データ処理規約

第1条（定義）

1. 「個人データ」: 本サービスの提供に関連して、管理者が処理者に開示または処理者が管理者に代わって処理する、識別された自然人または識別可能な自然人に関するすべての情報
2. 「処理」: 個人データに対して実行される操作または一連の操作（収集、記録、編成、構造化、保存、適応、変更、検索、参照、使用、送信による開示、配布、その他の方法による利用可能化、整列、結合、制限、消去、破壊を含むがこれに限定されない）
3. 「データ主体」: 個人データによって識別される自然人
4. 「データ侵害」: 送信、保存、または処理された個人データの偶発的または違法な破壊、紛失、改変、不正な開示またはアクセスにつながるセキュリティ侵害
5. 「適用法令」: 個人データの処理に適用される、GDPR、日本の個人情報保護法、CCPA、その他のデータ保護法および規制

第2条（処理の範囲と目的）

1. 処理の対象: 処理者は、本サービスの提供に必要な範囲で、管理者に代わって個人データを処理します。
2. 個人データの種類:
   • 管理者の従業員・スタッフの氏名、メールアドレス、役職
   • AIコーチとの対話内容、セッション記録
   • ToDo、目標設定、振り返り内容
   • サービス利用履歴
3. データ主体のカテゴリー: 管理者の従業員、スタッフ、その他の本サービス利用者
4. 処理の目的:
   • 本サービスの提供（AIコーチング、人間コーチング、レポート作成等）
   • 本サービスの維持、改善
   • カスタマーサポート
5. 処理の期間: 本サービス利用契約の期間中、および契約終了後の法令で定められた期間

第3条（処理者の義務）

処理者は、以下の義務を負います。

3.1 指示に従った処理

処理者は、管理者の文書による指示に従ってのみ個人データを処理します。管理者の指示が適用法令に違反すると処理者が判断する場合、処理者は直ちに管理者に通知します。

3.2 秘密保持

処理者は、個人データの処理を許可された者が秘密保持義務を負うこと、または適切な法定の秘密保持義務の対象となることを保証します。

3.3 セキュリティ対策

処理者は、個人データの処理に関して適切な技術的および組織的な安全管理措置を実施します。具体的には以下を含みます。

• データの暗号化（通信時および保管時）
• アクセス制御および認証システム
• ファイアウォールおよび侵入検知システム
• 定期的なセキュリティ監査および脆弱性評価
• インシデント対応計画

3.4 副処理者の利用

処理者は、以下のカテゴリーの副処理者（サブプロセッサー）を利用することについて、管理者の一般的な承認を得ます。

副処理者のカテゴリー:

• クラウドストレージ・データベースプロバイダー（米国、欧州等）
• AI技術プロバイダー（米国等）
• コミュニケーション・メールサービスプロバイダー（米国等）
• 決済サービスプロバイダー（米国、日本等）
• その他、本サービスの提供に必要な第三者サービスプロバイダー

副処理者リストの開示: 処理者は、具体的な副処理者のリストを、管理者の要請に応じて開示いたします。

処理者は、副処理者の変更または追加について、少なくとも30日前に管理者に通知します。管理者は、正当な理由がある場合、変更に異議を申し立てることができます。処理者は、副処理者に対して本DPAと同等以上のデータ保護義務を課し、副処理者の行為について管理者に対して責任を負います。

3.5 データ主体の権利行使への協力

処理者は、技術的に可能な範囲で、管理者がデータ主体からの権利行使要請（アクセス、訂正、削除、制限、移植、異議等）に対応することを支援します。

3.6 管理者の監査への協力

処理者は、管理者または管理者が委任した監査人による監査を受け入れ、必要な情報を提供します。監査は、合理的な事前通知の上、営業時間内に実施されるものとします。

3.7 データ侵害の通知

処理者は、個人データに関するデータ侵害を認識した場合、不当な遅延なく、かつ遅くとも認識後72時間以内に管理者に通知します。通知には、以下の情報を含めます。

• データ侵害の性質（影響を受けるデータ主体およびデータ記録のカテゴリーと概数を含む）
• データ侵害の影響を軽減するための措置
• データ侵害に対処するために講じた、または講じる予定の措置

3.8 データの返却または削除

本サービス利用契約終了後、処理者は、管理者の選択により、すべての個人データを管理者に返却するか、削除し、既存のコピーを削除します。ただし、適用法令により保管が義務付けられている場合は、この限りではありません。

第4条（国際データ転送）

1. 処理者は、個人データを日本国外（米国、EU等）に転送する場合があります。
2. 国際データ転送は、以下のいずれかの適切な保護措置に基づいて行われます。
   • 標準契約条項（SCC）: 欧州委員会が承認した標準契約条項の締結
   • EU-米国データプライバシーフレームワーク: 認証を受けた企業への転送
   • 十分性認定: 適切な保護レベルを有すると認定された国への転送
   • 明示的同意: データ主体の明示的な同意
3. 処理者は、国際データ転送に関する詳細情報を管理者の要請に応じて提供します。

第5条（データ保護影響評価（DPIA）への協力）

管理者が適用法令に基づきデータ保護影響評価（DPIA）を実施する必要がある場合、処理者は合理的な支援を提供します。

第6条（記録の保持）

処理者は、適用法令に従い、個人データの処理活動の記録を保持します。

第7条（契約期間および終了）

1. 本DPAは、本サービス利用契約の期間中有効です。
2. 本サービス利用契約が終了した場合、本DPAも自動的に終了します。ただし、第3条8項（データの返却または削除）および第3条2項（秘密保持）は、契約終了後も存続します。

第8条（責任および補償）

1. 処理者は、本DPAの義務違反により管理者に生じた損害について、本サービス利用契約に定める責任制限の範囲内で責任を負います。
2. 処理者は、適用法令に基づきデータ主体または監督当局から管理者に対してなされた請求について、処理者の義務違反に起因する範囲で、管理者を補償します。

第9条（準拠法および管轄）

1. 本DPAは、本サービス利用契約と同じ準拠法および管轄裁判所に服します。
2. 本DPAと本サービス利用契約との間に矛盾がある場合、個人データの処理に関する限り、本DPAが優先します。

第10条（修正）

処理者は、適用法令の変更に対応するため、または処理者のデータ保護慣行の変更を反映するため、本DPAを修正することができます。重要な修正については、処理者は管理者に事前に通知します。

付属書A：処理の詳細

付属書B：技術的・組織的安全管理措置