データ処理契約

最終更新日:2026年5月23日

本データ処理契約(「DPA」)は、Monoid(「処理者」)とMonoidのアナリティクスサービスを利用するウェブサイト所有者(「管理者」)との間で締結されます。これは利用規約の一部を構成し、管理者の代わりにMonoidが行う個人データの処理を規定します。

1. 定義

「個人データ」、「管理者」、「処理者」、「データ主体」、「処理」、「監督機関」は、EU一般データ保護規則(GDPR)2016/679に与えられた意味を持ちます。「副処理者」とは、本DPAに基づいて個人データを処理するために処理者が関与するあらゆる第三者を意味します。

2. 処理の主題と性質

処理者はプライバシー第一のウェブアナリティクスを提供します。処理は以下から構成されます:管理者のウェブサイト訪問者からの匿名化されたページビューシグナルの受信、日次ローテーションのSHA-256訪問者ハッシュ(IP + User-Agent + サーバーサイドソルト + 日付)の計算、集計アナリティクスデータ(ページパス、リファラーホスト名、国コード、デバイスタイプ、ブラウザファミリー、日次訪問者数)の保存、および管理者のダッシュボードでの集計統計の利用可能化。生IPアドレスとUser-Agent文字列は、ハッシュを計算するためにメモリ内でのみ使用され、保存されることはありません。

3. 期間

本DPAは、管理者がMonoidアカウントを維持している限り効力を有します。アカウント削除時に自動的に終了します。

4. 処理者の義務(GDPR第28条(3))

処理者は以下を行うものとします:

  • 適用法で要求される場合を除き、管理者からの文書化された指示に基づいてのみ個人データを処理します。
  • 個人データを処理する権限を持つ人物が、機密保持を約束しているか、適切な法定機密保持義務に従っていることを確認します。
  • 適切な技術的および組織的措置(GDPR第32条)を実施します — HTTPSのみの送信、PBKDF2-SHA256パスワードハッシュ、httpOnlyセッションクッキー、Zodリクエスト検証、すべての機微なエンドポイントでのレート制限を含みます。
  • 管理者の事前の書面による承認なしに副処理者を関与させません(承認は本規約とDPAの受諾によって与えられます。第6条にリストされている副処理者は、本書により事前に承認されています)。
  • /privacyに記載されたアカウントレベルのツールを提供し、技術的に不可能な場合は30日以内にメールでのリクエストに応答することにより、データ主体のリクエスト(アクセス、削除、ポータビリティ、異議)の履行において管理者を支援します。
  • コンプライアンスの実証に必要な情報の提供、データ保護影響評価の支援、監督機関との協力を含む、GDPR第32–36条に基づく義務について管理者を支援します。
  • サービス終了時にすべての個人データを管理者に削除または返却し、適用法で保存が要求されない限り既存のコピーを削除します。アカウント削除は、すべてのアナリティクスデータの即時カスケード削除をトリガーします。
  • 本DPAへの準拠を実証するために必要なすべての情報を利用可能にし、管理者または管理者によって委託された監査人によって実施される監査と検査を許可し、貢献します。

5. 管理者の義務

管理者は以下を行うものとします:(a) 処理者に個人データの処理を指示する合法的な根拠を有することを確実にする。(b) トラッカースクリプトが管理者によって所有または管理されるウェブサイトにのみデプロイされることを確実にする。(c) 自身のプライバシーポリシーにアナリティクスサービスの適切な開示を含める。(d) 処理指示の変更を処理者に速やかに通知する。

6. 副処理者

管理者は以下の副処理者を承認します:

  • Cloudflare, Inc.(米国) — エッジコンピュートおよびD1データベースインフラストラクチャ。転送メカニズム:EU標準契約条項(SCC)、EU–US Data Privacy Framework、Swiss–US DPF、UK IDTA。DPA:cloudflare.com/trust-hub/gdpr/
  • Resend, Inc.(米国) — トランザクションメール配信。転送メカニズム:EU SCC。DPA:resend.com/legal/dpa
  • Stripe, Inc.(米国) — 支払い処理(管理者の請求のみ。訪問者アナリティクスデータはStripeと共有されません)。転送メカニズム:EU SCC、EU–US DPF、UK IDTA。DPA:stripe.com/legal/dpa

処理者は、副処理者への予定された変更について、管理者に異議を申し立てる機会を与えるため、(登録アカウントメール経由で)少なくとも30日前の書面による通知を提供します。

7. 国際転送

個人データは、第6条にリストされている副処理者を介して米国に転送される場合があります。各転送は、上記のとおり適切な保護措置(EU SCC、EU–US Data Privacy Framework、Swiss–US DPF、またはUK IDTA)でカバーされます。他の第三国転送は発生しません。

8. セキュリティと侵害通知

処理者は、本DPAに基づいて処理されたデータに影響を与える個人データ侵害を認識した後、不当な遅延なく、いかなる場合でも24時間以内に管理者に通知するものとします。通知は管理者の登録アカウントメールに行われ、以下を含みます:侵害の性質、影響を受けるデータ主体とレコードのカテゴリとおおよその数、起こりうる結果、講じられたまたは提案された措置。

9. 監査権

管理者は、暦年に1回、処理者のセキュリティ対策の書面による要約を要求できます。規制要件で現地監査が義務付けられている場合、当事者は事前にタイミング、範囲、機密保持義務について合意するものとします。

10. 準拠法

本DPAはブラジルの法律に準拠します。ただし、強制的なEU、UK、またはスイスのデータ保護法が、管理者に放棄できない追加の権利を与える場合を除きます。

11. お問い合わせ

本DPAに関するご質問:monoid@monoid.website