データ処理契約（DPA）.

最終更新日：2026年6月12日

エンタープライズのお客様はDPAへの署名をリクエストできます。以下のメールアドレスにご連絡ください。 hello@sagbrain.com

1. 定義

GDPRその他適用法令において定義される、識別された又は識別可能な自然人に関する情報を指します。

個人データに対して行われる操作またはその集合（収集、記録、整理、構造化、保存、変換、検索、照会、使用、送信、制限、消去を含む）。

本サービスを利用するお客様（法人または個人）であり、個人データの処理の目的及び手段を決定する主体です。

管理者の指示に基づき個人データを処理するSagbrain Global Pte. Ltd.を指します。

処理者は、Nokuruサービス（wiki.sagbrain.com）の提供に必要な範囲で、管理者の指示に従い個人データを処理します。

氏名、メールアドレス、IPアドレス、ブラウザ/デバイス情報、管理者がサービスに保存するコンテンツ（ドキュメント、コメント等）。

管理者のチームメンバー、招待ユーザー、およびサービスを通じてコンテンツにアクセスするその他の者。

サービス契約の有効期間中、および契約終了後に処理者が適用法令に基づき個人データを保持する期間。

処理者は、管理者の文書による指示にのみ従い個人データを処理します。ただし、EU法または加盟国法により処理が義務付けられる場合はこの限りではありません。

個人データにアクセスする処理者の担当者は、秘密保持義務を負います。

処理者はGDPR第32条に従い、リスクに見合った適切な技術的・組織的セキュリティ対策（保存時・転送時の暗号化、アクセス制御、定期的なセキュリティテスト等）を実施します。

個人データの侵害を認識した場合、処理者は不当な遅滞なく（原則72時間以内）管理者に通知します。

処理者は、アクセス、訂正、削除、可搬性等のデータ主体の権利行使に関する管理者の義務履行を技術的・組織的措置によって支援します。

サービス解約後90日以内に、管理者は個人データのエクスポートを要求できます。期間経過後、処理者は管理者のデータを安全に削除します（法令上の保持義務が適用される場合を除く）。

処理者は以下の再委託先を利用しています：Amazon Web Services（インフラ・ストレージ、米国）、Anthropic / Google（AIドキュメント編集機能、米国）、Stripe（決済処理、米国）。

処理者が再委託先を追加・変更する場合、管理者に30日前に通知します。

EEA外への個人データの移転は、欧州委員会の標準契約条項（SCC）またはその他の適法な移転手段に基づき実施されます。

管理者は、GDPRその他適用法令に基づく処理者の義務遵守を確認するために必要な情報提供を求めることができます。書面による30日前の通知により、年1回の監査を実施できます。

エンタープライズプランのお客様は、署名付きDPAをリクエストできます。hello@sagbrain.com までご連絡ください。通常5営業日以内に対応いたします。