データ処理契約
バージョン 3.0 · 最終更新日:2026年5月9日 · 即時発効
1. 当事者
本データ処理契約(「DPA」)は、お客様(「データ管理者」)とアイルランドに登記されたYARDtwin Ltd(「データ処理者」)との間で締結されるものであり、両者を総称して「当事者」といいます。本DPAはYARDtwinの 利用規約の一部を構成し、これに従うものとします。
2. 範囲および目的
処理者は、YARDtwinヤード管理プラットフォームの提供を唯一の目的として、管理者に代わり個人データを処理します。対象業務は、ドックスケジューリング、ゲート運営、デジタルツインヤードの可視化、キャリアおよびドライバー管理、GMP準拠の監査証跡、分析、および各種連携です。処理は管理者のサブスクリプション期間中、および第11条が定める保管期間中に行われます。
3. データ主体のカテゴリ
- 管理者の従業員および管理者(プラットフォームの名義ユーザー)
- 管理者のゲートにてチェックインしたドライバーおよび物流担当者
- キャリアの担当者および配送連絡先
- ゲートセキュリティおよび倉庫オペレーター担当者
4. 個人データの種類
- 本人確認データ: 氏名、メールアドレス、電話番号、役職/職位、会社名および住所
- 認証データ: bcryptハッシュ化パスワード(12ラウンド)、JWTアクセストークンおよびリフレッシュトークン、セッションタイムスタンプ、IPアドレス、SSOの識別子(Google、Microsoft)
- 業務データ: 予約、ドック割り当て、トレーラー移動、検査記録、書類、タスク割り当て、車両登録情報
- ドライバーデータ: 免許証番号、免許証画像、生体認証ゲート確認用の任意の顔画像(特別カテゴリデータ、GDPR第9条 — 管理者がゲートでの生体認証を有効化し、取得時点で明示的な同意を取得した場合にのみ処理)
- 監査データ: ユーザー操作、タイムスタンプ、IPアドレス、ユーザーエージェント文字列、変更前後の差分、GMPフラグ付きレコード
5. 処理者の義務
- 個人データは、管理者からの文書化された指示(プラットフォームのUIおよびAPIが文書化された指示を構成する)に基づいてのみ処理する
- データ処理を許可された者が秘密保持契約に拘束されることを確保する
- 適切な技術的・組織的セキュリティ対策を実施する(第32条)— 以下のセクション7を参照
- 事前の書面による承認なしに副処理者を委託しない。新たな副処理者の追加については30日前に事前通知を行う(異議申立権あり)
- セクション9に記載のDSARエンドポイントを通じて、データ主体の請求(第15〜22条)に関して管理者を支援する
- 個人データ侵害が発生した場合、不当な遅延なく、かつ72時間以内に管理者へ通知する(セクション8)
- サービス終了時にすべての個人データを削除または返却する(セクション11)
- コンプライアンスの実証および監査のサポートに必要なすべての情報を提供する(セクション12)
6. 副処理者
処理者は現在、以下の副処理者を委託しており、各社はデータ処理契約および(該当する場合)2021年版標準契約条項に基づいて業務を行っています:
| サブプロセッサ | 目的 | 所在地 | 保護措置 |
|---|---|---|---|
| Microsoft Azure | ホスティング(App Service、Postgres Flexible Server、Blob Storage、Key Vault、App Insights、Front Door + WAF) | EEA — スウェーデン中部 + ノルウェー東部 | Microsoft Online Services DPA + EU SCCs、ISO 27001、SOC 2 Type II、ISO 27018、EUデータバウンダリー |
| Stripe | サブスクリプション請求・決済処理(カード番号はYARDtwinに保存されない) | Stripeアイルランド(EEA)、一部米国サポート | Stripe DPA + EU SCCs + PCI DSS Level 1 |
| Resend | トランザクションメール(ウェルカムメール、トライアルリマインダー、DSAR応答、侵害アラート) | 米国(デラウェア州) | Resend DPA + EU SCCs(FISA 702補完的措置の検証中 — GDPR Policy 11.6を参照) |
| Google Cloud Vision | 運転免許証 OCR(管理者がゲートでの免許証確認を有効にした場合のみ) | EUリージョン | Google Cloud DPA + EU SCCs、ISO 27001、SOC 2 |
| Google / Microsoft(OAuth SSO) | SSO を選択したユーザー向けのシングルサインオンIDトークン | EEA(Microsoft Entra ID)/ グローバル(Google Workspace) | Microsoft / Google Cloud DPA |
| Anthropic | プロダクト内AIアシスタントおよび免許証 OCR テキスト解析向け Claude API | 米国(カリフォルニア州) | Anthropic DPA + ゼロ保持ポリシー + EU SCCs(FISA 702補完的措置の検証中) |
新たな副処理者を追加する場合、少なくとも30日前に顧客へ通知し、異議申立および違約金なしの解約の権利を保障します。
7. セキュリティ対策(第32条)
- 転送時の暗号化: すべてのエンドポイントでTLS 1.2以上を使用。証明書はMicrosoft Azure(DigiCert)が管理
- 保存時の暗号化: Azure Postgres Flexible Serverの透過的データ暗号化、Azure Blob Storage暗号化
- フィールドレベルの暗号化: 生体データ(運転免許証画像、署名画像)にAES-256-GCMを使用。鍵はAzure Key Vaultで管理
- パスワードハッシュ化: bcrypt、12ラウンド
- 認証: JWTアクセストークン(有効期限1時間)+リフレッシュトークン(有効期限7日、使用時にローテーション)。MFA相当としてGoogleおよびMicrosoftによるSSO
- テナント分離: すべてのAPIルートで適用。リリースごとに25ベクターのクロステナント監査によるリグレッションテストを実施
- ロールベースアクセス制御: 6つのロール(admin、ops_manager、gate_guard、warehouse_operator、carrier、super_admin)、最小権限ミドルウェア
- Webアプリケーションファイアウォール: Azure Front Door + マネージドWAF(OWASPコアルールセット、ボット保護、L7 DDoS対策)
- レート制限: ルートごとの制限。認証エンドポイントはより厳格。インメモリおよび永続化された試行回数の追跡
- 監査証跡: アプリケーション層での追記専用、6年間保存、GMP関連エントリは個別にフラグ設定、第17条に基づく削除要求時は第17条第3項(b)に従い仮名化処理(削除は不可)
- 継続的モニタリング: Azure Application Insights、スキーマドリフトアラート(15分ウィンドウ)、エンドツーエンド /health/db-write プローブ、侵害モニター異常ワーカー(ログイン失敗急増、マルチIP攻撃、国変更ログイン、5xxレート)
- ソフトウェアサプライチェーン: npm audit、Trivy、Semgrep、gitleaks、OWASP ZAP をすべてのPRに適用。シークレット:App Serviceマネージドアイデンティティ経由でAzure Key Vaultにアクセス。コード、envファイル、コンテナイメージにシークレットは含まれない
8. 個人データ侵害の通知
処理者は、管理者のデータに影響する個人データ侵害を認識してから遅滞なく、かつ72時間以内に管理者へ通知するものとします(第33条)。通知には、侵害の性質、影響を受けるデータ主体のカテゴリーおよびおおよその人数、想定される影響、講じた措置または予定している措置、および侵害登録番号を含めるものとします。検出された異常はAzure Monitor Action Groupへ転送されます yardtwin-breach-actions。確認されたインシデントは侵害登録テーブルで管理され、72時間のDPCカウントダウンが開始されます。
9. データ主体の権利
処理者は、第12条第3項の30日期限内にデータ主体の権利を履行するため、管理者に以下のエンドポイントを提供します:
POST /api/v1/dsar/export/by-email— 第15条(アクセス権)および第20条(データポータビリティ)に対応した機械可読形式のエクスポートPOST /api/v1/dsar/erase/by-email— すべてのPIIテーブル全体の仮名化処理(第17条第3項(b)に基づく監査ログ保存を維持)- セルフサービスリクエストポータル: /data-request
10. 国際的なデータ移転
運用データは欧州経済領域(EEA)内に保存されます(Microsoft Azure、スウェーデン中部+ノルウェー東部)。EEA域外のサブ処理者(Resend、Anthropic)へのデータ移転は、文書化された移転影響評価を伴う2021年標準契約条項に基づき規律されます。StripeはStripe Ireland(EEAプライマリ)との契約となります。
11. 期間、終了およびデータの返還
本DPAはサービス契約の期間中有効です。契約終了時:
- 管理者は、製品内のエクスポート機能またはリクエストにより、30日以内にすべてのデータをエクスポートできます
- 30日経過後、処理者は管理者の運用個人データをすべて削除します
- 監査ログはイベント発生後6年間、仮名化された状態で保存されます(21 CFR Part 11 / EU GMP Annex 11 の要件に基づく第17条第3項(b)の法的義務による除外)
- バックアップはポイントインタイムリカバリウィンドウに従い、運用削除から7日以内に消去されます
12. 監査権
処理者は、GDPR第28条への準拠を証明するために必要なすべての情報を管理者に提供するものとします。お客様は以下を請求できます:関連するセキュリティ認証および監査報告書のコピー(取得済みの場合)、最新のサブ処理者リスト、最新のテナント分離回帰テスト報告書、最新の外部ペネトレーションテストの概要(発行時、GDPRポリシー11.1参照)、およびベンダーセキュリティアンケートへの回答。合理的なオンサイトまたはリモート監査は、少なくとも30日前の通知をもって実施可能であり、管理者または機密保持義務を負う独立した第三者により実施されます。処理者は、認証取得後はISO 27001 / SOC 2 Type II報告書を代替証拠として優先的に提供します。
13. 責任および準拠法
本DPAに基づく責任は、YARDtwin の 利用規約に規定された制限に従います。本DPAはアイルランドの法律およびEU一般データ保護規則(GDPR)に準拠します。紛争はアイルランドの裁判所の専属管轄に服します。
14. お問い合わせ
本DPAに関するご質問、相互署名済みコピーのリクエスト、または上記の権利の行使については、 admin@yardtwin.com またはデータ保護責任者(DPO)へ dpo@yardtwin.comまでご連絡ください。外部の分担DPOとの契約を進めています(GDPRポリシー11.2)。任命されるまでの間、dpo@yardtwin.com 宛てのメールはadmin@yardtwin.com に転送されます。
同意することにより、お客様はデータ管理者としてデータ処理契約 v3.0に拘束されることに同意したものとみなされます。