Logo

スタンピージー データ処理補足条項 (DPA)

発効日: Jan 14, 2026

最終更新日: Jan 14, 2026

目次

このデータ処理補足条項(「DPA」)は、スタンピージーサービスの利用に関する、Elyon Techno Labs Inc(「スタンピージー」として運営)と、本規約に同意する主体(「小売業者」または「お客様」)との間の合意の一部を構成します。本DPAは、スタンピージーが本サービスの提供の過程で、小売業者に代わって個人データを処理する場合に適用されます。

本DPAとその他の規約との間に矛盾がある場合、当事者のデータ処理義務に関しては本DPAがのみ優先されます。

1) 当事者

データ処理者 / サービスプロバイダー:
Elyon Techno Labs Inc(「スタンピージー」、「処理者」)
住所: Hilton Court, Mississauga, Ontario, Canada
Eメール: [privacy@stampezee.com]

データ管理者 / 法人顧客:
本DPAに同意または署名する小売業者主体(「お客様」、「管理者」)

2) 定義

ここで定義されていない用語は、主契約/利用規約における意味を有します.

  • 「適用されるデータ保護法」: GDPR/UK GDPR、カナダのプライバシー法、および小売業者の利用に関連するその他の現地の法律を含む、本DPAに基づく個人データの処理に適用されるすべてのプライバシーおよびデータ保護法。
  • 「管理者」: 個人データの処理の目的および手段を決定する主体。
  • 「処理者」: 管理者に代わって個人データを処理する主体。
  • 「個人データ」: 特定された、または特定可能な個人に関する情報。
  • 「処理」: 個人データに対して行われるあらゆる操作(収集、保存、使用、共有、削除など)。
  • 「再処理業者(サブプロセッサー)」: 小売業者に代わって個人データを処理するためにスタンピージーによって任命された第三者。
  • 「セキュリティインシデント」: 個人データの偶発的または不法な破壊、紛失、改ざん、不正な開示、または個人データへのアクセスにつながるセキュリティ違反(「個人データ漏洩」と呼ばれることもあります)。

3) 当事者の役割

3.1 管理者 / 処理者の役割

  • 小売業者は、小売業者が本サービス内で決定および設定するロイヤリティプログラムに関連して処理される個人データ(例:エンドユーザーの参加データ、スタンプ履歴、交換、プログラムコミュニケーション)の管理者です。
  • スタンピージーは、本サービスの提供のために小売業者に代わって当該個人データを処理する範囲において、その処理者です。

3.2 スタンピージーによる独立した管理者としての処理

スタンピージーは、以下の目的で特定のデータを独立した管理者として(小売業者に代わってではなく)処理する場合があります:

  • 小売業者のアカウント管理(例:請求連絡先、プラン管理)
  • セキュリティ、不正防止、乱用検知
  • プラットフォーム運営および法的遵守
  • 可能な場合は集計/匿名化された分析を使用した製品改善

4) 処理の詳細

4.1 主題

小売業者がスタンプカード、キャンペーン、および特典を作成および管理できるようにし、エンドユーザーが参加できるようにするデジタルロイヤリティおよび特典プラットフォームの提供。

4.2 期間

処理は、小売業者による本サービスの利用期間中継続し、その後は以下のために必要な場合にのみ継続します:

  • 削除/返還義務
  • 法的遵守
  • 法律で許可される、セキュリティログおよび紛争解決

4.3 性質および目的

処理活動には、本サービスを提供するための個人データの収集、記録、組織化、構造化、保存、検索、使用、送信、および削除が含まれる場合があります。

4.4 データ主体のカテゴリ

  • 小売業者スタッフ(ロイヤリティエグゼクティブアクセスを含む)
  • 小売業者のエンドユーザー/顧客
  • 小売業者の管理者ユーザーおよび請求連絡先

4.5 個人データのカテゴリ

設定および使用状況に応じて、個人データには以下が含まれる場合があります:

  • 識別子: 氏名、メールアドレス、電話番号(使用されている場合)、ユーザーID
  • アカウントデータ: ログインメタデータ、役割/権限
  • ロイヤリティデータ: 獲得したスタンプ、参加したスタンプカード、交換履歴、活動のタイムスタンプ
  • 店舗インタラクションデータ: 利用した支店、オファーへの反応、反応したキャンペーン
  • デバイス/技術データ: IPアドレス、デバイスタイプ、アプリバージョン、イベントログ(収集されている場合)
  • サポートデータ: サポートに送信されたメッセージおよび関連するメタデータ

4.6 特殊なカテゴリ / センシティブデータ

小売業者は、以下の場合を除き、センシティブ/特殊カテゴリのデータ(健康、バイオメトリクス、宗教など)をアップロードまたは処理してはなりません:

  • 法律で明示的に義務付けられ、適法な根拠が存在する場合、かつ
  • 小売業者が必要な同意/承認を得ている場合、かつ
  • 本サービスが適切に設定されている場合。

スタンピージーは、通常のロイヤリティ運営においてセンシティブなデータを必要としません。

5) 小売業者(管理者)の義務

小売業者は以下に同意します:

  1. 個人データを処理し、スタンピージーに処理を指示するために必要なすべての権利、通知、同意、および適法な根拠を有していること。
  2. エンドユーザーおよびスタッフに必要なプライバシー通知を提供すること。
  3. 本サービスを責任を持って設定し、プログラムに必要なデータのみを収集すること。
  4. 適用されるデータ保護法に違反して個人データを処理するようスタンピージーに指示しないこと。
  5. 自身のロイヤリティプログラムのルール、メッセージングコンテンツ、およびコミュニケーションの合法性に責任を負うこと。
  6. スタッフアカウント(ロイヤリティエグゼクティブアクセスおよび管理者アクセス)の機密を保持し、アクセスを制御すること。
  7. 処理が不法であると信じる場合、または スタンピージー の支援を必要とするデータ主体からの要求を受け取った場合は、直ちに スタンピージー に通知すること。

6) スタンピージー(処理者)の義務

スタンピージーは以下のことを行います:

  1. 法律で義務付けられている場合を除き、小売業者からの書面による指示(本DPAおよび小売業者による本サービスの設定/利用を含む)にのみ基づいて個人データを処理すること。
  2. 個人データを処理する権限を与えられた職員が守秘義務を負っていることを確実にすること。
  3. 個人データを保護するために適切な技術的および組織的措置を講じること(セクション9参照)。
  4. 本DPAで許可されている場合(例:再処理業者)を除き、個人データを第三者に開示しないこと。
  5. セクション10および11に定めるところに従い、小売業者を支援すること。

7) 再処理業者(サブプロセッサー)

7.1 承認

小売業者は、本サービスを提供するために再処理業者を使用することをスタンピージーに一般的に承認します。

7.2 再処理業者の義務

スタンピージーは、再処理業者に対し、適切なセキュリティ措置を含む、本DPAと整合性のあるデータ保護義務に同意することを求めます.

7.3 再処理業者リストおよび更新

スタンピージーは、再処理業者のリストを以下で利用可能にします: [link-to-subprocessors-page]

スタンピージーは随時、再処理業者を更新する場合があります。法律で義務付けられている場合、スタンピージーはダッシュボードの通知、メール、または再処理業者ページへの掲載を通じて重要な変更を通知します。

7.4 再処理業者に対する責任

スタンピージーは、適用されるデータ保護法および スタンピージー が行った契約上の約束によって要求される範囲で、再処理業者の義務の遂行に対して引き続き責任を負います。

8) 国際的な転送

個人データは、グローバルなインフラストラクチャおよび再処理業者の関係により、小売業者の管轄区域外の国で処理される場合があります。

スタンピージーは、必要に応じて適切な転送保護措置(例:契約上の保護および転送に適したその他の措置)を講じるための合理的なステップを講じます。

9) セキュリティ措置

スタンピージーは、個人データを保護するために設計された以下のような適切な措置を講じます:

  • 内部システムに対するアクセス制御および最小権限の原則
  • (トランスポート層でサポートされている場合)転送中の暗号化
  • 安全なパスワード保存(ハッシュ化)および認証コントロール
  • 疑わしい活動および乱用の監視/ロギング
  • (商業的に合理的な)定期的なパッチ適用および脆弱性管理の実務
  • 本サービスに適したバックアップおよびリカバリの実務

小売業者は、いかなるシステムも100%の安全を保証できないことを認識し、独自のセキュリティ実務(安全なデバイス、スタッフのトレーニング、資格情報の保護)を維持することに同意します。

10) セキュリティインシデント

10.1 通知

本DPAの下で処理される個人データに関連するセキュリティインシデントを認識した場合、スタンピージーは不当な遅滞なく小売業者に通知し、小売業者が法的義務を果たすのを支援するために合理的に必要な情報を提供します。

10.2 情報および協力

スタンピージーは、利用可能かつ適切な範囲で、以下を提供します:

  • インシデントの性質
  • 影響を受けたデータ主体/データ記録のカテゴリおよび概数(判明している場合)
  • (評価された場合)考えられる影響
  • インシデントに対処するために講じられた、または提案された措置

10.3 小売業者の責任

法律が特定の場合に スタンピージー にその義務を課さない限り、影響を受ける個人または規制当局に通知を提供する必要があるかどうかの判断は小売業者が責任を負います。

11) データ主体の要求

スタンピージーが、小売業者に代わって処理された個人データに関連するプライバシー権の行使を求めるエンドユーザーまたはその他のデータ主体から要求を受け取った場合、スタンピージーは以下のことを行います:

  • 該当する場合、要求者を小売業者にリダイレクトする、および/または
  • 小売業者に(可能な場合は)通知する、および
  • 適用されるデータ保護法に基づき、小売業者が対応するために必要な合理的な支援(利用可能なツールおよびサポートを通じて)を提供する。

小売業者は、法定の期間内に当該要求に対応する責任を負います。

12) DPIAおよび協議に関する支援

適用されるデータ保護法によって要求される範囲で、かつ処理の性質および利用可能な情報を考慮して、スタンピージーは以下に関する合理的な支援を提供します:

  • データ保護影響評価(DPIA)
  • 規制当局との協議
    これらは、本DPAに基づく処理に限定されます。

13) 個人データの削除および返還

13.1 期間中

小売業者は、利用可能なサービス機能を通じて特定のデータを削除できます。

13.2 終了時

本サービスの終了/満了時に、スタンピージーは合理的な期間内に、以下を条件として、小売業者に代わって処理された個人データを削除または返還します:

  • 特定のデータを保持するための法的義務
  • 不当利用防止およびシステムの完全性のために保持されるセキュリティログ
  • 標準的な災害復旧実務の一環として限定期間保持されるバックアップ

13.3 残留データ

バックアップからの削除は、バックアップスケジュールに従ってローリングベースで行われる場合があります。スタンピージーは、保持されるバックアップデータの保護を維持します。

14) 監査およびコンプライアンス

14.1 監査権

小売業者は、スタンピージーの本DPAへの準拠を確認するために合理的な情報を要求することができます。

14.2 監査の制限

いかなる監査も以下の条件を満たす必要があります:

  • 本DPAに基づく処理に限定されること
  • セキュリティインシデントが発生しない限り、[年に1回]を超えないこと
  • 守秘義務に従うこと
  • 業務を不当に妨げないこと
  • 小売業者の費用負担で実施されること

スタンピージーは、要約、文書、または利用可能な場合は定評のある第三者監査レポート(存在する場合)を提供することにより、監査要求を満たすことができます。

15) 機密保持

各当事者は相手方の機密情報を保護します。個人データへのアクセス権を持つ スタンピージー の職員および再処理業者は、守秘義務に従います。

16) 責任

プライバシーおよびデータ保護の問題に関する責任は、適用されるデータ保護法で別段の定めがある場合を除き、主契約/利用規約によって規定されます。

17) 優先順位

矛盾がある場合:

  1. 署名されたDPA(該当する場合)、次に
  2. 本DPA、次に
  3. 主契約/利用規約の順で優先されます。

18) お問い合わせ

DPAおよびデータ保護に関する質問について:
Eメール: [privacy@stampezee.com]

通話を予約する