ログイン

データ処理契約

最終更新日: 15 April 2026

本データ処理契約(「DPA」)は、Accsibleアカウントで特定される事業体(「顧客」「管理者」)と、 Accsible の名称で事業を行う Denizcom Ltd(登録住所: 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, United Kingdom)(「Accsible」「処理者」)との間の契約の一部を構成し、 利用規約およびプライバシーポリシー (総称して「基本契約」)を補完するものです。

本DPAは、Accsibleがサービス提供の過程で顧客に代わって個人データを処理する場合およびその範囲において適用されます。これは、UK GDPR、EU GDPR(Regulation 2016/679)第28条およびその他の適用されるデータ保護法令の遵守を確保することを目的としています。

1. 定義

本DPAにおいて、文脈上別段の定めがない限り、以下の意味を有します。

  • 「データ保護法」 — UK GDPR、EU GDPR、Data Protection Act 2018、Privacy and Electronic Communications Regulations 2003、およびその他の適用されるデータ保護法令。
  • 「個人データ」 — 基本契約に基づきAccsibleが顧客に代わって処理する、識別されたまたは識別可能な自然人に関するあらゆる情報。
  • 「処理」 — 個人データに対して行われる、収集、記録、保存、検索、利用、開示、消去または破壊を含むあらゆる操作。
  • 「サブプロセッサー」 — 顧客に代わって個人データを処理するためにAccsibleが任命する第三者。
  • 「データ主体」 — 個人データが関連する識別されたまたは識別可能な自然人。
  • 「エンドユーザー」 — Accsibleウィジェットとやり取りする顧客のウェブサイト訪問者。
  • 「セキュリティインシデント」 — 偶発的または不法な破壊、紛失、改ざん、無断開示またはアクセスにつながるセキュリティ侵害。
  • 「SCCs」 — 欧州委員会により承認された標準契約条項(Decision 2021/914)またはUK International Data Transfer Agreement(IDTA)(該当する場合)。

2. 処理の範囲および詳細

2.1 対象事項

AccsibleはアクセシビリティウィジェットおよびSaaSプラットフォームを提供します。顧客が自らのウェブサイトにウィジェットを統合すると、Accsibleは顧客に代わってエンドユーザーから特定の個人データを処理します。

2.2 期間

処理は、顧客がウィジェットを有効化した時点で開始され、基本契約の期間中継続します。終了時には、本DPA第11条が適用されます。

2.3 処理の性質および目的

側面 詳細
目的 アクセシビリティウィジェットの提供および運用;ダッシュボードを通じて顧客に利用分析およびアクセシビリティスコアを提供;エンドユーザーから送信されたフィードバックの処理。
処理の性質 サービス提供に必要な範囲での個人データの収集、保存、集約、分析および削除。

2.4 個人データの種類

  • IPアドレス(分析用には匿名化;セキュリティログでは最大90日間フルIPを保持)
  • ブラウザの種類、バージョン、ユーザーエージェント文字列
  • デバイスの種類およびオペレーティングシステム
  • 顧客のウェブサイト上で閲覧されたページおよびタイムスタンプ
  • エンドユーザーが選択したアクセシビリティ設定(エンドユーザーのデバイス上にローカル保存;フィードバックが送信されない限り送信されない)
  • フィードバック送信内容(エンドユーザーが任意で提供した氏名および/またはメールアドレス)
  • 集計されたページビュー指標

2.5 データ主体のカテゴリ

  • エンドユーザー — Accsibleウィジェットとやり取りする顧客のウェブサイト訪問者
  • 顧客担当者 — 顧客に代わってAccsibleダッシュボードにアクセスする個人

3. 顧客(管理者)の義務

顧客は以下を行うものとします。

  • 個人データを処理し、Accsibleに処理を指示するための適法な根拠を有していることを確保する。
  • データ保護法により要求されるすべての通知を行い、必要なすべての同意をデータ主体から取得すること。これには、顧客自身のプライバシーポリシーにおいてAccsibleウィジェットの利用についてエンドユーザーに通知することを含む。
  • Accsibleへの指示がデータ保護法に準拠していることを確保する。
  • Accsibleの処理義務に影響を及ぼし得る適用データ保護法の変更について、速やかにAccsibleに通知する。

4. Accsible(処理者)の義務

Accsibleは以下を行うものとします。

  • 適用法により要求される場合を除き、顧客からの文書による指示(本DPAおよび基本契約に定める指示を含む)に基づいてのみ個人データを処理するものとし、その場合には、法的に禁止されていない限り、処理前に顧客に通知する。
  • 個人データを処理する権限を与えられた者が、守秘義務を負うか、または適切な法定の守秘義務の対象となっていることを確保する。
  • 第5条に記載の技術的および組織的セキュリティ対策を実施し、維持する。
  • 第6条に定めるサブプロセッサーの起用条件を遵守する。
  • 適切な技術的および組織的措置により、データ主体からの請求に対応する顧客の義務の履行を支援する(第7条)。
  • 処理の性質およびAccsibleが利用可能な情報を考慮し、GDPR第32条〜第36条(セキュリティ、侵害通知、影響評価および事前協議)に基づく顧客の義務の遵守を支援する。
  • 顧客の選択により、基本契約終了時にすべての個人データを削除または返却する(第11条)。
  • GDPR第28条に定められた義務の遵守を示すために必要なすべての情報を顧客に提供し、監査および検査を認め、これに協力する(第10条)。
  • Accsibleの見解として、顧客からの指示がデータ保護法に違反すると判断される場合には、直ちに顧客に通知する。

5. セキュリティ対策

Accsibleは、個人データを不正または違法な処理、偶発的な紛失、破壊または損傷から保護するため、以下の技術的および組織的対策を実施し、維持します。

5.1 技術的対策

  • CDN配信、API通信、ダッシュボードアクセスを含むすべての接続に対するTLS/HTTPSによる転送中の暗号化。
  • ソルト付き一方向暗号アルゴリズムによるパスワードハッシュ化。
  • クロスサイトスクリプティングおよびインジェクション攻撃を軽減するためのContent Security Policy(CSP)ヘッダー。
  • CloudflareによるDDoS保護。
  • セッションリプレイにおいてすべてのテキストをマスクし、すべてのメディアをブロックするよう構成されたエラーモニタリング(Sentry)。
  • 分析処理におけるIPアドレスの匿名化。
  • エンドユーザーのアクセシビリティ設定はブラウザのローカルストレージに保存(デバイス側のみ;フィードバックが送信されない限りサーバーには送信されない)。

5.2 組織的対策

  • ロールベースのアクセス制御;個人データへのアクセスは職務遂行に必要な担当者に限定。
  • 個人データにアクセスするすべてのスタッフおよび契約者に対する守秘義務。
  • インフラストラクチャの定期的なセキュリティ評価および監視。
  • 第8条に記載のインシデント対応手順。
  • 個人データが必要以上に長く保持されないことを確保する保存ポリシー(第9条参照)。

6. サブプロセッサー

6.1 一般的な承認

顧客は、顧客に代わって特定の処理活動を行うためにサブプロセッサーを起用することについて、Accsibleに一般的な書面による承認を付与します。Accsibleは、各サブプロセッサーとの書面契約により、本DPAと同等以上に保護的なデータ保護義務を課すものとします。

6.2 現在のサブプロセッサー

本DPAの日付時点で起用されているサブプロセッサーは以下のとおりです。

サブプロセッサー 目的 所在地
Cloudflare, Inc. CDN、DDoS保護、ウィジェットおよびAPIのコンテンツ配信 Global(本社: USA);EU/UKのデータ処理はSCCsに基づく
Functional Software, Inc. (Sentry) エラーモニタリングおよびパフォーマンス診断 USA;SCCsに基づく処理
Google LLC (Google Analytics) 集計されたウェブサイトトラフィック分析(同意に基づく場合のみ) USA;SCCsおよびEU-US Data Privacy Frameworkに基づく処理
Stripe, Inc. 決済処理およびサブスクリプション管理 USA;PCI DSS Level 1認証取得;SCCsに基づく処理

6.3 サブプロセッサーの変更

Accsibleは、サブプロセッサーを追加または変更する少なくとも30日前までに、電子メールにより顧客に通知します。通知には、サブプロセッサーの名称、その処理内容および所在地を含めるものとします。

顧客がデータ保護上の理由に基づき新たなサブプロセッサーに合理的な異議を有する場合、通知受領後14日以内に書面でAccsibleに通知するものとします。両当事者は誠意をもって懸念事項を協議します。30日以内に異議が解決されない場合、顧客は書面通知により影響を受けるサービスを解約することができ、Accsibleは未使用のサブスクリプション期間に対応する前払い料金を返金するものとします。

7. データ主体の権利

Accsibleは、処理の性質を考慮し、適切な技術的および組織的措置により、データ保護法に基づくデータ主体の権利行使に対する顧客の対応義務の履行を支援します。これには以下を含みます。

  • アクセス権
  • 訂正権
  • 消去権(「忘れられる権利」)
  • 処理の制限を求める権利
  • データポータビリティの権利
  • 異議を申し立てる権利

Accsibleが顧客のデータに関するデータ主体からの請求を直接受領した場合、法的に禁止されていない限り、速やかにデータ主体を顧客にリダイレクトし、その請求について顧客に通知するものとします。Accsibleは、顧客からの指示または法令により要求される場合を除き、そのような請求に直接対応しません。

8. セキュリティインシデントの通知

8.1 通知

Accsibleは、確認されたセキュリティインシデントについて、不当な遅延なく、いかなる場合でも認識後48時間以内に顧客に通知します。通知は、顧客のアカウントに関連付けられたメールアドレス(または顧客がこの目的で指定した代替アドレス)宛てに送信されます。

8.2 通知内容

通知には、当該時点で入手可能な範囲で以下を含めるものとします。

  • セキュリティインシデントの性質の説明(影響を受けるデータ主体のカテゴリおよび概数ならびに関連するデータ記録数を含む)。
  • Accsibleにおける連絡窓口の氏名および連絡先。
  • インシデントの生じ得る結果の説明。
  • インシデントへの対処のために講じた、または講じる予定の措置の説明(その影響を軽減するための措置を含む)。

8.3 継続的義務

Accsibleは、追加情報が入手可能になり次第提供し、セキュリティインシデントの調査、是正および影響の軽減に関する顧客の合理的な要請に協力します。また、Accsibleは、GDPR第33条および第34条に基づく監督当局およびデータ主体への侵害通知義務の履行において顧客を支援します。

8.4 記録保持

Accsibleは、すべてのセキュリティインシデントについて、その事実関係、影響および講じた是正措置を含む記録を保持します。

9. データ保存

Accsibleは、本DPAに基づき処理される個人データを以下のとおり保存します。

  • セキュリティログ(フルIPアドレス): 最大90日間保存後、完全に削除。
  • 集計分析データ: 月次で匿名化;個々のセッションデータは保存しない。
  • エンドユーザーのフィードバック送信内容: 基本契約の期間中保持;終了後30日以内に削除。
  • エラーモニタリングデータ(Sentry): 最大90日間。
  • ウィジェット利用指標: 集計および匿名化;処理後は個人レベルのデータは保持しない。

Accsibleは、サービス提供の目的または適用法により要求される場合を除き、個人データを必要以上に長く保持しません。

10. 監査およびコンプライアンス

10.1 情報

Accsibleは、合理的な請求に基づき、本DPAおよびGDPR第28条に基づく義務の遵守を示すために合理的に必要なすべての情報を顧客に提供します。

10.2 監査権

顧客(または顧客が任命した独立第三者監査人)は、以下の条件に従い、Accsibleの処理活動およびセキュリティ対策について監査を実施することができます。

  • 顧客は、監査請求の少なくとも30日前までに書面で通知するものとします。
  • 監査は通常の営業時間内(月曜〜金曜、09:00〜18:00 GMT)に実施され、Accsibleの業務を不当に妨げてはなりません。
  • 顧客は、監督当局による要求または確認されたセキュリティインシデント後の場合を除き、12か月ごとに1回を超えて監査を実施することはできません。
  • 監査人は、基本契約に定めるものと同等以上に保護的な守秘義務に拘束されるものとします。
  • Accsibleは、利用可能な場合、最新のSOC 2 Type IIレポート、ISO 27001認証または同等の独立認証を提供することにより、監査請求を満たすことができます。

10.3 協力

Accsibleは、本DPAに関連してAccsibleの施設または記録へのアクセスを要求する顧客および監督当局に協力します。

11. データの返却および削除

基本契約の終了または満了時に、顧客は30日以内に、Accsibleに対し以下のいずれかを要求することができます。

  • 返却 — すべての個人データを構造化され、一般的に使用され、機械判読可能な形式で返却すること。
  • 削除 — すべての個人データを削除し、その削除を文書で確認すること。

顧客が終了後30日以内に請求を行わない場合、Accsibleは、適用法により保存が要求される範囲(例: 税務コンプライアンスのための請求記録)を除き、すべての個人データを完全に削除します。法的に保存が要求される場合、Accsibleは当該データを分離し保護するとともに、処理を法令により義務付けられた目的に限定します。

12. 国際移転

Accsibleは英国に設立されています。個人データがUKまたはEEAの外に所在するサブプロセッサーに移転される場合、Accsibleは以下を含む適切な保護措置が講じられていることを確保します。

  • UK International Data Transfer Agreement(IDTA)またはSCCsへのUK付属書
  • EU標準契約条項(SCCs) — Commission Decision 2021/914
  • 英国国務長官または欧州委員会による十分性認定
  • 該当する場合、ICOまたはEDPBが推奨する追加の補完的措置

関連する移転メカニズムの写しは、書面による請求に基づき顧客に提供されます。

13. 責任

本DPAに基づく各当事者の責任は、基本契約(利用規約)に定める責任の制限および除外の対象となります。ただし、適用法により認められない範囲でデータ保護法違反に関する責任を除外または制限することはありません。

14. 期間および優先順位

14.1 期間

本DPAは、顧客が初めてAccsibleウィジェットを統合した日に効力を生じ、基本契約の期間中有効に存続し、その後、第11条に従いすべての個人データが削除または返却されるまで継続します。

14.2 優先順位

本DPAと基本契約の間に矛盾が生じた場合、個人データの処理および保護に関する限り、本DPAが優先するものとします。

14.3 変更

Accsibleは、データ保護法または処理活動の変更を反映するために本DPAを更新することができます。重要な変更については、発効日の少なくとも30日前までに電子メールで顧客に通知します。変更の発効日以降もサービスを継続利用することにより、顧客は当該変更に同意したものとみなされます。

15. 連絡先

本DPAに関する質問または請求については、以下までご連絡ください。

  • データ保護連絡先: [email protected]
  • セキュリティインシデント: [email protected]
  • 登録事務所: Denizcom Ltd, 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, United Kingdom
  • ICO登録: ZC114350