メインコンテンツにスキップ
OpenAI

Updated: 2025年12月1日

OpenAI データ処理に関する補足事項

PDF をダウンロードする(新しいウィンドウで開く)

発効日:2026年1月1日

以前のデータ処理補足条項を見る

この OpenAI データ処理補足契約(以下「DPA」)は、サービスの利用を規定する OpenAI サービス契約(以下「契約」)を補完し、これに組み込まれるものであり、発効日をもって、上記に特定された顧客(以下「お客様」)と OpenAI OpCo, LLC(必要に応じてその関連会社を代表)との間で、本契約発効日に締結されます。ただし、顧客が欧州経済領域(EEA)加盟国またはスイスに所在する場合は、OpenAI Ireland Ltd.(必要に応じてその関連会社を代表)(「OpenAI」)との間で締結されます。本 DPA において定義されていない用語は、本契約で規定された意味を有するものとします。本 DPA において、OpenAI とお客様はそれぞれ「当事者」と呼び、総称して「両当事者」と呼びます。お客様は本契約を合法的に締結できること、および法人を代表して本契約を締結する場合は当該法人を拘束する法的権限があることを表明します。お客様は「同意する」をクリックするか、注文書を承諾するか、本サービスを利用することにより、本契約に同意したとみなされます。

1. 詳細

  • 1.1 範囲と役割。OpenAI は、本契約に基づきお客様にサービスを提供する一環として、お客様に代わって顧客データを処理する場合があります。OpenAI はお客様に代わってデータ処理者として行動し、本 DPA はそのような処理を規定します。
  • 1.2 処理の詳細。OpenAI は、本契約および本 DPA に基づき、お客様にサービスを提供するためにのみ顧客データを処理します。顧客データの性質、期間、種類、及び関与するデータ主体のカテゴリーに関する詳細は、本 DPA の別紙1(処理の詳細)に記載されています。OpenAI とお客様は、それぞれのデータ保護法に基づく義務を本サービスに関連して遵守することに同意します。

2. OpenAI の義務。

  • 2.1 お客様の指示。当事者は、本 DPA、本契約(注文書を含む)、および OpenAI がサービス内で提供する設定ツールやその他のツールを通じて提供される指示が、OpenAI による顧客データの処理に関するお客様の文書化された指示(「お客様の指示」)を構成することに同意します。OpenAI は、適用法により義務付けられている場合を除き、お客様の指示に従ってのみ顧客データを処理します。この場合、法律で禁止されていない限り、OpenAI は処理に先立ってこの要件をお客様に通知します。
  • 2.2 お客様への通知。OpenAI は、OpenAI の判断でお客様の指示がデータ保護法に違反していると考えた場合、速やかに書面でお客様に通知します。OpenAI は、法的に許可されている範囲で、法執行機関から顧客データの開示に関する法的拘束力のある要求を受けた場合、お客様に通知いたします。
  • 2.3 機密保持。OpenAI は、OpenAI によって顧客データを処理することを許可されたすべての人物が、機密保持に関する誓約をしているか、または適切な法的な機密保持義務を負っていることを保証します。
  • 2.4 データ主体からの要求。OpenAI は、法的に許可されている範囲で、データ保護法(「データ主体の要求」)に基づく顧客データに関するデータ主体の権利行使の要求を受け取った場合、お客様に通知します。OpenAI は、お客様の事前の書面による承認がない限り、これらの要求には対応しません。ただし、お客様は、必要に応じて OpenAI がデータ主体からの要求をお客様に転送し、お客様が直接対応できるようにすることを承認するものとします。処理の性質を考慮して、OpenAI は可能な限り適切な技術的および組織的措置を講じることで、お客様がデータ主体からの要求に対応できるよう支援します。
  • 2.5 安全管理。OpenAI は、本契約に定められた通り、顧客データを保護するために、合理的かつ適切な組織的および技術的なセキュリティ対策を実施し、維持します。
  • 2.6 お客様への支援。OpenAI は、処理の性質と OpenAI が利用できる情報を考慮し、適切な場合には OpenAI による顧客データの処理に関するデータ保護影響評価の準備、および必要に応じて、データ保護法で要求されている場合には、そのような処理を管轄する監督機関との協議など、データ保護法に基づく義務をお客様が遵守できるよう、合理的な支援を提供します。
  • 2.7 個人データ侵害。OpenAI は個人データ侵害を認識した後、遅滞なくお客様に通知いたします。OpenAI は、個人データ侵害に関して、お客様がデータ保護法に基づく義務を遵守するために、合理的な支援を提供します。
  • 2.8 コンプライアンスの評価。OpenAI は、お客様からの合理的な書面による要求に基づき、かつデータ保護法で要求される範囲において、以下の対応を行います:(i) 年1回を上限として、OpenAI のプライバシーおよびセキュリティポリシーならびに本 DPA に基づくOpenAI の義務遵守を証明するために必要なその他の情報を顧客に提供する (ii) 当事者間で適切な機密保持契約が締結されていることを条件として、お客様による、またはお客様に代わる監査または検査を、お客様の単独の費用負担により実施することを許可し、これに協力する。かかる監査または検査は、以下の条件を満たすものとします:(A) OpenAI の事業に最小限の支障を及ぼす方法で実施されること (B) OpenAI が本 DPA に準拠した方法で顧客データを処理していることを確認するために必要なものであること (C) 年1回を超えて実施されないこと。データ保護法で許可されている場合、OpenAI は本 DPA に対する遵守に関連する監査報告書のサマリーをお客様に提供することができます。これらの結果および文書、監査や検査の結果を含むものは、OpenAI の機密情報とみなされます。
  • 2.9 副処理者の関与。お客様は、本サービスに関連して顧客データを処理するために、副処理者リストに記載されている副処理者を雇用する一般的な権限を OpenAI に付与します。OpenAI は、副処理者リストの変更について、ブログ投稿、サービス内通知、その他の合理的な手段、または副処理者リストサイトでメール通知を購読している場合はメールでお客様に通知します。お客様は、副処理者リストに記載された指示に従うか、privacy@openai.com に連絡することにより、変更の通知を受け取ってから30日以内にそのような追加の副処理者の使用に異議を唱えることができます。そのような場合、OpenAI はお客様と協力して懸念事項に対処し、商業的に合理的な代替案または解決策を提案します。OpenAI の合理的な判断により、代替案または解決策のいずれも商業的に実現可能でない場合、または OpenAI がお客様の異議通知を受領してから30日以内に異議が両当事者の満足のいくように解決されない場合、いずれかの当事者は、新しい副処理者を使用せずには提供できないサービスに関する契約または注文書または使用を解除することができます。そのような場合、お客様には、かかる終了日以降の期間または条件に対応する、事前に支払った料金が返金されます。
  • 2.10 副処理者の義務。OpenAI は、各副処理者と、本 DPA に基づいて OpenAI に課される義務と同等の義務を課す契約を締結します。本契約の責任制限条項に従い、OpenAI は副処理者の作為と不作為について、OpenAI 自らが作為または不作為を行った場合に本 DPA の規定に基づき負うのと同程度の責任を負うことに同意します。
  • 2.11 データの返却または削除。本契約の満了または終了後、OpenAI は、適用法に基づいて顧客データの保持が要求されない限り、お客様の指示に従って顧客データおよび既存のコピーを返却または削除します。顧客データの保持が要求される場合、OpenAI は適用法で要求される範囲を除き、顧客データを分離してそれ以上の処理から保護します。

3. お客様の義務。

  • 3.1 通知と認証。お客様は、データ保護法の下で必要とされる範囲で、OpenAI に顧客データを提供し、OpenAI が本契約およびこの DPA に関連して顧客データを処理することを許可するために、必要なすべての通知を提供し、契約期間を通じて必要なすべての権利、同意、および認証を維持していることを表明し、保証し、約束します。
  • 3.2 協力。お客様は、適用されるデータ保護法に基づく義務の履行において OpenAI を支援するために、OpenAI に合理的に協力するものとします。
  • 3.3 構成。本 DPA の第2.5項に規定されている OpenAI のセキュリティ義務に影響を与えることなく、お客様は、サービスの特定の構成および設計上の決定、ならびに適用されるデータ保護法に準拠した方法でのかかる構成および設計上の決定(例:保持期間、削除など)の実装について責任を負うことを認め、同意するものとします。

4. 国際的なデータ転送。

  • 4.1 EEA およびスイスのデータ。OpenAI によってこの DPA の下で処理される顧客データは、欧州経済領域またはスイスのデータ保護法の範囲内に該当する可能性があります(「EEA およびスイスのデータ」)。本 DPA に基づく OpenAI の該当契約当事者に関係なく、お客様は OpenAI Ireland Limited に対し、本 DPA に従って EEA およびスイスのデータを処理するよう指示するものとします。OpenAI Ireland Limited がサービスを提供するために EEA およびスイスのデータを欧州経済地域またはスイス以外の他の OpenAI 関連会社または第三者に転送する場合、顧客データの保護のための適切な保護措置が実施されていることを保証する SCC を含む契約、または GDPR 第 45 条に基づいて欧州委員会が発行した適切性決定に基づいて転送します。
  • 4.2 英国のデータ。本 DPA に基づき OpenAI が処理する顧客データは、英国のデータ保護法の適用範囲内となる場合があります。(「英国のデータ」)この DPA に基づく OpenAI の適用される契約当事者にかかわらず、顧客はここに OpenAI OpCo, LLC に対し、この DPA および英国補遺によって修正された SCC に従って、いかなる英国データも処理するよう指示します。これらは、別紙1に記載されている通りに締結され(かつ本参照によってこの DPA に組み込まれ)、完了したものとみなされます。

5. その他の要件。

米国プライバシー法が適用される場合:

  • 5.1 OpenAI は、(a) お客様からの顧客データと引き換えに金銭的またはその他の価値のある対価を提供しないことに同意します。両当事者は、以下を認め、同意するものとします。(a) お客様が OpenAI に対し顧客データを「販売」(米国プライバシー法における定義)していないこと、(b) 個人データを「販売」(米国プライバシー法における定義)または「共有」(CCPA における定義)していないこと、 (c) お客様が本サービスの一環として、米国プライバシー法の対象となる顧客データを非識別化された形態で処理することを OpenAI に許可または指示する場合、OpenAI が以下を実施すること (i) 当該非識別化データが特定の自然人または世帯に関する情報を推測するために使用されること、またはそれらと関連付けられることを防止するための合理的な措置を講じること (ii) 米国プライバシー法で認められる場合を除き、当該匿名化データをその形態で維持・利用し、情報の再識別を試みないことを公に約束する、および (iii) 副処理者を含む他の当事者と匿名化データを共有する前に、当該受領者に対し本条項(c)(i)~(iii)の要件を遵守することを契約上義務付ける (d) 顧客データが CCPA の対象となる場合、(i) 本契約に規定された事業目的(本 DPA 別紙1に記載される事項を含むがこれに限定されない)に必要な場合を除き、顧客データを保持、使用、開示、またはその他の方法で処理しないこと (ii) OpenAI と顧客間の直接的な事業関係の範囲外において、いかなる方法でも顧客データを保持、使用、開示、またはその他の方法で処理しないこと (iii) OpenAI が他の第三者から、または第三者に代わって受け取る個人データ、もしくは OpenAI が個人との直接のやり取りから収集する個人データと、いかなる顧客データも結合しないこと。ただし、顧客から指示があった場合、または CCPA で別途認められる場合、OpenAI は CCPA で許可される目的のために顧客データを結合することができる (iv) OpenAI がCCPAに基づく義務を履行できなくなったと判断した場合、遅滞なく顧客に通知すること; (v) 顧客がOpenAIによる顧客データの処理が CCPA の要件に合致しないと合理的に信じる場合、顧客が OpenAI に合理的な通知を行った後、両当事者は誠意をもって問題の是正に協力する。協力後も顧客が問題の是正が不可能と合理的に判断した場合、OpenAI は顧客の書面による指示に基づき影響を受ける顧客データの処理を停止する。
  • 5.2 お客様は、以下のいずれの行為も行わないものとします。(i) 顧客データの OpenAI への提供を米国プライバシー法における「販売」または CCPA(カリフォルニア消費者プライバシー法)における「共有」(または米国プライバシー法における同等の概念)に該当させる行為、または (ii) OpenAI を CCPA における「サービスプロバイダー」または米国プライバシー法における「プロセッサー」に該当させない行為。

6. 定義。

顧客データ」とは、OpenAI がサービスを提供するためにお客様に代わって処理する個人データを指します。

データ管理者」とは、データ保護法における「管理者」(または類似の用語)に割り当てられた意味を持ちます。

データ処理者」とは、データ保護法における「処理者」(または類似の用語)に割り当てられた意味を持ちます。

データ保護法」とは、OpenAI がサービスに関連して顧客データを処理する際に適用されるデータプライバシーおよびデータ保護法を指します。

データ主体」とは、データ保護法において「データ主体」(または類似の用語)として定義されている意味を持ちます。

GDPR」とは、2016年4月27日に欧州議会および欧州理事会により制定されたEU一般データ保護規則(Regulation (EU) 2016/679)を意味します。

個人データ」とは、データ保護法において「個人データ」または「個人情報」(または類似の用語)として定義される意味を持ちます。

個人データ侵害」とは、OpenAI、その副処理者、または OpenAI に代わって行動するその他の第三者によって保存、送信、またはその他の方法で処理された顧客データの偶発的または違法な破壊、損失、改ざん、不正な開示、またはアクセスにつながるセキュリティ侵害を意味します。

処理」とは、データ保護法において「処理」または類似の用語として定義されている意味を持ちます。

SCCs」とは、2021年6月4日に欧州委員会によって採択された、第三国への個人データの転送に関する標準契約条項(随時、改正、更新、または差し替えられる可能性があります)を指します。

副処理者」とは、OpenAI がサービスに関連して顧客データを処理するために雇用し、副処理者リストに掲載されている副処理者を意味します。

副処理者リスト」とは、次のアドレス https://platform.openai.com/subprocessors(新しいウィンドウで開く) で閲覧可能なリストを意味します。

英国補遺」とは、2018年データ保護法第119A(1)条に基づき、情報コミッショナーが発行した EU SCCs に対する英国の補遺を指します。

米国プライバシー法」とは、カリフォルニア州消費者プライバシー法(「CCPA」)を含む、米国居住者に適用されるデータ保護法のサブセットを意味します。

別紙1

処理の詳細

1. 性質と目的

本契約に基づくサービスの履行。

2. 期間

契約期間及び契約期間終了後、データの削除を含め、各当事者が適用される義務を履行するために必要な期間。

3. 顧客データのカテゴリー

お客様は、サービスに個人データを送信する場合があります。個人データのカテゴリーは、お客様のサービスの使用方法によって異なり、お客様が独自の裁量で決定および管理しますが、名前、連絡先情報、人口統計情報、またはお客様のエンドユーザーが非構造化データで提供するその他の情報が含まれる場合がありますが、これらに限定されません。

4. データ主体のカテゴリー

データ主体には、お客様の従業員、顧客、サプライヤー、および一般的にはエンドユーザーが含まれますが、これらに限定されません。

5. 転送される機密データ(該当する場合) :

転送される機密データ(該当する場合)とデータの性質や関連するリスクを十分に考慮した適用される制限または安全対策。たとえば、厳格な目的の制限、(特別訓練を受けたスタッフにのみアクセス権を与えるなど)アクセスの制限、データへのアクセスの記録、再移転の制限、またはその他のセキュリティ対策など。

ユーザーが非構造化データに意図せず含めた場合を除き、機密データが転送されることはありません。

6. 頻度

転送の頻度(データが1回限り転送されるのか継続的に転送されるのかなど)。

お客様のサービスの利用状況に応じて継続的

7. 副処理者への転送

DPA の第2.9条に従い、副処理者はサービスを提供するために必要に応じて顧客データを処理します。かかる処理は、書面による別段の合意がない限り、本契約の存続期間中に行われます。

8. 第4.2項に基づく英国データの転送に関する SCCs 情報:

  • 8.1 お客様がデータ管理者であり、OpenAI が処理者として顧客データを処理する場合は、SCC のモジュール2(管理者から処理者への移転)が適用されます。お客様が処理者であり、OpenAI がデータ処理者として顧客データを処理する場合は、SCC のモジュール3(処理者から副処理者への移転)が適用されます。
  • 8.2 SCC の各モジュールにおいて、該当する場合、以下が適用されます。(i) 第7条の任意のドッキング条項は適用されません。(ii) 第9条では、オプション2(書面による包括的承諾)が適用され、副処理者の変更に関する事前通知の最小期間は DPA の第2.9条に規定されるものとします。(iii) 第11条では、任意の文言は適用されません。(iv) 第13条のすべての角括弧は本 DPA によって削除されます。(v) 第17条(オプション1)では、SCC はイングランドおよびウェールズの法律に準拠します。(vi) 第18(b)条では、紛争はイングランドおよびウェールズの法廷で解決されます。(vii) 本別紙1には、SCC の付属書 I と付属書 III で必要とされる情報が含まれています。(viii) DPA の第2.5条(セキュリティ)には、SCC の付属書 II で必要とされる情報が含まれています。(ix) 管轄監督機関は情報コミッショナーオフィス(「ICO」)です。
  • 8.3 データ輸出者:契約に基づく顧客。データ輸入者:OpenAI OpCo, LLC, 1455 3rd Street, San Francisco, CA 94158、データ保護責任者:privacy@openai.com

データ処理契約を締結(新しいウィンドウで開く)