Data Processing Addendum
データ処理契約(DPA)
最終更新: 2026-05-11
本 DPA は雛形です。GDPR / APPI / SCC 等への適合は、ご契約形態と処理対象データに応じて法務確認が必要です。
1. 用語
- 管理者(Controller):本サービスの利用者(貴社)。
- 処理者(Processor):当社。
- 個人データ:本サービスを通じて当社が処理する識別可能な個人に関する情報。
2. 処理の対象 / 目的 / 期間
当社は、管理者が本サービスに入力した個人データを、本サービスの提供・運用・改善・サポートに必要な範囲で処理します。 処理期間は、本サービスの提供期間および法令で要求される保存期間に従います。
3. 当社の義務
- 管理者の指示に従って個人データを処理する。
- 個人データを取り扱う従業員に守秘義務を課す。
- 適切な技術的・組織的セキュリティ対策を講じる。
- 監査ログを保持し、要請に応じて開示する。
- データ侵害が発生した場合、不当な遅滞なく管理者に通知する。
4. 副処理者
当社は、本サービスの提供に必要な副処理者を起用する場合があります。主要な副処理者は以下のとおりです:
| 用途 | 事業者 | リージョン |
|---|---|---|
| ホスティング | Vercel Inc. | Tokyo / Global Edge |
| DB / 認証 / Storage | Supabase Inc. | ap-northeast-1 |
| LLM | Anthropic / OpenAI 等 | 各社規定 |
| メール送信 | Resend / Amazon SES | 各社規定 |
副処理者の追加・変更は本サイトで通知します。重大な異議がある場合、管理者は契約を解除できます。
5. データ主体の権利支援
当社は、管理者が個人情報保護法 / GDPR / CCPA 等に基づくデータ主体の権利(アクセス、訂正、削除、ポータビリティ等)に対応するために必要な情報・機能を、合理的な範囲で提供します。
6. 国際移転
本サービスは原則として東京リージョンで稼働します。 外部 LLM の利用やバックアップの分散など、必要な範囲で国境を越える移転が生じる場合は、適切な保護措置を講じます(SCC 等)。
7. 契約終了後
契約終了後、当社は管理者の指示に従い、保有する個人データを削除または返却します。 ただし、法令で保存が義務付けられている範囲についてはこの限りではありません。
8. お問い合わせ
本 DPA に関するご質問は お問い合わせ からお願いします。