外国にある第三者への提供に関する事項
最終更新日: 2026-05-01(リリース日)
根拠: 個人情報保護法第28条、個人情報保護法施行規則第17条第2項、個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」
本書面は、Sprintalyze(以下「当サービス」)が、個人データを外国にある第三者に提供する場合に、本人に対して情報提供すべき事項を公表するものです。
1. 提供先一覧
当サービスは、本サービスの提供・運営のために、以下の外国にある第三者に個人データの取扱いを委託または提供します。
| 事業者名 | 所在国 | 提供目的 | 提供する個人データ |
|---|---|---|---|
| Supabase Inc. | 米国 | 認証基盤・データベース | メールアドレス・プロフィール・身体情報・分析結果・アクセスログ |
| Stripe, Inc. | 米国 | サブスクリプション決済処理 | メールアドレス・決済トークン・課金履歴 |
| RunPod, Inc. | 米国 | GPU推論(骨格解析処理) | 動画ファイル(処理時のみ一時保管)・骨格キーポイント |
| Cloudflare, Inc. | 米国 | CDN配信・オブジェクトストレージ(R2) | 動画ファイル・セッションCookie・IPアドレス |
| Google LLC | 米国 | 広告配信(AdSense)・アクセス解析(Analytics) | Cookie・IPアドレス・閲覧履歴・広告識別子 |
| Render, Inc. | 米国 | APIサーバーホスティング | サーバーログ・HTTPリクエスト情報 |
2. 各提供先の所在国の個人情報保護制度
米国(共通)
- 連邦レベルの包括的個人情報保護法は存在しない。州法レベルではカリフォルニア州消費者プライバシー法(CCPA / CPRA)等のセクター別規制が存在
- EU-US Data Privacy Framework(DPF) による越境移転枠組みが2023年7月に運用開始(上記事業者の一部は DPF 認証取得済)
- FTC Act 第5条 により、企業のプライバシーポリシー違反は不公正取引慣行として規制対象
- HIPAA(医療)、COPPA(13歳未満児童)等のセクター別規制あり
- 連邦捜査機関による政府アクセス(FISA 702、Executive Order 12333)の可能性があり、個人情報保護委員会の指摘する「本人の権利利益に重要な影響を及ぼす可能性のある制度」に該当し得る
詳細は個人情報保護委員会「外国における個人情報の保護に関する制度等の調査(米国)」を参照してください(https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/)。
3. 各提供先が講ずる安全管理措置(概要)
| 事業者 | 主な安全管理措置 | 認証・枠組み |
|---|---|---|
| Supabase Inc. | SOC 2 Type II、GDPR DPA、暗号化(保存時・転送時)、Row Level Security | SOC 2 / GDPR |
| Stripe, Inc. | PCI DSS Level 1、SOC 2 Type II、GDPR DPA、カード情報トークン化 | PCI DSS / SOC 2 / GDPR / EU-US DPF |
| RunPod, Inc. | 暗号化、アクセス制御、処理後データ削除、コンテナ分離 | SOC 2(準拠表明) |
| Cloudflare, Inc. | ISO 27001、SOC 2 Type II、GDPR DPA、暗号化、Zero Trust | ISO 27001 / SOC 2 / GDPR / EU-US DPF |
| Google LLC | ISO 27001、SOC 2/3、GDPR DPA、広告設定によるユーザー制御 | ISO 27001 / SOC 2 / EU-US DPF |
| Render, Inc. | SOC 2 Type II、GDPR DPA、暗号化、VPC分離 | SOC 2 / GDPR |
具体的な DPA(Data Processing Addendum)は各事業者の公式ページで公開されており、当社はこれらを締結しています。
4. 当社が講ずる継続的確認方法
当社は、外国にある第三者が個人情報保護法に定める基準に相当する措置を継続的に講ずることを確保するため、以下の措置を実施します。
- 年1回の委託先定期レビュー: 各事業者のセキュリティ認証更新状況(SOC 2、ISO 27001等)と DPA の改定状況を確認
- インシデント通知義務の契約化: 各事業者の DPA において、セキュリティインシデント発生時の通知期限(原則72時間以内)を定める
- 監査権の留保: DPA 上、当社または独立した第三者監査人による監査を実施できる条項を確保
- 本人からの求めに応じた情報提供: ユーザーから、提供先における安全管理措置の内容について求めがあった場合、合理的期間内に電子メールで情報提供します(窓口: sprintalyze.jp@gmail.com)
- 提供先の変更時の告知: 提供先事業者を追加・変更する場合は、プライバシーポリシーおよび本書面を改定し、30日前までに告知します
5. 本人による同意の撤回
ユーザーは、外国にある第三者への個人データ提供に対する同意を撤回できます。撤回方法は以下のとおりです。
- 退会による全面撤回: アカウント設定画面から退会手続を行うと、提供に関する同意は終了し、以後当社は提供を行いません
- 個別の停止請求: 個別の提供先に対する提供停止を希望する場合は、sprintalyze.jp@gmail.com にご連絡ください。ただし、一部の提供先は本サービスの基本機能の提供に不可欠なため、停止によりサービス利用が制限される場合があります
6. お問い合わせ
本書面に関するお問い合わせ・追加情報の請求は以下まで。
- メールアドレス: sprintalyze.jp@gmail.com
- 回答期間: 3営業日以内
改版履歴
| 版 | 日付 | 変更内容 |
|---|---|---|
| 0.1 | 2026-04-19 | 初版作成(GPT-5.4法務レビューB-2対応・個人情報保護法28条準拠) |