データ処理契約

バージョン 2.0最終更新: 2026年5月23日

本データ処理契約（「DPA」または「補遺」）は、以下に添付される標準契約条項（以下に定義）を含め（総称して「DPA」）、Zenovay（「会社」または「Zenovay」）と、本DPAが添付され組み込まれる契約（「契約」）に基づく該当顧客（「顧客」）の利用規約への承諾の有効日（「発効日」）をもって締結されます。本DPAで別途定義されないすべての大文字で始まる用語は、契約において与えられた意味を持ちます。

本補遺は、顧客が契約を締結した時点、または本補遺への署名をもって法的拘束力を持ちます。

1. 定義

本DPAの目的において、以下の用語は以下に記載された意味を持ちます。

「関連会社」とは、(i) 一方の当事者が直接的または間接的に50%以上の株式またはその他の持分を保有する事業体、(ii) 一方の当事者の株式またはその他の持分を少なくとも50%以上保有する事業体、または(iii) 当該事業体と一方の当事者の株式またはその他の持分の少なくとも50%以上が同一人によって保有されることにより一方の当事者と共通の支配下にある事業体を意味しますが、当該事業体はそのような所有権が存在する限りにおいてのみ関連会社とみなされます。
「データ主体」とは、(i) EEAに所在する、またはEUデータ保護法によって権利が保護される特定されたまたは特定可能な自然人、または(ii) CCPAに定義される「消費者」を意味します。
「顧客データ」とは、Zenovayによるサービスの提供に関連して顧客、エンドユーザー、または顧客の関連会社がサービスに送信した、またはサービスによって収集された処理対象のコンテンツ、データ、情報、またはその他の素材（個人情報を含む）を意味します。
「EEA」とは欧州経済領域を意味します。
「EUデータ保護法」とは、適用可能な場合にEU指令95/46/EC、規則（EU）2016/679（GDPR）、EU eプライバシー指令（指令2002/58/EC）、スイス連邦データ保護法（「nDSG」、2023年9月1日より施行）、および国内実施法を含む、契約に基づく個人情報の処理に適用されるすべてのデータ保護法および規制を意味します。
「個人情報」または「個人データ」とは、特定のデータ主体を直接的または間接的に識別する、関連する、説明する、合理的に関連付けることができる、またはリンクできる情報を意味します。個人情報には、適用されるデータ保護法によって定義される「個人データ」、「個人を特定できる情報」または類似の用語として考慮される情報が含まれます。
「処理」とは、個人情報に対して行われるあらゆる操作または一連の操作を意味します（自動的手段によるかどうかにかかわらず）。収集、記録、整理、構造化、保存、適応、検索、参照、使用、開示、普及、制限、消去、または破棄などが含まれます。
「標準契約条項」または「SCC」とは、2021年6月4日の欧州委員会決定2021/914によって承認された、第三国に設立されたデータ処理者への個人データの移転のための標準契約条項を意味します。
「副処理者」とは、契約に基づいて顧客に代わって個人情報を処理するためにZenovayまたはその関連会社が関与する第三者データ処理者を意味します。

2. 当事者間の関係；データの処理

2.1 役割と処理の範囲

当事者は、個人情報の処理に関して、顧客がデータ管理者（またはCCPAに基づく「事業者」）であり、Zenovayがデータ処理者（またはCCPAに基づく「サービスプロバイダー」）であることを認め同意します。顧客は、サービスの使用において、適用されるデータ保護法の要件に従って個人情報を処理するものとします。個人情報の処理に関する顧客の指示は、適用されるデータ保護法に準拠するものとします。顧客は、個人情報の正確性、品質、適法性、および個人情報を取得した手段について単独で責任を負います。

2.2 顧客の処理指示

本DPAを締結することにより、顧客はZenovayに対して、適用法に従ってのみ個人情報を処理するよう指示します：(a) サービスおよび関連技術サポートの提供；(b) ダッシュボード、API、またはその他のインターフェースを通じたサービスの顧客による使用を通じた更なる特定；(c) 本DPAを含む契約に記載されている通り；(d) 本DPAの目的のための指示を構成するものとしてZenovayによって認められた顧客による任意の他の書面による指示に記載されている通り。

2.3 Zenovayの指示への準拠

Zenovayは顧客の文書化された指示に従ってのみ個人情報を処理するものとします。ただし、処理がZenovayが服する適用法によって要求される場合は除き、その場合、Zenovayは当該法律が重要な公益上の理由でそのような情報を禁止している場合を除き、処理前に顧客にその法的要件を通知するものとします。

2.4 処理の詳細

本DPAに基づいて処理される個人情報の対象事項、性質、目的、期間、種類、およびデータ主体のカテゴリーは、ここに添付される別紙A（処理の詳細）に記載されています。

3. 機密保持

Zenovayは、その代わりに個人情報を処理することを承認されたいかなる者も、契約または法定義務によって機密保持義務を負うことを確保するものとします。

4. セキュリティ

4.1 セキュリティ措置

技術の最新状況、実施コスト、処理の性質・範囲・文脈および目的、ならびに自然人の権利と自由に対する様々な可能性および重大性のリスクを考慮した上で、Zenovayは別紙B（セキュリティ措置）に記載された通り、セキュリティインシデント（以下に定義）から個人情報を保護し、個人情報のセキュリティと機密性を維持するための適切な技術的・組織的措置を実施・維持するものとします。

4.2 セキュリティインシデントの通知

「セキュリティインシデント」とは、個人情報の偶発的または違法な破壊、紛失、改変、不正な開示またはアクセスを意味します。Zenovayは、セキュリティインシデントを認識した後、不当な遅延なく（いかなる場合も72時間以内に）顧客に通知するものとします。当該通知には以下が含まれるものとします。

関係するデータ主体および個人情報記録のカテゴリーと概数を含む、セキュリティインシデントの性質の説明
詳細情報を取得できるZenovayが指定したプライバシー担当窓口（[email protected]）の連絡先情報の通知
セキュリティインシデントの起こり得る結果の説明
セキュリティインシデントに対処し、起こり得る悪影響を軽減するために取られたまたは提案される措置の説明

5. 副処理者

5.1 承認された副処理者

顧客は、Zenovayが顧客に代わって個人情報を処理するために副処理者を関与させることができることを認め同意します。現在の副処理者リストはzenovay.com/legal/subprocessorsでご確認いただけます。

5.2 副処理者の義務

Zenovayは以下を実施するものとします。

本DPAに基づいてZenovayに課されるものと実質的に類似したデータ保護義務を課す書面による契約を各副処理者と締結すること
各副処理者の義務の履行について顧客に対して全責任を負い続けること
関与前に各副処理者について適切なデューデリジェンスを実施すること

5.3 副処理者の変更

Zenovayは、新しい副処理者の追加について少なくとも30日前に顧客に書面による事前通知を行うものとします。顧客は、Zenovayの通知を受け取ってから10日以内にZenovayに書面で通知することにより、新しい副処理者の使用に異議を唱えることができます。ただし、当該異議はデータ保護に関連する合理的な根拠に基づくものでなければなりません。顧客が新しい副処理者に合理的に異議を唱え、Zenovayが商業的に合理的な代替案を提供できない場合、顧客はZenovayに書面による通知を提供することにより、影響を受けるサービスを解約することができます。

6. データ主体の権利

Zenovayは、法的に許可される範囲および処理者としての役割の範囲内で、データ主体からその個人情報へのアクセス、訂正、修正、または削除の要求を受け取った場合、顧客に速やかに通知するものとします。Zenovayは、処理の性質を考慮して、データ保護法に基づくデータ主体の権利（アクセス、訂正、削除、処理の制限、データポータビリティ、処理への異議申し立ての権利を含む）を行使するための要求への対応における顧客の義務の履行のために、可能な限り適切な技術的・組織的措置によって顧客を支援するものとします。

7. データの返却と削除

7.1 データ保持期間

個人情報は顧客のサブスクリプションプランに従って保持されます。

無料プラン： 1年（365日）
Proプラン： 2年（730日）
Scaleプラン： 4年（1,460日）
Enterpriseプラン： 該当する注文書に合意されたカスタム保持期間

7.2 二段階削除プロセス

個人情報が顧客のプランに適用される保持期間を超えた場合、Zenovayは二段階削除プロセスを実施します。

第1段階 - ソフト非表示： 保持期間より古い個人情報は非表示とマークされ、顧客の分析クエリから除外されます。データはZenovayのシステムに残りますが、サービスからはアクセスできません。
第2段階 - 猶予期間： データが非表示になったことを顧客にメールで通知します。30日間の猶予期間が始まり、その間に顧客は上位プランにアップグレードして非表示データを復元できます。
第3段階 - 永久削除： 30日間の猶予期間が終了すると、非表示の個人情報は安全な削除方法を使用して永久に削除されます。

7.3 データ復元

猶予期間中に顧客がより長い保持期間を持つプランにアップグレードした場合、Zenovayは新しい保持期間内に収まる個人情報を自動的に復元（再表示）します。永久削除されたデータは復元できません。

7.4 解約時の削除

契約の解約または終了時に、Zenovayは（顧客の選択により）：(a) データエクスポートを通じてZenovayの管理下にあるすべての個人情報を顧客に返却する；または(b) Zenovayの管理下にあるすべての個人情報を削除するものとします。この要件は、Zenovayが適用法によって個人情報の一部またはすべてを保持することを要求される範囲には適用されず、その場合、Zenovayは当該法律によって要求される範囲を除き、個人情報をいかなるさらなる処理からも隔離し保護するものとします。

8. 監査権

Zenovayは、合理的な要求に応じて、機密保持義務を条件として、本DPAへの準拠を証明するために必要なすべての情報を顧客に提供し、顧客または顧客が委任した監査人が実施する監査（検査を含む）を許可・支援するものとします。顧客は本セクションに基づく監査権を以下により行使できます。

Zenovayのインフラプロバイダーが取得しているセキュリティ認証（Cloudflare：SOC 2 Type II、ISO 27001、ISO 27018；Supabase：SOC 2 Type II）を、合理的な要請に応じて確認すること。Zenovay自体は現在SOC 2の認証を取得していません。監査が完了次第、本開示を更新します。
Zenovayのデータ保護慣行に関するアンケートをZenovayに送付すること（データ保護法によって要求される場合を除き、年1回に制限）
例外的な状況において、合理的な通知、機密保持義務、およびZenovayの合理的な費用の償還を条件として、Zenovayのデータ保護慣行のオンサイトまたはリモート監査を実施すること

9. 国際移転

9.1 データ移転

Zenovayは、サービスの提供に必要な範囲でグローバルに個人情報を移転・処理することがあります。Zenovayがデータ保護の適切な水準を提供するとして欧州委員会またはスイス連邦評議会によって認められていない国にEEAまたはスイスから個人情報を移転する場合、当該移転はデータ保護法によって要求される適切な保護措置の対象となります。これには以下が含まれます。

EU-米国データプライバシーフレームワーク（DPF）/スイス-米国DPF： DPFの下で認証された米国を拠点とする副処理者への移転については、2023年7月10日の欧州委員会の適切性決定およびスイスの対応する認識に依拠します。
標準契約条項（SCC）： 以下のセクション9.2に詳述。
補完的措置： Schrems II判決を踏まえたEDPBおよびEDOEBによる推奨措置を含む、移転影響評価、転送中および保存中の暗号化、アクセス制御、その他の措置。

9.2 標準契約条項

ZenovayがEUデータ保護法（GDPRおよびnDSGを含む）によって保護される個人情報を処理し、欧州委員会またはスイス連邦評議会によって適切な保護水準を提供するとして認められていない国にそのような個人情報を移転する範囲において、標準契約条項（モジュール2：管理者から処理者）が適用され、参照によって本DPAに組み込まれます。標準契約条項の目的において：

顧客は「データエクスポーター」であり、Zenovayは「データインポーター」です
当事者は、条項7、条項11、および条項9(a)のオプション条項に同意します
適用される加盟国法は顧客が設立された加盟国の法律とし、顧客が加盟国に設立されていない場合はアイルランドの法律とします
管轄監督機関は顧客が設立された加盟国の監督機関とします；スイスの顧客については、EDOEB（連邦データ保護・情報委員）；加盟国またはスイスに設立されていない顧客については、アイルランドデータ保護委員会
nDSGに服する移転については、GDPRの規定への言及はnDSGの同等の規定への言及として解釈され、EU/EEAへの言及はスイスへの言及として解釈されます
移転の説明は別紙A（処理の詳細）に記載されています
技術的・組織的措置は別紙B（セキュリティ措置）に記載されています