※ 暫定版: 本ページの記載は外部法律顧問の最終確認前の暫定版です。改訂版の公開後に内容が変更される可能性があります。
← noxbox トップへ戻る

データ処理委託契約(DPA)

最終改定: 2026-05-01

本契約は、株式会社 hadal-inc(以下「受託者」)と、noxbox 利用契約者(以下「委託者」)との間で、委託者がテナントサイト運営の過程で取得し、本サービスを通じて受託者に取扱いを委託する個人情報(以下「委託情報」)の処理に関する事項を定めるものです。本契約は、 利用規約 と一体のものとして適用されます。

第1条(委託の範囲)

  1. 委託者は、受託者に対し、以下の業務に必要な範囲で委託情報の取扱いを委託します。
    • テナントサイト・予約フォームの提供
    • 予約情報の保存・通知メール送信
    • 顧客台帳・キャスト情報・写メ日記等のホスティング
    • 売上集計・分析機能の提供
  2. 本条に定める範囲を超えて委託情報を取扱う必要が生じた場合、受託者は委託者から事前の同意を得るものとします。

第2条(委託情報の項目)

本契約における「委託情報」は、以下の項目を含みます。

  • テナントサイトのエンドユーザ(顧客)の氏名、電話番号、メールアドレス、住所、予約日時、コース内容、ご要望テキスト
  • キャストのプロフィール情報、写真、出勤情報、報酬計算情報
  • その他、本サービスの管理画面を通じて委託者が登録した情報

第3条(受託者の義務)

受託者は、委託情報の取扱いに関し、以下の義務を負います。

  1. 個人情報保護法その他の関連法令を遵守すること
  2. 本契約に定める目的の範囲内でのみ委託情報を利用し、第三者に開示・提供しないこと(本契約 第7条に定める再委託先への提供を除く)
  3. 委託情報の漏えい、滅失、毀損の防止のため、本契約 別紙1 に定める安全管理措置を講じること
  4. 受託者の従業者に対し、委託情報の適切な取扱いに関する教育を実施し、秘密保持義務を課すこと

第4条(委託者の義務)

委託者は、以下の義務を負います。

  1. 本サービスを通じて取得する委託情報について、エンドユーザに対し利用目的を明示し、必要な同意を取得すること
  2. 未届けで性風俗特殊営業を行わないこと、18歳未満の者の情報を委託情報として登録しないこと
  3. 受託者から提供されるセキュリティ機能(2要素認証等)を適切に有効化し、ログイン情報を厳重に管理すること

第5条(漏えい等発生時の通知)

  1. 受託者は、委託情報の漏えい、滅失、毀損その他の安全管理措置に関する事故が発生し、又はそのおそれがあることを発見した場合、速やかに(原則として認知後 24 時間以内に)委託者に通知します。
  2. 通知には、事故の概要、影響範囲、講じた対応措置、再発防止策を含めるものとします。
  3. 受託者は、委託者が個人情報保護委員会への報告及び本人通知を行うために必要な情報・資料を提供します。

第6条(監査)

  1. 委託者は、合理的な事前通知をもって、受託者の安全管理措置の実施状況に関する報告を求めることができます。受託者は、合理的な範囲でこれに応じます。
  2. 受託者は、年に1回、安全管理措置の実施状況に関するレポートを委託者に提供することができます。これにより前項の報告請求に代えることができるものとします。

第7条(再委託)

  1. 受託者は、本サービスの運営上必要な範囲で、別紙2 に列挙する再委託先に委託情報の取扱いを再委託することができます。
  2. 受託者は、再委託先に対し、本契約と同等以上の義務を契約により課し、再委託先の取扱いについて自ら委託者に対する責任を負います。
  3. 受託者は、別紙2 の再委託先を変更する場合、合理的な期間をもって委託者に通知します。

第8条(越境移転)

別紙2 記載の再委託先のうち外国に所在する事業者への委託情報の提供は、個人情報保護法 第28条に定める「外国にある第三者への提供」に該当します。委託者は、当該国(主として米国)の個人情報保護制度の概要、再委託先が講じる措置の概要を理解した上で、これに同意するものとします。詳細は プライバシーポリシー 第7条 をご参照ください。

第9条(契約終了時の取扱い)

  1. 本契約が利用規約に基づき終了した場合、受託者は、委託者の指示に従い、委託情報を削除又は返還します。
  2. 委託者は、契約終了から90日以内に限り、受託者に対し委託情報のエクスポート(JSON 形式)を請求することができます。
  3. 当該期間経過後、受託者は委託情報を安全な方法で削除します。ただし、法令の定めにより一定期間保存が義務付けられる情報(税務関連情報等)については、当該期間に限り保存を継続します。

第10条(損害賠償)

受託者の本契約違反により委託者に損害が生じた場合の損害賠償の範囲・上限は、 利用規約 第9条(責任の制限) に従います。

第11条(本契約の変更)

受託者は、法令の改正、再委託先の変更等に応じて、本契約を改定することがあります。改定の手続については、 利用規約 第15条 に準じます。

第12条(残存条項)

本契約の終了後も、第3条第2号(目的外利用の禁止)、第5条(漏えい等発生時の通知)、第9条(契約終了時の取扱い)、第10条(損害賠償)及び本条の規定は、なお有効とします。

別紙1: 安全管理措置の概要

1. 組織的安全管理措置

  • 個人情報保護管理者の選任
  • 個人情報の取扱い規程・運用ルールの整備
  • 個人情報の取扱い状況に関する点検及び監査
  • 漏えい等事案への対応に関する手順整備

2. 人的安全管理措置

  • 役職員に対する個人情報保護教育・研修
  • 誓約書の取得

3. 物理的安全管理措置

  • 個人情報を取り扱う区域(委託先施設依存)への入退室管理
  • 個人情報を含む機器・電子媒体の盗難・紛失防止

4. 技術的安全管理措置

  • アクセス権限の最小化(ロール毎の権限分離)
  • パスワードのハッシュ化保存(bcrypt)
  • 通信の暗号化(TLS 1.2 以上)
  • 監査ログの取得・保存
  • 不正アクセスの検知・防御(WAF 等)
  • 定期的なセキュリティ監査・脆弱性診断

別紙2: 再委託先一覧

再委託先所在国委託業務
Cloudflare, Inc.米国サーバインフラ・データベース(D1/R2/KV)・CDN・WAF
Twilio Inc.(SendGrid)米国予約確認・通知メールの送信
Stripe, Inc.米国決済処理(クレジットカード情報の取得・処理は Stripe が直接実施)
Google LLC米国地図表示・距離計算 API
Anthropic, PBC米国管理画面 AI アシスタント (NOX) の自然言語応答処理。オペレーター入力テキストおよび API 経由で取得したサマリデータが送信される。Anthropic の API 利用規約に基づき送信内容は AI モデルの学習に使用されない(既定設定)

改定履歴

  • 2026-05-01: 初版公開(暫定版 — 法律顧問確認前)。