B2B・APIサービス利用規約

第1条 定義及び適用範囲

1.1 定義

本B2B規約において、以下の用語は以下に定める意味を有するものとします。

• 「API」とは、顧客がプログラムにより本サービスにアクセスするZelfiumのアプリケーションプログラミングインターフェース（SymbolMAG API、Libra API及びAffinia APIを含みます）をいいます。
• 「アセスメントデータ」とは、エンドユーザーが77問のリッカート尺度質問に対して提供した生の回答及び関連する回答時間メタデータをいいます。
• 「許可ユーザー」とは、顧客のアカウントに基づき本サービスにアクセスすることを顧客が承認した、顧客の従業員又は請負業者をいいます。
• 「秘密情報」とは、いずれかの当事者が開示した情報であって、秘密として指定されたもの、又は情報の性質若しくは開示の状況に照らして合理的に秘密とみなされるべきもの（営業秘密、事業計画、アルゴリズム、スコアリング方法論及び未公開のAPI仕様を含みます）をいいます。
• 「重大決定」とは、個人の雇用、保険、信用、教育、住宅又は公共サービスへのアクセス若しくは条件に重大な影響を及ぼす決定をいいます。
• 「顧客」とは、注文書を締結し、又は本B2B規約に同意する法人をいいます。
• 「デプロイメント目的宣言」とは、顧客がオンボーディング時に提出する書面による声明であって、顧客が本サービスを使用する具体的なユースケース（エンドユーザーのカテゴリ、アセスメント結果に基づく決定の種類及び本サービスが展開される法域を含みます）を記載したものをいいます。
• 「エンドユーザー」とは、顧客の指示に基づき本サービスを通じてパーソナリティアセスメントの対象となる自然人（求職者、従業員、学生及び消費者を含みます）をいいます。
• 「高リスクユースケース」とは、EU AI法の附属書IIIに該当する本サービスの利用をいい、以下を含みますがこれらに限定されません。(a) 雇用、労働者管理及び自営業へのアクセス（附属書III第4号）、(b) 必要不可欠な民間及び公共のサービス並びに給付へのアクセス及び享受（附属書III第5号）、並びに(c) 教育及び職業訓練（附属書III第3号）。
• 「注文書」とは、本B2B規約を参照し、本サービス、料金、期間その他の商業的詳細を定める、両当事者が締結する文書をいいます。
• 「プロファイルデータ」とは、アセスメントデータから生成されるパーソナリティプロファイルであって、8つのメインスケール、16のサブスケール及び41のコンポーネント、並びにこれらから導出される説明文、スコア又は可視化を含むものをいいます。
• 「責任者」とは、重大決定がなされる前にAI生成の推奨を審査、検証及び却下する能力、研修及び権限を有する者として顧客が指定する個人をいいます。
• 「SymbolMAG」とは、Zelfium独自のパーソナリティアセスメント方法論であって、その心理測定モデル、スコアリングアルゴリズム、質問設計、規範データ及び因子構造を含むものをいいます。

1.2 適用範囲

本B2B規約は、Zelfium APIへのB2Bアクセスにのみ適用されます。Zelfium製品の個人消費者による利用は、消費者向け利用規約に規律されます。顧客が本サービスを自社の製品又はプラットフォームに統合する場合、顧客の利用規約及びプライバシー通知が適用法令に準拠することを確保する責任は顧客のみが負うものとします。

第2条 資格要件及びオンボーディング

2.1 資格要件

本サービスは、(a) 設立地の法律に基づき適法に設立され有効に存続する法人であり、(b) 拘束力ある契約を締結する法的能力を有し、かつ(c) 国際連合、欧州連合、米国又は日本が管理する制裁の対象でない法人のみが利用できるものとします。

2.2 デプロイメント目的宣言

API認証情報が発行される前に、顧客は以下を記載するデプロイメント目的宣言を提出しなければなりません。

• APIが統合される具体的な製品又はサービス
• アセスメントの対象となるエンドユーザーのカテゴリ（例：求職者、従業員、消費者、学生）
• アセスメント結果により全部又は一部が通知される決定の種類
• 本サービスが展開される法域
• 意図される利用がEU AI法又はいずれかの適用法域における類似法令に基づく高リスクユースケースに該当するか否か

2.3 リスク分類

デプロイメント目的宣言に基づき、Zelfiumは顧客の意図する利用を以下のいずれかに分類するものとします。

• 限定リスク：自己啓発、チームダイナミクス、コーチング、キャリア探索（助言のみ）、人間関係適合性インサイト及び類似の非重大なユースケース
• 高リスク：雇用スクリーニング、保険引受、信用評価及び教育上の配置を含む、重大決定を構成する又はこれに寄与するユースケース

高リスクの分類は、本B2B規約第7条、第8条及び第9条に基づく強化義務を発生させます。顧客は、Zelfiumのリスク分類が、すべての適用される規制要件を独自に評価し遵守する顧客の義務を免除するものではないことを確認するものとします。

2.4 更新義務

顧客は、本サービスの意図する利用がデプロイメント目的宣言から重要な点で変更された場合、速やかに書面によりZelfiumに通知しなければなりません。Zelfiumの事前の書面による承認なく高リスクユースケースに拡大することは、本B2B規約の重大な違反を構成するものとします。

第3条 許可されるユースケース

3.1 承認されたユースケース

以下のユースケースは、本B2B規約以外の追加要件なく、すべての顧客に対して承認されるものとします。

• 自己啓発及び自己認識ツール
• チームダイナミクス分析及び組織開発
• エグゼクティブコーチング及びリーダーシップ開発プログラム
• 助言的かつ非拘束的な範囲でのキャリア探索及びキャリアパス
• 人間関係及び対人適合性インサイト（Affinia API）
• 学術研究（適切な倫理審査を伴うもの）

3.2 制限付きユースケース

以下のユースケースは、Zelfiumの事前の書面による承認、補足条件の締結、並びに第7条、第8条及び第9条に定める強化管理の実施を必要とします。

• 雇用スクリーニング及び選考：必須の人的監視が実施されることを条件として、採用決定における複数の基準の一つとしてアセスメント結果を使用すること
• 保険引受：適用される保険規制に従い、リスク評価における補足的データポイントとしてパーソナリティアセスメントを使用すること
• 教育上の配置：学業プログラムの推薦又は学生支援サービスに関する情報提供としてアセスメントを使用すること
• ワークフォース管理：既存の従業員に対するチーム編成、役割配置又は専門能力開発計画に関する情報提供としてアセスメントを使用すること

3.3 禁止されるユースケース

以下の利用はいかなる状況においても厳格に禁止されており、かかる利用は本契約の即時終了を可能とする重大な違反を構成するものとします。

• 唯一の根拠による意思決定：採用、解雇、昇進、降格その他の雇用決定の唯一又は決定的な根拠としてアセスメント結果を使用すること
• 給付の自動拒否：人的審査なく、保険、信用、融資、住宅又は公共サービスの拒否、制限又は価格設定を自動的に行うためにアセスメント結果を使用すること
• 差別的プロファイリング：人種、民族、性別、性的指向、宗教、障害、国籍、年齢その他の保護される特性に基づき、個人をプロファイリング、分類又は差別するためにアセスメント結果を使用すること
• 法執行及び刑事司法：犯罪プロファイリング、保釈若しくは量刑決定におけるリスク評価、又は予測的警察活動のために法執行機関が本サービスを使用すること
• ソーシャルスコアリング：アセスメント結果を使用して社会的信頼性スコア又は自然人の同等の汎用評価を生成すること
• 操作行為：パーソナリティプロファイルを使用してエンドユーザーを操作、搾取若しくは欺くこと、又は心理的脆弱性に基づき個人をターゲティングすること
• 監視：インフォームドコンセントなく個人のパーソナリティを継続的又は秘密裏に監視すること
• 軍事及び兵器システム：本サービスをいかなる兵器システム、軍事標的若しくは防衛情報アプリケーションに統合すること

第4条 APIアクセス及び認証情報

4.1 APIキー

オンボーディング及びリスク分類の完了後、ZelfiumはAPI認証情報（以下「APIキー」といいます）を顧客に発行するものとします。APIキーは秘密であり、譲渡不能であり、秘密情報として取り扱われなければなりません。顧客は以下を遵守するものとします。

• 業界標準のシークレット管理手法（例：環境変数、ハードウェアセキュリティモジュール又は専用のシークレットマネージャー）を使用してAPIキーを安全に保管すること
• クライアントサイドコード、公開リポジトリ又は暗号化されていないストレージにAPIキーを埋め込まないこと
• 知る必要がある許可ユーザーのみにAPIキーへのアクセスを制限すること
• APIキーへの不正なアクセス又は使用が疑われる若しくは実際に発生した場合、直ちにZelfiumに通知すること

4.2 レート制限

本サービスは、該当する注文書及びAPIドキュメントに定めるレート制限の対象となります。Zelfiumは、顧客がレート制限を超過した場合、又は継続的なアクセスが他の顧客に対するシステムの安定性若しくはパフォーマンスを脅かす場合、APIアクセスを制限し又は一時的に停止する権利を留保します。

4.3 APIバージョニング及び非推奨化

Zelfiumは、いかなるAPIバージョンの非推奨化についても少なくとも90日前に書面による事前通知を提供するものとします。非推奨化期間中、非推奨化されたバージョンは引き続き機能するものとします。Zelfiumは、顧客の後続バージョンへの移行を促進するために、移行ガイド及び合理的な技術サポートを提供するものとします。重大なセキュリティ脆弱性を伴う例外的な状況においては、Zelfiumは合理的に実行可能な範囲で可能な限りの通知をもって非推奨化期間を短縮する場合があります。

4.4 顧客の責任

顧客は、(a) 本サービスとやり取りする自社のシステム及びインフラストラクチャのセキュリティ、(b) そのAPIキーに基づき発生するすべての活動、並びに(c) 許可ユーザーが本B2B規約を遵守することの確保について、単独で責任を負うものとします。

第5条 データ処理

5.1 管理者・処理者の関係

EU一般データ保護規則（以下「GDPR」といいます）、UK GDPR及び日本の個人情報の保護に関する法律（以下「個人情報保護法」といいます）の目的において、

• 顧客はデータ管理者（個人情報保護法における「個人情報取扱事業者」）として、本サービスを通じて送信されるエンドユーザーの個人データについて責任を負います。
• Zelfiumはデータ処理者（個人情報保護法における「受託者」）として、顧客の文書化された指示に基づき、かつデプロイメント目的宣言に記載された目的のためにのみ、エンドユーザーの個人データを処理します。

5.2 データ処理契約

個人データの処理に関する両当事者のそれぞれの義務は、参照により本B2B規約に組み込まれるデータ処理契約（以下「DPA」といいます）に定められるものとします。データ処理に関して本B2B規約とDPAとの間に矛盾がある場合は、DPAが優先するものとします。

5.3 目的の制限

アセスメントデータ及びプロファイルデータは、デプロイメント目的宣言に宣言された目的のためにのみ処理されるものとします。Zelfiumは、適用法令により義務付けられる場合を除き、顧客に本サービスを提供する以外の目的でエンドユーザーのデータを処理しないものとします。

5.4 副処理者

Zelfiumは、本サービスの提供において以下のカテゴリの副処理者を利用しています。

Zelfiumは、新たな副処理者を利用し又は既存の副処理者の処理活動の範囲を重要な点で変更する前に、少なくとも30日前に顧客に事前通知を提供するものとします。顧客は、DPAに従い新たな副処理者に異議を申し立てることができます。

5.5 データ保持

アセスメントデータは、該当する注文書又はDPAに定める期間保持されます。期間が定められていない場合、アセスメントデータは処理後90日間保持され、その後自動的に削除されます。プロファイルデータは、顧客による早期の削除要求又は適用法令による要求がない限り、本契約の期間中保持されます。

5.6 越境移転

エンドユーザーの個人データが欧州経済領域、英国又は日本に由来し、第三国に所在する副処理者に移転される場合、Zelfiumは標準契約条項（EU委員会決定2021/914）又はその他の法的に認められた移転メカニズムを含む、適切な保護措置が講じられていることを確保するものとします。

第6条 エンドユーザーの権利のパススルー

6.1 透明性義務

顧客は、アセスメントが実施される前に、エンドユーザーに対して明確、目立つ且つ理解しやすい開示を提供しなければなりません。当該開示には、少なくとも以下の事項を含まなければなりません。

• エンドユーザーがAIを活用したパーソナリティアセスメントの対象となること
• アセスメント結果が使用される具体的な目的
• アセスメント結果が重大決定に影響するか否か
• エンドユーザーがデータ主体の権利を行使する方法
• 顧客（管理者として）及びZelfium（処理者として）の連絡先情報

6.2 データ主体の権利の促進

顧客は、適用されるデータ保護法に基づくエンドユーザーの権利（アクセス権、訂正権、消去権、データポータビリティ権、処理の制限権及び異議申立権を含みます）の行使を促進するためのプロセスを実施しなければなりません。顧客は、適用法令が要求する期間内（例：GDPRに基づく1か月、個人情報保護法に基づく2週間）にデータ主体の請求に対応するものとします。

6.3 Zelfiumへの直接アクセス

顧客は、エンドユーザーがZelfiumに対して直接権利を行使することを妨げ、阻害し又は抑止してはならないものとします。顧客が送信したデータに係るエンドユーザーからデータ主体の請求を受けた場合、Zelfiumは(a) 速やかに顧客に通知し、(b) 当該請求への対応において顧客に合理的な協力を提供し、かつ(c) 適用法令により義務付けられる場合を除き、顧客の承認なくエンドユーザーに直接対応しないものとします。

6.4 同意管理

処理の法的根拠としてエンドユーザーの同意が必要な場合（高リスクユースケースに関するEU AI法第26条第10項に基づく場合を含みます）、顧客はかかる同意の取得、記録及び管理について単独で責任を負うものとします。顧客は、取得されたすべての同意が自由意思に基づく、具体的な、十分な情報に基づく且つ明確なものであることを保証するものとします。

第7条 EU AI法デプロイヤー義務（第26条）

本第7条は、顧客がEU AI法附属書III第4号に基づく雇用関連決定を含む高リスクユースケースにおいてZelfium APIを展開する場合に適用されます。顧客は、雇用スクリーニング、採用又はワークフォース管理のためにLibra APIを展開することが高リスクAIシステムの使用を構成することを確認し同意するものとし、顧客はEU AI法第26条に基づく「デプロイヤー」のすべての義務を負うものとします。

7.1 基本権影響評価

高リスクの展開を開始する前に、顧客はEU AI法第27条に従い基本権影響評価（以下「FRIA」といいます）を実施し文書化しなければなりません。FRIAには以下の事項を含まなければなりません。

• AIシステムが使用されるデプロイヤーのプロセスの記述
• AIシステムが使用される期間及び頻度の記述
• 影響を受ける可能性のある自然人及びグループのカテゴリの特定
• AIシステムプロバイダー（Zelfium）が提供する情報を考慮した、特定されたカテゴリの人々に対する具体的な損害リスクの評価
• 人的監視措置の実施の記述
• 特定されたリスクが顕在化した場合に講じるべき措置の記述

顧客は、高リスクユースケースのためにAPIアクセスが有効化される前に、完成したFRIAの写しをZelfiumに提出しなければならず、また少なくとも年1回又は展開状況に重要な変更があった場合にFRIAを更新しなければなりません。

7.2 人的監視

顧客は、Zelfiumが提供する使用説明書及びEU AI法第26条第2項に従い、人的監視措置を実施しなければなりません。最低限、顧客は以下を行わなければなりません。

• 第26条第2項が要求する能力、研修及び権限を有する責任者を指定すること
• 重大決定がなされる前に、責任者がすべてのAI生成の推奨を審査することを確保すること
• 責任者がAIシステムの出力を却下し又は無視する能力及び権限を有することを確保すること
• 責任者がオートメーションバイアスの影響を受けず、AIシステムの能力及び限界を理解していることを確保すること
• 責任者がAI生成の推奨を却下した各事例を文書化すること

7.3 影響を受ける個人に対する透明性

EU AI法第26条第7項に従い、顧客はAIアセスメントの対象となるすべての個人に対し、AIシステムとやり取りしている又はAIシステムによって評価されていることを通知しなければなりません。この通知はアセスメント開始前に提供されなければならず、以下の事項を含まなければなりません。

• AIシステムが評価に使用されていること
• AIシステムが何を評価するかの説明
• アセスメントが使用される目的
• AIシステムの出力に関する説明を受ける権利及び異議を申し立てる権利

7.4 ログ記録及び記録保持

顧客は、AIシステムの運用ログを最低6か月間、又はEU AI法第26条第6項若しくは適用される国内施行法が要求するより長い期間にわたり保持しなければなりません。ログは、所管の監督当局による監査を可能にする形式で保持されなければなりません。

7.5 インシデント報告

顧客は、本サービスの利用から生じるすべての重大なインシデント（自然人の健康、安全又は基本権に対する損害を伴うインシデントを含みます）を認識してから24時間以内にZelfiumに報告しなければなりません。Zelfiumは、EU AI法第26条第5項に従い、関係する市場監視当局への報告において顧客に協力するものとします。

7.6 Zelfiumのプロバイダー義務

AIシステムのプロバイダーとして、Zelfiumは顧客に以下を提供するものとします。

• AIシステムの意図された目的、能力及び限界を記述する技術文書
• 推奨される人的監視措置を含む使用説明書
• 顧客のFRIAに関連するリスク評価文書
• 既知のバイアス及び精度メトリクスを含む、システムのパフォーマンスに関する情報
• EU AI法に基づくデプロイヤー義務の遵守における顧客への合理的な協力

第8条 差別的使用の禁止

8.1 非差別保証

顧客は、Zelfium APIにより生成されるアセスメント結果を、いかなる自然人に影響する重大決定の唯一の、主たる又は決定的な根拠として使用しないことを表明し保証するものとします。アセスメント結果は、複数の独立した基準の一つとしてのみ使用されなければならず、資格のある人間の判断に取って代わるものであってはなりません。

8.2 年次ディスパレートインパクト監査

顧客が制限付きユースケース（第3.2条）においてZelfium APIを使用する場合、顧客は以下の基準に従い年次ディスパレートインパクト分析を実施しなければなりません。

• EEOCの5分の4ルール：保護されるいかなるグループの選考率も、最も高い選考率を有するグループの選考率の80%（5分の4）以上でなければなりません（従業員選考手続に関する統一ガイドライン（29 CFR Part 1607）に定義されるとおり）。
• EU非差別基準：分析は、EUの反差別指令（指令2000/43/EC及び2000/78/EC）に基づくすべての保護される特性（人種、民族、宗教、障害、年齢、性的指向及び性別を含みます）をカバーしなければなりません。
• 統計的有意性：サンプルサイズが十分な場合、顧客は観察された格差が統計的に有意であるか否かを判定するために適切な統計検定（例：カイ二乗検定、フィッシャーの正確確率検定）を適用しなければなりません。
• 交差分析：データが許す場合、顧客は複数の保護される特性の交差におけるディスパレートインパクトの可能性を分析しなければなりません。

8.3 監査報告

顧客は、書面による要求に基づき、各年次ディスパレートインパクト監査の結果を完了後30日以内にZelfiumに提供しなければなりません。Zelfiumは監査結果を顧客の秘密情報として取り扱うものとします。

8.4 是正措置

ディスパレートインパクト監査により、アセスメント結果の使用がいずれかの保護されるグループに差別的な影響を及ぼしていることが判明した場合、

• 顧客は当該判明から7日以内にZelfiumに通知しなければなりません。
• 顧客は30日以内に是正措置（意思決定基準の調整、人的監視の強化又はアセスメント結果に割り当てる重みの修正を含む場合があります）を実施しなければなりません。
• 顧客が30日以内に効果的な是正措置を実施しない場合、顧客は影響を受けるユースケースにおける本サービスの使用を直ちに停止しなければなりません。

8.5 Zelfiumの監査権

Zelfiumは、本第8条の遵守について顧客の本サービスの使用を監査する権利を留保します。当該監査は、Zelfium又はZelfiumが選定する独立の第三者監査人により実施される場合があります。監査は、合理的な事前通知のうえ通常の営業時間内に実施され、12か月間に1回を超えないものとします（不遵守の信頼できる申立てに対応する場合を除きます）。顧客はかかる監査に全面的に協力しなければなりません。

第9条 人的監視要件

9.1 必須の人的審査

Zelfium APIからのアセスメント結果に基づくすべての重大決定は、資格のある人間による審査を含まなければなりません。法的効果を生じさせる又は個人に同様の重大な影響を及ぼす自動意思決定であって、有意義な人的介入を伴わないものは禁止されます。

9.2 責任者の指定

顧客は、各高リスクユースケースについて少なくとも1名の責任者を指定しなければなりません。責任者は以下の要件を満たさなければなりません。

• 関連する専門資格（例：人事資格、心理学の資格又は同等の専門知識）を有すること
• AIシステムの能力、限界及び既知のバイアスに関するZelfiumのデプロイヤー研修プログラムを完了していること
• AI生成の推奨を承認、拒否又は修正する組織的権限を有すること
• AIの推奨を却下することに対するペナルティを伴うインセンティブ構造の影響を受けないこと
• デプロイメント目的宣言において氏名及び役職によりZelfiumに対して特定されていること

9.3 必須の審査ポイント

アセスメント結果に基づき以下のいずれかの措置がとられる前に、責任者による人的審査が必要とされます。

• 求職者の採用、不採用又はショートリスティング
• 解雇、降格又は雇用条件の重要な変更
• 保険の拒否、制限又は価格設定
• 信用又は融資条件の拒否若しくは変更
• 教育上の配置又はプログラムの適格性に関する決定
• 個人の権利、機会又はサービスへのアクセスに重大な影響を及ぼすその他の決定

9.4 却下の文書化

顧客は、責任者がAI生成の推奨を却下、修正又は拒否した各事例の書面による記録を保持しなければなりません。記録には、日付、責任者の身元、AIシステムの推奨、最終決定及び逸脱の理由を含めなければなりません。記録は最低3年間保持されなければなりません。

9.5 研修及び能力

顧客は、重大決定に関連してアセスメント結果とやり取りするすべての許可ユーザーが、AIリテラシー、パーソナリティアセスメントの限界及びオートメーションバイアスのリスクに関する適切な研修を受けることを確保しなければなりません。Zelfiumは研修資料を提供し、要求に応じて商業的に合理的な料金で研修セッションを実施するものとします。

第10条 知的財産

10.1 ZelfiumのIP

Zelfium及びそのライセンサーは、本サービスに対するすべての権利、権原及び利益（知的財産権を含みます）を保持します。SymbolMAG方法論（その心理測定モデル、スコアリングアルゴリズム、質問設計、規範データ及び因子構造を含みます）は、Zelfiumの営業秘密及び専有情報を構成します。本B2B規約のいかなる規定も、本規約に明示的に定められた限定的なライセンスを除き、本サービスに対するいかなる権利、権原又は利益も顧客に付与するものではありません。

10.2 三層情報分類

Zelfiumは、SymbolMAGに関する情報を以下の三層に分類します。

• パブリック：スケール名（8つのメインスケール）、サブスケール名（16のサブスケール）、コンポーネント名（41のコンポーネント）及び公開ドキュメントに記載されている一般的な方法論の説明。顧客の公開資料において参照することができます。
• 制限付き：スコアリングアルゴリズム、質問の重み付け、規範データ及び統計パラメータ。別途の秘密保持契約に基づき、かつ顧客の許可された利用のために必要な範囲でのみ、顧客と共有されます。
• 機密：生の因子負荷量、独自の心理測定モデル、妥当性研究データ及び内部研究方法論。いかなる状況においても顧客に開示されません。

10.3 ライセンスの付与

顧客が本B2B規約を遵守することを条件として、Zelfiumは顧客に対し、デプロイメント目的宣言に記載された目的のためにのみ、本契約の期間中、本サービスにアクセスし使用するための限定的、非独占的、譲渡不能、再許諾不能且つ取消可能なライセンスを付与するものとします。

10.4 制限

顧客は以下を行ってはなりません。

• 本サービスのソースコード、アルゴリズム又は基礎となる方法論をリバースエンジニアリング、逆コンパイル、逆アセンブル又はその他の方法で導出しようとすること
• 本サービス、アセスメントデータ、プロファイルデータ又は本サービスを通じて取得した情報を使用して、競合するパーソナリティアセスメント、心理測定ツール又は派生的アセスメントツールを開発、訓練又はキャリブレーションすること
• 本サービスにおける知的財産権の通知又は専有表示を削除、隠蔽又は変更すること
• Zelfiumの事前の書面による同意なく、本サービス又はAPIアクセスを第三者にサブライセンス、再販又は再配布すること
• Zelfiumの製品若しくはサービスと競合する又はこれに代替する製品若しくはサービスを構築するために本サービスを使用すること

10.5 顧客データ

両当事者間において、顧客は、アセスメントデータ及び顧客又はそのエンドユーザーが本サービスに送信したデータを含む顧客のデータに対するすべての権利、権原及び利益を保持します。顧客は、本サービスの提供のためにのみ当該データを処理するための限定的かつ非独占的なライセンスをZelfiumに付与するものとします。

10.6 フィードバック

顧客が本サービスに関する提案、機能要望その他のフィードバック（以下「フィードバック」といいます）を提供した場合、Zelfiumは当該フィードバックを制限又は義務なく使用することができます。顧客はフィードバックに対するすべての権利、権原及び利益をZelfiumに譲渡するものとします。

第11条 秘密保持

11.1 義務

各当事者（以下「受領当事者」といいます）は、(a) 相手方当事者（以下「開示当事者」といいます）の秘密情報を厳格に秘密として保持し、(b) 本規約に明示的に許可される場合を除き秘密情報を第三者に開示せず、かつ(c) 本B2B規約に基づく権利の行使又は義務の履行の目的のためにのみ秘密情報を使用することに同意するものとします。受領当事者は、知る必要があり且つ本規約に定めるものと少なくとも同等の秘密保持義務に拘束されるその従業員、請負業者及び専門アドバイザーに対して秘密情報を開示することができます。

11.2 例外

秘密情報には以下の情報は含まれません。

• 受領当事者の過失によらず公知となった又は公知となる情報
• 開示当事者による開示前に受領当事者が適法に保有していた情報
• 開示当事者の秘密情報を参照することなく受領当事者が独自に開発した情報
• 開示の制限なく第三者から適法に受領した情報

11.3 強制開示

受領当事者が法律、規制又は法的手続により秘密情報の開示を強制される場合、受領当事者は(a)（法的に許容される範囲で）開示当事者に速やかに書面で通知し、(b) 保護命令を得るための開示当事者の努力に協力し、かつ(c) 必要最小限の秘密情報のみを開示しなければなりません。

11.4 存続

本第11条に定める秘密保持義務は、本B2B規約の終了又は満了後3年間存続するものとします。ただし、営業秘密（SymbolMAGの機密層情報を含みます）に関する義務は、当該情報が適用法令に基づき営業秘密としての資格を有する限り存続するものとします。

第12条 料金及び支払い

12.1 料金体系

本サービスの料金は、該当する注文書に定められ、以下を含む場合があります。

• サブスクリプション料金：プラットフォームアクセス及び含まれるAPI呼び出し量に対する月額又は年額の定期料金
• 使用量ベースの料金：含まれる量を超えるAPI呼び出しに対するアセスメント単位の料金
• プロフェッショナルサービス料金：注文書に合意されたオンボーディングサポート、研修、カスタム統合その他のプロフェッショナルサービスに対する料金

12.2 支払条件

注文書に別段の定めがない限り、すべての料金は請求書の日付から30日以内に支払われるものとします。支払いはStripeを通じて処理されます。承認された信用を有するエンタープライズ顧客については、Zelfiumの指定銀行口座への銀行振込により支払うことができます。

12.3 支払遅延

延滞金には、月1.5%又は適用法令が許容する最高利率のいずれか低い方の利息が発生するものとします。加えて、顧客はZelfiumに対し、弁護士費用を含む回収に要するすべての合理的な費用を補償するものとします。

12.4 税金

すべての料金は、適用される税金、関税及び賦課金を含みません。顧客は、Zelfiumの純利益に基づく税金を除き、本B2B規約から生じるすべての税金について責任を負うものとします。Zelfiumが顧客に代わり税金を徴収し又は納付する義務がある場合、Zelfiumは当該税金について顧客に請求するものとし、顧客は本第12条に従いこれを支払うものとします。

12.5 価格変更

Zelfiumは、60日前の書面による事前通知をもって料金を変更する場合があります。料金変更は、次の更新期間の開始時に効力を生じます。顧客が料金の増額に同意しない場合、顧客は増額された料金が効力を生じる前に書面による通知を提供することにより本契約を終了することができます。

12.6 不払いによる停止

顧客のアカウントが15日以上延滞している場合、Zelfiumは顧客に対する10日前の書面による通知をもって本サービスへのアクセスを停止する場合があります。停止は、顧客の支払義務を免除するものではありません。

第13条 サービスレベル

13.1 稼働率コミットメント

Zelfiumは、月間APIの可用性を99.5%以上（以下「稼働率目標」といいます）に維持するために商業的に合理的な努力を払うものとします。稼働率は、暦月における総分数に対しAPIが稼働している分数の割合として測定され、計画的メンテナンス及び不可抗力事由は除外されます。

13.2 計画的メンテナンス

Zelfiumは、計画的メンテナンスウィンドウについて、顧客の指定する技術担当者への電子メール及びZelfiumのステータスページを通じて、少なくとも48時間前の事前通知を提供するものとします。計画的メンテナンスは、実行可能な場合には低トラフィック時間帯（通常、日本時間の午前2時から午前6時）に実施されるものとします。

13.3 サービスクレジット

月間稼働率が稼働率目標を下回る場合、顧客は以下のスケジュールに従いサービスクレジットを要求することができます。

サービスクレジットは、ダウンタイムに対する顧客の唯一かつ排他的な救済手段です。クレジットはダウンタイムイベントから30日以内に要求されなければなりません。いかなる暦月においても、クレジットの合計は当該月の月額料金の25%を超えないものとします。

13.4 サポート

標準サポートは、営業時間内（日本時間の月曜日から金曜日の午前9時から午後6時まで、日本の祝日を除きます）に電子メールにより提供されます。優先対応時間及び専任の技術担当者を含むエンタープライズサポートプランは、注文書に定めるところにより利用可能です。

第14条 データセキュリティ

14.1 セキュリティ対策

Zelfiumは、以下を含む、顧客データの機密性、完全性及び可用性を保護するために設計された管理的、技術的及び物理的なセキュリティ対策を実施し維持します。

• 転送中の暗号化：顧客のシステムと本サービス間で送信されるすべてのデータは、TLS 1.3以上を使用して暗号化されます。
• 保存時の暗号化：Zelfiumのインフラストラクチャに保存されるすべてのデータは、AES-256を使用して暗号化されます。
• アクセス制御：最小権限の原則に基づくロールベースのアクセス制御、すべての管理アクセスに対する多要素認証。
• 監査ログ：顧客データへのアクセス及び変更の包括的なログ記録。
• 脆弱性管理：定期的なセキュリティ評価、ペネトレーションテスト及び特定された脆弱性の速やかな是正。

14.2 コンプライアンスロードマップ

Zelfiumは、SOC 2 Type II認証の取得に取り組んでいます。当該認証が取得されるまで、Zelfiumは合理的な要求に基づき、顧客に対して現行のセキュリティ管理の概要及び直近の第三者セキュリティ評価の結果を提供するものとします。

14.3 データ侵害通知

顧客データへの不正アクセス、開示又は喪失をもたらすセキュリティインシデント（以下「データ侵害」といいます）が発生した場合、Zelfiumは以下を行うものとします。

• データ侵害の確認後24時間以内に書面により顧客に通知すること
• 侵害の性質、影響を受けたレコードのカテゴリ及び概数、並びに侵害に対処するために講じた又は講じる予定の措置の説明を提供すること
• 侵害の調査及び是正において顧客に協力すること
• 適用法令が要求するとおり、影響を受ける個人及び監督当局への通知において顧客に協力すること

14.4 顧客のセキュリティ義務

顧客は、API認証情報の保護、顧客のシステム内での転送中及び保存時のエンドユーザーデータの保護、並びに許可ユーザーが安全な慣行に従うことの確保を含む、自社環境内での適切なセキュリティ対策の実施について責任を負うものとします。

第15条 補償

15.1 Zelfiumによる補償

Zelfiumは、以下から生じる第三者の請求、損害、損失、責任、費用及び経費（合理的な弁護士費用を含みます）について、顧客並びにその役員、取締役、従業員及び代理人を防御し、補償し、無害に保つものとします。

• 顧客の許可された本サービスの使用が第三者の特許、著作権、商標又は営業秘密の権利を侵害するという請求
• 第14条に基づくZelfiumのセキュリティ義務の不遵守に起因するデータ侵害

15.2 顧客による補償

顧客は、以下から生じる第三者の請求、損害、損失、責任、費用及び経費（合理的な弁護士費用を含みます）について、Zelfium並びにその役員、取締役、従業員及び代理人を防御し、補償し、無害に保つものとします。

• 本B2B規約第8条に違反する使用を含む、顧客によるアセスメント結果の差別的使用
• デプロイメント目的宣言の範囲を超える使用を含む、顧客によるアセスメントデータ又はプロファイルデータの不正使用
• 第7条に定めるEU AI法デプロイヤー義務の顧客による不遵守
• 第9条に定める必須の人的監視の顧客による不実施
• 顧客の認証情報を通じてアクセスした顧客の許可ユーザー又はいかなる者による本サービスの不正使用
• 本サービスの使用に関連する適用法令の顧客による違反

15.3 補償手続

被補償当事者は、(a) 補償を求める請求について補償当事者に速やかに書面で通知し、(b) 当該請求の防御及び和解の単独の支配権を補償当事者に付与し（ただし、補償当事者は、被補償当事者に義務を課し又はその責任を認める和解については、被補償当事者の事前の書面による同意なく行うことはできません）、かつ(c) 補償当事者の費用負担において補償当事者に合理的な協力を提供しなければなりません。適時の通知を怠ったことは、補償当事者がかかる不履行により重大な不利益を被る範囲を除き、補償当事者の義務を免除するものではありません。

15.4 知的財産侵害の救済

本サービスが侵害請求の対象となり又はZelfiumの合理的な意見においてその対象となる可能性がある場合、Zelfiumはその単独の選択及び費用負担において、(a) 顧客が本サービスを継続的に使用する権利を取得するか、(b) 本サービスを非侵害的なものに修正するか、又は(c) (a)も(b)も商業的に実行可能でない場合、影響を受ける注文書を終了し、サブスクリプション期間の未使用部分に対する前払い料金を返金することができます。

第16条 責任の制限

16.1 一般的な上限

第16.3条に定める適用除外を除き、本B2B規約に起因する又は関連するいずれの当事者の総賠償責任も、請求の原因となった事象に直前する12か月間に顧客がZelfiumに支払った又は支払うべき総額（以下「責任上限額」といいます）を超えないものとします。

16.2 間接損害の排除

第16.3条に定める適用除外を除き、いずれの当事者も、本B2B規約に起因する又は関連する間接的、付随的、特別、結果的若しくは懲罰的損害、又は利益、収益、データ、事業機会若しくはのれんの喪失について、責任の理論（契約、不法行為、厳格責任その他）を問わず、また当該当事者がかかる損害の可能性を知らされていた場合であっても、相手方当事者に対して一切責任を負わないものとします。

16.3 適用除外

第16.1条及び第16.2条に定める制限は、以下には適用されません。

• いずれかの当事者の故意の不正行為又は重大な過失
• 第15.1条に基づくZelfiumの補償義務（知的財産侵害及びデータ侵害）
• 第15.2条に基づく顧客の補償義務（差別的使用、EU AI法不遵守及び不正使用）
• 第3.3条（禁止されるユースケース）の顧客による違反
• 第11条（秘密保持）のいずれかの当事者による違反
• 第12条に基づく顧客の支払義務

16.4 不可抗力

いずれの当事者も、天災、パンデミック、戦争、テロリズム、政府の行為、労働争議、インターネット若しくは通信の障害及びサイバー攻撃を含む、当事者の合理的な支配を超える状況（以下「不可抗力事由」といいます）に起因する義務（支払義務を除きます）の不履行又は遅延について、責任を負わないものとします。影響を受けた当事者は、速やかに相手方当事者に通知し、影響を軽減するために合理的な努力を払わなければなりません。不可抗力事由が60日を超えて継続する場合、いずれの当事者も影響を受ける注文書を終了することができます。

16.5 契約の本質的な基礎

各当事者は、本第16条に定める責任の制限が両当事者間の取引の本質的な要素であり、各当事者が本B2B規約を締結するための重要な誘因であるリスク配分を反映していることを確認するものとします。当該制限は、限定的な救済がその本質的な目的を達成できない場合であっても適用されるものとします。

第17条 期間及び終了

17.1 期間

本B2B規約の初期期間は、該当する注文書に定める効力発生日に開始し、1年間継続するものとします（以下「初期期間」といいます）。初期期間終了後、本B2B規約は、いずれかの当事者がその時点の期間の終了の少なくとも90日前に書面による更新拒絶の通知を提供しない限り、連続する1年間の期間（以下、各期間を「更新期間」といいます）自動的に更新されるものとします。

17.2 任意解約

いずれの当事者も、相手方当事者に対する90日前の書面による通知をもって、本B2B規約を任意に終了することができます。顧客がアクティブなサブスクリプション期間中に任意に終了した場合、注文書に別段の定めがない限り、前払い料金の返金は行われないものとします。

17.3 正当事由による解約

いずれの当事者も、相手方当事者が本B2B規約に重大に違反し、かつ違反の内容を特定する書面による通知を受領した後30日以内にかかる違反を是正しない場合、本B2B規約を正当事由により終了することができます。

17.4 即時終了

Zelfiumは、以下の場合、是正期間なく、書面による通知をもって本B2B規約を即時に終了することができます。

• 顧客が禁止されるユースケース（第3.3条）のために本サービスを使用した場合
• 顧客が第8条に違反してアセスメント結果を差別的に使用した場合
• 顧客が第7条に基づくEU AI法デプロイヤー義務に重大に違反した場合
• 顧客がエンドユーザーデータに関するデータ侵害を受け、所要の期間内にZelfiumに通知しなかった場合
• 顧客が破産、支払不能、管財人選任又は類似の手続の対象となった場合
• 顧客に対する本サービスの継続的な提供が、Zelfiumの合理的な判断において、Zelfiumを重大な法的又は規制上の責任にさらす場合

17.5 終了の効果

本B2B規約の終了又は満了に際し、

• 顧客に付与されたすべてのライセンスは直ちに終了します。
• 顧客は、本サービス及びAPIキーのすべての使用を直ちに停止しなければなりません。
• 各当事者は、終了の効力発生日から30日以内に相手方当事者の秘密情報を返還又は破棄し、これを行ったことを書面で証明しなければなりません。
• Zelfiumは、終了の効力発生日から30日間、顧客のデータをエクスポート可能な状態で維持するものとし、その後Zelfiumは当該データを削除することができます。
• 顧客は、終了前に発生したすべての料金について引き続き責任を負うものとします。

17.6 存続条項

以下の条項は、本B2B規約の終了又は満了後も存続するものとします。第1条（定義）、第8条（差別的使用の禁止）、第10条（知的財産）、第11条（秘密保持）、第12条（料金、発生済み義務の範囲で）、第15条（補償）、第16条（責任の制限）及び第18条（一般条項）。

第18条 一般条項

18.1 準拠法

本B2B規約及びこれに起因する又はこれに関連するすべての紛争は、法の抵触に関する原則にかかわらず、日本法に準拠し、これに従い解釈されるものとします。

18.2 管轄

両当事者は、本B2B規約に起因する又はこれに関連するすべての紛争について、横浜地方裁判所の専属的管轄に取消不能の形で服するものとします。上記にかかわらず、いずれの当事者も、知的財産権又は秘密情報を保護するために、管轄権を有するいかなる裁判所においても差止命令その他の衡平法上の救済を求めることができます。

18.3 譲渡

いずれの当事者も、相手方当事者の事前の書面による同意なく、本B2B規約の全部又は一部を譲渡し又は移転することはできません。ただし、いずれの当事者も、譲受人が本B2B規約に拘束されることに書面で同意することを条件として、関連会社に対し又は合併、買収若しくはその資産の全部若しくは実質的にすべての売却に関連して本B2B規約を譲渡することができます。本第18.3条に違反する譲渡の試みは無効とします。

18.4 可分性

本B2B規約のいずれかの条項が無効、違法又は執行不能と判断された場合、残りの条項は引き続き完全な効力を有するものとします。両当事者は、適用法令が許容する最大限の範囲で、無効な条項の本来の意図を反映する代替条項について誠実に交渉することに同意するものとします。

18.5 完全合意

本B2B規約は、すべての注文書、DPA、プライバシーポリシー及び利用ガイドラインとともに、本規約の主題に関する両当事者間の完全な合意を構成し、書面又は口頭を問わず、すべての先行する及び同時の合意、提案及び表明に優先するものとします。

18.6 修正

Zelfiumは、顧客に対する60日前の書面による通知をもって本B2B規約を修正する場合があります。重要な修正は、顧客の指定する連絡先に電子メールにより通知されるものとします。顧客が重要な修正に同意しない場合、顧客は修正が効力を生じる前に書面による通知を提供することにより本B2B規約を終了することができます。修正の効力発生日以降の本サービスの継続的な使用は、承諾を構成するものとします。

18.7 通知

本B2B規約に基づき必要とされる又は許可されるすべての通知は、書面によるものとし、注文書に定める指定連絡先への電子メール、又は当事者の主たる事業所への書留郵便若しくは国際的に認められた宅配便により送付されるものとします。通知は、配達が確認された時点で受領されたものとみなされます。Zelfiumの通知先：legal@zelfium.com。

18.8 独立した契約者

両当事者は独立した契約者です。本B2B規約のいかなる規定も、両当事者間にパートナーシップ、合弁事業、雇用、フランチャイズ又は代理関係を創設するものではありません。いずれの当事者も、相手方を拘束し又は相手方に代わり義務を負う権限を有しません。

18.9 権利放棄

いずれかの当事者が本B2B規約のいずれかの権利又は規定を執行しなかったことは、当該権利又は規定の放棄を構成するものではありません。権利放棄は書面によるものとし、放棄当事者が署名しなければなりません。

18.10 相互参照

本B2B規約は、以下のZelfiumの法的文書と併せてお読みください。

• プライバシーポリシー — 個人情報の収集、利用及び開示を規律します
• 利用ガイドライン — Zelfiumの全サービスにおける禁止行為を定義します
• AI・診断に関する免責事項 — AI生成アセスメントの限界及び適切な使用を説明します
• Cookieポリシー — Cookie及び類似の技術の使用を説明します

お問い合わせ

本B2B規約に関するご質問は、以下までお問い合わせください。

Zelfium Inc.（ゼルフィウム株式会社）
法務部
メール：legal@zelfium.com
東京都中央区銀座1-22-11