データ処理特約

バージョン 1.0
施行日: 2026-XX-XX

データ処理特約

本データ処理特約(以下「本DPA」といいます。)は、株式会社dive(以下「当社」といいます。)と利用者との間で、Luminous利用規約、個別条件その他当社と利用者との間で成立する本サービスの利用契約(以下「原契約」といいます。)に基づき、当社が取り扱う委託処理データの処理条件を定めるものです。

第1条(目的および適用関係)

  1. 本DPAは、当社が利用者から委託を受けて処理する委託処理データの取扱いに関する条件を定めることを目的とします。
  2. 本DPAは、原契約の一部を構成し、原契約と一体として適用されます。
  3. 原契約と本DPAの内容が抵触する場合、委託処理データの取扱いについては本DPAが優先します。

第2条(当事者の地位)

  1. 利用者は、委託処理データの取得、提供および利用について法令上の責任主体となります。
  2. 当社は、委託処理データについて、利用者から委託を受けて処理する受託者として、本DPAおよび原契約に従いこれを取り扱います。
  3. 当社が自己の責任で取得し管理する自社取得情報については、原契約および当社のプライバシーポリシーに従い、当社が自己の責任で取り扱うものとします。

第3条(処理の対象、目的、期間)

  1. 当社が処理する対象データは、入力データ、生成データ、これらに付随するメタデータ、委託処理データに該当する操作履歴その他原契約に定める委託処理データとします。
  2. 当社が処理する個人データの主体には、利用者の患者、録音対象者、利用担当者その他入力データまたは生成データに含まれる個人が含まれる場合があります。
  3. 当社による処理の目的は、本サービスの提供、維持、運営、保守、障害対応、サポート対応その他原契約に付随する業務の遂行に限られます。
  4. 当社による処理の期間は、原契約の有効期間中および原契約または本DPAに定める保存・削除期間中とします。

第4条(利用者の指示および適法性)

  1. 当社は、原契約、本DPAおよび利用者の適法な指示に従って委託処理データを処理します。
  2. 利用者は、委託処理データの取得、提供および当社への委託が適法であることを保証し、必要な同意その他の適法な取得・提供根拠を自らの責任で確保するものとします。
  3. 当社は、利用者の指示が法令に違反すると合理的に判断した場合、その旨を利用者に通知し、必要に応じて処理の全部または一部を留保することができます。

第5条(安全管理措置)

  1. 当社は、委託処理データの漏えい、滅失、毀損、不正アクセスその他の事故を防止するため、組織的、人的、物理的および技術的安全管理措置を講じます。
  2. 前項の安全管理措置には、委託処理データへのアクセス制御、権限管理、認証、通信の保護および当社が保存する範囲における保存データの保護、ログの取得および保全、バックアップおよび復旧、委託先管理、脆弱性または変更管理、インシデント対応ならびに不要となった委託処理データの削除に関する措置その他委託処理データの性質および取扱いの態様に応じて合理的に必要な措置を含むものとします。当社は、利用者から合理的に求められた場合、機密保持に支障のない範囲で、これらの安全管理措置の概要を説明するものとします。
  3. 当社は、当社の役職員に対し、委託処理データへのアクセスを業務上必要な最小限の範囲に限定し、秘密保持義務を課すものとします。

第6条(再委託)

  1. 当社は、本サービスの提供に必要な範囲で、委託処理データの取扱いを第三者に再委託することができます。
  2. 当社は、委託処理データにアクセスし得る再委託先を選定するにあたり、合理的な範囲で、その安全管理体制、秘密保持、委託目的外利用の制限その他必要な事項を確認するものとします。
  3. 当社は、再委託先に対し、原契約および本DPAの趣旨に沿った義務を課し、合理的な範囲でこれを監督します。
  4. 当社は、委託処理データにアクセスし得る再委託先またはAI基盤の新規利用または重要な変更を行う場合、事前に、その名称または類型、所在地、業務の概要およびアクセス有無を、電子メール、管理画面表示、当社ウェブサイトへの掲載その他の適切な方法により通知し、または利用者が知り得る状態に置くものとします。
  5. 当社は、利用者から合理的に求められた場合、当該時点における前項の再委託先またはAI基盤に関する情報を、機密保持に支障のない範囲で開示するものとします。

第7条(国外移転)

  1. 当社は、委託処理データの処理を日本国内で行うことを原則とします。
  2. 現時点において、委託処理データについて、外国に所在するクラウド事業者、AI基盤、保守要員またはサポート要員によるアクセスは予定していません。
  3. 将来、例外的に外国における処理または外国からのアクセスが必要となる場合、当社は、事前に、対象国、委託先またはサービス提供者の名称または類型、アクセスの有無、取り扱うデータ項目の概要および講ずる保護措置の概要を、電子メール、管理画面表示、当社ウェブサイトへの掲載その他の電磁的方法により通知し、または利用者が知り得る状態に置くものとします。
  4. 当社は、前項に関し、適用法令上合理的に必要となる範囲で、利用者による説明、通知または報告に協力するものとします。

第8条(インシデント対応)

  1. 当社は、委託処理データに関する漏えい、滅失、毀損、不正アクセス、誤送信、ランサムウェア感染その他のセキュリティインシデントを認識した場合、利用者に対し、合理的な範囲で必要な初動対応を行うとともに、遅くとも当該認識から48時間以内に初報を行うものとします。
  2. 初報には、少なくとも発生日または発生を認識した日時および影響範囲の概要を含めるものとします。
  3. 当社は、原因、暫定対応、再発防止策その他の追加情報が判明し次第、利用者に対し継続して報告するものとします。
  4. 当社は、当該インシデントに関するログ、証跡その他必要な情報を保全し、利用者による本人通知、行政報告、調査対応その他合理的に必要な対応に協力するものとします。

第9条(目的外利用の禁止および学習利用の制限)

  1. 当社は、委託処理データを、本サービスの提供およびこれに付随する業務以外の目的で利用しません。
  2. 当社は、利用者の事前の個別同意なく、委託処理データを、機械学習モデル、生成AIモデルその他のモデルの学習、再学習、評価、改善その他これらに類する目的に利用しません。匿名化または統計化した情報についても同様とします。
  3. 当社は、再委託先またはクラウド事業者の選定にあたり、当社が合理的に管理可能な範囲で、委託処理データが当該事業者自身の学習、再学習または改善に利用されないサービス、設定または契約条件の採用に努めます。

第10条(情報提供および監査対応)

  1. 当社は、利用者から合理的に求められた場合、機密保持に支障のない範囲で、委託処理データの取扱いおよび安全管理措置に関する情報を提供するものとします。情報提供の方法は、書面、電磁的方法、質問票回答、オンライン説明その他合理的な方法によるものとします。
  2. 利用者が追加確認を求める場合、当社は、当社の業務運営に過度の支障を及ぼさない範囲で、合理的にこれに協力するものとします。現地訪問その他当社施設への立入りを伴う確認は、重大なセキュリティインシデントが発生した場合その他合理的な必要性がある場合に限り、事前協議のうえ実施するものとします。
  3. 前項の対応にあたり、当社は、第三者認証、監査報告書、質問票回答、説明資料その他当社が保有し、または合理的に作成可能な資料の提供をもって足りるとすることができます。

第11条(返還、削除および保存)

  1. 原契約が終了した場合、当社は、原契約に定める期間および条件に従い、利用者に対し、委託処理データのエクスポート機会を付与するものとします。
  2. 前項の期間経過後、当社は、法令上保存が必要な情報を除き、委託処理データを削除するものとします。
  3. 削除方法、バックアップ上の残存および削除完了証明の取扱いについては、原契約のうち利用規約第12条に定めるところによるものとします。

第12条(責任)

  1. 本DPAに基づく責任については、原契約第21条の定めに従うものとします。
  2. 本DPAは、原契約に基づく当社の責任を当然に拡張するものではありません。ただし、原契約に別段の定めがある場合はその定めに従います。

本DPAは、2026年3月7日から効力を生じます。