データ取扱契約(DPA) · PatentOS
法務 · DPA

データ取扱契約。

本データ取扱契約 (DPA) は、株式会社IPリッチ(処理者)とお客様(管理者)との間の PatentOS 利用契約の一部を構成し、お客様の代理として行う個人データ処理を規律します。

施行日: 2026年5月1日 バージョン: 1.0 適用範囲: PatentOS 顧客テナント

1. 役割

お客様は、PatentOS テナントにアップロードされる、または生成される個人データの管理者です。当社は処理者です。お客様の上位顧客が元来の管理者である場合は、お客様が処理者、当社が再処理者となり、本 DPA の原則はそのまま流通します。

2. 処理の範囲

対象
PatentOS プラットフォームの提供および任意の登録弁理士レビュー。
期間
契約期間、および第8条に定める削除期間。
処理の性質・目的
保管、解析、機械学習推論(学習ではない)、特許知財関連成果物の生成。
対象データ主体
お客様の従業員、特許明細書上の発明者・出願人、疑義侵害当事者、お客様が提供する証拠中に登場する個人。
個人データの種類
氏名、業務上の連絡先、明細書から把握される職歴、お客様がアップロードを選択した個人データ。

3. 処理の指示

当社は、契約、注文書、プラットフォーム上の操作指示など、お客様からの文書化された指示にのみ従って個人データを処理します。指示が適用データ保護法に違反するおそれがあると判断した場合は、お客様に通知します。

4. セキュリティ

  • 転送時 (TLS 1.2 以上) および保管時 (AES-256) の暗号化。
  • 役割ベースのアクセス制御、最小権限の原則。本番アクセスは必要最小限。
  • 顧客データにアクセスする全員に多要素認証を必須化。
  • テナント間分離を備えた堅牢化済みクラウドインフラ。
  • 脆弱性管理、パッチ適用頻度、依存スキャンを Security Policy に明文化。
  • スタッフの身元確認と書面による機密保持義務。
  • 第三者監査(SOC 2 Type II)取得ロードマップ。

5. 委託先(再処理者)

ホスティング、メール配信、エラートラッキング、解析の一部を、選定済みの再処理者に委託しています。最新一覧は privacy@patentos.app で提供し、個人データを扱う再処理者を追加する場合は事前に通知します。お客様はデータ保護上の合理的理由により14日以内に異議申立てが可能です。代替策で合意に至らない場合、影響を受けるサービスの解除が可能です。

6. 国際移転

個人データは原則として日本で処理します。十分性認定のない国へ移転する場合、EU 標準契約条項(モジュール2または3、該当するもの)、日本の個人情報保護法に基づく相互適合性枠組、そして補完措置(暗号化、アクセス制御、監査ログ)により保護します。

7. データ主体の権利

当社は、テナントデータへのアクセス提供、エクスポート支援、削除請求への対応など、技術的・組織的な手段でお客様のデータ主体対応をサポートします。データ主体との直接やり取りはお客様の責任です。

8. 返還と削除

契約終了後30日以内、または書面による要請に応じて、当社はお客様の個人データを返還または削除します。法令・規制上の保管義務がある場合を除きます。バックアップコピーは90日以内に上書きまたは失効します。要請に応じて削除証明書を発行します。

9. 監査と情報提供

当社は、本 DPA への遵守を示すために必要な情報(監査報告、セキュリティ調査票、ポリシー文書など)を提供します。お客様は年1回まで、合理的な事前通知のうえ、業務時間内に、お客様の費用負担と機密保持義務のもとで監査を行えます。管轄を持つ規制当局はいつでも監査可能です。

10. 漏えい通知

お客様データに関わる個人データ漏えいを認知した場合、当社は遅滞なく、いかなる場合も認知から72時間以内に通知します。通知には、既知の事実、影響を受けるレコード・主体の概数、想定される影響、対処済みおよび予定の是正措置を含めます。

11. 顧客データでの学習禁止

当社は、お客様テナントのコンテンツを、AI モデルの追加学習・ファインチューニング・適応に使用しません。推論は学習済みモデルをお客様データに対して適用するもので、結果はテナント内に留まります。

12. 優先順位

個人データ処理に関しては、本 DPA が契約本体に優先します。適用法が追加条項を要求する場合、それらは本 DPA に追加されるものであり、本 DPA を制限するものではありません。

13. お問い合わせ

データ保護窓口: privacy@patentos.app。事業体: 株式会社IPリッチ、日本・東京。