データ処理補則規約

最終更新日：2026年5月1日

このデータ処理補則規約（以下「本DPA」）は、お客様によるサービスの利用を規定する両当事者間のPlaudビジネスサービス規約その他のPlaud及びお客様が締結した契約（以下「本契約」と総称します。）に組み込まれ、その一部を構成します。本DPAの条件と本契約との間に矛盾がある場合、その対象事項に関しては本DPAの条件が優先します。本DPAで使用される用語は、特に断らない限り、本契約に規定された意味を有します。

1. 定義

「適用データ保護法」とは、（a）EU一般データ保護規則（規則（EU）2016/679）（「GDPR」）、（b）英国GDPRおよび2018年データ保護法、（c）スイス新連邦データ保護法（nFADP）、（d）CCPAおよびその類似の州法を含む適用される米国州プライバシー法、ならびに（e）日本の個人情報の保護に関する法律（平成15年5月30日号外法律第57号）（その後の改正を含む。）（以下「APPI」といいます。）を含む、対象サービスに適用されるすべての適用されるデータ保護およびプライバシー法をいい、それぞれ随時改正されるものを含みます。

「お客様個人データ」とは、お客様またはお客様関連会社によって、またはその代理人から、対象サービスを通じて提出されたお客様データに含まれる個人データをいいます。

「お客様関連会社」とは、（a）Plaudおよびお客様間の本契約に基づき対象サービスを利用することが許可されており、かつ（b）お客様を直接または間接的に支配し、支配され、または共同支配下に置かれる法人・組織等をいい、「支配」とは対象法人・組織等の議決権の50%超の保有を意味します。

「データ主体要求」とは、お客様個人データに関して適用データ保護法の下で利用可能な権利（例えば、アクセス、訂正、削除、ポータビリティ、または制限）を行使する個人からの要求をいいます。

「SCC」とは、GDPRに基づく第三国への個人データの移転に関する標準契約条項に関する2021年6月4日付欧州委員会実施決定（EU）2021/914に附属する標準契約条項をいいます。

「セキュリティインシデント」とは、お客様個人データの偶発的または違法な破壊、損失、改ざん、無許可の開示、または無許可のアクセスをもたらすPlaudのセキュリティ対策の侵害として確認されたものをいいます。

「副処理者」とは、サービスの提供に関連してお客様個人データを処理するためにPlaud（またはPlaudの関連会社）が委託した第三者をいいます。

「UK追加条項」とは、2018年データ保護法第119A条（1）に基づき英国情報コミッショナー事務局が発行したEU委員会標準契約条項への国際データ移転追加条項をいいます。

「個人データ」、「データ主体」、「処理」、「管理者」および「処理者」という用語は、適用データ保護法により定義された意味を有し、当該定義がない場合はGDPRにより定義された意味を有します。「管理者」および「処理者」という用語は、適用データ保護法が求める場合に、それぞれ「事業者」および「サービスプロバイダー」を含みます。また、適用データ保護法がAPPIである場合、「データ主体」を「本人」と、「管理者」または「事業者」を「個人情報取扱事業者」と、それぞれ読み替えるものとします。

2. 役割および範囲

2.1 役割。 お客様個人データに関して、お客様は、管理者（または事業者）として行動し、Plaudは、お客様に代わって処理者（またはサービスプロバイダー）として行動します。各当事者は、適用データ保護法の下でのそれぞれの義務を遵守します。

2.2 目的および指示。 Plaudは、お客様個人データを以下の目的のためにのみ処理します。（a）サービスの提供、維持、およびサポート、（b）適用法の遵守、（c）サービスのセキュリティおよび完全性の保護、ならびに（d）書面で相互に合意されたその他のお客様の文書化された指示に従うこと。本契約および本DPAは、発効日時点でのお客様の文書化された指示を構成します。お客様によるお客様個人データの処理に関する指示がPlaudの合理的な見解において適用データ保護法に違反すると判断される場合、Plaudは、速やかにお客様に通知します。

2.3 トレーニングへの不使用。 本契約第4.4条と一致して、Plaudは、お客様が別途書面で同意した場合を除き、PlaudまたはPlaudの副処理者の汎用AIモデルのトレーニングまたは改善にお客様個人データを使用しません。

3. Plaudの義務

3.1 処理の機密性。 Plaudは、お客様個人データの処理を許可されたすべての担当者が適切な機密保持義務に拘束され、かつ自己の役割に適用されるデータ保護要件について訓練を受けていることを確保します。

3.2 通知。 Plaudは、本DPAに基づく義務を遵守できなくなったと判断した場合、速やかにお客様に通知し、お客様は、不正な処理を停止または是正するための合理的な措置を講じることができます。

3.3 副処理者。 お客様は、Plaudに対し、本条に従って更新されるhttps://www.plaud.ai/pages/trust/ に掲載された副処理者リスト（以下「副処理者リスト」）に記載された副処理者を利用することを一般的に承認します。Plaudは、お客様個人データを処理する新しい副処理者を委託する前に、お客様に対し、少なくとも30日前の書面による事前通知を行います。お客様は、合理的なデータ保護上の理由に基づき、当該通知の受領後15日以内に、当該副処理者への委託について異議を申し立てることができます。商業上実行可能な代替手段がなく、異議が未解決の場合、お客様は、原因を理由に影響を受けるサービスを解約し、前払い済みの未使用料金の日割り返金を受けることができます。当該解約権は、新しい副処理者への委託についての異議申立てに関するお客様の唯一の救済手段です。
Plaudは、各副処理者に本DPAと同等以上に保護的なデータ保護義務を課し、Plaudが直接サービスを提供したのと同等の範囲で各副処理者のコンプライアンスについて責任を負います。

3.4 データ主体の権利。 Plaudは、お客様がデータ主体要求に対応し、適用データ保護法により要求される場合にはデータ保護影響評価および関連する監督当局への協議を行うための合理的な技術的・組織的支援を提供します。

3.5 セキュリティ。 Plaudは、スケジュール2に記載された技術的・組織的セキュリティ措置を実施・維持し、お客様個人データを不正アクセス、破壊、損失、改ざん、または開示から保護するよう設計します。Plaudは、当該措置の更新が全体的な保護レベルを実質的に低下させない限り、当該措置を更新することができます。

4. お客様の義務

4.1 適法な根拠および同意。 お客様は、お客様個人データを対象サービスにおいて提出し、かつ本DPAに記載されたとおりPlaudがこれを処理することを承認するために適用データ保護法の下で必要なすべての権利、同意、通知、および承認を有することを表明および保証します。上記を制限することなく、お客様は、対象サービスまたはPlaudデバイスを通じて音声または個人データが取得された個人から必要なすべての録音同意を取得し、必要な通知を行う責任を単独で負います。

4.2 設定。 お客様は、法的義務に一致した方法で対象サービスを設定する責任を負います。お客様は、安全でないチャネルを通じて、またはテクニカルサポートチケットにおいて、お客様個人データを提出しません。

4.3 協力。 お客様は、お客様個人データに関する適用データ保護法の下での義務を履行するために、Plaudを支援するために合理的に協力します。

5. セキュリティインシデント

5.1 通知。 Plaudは、セキュリティインシデントを認識した後、遅滞なく、かついかなる場合も72時間以内に、書面によりお客様に通知します。この通知は、過失または責任の承認を構成しません。

5.2 内容。 情報が入手可能な範囲で、通知には以下が含まれます。（a）セキュリティインシデントの性質、および可能な場合は影響を受けるデータ主体のカテゴリーおよびおおよその数、（b）生じる可能性の高い結果、ならびに（c）インシデントに対処するために取られた、または提案された措置。Plaudは、これらの情報の詳細が判明次第、追加情報を提供します。

5.3 協力。 Plaudは、お客様の調査に協力し、セキュリティインシデントを緩和し、適用データ保護法の下でのお客様のコンプライアンスを支援するためにお客様が指示する合理的な措置を講じます。

6. 監査およびコンプライアンス

6.1 認証。 Plaudは、独立した第三者監査人によって、認められたセキュリティ基準（例：SOC 2 Type II）に対して少なくとも年1回監査を受けます。お客様の書面による要求（適用データ保護法により要求される場合またはセキュリティインシデントへの対応の場合を除き、12ヶ月期間につき1回以下）に応じて、Plaudは、最新の適用可能な監査報告書または認証を提供します。現在の認証はhttps://www.plaud.ai/pages/trust/ で入手できます。

6.2 お客様監査。 お客様は、書面による要求および合理的な事前通知（30日以上）の上で、以下を条件として本DPAへのPlaudのコンプライアンスの監査を実施または委託することができます。（a）範囲、タイミング、および適用される機密管理に関する相互合意、（b）業務時間中に最小限の業務中断で行われる監査、および（c）お客様による関連費用のすべての負担。監査結果は、両当事者の機密情報であり、本DPAへのコンプライアンスの確認のためにのみ使用できます。

7. データの返還および削除

7.1 返還および削除。 本契約の終了または満了後、Plaudは、お客様の指示に従い、既存のすべてのコピーを含むすべてのお客様個人データを返還または削除します。

7.2 例外。 Plaudは、適用データ保護法またはその他の法的義務により要求される場合、両当事者間の紛争を解決するため、または対象サービスの有害または詐欺的な使用を防止するためにのみ、第7.1条の期間を超えてお客様個人データを保持することができます。保持されたデータは引き続き本DPAの対象となります。

8. 国際データ移転

8.1 一般。 お客様は、Plaudおよびその副処理者がPlaudまたはその副処理者が事業を行う米国およびその他の国でお客様個人データを処理する場合があることを認めます。Plaudは、適切な移転メカニズムの実施を含め、当該すべての移転が適用データ保護法に準拠することを確保します。

8.2 EU/EEA移転。 EEAからPlaudへのお客様個人データの移転にGDPRに基づく移転メカニズムが必要な範囲で、SCCのモジュール2（管理者から処理者）が参照によって本DPAに組み込まれ、お客様をデータ輸出者、Plaudをデータ輸入者として、両当事者によって締結されたものとみなされます。SCCはスケジュール3（A）に規定されたとおりに設定されます。

8.3 UK移転。 移転が英国データ保護法の対象となる範囲で、スケジュール3（B）に規定されたUK追加条項が参照によって組み込まれ、両当事者によって締結されたものとみなされます。

8.4 スイス移転。 移転がスイスデータ保護法（nFADP）の対象となる範囲で、スケジュール3（C）に規定されたスイス追加条項が参照によって組み込まれ、両当事者によって締結されたものとみなされます。

8.5 優先順位。 適用される移転メカニズム（SCC、UK追加条項、またはスイス追加条項）、本DPA、および本契約の間に矛盾がある場合、適用される移転メカニズムが優先され、次いで本DPAが優先されます。

9. 米国州プライバシー法

米国州プライバシー法（CCPAを含む）が適用される範囲で、Plaudは「サービスプロバイダー」または「処理者」として行動し、以下のことを行うと証明します：

本DPAおよび本契約に記載されたビジネス目的のためにのみお客様個人データを処理すること
お客様個人データを（CCPAが定義する意味で）「販売」または「共有」しないこと
法律により要求される場合を除き、両当事者間の直接のビジネス関係の範囲外でお客様個人データを保持、使用、または開示しないこと
適用法によって許容される場合またはお客様が指示する場合を除き、お客様個人データを他のソースからの個人データと組み合わせないこと
Plaudの処理が適用法の下でのお客様の義務と一致していることを確保するための合理的な措置をお客様が取る権利を提供すること
Plaudが本第9条を遵守できなくなったと判断した場合、速やかにお客様に通知すること

10. 期間および修正

10.1 期間。 本DPAは、本契約の期間中有効であり、Plaudが第7条に基づく削除義務を完了するまで終了後も存続します。

10.2 修正。 Plaudは、適用データ保護法の変更または拘束力のある規制上のガイダンスにより要求される場合、合理的な事前書面通知をもって本DPAを修正することができます。お客様の権利を実質的に低下させる重要な修正については、お客様は、当該通知から15日以内に異議を申し立てることができます。30日以内に解決されない場合、いずれかの当事者は30日間の書面による通知をもって本契約を終了することができます。

スケジュール1　処理の詳細

A. 当事者

データ輸出者： お客様および/またはお客様関連会社。連絡先の詳細は注文書に規定されたとおり。

データ輸入者： Plaud, Inc.、8 The Green, Ste A, Dover, Delaware 19901。データ保護連絡先：privacy@plaud.ai。

B. 処理の説明

データ主体のカテゴリー。（a）認定ユーザー、（b）対象サービスにおいて提出された音声録音またはその他のお客様データに個人データが取得された第三者の個人（例：会議参加者、お客様、同僚）。

個人データのカテゴリー。 お客様が決定します。以下を含む場合があります。

連絡先データ（氏名、メールアドレス）
Plaudデバイス（例：NotePin、Note）を介して取得された、またはお客様がアップロードした音声録音および音声データ
派生データ：AIによって生成された文字起こし、会議の要約、アクションアイテム
会議メタデータ（日時、時間、参加者）
デバイスおよびアカウント利用データ
サービスに提出されたお客様データに含まれるその他の個人データ

特別カテゴリー。 音声録音および文字起こしは、特別カテゴリーデータ（例えば、健康情報または政治的意見）を付随的に含む場合があります。お客様は当該データの処理に対する適法な根拠の確保について単独で責任を負います。

期間。 お客様による対象サービスの設定と利用によって決定される、本契約の期間中において継続的な処理を行います。

性質および目的。 AIによる文字起こし、要約、および関連サービスの提供。なお、処理活動には、対象サービスの提供に必要なお客様個人データの収集、保存、文字起こし、要約、および削除が含まれます。

C. 管轄監督当局

データ輸出者がEU加盟国に設立されている場合、当該加盟国の監督当局。データ輸出者がEUに設立されていないがGDPRの領域的適用範囲に含まれる場合、アイルランドデータ保護委員会。

スケジュール2　技術的・組織的セキュリティ措置

Plaudは、お客様個人データを不正アクセス、破壊、損失、改ざん、または開示から保護するよう設計された書面による情報セキュリティプログラムを維持しています。Plaudは当該措置の更新が全体的な保護を実質的に低下させない限り、当該措置を更新することができます。現在の認証および追加情報はhttps://www.plaud.ai/pages/trust/ で入手できます。

スケジュール3　国際データ移転メカニズム

A. EU標準契約条項（モジュール2：管理者から処理者）

EU SCCは参照によって組み込まれ、以下の選択をもって両当事者によって締結されたものとみなされます：
第7条（ドッキング条項）： 適用しない。
第9条（副処理者）： オプション2（一般書面承認）；通知期間は第3.3条に従う。
第11条（救済）： 任意の独立した救済文言は適用しない。
第17条（準拠法）： オプション1（アイルランド共和国法）。
第18条（フォーラム）： アイルランド共和国の裁判所。
附属書I.A（当事者）： スケジュール1、セクションA。
附属書I.B（移転の説明）： スケジュール1、セクションB。
附属書I.C（監督当局）： スケジュール1、セクションC。
附属書II（TOM）： スケジュール2。
附属書III（副処理者）： https://www.plaud.ai/pages/trust/。

B. UK追加条項

UK追加条項（バージョンB.1.0）は参照によって組み込まれ、両当事者によって締結されたものとみなされます。選択されたSCCはスケジュール3（A）のものです。表4について、Plaud（データ輸入者として）は承認されたEU SCCが変更された時点でUK追加条項を終了することができます。

C. スイス追加条項

専らスイスデータ保護法（nFADP）の対象となる移転については、スケジュール3（A）のSCCが以下のとおり修正されます。GDPRおよびEU/EEAへの言及はスイスデータ保護法およびスイスへの言及に置き換えられ、管轄監督当局は連邦データ保護情報コミッショナー（FDPIC）となり、準拠法はスイス法となり、紛争はスイスの裁判所で解決されます。移転がスイス法およびGDPRの両方の対象となる場合、両方の一連の規則が適用されます。