本「データ処理に関する取り決め」(以下「本 DPA」といいます)は、株式会社 Vaigate(設立準備中)(以下「当社」といいます)が Vairank(ヴァイランク)(以下「本サービス」といいます)の運営において処理する個人データについて、その取扱方法、委託先、安全管理措置等を明示するものです。本 DPA は プライバシーポリシー および 利用規約 と一体として運用されます。
1目的
本 DPA は、当社が本サービスの提供にあたって処理する個人データに関して、個人情報保護法その他関係法令、および GDPR・CCPA 等の海外プライバシー法制の趣旨に沿った透明性ある取扱いを実現することを目的とします。
法人のお客様、株主、投資家、ガバナンス・セキュリティ評価担当者の皆様に対し、本サービスのデータ処理体制を可視化することで、当社の信頼性と説明責任を担保します。
2適用範囲
本 DPA は、当社が本サービスの提供に際して取得・処理する全ての個人データに適用されます。具体的には以下を含みます。
- 本サービスの登録ユーザーから取得する個人データ
- 本サービスの利用に伴い自動的に取得するアクセスログ等
- お問い合わせフォームを通じて取得する情報
本 DPA は、Vairank に関する取扱いに限定されます。姉妹サービス Vaipm 等、当社の他のサービスに関するデータ処理については、各サービスの DPA をご参照ください。
3処理する個人データの種類
| データカテゴリ | 具体的な項目 |
|---|---|
| 識別情報 | メールアドレス、ハッシュ化されたパスワード |
| 利用情報 | お気に入りに保存したランキング、通知設定 |
| アクセスログ | IP アドレス、ブラウザ情報、アクセス日時、リファラ |
| お問い合わせ情報 | お問い合わせフォームに入力された情報(氏名・メール・内容等) |
当社は、要配慮個人情報(人種、信条、社会的身分、病歴、犯罪歴等)を取得しません。
4処理の目的・性質・期間
4.1 処理の目的
個人データの処理目的は、プライバシーポリシー 3 章に定めるとおりです。要約すると、本サービスの提供・運営、ユーザー認証、ユーザー機能(お気に入り・通知)の提供、利用状況分析、お問い合わせ対応等です。
4.2 処理の性質
当社が個人データに対して行う処理には、以下が含まれます。
- 収集(ユーザーからの登録、サービス利用に伴う自動取得)
- 記録・保管(暗号化された状態でデータベースに保管)
- 利用(認証、機能提供、分析)
- 削除(ユーザーの請求時、または保管期間経過時)
4.3 保管期間
個人データの保管期間は、利用目的の達成に必要な範囲とし、原則として以下の基準で運用します。
- 登録ユーザーの個人データ: 退会から 30 日以内に削除
- アクセスログ: 取得から 12 ヶ月
- お問い合わせ情報: 対応完了から 3 年(再問い合わせ対応のため)
法令により保管期間の定めがある場合は、当該期間に従います。
5委託先・副処理者一覧
当社は、本サービスの運営に必要な範囲で、以下の委託先(副処理者)を利用しています。
| 委託先 | 委託する処理 | 所在地 | 準拠規格・認証 |
|---|---|---|---|
| Clerk Inc. 米国デラウェア州 | ユーザー認証情報(メールアドレス、ハッシュ化パスワード)の管理 | 米国 | SOC 2 Type II |
| Amazon Web Services, Inc. 米国ワシントン州 | ユーザーデータ(お気に入り、通知設定、お問い合わせ)の保管およびサーバー運用 | 日本(東京リージョン ap-northeast-1) | ISO/IEC 27001 ISO/IEC 27017 ISO/IEC 27018 SOC 1/2/3 |
| Vercel Inc. 米国カリフォルニア州 | ウェブサイトの配信(CDN)、エッジファンクションの実行 | グローバル CDN(主に米国・欧州・アジア) | SOC 2 Type II HIPAA |
当社は、新たな委託先を追加し、または既存の委託先を変更する場合、本 DPA を改定し、その変更内容を本サービス上で事前に告知します。重大な変更については、登録ユーザーに対しメール等にて通知することがあります。
5.1 国境を越えた個人データ移転
上記委託先のうち、Clerk および Vercel については、米国その他の国へ個人データが移転される可能性があります。当社は、外国にある委託先または副処理者に個人データを取り扱わせる場合、個人情報保護法その他関係法令に従い、必要に応じて本人への情報提供、同意取得、または当該委託先における相当措置の継続的な実施を確保するための措置を講じます。
具体的には、以下を含む確認・対応を行います。
- 各委託先が提供する標準契約、データ処理補遺(Data Processing Addendum)、利用規約等のデータ保護条項の確認
- 各委託先のセキュリティ認証(SOC 2 Type II、ISO/IEC 27001 等)の保有状況の確認
- 各委託先のプライバシー保護体制および所在地国の制度に関する公表情報の確認
- 当社の安全管理措置の水準と同等以上の水準が確保されていることの確認
ユーザーから請求があった場合、法令上必要な範囲で、当該措置に関する情報を提供します。
6安全管理措置
当社は、個人データの安全管理のため、組織的・物理的・技術的・人的な観点から多層的な安全管理措置を講じています。詳細は プライバシーポリシー 6 章をご参照ください。
6.1 主要な技術的措置
- 通信の暗号化: TLS 1.2 以上を全ての通信に適用
- 保管データの暗号化: AWS KMS による暗号化
- パスワードのハッシュ化: 平文パスワードを保有しない
- アクセス制御: 最小権限の原則に基づくロール設計
- アクセスログの取得・保管: 不正アクセスの検知に活用
6.2 委託先の管理
当社は、委託先の選定にあたり、当社が定める安全管理措置の水準を踏まえ、各委託先のセキュリティ体制、プライバシー保護体制、提供されるデータ保護条項、データ処理補遺(Data Processing Addendum)、利用規約等を確認します。委託先との間では、当該委託先が提供する標準契約、データ処理補遺、利用規約その他の契約条件に基づき、必要なデータ保護措置を確保するよう努めます。当社は、必要に応じて委託先の取扱状況を確認します。
7データ主体の権利行使対応
ユーザー(データ主体)は、当社に対して以下の権利を行使することができます。詳細な手続きは プライバシーポリシー 7 章をご参照ください。
- 個人データへのアクセス・開示請求権
- 訂正・追加・削除請求権
- 利用停止・消去請求権
- 第三者提供停止請求権
- 処理に対する異議申立権
権利行使のお問い合わせ先は、本 DPA 末尾のお問い合わせ窓口をご利用ください。当社は、ご請求を受領した後、合理的な期間内(原則として 30 日以内)に対応します。
8監査
当社は、本 DPA に基づくデータ処理について、自社内部での定期的な点検を実施します。委託先における取扱状況についても、契約に基づき必要な情報を取得し、確認します。
法人のお客様で、当社のデータ処理体制について追加情報をご希望の場合は、コンプライアンス窓口までご連絡ください。秘密保持契約の締結を前提に、追加の情報提供に応じることがあります。
9データ侵害通知
当社は、個人データの漏えい、滅失、毀損その他のセキュリティインシデント(以下「データ侵害」といいます)が発生した場合、以下の対応を行います。
- 速やかな事実確認・被害拡大防止措置: インシデント発覚後、直ちに事実関係を調査し、被害の拡大を防止する措置を講じます。
- 規制当局への報告: 個人情報保護法その他法令に基づく報告義務がある場合、所定の期限内に個人情報保護委員会等の規制当局に報告します。
- 影響を受けるユーザーへの通知: 個人の権利利益を害するおそれが大きいと判断される場合、対象ユーザーに対し、事実関係、原因、対応状況等を通知します。
- 再発防止: 原因究明の結果に基づき、再発防止策を策定・実施します。
10契約終了時のデータ取扱い
登録ユーザーが本サービスを退会した場合、当社は、当該ユーザーの個人データを退会から 30 日以内に削除します。ただし、以下の場合は当該データを保持することがあります。
- 法令により保管が義務付けられている場合
- 当社の権利または法的請求の防御に必要な場合
- 退会前に統計処理・匿名化を完了した情報(個人を特定できない形式で利用統計として保持)
当社が本サービスの提供を終了する場合、登録ユーザーに対して事前に通知の上、個人データの取扱方法(削除またはエクスポート機会の提供等)について別途ご案内します。