最終更新日:2026年6月19日
本データ処理補足契約(以下「DPA」といいます)は、Acira AI LLC(以下「処理者」、「当社」といいます)とサービス利用者(以下「管理者」、「お客様」といいます)との間の利用規約(以下「契約」といいます)の一部を構成し、個人データの処理に関して契約を補足するものです。
本DPAは、お客様がサービスを使用して、欧州経済領域(以下「EEA」といいます)、英国(以下「UK」といいます)またはスイスに所在する個人の個人データを収集または処理するウェブサイトを作成、ホスト、および公開する場合、または適用されるデータ保護法によって別途要求される場合に適用されます。
このDPAは、お客様の便宜のために他の言語に翻訳される場合があります。英語版と翻訳版との間に矛盾または不一致がある場合、英語版が優先されるものとします。
**「適用データ保護法」**とは、本DPAに基づく個人データの処理に適用されるすべての法律および規制を意味し、(適用される場合)EU一般データ保護規則(EU)2016/679(以下「GDPR」といいます)、UK GDPR、スイス連邦データ保護法(以下「FADP」といいます)、およびカリフォルニア州消費者プライバシー法(以下「CCPA」といいます)を含みます。
**「管理者」**とは、個人データの処理の目的および手段を決定する自然人または法人を意味します——本文脈では、プラットフォームを通じてウェブサイトを運営するサービスの利用者であるお客様を指します。
**「データ主体」**とは、個人データが処理される識別された、または識別可能な自然人を意味します。
**「個人データ」**とは、サービスを通じて処理されるデータ主体に関するあらゆる情報を意味します。
**「処理」**とは、収集、記録、整理、構造化、保存、適応、取得、参照、使用、開示、普及、制限、消去、または破壊を含む、個人データに対して実行されるあらゆる操作を意味します。
**「処理者」**とは、管理者に代わって個人データを処理する自然人または法人を意味します——本文脈では、Acira AI LLCを指します。
**「副処理者」**とは、管理者に代わって個人データを処理するために処理者が関与するあらゆる第三者を意味します。
**「標準契約条項」または「SCC」**とは、欧州委員会が採択した、第三国に設立された処理者への個人データ移転のための標準契約条項を意味します。
お客様がサービスを使用して、フォーム、ユーザーアカウント、チャットボットとのやり取り、コメント、レビュー、またはその他のインタラクティブ機能を通じてウェブサイト訪問者から個人データを収集するウェブサイトを作成および運営する場合、お客様は管理者として行動し、当社は訪問者個人データの処理者として行動します。
当社は、お客様のアカウント情報、請求データ、利用分析、お客様のウェブサイトのコンテンツから得られる一般的なウェブサイト特性(業種やビジネスタイプなど)、およびプラットフォーム運用データを含む、当社自身の目的で収集する個人データについて独立した管理者として行動します。これらのデータの処理は当社のプライバシーポリシーに準拠し、本DPAの範囲外です。
決済プロバイダー(Merchants of Record)。 有料サービスの決済は、お客様の取引についてMerchant of Record(認可された再販業者および法的な販売者)として行動する第三者の決済プロバイダーによって処理され、現在はStripe(その関連会社Sold through Link, LLCを通じて)およびPaddle(お客様の所在地に応じた Paddle の契約主体:米国では Paddle.com Inc.、カナダでは Paddle.com (Canada) Ltd.、EEA および UK を含むその他の地域では Paddle.com Market Limited)です。この立場において、これらのプロバイダーはお客様がチェックアウト時に送信する決済情報の処理の目的および手段を決定するため、当社の副処理者としてではなく、それ自体が独立した独立管理者として行動します。これらのプロバイダーによる処理は各自の規約およびプライバシー通知に従い、本DPAの範囲外となります。当社はこれらのプロバイダーから限定的な取引および請求データのみを受領し、上記のとおり独立した管理者として処理します。
当社は、ウェブサイト訪問者に関する基本的なプライバシーに配慮した分析を収集します(契約に記載の通り)。分析データについては、当社はお客様と共同管理者として行動します。当社の分析は個人データ収集を最小化するよう設計されています——当社は生のIPアドレスを保存せず、訪問者識別子は毎日ローテーションされます。各共同管理者のそれぞれの責任は以下の通りです。
GDPRの第26条第2項に従い、分析データに関するこの共同管理者の取り決めの本質は以下の通りです:当社(Acira AI)は収集される技術的手段とデータポイントを決定し、お客様(ウェブサイト運営者)はウェブサイトで分析が使用されるかどうかを決定します。当社はそれぞれ適用データ保護法に基づく各自の義務を負います。お客様はウェブサイト訪問者にとって分析データに関する主要な連絡先です。この取り決めの概要は、本DPAおよび https://www.acira.ai/dpa を通じてデータ主体に提供されます。
当社がお客様に代わってカリフォルニア州消費者プライバシー法(「CCPA」)の対象となる個人情報を処理する範囲において、当社はCal. Civ. Code § 1798.140(ag)に定義される「サービスプロバイダー」です。当社は以下を行いません:
セクション2.2に記載のとおり、関連する製品推奨を提供する目的で、お客様のウェブサイトのコンテンツから一般的な非識別性のビジネス特性(業種分類など)を導出する場合があります。この限定的な使用は、CCPAの意味における個人情報の販売、共有、または結合には該当しません。
当社はこれらの制限を理解し、それに従うことを証明します。
当社は、適用法により代理人の指定が義務付けられる各法域においてデータ保護代理人を指定し、当該代理人をプライバシーポリシーに明示します。当社は、スイス連邦データ保護法(FADP)第14条を含む、当社のサービスに関連する各法域の代理人指定の基準に照らして処理活動を評価し、その裏付けとなる分析を社内のコンプライアンス記録に保持し、定期的に見直し・更新します。
本DPAに基づく個人データの処理は、契約に記載されているサービス提供の目的で実施され、契約の期間継続します。
当社は以下の目的で個人データを処理します:
処理される個人データの種類は、お客様がウェブサイトを通じて収集するものに依存し、以下を含む場合があります:
当社は以下を行います:
お客様は以下を行います:
サービスを使用することにより、お客様は標準プラットフォーム運用の一部として以下の処理活動を当社に代わって実施するよう指示します:アップロードされたファイルのコンテンツモデレーション、公開されたウェブサイトコンテンツのコンテンツポリシーレビュー、フォーム送信に対するスパム検出、プルーフオブワークチャレンジを通じたボット保護、およびウェブサイト訪問者とのAI駆動チャットボットとのやり取り。これらの活動はGDPR第28条第3項(a)に基づく文書化された指示です。
お客様は、サービス提供を支援するために副処理者を関与させる一般的な承認を提供します。現在の副処理者は以下および https://www.acira.ai/dpa に記載されています。
| 副処理者 | 目的 | 場所 |
|---|---|---|
| Amazon Web Services (AWS) | クラウドインフラストラクチャ、コンピューティング、ストレージ、データベース、メール配信、ドメイン登録、コンテンツモデレーション、言語検出、およびAI推論(ファーストパーティおよびサードパーティの両方のモデルを実行できます。モデルの出所に関係なく、すべての処理はAWSインフラストラクチャ上で行われます)。EU居住のウェブサイト運営者については、自動化された訪問者向け操作(コンテンツ送信通知およびトランザクションメール配信)は欧州連合(ストックホルム)で処理されます。 | 米国および欧州連合(ストックホルム) |
| Cloudflare | エッジホスティング、CDN、DNS、SSL、ウェブサイト配信、永続ストレージ、分析、ボット保護、AIベースのスパム検出、AIチャットボット推論(Cloudflareインフラ上でサードパーティモデルを実行;モデル開発者はユーザーデータを受け取りません)。EU居住のウェブサイトオペレーターの場合、永続ストレージは管轄的に欧州連合に制限されます。 | グローバル(EUアカウントにはEU管轄のストレージ) |
| Fireworks AI | AIテキスト生成、会話型AI、コンテンツ作成 | 米国 |
| xAI | AI画像生成 | 米国 |
| BrightData | 公開ウェブデータ収集(ウェブサイト作成時にユーザーを支援するため)、SERPキーワード追跡(対象プランの場合) | イスラエル/グローバル |
| Black Forest Labs | AI画像生成 | 欧州連合(ドイツ) |
| ScreenshotOne | ウェブサイトのスクリーンショット撮影 | 欧州連合 |
| CloudConvert | ファイル形式変換 | 欧州連合(ドイツ) |
決済処理は当社のMerchants of Record(StripeおよびPaddle)によって行われます。これらは副処理者ではなく独立管理者として行動するため上記には記載されていません。セクション2.2をご参照ください。
現在ご利用中のサービスに関するサブプロセッサーリストの変更予定については、新しいサブプロセッサーが個人データの処理を開始する少なくとも十四(14)日前に、https://www.acira.ai/dpa のサブプロセッサーリストを更新することでお知らせします。追加のサブプロセッサーが関与する新機能またはサービスを導入する際には、当該機能またはサービスが利用可能になった時点でそのサブプロセッサーを開示します。新機能またはサービスをご利用いただくことにより、開示されたサブプロセッサーへの同意とみなされます。サブプロセッサーリストの変更を定期的にご確認いただくことはお客様の責任となります。既存サービスのデータを処理する新しいサブプロセッサーに対して合理的な異議がある場合、変更が公表されてから十四(14)日以内に書面にてご通知ください。お客様のご懸念に誠意をもって対応いたします。合理的なご満足が得られるよう異議を解決できない場合、書面による通知をもって本契約を終了することができます。
当社は、本DPAに規定されているものと同等またはそれ以上のデータ保護義務を課す書面による契約を各副処理者と締結します。当社は、サービスを直接実施した場合に責任を負うのと同じ範囲で、副処理者の行為および不作為に対して引き続き責任を負います。
サービスは主に米国でホストされています。サービスを通じて処理された個人データは、米国および当社の副処理者が運営するその他の国に移転および処理される場合があります。AI推論プロバイダー(Fireworks AIおよびxAI)は米国でデータを処理します。BrightDataはイスラエルおよびその他の世界各地でデータを処理する場合があります。Cloudflareは世界中のエッジロケーションでデータを処理します。
EUデータ居住: EU居住者と識別されたウェブサイトオペレーターの場合、欧州連合外への訪問者個人データの移転を最小限にするため、以下のデータ居住措置を適用します:
EEA、UK、またはスイスから適切なレベルのデータ保護を提供するとして認められていない国への個人データの移転については、当社は以下に依拠します:
当社は、移転された個人データを保護するために以下の補足的措置を実施します:
これらの補足的措置は、移転されたデータの性質、依拠した移転メカニズム、および実施されている技術的および組織的保護措置を考慮した、目的国の法律と慣行の評価に基づいています。当社は、上記に説明した補足的措置がSCCの約束とともに、移転された個人データに対して適切なレベルの保護を提供すると評価しています。当社の移転影響評価は https://www.acira.ai/tia で入手できます。
カナダからの個人データの移転については、個人情報保護および電子文書法(PIPEDA)および適用可能な州のプライバシー法(アルバータ州のPIPA、ブリティッシュコロンビア州のPIPA、およびケベック州のプライバシーセクターにおける個人情報の保護に関する法律を含む)に基づいて要求される同等の保護レベルをカナダ国外に移転された個人データが受けることを確保するために、以下の保護措置に依拠します:
当社は、提案されている消費者プライバシー保護法(CPPA)を含むカナダのプライバシー法の動向を監視し、必要に応じて移転メカニズムを更新します。
当社は、アクセス、訂正、消去、制限、ポータビリティ、および異議申し立ての権利を含む、適用データ保護法に基づく権利を行使するデータ主体からのリクエストへの対応においてお客様を支援します。
お客様に代わって処理された個人データに関するリクエストまたはデータ保護に関する苦情をデータ主体から直接受け取った場合、当社は速やかにお客様にエスカレーションし、適用される法律によって要求される場合を除き、お客様の指示なしにリクエストまたは苦情に応答しません。管理者として、お客様は、適用されるデータ保護法(UK Data Protection Act 2018のSection 164Aなど)に基づきお客様に適用される苦情処理義務を含め、かかるデータ主体の苦情の取り扱いおよび対応に責任を負います。
当社はサービス内でデータ主体のリクエストを履行するのに役立つツールを提供します:
当社は、個人データを不正または違法な処理から、および偶発的な損失、破壊、または損害から保護するための適切な技術的および組織的措置を実施および維持します。これらの措置には以下が含まれます:
当社は、個人データの処理を承認されたすべての担当者が守秘義務を負っていることを確保します。
当社は、お客様に代わって処理された個人データに影響を与える個人データ侵害を確認した後、不当な遅延なくお客様に通知します。通知はお客様のアカウントに関連する連絡先情報に送信されます。
当社の侵害通知には、利用可能な範囲で以下が含まれます:
適用データ保護法によって要求される個人データ侵害について、関連する監督機関および影響を受けたデータ主体に通知する責任はお客様にあります。当社はお客様と協力し、侵害通知義務の遵守を支援するための合理的な支援を提供します。
本DPAへの当社のコンプライアンスを実証するため、合理的な書面による要求に基づき(年1回まで)、以下をお客様に提供します:
第三者インフラプロバイダー(AWSやCloudflareなど)に依拠する場合、それらのセキュリティ認証とコンプライアンス文書は、それぞれのトラストおよびコンプライアンスプログラムを通じて利用可能です。
セクション11.1に基づいて提供された文書がお客様のコンプライアンスに関する懸念を合理的に解決しない場合、当社のデータ保護慣行に関する具体的な書面による質問を提出することができ、当社は合理的な期間内に回答いたします。
当社は、契約の期間中、および当社のサービスを通じたお客様の指示に従って、お客様に代わって処理された個人データを保持します。訪問者データの具体的な保持期間には以下が含まれます:
契約の終了時またはお客様のリクエストに応じて、当社は契約に記載されたデータ保持慣行(アカウントおよびウェブサイト削除の七(7)日間の猶予期間を含む)に従い、お客様に代わって処理された個人データを削除します。猶予期間の後、削除は永久的かつ不可逆的です。
適用される法律によって要求される範囲で、またはデータが匿名化されてデータ主体にリンクできなくなった場合において、個人データを保持することができます。
本DPAは、お客様が契約を承諾した日に発効し、当社がお客様に代わって個人データを処理する限り有効です。本DPAに規定された守秘義務およびデータ保護義務は、契約の終了後も存続します。
本DPAに基づく各当事者の責任は、契約に規定された責任の制限に従います。
本DPAに関するご質問または権利の行使については、以下にご連絡ください:
Acira AI LLC
担当:データ保護
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States
電話: 888-389-1189
メール:legal@acira.ai
私たちはお客様のデータを販売せず、トラッキングCookieを使用しません — そのため、ここにCookieバナーは表示されません。Global Privacy Controlを尊重し、EUのお客様については、訪問者データはEU内でのみ保存・処理されます。