データ処理契約 (DPA)
最終更新日: 2026年3月26日
本データ処理契約(以下「本 DPA」)は、Manako(以下「データ処理者」)のサービス利用に関して、お客様(以下「データ管理者」)との間のデータ処理に関する条件を定めるものです。本 DPA は利用規約の付属文書として、サービスの利用開始をもって自動的に適用されます。
個別の DPA 署名が必要な場合は、[email protected] までお問い合わせください。
- データ管理者(Controller): 本サービスを利用するお客様。個人データの処理目的および手段を決定する主体
- データ処理者(Processor): Manako 運営者。データ管理者に代わって個人データを処理する主体
- 個人データ(Personal Data): GDPR 第4条に定義される、識別された又は識別可能な自然人に関するあらゆる情報
- 処理(Processing): GDPR 第4条に定義される、個人データに対して行われるあらゆる操作
- サブプロセッサー(Sub-processor): データ処理者が処理の一部を委託する第三者
2. 処理の範囲と目的
Section titled “2. 処理の範囲と目的”処理するデータの種類
Section titled “処理するデータの種類”| データ種類 | 処理目的 |
|---|---|
| メールアドレス | アカウント認証、通知送信 |
| ユーザー名 | サービス内の表示名 |
| チーム名 | テナント識別 |
| 監視対象 URL | 監視サービスの提供 |
| IP アドレス | セキュリティログ、レート制限 |
| パスワード | 認証(PBKDF2-SHA-512 でハッシュ化。平文は保持しない) |
- サービス提供: 監視、通知、ステータスページの運用
- アカウント管理: 認証、認可、チーム管理
- セキュリティ: 監査ログ、不正アクセス防止、レート制限
3. データ処理者の義務
Section titled “3. データ処理者の義務”データ処理者は以下の義務を負います:
- データ管理者の文書による指示に基づいてのみ個人データを処理します
- 処理に従事するすべての者に秘密保持義務を課します
- GDPR 第32条に基づく適切なセキュリティ対策を実施します
- サブプロセッサーの利用に関して事前に通知します
- データ管理者がデータ主体の権利行使に対応するために必要な協力を行います
- データ保護影響評価(DPIA、第35-36条)および監督当局への事前協議が必要な場合に協力します
- 契約終了時にデータの返却または削除を行います
4. セキュリティ対策
Section titled “4. セキュリティ対策”データ処理者は以下のセキュリティ対策を実施しています。詳細はセキュリティページをご参照ください。
| 対策 | 内容 |
|---|---|
| 保存時暗号化 | AES-256-GCM(D1, R2, KV すべて自動暗号化) |
| 通信時暗号化 | TLS 1.3(全通信) |
| パスワード保護 | PBKDF2-SHA-512 + ランダムソルト(100,000 回イテレーション) |
| テナント分離 | すべてのデータベースクエリに team_id による分離を強制 |
| アクセス制御 | ロールベース(owner / member / viewer) |
| レート制限 | 認証 10req/min、ダッシュボード 60req/min、API 60req/min |
| インフラ認証 | SOC 2 Type II、ISO 27001、ISO 27701、PCI DSS |
5. サブプロセッサー
Section titled “5. サブプロセッサー”データ処理者は以下のサブプロセッサーを利用しています:
| サブプロセッサー | 処理内容 | データ所在地 | 目的 |
|---|---|---|---|
| Cloudflare, Inc. | インフラ基盤(Workers, D1, KV, R2) | グローバルエッジネットワーク | サービスホスティング、データ保存 |
| Resend, Inc. | メール送信 API | US | トランザクショナルメール(通知、メール検証) |
| Stripe, Inc. | 決済処理 | US / EU | サブスクリプション管理、請求処理 |
サブプロセッサーの追加または変更を行う場合、本ページにて事前に更新します。重要な変更についてはメールでも通知します。
6. データ保持と削除
Section titled “6. データ保持と削除”| データ種類 | 保持期間 |
|---|---|
| 監視結果 | Free プラン: 7日 / Paid プラン: 90日(自動削除) |
| アカウントデータ | アカウント存続中 |
| アカウント削除後 | 30日以内に完全削除 |
| 監査ログ | 90日間保持 |
データの削除方法についてはプライバシーポリシーをご参照ください。
7. データ主体の権利
Section titled “7. データ主体の権利”データ処理者は、データ管理者がデータ主体の以下の権利に対応するために必要な技術的手段を提供します:
- アクセス権(第15条): データエクスポート機能(JSON形式)
- 訂正権(第16条): 設定画面からの情報編集
- 削除権(第17条): アカウント削除機能(30日間の猶予期間付き)
- データポータビリティ権(第20条): JSON形式でのデータエクスポート
- 処理の制限権(第18条): サポートへのお問い合わせにて対応
8. データ侵害通知
Section titled “8. データ侵害通知”- データ処理者は、個人データの侵害を認識した場合、不当な遅延なく、原則として 72時間以内 にデータ管理者に通知します
- 通知には以下を含みます:
- 侵害の性質と影響を受けるデータ主体の概数
- 侵害の結果として生じうる影響
- 侵害に対処するために講じた、または講じる予定の措置
- データ管理者が監督当局への報告義務(第33条)およびデータ主体への通知義務(第34条)を果たすために必要な協力を行います
9. 国際データ移転
Section titled “9. 国際データ移転”- Cloudflare のグローバルエッジネットワークでデータを処理するため、EU/EEA 域外へのデータ移転が発生する場合があります
- EU Standard Contractual Clauses(SCCs)に基づく適切な保護措置を講じています
- 各サブプロセッサーは独自の DPA および SCCs を提供しており、適切なデータ保護レベルを確保しています
10. 契約終了時の措置
Section titled “10. 契約終了時の措置”契約終了時(アカウント削除時)、データ処理者は以下を行います:
- データの返却: データエクスポート機能(JSON形式)によりデータ管理者がデータを取得可能
- データの削除: アカウント削除リクエストから30日以内にすべての個人データを完全削除
- 削除の証明: 削除完了の確認が必要な場合は、[email protected] までお問い合わせください
11. 監査権
Section titled “11. 監査権”- データ管理者(またはデータ管理者が委任した第三者監査人)は、本 DPA の遵守状況を監査する権利を有します
- 監査の方法:
- リモートアンケート: 年1回まで、書面による質問への回答
- 第三者認証レポート: SOC 2 Type II 等の第三者認証レポートの提供をもって監査に代えることができます(認証取得時)
- 監査に係る費用はデータ管理者の負担とします
- データ処理者は、データ保護影響評価(DPIA、第35条)が必要な場合、データ管理者に合理的な範囲で協力します
12. 準拠法・管轄
Section titled “12. 準拠法・管轄”本 DPA は、利用規約に定める準拠法および管轄に従います。