ホームへ戻る

データ処理補足合意(DPA)

バージョン 1.1.1
発効日: 2026年4月24日

データ処理補足合意(DPA:Data Processing Agreement)

本データ処理補足合意(以下「本DPA」といいます)は、株式会社 リバーランズ・コンサルティング(以下「当社」といいます)が提供する現場管理サービス「GenbaFlow」(以下「本サービス」といいます)の利用に関して、当社と顧客(以下「契約者」といいます)との間で締結される「GenbaFlow 契約約款」(以下「原契約」といいます)の付随合意として、個人データの処理に関する条件を定めるものです。

第1条(目的と定義)

  1. 本DPAは、本サービスの提供にあたり、当社が契約者から委託を受けて「個人データ」(個人情報の保護に関する法律に定義されるものを指します)を処理する際の、データ保護に関する義務を定めることを目的とします。
  2. 本DPAにおいて、契約者は「個人データ管理者」に、当社は「個人データ処理者(受託者)」に相当します。
  3. 本DPAにおいて「利用者」とは、契約者が本サービスへのアクセスを認めた、管理者および報告者(作業員等)を指します。

第2条(処理の範囲と指示)

  1. 当社は、原契約に基づく本サービスの提供(工程管理、実績報告、端末識別、分析等)のために必要な範囲内で、契約者から委託された個人データ(氏名、個人ID、UUID、利用ログ等)を処理します。
  2. 当社は、契約者の合理的な指示がある場合、または法令により義務付けられている場合を除き、委託された目的外の処理を行いません。
  3. 当社は、契約者の指示が法令に違反すると判断した場合、または技術的に実行不可能な場合、その実行を拒否できるものとし、これにより生じた損害について責任を負いません。

第3条(安全管理措置)

当社は、個人データの安全性を確保するため、以下の適切な措置を講じます。

  • 物理的・技術的安全管理: 本サービスのサーバーホスティングとしてさくらインターネット株式会社の国内データセンターを利用し、暗号化通信(SSL/TLS)、および端末識別子(UUID)を用いた認証保護を実施します。
  • 多要素認証(MFA): 管理者アカウントに対して、パスワードに加えてスマートフォン等を用いた多要素認証(MFA)の利用を提供し、なりすましによる不正アクセスを防止します。
  • 不正アクセスの自動遮断: 短時間に大量のログイン試行が検出された場合、該当するアクセス元を自動的に遮断する仕組みを導入しています。
  • 操作履歴の記録: システムへのアクセスおよびデータ操作の履歴を記録・保持します。万が一の際の原因追跡および内部不正の抑止に活用します。なお、運用・保守担当者が参照するログファイルおよびシステム出力には、メールアドレス・電話番号等の個人情報が自動的にマスク処理されるよう設計しており、運用業務上の理由からログを参照する際にも個人情報が閲覧できない仕組みを導入しています。
  • リスク管理: 情報セキュリティに関するリスクの評価と対策を、国際規格 ISO/IEC 27005 の考え方を参考に継続的に実施しています。なお、同規格の認証取得はしておりませんが、その手順に基づき、定期的な見直しと改善を行っています。
  • 組織的・人的安全管理: 従業員に対する教育、アクセス権限の最小化、および守秘義務の徹底。
  • 責任の限定: 契約者側での管理不備(ID・パスワードの流出、または承認済み端末の紛失・共有)に起因するデータ漏洩については、当社は一切の責任を負いません。

第4条(再委託)

  1. 契約者は、当社が本サービスのインフラ提供および決済等の目的で、以下の第三者(以下「再受託者」といいます)を利用することをあらかじめ承諾します。

    • 再受託者: さくらインターネット株式会社(インフラ提供)
    • 所在国: 日本
    • 再受託者: ストライプジャパン株式会社(stripe.comによる決済機能)
    • 所在国: 本社:米国

  2. 当社が再受託者の追加または変更を行う場合、当社は本サービスサイト上への掲載または電子メールにより契約者に通知します。通知後14日以内に契約者から合理的な異議申し立てがない場合、当該変更は承諾されたものとみなします。

第5条(データ主体の権利への協力)

個人データの本人(従業員等)から、開示、訂正、または利用停止等の請求があった場合、当社は速やかに契約者に通知し、契約者が法的な義務を果たすために必要な範囲で協力します。

第6条(漏洩時の通知)

当社は、個人データの漏洩等が発生した、あるいは発生した恐れがあることを認識した場合、合理的に可能な限り速やかに(原則として3営業日以内を目標として)契約者に通知し、被害拡大の防止に必要な措置を講じます。

第7条(監査)

  1. 契約者が、当社における個人データの処理状況について監査を希望する場合、当社は合理的な範囲で情報提供を行います。
  2. 実地監査については、当社が合意した場合に限るものとし、その費用(対応するエンジニアの工数等を含む)はすべて契約者の負担とします。

第8条(データの削除)

本サービスの利用契約が終了した場合、当社は原契約および当社ポリシーに従い、一定期間経過後に個人データをサーバーから安全な方法で削除します。ただし、法令により保存が義務付けられているデータはこの限りではありません。

第9条(損害賠償の上限)

本DPAに関連して当社が負う損害賠償責任は、態様の如何を問わず、原契約(GenbaFlow 契約約款)において定められた損害賠償の上限額(損害発生日から遡って直近6か月間に支払われた対価の総額)を超えないものとします。

附則

バージョン 発効日 主な変更点
1.0.0 2026年3月2日 制定
1.1.0 2026年4月24日 第3条に多要素認証(MFA)・不正アクセス自動遮断・操作履歴記録・リスク管理手法を追記
1.1.1 2026年4月24日 第3条「操作履歴の記録」にログの個人情報マスク処理を追記

本DPAの現行バージョン(1.1.1)は、2026年4月24日より施行します。

本DPAは、GenbaFlowサービス利用規約の一部を構成し、利用者が本サービスに個人データを委託する場合に適用されます。 ログイン後の管理画面より、この最新バージョンへの同意状況を確認・記録することができます。

ログインして同意状況を確認する