PZX
日本語
このページ内

データ処理契約

最終更新 2026年5月11日

本データ処理契約(以下「DPA」)は、適用される注文書またはサービス契約において管理者として特定された事業者(以下「管理者」)と、ブラジル・サンパウロ州に登記されたPZX(CNPJ:62.054.402/0001-26)(以下「処理者」)との間で締結され、Konnの利用を規律する契約(以下「契約」)の一部を構成します。

1. 定義

「個人データ」とは、ブラジル個人情報保護法(LGPD — 法律第13.709/2018号)の定義に基づき、識別された、または識別可能な自然人に関するあらゆる情報を意味します。

「処理」とは、収集・保存・利用・アクセス・送信・削除を含む、個人データに対して行われるあらゆる操作を意味します。

「管理者」とは、個人データの処理に関して意思決定権限を有する自然人または法人を意味します。

「処理者」とは、管理者の指示に従い、管理者に代わって個人データを処理する自然人または法人を意味します。

「データ主体」とは、個人データが関係する自然人を意味します。

「副処理者」とは、管理者に代わって個人データを処理するために処理者が委託する第三者を意味します。

「サービス」とは、契約に基づきPZXが提供するKonnプラットフォームおよび関連機能を意味します。

2. 適用範囲および当事者の関係

本DPAは、サービスの提供に関連して、処理者としてのPZXが管理者に代わって行う個人データの処理を規律します。

管理者は処理の目的および手段を決定します。PZXは、本DPAおよび契約に定める管理者の指示に従い、サービスの提供および運営のみを目的として個人データを処理します。

3. 処理の性質・目的・期間

性質:管理者および承認済みユーザーが送信したコンテンツの保存・整理・インデックス化・セマンティック処理・検索・表示。

目的:文書管理・ナレッジグラフ・セマンティック検索・AIコンテキストアシスタンスを含むKonnプラットフォームの提供。

期間:契約の有効期間中。終了後は第12条の規定が適用されます。

4. 個人データの種類およびデータ主体

本DPAに基づき処理される個人データの種類は、管理者が送信するコンテンツに依存します。以下を含む場合がありますが、これらに限定されません。

  • 識別および連絡先データ:管理者のユーザーおよびアップロードされたコンテンツに記載されている個人の氏名・メールアドレス・職業情報;

  • 組織データ:チーム構成・役割・社内コミュニケーション;

  • コンテンツデータ:管理者の従業員・顧客・第三者に関する個人データを含む可能性のある文書・メモ・ナレッジエントリ。

管理者は、PZXがサービスにアップロードされたコンテンツに含まれる個人データの種類を管理または予測できないことを認識します。管理者は、サービスに送信するすべての個人データが適用法に基づく有効な処理の法的根拠を有することを保証する責任を負います。

データ主体は主に管理者の従業員および承認済みユーザーであり、管理者がアップロードしたコンテンツにデータが含まれる第三者が含まれる場合もあります。

5. 処理者の義務

処理者としてのPZXは以下を行うものとします。

5.1 指示の遵守:適用法により義務付けられる場合を除き、管理者の文書化された指示に従ってのみ個人データを処理します。指示が適用法に違反すると判断する場合は、実行前に管理者へ通知します。

5.2 機密保持:個人データを処理する権限を付与された担当者が機密保持義務を負うことを確保します。

5.3 セキュリティ:第8条に定める個人データ保護のための適切な技術的・組織的措置を実施・維持します。

5.4 副処理者:第7条に従ってのみ副処理者を委託します。

5.5 データ主体の権利:第9条に定めるとおり、データ主体の権利請求への対応において管理者を支援します。

5.6 削除:第12条に定めるとおり、契約終了時に個人データを削除または返還します。

5.7 監査:第11条に定めるとおり、本DPAへの準拠を証明するために必要な情報を提供します。

5.8 インシデント通知:本DPAに基づき処理された個人データに関わるセキュリティインシデントが確認された場合、不当な遅滞なく、かつ認知から72時間以内に管理者へ通知します。通知にはインシデントの性質、影響を受けるデータ主体の種類および概数、予想される結果、並びに講じた措置または提案する措置を含みます。

6. 管理者の義務

管理者は以下を行うものとします。

6.1 法的根拠:文書やナレッジコンテンツの一部としてアップロードされた第三者のデータを含む、サービスに送信するすべての個人データが適用法に基づく有効な処理の法的根拠を有することを保証します。

6.2 正確性:正確かつ最新の指示を提供し、送信される個人データが意図された目的に対して適切かつ関連性があることを確保します。

6.3 データ主体の権利:管理者宛てのデータ主体請求を受理・評価し、処理者の支援が必要な場合はPZXと連携します。

6.4 法令遵守:データ主体から必要な同意を取得することを含め、管理者として適用されるすべてのデータ保護法令を遵守します。

7. 副処理者

7.1 現在の副処理者

管理者は、PZXがサービスに関連して以下の副処理者を委託することを承認します。

副処理者

所在地

目的

Amazon Web Services(AWS)

米国

クラウドインフラおよびホスティング

Cloudflare

米国

ネットワークセキュリティ、CDN、DDoS対策

OpenAI

米国

AI言語モデル処理およびテキスト埋め込み

Anthropic

米国

AI言語モデル処理

Stripe

米国

決済および請求処理

Resend

米国

トランザクションメール配信

7.2 将来の副処理者

PZXはサービスの発展に伴い、追加のAIモデルプロバイダー(リランキング・埋め込み・音声処理サービスのプロバイダーを含むがこれらに限定されない)を委託する場合があります。PZXは副処理者の追加または変更を少なくとも30日前に管理者へ通知します。

管理者は、通知受領から15日以内に書面でPZXへ通知することにより、合理的なデータ保護上の理由を根拠として新たな副処理者に異議を申し立てることができます。双方が異議を解決できない場合、管理者はペナルティなしに、書面による30日前の予告をもって契約を解除できます。

7.3 副処理者の義務

PZXはすべての副処理者に対し、本DPAに定めるものと同等のデータ保護義務を課します。PZXは副処理者の義務履行について管理者に対して責任を負い続けます。

8. セキュリティ措置

PZXは個人データを保護するために以下の技術的・組織的措置を実施しています。

  • 転送中(TLS)および保存中のデータの暗号化;

  • テナント分離 — 各管理者のデータは他のテナントから論理的に分離;

  • 権限を付与された担当者のみのアクセスを制限する役割ベースのアクセス制御;

  • セキュリティ監視およびログ記録;

  • 定期的なアクセスレビュー。

PZXはこれらの措置を随時更新することができますが、更新により全体的な保護水準が実質的に低下しないことを条件とします。

9. データ主体の権利

PZXは、アクセス・訂正・削除・ポータビリティ・異議申し立てを含む、適用法に基づくデータ主体の権利請求への対応義務を管理者が果たすことを支援します。

管理者はデータ主体からの請求を受理・初期評価する責任を負います。請求の履行にPZXの対応が必要な場合、管理者は第15条の連絡先を通じてPZXへ提出します。PZXは15営業日以内に回答します。

10. 国際データ移転

本DPAに基づき処理される個人データは、PZXの副処理者が運営する米国を含むブラジル国外の国々に移転・処理される場合があります。かかる移転はLGPD第33条に従った適切な契約上の保護措置に基づき実施されます。

GDPRの適用を受ける管理者については、欧州経済領域外の副処理者への移転は、必要に応じて標準契約条項を含む適用される移転メカニズムによって規律されます。

11. 監査権

管理者の書面による要請に基づき、PZXは本DPAへの準拠を証明するために合理的に必要な情報を提供します。PZXはこの義務を、最新の認証書・セキュリティ文書・監査報告書の概要を提供することで履行できます。

管理者は年1回を上限として、少なくとも30日前の書面による通知をもって、管理者の費用負担により、現地監査を要請できます。いかなる監査も、PZXの業務を妨げず、他のお客様のデータのセキュリティまたは機密性を損なわない方法で実施される必要があります。

12. 有効期間・終了・データ削除

本DPAは契約の有効期間中、効力を有します。

契約の終了または期間満了に際して:

  • 管理者はサービスからデータをエクスポートするために30日間の猶予を有します;

  • この期間経過後、PZXは本DPAに基づき処理されたすべての個人データを30日以内に削除します(技術的に実行可能な範囲で副処理者が保有するコピーを含む);

  • PZXは管理者の要請に応じて削除の書面による確認を提供します;

  • PZXは適用法により義務付けられる範囲に限り、この期間を超えて個人データを保持する場合があり、その場合も当該データは本DPAの機密保持義務に引き続き従います。

13. 責任

本DPAに基づく各当事者の責任は、契約に定める制限に従います。本DPAのいかなる内容も、適用されるデータ保護法の下で除外または制限できない義務に関するいずれかの当事者の責任を制限するものではありません。

14. 準拠法

本DPAは、特にLGPD(法律第13.709/2018号)を含むブラジル連邦共和国の法律に準拠します。本DPAから生じる友好的に解決できない紛争はサンパウロ州サンパウロ市の裁判所に提出されるものとします。

15. お問い合わせ

本DPA・データ主体の権利請求・セキュリティインシデントに関するお問い合わせ:

個人データ処理担当者(DPO)

附属書A — 処理の詳細

本附属書は第3条を補足するものであり、サービスの変更を反映するために双方の書面による合意により更新できます。

項目

詳細

対象事項

Konnプラットフォームを通じた組織知識管理

処理の性質

保存・インデックス化・セマンティック検索・AIによる検索および生成支援

目的

契約に定めるサービスの提供

保持期間

契約の有効期間、および第12条に定める削除期間

データ主体の種類

管理者の従業員・承認済みユーザー、および送信されたコンテンツに記載される第三者

個人データの種類

第4条に定めるとおり。実際の種類は管理者が送信するコンテンツに依存します