特長 価格設定 API リファレンス について
サインイン サインアップ

データ処理契約 (DPA)

v1.0 -- 2026 年 3 月から発効

Morlivo(Stelica Ventures LLC のブランド、テキサス州有限責任会社("Morlivo"、"Processor"))は、一般データ保護規則(EU)2016/679("GDPR")、英国 GDPR、およびその他適用されるすべてのデータ保護法を順守して個人データを処理することを約束します。本 Data Processing Agreement("DPA")は、Morlivo が当社の顧客("Controller")に代わって個人データを処理することを規律します。「Morlivo」または「Morlivo.ai」への言及は、Morlivo.ai として事業を行う Stelica Ventures LLC を指します。

1. 定義

このデータ処理契約の目的:

  • <strong>"Personal Data"</strong>とは、GDPR第4条第1項で定義されるように、特定されたまたは識別可能な自然人に関するあらゆる情報を意味します.
  • <strong>"Processing"</strong>とは、GDPR第4条第2項で定義されるように、収集、保管、利用、開示、削除など、個人データに対して行われるあらゆる操作を意味します.
  • <strong>"Controller"</strong>とは、個人データの処理の目的および手段を決定する顧客を指します.
  • <strong>"Processor"</strong>とは、コントローラに代わって個人データを処理するMorlivoを意味します.
  • <strong>"Sub-processor"</strong>とは、コントローラに代わって個人データを処理するためにProcessorによって委託された第三者を意味します.
  • <strong>"Data Subject"</strong>とは、個人データが処理される、特定されたまたは識別可能な自然人を指します.

2. 処理内容

処理者は、処理者が従うべき連合または加盟国の法律により要求される場合を除き、第三国への個人データの移転を含め、書面による管理者からの指示のみに基づいて個人データを処理します.

処理の詳細は次のとおりです。

  • <strong>Subject matter:</strong> 翻訳、文字起こし、および言語処理サービスの提供.
  • <strong>Duration:</strong> 基礎となるサービス契約の期間中.
  • <strong>Nature and purpose:</strong> 翻訳、文字起こし、および関連する言語サービスを提供するための顧客コンテンツの処理.
  • <strong>Categories of data subjects:</strong> エンドユーザーおよび顧客コンテンツに含まれる個人.
  • <strong>Types of personal data:</strong> 氏名、連絡先情報、および処理のために提出された資料に含まれるその他の個人データ.

3. セキュリティ対策

処理者は、GDPR第32条に従い、リスクに見合ったレベルのセキュリティを確保するために適切な技術的および組織的対策を実施します。これらの対策には以下が含まれます:

  • 保存時 (AES-256) および転送中 (TLS 1.2+) の個人データの暗号化。
  • 処理システムとサービスの機密性、完全性、可用性、回復力を継続的に確保する能力。
  • 物理的または技術的なインシデントが発生した場合に、可用性を回復し、個人データにタイムリーにアクセスできる機能。
  • 技術的および組織的対策の有効性を定期的にテスト、評価、評価します。
  • 技術的に実現可能かつ適切な場合の個人データの仮名化。
  • 最小特権の原則に基づいた厳格なアクセス制御。
  • データアクセスの包括的な監査ログと監視。

処理者は、個人データを処理する権限のある者が守秘義務を負うこと、または適切な法定の守秘義務の下にあることを確保します.

4. 副処理者

管理者(Controller)は、処理者(Processor)が下請業者(Sub-processor)を起用する一般的な権限を与えます。処理者は下請業者の最新リストを維持し、要求があれば管理者に提供します。現在の下請業者リストは当社のプライバシーポリシーページに公開されています.

処理者は、下請業者の追加または交代に関する意図的な変更について管理者に通知し、管理者がその変更に異議を唱えるための合理的な機会を与えます。処理者が下請業者を起用する場合、処理者は契約により本DPAに定められたのと同じデータ保護義務を当該下請業者に課すものとします.

処理者は、本DPAに基づくいかなる下請業者の義務の履行についても、管理者に対して引き続き全面的に責任を負います.

5. データ主体の権利

処理者は、GDPR第III章に基づき権利を行使するデータ主体からの請求に対応するという管理者の義務を履行するのを支援します。これには以下が含まれます:

  • アクセスの権利 (第 15 条)。
  • 是正する権利(第 16 条)。
  • 消去する権利(第 17 条)。
  • 処理を制限する権利(第 18 条)。
  • データポータビリティの権利 (第 20 条)。
  • 異議を唱える権利(第 21 条)。

プロセッサがデータ主体から直接リクエストを受け取った場合、プロセッサは速やかにそのリクエストをコントローラに転送し、コントローラの許可がない限りデータ主体に直接応答してはなりません。

6. 国際送金

処理者は、GDPR第V章で要求されるように適切な保護措置が講じられている場合を除き、個人データを第三国または国際機関に移転してはなりません。承認された移転メカニズムには以下が含まれます:

  • 欧州委員会によって採択された標準契約条項 (SCC) (委員会実施決定 (EU) 2021/914)。
  • GDPR の第 45 条に基づく十分性の決定。
  • 管轄監督当局によって承認された拘束力のある企業規則。

企業向けのお客様は、データ所在設定を構成して、個人データの処理および保存を特定の地域(EU、US、または APAC)に限定することができ、越境転送の必要性を最小限に抑えることができます。

7. 違反通知

処理者は、GDPR第4条第12項で定義される個人データの侵害を認識した場合、遅滞なく、かついかなる場合でも認識後四十八(48)時間以内に管理者に通知します.

通知には次の内容が含まれます。

  • 関連するデータ主体と記録のカテゴリとおおよその数を含む、個人データ侵害の性質の説明。
  • 処理者のデータ保護担当窓口の名前と連絡先の詳細。
  • 侵害によって起こり得る結果の説明。
  • 悪影響を軽減するための措置を含む、違反に対処するために講じられた、または提案された措置の説明。

8. 監査および検査

処理者は、GDPR第28条に定められた義務への準拠を示すために必要なすべての情報を管理者に提供します。処理者は、合理的な事前通知および守秘義務の条件の下で、管理者または管理者により指名された監査人が実施する監査(検査を含む)を許容し、協力します.

9. 期間とデータの削除

本DPAは、基礎となるサービス契約の期間中有効とします。サービス契約終了時において、ProcessorはControllerの選択に従い、すべてのPersonal Dataを削除または返却し、既存の複製を削除するものとします。ただし、UnionまたはMember Stateの法律がPersonal Dataの保存を要求する場合はこの限りではありません。Processorは、Controllerの要求があった場合、本義務を遵守したことを文書で証明するものとします。

DPA をリクエストする

Data Processing Agreementのご要望は、コンプライアンスチームにご連絡ください。組織のデータ保護要件を満たすDPAの締結に向けて対応いたします。

コンプライアンスチームに連絡する DPA テンプレートのリクエスト