DATA PROCESSING AGREEMENT
データ処理契約を、 平易な言葉で。
v1.2.1 · 公開日より発効
貴社の DPO が一度に承認できるよう書き上げました。すべての条項、サブプロセッサー、保護措置を余すところなく文書化しています。署名済みの PDF も同じ内容です。
SCOPE & ROLES
誰が 何を、誰のデータで行うか。
本 DPA において、お客様はデータ管理者であり、Sageio はお客様に代わってデータ処理者として行動します。Sageio は、契約されたサービス(リアルタイム会議翻訳、文字起こし、要約)を提供する目的のためにのみ、かつお客様の文書化された指示に基づいてのみ、個人データを処理します。本 DPA は Sageio とお客様の間のサブスクリプション契約の一部を構成し、矛盾が生じた場合、個人データの処理に関する事項については本 DPA が優先します。本 DPA は、Sageio プラットフォームに関連して実施されるすべての処理活動に適用されます。
DATA PROCESSED
何を処理し、 なぜ処理しうるか。
| データのカテゴリー | 処理の目的 | 法的根拠(GDPR 第 6 条) | 保持期間 |
|---|---|---|---|
| 会議音声 | 会議中の音声テキスト変換および翻訳。 | 第 6 条(1)(b) — 契約の履行。 | リアルタイム文字起こしのためにストリーミングされ、メモリ上でのみ処理。ストレージには書き込まれません。モデル学習には使用しません。 |
| 会議の文字起こし・翻訳 | お客様のワークスペースメンバーによる保存と取り出し。 | 第 6 条(1)(b) — 契約の履行。 | お客様による削除またはアカウント削除まで保持。 |
| サマリー・アクションアイテム | 文字起こしから生成された、AI による会議出力。 | 第 6 条(1)(b) — 契約の履行。 | 文字起こしの保持期間に従います。 |
| アカウント識別子(氏名、メール、ロール) | 認証、ワークスペースアクセス、監査ログ記録。 | 第 6 条(1)(b) — 契約の履行。 | アカウントの存続期間に加え、解約後 30 日。 |
| ワークスペース・利用状況のメタデータ | サービス運用、課金照合、不正利用防止。 | 第 6 条(1)(b) および第 6 条(1)(f) — サービスの完全性に関する正当な利益。 | 生成から 12 か月。 |
| 監査ログ | セキュリティ監視およびお客様によるアクセスレビュー。 | 第 6 条(1)(f) — セキュリティに関する正当な利益。 | 生成から 12 か月。 |
| 課金識別子 | サブスクリプション管理。決済カードデータは Merchant of Record である LemonSqueezy が処理し、Sageio は保存しません。 | 第 6 条(1)(b) — 契約の履行。 | アカウントの存続期間に加え、税務記録のため 7 年。 |
SUB-PROCESSORS
データ管理の 完全な連鎖。
| サブプロセッサー | 目的 | 処理場所 |
|---|---|---|
| Amazon Web Services | クラウドホスティング、オブジェクトストレージ、暗号鍵管理。 | お客様が選択するリージョン(デフォルト:シンガポール、アジア太平洋)。Enterprise プランでは EU・米国に対応。 |
| Neon | アプリケーションデータ向けのマネージド PostgreSQL データベース。 | お客様の主要 AWS リージョンに合わせたリージョン。 |
| Vercel | マーケティングサイトおよび顧客向け Web アプリケーションのホスティング。 | グローバルエッジネットワーク。オリジン:お客様が選択したリージョン。 |
| Clerk | 認証、シングルサインオン、アイデンティティ管理。 | 米国。 |
| Deepgram | 会議音声の音声テキスト変換。 | 米国。 |
| OpenAI | 会議音声のリアルタイム音声テキスト変換(新規ワークスペースの既定エンジン)およびアップロード音声ファイルの文字起こし。 | 米国。 |
| DeepL | 逐語録の暫定セグメントの翻訳、および一部のターゲット言語における確定翻訳。 | ドイツ(EU)。 |
| Google (Gemini API) | 確定セグメントの翻訳精緻化、AI による要約とアクションアイテムの生成。 | 米国。有料プランの Gemini API 規約に基づき、データは Google のモデル学習に使用されません。 |
| Resend | トランザクションメールの配信(アカウント・サービス通知、およびユーザーの要求による会議サマリーメール)。 | 米国。 |
Lemon Squeezy(Stripe グループ)は副処理者ではありません。Merchant of Record として決済・税務・請求書の処理目的を自ら決定する独立したデータ管理者であり、同社のプライバシーポリシーが適用されます。
Plausible(クッキーレスのウェブ分析)はマーケティングサイトのみで動作し、本 DPA の対象となるプラットフォームの個人データは処理しません。詳細はプライバシーポリシーに記載しています。
PROCESSOR COMMITMENTS
Article 28, written into the contract.
These commitments form part of the DPA. The English text is the authoritative version; localized translations will follow the signed-off text.
- Sub-processor changes
- Sageio maintains the current sub-processor list at sageio.net/subprocessors. Sageio will give Customer at least 30 days' notice (by email or in-app notice) before adding or replacing a sub-processor. Customer may object on reasonable data-protection grounds within the notice period; if the parties cannot resolve the objection, Customer may terminate the affected services and receive a pro-rata refund of prepaid fees for the unused period. Sageio imposes data-protection obligations equivalent to this DPA on each sub-processor and remains liable for their performance.
- Personal-data breach notification
- Sageio will notify Customer without undue delay, and in any event within 24 hours of confirming a personal-data breach affecting Customer personal data, and will provide the information reasonably required for Customer's obligations under Articles 33–34 GDPR, with updates as the investigation proceeds.
- Deletion and return
- Upon termination or expiry of the services, Sageio will, at Customer's choice, delete or return all Customer personal data within 30 days, and delete remaining copies, except where applicable law requires retention. Personal data in encrypted backups is purged on the standard 30-day backup rotation cycle.
- Assistance and audits
- Taking into account the nature of the processing, Sageio will assist Customer with appropriate technical and organizational measures in responding to data-subject requests, and with Customer's obligations under Articles 32–36 GDPR, including data-protection impact assessments and prior consultations. Sageio will make available information reasonably necessary to demonstrate compliance with Article 28 — including summaries of penetration tests and, when available, audit reports — and will allow audits, including inspections, by Customer or its mandated auditor, no more than once per twelve months, on 30 days' notice, at Customer's expense and subject to confidentiality.
- Confidentiality and instructions
- Sageio ensures that persons authorized to process personal data are committed to confidentiality. Sageio will inform Customer without undue delay if, in its opinion, an instruction infringes applicable data-protection law.
- Customer warranties
- Customer warrants that it has established a lawful basis for the processing it instructs under this DPA, including any notices to and consents from meeting participants required by applicable law and — where meeting content incidentally contains special categories of personal data — a condition under Article 9(2) GDPR. Sageio does not use meeting content to identify any person by voice and creates no biometric templates.
- Term, governing law, and liability
- This DPA takes effect with, and lasts for the duration of, the Subscription Agreement; it is governed by the same law, and the limitations of liability in the Terms of Service apply to it, except where mandatory data-protection law provides otherwise.
SECURITY MEASURES
エンジニアリングが約束に 応える。
Sageio は、処理のリスクに見合った技術的・組織的対策を実装しています。これには、転送時(TLS 1.3)および保存時(AES-256-GCM)の暗号化、ロールベースアクセス制御、監査ログ記録、定期的なペネトレーションテスト、そして文書化されたインシデント対応プロセスが含まれます。本番環境へのアクセスには明確な業務上の正当性が求められ、期間が限定され、記録されます。現行のコンプライアンスプログラムの状況を含む対策の完全なカタログは、セキュリティページに公開され、プログラムの進展に応じて更新されます。
INTERNATIONAL TRANSFERS
国境を越えるデータを、 適法に移転。
個人データが欧州経済領域、英国、または同等の制限を有するその他の法域の外へ移転される場合、Sageio は欧州委員会の標準契約条項(モジュール 2:管理者から処理者へ)に依拠し、該当する場合には英国国際データ移転付属文書に依拠します。十分性認定の対象となる法域への移転については、Sageio はその認定に依拠します。サブプロセッサーは、契約上のフローダウンを通じて同等の義務を負います。データ輸出者の法域外で個人データを処理する各サブプロセッサーについては、移転影響評価を実施します。
The SCCs (Module Two: Controller-to-Processor) and the UK International Data Transfer Addendum are incorporated into this DPA by reference. Annex I (parties; description of processing) is constituted by the parties' details and the "Data processed" table above, which may incidentally include special categories of data contained in meeting content; Annex II (technical and organizational measures) by the "Security measures" section; Annex III (authorized sub-processors) by the "Sub-processors" table. In case of conflict, the SCCs prevail.
DATA SUBJECT RIGHTS
貴社ユーザーの 権利は、私たちの義務。
- アクセス権 — 処理される個人データの確認とその写しの取得。
- 訂正権 — 不正確または不完全なデータの修正。
- 消去権 — 法的保持要件を条件として、有効な請求から 30 日以内の削除。
- 制限権 — 一定の状況における処理の制限。
- データポータビリティ権 — 構造化された機械可読形式でのエクスポート。
- 異議申立権 — 正当な利益に基づく処理に対するものを含みます。
- 関連する監督機関に苦情を申し立てる権利。
CONTACT
実在する担当者と、 明示された窓口。
- Privacy: privacy@sageio.net
- Security: security@sageio.net
Sageio は好客網路股份有限公司(統一編號 29041135、台湾にて登記)が運営しています。登記住所:臺北市信義區虎林街205號(No. 205, Hulin Street, Xinyi District, Taipei City, Taiwan)。プライバシーに関するお問い合わせ:privacy@sageio.net。
バージョン履歴
- v1.2.12026年6月14日Gemini 有料プランの確認が完了(暫定注記を削除)。副処理者コミットメントを公開済みの /subprocessors ページ参照に更新。処理者コミットメントと SCC 組み込み条項の繁体字中国語版を追加。
- v1.2June 13, 2026副処理者表の修正:OpenAI を追加(リアルタイム音声テキスト変換、新規ワークスペースの既定エンジン)。DeepL の用途を一部言語の確定翻訳に拡大。Resend の用途に会議サマリーメールを追加。Gemini の規約根拠を有料プラン API に修正(確認進行中)。保持期間設定可能との記載をシステムの現状に合わせて削除。
- v1.12026年6月13日Art 28 処理者コミットメント条項を追加。副処理者表を拡充(DeepL、Resend)。保持期間の記載をシステムの実際の動作に合わせて修正。SCC と UK Addendum の組み込みと Annex 対応を追加。
- v1.0公開日より発効初版公開。