INCI APIINCI API

データ処理契約

発効日:2026年3月26日 · 最終更新:2026年3月26日

PDFをダウンロード

本データ処理契約(以下「DPA」といいます)は、INCI APIとして事業を営むAndrii Sukhanov(「処理者」、「当社」、「私たち」)、スペインで登録されたautónomo(NIE:Z2338955K)と、本契約条件に同意する事業体(「管理者」、「お客様」、「顧客」)との間の利用規約の一部を構成します。

本DPAは、EU一般データ保護規則(Regulation 2016/679、「GDPR」)の第28条に基づいて締結され、管理者に代わって処理者による個人データの処理に関する両当事者の合意を反映しています。

1. 定義

  • 「個人データ」とは、GDPR第4条(1)に定義されている、識別された、または識別可能な自然人(「データ主体」)に関連するあらゆる情報を意味します。
  • 「処理」とは、自動化された手段によるか否かを問わず、個人データに対して実行されるあらゆる操作または操作の組み合わせを意味します。これには、収集、記録、整理、構造化、保存、適応、検索、参照、使用、送信による開示、伝播、消去、または破壊が含まれます。
  • 「サブプロセッサー」とは、管理者に代わって個人データを処理するために処理者が関与した第三者を意味します。
  • 「データ主体」とは、個人データが関連する識別された、または識別可能な自然人を意味します。
  • 「GDPR」とは、欧州議会および理事会の一般データ保護規則(EU) 2016/679を意味します。
  • 「標準契約条項」(SCC)とは、第三国への個人データ転送のために欧州委員会によって承認された契約条項を意味します。

2. 範囲および目的

処理者は、以下の目的のためにのみ管理者に代わって個人データを処理します:

  • 成分分析、製品検索、安全性スコアリング、アレルゲン検出、肌相性分析を含むINCI APIサービスの提供
  • アカウント管理、認証、認可
  • 利用追跡、レート制限、請求
  • サービス改善、パフォーマンス監視、分析
  • 顧客サポートおよびコミュニケーション

処理者は、本DPAで指定された目的、または管理者によって書面で文書化された目的以外の目的で個人データを処理しないものとします。

3. 処理される個人データの種類

  • アカウントデータ:氏名、メールアドレス、ハッシュ化されたパスワード
  • API利用データ:リクエストログ、タイムスタンプ、IPアドレス、アクセスされたエンドポイント、応答コード、APIキー識別子
  • 請求データ:サブスクリプション層、決済方法のメタデータ(完全な決済データはStripeによってのみ処理され、当社のサーバーには保存されません)
  • 技術データ:ブラウザの種類、デバイス情報、オペレーティングシステム、参照URL(サービス改善のために分析を通じて収集)

処理者は、特別なカテゴリーの個人データ(GDPR第9条)または刑事有罪判決に関連する個人データ(GDPR第10条)を処理しません。

4. データ主体のカテゴリー

本DPAの下で処理される個人データは、以下のデータ主体のカテゴリーに関連します:

  • INCI APIにアクセスし使用する顧客の従業員および請負業者
  • INCI APIと統合する顧客のアプリケーションのエンドユーザー(彼らのデータがAPIリクエストを通じて送信される範囲で)

5. 処理者の義務

処理者は以下を行うものとします:

  1. 処理者が従うEU連合または加盟国の法律によって要求される場合を除き、第三国への個人データの転送に関しても、管理者からの文書化された指示に基づいてのみ個人データを処理する
  2. 個人データを処理することを認可された人物が秘密保持を約束しているか、または適切な法的秘密保持義務の下にあることを保証する
  3. リスクに適したレベルのセキュリティを確保するために、GDPR第32条で要求される適切な技術的および組織的セキュリティ対策を実施する
  4. 管理者の事前の特定または一般的な書面による承認なしに、別の処理者(サブプロセッサー)を関与させない。一般的な書面による承認の場合、処理者はサブプロセッサーの追加または交換に関する意図された変更を管理者に通知し、管理者に異議を申し立てる機会を与えるものとする
  5. 処理の性質を考慮し、可能な限り、データ主体の権利行使要求に対応するための管理者の義務を履行するために、適切な技術的および組織的対策によって管理者を支援する
  6. 処理の性質および処理者が利用可能な情報を考慮し、GDPR第32条から第36条に基づく義務の遵守を確保するために管理者を支援する
  7. 管理者の選択により、サービス提供終了後にすべての個人データを管理者に削除または返却し、EU連合または加盟国の法律で個人データの保管が要求されない限り、既存のコピーを削除する
  8. GDPR第28条に定められた義務の遵守を実証するために必要なすべての情報を管理者に提供し、管理者または管理者によって任命された別の監査人によって実施される監査(検査を含む)を許可し、貢献する

6. セキュリティ対策

処理者は、GDPR第32条に従って個人データを保護するために、以下の技術的および組織的対策を実施します:

  • 転送中の暗号化:クライアントとサーバー間で送信されるすべてのデータは、TLS 1.2以上(HTTPS)を使用して暗号化されます
  • 保存時の暗号化:データベースストレージは、保存されているすべての個人データに対してMongoDB保存時暗号化を使用します
  • アクセス制御:JWTトークンとAPIキーによる認証、ロールベースのアクセス制御、最小権限の原則
  • パスワードセキュリティ:ユーザーパスワードは、適切なコストファクターでbcryptハッシュを使用して保存されます。APIキーは安全なハッシュとして保存されます
  • インフラストラクチャセキュリティ:ファイアウォール保護されたインフラストラクチャ(ポートが制限されたUFW)、定期的なセキュリティ更新とパッチ適用
  • サーバーの場所:DigitalOceanインフラストラクチャ(現在は米国ベース、EU/EEAデータセンターへの移行を計画中)
  • 決済データ:当社のサーバーには決済カードデータを保存しません。すべての決済処理は、PCI DSSレベル1コンプライアンスを維持するStripeによって処理されます
  • 監視:セキュリティイベントと異常に対する自動監視、ログ記録、アラート

7. サブプロセッサー

管理者は、処理者に以下のサブプロセッサーを関与させる一般的な権限を付与します。処理者は、サブプロセッサーの追加または交換に関する意図された変更について、少なくとも30日前に書面で管理者に通知し、それによって管理者にそのような変更に異議を申し立てる機会を与えるものとします。

INCI APIが関与するサブプロセッサー
サブプロセッサー目的場所
DigitalOceanインフラストラクチャホスティング米国(EUへの移行を計画中)
Stripe決済処理米国(EUデータセンター)
Google Analyticsウェブサイト分析米国(EUデータ処理)
Microsoft Clarityセッション分析米国

管理者がデータ保護に関連する合理的な理由で新しいサブプロセッサーに異議を申し立てる場合、両当事者は誠実に問題を協議するものとします。30日以内に解決に至らない場合、管理者は影響を受けるサービスをペナルティなしで終了することができます。

8. データ転送

個人データは、欧州連合および欧州経済領域外の国に転送され、処理される場合があります。そのような転送が発生する場合、処理者は、以下を含むGDPR第V章に従って適切な保護措置が講じられていることを保証します:

  • 欧州委員会によって承認された標準契約条項(SCC)(委員会実施決定(EU) 2021/914)
  • 該当する場合、欧州委員会による十分性決定
  • Schrems II判決(事件C-311/18)に従って、必要に応じて転送メカニズムを補足するための追加の技術的および組織的対策

9. データ侵害通知

処理者は、GDPR第4条(12)に定義されている個人データ侵害を認識した後、不当な遅延なく、いかなる場合も72時間以内に管理者に通知するものとします。通知には以下が含まれます:

  • 影響を受けるデータ主体および記録のカテゴリーと概数を含む、個人データ侵害の性質の説明
  • 詳細情報を取得できるデータ保護担当者の名前と連絡先
  • 侵害の予想される結果の説明
  • 侵害に対処するために講じられた、または提案された措置の説明、可能な悪影響を軽減するための措置を含む

処理者は、管理者と協力し、各そのような侵害の調査、軽減、および是正を支援するために合理的な商業的措置を講じるものとします。

10. データ主体の権利

処理者は、GDPR第III章に基づく権利を行使するデータ主体の要求に対応する管理者の義務を履行するために、管理者を支援するものとします。これには以下が含まれます:

  • アクセス権(第15条)
  • 訂正権(第16条)
  • 消去権/忘れられる権利(第17条)
  • 処理の制限権(第18条)
  • データポータビリティ権(第20条)
  • 異議申立権(第21条)

処理者がデータ主体から直接要求を受けた場合、速やかに管理者に通知し、法律で義務付けられている場合を除き、管理者の事前の書面による承認なしに要求に応答しないものとします。

11. 監査権

管理者は、本DPAに対する処理者の遵守を監査することができます。監査は以下の条件に従うものとします:

  • 管理者は少なくとも30日前に書面で通知するものとします
  • 監査は、監督当局によって要求される場合または個人データ侵害に続く場合を除き、暦年ごとに1回以上は実施されないものとします
  • 監査は通常の営業時間内に実施され、処理者の業務を不当に妨げないものとします
  • 管理者は、監査が処理者による重大な不遵守を明らかにした場合を除き、監査の費用を負担するものとします
  • 管理者は、合理的な秘密保持義務に従って、資格のある独立した第三者監査人を関与させることができます

12. 期間および終了

本DPAは、両当事者間のサービス契約の期間中、有効であるものとします。サービス契約の終了時:

  • 処理者は、管理者の選択により、終了日から30日以内にすべての個人データを削除または返却するものとします
  • 処理者は、EU連合または加盟国の法律が保管を要求しない限り(例:スペイン法で要求される税務および財務記録)、個人データの既存のコピーを削除するものとします
  • 処理者は、管理者の要求に応じて、削除の書面による証明を提供するものとします

13. 準拠法

本DPAは、法の抵触規定にかかわらず、スペイン王国の法律に準拠し、それに従って解釈されるものとします。GDPRは、個人データ処理に関するすべての事項に適用されます。本DPAに基づくいかなる紛争も、スペインのカナリア諸島(サンタクルス・デ・テネリフェ)の裁判所の専属管轄に服するものとします。

14. 連絡先

本データ処理契約に関するご質問、ご懸念、またはご要望については、お問い合わせください:

データ保護担当者

Andrii Sukhanov

Av. Marítima 2, puerta 05c
Los Silos, Santa Cruz de Tenerife, España

メール: privacy@inciapi.com

ウェブサイト: inciapi.com

関連文書