本データ処理委託契約(以下「本DPA」といいます。)は、エンジョインスタイル株式会社(以下「当社」といいます。)が提供する会員・取引先への請求管理クラウドサービス「ラクトリ」(以下「本サービス」といいます。)において、テナント法人が当社に委託する個人データの取扱いに関する条件を定めるものです。
第1条 適用関係
- 本DPAは、利用規約、個別契約、申込書その他当社とテナント法人との契約に付随して適用されます。
- 本DPAと個別契約の内容が抵触する場合、個別契約に明示された範囲で個別契約が優先します。
- 本DPAは、テナント法人が利用規約に同意して本サービスの利用を開始した時点、または個別契約で定める効力発生日のいずれか早い時点で効力を生じます。
- 本DPAは、本サービスの利用契約が終了した時点で終了します。ただし、秘密保持、漏えい等発生時の対応、契約終了時の措置、損害賠償その他その性質上存続すべき規定は、契約終了後も有効に存続します。
第2条 委託業務の範囲
当社は、本サービスの提供、保守、障害対応、セキュリティ確保、バックアップ、サポート、利用状況確認、法令または契約上必要な対応の範囲で、テナント法人から委託された個人データを取り扱います。
第3条 取扱う個人データ
当社が取り扱う個人データには、テナント法人の役職員、会員、取引先その他関係者に関する氏名、法人名、住所、電話番号、メールアドレス、会員番号、会員種別、請求、入金、領収書、決済方法、操作履歴、監査ログその他本サービスに登録された情報が含まれます。
第4条 目的外利用の禁止
当社は、テナント法人から委託された個人データを、本サービスの提供および本DPAに定める目的以外に利用しません。
第5条 安全管理措置
当社は、個人データの漏えい、滅失、毀損、不正アクセスを防止するため、アクセス制御、認証、通信の暗号化、監査ログ、バックアップ、権限管理、運用手順の整備その他合理的な安全管理措置を講じます。
第6条 従業者の監督
当社は、個人データを取り扱う従業者に対し、秘密保持義務を課し、必要な教育および監督を行います。
第7条 再委託
- 当社は、本サービスの提供に必要な範囲で、個人データの取扱いの全部または一部を第三者に再委託することがあります。
- 当社が利用する主な再委託先または外部サービスは、Stripe、Resend、Sentry、Google Drive、エックスサーバー株式会社です。
- 当社は、再委託先に対して必要かつ適切な監督を行います。
第8条 外国にある第三者への提供
Stripe、Resend、Sentry、Google Driveその他外国に所在する事業者が提供するサービスを利用する場合、個人データが外国にある第三者に提供または保存されることがあります。テナント法人は、自己が管理する本人に対し、必要に応じて情報提供、同意取得その他個人情報保護法上必要な対応を行うものとします。
第9条 監査および報告
テナント法人は、当社に対し、合理的な範囲で安全管理措置の実施状況に関する説明または資料提供を求めることができます。当社は、営業秘密、セキュリティ、他の利用者の情報保護に配慮した方法で対応します。
第10条 漏えい等発生時の対応
個人データの漏えい、滅失、毀損その他の事故が発生し、または発生したおそれがあることを当社が確認した場合、当社は確認後72時間以内を目安として、テナント法人に第一報を通知します。当社は、詳細な調査結果、影響範囲、原因、再発防止策について、確認後30日以内を目安として報告します。ただし、調査に時間を要する合理的な理由がある場合、当社は中間報告を行い、判明した事項から順次報告します。
当社は、個人情報保護委員会への報告、本人通知その他法令上必要な対応について、テナント法人に合理的に協力します。
第11条 契約終了時の措置
契約終了後、当社は、法令、会計、監査、紛争対応その他正当な理由により保存が必要な情報を除き、一定期間経過後に個人データを削除または匿名化できます。データ返還、削除証明、保存期間について個別契約に定めがある場合、当該定めに従います。
第12条 損害賠償
本DPAに関連して当社が損害賠償責任を負う場合、その範囲および上限は利用規約または個別契約の責任制限条項に従います。ただし、当社の故意または重過失による場合はこの限りではありません。
第13条 改定
当社は、法令変更、サービス内容の変更、外部サービスの変更、運用上の必要に応じて本DPAを改定することがあります。重要な改定を行う場合、当社は本サービス上の表示、メールその他適切な方法により通知します。
制定日
2026年4月30日