LoanIntelligence.aiLoanIntelligence.ai
法務概要に戻る

データ処理契約 (DPA)

GDPR準拠のデータ処理条件

最終更新日:November 14, 2025

DPA の概要

  1. 1あなた(顧客)はデータ管理者です - 処理の目的と手段を決定します
  2. 2私たちはデータ処理者です - あなたの指示に従ってのみデータを処理します
  3. 3文書の保持なし - 処理後すぐに文書は削除されます
  4. 4顧客固有の暗号化があなたのデータをあなたのユニークキーで保護します
  5. 5SOC 2 認証を受けた第三者AIサービスは契約上のデータ保護義務の下で運用されます
  6. 6GDPRデータ主体権利(アクセス、削除、ポータビリティ等)に関してサポートします
  7. 7EUから米国へのデータ転送に関する標準契約条項(SCC)

契約の目的

このデータ処理契約(DPA)は利用規約の一部を構成し、GDPRおよびその他適用されるデータ保護法に従って個人データの処理を管理します.

役割と責任

あなた(カスタマー)はデータコントローラです

あなたは処理の目的と手段を決定します

処理するローン書類と目的を決定します
抽出データに基づき貸付判断を行います
GDPR第6条に基づく処理の合法的根拠を確保します
データ主体(借り手)から必要な同意を取得します
借り手にプライバシー通知を提供します
FCRA、ECOA、および公正貸付法の遵守を確保します
データ主体の権利リクエスト(アクセス、削除など)を処理します

私たち(LoanIntelligence.ai)はデータプロセッサです

私たちはあなたの指示に従ってのみデータを処理します

個人データは、あなたの指示(API 呼び出しを通じて)のみで処理します
貸付判断やローン結果の決定は行いません
データ処理の技術サービスプロバイダーとしてのみ活動します
あなたのデータを保護するために適切なセキュリティ対策を実装します
本DPAに準拠したサブプロセッサを雇用します
データ主体の権利リクエストおよび違反通知の対応を支援します
終了時に個人データを削除または返却します

処理範囲

1

処理の目的

ローン書類から構造化データを抽出し、データの正確性と品質分析を行い、財務計算(DSCR, LTV, P&I, NOI)を実施し、独自アルゴリズムとシグナルシステムによってデータ品質を確保し、結果をあなたのGoogle Sheetsに同期します(許可されている場合)

2

個人データの種類

借り手の名前、住所、SSN、TIN、財務データ(収入、資産、負債)、雇用情報、不動産データ、ローン取引詳細。重要:私たちは一時的な処理(各処理実行中)を超えて個人データを保持しません。すべての永続データは暗号化され、あなたのGoogle Drive AppDataに保存されます。

3

データ主体

ローン申請者、共同借り手、共同署名者、不動産所有者、保証人、そして事業者(商業ローンの場合).

処理手順

許可された活動

ローン文書からテキストを抽出する(OCR)
文書をタイプ別に分類する(給与明細、銀行取引明細、税務申告書など)
構造化データフィールド(名前、金額、日付、住所)を抽出する
金融計算と検証を実行する
独自のアルゴリズムとシグナルシステムを通じてデータの正確性と品質を保証する
結果をあなたの Google Sheets にエクスポートする(許可されている場合)
コスト最適化のために処理結果を一時的にキャッシュする(暗号化、顧客隔離)

禁止された活動

個人データを当社自身の目的で使用する
第三者(認可されたサブプロセッサーを除く)と個人データを共有する
AIトレーニングや分析に個人データを使用する
処理完了後に個人データを保持する(ゼロ保持)
あなたの指示の範囲外で個人データを処理する

サブプロセッサー

サービス提供のために使用する第三者

1

第三者AIサービス

目的: 文書処理(OCR、分類、抽出)

場所: 米国

保護措置: SOC 2 Type I および Type II 認証済み、DPAs が適用、データは転送中に暗号化、契約上あなたのデータをトレーニングに使用することは禁止

2

Google LLC

目的: OAuth 認証、Drive API、Sheets API

場所: 米国(任意)

保護措置: SOC 2 Type II、ISO 27001、標準契約条項(SCCs)

3

ストライプ社.

目的: 支払い処理(メール、顧客IDのみ - クレジットカードは不要)

場所: 米国

保護措置: PCI-DSS Level 1 認証済み、GDPR準拠

4

クラウドインフラプロバイダー

目的: ホスティングとコンピューティング

場所: 米国

保護措置: SOC 2 Type II 認証済みデータセンター

独自アルゴリズムとシグナルシステムをSOC 2 認証済みサードパーティAIサービスと組み合わせて利用しています。すべてのサブプロセッサは契約上のデータ保護義務の下で運営されます.

サブプロセッサの変更

サブプロセッサの変更がある場合、事前に30日以内に通知します。合理的なデータ保護の理由で14日以内に異議を申し立てることができます.

データ主体権利支援

GDPR義務の履行を支援する方法

1

アクセス権(第15条)

ご要望から30日以内にJSON形式でデータエクスポートを提供します.

2

修正権(第16条)

ご要望に応じて不正確なデータを更新します.

3

消去権 / 遺忘権(第17条)

ご要望から24時間以内にすべての個人データを削除します.

4

処理制限権(第18条)

ご要望に応じて処理を停止します.

5

データ可搬性権(第20条)

構造化された機械可読JSON形式でデータを提供します.

6

反対権(第21条)

非必須処理のオプトアウトを許可します.

7

自動意思決定に関する権利(第22条)

AI処理ロジックの透明性を提供し、データ品質を確保します.

リクエスト手順

データ主体からのリクエストを受け取った場合、2営業日以内にご転送します。データ主体への回答は(GDPRに基づき)30日以内に行う責任はご自身にあります。当社はリクエストを受けてから7営業日以内に必要なデータエクスポート、削除、または修正を提供して支援します.

ゼロ保持のメリット

当社のゼロ保持アーキテクチャにより: (1) ローン文書中の個人データは保持されません(短命処理)、 (2) 抽出されたデータは暗号化された YOUR Google Drive AppData にのみ保存されます、 (3) データ主体からのリクエストはアカウントを削除することで(24時間以内に当社全システムから削除される)またはご自身が YOUR Google Drive から手動でデータを削除することで対応できます。

セキュリティ対策

データ保護の方法

暗号化

すべての API リクエストと第三者接続に対して HTTPS/TLS 1.3 暗号化を実施
顧客固有の暗号化:各顧客は固有の AES-256-GCM 暗号化鍵を持ちます
自動鍵ローテーション:処理実行ごとに保存鍵をローテーションする
暗号化された AI キャッシュ:すべてのキャッシュ項目は顧客隔離鍵で暗号化されます
OAuth トークンは休止中に AES-256-GCM で暗号化されます
アカウントデータのデータベース休止時暗号化

アクセス制御

最小権限の原則:従業員は役割に必要最低限のアクセス権を持ちます
ロールベースアクセス制御(RBAC):管理者、開発者、サポート役割付き
多要素認証(2FA)がすべての管理アクセスに必要です
監査ログ:すべての管理アクセスはログに記録され、監視されます

ゼロ保持アーキテクチャ

各処理実行中にメモリ上で文書を処理し、直ちに削除します
ローン文書は当社のインフラに保持されません
処理結果は暗号化された YOUR Google Drive にのみ保存されます(あなたの鍵で暗号化)

View Full Security Policy

データ漏洩通知

1

即時対応(1時間以内)

違反を封じ、範囲と影響を評価し、調査を開始する.

2

コントローラ通知(72時間以内)

初期詳細(違反の性質、影響を受けたデータ、推定影響)をメールで通知する.

3

完全レポート(7日以内)

説明、影響を受けたデータ主体/記録、結果、是正措置、および推奨事項を含む詳細なインシデントレポート.

私たちは以下をお手伝いします

監督機関に72時間以内に通知する(GDPR 第33条)
影響を受けたデータ主体への違反通知(GDPR 第34条)
フォレンジック調査を実施する
是正措置を実施する

違反状況

November 14, 2025時点で:個人データ違反ゼロ、無許可アクセス事件ゼロ、暗号鍵侵害ゼロ。ゼロ保持アーキテクチャにより曝露を最小限に抑える(文書は処理実行中のみ存在)、顧客専用暗号化で顧客を隔離(1社の違反が他社に影響を与えない)、自動鍵ローテーションで影響を限定(侵害された鍵は1回の処理実行のみ有効).

国際データ転送(EUから米国へ)

標準契約条項(SCC)

EU委員会(決定(EU)2021/914、モジュール2:コントローラからプロセッサへの転送)によって承認された標準契約条項に依存しています.

補足技術的対策

顧客専用暗号化:ユニークな顧客キー(私たちには不明)で暗号化されたデータ
自動鍵ローテーション:処理実行ごとに保存鍵をローテーションする
ゼロ文書保持:文書は当社インフラに保存されない
暗号化されたAIキャッシュ:キャッシュエントリは顧客隔離キーで暗号化
契約上の禁制:サブプロセッサは法的要件を除き、政府にデータを開示することが禁止されている

米国政府アクセス要求

私たちは米国監視法(FISA、CLOUD Act)の対象です。ただし、ゼロ知識アーキテクチャにより、データ開示を強制された場合でも、鍵(YOUR Google Driveに保存)なしでデータを復号できません。ゼロ文書保持により、開示できるデータは最小限です。法的に禁止されない限り、政府の要求を通知し、過度または違法な要求に対抗します。現在まで:政府データ要求ゼロ(2025年11月14日時点)。

終了時のデータ削除

24時間以内

当社のシステムからすべての個人データを削除します
暗号化されたAIキャッシュエントリを削除します
トークン OAuth を取り消します(Google Drive アクセス)
本番データベースからアカウント情報を削除します
1

30日以内

暗号化されたバックアップからすべての個人データを削除し、削除されたデータを上書き(安全な削除).

2

削除証明書

ご要望に応じて、削除日、削除されたデータのカテゴリ、使用された安全な削除方法を確認する削除証明書を提供します.

監査権限

1

あなたの監査権限

このDPAに対する当社のコンプライアンスを年に一度監査することができます(30日前の事前通知が必要です)。監査は業務時間内で中断のないものであり、守秘義務契約の対象となります。監査費用はすべてご負担いただきます.

2

第三者監査報告書

直接監査の代わりに、SOC 2 タイプIIレポート(利用可能な場合)、第三者セキュリティ監査報告書をレビューしたり、標準化されたアンケートへの書面での回答を要求したりできます.

責任制限

GDPR第82条に基づき、プロセッサーに対するGDPR義務違反や、法的指示に反してまたはそれに対して行動した場合に生じる損害に対して当社は責任を負います。総責任は、サービス利用規約に記載された金額に限定されます。ただし、重大な過失、故意の不正行為、または法的に制限できない責任は除きます.

お手伝いが必要です?

このDPAでお困りですか??

GDPR、SCC、またはDPAに関するご質問は、メールで当社法務チーム([email protected])へご連絡ください。

[email protected]

ご返答は1営業日以内に行います.