データ処理合意書

「管理者（Controller）」とは、Clavitor ボルト内のデータを生成し、所有する自然人を指します。お客様は常に、ご自身の資格情報および個人データの管理者です。

「処理者（Processor）」とは、管理者に代わってホスティング・インフラストラクチャ、暗号化オーケストレーション、およびデータストレージサービスを提供する Clavitor.ai を指します。

「データ主体（Data Subject）」とは、個人データが処理される対象となる自然人を指します。これには、お客様自身（管理者）や、お客様がボルトに保存するその他のデータ主体（家族、従業員、クライアントなど）が含まれます。

「個人データ（Personal Data）」とは、お客様のボルトに保存されている、特定された、または特定可能な自然人に関するあらゆる情報を指します。これには、資格情報、パスワード、APIキー、決済カードデータ、身分証明書、連絡先情報が含まれますが、これらに限定されません。

「処理（Processing）」とは、収集、保存、暗号化、送信、バックアップ、削除を含む、個人データに対して行われるあらゆる操作を指します。

3.1 文書化された指示に従った処理のみを行う。 Clavitor は、利用規約に記載されているボルトサービスを提供するためにのみ個人データを処理します。当社が独自の目的でデータを使用したり、AIモデルのトレーニング、インサイトの抽出、またはサブスクリプション料金以外の目的で収益化したりすることはありません。

3.2 機密性の確保。 インフラストラクチャへのアクセス権を持つ可能性のあるすべての Clavitor 職員は、機密保持契約に拘束されます。アクセス権は最小権限の原則に基づいて付与され、ログに記録されます。

3.3 セキュリティ対策の実施。 当社は以下の対策を実施しています：

• エンドツーエンド暗号化：保存時および転送時のデータの暗号化
• 階層型暗号化 (L2/L3)：お客様のデバイスから派生したキー (WebAuthn PRF) で暗号化された識別情報フィールド — 当社では復号化できません
• ゼロ知識アーキテクチャ：当社はボルトの内容を復号できません。読み取り可能なのはメタデータ（エントリID、タイプ、タイムスタンプ）のみです
• デバイスベースの認証 (WebAuthn)：サーバー側にパスワードは保存されません
• 地理的分散：暗号化レプリケーションを備えた21のポイント・オブ・プレゼンス (POP)
• インシデント対応：24時間365日のモニタリング、自動アラート、文書化された侵害手順

3.4 再処理者の透明性。 当社は、再処理者リスト に記載されている再処理者のみを使用します。新しい再処理者を追加する場合は、30日前にお客様に通知します。

3.5 データ主体の権利への協力。 お客様のリクエストに基づき、GDPR/FADP に基づく権利（アクセス、訂正、消去、ポータビリティ、制限、異議申し立て）を行使するデータ主体からの要求への対応を支援します。注：暗号化アーキテクチャの性質上、当社は暗号化されたボルトの内容にアクセスしたり変更したりすることはできません。支援はアカウントレベルの操作に限定されます。

3.6 セキュリティ義務への協力。 リクエストに応じて、セキュリティ文書、ペネトレーションテストの要約（詳細はNDAが必要）、および監査ログを提供します。

3.7 データの削除または返還。 サブスクリプション終了後、お客様のボルトは30日間読み取り専用となります。30日経過後、ボルトデータは永久に削除されます。コンプライアンス用バックアップは、削除から30日後に破棄されます。支払遅延によりアカウントが停止された場合、データは停止から30日後に削除され、バックアップはその後60日後にローテーションされます。リクエストにより、いつでも即時削除が可能です。データは復号された形式で返還することはできません（当社はキーを保持していないため）。詳細は 利用規約 をご確認ください。

3.8 監査および検査。 30日前の書面による通知により、お客様は本DPAへの当社の準拠状況を監査することができます。監査は当社の Zurich 本社、またはバーチャルで行われます。当社は関連文書を提供しますが、インフラストラクチャへの直接アクセスにはセキュリティクリアランスが必要です。

3.9 侵害の通知。 お客様の個人データに影響を与える侵害を発見した場合、24時間以内に通知します。調査や法的検討のために通知を遅らせることは決してありません。

3.10 処理活動の記録。 当社は処理活動の記録を維持し、リクエストに応じて要約を提供します。

お客様は以下を保証するものとします：

• ボルト内の個人データを処理するための適法な根拠を有していること
• データを保存するデータ主体に対して、適切なプライバシー通知を提供していること
• 適用法に違反してデータを保存しないこと
• データ主体からの要求や規制当局からの照会があった場合、速やかに当社に通知すること

お客様のボルトデータは、お客様のアクセスパターンに地理的に最も近いポイント・オブ・プレゼンス (POP) に暗号化された状態で保存されます。レジリエンス（回復力）を高めるため、プライマリ POP とバックアップ POP は異なるリージョンに配置されます。都市、プロバイダー、およびコンプライアンス認証を含む 21 の POP の完全なリストは、POP データベース で管理されています。

POP に使用されているインフラストラクチャ・プロバイダーには、Amazon Web Services (17 の POP、ほとんどのリージョンにおける主要プロバイダー)、ISHosting (イスタンブール、アルマトイ、ボゴタ)、および HostAfrica (ラゴス) が含まれます。Zürich 本社の業務（請求、管理）には Hostkey を使用しています。

すべての POP は以下のいずれかに該当します：

• 十分性認定を受けている管轄区域 (EU、EEA、スイス、英国、カナダなど)
• 十分性認定が存在しない場合、標準契約条項 (SCCs) に拘束される

当社の暗号化アーキテクチャ (ゼロ知識) により、十分性認定を受けていない管轄区域に保存されたデータであっても、技術的に保護されています。当社はデータを復号できず、現地の当局も同様です。DNS レゾリューションは Cloudflare によって処理されますが、ボルトデータが彼らのネットワークを通過することはありません。

保存されているデータは、当社では復号化できません。ボルトファイルは暗号化されており、暗号化キーはサーバーに保存されません。エージェントまたはユーザーが接続する際、L1 キーを携行します。技術的には転送中に傍受される可能性がありますが（当社は行いませんし、TLS が第三者による傍受を防ぎます）、L1 であってもメタデータのみが可視化される状態です。資格情報および識別情報フィールドは封印されたままとなります。

• L1 (ボルト暗号化): ボルトは AES-256-GCM で保存時に暗号化されます。8 バイトの L1 キーは、各リクエスト時にエージェントまたはユーザーによって携行され、サーバーには保存されません。L1 では、エントリのタイトル、タイプ、タイムスタンプが可視化されます。これはリクエストを処理するために必要な運用の最小限の範囲です。
• L2 (資格情報フィールド): パスワード、APIキー、TOTPシード、OAuthトークン — これらはフィールドごとに 16 バイトのキーで暗号化され、そのキーは サーバー上に決して存在しません。L2 はユーザーのブラウザおよび登録されたエージェントのみが保持します。当社は資格情報フィールドを復号できず、サーバー側のプロセスが L2 にアクセスすることはありません。
• L3 (識別情報フィールド): クレジットカード、CVV、パスポート番号、SSN、リカバリコード — これらはボルト作成時に生成される純粋なランダム・エントロピーを持つ 32 バイトのキーで暗号化されます。ユーザーはこのキーを知りません。当社も保持していません。L3 は いかなるサーバー上にも存在しません。これは、ハードウェアキーの PRF (指紋、顔、または WebAuthn PRF によるセキュリティキー) の 32 バイトの出力でラップすることによって保護されます。物理デバイスなしでは、L3 をアンラップすることはできません。当社は数学的に識別情報フィールドを復号化できません、保持していないキーの提出を強制されることもありません。

DPA に関するお問い合わせ先：

データ保護責任者 (DPO) Clavitor LLC c/o Johan Jongsma

本 DPA はお客様のサブスクリプション開始日から発効し、終了まで有効です。変更がある場合は 30 日前までにお知らせします。継続的な利用は、本内容への同意とみなされます。

最終更新日: 2026年5月25日 · バージョン 1.1