法律上の

データ処理契約

最終更新日: 2026 年 5 月 20 日 CallMama限定・香港・CR No. 77766807

このデータ処理契約 (「DPA」) は、CallMama Limited (「CallMama」、「プロセッサ」) とそれに同意する法人顧客 (「顧客」、「管理者」) との間の利用規約の一部を形成します。これは、CallMama が顧客に代わって個人データを処理する場合、つまり企業顧客が CallMama Web ポータルを使用して自身の発信者や連絡先との通信をルーティング、保存、または記録する場合に適用されます。

CallMama の一般消費者による使用の場合、CallMama はコントローラーであり、この DPA は適用されません。 プライバシーポリシー。この DPA は、CallMama を通じて自身のエンドユーザーのデータを処理する法人顧客にのみ適用されます。

1. 役割

顧客がサービスを通じて処理する自身の発信者および連絡先に関する個人データ (「顧客個人データ」) については、顧客が管理者であり、CallMama が処理者です。 CallMama は、サービス利用規約、本 DPA、および顧客によるサービス機能の使用を含む、顧客の文書化された指示に基づいてのみ顧客の個人データを処理します。

2. 処理の対象と内容

アイテム詳細
主題CallMama 通話、メッセージング、番号、ルーティング、および (Web ポータル) 録音サービスの提供
間隔利用規約の期間
性質と目的顧客とそのエンドユーザーにサービスを提供するため。これには、顧客の通信のホスティング、送信、ルーティング、保存、および (顧客が有効にしている場合) の記録が含まれます。サービスのセキュリティと完全性を維持するため
個人データの種類連絡先番号、名前、通話とメッセージのメタデータとコンテンツ、ボイスメール、通話録音、およびお客様が処理することを選択したその他のデータ
データ主体のカテゴリ顧客の発信者、連絡先、顧客、スタッフ

保存期間: 通話詳細記録は、適用される電気通信法および税法で要求される期間 (管轄区域に応じて通常 90 日から 12 か月) 保存されます。他のすべての顧客個人データは、顧客が削除を要求するか、DPA が終了するか、該当する保存期間が終了するまで、いずれか早い方まで保存されます。

3. CallMama の義務

  • 法律で別途要求される場合を除き、お客様の文書化された指示に従ってのみお客様の個人データを処理してください (この場合、法律で禁じられていない限り、CallMama がお客様に通知します)。
  • データの処理を許可された担当者が機密保持に拘束されるようにします。
  • 適切な技術的および組織的なセキュリティ対策を実施します(以下の付録)。
  • データ主体のリクエスト、セキュリティ、侵害通知、データ保護への影響評価など、処理の性質を考慮してお客様を支援します。
  • 利用規約の終了または書面による要求から 30 日以内に、すべての顧客の個人データを削除または返却し、書面で削除を確認します。 ただし、適用される法律により継続的な保持が要求される場合を除き、その場合、CallMama は法的根拠と削除予定日を顧客に通知します。
  • この DPA への準拠を証明するために必要な情報を利用可能にし、以下の条件に従って、顧客またはその認定監査人による監査および検査を許可します。(i) 60 営業日前までに書面による通知を行う。 (ii) 営業時間内に不当な中断なく行動する。 (iii) 監査人の機密保持。 (iv) 監査によって重大な違反が明らかにならない限り、顧客は費用を負担します。 CallMama は、直接監査の代わりに ISO 27001 または SOC 2 レポートを提供する場合があります。
  • 処理の記録: CallMama は、GDPR 第 30 条 (2) に基づいて顧客に代わって実行されたすべての処理カテゴリの記録を保管しており、書面による要求に応じて入手できます。
  • DPIA 支援: 通話録音またはその他の処理に GDPR 第 35 条に基づく DPIA が必要な場合、CallMama は、セキュリティ対策、サブプロセッサー、および処理活動に関する情報を含む合理的な支援を提供します。

4. 顧客の義務

  • お客様は、処理の法的根拠とその指示の合法性について責任を負います。
  • 顧客が Web ポータルの通話録音機能を使用する場合、顧客は発信者に通知し、法律で要求される同意を得る必要があります。 通話録音に関するお知らせ.
  • お客様は、サービスが処理できるように設計されている範囲を超えて、CallMama 特別カテゴリのデータまたは機密データを送信してはなりません。

5. 副処理者

顧客は、CallMama に対して、 サブプロセッサ一覧 CallMama.comで公開されています。 CallMama は、機密保持義務を含む、この DPA によって CallMama に課される義務と同等のデータ保護義務を各副処理者に課します。 CallMama は引き続きサブプロセッサのパフォーマンスを担当します。 CallMama は、サブプロセッサーの追加または交換の少なくとも 14 日前にお客様に通知します。お客様は、通知を受け取ってから 14 日以内に CallMama に書面で通知することにより、合理的で文書化されたデータ保護を理由に、新規または代替のサブプロセッサーに異議を唱えることができます。両当事者が異議を解決できない場合、顧客は書面による通知に基づいてサービスの影響を受ける部分を終了することができます。 14 日間の異議申し立て期間後にサービスを継続して使用すると、新しい副処理者を受け入れたものとみなされます。

6. 国際送金

顧客の個人データが十分性に関する決定なしに EEA または英国から国に転送される場合、その転送は、EEA の転送については EU SCC (Commission Implementing Decision 2021/914)、モジュール 2 (コントローラからプロセッサへ) によって規制され、英国の転送については英国 IDTA 2022 によって規制されます。どちらも参照により組み込まれ、セクション 2 に詳細が記載されています。CallMama は、すべての第三国の副処理者に対して移転影響評価を実施しました。

7. 個人データの侵害

CallMama は、不当な遅滞なく、可能な場合には、顧客の個人データに影響を与える個人データ侵害を認識してから 24 時間以内に顧客に通知します。このタイムラインは、お客様が侵害を評価し、必要に応じて GDPR 第 33 条および英国の GDPR 第 33 条で要求される 72 時間以内に所轄の監督当局に通知できるようにすることを目的としています。通知には、その時点で判明している範囲で次の内容が含まれます。(a) 影響を受けたデータ主体および記録のカテゴリおよびおおよその数を含む侵害の性質の説明。 (b) 違反によって起こり得る結果。 (c) 違反に対処するために講じられた、または提案された措置。情報がすぐに入手できない場合、CallMama は過度の遅延なく段階的に情報を提供します。

8. 責任と期間

この DPA は利用規約を補足するものであり、利用規約の対象となります。個人データの処理に関する事項に関して本 DPA と利用規約との間に矛盾が生じた場合には、本 DPA が優先します。この DPA は香港特別行政区の法律に準拠します。ただし、EU SCC に基づいて生じる紛争の場合、準拠法および裁判所は該当する SCC に規定されているとおりとなります (欧州委員会実施決定 2021/914 の第 17 条および第 18 条)。この DPA は、顧客がサービス規約に同意したとき (または、副署した DPA が必要な顧客の場合は、両当事者が最後に署名した日) に発効し、CallMama が顧客の個人データを処理する限り継続します。

付録 — セキ​​ュリティ対策

CallMama は、GDPR 第 32 条で要求され、EU SCC 付属書 II でさらに詳しく説明されているように、次の技術的および組織的措置を実装します。

A. 暗号化と転送中のデータ

  • 転送中の暗号化: 本サービスとエンドユーザーのデバイス間で送信されるすべての個人データは、TLS 1.2 以降を使用して暗号化されます。個人データを暗号化せずに送信することは禁止されています。
  • 保存時の暗号化: 機密の個人データ (通話録音やボイスメールを含む) は、保存時に AES-256 または同等のものを使用して暗号化されます。すべてのバックアップ メディアは暗号化されます。

B. アクセス制御と認証

  • 多要素認証: これは、リモート アクセスを含む、顧客の個人データを含むシステムにアクセスするすべてのスタッフに必須です。
  • 役割ベースのアクセス制御: 顧客の個人データへのアクセスは、それが必要な役割を持つスタッフに限定されます。アクセス権は四半期ごとに見直され、退職または役割が変更されるとすぐに取り消されます。
  • 固有のユーザー アカウント: 各スタッフメンバーは一意の識別子を持っています。アカウントの共有は禁止されています。パスワードの複雑さの要件が適用されます。
  • セッション管理: 非アクティブなセッションは自動的にタイムアウトになります。ログイン試行失敗の最大数によってアカウント ロックアウトがトリガーされます。

C. 監視、記録、インシデント対応

  • セキュリティ監視: システムはセキュリティ イベントがないか継続的に監視されます。侵入検知および防御システムが導入されています。
  • 監査ログ: 顧客の個人データへのアクセスと変更はすべて記録されます。ログは最低 12 か月間保存され、改ざんが明らかです。
  • インシデント対応: 文書化されたインシデント対応計画は少なくとも年に一度維持され、テストされます。インシデントは、この DPA に従って分類、封じ込め、報告されます。

D. 物理的およびインフラストラクチャのセキュリティ

  • データセンターのセキュリティ: 顧客の個人データは、物理的なアクセス制御、CCTV、環境制御、および無停電電源装置を備えた ISO 27001 認定データセンター (Hetzner) でホストされます。
  • バックアップとリカバリ: 定期的にバックアップが取られ、安全に保管されます。災害復旧手順は文書化され、テストされています。復旧時間の目標が定義され、レビューされます。

E. 人事およびベンダーの管理

  • スタッフの機密保持: 顧客の個人データにアクセスできるすべてのスタッフおよび請負業者は、契約上の機密保持義務に拘束されます。適用される法律で許可されている場合、身元調査が行われます。
  • セキュリティトレーニング: 個人データにアクセスできるすべてのスタッフは、データ保護とセキュリティ意識のトレーニングを業務時および毎年受けています。
  • ベンダーのデューデリジェンス: すべての副処理者は、作業前にデータ保護とセキュリティ コンプライアンスについて評価され、継続的に監視されます。

F. 開発と変更の管理

  • 安全な開発: セキュリティはソフトウェア開発ライフサイクルに組み込まれています。コードレビューにはセキュリティ評価が含まれます。脆弱性管理とパッチ管理手順が整備されています。
  • 侵入テスト: 独立した侵入テストは少なくとも年に一度実施されます。重大な脆弱性は 30 日以内に修復されます。
  • データの最小化: システムは、処理される個人データを最小限に抑えるように設計されています。必要に応じて仮名化が使用されます。

この DPA の実行方法

署名済みの DPA が必要な法人顧客は、お問い合わせください。 法的@CallMama.com。サービスを通じて自身のエンドユーザーのデータを処理する企業顧客がサービス規約に同意すると、この DPA にも同意したものとみなされます。

9. 特定の管轄区域に対する追加規定

米国 — CCPA / CPRA

顧客個人データにカリフォルニア州居住者の個人情報が含まれる場合、CallMama は CCPA/CPRA に基づく「サービスプロバイダー」であり、「第三者」ではありません。 CallMama は、顧客の個人データを販売または共有せず、直接の取引関係以外で保持、使用、または開示せず、CCPA/CPRA 制限への準拠を証明します。カリフォルニア州の個人情報を扱う副処理者は、同等のサービスプロバイダーの制限に拘束されます。

カナダ — PIPEDA およびケベック州法 25

顧客の個人データにカナダ居住者の個人情報が含まれる場合:

  • ピペダ: カナダの個人情報保護および電子文書法 (PIPEDA) では、CallMama に対し、原則 7 (安全措置) に準拠したセキュリティ保護措置を実装することが求められています。お客様は、有意義な同意を取得し、アクセスおよび修正要求に応答する責任を負います。
  • ケベック州法 25: ケベック州の住民に対しては、法律 25 (2023 年 9 月発効) により、情報委員会 (CAI) への 72 時間以内の違反通知義務が課されています。 CallMama は、ケベック州住民のデータに影響を与える侵害を認識したら 24 時間以内にお客様に通知します。

このページは、CallMama のコンプライアンス文書の一部です。こちらもご覧ください プライバシーポリシー, 利用規約、 そして 連絡先オプション.

どこにでも迎えに来てください
放置されました。

ワンタップでインストールします。もう 1 つ電話します。実にシンプルなことです。

微調整