2026年4月10日以降にライセンスをご購入のお客様には、下記の現行版が適用されます。 2026年4月9日以前にライセンスをご購入のお客様には、こちら（旧版）が引き続き適用 されます。
ご契約時に有効であった規約が当該契約に適用されます。

背景

本データ処理補遺（以下「本DPA」といいます）は、本契約の第11条に定めるところにより適用されます。 本契約と本DPAとの間に矛盾が生じた場合は、本DPAが優先するものとします。

1. 定義

1.1. 以下に別途定める場合を除き、本DPAで使用される各定義用語は、本契約に定める意味を有するものとし、以下の語句はそれぞれ次に定める意味を有するものとします。

(a) 「顧客個人情報」とは、こちら（Annex1）に記載される個人情報、およびお客様による本サービスのご利用に関連して当社がお客様に代わって取り扱うその他一切の個人情報を意味します。

(b) 「データ保護法令」とは、顧客個人情報の取り扱いに関し、個人の基本的権利および自由ならびにプライバシーに対する権利を保護する、適用のある一切の法令を意味し、欧州議会および理事会の規則（EU）2016/679（「GDPR」）を含みますが、これに限定されません。

(c) 「欧州経済領域」または「EEA」とは、欧州連合の加盟国、ならびにアイスランド、ノルウェー、およびリヒテンシュタインを意味します。

(d) 「当事者」とは、お客様および当社（株式会社Tutteo Japan）の各々を意味します。

(e) 「セキュリティインシデント」とは、顧客個人情報の偶発的もしくは違法な破壊、紛失、改変、不正な開示、またはこれらへの不正なアクセスを意味します。

(f) 「標準契約条項」とは、欧州委員会決定C(2010)593によって承認された標準契約条項（処理者向け）、またはその後欧州委員会によって公表されたあらゆる後継版（自動的に適用されます）を意味します。

(g) 「復処理者」（Subprocessor）とは、当社から顧客個人情報を受領することに同意し、当社によって関与を認められたあらゆる処理者を意味します。

1.2. 「個人情報」、「管理者」、「処理者」、「データ主体」、「取り扱い」（Process）、および「監督機関」の用語は、GDPRに定める意味と同一の意味を有するものとします。

2. データ処理

2.1. データ処理に関する指示。 当社は、

(a) お客様に本サービスを提供するために必要な範囲内での本契約、および

(b) お客様からの書面による指示、に従う場合にのみ顧客個人情報を取り扱うものとします。ただし、当社が従うべき欧州連合または加盟国の法令によって当該取り扱いが要求される場合は、この限りではありません。その場合、当社は、適用法令が許容する範囲において、当該方法で顧客個人情報を取り扱う前に、お客様に対し当該法的要件を通知するものとします。

2.2. 本契約（両当事者間で合意された本サービスへの変更を条件とします）および本DPAは、顧客個人情報の取り扱いに関する、お客様から当社への完全かつ最終的な指示であるものとします。本DPAまたは本契約の範囲を超える取り扱いについては、両当事者間において、取り扱いに関する追加の指示について、事前に書面による合意を必要とします。

2.3. GDPR第28条3項(h)により適用される場合、当社は、お客様の指示がGDPRまたは他のEUもしくは加盟国の法令の要件に抵触すると当社が判断した場合、直ちにお客様に通知するものとします。

2.4. 取り扱いの権利。 お客様は、当社（およびあらゆる復処理者）が、本契約および作業範囲記述書（Statements of Work）で意図されているとおりに顧客個人情報を保管し、取り扱うことが法的に許可されていることを、以下の事項を含め保証するものとします。

(a) 顧客個人情報のいかなる取り扱いも、関連するデータ主体に通知された情報と矛盾しないこと、またはその他適用法令に従って必要とされるものであること。

(b) 適用されるデータ保護法令により要求される場合、お客様が、本契約に従った当社による顧客個人情報の取り扱いに必要なすべての同意を取得していること、または将来において取得すること。

3. 個人情報の移転

3.1. 承認された復処理者。 お客様は、当社が顧客個人情報を取り扱うための復処理者として、こちらに記載された事業体を利用する場合があることに同意します。

3.2. お客様は、当社が本契約に基づく契約上の義務を履行するために下請業者を利用する場合があることに同意し、当社は、当社が関与させる復処理者へのいかなる変更についても、その身元を随時お客様に通知するものとします。お客様が（合理的な理由に基づき）新たな復処理者を承認しない場合、本契約を解除する権利を損なうことなく、お客様は当社に対し、顧客個人情報を他の復処理者に移管するよう要求することができ、当社は、当該要求の受領後、合理的な期間内に、当該復処理者が顧客個人情報を一切取り扱わないことを確保するため、あらゆる合理的な努力を尽くすものとします。

3.3. 本項3.1および3.2に定める場合を除き、当社は、お客様からの事前の書面による同意なく、かつ、当社が当該復処理者との間で、顧客個人情報の取り扱いに関して本DPAに基づき当社に課される義務と同一の義務を当該復処理者に課す書面による契約を締結しない限り、復処理者による顧客個人情報の取り扱いを許可、許容、またはその他の方法で促進しないものとします。

3.4. 復処理者の責任。 当社は、本DPAに基づく当社の義務の遵守について常に責任を負うものとし、本項3.1および3.2に従ってお客様によって承認されたあらゆる復処理者の作為および不作為について、それらが当社の作為および不作為であった場合と同様に、お客様に対して責任を負うものとします。

3.5. 個人情報の移転の禁止。 当社による顧客個人情報の取り扱いに、EEA域外の国または領域への当該個人情報のエクスポートが含まれる場合、当社は以下を確保するものとします。

(a) 移転先、または移転先が個人情報を処理しもしくはアクセスする国もしくは領域が、欧州委員会によって決定されるところに従い、顧客個人情報の取り扱いに関連するデータ主体の権利および自由について十分なレベルの保護を確保すること。

(b) 当該移転が、標準契約条項、または（該当する場合）「米国・EU間のプライバシーシールド」、あるいはその他法的に認められた移転方法に基づくこと。標準契約条項のいずれかの規定と本契約の規定との間に矛盾がある場合は、標準契約条項の規定が優先するものとします。

4. データセキュリティ、監査、およびセキュリティ通知

4.1. 当社のセキュリティ義務。 当社は、技術水準、実施コスト、ならびに、取り扱いの性質、範囲、文脈、および目的、ならびに自然人の権利および自由に対する様々な可能性および重大性のリスクを考慮し、こちらに定める措置を含む、リスクに応じた適切なレベルのセキュリティを確保するために、適切な技術的および組織的措置を講じるものとします。

4.2. セキュリティ監査。 お客様は、合理的な事前通知をもって、当社のデータ処理施設への監査の実施を含め、本DPAに定めるセキュリティ措置（こちらに定める技術的および組織的措置を含む）に関する当社の遵守状況を（お客様ご自身、または独立した第三者の監査人を用いて）監査することができます。当社は、本項4.2に従って実施されるあらゆる監査を支援し、これに貢献するものとします。

4.3. お客様からの合理的な要請に基づき、当社は、本DPAの遵守を証明するために合理的に必要なすべての情報を提供するものとします。

4.4. セキュリティインシデントの通知。 当社または復処理者がセキュリティインシデントを認識した場合、当社は、

(a) 不当な遅滞なく、Eメールにてお客様にセキュリティインシデントを通知し、

(b) 当該セキュリティインシデントを調査し、セキュリティインシデントの調査に必要な（法執行機関または規制当局者を含む）お客様への合理的な支援を提供し、

(c) 本DPAへの不遵守を是正するための措置を講じるものとします。

4.5. 当社の従業員および人員。 当社は、顧客個人情報を（本契約における）お客様の秘密情報として取り扱うものとし、当社の従業員またはその他の人員が、顧客個人情報の機密性および安全性を保護することについて書面で合意していることを確保するものとします。

5. アクセス要求およびデータ主体の権利

5.1. データ主体からの要求。 適用法に基づき要求される（または禁止される）場合を除き、当社は、当社または復処理者が、顧客個人情報に含まれる自身の個人情報に関してデータ主体から受領したいかなる要求についても、お客様に通知するものとし、当該データ主体に応答しないものとします。

5.2. 当社は、本サービスの機能に従い、お客様が顧客個人情報を訂正、削除、ブロック、アクセス、またはコピーできる機能を提供するものとします。

5.3. 政府による開示。 当社は、政府もしくは規制機関、または（データ保護監督機関を含む）法執行当局による顧客個人情報の開示要求を受領した場合、法令または当該機関の法的に拘束力のある命令によって別途禁止されていない限り、お客様に通知するものとします。

6. 支援

6.1. 該当する場合、当社は、取り扱いの性質を考慮し、かつ適用されるデータ保護法令に基づき要求される範囲において、適用されるデータ保護法令に基づくお客様の義務のいずれかを遵守する目的で、お客様が合理的に要求するあらゆる情報または支援を提供するものとします。これには以下が含まれます。

(a) GDPRに定められたデータ主体の権利行使の要求に応答するというお客様の義務を履行するため、可能な限り、適切な技術的および組織的措置を講じることにより、お客様を支援するあらゆる合理的な努力を用いること。

(b) 顧客個人情報の取り扱いのみに関連し、かつ当社が利用可能な情報を考慮した上で、お客様の監督機関に対するあらゆるデータ保護影響評価およびあらゆる事前相談に関し、お客様に合理的な支援を提供すること。

7. 期間および終了

7.1. データの削除。 以下の7.2および7.3に従うことを条件として、当社は、本契約の終了日から90日以内に、

(a) お客様が当社に通知した形式で、すべての顧客個人情報の完全なコピーを、安全なファイル転送により返却し、

(b) 当社または復処理者によって取り扱われる顧客個人情報のその他すべてのコピーを削除し、またその削除を調達するためにあらゆる合理的な努力を尽くすものとします。

7.2. 以下の7.3に従うことを条件として、お客様は、自らの絶対的な裁量により、本契約の終了日から30日以内に、当社に対し、当社によって取り扱われる顧客個人情報のすべてのコピーを削除し、その削除を調達するよう書面で通知することができます。当社は、本契約の終了日から90日以内に、

(a) 当該書面による要求に従い、

(b) 当社の復処理者が取り扱うすべての顧客個人情報を当該復処理者が削除するよう調達するため、あらゆる合理的な努力を尽くすものとします。 なお、本項7.2が適用される場合、当社は顧客個人情報のコピーをお客様に提供することを要求されないものとします。

7.3. 当社および当社の復処理者は、適用法により要求される範囲内において、かつ適用法により要求される期間に限り、顧客個人情報を保持することができます。ただし、当社は、当該すべての顧客個人情報の機密性を常に確保し、当該顧客個人情報が、その保管を要求する適用法に指定された目的に必要な範囲でのみ処理され、他のいかなる目的のためにも処理されないことを保証するものとします。

別紙1：顧客個人情報の取り扱いの詳細

このページには、GDPR第28条3項に基づき要求される、顧客個人情報の取り扱いの詳細が含まれます。

顧客個人情報の取り扱いの主題および期間

本契約に定める条件に基づく、お客様による本サービスへのアクセスに関連した顧客個人情報の取り扱い。

顧客個人情報の取り扱いの性質および目的

お客様への本サービスの提供。

取り扱われる顧客個人情報の種類

本サービスにアップロードまたは作成されたあらゆる個人情報。氏名、連絡先詳細、プロフィール情報、および本サービスにアップロードまたは作成されたユーザーコンテンツに含まれるあらゆる個人情報を含みます。

顧客個人情報が関連するデータ主体のカテゴリー

利用者（Users）。

お客様の義務および権利

お客様（Customer）の義務および権利は、本DPAに定めるとおりです。

別紙2：技術的および組織的なセキュリティ措置

1. 当社は、以下の事項を目的として設計された社内ポリシーおよび手順を維持する（または当社の復処理者にも同様の措置を講じさせる）ものとします。 (a) 当社が取り扱うあらゆる個人情報を、偶発的または違法な紛失、アクセス、または開示から保護すること。

(b) 当社が取り扱う個人情報に対する、合理的に予見可能な内部リスク、およびセキュリティと不正アクセスに対するリスクを特定すること。

(c) リスク評価および定期的なテストを含め、セキュリティリスクを最小限に抑えること。

2. 当社は、業界のセキュリティ標準および当社のポリシー・手順と比較測定した、自らのネットワークのセキュリティおよび情報セキュリティプログラムの妥当性について、定期的なレビューを実施し、また、当社の復処理者にも同様の実施を調達するよう合理的な努力を尽くすものとします。
3. 当社は、新たなセキュリティリスク、または定期的なレビューによって生じた所見に対応するために、追加または異なるセキュリティ措置が必要であるかを判断するため、自らのネットワークおよび関連サービスのセキュリティを定期的に評価し、また、当社の復処理者にも同様の評価を調達するよう合理的な努力を尽くすものとします。
4. 当社は、当社のスタッフに対し、スタッフの職務に関連するデータセキュリティおよびプライバシーの問題に関する定期的なトレーニングを提供するものとします。

旧版（～2026年4月9日ご契約のお客様適用）はこちらをご覧ください。