データ処理契約(DPA)
最終更新日: 2026年2月17日
注意: 本文書は法務レビュー前のドラフトです。本番公開前に法務・弁護士によるレビューが必要です。
本データ処理契約(以下「本DPA」)は、株式会社フィールフロウ(以下「データ処理者」または「当社」)と、FeelFlow AI Ecosystem に属するサービス(以下「本サービス」と総称)を利用する組織(以下「データ管理者」または「お客様」)との間で、個人データの処理に関する条件を定めるものです。
本DPA は、フィールフロウ サービス利用規約の一部を構成します。
1. 定義
本DPA において使用する用語の定義は以下の通りです。
- 「個人データ」: 個人情報の保護に関する法律(個人情報保護法)に定める個人情報、および GDPR に定める個人データを意味します
- 「データ管理者」: 個人データの利用目的および処理方法を決定する組織(お客様)
- 「データ処理者」: データ管理者の指示に基づき個人データを処理する者(当社)
- 「サブプロセッサー」: データ処理者が個人データの処理を委託する第三者
- 「データ主体」: 個人データにより識別される、または識別可能な個人
- 「データ侵害」: 個人データの漏えい、滅失、毀損その他の不正な取り扱い
2. データ処理の範囲と目的
2.1 処理の目的
当社は、以下の目的に限り、お客様の個人データを処理します。
- 本サービスの提供・運営(認証、組織管理、契約管理、課金・決済)
- カスタマーサポートの提供
- 本サービスのセキュリティ維持・障害対応
- 法令に基づく義務の履行
2.2 処理するデータの種類
| データカテゴリ | 具体例 |
|---|---|
| アカウント情報 | 氏名、メールアドレス、ユーザーID |
| 組織情報 | 組織名、メンバー構成、権限設定 |
| 利用情報 | ログイン履歴、機能利用状況 |
| 決済情報 | 契約プラン、請求履歴(カード番号は Stripe が直接処理) |
2.3 データ主体の範囲
- お客様の組織に所属するメンバー(従業員、契約者等)
- お客様がサービスを通じて管理する個人
3. データ管理者の義務
お客様は、以下の義務を負います。
- 個人データの処理について、適法な根拠(同意、契約の履行、正当な利益等)を確保すること
- データ主体に対し、個人データの処理に関する必要な情報を提供すること
- 当社に対し、適法かつ明確な処理の指示を行うこと
- 個人データの正確性を維持すること
4. データ処理者の義務
当社は、以下の義務を負います。
- お客様の文書化された指示に基づいてのみ個人データを処理すること
- 個人データの処理に従事する者に対し、秘密保持義務を課すこと
- 本DPA に定める安全管理措置を実施すること
- サブプロセッサーの利用に関する条件を遵守すること
- データ主体の権利行使への対応についてお客様を支援すること
- 処理の終了後、お客様の指示に従いデータを返却または削除すること
- お客様による監査に合理的に協力すること
5. サブプロセッサー
5.1 現在のサブプロセッサー
当社は、本サービスの提供にあたり、サブプロセッサーを利用しています。現在のサブプロセッサーの一覧(名称、処理目的、会社所在地、データ処理サーバーの所在地を含む)は、当社のサブプロセッサー一覧ページにて公開しています。
5.2 サブプロセッサーの変更
- 当社は、サブプロセッサーの追加・変更を行う場合、30日前までにお客様に通知します
- お客様は、変更に対して合理的な異議を申し立てることができます
- 異議が解消されない場合、お客様は本サービスの該当部分を解約できます
5.3 サブプロセッサーへの義務
当社は、サブプロセッサーに対して、本DPA と同等以上のデータ保護義務を契約により課します。
6. セキュリティ措置
当社は、個人データの保護のため、以下のセキュリティ措置を実施します。
6.1 技術的措置
- 通信の暗号化(TLS 1.2 以上)
- 保存データの暗号化
- パスワードのハッシュ化(bcrypt)
- アクセス制御(ロールベースアクセス制御)
- アクセスログの記録・監視
- 定期的な脆弱性診断
6.2 組織的措置
- 情報セキュリティポリシーの策定・運用
- 従業員への情報セキュリティ教育
- アクセス権限の最小化原則の適用
- インシデント対応手順の整備
7. データ主体の権利
7.1 権利行使への対応
データ主体から開示・訂正・削除・利用停止等の請求があった場合、当社はお客様に速やかに通知し、お客様の指示に基づき対応を支援します。
7.2 対応期間
当社は、お客様からの要請を受けた後、合理的な期間内(原則として10営業日以内)に対応します。
8. データ侵害の通知
8.1 通知義務
当社は、個人データに関するデータ侵害を認識した場合、不当な遅滞なく(原則として72時間以内に)お客様に通知します。
8.2 通知内容
通知には、以下の情報を可能な限り含めます。
- データ侵害の内容および発生時期
- 影響を受ける個人データの種類および概数
- 影響を受けるデータ主体の概数
- 予想される影響
- 当社が講じた、または講じる予定の措置
8.3 協力
当社は、データ侵害に関する調査および監督当局・データ主体への通知について、お客様に協力します。
9. データの返却・削除
9.1 契約終了時の対応
本サービスの利用契約が終了した場合、当社はお客様の選択に基づき、以下のいずれかの対応を行います。
- データの返却: お客様が指定する形式でデータをエクスポートして提供
- データの削除: 個人データを安全に削除し、削除完了の確認書を提供
9.2 削除の期限
お客様からの指示がない場合、契約終了後90日以内にデータを削除します。ただし、法令により保存が義務付けられているデータはこの限りではありません。
9.3 バックアップからの削除
バックアップシステム内のデータは、通常のバックアップローテーションに従い、契約終了後180日以内に削除されます。
10. 国際転送
10.1 転送先
お客様の個人データは、本サービスの提供に必要な範囲で、セクション5に記載のサブプロセッサーの所在地(米国)に転送される場合があります。
10.2 保護措置
国際転送にあたっては、以下の保護措置を講じます。
- サブプロセッサーとの間でデータ処理契約を締結
- 転送先における適切なセキュリティ措置の確認
- 個人情報保護法に基づく外国にある第三者への提供に関する本人への情報提供
11. 監査
11.1 監査の権利
お客様は、本DPA の遵守状況を確認するため、年1回を上限として、合理的な事前通知(30日前まで)の上、当社の監査を実施する権利を有します。
11.2 監査の方法
- 当社の情報セキュリティに関する認証・報告書(SOC 2 等)の確認
- 書面による質問票への回答
- 合理的な範囲での立入検査(機密情報保護に配慮の上)
11.3 費用
監査に要する費用は、原則としてお客様の負担とします。ただし、当社の義務違反が確認された場合は当社が負担します。