機能 料金 APIリファレンス

データ処理契約(DPA)

v1.0 -- 2026年3月発効

Morlivoは、一般データ保護規則(EU)2016/679(「GDPR」)、UK GDPR、およびその他すべての適用されるデータ保護法に準拠して個人データを処理することに尽力しています。本データ処理契約は、お客様(「管理者」)に代わってMorlivo(「処理者」)が行う個人データの処理を規定します。

1. 定義

本データ処理契約の目的上:

  • 「個人データ」とは、GDPR第4条第1項に定義される、識別された又は識別可能な自然人に関するあらゆる情報を意味します
  • 「処理」とは、GDPR第4条第2項に定義される、収集、保存、使用、開示、削除を含む個人データに対して行われるあらゆる操作を意味します
  • 「管理者」とは、個人データの処理の目的および手段を決定するお客様を意味します
  • 「処理者」とは、管理者に代わって個人データを処理するMorlivoを意味します
  • 「復処理者」とは、管理者に代わって個人データを処理するために処理者が委託する第三者を意味します
  • 「データ主体」とは、個人データが処理される、識別された又は識別可能な自然人を意味します

2. 処理の詳細

処理者は、処理者が従うEUまたは加盟国の法律で要求される場合を除き、第三国への個人データの移転を含め、管理者からの文書化された指示に基づいてのみ個人データを処理するものとします。

処理の詳細は以下のとおりです:

  • 対象事項:翻訳、文字起こし、および言語処理サービスの提供
  • 期間:基礎となるサービス契約の期間中
  • 性質と目的:翻訳、文字起こし、および関連する言語サービスを提供するための顧客コンテンツの処理
  • データ主体の範囲:エンドユーザーおよび顧客コンテンツにデータが含まれる個人
  • 個人データの種類:氏名、連絡先情報、および処理のために提出された資料に含まれるその他の個人データ

3. セキュリティ対策

処理者は、GDPR第32条に従い、リスクに適したセキュリティレベルを確保するために適切な技術的および組織的措置を実施するものとします。これらの措置には以下が含まれます:

  • 保存時(AES-256)および転送時(TLS 1.2以上)の個人データの暗号化
  • 処理システムおよびサービスの継続的な機密性、完全性、可用性、および耐障害性を確保する能力
  • 物理的または技術的インシデント発生時に、個人データへの可用性およびアクセスを適時に復旧する能力
  • 技術的および組織的措置の有効性の定期的なテスト、評価、および検証
  • 技術的に実現可能かつ適切な場合の個人データの仮名化
  • 最小権限の原則に基づく厳格なアクセス制御
  • データアクセスの包括的な監査ログと監視

処理者は、個人データの処理を許可された者が秘密保持を誓約しているか、適切な法定の秘密保持義務の下にあることを保証するものとします。

4. 再委託先

管理者は、処理者が復処理者を利用することについて一般的な承認を与えます。処理者は最新の復処理者リストを維持し、要求に応じて管理者に提供するものとします。現在の復処理者リストはプライバシーポリシーページで公開されています。

処理者は、復処理者の追加または変更に関する意図された変更について管理者に通知し、管理者にかかる変更に異議を申し立てる合理的な機会を与えるものとします。処理者が復処理者を利用する場合、処理者は契約により、本DPAに定めるものと同一のデータ保護義務を当該復処理者に課すものとします。

処理者は、本DPAに基づく復処理者の義務の履行について、管理者に対して全面的に責任を負うものとします。

5. データ主体の権利

処理者は、GDPR第III章に基づく権利を行使するデータ主体からのリクエストに応じる管理者の義務の履行を支援するものとします。これには以下が含まれます:

  • アクセス権(第15条)
  • 訂正権(第16条)
  • 消去権(第17条)
  • 処理制限の権利(第18条)
  • データポータビリティの権利(第20条)
  • 異議申立権(第21条)

処理者がデータ主体から直接リクエストを受けた場合、処理者は速やかに管理者にリクエストを転送し、管理者から承認されない限り、データ主体に直接回答しないものとします。

6. 国際移転

処理者は、GDPR第V章で要求される適切な保護措置が講じられていない限り、個人データを第三国または国際機関に移転しないものとします。承認された移転メカニズムには以下が含まれます:

  • 欧州委員会が採択した標準契約条項(SCC)(委員会実施決定(EU)2021/914)
  • GDPR第45条に基づく十分性認定
  • 管轄監督機関が承認した拘束的企業準則

エンタープライズのお客様は、データ所在地設定を構成して、個人データの処理および保存を特定の地理的リージョン(EU、US、またはAPAC)に制限し、越境移転の必要性を最小限に抑えることができます。

7. 違反通知

処理者は、GDPR第4条第12項に定義される個人データの違反を認識した後、不当な遅延なく、いかなる場合も48時間以内に管理者に通知するものとします。

通知には以下を含めるものとします:

  • 個人データ違反の性質(関係するデータ主体の範囲および概数、ならびに記録の説明)
  • 処理者のデータ保護担当者の氏名および連絡先
  • 違反によって生じ得る結果の説明
  • 違反に対処するために講じた又は提案された措置(悪影響を軽減するための措置を含む)の説明

8. 監査と検査

処理者は、GDPR第28条に定められた義務への準拠を実証するために必要なすべての情報を管理者に提供するものとします。処理者は、合理的な事前通知および秘密保持義務を条件として、管理者または管理者が指名した監査人が実施する検査を含む監査を許可し、これに協力するものとします。

9. 期間とデータ削除

本DPAは、基礎となるサービス契約の期間中効力を有するものとします。サービス契約の終了時、処理者は管理者の選択に従い、EUまたは加盟国の法律が個人データの保存を要求しない限り、すべての個人データを削除または返却し、既存のコピーを削除するものとします。処理者は、管理者の要求に応じて、この義務を遵守したことを書面で証明するものとします。

DPAをリクエスト

データ処理契約をリクエストするには、コンプライアンスチームにご連絡ください。お客様の組織のデータ保護要件を満たすDPAの締結に向けて対応いたします。

コンプライアンスチームに連絡 DPAテンプレートをダウンロード