コンテンツにスキップ

データ処理契約

Last updated: · Version 1.0

1. はじめに

このデータ処理契約(「DPA」)は、Godfrey Engineering Ltd(「処理者」、「当社」)とこれに同意する事業体または個人(「管理者」、「貴社」)の間における、サービス利用規約(「契約」)に記載されているサービスの提供に関する契約の一部を構成します。

この DPA は、Godfrey Engineering がサービスの提供過程において管理者の代わりに個人データを処理し、当該個人データが UK General Data Protection Regulation(UK GDPR)、EU General Data Protection Regulation(EU GDPR)またはその他の適用可能なデータ保護法制に従う場合にのみ、適用されます。

この DPA で使用される用語は、別途定義されない限り、UK GDPR に定める意味を有します。

2. 定義

  • 「適用されるデータ保護法」 とは、個人データの処理に関するすべての法律および規制、すなわち UK GDPR、データ保護法 2018、EU GDPR、および Privacy and Electronic Communications Regulations 2003(PECR)を含みます。
  • 「管理者」 とは、個人データの処理の目的および手段を決定する事業体を意味します。
  • 「データ主体」 とは、個人データが関連する個人を意味します。
  • 「個人データ」 とは、識別された、または識別可能な自然人に関する任意の情報を意味します。
  • 「処理」 とは、個人データに対して行われる任意の操作または一連の操作、すなわち収集、保存、利用、開示、および削除を含みます。
  • 「処理者」 とは、管理者の代わりに個人データを処理する事業体を意味します。
  • 「副処理者」 とは、管理者の代わりに個人データを処理するために処理者により契約した第三者を意味します。
  • 「セキュリティインシデント」 とは、個人データの偶発的または違法な破壊、喪失、改変、権限のない開示、またはアクセスに至る、セキュリティ違反を意味します。

3. 処理の範囲および目的

3.1 対象事項

処理者は、以下を含む契約に記載されたサービスの提供を目的として、管理者の代わりに個人データを処理します。

  • 管理者のアカウントおよびアプリケーションデータのホスティングおよび提供
  • ChainSolve を経由した工学計算および分析の処理
  • 管理者の代わりのトランザクションメール通信の送信
  • カスタマーサポートの提供

3.2 データ主体のカテゴリ

  • 管理者の従業員および代理人
  • 管理者のエンドユーザーおよび顧客
  • 管理者がサービスに提出する任意の他の個人の個人データ

3.3 個人データの種類

  • 氏名および連絡先情報(メールアドレス、電話番号)
  • アカウント認証情報(ハッシュ化されたパスワード)
  • 利用データ(訪問ページ、使用機能、タイムスタンプ)
  • 工学データ(計算入力および出力)
  • 決済および請求情報(Stripe により処理)
  • 通信コンテンツ(サポートメッセージ、お問い合わせフォーム送信)

3.4 処理期間

処理者は、別途書面で合意されない限り、契約期間中、個人データを処理します。契約の終了時、処理者は、この DPA の第 10 条に従い、個人データを取り扱うものとします。

4. 処理者の義務

処理者は、以下の義務を負います。

  • 法律により要求される場合を除き、管理者の文書化された指示に限定して個人データを処理する。当該場合、処理者は、処理前に管理者に当該法律上の要求を通知するものとします。ただし、法律により通知が禁止されている場合を除きます。
  • 個人データの処理を行う権限を有する者が、秘密保持義務を約束し、またはこれを法的に負っていることを確保する。
  • リスクに対して適切なレベルのセキュリティを確保するために、第 7 条に記載される、適切な技術的および組織的措置を実装する。
  • 第 6 条に従い、管理者の事前書面による承認を得ずに、別の処理者(副処理者)に依拠しない。
  • 処理のセキュリティ、セキュリティインシデント通知、データ保護影響評価、および監督機関への事前協議に関連する義務の遵守を確保する管理者を支援する。
  • 管理者の選択に従い、サービスの終了時にすべての個人データを削除または返却し、適用法が保存を要求しない限り、既存のコピーを削除する。
  • この DPA に定める義務への遵守を実証するために必要なすべての情報を管理者に利用可能にし、管理者またはその権限のある監査人により行われた監査および検査に対応し、当該に貢献する。

5. 管理者の義務

管理者は、以下の義務を負います。

  • この DPA に基づく個人データの処理が、適用されるデータ保護法に従い、合法的、公平、および透明であることを確保する。
  • 個人データの処理について、処理者に文書化された指示を提供し、当該指示が適用されるデータ保護法に準拠していることを確保する。
  • データ主体が、処理者による個人データの処理について、通知を受け、かつ必要な同意を与えていることを確保する。

6. 副処理者

6.1 承認された副処理者

管理者は、処理者が以下の副処理者を契約することについて、一般的な書面承認を与えます。

副処理者目的データロケーション
Cloudflare, Inc.ホスティング、CDN、セキュリティグローバル(EU/US)
Supabase, Inc.データベース、認証EU(フランクフルト)
Stripe, Inc.決済処理EU
Resend, Inc.トランザクションメールUS(SCC 付き)
PostHog, Inc.プロダクト分析EU(フランクフルト)

6.2 副処理者の変更

処理者は、副処理者に意図される変更(追加または置換)について、少なくとも 14 日前に管理者に通知するものとします。管理者は、通知から 14 日以内に当該変更に異議を唱えることができます。管理者が異議を唱え、当事者が当該異議を解決できない場合、管理者は契約を終了することができます。

6.3 副処理者の義務

処理者は、各副処理者がこの DPA に定める義務以上に保護的なデータ保護義務により拘束されていることを確保するものとします。

7. セキュリティ対策

処理者は、以下の技術的および組織的対策を実装し、維持します。

  • 転送中の暗号化: すべての転送データについて TLS 1.3
  • 保存中の暗号化: 保存されたデータについて AES-256 暗号化
  • アクセス制御: 最小権限の原則に基づくロールベースアクセス制御
  • 認証: すべての管理者アクセスについてのマルチファクター認証
  • パスワードハッシング: work factor 12 の bcrypt
  • 監視: インフラストラクチャセキュリティおよびリクエストレベルの可視性について Cloudflare を経由した継続的な監視
  • バックアップ: 暗号化を伴うアプリケーションデータの定期的な自動バックアップ
  • インシデント対応: 定義された役割およびエスカレーションパスを伴う文書化されたインシデント対応手順

8. セキュリティインシデント

8.1 通知

処理者は、管理者の個人データに影響するセキュリティインシデントを認識した後、遅延なく、および いかなる場合でも 48 時間以内に、管理者に通知するものとします。

8.2 通知内容

通知には、以下が含まれるものとします。

  • セキュリティインシデントの性質の説明、関連するデータ主体および個人データレコードのカテゴリ数および概数を含む
  • 処理者の連絡先の名前および詳細情報
  • セキュリティインシデントの予想される結果の説明
  • セキュリティインシデントに対応または提案される措置の説明

8.3 協力

処理者は、管理者と協力し、セキュリティインシデントの調査、緩和、および改善について、合理的な措置を講じるものとします。

9. 国際的なデータ転送

処理者がイギリスまたは EEA の外に所在する副処理者に個人データを転送する場合、処理者は、以下の保護措置のいずれかが講じられていることを確保するものとします。

  • UK Secretary of State または European Commission による適切性決定
  • UK International Data Transfer Agreement(IDTA)または EU Standard Contractual Clauses(SCC)
  • 承認された転送メカニズムの認証(例えば、EU-US Data Privacy Framework)

各副処理者の転送保護措置の詳細は、要求時に利用可能です。

10. データの返却および削除

10.1 終了時

契約の終了時、処理者は、管理者の選択に従い、以下のいずれかを行うものとします。

  • すべての個人データを構造化、一般的に使用され、機械読み取り可能な形式(JSON または CSV)で管理者に返却する、または
  • すべての個人データを安全に削除し、当該削除を書面で認証する

10.2 保有例外

処理者は、適用されるデータ保護法により要求される範囲で、個人データを保有することができます。ただし、処理者は、当該データの機密性を確保し、法律上の義務に従うという目的に限定して当該データを処理するものとします。

11. 監査

11.1 監査権

管理者は、合理的な通知(少なくとも 30 日)を条件として、かつ通常の営業時間内に、この DPA への処理者の遵守について、監査を行う権利を有します。

11.2 監査範囲

監査には、処理者の施設、システム、および個人データの処理に関する記録の検査、ならびに処理者の担当者へのインタビューが含まれることができます。

11.3 費用

管理者は、監査の費用を負担するものとします。ただし、監査により処理者によるこの DPA の重大な違反が明らかになる場合を除きます。

12. 責任

この DPA に基づく各当事者の責任は、契約に定める責任制限および除外の対象となります。

13. 準拠法

この DPA は、イングランドおよびウェールズの法律に準拠し、かつこれに従って解釈されるものとします。この DPA から生じた、またはこれに関連するいかなる紛争についても、イングランドおよびウェールズの裁判所の専属管轄に従うものとします。

14. 連絡先

この DPA についてのご質問、または署名済みのコピーのご要請については、以下にお問い合わせください。

Godfrey Engineering Ltd
United Kingdom

すべての法的文書 legal@godfreyengineering.com