データ処理契約(DPA)
Data Processing Agreement
最終更新日: 2026年6月4日
1.位置づけと当事者の役割
本データ処理契約(以下「本DPA」)は、株式会社Hexis(以下「当社」、処理者)が、ワークスペースを契約する法人等のお客様(以下「お客様」、管理者)に対し monet を提供するにあたり、お客様の指示に基づいて行う個人データの処理について定めるものです。本DPAは利用規約の一部を構成し、ワークスペースのオーナーが本ページ上で同意することにより締結されます(クリックラップ)。個別に署名されたデータ処理契約が存在する場合は、第14条のとおり当該契約が優先します。
1.Scope and Roles
This Data Processing Agreement (the "DPA") governs the processing of personal data that Hexis, Inc. (株式会社Hexis) ("we", the processor) carries out on the instructions of a customer entity that subscribes to a workspace (the "Customer", the controller) when providing monet. This DPA forms part of the Terms of Service and is entered into when a workspace owner accepts it on this page (clickwrap). Where a separately signed data processing agreement exists, that agreement prevails as set out in Section 14.
2.定義
- 「個人データ」とは、識別された、または識別され得る個人に関する情報をいいます。
- 「処理」とは、個人データに対して行われる収集・記録・保管・利用・開示・消去等の一切の操作をいいます。
- 「管理者」「処理者」とは、適用されるデータ保護法令上のそれぞれの主体をいいます。
- 「サブプロセッサ」とは、当社が個人データの処理を再委託する第三者をいいます。
2.Definitions
- "Personal data" means information relating to an identified or identifiable individual.
- "Processing" means any operation performed on personal data, such as collection, recording, storage, use, disclosure, or erasure.
- "Controller" and "processor" have the meanings given under applicable data protection law.
- "Subprocessor" means a third party engaged by us to process personal data.
3.処理の目的・性質・対象
当社は、お客様に monet を提供する目的の範囲内でのみ個人データを処理します。処理の対象には、お客様およびそのメンバー、ならびに連携サービス(メール・カレンダー・チャット等)を通じて monet が取得するデータに含まれる個人データが含まれます。処理の性質は、AI エージェントによる参照・要約・生成・操作およびこれに付随する保管・検索です。お客様は、管理者として、処理に関する指示の適法性、ならびに処理の適法化根拠およびデータ主体から取得すべき同意について責任を負います。
3.Purpose, Nature, and Scope of Processing
We process personal data solely to provide monet to the Customer. The data subjects include the Customer and its members, and the personal data contained in data that monet obtains through connected services (email, calendar, chat, etc.). The nature of processing is referencing, summarizing, generating, and acting on data by an AI agent, together with the associated storage and retrieval. As the controller, the Customer is responsible for the lawfulness of its processing instructions and for the legal basis for processing and any consents to be obtained from data subjects.
4.当社(処理者)の義務
- 個人データを、お客様の文書化された指示(本DPAおよび利用規約を含む)に従ってのみ処理します。
- 処理に関与する従業員等に守秘義務を課します。
- 第7条に定める技術的・組織的安全管理措置を講じます。
- 本DPAおよび適用法令の遵守を実証するために合理的に必要な情報を、お客様の求めに応じて提供します。
- お客様の指示が適用されるデータ保護法令に違反すると当社が認めた場合、その旨をお客様に通知します。
4.Our Obligations as Processor
- Process personal data only on the Customer's documented instructions (including this DPA and the Terms).
- Impose confidentiality obligations on personnel involved in processing.
- Implement the technical and organizational security measures set out in Section 7.
- On the Customer's request, make available information reasonably necessary to demonstrate compliance with this DPA and applicable law.
- Inform the Customer if, in our opinion, an instruction infringes applicable data protection law.
5.サブプロセッサ
お客様は、当社が monet の提供のためにサブプロセッサを利用することに一般的に同意します。当社は各サブプロセッサに対し、本DPAと同等のデータ保護義務を課します。現在の主要なサブプロセッサには、基盤インフラおよびモデル提供事業者(クラウドホスティング、AI 推論・生成事業者)、当社のオブザーバビリティ・記憶基盤、ならびにオンライン会議の録音・文字起こしや公開情報の取得を行う事業者が含まれます。最新のサブプロセッサ一覧はご請求に応じて提供します。当社は、新たなサブプロセッサの追加または変更を、当社所定の方法(ウェブサイトへの掲載その他の適切な手段)により事前に通知します。お客様は、当該通知後30日以内に、データ保護に関する合理的な理由に基づき異議を申し立てることができ、当該期間内に異議がない場合は、当該追加・変更を承認したものとみなされます。
5.Subprocessors
The Customer generally authorizes us to engage subprocessors to provide monet. We impose data protection obligations on each subprocessor that are equivalent to those in this DPA. Current key subprocessors include our underlying infrastructure and model providers (cloud hosting, AI inference and generation providers), our observability and memory platform, and providers that record and transcribe online meetings or retrieve public information. We make the current list available on request. We will give prior notice of any addition or change of subprocessor by appropriate means (such as posting on our website). The Customer may object within 30 days of such notice on reasonable data-protection grounds; absent an objection within that period, the addition or change is deemed accepted.
6.データの所在地と移転
個人データは、当社が指定するクラウドリージョンで保管・処理されます。国境を越える移転を行う場合、当社は適用されるデータ保護法令が要求する適切な保護措置を講じます。欧州経済領域(EEA)・英国・スイスからの移転については、必要な範囲で当事者は欧州委員会の標準契約条項(SCC)および英国国際データ移転条項(UK IDTA / Addendum)を本DPAに組み込むものとし、これらが本条と矛盾する場合は当該条項が優先します。データの所在地に関する詳細は、セキュリティページ(/trust)に記載します。
6.Data Location and Transfers
Personal data is stored and processed in the cloud regions we designate. Where a cross-border transfer occurs, we put in place the appropriate safeguards required by applicable data protection law. For transfers from the European Economic Area, the United Kingdom, or Switzerland, the parties incorporate, to the extent required, the European Commission's Standard Contractual Clauses (SCCs) and the UK International Data Transfer Addendum (IDTA); those clauses prevail over this section to the extent of any conflict. Details on data location are described on our security page (/trust).
7.セキュリティ措置
- 転送中および保管時の暗号化。
- ワークスペース単位のデータ分離とアクセス制御。
- 認証情報・連携トークン等の機微情報の暗号化保管。
- アクセスの最小権限化と監査ログの記録。
7.Security Measures
- Encryption in transit and at rest.
- Per-workspace data isolation and access controls.
- Encrypted storage of sensitive information such as credentials and integration tokens.
- Least-privilege access and audit logging.
8.データ主体の権利への対応
当社は、処理の性質を考慮し、データ主体の権利行使(アクセス・訂正・削除等)に関するお客様の対応を、技術的に可能な範囲で合理的に支援します。
8.Assisting with Data Subject Rights
Taking into account the nature of the processing, we reasonably assist the Customer, insofar as technically feasible, in responding to data subject rights requests (access, rectification, erasure, etc.).
9.インシデント通知
当社は、自らが処理する個人データに関する個人データ侵害を認識した場合、不当な遅延なくお客様に通知し、お客様が法令上の義務を履行するために合理的に必要な情報を提供します。
9.Incident Notification
If we become aware of a personal data breach affecting personal data we process, we will notify the Customer without undue delay and provide information reasonably necessary for the Customer to meet its legal obligations.
10.データの返却・削除
本サービスの提供終了時、お客様の選択に従い、当社は個人データを返却または削除します。ただし、適用法令により保存が義務付けられる場合を除きます。ワークスペースの削除により、当該ワークスペースに紐づくデータは削除されます。
10.Return and Deletion of Data
On termination of the Service, at the Customer's choice we will return or delete personal data, except where retention is required by applicable law. Deleting a workspace deletes the data associated with that workspace.
11.監査
当社は、本DPAの遵守を実証するために合理的に必要な情報を提供します。お客様による監査は、事前の合理的な通知、秘密保持、および当社の事業運営への影響を最小化する方法により実施されるものとします。監査は、データ保護法令上必要な範囲で、お客様の費用負担により、年1回を上限として行うものとします。当社は、独立した第三者による監査報告書の概要を提供することをもって、これに代えることができます。
11.Audits
We will make available information reasonably necessary to demonstrate compliance with this DPA. Any audit by the Customer shall be conducted on reasonable prior notice, subject to confidentiality, and in a manner that minimizes disruption to our operations. Audits shall be limited to what is required under data protection law, at the Customer's expense, and to no more than once per year. We may satisfy this by providing a summary of an independent third-party audit report instead.
12.責任の制限
本DPAに基づく当社の責任は、利用規約(ToS)に定める責任の制限および上限に服するものとします。当社は、サブプロセッサの行為について、当社自らが当該行為を行った場合に本DPAに基づき負う範囲と同一の範囲でのみ責任を負います。
12.Limitation of Liability
Our liability under this DPA is subject to the limitations and caps on liability set out in the Terms of Service. We are responsible for the acts of a subprocessor only to the same extent we would be responsible under this DPA had we performed those acts ourselves.
13.契約期間・終了
本DPAは、お客様が monet を利用する期間中、効力を有します。当社による処理は、本サービスの利用終了および第10条に基づくデータの返却・削除の完了をもって終了します。
13.Term and Termination
This DPA remains in effect for as long as the Customer uses monet. Our processing ends upon termination of the Customer's use of the Service and completion of the return or deletion of data under Section 10.
14.カスタム契約の優先
大口のお客様等との間で、別途署名された個別のデータ処理契約が締結されている場合、当該契約の条項が本DPAに優先して適用されます。クリックラップによる本DPAは、個別契約が存在しないワークスペースに適用される標準条件です。
14.Precedence of a Negotiated Agreement
Where a separate, signed data processing agreement has been executed (e.g. with an enterprise Customer), the terms of that agreement prevail over this DPA. This clickwrap DPA is the standard set of terms that applies to workspaces without such a negotiated agreement.
15.お問い合わせ
- 処理者: 株式会社Hexis
- 代表者: 倉島 悠吏
- 所在地: 東京都渋谷区円山町5番3号 MIEUX渋谷ビル8階
- 法人番号: 2011001175910
- メール: yuri.kurashima@hexis.ltd
15.Contact
- Processor: Hexis, Inc. (株式会社Hexis)
- Representative: Yuri Kurashima
- Address: MIEUX Shibuya Bldg. 8F, 5-3 Maruyamacho, Shibuya-ku, Tokyo, Japan
- Corporate number: 2011001175910
- Email: yuri.kurashima@hexis.ltd