データ処理契約 (DPA)
GDPR準拠のデータ処理条件
DPA の概要
- 1あなた(顧客)はデータ管理者です - 処理の目的と手段を決定します
- 2私たちはデータ処理者です - あなたの指示に従ってのみデータを処理します
- 3文書の保持なし - 処理後すぐに文書は削除されます
- 4顧客固有の暗号化があなたのデータをあなたのユニークキーで保護します
- 5SOC 2 認証を受けた第三者AIサービスは契約上のデータ保護義務の下で運用されます
- 6GDPRデータ主体権利(アクセス、削除、ポータビリティ等)に関してサポートします
- 7EUから米国へのデータ転送に関する標準契約条項(SCC)
契約の目的
このデータ処理契約(DPA)は利用規約の一部を構成し、GDPRおよびその他適用されるデータ保護法に従って個人データの処理を管理します.
役割と責任
あなた(カスタマー)はデータコントローラです
あなたは処理の目的と手段を決定します
私たち(LoanIntelligence.ai)はデータプロセッサです
私たちはあなたの指示に従ってのみデータを処理します
処理範囲
処理の目的
ローン書類から構造化データを抽出し、データの正確性と品質分析を行い、財務計算(DSCR, LTV, P&I, NOI)を実施し、独自アルゴリズムとシグナルシステムによってデータ品質を確保し、結果をあなたのGoogle Sheetsに同期します(許可されている場合)
個人データの種類
借り手の名前、住所、SSN、TIN、財務データ(収入、資産、負債)、雇用情報、不動産データ、ローン取引詳細。重要:私たちは一時的な処理(各処理実行中)を超えて個人データを保持しません。すべての永続データは暗号化され、あなたのGoogle Drive AppDataに保存されます。
データ主体
ローン申請者、共同借り手、共同署名者、不動産所有者、保証人、そして事業者(商業ローンの場合).
処理手順
許可された活動
禁止された活動
サブプロセッサー
サービス提供のために使用する第三者
第三者AIサービス
目的: 文書処理(OCR、分類、抽出)
場所: 米国
保護措置: SOC 2 Type I および Type II 認証済み、DPAs が適用、データは転送中に暗号化、契約上あなたのデータをトレーニングに使用することは禁止
グーグルLLC
目的: OAuth 認証、Drive API、Sheets API
場所: 米国(任意)
保護措置: SOC 2 Type II、ISO 27001、標準契約条項(SCCs)
パドル
目的: 支払い処理(メール、顧客IDのみ - クレジットカードは不要)
場所: 米国 / 英国での運営
保護措置: Merchant of Record、契約上のプライバシーとセキュリティ管理
クラウドインフラプロバイダー
目的: ホスティングとコンピューティング
場所: 米国
保護措置: SOC 2 Type II 認証済みデータセンター
独自アルゴリズムとシグナルシステムをSOC 2 認証済みサードパーティAIサービスと組み合わせて利用しています。すべてのサブプロセッサは契約上のデータ保護義務の下で運営されます.
サブプロセッサの変更
サブプロセッサの変更がある場合、事前に30日以内に通知します。合理的なデータ保護の理由で14日以内に異議を申し立てることができます.
データ主体権利支援
GDPR義務の履行を支援する方法
アクセス権(第15条)
ご要望から30日以内にJSON形式でデータエクスポートを提供します.
修正権(第16条)
ご要望に応じて不正確なデータを更新します.
消去権 / 遺忘権(第17条)
ご要望から24時間以内にすべての個人データを削除します.
処理制限権(第18条)
ご要望に応じて処理を停止します.
データ可搬性権(第20条)
構造化された機械可読JSON形式でデータを提供します.
反対権(第21条)
非必須処理のオプトアウトを許可します.
自動意思決定に関する権利(第22条)
AI処理ロジックの透明性を提供し、データ品質を確保します.
リクエスト手順
データ主体からのリクエストを受け取った場合、2営業日以内にご転送します。データ主体への回答は(GDPRに基づき)30日以内に行う責任はご自身にあります。当社はリクエストを受けてから7営業日以内に必要なデータエクスポート、削除、または修正を提供して支援します.
ゼロ保持のメリット
当社のゼロ保持アーキテクチャにより: (1) ローン文書中の個人データは保持されません(短命処理)、 (2) 抽出されたデータは暗号化された YOUR Google Drive AppData にのみ保存されます、 (3) データ主体からのリクエストはアカウントを削除することで(24時間以内に当社全システムから削除される)またはご自身が YOUR Google Drive から手動でデータを削除することで対応できます。
セキュリティ対策
データ保護の方法
暗号化
アクセス制御
ゼロ保持アーキテクチャ
データ漏洩通知
即時対応(1時間以内)
違反を封じ、範囲と影響を評価し、調査を開始する.
コントローラ通知(72時間以内)
初期詳細(違反の性質、影響を受けたデータ、推定影響)をメールで通知する.
完全レポート(7日以内)
説明、影響を受けたデータ主体/記録、結果、是正措置、および推奨事項を含む詳細なインシデントレポート.
私たちは以下をお手伝いします
違反状況
November 14, 2025時点で:個人データ違反ゼロ、無許可アクセス事件ゼロ、暗号鍵侵害ゼロ。ゼロ保持アーキテクチャにより曝露を最小限に抑える(文書は処理実行中のみ存在)、顧客専用暗号化で顧客を隔離(1社の違反が他社に影響を与えない)、自動鍵ローテーションで影響を限定(侵害された鍵は1回の処理実行のみ有効).
国際データ転送(EUから米国へ)
標準契約条項(SCC)
EU委員会(決定(EU)2021/914、モジュール2:コントローラからプロセッサへの転送)によって承認された標準契約条項に依存しています.
補足技術的対策
米国政府アクセス要求
私たちは米国監視法(FISA、CLOUD Act)の対象です。ただし、ゼロ知識アーキテクチャにより、データ開示を強制された場合でも、鍵(YOUR Google Driveに保存)なしでデータを復号できません。ゼロ文書保持により、開示できるデータは最小限です。法的に禁止されない限り、政府の要求を通知し、過度または違法な要求に対抗します。現在まで:政府データ要求ゼロ(2025年11月14日時点)。
終了時のデータ削除
24時間以内
30日以内
暗号化されたバックアップからすべての個人データを削除し、削除されたデータを上書き(安全な削除).
削除証明書
ご要望に応じて、削除日、削除されたデータのカテゴリ、使用された安全な削除方法を確認する削除証明書を提供します.
監査権限
あなたの監査権限
このDPAに対する当社のコンプライアンスを年に一度監査することができます(30日前の事前通知が必要です)。監査は業務時間内で中断のないものであり、守秘義務契約の対象となります。監査費用はすべてご負担いただきます.
第三者監査報告書
直接監査の代わりに、SOC 2 タイプIIレポート(利用可能な場合)、第三者セキュリティ監査報告書をレビューしたり、標準化されたアンケートへの書面での回答を要求したりできます.
責任制限
GDPR第82条に基づき、プロセッサーに対するGDPR義務違反や、法的指示に反してまたはそれに対して行動した場合に生じる損害に対して当社は責任を負います。総責任は、サービス利用規約に記載された金額に限定されます。ただし、重大な過失、故意の不正行為、または法的に制限できない責任は除きます.
ご返答は1営業日以内に行います.