データ処理契約

「管理者」とは、自身のClavitorボールト内でデータを作成し、所有する自然人を指します。お客様は常に、ご自身の資格情報および個人データの管理者です。

「処理者」とは、管理者に代わってホスティングインフラ、暗号化オーケストレーション、およびデータストレージサービスを提供する組織であるClavitor.aiを指します。

「データ主体」とは、個人データが処理される自然人を指します。これは、お客様（管理者）ご自身、またはお客様のボールトにデータを保存する他者（家族、従業員、クライアント）の場合があります。

「個人データ」とは、お客様のボールトに保存される、識別されたまたは識別可能な自然人に関するあらゆる情報を指し、これには資格情報、パスワード、APIキー、決済カードデータ、身分証明書、連絡先情報が含まれますが、これらに限定されません。

「処理」とは、個人データに対して実行されるあらゆる操作を指し、収集、保存、暗号化、送信、バックアップ、および削除が含まれます。

3.1 文書化された指示にのみ従って処理する。 Clavitorは、利用規約に記載されているボールトサービスを提供するためのみに個人データを処理します。当社は、独自の目的でデータを使用したり、AIモデルをトレーニングしたり、インサイトを導き出したり、サブスクリプション料金を超えて収益化したりすることはありません。

3.2 機密性を確保する。 インフラへのアクセス権限を持つ可能性のあるClavitorの全従業員は、秘密保持契約に拘束されます。アクセスは最小権限の原則に基づいて付与され、記録されます。

3.3 セキュリティ対策を実施する。 当社は以下を実施します。

• エンドツーエンド暗号化：保存時および転送時のデータの暗号化
• 階層型暗号化（L2/L3）：アイデンティティ暗号化で保護されたデータは、お客様のデバイスから導出された鍵（WebAuthn PRF）で暗号化されており、当社が復号することはできません。
• ゼロ知識アーキテクチャ：当社はボールトの内容を復号できません。読み取り可能なのはメタデータ（エントリーID、種類、タイムスタンプ）のみです。
• デバイスベースの認証（WebAuthn）：サーバー側にパスワードは保存されません。
• 地理的分散：暗号化レプリケーションを備えた21のPOP（Points of Presence）
• インシデント対応：24時間365日の監視、自動アラート、文書化された侵害対応手順

3.4 サブプロセッサの透明性。 当社は、サブプロセッサリストに記載されているサブプロセッサのみを使用します。新しいサブプロセッサを追加する30日前にサブスクリプション加入者へ通知します。

3.5 データ主体の権利への支援。 お客様からのリクエストに基づき、GDPR/FADPに基づく権利（アクセス、訂正、消去、データポータビリティ、制限、異議申し立て）を行使するデータ主体からのリクエストへの対応を支援します。注：暗号化アーキテクチャの性質上、暗号化されたボールトの内容にアクセスまたは変更することはできません。支援はアカウントレベルの操作に限定されます。

3.6 セキュリティ義務への支援。 リクエストに応じて、セキュリティドキュメント、ペネトレーションテストの概要（詳細にはNDAが必要）、および監査ログを提供します。

3.7 データの削除または返却。 サブスクリプションの終了時、お客様のボールトは30日間読み取り専用になります。30日後、ボールトデータは完全に削除されます。コンプライアンスバックアップは削除の30日後に破棄されます。未払いにより停止されたアカウントの場合、データは停止の30日後に削除され、バックアップはその60日後にローテーションされます。リクエストにより、いつでも即時削除が可能です。データは復号された形式で返却することはできません（当社は鍵を保持していません）。詳細は利用規約をご参照ください。

3.8 監査および検査。 30日前の書面による通知により、お客様は本DPAへの当社の準拠状況を監査することができます。監査は当社のチューリッヒ本社またはオンラインで実施されます。当社は関連ドキュメントを提供します。インフラへの直接アクセスにはセキュリティクリアランスが必要です。

3.9 侵害の通知。 当社は、お客様の個人データに影響を与える侵害を発見した場合、24時間以内にお客様に通知します。調査や法務レビューのために通知を遅らせることは決してありません。

3.10 処理活動の文書化。 当社は処理活動の記録を保持し、リクエストに応じて概要を提供します。

お客様は以下を保証するものとします。

• お客様のボールト内の個人データを処理するための正当な根拠を有していること。
• お客様が保存するデータのデータ主体に対して、適切なプライバシー通知を提供していること。
• 適用される法令に違反してデータを保存しないこと。
• データ主体からのリクエストまたは規制当局からの問い合わせがあった場合、速やかに当社に通知すること。

お客様のボールトデータは、アクセスパターンに地理的に最も近いPOP（Point of Presence）に暗号化されて保存されます。プライマリPOPとバックアップPOPは、回復力を高めるために異なるリージョンに配置されています。都市、プロバイダ、コンプライアンス認証を含む21のPOPの完全なリストは、当社のPOPデータベースで管理されています。

POPに使用されるインフラプロバイダには、Amazon Web Services（17 POP、ほとんどのリージョンのプライマリプロバイダ）、ISHosting（イスタンブール、アルマトイ、ボゴタ）、HostAfrica（ラゴス）が含まれます。チューリッヒ本社の業務（請求、管理）にはHostkeyを使用しています。

すべてのPOPは以下のいずれかに該当します。

• 十分性認定を受けた管轄区域（EU、EEA、スイス、英国、カナダなど）に所在する。
• 十分性認定が存在しない場合、標準契約条項（SCC）に拘束される。

当社の暗号化アーキテクチャ（ゼロ知識）により、十分性認定を受けていない管轄区域に保存されたデータであっても、技術的に保護されています。当社が復号することはできません。現地の当局も同様です。DNS解決はCloudflareによって処理されますが、ボールトデータが同社のネットワークを通過することはありません。

保存時のデータは、当社が復号できるものではありません。ボールトファイルは暗号化されており、暗号鍵はサーバーに保存されません。エージェントまたはユーザーが接続する際、L1鍵を携行します。技術的には転送中にこれを傍受することは可能ですが（実際には行わず、TLSが第三者による傍受を防止します）、L1鍵があっても表示されるのはメタデータのみです。資格情報およびアイデンティティ暗号化で保護されたデータは封印されたままです。

• L1（ボールト暗号化）： ボールトはAES-256-GCMで保存時に暗号化されます。8バイトのL1鍵は、リクエストごとにエージェントまたはユーザーが携行し、サーバーには保存されません。L1鍵があれば、エントリーのタイトル、種類、タイムスタンプが表示されます。これは、リクエストに応答するために必要な最小限の運用要件です。
• L2（資格情報）： パスワード、APIキー、TOTPシード、OAuthトークン。サーバー上に決して存在しない16バイトの鍵でフィールドごとに暗号化されます。L2は、ユーザーのブラウザおよび登録されたエージェントのみが保持します。当社は資格情報を復号できず、サーバー側のプロセスがL2にアクセスすることも決してありません。
• L3（アイデンティティ暗号化で保護されたデータ）： クレジットカード、CVV、パスポート番号、SSN、リカバリコード。ボールト作成時に生成された純粋なランダムエントロピーを持つ32バイトの鍵で暗号化されます。ユーザーはこの鍵を知りません。当社も保持していません。L3はいかなるサーバー上にも決して存在しません。ハードウェアキーのPRF（指紋、顔、またはWebAuthn PRF経由のセキュリティキー）の32バイト出力でラップすることで保護されます。物理デバイスがなければ、L3のラップを解除することはできません。数学的に、当社がアイデンティティ暗号化で保護されたデータを復号することは不可能であり、保持していない鍵の提出を強制されることもありません。

DPAに関するお問い合わせ：

データ保護責任者（DPO） Clavitor LLC c/o Johan Jongsma

本DPAは、サブスクリプションの開始日から有効となり、終了まで効力を有します。変更は30日前に通知されます。継続的な使用は、変更に同意したものとみなされます。

最終更新日: 2026年5月25日 · バージョン1.1