データ処理・国際移転について

1. 基本方針

当事業は、できる限り必要最小限の情報で設計し、顧客データの取扱い範囲を要件定義・見積・契約の段階で明確化します。

2. 主な外部サービス

• Cloudflare: 配信、保護、エッジ実行等
• Google / Google Apps Script: 連携、通知、退避経路等
• OpenAI: モデル推論、要約、分類、支援処理等
• Stripe: 決済処理

3. 国際移転(個人情報保護法 第 24 条)

利用する外部サービスやインフラ構成により、データが日本国外で処理される場合があります。具体的な移転先(Cloudflare / Google / OpenAI / Stripe = いずれも米国)、各社のプライバシー規約、当事業として講じる保護措置の詳細は、プライバシーポリシー § 5 を参照してください。

4. B2B優先

当面は法人・事業者向けを中心に提供し、越境 B2C 提供は案件内容、対象国、税務・消費者法上の要件を確認したうえで個別判断します。

5. 顧客との役割分担

• 入力データの適法取得・社内同意の確認: 顧客側
• 構築範囲・送信先・保持期間の設定: 個別契約で定義
• 重大な変更や高リスク処理: 人間承認を前提

6. 契約で明確化する項目

• 取扱データの種類
• 第三者サービスの利用有無
• 保存期間、削除方法、バックアップ方針
• 責任分界、損害賠償上限、再委託条件

GDPR Article 28 / DPA (= 委託契約) 相当

EU/英国の顧客データを取り扱う場合、原則として GDPR Article 28 に整合する委託契約 (= Data Processing Agreement / DPA) を 個別契約レベルで締結します。標準条項として以下を含めます:

• 処理目的 / 処理対象データの明示
• 処理期間 / 終了時の返却・削除手順
• サブプロセッサー (= 再委託先) 利用時の事前通知 / 異議申立期間
• 機密保持義務 / 取扱者の限定
• セキュリティ措置 (= TOMs / 上記 Privacy Policy 「安全管理措置」 参照)
• データ漏えい時の通知期限 (= 当事業: 認知後 72 時間以内に管理者へ通知)
• 監査協力義務
• 第三国移転時の措置 (= 標準契約条項 / Standard Contractual Clauses 等)

サブプロセッサー一覧 (= GDPR Art 28(2)(4))

サブプロセッサーの追加・変更時は事前に通知し、合理的な異議申立期間を設けます。

第三国移転 / Standard Contractual Clauses (SCC)

EU/UK データ主体の個人データを EU/UK 域外 (主に米国) へ移転する場合、原則として欧州委員会の Standard Contractual Clauses (SCC) または同等の保護措置を個別契約に組込みます。 移転先事業者の自社 SCC 採用も活用します (= 例: Cloudflare の DPA に SCC が組込まれている)。

データ漏えい通知 (= GDPR Art 33 / 72 時間ルール)

個人データ漏えいを認知した場合、不当な遅延なく (= 認知後 72 時間以内を目標に) 顧客 (= データ管理者) に通知します。通知には影響範囲、原因、対応措置、軽減策を含めます。重大な漏えいの場合は所管監督機関への通知支援を行います。

処理する データ カテゴリ (= GDPR Art 30)

• 顧客連絡先情報 (= 氏名 / メール / 電話 / 会社情報)
• 取引情報 (= 見積 / 契約 / 請求 / 入金)
• 業務関連情報 (= 個別契約で定める範囲)
• 技術情報 (= IP アドレス / Cookie / アクセスログ)
• (原則として処理しない) 特別カテゴリ データ (= 健康 / 信条 / 人種等 / GDPR Art 9 / APPI 要配慮個人情報)

※ 本ページは pages.dev 側の法務補完用です。契約条件の最終版は個別見積書・契約書を優先します。