データ処理附属書

JazzNode がベニュー・ブランド・エンタープライズ顧客を代理して個人データを処理する際の標準 DPA です。

発効日:2026 年 4 月 14 日·バージョン 1.0

本 DPA の発効方法

本ページは現在の標準 DPA 文面です。JazzNode と有料サブスクリプションを締結した時点で、該当範囲において本 DPA の現行版にご同意いただいたものとみなします。署名版、レッドライン版、またはエンタープライズ固有版が必要な場合は、件名「DPA execution」で security@jazznode.com まで、法人名、管轄地、修正希望箇所を添えてメールしてください。

ドラフト版——カウンターサイン前の法務レビュー推奨

1. 定義

本 DPA で用いる用語は、GDPR、UK GDPR または該当する現地データ保護法の定義に従います。明確化のため:

コントローラー——個人データの処理目的と手段を決定する JazzNode の顧客。
プロセッサー——JazzNode Inc.(米国デラウェア州)および娛興喂有限公司(台湾)。顧客を代理して個人データを処理します。
個人データ——GDPR 第 4 条(1) に定義される、識別された/識別可能な自然人に関する情報。
処理——個人データに対するあらゆる操作(収集、保存、使用、送信、削除など)。
サブプロセッサー——コントローラーを代理して個人データを処理するために JazzNode が委託する第三者。§5 に一覧。
サービス——アーティスト/ベニュー/ブランドプロフィール、イベント探索、チケット販売、メッセージング関連機能を含む JazzNode プラットフォーム。

2. 対象・期間・性質・目的

対象:JazzNode がコントローラーにサービスを提供するに当たり行う個人データの処理。

期間:コントローラーの JazzNode サブスクリプション期間、および法令により保持が必要な期間(例:チケット売上の税務記録)。

性質と目的:ホスティング、認証、表示、配信、およびコントローラーによる JazzNode プラットフォーム利用のサポート。チケット発行、Stripe による決済、Resend によるトランザクションメール、プラットフォーム利用分析を含みます。

3. データ主体と個人データのカテゴリ

データ主体のカテゴリ: サービスの最終利用者、つまりファン/チケット購入者、ミュージシャン/アーティストプロフィール所有者、ベニュー運営者、ブランド運営者、およびそれらが招待するスタッフ。

個人データのカテゴリ:

識別情報:氏名、表示名、メールアドレス、プロフィール画像。
認証情報:ハッシュ化されたパスワード(Supabase Auth)、OAuth トークン(Google)。
商取引:チケット購入記録、注文総額、支払先(ベニュー/ブランド向け)。JazzNode は生のカード番号を保存せず——PCI DSS 下で Stripe が独立したコントローラーとして保持します。
コミュニケーション:プラットフォームを通じたメッセージ、shoutout、レビュー。
利用状況:匿名化された分析データ、リファラー、大まかな地理的地域。
デバイス(モバイルアプリのみ):プッシュ通知トークン、デバイス名、OS/アプリのバージョン。

JazzNode は GDPR 第 9 条の特別カテゴリの個人データを意図的に処理しません。コントローラーはサービスを通じてそのようなデータを送信してはなりません。

4. プロセッサーとしての JazzNode の義務

JazzNode は以下を行います:

コントローラーの文書化された指示(サブスクリプション契約、本条件、およびコントローラーが提供する書面による指示)に基づいてのみ個人データを処理すること。
個人データを処理する権限を付与された者が契約上の守秘義務を負うことを確保すること。
適切な技術的・組織的セキュリティ対策を実施すること(§7 参照)。
処理の性質を考慮し、データ主体の請求への対応および GDPR 第 32 ~ 36 条に基づく義務の履行についてコントローラーを支援すること。
GDPR 第 28 条の遵守を証明するために必要なすべての情報をコントローラーに提供すること。
サービス終了後、コントローラーの選択により個人データを削除または返却すること(§11 参照)。

5. サブプロセッサー

コントローラーは、以下のサブプロセッサーの起用を JazzNode に許可します。それぞれ本 DPA 同等以上のデータ保護条件を課す書面契約が締結されています:

Supabase, Inc.: データベース、認証、オブジェクトストレージ。SOC 2 Type 2、ISO 27001。データは JazzNode の運営地域に合わせて選択された AWS リージョンで主にホスティングされます。
Vercel Inc.: アプリケーションホスティング、エッジネットワーク、ビルドパイプライン。SOC 2 Type 2、ISO 27001。
Stripe, Inc.: 決済処理。Stripe は PCI DSS Level 1 の下、カードデータについて独立したコントローラーとして機能します。
Resend, Inc.: トランザクションメール配信。SOC 2 Type 2。APAC 向け東京リージョン。
Amazon Web Services, Inc.: Supabase 経由および特定のファイルストレージに使用される基盤クラウドインフラ。SOC 2、ISO 27001。
Google LLC: Google サインイン用 OAuth ID プロバイダ、社内 ID プロバイダとしての Google Workspace。

JazzNode は、サブプロセッサーの追加・交代を少なくとも 30 日前に /trust およびメールで通知します。コントローラーは合理的なデータ保護上の理由で異議を申し立てることができ、解決できない場合はいずれかの当事者がサブスクリプションを終了できます。

6. 国際データ転送

JazzNode は複数の法域で運営しています。個人データが EEA、英国、スイスから十分性認定のない国に転送される場合、JazzNode は EU 標準契約条項(2021/914)および英国 IDTA/Addendum 同等の条項を参照として組み込み依拠します。

EEA 外で運営するサブプロセッサーは SCC 同等の保護を自己認証するか、十分性認定フレームワーク下で運営します。現在の法域:米国(JazzNode Inc.、Vercel、Stripe、AWS、Google)、台湾(娛興喂)、日本(Resend 東京リージョン選択時)。

7. セキュリティ対策

JazzNode はリスクに応じた適切な技術的・組織的対策を実施・維持します。詳細は /trust および /legal/security に記載。最低限、以下を含みます:

転送時の暗号化(TLS 1.2+、全ドメインで HSTS)および保存時の暗号化(インフラプロバイダ経由で AES-256)。
ユーザー/ロール別のアクセス制御のため、データベース層で強制される Row Level Security。
機密操作に昇格権限を必要とする最小権限内部ロール(Owner / Admin / Editor)。
Vercel 環境変数による暗号化されたシークレット管理、クラウド間認証には OIDC、ソース管理に長寿命の認証情報を保管しない。
Supabase のポイントインタイムバックアップおよび独立して保存されるチケット記録。
/trust に公開された脆弱性開示プログラム、連絡先 security@jazznode.com。

対策はプラットフォームの進化に合わせて年次で見直し・更新されます。重大な変更は /trust に反映されます。

8. データ主体の権利行使への協力

JazzNode は、GDPR 第 III 章に基づくデータ主体の請求(アクセス、訂正、削除、制限、ポータビリティ、異議)への対応をコントローラーが行えるよう合理的に協力します。協力が不相応な場合、コントローラーの負担とします。

データ主体がコントローラー由来のデータについて JazzNode に直接連絡した場合(例:ベニューのイベントページ上のプロフィールについてファンがメール)、JazzNode は該当のコントローラーをデータ主体に知らせ、必要に応じてコントローラーに通知します。

9. 個人データ侵害の通知

JazzNode は、コントローラーのデータに影響する個人データ侵害を確認してから 72 時間以内、遅滞なくコントローラーに通知します。

通知には、その時点で判明している限りで以下を含めます:侵害の性質、影響を受けるデータ主体および記録のカテゴリと概数、起こり得る影響、侵害への対処および悪影響の緩和のために取られた/提案された措置。

JazzNode はすべての個人データ侵害を記録し、コントローラーの要求に応じて記録を提供します。

10. 監査と検査

コントローラーは以下の方法で JazzNode の本 DPA 遵守を検証できます:

JazzNode のサブプロセッサーの最新の第三者監査レポート(SOC 2、ISO 27001)の閲覧——NDA 締結後、security@jazznode.com 経由で提供。
合理的なセキュリティ質問票への JazzNode の回答(12 か月あたり 1 回まで、30 営業日以内に回答)。

現地検査は上記が明らかに不十分な場合、または監督当局に要求される場合に限られます。その際、コントローラーは 30 日前の書面通知、自費負担、通常営業時間内、相互同意の範囲と守秘義務に従って実施します。

11. 返却と削除

コントローラーのサブスクリプション終了時、JazzNode は終了から 30 日以内にコントローラーが書面で選択した方法に従い:(a) コントローラーを代理して処理したすべての個人データを削除、または (b) 構造化された、一般的に使用される機械可読形式で返却します。

期限内に選択がない場合、JazzNode は 90 日後にコントローラーの個人データを削除します。法令で保持が必要なデータは除きます(例:米国および台湾の税法に基づくチケット取引の税務記録)。バックアップシステム内のデータは通常のバックアップローテーションで上書きされます。

12. 責任、準拠法、優先順位

本 DPA に基づく責任は、JazzNode のサブスクリプション契約の責任上限および除外に従います。本 DPA は法令で排除できない責任を排除しません。

本 DPA は、それを組み込む JazzNode サブスクリプション契約の法律に準拠します。

本 DPA と基礎となるサブスクリプション契約がデータ保護義務について抵触する場合、本 DPA が優先します。EU 標準契約条項が適用される場合、それが本 DPA に優先します。

13. 連絡先

データ保護および DPA に関するお問い合わせ:security@jazznode.com。

一般的なお問い合わせはください。

JazzNode 運営事業体:JazzNode Inc.(米国デラウェア州)および娛興喂有限公司(台湾)。