データ処理に関する補足事項

最終更新日：2026年4月9日

このデータ処理補足条項（「DPA」）は、 APIANT利用規約 Apiant, Inc.（以下「APIANT」、「当社」、「私たち」または「当社の」）と顧客（以下「顧客」、「あなた」または「あなたの」）との間の契約（以下「本契約」）であり、顧客のMCP（モデルコンテキストプロトコル）サーバーインフラストラクチャを通じて処理されるデータを含め、サービスに関連してAPIANTが顧客に代わって行う個人データの処理を規定します。

本データ処理契約は、APIANTがデータ処理者（または、米国州のプライバシー法に基づき該当する場合はサービスプロバイダー）として顧客に代わって個人データを処理する範囲において適用されます。本データ処理契約と本契約との間に矛盾が生じた場合は、個人データの処理に関しては本データ処理契約が優先されます。

1. 定義

「個人データ」 とは、APIANTが顧客に代わってサービスを通じて処理する、特定された、または特定可能な自然人に関するあらゆる情報を意味します。

"処理" 個人データとは、収集、記録、整理、保管、改変、検索、参照、使用、開示、結合、制限、消去、または破棄を含む、個人データに対して行われるあらゆる操作を意味します。

「サブプロセッサ」 とは、APIANTが顧客に代わって個人データを処理するために雇用する第三者を意味します。

「データ保護法」 データプライバシーおよびデータ保護に関するすべての適用法令を意味し、これにはEU一般データ保護規則（GDPR）、英国GDPR、カリフォルニア州消費者プライバシー法（CCPA）（カリフォルニア州プライバシー権法（CPRA）により改正）、バージニア州消費者データ保護法（VCDPA）、およびその他の適用される米国の州のプライバシー法が含まれます。

「MCPサーバーインフラストラクチャ」 とは、顧客が専用のAPIANTインフラストラクチャ（顧客自身のドメイン名を含む）上に展開するMCP互換サーバーを意味し、顧客のエンドユーザーは、このサーバーを介してサードパーティのAIプラットフォームを介してプラットフォームとやり取りすることができる。

2. 業務範囲と役割

2.1 本サービスを通じて処理される個人データに関して、顧客はデータ管理者（または該当する場合は事業者）であり、APIANTはデータ処理者（または該当する場合はサービスプロバイダー）です。

2.2 APIANTは、顧客の文書化された指示に従ってのみ、顧客の代理として個人データを処理します。顧客によるサービスの利用（自動化の設定や顧客のMCPサーバーインフラストラクチャを通じて処理されるデータを含む）は、本データ処理契約の目的において、文書化された指示に該当します。

2.3 APIANTは、適用法令により義務付けられている場合を除き、サービスの提供以外の目的で個人データを処理することはありません。かかる場合、APIANTは、法令により通知が禁止されている場合を除き、処理を行う前に顧客にその法的要件を通知します。

3. 処理されるデータのカテゴリ

3.1 プラットフォームサービス

顧客がプラットフォームを直接使用する場合、APIANTは顧客の設定に応じて、以下のカテゴリの個人データを処理する場合があります。

連絡先情報（氏名、メールアドレス、電話番号）
アカウント認証情報と認証トークン
サードパーティアプリケーション間で送信されるビジネスデータ
顧客がプラットフォームを通じて処理することを選択したその他のデータ

3.2 MCPサーバーインフラストラクチャ

顧客のMCPサーバーインフラストラクチャを通じてデータが処理される場合、APIANT（基盤となるプラットフォームプロバイダーとして）は以下を処理する可能性があります。

認証情報 （OAuth 2.0トークンなど）は、顧客のMCPサーバーへの本人確認とアクセス許可に使用されます。
ツール呼び出しパラメータ: AIプラットフォームから顧客のMCPサーバーに送信され、要求されたアクションを実行するための構造化された入力。
ツール呼び出しへの応答: 顧客のMCPサーバーからAIプラットフォームに返される結果

APIANTはない AIプラットフォームとのエンドユーザー間の会話の全文を受信または処理します。顧客のAPIANT搭載サーバー上では、要求されたアクションを実行するために必要な構造化されたツール呼び出しデータのみが処理されます。

4. データ保持と削除

4.1 APIANTは、顧客が早期削除を要求しない限り、サービスを通じて処理された個人データを契約期間中保持します。

4.2 MCPサーバーインフラストラクチャを介して処理されるデータについては、特に以下の点が挙げられます。

認証トークン セッション中はメモリに保持されますが、切断後は保持されません。
ツール呼び出しログ （パラメータと応答）は、デバッグおよび運用上の目的で最大90日間保持され、その後自動的に削除されます。
ユーザープロファイルはありません これらはMCPの相互作用データに基づいて構築されています。

4.3 本契約の満了または終了後30日以内に、APIANTは、適用法により保持が義務付けられている場合を除き、保有または管理するすべての個人データを削除または返却するものとします。

4.4 お客様は、いつでも以下の方法で個人データの削除を要求できます。 privacy@apiant.comAPIANTは、法的保持義務に従い、30日以内にかかる要求に応じるものとする。

5. 顧客データに関する研修なし

APIANTはない個人データ、ユーザーデータ、ツール呼び出しパラメータ、ツール呼び出し応答、またはその他の顧客データを使用して、人工知能モデル、機械学習モデル、またはあらゆる形式の自動意思決定システムをトレーニングすること。これは、プラットフォーム、MCPサーバーインフラストラクチャ、およびサービスのその他のコンポーネントを通じて処理されるすべてのデータに適用されます。

6. サブプロセッサ

6.1 顧客は、APIANTがサービスの提供を支援するために、以下のサブプロセッサーを利用することを承認します。

サブプロセッサ	目的	位置
アマゾンウェブサービス（AWS）	クラウドインフラストラクチャとホスティング	アメリカ合衆国
リカーリー	請求および支払い処理	アメリカ合衆国
Google（Googleアナリティクス）	ウェブサイト分析	アメリカ合衆国
ハブスポット	顧客関係管理とコミュニケーション	アメリカ合衆国
スマートルック	セッション記録およびUX分析（ウェブサイトのみ、プラットフォームデータは含まれません）	EU（チェコ共和国）
Splunk	プラットフォームのパフォーマンス監視とログ記録	アメリカ合衆国

6.2 APIANTは、本DPAを更新することにより、サブプロセッサーの変更予定を顧客に通知するものとします。顧客は、新しいサブプロセッサーに異議を申し立てる場合は、以下の連絡先までご連絡ください。 legal@apiant.com 通知後30日以内。

6.3 APIANTは、各サブプロセッサーと、本データ保護契約に規定されているものと同等以上の保護義務を課す書面による契約を締結するものとする。

7．セキュリティ対策

APIANTは、個人データを保護するために、以下を含む適切な技術的および組織的措置を実施および維持します。

転送中の暗号化： APIANTのサーバーとの間で送受信されるすべてのデータ（MCPサーバーとの通信を含む）は、HTTPS/TLSを使用して暗号化されます。
保存時の暗号化： APIANTのインフラストラクチャに保存される個人データは、業界標準の暗号化技術を用いて保存時に暗号化されます。
アクセス制御: 個人データへのアクセスは、必要最小限の範囲で、権限を与えられた担当者のみに制限されます。
認証: 本プラットフォームへのアクセスには認証が必要です。MCPサーバーインフラストラクチャには、OAuth 2.0または同等の認証が必要です。
監視： APIANTは、セキュリティインシデントや不正アクセスがないかシステムを監視しています。
インシデント対応： APIANTはインシデント対応プロセスを維持しており、個人データ侵害を認識した場合は、遅滞なく（いかなる場合でも72時間以内に）顧客に通知するものとします。
インフラストラクチャー： 本プラットフォームは、SOC 2、ISO 27001、およびその他の業界認証を取得しているAmazon Web Services（AWS）のインフラストラクチャ上でホストされています。

8. データ主体の権利

8.1 APIANTは、適用されるデータ保護法に基づき、アクセス、訂正、消去、制限、データポータビリティ、処理への異議申し立てなどのデータ主体の要求を満たすために顧客を支援するものとします。

8.2 APIANTが顧客に代わって処理される個人データに関してデータ主体から直接要求を受けた場合、法律で禁止されていない限り、APIANTは速やかにデータ主体を顧客に転送し、顧客に要求を通知するものとします。

8.3 APIANTは、処理の性質を考慮し、データ主体の要求への対応において、顧客に対して合理的な協力と支援を提供するものとする。

9. 国際データ転送

9.1 APIANTの主要インフラストラクチャは米国にあります。お客様は、本サービスを利用することにより、個人データの米国への転送を承認するものとします。

9.2 欧州経済領域（EEA）、英国、またはスイスから米国への個人データの移転が、適用されるデータ保護法の下で制限付き移転に該当する場合、当該移転は、欧州委員会が採択した標準契約条項（SCC）（モジュール2：管理者から処理者へ）に従うものとし、当該条項は参照により本契約に組み込まれる。

9.3 お客様は、該当する送金メカニズムのコピーを請求することができます。 legal@apiant.com.

10. CCPAおよび米国各州のプライバシー法への準拠

10.1 APIANTがCCPAまたはその他の米国の州のプライバシー法の対象となる個人データを処理する場合、APIANTは（CCPAで定義されている）「サービスプロバイダー」または該当する州法の下で同等の役割を果たします。

10.2 APIANTは、顧客から受け取った個人データを販売または共有（CCPAで定義されているとおり）しないものとします。

10.3 APIANTは、サービスの提供以外の目的（サービスの提供以外の商業目的を含む）で個人データを保持、使用、または開示しないものとします。

10.4 APIANTは、適用される法律でサービスの提供のために許可されている場合を除き、顧客から受け取った個人データを他の情報源から受け取った個人情報と組み合わせないものとします。

10.5 APIANTは、本第10条に規定されている制限事項を理解し、遵守することを保証いたします。

11. 監査

11.1 APIANTは、顧客からの合理的な要請があった場合、かつ12ヶ月に1回を超えない頻度で、本データ処理契約の遵守を証明するために必要な情報を顧客に提供するものとします。

11.2 顧客は、30日前の書面による通知をもって、APIANTのデータ処理活動に関する監査を実施するか、または資格を有する第三者監査人を選任することができます。かかる監査は通常の営業時間内に実施され、APIANTの業務を不当に妨害してはなりません。かかる監査にかかる費用は顧客が負担するものとします。

12. 契約期間および解約

本データ処理契約は、本契約の有効期間中、効力を有するものとします。APIANTが保有または管理する個人データに関する本データ処理契約に基づくAPIANTの義務は、第4条に従ってすべての個人データが削除または返却されるまで、本契約の終了後も存続するものとします。

13. 連絡先

本データ処理契約に関するご質問やご要望は、下記までお問い合わせください。

アピアント社
196 W アシュランド通り、ドイルズタウン
ペンシルベニア州ドイルズタウン 18901
アメリカ合衆国

メール: privacy@apiant.com
法律上の： legal@apiant.com