最終更新: 2026 年 3 月 20 日
発効日: 直ちに
適用対象:
- https://www.sendarix.com
- https://app.sendarix.com(クライアントダッシュボード)
- すべての SMTP および API サービス
本 DPA は、メールインフラに一般的な GDPR スタイルの処理者条項を反映しています。当社がお客様に代わって個人データを処理する場合、本 DPA は 利用規約 を補足します。
1. はじめに
本データ処理契約(「DPA」)は、Sendarix(「処理者」)と顧客(「管理者」)との間の契約の一部を構成し、Sendarix がサービスに関連して顧客に代わって個人データを処理する場合に適用されます。
お客様がサービスを使用してデータ主体に関する個人データを送信またはその他の方法で処理する場合、本 DPA が締結されます。利用規約と本 DPA がデータ保護に関して抵触する場合、ここで対象とする処理については本 DPA が優先します。
2. 定義
- 「個人データ」「処理」「管理者」「処理者」「データ主体」「個人データの侵害」 — 適用されるデータ保護法(GDPR が適用される場合を含む)で定義されるとおり。
- 「下請処理者」 — 本 DPA に従い Sendarix が個人データの処理を委託する第三者。
- 「顧客の指示」 — 処理に関する文書化された顧客の指示。クライアントダッシュボード、API、SMTP 送信、処理を指示するサポートチケット、および利用規約と AUP 内での顧客の合法的なサービス利用を含みます。
3. 範囲と役割
顧客は、サービスに関連して提供する個人データの管理者です。Sendarix は処理者であり、適用法で別段の定めがない限り、顧客の指示に従ってのみ当該個人データを処理します(この場合、禁止されない限り顧客に通知します)。
処理の性質、目的、カテゴリーは第 5 条および添付 A(以下の要約)に記載されています。
4. 顧客の指示
顧客は、利用規約、本 DPA、文書、およびサービス内の顧客設定に従って、メール配信サービスを提供、保護、改善するために個人データを処理するよう Sendarix に指示します。この範囲外の指示には事前の書面合意が必要です。
Sendarix が指示が適用法に違反すると考える場合、指示を拒否または一時停止し、許可される場合は顧客に通知します。
5. 処理の性質と目的(添付 A の要約)
Sendarix は次の目的で個人データを処理します。
- SMTP と API 経由でメールを送信および中継する
- バウンス、苦情、抑制を処理する
- 配信分析、Webhook、ダッシュボードを提供する
- アカウントを認証し、レート制限を適用し、不正を検出する
- app.sendarix.com を通じて請求とサポートを提供する
処理はこれらの目的に合理的に必要な範囲に限定されます。
6. 個人データのタイプ
利用状況により、メールアドレス、メッセージメタデータ(件名を含む)、送信者/受信者識別子、IP アドレス、配信およびエンゲージメントイベント、個人データを含むサポートチケットの内容、請求連絡先の詳細が含まれる場合があります。
メール本文はルーティングと配信のために一時的に処理されます。Sendarix は本文を無関係なマーケティングやプロファイリングに使用しません。
7. 処理者の義務
- 第 4 条に記載の顧客の指示に従ってのみ個人データを処理する
- 個人データを処理する権限を与えられた者に機密保持を課す
- 技術の水準、費用、リスクを考慮して適切な技術的・組織的措置を実装する
- 適用される場合、データ主体のリクエスト、DPIA、事前協議に関して顧客を合理的に支援する
- 顧客の個人データに影響する個人データの侵害を知ったときは不当な遅延なく顧客に通知し、顧客の規制当局への通知に合理的に必要な情報を提供する
- サービス終了時(または要求に応じて)、第 11 条に従い法的保持を除き個人データを削除または返却する
8. 下請処理者
顧客は、ホスティング、DNS、決済、転送、不正検出、サポートツールなど、本 DPA に実質的に同等のデータ保護義務を課す書面契約を条件に、Sendarix が下請処理者を起用することを承認します。
Sendarix は下請処理者の義務履行について責任を負います。現在のリストは要求に応じて利用でき、<strong>sendarix.com</strong> に掲載される場合があります。実現可能な場合、Sendarix は下請処理者の変更について合理的な通知を行います。顧客は合理的なデータ保護上の理由で異議を唱えることができます。
9. 国際転送
EEA、英国、またはスイスから適切と認定されていない国に個人データが転送される場合、Sendarix は EU 委員会の標準契約条項(2021)、英国の国際データ転送付録(IDTA)または EU SCC への付録、該当する場合のスイスの要件、その他の合法的な転送ツールなど、適切な保障措置を実装します。
要求に応じて、Sendarix は顧客の利用に関連する特定の転送に依拠するメカニズムに関する情報を提供します。
10. データ主体の権利
Sendarix は、顧客に代わって処理される個人データに関するデータ主体のリクエストに応じて顧客を支援します。法的に要求されない限り、Sendarix はデータ主体に直接応答しません。顧客はアカウント経由、またはルーティングに十分な詳細を付けて privacy@sendarix.com にリクエストを提出してください。
11. 保持と削除
サービス終了または顧客関係の終了時、または顧客の要求に応じて、Sendarix はプライバシーポリシーと運用上の能力に従い個人データを削除または返却します。法でより長い保持が必要な場合、または文書に記載された合法的なセキュリティと不正防止のアーカイブに必要な場合を除きます。
典型的な運用上の保持(通知により変更される場合あり):SMTP/API ログ 30〜90 日。バウンス/苦情データ最大 6 か月。請求記録は法により 5〜10 年。
12. 監査
顧客は、本 DPA の遵守を確認するために合理的に必要な情報(例:セキュリティ慣行の要約と下請処理者リスト)を要求できます。サービスのセキュリティまたは可用性にリスクを与える現地または侵入的な監査は、範囲、タイミング、機密保持について事前の書面合意が必要です。合理的な支援を超える監査のコストは請求される場合があります。
13. データ侵害の通知
通知は、既知の範囲で、侵害の性質、影響を受けるデータ主体と記録のカテゴリーおよびおおよその数、考えられる結果、講じられたまたは講じる予定の措置を記述します。
14. 責任
本 DPA に基づく処理の責任は利用規約の制限に従います。データ保護違反について制限を禁止する強行法がある場合を除きます。
15. 期間
本 DPA は、処理の期間中、および第 11 条に従い個人データが返却または削除されるまで有効です。
16. 準拠条項
GDPR が適用される場合、当事者は本 DPA が第 28 条に求められる実質を含むことを確認します。その他の法律では、必要な範囲で類似の義務が適用されます。
17. 連絡先
