データ処理契約(DPA)

バージョン 1.0 · 最終更新日:2026年4月29日 · 施行日:2026年4月29日

本データ処理契約(以下「本DPA」といいます)は、[ENTITY_NAME](以下「処理者」、「当社」といいます)とLIAサービスを利用するお客様(以下「管理者」、「お客様」といいます)との間の利用規約の一部を構成するものです。本DPAは、管理者が欧州経済領域(EEA)、英国またはスイスに設立されている場合、もしくはGDPRが管理者の処理に対して域外適用される場合に適用されます。日本に所在する管理者については、APPI(個人情報の保護に関する法律)に基づく追加の規定が適用されます。

1. 定義

本DPAで使用される用語は、欧州連合一般データ保護規則(EU)2016/679(以下「GDPR」といいます)に定められた意味を有するものとします。「個人データ」とは、識別された自然人または識別可能な自然人に関するすべての情報を意味します。日本のお客様については、「個人情報」(APPIで定義)も含まれます。

2. 対象および期間

処理者は、利用規約に記載されたLIAサービスの提供のためにのみ、管理者に代わって個人データを処理いたします。本DPAは、サービス契約の期間および契約終了後のデータ保存期間中、効力を維持します。

3. 処理の性質および目的

処理は、LIAサービスの提供に必要な業務に限定されます:

• ユーザーアカウントの管理(認証、請求)
• AI推論プロバイダーへのチャットメッセージの送信
• Bridgeセッションのテレメトリ(DAW名、バージョン、タイムスタンプ)
• カスタマーサポートのコミュニケーション

4. 個人データおよび本人の区分

本人の区分:管理者の認可された利用者(開発者、音楽家、業務委託先)。

個人データの区分:メールアドレス、ハッシュ化されたパスワード(Supabase Auth)、表示名、決済メタデータ(カード情報を含まず)、チャットメッセージ、利用ログ、IPアドレス(保存前にハッシュ化)。

5. 処理者の義務

1. 個人データを、管理者の文書化された指示にのみ基づいて処理すること(第三国への移転を含む)(GDPR第28条3項a)。
2. 個人データを処理する権限を有する者に対して、機密保持義務を課すこと。
3. 適切な技術的および組織的安全管理措置を実施すること(GDPR第32条): §9参照。
4. 事前の書面による一般的承認のもとでのみ、再委託先を関与させること(§8参照)。
5. 本人の権利行使要求への対応について、管理者を支援すること(GDPR第15条~第22条)。
6. 個人データの侵害が発生した場合、不当な遅延なく管理者に通知すること(GDPR第33条): §10参照。
7. 管理者の選択により、サービス終了後にすべての個人データを削除または返却すること(GDPR第28条3項g)。
8. 遵守を実証し監査を可能にするために必要なすべての情報を提供すること(GDPR第28条3項h)。

6. 管理者の義務

管理者は、本DPAに基づいて処理されるすべての個人データについて必要な法的根拠(GDPR第6条)を取得していること、およびGDPR第13条・第14条に従って本人に通知していることを表明します。日本のお客様については、APPI第18条(利用目的の明示)および第28条(国外移転に関する同意取得)についても遵守する責任があります。

7. 個人データの国際的移転

本サービスは欧州連合内(ドイツ、フランクフルト, Hostinger / supabase.com EUリージョン)でホストされています。個人データはEEA域内で処理されます。再委託先がEEA外でデータを処理する場合(例:米国のAI推論プロバイダー)、移転は以下に従って規制されます:

• EU-US Data Privacy Framework(DPF):受領者が認証されている場合;
• 標準契約条項(SCC)、モジュール2(管理者から処理者へ)、2021年EU委員会決定 2021/914。

EUの十分性決定または適切な保護措置のない法域への個人データの移転は行われません。日本のお客様については、APPI第28条に基づき、外国にある第三者への移転についてご利用前に本人の同意を取得します。

8. 再委託先

管理者は、処理者が再委託先に業務を委託することを承認します。最新のリストは/api/legal/subprocessors(認証エンドポイント、GDPR第15条開示請求権)で確認可能です。処理者は、予定されている変更について少なくとも30日前までに管理者に通知し、管理者に異議申立ての合理的な時間を提供します。

9. 安全管理措置(GDPR第32条 / APPI第23条)

• 通信の暗号化:すべてのクライアント・サーバー通信に対するTLS 1.3
• 保存時の暗号化:データベースストレージに対するAES-256(Supabase管理)
• アクセス管理:ロールベース、管理者アクセスにはMFA
• ネットワーク分離:可能な場合、サービスはループバックまたはTailscaleネットワークにバインド(多層防御)
• ログ:すべての管理操作の監査ログ
• インシデント対応:セキュリティ事象に対する文書化されたランブック

10. 個人データ侵害の通知

処理者は、本DPAに基づいて処理される個人データに影響を及ぼすすべての侵害について、不当な遅延なく(いかなる場合も認知から72時間以内)管理者に通知します。通知には以下が含まれます:

• 侵害の性質およびおおよその範囲
• 影響を受けた本人および記録のおおよその区分および数
• 侵害を緩和するために講じられたまたは提案されている措置
• 詳細情報のためのプライバシー責任者の連絡先

11. 終了

サービス契約の終了に際し、管理者の書面による要求があれば、処理者はすべての個人データを削除または返却します。バックアップコピーは、次の通常のバックアップローテーションサイクルで削除されます(最大90日間)。

12. 責任

本DPAに基づく責任は、利用規約に定められた制限によって規制されます。ただし、当該制限がGDPR第82条(賠償請求権)と競合する場合を除きます。

13. 準拠法および裁判管轄

本DPAは、イタリア共和国の法に準拠します。管轄裁判所は、管理者の登記された事務所の裁判所、またはこれがEEA外にある場合は[SEDE_LEGALE]、イタリアの裁判所とします。

14. 監督当局

個人データの処理に関する苦情は、所管の監督当局に申し立てることができます。日本において:個人情報保護委員会(PPC)、〒100-0013 東京都千代田区霞が関3-2-1。

15. お問い合わせ

本DPAに関するすべての事項について:[email protected]