AW-Techのロゴ AW-Tech

データ処理に関する追加合意書(DPA)

本DPAは、Access W Technology Co., Ltd.(AW-Tech)とお客様の間で締結される受託開発・業務委託契約に付随し、契約業務の遂行に必要な個人データおよび機密データの処理条件を明確化するための追加合意です。

最終更新日:2025年10月1日

1. 用語の定義

  • 「個人データ」:識別された、または識別可能な個人に関する情報。
  • 「処理」:収集・記録・保管・閲覧・削除など、データに対して行われるすべての操作。
  • 「管理者」:処理目的と手段を決定するお客様(サービス契約の締結主体)。
  • 「処理者」:管理者の委託に基づきデータを処理するAccess W Technology Co., Ltd.(AW-Tech)。
  • 「下請け処理者」:当社がさらに再委託する第三者の処理者。
  • 「適用プライバシー法」:AW-Techとお客様のデータ処理に適用される個人情報保護関連の法令・規制の総称(例:個人情報保護法やGDPRなど)。
  • 「セキュリティインシデント」:個人データの漏えい・改ざん・紛失など安全性を脅かす事象。
  • 「制限付き移転」:適用プライバシー法により追加の安全措置が必要とされる国や組織へのデータ移転。
  • 「標準契約条項(SCC)」:欧州委員会が策定した国際データ移転のための標準条項。

2. データ処理の目的と範囲

当社は、基礎契約に基づく受託開発・BPO業務を遂行する目的でのみ個人データを処理します。目的外利用は禁止し、必要最小限の範囲に限定します。

処理対象となる主なデータカテゴリ

  • 契約締結後にお客様から提供される業務データ(仕様書、業務指示書、処理対象となる業務資料など)
  • 業務遂行に必要な担当者情報(氏名、役職、連絡先などの最小限の連絡先情報)
  • 業務処理結果として当社が作成する成果物データ(報告書、検収用資料など)

3. 両社の義務

当社(処理者)の義務

  • 管理者の文書化された指示に従ってのみデータを処理すること。
  • 機密保持契約を締結した従業員・担当者に限定してアクセスを許可すること。
  • 適用プライバシー法を遵守し、遵守状況を記録すること。
  • 個人データ侵害を認識した場合、当社は事実関係の把握後、遅滞なくお客様へ通知します。通知には少なくとも次を含めます:事象の概要、影響範囲、想定される影響、すでに講じた/講じる対策、連絡窓口。

お客様(管理者)の義務

  • 処理の合法性(利用者からの同意や契約上の必要性など)を確保すること。
  • 当社に提供する指示を明確な文書で提示し、必要に応じて更新すること。
  • 利用者の権利行使に対応するための情報を当社へ迅速に提供すること。
  • 自社システムと当社サービス間のデータ連携に適切な安全対策を講じること。

4. 下請け処理者の管理

当社は、信頼性と適法性を確認した下請け処理者に限り再委託を行います。再委託時は本DPAと同等以上の義務を課す契約を締結し、変更がある場合は事前にお客様へ通知します。

5. 国際移転

データが国外へ移転される場合、当社は移転先が制限付き移転に該当するかを事前に評価するよう努め、必要と判断される場合は標準契約条項(SCC)のモジュール2の適用を検討します。その際、技術的・組織的対策が十分かを確認するため移転影響評価(TIA)を実施します。

  • 英国への移転では、必要に応じてSCCをUKアドエンダムに読み替え、準拠法をイングランドおよびウェールズ法、管轄裁判所をロンドンの裁判所とする運用を目指します。
  • スイス向け移転では、本DPAの関連条項をスイスDPAに整合する形で補完し、準拠法をスイス連邦法、管轄をチューリッヒ商業裁判所とすることを原則とします。

6. データ主体の権利対応

利用者(データ主体)が権利行使を希望する場合、当社はお客様を支援し、合理的な期間内に回答できるよう協力します。対象となる主な権利:開示請求、訂正・削除・利用制限の請求、データポータビリティ、オプトアウトや異議申し立ての権利。

7. DPIA・監督機関協議の支援

当社は、管理者であるお客様からの依頼に基づき、データ保護影響評価や監督機関との協議を支援します。必要な情報整理、技術・組織対策の説明資料の作成補助、手続きに伴うスケジュール調整を行い、円滑な対応を支援します。

8. セキュリティ対策

  • 暗号化
  • 多要素認証と権限管理
  • 脆弱性診断とペネトレーションテストの定期実施
  • バックアップと災害復旧計画の整備
  • 従業員向けセキュリティ教育とアクセスログの監査

9. 監査・通知

お客様は、合理的な事前通知と双方の調整に基づき、当社のデータ処理活動について監査または査察を実施する権利を有します。セキュリティインシデントが発生した場合、当社は事象の概要、影響範囲、実施済みおよび予定されている対策を記載した報告書を速やかに提供します。

10. 契約期間と終了後の取扱い

本DPAの有効期間は、基礎契約の有効期間と同一とし、契約終了後は原則30日以内にお客様の指示に従ってデータを削除または返却できるよう努めます。法令上の保存義務がある場合は、その期間終了後速やかに削除します。

11. 変更・更新手続き

法令改正やサービス内容の変更に伴い本DPAを改定する場合、当社は少なくとも30日前にお客様へ通知します。重大な変更については、書面または電子署名による合意を取り付けた後に効力を発生させます。

DPAの更新・再締結をご希望の方へ

契約更新や個別条項の追加が必要な場合は、info@accesswtech.com まで件名に「DPA更新の相談」と明記のうえお問い合わせください。既存契約番号と希望反映日を添えていただくとスムーズです。