個人情報取扱覚書（DPA）

制定日：2026年5月13日

本ページは、株式会社 StoD（以下「当社」という。）が提供するSaaSサービス「ハタラクAI」（以下「本サービス」という。）の提供に関し、契約者から当社に対して個人データが提供される場合の個人情報の取扱いについて定める。

第1条（目的）

本DPAは、本サービスの提供に伴い契約者から当社に対して個人データが提供されることに関し、個人情報の保護に関する法律（以下「個人情報保護法」という。）第27条第5項第1号および第28条の規定を踏まえ、当社および契約者が遵守すべき事項を定めることを目的とする。

第2条（定義）

本DPAにおいて使用する用語は、本DPAに定めるほか、利用規約および個人情報保護法の定めに従う。

「個人データ」とは、個人情報保護法第16条第3項に定める個人データをいう。

「委託個人データ」とは、本サービスの提供に伴い契約者から当社に提供される個人データをいう。

「本人」とは、委託個人データにより識別される特定の個人をいう。

「基盤LLM」とは、Anthropic, PBC（米国デラウェア州所在、以下「Anthropic社」という。）その他当社が本サービスの提供に用いる大規模言語モデルをいう。

第3条（当事者の役割）

委託個人データについて、契約者は個人情報取扱事業者として取扱いの目的、方法等を決定する主体となり、当社は契約者の委託を受けて委託個人データを取り扱う委託先となる。

当社は、契約者の指示に従い、利用規約、申込書および本DPAに定める本サービス提供の目的の範囲内でのみ、委託個人データを取り扱う。

当社は、本サービス提供の目的を超えて、自己の目的のために委託個人データを利用しない。ただし、個人を特定できない統計情報または匿名加工された情報として、本サービスの品質向上に利用する場合を除く。

第4条（取扱いを委託する個人データの範囲）

契約者から当社に対して取扱いを委託される委託個人データの種別は、次のとおりとする。

契約者の役員、従業員、業務委託先、顧客、取引先その他契約者の業務に関連する個人の氏名、所属、役職、電子メールアドレス、電話番号、住所その他の連絡先

契約者の業務に関連する文書、会話、打合せ記録、問い合わせ履歴、社内FAQ、マニュアル、レポート等に含まれる個人情報

契約者が本サービスに入力するその他の個人情報

契約者は、本サービスへの入力にあたり、本サービス利用目的に照らして必要な個人データに限定し、要配慮個人情報およびマイナンバーを含めないよう努める。

第5条（委託の目的）

当社は、次の目的のために委託個人データを取り扱う。

本サービスの提供（問い合わせ応答、事務作業の実行、成果物生成、ワークフロー実行等）

本サービスの導入、運用、保守、障害対応

本サービスの品質管理、不具合調査、セキュリティ対応

法令または適法な監督官庁の指示に基づく対応

第6条（当社の遵守事項）

当社は、委託個人データについて、個人情報保護法および同法ガイドラインに従い、組織的、人的、物理的および技術的な安全管理措置を講じる。

当社は、委託個人データを取り扱う従業者に対し、必要かつ適切な監督を行う。

当社は、契約者の事前の書面または電磁的方法による同意なく、委託個人データを本DPA第5条に定める目的以外の目的のために利用しない。

当社は、第7条に定める場合を除き、契約者の事前の同意なく、委託個人データを第三者に提供しない。

当社は、委託個人データの漏えい、滅失、毀損、不正アクセス等を防止するために必要な措置を講じる。

当社は、委託個人データに関する本人からの苦情、開示等請求その他の連絡を受けた場合、契約者に通知し、契約者の指示に従って合理的に協力する。

第7条（再委託）

当社は、本サービスを提供するために、基盤LLM提供事業者、クラウドインフラ提供事業者、メール配信、監視、ログ管理、決済、サポートその他本サービス提供に必要な第三者に対して、委託個人データの取扱いの全部または一部を再委託することができる。

当社は、再委託先に対し、委託個人データの安全管理、秘密保持、目的外利用禁止その他本DPAと同等の義務を、契約その他適切な方法により課す。

当社は、再委託先の選定および監督を合理的に行う。

契約者は、本DPAへの同意をもって、当社が本サービス提供に必要な範囲で再委託を行うことに同意する。

第8条（Anthropic社への送信および外国にある第三者への委託）

当社は、本サービスを提供するために、Anthropic社に対して、基盤LLMへの入力処理に必要な範囲で委託個人データを送信することがある。

Anthropic社の所在地は米国デラウェア州であり、米国においては連邦レベルでの包括的な個人情報保護法は存在しないが、州法その他の法令が適用され得る。米国は、個人情報保護委員会が定める「我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国」には該当しない。

当社は、Anthropic社の商用条件、プライバシーポリシー、セキュリティ認証その他公開情報を確認し、基盤LLMへの送信データが学習に利用されないこと、通信の暗号化、アクセス制御その他の保護措置が講じられていることを合理的な範囲で確認する。

契約者は、必要に応じて、本人に対し、外国にある第三者への委託または提供に関する情報提供および同意取得を行う。

第9条（契約者の遵守事項）

契約者は、委託個人データを当社に提供するにあたり、必要に応じて本人から適法かつ十分な同意を取得する。

契約者は、個人情報保護法第28条に基づく外国にある第三者への提供または委託に該当する場合、本人への情報提供その他必要な措置を自己の責任で行う。

契約者は、本サービスに要配慮個人情報を入力する場合、事前に本人の同意を取得し、必要に応じて当社に通知する。

契約者は、本人の権利利益を不当に害することのないよう、利用規約およびAI利用ガイドラインに従って本サービスを利用する。

第10条（漏えい等発生時の対応）

当社は、委託個人データの漏えい、滅失、毀損、不正アクセスその他本人の権利利益を害するおそれが大きい事態が発生し、または発生したおそれがあることを認識した場合、契約者に対して、把握できた範囲で速やかに報告する。

報告には、把握できた範囲で、事態の概要、関与する個人データの項目および件数、原因および対応状況、今後の対策、契約者への協力要請を含める。

契約者が個人情報保護委員会への報告または本人への通知を行う義務を負う場合、当社は、契約者の指示に従い、合理的な範囲でこれに協力する。

第11条（監査）

契約者は、当社が本DPAを遵守していることを確認するため、事前に当社に書面または電磁的方法で通知した上で、営業時間内に、年1回を限度として監査を実施することができる。

当社は、監査に合理的に協力する。ただし、当社の他の顧客情報、営業秘密、セキュリティ上開示できない情報その他当社の秘密情報を含む部分については、開示義務を負わない。

監査の方法および範囲は、当社および契約者が協議の上、合理的な範囲で決定する。当社は、第三者認証、セキュリティ資料、管理体制に関する説明その他合理的な代替資料の提示をもって監査に代えることができる。

監査費用は契約者の負担とする。ただし、監査の結果、当社に重大な違反が判明した場合の再監査費用は、当社の負担とする。

第12条（契約終了時の措置）

個別契約が終了した場合、当社は、契約者からの合理的な指示に従い、委託個人データを返還し、または削除する。

当社は、個別契約終了後90日以内に委託個人データを削除する。ただし、法令により保存が義務付けられているもの、請求、紛争、監査、セキュリティ対応のために必要なものはこの限りでない。

当社は、再委託先に対しても、契約上またはサービス仕様上可能な範囲で、委託個人データの削除または保持期間満了後の削除を求める。

当社は、契約者から書面または電磁的方法により要請があった場合、合理的な範囲で削除完了に関する説明を行う。

第13条（損害賠償）

当社が本DPAに違反したことにより契約者または本人に損害が生じた場合、当社は、利用規約に定める責任制限の範囲で、その損害を賠償する責任を負う。

契約者が本DPAに違反したことにより当社に損害が生じた場合、契約者はその損害を賠償する責任を負う。

第14条（有効期間）

本DPAは、個別契約の有効期間中、効力を有する。

前項にかかわらず、第10条から第13条までの規定は、本DPA終了後も効力を有する。

第15条（利用規約との関係）

本DPAに定めのない事項は、利用規約および個別契約条件の定めに従う。本DPAの内容と利用規約または個別契約条件の内容が矛盾する場合、個人情報の取扱いに関しては本DPAが優先する。

第16条（準拠法および管轄）

本DPAの成立、効力、履行および解釈については、日本法を準拠法とし、本DPAに関して生じた紛争については、訴額に応じて東京地方裁判所または東京簡易裁判所を第一審の専属的合意管轄裁判所とする。

附則

本DPAは、2026年5月13日から適用する。

以上