0. 本契約への同意
(i) ビジネスコンソールまたはDiditウェブサイトで「登録」、「同意する」または類似のボタンをクリックする、(ii) 本規約を参照する注文書に署名する、または (iii) その他サービスにアクセスまたは使用することにより、お客様 (以下「クライアント」) は、お客様が代表する法人または組織を代表して、本契約に法的に同意し、拘束されることに同意するものとします。
本契約に同意することにより、クライアントは、当該法人または組織を本規約および関連する付属書または注文書に拘束する完全な法的権限を有することを表明し保証します。かかる権限がない場合、または本規約に同意しない場合、サービスを使用またはアクセスしてはなりません。
DIDITプラットフォームの継続的な使用は、本契約全体に対する明確かつ拘束力のある同意を構成します。
1. 契約当事者
本契約には以下の当事者が関与します。
- サービスプロバイダー(「Didit」、「当社」): クライアントと契約するDiditエンティティ。適用される契約エンティティは、セクション16.6(準拠法および管轄)によって決定されます。
- Didit Identity Spain, S.L., CIF B22929327, Calle Nápoles 227, P. 1, 08013 Barcelona, Spain。欧州連合、欧州経済領域、英国、スイス、およびラテンアメリカに設立されたクライアントと契約します。
- Didit Identity, Inc., EIN 39-2860573, 1111B S Governors Ave STE 34855, Dover, Delaware 19904, United States。米国、カナダ、アジア太平洋、中東、およびDidit Identity Spain, S.L.に割り当てられていないその他すべての管轄区域に設立されたクライアントと契約します。
- クライアント(「お客様」):
Diditプラットフォームでアカウントを登録する、またはサービスを使用する法人または個人。クライアントはDiditの契約当事者となります。
- 通知:
本契約に関連するすべての正式な通知および連絡は、legal@didit.meまたは上記の適用される契約エンティティの物理的な住所に送付する必要があります。
2. 構成と優先順位
本契約は、以下の文書で構成されており、これらは一体として解釈されます。これらの文書の規定間に矛盾がある場合、以下の降順で優先されます。
- 注文書(サービスの取得、数量、価格を詳述するクライアント固有の商業文書)。
- 付属書2, データ処理契約(DPA)(個人データの処理を規定)。
- 本サービス利用規約。
- 付属書1, サービスレベル契約(SLA)(サービスの可用性コミットメントを確立)。
3. 目次
- 契約への同意
- 契約当事者
- 構成と優先順位
- 目次
- 定義と解釈
- 契約期間
- サービスへのアクセスと利用
- 知的財産権
- 料金と支払い条件
- 機密保持
- データ保護とセキュリティ
- 保証の否認
- 責任の制限
- 補償
- 表明と保証
- 停止と終了
- 一般条項
付属書1, サービスレベル契約(SLA) 付属書2, データ処理契約(DPA)
4. 定義と解釈
本契約において、以下の用語は以下に定める意味を有するものとします。
- 本契約: 本サービス利用規約、ならびに注文書、付属書1(SLA)、付属書2(DPA)、およびそこで参照されるその他のポリシーまたは付属書を指します。
- API: サービスとの統合のためにDiditが提供するアプリケーションプログラミングインターフェースを意味します。
- ビジネスコンソール: https://business.didit.meまたはDiditが指定するその他のURLからアクセスできる、Diditのウェブ管理ポータルを指し、クライアントがアカウントとサービスを管理できるようにします。
- クレジット: クライアントがサービスの利用料金を支払うために取得する、米ドル建てのプリペイドユニットであり、Diditが指定する価格と条件に従います。
- アクセス認証情報: パスワード、APIキー、認証トークン、またはサービスへのアクセスをクライアントに提供するためにDiditが提供するその他のセキュリティ情報を含みますが、これらに限定されません。
- クライアントデータ: クライアントまたは許可されたユーザーがサービスを通じて送信、アップロード、または処理する、機密情報およびエンドユーザーの個人データを含むすべてのデータ。
- 個人データ: EU一般データ保護規則(GDPR)(規則(EU)2016/679)および/またはその他の適用されるデータ保護法において定義される意味を有するものとします。
- ドキュメント: Diditがクライアントに提供する、ユーザーマニュアル、技術仕様、実装ガイド、APIガイド、ポリシー、またはサービスに関連するサポート資料を指します。
- 発効日: クライアントがセクション0に定める通り本契約に最初に同意した日。
- 注文書: クライアントによるクレジットまたは特定のサービスの購入を正式化する物理的な文書またはオンラインフォームであり、本規約を参照し、本契約の一部を構成します。
- 不可抗力: 当事者の合理的な制御を超える事象または状況で、本契約に基づく義務の履行を妨げまたは遅延させるもの。例えば、天災、戦争、テロ、暴動、パンデミック、自然災害、世界的なインターネット障害、エネルギー不足、ストライキ、妨害行為、政府の決定など。
- 機密情報: 口頭、書面、または電子的手段を問わず、一方の当事者が他方の当事者に開示する非公開情報で、機密として指定されているか、情報の性質または開示の状況から合理的に機密と理解されるべきもの。これには、技術、財務、ビジネス、顧客、価格情報、マーケティング計画、ソフトウェア、ソースコード、クライアントデータが含まれますが、これらに限定されません。
- 知的財産: 特許、著作権、データベース権、意匠権、商標、商号、ノウハウ、企業秘密、およびその他の知的財産権(登録済みか未登録かを問わず、またその出願を含む)を世界中のあらゆる地域で含みます。
- SDK: サービスの統合と利用を容易にするためにDiditが提供するソフトウェア開発キットを意味します。
- サービス: Diditの本人確認および不正防止インフラプラットフォームを指し、ビジネスコンソール、API、SDK、ドキュメント、およびDiditがクライアントに提供するあらゆる製品ライン(ユーザー認証(KYC)、ビジネス認証(KYB)、トランザクション監視、ウォレットスクリーニング(KYT)、ワークフローオーケストレーター、モデルコンテキストプロトコル(MCP)サーバー、および本契約に基づきDiditがリリースするその他のサービスを含む)を含みます。
- 許可されたユーザー: クライアントの従業員または契約者など、クライアントが本契約の条件に従い、クライアントに代わってサービスにアクセスし使用することを許可した人物。
- エンドユーザー: クライアントがDiditのサービスを使用して本人確認を求める自然人。
- 認証: エンドユーザーの本人確認のためにDiditが実行するプロセスであり、承認済みまたは拒否済みの結果、またはDiditまたは注文書で定義されたその他のステータスで完了します。
- 認証機能: 本人確認フローの個々のコンポーネント。例えば、ID文書認証、ライブネス検出、顔照合、顔検索、AMLスクリーニング、住所証明、NFC読み取り、データベース検証、カスタム質問票、電話認証、メール認証、デバイス&IP分析、企業登録簿検索、UBO抽出、役員データ、エンティティAML、リンクされたKYC、トランザクション監視ルール評価、ウォレットスクリーニング検索、またはDiditが製品ライン全体で提供するその他の個別のステップ。
解釈:
- セクションのタイトルは便宜上のものであり、本契約の解釈に影響を与えません。
- 単数形の単語は複数形を含み、その逆も同様です。
- 「含む」または「含まれる」という単語は、「限定なく含む」を意味します。
- 法律または規制への言及は、その法律または規制が随時施行されているもの(その修正または代替を含む)を指します。
5. 契約期間
5.1 契約期間: 本契約は発効日に開始し、本契約のセクション16に従ってどちらかの当事者によって終了されるまで、完全に効力を有するものとします。
5.2 最低コミットメントなし(注文書で指定されている場合を除く): クライアントが署名した注文書で別途指定されていない限り(例えば、ボリュームコミットメントを伴うエンタープライズプランの場合)、クライアントはいつでもサービスの利用を中止することができます。ただし、セクション9.4に定める通り、未使用のクレジットはいかなる状況においても返金されません。最低消費コミットメントを規定する注文書は、本条項に優先します。
6. サービスへのアクセスと利用
6.1 アカウント作成とセキュリティ: サービスにアクセスし利用するには、クライアントはビジネスコンソールでアカウントを作成する必要があります。クライアントは、自身のアクセス認証情報(パスワードおよびAPIキーを含む)の機密性とセキュリティを維持し、承認されているか否かにかかわらず、アカウント下で発生するすべての活動について単独で責任を負います。クライアントは、アクセス認証情報またはアカウントの不正使用または疑わしい不正使用を直ちにDiditに通知しなければなりません。Diditは、クライアントがこの義務を遵守しなかったことに起因するいかなる損失または損害についても責任を負いません。
6.2 ライセンス: クライアントが本契約を継続的に遵守し、適用されるすべての料金を適時に支払うことを条件として、Diditは、本契約期間中、クライアントに対し、その事業目的のためにサービスおよびドキュメントにアクセスし使用するための非独占的、全世界的なライセンスを付与します。具体的には、以下の目的のために使用できます。 (i) エンドユーザーの本人確認を行うため。 (ii) 不正行為の防止および検出を支援するため。 (iii) 適用される法的および規制上の義務(例:KYC/AML)を遵守するため。
6.3 再販およびサブライセンス権: クライアントは、以下の条件を満たす場合に限り、サービスを第三者に再販、サブライセンス、またはその他の方法で提供することができます。 (i) クライアントは、当該第三者が本契約のすべての適用条件を遵守することを保証します。 (ii) クライアントは、当該第三者の行為または不作為について、Diditに対し引き続き全責任を負います。 (iii) クライアントは、本契約に含まれる条件と同等以上にDiditを保護する条件を含む書面による契約を当該第三者と締結します。 (iv) クライアントは、要求に応じて、重要なサブライセンス契約についてDiditに通知します。
6.4 利用制限: クライアントは、以下の行為を行わないこと、また第三者に以下の行為を許可しないことに同意します。
- サービスまたはその一部のソースコードまたはアルゴリズムをコピー、変更、改変、翻訳、リバースエンジニアリング、逆コンパイル、逆アセンブル、または発見しようとすること。ただし、かかる活動が適用される非放棄不能な法律によって明示的に許可されている場合を除きます。
- サービスまたはそこから得られた情報を使用して、競合する本人確認サービスを構築または構築しようとすること。
- 違法、差別的、詐欺的、誤解を招く、中傷的、わいせつ、虐待的、有害な目的で、または第三者の権利または適用される法律を侵害する方法でサービスを使用すること。
- Diditの事前の書面による同意なしに、認証結果またはサービスを通じて取得したクライアントデータを使用して、機械学習(ML)または人工知能(AI)モデル、またはその他の類似のアルゴリズムまたは技術を訓練、開発、または改善すること。
- サービスへの適切な操作を妨害または妨害しようとすること。これには、ウイルス、トロイの木馬、ワーム、ロジックボム、またはその他の悪意のあるまたは技術的に有害なマテリアルを導入することが含まれますが、これらに限定されません。
- サービス、コンピューターシステム、またはサービスに接続されたネットワークへの不正アクセスを試みること。
- サービスまたはドキュメントに含まれるDiditまたは第三者の知的財産権通知または商標を削除、変更、または不明瞭にすること。
- 購入した利用制限またはクレジット量を超える方法で、またはDiditのインフラストラクチャに不合理または不均衡に大きな負荷をかける方法でサービスを使用すること。
- ビジネスコンソール(https://business.didit.me)で複数の組織またはアカウントを直接的または間接的に、同じまたは異なるIDを使用して作成することにより、無料または試用プランの制限を悪用または回避し、単一のクライアントに意図された追加の無料ティアの利益を得ること。Diditが、無料プランを悪用するために複数の組織を作成または運営している人物またはエンティティに関する合理的な証拠を有する場合、Diditは、可能な限り通知の上、影響を受ける組織およびアカウントを停止または終了することができます。
6.5 クライアントの責任: クライアントは、以下の事項について単独で責任を負うものとします。
- 法的遵守: クライアントによるサービスの利用(クライアントデータおよびエンドユーザーの個人データの収集、処理、利用を含む)が、データ保護法、マネーロンダリング防止(AML)、テロ資金供与対策(CFT)法を含むがこれらに限定されない、その管轄区域におけるすべての適用される法律、規制、および規範に完全に準拠していることを保証すること。
- エンドユーザーへの通知と同意: 適用されるデータ保護法で要求される通り、エンドユーザーからの個人データ(該当する場合は生体認証データを含む)の収集、処理、およびDiditおよびそのサブプロセッサーへの転送に必要なすべての通知、明示的な同意、および承認を取得し、その記録を維持すること。
- クライアントのセキュリティ: Diditに提出される前のクライアントデータを保護し、アクセス認証情報を保護するために、合理的かつ適切なセキュリティ対策を実装および維持すること。これには、セキュアな接続(HTTPS)の使用、署名付きウェブフックの実装、およびその他の情報セキュリティのベストプラクティスが含まれますが、これらに限定されません。
- データの正確性: サービスを通じてDiditに提出されるクライアントデータの正確性、完全性、および合法性を保証すること。
6.6 データ管理と削除: 認証結果および関連するクライアントデータは、ウェブフックまたはDiditのAPIを通じてクライアントに配信されます。クライアントは、Diditの保持ポリシーおよびデータ処理者としての法的義務に従い、いつでもAPIまたはビジネスコンソールを通じて認証記録またはクライアントデータを永久に削除することができます。詳細については、付属書2(DPA)を参照してください。
7. 知的財産権
7.1 Diditの所有権: Didit(および該当する場合はそのライセンサー)は、サービス(ソフトウェア、コード、API、SDK、モデル、アルゴリズム、基盤技術を含む)、ドキュメント、Diditの商標、ならびにそれらの改善、変更、更新、派生物、または開発物に関するすべての権利、権原、および利益を保持します。本契約のいかなる規定も、Diditからクライアントへの知的財産所有権の移転と解釈されるものではありません。クライアントに付与される権利はライセンスのみであり、本契約に基づくいかなる黙示のライセンスも付与されません。
7.2 クライアントデータ: クライアントは、クライアントデータに関するすべての権利、権原、および利益の唯一の所有者であり、今後もそうであるものとします。クライアントは、Diditに対し、付属書2(データ処理契約)およびDiditのプライバシーポリシーに従い、クライアントにサービスを提供し、サービスを改善する目的でのみクライアントデータを処理するための、全世界的、非独占的、ロイヤリティフリー、サブライセンス可能、かつ譲渡可能なライセンスを付与します。
7.3 フィードバック: クライアントまたはその許可されたユーザーが、サービスに関連する提案、アイデア、機能強化の要求、コメント、推奨事項、またはその他の情報(以下「フィードバック」)をDiditに提供した場合、クライアントはここに、Diditに対し、かかるフィードバックをいかなる目的および方法でも、クライアントに対するいかなる義務または補償なしに、使用、利用、コピー、変更、派生作品の作成、配布、公に表示、公に実行、およびその他の方法で商業化するための、全世界的、永続的、取消不能、ロイヤリティフリー、全額支払い済み、譲渡可能、サブライセンス可能なライセンスを付与します。
8. 料金と支払い条件
8.1 プリペイドクレジットと有効期限なし: Diditのサービスはプリペイドクレジットモデルに基づいています。クライアントが購入したクレジットは有効期限がなく、本契約が有効である限り使用できます。
8.2 完了した認証機能に対する支払い: クライアントは、認証フロー中にエンドユーザーによって正常に完了した各認証機能に対して、適用される料金に従って課金されます。これは以下のことを意味します。 (i) エンドユーザーがID文書認証ステップを完了した場合、クライアントはその機能に対して課金されます。 (ii) エンドユーザーがライブネス検出ステップを完了した場合、クライアントはその機能に対して課金されます。 (iii) 完了した追加の認証機能(AMLスクリーニング、住所証明、NFC認証など)ごとに、それぞれの料金が発生します。 (iv) Didit側のシステム障害により認証機能が完了しなかった場合、料金は発生しません。
各認証機能の具体的な料金は、Diditの料金ページまたは適用される注文書に記載されています。
8.3 料金設定: サービスの適用料金は、Diditの料金ページに掲載されているか、カスタマイズされたプランまたはエンタープライズプランの場合は、対応する注文書に記載されています。Diditは、いつでも料金を変更する権利を留保し、その変更はセクション17.2に従って事前に通知されます。
8.4 支払いプロセスと返金不可: クレジットの購入は、Diditが指定する支払いプラットフォーム(現在はStripeまたは注文書で合意された支払い方法)を通じて行われます。すべての支払いは最終的なものであり、購入されたクレジットは、本契約または注文書で明示的に別途規定されている場合を除き、返金不可です。表示されている価格には、税金(VATなど)や銀行手数料、処理手数料は含まれておらず、これらはクライアントの責任となります。
8.5 支払い失敗/取り消しとアカウント停止: 自動クレジット補充(設定されている場合)の自動支払い試行が3回連続で失敗した場合、またはエンタープライズプランに対して発行された請求書の不払いの場合、Diditは、その単独の裁量により、クライアントのサービスへのアクセスを停止するか、セクション16に従って本契約を終了することができます。Diditは、未払い金に対して、適用される法律で許可される最大利率で、期日から全額支払い日まで日割りで計算された利息を請求する権利を留保します。
8.6 エンタープライズプラン: 署名された注文書を通じてエンタープライズプランまたはカスタマイズされたプランを契約したクライアントの場合、当該注文書に定められた特定の料金条件、支払い条件、最低消費コミットメント、および請求は、本セクション8の規定に優先または補完するものとします。
9. 機密保持
各当事者(以下「受領当事者」)は、相手方当事者(以下「開示当事者」)の機密情報を、自己の同様の性質の情報を保護するために用いるのと同程度の注意をもって、ただし合理的な注意を下回らない程度に保護することに同意します。受領当事者は、開示当事者の機密情報を、本契約に基づく義務を履行するため、または適用される法律で許可されている場合にのみ使用します。
9.1 機密情報からの除外: 機密情報には、以下の情報は含まれません。(a) 受領当事者の過失なく公知となった情報、または公知となる情報。(b) 開示当事者による開示前に、機密保持義務を負うことなく受領当事者が合法的に保有していた情報。(c) 制限なく、または機密保持義務に違反することなく、第三者によって受領当事者に開示された情報。(d) 開示当事者の機密情報に依拠することなく、受領当事者が独自に開発した情報。(e) 付属書2(DPA)に定める通り、Diditがそのアルゴリズム改善のために集計または匿名化された形式で処理するクライアントデータ。
9.2 強制開示: 受領当事者は、法律、裁判所命令、または管轄の政府機関によって要求された場合、機密情報を開示することができます。ただし、法的に許容される範囲で、受領当事者は開示当事者に十分な事前通知を行い、開示当事者が保護命令または権利放棄を求めることができるようにするものとします。
9.3 従業員の義務: 各当事者は、相手方当事者の機密情報にアクセスする従業員、代理人、および契約者が、本セクション9に定めるものと同等以上に厳格な機密保持義務を負うことを保証するものとします。
9.4 存続: 本セクション9に定める機密保持義務は、本契約の期間中、およびその終了日から5年間存続するものとします。ただし、企業秘密に関しては、当該情報が企業秘密としての地位を維持する限り、機密保持義務は無期限とします。
10. データ保護とセキュリティ
Diditによるクライアントに代わる個人データの処理は、本契約の不可欠な一部を構成する付属書2, データ処理契約(DPA)に準拠します。DPAは、データ保護法の遵守、セキュリティ対策、およびデータ処理者とデータ管理者の責任に関する各当事者の義務を詳述しています。
11. 保証の否認
DIDITのサービス(プラットフォーム、API、SDK、およびドキュメントを含む)は、「現状有姿」および「利用可能な状態」で提供され、いかなる種類の保証もありません。適用される法律で許容される最大限の範囲で、DIDITは、商品性、特定目的への適合性、第三者の権利の非侵害、データの正確性、中断のないまたはエラーのない可用性に関する黙示の保証を含むがこれらに限定されない、明示的または黙示的なすべての保証を明示的に否認します。
DIDITは、サービスが中断なく、安全に、またはエラーなく動作すること、欠陥が修正されること、またはサービスまたはそれらを提供するサーバーがウイルスまたはその他の有害なコンポーネントを含まないことを保証しません。DIDITは、サービスの利用から得られる結果、またはサービスを通じて得られる情報の正確性、信頼性、または完全性に関して、いかなる保証も行いません。クライアントは、サービスの利用に関連するすべてのリスクを負うものとします。
特に、クライアントは、本人確認がさまざまなデータソースとアルゴリズムに基づく複雑なプロセスであることを認識します。DIDITは、いかなるエンドユーザーの身元、いかなる身分証明書の真実性または真正性、または不正行為の不在を保証しません。DIDITのサービスによって提供される結果は情報提供のみを目的としており、クライアントの意思決定プロセスをサポートするものです。クライアントは、DIDITの結果に基づくか否かにかかわらず、その最終的な決定について単独で責任を負い、DIDITは、かかる決定またはその結果について一切の責任を負いません。
12. 責任の制限
適用される法律で許容される最大限の範囲で、いかなる場合においても、Didit、その関連会社、取締役、従業員、代理人、サプライヤー、またはライセンサーは、契約、不法行為(過失を含む)、またはその他の行為において、クライアントまたは第三者が被った間接的、偶発的、特別、結果的、懲罰的、模範的損害、または利益、収益、データ、使用、または信用喪失に対する損害について、たとえDiditがかかる損害の可能性を知らされていたとしても、責任を負わないものとします。
本契約に基づくDiditの総累積責任は、いかなる原因およびいかなる責任理論の下でも、請求の原因となる事象が発生した前の12ヶ月間にクライアントがDiditに実際に支払ったクレジットまたはサービス料金の金額に限定されるものとします。
本セクションに定める制限は、Diditの重大な過失または故意の不正行為に起因する責任、セクション14に定める相互補償義務、または適用される法律が特定の損害の除外または制限を許可しない場合には適用されません。
13. 補償
13.1 クライアントによる補償: クライアントは、Didit、その関連会社、取締役、従業員、代理人、およびサプライヤー(以下「Didit補償対象者」)を、以下に起因または関連するあらゆる請求、要求、損害、責任、損失、費用、および経費(合理的な弁護士費用を含む)から防御し、補償し、免責するものとします。 (i) クライアントが本契約に基づく義務、表明、または保証(セキュリティ、データ保護、または利用制限に関するものを含むがこれらに限定されない)に違反した場合。 (ii) エンドユーザーまたは第三者による、クライアントによる個人データの収集または処理(必要な同意の取得の失敗を含む)、またはクライアントによる認証結果に基づく決定に関連する請求。 (iii) クライアントによるサービスの利用が適用される法律または規制に準拠しない場合。 (iv) クライアントまたはそのクライアントデータが第三者の知的財産権またはプライバシー権を侵害した場合。
13.2 Diditによる補償: Diditは、サービスがDiditによってクライアントに提供され、本契約に従って使用された場合に、当該第三者の特許、著作権、または商標を直接侵害するという第三者の請求に起因または関連するあらゆる請求、要求、損害、責任、損失、費用、および経費(合理的な弁護士費用を含む)から、クライアント、その関連会社、取締役、従業員、および代理人を防御し、補償し、免責するものとします。
除外: Diditの補償義務は、以下に起因する請求には適用されません。(a) クライアントがDiditによって提供されていないソフトウェア、ハードウェア、またはデータと組み合わせてサービスを使用した場合。(b) Didit以外の当事者によるサービスの変更。(c) Diditによって新しい、非侵害バージョンが提供されているにもかかわらず、古いバージョンのサービスを使用した場合。
13.3 補償手続き: 補償を求める当事者(以下「被補償当事者」)は、(i) 請求について補償する当事者(以下「補償当事者」)に書面で速やかに通知し、(ii) 補償当事者に請求の防御および和解の排他的な管理を許可し(ただし、和解が被補償当事者に非金銭的義務を課したり、被補償当事者の事前の書面による同意なしに責任を認めたりしないことを条件とする)、(iii) 補償当事者の費用で、すべての合理的な支援と協力を補償当事者に提供するものとします。
14. 表明と保証
14.1 クライアントの表明と保証: クライアントは、Diditに対し、以下の事項を表明し保証します。 (i) 本契約を締結し履行するための完全な法的能力と権限を有すること。 (ii) サービスの利用、およびクライアントデータと個人データの収集、処理、転送において、すべての適用される法律、規制、および規範を遵守すること。 (iii) 本契約およびDPAに従ってDiditが個人データを処理するために、エンドユーザーおよびその他の自然人から必要なすべての同意、許可、および承認を取得し、維持すること。 (iv) Diditに提供されるすべてのクライアントデータが正確、完全、かつ合法であり、クライアントが当該データをDiditに処理のために提供する権利を有すること。
14.2 Diditの表明と保証: Diditは、クライアントに対し、以下の事項を表明し保証します。 (i) 本契約を締結し履行するための完全な法的能力と権限を有すること。 (ii) サービスは専門的な方法で、業界標準に従って提供されること。 (iii) サービスは、ドキュメントに記載された内容に実質的に準拠すること。
15. 停止と終了
15.1 便宜上の終了:
- クライアントによる終了: クライアントは、いつでもアカウントを閉鎖し、本契約を終了することができます。これにより、未使用のクレジットは失効します。
- Diditによる終了: Diditは、30日前の書面による事前通知をもって、理由の如何を問わず、本契約およびクライアントのサービスへのアクセスを終了することができます。この場合、Diditはクライアントに未使用のクレジットの価値を返金します。
15.2 原因による終了: 以下のいずれかの事由が発生した場合、いずれかの当事者は、相手方当事者への書面による通知をもって、直ちに本契約を終了することができます。 (i) 相手方当事者が本契約に基づく義務を重大に違反し、当該違反を特定する書面による通知を受領後30日以内に当該違反を是正しない場合。 (ii) 相手方当事者が破産、支払不能、清算、解散、債権者との任意整理、または類似の手続きに入った場合。
Diditは、以下のいずれかの事由が発生した場合、事前の通知または是正期間なしに、クライアントのサービスへのアクセスを直ちに停止または終了することができます。 (a) セクション6.4(利用制限)または6.5(クライアントの責任)の重大または繰り返しの違反。 (b) サービスの違法、詐欺的、または濫用的な利用。 (c) 支払いの不履行または支払い条件の繰り返しの違反。 (d) Diditが、その単独の裁量により、サービスまたはクライアントデータのセキュリティまたは完全性が侵害される可能性があると判断した場合。 (e) 裁判所命令または法的要件の遵守のため。 (f) セクション6.4に記載されているように、複数の組織またはアカウントを作成することによる無料または試用プランの悪用。この場合、影響を受ける組織およびアカウントは停止または終了されることがあります。
15.3 終了の効果: 本契約が何らかの理由で終了した場合: (i) 本契約に基づきクライアントに付与されたすべてのライセンスおよび権利は直ちに消滅します。 (ii) クライアントは、サービスおよびドキュメントのすべての使用を中止するものとします。 (iii) 終了日においてクライアントがDiditに負っている未払い金は、直ちに期限が到来し、支払われるものとします。 (iv) 終了がクライアントに起因する原因によるものである場合、未使用のクレジットは没収され、返金不可となります。 (v) クライアントデータの保持および削除義務は、付属書2(DPA)に準拠します。 (vi) 知的財産、機密保持、保証の否認、責任の制限、補償、準拠法および管轄、および一般条項に関するものを含むがこれらに限定されない、その性質上終了後も存続すべき本契約の条項は、完全に効力を有するものとします。
16. 一般条項
16.1 不可抗力: いずれの当事者も、不可抗力によってかかる遅延または不履行が生じた場合、本契約に基づく義務の履行の遅延または不履行について責任を負わないものとします。影響を受けた当事者は、不可抗力事象について可能な限り速やかに相手方当事者に通知し、その影響を軽減するために合理的な努力を行うものとします。
16.2 契約の変更: Diditは、本利用規約、付属書、またはサービスポリシーをいつでも変更または更新する権利を留保します。Diditは、かかる変更について、改訂された規約をウェブサイトまたはビジネスコンソールに掲載するか、クライアントに直接通知を送信することにより、少なくとも30日前にクライアントに通知します。クライアントが変更に同意しない場合、新しい規約の発効日前に書面による通知をもって本契約を終了することができます。クライアントが変更の発効日以降もサービスを継続して使用した場合、改訂された規約に拘束されることに同意したものとみなされます。
16.3 譲渡: クライアントは、Diditの事前の書面による同意なしに、本契約に基づく権利または義務の全部または一部を譲渡または移転することはできません。本規定に準拠しない譲渡または移転の試みは無効とします。Diditは、本契約の全部または一部を、関連会社または合併、買収、企業再編、またはその資産の全部または実質的に全部の売却に関連して自由に譲渡または移転することができます。
16.4 分離可能性: 本契約のいずれかの条項が管轄裁判所によって無効または執行不能と判断された場合、当該条項は必要最小限の範囲で制限または削除され、本契約の残りの条項は完全に効力を有するものとします。
16.5 権利放棄なし: いずれかの当事者が本契約に基づく権利または救済を行使しないこと、または行使を遅延させることは、当該権利または救済の放棄とはみなされず、また当該権利または救済のその後の行使を妨げるものでもありません。いかなる違反に対する明示的な権利放棄も、その後の違反に対する権利放棄を構成するものではありません。
16.6 準拠法および管轄: 準拠法および専属管轄は、クライアントの設立地によって異なり、これにより契約するDiditエンティティも決定されます(セクション1を参照)。
- 欧州連合、欧州経済領域、英国、スイス、またはラテンアメリカに設立されたクライアントは、Didit Identity Spain, S.L.と契約します。本契約はスペインの法律(抵触法の原則を除く)に準拠し、当事者は、本契約に起因または関連する紛争について、スペイン、バルセロナの裁判所の専属管轄に取消不能な形で服するものとします。
- 米国、カナダ、アジア太平洋、中東、およびその他すべての管轄区域に設立されたクライアントは、Didit Identity, Inc.と契約します。本契約はアメリカ合衆国デラウェア州の法律(抵触法の原則を除く)に準拠し、当事者は、本契約に起因または関連する紛争について、デラウェア州ニューキャッスル郡に所在する州裁判所および連邦裁判所の専属管轄に取消不能な形で服するものとします。
本セクション16.6は、消費者がその常居所地の法律による強制的な保護を奪うものではありません。国際物品売買契約に関する国連条約は適用されません。
16.7 完全合意: 本契約は、すべての注文書および付属書を含め、その主題に関するクライアントとDiditとの間の完全かつ排他的な合意を構成し、当事者間の口頭または書面によるすべての事前のまたは同時期の通信、提案、および合意に優先します。
16.8 当事者の関係: 当事者は独立した契約者です。本契約は、クライアントとDiditとの間にパートナーシップ、合弁事業、雇用、フランチャイズ、または代理関係を創出するものではありません。いずれの当事者も、相手方を拘束する権限、または相手方に代わって義務を負う権限を有しません。
16.9 通知: 本契約に基づき要求または許可されるすべての通知は書面で行われ、以下のいずれかの方法で送達されたときに受領されたものとみなされます。(a) 直接手渡しされた場合。(b) 受領確認付きの書留郵便または特定記録郵便で送付された場合。(c) セクション1または注文書に指定された通知用メールアドレスにメールで送付された場合(受領確認付き)。(d) Diditからクライアントへの一般的な通知の場合、ビジネスコンソールまたはウェブサイトに掲載された場合。
16.10 輸出規制法: クライアントは、クライアントまたはその許可されたユーザーが、欧州連合、米国、またはその他の管轄当局によって課された経済制裁または禁輸措置の対象ではなく、かかる輸出管理法によって禁止されている目的でサービスを使用しないことを表明し保証します。
16.11 広報: クライアントは、Diditがクライアントの名称およびロゴをDiditのマーケティング資料および顧客リストに使用することに同意します。ただし、クライアントが書面でかかる使用に異議を唱える旨をDiditに通知した場合を除きます。
16.12 存続: セクション7(知的財産権)、8(料金と支払い条件, 未払い金に関連する部分)、9(機密保持)、11(保証の否認)、12(責任の制限)、13(補償)、15.3(終了の効果)、および16(一般条項)は、本契約の終了または満了後も存続するものとします。
付属書1, サービスレベル契約(SLA)
エンタープライズプランの場合、お客様の注文書に署名された運用条件およびサービスメトリクスが本付属書に優先します。
1. 範囲: 本サービスレベル契約(以下「SLA」)は、Diditのコア認証API、ビジネスコンソールダッシュボード、およびDiditが直接管理するSDKエンドポイントの運用可用性に適用されます。
2. 可用性コミットメント: Diditは、以下のメトリクスに従い、コアサービスの月間稼働時間を維持することを約束します。
| メトリクス | コミットメント |
|---|---|
| 月間稼働時間 (%) | ≥ 99.9 % |
3. 稼働時間の測定: 稼働時間は、Diditの内部監視ツールを使用して分単位で測定されます。ダウンタイムとは、Diditの監視システムによって検出された、またはクライアントがサポートアラートを通じて報告し検証した、コアAPIまたはダッシュボードがHTTPSリクエスト(2XX/3XXステータスコード)に正常に応答しないすべての分を指します。
4. 稼働時間の除外: 月間稼働時間には、以下に起因するダウンタイムまたはサービス中断は含まれません。
- 不可抗力: 主要契約のセクション16.1で定義されている、Diditの合理的な制御を超える事象。
- 計画メンテナンス: サービスの計画メンテナンス期間。Diditは、月間最大5時間まで計画メンテナンスを制限するよう努め、ビジネスコンソールまたは電子メールを通じて少なくとも48時間前に事前通知を行います。
- 緊急メンテナンス: 重要なセキュリティまたはパフォーマンスの問題を解決するために必要な予定外のメンテナンス。Diditは合理的な事前通知を提供するよう努めますが、すべての場合に可能とは限りません。
- Diditの合理的な制御を超える要因: クライアント側のハードウェアまたはソフトウェアの問題、Diditに起因しないインターネットネットワークの停止、標準的な軽減しきい値を超えるサービス拒否攻撃、または第三者サービスプロバイダー(クラウドプロバイダーなど。ただし、Diditがその選択または管理において重大な過失を犯したことが証明された場合を除く)の障害を含みますが、これらに限定されません。
- クライアントまたはその許可されたユーザーによる行為または不作為: 契約の違反を含む。
5. サービスクレジット(SLAクレジット): Diditがセクション2に定める月間稼働時間コミットメントを満たさなかった場合、クライアントは、以下の表に従って、Diditアカウントへのクレジット(返金不可のDiditクレジットの形式)を請求することができます。
| 月間稼働時間 (%) | 月間支出に対するクレジット (%) (クレジット単位) |
|---|---|
| < 99.9 % ≥ 99.0 % | 10 % |
| < 99.0 % ≥ 95.0 % | 25 % |
| < 95.0 % | 50 % |
5.1 クレジット請求プロセス: クレジットを請求するには、クライアントはSLA違反が発生した月の末日から30暦日以内に、billing@didit.me宛てに書面で請求を提出する必要があります。請求には、サービス中断の日時と中断の簡単な説明を含める必要があります。 サービスクレジットは、本SLAに基づく稼働時間コミットメントの違反に対するクライアントの唯一かつ排他的な救済措置です。 クレジット値は、次回の請求サイクルまたはクレジット補充時にクライアントのアカウントに自動的に適用されます。
付属書2, データ処理契約(DPA)
本データ処理契約(以下「DPA」)は、主要契約の不可欠な一部を構成し、Diditがクライアントに代わって個人データを処理する場合に、一般データ保護規則(GDPR)およびその他の適用されるデータ保護法に従って適用されます。
1. 背景と範囲: 本DPAは、データ管理者としてのクライアントに代わって、データ処理者としてのDiditによる個人データの処理に関する当事者の権利と義務を定めます。
2. 役割と処理の性質:
| 役割 | 立場 |
|---|---|
| クライアント | データ管理者 |
| Didit(サービスに関して) | データ処理者 |
| Didit(集計/匿名化データ) | 独立管理者(アルゴリズム改善のため) |
2.1 処理の詳細:
- 処理の目的: Diditによる個人データの処理は、クライアントのKYC/AMLコンプライアンス義務、年齢確認、不正防止を含むがこれらに限定されない、クライアントへの本人確認サービス提供のみを目的とします。
- データ主体のカテゴリ: 処理される個人データは、サービスを通じてクライアントによって本人確認されるエンドユーザーに関するものです。
- 個人データのカテゴリ: 処理されるデータには、身分証明書情報(氏名、生年月日、国籍、文書番号)、自撮り/ビデオ画像(生体認証データ、顔データを含む)、連絡先データ(メール、電話)、デバイスおよび接続データ(IPアドレス、デバイスタイプ、位置情報)、AML/制裁スクリーニングデータが含まれる場合があります。
- 処理および保持期間: 認証フローで処理される個人データのデフォルトの保持期間は無期限(「unlimited」)です。ただし、クライアントがより短い期間を設定した場合を除きます。クライアントは、ビジネスコンソールでアプリケーションごとに30日から10年の間で保持期間を設定でき、APIエンドポイント`POST /v3/sessions/:session_id/delete/`またはビジネスコンソールを通じて、いつでも個々のセッションまたは認証記録を削除できます。Diditは、クライアントの指示または契約の終了時に個人データを削除または返却します。ただし、適用される法律が保持を要求する場合を除きます。生体認証データの保持は、いかなる場合も、適用される生体認証プライバシー法および規制(EU一般データ保護規則(GDPR)第9条、イリノイ州生体認証情報プライバシー法(BIPA)、テキサス州生体認証識別子取得または使用法(CUBI)、ワシントン州H.B. 1493、およびその他の適用される生体認証プライバシー法を含む)に従い、それによって上限が設定されます。かかる法律がより短い保持期間またはより早い破棄義務を規定する場合、そのより短いまたはより厳格な規則が、デフォルトまたはクライアントが設定した保持期間に優先します。
2.2 処理の法的根拠: クライアントは、エンドユーザーの個人データの収集および処理、ならびに当該データのDiditへの転送に関する有効な法的根拠を決定する単独の責任を負います。これには、例えば、データ主体の明示的な同意(特に生体認証データの場合)、契約の履行、法的義務の遵守、または正当な利益が含まれる場合があります。クライアントは、Diditに個人データを送信する前に、適用される法律に従って必要なプライバシー通知を提供し、エンドユーザーから必要な同意を得ることを約束します。
2.3 匿名化/仮名化されたモデルトレーニングと不正検出(独立管理者としてのDidit): クライアントは、Diditが以下の目的のために、独立管理者としてクライアントデータから派生した匿名化または仮名化されたデータを使用することに同意し、これを承認します。
(i) 認証、生体認証、および不正検出モデルのトレーニングと改善, 文書分類器、ライブネス、顔照合、ディープフェイク検出、インジェクション攻撃検出、リスクスコアリングモデルを含む, すべての顧客のセキュリティを強化し、不正を減らし、サービスの精度を向上させるため。
(ii) 顧客間の不正防止対策, Diditのサービスを使用する異なるクライアントアプリケーション間で、既知の不正行為者、攻撃パターン、および繰り返しの不正試行を特定し、フラグを立てるため。
Diditは、安全で正確な本人確認および不正防止インフラストラクチャを運用するという正当な利益に基づいてこのデータを処理し、匿名化、仮名化、集計、およびアクセス制御を適用して、これらの目的で使用されるデータが、基礎となる認証記録以外で識別可能な個人に合理的にリンクされないようにします。
オプトアウト。 クライアント(または影響を受けるエンドユーザー)は、(a) APIまたはビジネスコンソールを通じて基礎となる認証記録を削除し、次回の更新サイクルでトレーニングパイプラインから記録を削除する、または (b) 関連するセッション識別子またはアカウントを記載してprivacy@didit.meにメールを送信し、オプトアウトを要求することにより、本セクション2.3に記載された処理をオプトアウトすることができます。オプトアウトは、要求日から将来にわたって適用されます。Diditはまた、アクティブなトレーニングデータセットから対象となる記録を削除するために商業的に合理的な努力を行います。
3. Diditの義務(データ処理者): Diditは以下のことを約束します。 (i) クライアントからの文書化された指示にのみ従って個人データを処理すること。 ただし、EUまたは加盟国の法律によって要求される場合を除き、その場合、Diditは、公共の利益に関する重要な理由で当該情報が禁止されていない限り、処理前にクライアントに当該法的要件を通知するものとします。 (ii) 個人データの機密性を確保すること。 Diditは、個人データの処理を許可された者が機密保持を約束するか、適切な法定機密保持義務を負うことを保証します。 (iii) リスクに応じた適切なレベルのセキュリティを確保するために、適切かつ堅牢な技術的および組織的措置(TOMs)を実装すること。 これには、保存時(AES-256)および転送時(TLS 1.3)のデータ暗号化、専用のキー管理サービス(KMS)でのキー管理、ロールベースのアクセス制御、環境分離、処理システムおよびサービスの回復力、継続的な監視、および定期的なセキュリティテストが含まれます。Diditは、SOC 2 Type 1(セキュリティ、可用性、機密性。SOC 2 Type 2審査中)、ISO/IEC 27001:2022、ISO/IEC 30107-3に基づくiBeta Level 1プレゼンテーション攻撃検出(PAD)、およびスペインのLey 7/2020金融サンドボックスに基づいて発行されたTesoro / SEPBLAC / CNMVサンドボックス認証を維持しています。 (iv) 処理の性質およびDiditが利用可能な情報を考慮し、データ管理者としてのクライアントの義務履行を支援すること。 これには以下が含まれます。
(v) Diditが認識した個人データセキュリティ侵害について、不当な遅延なくクライアントに通知すること。 Diditは、侵害の性質、影響を受けたデータのカテゴリ、影響を受けたデータ主体およびデータ記録のおおよその数、可能性のある結果、および侵害に対処しその可能性のある悪影響を軽減するために取られたまたは提案された措置に関する既知の情報をクライアントに提供し、通知義務の履行においてクライアントと協力します。
4. クライアントの義務(データ管理者): クライアントは以下のことを約束します。 (i) 個人データの処理およびDiditへの転送に関する適切な法的根拠を確立し維持すること。 (ii) Diditのサービスを使用する前に、適用されるデータ保護法に従って、必要なプライバシー通知を提供し、エンドユーザーから必要な同意を得ること。 (iii) 自身の法的義務および内部ポリシーに従って、DiditのコンソールまたはAPIを通じてデータ保持期間を設定すること。 (iv) Diditがクライアントに転送する監督機関またはデータ主体からの要求に対応すること。
5. サブプロセッサー: クライアントは、個人データの処理のためにサブプロセッサーを関与させることについて、Diditに一般的な承認を与えます。Diditは、サブプロセッサーの最新リストを維持しており、秘密保持契約(NDA)が署名された後、クライアントおよび見込みクライアントに電子メールで共有されます。現在のリストを要求するには、security@didit.meに電子メールを送信してください。Diditは、サブプロセッサーリストへの追加または変更について、クライアントが異議を唱えることができるように十分な事前通知をもって、購読しているクライアントに電子メールで通知します。Diditは、サブプロセッサーに本DPAに定められたものと実質的に類似するデータ保護義務を課し、サブプロセッサーがこれらの義務を遵守することについてクライアントに対し引き続き全責任を負います。クライアントは、合理的なデータ保護上の理由により新しいサブプロセッサーに異議を唱えることができ、その場合、当事者は、影響を受けるサービスの終了の可能性を含め、解決策を見つけるために誠実に協力します。
6. セキュリティ侵害: 個人データセキュリティ侵害が発生した場合: (i) Diditは、認識後、不当な遅延なくクライアントに通知します。 (ii) Diditは、侵害の性質、影響を受けたデータのカテゴリ、影響を受けたデータ主体およびデータ記録のおおよその数、可能性のある結果、および侵害に対処しその可能性のある悪影響を軽減するために取られたまたは提案された措置を含む、侵害に関する詳細をクライアントに提供します。 (iii) Diditは、侵害の調査および監督機関およびデータ主体への通知義務の履行において、クライアントと合理的に協力します。ただし、かかる通知に関する最終決定はクライアントに委ねられます。
7. 国際データ転送: Diditによって処理される主要なデータは、欧州経済領域(EEA)でホストされています。DiditまたはそのサブプロセッサーによるEEA外への個人データの転送は、欧州委員会によって承認された標準契約条項(SCCs)、十分性認定、または適切なレベルの保護を確保するためのその他の適用される法的メカニズムなど、法的に認められた転送メカニズムに基づいてのみ行われます。
8. 個人データの削除/返却: クライアントからの書面による要求または本契約の終了時に、Diditは、クライアントの選択により、すべての個人データを削除またはクライアントに返却します。ただし、適用される法律がDiditに個人データの保持を要求する場合を除きます。クライアントは、自身の保持ポリシーに従って、DiditのAPIまたはコンソールを通じて個人データの削除を管理できます。
9. 監査と文書化: Diditは、要求に応じて、合理的な事前通知(30日以上)をもって、本DPAに定められた義務の遵守を実証するために合理的に必要なすべての情報をクライアントに提供します。クライアントがDiditの施設またはシステムに対する直接監査を要求する場合、かかる監査は限定的かつ非侵襲的であり、範囲と方法論に関する相互合意に従うものとし、クライアントはそれに関連する合理的な費用を負担するものとします。要求に応じて、署名済みのNDAの下で、DiditはSOC 2 Type 1レポート(SOC 2 Type 2審査中)、ISO/IEC 27001:2022証明書、iBeta Level 1 PADテストレポート、および公開されたTesoro / SEPBLAC / CNMVサンドボックス結論を監査証拠として提供します。
10. DPA期間: 本DPAは、主要契約と同一の期間を有するものとします。機密保持、削除、責任、および監査に関する本DPAの条項は、適用される法律を遵守するために必要な限り、本契約の終了後も存続するものとします。