契約書類として PDF 化したい方

下記「印刷用ページを開く」から A4 縦最適化レイアウトで開けます。ブラウザの「印刷」(macOS: ⌘+P / Windows: Ctrl+P) → 「PDF として保存」で社内稟議用・押印用に出力できます。

データ処理者契約 (Data Processing Agreement / DPA)

最終更新日: 2026-05-27(v1)

※ 本書は最新の設計に基づくドラフトです。本番適用前に法務専門家のレビューを実施します。

本契約は最新の設計に基づくドラフトです。本番適用前に法務専門家のレビューを実施します。

前文

本契約は、Niyase株式会社(以下「当社」)が提供する「niyase」(以下「本サービス」)を利用される事業者のお客様(以下「顧客」)と当社との間で、顧客が本サービスを通じて当社に処理を委託する個人データの取扱いに関する条件を定めるものです。

本契約は利用規約に付随して締結されるものであり、顧客が本サービスにサインアップする際に利用規約に同意した時点で、本契約も同時に発効するものとします。押印版 PDF の交付が必要なお客様は、別途お問い合わせください。

本契約は次の各法令への対応を目的とします。

  • 日本: 個人情報の保護に関する法律 (個情法)、行政手続における特定の個人を識別するための番号の利用等に関する法律 (番号法)
  • EU: General Data Protection Regulation (GDPR) Article 28
  • 米国カリフォルニア: California Consumer Privacy Act (CCPA) / California Privacy Rights Act (CPRA)

第1条(定義)

本契約において、以下の用語は次の意味を持つものとします。

  1. 「個人データ」: 個情法第2条第6項に定める個人情報・個人データ、GDPR Article 4(1) に定める "personal data"、CCPA に定める "personal information" を包括的に指します。
  2. 「特定個人情報」: 番号法第2条第8項に定める個人番号 (マイナンバー) を含む個人情報。詳細は Schedule A 参照。
  3. 「データ主体」: 個人データの内容により識別される個人 (GDPR の "data subject"、CCPA の "consumer"、個情法の「本人」を包括)。
  4. 「顧客」 / 「データ管理者」: 本サービスを利用し、本サービスに個人データを入力・アップロードする事業者。GDPR の "controller"、個情法の「個人情報取扱事業者 (委託元)」に相当。
  5. 「当社」 / 「データ処理者」: Niyase株式会社。GDPR の "processor"、個情法の「委託先 (受託者)」に相当。
  6. 「サブプロセッサ (Sub-processor)」: 当社が個人データの処理を再委託する第三者。Schedule B に列挙。
  7. 「個人データインシデント」: 個人データの漏えい、滅失、毀損、不正アクセス、その他類するインシデント (GDPR Article 4(12) の "personal data breach"、個情法第26条の「漏えい等」を包括)。
  8. 「ローカルファースト処理」: 顧客が niyase アプリ (desktop / mobile) を端末にインストールし、業務データを端末ローカルストレージにのみ保存する利用形態。当該データは当社のサーバに送信されないため、本契約の主たる対象外。

第2条(適用範囲・優先順位)

  1. 本契約は、顧客が niyase クラウド (cloud.niyase.com) を利用し、当社のサーバに個人データをアップロード・処理させる場合に適用されます。
  2. ローカルファースト処理 (前条第8項) のみで本サービスを利用する場合、当社は当該データに接触しないため、本契約は 形式的に発効するものの実質的な処理委託は発生しません
  3. 本契約と利用規約・プライバシーポリシーの間に矛盾がある場合、個人データの取扱いに関する事項については本契約が優先します。それ以外の事項については利用規約が優先します。

第3条(当社と顧客の役割)

  1. 顧客は、本サービスにアップロードする個人データの データ管理者 (controller) として、データ主体への通知・同意取得・利用目的の明示・データ主体の権利行使対応の責任を負います。
  2. 当社は、顧客の指示に基づき個人データを処理する データ処理者 (processor) として、本契約に定める義務を負います。
  3. 当社は本契約および顧客の文書化された指示なしに、個人データを取扱いません。本サービスの提供 (運用・保守・障害対応・統計分析・不正検知) は黙示の指示に含まれるものとします。

第4条(処理する個人データの種類・データ主体)

処理する個人データの種類・カテゴリは Schedule B に詳述します。代表的には次が含まれます。

  • 顧客の従業員・取引先・顧客の顧客等の 氏名・連絡先・所属・職務情報・給与情報・銀行口座情報・特定個人情報 (マイナンバー)
  • 顧客自身およびその役員・従業員の アカウント情報・認証情報・利用ログ

第5条(処理の目的・期間)

  1. 処理の目的: 本サービス (会計・経費・給与・勤怠・税務・契約管理・プラグイン経由のサードパーティ連携等) の提供および付帯する運用・保守・統計分析・障害対応・不正利用防止。
  2. 処理の期間: 本契約の発効日から、顧客が本サービスの利用を終了し、当社が第16条に定めるデータ返却・破棄を完了するまで。

第6条(当社の義務)

当社は、本契約に基づき次の義務を負います (GDPR Article 28(3) 完全準拠)。

  1. 文書化された指示に基づく処理: 第3条第3項の通り、本契約および顧客の文書化された指示 (利用規約、本サービスの設定、明示的な書面指示) に基づいてのみ個人データを処理します。法令により別段の指示が必要な場合は、当社は当該法令が事前情報提供を禁止する場合を除き、顧客に通知します。
  2. 守秘義務 (第8条): 個人データへのアクセス権を持つ全ての従業者に、書面による守秘義務を課します。
  3. 安全管理措置 (第9条 + Schedule C): 個情法第23条、GDPR Article 32 に準拠した技術的・組織的安全管理措置を講じます。
  4. サブプロセッサの利用 (第10条 + Schedule B): 当社は Schedule B に列挙するサブプロセッサに個人データの処理を再委託します。新規追加・変更時は事前通知します。
  5. データ主体の権利行使への協力 (第11条): GDPR Articles 12〜23 / 個情法第28〜37条が定めるデータ主体の権利 (開示・訂正・削除・利用停止・データポータビリティ等) の行使を顧客が対応するにあたり、合理的に協力します。
  6. DPIA への協力 (第12条): GDPR Article 35 が定める Data Protection Impact Assessment の実施を顧客が行うにあたり、合理的に協力します。
  7. インシデント通知 (第14条): 個人データインシデントを認知してから 24 時間以内に 顧客に通知します。
  8. 契約終了時のデータ返却・破棄 (第16条): 本契約終了時に、顧客の選択により個人データを返却または破棄します。
  9. 監査への対応 (第15条): 当社の本契約遵守状況について、第三者監査報告書の提供、セキュリティアンケート対応、Web 会議による Q&A を通じて顧客が確認できるようにします。
  10. 遵守状況の証拠提供: 顧客が本契約および適用法令の遵守状況を確認するために合理的に必要な情報を提供します。

第7条(顧客の指示への遵守 / 違法指示の通知)

  1. 当社は顧客の指示が適用法令に違反すると合理的に判断する場合、直ちに顧客に通知します。
  2. 顧客が違法な指示を変更しない場合、当社は当該指示への対応を拒否することができます。

第8条(守秘義務)

  1. 当社は、本契約終了後も無期限に、顧客の個人データを秘密として保持します。
  2. 当社の従業者 (現職員・退職者・業務委託先を含む) は、書面による守秘義務契約に拘束されます。
  3. 個人データへのアクセスは、業務上必要な最小限の従業者に限定します。

第9条(安全管理措置)

  1. 当社は、Schedule C に定める技術的・組織的安全管理措置 (Technical and Organizational Measures, TOMs) を講じます。
  2. β 期間中は ISO 27001 / SOC 2 Type II の認証取得を準備中であり、認証取得後は遅滞なく Schedule C を更新し、認証報告書を顧客に提供します (NDA 締結後)。
  3. 安全管理措置の詳細は技術進化・脅威環境の変化に応じて随時改善し、Schedule C を更新します。

第10条(サブプロセッサ)

  1. 現サブプロセッサ: Schedule B に列挙する事業者を、本契約発効日時点でのサブプロセッサとして顧客は事前に承諾するものとします。
  2. 新規追加・変更: 当社は新規サブプロセッサを追加する場合、または既存サブプロセッサを変更する場合、30 日前まで に顧客に通知します。通知は本サービス内のお知らせまたはメールにより行います。
  3. 異議申立: 顧客が新規サブプロセッサに対して合理的な異議を申し立てる場合、通知から 14 日以内に書面で当社に通知してください。両者協議のうえ、解決できない場合、顧客は本サービスの利用を解約する権利を有します (この場合、未経過分の料金は利用規約に従い返金または利用期間延長で対応)。
  4. フローダウン義務: 当社は全てのサブプロセッサに対し、本契約に基づき当社が顧客に対して負う義務と実質的に同等の義務を、書面契約により課します。
  5. 当社の責任: サブプロセッサによる本契約違反について、当社は顧客に対して直接の責任を負います。

第11条(データ主体の権利行使への協力)

  1. データ主体から当社に直接権利行使の請求があった場合、当社は遅滞なく顧客に転送します。
  2. 顧客がデータ主体の権利行使に対応するため当社の協力を必要とする場合、本サービスが提供する機能 (データエクスポート、削除、訂正等のセルフサービス UI) を顧客がまず利用してください。
  3. 本サービスの機能で対応できない請求について、当社は合理的な期間 (原則 7 営業日以内、複雑な請求は 30 日以内) に協力します。
  4. 過度・反復・明らかに根拠のない請求への対応については、当社は実費の請求を検討します。

第12条(データ保護影響評価 / DPIA への協力)

GDPR Article 35 が定める Data Protection Impact Assessment、または個情法に基づくリスク評価を顧客が実施する際、当社は本サービスのアーキテクチャ・安全管理措置・データフロー等について合理的に必要な情報を提供します。提供する情報は、Schedule C (TOMs) およびプライバシーポリシーで開示している範囲を基本とし、追加情報は NDA 締結後に開示します。

第13条(国外移転)

  1. データの主たる保管場所: 顧客がアップロードする業務データは、原則として Google Cloud Platform の asia-northeast1 (東京) リージョン に保管されます。
  2. 国外移転が発生する場合: 一部のサブプロセッサ (Schedule B 参照) は米国その他の国に拠点を有しており、当該サブプロセッサに対する個人データの移転は国外移転に該当します。
  3. 適切な保護措置: 当社は国外移転に際し、次のいずれかの法的措置を確保します。
    • GDPR Standard Contractual Clauses (SCC) の締結
    • 当該国の十分性認定 (例: EU-Japan Adequacy Decision、UK Adequacy Decision)
    • 米国向け移転については EU-US Data Privacy Framework または同等の措置
  4. 顧客への情報提供: 国外移転先・適用される保護措置の詳細は、要請に応じて顧客に提供します。

第14条(個人データインシデントの通知)

  1. 通知時間: 当社は個人データインシデントを 認知してから 24 時間以内 に、影響を受ける顧客に通知します。
  2. 通知方法: 顧客の登録メールアドレス、本サービス内の管理コンソール通知、および必要に応じて電話による直接連絡。
  3. 通知内容: 通知時点で判明している以下の事項を含みます。
    • インシデントの性質 (漏えい・滅失・毀損・不正アクセス等)
    • 影響を受ける可能性のあるデータ主体のカテゴリ・概数
    • 影響を受ける可能性のある個人データの種類・概数
    • 想定される影響
    • 既に講じた措置・今後講じる予定の措置
    • 連絡担当者
  4. 追加情報: 調査の進展に応じ、当社は追加情報を遅滞なく顧客に提供します。
  5. 規制機関への報告: 顧客がデータ管理者として個人情報保護委員会、データ主体、または所轄監督機関 (GDPR Article 33 / 34) への報告義務を履行するため、当社は合理的に必要な情報・協力を提供します。

第15条(監査権)

  1. 第一次対応: 当社の本契約遵守状況について、顧客は以下の方法で確認することができます。
    • 当社が取得した第三者認証 (ISO 27001 / SOC 2 Type II 等) の報告書を NDA 締結後に提供
    • 顧客のセキュリティ・アンケート (Vendor Security Questionnaire) への当社の回答
    • リモート会議 (Web 会議) による Q&A セッション
    • プライバシーポリシー、本契約 Schedule C、および本サービス管理コンソールで開示している情報
  2. β 期間中の取扱い: 第三者認証は取得準備中であり、現状は上記 (1) のうち第三者認証以外の方法で対応します。ISO 27001 取得後・SOC 2 Type II 取得後は、それぞれの報告書を NDA 締結後に提供します。
  3. 物理データセンターの監査: 本サービスの物理インフラは Google Cloud Platform (asia-northeast1) 上で運用されており、当該設備の物理監査については Google LLC の認証 (ISO 27001 / SOC 2 / 27017 / 27018 等) で代替するものとします。
  4. 立入監査の取扱い: 当社の事業所への立入監査については、当社は原則として受入れません。法令・規制機関の命令 (個人情報保護委員会、金融庁検査等) により当社への立入が必須となる場合、当社は誠実に協力します。
  5. 監査費用: 第1項の対応に係る当社の合理的コストは原則無償とします。ただし、過度・反復な要請には実費請求を検討します。

第16条(契約終了時のデータ返却・破棄)

  1. 顧客主導の削除: 本サービスの利用中、顧客はいつでも自身のデータをエクスポート (機械可読形式) し、または本サービス内の機能により削除できます。
  2. 本契約終了時の手続き: 本契約終了 (利用解約) 後、顧客のデータは以下のフローで処理されます。
    • 0 日目: 解約完了 (SUSPENDED 状態)
    • 30 日目: 復旧期間終了、CLOSED 状態に移行
    • 60 日目 (CLOSED から 30 日後): データの物理削除を実行
  3. 保管期間中のデータ自動削除: 当社が controller として保有する内部運用ログ (操作監査ログ・通知配信ログ・認証セッションログ・利用量メトリクス) は、保管期間経過時に自動削除されます。詳細な保管期間カテゴリ・削除フローは別途公開する データ保持ポリシー (https://www.niyase.com/legal/data-retention) を参照してください。
  4. 削除証跡: 当社は重要な削除イベント (アカウント削除・WS 削除・OWNER 移管・保管期間経過による自動削除等) を監査ログに記録します。
  5. 法令上の保管義務: プライバシーポリシー第6条で定める法令上の保管義務 (法人税法 7 年、労働基準法 7 年、内部統制 5-7 年等) がある一部のログ・記録は、当該期間中、当社が保管します。これらは個人特定情報を最小化した形で保管されます。
  6. サブプロセッサのデータ: 各サブプロセッサに保管されるデータも、当社の依頼により遅滞なく削除されます。サブプロセッサ独自の法令上の保管義務がある場合は、各サブプロセッサのプライバシーポリシーに従います。

第17条(特定個人情報 / マイナンバーの特別取扱)

  1. 本サービスは給与計算機能等において、顧客の従業員等の特定個人情報 (マイナンバー含む情報) を取扱います。
  2. 特定個人情報の取扱いについては、番号法第19条 (個人番号の利用) 第10号 (個人番号関係事務の委託) に基づく 委託・再委託関係 として、Schedule A に定める安全管理措置を講じます。
  3. Schedule A は番号法ガイドライン (事業者編) に従い、組織的・人的・物理的・技術的の 4 区分の安全管理措置を網羅します。
  4. 顧客は番号法上の 委託元 として、当社 (委託先) のセキュリティを評価する義務 (番号法第11条) を負います。本契約および Schedule A の遵守により、当該義務は実質的に履行されたものとみなされます。

第18条(損害賠償)

  1. 本契約違反に基づく損害賠償責任は、利用規約第18条 (免責・損害賠償) および第18条の2 (ベータ特約) に従います。
  2. 当社がベータ期間中に故意または重過失により本契約に違反した場合、当社の損害賠償責任の上限は、利用規約第18条の2に従い、当該違反の発生時から遡る 3 ヶ月分の本サービスの利用料相当額とします。
  3. GA (一般提供) 移行後は、利用規約第18条の通り、当社の故意・重過失時に限り直近 12 ヶ月分の利用料相当額を上限とします。
  4. 本条の損害賠償上限は、GDPR Article 82 が定める「データ主体に対する直接の損害賠償責任」の場面 (規制機関による制裁金が課された場合、データ主体から直接損害賠償請求された場合等) には適用されません。当該場面では、当社と顧客はそれぞれが自らの責に帰する範囲で責任を負担します (proportionate liability)。

第19条(個人情報保護管理者・連絡先)

  • 当社の個人情報保護管理者: Niyase株式会社 代表取締役 大窪政裕
  • 連絡先: contact@niyase.com
  • 住所: 〒335-0022 埼玉県戸田市上戸田4-11-6-303

GDPR Article 37 が定める Data Protection Officer (DPO) は、当社の規模・処理活動の性質に鑑み現時点で任命義務はないと判断していますが、上記管理者が DPO に準ずる窓口として機能します。

第20条(本契約の変更)

  1. 当社は、法令の変更、サブプロセッサの変更、安全管理措置の改善等に伴い、本契約を変更することがあります。
  2. 軽微な変更 (Schedule の更新、誤記訂正、より厳格化する変更等) は、本サービス内のお知らせ・メール通知をもって行います。
  3. 重大な変更 (顧客の権利義務を実質的に変更するもの) は、30 日前までに通知し、顧客の同意が必要な場合は明示的な再同意 (click-through または書面) を求めます。同意しない場合、顧客は本サービスの利用を解約する権利を有します。

第21条(準拠法・管轄)

  1. 本契約の準拠法は日本法とします。
  2. 本契約に関する紛争については、東京地方裁判所を第一審の専属的合意管轄裁判所とします。
  3. GDPR / CCPA 等の域外適用がある場合、各法令の要件は本契約により当社が顧客に対して負う義務として組み込まれます。

第22条(一部無効)

本契約の一部の規定が無効または執行不能と判断された場合でも、その他の規定の効力には影響しません。無効・執行不能となった規定は、当事者の本来の意図に最も近い有効な規定に置き換えられたものとみなします。

第23条(言語)

本契約は日本語を正本とします。参考のための英訳が提供される場合がありますが、日本語版との不一致がある場合は日本語版が優先します。

第24条(発効日・有効期間)

  1. 本契約は、顧客が本サービスにサインアップし、利用規約に同意した時点で発効します。押印版 PDF を交付する場合は、両者の押印日をもって発効するものとし、click-through 版の同意は確認的なものとして併存します。
  2. 本契約は、顧客が本サービスの利用を解約し、第16条に定めるデータ返却・破棄が完了するまで有効です。

Schedule A: 特定個人情報の安全管理措置詳細

本 Schedule は、本契約第17条に基づき、特定個人情報 (マイナンバー含む情報) の取扱いに関する安全管理措置を詳述します。番号法ガイドライン (事業者編) の 4 区分に沿って記述します。

A-1. 組織的安全管理措置

  1. 取扱担当者の明確化: 特定個人情報を取扱う当社従業者は、代表取締役 大窪政裕に限定します。
  2. 取扱責任者: 代表取締役 大窪政裕が、特定個人情報の安全管理措置の責任者を兼ねます。
  3. 取扱状況の確認: 監査ログにより、特定個人情報へのアクセスを全件記録します (誰が・いつ・どの従業員の特定個人情報を・どのような操作で参照したか)。
  4. 報告体制: 漏えい等インシデント発生時は、代表取締役直轄の対応体制を発動し、24 時間以内に顧客に通知します (本契約第14条)。
  5. 取扱規程: 本 Schedule および社内手順書を整備し、随時更新します。

A-2. 人的安全管理措置

  1. 守秘義務契約: 代表取締役および取扱担当者は、就任時に書面による守秘義務契約に署名します。退任後も無期限に拘束されます。
  2. 教育: 取扱担当者は、番号法・個情法・本契約の内容について毎年教育を受けます。
  3. 取扱区域外への持出禁止: 特定個人情報の物理媒体 (印刷物・USB 等) への出力・持出は原則禁止です。例外的に必要な場合は代表取締役の事前承諾を要します。

A-3. 物理的安全管理措置

  1. 取扱区域: 特定個人情報の取扱いは、本店所在地 (〒335-0022 埼玉県戸田市上戸田4-11-6-303) または当社が指定するリモートワーク環境 (アクセス制限された当社管理端末) でのみ行います。
  2. データ保管場所: 特定個人情報は、当社サーバ (Google Cloud Platform asia-northeast1) 上の暗号化された Cloud SQL データベース内のみに保管されます。物理媒体への複製は原則行いません。
  3. 機器の管理: 取扱担当者の端末は、ストレージ暗号化、自動画面ロック、紛失時の遠隔ワイプを設定しています。
  4. 廃棄方法: 物理媒体の廃棄は、当社責任のもと焼却・物理破壊を行います。

A-4. 技術的安全管理措置

  1. アクセス制御:
    • 特定個人情報は、employee.my_number カラム (12 桁) に保管されます。
    • 標準ロール (OWNER / ADMIN / MEMBER) では取得できません。employee-mynumber:read 権限を持つロール (顧客側で明示的に付与) のみ平文取得可能です。
    • それ以外のロールには、Field-mask ポリシーにより XXXX-XXXX-XXXX 形式でマスク表示されます。
  2. 識別・認証:
    • 多要素認証 (MFA) の利用を WS 単位で必須化可能です。
    • 認証は Firebase Authentication (Google LLC) によりトークン管理されます。
  3. 保管時暗号化: Cloud SQL 標準の at-rest 暗号化 (AES-256) により保管されます。
  4. 通信時暗号化: TLS 1.3 により通信時暗号化されます。
  5. 監査ログからの除外: 監査ログの metadata カラムには、マイナンバー、パスワード、トークン等の機微情報を記録しないことを実装上の規約としています。
  6. 不正アクセス防止: WAF (Cloudflare、検討中)、IP 制限機能、レートリミット、不審なアクセスの検知・通知。
  7. 外部漏えい防止: 監査ログ・操作ログにより、特定個人情報の参照履歴を全件追跡可能です。

A-5. 漏えい時対応

  1. 個人情報保護委員会への報告: 番号法第29条の4および個情法第26条に基づき、当社は顧客 (委託元) を通じて速やかに報告します。
  2. 本人通知: データ主体への通知は、原則として顧客 (委託元) が行います。当社は通知に必要な情報を提供します。

Schedule B: サブプロセッサ一覧および処理活動の詳細

B-1. 処理する個人データのカテゴリ

カテゴリ具体例
識別情報氏名 (姓・名・カナ)、メールアドレス、電話番号、住所
認証情報パスワードハッシュ、認証トークン、セッション ID
雇用情報入社日、退職日、所属部署、役職、雇用形態
給与情報基本給、賞与、各種手当、源泉徴収額、社会保険料、振込先口座
特定個人情報マイナンバー (12 桁、Schedule A 参照)
取引情報取引先名、取引額、契約内容、請求書情報
ログ情報IP アドレス、User-Agent、操作履歴、エラーログ
利用量API コール数、ストレージ使用量、機能利用統計

B-2. データ主体のカテゴリ

  • 顧客 (法人) の役員・従業員
  • 顧客 (個人事業主) 本人
  • 顧客の取引先 (法人代表者・担当者)
  • 顧客の顧客 (請求先・債権者等)
  • 顧客の家族 (家族・健康・住居・家計メニュー利用時)
  • お問い合わせ送信者

B-3. サブプロセッサ一覧 (本契約発効日時点)

サブプロセッサ提供者拠点用途接触する個人データ適用される保護措置
Google Cloud PlatformGoogle LLC米国 (グローバル、データは asia-northeast1)サーバ・データベース・ストレージ業務データ全般SCC / DPF / ISO 27001 / SOC 2 / 27017 / 27018
Firebase AuthenticationGoogle LLC米国 (グローバル)認証基盤メール・認証トークンSCC / DPF
StripeStripe, Inc.米国決済処理・サブスク管理氏名・住所・カード情報 (Stripe 側で保持)SCC / DPF / PCI DSS Level 1
ResendResend, Inc.米国トランザクションメール送信メールアドレス・通知本文SCC / DPF
Anthropic APIAnthropic PBC米国AI 機能AI 機能利用時にプロンプトに含まれる範囲SCC / DPF
SentryFunctional Software, Inc.米国・ドイツ・オーストラリアエラー監視スタックトレース・ユーザ ID・IPSCC / DPF / ISO 27001 / SOC 2 Type II
CloudflareCloudflare, Inc.グローバル CDN ノードメンテナンス制御・CDN・DDoS 防御IP アドレス・リクエストヘッダSCC / DPF / ISO 27001 / SOC 2

なお、Google Analytics は匿名化された統計データのみを処理しサブプロセッサとは別カテゴリ (個人特定なし) ですが、念のため顧客への透明性確保のためプライバシーポリシー第4条に記載しています。

B-4. 国外移転

第13条に従い、原則 asia-northeast1 で処理されますが、上記サブプロセッサのうち米国・グローバル拠点を持つものについては国外移転が発生します。当社は各サブプロセッサと SCC または DPF に基づく契約を締結しています。

B-5. サブプロセッサ変更時の通知

新規サブプロセッサ追加・既存サブプロセッサ変更時、当社は本契約第10条に従い 30 日前までに顧客に通知します。


Schedule C: 安全管理措置 (Technical and Organizational Measures, TOMs)

C-1. 通信時の暗号化

  • HTTPS / TLS 1.3 (古い TLS バージョンは無効化済み)
  • 認証局の証明書による真正性検証

C-2. 保管時の暗号化

  • Cloud SQL の at-rest 暗号化 (AES-256)
  • Cloud Storage の at-rest 暗号化
  • アプリケーションレベルでの追加暗号化 (機微項目)

C-3. アクセス制御 (Authentication & Authorization)

  • 多要素認証 (MFA) の提供および WS 単位の必須化機能
  • IP 制限機能 (業務遂行場所の限定)
  • アクセス権の細粒度管理:
    • 標準ロール: OWNER / ADMIN / MEMBER 等
    • カスタムロール: 顧客が独自定義可能
    • 部署スコープ: 部署単位でのアクセス制限
    • 項目レベル ACL: マイナンバー・給与等の特定項目の追加制御
  • API キーのスコープ・有効期限管理
  • セッション一覧・強制ログアウト機能

C-4. データ分離 (Multi-tenancy)

  • Central DB と WS DB の分離 (テナント分離による情報漏洩リスク低減)
  • 1 スペース = 1 データベース (DB-per-tenant) の構成
  • WS DB は Central DB にアクセスしない設計

C-5. 監査ログ

  • 全ての重要操作 (権限変更、データ削除、設定変更、認証イベント等) を監査ログに記録
  • ログには「誰が」「いつ」「何をしたか」を必ず含む
  • actor 情報の冗長保存 (削除済みユーザの記録も追跡可能)
  • 監査ログのメタデータには機微情報 (マイナンバー、パスワード、トークン) を含めない実装ポリシー
  • ログの改ざん耐性 (今後 WORM 化を予定、Phase 2)

C-6. インシデント検知・対応

  • Sentry によるアプリケーションエラーのリアルタイム検知
  • 不審なアクセスパターンの検知・通知
  • 24 時間以内の顧客通知体制 (本契約第14条)
  • メンテナンスモード機構による緊急時のサービス制御

C-7. バックアップ・災害復旧

  • 定期バックアップ (asia-northeast1 リージョン内)
  • バックアップからのリストアテスト実施
  • 個人データインシデント発生時のデータ復旧フロー策定

C-8. 安全な開発・運用

  • セキュアコーディング規約の遵守
  • 依存ライブラリの脆弱性スキャン (継続的)
  • コードレビューによる変更管理
  • 本番環境への直接アクセス制限 (CI/CD パイプライン経由)
  • シークレット管理 (環境変数・Secret Manager)

C-9. 人的セキュリティ

  • 取扱担当者への定期的なセキュリティ教育 (年次)
  • 守秘義務契約の締結
  • アクセス権の最小権限化

C-10. 物理セキュリティ

  • 物理データセンターのセキュリティは Google Cloud Platform の認証 (ISO 27001 / SOC 2 等) で代替
  • 当社事業所での取扱規程 (Schedule A-3 参照)

C-11. 認証・コンプライアンス

  • 取得済: なし (β 期間中)
  • 取得準備中:
    • ISO 27001 (ISMS) — 取得後にプロセス文書を公開
    • SOC 2 Type II — 取得後に NDA 締結のうえ報告書を提供
  • 既存契約上の準拠: 利用規約・プライバシーポリシー・本契約により法令準拠を担保

以上

バージョン: v1

発効日: 2026-05-27

変更内容: 初版