NoteMail.me データ処理補足契約（DPA）

第 1 条（定義）

• 個人情報：生存する個人に関する情報であって、氏名、IP アドレス、位置情報、閲覧履歴、デバイス識別子、メール内容その他の記述等により特定の個人を識別できるものをいいます。
• エンドユーザー：顧客のサービスを利用し、NoteMail.me プラットフォームを通じてメールを受信する者を指します。
• 顧客データ：当社が本サービス提供のために取得・処理する、顧客に関連する情報（ユーザー画像、API ログ、CRM 情報等）をいいます。
• 再委託先（サブプロセッサー）：当社の業務委託を受けてデータを処理する第三者を指します。
• 個人情報保護関連法令：個人情報保護法（平成 15 年法律第 57 号）、GDPR およびこれに関連する政令・指針を含みます。

第 2 条（利用目的）

• エンドユーザーへのメール送信および管理機能提供のため
• ユーザー行動分析および顧客向けレポート生成のため
• サービスの維持・改善・保安対策のため
• 法令に基づく対応その他正当な業務運営のため

第 3 条（顧客の責任）

• エンドユーザーに関する個人情報の取扱いに関して、顧客は「個人情報取扱事業者」として法的義務を負います。当社は「委託先（取扱委託先）」として行動します。
• 顧客は、エンドユーザーから必要な同意を取得したうえで、合法的に情報を当社に提供する責任を負います。
• 顧客は、提供するデータの正確性、合法性および取得経路の適法性を保証するものとします。

第 4 条（安全管理措置）

• 通信の TLS 暗号化
• ストレージの AES-256 暗号化
• 多要素認証によるアクセス管理
• システム監視と操作ログ記録
• 自動バックアップと障害復旧体制
• 社内規程による情報管理体制の確立と運用

第 5 条（再委託先）

• 当社は、以下の目的で再委託を行う場合があります：
• 日本国内のクラウドインフラ（例：AWS 東京リージョン）によるデータホスティング
• メール送信、セキュリティ監査などの技術支援サービス
• 当社は、再委託先と秘密保持義務を含む個人情報保護契約を締結し、同等の保護水準を維持するようにします。
• 顧客は、再委託先一覧に関する通知を当社 Web サイトで確認できます。

第 6 条（外国へのデータ移転）

• 当社は、可能な限り日本国内にてデータを処理・保管します。
• やむを得ず外国へ移転する場合は、次のいずれかの条件を満たします：
• 当該国が個人情報保護委員会により「十分な保護水準を有すると認められる国」とされている場合
• 移転先との間で標準契約条項（SCC）を締結する場合
• 本人の明確な同意を得ている場合

第 7 条（エンドユーザーの権利）

• エンドユーザーからの以下の請求に対し、当社は顧客と協力し、合理的な範囲で対応します：
• 開示請求・訂正請求・削除請求
• 利用停止・第三者提供停止・同意撤回の請求
• 顧客は、自社のプライバシーポリシーまたは利用規約を通じて、これらの権利について周知する責任を負います。

第 8 条（漏えい等発生時の対応）

• 万が一個人情報の漏えい、滅失、毀損等が発生した場合、当社は速やかに以下の対応を行います：
• 72 時間以内に顧客へ第一報通知
• 発生事象の詳細報告と是正措置の実施
• 顧客と協力し、必要に応じて個人情報保護委員会や本人への報告を行う
• 顧客による操作ミスや設定不備に起因する漏えいについては、当社は責任を負いかねます。

第 9 条（データ保管と削除）

• 顧客の契約終了後、30 日以内にデータは自動的に削除されます。
• 顧客の申出がある場合、契約期間中であってもいつでも削除請求が可能です。
• 法令により一定期間保存が必要なデータについては、合理的な期間保管いたします。

第 10 条（監査および透明性）

• 顧客は年 1 回まで、当社に対して個人情報保護対応状況に関する監査請求を行うことができます。
• 当社は、以下の情報を開示または閲覧可能とします：
• アクセスログおよび操作履歴
• 安全管理に関する概要説明書
• 第三者監査報告書（ISO 準拠等）

第 11 条（優先順位）

• 本契約、本サービス契約および当社のプライバシーポリシーの内容に矛盾がある場合、優先順位は以下の通りとします：
• 本データ処理補足契約（DPA）
• NoteMail.me サービス契約
• プライバシーポリシー記載内容

第 12 条（準拠法・裁判管轄）

• 本契約は日本法に準拠し、東京地方裁判所を第一審の専属的合意管轄裁判所とします。

別表 A（処理対象の詳細）