1. 当事者
本データ処理契約(「DPA」)は以下の当事者間で締結されます:
- データ処理者:Hareki LLC, New Mexico, USA(「Hareki」、「当社」)
- データ管理者:Hareki Studioプラットフォームを利用する自然人または法人(「ユーザー」、「お客様」)
本DPAはHareki Studio利用規約の不可分の一部であり、ユーザーに代わって個人データを処理する際の当事者の権利と義務を規定するものです。
2. 定義
- 個人データ:識別された、または識別可能な自然人に関するあらゆる情報(GDPR第4条第1項、KVKK第3条d号)。
- 特別カテゴリーの個人データ:人種、民族的出自、政治的見解、宗教、健康データ等のセンシティブなカテゴリー(GDPR第9条、KVKK第6条)。
- データ処理:収集、記録、整理、保存、変更、移転、削除を含む、個人データに対して行われるあらゆる操作。
- サブプロセッサー:データ処理者に代わって個人データを処理するために委託されたサードパーティサービスプロバイダー。
- データ侵害:個人データへの不正アクセス、損失、破壊、変更、または開示につながるセキュリティインシデント。
- データ管理者:個人データの処理目的および手段を決定する自然人または法人。
- データ処理者:データ管理者に代わり、その権限の下で個人データを処理する自然人または法人。
3. 処理の範囲と目的
Hareki Studioプラットフォームでは以下のカテゴリーの個人データが処理されます:
| データカテゴリー | 処理目的 | 法的根拠 |
|---|
| ブランドデータ(ロゴ、カラー、ブランドボイス) | AIコンテンツ生成 | 契約の履行 |
| アカウント情報(氏名、メールアドレス) | サービス提供、認証 | 契約の履行 |
| 支払データ | Stripeを通じた請求 | 契約の履行 |
| 利用データ(ログ、設定) | サービス改善、エラートラッキング | 正当な利益 |
| 生成コンテンツ | コンテンツ管理およびエクスポート | 契約の履行 |
特別カテゴリーの個人データは処理されません。プラットフォームは健康、生体、または遺伝データを収集しません。
4. データ処理者の義務
Hareki LLCは、データ処理者として以下の義務を負います:
- 指示への遵守:データ管理者の文書化された書面の指示にのみ基づいて個人データを処理します。法的義務により処理前に異なる対応が必要な場合は、データ管理者に通知します。
- 守秘義務:個人データにアクセスできるすべての人員が守秘義務の下に置かれることを確保します。この義務は雇用関係の終了後も継続します。
- セキュリティ対策:GDPR第32条に基づき、処理の性質に応じた適切な技術的および組織的セキュリティ対策を実施します(詳細は附則参照)。
- サブプロセッサーの利用:サブプロセッサーの委託前に、データ管理者の事前の一般的な書面による同意を取得します。新しいサブプロセッサーの追加時には30日前に通知します。
- 支援義務:データ主体の権利(アクセス、訂正、削除、ポータビリティ)の行使において、データ管理者に必要な技術的サポートを提供します。
- データの削除/返還:処理関係の終了時に、データ管理者の選択に応じてすべての個人データを削除または返還します。法的保存義務に従います。
- 監査権:データ管理者またはその指定する独立監査人が、本DPAに基づく義務の遵守を検証するために合理的な監査を実施できることを受諾します。
5. サブプロセッサー
Hareki Studioはサービス提供のために以下のサブプロセッサーを使用します:
| サブプロセッサー | サービス | 所在地 |
|---|
| Vercel Inc. | ホスティング、CDN、エッジネットワーク | San Francisco, CA, USA |
| Supabase Inc. | データベース、認証 | San Francisco, CA, USA |
| OpenRouter / OpenAI | AIコンテンツ処理 | San Francisco, CA, USA |
| Stripe Inc. | 決済処理 | San Francisco, CA, USA |
| Sentry | エラートラッキングおよびパフォーマンス | San Francisco, CA, USA |
| Resend | メール配信 | USA |
変更通知:新しいサブプロセッサーの追加または既存のサブプロセッサーの変更時には、少なくとも30日前にデータ管理者に書面で通知されます。
データ管理者は通知日から14日以内に合理的な根拠をもって異議を申し立てることができます。異議が解決できない場合、データ管理者は契約を終了することができます。
6. 国際データ移転
Hareki LLCはアメリカに拠点を置き、個人データはアメリカのサーバーで処理されます。EU/EEAまたはトルコからのデータ移転には以下の保護メカニズムが適用されます:
- 標準契約条項(SCC):2021年6月4日の欧州委員会施行決定(2021/914)に基づく現行の標準契約条項が適用されます。
- EU-USデータプライバシーフレームワーク:サブプロセッサーの関連認証が有効な範囲で、追加の保護メカニズムとして考慮されます。
- 追加の保護措置:移転データにはエンドツーエンド暗号化(TLS 1.3)、仮名化、およびアクセス制御が適用されます。
- KVKK準拠:トルコからの移転については、第6698号法第9条に基づく必要なコミットメントおよび委員会決定への準拠が確保されます。
7. データ侵害通知
個人データの侵害が検出された場合、Hareki LLCは:
- 侵害の発覚から遅くとも72時間以内にデータ管理者に書面で通知します。
- 通知には以下の情報が含まれます:
- 侵害の性質と範囲
- 影響を受けるデータカテゴリーと推定レコード数
- 侵害の想定される影響
- 講じられた措置および推奨される措置
- 連絡担当者の情報
- 侵害の影響を軽減し、再発を防止するために必要な措置を直ちに講じます。
- 調査および報告プロセスにおいてデータ管理者に全面的に協力します。
- 侵害に関するすべての事実、影響、および是正措置を文書化します。
8. 技術的および組織的措置(附則)
GDPR第32条に基づき適用されるセキュリティ対策:
8.1 暗号化
- 転送中データ:TLS 1.3プロトコル
- 保存データ:AES-256暗号化
- データベース接続:SSL/TLS必須
- バックアップ:暗号化されたストレージ
8.2 アクセス制御
- ロールベースアクセス制御(RBAC)
- Supabase行レベルセキュリティ(RLS) — データベースレベルでの分離
- テナントベースのデータ分離 — マルチテナントアーキテクチャ
- 最小権限の原則
8.3 認証
- パスワードハッシュ:bcryptアルゴリズム
- OAuth 2.0連携(Google、Apple、Microsoft、LinkedIn)
- セッション管理:JWTトークン、セキュアCookie
- レートリミティング:ブルートフォース保護
8.4 モニタリングとログ
- アプリケーションエラートラッキング:Sentry
- アクセスログと監査証跡
- 異常な活動の検出
8.5 バックアップと災害復旧
- 日次自動データベースバックアップ
- 地理的に分散されたバックアップ
- ポイントインタイムリカバリ機能
- 災害復旧計画と定期的なテスト
8.6 人員と組織
- データ保護意識向上トレーニング
- 守秘義務契約(NDA)
- 定期的なアクセス権限の見直し
- セキュリティインシデント対応手順
9. 契約期間と終了
- 本DPAは利用規約の発効をもって効力を生じ、サービス関係の存続期間中有効です。
- サービス関係の終了時に、データ処理者は30日以内にすべての個人データをデータ管理者に削除または返還します。
- 法的保存義務により保持されるデータは、該当する期間の終了時に自動的に削除されます。
- データ削除プロセスの完了時にデータ管理者に書面で確認が送信されます。
10. 準拠法
- GDPR:欧州連合一般データ保護規則(規則2016/679) — EU/EEA市民のデータに適用。
- KVKK:個人データ保護に関する第6698号法 — トルコ共和国市民のデータに適用。
- 紛争解決:当事者間の紛争は、まず友好的に解決を試みるものとします。解決が達成できない場合、アメリカ合衆国ニューメキシコ州の裁判所が管轄権を有するものとします。
最終更新日:2026年3月12日 · お問い合わせ先:legal@hareki.com