データ処理・国際移転について

データ処理・国際移転について

業務データを安全にお預かりするための、データ処理と国際移転のお約束です。

Cloudflare、Google、OpenAI、Stripe などの外部サービスを使う前提で、データの扱いと契約上の役割分担を整理します。

1. 基本方針

当事業は、できる限り必要最小限の情報で設計し、顧客データの取扱い範囲を要件定義・見積・契約の段階で明確化します。

2. 主な外部サービス

• Cloudflare: 配信、保護、エッジ実行等
• Google / Google Apps Script: 連携、通知、退避経路等
• OpenAI: モデル推論、要約、分類、支援処理等
• Stripe: 決済処理

3. 国際移転（個人情報保護法 第28条）

利用する外部サービスやインフラ構成により、データが日本国外で処理される場合があります。具体的な移転先（Cloudflare / Google / OpenAI / Stripe = いずれも米国）、各社のプライバシー規約、保護措置の詳細は、プライバシーポリシー § 5 を参照してください。

4. B2B優先

当面は法人・事業者向けを中心に提供し、越境 B2C 提供は案件内容、対象国、税務・消費者法上の要件を確認したうえで個別判断します。

5. 顧客との役割分担

• 入力データの適法取得・社内同意の確認: 顧客側
• 構築範囲・送信先・保持期間の設定: 個別契約で定義
• 重大な変更や高リスク処理: 人間承認を前提

6. 契約で明確化する項目

• 取扱データの種類
• 第三者サービスの利用有無
• 保存期間、削除方法、バックアップ方針
• 責任分界、損害賠償上限、再委託条件

GDPR Article 28 / DPA（委託契約）相当

EU/英国の顧客データを取り扱う場合、原則として GDPR Article 28 に整合する委託契約（DPA）を個別契約レベルで締結します。標準条項として以下を含めます:

• 処理目的 / 処理対象データの明示
• 処理期間 / 終了時の返却・削除手順
• サブプロセッサー利用時の事前通知 / 異議申立期間
• 機密保持義務 / 取扱者の限定
• セキュリティ措置（TOMs）
• データ漏えい通知（処理者は不当な遅延なく管理者へ通知。72時間の期限は管理者→監督機関）
• 監査協力義務
• 第三国移転時の措置（Standard Contractual Clauses 等）

サブプロセッサー一覧（GDPR Art 28(2)(4)）

サブプロセッサーの追加・変更時は事前に通知し、合理的な異議申立期間を設けます。

第三国移転 / Standard Contractual Clauses (SCC)

EU/UK データ主体の個人データを EU/UK 域外（主に米国）へ移転する場合、原則として欧州委員会の SCC または同等の保護措置を個別契約に組込みます。移転先事業者の自社 SCC 採用も活用します（例: Cloudflare の DPA に SCC が組込まれている）。英国（UK GDPR）対象の移転には EU SCC のみでは足りず、UK IDTA または UK Addendum を併用します。なお日本のEU/UK十分性認定は米国サブプロセッサーには及ばないため、米国への移転には別途の保護措置を講じます。

データ漏えい通知（GDPR Art 33）

個人データ漏えいを認知した場合、当事業は処理者として不当な遅延なく顧客（データ管理者）に通知します（GDPR第33条2項）。72時間の期限は、管理者から監督機関への通知（第33条1項）に適用されるものです。通知には影響範囲、原因、対応措置、軽減策を含めます。重大な漏えいの場合は所管監督機関への通知支援を行います。

処理するデータカテゴリ（GDPR Art 30）

• 顧客連絡先情報（氏名 / メール / 電話 / 会社情報）
• 取引情報（見積 / 契約 / 請求 / 入金）
• 業務関連情報（個別契約で定める範囲）
• 技術情報（IP アドレス / Cookie / アクセスログ）
• （原則として処理しない）特別カテゴリデータ（健康 / 信条 / 人種等 / GDPR Art 9 / APPI 要配慮個人情報）

※ 契約条件の最終版は個別見積書・契約書を優先します。

EU AI Act に基づく委託・受託の透明性

本データ処理に関するお約束のもとで、お客様（デプロイヤー）が EU AI Act 第26条等の責務を果たされる際の下支えとなるインフラを提供します。詳細はEU AI Act コンプライアンスページをご覧ください。