DPA 2026年5月

2.1. 本 DPA の目的上、および GDPR の定義に従い、MyScript はプロセッサとして、お客様はコントローラとして行動します。

2.2. プロセッサは以下を行うものとします：

• ユーザー個人データの処理において、適用されるすべてのデータ保護法を遵守すること、
• お客様からの文書による指示がある場合を除き、ユーザー個人データを処理しないこと。

2.2. お客様は本書により、サービス提供のためにユーザー個人データを処理するようプロセッサに指示します。

プロセッサは、ユーザー個人データにアクセスする可能性のあるプロセッサの従業員、代理人、または請負業者の信頼性を確保するために合理的な措置を講じるものとし、いずれの場合も、アクセスが、本サービスの提供のため、またはプロセッサの組織内でその役割を遂行するために、関連するユーザー個人データにアクセスする必要がある個人に厳密に限定され、その個人のプロセッサに対する職務に関連して適用される法律を遵守し、そのようなすべての個人が守秘義務誓約または職業上もしくは法令上の守秘義務に従うことを保証するものとします。

4.1. プロセッサのセキュリティに関する責任

4.1.1. プロセッサは、技術水準、実施コスト、処理の性質、範囲、文脈および目的、ならびに自然人の権利および自由に対するリスクの発生可能性および重大性を考慮し、ユーザー個人データに関して、そのリスクに見合った適切なセキュリティレベルを確保するための適切な技術的および組織的措置を実施するものとし、必要に応じて GDPR 第32条(1)に言及されている措置を含みます。

4.1.2. 適切なセキュリティレベルを評価するにあたり、プロセッサは特に、処理によって生じるリスク、とりわけ個人データの漏洩に起因するリスクを考慮するものとします。

4.1.3. プロセッサのセキュリティ対策の詳細は、本 DPA の別表2に記載されています。

4.2. お客様のセキュリティ責任

お客様は、第4.1条（セキュリティ対策）および第7条（個人データの漏洩）に基づくプロセッサの義務を損なうことなく、以下に同意するものとします：

4.2.1. お客様は、本サービスの利用について単独で責任を負うものとし、これには (i) 本サービスを通じて個人データが処理されるすべての自然人から必要なすべての許可を取得していることの確認、および (ii) すべてのログイン認証情報およびパスワードを安全に保管し、定期的に変更することが含まれます。

4.2.2. プロセッサは、お客様がプロセッサ（またはサブプロセッサ）のシステム外に保存または移転することを選択したユーザー個人データを保護する義務を負いません。

4.2.3. お客様は、セキュリティ対策を確認し、本サービス、当該対策、追加のセキュリティ情報、および本第4条（データセキュリティ）に基づくプロセッサの義務が、お客様の法域で適用されるデータ保護法上のセキュリティ義務を含め、お客様のニーズを満たすかどうかを自ら評価する責任を単独で負うものとします。

5.1. プロセッサは、お客様の要求または承認がない限り、ユーザー個人データを第三者に移転せず、またサブプロセッサを任命（またはユーザー個人データを開示）しないものとします。

5.2. お客様は、本 DPA の別表1に記載されたサブプロセッサが、サービス提供に必要な範囲でユーザー個人データを受領および処理することを承認します。 プロセッサは、新たなサブプロセッサによるユーザー個人データの処理に先立ち、別表1の変更についてお客様に通知し、お客様はサービスの利用を中止することができます。

5.3. プロセッサは、そのサブプロセッサの作為および不作為について、本 DPA および法的通知および利用規約の条件に基づき、各サブプロセッサのサービスを自ら直接実施した場合と同一の範囲で責任を負うものとします。

6.1. プロセッサは、処理の性質を考慮し、可能な範囲で適切な技術的および組織的措置を実施することにより、データ保護法に基づくデータ主体の権利、すなわちアクセス権、訂正権、処理の制限、消去、データポータビリティ、処理への異議、または自動化された個別の意思決定の対象とならない権利（以下「データ主体の要求」）の行使要求に対応するための、お客様の義務の履行をプロセッサが合理的に理解する範囲で支援するものとします。

6.2. プロセッサは以下を行うものとします：

• ユーザー個人データに関して、データ保護法に基づきデータ主体からの要求を受領した場合、速やかにお客様に通知すること、
• お客様の文書化された指示に基づく場合、またはプロセッサが適用対象となる法律によって必要とされる場合を除き、プロセッサがその要求に応じないようにすること。適用対象となる法律によって必要とされる場合、プロセッサは、適用される法律により許容される範囲において、要求に応答する前に、当該法的要件をお客様に通知するものとします。

6.3. プロセッサは、処理の性質を考慮し、可能な範囲で適切な技術的および組織的措置により、欧州データ保護法に基づくデータ主体の要求への対応に関するお客様の義務の履行を支援します。 さらに、お客様が本サービスの利用においてデータ主体の要求に対応できない場合、プロセッサは、お客様からの書面による要請に基づき、法的に許容される範囲内で、かつ当該対応が欧州データ保護法により要求される場合に限り、当該要求への対応を円滑にするための合理的な協力および支援を提供します。 法令で認められる範囲において、当該支援の提供に起因する費用はお客様が負担するものとします。

7.1. プロセッサは、ユーザー個人データに影響を与える個人データの漏洩を認識した場合、不当な遅延なくお客様および管轄監督当局に通知し、データ保護法に基づく報告またはデータ主体への通知義務を履行するために十分な情報をお客様に提供するものとします。

7.2. プロセッサは、お客様と協力し、お客様の指示に従い、当該個人データの漏洩の調査、軽減および是正を支援するための合理的な商業上の措置を講じるものとします。

7.3. 個人データ侵害に関する通知は、お客様に対して直接の連絡により提供されます。 お客様は、プロセッサに提供した通知用メールアドレスを含むすべての連絡先情報が最新かつ有効であることを確保する責任を単独で負います。

7.4. プロセッサは、特定の法的要件の対象となる情報を特定する目的でユーザー個人データの内容を評価することはありません。 お客様は、適用されるインシデント通知法を遵守し、個人データの漏洩に関連する第三者への通知義務を履行する責任を単独で負います。

7.5. 本第7.1条（個人データの漏洩）に基づくプロセッサによる通知または対応は、当該個人データの漏洩に関する過失または責任をプロセッサが認めたものとは解釈されないものとします。

プロセッサは、GDPR第35条または第36条、あるいは他のデータ保護法の同等の規定により必要とお客様が合理的に判断するデータ保護影響評価および監督当局またはその他の管轄データ保護当局との事前協議について、処理の性質およびプロセッサが利用可能な情報を考慮し、かつプロセッサによるユーザー個人データの処理に限り、合理的な支援を提供するものとします。

9.1. お客様からの明示的な要請があった場合、またはお客様自身によるアカウント削除時に、プロセッサは、処理済みまたは処理中のユーザー個人データを削除するものとします。 削除は最終的なものであり、プロセッサは当該ユーザー個人データのコピーを一切保持しません。

9.2. サービス終了時には、プロセッサは速やかに、かついかなる場合でもユーザー個人データの処理を伴うサービス終了日から12か月以内に、サービス提供中にプロセッサ（またはサブプロセッサ）へ移転されたユーザー個人データのすべてのコピー（存在する場合）を削除し、また削除させるものとします。

10.1. プロセッサは、本 DPA および適用されるデータ保護法に基づく義務の遵守を確保するため、定期的に監査を実施し、すべてのサブプロセッサにも同様の監査を実施させるものとします。

10.2. 本第10条に従い、十分な機密保持契約が締結されていることを条件として、プロセッサは、要求に応じて、プロセッサおよび／またはサブプロセッサによるユーザー個人データの処理に関し、本 DPA の遵守を証明するために必要なすべての情報をお客様に提供するものとします。

10.3. お客様は、第10.1条に記載された監査の実施をプロセッサに指示することにより、適用されるデータ保護法に基づき、自身のために、またお客様がプロセッサとして行動する場合にはお客様のコントローラのために、検査を含むあらゆる監査の実施を要求または委任する権利を有します。

10.4. 監査に関する本指示を変更したい場合、お客様は legal@myscript.com 宛に書面で通知することにより変更を要求することができます。 監査を含む検査に関してお客様が要求したいかなる要求および/または指示にもプロセッサが従うことを拒否した場合、お客様は本サービスを直ちに終了する権利を有します。

11.1. プロセッサは、お客様の事前の書面による同意なしに、EU および／または EEA 外の国へユーザー個人データを移転または移転を許可することはできません。 本 DPA に基づき処理される個人データが欧州経済地域内の国から欧州経済地域外の国へ移転される場合、両当事者はユーザー個人データが適切に保護されることを確保するものとします。 そのため、両当事者は、別段の合意がない限り、EU による十分性認定または個人データ移転のための EU 承認標準契約条項に依拠するものとします。

11.2. ユーザー個人データを受領するサブプロセッサおよびそれらの所在国の一覧は、本 DPA の別表1に記載されています。 上記第11.1条の目的のため、お客様は別表1に記載されたサブプロセッサへのユーザー個人データの移転に同意するものとします。

12.1. 期間

本 DPA は、お客様が法的通知および利用規約に同意した時点で効力を生じ、プロセッサがお客様にサービスを提供している期間中有効に存続します。

12.2. 通知

本 DPA に基づくすべての通知および連絡は書面で行い、MyScript がお客様に連絡する場合は MyScript アカウント作成時に使用したメールアドレス宛に送信し、お客様が MyScript に通知する場合は legal@myscript.com 宛に送信するものとします。

12.3. 準拠法および管轄

本 DPA は、抵触法の規定を除き、フランス法に準拠します。 本 DPA に起因または関連して生じる紛争で、両当事者が友好的に解決できないものは、フランスの管轄裁判所または当局の専属的管轄に付託されるものとします。

12.4. 分離可能性

本 DPA のいずれかの条項が無効または執行不能である場合でも、本 DPA の残余の条項は引き続き有効に存続します。 無効または執行不能な条項は、(i) 両当事者の意図を可能な限り維持しつつ、その有効性および執行可能性を確保するために必要な範囲で修正されるか、またはそれが不可能な場合は (ii) 当該無効または執行不能な部分が当初から含まれていなかったものとして解釈されるものとします。

12.5. 管轄監督機関

請求、苦情または要請に関して連絡すべき管轄監督当局は Commission Nationale des Informations et des Libertés（CNIL）であり、こちらのページ（フランス語） から連絡できます。

13.1. 別表 1 - サブプロセッサリスト

MyScript アプリのクラウド機能

サブプロセッサ: AWS, 欧州連合に所在するクラウドインフラ提供者。

サブプロセッサ: Freshdesk (Freshworks), 欧州連合に所在し、ファイル（コンテンツ）の転送を含む場合があるサポートリクエストの受領および管理を行う。

サブプロセッサ: Brevo, 欧州連合に所在するメールサービスプロバイダ。

開発者ポータルによる MyScript Cloud の認識

サブプロセッサ: AWS, 米国オレゴン州に所在するクラウドインフラ提供者 (SCC適用)。

サブプロセッサ: Brevo, 欧州連合に所在するメールサービスプロバイダ。

13.2. 別表 2 - セキュリティ対策

プロセッサは、お客様のためにユーザー個人データを処理する際、以下の技術的および組織的なセキュリティ対策を実施し、維持します:

物理的アクセスコントロール

プロセッサは、権限のない者がユーザー個人データにアクセスできないように、セキュリティで保護された建物やサーバールームなど、物理的なアクセスを防止するための合理的な措置を講じるか、またはプロセッサに代わってデータセンターを運営しているサブプロセッサがかかるコントロールを遵守していることを確認するものとします。

システムアクセスコントロール

プロセッサは、ユーザー個人データが無許可で使用されることを防止するために合理的な措置を講じるものとします。 これらの管理措置は、実施される処理の性質に応じて異なり、例えばパスワードによる認証、該当する場合の多要素認証との組み合わせ、文書化された認可プロセス、ファイアウォール、文書化された変更管理プロセス、および/または複数レベルでのアクセスの記録や自動セキュリティ更新などが含まれる場合があります。

データアクセスコントロール

プロセッサは、ユーザー個人データが、適切に権限を与えられたスタッフによってのみアクセスおよび管理が可能であること、データ処理システムを使用する権利を有する者がアクセス権を有するユーザー個人データにのみアクセスできるよう、データベースへの直接のクエリーアクセスが制限されていること、およびアプリケーションのアクセス権が確立および実施されていること、ならびに処理の過程でユーザー個人データが許可なく読み取られ、コピー、変更、または削除されないことを保証するために、合理的な措置を講じるものとします。

トランスミッションコントロール

プロセッサは、データ伝送手段によるユーザー個人データの移転先となる主体を確認および特定できるようにするための合理的な措置を講じ、電子的伝送または輸送中にユーザー個人データが無許可で読み取り、コピー、変更または削除されないようにするものとします。 これらの措置には、認証された安全なサーバー接続の使用およびすべての API におけるクロスオリジンリソース共有の制限が含まれます。

入力コントロール

プロセッサは、メタデータがデータ処理システムに入力されたか、変更または削除されたかを確認および特定できるようにするための合理的な措置を講じるものとします。 プロセッサは、認証および安全な監査ログのための暗号プロトコルを含む業界のベストプラクティスを採用するものとします。

データのバックアップ

本サービスのデータベースのバックアップは定期的に取得され、安全に保護され、保存時に暗号化されることで、ユーザー個人データが偶発的な破壊や損失から保護されます。 スナップショットは12時間ごとに取得されます（AWS）。 暗号化されたバックアップは当社サーバー上で3日ごとに実施されます。

13.3. 別表 3 - 処理活動の説明

名称： MyScript SAS

住所： 3 rue de la Rainière, 44339 Nantes Cedex 3, フランス

担当者名、役職および連絡先： Emilie Fowell、DPO、legal@myscript.com

移転されるデータに関連する活動： サービスの提供

役割（コントローラ／プロセッサ）： プロセッサ

13.3.1. MyScript アプリのクラウド機能

a. 個人データが移転されるデータ主体のカテゴリ

お客様は、ユーザー個人データを本サービスに提出できますが、その範囲はお客様のみによって決定および制御されるものとします。

b. 移転される個人データのカテゴリ

MyScript と共有するため、または MyScript アプリのクラウド機能を通じて保存するために、本サービスを通じてお客様からプロセッサに送信される MyScript Notes または MyScript Math のコンテンツに含まれる非構造化のユーザー個人データ。

c. 特別カテゴリのデータ

MyScript は、特別カテゴリのデータ（人種または民族的出自、政治的意見、宗教または哲学的信念、労働組合への加盟、遺伝情報または生体情報、健康状態および性生活など）を収集しません。 ただし、上記の非構造化ユーザー個人データの内容は MyScript には不明です。

d. 移転の頻度

構造化されていないユーザー個人データは、お客様の本サービスの利用頻度に応じて、別表 1 に記載された弊社のサブプロセッサに継続的に移転されます。

e. 処理の性質

処理の性質は、本サービスの履行です。

f. データ移転およびその後の処理の目的(複数)

MyScript は、お客様が要求した本サービスの履行に必要なユーザー個人データを処理します。

g. 個人データの保存期間、またはそれが不可能な場合は当該期間を決定するための基準

非構造化ユーザー個人データは、お客様が MyScript アプリのクラウド機能を通じてユーザー個人データを保存または共有することを選択している期間、プロセッサのサーバーに移転されます。 お客様が MyScript アカウントを削除した場合、すべてのユーザー個人データはすべての保存場所から自動的に削除されます。

h. （サブ）プロセッサへの移転については、処理の対象、性質および期間も明記すること

サブプロセッサは、サービスの提供に必要な範囲でユーザー個人データを処理します。 サブプロセッサは、お客様が MyScript アカウントを保有している期間、または書面で別途合意されている場合やお客様が事前削除を要求した場合を除き、ユーザー個人データを処理します。 サービス提供のために使用されるサブプロセッサの識別情報および所在国は、本 DPA の別表1に記載されています。

13.3.2. 開発者ポータルによる MyScript Cloud の認識

a. 個人データが移転されるデータ主体のカテゴリ

お客様は、ユーザー個人データを本サービスに提出できますが、その範囲はお客様のみによって決定および制御されるものとします。

b. 移転される個人データのカテゴリ

• 手書きメモからデジタルテキストに変換するために、お客様が本サービスを通じてプロセッサに送信した文書に含まれる構造化されていないユーザー個人データ。
• エンドユーザーの IP アドレス。

c. 特別カテゴリのデータ

MyScript は、特別カテゴリのデータ（人種または民族的出自、政治的意見、宗教または哲学的信念、労働組合への加盟、遺伝情報または生体情報、健康状態および性生活など）を収集しません。 ただし、上記の非構造化ユーザー個人データの内容は MyScript には不明です。

d. 移転の頻度（例：データが単発で移転されるか、継続的に移転されるか）

上記のすべてのカテゴリのデータは、別表 1 に記載された弊社のサブプロセッサに移転され、本サービスの利用状況に応じて継続的に移転されます。

e. 処理の性質

処理の性質は、本サービスの履行です。

f. データ移転およびその後の処理の目的(複数)

MyScript は、サービスを履行するために必要な個人データを処理します。

g. 個人データの保存期間、またはそれが不可能な場合は当該期間を決定するための基準

非構造化ユーザー個人データは、処理のためにプロセッサのサーバーへ移転され、その後エンドユーザーに返却され、プロセッサによって保存されません。 IP アドレスはログ記録として12か月間保持されます。 非構造化ユーザー個人データは、お客様が書面で明示的に要求した場合を除き、プロセッサによって保存されません。

h. （サブ）プロセッサへの移転については、処理の対象、性質および期間も明記すること

サブプロセッサは、サービスの提供に必要な範囲でユーザー個人データを処理します。 サブプロセッサは、お客様がサービスを利用している期間、書面で別途合意がない限り、個人データを処理します。 サービス提供のために使用されるサブプロセッサの識別情報および所在国は、本 DPA の別表1に記載されています。