---

最終更新：2025年7月16日

この翻訳は便宜上提供されているものです。この文書の英語版が法的拘束力のある契約書となります。

このデータ処理契約書（以下「DPA」）は、発効日をもって以下の当事者間で締結されるものです：
(1) https://www.blue.cc にて事業を行う事業体であるBloo Inc（「処理者」、「Blue」）、および
(2) Blueのサービスを使用する顧客（「管理者」）。
各々を「当事者」、総称して「両当事者」といいます。

1. 定義および解釈

1.1 定義：
「契約書」とは、このデータ処理契約書およびすべての別表を意味します；
「会社個人データ」とは、管理者に代わって契約処理者により処理される個人データを意味します；
「契約処理者」とは、再処理者を意味します；
「データ保護法」とは、GDPRおよび適用される範囲内で、その他の関連するデータ保護法を意味します；
「GDPR」とは、EU一般データ保護規則2016/679を意味します；
「サービス」とは、Blueが管理者に提供するソフトウェア、分析、およびストレージサービスを意味します。

2. 役割と責任

2.1. 管理者と処理者：顧客はデータ管理者であり、Blueはデータ処理者です。
2.2. 共同管理者関係の不存在：両当事者は、共同管理者関係が存在しないことに同意します。
2.3. 処理者の義務：Blueは、管理者からの文書化された指示によってのみ個人データを処理し、個人データを扱う従業員が守秘義務に拘束されることを確保するものとします。

3. 処理の詳細

3.1. 個人データのカテゴリー：処理には、ユーザー識別子、連絡先詳細、メタデータを含むがこれらに限定されない標準的な個人データが含まれます。GDPR第9条に基づく特別カテゴリーのデータは処理されません。

3.2. 処理活動：Blueは、管理者に代わってストレージ、分析、およびソフトウェアサービスの提供を目的としてデータを処理します。

4. 再処理

4.1. 認可された再処理者

Blueは以下の再処理者を利用します：

Amazon（インフラストラクチャ）
Apple（iOSおよびApp Storeデータ）
AppSignal（システム監視）
Backblaze（インフラストラクチャ）
Cloudflare（DNS、ウェブ分析）
Customer.io（電子メールサービス）
Facebook（広告アトリビューション追跡）
Gitlab（インフラストラクチャ）
Google（Fabricクラッシュレポート、位置情報サービス、Google Play Store、分析）
Microsoft（ウェブサイト分析）
OpenAI（AIサービス）
Render（インフラストラクチャ）
Stripe（決済および購読データ）
Paddle（購読分析）
Telegram（Team Blueへの通知）

4.2. 再処理者認可メカニズム：再処理者の更新は、Blueのオンラインサービス利用規約に掲載されます。

4.3. 再処理者への制限：Blueは、再処理者がこのDPAに定められた義務と同等の義務を遵守することを確保するものとします。

5. セキュリティ対策

5.1. セキュリティ管理：Blueは、リスクに適したセキュリティレベルを確保するために、以下を含む適切な技術的および組織的措置を実施するものとします：
個人データの暗号化；
データの機密性、完全性、および可用性を確保する措置；
セキュリティ有効性を定期的にテストおよび評価する手順。
5.2. データ主体の権利への支援：Blueは、アクセス、訂正、削除、および異議申し立て要求を含む、データ主体の要求への対応において管理者を支援するものとします。
5.3. 侵害通知：Blueは、データ侵害を認識してから14日以内に管理者に通知し、管理者が規制上の義務を遵守するのに十分な情報を提供するものとします。
5.4. 国境を越えたデータ移転：
両当事者は、データが欧州経済地域（EEA）外の米国およびシンガポールに移転される可能性があることを認めます。
このような移転は、欧州委員会により承認された標準契約条項（SCC）またはGDPRの下で許可されるその他の移転メカニズムによって管理されるものとします。
Blueは、SCCが不十分になった場合、追加の保護措置を実施するものとします。

6. データの削除または返還

6.1. データ保持：個人データは、処理の目的に必要な期間のみ保持されます。
6.2. 契約終了：サービス終了時、Blueは、法的要件が保存を義務付けている場合を除き、すべての個人データを削除または返還するものとします。

7. 特別条項

7.1. 国別要件：標準として追加の国別要件は適用されません。
7.2. 責任制限：責任は、サービス利用規約の下で管理者がBlueに支払った総額に制限されます。

8. 実行および一般条項

8.1. 独立契約：このDPAは独立した契約であり、既存の契約への追加条項ではありません。
8.2. 準拠法：このDPAはGDPRおよび適用されるデータ保護法に準拠し、一般的な法的解釈はデラウェア州法に従います。
8.3. 発効日：このDPAは、管理者がBlueのサービスを使用した時点で発効します。