GDPR 第 28 条のもと、EU の個人データを処理者 (Zenovay のような) に委託するすべての企業は、その処理者とのデータ処理契約 (DPA) を締結する必要があります。Zenovay は事前に署名済みの標準 DPA を公開しています — 交渉や署名の追跡は不要です。
DPA の場所
現在の DPA は zenovay.com/legal/dpa に 6 言語すべて (en、de、fr、es、pt-BR、ja) で公開されています。サインインなしでお読みいただけます。
拘束力を持つようになる方法
別の「同意」ボタンをクリックしたり、何かを返送する必要はありません。公開されている DPA は、Zenovay 契約に入った時点で自動的に契約の拘束力のある部分となります — つまり、登録時に当社の利用規約に同意したときです。その時点から、DPA は Zenovay によるあなたの個人データの処理を規定します。
法務チームが署名済みコピー (文書への自筆またはデジタル署名) またはカスタムアデンダムが必要な場合は、[email protected] にあなたの組織の法的名称と署名者の連絡先を記載してメールしてください。対応させていただきます。手数料はかかりません。
対象範囲
DPA は以下を対象としています:
- 処理の目的と期間。
- 処理される個人データの性質、目的、種類。
- 処理者としての Zenovay の義務 (セキュリティ、機密性、侵害通知)。
- サブ処理者のリストとあなたの異議申し立て権。
- 国際移転メカニズム (標準契約条項 + EU-US Data Privacy Framework)。
- 監査権、終了時のデータ削除 / 返却。
- 責任と免責の条件。
サブ処理者リスト
DPA は、Zenovay が使用するすべてのサブ処理者を列挙しています。現在のリストは公開ページ /legal/subprocessors にもあり、以下を含みます:
- Cloudflare (ホスティング、エッジコンピュート、R2 オブジェクトストレージ)
- Supabase (Postgres データベース、認証)
- Stripe (決済処理)
- Resend (トランザクションメール)
- Mapbox (地理情報、3D グローブ)
- OpenAI (AI insights、Cloudflare AI Gateway 経由)
/legal/subprocessors ページは、信頼できる最新のリストです。新しいサブ処理者を追加する少なくとも 30 日前に通知します。異議がある場合は、DPA に従って契約を終了できます。
EU データ居住地
2026-04-24 以降、プライマリーデータベースは Frankfurt (eu-central-1) にあります。DPA は国際移転条項にこれを反映しています — 米国を拠点とするサブ処理者については、EU-US Data Privacy Framework 認証に裏打ちされた標準契約条項に依拠しています。
完全な居住地マップについては データ居住地 を参照してください。
DPA の更新
DPA への重大な変更はバージョン管理されます。新しいバージョンが拘束力を持つ少なくとも 30 日前にメールで通知します。変更に異議を唱えることができます — 法的選択肢は標準契約法に従います。
プラン適用
標準 DPA は Free を含むすべてのプランで利用可能です。カスタム DPA アデンダム (業界固有の条項、ヘルスケア向け BAA 相当など) が必要な組織については、Enterprise の顧客はアカウントチームと追加条件を交渉できます。