プライバシーポリシー

最終更新日：2026年6月1日

本データプライバシーポリシーは、CHAIN TEC LAB - FZCO（「Dawn Labs」として事業を展開。以下「当社」）が、Solanaバリデータサービスの運営および事業運営の過程において、個人データをどのように収集・利用・保管・共有するかについて説明するものです。

管理者（Controller）

• 法人名：CHAIN TEC LAB - FZCO（「Dawn Labs」として事業を展開）
• 登録番号：DSO-FZCO-50681
• 登録住所：IFZA Business Park, DDP, PO Box 342001, Dubai, United Arab Emirates
• 登録機関（Registrar）：Dubai Silicon Oasis
• 規制当局：Dubai Integrated Economic Zones Authority (DIEZ)
• 連絡先メール：info@dawnlabs.tech

目的

本ポリシーは、以下を目的としています。

• 当社の個人データ処理に関して、データ主体に対する透明性を確保すること
• SOC 2 Trust Services Criteria（プライバシーおよび機密保持）に整合した社内要件を定めること
• 個人データ保護に関するUAE連邦法令第45号（2021年）（「UAE PDPL」）およびその施行規則を遵守すること。あわせて、該当するデータ主体がEUのGDPRや日本の個人情報保護法（「APPI」）等の管轄に所在する場合には、これら外国データ保護法上の域外適用義務を遵守すること

適用範囲

本ポリシーは、以下に適用されます。

• 当社のサービスおよび事業運営に関連して処理されるすべての個人データ
• 当社のすべての役職員（役員・従業員・委託先）および当社のために行動する第三者
• 個人データの処理に使用されるすべてのシステム・プロセス・拠点

当社は、企業間取引（B2B）のSolanaバリデータサービスを運営しています。一般消費者に対して直接サービスを提供・販売することはありません。そのため、当社が処理する個人データは限定的であり、その内容は以下に詳述します。

定義

本ポリシーで用いる用語は、UAE PDPLに定める意味を有します。特に以下のとおりです。

• 個人データ — 識別された自然人、または識別子により直接もしくは間接的に識別され得る自然人に関するあらゆるデータ（UAE PDPL 第1条）。
• 処理（Processing） — 個人データに対して行われるあらゆる操作（収集、記録、整理、保管、変更、検索、利用、開示、移転、制限、消去、破棄）。自動・手動を問いません。
• データ主体 — 個人データが関係する自然人。
• 管理者（Controller） — 処理の手段および目的を決定する事業体。
• 処理者（Processor） — 管理者に代わって個人データを処理する事業体。
• 越境移転 — 個人データのUAE国外への移転。

EEAに所在するデータ主体については、GDPRに基づく同等の定義が適用されます。日本に所在するデータ主体については、APPIに基づく同等の定義が適用されます。

当社が処理する個人データの種類

1. 役員および役職員データ

• 氏名、連絡先（メール、電話）、住所（法務・税務上必要な場合）
• 政府発行の身分証明書（会社登記、銀行手続、在留・ビザ手続など、必要な場合に限る）
• 報酬、税務、福利厚生に関する記録
• バックグラウンド調査の結果（該当する場合）
• 人事評価および懲戒記録

適法な根拠（UAE PDPL 第4条）：契約の履行、法的義務の遵守、管理者の正当な利益。

2. 顧客のビジネス連絡先データ

• 当社にバリデータを委任する法人顧客の担当者の氏名およびビジネス連絡先（業務用メール、電話、役職・肩書）
• サービス提供に関連する業務上のやり取り（メール、チャット）の記録

適法な根拠：契約の履行、サービス提供およびアカウント管理に関する正当な利益。

3. ベンダーおよびパートナーの連絡先データ

• サプライヤー（AWS、Latitude.sh、Cherry Servers、Allnodes、Vanta、Google、GitHub など）の担当者の氏名およびビジネス連絡先
• ベンダーポータルで必要となる、当該個人に紐づくアカウント認証情報および識別子

適法な根拠：契約の履行、ベンダー管理に関する正当な利益。

4. システムおよびセキュリティログ

• 認証イベント（Identity Center、GitHub、Google Workspace、Vanta、ベンダーポータル）
• 管理操作に紐づく役職員の識別子を含み得るアクセスログ（AWS CloudTrail、SSM Session Manager、サーバーログ）
• セキュリティイベントの記録（役職員の操作に関連する検知アラートなど）

適法な根拠：運用上のセキュリティ、監視、インシデント対応に関する正当な利益。監査および規制要件に関連する法的義務の遵守。

当社が処理しないもの

• 当社は、顧客のサービスのエンドユーザーから個人データを収集しません。バリデータの委任はブロックチェーン上の操作であり、当社に個人データを送信するものではありません。
• 当社は、児童から意図的にデータを収集することはありません。
• 当社は、UAE PDPL 第1条に定める機微な個人データ（健康、人種・民族的出自、政治的意見、宗教的・哲学的信条、犯罪歴、自然人を一意に識別する生体データ、遺伝データ、性生活・性的指向に関するデータ）を処理しません。ただし、雇用・出入国・税務上のコンプライアンスに必要な最小限を除きます。
• Solanaのオンチェーンデータ（ブロックデータ、トランザクション署名、公開鍵）は、パブリックブロックチェーン上に公開された公開情報であり、本ポリシーにおける個人データには該当しません。

個人データの利用方法

• サービス提供 — 顧客に代わるSolanaバリデータの運営、顧客担当者との連絡、レポートの提供
• アカウントおよびアクセス管理 — 社内システムへのアクセスの付与、レビュー、剥奪
• セキュリティおよびインシデント対応 — セキュリティイベントの検知、調査、対応
• コンプライアンスおよび監査 — 法的義務の遵守、SOC 2 / ISO 27001 監査活動の支援
• 人事管理 — 給与計算、人事評価、研修その他の人事業務
• 社内業務運営 — 会計、財務、ベンダー管理、コーポレートガバナンス

当社は、広告、プロファイリング、第三者への販売のために個人データを利用することはなく、データ主体に法的効果を生じさせる、もっぱら自動化された意思決定を行うこともありません。

個人データの共有方法

当社は、以下の種類の受領者に対し、必要な範囲に限って個人データを共有します。

• 当社の運営を支援する処理者（Subprocessor）およびサービスプロバイダー。以下を含みます。
  • AWS — クラウドインフラ、シークレット管理、監視
  • Latitude.sh、Cherry Servers、Allnodes — バリデータノード向けのベアメタルホスティング事業者
  • Google Workspace — 業務用メールおよびドキュメント共同編集
  • GitHub — ソースコード管理およびアクセス制御
  • Vanta — コンプライアンスの自動監視および証跡管理
  • 専門サービス提供者 — 監査人、法律顧問、会計士、銀行パートナー
• 顧客および取引先 — マスターサービス契約に基づくサービス提供に必要な範囲に限る
• 当局 — 適用法令、法的手続、または政府の要請（UAE Data Office その他の管轄当局を含む）の遵守のために必要な場合

役割および処理場所を含む処理者の一覧は社内で維持しており、顧客の要請に応じて提供します。当社は個人データを販売しません。

第三者が当社に代わって個人データを処理する場合、当社は契約により、当該第三者に対し、UAE PDPL 第6条（処理の安全性および完全性）で求められるものと少なくとも同等の保護措置を講じること、およびデータ主体の権利行使請求への対応に協力することを求めます。

個人データの越境移転（UAE PDPL 第22–23条）

当社の処理者の多くは、米国、欧州連合、日本その他の地域を含むUAE国外に所在します。越境移転は、UAE PDPL 第22条および第23条に従って行われます。

• 十分な保護水準を有すると判断された国へ（UAE PDPL 第22条） — UAE Data Office により当該十分性の決定が発出された場合、掲載された管轄への移転はそれに基づいて行われます。
• その他の国へ（UAE PDPL 第23条） — 移転は、以下のいずれか一つ以上に基づいて行われます。
  • 受領者を拘束する契約上の保護措置（ベンダー契約におけるデータ保護条項、標準契約条項またはこれと同等のものなど）
  • 適切な場合における、データ主体の明示的な同意
  • データ主体との契約の履行に必要な場合
  • 法的請求の確立、行使、防御に必要な場合
  • UAE PDPL 第23条で認められるその他の適法な根拠

EEA居住のデータ主体の個人データを移転する場合、当社はさらにGDPR第5章の移転メカニズム（十分性の決定、標準契約条項など）に依拠します。日本居住のデータ主体については、移転はAPPI第28条に準拠して行われます。

データの保管期間

当社は、収集目的の達成に必要な期間、または法律で求められる期間に限り、個人データを保管します。具体的には以下のとおりです。

• 顧客のビジネス連絡先データ — 取引期間中、および契約終了後最大90日間。法的な保管義務に従います。
• 役職員データ — 雇用期間中、ならびにUAEの労働法・税法および当該個人の本国の義務により求められる法定保管期間
• システムおよびセキュリティログ — 当社の社内データ保管スケジュールに従う
• 監査およびコンプライアンス記録 — 該当する監査期間終了後、最低1年間。必要な場合はそれ以上。

データ主体の権利（UAE PDPL 第13–19条）

適用法令およびUAE PDPLの条件に従い、データ主体は以下の権利を有します。

• アクセス権（第13条） — 当社が当該データ主体の個人データを処理しているか否かの確認、およびそのデータの写しを取得する権利
• データ移転（ポータビリティ）権（第14条） — 処理が同意または契約に基づき、自動的な手段で行われる場合に、構造化され機械可読な形式で他の管理者への個人データの移転を求める権利
• 訂正または消去権（第15条） — 不正確なデータの訂正、または収集目的にとって不要となったデータの消去を求める権利
• 処理制限権（第16条） — 特定の状況において処理の制限を求める権利
• 自動処理への異議権（第17条） — 法的効果を生じさせる、またはもっぱら自動化された方法により重大な影響を及ぼす処理の停止を求める権利
• 異議権（第18条） — 正当な利益、マーケティング、または科学的・歴史的研究に基づく処理に異議を申し立てる権利
• 苦情申立権（第19条） — UAE Data Office に苦情を申し立てる権利

EEAのデータ主体については、GDPRに基づく同等の権利が適用されます。日本のデータ主体については、APPIに基づく同等の権利が適用されます。

これらの権利を行使するには、お問い合わせ欄の連絡先より当社にご連絡ください。当社は、UAE PDPL施行規則その他適用法令で求められる期限内に対応します。

セキュリティ対策（UAE PDPL 第6条）

当社は、個人データを保護するため、以下を含む管理的・技術的・物理的な安全対策を実施しています。

• 保管時（AWS管理の暗号化）および転送時（TLS）のデータ暗号化
• AWS Secrets Manager および Parameter Store による一元的なシークレット管理。平文のシークレットをソースコードリポジトリやローカル端末に保存しません。
• 最小権限の原則に基づくロールベースのアクセス制御（AWS IAM および Identity Center で実施）
• 管理システムへのすべてのアクセスに対する多要素認証
• CloudWatch、CloudTrail、GuardDuty、Vanta による継続的な監視およびログ記録
• 全役職員に対する年次のセキュリティ意識向上トレーニング
• 業務に使用する端末のエンドポイントセキュリティ対策（フルディスク暗号化、自動画面ロック）
• インシデント対応手順。必要な場合には、UAE PDPL 第9条に従い、UAE Data Office および影響を受けるデータ主体への通知を含みます。

個人データ侵害の通知（UAE PDPL 第9条）

個人データ侵害がデータ主体のプライバシー、機密性、または安全性へのリスクを生じさせるおそれがある場合、当社は、UAE PDPLおよびその施行規則に従い、これを認識した後、不当な遅滞なくUAE Data Office に通知します。当該侵害がデータ主体の権利および自由に対して高いリスクを生じさせるおそれがある場合、当社は、影響を受けるデータ主体にも直接通知します。

児童のプライバシー

当社のサービスは企業向けであり、18歳未満の個人を対象としていません。当社は、児童から意図的に個人データを収集することはありません。万一そのようなデータを収集したことが判明した場合、速やかに削除します。

クッキーおよびオンライントラッキング

当社は、トラッキングクッキーを使用する一般消費者向けのウェブサービスを運営していません。当社が運営する企業ウェブサイトは、サイト運用に必要な必須クッキーのみを使用します。

データ保護責任者（DPO）

UAE PDPL 第10条は、管理者または処理者の処理活動が以下のいずれかの基準に該当する場合に、データ保護責任者（DPO）の任命を求めています。

• 新技術の採用またはデータ量に起因して、個人データの機密性およびプライバシーに高いリスクを生じさせる処理
• プロファイリングおよび自動処理を含む、機微な個人データの体系的かつ包括的な評価を伴う処理
• 大量の機微な個人データの処理

当社は、自らの処理活動の性質、範囲、目的に照らし、上記のいずれの基準も現時点では該当しないと評価しており、したがって正式なDPOを任命していません。最高経営責任者（CEO）が、データ保護に関する事項を所管する上級責任者として、データ主体の権利行使請求および規制当局に対する主たる窓口を務めます。この判断は少なくとも年1回、ならびに処理活動に重大な変更があった場合に随時見直します。UAE PDPL 第10条のいずれかの基準が該当することとなった場合、DPOを任命し、本ポリシーを更新します。

処理活動の記録（UAE PDPL 第7条）

当社は、処理する個人データの種類、処理の目的、受領者、越境移転を含む処理活動の記録を維持します。これらの記録は最新の状態に保たれ、要請に応じてUAE Data Office に提供されます。

本ポリシーの変更

当社は、慣行または法的要件の変更を反映するため、本ポリシーを随時更新することがあります。重要な変更は適切な手段を通じてデータ主体に通知し、更新後のポリシーは現行版と同じ場所で提供します。

お問い合わせ

プライバシーに関するご質問、データ主体の権利行使のご請求、または苦情の申立てについては、以下までご連絡ください。

• CHAIN TEC LAB - FZCO（Dawn Labs として事業を展開）
• メール：info@dawnlabs.tech
• 郵送先住所：IFZA Business Park, DDP, PO Box 342001, Dubai, United Arab Emirates
• 上級責任者：南雲 雄太郎、最高経営責任者（CEO）

プライバシー関連のご連絡には、適切に振り分けられるよう、件名に「Privacy Inquiry」とご記載ください。

当社の対応にご満足いただけない場合、UAE Data Office（UAE PDPLに基づく連邦監督当局）、または該当する場合はお住まいの地域のデータ保護当局（例：日本の個人情報保護委員会、または居住するEU加盟国の監督当局）に苦情を申し立てることもできます。