データ処理補遺 (DPA) — MultiLipi
最終更新日: 2025年9月10日
この DPA は、 マルチリピ・テクノロジーズ・プライベート・リミテッド(「マルチリピ」) および注文書/サブスクリプションで特定された事業体( 「お客様」 ).GDPRおよび英国GDPRを含む適用データ保護法に基づき、MultiLipiが顧客を代表して個人データを処理することを規定しています。また、プライバシーポリシーおよび現在のサブプロセッサーもご参照ください。
このページの内容
定義
ここで定義されていない大文字の用語は、契約書の意味を意味します。 「データ保護法」 本協定に基づく個人データ処理に適用されるすべての法律および規則、GDPR(EU)2016/679および英国GDPRを含む、ならびに現地の施行法を意味します。 「個人データ」、「コントローラー」、「プロセッサ」、「データ主体」、「処理」、 そして 「監督権限」 GDPRの意味を含んでいます。
「機密データ」 追加の保護が必要な情報や特別な規則の対象となる情報(例:GDPR第9条の特別カテゴリーデータ、例えば健康・バイオメトリクス・遺伝データ、16歳未満の子どもの個人データ、政府発行の識別子、金融口座や支払いデータ、正確な位置情報、または認証情報/パスワード/APIキー/秘密情報など)を意味します。サービスは機密データの処理を目的として設計されていません。
範囲と役割
顧客は コントローラ で、MultiLipiは プロセッサー 付属書Iに記載された個人データに関連して。カスタマーがサードパーティコントローラーのプロセッサとして機能するのに対し、マルチリピはカスタマーのプロセッサーとして機能します サブプロセッサ .顧客はマルチリピを任命する権限をコントローラーの許可を持っていると主張しています。MultiLipiは個人データのみを処理します:(a) サービス提供のため;(b) 顧客が契約および本DPAに記載したもの;および(c)法律で求められるもの。
お客様の指示
お客様は、翻訳、言語によるルーティング、用語集/TM、メディア翻訳、分析、およびお客様が有効にするSEO機能を含む、サービスを提供および改善するために(プライバシーを保護する方法で)個人データを処理するようMultiLipiに指示します。
顧客は機密データの提出や処理をサービスに引き起こさない。それでも顧客が機密データを提出した場合、顧客は必要なすべての同意と安全措置の取得に単独で責任を負います。MultiLipiには機密データの監視義務はありません。
MultiLipiは、法的義務により指示に従えない場合は、禁止されていない限り顧客に通知します。MultiLipiは、顧客の明示的なオプトインなしに個人データを販売したり、一般化されたAIモデルの構築や訓練に使用したりしません。
機密保持
MultiLipiは、個人データの処理権限を持つ者が機密保持義務に拘束され、適切なデータ保護訓練を受けることを保証します。
セキュリティ対策
MultiLipiは、付録IIに記載されたように、個人データを保護するための適切な技術的・組織的措置(「TOMs」)を実施し、その際、当時の技術状況、実装コスト、処理の性質、範囲、文脈、目的、さらに自然人の権利と自由に関するリスクを考慮しています。
サブプロセッサー
顧客はMultiLipiに対し、サービス提供のためにサブプロセッサを雇う一般的な承認を提供します。現在のサブプロセッサーは/legal/subprocessorsに掲載されています。MultiLipiは、このDPAに相当するデータ保護義務をサブプロセッサに課し、その性能に対して責任を負います。
サブプロセッサーに満足できない場合、顧客はMultiLipiに連絡し、データ保護に関する合理的な理由で異議申し立ての機会を提供しなければなりません。善意で解決されない場合、顧客は対象となるサービスを停止または終了することがあります(前払い料金の按分返金)。
支援、DPIA、事前相談
処理の性質やMultiLipiが利用可能な情報を考慮し、私たちは顧客がGDPR第32条から第36条(セキュリティ、侵害通知、DPIA、事前協議)の遵守を確実にするよう支援し、TOMおよびサブプロセッサに関する関連書類の提供も行います。
個人データ侵害の通知
MultiLipiは、顧客データに影響する個人データ漏洩を認識した後、遅滞なく顧客に通知します。通知には、MultiLipiが当時合理的に入手可能な情報が含まれ、侵害の性質、データ主体および記録のカテゴリおよびおおよその数、予想される結果、侵害に対処するために取られたまたは提案された措置が含まれます。
MultiLipiは迅速に悪影響を軽減し、顧客の合理的な要望に応じて違反通知義務を果たす措置を講じます。
データ主体の要求
法的に許可される範囲内で、MultiLipiはデータ保護法に基づく権利を行使するデータ主体からのリクエストを受領した場合、速やかに顧客に通知します。MultiLipiは顧客の書面化された指示以外には応答せず、顧客がそのような要望に対応できるよう合理的な支援を提供します。
データの返却と削除
顧客の書面による要請に基づき、MultiLipiは法律で保持が義務付けられていない限り、商業的に合理的な期間内にすべての個人データを削除または返却(既存のコピーも削除)します。バックアップはスケジュールされたサイクル上で上書きされます。バックアップからの削除は通常のプロセスで行われます。
国際データ転送(SCC/英国補遺)
EEAの移管。処理がGDPR対象となる個人データの適正性決定なしに第三者に移転することを含む場合、当事者は欧州委員会が決定(EU)2021/914で承認した標準契約条項(「SCC」)が参照により組み込まれ、以下に記載されるDPAの一部であることに合意します。
モジュール 2 (コントローラからプロセッサ) および/またはモジュール 3 (プロセッサからサブプロセッサ) (該当する場合)。
第7条(ドッキング条項):適用されます。
第11条(救済):適用されません。
第17条(統治法):アイルランドの法律。
第18条(裁判所および管轄権):アイルランドの裁判所。
SCCの付録I–IIIは、本DPAの付属書I、付属書II、付属書IIIの情報によって補完されます。イギリスのトランスファー。英国GDPRの対象となる移転については、当事者はICOの国際データ転送付録(IDTA)付録BをEU SCCに参照で組み込むことに同意します。利益相反の場合、UK譲渡にはUK付録が適用されます。スイスのトランスファーズ。スイスFADPの対象となる移転の場合、SCCにおけるGDPRへの言及はFADPへの言及と読みます。EU加盟国への言及はスイスとなり、管轄機関はFDPICです。
責任と賠償
本DPAに基づく責任は、適用法で禁止されている範囲を除き、契約における責任の制限および除外の対象となります。各当事者はデータ保護法に基づく自らの行為および不作為について責任を負います。
雑
このDPAと協定の間に矛盾が生じた場合、このDPAがデータ保護に関する利益相反の範囲を管轄します。本DPAのいずれかの条項が無効と判断された場合、残りは引き続き有効です。MultiLipiは法律や当社のサービスの変更を反映してこのDPAを更新する場合があります。
附属書I — 処理の説明
A: パーティー
| データエクスポーター | 顧客(管理者) — 注文/サブスクリプションの詳細。 |
| データインポーター | マルチリピ・テクノロジーズ・プライベート・リミテッド(プロセッサー)。連絡先:privacy@multilipi.com |
B: 処理の詳細
| そざい | MultiLipi多言語SEO・翻訳サービスの提供 |
| 期間 | 本契約の期間中、および削除/返却およびバックアップに必要な場合。 |
| 性質と目的 | 顧客が選定した機能(翻訳、言語ルーティング、用語集/TM、メディア翻訳、分析、SEO)、サポート、請求、セキュリティを提供するための処理。翻訳ワークフロー:翻訳を提供するために、お客様のウェブページのテキスト内容はMultiLipiのサーバーおよび第三者翻訳プロバイダー(例:Azure Translation Services)に送信され、後者はサブプロセッサとして機能します。パフォーマンス最適化やキャッシュのために、MultiLipiは原文と対応する翻訳を保存することができます。 |
| データ主体のカテゴリー | カスタマースタッフ(管理者、ユーザー)、顧客のエンドユーザー/訪問者、そして顧客が提供するコンテンツにデータが現れるすべての個人。 |
| 個人データのカテゴリー | 連絡先データ(名前、電子メール)、アカウント識別子、使用ログ(IP、ユーザーエージェント、タイムスタンプ)、翻訳/ローカリゼーションのために提供されるコンテンツ(偶発的に個人データを含む場合があります)、設定(言語など)、請求識別子(支払い処理業者を介して処理)。 |
| 機密データ(あれば) | サービスには必須ではありません。顧客は機密データを提出してはなりません。サービスはそれを処理するよう設計されていません。 |
| 周波数 | 継続的であり、顧客のサービス利用によって開始されます。 |
| 保持 | プライバシーポリシーおよび契約に指定されているとおり。目的に必要な期間を超えて保持され、その後削除または匿名化されます。 |
| 転送 | 本DPA第12条に記載されている通り |
C:有能監督機関
SCCに関しては、SCCの第13条(例:顧客加盟国の主要なEU機関またはデータ主体の権限)に従って権限が決定されます。
附属書 II — 技術的および組織的措置 (TOM)
情報セキュリティプログラム。アクセス制御、データ処理、インシデント対応、変更管理、ベンダーリスク、安全な開発をカバーする書面ポリシー。
アクセスコントロール。ロールベースのアクセス、最小権限、強力な認証、管理者向けのMFA、セッション管理、定期的なアクセスレビュー、役割変更や終了時の即時取り消し。
暗号化。データ転送時のTLS;保存された秘密や鍵の暗号化、キーの回転とキー素材へのアクセス制限。
ネットワークおよびアプリケーションセキュリティ。セグメント化されたネットワーク;ファイアウォール/WAF;DDoS対策(該当する場合はCDN/エッジによる);基準線の硬化;コードレビューや依存関係スキャンを含む安全なSDLC。
ログとモニタリング。セキュリティ関連イベントの集中ログ;異常現象に警戒し、時間同期;改ざん防止ログ保管。
脆弱性とパッチ管理。定期的な脆弱性スキャン;適時の修復;適宜第三者のテストも行います。
事業継続と災害復旧。重要部品のための冗長インフラ;バックアップのテスト;文書化されたRTO/RPO目標。
データの分離。顧客環境とデータの論理的な分離。
人事セキュリティおよび研修。法律で許可された身元調査;オンボーディング/年次セキュリティおよびプライバシー研修;機密保持の約束。
インシデント対応。定義された役割、トリアージ、封じ込め、根絶、回復、教訓、顧客通知ワークフローを含む文書化された計画。
ベンダーおよびサブプロセッサー管理。リスクベースの評価、契約上のセキュリティ・プライバシー義務、継続的な監視。
物理的なセキュリティ。業界標準の管理(バッジ、CCTV、訪問者記録)を備えた、検証済みのプロバイダーが運営するデータセンター。
データ最小化。必要なものだけを集めてください。保持上限;適切な場合は匿名化や仮名化も可能です。
顧客コントロール。アクセス管理のための管理ツール;ダッシュボード上の監査記録(利用可能な場合)、API鍵管理;MFAサポート。
附属書III — サブプロセッサー
現在の承認済みサブプロセッサのリストは、https://multilipi.com/legal/subprocessors で管理されています。各サブプロセッサについて、MultiLipiは名称、目的、処理場所、転送メカニズム(例:SCC)を開示します。
署名
| 顧客 | マルチリピ・テクノロジーズ・プライベート・リミテッド |
|---|---|
| 名前:___________________________ タイトル:___________________________ 日付:___________________________ 署名:______________________ | 名前:Kunal Singh Shekhawat タイトル:共同創業者@MultiLipi 日付: 10/09/2025 署名:  |