データ処理契約(DPA)
最終更新日: 2026年3月10日
1. 目的
本データ処理契約(以下「本DPA」)は、ARROW Suite DOCS(以下「本サービス」)におけるお客様(データ管理者)と当社(データ処理者)間のデータ処理に関する条件を定めるものです。
2. 処理するデータの種類
本サービスにおいて処理する個人データは以下のとおりです。
- ユーザーアカウント情報(氏名、メールアドレス)
- 取引先情報(会社名、担当者名、連絡先)
- 書類に記載された情報(宛名、金額等)
- 利用ログ・監査ログ
3. 処理の目的と範囲
当社は、お客様のデータを以下の目的でのみ処理します。
- 本サービスの提供・運用・保守
- 書類の作成・保管・PDF生成・メール送信
- サービス品質の監視・改善
- お客様からのサポート要求への対応
当社は、お客様の事前の書面による同意なく、上記以外の目的でデータを処理しません。
4. サブプロセッサー
当社は、本サービスの提供にあたり、以下のサブプロセッサーを利用します。
| サービス名 | 目的 | 所在地 |
|---|---|---|
| Supabase | データベース・認証・ストレージ | 東京リージョン (ap-northeast-1) |
| Vercel | アプリケーションホスティング | 東京リージョン (hnd1) |
| Resend | メール送信 | 米国 |
| Stripe | 決済処理 | 米国 |
| Sentry | エラー監視 | 米国 |
| Google (Google Docs API) | 電子契約書連携 | 米国 |
サブプロセッサーの追加・変更を行う場合は、事前にお客様に通知します。
5. データ保持と削除
- データはご利用プランに応じた期間保持されます(Freeプラン: 6ヶ月、Starter以上: 無制限)。
- アカウント削除後、すべてのデータは30日以内に完全に削除されます。
- お客様はいつでもデータのエクスポートを要求できます。
6. セキュリティ措置
当社は、お客様のデータを保護するために以下のセキュリティ措置を講じています。
- すべての通信はTLS 1.2以上で暗号化
- データベースはSupabaseのRow Level Security(RLS)によるテナント分離
- パスワードはbcryptによるハッシュ化
- APIキーはSHA-256ハッシュで保存、タイミング攻撃対策済み
- 多要素認証(MFA/TOTP)のサポート
- XSS対策(入力値サニタイズ)
- レート制限によるブルートフォース攻撃防御
- Sentryによる24時間エラー監視
7. データ主体の権利
お客様は、ご自身のデータについて以下の権利を有します。当社は合理的な期間内にこれらの要求に対応します。
- アクセス権: 保持しているデータの開示を求める権利
- 訂正権: 不正確なデータの訂正を求める権利
- 削除権: データの削除を求める権利
- ポータビリティ権: データを機械可読な形式でエクスポートする権利
8. データ侵害の通知
当社がデータ侵害を認識した場合、72時間以内にお客様に通知します。通知には、侵害の性質、影響を受けるデータの種類、講じた措置または講じる予定の措置を含めます。
9. 本DPAの変更
当社は、本DPAの内容を変更する場合、30日前までにメールで通知します。重要な変更がある場合は、お客様の同意を得るものとします。
10. お問い合わせ
データ処理に関するご質問・ご要望は、info@arrow-payment.com までご連絡ください。