ECPower データ処理契約（Data Processing Agreement）

‍第１条　（本契約の目的）

本データ処理契約（Data Processing Agreement）およびその付属書類（以下、「本DPA」）は、お客さまと当社の間で締結された株式会社ECPower(以下、「当社」といいます。)が提供する「ECPower」(以下、「本サービス」といいます。)の利用契約（本DPA内では「契約本体」ともいいます。https://www.ec-power.jp/ja-jp/legal/terms）に基づき提供されるサービスに伴い、当社がお客さまに代わって行う個人データの処理に関する当事者間の合意を示すものです。

本DPAは、契約本体を補足し、その不可欠な一部を構成するものであり、契約本体に組み込まれた時点で発行します。かかる組み込みについては、契約本体または契約本体の完全な修正版に指定されます。契約本体の規定との間で矛盾または齟齬がある場合、かかる矛盾または齟齬の範囲において、本DPAが契約本体の規定より優先されます。

本DPAの期間は、契約本体の期間に準ずるものとします。本DPAで別段の定義がなされていない用語は、契約本体に規定される意味を持つものとします。

お客さまが会社を代表して本サービスを使用する場合、お客さまは、会社を代表して本契約を締結する権限を有することを表明し、以下の「お客さま」という表記はすべてお客さまの会社を指すものとします。

‍

第２条　（用語の定義）

本DPAにおいて、特段の定めがない限り、各用語の意味は、以下のとおりとします。

「アカウント情報」は、お客さまが本サービスのアカウントの作成または管理のために当社に提供する、お客さまに関する情報を指します。例えば、アカウント情報は、本サービスのアカウントに関連する名前、ユーザー名、ログイン資格情報、電話番号、電子メールアドレス、および請求情報を含みます。

「利用データ」は、お客さまの本サービスの利用に関わるデータを指します。例えば、使用に関するイベントデータのログが含まれます。

「お客さまの顧客」は、お客さまの事業またはサービスにおける、顧客またはエンドユーザーを指します。

「お客さま顧客データ」は、お客さまが本サービスにアップロードまたは連携する、お客さまの顧客についてのデータです。ここに、お客さま自身のアカウント情報および利用データは含まないものとします。

「個人データ」とは、次のいずれかに該当する、識別された個人または識別され得る個人に関するあらゆる情報を意味します。本契約においては、アカウント情報と利用データは、お客さまご自身の個人データに該当します。お客さま顧客データは、お客さまの顧客の個人データに該当します。

「センシティブな個人データ」とは、人種、民族的出自、社会的身分、宗教的または哲学的信念、労働組合、病歴や手術歴など健康に関するデータ、遺伝データ、生体データ、性生活に関するデータを含む個人データを指します。

「適用されるデータ保護法」とは、契約本体に基づき対象の個人データを処理する各当事者に適用される、データ保護およびプライバシーに関する各国の全ての法律を意味し、APPI、GDPR、CCPA（それぞれ随時修正、廃止、統合、または置換されます）などが含まれます。本サービスの場合は、利用規約第７条の規定のとおり、センシティブな個人情報に関する法律は適用除外となります。

「APPI」とは、Act on the Protection of Personal Informationの略で、日本国の個人情報の保護に関する法律（平成15年法律第57号）を指します。

「欧州」とは、欧州連合（以下、「EU」）、欧州経済領域（以下、「EEA」）、およびその加盟国、ならびにスイスおよび英国を意味します。

「GDPR」とは、個人データの処理に伴う自然人の保護および当該データの自由な移動に関する欧州議会および欧州理事会の規則2016/679（一般データ保護規則）を指します。または該当する場合、データ保護法2018の第3条に定義されている「UK GDPR」を意味します

「標準契約条項」とは、欧州委員会実施決定（EU）2021/914に付属する標準契約条項のモジュール2（管理者から処理者へ）および／またはモジュール3（処理者から処理者へ）を意味します。なお、かかる標準契約条項は修正、廃止、または置換される場合があります。

「CCPA」とは、California Consumer Privacy Actの略で、米国カリフォルニア州民法1798.100条以下を指します。

「日本国の個人データ」とは、APPIによる保護の対象となる個人データを意味します。

「欧州の個人データ」とは、GDPRによる保護の対象となる個人データを意味します。

「カリフォルニア州の個人データ」とは、CCPAによる保護の対象となる個人データを意味します。

「データ主体」とは、個人データと関連のある個人を意味します。

「データ処理」とは、個人データに対して行われるあらゆる単一の操作または一連の操作を意味します。かかる操作には、個人データの収集、記録、整理、構造化、保管、調整もしくは変更、復旧、参照、使用、送信による開示、周知あるいはその他の方法による提供、統合もしくは結合、または制限もしくは消去が含まれます。

「管理者」とは、単独または他者と共同で、個人データの処理の目的および手段を決定する自然人もしくは法人、公的機関、政府機関、またはその他の団体を意味します。または該当する場合、GDPRにおける「Controller」を意味します。

「処理者」とは、管理者の代理で個人データを処理する自然人もしくは法人、公的機関、政府機関、またはその他の団体を意味します。または該当する場合、GDPRにおける「Processor」を意味します。

「復処理者」とは、契約本体に基づく本サービスの提供に関して、当社またはその関係会社から当社の義務の遂行を支援するよう委託された処理者を意味します。または該当する場合、GDPRにおける「Sub processor」を意味します。

「事業者」、「サービスプロバイダー」、「販売」、および「共有」は、CCPAにおいて与えられた意味を有します。

「指示」とは、管理者が処理者に対して個人データに関する特定または全般的な行為（匿名化、ブロック、削除、提供などを含む）を実行するよう命令するために、文書化して発行する指示を意味します。

「個人データの侵害」とは、本サービスの提供に伴い、当社またはその復処理者が送信や保管などの方法で処理する個人データの偶発的または違法な破壊、喪失、改変、不正開示またはアクセスにつながるセキュリティーの侵害を意味します。「個人データの侵害」は、ログインの試行、pingの送信、ポートスキャン、DoS（サービス妨害）攻撃、およびファイアウォールやネットワークシステムに対するその他の攻撃を含む試みまたは行為が成功せず、個人データのセキュリティー侵害に至らない場合は該当しないものとします。

「プロファイリング」とは、自然人と関連する一定の個人的側面を評価するための、特に、当該自然人の業務遂行能力、経済状態、健康、個人的嗜好、興味関心、信頼性、行動、位置および移動に関する側面を分析または予測するための、個人データの利用によって構成される、あらゆる形式の、個人データの自動的な取り扱いを意味します。

「自動化された意思決定」とは、機械により全部または一部を自動化された意思決定のことを指します。

「完全自動意思決定」とは、自動化された意思決定のうち、自然人による判断を全く介在させず、機械のみにより行われる意思決定のことを指します。

‍

第３条　（本DPAの適用）

3.1 本DPAの適用対象は、当社がお客さまに代わって処理を行うお客さま顧客データに限るものとします。

3.2 お客さまのアカウント情報および利用データは本DPAの適用対象に含まれませんが、当社は別途規定されるプライバシーポリシーに従ってこれを取り扱うものとします。

‍

第４条　（両当事者の役割）

両当事者は、以下のことについて同意するものとします。

(a) 一般に、もしくはGDPRにおいて、当社は、個人データの処理者に該当します。当社が処理者および復処理者のいずれに該当するかは、お客さまの役割に応じて決定されます。ほとんどの場合、お客さまは管理者に該当し、当社は処理者に該当します。

(b) APPIにおいて、当社は、お客さまの委託を受けて個人データ処理を行う、委託先事業者に該当します。お客さまは、個人データの安全管理が図られるよう、当社に対して必要かつ適切な監督を行う責任があります。

(c) CCPAにおいて、お客さまは事業者に該当し、当社はサービスプロバイダーに該当します。

‍

第５条　（お客さまの責任）

5.1 お客さまは、契約本体の範囲内およびお客さま自身による本サービスの利用において、お客さま自身による個人データの処理および当社に対する指示に関して、適用されるデータ保護法に基づき、お客さまに適用される全ての要件を遵守する責任を負うものとします。

5.2 特に、お客さまは次の全ての項目について一切の責任を負うことを認め、これに同意するものとします。

(i) お客さま顧客データの正確性、質、最新性および合法性、ならびにお客さまが個人データを入手した手段

(ii) 個人データの収集および使用に適用されるデータ保護法に基づく、必要な同意や許諾を得ることを含む、透明性および合法性に関する要件を全て遵守すること

(iii) 契約本体および本DPAの規定に従い、処理のために個人データを当社に移転する権利、または個人データ処理を当社に委託する権利を確保すること

(iv) 個人データの処理に関してお客さまが当社に指示を与える上で、適用されるデータ保護法を含むすべての適用法に準拠すること。

‍

第６条　（データ処理の詳細）

6.1 データ処理の詳細は、契約本体および本DPAの付表１に記載するものとします。

6.2 当社は、お客さまのデータを、お客さまの指示のもと、適用されるデータ保護法に従ってのみ処理するものとします。契約本体および本DPAは、お客さまの、個人データの処理に関する、お客さまから当社に対する完全な指示を構成するものとします。

6.3 お客さまの指示により、当社が適用されるデータ保護法に違反、もしくはそのおそれがある場合には、当社は速やかにその旨をお客さまに通知するものとします。

6.4 当社は、当社またはその復処理者が施設を維持する場所において、お客さま顧客データを保管し処理することができます。

‍

第７条　（復処理者）

7.1 お客さまは、当社がお客さまに代わって個人データを処理する業務を、復処理者に委託する場合があることに同意するものとします。当社の現在の復処理者は、付表３に記載します。

7.2 当社は、復処理者への委託を行う場合、当該復処理者が提供するサービスの性質と一致する範囲で、本DPA（該当する場合、標準契約条項を含む）と同等以上の水準のデータ保護を実現する条件を復処理者に課すものとします。当社は、各復処理者が本DPAの義務を順守することについて、およびかかる復処理者の行為または不作為によって当社が本DPAに基づく義務に違反することになった場合について、引き続き責任を負うものとします。

7.3 当社は、お客さま顧客データを処理するために使用する復処理者の変更案について、少なくとも15日前にお客さまに通知するものとします。お客さまが適用されるデータ保護法において異議申し立ての権利を有する場合、当社が当該変更案をお客さまに通知したのち10日以内に、当社に書面で異議を通知することにより、当社による新しい復処理者の使用に異議を唱えることができます。お客さまが当社による新しい復処理者の使用に異議を唱えた場合、お客さまと当社は、当該異議に対処する解決策を見つけるために誠実に協力するものとします。合理的な期間内に相互に受け入れられる解決策に到達できない場合、いずれかの当事者は、その唯一かつ排他的な救済として、他方の当事者に書面で通知することにより、本契約を終了させることができます。

‍

第８条　（データ主体の要請）

8.1 両者間において、お客さまは、お客さま顧客データに関連する個人の権利主張（以下「データ主体の要請」）に対応する唯一の裁量と責任を有するものとします。

8.2 データ主体の要請などの問い合わせが当社に対して直接行われた場合、当社は速やかにお客さまに連絡するとともに、お客さまに要請を提出するようデータ主体に助言するものとします。お客さまは、かかるデータ主体からの個人データに関する要請などの問い合わせに単独で対応する一切の責任を負うものとします。

8.3 お客さまが本サービスを通じてデータ主体の要請に単独で応じられない範囲において、お客さまから書面での要請があった場合、当社はデータ主体の要請、または契約本体に基づく個人データの処理に関するデータ保護当局の要請に対応できるように、お客さまに合理的な支援を提供するものとします。かかる支援によって生じた商業的に合理的な費用については、お客さまが当社に弁済するものとします。

‍

第９条　（安全管理措置）

9.1 当社は、個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために、適切な技術および組織のデータ保護およびセキュリティ対策を実施および維持するものとします。

9.2 当社は、付表２に記載される対策を最低基準として実施し、維持するものとします。当社は、個人データの保護レベルを低下させない限り、付表２に定める安全管理措置を自己の裁量で更新または修正することができるものとします。

9.3 お客さまは、適用されるデータ保護法で義務付けられている、もしくは要求する権利を有する場合に限り、お客さまが本DPAの不遵守を疑う合理的な根拠を有している場合を除き、暦年につき1回まで、当社の本DPAへの遵守状況を評価するために、お客さままたはお客さまの監査役による監査を実施することができます。当社は、これを受け入れ協力するものとします。

9.4 すべての監査は、お客さまの費用負担で行われます。お客さまは、当該監査に関連して当社またはその復処理者が費やした時間を当社に償還するものとします。

9.5 技術の状態、実施のコスト、処理の性質、範囲、文脈、目的を考慮し、付表2に定められたセキュリティ対策がお客さま顧客データのセキュリティを確保するために適切であることを認め、同意するものとします。

‍

第１０条　（個人データの侵害）

10.1 当社は、お客さま顧客データの侵害を認識した場合、不当に遅延することなくお客さまに報告し、かかる個人データの侵害に関する情報を、確認状況に応じて、またはお客さまからの合理的な要請に基づいて適時提供するものとします。

10.2 データ保護法に基づき、該当の個人データの侵害について、お客さまが監督当局または影響を受けるデータ主体に通知する義務がある場合、当社は、そのために必要な合理的な支援を、お客さまの要請に応じて速やかに提供するものとします。

‍

第１１条　（個人データの削除と返却）

当社は、契約本体の終了または契約期間満了時に、本DPAに基づき処理されたお客さま顧客データを削除または返却するものとします。この要件は、当社がお客さま顧客データの一部または全部を保持することを適用法で要求された場合については除外されるものとします。

‍

第１２条　（契約期間）

本DPAは契約本体の締結日に開始され、契約本体の終了にかかわらず、当社が本DPAに記載されたすべての顧客個人データを削除するまで有効であり、削除された時点で自動的に失効するものとします。

‍

第１３条　（日本国の個人データに関する追加条項）

13.1 適用

日本国の個人データに関する追加条項は、日本国のデータについてのみ適用されます。

13.2 個人データの外国にある第三者提供規制

(a) 当社は、付表３に記載する復処理者にお客さま個人データの処理を再委託することがあり、復処理者はAPPIにおける外国にある第三者に該当する可能性があります。

(b) お客さまは、第６条第２項をもって、当社がこれらの復処理者に対して相当措置を継続的に講じていることを認めるものとします。これにより、お客さまおよび当社は、APPIの外国第三者提供規制における、データ主体による本人同意追加取得の義務から除外されることを相互に確認します。

(c) 当社は、当該外国の個人情報の保護に関する制度等を把握した上で、安全管理措置を講じる義務を誠実に履行します。

‍

第１４条　（欧州の個人データに関する追加条項）

14.1 適用

欧州の個人データに関する追加条項は、欧州のデータについてのみ適用されます。

14.2 標準契約条項

両当事者は、標準契約条項の条件が、参照により本DPAに組み込まれ、契約本体の一部を構成することに合意します。

14.3 データの域外移転

(a) 当社は、個人データに対して適切な水準の保護を実施していると認められない国または受領者に、欧州の個人データを移転しないものとします。

(b) お客さまは、本サービスの履行に際して、株式会社ECPowerが日本国における欧州の個人データの受領者であることを認めるものとします。

14.4 プロファイリングおよび自動化された意思決定

(a) 本サービスは、お客さまが、お客さまの顧客をプロファイリングを行うための機能を有しますが、当社は、お客さま自身によるマーケティング上の意思決定や判断を補助する目的で提供しています。

(b) お客さまは、本サービスが完全自動意思決定を行う目的で提供されていないこと、および、お客さまが本サービスを自動化された意思決定の一部または全部として利用しないことに同意するものとします。

(c) お客さまは、GDPRで規制対象となる法的効果を発生させる決定、または、データ主体に対して同様の重大な影響を及ぼす決定の目的に、本サービスを用いないことに同意するものとします。

‍

第１５条　（カリフォルニア州の個人データに関する追加条項）

15.1 適用

カリフォルニア州の個人データに関する追加条項は、カリフォルニア州のデータについてのみ適用されます。

15.2 保証

当社は、サービスプロバイダーとして本サービスを履行する目的、またはCCPAで認可されるその他の目的でのみ、カリフォルニア州の個人データを処理することを保証します。さらに、当社は次のすべてを保証します。

(i) カリフォルニア州の個人情報を販売または共有しないこと。

(ii) 適用法で要求された場合を除き、当事者間の直接的な取引関係以外でカリフォルニア州の個人データを処理しないこと。

(iii) お客さま顧客データに含まれるカリフォルニア州の個人情報を、当社が他の情報源から収集または受領した個人情報（契約本体に基づく当社のサービスプロバイダーとしての義務に関連して他の情報源から受領した情報を除く）と組み合わせて使用しないこと。

15.3 遵守

当社はCCPAに基づき当社に適用されるサービスプロバイダーとしての義務を遵守し、CCPAで義務付けられているものと同水準のプライバシー保護をカリフォルニア州の個人データに適用します。当社は、CCPAに基づくサービスプロバイダーとしての当社の義務を履行できなくなったと判断した場合に、お客さまに通知します。

‍

第１６条 　（その他）

16.1 変更

契約本体に含まれる他の規定によらず、また本DPAの第９条（安全管理措置）の規定に影響を与えることなく、当社は本DPAを更新および変更する権利を留保し、契約本体の「本規約の変更」条項に含まれる該当の条件が適用されるものとします。

16.2 合意管轄および準拠法

本DPAは、データ保護法による別段の要請がない限り、契約本体の「合意管轄および準拠法」条項に準拠し、これに従って解釈されるものとします。

‍

‍

付表１　処理の詳細

A. 当事者のリスト

データ輸出者：

名称：お客さま

住所：お客さまの住所

担当者の氏名、役職、および連絡先の詳細：お客さま連絡先の詳細。お客さまのアカウント情報に記載のとおり

これらの条項に基づき移転されるデータに関する作業：契約本体に基づくお客さまによる本サービスの利用に関連する個人データの取り扱い

役割（管理者／処理者）：管理者

データ輸入者：

名称：株式会社ECPower

住所：日本 東京都港区南青山2-2-15 Win Aoyamaビル UCF6階

担当者の氏名、役職、および連絡先の詳細：増田大夢、代表取締役CEO、株式会社ECPower、日本 東京都港区南青山2-2-15 Win Aoyamaビル UCF6階

これらの条項に基づき移転されるデータに関する作業：契約本体に基づくお客さまによる本サービスの利用に関連する個人データの取り扱い

役割（管理者／処理者）：処理者

B. 移転の内容

個人データが移転されるデータ主体の種別

お客さまの顧客またはエンドユーザー

移転される個人データの種別

下記のデータは、各種データを統合または他社サービスと連携を行うための、ユニークIDとしての目的でのみ移転・使用され、契約本体および本DPAに規定された目的以外では使用されません。例えば、当社からお客さまの顧客に直接連絡を行う目的では一切使用されません。

・メールアドレス

下記のデータは、お客さまが、お客さまの顧客のプロファイリングを行う機能の提供のみに使用され、契約本体および本DPAに規定された目的以外では使用されません。

・居住国、都道府県

・購買データ

・eコマースプラットフォームに関わるサイト行動データ

センシティブな個人データの移転、および制限または保護対策の適用

両当事者は、センシティブな個人データの移転を予定しません。

移転の頻度

継続的

処理の性質

個人データは、契約本体（本DPAを含む）に従って処理されます。

移転および移転後の処理の目的

当社は、契約本体に従って本サービスを提供するための必要性、および本サービスを利用しているお客さまからの具体的な指示に基づいて、個人データを処理します。

個人データが保持される期間

当社による個人データの処理は、本DPAの「個人データの削除または返却」条項に従い、契約本体の期間とします。ただし、別途書面による合意がある場合を除きます。

C. 管轄監督当局

標準契約条項において、管轄監督当局となる監督当局はGDPRに従って決定されるものとします。

‍

付表２　セキュリティー対策

当社は現在、本付属書類2に記載のセキュリティー対策を実施しています。本DPAで別段の定義がなされていない用語は、契約本体に規定される定義を持ちます。

A. アクセス制御

1.製品の不正アクセスの防止

処理の外注：当社は、本サービスのホスティングに当たり、外部のクラウドインフラストラクチャープロバイダーを利用しています。かかるプロバイダーが処理または保管するデータを保護するために、当社は本契約および契約本体の合意事項、プライバシーポリシー、およびプロバイダーのコンプライアンスプログラムに依拠します。

物理的および環境的セキュリティー：当社は、外注先のインフラストラクチャープロバイダーのデータセンターにあるハードウェアを所有または管理していません。本サービスの本番サーバーおよびアプリケーションは、当社内部の企業情報システムから論理的に保護されています。

認証：当社は本サービスに一律のパスワードポリシーを採用しています。お客さまがユーザーインターフェースを通じてアクセスする際には、認証を行う必要があります。

2. 製品の不正使用の防止

アクセス制御：当社は本サービスをサポートする内部ネットワークに、業界標準のアクセス制御および検出機能を実装しています。

静的コード解析：当社のソースコードレポジトリーに保存されるコードについては、自動ツールを用いてベストプラクティスへの準拠および特定可能なソフトウェアの欠陥を確認しています。

3. 権限付与要件の制限

従業員の権限：当社の従業員の一部は、制御されたインターフェースを通じて本サービスおよびお客さま顧客データにアクセスする権限を有します。従業員の一部にアクセス権を提供する目的は、質の高いカスタマーサポートの提供、製品の開発および研究、潜在的な問題のトラブルシューティング、セキュリティーインシデントの検出および対応です。

B. 送信の制御

送信中：当社は、ログインインターフェースを含む全てのユーザーインターフェースについて無償のHTTPSによる暗号化（SSLまたはTLSとも呼ばれます）を義務付けています。当社によるHTTPSの導入では、業界標準のアルゴリズムおよび証明書を使用します。

保存時：当社は、業界標準のセキュリティー手法に準拠するポリシーに従ってユーザーパスワードを保存します。保存したデータは、暗号化技術により保護されます。

C. 入力制御

異常検出：当社は、システムの挙動、受信したトラフィック、システム認証、およびその他のアプリケーションのリクエストに関する幅広い情報を記録するように当社のインフラストラクチャーを設計しています。内部システムは、ログデータを集計し、悪意ある挙動、想定外の挙動、または異常な挙動について担当従業員に警告します。

応答および追跡：当社は、既知のセキュリティーインシデントの記録（該当の挙動の内容および日時、ならびにインシデントの処理方法を含む）を保持します。セキュリティーインシデント、またはその疑いがある事象は、セキュリティー、運用、またはサポートの担当者が調査し、解決のための適切な手順が特定および文書化されます。確認された全てのインシデントについて、当社はお客さまの損害または不正開示を最小限に抑えるために適切な措置を講じます。お客さまへの通知は、契約本体の規定に従うものとします。

D. 可用性の制御

可用性の設計：本サービスは、インフラストラクチャーとアプリケーションの可用性を最大限に確保するように設計されています。これにより、運用が円滑に行われ、ユーザーに対して一貫したサービスを提供することが可能です。

インフラストラクチャーの可用性：本サービスは信頼性の高いクラウドインフラストラクチャープロバイダーを基盤にしています。当該プロバイダーは、商業的に合理的な努力を払って高い水準の稼働率を確保しています。

フォールトトレランス（耐障害性）：本サービスは、当該プロバイダーのマネージドサービスを活用して、大量アクセスに耐えることが可能なスケーラブルな設計を採用しています。これらは高い可用性を提供します。

データのバックアップ：当社は、堅牢性とデータの保全を確保するために、データストアのデータを定期的にバックアップしています。これにより、データの滅失または毀損の際に情報を回復することを可能としています。

‍

付表３　復処理者

当社は、本サービスを提供するために、データを処理する業務を復処理者に委託します。

復処理者 Google LLC

目的 ホスティングとインフラストラクチャー

復処理者の所在地 米国

サーバーの所在地 米国および日本