データ処理契約

最終更新日:2026年2月

本データ処理契約(以下「DPA」)は、ClearBounceとお客様(以下「顧客」)との間の利用規約の一部を構成します。お客様がメール検証サービスをご利用になる際に、当社がお客様に代わって個人データを処理する方法について、GDPR(EU 2016/679)およびその他の適用されるデータ保護法に準拠して説明するものです。

1. 定義

  • 管理者:個人データの処理の目的および手段を決定する顧客であるお客様
  • 処理者:管理者に代わって個人データを処理するClearBounce
  • 個人データ:識別された、または識別可能な自然人に関するあらゆるデータ
  • 処理:個人データに対して実行されるあらゆる操作(収集、保存、使用、削除等)
  • 復処理者:ClearBounceが個人データの処理のために委託する第三者
  • データ主体:個人データが処理される対象となる個人

2. 処理の範囲および目的

ClearBounceは、顧客にメール検証サービスを提供する目的でのみ個人データを処理します。これには以下が含まれます:

  • 顧客が提供するメールアドレスの配信可能性の検証
  • 検証レポートおよび結果の生成
  • 顧客のアカウントの検証履歴の保持

処理される個人データの種類:

  • 検証のために送信されたメールアドレス
  • 検証結果(配信可能、配信不可、リスクあり、不明)
  • APIアクセスに使用されるIPアドレス
  • アカウント情報(氏名、メールアドレス、会社名)

データ主体のカテゴリー:

  • 顧客によって検証のためにメールアドレスが送信された個人
  • 顧客のアカウントユーザーおよび管理者

3. 処理者の義務

ClearBounceは以下を行うものとします:

  • 顧客からの文書化された指示に基づいてのみ個人データを処理すること
  • 個人データの処理を許可された者が守秘義務を負うことを確保すること
  • 適切な技術的および組織的セキュリティ対策を実施すること
  • 顧客からの事前の書面による承認なしに他の処理者を関与させないこと
  • データ主体のリクエスト(アクセス、訂正、消去、ポータビリティ)への対応において顧客を支援すること
  • サービスの終了時に、法律により保持が義務付けられている場合を除き、すべての個人データを削除または返還すること
  • GDPR義務の遵守を証明するために必要なすべての情報を提供すること
  • 指示がGDPRまたはその他のデータ保護法に違反する場合は、直ちに顧客に通知すること

4. セキュリティ対策

ClearBounceは、個人データを保護するために以下の技術的および組織的対策を実施しています:

暗号化:

  • 転送中のすべてのデータはTLS 1.3を使用して暗号化されます
  • 保存データはAES-256を使用して暗号化されます
  • API通信にはHTTPSが必要です

アクセス制御:

  • すべてのシステムにおけるロールベースのアクセス制御
  • 管理者アクセスの多要素認証
  • キーごとの権限を持つAPIキー認証

データ最小化:

  • メールリストおよび検証結果は60日後に自動的に削除されます
  • 一括検証ジョブデータは60日後に自動的に消去されます
  • サービスに必要なデータのみが収集および処理されます

5. 復処理者

ClearBounceはサービスの提供のために以下の復処理者を使用しています:

Hostinger International Ltd.

  • 目的:サーバーホスティングおよびインフラストラクチャ
  • 所在地:リトアニア(EU)/ グローバルデータセンター
  • 処理されるデータ:すべてのサービスデータ

Paddle.com Market Ltd.

  • 目的:決済処理および請求
  • 所在地:英国
  • 処理されるデータ:請求情報、支払い詳細

顧客は上記の復処理者の関与に同意するものとします。ClearBounceは、復処理者の変更予定がある場合は顧客に通知し、顧客に異議を申し立てる機会を提供します。

6. データ侵害通知

個人データの侵害が発生した場合、ClearBounceは以下を行うものとします:

  • 侵害を認識してから不当な遅延なく、遅くとも72時間以内に顧客に通知すること
  • 影響を受けるデータ主体のカテゴリーおよびおおよその数を含む、侵害の性質を提供すること
  • 詳細情報の連絡先を提供すること
  • 侵害の可能性のある影響を説明すること
  • 侵害に対処するために講じた、または講じることを提案する措置を説明すること
  • 監督当局および影響を受けるデータ主体への通知義務の履行において顧客に協力すること
  • 事実、影響、および講じた是正措置を含む、すべての個人データ侵害を文書化すること

7. データ保持および削除

自動削除:

  • メールリストおよび検証結果:作成から60日後に自動的に削除されます
  • 一括検証ジョブデータ:完了から60日後に自動的に削除されます
  • セッショントークン:30日間の非アクティブ状態の後に期限切れとなり削除されます

アカウント削除時:

  • すべての個人データは、カスケードデータベース削除により完全に削除されます
  • これには、検証履歴、一括ジョブ、APIキー、クレジット取引、およびすべてのアカウントデータが含まれます
  • 削除は即時かつ不可逆的に行われます

保持の例外:

  • 支払いおよび財務記録は、税務および会計規制に準拠するため最大5年間保持される場合があります
  • 適用される法律または規制により求められる場合、データが保持される場合があります

データエクスポート:

顧客はアカウント設定を通じて、いつでもJSON形式ですべてのデータをエクスポートできます。

8. 国際データ移転

ClearBounceの主要なインフラストラクチャは欧州リージョンでホストされています。個人データが欧州経済領域(EEA)外に移転される場合、ClearBounceは以下を含む適切な保護措置が講じられていることを確認します:

  • 欧州委員会が承認した標準契約条項(SCC)
  • 該当する場合の十分性認定
  • 移転中のデータを保護するための暗号化などの技術的措置

顧客は、メール検証の性質上、世界中のメールサーバーとの通信が必要であり、EEA外でメールアドレスの一時的な処理が発生する可能性があることを認識するものとします。

9. データ主体の権利

ClearBounceは、以下を含むデータ主体のリクエストへの対応義務の履行において顧客を支援するものとします:

  • アクセス権:リクエストに応じて個人データの写しを提供すること
  • 訂正権:不正確な個人データを修正すること
  • 消去権:個人データを削除すること(「忘れられる権利」)
  • 制限権:個人データの処理を制限すること
  • データポータビリティ権:構造化された機械可読形式でデータを提供すること
  • 異議申立権:データ主体が異議を申し立てた場合に処理を停止すること

ClearBounceは、顧客のアカウント設定を通じて、アカウント削除およびデータエクスポートのセルフサービスツールを提供しています。

10. 期間および終了

本DPAは、顧客がClearBounceのサービスを利用する期間中、有効に存続するものとします。

終了時:

  • ClearBounceは、法律により保持が義務付けられている場合を除き、60日以内にすべての個人データを削除します
  • 顧客はアカウント設定を通じて即時削除をリクエストできます
  • 顧客はアカウント閉鎖前にデータをエクスポートできます

準拠法:本DPAは、GDPRの強行規定を害することなく、トルコ共和国の法律に準拠します。

お問い合わせ:本DPAに関するご質問またはデータ保護の権利を行使する場合は、support@clearbounce.net までご連絡ください。