1. 適用範囲 / 定義
本 DPA は、Fragment Practice(以下「当社」)が当社サービス(「Fragment / Fractal」)の提供において、 お客様(「あなた」)の指示にもとづき個人データを処理する場合に適用されます。用語は GDPR/UK GDPR に準拠し、個人データ・処理・Controller・Processor・Subprocessor・SCC 等を含みます。
2. 役割
あなたはController、当社はあなたがサービスに送信・保存する個人データについてProcessorとして行動します。AI 補助・公開発行など第三者提供を伴う選択機能は、 あなたの設定(Controller としての指示)に基づきます。
3. 指示・目的・法的根拠
- 当社は、あなたの文書化された指示(利用規約・設定・管理画面の操作)に従ってのみ個人データを処理します。
- 目的:サービス提供・保守・セキュリティ・バックアップ・課金(サポーター)・任意の AI 支援(オプトイン)。
- 法的根拠(例):契約履行・法的義務・正当利益・同意(地域/機能により異なる場合があります)。
4. 技術的・組織的安全管理措置(TOMs)
- 通信・保存時の暗号化、鍵管理、機密データの最小化
- 最小権限アクセス、MFA、監査ログ、職務分掌
- 脆弱性管理、依存関係の更新、CI/CD ガードレール
- 定期バックアップ、復元テスト、事業継続/災害復旧(BCP/DR)
5. サブプロセッサ
当社は下記カテゴリの委託先を利用します。各社とは適切な契約(DPA 等)を締結し、当社が全体責任を負います。 変更時は合理的な方法で通知し、正当な異議申立の機会を提供します。
※ 実運用に合わせて更新します。最新の一覧や通知方法は本ページまたはサポートで案内します。
6. インシデント / 侵害時の通知
当社は個人データ侵害を認識した場合、遅滞なくあなたへ通知し、判明している範囲(事象の性質・影響・対処)を共有します。 必要に応じて追加情報を継続的に提供します。
7. データ主体の権利支援
アクセス、訂正、削除、制限、異議、ポータビリティ等の権利行使に関し、あなたからの合理的な指示に従い、適切な期間内に支援します。
8. 国際移転
EEA/UK 外への移転が生じる場合、標準契約条項(SCC)や同等の移転メカニズム(UK IDTA 等)を用います。 必要に応じ補完措置(暗号化・アクセス制御等)を講じます。
9. 返却・削除
契約終了時またはあなたの要請により、法令上の保存義務を除き、原則 30–90 日以内に個人データを返却または削除します。 バックアップ領域は上記期間を上限として段階的にローテートされます。
10. 監査・記録
- 当社は処理活動の記録を保持し、合理的な範囲で DPA 準拠を示す文書(セキュリティ概要等)を提供します。
- 第三者監査の要請がある場合、事前協議のうえ妥当な範囲・頻度・方法で調整します。
11. 変更
本 DPA は明確化または規制対応のため改定することがあります。重大な変更は合理的な方法で通知します。 最新の発効日は下記 “Updated” を参照してください。
12. 連絡先
ご質問は [email protected] まで。
Updated: