データ処理補遺契約(DPA)
規制対象の地域 — 主に GDPR 第 28 条のデータ管理者 — のお客様向けに、svdy がお客様に代わって個人データを処理する際の取り決めを定めた、双方署名可能な DPA をご用意しています。
DPA の内容
svdy 標準 DPA は以下の条項をカバーします(EDPB SCC、UK ICO ICA、ISO 27018 のテンプレートを基にしています):
1. 役割と適用範囲
お客様=データ管理者、svdy=処理者。個人データの範囲:従業員、勤怠データ、休暇記録、申請フォーム、監査ログ。
2. 下請処理者
/trust/sub-processors に記載の 5 社の下請処理者を承認します。変更時は 30 日前の事前通知と異議申し立ての仕組みを設けています。
3. セキュリティ
AWS マルチ AZ + 保管時 AES-256 + 通信時 TLS 1.2 以上 + ロールベースのアクセス制御 + 監査ログ。SOC 2 プログラム開始(2027 年 Q1)以降は年次でペネトレーションテストを実施します。
4. データ主体の権利
お客様(データ管理者)は、まず管理画面から DSAR(エクスポート/削除/訂正)を処理します。セルフサービスで対応できないご依頼については、svdy が 5 営業日以内にサポートします。
5. インシデント通知
認知から 72 時間以内に、対象範囲・影響データ・対処手順を添えて通知します。ご指定の DPO 連絡先宛にメールでお送りします。
6. 国際移転
EU → 米国の移転は EU SCC(2021 年版)でカバーします。英国向けの移転は UK Addendum(SCC 補遺)でカバーします。
7. 契約終了時
契約終了時には、お客様は管理画面から 30 日間データをエクスポートできます。その後、法令上の保存義務がある場合を除き、svdy は 60 日以内に完全削除を行います。
双方署名可能な DPA をリクエストする
legal@svdy.com 宛に、貴社名と管理者となる法人(EU / 英国 / 米国)をご記入のうえご連絡ください。2 営業日以内に事前署名済みの PDF を返送します。費用はかかりません — DPA はすべての有償プランに含まれています。
legal@svdy.com にメールするプレカスタマー段階のため、現在は法務チームと協力してダウンロード可能な PDF の公開準備を進めています。公開後は SHA-256 ハッシュも併記し、ファイルの完全性を検証できるようにします。
