データ処理委託契約(DPA)
バージョン v1.0 候補(雛形)・最終更新 2026-05-17
⚠ 弁護士監修前のドラフトです
本文書は要件定義書 v1.0(SDK 単独 + 暗号化 統一)をベースに作成した draft v0.1 です。本番ローンチ前に弁護士の監修を経て確定版に差し替えます。ご質問は support@haji-k.com まで。
1. 当事者と三者構造
- 委託元:お客様(個人情報取扱事業者)
- 委託先:GrowGroup株式会社(ハジク運営、以下「当社」)
- 再委託先(サブプロセッサ):本契約 § 8 のとおり
2. 取扱いの目的
当社は、お客様から委託された個人情報を「お問い合わせフォーム送信内容の判定」目的のみに使用します。二次利用は集合知 DB への匿名集計に同意いただいた場合に限り、個人を特定し得る情報を含めません。
3. 取扱う個人情報の範囲
- お客様のアカウント情報(氏名・会社名・メールアドレス)
- お客様のサイトに届く第三者(エンドユーザー)の問い合わせ送信内容※ 暗号化により当社は内容を復号できません
- 判定結果のメタデータ(本物 / 要確認 / 営業 / ブロック、信頼度、判定理由)
4. 安全管理措置
- 暗号化(本文・氏名・メール・電話などはブラウザ内で AES-GCM 暗号化)
- 機微情報除去(クレカ・マイナンバー・口座番号・パスポート・健康情報はマスキング)
- アクセス制限(当社運営者であっても本文を復号できない設計)
- パスワード等の認証情報は不可逆ハッシュ(bcrypt)で保管
- 通信路は TLS 1.2 以上で暗号化
- 監査ログ(管理操作の記録、サポート用途以外への二次利用なし)
- 従業員教育(個人情報保護法 / GDPR / 守秘義務)
5. インシデント時の報告
個人情報漏洩等のインシデントが発生した場合、当社は72 時間以内にお客様へ報告し、原因・影響範囲・再発防止策を提示します。お客様の監督官庁への報告義務がある場合、必要な情報を遅滞なく提供します。
6. データの所在地と越境移転
本サービスのデータベース(Neon Postgres)は北米リージョンで運用されています。一部の処理(AI 判定)も米国の事業者(Anthropic / Google)に再委託しています。これらの越境移転は、再委託先との契約上、本邦の個人情報保護法に準じた水準の安全管理を担保しています。
7. 監査権
お客様は、本契約の遵守状況について、合理的な事前通知のうえ年 1 回まで監査を行うことができます。監査の範囲・方法は両者協議のうえ決定するものとし、第三者監査報告書(SOC 2 等の取得時)の提示をもって代えることもできます。
8. サブプロセッサ一覧
当社が利用する主要なサブプロセッサは以下のとおりです。新規の追加・変更時は事前に告知します。
| 事業者 | 用途 | 所在 |
|---|---|---|
| Anthropic, PBC | Claude Haiku 4.5(AI 判定) | 米国 |
| Google LLC | Gemini 2.0 Flash(AI 判定フェイルオーバー) | 米国 |
| Vercel Inc. | Web ホスティング・配信 | 米国 |
| Neon Inc. | データベース(暗号化済データ保管) | 米国 |
| Resend Inc. | 認証・通知メール配信 | 米国 |
| Stripe, Inc. | 決済処理(有料プラン利用時) | 米国 |
AI 事業者(Anthropic / Google)へは、判定精度を確保するためお問い合わせの記入内容(本文および氏名・メール・電話などの入力項目を含む)を判定処理のために送信します。ただし機微情報 5 種はブラウザ内で除去済みです。送信内容は当社データベースには暗号化された状態でのみ保管されます。
9. データの返却・削除
委託契約終了時(お客様のアカウント解約等)、当社は委託されたデータを 30 日後に完全削除します。完全削除証明書の発行が必要な場合は別途ご相談ください。
10. 契約期間・解約
本契約は、お客様の本サービス利用開始から、アカウント解約および本契約に基づくデータ処理の終了まで有効に存続するものとします。
11. お問い合わせ
DPA に関するご質問・締結のご相談はsupport@haji-k.comまでご連絡ください。
本雛形の Markdown 元本はdocs/legal/03_DPA雛形_v0.1_draft.mdにあります。法人契約締結時には個別に内容を調整できます。