本データ処理補遺(Data Processing Addendum, "DPA")は、上海寰創宇科技有限公司(以下「当社」)が極鏈海外倉庫管理システムおよび関連サービスを提供する際のデータ処理条件を定めるものです。本 DPA は当事者間の主契約を補完します。
1. 役割と定義
通常、顧客はデータ管理者(Controller)、当社は受託処理者(Processor)として、顧客の指示に基づきデータを処理します。Amazon SP-API データに関しては、Amazon 開発者ポリシーおよび適用法令を双方で遵守します。
2. 処理目的と範囲
- 受注同期、在庫同期、出荷通知、アフターサポート、分析レポート
- 倉庫運用、履行追跡、アクセス管理、システム保守
- Amazon SP-API データは認可された範囲内でのみ処理
3. データ主体とデータ類型
データ主体には店舗運用担当者、受取人/連絡先、顧客社員が含まれる場合があります。処理対象には注文情報、商品情報、在庫情報、PII(氏名/住所/電話/メール)、必要な運用ログが含まれます。
4. 顧客の責任
- 適法な処理根拠および必要な権限を維持すること
- Amazon 認証情報、API キー、トークン、権限設定を安全に管理すること
- 権限撤回、処理制限、法的要件変更を速やかに通知すること
5. 当社の処理コミットメント
- 契約目的および文書化された指示範囲でのみ処理すること
- Amazon データ/顧客データの販売、無関係な広告利用を行わないこと
- 機密保持義務とアクセス統制を適用すること
6. セキュリティ対策
- HTTPS/TLS による暗号化通信
- 最小権限、ロール分離、監査ログの運用
- 必要に応じたマスキング、暗号化、閲覧制限
- バックアップ、復旧、セキュリティ基準管理の実施
7. 再委託先(Subprocessor)
クラウドや通知等の再委託先を利用する場合、当社は本 DPA と同等水準の機密保持・安全義務を課し、合理的な範囲で情報を開示します。
8. 越境移転と保管場所
データ保管場所は SaaS/専有導入モデルと顧客選択により決定されます。越境移転が発生する場合は、適用法令に従い必要な契約上・技術上の保護措置を実施します。
9. インシデント対応と通知
疑義のあるインシデントが発生した場合、封じ込め、調査、是正、復旧を実施し、法令・契約の範囲で顧客への通知と協力対応を行います。
10. データ主体要求への支援
顧客の指示に基づき、アクセス、訂正、削除、エクスポート等の要求対応を合理的範囲で支援します。
11. 保持、返還、削除
法令上の保存義務がない限り、契約終了または認可撤回時には、契約で定めた期限に従ってデータ返還/エクスポートと削除または匿名化(バックアップ含む)を実施します。
12. 監査支援
他顧客の機密や安全を害さない範囲で、当社はセキュリティ説明資料、コンプライアンス質問票、要約証跡等を提供し、Amazon PII 審査や内部監査を支援します。
13. 優先適用と連絡先
データ保護事項について本 DPA と主契約に矛盾がある場合、本 DPA を優先します。お問い合わせ: support@hcytechsoft.com