データ処理契約
最終更新日: 2026年1月
1. はじめに
本データ処理契約(以下「本DPA」)は、Reangle利用規約の一部を構成し、EU一般データ保護規則(GDPR)、UK GDPR、およびその他の適用されるデータ保護法に基づく個人データの処理を規定します。本DPAは、お客様がEEA、英国、またはデータ保護要件を有する他の管轄区域のデータ主体の個人データを処理するためにReangleを使用する場合に適用されます。
2. 定義
「個人データ」、「データ主体」、「処理」、「管理者」、「処理者」、および「副処理者」は、GDPRで定義された意味を有します。お客様(顧客)が管理者であり、Reangleが処理者です。処理には、ブックマークの保存、下書きの生成、コンテンツの分析、および接続されたソーシャルメディアアカウントへの投稿が含まれます。
3. 範囲と期間
本DPAは、本サービスを通じてReangleがお客様に代わって処理するすべての個人データに適用されます。処理期間は、お客様のサブスクリプション期間にアカウント削除のための30日を加えた期間です。当社は、法律で義務付けられている場合を除き、サービスインターフェースおよびAPIを通じたお客様の文書化された指示に基づいてのみデータを処理します。
4. 処理者の義務
Reangleは、以下を行います: (a) お客様の文書化された指示に基づいてのみ個人データを処理します。(b) 権限を与えられた担当者が守秘義務を負うことを保証します。(c) 適切な技術的および組織的なセキュリティ対策を実施します。(d) お客様の事前承認がある場合にのみ副処理者を使用します。(e) データ主体の権利要求への対応においてお客様を支援します。(f) データセキュリティ、侵害通知、および影響評価においてお客様を支援します。(g) 終了時にすべての個人データを削除または返却します。(h) コンプライアンスを実証するために必要なすべての情報を提供します。
5. 副処理者
5.1 承認
お客様は、別紙Bに記載された副処理者を使用することについて、Reangleに一般的な承認を与えます。当社は、副処理者への意図的な変更について、少なくとも30日前に通知します。
5.2 現在の副処理者(別紙B)
以下の副処理者が現在Reangleによって使用されています:
| 副処理者 | 目的 | データ保管場所 | 保護措置 |
|---|---|---|---|
| Supabase, Inc. | データベースおよび認証インフラ | アメリカ合衆国 | SOC 2 Type II, ISO 27001, 標準契約条項(SCCs) |
| Google LLC | AIコンテンツおよび画像生成(Gemini Flash) | アメリカ合衆国 | EU-USデータプライバシーフレームワーク、Google Cloud DPA |
| Stripe, Inc. | 決済処理 | アメリカ合衆国 | PCI-DSS Level 1, Stripe DPA, SCCs |
| Upstash, Inc. | Redisキャッシング(オプション) | アメリカ合衆国 | SOC 2 Type II, 保存時および転送時の暗号化 |
| Resend, Inc. | トランザクションメール | アメリカ合衆国 | SOC 2 Type II, 転送時の暗号化 |
| Inngest, Inc. | バックグラウンドジョブ処理 | アメリカ合衆国 | SOC 2 Type II, 保存時および転送時の暗号化 |
最終更新日: 2026年1月
5.3 副処理者の変更
当社は、以下の方法で副処理者の追加または置換の意図を通知します:
新しい副処理者がお客様の個人データの処理を開始する少なくとも30日前に通知が提供されます。
- 登録されたメールアドレスへのメール通知
- アプリ内通知バナー
- 変更ログエントリを含む本DPAページの更新
お客様は、通知後30日以内に、合理的なデータ保護上の根拠に基づいて新しい副処理者に異議を唱えることができます。異議を唱えた場合、当社は、商業的に合理的な解決策を見つけるか、またはペナルティなしで本サービスを終了できるよう、お客様と協力します。
5.4 副処理者の義務の流れ込み
当社は、セキュリティ、機密性、およびデータ保護法の遵守に関する要件を含め、本DPAに基づいて当社に課されるものと実質的に同じデータ保護義務を副処理者に課します。当社は、副処理者の履行についてお客様に対して完全に責任を負います。
6. セキュリティ対策
当社は、以下を含む業界標準の技術的および組織的対策を実施します: 保存時のAES-256-GCM暗号化、転送時のTLS 1.3暗号化、機密認証情報のscryptキー導出、ロールベースアクセス制御(RBAC)、定期的なセキュリティ監査、従業員の身元調査および機密保持契約、安全な開発慣行(コードレビュー、依存関係スキャン)、インシデント対応手順、暗号化による定期的なバックアップ。
7. データ侵害通知
当社は、お客様のデータに影響を与える個人データ侵害を認識した後、遅滞なく(いかなる場合も72時間以内に)お客様に通知します。通知には、以下が含まれます: 侵害の説明、影響を受けたデータ主体および記録のカテゴリと概数、起こり得る結果、侵害に対処し、被害を軽減するために講じた、または講じることを提案する措置、さらなる問い合わせのための連絡先情報。当社は、侵害の調査および是正において合理的に協力します。
8. 国際データ転送
お客様の個人データは、当社の副処理者が所在するアメリカ合衆国に転送され、処理される場合があります。EEA/英国から米国への転送については、当社は以下に依拠します: (a) 欧州委員会によって承認された標準契約条項(SCCs)、(b) EU-USデータプライバシーフレームワーク認証(該当する場合)、および (c) 暗号化、仮名化、および契約上の保護を含む追加の保護措置。info@reangle.aiで、当社のSCCおよび転送影響評価のコピーをリクエストできます。
9. データ主体の権利
当社は、データ主体の権利要求(アクセス、訂正、削除、制限、ポータビリティ、異議)の履行においてお客様を合理的に支援します。お客様は、アカウント設定(データのエクスポート、アカウントの削除)を通じてほとんどの要求を容易にすることができます。当社の支援が必要な要求については、データ主体の要求の詳細とともにinfo@reangle.aiまでお問い合わせください。当社は、必要な情報またはアクションとともに、営業日10日以内に対応します。
10. お問い合わせおよびDPO
データ処理に関するご質問、権利の行使、またはデータ保護責任者への連絡については、info@reangle.aiまでメールでお問い合わせください。