dpa

データ処理補遺

公開済み: March 27th, 2026 - 最終更新: March 27th, 2026

データ処理補遺

YesHello - Thrive Route Digital Limited

最終更新日: 2026年3月27日 発効日: 2026年3月27日 バージョン: 1.0

本データ処理補遺(以下「DPA」)は、https://yeshello.app/page/termsに掲載されている利用規約(以下「本規約」)の一部を構成し、香港で設立された会社であるThrive Route Digital Limited(商業登記番号: 73780714)(以下「YesHello」、「処理者」、「当社」)とお客様(以下「管理者」、「お客様」)との間で締結されるものです。両者を総称して「両当事者」といいます。

本DPAは、YesHelloがサービスの提供に関連して、特にカード上のリードキャプチャフォーム、コンタクトフォーム、およびその他のデータ収集機能を通じて、お客様に代わって個人データを処理する場合に適用されます。

1. 定義

本DPAにおいて大文字で表記されているが定義されていない用語は、本規約に定める意味を有します。さらに、以下の定義が適用されます。

「適用データ保護法」とは、本DPAに基づく個人データの処理に適用されるすべての法律および規則を意味し、EU一般データ保護規則(規則(EU)2016/679)(以下「GDPR」)、英国一般データ保護規則、香港個人データ(プライバシー)条例(第486章)、カリフォルニア州消費者プライバシー法(カリフォルニア州プライバシー権法により改正)(以下「CCPA/CPRA」)、およびその他の適用されるデータ保護法を含みます。

「管理者」とは、カードを通じて収集される個人データの処理の目的および手段を決定するYesHelloユーザーであるお客様を意味します。

「データ主体」とは、本DPAに基づいて個人データが処理される、識別された、または識別可能な自然人を意味し、カードを通じて情報を送信する訪問者を含みます。

「個人データ」とは、サービスを通じてYesHelloがお客様に代わって処理する、データ主体に関連するあらゆる情報を意味します。

「個人データ侵害」とは、YesHelloが送信、保存、またはその他の方法で処理する個人データの偶発的または違法な破壊、紛失、改ざん、不正な開示、またはアクセスにつながるセキュリティ侵害を意味します。

「処理者」とは、管理者に代わって個人データを処理するYesHelloを意味します。

「復処理者」とは、管理者に代わって個人データを処理するためにYesHelloが委託する第三者を意味します。

「標準契約条項」または「SCC」とは、欧州経済領域外の国への個人データの移転のために欧州委員会が承認した標準契約条項を意味します。

2. 範囲および役割

2.1 役割

お客様は管理者であり、YesHelloは、カードのリードキャプチャフォーム、コンタクトフォーム、およびその他のデータ収集機能を通じて訪問者から収集された個人データに関して処理者です。YesHelloは、この個人データをお客様に代わって、かつお客様の文書化された指示に従ってのみ処理します。

2.2 処理の範囲

本DPAが対象とする個人データのカテゴリー、データ主体、および処理活動は以下のとおりです。

データ主体: カードと対話し、お客様が設定したフォームまたはその他のデータ収集機能を通じて情報を送信する訪問者。

個人データのカテゴリー: お客様が設定するフォームフィールドにより決定され、名前、メールアドレス、電話番号、会社名、役職、メッセージ、およびお客様が収集することを選択したその他のフィールドを含む場合があります。

処理活動: 収集、保存、取得、送信(お客様が設定したWebhookを介したものを含む)、お客様のアカウントダッシュボードでの表示、および削除。

期間: お客様のアカウントが有効である限り、さらに本規約に記載されているアカウント終了後60日間。ただし、適用データ保護法により、より長い保持期間が要求される場合を除きます。

3. 管理者の義務

お客様は以下を行うものとします。

(a) サービスを通じた個人データの収集および処理が、処理の有効な法的根拠を有することを含め、適用データ保護法に準拠することを確保すること。

(b) データ収集の前または収集時に、管理者としてのお客様の身元および処理の目的を通知する適切なプライバシー通知をデータ主体に提供すること。

(c) 適用データ保護法が要求する期間内に、データ主体の要求(アクセス、訂正、消去、ポータビリティ、異議申立て、制限)に対応すること。

(d) 個人データの処理に関してYesHelloに与える指示が適用データ保護法に準拠することを確保すること。

(e) 適用データ保護法が要求する処理活動の独自の記録を維持すること。

(f) YesHelloが本DPAに基づく義務を遵守する能力に影響を与える可能性のある状況を認識した場合、速やかにYesHelloに通知すること。

4. 処理者の義務

4.1 処理の指示

YesHelloは、適用法により要求される場合を除き、お客様の文書化された指示に基づいてのみ個人データを処理します。お客様の指示は、以下に文書化されています。(a) 本DPA、(b) 本規約、および(c) サービスの機能および設定の使用(フォームの設定、Webhookの設定、およびデータエクスポート要求を含む)。YesHelloが適用法によりその他の目的のために個人データを処理することを求められる場合、YesHelloは、法律により禁止されていない限り、処理前にその法的要件をお客様に通知します。

4.2 機密性

YesHelloは、個人データの処理を許可された者が機密保持義務を負うか、または適切な法的機密保持義務の下にあることを確保します。

4.3 セキュリティ対策

YesHelloは、個人データを偶発的または違法な破壊、紛失、改ざん、不正な開示、またはアクセスから保護するための適切な技術的および組織的措置を実施し、維持します。これらの措置には以下が含まれます。

(a) 転送時の暗号化: ユーザー、訪問者、およびYesHelloサーバー間で送信されるすべてのデータは、TLS 1.2以上を使用して暗号化されます。(b) 保存時の暗号化: YesHelloサーバーに保存される個人データは保存時に暗号化されます。(c) アクセス制御: 個人データへのアクセスは、必要最小限の原則に基づき、認証およびロールベースのアクセス制御により、許可された人員に制限されます。(d) インフラストラクチャのセキュリティ: すべてのサーバーは、物理的セキュリティ管理、消火設備、および冗長電源を備えたドイツのデータセンターでホスティングされています。(e) バックアップとリカバリー: テスト済みのリカバリー手順を備えた定期的な自動バックアップ。(f) ネットワークセキュリティ: ファイアウォール保護、侵入検知、およびサーバーインフラストラクチャの監視。(g) 脆弱性管理: サーバーソフトウェアおよび依存関係の定期的な更新およびパッチ適用。(h) インシデント対応: セキュリティインシデントの特定、封じ込め、および修復のための文書化されたインシデント対応手順。

YesHelloは、技術の水準、実施コスト、処理の性質、範囲、状況および目的、ならびにデータ主体の権利および自由に対するリスクを考慮して、これらの措置が引き続き適切であることを確保するために定期的に見直しおよび更新を行います。

4.4 データ主体の要求への支援

YesHelloは、処理の性質を考慮して、データ主体の要求に対応するお客様の義務を果たすために、適切な技術的および組織的措置によりお客様を支援します。データ主体がお客様のデータに関連する要求をYesHelloに直接連絡した場合、YesHelloは速やかにその要求をお客様にリダイレクトし、法律により要求される場合を除き、お客様の指示なしにデータ主体に直接対応しません。

4.5 コンプライアンスへの支援

YesHelloは、処理の性質およびYesHelloが利用可能な情報を考慮して、処理のセキュリティ、個人データ侵害の通知、データ保護影響評価、および監督機関との事前協議に関するお客様の義務の遵守を確保するためにお客様を支援します。

4.6 データの削除および返還

本規約の終了時、またはお客様の書面による要求に基づき、YesHelloは、お客様の選択に従い、お客様に代わって処理されたすべての個人データを削除または返還し、既存のコピーを削除します。ただし、適用法により保持が要求される場合を除きます。アカウント終了後、個人データは本規約に記載されているとおり60日以内に削除されます。お客様は、サービスのエクスポート機能を通じていつでもデータをエクスポートすることができます。

5. 復処理者

5.1 許可

お客様は、本第5条の要件に従い、YesHelloがお客様に代わって個人データを処理するために復処理者を委託することについて、一般的な書面による許可を与えます。

5.2 現在の復処理者

発効日現在、YesHelloは以下の復処理者を使用しています。

復処理者目的所在地Netcup GmbHサーバーホスティングおよびインフラストラクチャドイツStripe, Inc.決済処理(YesHelloからはStripeイベントIDのみを受領。決済カードデータはユーザーのブラウザからStripeに直接送信されます)米国/グローバルGoogle LLC(Google Places/Business Profile API)ユーザーが有効にした場合のGoogleレビューデータの取得米国/グローバルDataForSEOユーザーが有効にした場合のGoogleレビューデータの取得米国

Stripeに関する注記: YesHelloは、非機密の取引参照情報(StripeイベントID、カード番号の下4桁、タイムスタンプ)のみを自社サーバーに送信します。完全な決済カードデータは、ユーザーまたは訪問者のブラウザからStripeに直接送信され、YesHelloのインフラストラクチャを経由することはありません。Stripeは、直接収集する決済データに関して独立した管理者として機能します。

Webhookに関する注記: お客様が第三者のエンドポイントにデータを送信するようにWebhookを設定した場合、当該第三者の受信者はYesHelloの復処理者ではありません。お客様は管理者として転送を指示しており、第三者の受信者はお客様の指示および独自の利用規約に基づいてデータを処理します。

5.3 変更の通知

YesHelloは、新たな復処理者を委託する、または既存の復処理者を交替する少なくとも30日前に、メールでお客様に通知します。通知には、復処理者の名称、所在地、および実施する処理活動が記載されます。

5.4 異議申立ての権利

お客様がデータ保護上の理由で新たな復処理者に対して合理的な異議を有する場合、通知の受領後14日以内に書面でYesHelloに通知することができます。YesHelloは、異議を唱えられた復処理者の使用を回避する代替構成の提供を含め、お客様の異議に対応するための商業的に合理的な努力を行います。YesHelloがお客様の異議に合理的に対応できない場合、いずれの当事者もサービスの影響を受ける部分を終了することができ、お客様は終了した部分に関する前払い料金の日割り返金を受け取ります。

5.5 復処理者の義務

YesHelloは、各復処理者に対し、本DPAに定めるものと実質的に同等以上の保護を提供するデータ保護義務を課します。YesHelloは、各復処理者の義務の履行について、お客様に対して全面的な責任を負います。

6. 国際データ移転

6.1 ホスティング場所

本DPAに基づいて処理される個人データは、ドイツに所在するサーバーでホスティングされています。

6.2 EEA域外への移転

欧州経済領域、英国、またはスイスに由来する個人データが、これらの地域外に所在する復処理者(米国のStripeなど)に移転される場合、YesHelloは、以下の1つまたは複数のメカニズムを使用して、当該移転が適用データ保護法に準拠して行われることを確保します。

(a) 受領国に対する欧州委員会の十分性認定。(b) YesHelloと復処理者との契約に組み込まれた、欧州委員会が承認した標準契約条項(SCC)。(c) 承認された移転フレームワーク(EU-米国データプライバシーフレームワークなど)に基づく受領者の認証。(d) 適用データ保護法に基づき認められたその他の合法的な移転メカニズム。

6.3 追加的な保護措置

標準契約条項に依拠する場合、YesHelloは、移転影響評価を実施し、個人データの保護水準が移転によって損なわれないことを確保するために必要な場合には補足的措置を講じます。

7. 個人データ侵害の通知

7.1 管理者への通知

YesHelloは、お客様に代わって処理される個人データに影響を与える個人データ侵害を認識した後、不当な遅滞なく、いかなる場合も72時間以内にお客様に通知します。

7.2 通知の内容

通知には、利用可能な範囲で以下が含まれます。

(a) 関係するデータ主体のカテゴリーおよびおおよその数、ならびに記録を含む個人データ侵害の性質の説明。(b) 侵害のもたらしうる結果。(c) 侵害に対処するために講じた、または講じることを提案する措置の説明(侵害の悪影響を軽減するための措置を含む)。(d) さらなる情報を得るための連絡先の名前および連絡先。

7.3 継続的な情報提供

初回通知の時点ですべての情報を提供することができない場合、YesHelloは、情報が利用可能になり次第、さらなる不当な遅滞なく段階的に情報を提供します。

7.4 協力

YesHelloは、お客様と協力し、個人データ侵害の調査、軽減、および修復を支援するための商業的に合理的な措置を講じます。YesHelloは、調査目的のために侵害に関連する証拠を保全します。

7.5 リスク評価を行わないこと

YesHelloによる個人データ侵害のお客様への通知は、いかなる過失または責任の承認でもありません。侵害が適用データ保護法に基づき監督機関またはデータ主体への通知を必要とするかどうかを評価する責任は、お客様が保持します。

8. 監査および検査

8.1 情報およびコンプライアンス

YesHelloは、本DPAに定める義務の遵守を実証するために合理的に必要なすべての情報をお客様に提供します。

8.2 監査の権利

お客様は、以下の条件に従い、YesHelloの本DPAへの準拠を確認するための検査を含む監査を実施する権利を有します。

(a) お客様は、監査要求の少なくとも30日前に書面で事前通知を行うものとします。(b) 監査は、通常の営業時間中に実施され、YesHelloの事業運営を不合理に妨げないものとします。(c) 監査がYesHelloによる本DPAの重大な違反を明らかにしない限り、お客様が監査の費用を負担するものとします。(d) 監査の結果は、機密情報として取り扱われるものとします。(e) 監督機関が要求する場合、または個人データ侵害によりトリガーされる場合を除き、監査は12か月間に1回を超えないものとします。

8.3 第三者監査人

お客様は、監査人がYesHelloに受け入れ可能な機密保持義務に同意することを条件として、資格のある独立した第三者監査人をお客様に代わって監査を実施するよう任命することができます。

8.4 代替的保証

オンサイト監査の代替として、YesHelloはお客様に以下を提供する場合があります。(a) 関連する第三者監査レポートまたは認証(SOC 2またはISO 27001など、取得している場合)の要約。(b) 完成した標準化されたセキュリティ質問票。(c) 本DPAへの準拠を合理的に実証するその他の文書。お客様は、オンサイト監査の権利を行使する前に、そのような代替的保証を誠実に検討するものとします。

9. 責任

本DPAに基づく各当事者の責任は、本規約に定める責任の制限に従います。本DPAのいかなる規定も、適用データ保護法に基づきそのような責任を制限できない範囲において、適用データ保護法の違反に対するいずれかの当事者の責任を制限するものではありません。

10. 期間および終了

10.1 期間

本DPAは、YesHelloがお客様に代わって個人データを処理する限り有効です。

10.2 存続条項

第4.6条(データの削除および返還)、第7条(個人データ侵害の通知)、第8条(監査および検査)、および第9条(責任)は、本DPAの終了後も存続します。

11. 準拠法

本DPAは、本規約の準拠法に従い、それに基づいて解釈されるものとします。適用データ保護法が特定の法域の法律の適用を要求する場合(例えば、GDPRが特定の規定についてEU加盟国の法律による規律を要求する場合)、当該法律が本DPAの関連する規定に適用されます。

12. 改定

YesHelloは、適用データ保護法、復処理者、またはセキュリティ対策の変更を反映するために、本DPAを随時更新する場合があります。重要な変更は、本規約第20条に従い通知されます。本DPAの最新版は、常にhttps://yeshello.app/page/dpaでご覧いただけます。

13. お問い合わせ

本DPAまたはデータ処理に関するご質問は、以下までお問い合わせください。

Thrive Route Digital Limited 21/F CMA Building, 64 Connaught Road Central, Hong Kong メール: [email protected]