Smart, Traceable Compliance for Modern Hotels

データ処理契約 (DPA)

データ処理契約(DPA)は、GDPRに準拠して、データ管理者と処理者の間で個人データがどのように処理されるかを定義します。

バージョン:2.0
最終更新日:2026年2月23日

 

1. 当事者

本データ処理契約(以下「DPA」)は、以下の当事者間のサービス契約の一部を構成します:

管理者: PassportScan Cloudを利用するホスピタリティ事業者

処理者:
GlobeID Limited
The Black Church, St. Mary’s Place
Dublin 7, D07P4AX
アイルランド
VAT: IE 3342103WH

処理者は管理者にPassportScan Cloudサービスを提供します。

 

2. 目的

本DPAは、以下に従って、処理者が管理者に代わって行う個人データの処理を規定します:

  • 規則(EU)2016/679(GDPR)
  • 適用される地域のデータ保護法

処理者は管理者の文書化された指示のみに基づいて個人データを処理します。

 

3. 処理の性質と目的

PassportScan Cloudが実現する機能:

  • デジタルゲスト登録
  • 身分証明書のスキャンおよびOCRデータ抽出
  • 同意の取得
  • 規制データのエクスポート
  • PMS連携
  • クレジット購入とアカウントアクティベーション

決済処理はStripeが専ら処理します。処理者は処理の目的を決定しません。

 

4. データ主体のカテゴリー

  • ホテルゲスト
  • 未成年ゲスト(法的に義務付けられる場合)
  • 予約者
  • ホテルスタッフユーザー
  • 請求担当者

 

5. 個人データのカテゴリー

身元データ

  • 氏名
  • 生年月日・出生地
  • 国籍
  • 身分証明書番号
  • 書類の種類
  • 有効期限
  • 書類画像(有効な場合)
  • 署名画像
  • 同意メタデータ

技術データ

  • IPアドレス
  • 認証メタデータ
  • デバイスメタデータ
  • ログ

決済メタデータ

  • 取引ID
  • 支払いステータス
  • 金額
  • 通貨
  • 請求メール(該当する場合)

処理者は以下を保存・処理しません:クレジットカード番号、CVVコード、カード有効期限。決済カードデータはStripeのみが処理します。

 

6. 処理者の義務

処理者は以下を行います:

  • 文書化された指示のみに基づいて個人データを処理する
  • 秘密保持を確保する
  • 適切な技術的・組織的措置を実施する
  • データ主体の権利行使を支援する
  • 個人データ侵害を不当な遅延なく通知する
  • サービス終了時に個人データを削除または返却する

 

7. 技術的・組織的措置

処理者は以下を実施します:

  • AWSホストインフラ
  • マルチAZ展開
  • アプリケーションレベル・フィールドレベル暗号化
  • 保存時AES-256暗号化
  • 転送時TLS 1.2+暗号化
  • ロールベースアクセス制御
  • MFAサポート
  • ログ記録・監視
  • 独立したペネトレーションテスト

 

8. サブプロセッサー

管理者は、処理者がサブプロセッサーレジスターに記載のサブプロセッサーを利用することを承認します。現在のカテゴリー:

  • Amazon Web Services (AWS) – クラウドインフラ
  • Clerk – 認証
  • Datadog – 監視
  • Google Workspace – 内部運営
  • Stripe – 決済処理

 

9. 処理のセキュリティ(GDPR第32条)

処理者は以下を考慮した適切なセキュリティ措置を確保します:最先端技術、実施コスト、処理の性質・範囲・文脈・目的、個人の権利への危険。

 

10. データ所在地と国際転送

10.1 コアインフラ

コアプラットフォームインフラおよびプライマリデータベースはAWS eu-west-1(アイルランド、EU)に独占的にホストされています。

10.2 地域別書類画像ストレージ

書類画像ストレージが有効な場合、オブジェクトストレージ(Amazon S3)はホテルの管轄に対応するAWSリージョンでプロビジョニングされる場合があります(EEA域外含む)。

10.3 国際転送の保護措置

個人データがEEA域外で処理される場合、AWSデータ処理補遺、標準契約条項(SCC)、AES-256暗号化(保存時)、TLS 1.2+(転送時)が適用されます。

 

11. 監査と検査

処理者はコンプライアンスを実証するために必要な情報を提供し、セキュリティドキュメント、ペネトレーションテスト概要、認証などを提供する場合があります。

 

12. 個人データ侵害

処理者は個人データ侵害を認識した後、不当な遅延なく管理者に通知します。通知には侵害の性質、影響を受けるデータのカテゴリー、講じた緩和措置が含まれます。

 

13. 終了

サービス終了時:個人データは法律で義務付けられない限り30日以内に削除され、アクセスは取り消され、バックアップ削除ポリシーが適用されます。

 

14. 準拠法および管轄

本DPAおよびそれから生じる紛争または請求はスペイン法に準拠し、スペインの裁判所が専属管轄を有します。

Passportscan