第1条(定義)
GDPR(EU一般データ保護規則 2016/679)第28条に基づき、以下のとおり定義します。
- 「管理者」(Controller): 本サービスを利用するクライアント企業。個人データの処理目的と手段を決定する者。
- 「処理者」(Processor): SaSame SRL。管理者の指示に基づき個人データを処理する者。
- 「復処理者」(Sub-processor): 処理者が処理の一部を委託する第三者。
- 「データ主体」(Data Subject): 個人データによって識別されるまたは識別可能な自然人。
- 「個人データ」(Personal Data): 識別されたまたは識別可能な自然人に関するすべての情報。
第2条(処理の対象・期間)
1. 本DPAは、サービス利用契約の有効期間中適用されます。
2. 処理の対象となるデータ主体のカテゴリ:
- クライアント企業の従業員・関係者
- クライアントの顧客・取引先の担当者
- 本サービスのエンドユーザー
3. 処理の対象となる個人データのカテゴリ:
- 氏名、メールアドレス、電話番号(連絡先情報)
- 会社名、部署、役職(ビジネス情報)
- IPアドレス、ブラウザ情報、操作ログ(利用データ)
- AIチャット会話内容(サービスデータ)
- 決済情報(Stripe経由で処理、当社は保存しません)
第3条(処理の目的・法的根拠)
処理者は以下の目的でのみ個人データを処理します(GDPR Art.6に基づく法的根拠を併記)。
| 処理目的 | 法的根拠(Art.6) |
|---|---|
| サービス提供・アカウント管理 | Art.6(1)(b) 契約の履行 |
| AI分析・レポート生成 | Art.6(1)(b) 契約の履行 |
| 決済処理 | Art.6(1)(b) 契約の履行 |
| セキュリティ・不正防止 | Art.6(1)(f) 正当な利益 |
| サービス改善・分析 | Art.6(1)(a) 同意 |
| 法的義務の遵守(VAT等) | Art.6(1)(c) 法的義務 |
第4条(処理者の義務)
処理者はGDPR Art.28(3)に基づき、以下の義務を負います。
4.1 文書化された指示に基づく処理
管理者の文書化された指示に基づいてのみ個人データを処理し、指示がEU法に違反すると判断した場合は管理者に通知します。
4.2 秘密保持義務
個人データへのアクセスを許可された者が秘密保持義務を負うことを確保します。
4.3 技術的・組織的セキュリティ措置
- 通信の暗号化(TLS 1.2以上)
- 保存データの暗号化(AES-256)
- アクセス制御(ロールベース認証、Firebase Auth)
- 行レベルセキュリティ(PostgreSQL RLS)
- 定期的なバックアップ(日次)
- アクセスログの記録・監査
- CSRF保護、レート制限、XSS防止
4.4 データ主体の権利への協力
管理者がデータ主体の権利(アクセス権、訂正権、削除権、データポータビリティ権、処理制限権、異議申立権)の行使に対応できるよう支援します。
4.5 契約終了時のデータ処理
契約終了後、管理者の選択に基づき、30日以内にすべての個人データを返却または完全に削除します。法的保持義務がある場合はその旨を通知します。
4.6 監査への協力
管理者またはその委任する第三者監査人による監査に必要な情報を提供し、合理的な監査を可能にします。監査は年1回を上限とし、30日前の書面通知を必要とします。
第5条(復処理者)
1. 処理者は以下の復処理者を利用します。管理者は本DPAへの同意をもってこれを承認します。
| 復処理者 | 処理内容 | 所在地 |
|---|---|---|
| Vercel Inc. | アプリケーションホスティング・CDN | 米国(EU SCCs適用) |
| Stripe, Inc. | 決済処理 | 米国(EU SCCs適用) |
| OpenRouter, Inc. | AI推論処理(ラルカ) | 米国(EU SCCs適用) |
| Hetzner Online GmbH | VPSサーバー・データベース | ドイツ(EU内) |
| Google LLC (Firebase) | 認証サービス | 米国(EU SCCs適用) |
2. 復処理者の変更は14日前までに管理者に通知します。管理者は14日以内に異議を申し立てることができます。
3. 処理者は復処理者に対し本DPAと同等以上のデータ保護義務を課します。
第6条(国際データ移転)
1. EU/EEA域外への個人データ移転は、以下のいずれかの保護措置を講じた場合にのみ行います。
- EU十分性認定を受けた国への移転
- EU標準契約条項(SCCs)に基づく移転
- データ主体の明示的な同意に基づく移転
2. 米国の復処理者(Vercel、Stripe、OpenRouter、Google)とはEU標準契約条項を締結しています。
第7条(データ侵害通知)
1. 処理者は個人データの侵害を認識した場合、不当な遅延なく(遅くとも72時間以内に)管理者に通知します。
2. 通知には以下の情報を含みます。
- 侵害の性質(影響を受けたデータ主体のカテゴリと概数)
- データ保護責任者の連絡先
- 侵害の影響と想定されるリスク
- 講じた、または講じる予定の対応措置
3. 処理者は侵害の影響を軽減するために合理的な措置を直ちに講じます。
第8条(データ保持・削除)
処理者は以下の保持期間に従いデータを管理します。
| データカテゴリ | 保持期間 |
|---|---|
| アカウント情報 | 契約終了後30日 |
| 操作ログ | 12ヶ月 |
| AIチャット会話 | 90日 |
| 請求・決済記録 | 7年(税法要件) |
| セキュリティログ | 6ヶ月 |
第9条(責任)
1. 各当事者はGDPR Art.82に基づき、自己の義務違反により生じた損害について責任を負います。
2. 処理者の責任は、サービス利用契約第8条に定める制限に従います。