データ処理契約 (DPA)
English最終更新日: 2026年3月13日
本データ処理契約(以下「DPA」)は、Volta Networks株式会社(以下「処理者」)がクラウド型CRMサービス「DealHub」(以下「本サービス」)を通じてお客様(以下「管理者」)の代理で個人データを処理する場合に適用されます。本DPAは利用規約の一部を構成します。
1. 定義
- 個人データ: 管理者が本サービスに保存する、識別された又は識別可能な自然人に関するあらゆる情報
- 処理: 個人データに対して行われるあらゆる操作(収集、保存、使用、送信、削除等)
- データ主体: 個人データによって識別される自然人
2. 処理の目的・範囲
| 処理目的 | 本サービスのCRM機能提供(連絡先管理、メール配信、タスク管理等) |
|---|---|
| データの種類 | 氏名、メールアドレス、電話番号、会社名、商談情報、メール内容 |
| データ主体 | 管理者の顧客、見込み客、ビジネス連絡先 |
| 処理期間 | 管理者のアカウント存続期間中。削除リクエスト後72時間以内に完全削除。 |
3. 処理者の義務
- 管理者の文書化された指示に基づいてのみ個人データを処理します
- 個人データにアクセスする者に機密保持義務を課します
- GDPR第32条に従い、適切な技術的・組織的措置を実施します
- 管理者の事前承認なしにサブプロセッサを追加しません
- データ主体の権利行使の支援を行います
- 契約終了時にすべての個人データを削除または返還します
4. セキュリティ措置
- TLS/HTTPS通信暗号化
- パスワードのscryptハッシュ化
- 行レベルセキュリティ(RLS)によるテナント間データ分離
- ロールベースアクセス制御(RBAC)
- 日次バックアップ + ディザスタリカバリ計画
- 監査ログの記録
- 多要素認証(MFA/OTP)対応
5. サブプロセッサ
| サブプロセッサ | 目的 | 所在国 |
|---|---|---|
| Stripe, Inc. | 決済処理 | 米国 (EU-U.S. DPF認定) |
サーバーインフラは日本国内のVPSで運用しており、個人データは国外に移転されません(Stripe決済処理を除く)。
6. データ侵害通知
処理者は、個人データの侵害を認識した場合、不当な遅滞なく(遅くとも72時間以内に)管理者に通知します。通知には、侵害の性質、影響を受けるデータ主体の概数、想定される影響、および処理者が講じた対策を含めます。
7. お問い合わせ
本DPAに関するご質問は、customer@voltanetworks.jp までご連絡ください。