Legal · Data Processing Agreement
データ処理契約(DPA)
urlapi.me を BtoB 利用するお客様と当社の間で、個人データの取扱いについて定めるデータ処理契約です。
前文
本データ処理契約(以下「本 DPA」)は、株式会社9lick.me(以下「処理者」または「当社」)と、urlapi.me を利用するお客様(以下「管理者」または「お客様」)との間で、本サービスを通じて当社が処理するお客様の個人データ(または個人関連情報)の取扱いについて定めるものです。
本 DPA は、urlapi.me の 利用規約(以下「本契約」)の不可分の一部を構成し、本契約と併せて適用されます。本 DPA と本契約の内容に齟齬がある場合、データ処理に関する事項については本 DPA の規定が優先します。
1. 定義
本 DPA における用語の定義は以下のとおりです。
- 「個人データ」 とは、個人情報保護法に定める「個人データ」、GDPR 第 4 条 (1) に定める「personal data」、および類似の法令上の定義に該当するすべての情報をいいます。
- 「処理」 とは、個人データに対するあらゆる操作(収集・記録・整理・構造化・保管・適合・改変・取得・参照・利用・送信・開示・公開・組み合わせ・制限・消去・破棄等)をいいます。
- 「管理者」 とは、個人データの処理目的および手段を決定する主体をいいます。本契約においては、お客様が管理者です。
- 「処理者」 とは、管理者の指示に基づき個人データを処理する主体をいいます。本契約においては、当社が処理者です。
- 「サブプロセッサ」 とは、処理者がさらに処理を委託する第三者をいいます(一覧は https://urlapi.me/subprocessors)。
- 「データ主体」 とは、個人データにより識別される自然人をいいます。
2. 処理の対象・期間・性質・目的
| 項目 | 内容 |
|---|---|
| 処理の対象 | お客様が本サービスを通じて入力・送信・取得するデータ |
| 処理の期間 | 本契約の有効期間中、および契約終了後の必要な保持期間中 |
| 処理の性質 | クラウドサービスによる SaaS 提供(収集・保管・分析・送信・表示等) |
| 処理の目的 | プライバシーポリシー および トラッキングポリシー に定める目的 |
| データ主体の類型 | お客様の従業員、お客様サイトの訪問者、お客様の顧客等 |
| データの類型 | アカウント情報、コンテンツ、クリック・CV データ、AI 会話、課金情報、監査ログ等(詳細は本 DPA 末尾「附属書 1」) |
3. 管理者(お客様)の義務
管理者は、以下の義務を負います。
- 1. 法令遵守: 本サービスを通じて処理する個人データについて、適用される個人情報保護法、GDPR、CCPA / CPRA その他関連法令を遵守すること。
- 2. 適法な処理根拠: 本サービスへのデータ送信・処理について、法令上要求される適法な根拠(同意、契約履行、正当な利益等)を有すること。
- 3. データ主体への通知: 自社のサイト訪問者・顧客等のデータ主体に対し、本サービスを利用したデータ処理について、適切な通知(プライバシーポリシー、Cookie バナー等)を行うこと。
- 4. 同意取得: 適用法令で要求される場合、データ主体から必要な同意を取得すること。
- 5. オプトアウト手段の提供: データ主体が利用停止・削除を要求できる手段を自社のサイトで提供すること。
- 6. 指示の文書化: 当社に対する処理の指示は、本契約・本 DPA・本サービスの設定によって行われ、その範囲を超える指示は別途書面で行うこと。
- 7. 損害補償: 管理者の前各号の義務違反により当社に生じた損害(規制当局からの処分、第三者からの請求、訴訟費用等)を補償すること。
4. 処理者(当社)の義務
当社は、以下の義務を負います。
- 1. 管理者の指示に従う処理: 管理者の文書化された指示(本契約、本 DPA、本サービスの設定を含む)に従ってのみ個人データを処理する。法令上要求される場合は除く。
- 2. 守秘義務: 個人データの処理に関与する従業員・委託先に守秘義務を課し、当該義務を確実に履行する。
- 3. 適切な技術的・組織的措置:
- 保存データの暗号化(AES-256 相当)
- OAuth トークン等の機微情報の column-level 暗号化(Vault 拡張等を利用)
- API キーのハッシュ化保存
- 通信経路の TLS 暗号化
- Postgres RLS によるテナント間隔離
- アクセス制御(最小権限の原則)
- 監査ログの保持
- 定期的な脆弱性検査・セキュリティ監査
- インシデント対応プロセスの整備
- 4. データ主体の権利行使への協力: 管理者がデータ主体からアクセス・訂正・削除・利用停止・データポータビリティ等の請求を受けた場合、当社は合理的な範囲で協力する。
- 5. データ侵害の通知: 当社が個人データの侵害を認識した場合、不当な遅滞なく(72 時間以内を目標)、管理者に通知する。通知には、侵害の内容・影響を受けた可能性のあるデータ主体の概数・推定される影響・対応措置を含める。
- 6. 契約終了時の取扱い: 本契約終了後、管理者の指示に従い、個人データを返却または削除する。法令上の保持義務がある場合を除く。
- 7. コンプライアンスの証明: 管理者の合理的な要求に応じ、本 DPA の遵守状況を示す情報(SOC2 報告書等取得時)を提供する。
5. サブプロセッサ
- 1. 当社は、本サービスの提供のため、以下のサブプロセッサおよび同一法人内処理基盤を利用します。最新の一覧は https://urlapi.me/subprocessors にて開示します。
| 区分 | 名称 | 役割 |
|---|---|---|
| 第三者サブプロセッサ | Anthropic | AI 提供(Claude API) |
| 第三者サブプロセッサ | Supabase | DB / 認証 / Webhook |
| 第三者サブプロセッサ | Resend | メール送信 |
| 第三者サブプロセッサ | Cloudflare | CDN / Pages / WAF / Access |
| 第三者サブプロセッサ | Stripe | 決済処理 |
| 同一法人内処理基盤(透明性のため開示) | 9lick.me Core Engine | 短縮 URL 発行・クリック計測・CV 後追い処理を担う。株式会社9lick.me 運営の内部処理基盤 |
- 2. 当社は、新たにサブプロセッサを追加する場合、30 日前までに お客様に通知します(メール、本サービスのお知らせ機能、サブプロセッサ一覧ページの更新等を通じて)。
- 3. お客様は、新たなサブプロセッサに合理的な理由(重大なセキュリティ上の懸念、法令上の問題等)に基づき異議を申し立てることができます。お客様と当社が合意できない場合、お客様は当該サブプロセッサ追加の発効日までに本契約を解除することができます。
- 4. 当社は、各サブプロセッサに対し、本 DPA と実質的に同等の義務を課します。サブプロセッサの行為について、当社は管理者に対して責任を負います。
6. 国際データ移転
- 1. 本サービスの提供のため、お客様の個人データは日本国外(米国等)に所在するサブプロセッサのサーバーで処理される場合があります。
- 2. 国際移転を行う場合、当社は適切な保護措置を講じます。
- EU 域外への移転: 標準契約条項(SCC)の締結
- 英国域外への移転: UK IDTA の締結
- その他の管轄: 適用される枠組みに準拠
- 3. 主なサブプロセッサの所在地:
- Anthropic: 米国
- Supabase: 米国(リージョン選択可能、当社は ap-northeast-1 を採用)
- Cloudflare: グローバル
- Stripe: 米国・アイルランド等
- Resend: 米国
7. データ侵害
- 1. 侵害の認識: 当社が個人データの侵害(不正アクセス、漏洩、消失、改ざん等)を認識した場合、不当な遅滞なく(72 時間以内を目標)、管理者に通知します。
- 2. 通知の内容: 通知には以下を含めます(判明した範囲で)。
- 侵害の概要(種類、推定発生時刻、検知時刻)
- 影響を受けた可能性のあるデータの種類・量
- 影響を受けた可能性のあるデータ主体の概数
- 推定される影響・リスク
- 当社が講じた・講じる予定の対応措置
- お客様が取るべき推奨アクション
- 3. 管理者の協力義務: お客様は、当社の調査・対応に必要な範囲で協力するものとします。
- 4. 報告義務の所在: 監督機関・データ主体への通知義務はお客様(管理者)に帰属します。当社はお客様の通知義務履行を支援します。
8. 監査権
- 1. お客様は、本 DPA の遵守状況を確認するため、当社に対して監査を実施することができます。
- 2. 監査の手順:
- 監査希望日の 30 日前まで に書面で当社に通知すること
- 当社の通常業務を妨げない時間帯・方法で実施すること
- 監査の頻度は 年 1 回 を上限とすること(重大なインシデント発生後の追加監査を除く)
- 第三者専門家を起用する場合は、当社の事前同意を要し、当該第三者は守秘義務を負うこと
- 3. 当社は、監査に代わる方法として、独立した第三者による認証報告書(SOC2 Type II、ISO 27001 等取得時)を提供することができます。これらの報告書がお客様の監査要件を合理的に満たす場合、お客様は別途の現地監査を要求しないものとします。
- 4. 監査費用は、原則としてお客様が負担します。ただし、監査の結果、本 DPA の重大な違反が確認された場合は当社が負担します。
9. 責任
- 1. 本 DPA に基づく当社の責任は、本契約 第 11 条(責任の制限)の制限に従います。
- 2. ただし、当社の故意または重大な過失による個人データ侵害については、本契約上の責任制限のうち、法令上認められない部分は適用されません。
- 3. 管理者の本 DPA 違反により当社に生じた損害(規制当局からの処分、第三者からの請求等)は、管理者が補償します。
10. 契約終了時の取扱い
- 1. 本契約終了後、お客様は 30 日以内 に、本サービスの管理画面または当社へのリクエストにより、ご自身のデータをエクスポートすることができます。
- 2. エクスポート期間経過後、当社はお客様の個人データを削除します。法令上の保持義務がある場合(課金記録 7 年、監査ログ規定期間等)を除きます。
- 3. お客様の要求があれば、削除完了の証明書を発行します。
- 4. サブプロセッサに保存されたデータについても、当社は同様の削除手続きを実施します。
11. 一般条項
- 1. 優先順位: 本 DPA、本契約、本サービスの設定の間で齟齬がある場合、本 DPA の規定が優先します。
- 2. 本 DPA の変更: 当社は、法令の改正、業界標準の変更、サービスの変更等に伴い、本 DPA を変更することができます。重要な変更については 30 日前までに通知します。
- 3. 準拠法: 本 DPA は日本法に従い解釈・適用されます。
- 4. 管轄: 本 DPA に関する紛争は、東京地方裁判所を第一審の専属的合意管轄裁判所とします。
附属書 1: 処理されるデータの類型
| カテゴリ | 主な内容 |
|---|---|
| アカウント情報 | 氏名、メールアドレス、組織名、職種、認証情報、設定情報 |
| プロダクト設定 | 短縮 URL 設定、カスタムドメイン、広告アカウント連携情報、API キー |
| トラッキングデータ | クリックイベント、UTM、広告クリック ID、ip_hash、UA 要約、地域、デバイス、訪問者匿名 ID |
| コンバージョンデータ | CV 種別、金額、紐付くクリック、custom metadata |
| 広告連携データ | 送信先プラットフォーム、ステータス、external_id、ペイロード概要 |
| AI 会話データ | チャット入力・応答、トークン量、利用 model、tool call 監査 |
| 顧客プロファイル | heat_score、growth_phase、recommend_action(任意機能、opt-out 可) |
| 課金・利用統計 | プラン、課金履歴、API 呼出数、AI メッセージ数、ストレージ |
| 監査・法令対応 | 操作ログ、同意履歴、削除リクエスト、Webhook ログ、エラーログ |
附属書 2: 技術的・組織的措置(TOMs)
| 領域 | 措置 |
|---|---|
| 暗号化(保存時) | AES-256 相当(Supabase デフォルト) |
| 暗号化(通信時) | TLS 1.2 以上 |
| 機微情報の追加保護 | OAuth トークン等は column-level encrypt(Vault 拡張) |
| 認証 | パスワードハッシュ化(bcrypt 等)、OAuth、API キー hash 保存 |
| アクセス制御 | Postgres RLS によるテナント分離、最小権限の原則 |
| 監査 | audit_log の保持(プラン別期間)、tool_call_audit の不可削除保持 |
| バックアップ | Supabase 自動バックアップ |
| インシデント対応 | 検知 → 5 分以内に status page 更新、72 時間以内に侵害通知 |
| 物理セキュリティ | サブプロセッサ(Supabase / Cloudflare / Stripe 等)の物理データセンター基準に準拠 |
| 従業員教育 | アクセス権限者への定期的なセキュリティ教育、守秘義務契約 |
| 脆弱性管理 | 依存ライブラリの定期更新、セキュリティパッチの即時適用 |
附属書 3: サブプロセッサ・処理基盤一覧
第三者サブプロセッサ
| サブプロセッサ | 役割 | 所在地 | 主なデータ処理 |
|---|---|---|---|
| Anthropic | AI 提供(Claude API) | 米国 | お客様の AI チャット入力・応答 |
| Supabase | DB / 認証 / Webhook | 米国(ap-northeast-1 利用) | アカウント・コンテンツ全般 |
| Resend | メール送信 | 米国 | 通知メール送信 |
| Cloudflare | CDN / Pages / WAF / Access | グローバル | アクセス処理・セキュリティ |
| Stripe | 決済処理 | 米国・アイルランド | 課金情報・支払いカード情報 |
同一法人内処理基盤
| 名称 | 役割 | 所在地 | 備考 |
|---|---|---|---|
| 9lick.me Core Engine | 短縮 URL 発行・クリック計測・CV 後追い | 日本 | 株式会社9lick.me 運営の内部処理基盤。透明性確保のため開示。 |
最新の一覧は https://urlapi.me/subprocessors にて開示します。
附則
- 本 DPA は 2026 年 7 月 1 日(予定)より施行します。
お問い合わせ
本 DPA に関するお問い合わせは、support@9lick.me までご連絡ください。
本 DPA は予告なく変更される場合があります。最新の内容は本ページにてご確認ください。
制定: 2026 年 6 月 25 日 / お問い合わせ: support@9lick.me
制定: 2026 年 6 月 25 日 / お問い合わせ: support@9lick.me