データ処理契約

本データ処理契約（以下「本DPA」といいます。）は、該当するサービス契約において顧客として特定される事業体（以下「管理者」又は「お客様」といいます。）とZelfium Inc.（ゼルフィウム株式会社、東京都中央区所在、以下「処理者」、「Zelfium」、「当社」といいます。）との間の契約の一部を構成し、 SymbolMAG性格診断、Affinia（相性分析）及びLibra（キャリアパシング）を含む Zelfiumのサービス（以下総称して「本サービス」といいます。）に関連して、 Zelfiumが管理者に代わって個人データを処理することを規律するものです。

本DPAは、EU一般データ保護規則（EU）2016/679（以下「GDPR」といいます。）第28条、欧州委員会実施決定（EU）2021/914により採択された標準契約条項（以下「SCC」といいます。）、日本の個人情報の保護に関する法律（以下「個人情報保護法」といいます。）並びにカリフォルニア州消費者プライバシー法（改正後を含む。以下「CCPA」といいます。）に準拠するよう設計されています。

本DPAは、当社のプライバシーポリシー、利用規約及び利用ガイドラインと併せてお読みください。

発効日：2026年3月31日

1. 定義

本DPAにおいて、別途定義されていない用語は、本契約において付与された意味を有するものとします。以下の用語は、それぞれ次の意味を有します。

「本契約」とは、本サービスの提供に関する管理者と Zelfiumとの間の基本サービス契約をいいます。
「個人情報保護法」とは、日本の個人情報の保護に関する法律（随時改正されるものを含みます。）をいいます。
「診断データ」とは、Zelfiumの性格診断の実施を通じて生成される全データをいい、77項目のリッカート尺度回答、各項目の回答時間並びに8尺度、16下位尺度及び41要素にわたる性格スコアを含みます。
「管理者」とは、個人データの処理の目的及び手段を決定し、Zelfiumと本契約を締結した事業体をいいます。
「データ主体」とは、本DPAに基づき個人データが処理される、識別された又は識別可能な自然人をいいます。
「GDPR」とは、個人データの処理に関する自然人の保護及びかかるデータの自由な移動に関する欧州議会及び理事会の2016年4月27日付規則（EU）2016/679をいいます。
「個人データ」とは、本サービスに関連してZelfiumが管理者に代わって処理する、データ主体に関連するあらゆる情報をいいます。
「処理」とは、自動的な手段であるか否かを問わず、個人データに対して行われるあらゆる作業又は一連の作業をいい、収集、記録、編成、体系化、保管、修正、変更、取得、参照、利用、送信による開示、配布、整列、結合、制限、消去又は破壊を含みます。
「プロファイルデータ」とは、診断データから算出される性格プロファイルをいい、尺度スコア、下位尺度スコア、要素スコア及び AI生成のナラティブ解釈を含みます。
「処理者」とは、管理者に代わって個人データを処理する Zelfium Inc.をいいます。
「SCC」とは、2021年6月4日の欧州委員会実施決定（EU） 2021/914により採択された、第三国への個人データの移転のための標準契約条項をいいます。
「特別カテゴリーデータ」とは、GDPR第9条に定義される、人種若しくは民族的出身、政治的見解、宗教的若しくは哲学的信条、労働組合への加入、遺伝データ、生体データ、健康に関するデータ又は自然人の性生活若しくは性的指向に関するデータを明らかにする個人データをいいます。本DPAにおいては、心理的特性を明らかにし得る性格診断データは、特別カテゴリーデータとして取り扱います。
「復処理者」とは、管理者に代わって個人データを処理するためにZelfiumが関与する第三者をいいます。
「監督機関」とは、GDPR第51条に基づきEU加盟国が設置する独立した公的機関、又は個人情報保護法に基づく日本の個人情報保護委員会をいいます。

2. 処理の範囲

本DPAは、本サービスに関連してZelfiumが管理者に代わって処理する全ての個人データに適用されます。処理の詳細は別紙Iに記載されています。

2.1 処理活動

Zelfiumは、以下の目的のために個人データを処理します。

性格診断の実施（SymbolMAG）
性格プロファイル及びスコアの生成
AIを活用した性格インサイト及びナラティブ解釈の提供
相性分析（Affinia）
キャリアパシング及びキャリア開発分析（Libra）
診断結果の安全な保管及び取得
技術サポート及びサービスの保守

2.2 データ主体のカテゴリー

Zelfiumプラットフォームにアカウントを作成するエンドユーザー
性格診断を完了する受診者
自身のエンドユーザーに代わってプログラムにより本サービスにアクセスするAPI利用者

2.3 個人データの種類

氏名及びメールアドレス
診断回答（77項目のリッカート尺度）
各診断項目の回答時間
性格プロファイルスコア（8尺度、16下位尺度、41要素）
IPアドレス及びデバイス情報
アカウント認証データ

2.4 特別カテゴリーデータ

本サービスは、データ主体の心理的特性を明らかにし得る限りにおいてGDPR第9条に基づく特別カテゴリーデータに該当し得る性格診断データの処理を伴います。 Zelfiumは、別紙IIに記載するとおり、仮名化、厳格なアクセス制御及び保管時の暗号化を含む強化された保護措置を当該データに適用します。

2.5 目的の制限

Zelfiumは、本契約及び本DPAに記載された本サービスの提供のためにのみ個人データを処理するものとします。Zelfiumは、管理者から書面で明示的に指示された場合を除き、自己の商業的利益を含むその他の目的のために個人データを処理しないものとします。

3. 管理者の義務

管理者は、以下を保証し、約束するものとします。

3.1 適法な根拠

管理者は、GDPR第6条に基づく個人データの処理のための有効な適法な根拠を確立し維持するものとし、特別カテゴリーデータが処理される場合は、GDPR第9条第2項に基づく追加の適法な根拠を確保するものとします。特に、管理者は、心理的特性を明らかにし得る性格診断データの処理について、第9条第2項(a)に基づくデータ主体の明示的な同意を取得するものとします。

3.2 データ保護影響評価

処理がデータ主体の権利及び自由に対して高いリスクをもたらす可能性がある場合、管理者はGDPR第35条に従いデータ保護影響評価（DPIA）を実施するものとします。これは、雇用又は採用の場面においてLibraが使用される場合に特に関連します。かかる場面における自動化されたプロファイリングは、DPIAの要件を発動させ得るためです。Zelfiumは、要請に応じ、管理者がDPIAを実施することに合理的な支援を提供するものとします。

3.3 透明性

管理者は、GDPR第13条及び第14条に基づき必要とされる全ての情報をデータ主体に提供するものとし、これには、処理者としてのZelfiumによる個人データの処理、処理されるデータのカテゴリー及び性格インサイトの生成におけるAI分析の関与に関する情報を含みます。

3.4 データ主体の権利

管理者は、データ主体の権利行使の請求に対応する責任を負い、本DPA第7条に従い、かかる請求を履行するために必要な範囲でZelfiumと連携するものとします。

3.5 指示

管理者は、Zelfiumに対する処理指示が適用されるデータ保護法に適合することを確保するものとします。管理者は、Zelfiumが管理者の指示の適法性を評価する義務を負わないことを了承するものとします。ただし、Zelfiumは、管理者の指示が適用されるデータ保護法に違反すると考える場合、管理者にその旨を通知するものとします。

4. 処理者の義務

処理者としてのZelfiumは、GDPR第28条第3項に従い、以下の義務を負うものとします。

4.1 指示に基づく処理

Zelfiumは、適用法令により求められる場合を除き、第三国への個人データの移転を含め、管理者からの文書化された指示に基づいてのみ個人データを処理するものとします。かかる法的要件がある場合、Zelfiumは、当該法律が公共の利益の重要な理由に基づきかかる通知を禁止している場合を除き、処理前に管理者にその旨を通知するものとします。

4.2 秘密保持

Zelfiumは、個人データの処理を行う権限を有する全ての者が、秘密保持義務を負うことを約束し、又は適切な法定の秘密保持義務に服していることを確保するものとします。個人データへのアクセスは、本サービスの履行に当該アクセスを必要とする要員に限定されます。

4.3 セキュリティ

Zelfiumは、別紙IIに記載する措置を含む、リスクに見合った適切な技術的及び組織的措置を講じるものとします。本サービスが特別カテゴリーデータ（性格診断データ）を伴うことに鑑み、Zelfiumは、当該データの機微性に比例した強化されたセキュリティ措置を適用します。

4.4 データ主体の権利に対する支援

処理の性質を考慮し、Zelfiumは、可能な限り、データ主体の権利行使の請求に対する管理者の義務の履行のために、適切な技術的及び組織的措置により管理者を支援するものとし、その詳細は第7条に規定するとおりとします。

4.5 侵害通知に対する支援

Zelfiumは、処理の性質及びZelfiumが利用可能な情報を考慮し、GDPR第32条から第36条までに基づく義務の遵守を確保するために管理者を支援するものとし、その詳細は第8条に規定するとおりとします。

4.6 削除及び返還

管理者の選択に従い、Zelfiumは、本サービスの提供終了後、全ての個人データを削除し又は管理者に返還するものとし、適用法令が保管を要求する場合を除き、既存の複製を削除するものとします。その詳細は第11条に規定するとおりとします。

4.7 監査及びコンプライアンスの証明

Zelfiumは、GDPR第28条及び本DPAに定める義務の遵守を証明するために必要な全ての情報を管理者に提供し、管理者又は管理者が指名した別の監査人が実施する監査（検査を含みます。）を許可し、これに協力するものとし、その詳細は第10条に規定するとおりとします。

4.8 違法な指示の通知

Zelfiumは、管理者の指示がGDPR、個人情報保護法又はその他の適用されるデータ保護規定に違反すると考える場合、直ちに管理者にその旨を通知するものとします。

4.9 CCPAの遵守

CCPAが適用される限りにおいて、ZelfiumはCCPAにおける「サービスプロバイダー」として行動します。Zelfiumは、個人データを販売若しくは共有せず、本契約に定める事業目的以外の目的のために個人データを保持し、使用し若しくは開示せず、また、CCPAにより許容される場合を除き、管理者から受領した個人データを他の情報源から受領した個人データと結合しないものとします。

5. 復処理者

5.1 承認された復処理者

管理者は、個人データの処理のために復処理者を関与させることについて、Zelfium に包括的な承認を付与します。現在の復処理者の一覧は別紙IIIに記載されており、以下を含みます。

Supabase Inc.（サンフランシスコ、米国）— データベースホスティング及び認証サービス。保護措置：SOC 2 Type II、保管時及び転送時の暗号化、SCCモジュール3（処理者から復処理者へ）。
Stripe Inc.（サンフランシスコ、米国）— 決済処理。保護措置：PCI DSS Level 1、SOC 2 Type II、SCC、Stripe DPA。
OpenAI LLC（サンフランシスコ、米国）— 性格インサイト生成のためのAI推論（GPT-4o）。保護措置：ゼロリテンション API（顧客データによるトレーニングなし）、SOC 2 Type II、SCC、OpenAI DPA。
Vercel Inc.（サンフランシスコ、米国）— フロントエンドホスティング及びエッジファンクション。保護措置： SOC 2 Type II、エッジ暗号化、SCC、Vercel DPA。

5.2 新たな復処理者

Zelfiumは、新たな復処理者を関与させる少なくとも30日前に、提案された復処理者の名称、所在地及び予定する処理活動を管理者に通知するものとします。通知は、管理者の指定する連絡先へのメール又は https://app.zelfium.ai/dpa に公開される復処理者一覧の更新により行われます。

5.3 異議申立ての権利

管理者は、通知を受領してから14日以内にZelfiumに書面で通知することにより、新たな復処理者の関与に異議を申し立てることができます。異議は、データ保護に関連する合理的な理由を記載するものとします。管理者が異議を申し立てた場合、 Zelfiumは、代替の復処理者を利用可能にするよう又は異議の対象となった復処理者の使用を回避するよう本サービスを変更するよう商業的に合理的な努力を行うものとします。合理的な代替策が利用可能でない場合、いずれの当事者も、影響を受ける本サービスの部分を終了することができます。

5.4 復処理者の義務

Zelfiumは、書面による契約により、本DPAに定める義務と同等以上のデータ保護義務を各復処理者に課すものとします。特に、各復処理者は、処理がGDPRの要件を満たすよう適切な技術的及び組織的措置を講じるための十分な保証を提供するものとします。

5.5 責任

Zelfiumは、各復処理者の義務の履行について管理者に対し全面的に責任を負うものとします。復処理者がそのデータ保護義務を履行しない場合、Zelfiumは、復処理者の作為及び不作為がZelfium自身のものであるかのように、管理者に対して責任を負い続けるものとします。

6. セキュリティ措置

Zelfiumは、GDPR第32条に従い、技術水準、実施費用、処理の性質、範囲、文脈及び目的並びにデータ主体の権利及び自由に対するさまざまな蓋然性及び重大性のリスクを考慮し、以下の技術的及び組織的措置を実施し維持します。詳細は別紙IIに記載されています。

6.1 暗号化

転送時：クライアント、サーバー及び復処理者間で送受信される全てのデータは、TLS 1.3を使用して暗号化されます。旧式の非推奨プロトコルを使用した接続は拒否されます。
保管時：データベース及びバックアップシステムに保管される全ての個人データは、AES-256暗号化を使用して暗号化されます。

6.2 アクセス制御

最小権限の原則に基づくロールベースアクセス制御（RBAC）
全ての管理アクセスに対する多要素認証（MFA）の義務化
一意の認証情報を持つ個別のユーザーアカウント（共有アカウント不可）
自動セッション有効期限切れ及び再認証要件
要員の離職又は役割変更時の即時アクセス取消し

6.3 監視及びログ

個人データへの全てのアクセスに関する包括的な監査ログ
リアルタイムのセキュリティ監視及び異常検知
最低12ヶ月のログ保持
セキュリティ担当者によるアクセスログの定期的なレビュー

6.4 脆弱性管理

資格を有する第三者による定期的な侵入テスト
インフラストラクチャ及びアプリケーションの自動脆弱性スキャン
重要度に応じたセキュリティ脆弱性の適時なパッチ適用
サードパーティライブラリ及びパッケージの依存関係監査

6.5 インシデント対応

指定された対応チームによる文書化されたインシデント対応計画
定義されたエスカレーション手順及びコミュニケーションプロトコル
インシデント後のレビュー及び教訓プロセス

6.6 事業継続

地理的冗長性を持つ自動日次バックアップ
定義された復旧時間目標に基づく災害復旧計画
バックアップ復元手順の定期的なテスト

6.7 人的セキュリティ

個人データにアクセスする要員のバックグラウンドチェック
全ての従業員及び請負業者との秘密保持契約
定期的なセキュリティ意識向上研修
雇用終了時の即時アクセス取消し

7. データ主体の権利に対する支援

7.1 支援の範囲

Zelfiumは、GDPRに基づくデータ主体の権利行使の請求に対する管理者の義務の履行を支援するものとし、これには以下の権利を含みます。

アクセス権（第15条）— Zelfiumは、Zelfiumが保有するデータ主体の個人データの複製を、構造化され、一般的に使用される機械可読な形式で管理者に提供するものとします。
訂正権（第16条）— Zelfiumは、管理者の指示に基づき、不正確な個人データを訂正するものとします。
消去権（第17条）— Zelfiumは、適用される法的保存要件に従い、管理者の指示に基づきデータ主体の個人データを削除するものとします。
処理制限権（第18条）— Zelfiumは、管理者の指示に基づき、データ主体の個人データの処理を制限するものとします。
データポータビリティ権（第20条）— Zelfiumは、データ主体の個人データを構造化され、一般的に使用される機械可読な形式（JSON又はCSV）で提供するものとします。
異議申立権（第21条）— Zelfiumは、管理者の指示に基づき、データ主体の個人データの処理を停止するものとします。
自動化された意思決定に関する権利（第22条）— Zelfiumは、AIを活用した性格分析を含む自動化された処理に使用されるロジックに関する有意義な情報を提供し、管理者の要請に基づき人間の介入を促進するものとします。

7.2 対応期限

Zelfiumは、データ主体の権利に関する管理者の支援要請を受領してから5営業日以内に対応するものとします。要請が複雑な技術的措置を必要とする場合、Zelfiumは5営業日以内に管理者に通知し、完了見込みのスケジュールを提供するものとします。

7.3 直接の請求

Zelfiumがデータ主体から直接請求を受けた場合、Zelfiumは、管理者から別途指示された場合を除き、速やかに当該請求を管理者に転送するものとします。Zelfiumは、管理者から権限を付与された場合を除き、データ主体に直接対応しないものとします。

8. 侵害の通知

8.1 通知義務

Zelfiumは、個人データの侵害を認識した後、不当な遅延なく、いかなる場合も24時間以内に管理者に通知するものとします。通知は、管理者の指定する連絡先にメールで、また可能な場合は電話で行うものとします。

8.2 通知の内容

通知には、合理的に確認可能な範囲で以下の事項を含むものとします。

個人データの侵害の性質に関する説明（影響を受けるデータ主体のカテゴリー及び概数並びに影響を受ける個人データ記録のカテゴリー及び概数を含みます。）
Zelfiumのデータ保護担当者の氏名及び連絡先
侵害により生じ得る結果の説明
侵害に対処するためにZelfiumが講じた又は講じることを提案する措置（悪影響を軽減するための措置を含みます。）の説明

8.3 管理者の責任

管理者は、侵害を認識してから72時間以内に管轄の監督機関に通知する（GDPR 第33条）責任及び必要な場合にはデータ主体に通知する（GDPR第34条）責任を負います。Zelfiumは、管理者がこれらの義務を履行するために合理的に必要な全ての情報及び協力を提供するものとします。

8.4 協力

Zelfiumは、個人データの侵害の調査、是正及び影響の軽減において管理者と全面的に協力するものとします。Zelfiumは、侵害に関連する全ての証拠及びログを保全するものとします。

8.5 文書化

Zelfiumは、監督機関への通知の基準を満たすか否かにかかわらず、全ての個人データの侵害を文書化するものとします。文書化には、侵害に関する事実、その影響及び講じられた是正措置を含むものとし、要請に応じて管理者に提供されるものとします。

9. 国際移転

9.1 移転先

本DPAの発効日現在、全ての復処理者はアメリカ合衆国に所在しています。 GDPR第45条に基づく日米間の十分性認定は発効日現在採択されていないため、移転は本条に記載する保護措置により規律されます。

9.2 標準契約条項

欧州経済領域（EEA）、スイス又は英国から米国への個人データの移転は、本DPAに参照により組み込まれるEU標準契約条項（2021/914）モジュール2（管理者から処理者へ）により規律されます。SCCの詳細は別紙IVに記載されています。

9.3 補完的措置

欧州データ保護委員会（EDPB）の補完的措置に関する勧告01/2020に従い、 Zelfiumは以下の追加的保護措置を講じます。

技術的措置：エンドツーエンドの暗号化（転送時TLS 1.3、保管時AES-256）、診断データの仮名化（直接的識別子ではなくUUIDによる紐付け）、権限を有する要員のみへのデータアクセスの厳格な制限。
組織的措置：文書化されたデータ取扱方針、データ保護に関する定期的な職員研修、ベンダーのデューディリジェンス評価、アクセスの記録及び監視、データ保護責任者の選任。
契約上の措置：全ての復処理者とのデータ処理契約、監査権、政府のアクセス要請に関する通知義務、法的強制なき政府機関への任意開示の禁止。

9.4 個人情報保護法に基づく越境移転

個人情報保護法第28条に準拠し、管理者には、Zelfiumの復処理者による処理のために個人データがアメリカ合衆国に移転される可能性があることが通知されます。適用される保護措置には、SCC、復処理者のDPA、暗号化並びに別紙IIに記載する技術的及び組織的措置が含まれます。 Zelfiumは、要請に応じ、移転先国における個人情報保護制度に関する情報を管理者に提供するものとします。

9.5 移転影響評価

Zelfiumは、移転される個人データに関連するアメリカ合衆国の法律及び慣行を評価する移転影響評価（TIA）を実施しています。TIAは、 contact@zelfium.com への書面による要請に基づき管理者に提供されます。

9.6 法律の変更

適用法令の変更により、本条に記載するメカニズムに基づく個人データの国際移転が違法又は実行不可能となった場合、両当事者は、代替の適法な移転メカニズムを特定し実施するために誠実に協力するものとします。合理的な期間内に代替メカニズムが利用可能でない場合、いずれの当事者も影響を受ける処理活動を終了することができ、Zelfiumは第11条に従い影響を受ける個人データを返還又は削除するものとします。

10. 監査権

10.1 監査を受ける権利

管理者又は管理者が任命した資格を有する独立監査人は、本DPAに対するZelfiumの遵守状況を監査することができます。管理者は、監査の実施に先立ち少なくとも30日前に書面で通知するものとします。

10.2 範囲及び条件

監査は、通常の営業時間内（日本標準時）に実施されるものとし、Zelfiumの業務を不当に妨げないものとし、監査により重大な不遵守が明らかになった場合又は監督機関が要求した場合を除き、暦年あたり1回を超えないものとします。

10.3 代替的保証

Zelfiumは、個人データの処理に関連するシステム及びプロセスを対象とする最新の SOC 2 Type IIレポート（又は同等の独立第三者認証）を管理者に提供することにより、監査の要請に応えることができます。当該レポートが管理者の懸念に十分に対応しない場合、管理者はオンサイト監査を実施する権利を留保します。

10.4 費用

管理者が開始する監査の費用は管理者が負担するものとします。ただし、監査によりZelfiumの本DPAに対する重大な不遵守が明らかになった場合、Zelfiumが監査の合理的な費用を負担するものとします。

10.5 監督機関の監査

Zelfiumは、管轄の監督機関が実施する監査又は検査に協力し、かかる目的のために合理的に必要とされる全ての情報及びアクセスを提供するものとします。

11. 個人データの返還及び削除

11.1 データの返還

本契約の終了又は満了に際し、管理者は、構造化され、一般的に使用される機械可読な形式（JSON又はCSV）での全ての個人データの返還を要求することができます。かかる要求は、終了から30日以内に行われなければなりません。 Zelfiumは、要求を受領してから30日以内に当該要求を履行するものとします。

11.2 削除

第11.1条に記載する30日間の返還期間の経過後、又は管理者の書面による指示のいずれか早い時点で、Zelfiumは、アクティブシステム内の全ての複製を含む、保有する全ての個人データを削除するものとします。Zelfiumは、管理者の要請に応じ、削除の書面による証明書を提供するものとします。

11.3 バックアップデータ

バックアップシステムに保持される個人データは、Zelfiumのバックアップローテーションサイクルに従い、アクティブシステムから対応するデータが削除されてから90日以内に削除されるものとします。この期間中、Zelfiumは、バックアップされたデータを本DPAに従って引き続き保護するものとし、これを能動的に処理しないものとします。

11.4 法的保存

適用法令がZelfiumに対し上記の削除スケジュールを超えて特定の個人データの保持を要求する場合、Zelfiumは、(a) 法的要件及び影響を受ける特定のデータについて管理者に通知し、(b) 法的義務を遵守するために必要な最小限のデータのみを保持し、(c) 削除まで本DPAに従い当該データを引き続き保護するものとします。

12. 責任

12.1 責任の制限

本DPAに起因し又は関連して生じる各当事者の責任は、契約、不法行為又はその他の責任の根拠に基づくものであるかを問わず、本条に定める場合を除き、本契約に定める責任の制限及び免除に服するものとします。

12.2 データ主体及び監督機関の権利

本DPAのいかなる規定も、GDPR又はその他の適用されるデータ保護法に基づくデータ主体の権利、又はかかる法律に基づく監督機関の権限を制限するものではありません。

12.3 補償

各当事者は、補償される当事者が自己の作為又は不作為により侵害に寄与していない場合に限り、補償する当事者の本DPA又は適用されるデータ保護法に基づく義務の違反から生じる制裁金、損害賠償、費用又は支出（合理的な弁護士費用を含みます。）について、相手方当事者を補償するものとします。

12.4 連帯責任

管理者及びZelfiumが共にデータ主体に損害を与えた同一の処理に関与している場合、GDPR第82条第4項に従い、データ主体の効果的な補償を確保するため、各当事者は損害全額について責任を負うものとします。損害賠償の全額を支払った当事者は、 GDPR第82条第5項に従い、損害に対する相手方当事者の責任割合に相当する補償額を相手方当事者に求償する権利を有するものとします。

12.5 準拠法

本DPAは、抵触法の原則にかかわらず、日本法に準拠し、これに従って解釈されるものとします。GDPRの適用を受ける処理については、当事者間の合意により逸脱できない限りにおいて、GDPRの規定が適用されるものとします。本DPAに基づく紛争は、GDPR第79条がデータ主体に対しその常居所のある加盟国の裁判所に訴訟を提起する権利を付与している場合を除き、東京地方裁判所の専属管轄に服するものとします。

別紙I：処理の説明

要素	説明
管理者	本サービスの提供に関してZelfiumと本契約を締結した事業体。
処理者	Zelfium Inc.（ゼルフィウム株式会社）、東京都中央区銀座1-22-11。連絡先： contact@zelfium.com
データ主体	Zelfiumプラットフォームにアカウントを作成するエンドユーザー、性格診断を完了する受診者、自身のエンドユーザーに代わってプログラムにより本サービスにアクセスするAPI利用者。
個人データのカテゴリー	氏名、メールアドレス、診断回答（77項目のリッカート尺度）、項目別回答時間、性格プロファイルスコア（8尺度、16下位尺度、41要素）、IPアドレス、デバイス情報、認証データ。
特別カテゴリーデータ	GDPR第9条に基づき心理的特性を明らかにし得る性格診断データ。
処理の作業	収集、保管、体系化、分析、プロファイリング、AI推論（性格インサイトの生成）、取得、消去及び破壊。
処理期間	本契約の期間にデータ返還のための30日を加えた期間。その後、全ての個人データは削除されるものとします。
処理の頻度	本契約の期間中、データ主体による本サービスの利用に応じて継続的に行われます。

別紙II：技術的及び組織的措置（TOMs）

以下の措置は、GDPR第32条に従い個人データを保護するためにZelfiumが実施するものです。

1. アクセス制御

最小権限の原則に基づくロールベースアクセス制御（RBAC）
全ての管理及び本番環境へのアクセスに対する多要素認証（MFA）
該当する場合のシングルサインオン（SSO）統合
認証の連続失敗後の自動アカウントロックアウト
付与された権限の適切性を検証するための四半期ごとのアクセスレビュー
要員の離職又は役割変更時の即時アクセス取消し

2. 暗号化

転送時の全てのデータに対するTLS 1.3（非推奨プロトコルTLS 1.0、1.1、SSLは拒否）
データベースストレージ及びバックアップを含む保管時の全てのデータに対するAES-256暗号化
定期的な鍵ローテーションを伴う暗号鍵管理
自動更新による証明書管理

3. 仮名化

診断データは直接的な識別情報ではなくUUIDによりデータ主体と紐付け
内部処理では技術的に可能な場合、仮名化された識別子を使用
再識別には、別途セキュリティで保護されたマッピングテーブルへのアクセスが必要

4. データの完全性

全てのデータ入力ポイントにおける入力検証（Zodスキーマバリデーション）
データベースの整合性制約及び参照整合性の強制
変更又は削除ができない不変の監査ログ
転送及び保管時のデータ整合性検証のためのチェックサム

5. 可用性及び回復力

自動フェイルオーバーを備えた複数リージョンのクラウドホスティング
地理的冗長性を持つ自動日次バックアップ
定義された目標復旧時点（RPO）及び目標復旧時間（RTO）に基づく災害復旧計画
バックアップ復元手順の定期的なテスト
DDoS保護及びトラフィック管理

6. 監視及びログ

自動アラートを備えたリアルタイムのセキュリティ監視
異常なアクセスパターン又はデータ抽出の試みに対する異常検知
最低12ヶ月の保持期間を持つ集中ログ集約
セキュリティ担当者による定期的なログレビュー

7. ベンダー管理

関与前の全ての復処理者に対するデューディリジェンス評価
全ての復処理者契約における契約上のデータ保護義務
復処理者のコンプライアンス及びセキュリティ態勢の定期的なレビュー
復処理者に対するSOC 2又は同等の認証の維持の要求

8. 人的措置

個人データにアクセスする要員のバックグラウンドチェック
全ての従業員及び請負業者との秘密保持契約（NDA）
データ保護及びセキュリティ意識向上に関する定期的な研修
クリアデスク及びクリアスクリーンポリシー
離職時の即時アクセス取消し及びデバイスの回収

9. 物理的セキュリティ

全てのインフラストラクチャはSOC 2認証の物理的セキュリティを備えたクラウドデータセンター（Supabase、Vercel）にホスティング
ローカルデバイス又はリムーバブルメディアへの個人データの保管なし
復処理者の施設はISO 27001の物理的セキュリティ要件に準拠

10. インシデント対応

定義された役割及び責任を持つ文書化されたインシデント対応手順
重大なインシデントに対する24時間365日の対応が可能な指定されたインシデント対応チーム
定義されたエスカレーション手順及びコミュニケーションプロトコル
根本原因分析及び是正措置を伴うインシデント後のレビュープロセス
インシデント対応の準備状況をテストするための定期的な机上演習

別紙III：復処理者一覧

以下の復処理者は、本DPAの発効日現在、管理者に代わって個人データを処理することを承認されています。

復処理者	所在地	目的	保護措置	DPA / SCC
Supabase Inc.	サンフランシスコ、米国	データベースホスティング、認証	SOC 2 Type II、保管時AES-256暗号化、転送時TLS 1.3	SCCモジュール3（処理者から復処理者へ）、Supabase DPA
Stripe Inc.	サンフランシスコ、米国	決済処理	PCI DSS Level 1、SOC 2 Type II、トークン化されたカード保管	SCC、Stripe DPA
OpenAI LLC	サンフランシスコ、米国	性格インサイト生成のためのAI推論（GPT-4o）	ゼロリテンションAPI（顧客データによるトレーニングなし）、SOC 2 Type II	SCC、OpenAI DPA
Vercel Inc.	サンフランシスコ、米国	フロントエンドホスティング、エッジファンクション	SOC 2 Type II、エッジ暗号化、DDoS保護	SCC、Vercel DPA

本一覧は、復処理者の追加又は削除に応じて更新されます。管理者は、本DPA第5.2条に従い、変更の少なくとも30日前に通知を受けるものとします。

別紙IV：標準契約条項の参照

適用されるSCC

両当事者は、欧州議会及び理事会の規則（EU）2016/679に基づく第三国への個人データの移転のための標準契約条項に関する2021年6月4日の欧州委員会実施決定（EU）2021/914により採択された標準契約条項を参照により組み込みます。

モジュール

モジュール2（管理者から処理者へ）が、管理者（データ輸出者）からZelfium（データ輸入者）への、管理者に代わって処理するための個人データの移転に適用されます。

条項別の選択

条項	選択
第7条（ドッキング条項）	含む。追加の管理者がSCCに加入できるものとします。
第9条(a)（復処理者の承認）	オプション2（包括的な書面による承認）。Zelfiumは、復処理者の追加又は交代に関する変更の意図について、少なくとも30日前に管理者に通知するものとします。
第11条（救済）	任意の文言は含まない。データ主体は、管轄の監督機関に直接苦情を申し立てることができます。
第13条(a)（管轄監督機関）	管理者（データ輸出者）が設立されているEU加盟国の監督機関。管理者がEU内に設立されていない場合、管理者のEU代理人が設立されているEU加盟国の監督機関、又はこれが存在しない場合、管理者が指定する監督機関とします。
第17条（準拠法）	オプション1。SCCは、管理者（データ輸出者）が設立されているEU加盟国の法に準拠するものとし、当該法が第三者受益者の権利を認めることを条件とします。
第18条(b)（裁判管轄の選択）	SCCに基づく紛争は、管理者（データ輸出者）が設立されているEU加盟国の裁判所において解決されるものとします。

SCCの附属書

SCCの附属書I.A（当事者の一覧）、I.B（移転の説明）、I.C（管轄監督機関）及びII（技術的及び組織的措置）に必要な情報は、本DPAの別紙I及び別紙IIに記載されています。

英国国際データ移転補遺

英国GDPRの適用を受ける個人データの移転については、両当事者は、2018年データ保護法S.119A(1)に基づき英国情報コミッショナーが発行したEU委員会標準契約条項に対する国際データ移転補遺（バージョンB1.0、2022年3月21日発効）が、本附属書に規定するとおりSCCに適用されることに同意します。

スイスのデータ保護

スイス連邦データ保護法（FADP）の適用を受ける個人データの移転については、スイス連邦データ保護情報コミッショナー（FDPIC）が要求する修正を加えたSCC が適用されます。これには、GDPRへの参照がFADPへの参照として理解されることを含みます。

お問い合わせ

本データ処理契約に関するご質問又はご要請は、以下までお問い合わせください。

Zelfium Inc.
東京都中央区銀座1-22-11、日本
メール： contact@zelfium.com