遺書を指す。
EU標準契約条項	表2に示される通り、本英国付録が添付される承認済みEU標準契約条項（SCC）の版（複数可）を意味し、付録情報を含む
付録情報	表3に示す通りとする
適切な保護措置	とは、英国GDPR第46条(2)(d)に基づく標準的なデータ保護条項を根拠として英国外へのデータ移転を行う際、英国のデータ保護法によって要求される、個人データおよびデータ主体の権利に対する保護水準を意味します。
英国向け承認済み補遺	2022年2月2日に2018年データ保護法第119A条に基づきICOが発行し、議会に提出された「付則」のひな形をいう。なお、当該ひな形は、英国付則第18条に基づき改訂される場合がある。
EUが承認した標準契約条項（SCC）	とは、欧州委員会が2021年6月4日付の欧州委員会決定2021/914において承認した標準契約条項をいい、欧州委員会により個人データ保護の適切な水準が確保されていると別途認定されていない国への個人データの移転に適用されるものとする（随時改正・更新される場合を含む）。
ICO	情報コミッショナー事務局をいう。
英国からの移籍	は、DPAに規定されるものと同様の定義を有する。
イギリス	「グレートブリテン及び北アイルランド連合王国」をいう
英国のデータ保護法	英国において随時施行されている、データ保護、個人データの処理、プライバシーおよび／または電子通信に関連するすべての法令を意味し、これには英国版GDPRおよび2018年データ保護法が含まれる。
英国版GDPR	は、DPAに定められた定義に従うものとする。

「英国補遺」は、常に英国のデータ保護法と整合する形で解釈され、かつ、当事者が適切な保護措置を講じる義務を履行できるよう解釈されなければならない。

英国付則に含まれる規定が、承認済みEU標準契約条項または承認済み英国付則の下で認められていない方法で承認済みEU標準契約条項を修正する場合、当該修正は英国付則に組み込まれず、承認済みEU標準契約条項の同等の規定がこれに代わるものとする。

英国のデータ保護法と本付則との間に不一致または矛盾がある場合は、英国のデータ保護法が適用されるものとします。

英国付録の解釈が不明確である場合、または複数の解釈が可能な場合は、英国のデータ保護法に最も合致する解釈が適用される。

法令（または法令の特定の条項）への言及は、時間の経過とともに変更される可能性のある当該法令（または特定の条項）を意味する。これには、本「英国付則」の締結後に、当該法令（または特定の条項）が統合法として編纂され、再制定され、および／または置き換えられた場合も含まれる。

階層

承認済みEU標準契約条項の第5条では、承認済みEU標準契約条項が当事者間の関連するすべての合意に優先すると定められているものの、当事者は、英国からのデータ移転については、以下の第10条に定める優先順位が適用されることに合意する。

「承認済み英国補遺」とEU標準契約条項（該当する場合）との間に不一致または矛盾がある場合、「承認済み英国補遺」がEU標準契約条項に優先する。ただし、EU標準契約条項の不一致または矛盾する条項がデータ主体に対してより強力な保護を提供する場合（およびその範囲内において）は、当該条項が「承認済み英国補遺」に優先する。

本英国補遺が、GDPRの対象となるEU域外へのデータ移転を保護するために締結されたEU標準契約条項（SCC）を組み込んでいる場合、当事者は、本英国補遺のいかなる規定も当該EU標準契約条項に影響を及ぼさないことを認める。

EU標準契約条項（SCC）の採用および変更

本英国補遺には、以下の要件を満たすよう必要に応じて修正されたEU標準契約条項（SCC）が組み込まれている：

これらは、データ転送を行う際のデータ輸出者の処理に英国のデータ保護法が適用される範囲において、データ輸出者からデータ輸入者へのデータ転送のために共同して機能し、かつ、当該データ転送に対して適切な保護措置を提供するものである；
上記の第9条から第11条は、EU標準契約条項の第5条（優先順位）に優先する。
英国付則（これに組み込まれたEU標準契約条項を含む）は、（1）イングランドおよびウェールズの法律に準拠し、（2）これに関連して生じる紛争は、イングランドおよびウェールズの裁判所によって解決される。

当事者が、本英国付則第12条の要件を満たす代替的な修正について合意していない限り、本英国付則第15条の規定が適用される。

本英国付録の第12条の要件を満たす場合を除き、承認済みEU標準契約条項（SCC）への修正は一切行ってはならない。

EU標準契約条項（SCC）に対し、（本英国付録の第12条の目的のために）以下の修正が行われます：

「条項」とは、EU標準契約条項（SCC）を組み込んだ本英国付則を指す。
第2項において、「また、管理者から処理者へのデータ移転および／または処理者から処理者へのデータ移転に関しては、規則（EU）2016/679第28条第7項に基づく標準契約条項」という文言を削除する。
第6条（移転の内容）は、以下の文言に置き換えられる。「移転の詳細、特に移転される個人データの種別および移転の目的については、当該移転を行う際、データ輸出者の処理に英国のデータ保護法が適用される場合、附属書I.Bに規定される内容とする。」；
モジュール1の第8.7(i)項は、以下の文言に置き換えられる。「当該転送先が、英国GDPR第17A条に基づく十分性認定の恩恵を受けている国であること」；
モジュール2および3の第8.8(i)項は、以下の文言に置き換えられる。「当該再移転が、当該再移転を対象とする英国GDPR第17A条に基づく十分性認定の恩恵を受けている国へのものであること。」
「規則（EU）2016/679」への言及、「個人データの処理および当該データの自由な移動に関する自然人の保護に関する2016年4月27日の欧州議会および理事会規則（EU）2016/679（一般データ保護規則）」および「当該規則」への言及は、すべて「英国データ保護法」に置き換えられます。「規則（EU）2016/679」の特定の条項への言及は、英国データ保護法の対応する条項またはセクションに置き換えられる。
規則（EU）2018/1725への言及は削除された；
「欧州連合」、「連合」、「EU」、「EU加盟国」、「加盟国」および「EUまたは加盟国」という表現は、すべて「英国」に置き換えられる。
モジュール1の第10条(b)(i)における「第12条(c)(i)」への言及は、「第11条(c)(i)」に置き換えられる。
第13条(a)および附属書IのC部は適用されない；
「管轄監督当局」および「監督当局」は、いずれも「情報コミッショナー」に置き換えられる。
第16条(e)において、(i)項は次の文に置き換えられる。「内務大臣は、2018年データ保護法第17A条に基づき、本条項が適用される個人データの移転を規定する規則を制定する。」；
第17条は、以下の文言に置き換えられる。「本条項は、イングランドおよびウェールズの法律に準拠する」；
第18条は、以下の文言に置き換えられる。「本条項に起因するいかなる紛争も、イングランドおよびウェールズの裁判所によって解決されるものとする。また、データ主体は、英国のいかなる国の裁判所においても、データ輸出者および／またはデータ輸入者に対して訴訟を提起することができる。当事者は、かかる裁判所の管轄権に服することに合意する。」；および
承認済みEU標準契約条項（SCC）の脚注は、脚注8、9、10および11を除き、英国補遺の一部を構成しない。

英国付録の修正

当事者は、EU標準契約条項の第17条および／または第18条を変更し、スコットランドまたは北アイルランドの法律および／または裁判所を管轄とするよう合意することができる。

当事者が「承認済み英国付録」の第1部：表に記載されている情報の形式を変更することを希望する場合、その変更が「適切な安全措置」を弱めるものでない限り、書面による合意をもって変更を行うことができる。

ICOは、必要に応じて、以下の内容を含む改訂版の「英国承認付録」を発行する場合があります：

承認済み英国付録に対して、合理的な範囲内で適切な変更を加えること（承認済み英国付録の誤りの訂正を含む）；および／または
英国のデータ保護法の改正を反映しています。

改訂された「承認済み英国付帯条項」には、同付帯条項の変更が効力を生じる開始日、および当事者が付録情報を含む本英国付帯条項を見直す必要があるかどうかが明記されます。本英国付帯条項は、指定された開始日より、改訂された「承認済み英国付帯条項」に定められたとおりに自動的に修正されます。

ICOが本英国付則の第18条に基づき改訂版「承認済み英国付則」を発行した場合、当該改訂により、当事者が以下の項目において、著しく、不均衡かつ明白な増加を被ることとなる場合：

英国付則に基づく義務を履行するために要する直接費用；および／または
英国付則に基づくそのリスク、

いずれの場合においても、当該当事者が、その費用またはリスクを軽減するために合理的な措置を講じ、それが著しく不均衡なものでないことを確認した上で、改訂された承認済み英国付則の開始日前に、相手方に対し当該期間分の書面による通知を行うことにより、合理的な通知期間の満了をもって本英国付則を終了させることができる。

当事者は、本英国付則を変更するにあたり、第三者の同意を必要としませんが、いかなる変更も本付則の条項に従って行わなければなりません。