データ処理に関する覚書

この文書はお客様の便宜のために翻訳されたものです。英語版が法的拘束力を持つ文書です。内容に相違がある場合は、英語版が優先されます。

データ処理補足契約

最終更新日：2026年3月19日

本データ処理補足契約（以下「DPA」といいます）は、Acira AI LLC（以下「処理者」、「当社」といいます）とサービス利用者（以下「管理者」、「お客様」といいます）との間の利用規約（以下「契約」といいます）の一部を構成し、個人データの処理に関して契約を補足するものです。

本DPAは、お客様がサービスを使用して、欧州経済領域（以下「EEA」といいます）、英国（以下「UK」といいます）またはスイスに所在する個人の個人データを収集または処理するウェブサイトを作成、ホスト、および公開する場合、または適用されるデータ保護法によって別途要求される場合に適用されます。

このDPAは、お客様の便宜のために他の言語に翻訳される場合があります。英語版と翻訳版との間に矛盾または不一致がある場合、英語版が優先されるものとします。

定義
範囲と役割
データ処理の詳細
処理者の義務
管理者の義務
副処理者
国際データ移転
データ主体の権利
データセキュリティ
データ侵害通知
監査およびコンプライアンス検証
データ保持および削除
期間および終了
責任の制限
お問い合わせ

1. 定義

**「適用データ保護法」**とは、本DPAに基づく個人データの処理に適用されるすべての法律および規制を意味し、（適用される場合）EU一般データ保護規則（EU）2016/679（以下「GDPR」といいます）、UK GDPR、スイス連邦データ保護法（以下「FADP」といいます）、およびカリフォルニア州消費者プライバシー法（以下「CCPA」といいます）を含みます。

**「管理者」**とは、個人データの処理の目的および手段を決定する自然人または法人を意味します——本文脈では、プラットフォームを通じてウェブサイトを運営するサービスの利用者であるお客様を指します。

**「データ主体」**とは、個人データが処理される識別された、または識別可能な自然人を意味します。

**「個人データ」**とは、サービスを通じて処理されるデータ主体に関するあらゆる情報を意味します。

**「処理」**とは、収集、記録、整理、構造化、保存、適応、取得、参照、使用、開示、普及、制限、消去、または破壊を含む、個人データに対して実行されるあらゆる操作を意味します。

**「処理者」**とは、管理者に代わって個人データを処理する自然人または法人を意味します——本文脈では、Acira AI LLCを指します。

**「副処理者」**とは、管理者に代わって個人データを処理するために処理者が関与するあらゆる第三者を意味します。

**「標準契約条項」または「SCC」**とは、欧州委員会が採択した、第三国に設立された処理者への個人データ移転のための標準契約条項を意味します。

2. 範囲と役割

2.1 処理関係

お客様がサービスを使用して、フォーム、ユーザーアカウント、チャットボットとのやり取り、コメント、レビュー、またはその他のインタラクティブ機能を通じてウェブサイト訪問者から個人データを収集するウェブサイトを作成および運営する場合、お客様は管理者として行動し、当社は訪問者個人データの処理者として行動します。

2.2 管理者としての当社の役割

当社は、お客様のアカウント情報、請求データ、利用分析、お客様のウェブサイトのコンテンツから得られる一般的なウェブサイト特性（業種やビジネスタイプなど）、およびプラットフォーム運用データを含む、当社自身の目的で収集する個人データについて独立した管理者として行動します。これらのデータの処理は当社のプライバシーポリシーに準拠し、本DPAの範囲外です。

2.3 プラットフォーム分析

当社は、ウェブサイト訪問者に関する基本的なプライバシーに配慮した分析を収集します（契約に記載の通り）。分析データについては、当社はお客様と共同管理者として行動します。当社の分析は個人データ収集を最小化するよう設計されています——当社は生のIPアドレスを保存せず、訪問者識別子は毎日ローテーションされます。各共同管理者のそれぞれの責任は以下の通りです。

Acira AI（処理者/共同管理者）： 収集されるデータポイント、訪問者識別子の計算方法（日次ローテーションハッシュ）、データの集計方法など、分析収集の技術的手段を決定します。当社は分析インフラのセキュリティと整合性、およびプラットフォームの分析機能に関する一般的な問い合わせへの対応に責任を負います。
お客様（管理者/共同管理者）： ウェブサイトで分析を使用するかどうかを決定します（分析はサービスの一部としてデフォルトで有効になっています）。お客様は、ウェブサイトのプライバシーポリシーに分析データの収集を開示し、ウェブサイト訪問者からの分析データに関するデータ主体リクエストに対応する責任を負います。
データ主体の連絡先： データ主体は、ウェブサイトで収集された分析データに関して、お客様（ウェブサイト所有者）に連絡することができます。分析データに関するデータ主体からのリクエストを受け取った場合、当社はお客様が別段の指示をしない限り、それをお客様に転送します。一般的なプラットフォームに関する問い合わせについては、データ主体は legal@acira.ai で当社に連絡することができます。

2.4 共同管理者の取り決めの本質

GDPRの第26条第2項に従い、分析データに関するこの共同管理者の取り決めの本質は以下の通りです：当社（Acira AI）は収集される技術的手段とデータポイントを決定し、お客様（ウェブサイト運営者）はウェブサイトで分析が使用されるかどうかを決定します。当社はそれぞれ適用データ保護法に基づく各自の義務を負います。お客様はウェブサイト訪問者にとって分析データに関する主要な連絡先です。この取り決めの概要は、本DPAおよび https://www.acira.ai/dpa を通じてデータ主体に提供されます。

2.5 CCPAサービスプロバイダー指定

当社がお客様に代わってカリフォルニア州消費者プライバシー法（「CCPA」）の対象となる個人情報を処理する範囲において、当社はCal. Civ. Code § 1798.140(ag)に定義される「サービスプロバイダー」です。当社は以下を行いません：

CCPAに基づいてそれらの用語が定義されるとおり、お客様が当社に提供する個人情報を販売または共有すること；
本DPAおよび契約に明記されているビジネス目的以外の目的で、またはCCPAによって別途許可された場合を除き、個人情報を保持、使用、または開示すること；
お客様と当社の間の直接的なビジネス関係の外で個人情報を保持、使用、または開示すること；
お客様から受け取った個人情報を、他者から受け取ったまたは代理で受け取った個人情報、または消費者との当社自身のやり取りから収集した個人情報と組み合わせること（CCPAが許可する場合を除く）。

セクション2.2に記載のとおり、関連する製品推奨を提供する目的で、お客様のウェブサイトのコンテンツから一般的な非識別性のビジネス特性（業種分類など）を導出する場合があります。この限定的な使用は、CCPAの意味における個人情報の販売、共有、または結合には該当しません。

当社はこれらの制限を理解し、それに従うことを証明します。

2.6 スイスFADP代理人評価

スイス連邦データ保護法（「FADP」）第14条は、スイス非居住の民間管理者に対して、以下の4つすべての累積条件が満たされた場合にのみスイスにおける代理人の指定を要求します：(1) 処理がスイスにいる人々への商品またはサービスの提供、またはその行動の監視に関連している；(2) 処理が大規模である；(3) 処理が定期的に行われる；および (4) 処理がデータ主体の人格権または基本的権利に対して高いリスクをもたらす。

当社はこれらの条件に照らして処理活動を評価し、条件(1)および(3)は満たされているが、残りの条件は以下の理由から満たされていないと判断しました：

大規模ではない： 当社は小規模なSaaSプラットフォームです。当社のサービスを通じて処理されるスイス居住者の個人データの量は限られており、FADP第14条の意味における大規模処理を構成しません。
高リスクではない： ウェブサイト運営者に代わって処理する個人データは、主に仮名化された分析識別子（日次ローテーションハッシュ）、基本的な訪問者メタデータ（国、デバイスの種類、ブラウザ）、フォーム送信コンテンツ、およびチャットボットメッセージで構成されます。当社は特別なカテゴリーの個人データ（FADP第5条(c)）を処理せず、データ主体に高いリスクをもたらすプロファイリングも行いません。スイス連邦データ保護情報委員（「FDPIC」）は、この義務は主に海外から運営される大型インターネットプラットフォームおよびソーシャルネットワークを対象としていると示しており、これは当社のサービスを説明するものではありません。

この評価に基づき、当社は現時点においてFADP第14条に基づくスイスにおける代理人の指定は不要であると結論付けました。スイス居住者に影響を与える処理活動の規模または性質の重大な変更を含め、この判断を定期的に再評価します。

3. データ処理の詳細

3.1 主題および期間

本DPAに基づく個人データの処理は、契約に記載されているサービス提供の目的で実施され、契約の期間継続します。

3.2 処理の性質および目的

当社は以下の目的で個人データを処理します：

お客様のウェブサイトコンテンツのホストと配信
お客様のウェブサイトのフォームおよびインタラクティブ機能を通じて送信されたデータの保存と管理
お客様のウェブサイトの保護エリアのユーザーアカウントとセッションの維持
お客様に代わるメール通信の配信
お客様のカスタムドメインのメールアドレスに受信したメールの転送
お客様のウェブサイト訪問者とのAIチャットボット会話の実行
アップロードされたファイルのAI駆動の説明とメタデータの生成
アップロードされたファイルのウェブ最適化フォーマットへの変換
訪問者分析の提供
関連するプラットフォーム推奨を提供するための一般的なウェブサイト特性（業種やビジネスタイプなど）の導出
スパムおよび不正使用の検出と防止（プルーフオブワーク型ボットチャレンジを含む）
アップロードされたファイルのコンテンツモデレーション
プラットフォームコンテンツポリシーへの準拠のための公開時のウェブサイトコンテンツのレビュー
ウェブサイトのメール受信者のメール配信停止設定を管理する
WebSocket接続を介したウェブサイトでのリアルタイムチャンネル通信の促進（メッセージは一時的なもので保存されません）
プラットフォームの信頼性とトラブルシューティングのためのエラーおよび診断ログの維持（IPアドレスおよびリクエストメタデータを含む場合があります；最大三十（30）日間保持）

3.3 個人データの種類

処理される個人データの種類は、お客様がウェブサイトを通じて収集するものに依存し、以下を含む場合があります：

氏名および連絡先情報
メールアドレス
メッセージおよびフォーム送信
ウェブサイト訪問者が送信したファイルアップロード（画像や文書など）
チャットボット会話コンテンツ（訪問者のメッセージとAIの回答）
ユーザーアカウント認証情報（ハッシュ形式で保存）
セッションデータ
IPアドレス（分析には保存されません——日次ローテーションハッシュのみが保存されます；フォーム送信とチャットボット会話とともにメタデータとして保存されます；ボットチャレンジ検証のために一時的に使用およびハッシュ化されます；レート制限のために最大七（7）日間一時的に保存され、自動的に削除されます）
ブラウザおよびデバイス情報
ロケーションデータ（国およびリージョンレベル、IPから導出）
メール配信停止レコード（受信者のメールアドレスの暗号学的ハッシュとして保存；生の形式では保存されません）
スパム分類結果（送信がスパムと判断されたかどうか）
エラーおよび診断ログデータ（IPアドレス、リクエストパス、およびエラーの詳細；最大三十（30）日間保持され、自動的に削除されます）

3.4 データ主体のカテゴリー

お客様のウェブサイト訪問者
お客様のウェブサイトでアカウントを作成するユーザー
お客様のウェブサイトでフォームを送信するか、チャットボットと交流するユーザー
お客様のウェブサイトでコメント、レビュー、またはその他の投稿をするユーザー

4. 処理者の義務

当社は以下を行います：

適用される法律によって要求される場合を除き（その場合、法律によって禁止されない限り、処理前にその法的要件についてお客様に通知します）、お客様の文書化された指示のみに基づいて個人データを処理します；
個人データの処理を承認された者が守秘義務を約束したか、適切な法定守秘義務を負っていることを確保します；
第9条に記載されている適切な技術的および組織的セキュリティ対策を実施します；
第6条に規定されている副処理者を関与させる条件を遵守します；
処理の性質を考慮して、適用データ保護法に基づく権利を行使するデータ主体からのリクエストへの対応においてお客様を支援します；
GDPR第32条から第36条に基づくお客様の義務（セキュリティ、侵害通知、データ保護影響評価、および事前協議）の遵守を確保するにあたり、処理の性質と当社が利用可能な情報を考慮してお客様を支援します。お客様によるサービスの使用がデータ保護影響評価（DPIA）を必要とする可能性のある高リスク処理を伴う場合、当社はお客様の評価を支援するために処理活動、技術的および組織的措置、および副処理者に関する情報を提供します；
GDPR第22条（自動化された個別意思決定）に基づくお客様の義務の履行において、コンテンツモデレーション、スパム検出、ボット保護を含む、お客様に代わって実施される自動化処理に関する情報を提供し、リクエストに応じて自動化された決定の人間によるレビューを促進することでお客様を支援します；
お客様の指示が適用データ保護法に違反すると当社が判断した場合、お客様に通知します；
お客様の選択により、サービスの提供終了後にすべての個人データを削除または返還し、適用される法律によって保存が要求される場合を除き、既存のコピーを削除します；
本DPAに規定された義務への遵守を実証するために必要なすべての情報をお客様に提供し、第11条に記載されているコンプライアンス検証に貢献します。

5. 管理者の義務

お客様は以下を行います：

ウェブサイトを通じた個人データの収集および処理がすべての適用データ保護法に準拠していることを確保します；
ウェブサイト訪問者に対して、プラットフォームレベルの分析、AIを活用したチャットボットとのやり取り、スパム検出、およびボット保護の開示を含む、データ収集慣行を説明する適切なプライバシー通知を提供します；
ウェブサイトを通じた個人データの処理に必要なすべての同意を取得するか、または別の適法な根拠を確立します；
個人データの処理に関する当社への指示が適用データ保護法に準拠していることを確保します；
ウェブサイトを通じて当社に提供される個人データの正確性、品質、および適法性に責任を負います。

サービスを使用することにより、お客様は標準プラットフォーム運用の一部として以下の処理活動を当社に代わって実施するよう指示します：アップロードされたファイルのコンテンツモデレーション、公開されたウェブサイトコンテンツのコンテンツポリシーレビュー、フォーム送信に対するスパム検出、プルーフオブワークチャレンジを通じたボット保護、およびウェブサイト訪問者とのAI駆動チャットボットとのやり取り。これらの活動はGDPR第28条第3項(a)に基づく文書化された指示です。

6. 副処理者

6.1 承認された副処理者

お客様は、サービス提供を支援するために副処理者を関与させる一般的な承認を提供します。現在の副処理者は以下および https://www.acira.ai/dpa に記載されています。

6.2 現在の副処理者リスト

副処理者	目的	場所
Amazon Web Services (AWS)	クラウドインフラストラクチャ、コンピューティング、ストレージ、データベース、メール配信、ドメイン登録、コンテンツモデレーション、言語検出、およびAI推論（ファーストパーティおよびサードパーティの両方のモデルを実行できます。モデルの出所に関係なく、すべての処理はAWSインフラストラクチャ上で行われます）。EU居住のウェブサイト運営者については、自動化された訪問者向け操作（コンテンツ送信通知およびトランザクションメール配信）は欧州連合（ストックホルム）で処理されます。	米国および欧州連合（ストックホルム）
Cloudflare	エッジホスティング、CDN、DNS、SSL、ウェブサイト配信、永続ストレージ、分析、ボット保護、AIベースのスパム検出、AIチャットボット推論（Cloudflareインフラ上でサードパーティモデルを実行；モデル開発者はユーザーデータを受け取りません）。EU居住のウェブサイトオペレーターの場合、永続ストレージは管轄的に欧州連合に制限されます。	グローバル（EUアカウントにはEU管轄のストレージ）
Stripe	支払い処理、サブスクリプション管理、請求	米国
Fireworks AI	AIテキスト生成、会話型AI、コンテンツ作成	米国
xAI	AI画像生成	米国
BrightData	公開ウェブデータ収集（ウェブサイト作成時にユーザーを支援するため）、SERPキーワード追跡（対象プランの場合）	イスラエル/グローバル
Black Forest Labs	AI画像生成	欧州連合（ドイツ）
ScreenshotOne	ウェブサイトのスクリーンショット撮影	欧州連合
CloudConvert	ファイル形式変換	欧州連合（ドイツ）

6.3 副処理者の変更

現在ご利用中のサービスに関するサブプロセッサーリストの変更予定については、新しいサブプロセッサーが個人データの処理を開始する少なくとも十四（14）日前に、https://www.acira.ai/dpa のサブプロセッサーリストを更新することでお知らせします。追加のサブプロセッサーが関与する新機能またはサービスを導入する際には、当該機能またはサービスが利用可能になった時点でそのサブプロセッサーを開示します。新機能またはサービスをご利用いただくことにより、開示されたサブプロセッサーへの同意とみなされます。サブプロセッサーリストの変更を定期的にご確認いただくことはお客様の責任となります。既存サービスのデータを処理する新しいサブプロセッサーに対して合理的な異議がある場合、変更が公表されてから十四（14）日以内に書面にてご通知ください。お客様のご懸念に誠意をもって対応いたします。合理的なご満足が得られるよう異議を解決できない場合、書面による通知をもって本契約を終了することができます。

6.4 副処理者の義務

当社は、本DPAに規定されているものと同等またはそれ以上のデータ保護義務を課す書面による契約を各副処理者と締結します。当社は、サービスを直接実施した場合に責任を負うのと同じ範囲で、副処理者の行為および不作為に対して引き続き責任を負います。

7. 国際データ移転

7.1 移転メカニズム

サービスは主に米国でホストされています。サービスを通じて処理された個人データは、米国および当社の副処理者が運営するその他の国に移転および処理される場合があります。AI推論プロバイダー（Fireworks AIおよびxAI）は米国でデータを処理します。BrightDataはイスラエルおよびその他の世界各地でデータを処理する場合があります。Cloudflareは世界中のエッジロケーションでデータを処理します。

EUデータ居住: EU居住者と識別されたウェブサイトオペレーターの場合、欧州連合外への訪問者個人データの移転を最小限にするため、以下のデータ居住措置を適用します：

ストレージ: 永続エッジストレージ内の訪問者データ——フォーム送信、チャットボット会話、セッションデータ、ユーザーテーブルデータを含む——は欧州連合に制限されます。このデータはEUのデータセンター内にのみ保存されます。
自動化された訪問者向け処理: 訪問者の活動によって自動的にトリガーされる操作 — コンテンツ送信通知およびトランザクションメール配信を含む — は欧州連合内で処理され、米国のインフラストラクチャを経由しません。
プラットフォーム管理アクセス: プラットフォームダッシュボードまたは会話インターフェースを通じてウェブサイトの訪問者データにアクセスする場合（例：フォーム送信の閲覧やユーザーレコードの管理）、このデータはリクエストを処理するために米国ベースのインフラストラクチャを通じて処理される場合があります。これらの移転はオンデマンドで、お客様（管理者）によって開始され、以下に記載される移転メカニズムおよび補完的措置によって保護されています。
その他の米国ベースの処理: 分析データおよびコンテンツモデレーションとAI推論のために米国ベースのクラウドインフラストラクチャで処理されたデータは、以下の移転メカニズムに基づいて引き続き米国に移転される場合があります。

EEA、UK、またはスイスから適切なレベルのデータ保護を提供するとして認められていない国への個人データの移転については、当社は以下に依拠します：

標準契約条項（SCC）： 当社は欧州委員会の標準契約条項を参照により本DPAに組み込みます：第2.3条に基づいて当社が共同管理者として行動する分析データについてはモジュール1（管理者から管理者）、お客様に代わって処理されるその他のすべての個人データについてはモジュール2（管理者から処理者）。SCCは https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en で入手できます。
UK国際データ移転補足： UKからの移転については、EU SCCへのUK補足が適用されます。
スイスデータ移転メカニズム： スイスからの移転については、スイスFADPによって要求される変更を加えたSCCが適用されます。

7.2 補足的措置

当社は、移転された個人データを保護するために以下の補足的措置を実施します：

転送中のデータの暗号化（TLS/SSL）および保存時の暗号化
アクセス制御と認証メカニズム
定期的なセキュリティ評価
データ最小化の実践（例：生IPストレージの代わりに日次ローテーション訪問者ハッシュ）
EU居住のウェブサイトオペレーターに対する管轄データ居住（永続ストレージおよび自動化された訪問者向け処理がEUに制限）
EU居住のウェブサイト運営者向けの自動化された訪問者向け操作のためのEUに拠点を置くコンピューティングおよびメールインフラストラクチャ（コンテンツ送信通知およびトランザクションメール配信が欧州連合で処理されます）

7.3 移転影響評価

これらの補足的措置は、移転されたデータの性質、依拠した移転メカニズム、および実施されている技術的および組織的保護措置を考慮した、目的国の法律と慣行の評価に基づいています。当社は、上記に説明した補足的措置がSCCの約束とともに、移転された個人データに対して適切なレベルの保護を提供すると評価しています。当社の移転影響評価は https://www.acira.ai/tia で入手できます。

7.4 カナダのデータ移転

カナダからの個人データの移転については、個人情報保護および電子文書法（PIPEDA）および適用可能な州のプライバシー法（アルバータ州のPIPA、ブリティッシュコロンビア州のPIPA、およびケベック州のプライバシーセクターにおける個人情報の保護に関する法律を含む）に基づいて要求される同等の保護レベルをカナダ国外に移転された個人データが受けることを確保するために、以下の保護措置に依拠します：

契約上の保護： 適切なセキュリティ保護措置、使用制限、侵害通知、およびデータ主体アクセスの要件を含むカナダのプライバシー法と一致した標準での個人データ保護義務を課す各副処理者との書面によるデータ処理契約。
技術的保護措置： 第7.2条に記載された暗号化、仮名化、アクセス制御、およびデータ最小化措置と同じものがカナダのデータ移転にも適用されます。
組織的保護措置： 本DPAに記載されている副処理者のデューデリジェンス、担当者の守秘義務、および文書化されたインシデント対応手順。

当社は、提案されている消費者プライバシー保護法（CPPA）を含むカナダのプライバシー法の動向を監視し、必要に応じて移転メカニズムを更新します。

8. データ主体の権利

8.1 リクエストへの支援

当社は、アクセス、訂正、消去、制限、ポータビリティ、および異議申し立ての権利を含む、適用データ保護法に基づく権利を行使するデータ主体からのリクエストへの対応においてお客様を支援します。

8.2 通知

お客様に代わって処理された個人データに関するリクエストをデータ主体から直接受け取った場合、当社は速やかにお客様に通知し、適用される法律によって要求される場合を除き、お客様の指示なしにリクエストに応答しません。

8.3 プラットフォームツール

当社はサービス内でデータ主体のリクエストを履行するのに役立つツールを提供します：

お客様のウェブサイトのデータベースに保存されたデータへのアクセスと管理
お客様のウェブサイトのデータベースからの個々のレコードの削除
リクエストに応じて、データポータビリティ義務を支援するためにZIP形式でデータエクスポートを提供することができます

9. データセキュリティ

9.1 セキュリティ対策

当社は、個人データを不正または違法な処理から、および偶発的な損失、破壊、または損害から保護するための適切な技術的および組織的措置を実施および維持します。これらの措置には以下が含まれます：

暗号化： TLS/SSLによる転送中のデータ暗号化および業界標準暗号化による保存時の暗号化
アクセス制御： ロールベースのアクセス制御、プラットフォーム管理のための多要素認証、最小権限アクセスポリシー
インフラセキュリティ： 自動セキュリティパッチ、DDoS保護、およびウェブアプリケーションファイアウォール（WAF）を備えた管理クラウドインフラ
データ分離： 専用ストレージインスタンスによるウェブサイト別データ分離
モニタリング： 自動セキュリティモニタリング、侵入検出、および構造化ログ
認証情報セキュリティ： すべてのAPIキーとシークレットは専用のシークレット管理サービスに保存；ユーザーパスワードはユーザーごとのソルトを持つ強力な暗号化アルゴリズムを使用してハッシュ化
ボット保護： 自動化された不正使用を防止するためのプルーフオブワークチャレンジシステム

9.2 機密性

当社は、個人データの処理を承認されたすべての担当者が守秘義務を負っていることを確保します。

10. データ侵害通知

10.1 管理者への通知

当社は、お客様に代わって処理された個人データに影響を与える個人データ侵害を確認した後、不当な遅延なくお客様に通知します。通知はお客様のアカウントに関連する連絡先情報に送信されます。

10.2 通知内容

当社の侵害通知には、利用可能な範囲で以下が含まれます：

関係するデータ主体およびレコードのカテゴリーと概数を含む、侵害の性質の説明；
当社のデータ保護連絡先の名前と連絡先の詳細；
侵害の可能性のある結果の説明；
侵害に対処し、その影響を軽減するために講じられた、または提案された措置の説明。

10.3 お客様の義務

適用データ保護法によって要求される個人データ侵害について、関連する監督機関および影響を受けたデータ主体に通知する責任はお客様にあります。当社はお客様と協力し、侵害通知義務の遵守を支援するための合理的な支援を提供します。

11. 監査およびコンプライアンス検証

11.1 コンプライアンス文書

本DPAへの当社のコンプライアンスを実証するため、合理的な書面による要求に基づき（年1回まで）、以下をお客様に提供します：

関連する第三者監査報告書、認証、またはセキュリティ評価の要約；
当社の現在の技術的および組織的セキュリティ対策の要約；
当社の処理活動、復処理者、およびデータ保護慣行に関する情報。

第三者インフラプロバイダー（AWSやCloudflareなど）に依拠する場合、それらのセキュリティ認証とコンプライアンス文書は、それぞれのトラストおよびコンプライアンスプログラムを通じて利用可能です。

11.2 追加のお問い合わせ

セクション11.1に基づいて提供された文書がお客様のコンプライアンスに関する懸念を合理的に解決しない場合、当社のデータ保護慣行に関する具体的な書面による質問を提出することができ、当社は合理的な期間内に回答いたします。

12. データ保持および削除

12.1 契約期間中

当社は、契約の期間中、および当社のサービスを通じたお客様の指示に従って、お客様に代わって処理された個人データを保持します。訪問者データの具体的な保持期間には以下が含まれます：

お客様のウェブサイトのチャットボット会話：各会話の最後のやり取りから三十（30）日間保持。会話はウェブサイトのエッジインフラ上の訪問者セッション内に保存され、セッションが非アクティブにより期限切れになると自動的に削除されます。
お客様のウェブサイトのフォーム送信とユーザー生成コンテンツ：お客様がプラットフォームツールを通じて以前に削除しない限り、関連するウェブサイトの期間保持。
お客様のウェブサイト訪問者のセッションデータ：30日間の非アクティブ後に自動的に削除。
削除された訪問者コンテンツ（フォーム送信、コメント、およびウェブサイトのその他のユーザー生成コンテンツ）：お客様がプラットフォームツールを通じて訪問者コンテンツを削除すると、回復のサポートのためにソフト削除状態に移動し、最大三十（30）日間保持されます。この期間の後、ソフト削除されたコンテンツは永久に削除されます。回復キューからパージすることで、コンテンツを即座に永久削除することができます。
ウェブサイトのメール配信停止レコード：受信者が再購読しない限り、関連するウェブサイトの期間保持されます。ウェブサイトが破棄されると配信停止レコードは削除されます。
分析データ：関連するウェブサイトの期間保持（プランベースの保持制限の対象；無料プランの分析データは九十（90）日間保持）。

12.2 終了時

契約の終了時またはお客様のリクエストに応じて、当社は契約に記載されたデータ保持慣行（アカウントおよびウェブサイト削除の七（7）日間の猶予期間を含む）に従い、お客様に代わって処理された個人データを削除します。猶予期間の後、削除は永久的かつ不可逆的です。

12.3 例外

適用される法律によって要求される範囲で、またはデータが匿名化されてデータ主体にリンクできなくなった場合において、個人データを保持することができます。

13. 期間および終了

本DPAは、お客様が契約を承諾した日に発効し、当社がお客様に代わって個人データを処理する限り有効です。本DPAに規定された守秘義務およびデータ保護義務は、契約の終了後も存続します。

14. 責任の制限

本DPAに基づく各当事者の責任は、契約に規定された責任の制限に従います。

15. お問い合わせ

本DPAに関するご質問または権利の行使については、以下にご連絡ください：

Acira AI LLC
担当：データ保護
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States

電話： 888-389-1189
メール：legal@acira.ai

あなたのプライバシーが最優先

私たちはお客様のデータを販売せず、トラッキングCookieを使用しません — そのため、ここにCookieバナーは表示されません。Global Privacy Controlを尊重し、EUのお客様については、訪問者データはEU内でのみ保存・処理されます。

データの保護方法をご覧ください →

Acira AI

AIで美しいウェブサイトを構築。コーディング不要。

米国で誇りを持って開発

会社情報

料金機能概要比較信頼とプライバシー

法的情報

プライバシーポリシー利用規約利用規約データ処理移転影響評価

データ処理移転影響評価