データ処理補足契約

最終更新日: 2024年12月1日

データ処理補足契約

このデータ処理補足契約(「DPA」)は、Black Eagle Group LLC(「Whispie」、「当社」、「私たち」)とお客様(「カスタマー」、「お客様」)との間で、サービスの購入に関する書面または電子的な合意(「本契約」)の一部を構成し、これに従うものです。

このDPAは、データ保護法および規制の要件に従って個人データの処理に関する当事者の合意を反映しています。

1. 定義

このDPAの目的のために、以下の用語は以下に規定する意味を持つものとします:

用語 定義
データ保護法 GDPR、UK-GDPR、CCPA/CPRA、KVKK、およびその他のグローバルデータ保護規制を含むすべての適用データ保護およびプライバシー法
個人データ 特定された、または特定可能な自然人に関するあらゆる情報
処理 個人データに対して行われるあらゆる操作
データ管理者 処理の目的と手段を決定するエンティティ
データ処理者 管理者に代わって個人データを処理するエンティティ
データ主体 個人データが関係する個人
サブプロセッサー 個人データを処理するために処理者が関与するサードパーティ

2. 役割と責任

2.1 データ処理者としてのWhispie

Whispieはカスタマーを代理して個人データを処理する場合にデータ処理者として機能します。Whispieは以下を行います:

2.2 データ管理者としてのカスタマー

カスタマーはデータ管理者として機能し、以下に責任を負います:

3. 処理の詳細

3.1 主題と期間

処理の主題は赤ちゃんと家族のデータ管理サービスを含みます。処理の期間は本契約の期間に対応します。

3.2 性質と目的

処理操作には、Whispieサービスを提供する目的のための赤ちゃんの発達データ、健康情報、および家族管理データの収集、保存、分析、および共有が含まれます。

3.3 データ主体のカテゴリ

3.4 個人データの種類

3.5 特別カテゴリのデータ

サービスには以下を含む特別カテゴリのデータの処理が含まれます:

4. 技術的・組織的措置

4.1 セキュリティ措置

Whispieは以下のセキュリティ措置を実施します:

措置カテゴリ 実施内容
暗号化 転送中のデータ(TLS 1.2+)および保存中のデータ(AES-256)の暗号化
アクセス制御 ロールベースのアクセス、多要素認証、最小権限の原則
ネットワークセキュリティ ファイアウォール、不正侵入検知、DDoS保護、定期的なセキュリティ評価
物理的セキュリティ セキュアなデータセンター、24時間365日の監視、アクセスログ
組織的措置 従業員トレーニング、守秘義務契約、セキュリティポリシー

4.2 データ保護影響評価

Whispieはデータ保護法で要求される場合に、データ保護影響評価の実施においてカスタマーに合理的な支援を提供します。

5. サブプロセッシング

5.1 承認されたサブプロセッサー

カスタマーは以下のサブプロセッサーを関与させることにWhispieへの一般的な承認を提供します:

サブプロセッサー サービス 所在地 DPA
Supabase データベースおよび認証 米国 あり
Stripe 決済処理 米国 あり
Twilio SMS認証 米国 あり
Resend メール配信 米国 リクエストに応じて利用可能
Sentry エラー監視 米国 あり
Cloudflare DNSおよびセキュリティ グローバル あり

5.2 サブプロセッサーの義務

Whispieは以下を行います:

5.3 異議申し立て権

カスタマーはデータ保護に関する合理的な理由で新しいサブプロセッサーの指定に異議を申し立てることができます。Whispieはカスタマーと協力して懸念に対処します。

6. 国際的なデータ移転

6.1 移転メカニズム

個人データがEEA、英国、スイス、または十分性要件を持つその他の法域の外に移転される場合、Whispieは適切な保護措置が整っていることを確保します:

6.2 補足措置

Whispieは以下を含む補足措置を実施します:

7. データ主体の権利

7.1 支援義務

Whispieは、処理の性質を考慮して、データ保護法に基づくデータ主体のリクエストへの応答に関するカスタマーの義務を果たすために、適切な技術的・組織的措置によりカスタマーを支援します。

7.2 リクエスト処理

Whispieは以下を行います:

8. セキュリティインシデント管理

8.1 インシデント通知

Whispieは個人データ侵害を認識した後、不合理な遅延なくカスタマーに通知します。通知には以下を含める必要があります:

8.2 協力

Whispieはカスタマーと協力し、各個人データ侵害の調査、軽減、および修復を支援するためにカスタマーが指示する合理的な商業的ステップを踏みます。

9. 監査権

9.1 監査手続き

カスタマーは年に1回を上限としてWhispieのこのDPAへの準拠を監査することができます。監査は以下に従います:

9.2 代替的証拠

監査の代わりに、Whispieは以下を提供することができます:

10. データの返却と削除

10.1 返却または削除

本契約の終了時に、Whispieはカスタマーの選択に応じて、すべての個人データをカスタマーに削除または返却し、適用法がその個人データの保存を要求しない限り既存のコピーを削除します。

10.2 保持期間

個人データは、サービスを提供するために必要な期間のみ、および付属書1に規定された保持期間に従って保持されます。

付属書1:処理の詳細

A. データ主体のカテゴリ

B. 個人データの種類

データカテゴリ 機密レベル
識別データ 氏名、生年月日、性別 標準
連絡先データ メール、電話番号、住所 標準
健康データ 予防接種、既往症、アレルギー 特別カテゴリ
発達データ 成長指標、節目、活動 特別カテゴリ
家族データ 関係、権限、アクセスログ 標準

C. 処理操作

D. 保持期間

データ種類 保持期間 法的根拠
アカウントデータ アカウント削除後6年間 法的義務
赤ちゃんの健康データ 出生から18年間 法的義務、同意
決済データ 10年間 法的義務
分析データ 2年間(匿名化) 正当な利益

付属書2:技術的・組織的措置

A. 物理的アクセス制御

B. システムアクセス制御

C. データアクセス制御

D. 組織的措置

11. 地域別特定規定

11.1 欧州経済領域

GDPRの対象となる個人データについては、EU標準契約条項が適用され、参照により組み込まれます。

11.2 英国

UK-GDPRの対象となる個人データについては、英国国際データ移転補足契約が適用されます。

11.3 トルコ

KVKKの対象となる個人データについては、Whispieは法律第6698号および関連規制に基づくデータ管理者の義務に準拠します。

11.4 米国 - カリフォルニア州

CCPA/CPRAの対象となる個人データについては、Whispieはサービスプロバイダーの義務に準拠し、個人データを販売または共有しません。

11.5 その他の地域

Whispieは以下を含む(ただしこれらに限らない)すべての事業地域のデータ保護法に準拠します:

12. 一般規定

12.1 優先順位

このDPAと本契約の間に矛盾または不一致がある場合、矛盾する範囲においてこのDPAが優先します。

12.2 責任

このDPAから生じるまたは関連する各当事者の責任は、本契約の責任制限に従います。

12.3 準拠法

このDPAは法律の抵触規定を考慮せず、デラウェア州の法律に準拠します。

承諾と締結

このデータ処理補足契約は本契約に組み込まれ、その一部を構成します。

Whispie(データ処理者)について:

Black Eagle Group LLC
30 N Gould St Ste N
Sheridan, WY 82801, USA
メール: [email protected]

カスタマー(データ管理者)について:

Whispieサービスを利用することにより、カスタマーはこのデータ処理補足契約の条件を承認し同意します。

発効日:2024年12月1日