データ処理補足条項(DPA)(第一版 2026年4月8日)

第1条(適用)

  1. 本データ処理補足条項(以下「本DPA」といいます。)は、株式会社ヌーラボ(以下「当社」といいます。)が、当社のヌーラボ利用規約その他当社と契約者の間の契約(以下総称して「主契約」といいます。)に基づき本サービスを提供するにあたり、契約者の指示に基づいてユーザーデータ(第2条で定義します。)を処理する場合に適用されます。
  2. 本DPAは、主契約の一部を構成し、データの取扱いに関して主契約その他の合意と矛盾する場合は本DPAが優先します。

第2条(定義)

本DPAにおいて使用する用語は、主契約に別段の定めがある場合を除き、次のとおりとします。

  1. 「ユーザーデータ」:ユーザーが本サービスに入力、送信、アップロード又は生成させた情報(コンテンツ、添付ファイル、コメント、図データ等)及び当該情報の管理・表示・検索・共有に付随して本サービス上で生成されるメタデータ(作成日時、更新日時、作成者、識別子、タグ等)をいいます。ただし、本サービスの提供・運用・安全確保・品質維持のために生成・収集されるログ、計測データ、性能指標その他の情報(サービスデータ)を除きます。 
  2. 「個人データ」:ユーザーデータのうち、個人情報保護法又は適用ある法令における個人情報または個人データに該当するものをいいます。
  3. 「処理(Processing)」:収集、記録、整理、構造化、保存、閲覧、検索、複製、利用、提供、移転、削除、破棄その他一切の取扱いをいいます。
  4. 「サブプロセッサ」:当社がユーザーデータの処理を再委託する第三者をいいます。
  5. 「セキュリティインシデント」:ユーザーデータの機密性、完全性又は可用性に影響を与え、又はそのおそれがある事象(不正アクセス、漏えい、改ざん、消失、サービス妨害等)をいいます。
  6. 「TOMs」:当社が講じる技術的・組織的措置(Technical and Organizational Measures)をいい、Schedule 2に定めます。
  7. 「一覧ページ」:サブプロセッサ一覧を掲載する当社ウェブサイト上の固定URLをいいます(Schedule 3参照)。

8.「削除ポリシー」とは、当社が本サービスに関するユーザーデータ、ログ、バックアップその他の保持および削除条件を定め、当社ウェブサイト上に掲載するページをいいます。削除ポリシーの固定URLは次のとおりです。

日本語:https://nulab.com/app/assets/pdf/terms/deletion-policy-ja.pdf

英語:https://nulab.com/files/terms/deletion-policy-en.pdf

 

第3条(役割)

  1. 契約者は、ユーザーデータのコントローラ(又はこれに相当する地位)として、ユーザーデータの適法な取得・利用・当社への委託について責任を負います。
  2. 当社は、プロセッサ(又はこれに相当する地位)として、主契約及び本DPAに従ってユーザーデータを処理します。

第4条(処理の範囲・目的)

  1. 当社は、Schedule 1(Processing Details)に記載の範囲及び目的に限りユーザーデータを処理します。
  2. 当社は、ユーザーデータを、AI機能を含め、学習・トレーニング(ファインチューニングを含みます。)その他目的外に利用しません。ただし、当社が別途定める追加条件が適用されるAI機能その他の機能、プログラム又は提供形態(ベータ版その他の試験提供を含みます。)については、当社は、対象データ、利用目的並びに参加又は停止の方法を事前に明示した上で、当該追加条件に定める目的の範囲内でユーザーデータを利用することがあります。

第5条(当社の義務)

当社は、次の義務を負います。

(1) 指示遵守:当社は、主契約及び本DPAに反しない範囲で、契約者の合理的な指示に従いユーザーデータを処理します。

(2) 機密保持:当社は、ユーザーデータにアクセスする従業員に対し秘密保持義務を課し、職務に必要な範囲に限定してアクセス権限を付与します。

(3) セキュリティ:当社は、TOMsを実施し維持します。

(4) 記録・監査:当社は、合理的な範囲で、アクセス統制・セキュリティに関する証跡を保持します。

 

第6条(契約者の義務)

契約者は、次の事項を表明し、これを遵守します。

(1) ユーザーデータの内容・適法性について必要な権限・同意を取得し、適用法令に従うこと。

(2) 本サービスの設定(権限設定、アカウント管理等)を適切に行うこと。

(3) 当社に提供する指示が、適用法令に抵触しないこと。

 

第7条(アクセス統制)

  1. 当社は、ユーザーデータへのアクセスを必要最小限に限定します。
  2. 当社が保守・障害解析等のためにユーザーデータを例外的に閲覧又は参照する場合、当社は、承認・記録等の統制のもとで必要最小限の範囲で実施します(詳細はSchedule 2)。
  3. AI機能の品質維持(モデル変更に伴う回帰テスト、バグ調査等)に伴い限定的に実データを参照し得る場合も、前項の統制に従います。

 

第8条(セキュリティインシデント)

  1. 当社は、セキュリティインシデントを認識した場合、合理的な期間内に契約者に通知し、当社が把握する範囲でインシデントの概要、影響範囲及び当社の対応状況を共有します。
  2. 当社は、影響評価、封じ込め及び再発防止に合理的な範囲で協力します。
  3. 通知の方法・内容の詳細はSchedule 2に従います。

 

第9条(サブプロセッサ)

1.契約者は、当社がサブプロセッサを利用することを承認します。

2.当社は、サブプロセッサの一覧をSchedule 3に掲載します。

3.当社は、サブプロセッサに対し、少なくとも本DPAと同等の機密保持・セキュリティ・目的限定に関する義務を課します。

 

第10条(サブプロセッサの変更)

  1. 当社は、Schedule 3を更新することによりサブプロセッサを追加、変更又は削除できます。
  2. 以下の各号を重要変更とし、当社は、重要変更に該当する更新について、一覧ページ上で掲示し、原則として掲示日から30日後を効力発生日とします。

 (a) 新規サブプロセッサ追加
(b) ユーザーデータ接触の増加
(c) 処理・保管地域の追加/変更(越境範囲拡大)
(d) 委託目的・データカテゴリの実質拡大

  1. 契約者は、重要変更に合理的な理由がある場合、効力発生日までに当社所定の方法で異議を述べることができます。当社と契約者は協議し、合理的に解決に努めます。
  2. 協議により解決できない場合、契約者は、当該重要変更により影響を受ける機能に限り、主契約を解約することができます(当社の合理的な条件に従うものとします)。

 

第11条(越境移転)

  1. 当社は、Schedule 1及び一覧ページに示す地域においてユーザーデータを処理又は保管し得ます。
  2. EU/UK等の越境移転に関する要件が適用される場合、当社は(Transfer Addendum:SCC/UK Addendum等)により対応します。
  3. 当社は、法令又は政府当局からユーザーデータの開示請求を受けた場合、適用法令が許す範囲で契約者に通知し、可能な限り請求の適法性を検討します。

 

第12条(データ主体対応支援)

当社は、契約者が個人データに関する開示、訂正、削除、利用停止等の請求に対応するため、合理的な範囲で協力します。ただし、協力の範囲及び方法は、当社の技術的・運用上の制約に従います。

第13条(監査・情報提供)

  1. 当社は、当社が取得する第三者監査報告書、認証又はこれに準ずる資料がある場合、合理的な範囲で提供します。
  2. 契約者が当社のユーザーデータの取扱いに関し個別監査(質問票、オンラインミーティングを含みます。)を希望する場合は、当社の合理的な条件(範囲、頻度、費用負担、機密保持等)の範囲内で行うものとします。

 

第14条(保持・削除)

  1. 当社は、主契約終了後その他当社の削除ポリシーに定める事由が生じた後、当社の削除ポリシー及びSchedule 2に従いユーザーデータを削除します。
  2. バックアップ、ログ等により、ユーザーデータが直ちに消去されない場合があります。これらの保持期間及び消去手順は、削除ポリシー及びSchedule 2に従います。
  3. ユーザーデータに法令上又は業務上、利用・保存が必要な情報が含まれる場合、適用法令に従い一定期間保持する場合があります。

 

第15条(責任)

本DPAに関する当社及び契約者の責任は、主契約の責任制限条項に従います。

 

Schedule 1:Processing Details(サービス別)

※Typetalkは対象外。BacklogにのみAI/RUMを記載。保持期間は削除ポリシーに集約。

  1. Nulab Apps(ヌーラボアカウント)

概要:サービス横断のアカウント/組織管理(ログイン、組織、ユーザー、権限等)

主なデータ:アカウント情報、組織・権限情報、運用ログ等

目的:アカウント提供、認証、セキュリティ運用、不正防止、障害解析

処理・保管地域:AWS(米国・オレゴン)

サブプロセッサ:AWS(インフラ/運用)

保持・削除:削除ポリシーに従う

 

  1. Nulab Pass

概要:SSO/アクセス管理、監査ログ等

主なデータ:連携設定、認証イベント、監査ログ等

目的:認証/アクセス制御、監査、障害解析、セキュリティ監視

処理・保管地域:AWS(米国・オレゴン)(監査ログ以外)、AWS(日本・東京)(監査ログのみ)

サブプロセッサ:AWS(インフラ/運用)

保持・削除:削除ポリシーに従う(監査ログの保持は別途定義)

 

  1. Cacoo

概要:図作成・共有

主なデータ:図データ、テンプレート、コメント、添付等

目的:サービス提供、保守運用、セキュリティ監視、障害解析

処理・保管地域:AWS(米国・カリフォルニア)

サブプロセッサ:AWS(インフラ/運用)

保持・削除:削除ポリシーに従う

 

  1. Backlog(コア)

概要:課題管理、Wiki、ファイル等

主なデータ:課題/Wiki/コメント/添付、メタデータ、運用ログ等

目的:サービス提供、保守運用、セキュリティ監視、不正防止、サポート対応

(テレメトリ/計測)当社は、前記の保守運用・品質維持・セキュリティ監視等の目的で、端末/ブラウザ情報、セッション識別子、イベント、URL等のテレメトリ(RUM/プロダクト分析)を取得し(プロダクト利用状況の分析を含みます。)、サブプロセッサ(一覧ページに掲載)を利用して、米国(US)を含む一覧ページに記載の地域で処理・保管する場合があります。当該テレメトリの最小化、保持期間、アクセス統制等はSchedule 2(TOMs)に従い、サブプロセッサの詳細はSchedule 3(一覧ページ)をご参照ください。

 

処理・保管地域:日本語サイト申込=AWS(日本・東京)、英語サイト申込=AWS(米国・オレゴン)

サブプロセッサ:AWS(インフラ/運用)ほか(一覧ページ参照)

保持・削除:削除ポリシーに従う

 

4-1. Backlog AI Assistant(Bedrock)

提供条件:Premium/Platinum。組織単位で有効化/無効化可(管理者設定)。

入力/参照:ユーザー入力、Backlog内参照コンテキスト(範囲は機能仕様に従う)、生成出力、運用ログ(最小化)。

目的:応答生成による機能提供、提供に付随する保守(品質維持・障害解析・不正防止)。

学習:ユーザーデータを学習・トレーニング/ファインチューニングに使用しない。

例外参照:バグ調査・回帰テスト等の保守目的で限定的に実データ参照し得る(Schedule 2の統制に従う)。

委託先:AWS(Amazon Bedrock)。

処理地域:=米国(USリージョン)。

保持・削除:削除ポリシーに従う(入力/出力の保存有無・短期保持は機能仕様で確定)。

 

Schedule 2:TOMs / Security Exhibit

当社は、ISO/IEC 27001、27017、27018等の観点を踏まえ、以下の技術的・組織的措置を実施します(認証を約束するものではありません)。ただし、当社がこれらの認証を取得していることを保証するものではありません。

  1. ガバナンス:情報セキュリティ方針、リスクアセスメント、教育、委託先管理、内部監査等
  2. アクセス制御:最小権限(RBAC)、特権管理、MFA、権限棚卸し、職務分離
  3. 例外アクセス:保守・障害解析等でユーザーデータを参照する場合、承認・記録・範囲最小化・期限付与・事後レビューを実施
  4. ログ・監視:当社は、本サービスの運用・保守、品質維持、セキュリティ監視及び障害解析のため、アクセスログ、アプリケーションログその他のログを取得・保存し、異常検知、アラート及びログ閲覧権限の限定を実施します。
  5. データ最小化(計測):RUM/分析において入力値・本文等の収集抑制、必要最小限のイベント設計、サンプリング、保持期間の短期化
  6. 暗号化:通信の暗号化(TLS)。保存時については機密性・リスクに応じた措置(暗号化、アクセス制御等)を実施
  7. 脆弱性/変更管理:脆弱性管理、パッチ適用、変更レビュー、回帰テスト、ロールバック手順
  8. AI機能の運用:学習利用の禁止、モデル変更時の影響評価、バグ調査で実データ参照が必要な場合の統制(3に従う)
  9. インシデント対応:検知・封じ込め・復旧、原因分析、再発防止、契約者への通知。なお、通知時期について72時間以内を目安としますが、個別の事案の性質、調査状況及び法令上の要件により前後する場合があります。
  10. 保持・削除:削除ポリシーに従い、本番・ログ・バックアップを含め段階的に削除します。当社は、可用性確保及び災害復旧等のため、バックアップを取得する場合があり、バックアップの即時削除が困難な場合は保持期間経過後に順次消去します。 
  11. 監査・証跡:第三者資料の提供、合理的範囲の説明・協力

 

Schedule 3:Subprocessor List(一覧ページ参照)

サブプロセッサ一覧(所在国、目的、処理/保管地域)は、一覧ページに掲載します。

一覧ページURL:

日本語:https://nulab.com/ja/privacy/list-of-service-providers/

英語: https://nulab.com/privacy/list-of-service-providers/

 

初版 2026年4月8日 制定・施行

(2026年4月8日以降にお申込みいただくユーザーには同日から適用し、2026年4月7日以前にお申込済みのユーザーへの効力発生日は2026年5月7日とします。なお、セキュリティに関する補足規約は、既存ユーザーについては同日をもって廃止します。)