データ処理追加契約(DPA) — MultiLipi
最終更新日: 2025年9月10日
このDPAは、間の契約の一部を構成します MultiLipi Technologies Private Limited(「MultiLipi」) および注文/サブスクリプションで特定されたエンティティ(「顧客」)。これは、GDPRおよびUK GDPRを含む適用されるデータ保護法に基づき、顧客に代わってMultiLipiが個人データを処理することを規定しています。プライバシーポリシーおよび現在のサブプロセッサーも参照してください。
このページについて
定義
ここで定義されていない大文字の用語は、契約における意味を持ちます。 "データ保護法" 契約の下で個人データを処理するのに適用されるすべての法律および規制、GDPR (EU) 2016/679およびUK GDPR、ならびに施行される現地の法律を含む。 「個人データ」、「管理者」、「処理者」、「データ主体」、「処理」、 および 「監督当局」 GDPRにおける意味を有する。
「機密データ」 特別な保護を必要とする、または特別な規則の対象となる情報(例:GDPR 第9条に基づく特別カテゴリーデータ(健康/生体/遺伝データなど)、16歳未満の児童の個人データ、政府発行の識別子、金融口座または支払いデータ、正確な位置情報、または資格情報/パスワード/APIキー/シークレット)を意味します。本サービスは機密データを処理するように設計されていません。
範囲と役割
顧客は 管理者、およびMultiLipiは 処理者 Annex I に記載された個人データに関連して。顧客がサードパーティの管理者(Controller)の処理者(Processor)として機能する場合、MultiLipi は顧客の サブプロセッサ顧客は、MultiLipiを任命するコントローラーの承認を得ていることを保証します。MultiLipiは、個人データを次の目的でのみ処理します。(a) サービスを提供するため。(b) 契約および本DPAにおいて顧客によって文書化されている通り。(c) 法令により要求される場合。
顧客の指示
顧客は、顧客によって有効化された翻訳、言語によるルーティング、用語集/TM、メディア翻訳、分析、およびSEO機能を含む、サービスを提供および改善するため(プライバシーを保護する方法で)に個人データを処理するようMultiLipiに指示します。
お客様は、機密データを提出しない、またはサービスに処理させないものとします。それにもかかわらずお客様が機密データを提出した場合、お客様は必要なすべての同意および保護措置を取得する単独の責任を負うものとし、MultiLipiは機密データを監視する義務を負いません。
MultiLipiは、法的な要件により指示に従えない場合、禁止されていない限り、お客様に通知します。MultiLipiは、お客様の明示的なオプトインなしに個人データを販売したり、汎用AIモデルの構築またはトレーニングに使用したりしません。
守秘義務
MultiLipiは、個人データを処理する権限のある者が機密保持義務を負い、適切なデータ保護トレーニングを受けることを保証します。
セキュリティ対策
MultiLipiは、Annex IIに記載されている通り、個人データを保護するために適切な技術的および組織的対策(「TOMs」)を実装および維持します。これには、最新技術の状態、実装コスト、処理の性質、範囲、文脈、目的、および自然人の権利と自由に対するリスクを考慮に入れます。
サブプロセッサー
顧客は、サービスを提供するためにサブプロセッサーを利用することについて、MultiLipiに一般的な許可を与えます。現在のサブプロセッサーは /legal/subprocessors に記載されています。MultiLipiは、サブプロセッサーにこのDPAと同等のデータ保護義務を課し、その履行に対して責任を負います。
もし顧客が副処理業者に不満がある場合、MultiLipiに連絡し、データ保護に関連する正当な理由で異議を唱える機会を与えなければなりません。誠意をもって解決されない場合、顧客は影響を受けるサービスを停止または解約することができます(前払い料金の比例返金)。
支援、DPIAおよび事前協議
MultiLipiは、処理の性質とMultiLipiが利用可能な情報を考慮し、当社のTOMsおよびサブプロセッサに関する関連文書を提供することにより、GDPR第32〜36条(セキュリティ、侵害通知、DPIA、事前協議)に基づく義務の遵守を確保するためにお客様を支援します。
個人データ侵害通知
MultiLipiは、顧客データに影響を与える個人データ侵害を認識した後、不当な遅滞なく顧客に通知します。通知には、侵害の性質、データ主体および記録のカテゴリと概数、考えられる結果、および侵害に対処するために講じられたまたは提案された措置を含む、MultiLipiがその時点で合理的に入手可能な情報が含まれます。
MultiLipiは、速やかに悪影響を軽減するための措置を講じ、いかなる違反通知義務にも対応するためのお客様の合理的な要求に協力します。
データ主体からの要求
法的に許可される範囲で、MultiLipiは、データ保護法に基づき顧客データを扱うデータ主体からの権利行使の要求を受領した場合、速やかに顧客に通知します。MultiLipiは、顧客の文書化された指示に基づいてのみ対応し、顧客がそのような要求に対応するのを合理的に支援します。
データの返却および削除
顧客の文書化された要求に応じて、MultiLipiは、法律で保持が義務付けられている場合を除き、商業的に合理的な期間内にすべての個人データを削除または返却(および既存のコピーを削除)します。バックアップはスケジュールされたサイクルで上書きされます。バックアップからの削除は通常の過程で行われます。
国際データ転送(SCC/英国追加文書)
EEAへの移転。処理にGDPRの対象となる個人データの移転が十分性決定なしに第三国に移転される場合、当事者は欧州委員会が決定(EU)2021/914で承認した標準契約条項(「SCC」)を参照により組み込み、以下のとおり本DPAの一部を形成することに同意します。
モジュール2(管理者から処理者へ)および/またはモジュール3(処理者から副処理者へ)、該当する場合。
条項7(ドッキング条項):適用されます。
条項11(救済措置):適用されません。
第17条(準拠法):アイルランドの法律。
第18条(裁判管轄):アイルランドの裁判所。
SCCの附属書I~IIIは、本DPAの附属書I、附属書II、および附属書IIIの情報によって完成されます。英国への移転。英国GDPRの対象となる移転については、両当事者は、参照により組み込まれたICOの国際データ移転追加条項(IDTA)EU SCCの追加条項Bに同意するものとします。矛盾がある場合、英国への移転については英国追加条項が優先されます。スイスへの移転。スイスFADPの対象となる移転については、SCCにおけるGDPRへの言及はFADPへの言及とみなされ、EU加盟国への言及はスイスとなり、管轄当局はFDPICとなります。
責任と補償
本DPAに基づく責任は、適用法で禁止されている範囲を除き、契約における責任の制限および除外の対象となります。各当事者は、データ保護法に基づく自己の行為および不作為について責任を負うものとします。
雑則
本DPAと契約との間に矛盾がある場合、データ保護に関して、矛盾の範囲において本DPAが優先されるものとします。本DPAのいずれかの条項が無効と判断された場合でも、残りの条項は引き続き有効とします。MultiLipiは、法律または当社のサービスの変更を反映するために、本DPAを更新する場合があります。
附属書I ―処理の説明
A: 当事者
| データエクスポート者 | 顧客(管理者) — 注文/サブスクリプションの詳細。 |
| データ輸入者 | MultiLipi Technologies Private Limited(処理者)。連絡先:privacy@multilipi.com |
B:処理の詳細
| 件名 | MultiLipi 多言語 SEO および翻訳サービスの提供。 |
| 期間 | 契約期間中および削除/返却およびバックアップのために別途要求される期間。 |
| 性質と目的 | 顧客が選択した機能(翻訳、言語ルーティング、用語集/TM、メディア翻訳、分析、SEO)、サポート、請求、およびセキュリティの提供のための処理。翻訳ワークフロー:翻訳を提供するために、顧客のウェブページのテキストコンテンツはMultiLipiのサーバーおよび当社のサブプロセッサとして機能する第三者の翻訳プロバイダ(例:Azure Translation Services)に送信されます。パフォーマンス最適化とキャッシュのために、MultiLipiは元のテキストとその対応する翻訳を保存する場合があります。 |
| データ主体のカテゴリ | 顧客担当者(管理者、ユーザー)、顧客のエンドユーザー/訪問者、および顧客から提供されたコンテンツに表示される個人データを持つすべての個人。 |
| 個人データのカテゴリ | 連絡先データ(氏名、メールアドレス)、アカウント識別子、利用ログ(IP、ユーザーエージェント、タイムスタンプ)、翻訳/ローカライズのために提供されたコンテンツ(個人データが偶発的に含まれる場合があります)、設定(例:言語)、請求識別子(決済処理業者経由で処理)。 |
| 機密データ(もしあれば) | サービスには不要です。お客様は機密データを送信してはなりません。サービスは機密データを処理するように設計されていません。 |
| 頻度 | 継続的、お客様によるサービスの使用によって開始されます。 |
| 保持 | プライバシーポリシーおよび契約に指定されているとおり。目的のために必要な期間を超えて保持された後、削除または匿名化されます。 |
| 譲渡 | 本DPAのセクション12に記載されている通り |
C: 監督当局
SCCの場合、管轄当局は、SCCの条項13(例えば、お客様の主要なEU事業所またはデータ主体の加盟国の当局)に従って決定されます。
Annex II — 技術的および組織的対策(TOMs)
情報セキュリティプログラム。アクセス制御、データ処理、インシデント対応、変更管理、ベンダーリスク、セキュア開発を網羅する書面ポリシー。
アクセス制御。ロールベースアクセス、最小権限の原則、強力な認証、管理者に対する MFA、セッション管理、定期的なアクセスレビュー、ロール変更/退職時の即時取り消し。
暗号化。転送中のデータにはTLSを使用。保存された秘密情報および鍵の暗号化。鍵のローテーションおよび鍵マテリアルへのアクセス制限。
ネットワークとアプリケーションのセキュリティ。セグメント化されたネットワーク、ファイアウォール/WAF、DDoS保護(該当する場合はCDN/エッジ経由)、ハードニングベースライン、コードレビューと依存関係スキャンを含むセキュアSDLC。
ログと監視。セキュリティ関連イベントの一元化されたログ記録、異常の検出、時刻同期、改ざん防止ログストレージ。
脆弱性およびパッチ管理。定期的な脆弱性スキャン、適時の修正、適切な場合は第三者によるテスト。
事業継続と災害復旧。重要なコンポーネントの冗長インフラストラクチャ。テスト済みのバックアップ。文書化されたRTO/RPOターゲット。
データ分離。顧客環境とデータの論理的な分離。
人員セキュリティとトレーニング。法律で許可される範囲でのバックグラウンドチェック。オンボーディング/年次セキュリティおよびプライバシートレーニング。機密保持の誓約。
インシデント対応。文書化された計画、定義された役割、トリアージ、封じ込め、根絶、復旧、教訓、および顧客通知ワークフロー。
ベンダーおよびサブプロセッサ管理。リスクベースの評価、契約上のセキュリティ/プライバシー義務、継続的な監視。
物理的セキュリティ。業界標準の管理(バッジ認証、CCTV、訪問者ログ)を備えた、審査済みのプロバイダーが運営するデータセンター。
データ最小化。必要なもののみを収集し、保持期間を制限し、適切な場合は匿名化/仮名化を行います。
顧客管理。アクセス管理のための管理者ツール。ダッシュボードでの監査ログ(利用可能な場合)。APIキー管理。MFAサポート。
別紙III — 再処理者
承認された再処理者の現在のリストは、https://multilipi.com/legal/subprocessors に維持されています。MultiLipiは、各再処理者について、名称、目的、処理場所、および転送メカニズム(例:SCC)を開示します。
署名
| 顧客 | MultiLipi Technologies Private Limited |
|---|---|
| 名前: ___________________________ 役職: ___________________________ 日付:___________________________ 署名: ______________________ | 氏名:クナル・シン・シェカワット 役職: Co-Founder @MultiLipi 日付: 2025/10/09 署名:  |