データ処理契約（DPA）

当事者

本データ処理契約（以下「本 DPA」）は、DriveDeck サービス利用規約に基づく契約を締結した法人（以下「データ管理者」または「お客様」）と、JapanMarketing合同会社（代表社員 遠藤 巧巳、〒150-0021 東京都渋谷区恵比寿西2丁目4番8号 ウィンド恵比寿ビル8F、以下「データ処理者」または「DriveDeck」）との間で締結されます。

1. 背景と目的

本 DPA は、GDPR（EU 一般データ保護規則）第28条、および日本の個人情報保護法の要件に従い、DriveDeck がお客様の個人データを処理する条件を定めます。本 DPA は利用規約の附属書として機能し、データ保護に関して優先して適用されます。

2. 定義

• 「個人データ」：識別された、または識別可能な自然人に関するあらゆる情報
• 「処理」：収集・記録・編集・保存・変更・開示・削除等の操作
• 「データ主体」：個人データが参照する自然人（お客様の従業員・顧客等）
• 「サブプロセッサー」：DriveDeck が委託する二次的な処理者（Google Cloud 等）

3. 処理の詳細

3.1 処理の性質・目的

DriveDeck は以下の目的でお客様の個人データを処理します。

• プロジェクト管理・タスク管理サービスの提供
• 顧客ポータル機能の提供
• データバックアップ・セキュリティ監査

3.2 処理する個人データの種類

• 氏名・メールアドレス・職種等の連絡先情報
• お客様が入力したプロジェクト・タスクデータ
• 操作ログ・アクセスログ

3.3 データ主体のカテゴリ

• お客様の従業員・業務委託者
• お客様が顧客ポータルに招待した外部顧客

3.4 処理期間

本 DPA の有効期間中、および解約後のデータ削除完了まで。

4. DriveDeck の義務

DriveDeck は以下を遵守します。

• お客様の指示にのみ従って個人データを処理する
• 処理に関わる従業員に秘密保持義務を課す
• GDPR 第32条に準拠した技術的・組織的安全措置を実施する
• データ侵害の場合、認識後 72 時間以内にお客様へ通知する
• データ主体の権利行使（削除・開示等）についてお客様を支援する
• 契約終了時にお客様の指示に従いデータを削除または返還する
• 監査への協力（年1回まで、合理的な事前通知のもとで）

5. サブプロセッサー

DriveDeck は以下のサブプロセッサーを使用します。変更の場合は30日前に通知します。お客様は合理的な理由がある場合に異議を申し立てることができます。

6. 国際データ移転

EU/EEA からの個人データを EU 域外（主に日本・米国）に移転する場合、欧州委員会の標準契約条項（SCC: 2021/914）を適用します。UK GDPR が適用される場合は IDTA（国際データ移転合意）を適用します。

7. 技術的・組織的安全措置

• AES-256 による保存時暗号化
• TLS 1.2 以上による転送時暗号化
• 多要素認証（MFA）の強制
• ロールベースアクセス制御（RBAC）
• 定期的なセキュリティ監査・脆弱性スキャン
• SOC 2 Type II 取得に向けた取り組み（進行中）

8. データ侵害通知

当社がデータ侵害を認識した場合、72 時間以内に書面（メール）でお客様に通知します。通知には侵害の性質・影響範囲・対応措置を含めます。お客様が規制機関への報告義務を負う場合は追加情報を提供します。

9. データの削除・返還

契約終了後、お客様の指示に従いデータを削除または返還します。お客様からの指示がない場合、解約後90日でデータを削除します。法令上の保存義務がある場合はその期間を超えて保持することがあります。

10. 監査権

お客様は年1回、30日前の書面による通知のうえ、DriveDeck の個人データ処理状況を監査できます（費用はお客様負担）。監査は通常業務を著しく妨げない方法で実施します。

11. 準拠法・管轄

本 DPA は日本法に準拠します。GDPR が適用される場合はその要件が優先します。紛争は東京地方裁判所を第一審専属管轄とします。