Data Processing Addendum (DPA)

概要 / Overview

SynquoRum を法人として利用する場合、貴社（Controller）と SynquoRum（Processor）の間で GDPR 第 28 条 (Processor 義務) に基づく Data Processing Addendum を締結します。 本ページではテンプレートの全文を確認できます。

個人ユーザー (consumer) は 利用規約 と プライバシーポリシー に同意することで完結し、別途 DPA 締結は不要です。

For business use, SynquoRum (Processor) will execute a Data Processing Addendum with you (Controller) under GDPR Article 28. This page presents the full template. Consumer users do not need a separate DPA — agreement to the Terms of Service and Privacy Policy is sufficient.

含まれる内容 / What's Included

• Article 28(3) で要求される全 Processor 義務 (8 項目)
• SCC Module 2 (Controller-to-Processor) の組み込み
• UK International Data Transfer Addendum (Version B1.0)
• EU-US Data Privacy Framework 言及
• Transfer Impact Assessment (FISA 702 / EO 12333 考慮)
• Annex 1: Processing 詳細 (subject matter / duration / nature / purpose)
• Annex 2: 技術的・組織的措置 (TOMs) — GDPR Art. 32 準拠
• Annex 3: サブプロセッサー一覧 (Stripe / Vercel / Supabase / Sentry / Inngest / Cloudflare)
• 72 時間以内の Security Incident 通知義務
• SOC 2 監査報告書の年次提供
• サブプロセッサー追加時の 30 日事前通知 + 異議申立権
• 契約終了後 30 日以内のデータ削除/返却

締結プロセス / Execution Process

1. 下のリンクから DPA テンプレートをダウンロード (Markdown 形式)
2. Customer 側で条項をレビュー、必要であれば修正案を提示
3. support@synquorum.com に DPA 締結希望のご連絡
4. 当社で署名済 PDF 版を作成し、メールで返送
5. 両当事者の署名で発効 (electronic signing 可、UNCITRAL Model Law 準拠)

Phase 2 で DocuSign / HelloSign 統合を予定しています。それまでは email-based のシンプルな締結フローで運用します。

ダウンロード / Download

関連法令 / Legal Basis

GDPR Regulation 2016/679 Art. 28 (processor obligations), Art. 32 (security measures), Art. 33-34 (breach notification); UK GDPR; UK Data Protection Act 2018; EU Commission Implementing Decision (EU) 2021/914 (SCC); UK International Data Transfer Addendum (Version B1.0, 21 March 2022); EU-US Data Privacy Framework (Commission Implementing Decision (EU) 2023/1795); CCPA Cal. Civ. Code § 1798.140-150; 日本個人情報保護法 第 27 条 (委託先の監督).