データ処理契約
最終更新日: 15 April 2026
このデータ処理契約(“DPA”)は、Accsibleアカウントで特定された事業体(“Customer”、“Controller”)と、Denizcom Ltd、Accsibleとして営業し、71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, United Kingdomに登記された会社(“Accsible”、“Processor”)との間の契約の一部を構成し、利用規約およびプライバシーポリシー(総称して、“Principal Agreement”)を補完するものです。
本DPAは、Accsibleがサービスの提供過程においてCustomerに代わってPersonal Dataを処理する場合に、かつその範囲において適用されます。本DPAは、UK GDPR、EU GDPR(Regulation 2016/679)第28条、その他適用されるデータ保護法令への準拠を確保するために設計されています。
1. 定義
本DPAにおいて、文脈上別段の定めがない限り、以下のとおりとします:
- “Data Protection Laws” — UK GDPR、EU GDPR、Data Protection Act 2018、Privacy and Electronic Communications Regulations 2003、およびその他適用されるデータ保護法令。
- “Personal Data” — Principal Agreementに基づきAccsibleがCustomerに代わって処理する、識別された、または識別可能な自然人に関するあらゆる情報。
- “Processing” — 収集、記録、保存、検索、使用、開示、消去、または破棄を含む、Personal Dataに対して行われるあらゆる操作。
- “Sub-processor” — Customerに代わってPersonal Dataを処理するためにAccsibleが नियुक्तした第三者。
- “Data Subject” — Personal Dataが関連する、識別された、または識別可能な自然人。
- “End User” — Accsible Widgetとやり取りするCustomerのウェブサイトの訪問者。
- “Security Incident” — Personal Dataの偶発的または違法な破壊、喪失、改ざん、無権限の開示、またはアクセスにつながるセキュリティ侵害。
- “SCCs” — 欧州委員会により承認された標準契約条項(Decision 2021/914)または、該当する場合はUK International Data Transfer Agreement(IDTA)。
2. 処理の範囲および詳細
2.1 対象事項
Accsibleは、アクセシビリティウィジェットおよびSaaSプラットフォームを提供します。Customerが自社のウェブサイトにWidgetを統合する場合、AccsibleはCustomerに代わってEnd Usersの一定のPersonal Dataを処理します。
2.2 期間
処理はCustomerがWidgetを有効化した時点で開始し、Principal Agreementの存続期間中継続します。終了時には、本DPAの第11条が適用されます。
2.3 処理の性質および目的
| 項目 | 詳細 |
|---|---|
| 目的 | アクセシビリティウィジェットの提供および運用、Dashboardを通じたCustomerへの利用分析およびアクセシビリティスコアの提供、End Usersから送信されたフィードバックの処理。 |
| 処理の性質 | サービス提供に必要な範囲でのPersonal Dataの収集、保存、集計、分析、および削除。 |
2.4 Personal Dataの種類
- IPアドレス(分析用には匿名化される;セキュリティログでは最大90日間フルIPを保持)
- ブラウザの種類、バージョン、およびユーザーエージェント文字列
- デバイスの種類およびオペレーティングシステム
- Customerのウェブサイト上で閲覧されたページおよびタイムスタンプ
- End Usersが選択したアクセシビリティ設定(End Userのデバイスにローカル保存される;フィードバックが送信されない限り送信されない)
- フィードバック送信内容(End Userが任意で提供した場合の氏名および/またはメールアドレス)
- 集計されたページビュー指標
2.5 Data Subjectのカテゴリ
- End Users — Accsible Widgetとやり取りするCustomerのウェブサイトの訪問者
- Customerの担当者 — Customerに代わってAccsible Dashboardにアクセスする個人
3. Customer(Controller)の義務
Customerは、以下を行うものとします:
- Personal Dataの処理およびAccsibleにその処理を指示するための適法な根拠を有していることを নিশ্চিতすること。
- Data Protection Lawsにより要求されるすべての必要な通知を行い、Data Subjectから必要なすべての同意を取得すること。これには、Customer自身のプライバシーポリシーにおいてAccsible Widgetの使用についてEnd Usersに通知することが含まれます。
- Accsibleへの指示がData Protection Lawsに適合していることを নিশ্চিতすること。
- Accsibleの処理義務に影響を及ぼす可能性のある適用されるData Protection Lawsの変更を、速やかにAccsibleへ通知すること。
4. Accsible(Processor)の義務
Accsibleは、以下を行うものとします:
- 適用法により要求される場合を除き、Customerからの文書化された指示(本DPAおよびPrincipal Agreementに定める指示を含む)に基づいてのみPersonal Dataを処理すること。その場合、法的に禁止されていない限り、処理前にCustomerへ通知するものとします。
- Personal Dataの処理を許可された者が、守秘義務を負うことを約しているか、または適切な法定の守秘義務を負っていることを নিশ্চিতすること。
- 第5条に記載された技術的および組織的なセキュリティ対策を実施し、維持すること。
- 第6条に定めるSub-processorの起用条件を遵守すること。
- 適切な技術的および組織的措置により、Data Subjectからの請求に対応するCustomerの義務の履行を支援すること(第7条)。
- 処理の性質およびAccsibleが利用可能な情報を考慮しつつ、GDPR第32条から第36条に基づく義務(セキュリティ、侵害通知、影響評価、および事前協議)への準拠をCustomerが確保することを支援すること。
- Customerの選択により、Principal Agreement終了時にすべてのPersonal Dataを削除または返却すること(第11条)。
- GDPR第28条に定められた義務への準拠を示すために必要なすべての情報をCustomerに提供し、監査および検査を可能にし、これに協力すること(第10条)。
- Customerからの指示がData Protection Lawsに違反するとAccsibleが判断した場合、直ちにCustomerへ通知すること。
5. セキュリティ対策
Accsibleは、Personal Dataを無権限または違法な処理、偶発的な喪失、破壊、または損害から保護するため、以下の技術的および組織的措置を実施し、維持します:
5.1 技術的措置
- CDN配信、API通信、およびDashboardアクセスを含むすべての接続におけるTLS/HTTPSによる転送時暗号化。
- ソルト付きの一方向暗号アルゴリズムを用いたパスワードハッシュ化。
- クロスサイトスクリプティングおよびインジェクション攻撃を軽減するためのContent Security Policy(CSP)ヘッダー。
- CloudflareによるDDoS保護。
- セッションリプレイにおいてすべてのテキストをマスクし、すべてのメディアをブロックするよう設定されたエラーモニタリング(Sentry)。
- 分析処理におけるIPアドレスの匿名化。
- End Userのアクセシビリティ設定をブラウザのローカルストレージに保存(デバイス側のみ;フィードバックが送信されない限りサーバーには送信されない)。
5.2 組織的措置
- 役割ベースのアクセス制御;Personal Dataへのアクセスは、職務遂行上必要な担当者に限定。
- Personal Dataにアクセスするすべての従業員および契約者に対する守秘義務。
- インフラの定期的なセキュリティ評価および監視。
- 第8条に記載されたインシデント対応手順。
- Personal Dataを必要以上に長く保持しないことを確保する保存方針(第9条参照)。
6. Sub-processor
6.1 一般的な承認
Customerは、Customerに代わって特定の処理活動を行うためにSub-processorを起用する一般的な書面による承認をAccsibleに付与します。Accsibleは、書面契約により、各Sub-processorに対して本DPAと同等以上に保護的なデータ保護義務を課すものとします。
6.2 現在のSub-processor
本DPAの日付時点で、以下のSub-processorが起用されています:
| Sub-processor | 目的 | 所在地 |
|---|---|---|
| Cloudflare, Inc. | CDN、DDoS保護、WidgetおよびAPIのコンテンツ配信 | Global(本社はUSA);EU/UKのデータ処理はSCCsに基づく |
| Functional Software, Inc. (Sentry) | エラーモニタリングおよびパフォーマンス診断 | USA;SCCsに基づく処理 |
| Google LLC (Google Analytics) | 集計されたウェブサイトトラフィック分析(同意ベースのみ) | USA;SCCsおよびEU-US Data Privacy Frameworkに基づく処理 |
| Stripe, Inc. | 決済処理およびサブスクリプション管理 | USA;PCI DSS Level 1認証;SCCsに基づく処理 |
6.3 Sub-processorの変更
Accsibleは、Sub-processorを追加または置換する少なくとも30 days前までに、電子メールでCustomerへ通知するものとします。通知には、Sub-processorの名称、実施する処理、および所在地を含めるものとします。
Customerがデータ保護上の理由に基づき新たなSub-processorに対して合理的な異議を有する場合、Customerは通知受領後14日以内に書面でAccsibleへ通知するものとします。両当事者は誠実に当該懸念について協議するものとします。両当事者が30日以内に異議を解決できない場合、Customerは書面通知により影響を受けるServiceを終了でき、Accsibleは未使用のサブスクリプション期間に対応する前払料金を返金するものとします。
7. Data Subjectの権利
Accsibleは、処理の性質を考慮し、Data Protection Lawsに基づく権利を行使するData Subjectからの請求に対応するCustomerの義務を、適切な技術的および組織的措置により支援するものとします。これには以下が含まれます:
- 開示請求権
- 訂正請求権
- 消去権(“忘れられる権利”)
- 処理の制限を求める権利
- データポータビリティの権利
- 異議を述べる権利
AccsibleがCustomerのデータに関する請求をData Subjectから直接受領した場合、Accsibleは、法的に禁止されていない限り、速やかに当該Data SubjectをCustomerへ案内し、請求についてCustomerに通知するものとします。Accsibleは、Customerからの指示がある場合、または法令により要求される場合を除き、かかる請求に直接応答しないものとします。
8. セキュリティインシデント通知
8.1 通知
Accsibleは、確認されたSecurity Incidentについて、遅滞なく、かついかなる場合でもそれを認識してから48 hours以内にCustomerへ通知するものとします。通知は、Customerのアカウントに関連付けられたメールアドレス(またはこの目的のためにCustomerが指定した代替アドレス)宛てに送信されます。
8.2 通知内容
通知には、当時利用可能な範囲で、以下を含めるものとします:
- Security Incidentの性質の説明。これには、関係するData Subjectのカテゴリおよび概算人数、ならびにデータ記録数を含みます。
- Accsibleにおける連絡窓口の氏名および連絡先詳細。
- 当該インシデントの想定される結果の説明。
- その影響を軽減するための措置を含む、当該インシデントに対処するために講じられた、または提案された措置の説明。
8.3 継続的義務
Accsibleは、利用可能になり次第さらなる情報を提供し、Security Incidentの影響を調査、是正、および軽減するためのCustomerの合理的な要請に協力するものとします。Accsibleはまた、GDPR第33条および第34条に基づく監督当局およびData Subjectに対するCustomer自身の侵害通知義務の履行を支援するものとします。
8.4 記録保持
Accsibleは、インシデントの事実、その影響、および講じられた是正措置を含む、すべてのSecurity Incidentの記録を保持するものとします。
9. データ保持
Accsibleは、本DPAに基づき処理されるPersonal Dataを以下のとおり保持します:
- セキュリティログ(フルIPアドレス): 最大90日間、その後恒久的に削除。
- 集計済み分析データ: 毎月匿名化;個別セッションデータは保持しない。
- End Userのフィードバック送信: Principal Agreementの存続期間中保持;終了後30日以内に削除。
- エラーモニタリングデータ(Sentry): 最大90日間。
- Widget利用指標: 集計および匿名化;処理を超えて個人レベルのデータは保持しない。
Accsibleは、サービス提供の目的に必要な期間、または適用法により要求される期間を超えてPersonal Dataを保持しないものとします。
10. 監査およびコンプライアンス
10.1 情報
Accsibleは、合理的な要請があった場合、本DPAおよびGDPR第28条に基づく義務への準拠を示すために合理的に必要なすべての情報をCustomerに提供するものとします。
10.2 監査権
Customer(またはCustomerが नियुक्तした独立した第三者監査人)は、以下の条件に従い、Accsibleの処理活動およびセキュリティ対策の監査を実施できます:
- Customerは、監査要請について少なくとも30 days’前までに書面で通知するものとします。
- 監査は通常の営業時間内(Monday–Friday, 09:00–18:00 GMT)に実施され、Accsibleの業務を不当に妨げないものとします。
- Customerが実施できる監査は、監督当局から要求された場合、または確認されたSecurity Incidentの後を除き、12か月ごとに1回を超えないものとします。
- 監査人は、Principal Agreementに定めるものと同等以上に保護的な守秘義務に拘束されるものとします。
- Accsibleは、利用可能であれば、最新のSOC 2 Type II報告書、ISO 27001証明書、または同等の独立認証を提供することにより、監査要請を満たすことができます。
10.3 協力
Accsibleは、本DPAに関連してAccsibleの施設または記録へのアクセスを必要とするCustomerおよび監督当局に協力するものとします。
11. データの返却および削除
Principal Agreementの終了または満了時、Customerは30 days以内に、Accsibleに対して以下を求めることができます:
- 返却 — すべてのPersonal Dataを、構造化され、一般的に使用され、機械可読な形式で返却すること;または
- 削除 — すべてのPersonal Dataを削除し、削除を文書で確認すること。
Customerが終了後30日以内に請求を行わない場合、Accsibleは、適用法により保持が要求される範囲(例: 税務コンプライアンスのための請求記録)を除き、すべてのPersonal Dataを恒久的に削除するものとします。法的に保持が要求される場合、Accsibleは当該データを隔離して保護し、処理を法令で定められた目的に限定するものとします。
12. 国際移転
AccsibleはUnited Kingdomに所在します。Personal DataがUKまたはEEA外に所在するSub-processorへ移転される場合、Accsibleは以下を含む適切な保護措置が講じられていることを নিশ্চিতします:
- UK International Data Transfer Agreement(IDTA)またはSCCsへのUK Addendum
- EU Standard Contractual Clauses(SCCs)— Commission Decision 2021/914
- UK Secretary of StateまたはEuropean Commissionによる十分性認定
- 該当する場合、ICOまたはEDPBが推奨する追加の補完的措置
関連する移転メカニズムの写しは、書面による請求があればCustomerに提供されるものとします。
13. 責任
本DPAに基づく各当事者の責任は、Principal Agreement(Terms of Use)に定める責任の制限および免責の対象となります。ただし、いずれの当事者も、適用法でその免責または制限が認められない範囲において、Data Protection Laws違反に対する責任を免責または制限しないものとします。
14. 期間および優先順位
14.1 期間
本DPAは、Customerが最初にAccsible Widgetを統合した日に発効し、Principal Agreementの存続期間中有効であり、その後は第11条に従ってすべてのPersonal Dataが削除または返却されるまで継続します。
14.2 優先順位
本DPAとPrincipal Agreementとの間に矛盾がある場合、Personal Dataの処理および保護に関しては本DPAが優先します。
14.3 変更
Accsibleは、Data Protection Lawsまたは処理活動の変更を反映するために本DPAを更新することがあります。重要な変更は、少なくとも30 days前までに電子メールでCustomerへ通知されます。変更の発効日以降もServiceを継続して利用することは、当該変更への承諾を構成します。
15. 連絡先
本DPAに関する質問または請求については、以下までご連絡ください:
- Data Protection Contact: [email protected]
- Security Incidents: [email protected]
- Registered Office: Denizcom Ltd, 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, United Kingdom
- ICO Registration: ZC114350