本サブプロセッサ一覧(以下「本Subprocessor List」または「本一覧」といいます)は、Cornerstone Strategy LLC(Route X として事業を行います。以下「Route X」「当社」といいます)が、Route X のウェブサイト、ウェブアプリケーション、サービス、機能、連携機能および関連ツール(以下総称して「本サービス」または「Services」といいます)の提供、運用、保護、サポートおよび改善のために利用する、または利用する可能性のある第三者サービスプロバイダーを記載するものです。
本Subprocessor List は、Route X の Data Processing Addendum(以下「DPA」といいます)、Privacy Policy、Terms of Service、Security Overview、および Customer と Route X との間の適用される書面契約を補足するものであり、これらとあわせて参照されるべきものです。
1. 目的
本Subprocessor List は、Cornerstone Strategy LLC が本サービスの提供、運用、保護、サポートおよび改善のために利用する、または利用する可能性のある第三者サービスプロバイダーを示すものです。本一覧は、Customer(コーチングファーム、Enterprise 顧客、組織管理者、法務担当者、人事担当者、情報システム担当者を含みます)が、Route X に代わって Customer Personal Data を処理する可能性のある第三者を確認できるようにすることを目的としています。
本Subprocessor List において、「Subprocessor」とは、Route X が本サービスに関連して Customer Personal Data を処理するために利用する第三者サービスプロバイダーを意味します。本一覧に記載されるプロバイダーの中には、Customer Personal Data を直接処理しないが、Customer による評価において関連性のある形で本サービスの運用を支えるものも含まれる場合があります。
本Subprocessor List で使用される用語のうち、本一覧で定義されていないものは、DPA または適用される Agreement において与えられた意味を有します。
2. Data Processing Addendum との関係
本Subprocessor List は、Route X の Data Processing Addendum を補足するものであり、DPA に組み込まれ、または DPA とあわせて参照されます。Customer と Route X との間で DPA が締結されている場合、または DPA が Agreement に組み込まれている場合、本一覧は、Route X が Subprocessors に関して提供する開示の一部を構成します。
Customer Personal Data の処理に関して、本Subprocessor List と DPA の内容に矛盾がある場合は、DPA が優先します。ただし、本一覧に記載される具体的な Subprocessor 情報は、第 8 条(更新および通知)に記載される方法により随時更新される場合があります。
本Subprocessor List は、Privacy Policy、Terms of Service および Security Overview とも関連しますが、その主たる目的は Subprocessor に関する情報開示にあります。Route X が Personal Data をどのように処理するか、またはセキュリティにどのように取り組むかに関する広範な説明については、これらの文書をご参照ください。
3. 現在の Subprocessors
以下の表は、Route X が利用する、または利用予定の Subprocessors を、適用される範囲で示すものです。具体的なプロバイダーが変動し得る、または未確定であるため、カテゴリとして記載されている項目があります。Status 列は、当該プロバイダーが「Used or planned(利用中または利用予定)」、「If enabled(有効化されている場合に利用)」、または「To be confirmed(未確定)」のいずれであるかを示します。
| Subprocessor | カテゴリ | 該当機能 | 目的 | 処理対象データ | 処理場所 / 地域 | ステータス |
|---|
| MongoDB Atlas または同様のマネージドデータベースプロバイダー | Database / Data Storage | 本サービスのコアアプリケーションデータベース | アプリケーションデータベースのホスティングおよびストレージ | アカウントデータ、ユーザープロフィール、組織データ、クライアント記録、コーチング関連記録、予約データ、サブスクリプションのステータス、アプリケーションメタデータ | To be confirmed | To be confirmed |
| AWS または同様のクラウドインフラストラクチャ / ファイルストレージプロバイダー | Cloud Infrastructure / File Storage | ファイルアップロード、共有資料、ストレージインフラストラクチャ | ファイルストレージ、アップロード資料、ストレージインフラストラクチャおよび関連クラウドサービス | アップロードファイル、共有資料、ファイルメタデータ、ストレージ identifiers、アクセスログ、技術的メタデータ | To be confirmed | Used or planned |
| Stripe | Payment Processing | checkout、サブスクリプション、billing portal、請求書、支払方法 | checkout、サブスクリプション、支払方法、請求書、billing portal、決済セキュリティおよび不正防止 | 請求担当者情報、決済 identifiers、customer ID、サブスクリプションのステータス、請求書データ、取引メタデータ。Route X は、完全なペイメントカード番号を保管しません。 | To be confirmed | Used or planned |
| Google | Authentication / Calendar / Meeting Integration | Google OAuth、Google Calendar、Google Meet(有効化されている場合) | Google OAuth、Google Calendar の空き状況、カレンダーイベントの作成、有効化されている場合の Google Meet リンク生成 | OAuth identifiers、カレンダー空き状況メタデータ、カレンダーイベントメタデータ、ミーティングリンクメタデータ、連携ステータス | To be confirmed | Used or planned |
| Microsoft | Calendar / Microsoft Graph Integration | Outlook Calendar、Microsoft Graph、Microsoft Teams(有効化されている場合) | Outlook Calendarの空き状況、Microsoft Graph 連携、カレンダーイベントの作成、Microsoft Teams 関連の可能性のあるワークフロー | OAuth identifiers、カレンダー空き状況メタデータ、カレンダーイベントメタデータ、連携ステータス | To be confirmed | Used or planned |
| Zoom | Video Meeting Integration | Zoom OAuth、Zoom ミーティングリンク | Zoom OAuth、ミーティング作成、ミーティングリンク生成、ミーティング関連連携 | OAuth identifiers、ミーティングメタデータ、ミーティングリンク、連携ステータス | To be confirmed | Used or planned |
| email service provider(Mailgun、Mailjet、AWS SES、SMTP プロバイダーまたは同様のプロバイダー等) | Email / Communications | OTP、email verification、パスワードリセット、予約確認、リマインダー、管理者向けアラート、本サービス関連の連絡 | OTP、email verification、パスワードリセット、予約確認、リマインダー、管理者向けアラート、本サービス関連の連絡 | 氏名、email address、メール内容、配信メタデータ、コミュニケーションログ | To be confirmed | To be confirmed |
| hosting provider(Vercel、Render、AWS または同様のプロバイダー等) | Hosting / Deployment | フロントエンドホスティング、バックエンドホスティング、デプロイ、コンピュート、ネットワーキング、アプリケーション配信 | フロントエンドホスティング、バックエンドホスティング、デプロイ、コンピュート、ネットワーキング、アプリケーション配信 | 技術的メタデータ、IP address、リクエストログ、アプリケーションログ、適用される範囲で限定的なアカウントまたはセッションメタデータ | To be confirmed | To be confirmed |
| analytics provider(Google Analytics または同様のプロバイダー、有効化されている場合) | Analytics | 有効化されている場合のウェブサイト分析、製品分析 | ウェブサイト分析、製品分析、パフォーマンス測定、利用傾向分析 | 利用データ、デバイス / ブラウザ情報、閲覧ページ、イベントデータ、おおよその位置情報、analytics identifiers | To be confirmed | If enabled |
| error monitoring または security monitoring provider(Sentry または同様のプロバイダー、有効化されている場合) | Monitoring / Error Tracking | 有効化されている場合のエラー診断、パフォーマンス監視、security-relevant event の追跡 | エラー診断、パフォーマンス監視、security-relevant event の追跡 | エラーログ、デバイス / ブラウザメタデータ、技術的診断情報、適用される範囲でのユーザーまたはアカウント identifiers | To be confirmed | If enabled |
| customer support provider(featurebase または同様のプロバイダー、有効化されている場合) | Customer Support | 有効化されている場合のサポートチケット対応、Customer とのコミュニケーション、トラブルシューティング | サポートチケット対応、Customer とのコミュニケーション、トラブルシューティング | 連絡先情報、サポートメッセージ、アカウントメタデータ、問題の詳細 | To be confirmed | If enabled |
各カテゴリにおいて使用される具体的なプロバイダーは、時とともに変更される場合があります。プロバイダーがカテゴリとして記載されている場合(例:「email service provider」)、Route X は、第 8 条(更新および通知)に従い、当該カテゴリ内で具体的なプロバイダーを選択し、または変更することがあります。
4. 機能別 Subprocessors
以下の表は、本サービスの主要機能と、当該機能に関連する Subprocessor のカテゴリを対応付けたものです。すべてのカテゴリがすべての Customer または機能について利用されるわけではありません。
| 機能 | 関連する Subprocessor カテゴリ | プロバイダー例 | 備考 |
|---|
| アカウント登録およびログイン | Hosting / Infrastructure, Database, Authentication, Email / Communications | Vercel, Render, AWS, MongoDB Atlas, Google (OAuth), Microsoft (OAuth), email service provider | アカウント登録、ユーザー認証、認証または password reset 用メッセージの配信に利用されます。 |
| コアアプリケーションデータベース | Database, Hosting / Infrastructure | MongoDB Atlas または同様のプロバイダー, AWS または同様のプロバイダー | アカウント、組織、コーチング、スケジューリング、請求 identifiers および関連メタデータを保存します。 |
| クライアント管理およびコーチング管理 | Database, Hosting / Infrastructure, File Storage | MongoDB Atlas, AWS, 同様のプロバイダー | 適用される範囲で、クライアント記録、コーチングセッションログ、目標、アクションアイテム、振り返りおよび成長記録を支えます。 |
| スケジューリングおよび予約 | Database, Hosting / Infrastructure, Calendar Integrations, Email / Communications | MongoDB Atlas, AWS, Google, Microsoft, email service provider | 空き状況の算出、予約ワークフロー、確認またはリマインダー通知を支えます。 |
| カレンダー連携 | Calendar Integrations | Google (Google Calendar), Microsoft (Outlook Calendar, Microsoft Graph) | 本サービスを通じて行為するユーザーの指示に従い、空き状況の参照およびカレンダーイベントの作成または更新に利用されます。 |
| ビデオミーティング連携 | Video Meeting Integrations | Zoom, Google Meet, Microsoft Teams (有効化されている場合) | ミーティングリンクの生成およびビデオミーティングのワークフローを支えます。 |
| 決済およびサブスクリプション | Payment Processing | Stripe | checkout, billing portal, 支払方法、請求書、サブスクリプションのステータスおよび関連処理を扱います。Route X は、完全なペイメントカード番号を保管しません。 |
| ファイルアップロードおよび共有資料 | File Storage, Hosting / Infrastructure | AWS S3 または同様のプロバイダー, Vercel, Render, 同様のプロバイダー | 適用される範囲で、本サービス内に実装されたアクセス制御の下、アップロードファイルおよび共有資料の保存に利用されます。 |
| メール通知およびリマインダー | Email / Communications | Mailgun, Mailjet, AWS SES, SMTP プロバイダーまたは同様のプロバイダー | OTP, password reset, 予約確認、リマインダー、管理者または本サービス関連の連絡の配信に利用されます。 |
| 分析(有効化されている場合) | Analytics | Google Analytics または同様のプロバイダー | 有効化されている場合、ウェブサイトまたは製品の利用状況、パフォーマンスおよび利用傾向の測定に利用されます。 |
| エラー監視およびサポート(有効化されている場合) | Monitoring / Error Tracking, Customer Support | Sentry または同様のプロバイダー, featurebase または同様のプロバイダー | 有効化されている場合、技術的問題の特定および解決、ならびに Customer のサポートとのコミュニケーション対応に利用されます。 |
5. Subprocessor のカテゴリ
以下の表は、Route X が利用する、または利用する可能性のある Subprocessors のカテゴリと、各カテゴリにおいてプロバイダーが提供し得る目的をまとめたものです。
| カテゴリ | 目的 |
|---|
| Hosting / Infrastructure | ホスティング、コンピュート、ネットワーキング、デプロイ、アプリケーション配信 |
| Database | アプリケーションデータベースのホスティングおよびストレージ |
| File Storage | アップロードファイル、共有資料、ストレージインフラストラクチャ |
| Payment Processing | checkout、サブスクリプション、billing portal、支払方法、請求書、不正防止 |
| Authentication | ログイン、OAuth、アカウント認証、ID 関連ワークフロー |
| Calendar Integrations | 空き状況の確認、スケジューリング、カレンダーイベントの作成、変更、キャンセル |
| Video Meeting Integrations | ミーティングリンクの作成およびビデオミーティングのワークフロー |
| Email / Communications | OTP, password reset, 登録メール、予約確認、リマインダー、サポートメール |
| Analytics | 有効化されている場合、ウェブサイト分析、製品分析、利用傾向、パフォーマンス測定 |
| Monitoring / Error Tracking | エラー診断、システムの信頼性、パフォーマンス、security-relevant event の監視 |
| Customer Support | サポートとのコミュニケーション、Customer の問い合わせ対応、問題解決、ticketing |
6. Subprocessors が処理するデータ
関連する機能またはサービスに応じて、Subprocessors は、適用される範囲で以下のカテゴリのデータを処理する場合があります。
- アカウント情報
- 氏名および email address
- 組織または会社情報
- 役割、肩書き、ユーザータイプ
- 認証 identifiers
- クライアントおよびコンタクト記録
- コーチング関係情報
- セッションの日時および関連メタデータ
- 予約およびスケジューリング情報
- カレンダー空き状況メタデータ
- ミーティングリンクメタデータ
- 適用される範囲で、アップロードファイルおよび共有資料
- 請求 identifiers およびサブスクリプションのステータス
- サポートとのコミュニケーション
- 技術的ログ、診断情報および利用メタデータ
- 適用される範囲で、連携用 tokens、identifiers またはメタデータ
Route X は、Subprocessors を用いて、コーチの外部カレンダーの非公開詳細を無権限者に表示することを目的としていません。Route X のスケジューリング設計は、クライアントに対し、Route X が算出した予約可能枠のみを表示する設計であり、コーチのカレンダーの非公開イベントのタイトル、参加者、説明、その他の非公開カレンダー詳細を表示するものではありません。カレンダー連携は、空き状況を算出すること、および本サービスを通じて行為するユーザーの依頼に応じてカレンダーイベントを作成または更新することを目的として利用されます。
各 Subprocessor は、本サービスの自らの担当部分を提供するために必要な範囲、および Route X と当該 Subprocessor との間で合意された条件に従ってのみ、データを処理します。Customer による本サービスへのデータの送信は、DPA、Agreement、Acceptable Use Policy および Privacy Policy に従います。
7. 国際的な処理
Subprocessors は、米国、日本、または Route X、そのインフラストラクチャプロバイダー、もしくは Subprocessors が事業を行うその他の国においてデータを処理する場合があります。第 3 条の「処理場所 / 地域」列は、具体的な地域が未確定の場合、またはプロバイダーが複数の地域で事業を行う場合、「To be confirmed」と表示されます。
適用法令または契約上必要とされる場合、Route X は、国際データ移転のために適切な保護措置を用います。適用される範囲で、当該保護措置には、contractual safeguards、transfer impact assessments、欧州委員会の Standard Contractual Clauses、英国 International Data Transfer Agreement または Addendum、その他適法な移転メカニズムが含まれる場合があります。
具体的な国際データ移転に関する要件をお持ちの Customer は、DPA を確認のうえ、Customer による本サービスの利用に適用され得る取決めについて Route X までご連絡ください。
8. 更新および通知
Route X は、Subprocessors の追加、変更、削除、その他本サービスの変更を反映するため、本Subprocessor List を随時更新することができます。本一覧の冒頭に表示される「Effective Date」は、最新の更新日を示します。
DPA、適用法令または書面契約により求められる場合、Route X は、Subprocessors の重要な変更について通知を行います。通知は、以下を含む合理的な方法のいずれかまたは複数により行われる場合があります。
- 指定された連絡先への email
- in-app notice
- website notice
- customer account notice
- 本Subprocessor List の更新公開
Subprocessor の変更通知の受領を希望する Customer は、利用可能な場合は privacy@route-x.app 宛、または Route X ウェブサイト上に公開されているサポート窓口の連絡先までご連絡いただけます。Customer は、当該目的のために Route X に提供する連絡先情報を最新の状態に維持する責任を負います。
9. Customer による異議申立プロセス
Customer は、DPA または適用される書面契約に定める期間内に、合理的なデータ保護上の理由に基づき、新しい Subprocessor に異議を述べることができます。期間が定められていない場合、Customer は、新しい Subprocessor に関する通知の受領後、合理的な期間内に異議を申し立てるものとします。
異議申立には、以下を含めるべきです。
- 対象となる Subprocessor
- データ保護上の懸念
- 影響を受ける本サービスまたは機能
- 異議申立の合理的な根拠
Route X は、当該懸念に対処するため、Customer と誠実に協力します。両当事者が異議を解決できない場合、Customer は、Customer の唯一の救済として、かつ DPA または Agreement に従い、適用される契約に基づき、影響を受ける本サービスの該当部分を終了することができます。
異議申立は、当該 Subprocessor に関する合理的なデータ保護上の理由に限定されるべきです。一般的な商業上の選好、サービス仕様上の選好、その他データ保護と関連性のない事業上の理由は、本プロセスの対象外です。
10. お問い合わせ
本Subprocessor List に関するご質問またはご通知(Subprocessor 変更通知の受領を希望する旨のご連絡を含みます)は、以下までお寄せください。
