Legal

データ処理契約 / Data Processing Addendum

最終更新: 2026-04-29

本Data Processing Addendum(以下「本DPA」)は、JapanMarketing合同会社(JapanMarketing LLC、以下「Processor」または「当社」)と、 DemandPress(以下「本サービス」)を利用する顧客(以下「Controller」)との間で締結される、利用規約の一部を構成する書面です。

第1条 — 定義

本DPAで使用する用語は、GDPR(Regulation (EU) 2016/679)および日本の個人情報保護法(APPI)に 定義される意味を有します。「個人データ(Personal Data)」にはAPPI上の「個人情報」を含みます。

第2条 — 当事者の役割

  • Controllerは、本サービスに投入するCustomer Personal Dataの処理目的および手段を決定します。
  • Processorは、国際移転を含む処理について、Controllerの文書化された指示に従ってのみ処理します。

第3条 — 処理の範囲

対象事項DemandPress(B2Bリードジェネレーション)の提供
期間本契約の有効期間およびプライバシーポリシーに定める保持期間中
性質と目的Controllerの指示に基づくウェブサイト訪問者解析、フォームリード、AI支援コンテンツの処理
データの種類行動データ(ページビュー、クリック、スクロール)、フォーム経由の連絡情報、連携サービスから取得するコンテンツ
データ主体の種類Controllerのウェブサイト訪問者、リード、連携ワークスペースのメンバー

第4条 — Processorの義務

  1. Customer Personal DataはControllerの文書化された指示に基づいてのみ処理します。
  2. 処理権限を有する者に守秘義務を負わせます。
  3. 適切な技術的および組織的安全管理措置を実装します(セキュリティ概要参照)。
  4. 副処理者は事前の一般承認に基づいてのみ起用します(第6条および副処理者リスト参照)。
  5. データ主体の権利行使請求への対応を支援します。
  6. セキュリティ、漏えい通知、DPIA、監督機関への相談についてControllerを支援します。
  7. サービス終了時、Controllerの選択により、Customer Personal Dataを削除または返却します。
  8. 遵守を実証するために必要な情報を提供し、監査に協力します。

第5条 — セキュリティ

Processorは、セキュリティ概要に記載する次の措置を実装し維持します。

  • 通信時の暗号化(TLS 1.2 以上)および保存時の暗号化(AES-256)
  • 最小権限とMFAに基づくアクセス制御
  • ロギングおよびモニタリング
  • バックアップおよびディザスタリカバリ
  • 脆弱性管理

第6条 — 副処理者

  1. Controllerは、副処理者リストに記載された副処理者の起用を承認します。
  2. Processorは、副処理者の追加または変更の少なくとも30日前にControllerに通知します。 Controllerは合理的な理由がある場合、14日以内に異議を申し立てることができ、 解消されない場合は、影響を受ける部分のサービスを終了することができます。
  3. Processorは副処理者の作為および不作為について責任を負います。

第7条 — 国際移転

  1. EEA、英国またはスイスから十分性認定のない国への移転については、当事者は Standard Contractual Clauses(Module 2: Controller-to-Processor)として Commission Implementing Decision (EU) 2021/914 を引用により本DPAに組み込みます。 UK Addendum およびスイス FDPIC 適応条項も該当する場合に適用されます。
  2. SCCs Annex I:
    • Data exporter: Controller(顧客)
    • Data importer: JapanMarketing合同会社(JapanMarketing LLC)
    • 監督機関: Controllerの設立地に基づき指定
  3. SCCs Annex II:セキュリティ概要を参照。
  4. SCCs Annex III:副処理者リストを参照。

第8条 — データ主体の権利

Processorは、処理の性質を考慮し、可能な範囲で適切な技術的および組織的措置により、 データ主体からの請求(アクセス、訂正、消去、制限、ポータビリティ、異議)に対する Controllerの応答義務の履行を支援します。

第9条 — 漏えい通知

ProcessorがCustomer Personal Dataに影響するPersonal Data Breachを認識した場合、 不当な遅延なく、いかなる場合も認識から72時間以内にControllerに通知します。 通知にはGDPR第33条第3項が要求する情報を可能な範囲で含めます。

第10条 — 監査

  1. Controllerは、12ヶ月に1回を超えない頻度で、Processorの最新の第三者監査報告 (SOC 2 Type II 取得後)およびセキュリティアンケートのコピーを請求できます。
  2. 監督機関の要求がある場合、合理的な事前通知のもと、Controllerの費用負担および守秘義務を条件として、 オンサイト監査を実施できます。

第11条 — 返却・削除

サービス終了時、Processorは、法令により保持が義務付けられる場合を除き、 Controllerの選択により、Customer Personal Dataの全てを30日以内に削除または返却します。 削除は論理削除を含み、バックアップは通常のローテーションのうち30日以内に上書きされます。

第12条 — APPI固有条項

APPIに服するPersonal Informationについて:

  • Processorは委託された個人情報を委託目的の範囲内でのみ取り扱います。
  • Processorは APPI 第25条に基づき、従業者および委託先に対する監督措置を講じます。
  • 日本からの越境移転については、APPI 第28条に基づき、同等の保護を確保するか、 必要な場合に同意を取得します。

第13条 — 責任

本DPAに基づく責任は、利用規約第12条の責任制限に従います。

第14条 — 準拠法

本DPAは、APPI関連条項については日本法に、SCCsについては必要な範囲でデータ輸出者の設立地法に準拠します。

第15条 — お問い合わせ

本DPAに関するお問い合わせは、legal@demand-press.comまでご連絡ください。

最終改定日:2026年4月29日