データ保護ポリシー/行動規範

本プライベートポリシーを修正・解釈する権利は、海南航空ホールディングス株式会社に帰属します。当社はこのプライバシーポリシーを随時改訂、更新する場合があります。その場合、最新バージョンは当社サイト上に掲載いたします。当社サイトをご利用の際には、本ページを定期的にご覧いただき、プライバシーポリシーに変更があるかどうかをご確認いただくことをお薦めします。


1.1 本ポリシーには、下記内容に関する重要な情報が含まれています。

      1.1.1 海南航空ホールディングス株式会社(以下「当社」)に義務付けられているデータ保護原則

      1.1.2 個人情報(またはデータ)および配慮すべき個人情報(またはデータ)の意味

      1.1.3 当社が『一般データ保護条例』(EU)2016/679(「GDPR」)をはじめとするその他の国、地域の関連データ保護原則のもとで、個人情報および配慮すべき個人情報を収集・利用する状況

      1.1.4 データ保護に関するデータ主体の権利と義務。

1.2 本ポリシーは、当社の顧客・潜在顧客・ウェブサイトユーザー・求職者に関する個人情報など、当社または当社の依頼を受けた第三者が収集するあらゆる個人情報に適用されます。本ポリシーは、当社のウェブサイト・当社のモバイルアプリ・電話でのコミュニケーション・店舗でのコミュニケーションなどさまざまな方法で提示されます。


1.3 当社は必要に応じて、またはデータ保護義務に従って、本ポリシーの見直しおよび更新を実施します。

1.4 当社は複数の特定目的のために、顧客・潜在顧客・ウェブサイトユーザー・求職者に関する個人情報を取得・保存・使用することができます。

1.5 本ポリシーには、当社のデータ保護義務の履行および個人情報を保護するために講じる措置が規定されています。本ポリシーを制定するもうひとつの目的は、当社の従業員が職務遂行の際にアクセスする可能性のある個人情報の収集・使用・削除の際に適用される規則を、当該従業員に理解・遵守させることにあります。


1.6 当社は、簡潔・明快・透明な姿勢で個人情報を取得および利用し、当該情報が不要になった場合は削除方法と時期を遵守して削除し、データ保護義務の履行に全力を尽くすことを保証します。

1.7 当社のデータセキュリティ担当者(「データセキュリティマネジャー」ともいう)は、個人情報保護の各取り扱いに対する包括的責任、社内コンプライアンスとデータ保護の確保を監査する責任、および当社とあなたと管理機関の間の連絡者としての責任を負います。本ポリシーの内容についてご質問やご意見がある場合、または詳細情報を確認する場合は下記までご連絡ください。

     1.7.1 当社のデータセキュリティ担当者:[hna-dpo@hnair.com]

     1.7.2 当社のEU代表者:[hna-dpo@hnair.com]。

「犯罪記録情報」とは、刑事事件の有罪判決および犯罪、告発、法的手続きならびに関係の保安措置に関連する個人情報を指します。

「データ違反」または「データ漏洩」とは、セキュリティ措置に違反したことによって個人情報が予想外または不法に毀損・紛失・改ざん・不正開示または取得されることを指します。

「データ主体」とは、個人情報に関わる個人を指します。

「個人情報」または

「個人データ」とは、個人を(直接または間接的に)特定できる個人に関する情報を指します。

「取り扱い」とは、情報の取得、記録、整理、保存、変更、検索、開示および/または破壊など、情報を使用または利用して行う行為を指します。

「匿名化」とは、個人情報に対する取り扱いの一種です。匿名化を行うと、追加情報がない限り関連する個人を特定できず、当該の個人情報が特定可能な個人に紐づけられることがないよう、当該追加情報は技術・組織的管理によって独立して保存されます。

「配慮が必要な個人情報」(「特別ジャンルの個人データ」または「取り扱い注意の個人データ」とも呼ばれます)とは、個人の人種・民族・政治の信条・宗教または哲学の信条、会員様(または非会員様)の個人情報、遺伝子情報、(個人を特定するための)生物学的情報および個人健康、性生活または性的嗜好に関する情報をいいます。

「ウェブサイト」とは、当社が所有または運営するいずれかのウェブサイトを指します。

3.1 個人情報を取り扱う際、当社は下記のデータ保護原則を遵守します。

     3.1.1 当社は個人情報を合法、公正かつ透明性のある方法で取り扱います。

     3.1.2 当社は、特定の明示的かつ合法的な目的でのみ個人情報を収集します。当該の合法的な目的に適さない方法で個人情報を取り扱うことはありません。

     3.1.3 当社が個人情報を取り扱うのは、それが目的に基づいているか関連しており、取り扱いが必要かつ適切に取り扱うことができる場合のみです。

     3.1.4 当社は、個人情報の正確性を保つように情報を更新します。正確でない個人情報に対しては、削除または修正など合理的に対処します。

     3.1.5 当社は、個人情報を適切な形式で保存し、データ主体に対して保存時間が該当情報処理の目的を実現するために必要な時間より長くならないように確保します。

     3.1.6 当社は、個人情報のセキュリティを守るため、特に未許可または不法な操作および予想外の紛失、毀損または破壊を防止するために、適切な技術的および組織的な措置を講じます。

4.1 The Company may supplement this Policy by issuing privacy notices from time to time, informing you about the personal information that we collect and hold relating to you, how you can expect your personal information to be used and for what purposes.


4.2 We will take appropriate measures to provide information in privacy notices in a concise, transparent, intelligible and easily accessible form, using clear and plain language.


4.3 When personal information is collected


     4.3.1 We collect personal information where it is necessary for us to conduct our everyday activities or functions.


     4.3.2 Here are some examples of situations where we collect personal information:


            (a) when you register for an account on our Websites, apps or kiosks;

            (b) when you complete purchase orders, requests or applications for our products, services and/or facilities (by telephone, in person, by post, on forms, through our Websites or by any other means);

            (c) when you communicate with us directly in relation to our products, services and/or facilities (by telephone, in person, by post, on forms, through our Websites or by any other means);

            (d) when you use services and/or facilities that are made available on our Websites or at our physical locations;

            (e) when you conduct certain types of transactions such as booking tickets, redeeming points for tickets, purchasing points, or refunds;

             (f) when you enter, and when you interact with us during, any of our promotions, competitions, contests, lucky draws or special events;

            (g) when you subscribe to any of our membership programmes;

            (h) when you participate in our surveys and other types of research; or

             (i) when you apply for employment with us.


      4.3.3 We do not collect personal information from persons under the age of 16 without prior permission from a parent or a guardian. If you believe that we have accidentally collected personal information from a person under the age of 16 without the prior permission of a parent or guardian, please contact our Data Protection Officer at once under paragraph 1.7 of this Policy in order to have the relevant personal information erased. If you are under the age of 16, please do not proceed to provide us with any of your personal information through any means whatsoever unless you have first procured permission from your parent or your guardian.


4.4 What personal information is collected

      4.4.1 The provision of your personal information is voluntary unless otherwise indicated as mandatory. If you do not provide any personal information to us which is mandatory, we may not be able to provide the products and/or services that you require of us.

      4.4.2 The types of personal information which we may collect include the following:

             (a) contact information such as names, addresses, telephone numbers, email addresses, delivery addresses and usernames;

             (b) billing information such as billing address, bank card information and credit card information;

             (c) unique information such as nationality and identity document information (including but not limited to identity card numbers, passport numbers, photographs and date of birth), occupational duties, health status and meal preferences;

             (d) contact and marketing preferences;

             (e) details of any membership that you have with us;

              (f) details of your visits to our Websites, such as traffic data, location data, and the resources that you access on our Websites;

             (g) details of your online identifiers, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags;

             (h) your transaction history with us; and

              (i) if you are a candidate for employment, any personal information that you provide to us during the recruitment process including personal details from your resume and any application form that you submit to us. Such personal information may include your employment history and working eligibility rights.


      4.4.3 You may, in certain circumstances, provide us with personal information relating to third parties (for example, your designated Fortune Wings Club beneficiaries, next-of-kin, traveling companion or, if you are a candidate for employment, any person whom you have nominated as your referee). When this happens, you are deemed to have represented and confirmed to us that you have obtained the consent of such third party to provide his/her personal information to us for processing in the manner set out in this Policy.


4.5 Purposes for collection, use and processing of personal information


     4.5.1 The personal information which we collect from you may be collected, used, disclosed and/or processed for various purposes, depending on the circumstances at hand and your consent, including for example:


            (a) to assess, process and provide our products, services and/or facilities requested by you; including but not limited to:

               
                 selling flight tickets, flight ticket and hotel packages, in-flight merchandise, etc.

                 sending you product or service booking confirmations

                 providing you with flight-related services, such as check-in, meals, seat selection, luggage services, transit accommodation, irregular flight guarantees and special passenger services

                 providing notifications and instructions related to products or services during your journey, such as instructions about boarding gates and baggage collection


            (b) to provide you with any assistance that you have requested; including but not limited to:


                 related enquiries or information confirmation operations that you have authorized us to carry out


                 responding to your enquiries


                 assisting you with transaction operations

                 providing you with technical assistance

            (c) to maintain and improve our customer relationship with you; including but not limited to:


                 inviting you to join the Fortune Wings Club


                 inviting you to participate in various satisfaction surveys


            (d) to establish your identity; including but not limited to:


                  requesting that you present the relevant documents during check-in, boarding, baggage inspection and other procedures


                  informing you about login activity on your online account

 
             (e) to administer and process any payments (including refunds) related to products, services and/or facilities or other commercial transactions requested by you; including but not limited to:


                  making order payments


                  handling your refund requests


                  fulfilling our compensation obligations


              (f) to respond to your enquiries or complaints and resolve any issues and disputes which may arise in connection with any dealings between us;

             (g) to provide you with information and updates on products, services, facilities, loyalty programmes, promotions, launches, campaigns, contests and/or events offered or organised by us and our affiliated partners from time to time, in accordance with your consent; including but not limited to


                  sending you event invitations


                  delivering or distributing prizes to you

                 
                  for direct marketing purposes via SMS, phone, email, fax, mail, instant messaging, social media and/or any other appropriate communication channels, in accordance with your consent;


              (i) to administer our loyalty or rewards programmes, including the use of airport lounges and the administration of the Fortune Wings Club;

              (j) to engage in codesharing or similar business arrangements with other airlines;

             (k) to cater to your dietary requirements when using our products, services and/or facilities;

              (l) for internal administrative purposes and record-keeping;

            (m) to send you seasonal greetings messages from time to time;

             (n) to send you service or account change notifications and information when necessary;

             (o) to monitor, review and improve our products, services, facilities, promotions and/or events; including but not limited to: 

                 
                  cookies used by our websites and apps


                  traffic analysis and performance monitoring tools used by our websites and apps

              (p) to conduct market research or surveys, internal marketing analysis, customer profiling activities, analysis of customer patterns and choices, planning and statistical and trend analysis in relation to our products, services and/or facilities;

              (q) to process, combine and/or analyse your personal information for the above purposes;

               (r) for detecting, investigating and preventing fraudulent, prohibited or illegal activities;

              (s) for our audit, risk management and security purposes;

               (t) for enabling us to perform our obligations and enforce our rights under any agreements or documents that we are a party to;

              (u) to transfer or assign our rights, interests and obligations under any agreements entered into with us;

              (v) for meeting any applicable legal or regulatory requirements and making disclosure under the requirements of any applicable law, legislation, regulation, direction, court order, by-law, guideline, circular or code applicable to us from time to time ("Applicable Law");

             (w) to enforce or defend our rights and your rights under, and to comply with, our obligations under any Applicable Law.
 

      4.5.2 We will notify you in advance of any other purpose(s) for which we intend to use your data and obtain your consent where necessary, unless we are permitted by the GDPR or any other Applicable Law to process your personal information without your consent.

      4.5.3 Please note that you have the right to object to the processing of your personal data for direct marketing purposes and the right to opt-out of any direct marketing from us and to unsubscribe from any SMS, phone, email, fax, mail, instant messaging, social media and/or other communication channels we use to engage in direct marketing with you. We will endeavour to provide instructions in all such communications on how to opt-out, but you may also contact our Data Protection Officer under paragraph 1.7 of this Policy if you wish to exercise your right to opt-out and are not clear how to exercise such right accordingly.


4.6 Transfer of personal information

     4.6.1 In order to smoothly conduct our business operations and/or to fulfil our obligations to you, we may disclose the personal information that we have collected from you to third parties, for one or more of the purposes set out at paragraph 4.5 of this Policy. Examples of third parties to whom we may disclose your personal information include:


            (a) other companies in our group, such as our sister airlines, for the purposes of paragraphs 4.5.1(a), 4.5.1(b), 4.5.1(i), 4.5.1(j) and 4.5.1(k).

            (b) third party service providers, agents, affiliates or related companies who provide operational services in connection with our business such as data entry, telecommunications, information technology, logistics, storage and warehousing, catering, delivery, assembly, installation, printing and postal services, credit checks, credit facilities or services relating to marketing and promotional activity; including but not limited to:


                  providers of related supplementary services, such as hotels, insurance companies, logistics companies, food supply companies and sales product suppliers


                  other airlines, such as codesharing partners and mutual sales partners. Please note: Other airlines have their own privacy policies. If your travel plan includes traveling with other airlines, we recommend that you check the other policies, as they may differ from this Privacy Policy


                  information technology providers, such as TravelSky, Amadeus and Google

            (c) our professional advisors, consultants and/or auditors; and

            (d) relevant government regulators or authorities (in accordance with any Applicable Law). Including but not limited to:


                  public security agencies (such as the National Civil Aviation Public Security Big Data Operation & Training Center) to which we submit personal information for screening in the interests of public safety and anti-terrorism

             
      4.6.2 The third parties with whom we conduct business are only authorised to use your personal information to perform the service for which they were hired. As part of our agreement with them, they may be required to adhere to the GDPR and/or any policies that we provide, and to take reasonable measures to ensure your personal information is secure.


4.7 Transfer of personal information of EEA data subjects out of the EEA


     4.7.1 Due to the global nature of the services that we provide, it is sometimes necessary for us to share the personal information of data subjects in the EEA with parties outside the EEA, for example:

           (a) with our offices outside the EEA;

           (b) with our service providers located outside the EEA;

           (c) if the data subject is based outside the EEA; or

           (d) where there is an international dimension to the services we are providing to the data subject.


     4.7.2 These transfers are subject to special rules under European data protection law.

     4.7.3 The Company may transfer personal information outside the EEA to:

           (a) a country, territory or organisation that is designated as having an adequate level of protection; or

           (b) an organisation receiving the information that has provided adequate safeguards by way of binding corporate rules, standard data protection clauses or compliance with an approved code of conduct.


     4.7.4 In the absence of a European Commission adequacy decision, or of appropriate safeguards, we may need to transfer personal information of an EEA data subject to non-EEA countries where this is necessary for the performance of a contract or the implementation of pre-contractual measures.

     4.7.5 There may also be circumstances where we ask for the explicit consent of an EEA data subject to the transfer of personal information to a non-EEA country for purposes other than the performance of a contract or the implementation of pre-contractual measures. In such circumstances, we will inform the data subject of the increased risks of such transfer due to the absence of safeguards and the fact that these non-EEA countries (for example, the People's Republic of China) do not have the same data protection laws as the EEA.

     4.7.6 We will, however, ensure that all transfers of personal information of EEA data subjects out of the EEA comply with the GDPR. Our practice is, wherever possible and applicable, to use standard data protection contract clauses that have been approved by the European Commission. Those clauses are available on the following website of the European Commission:

             
              https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en

              https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en


     4.7.7 If you would like further information please contact the Data Protection Officer as shown at paragraph 1.7 of this Policy.

5.1 あらゆる取り扱いについて、取り扱う前および途中で下記の操作を定期的に実行します。

     5.1.1 特定の取り扱いの目的を審査し、当該取り扱いに対する最も合理的な根拠を以下から選定します。

         (a)データ主体が当該取り扱いに同意したこと

         (b)当該取り扱いがデータ主体と締結された契約を実行するために必要であること、または契約締結前にデータ主体の要望を実行するために必要であること

         (c)当社の法律義務を履行するために必要であること

         (d)データ主体または他の自然人の重大な利益を保護するために必要であること

         (e)当社または第三者のデータ主体の基本権利を凌ぐ正当な利益を保護するために必要であること¬—本ポリシー第5.2条をご参照ください。

      5.1.2 同意に基づく取り扱いの他、当該取り扱いが関連する合理的な目的を達成するために必要である(当該目的を達成するために合理的な方法が他にない)ことを保証します。

      5.1.3 データ保護原則を遵守していることの証明のために、適用する法的根拠に対する当社の決定を記録します。

      5.1.4 当社のプライバシー通知に取り扱いの目的とその法的根拠に関する情報を入れます。

      5.1.5 配慮が必要な個人情報の取り扱いについて、当該情報の取り扱いのための法的な特別条件(本ポリシーの6.2.2条をご参照ください)を確認し、記録します。

      5.1.6 犯罪情報を取り扱う場合は、当該情報の取り扱いのための法的な条件を確認し、記録します。


5.2 当社の正当な利益が取り扱いに最適な法的根拠であるを確認するために、当社は以下を実施します。

     5.2.1 当社の決定が合理的であることを証明するための正当な利益の評価(「LIA」)を実施し、記録します。

     5.2.2 LIAによりプライバシーへの重大な影響があると判断された場合、データ保護影響評価(「DPIA」)の必要性を検討します。

     5.2.3 LIAに対する審査を維持し、状況の変化に応じて繰り返し実施します。

     5.2.4 当社のプライバシー通知に当社の正当な利益に関する情報を入れます。

6.1 配慮すべき個人情報は「特殊個人情報」または「要注意個人情報」(健康状況など)と呼ばれる場合もあります。

6.2 当社は状況に応じて、配慮すべき個人情報を取り扱うことがあります。配慮すべき個人情報を取り扱うのは、以下の場合のみです。

     6.2.1 当社の法的義務または当社の正当な利益など、上記5.1.1条の法的根拠がある場合

     6.2.2 以下のような、個人情報の取り扱いに関する特殊条件の1つが適用された場合

          (a)データ主体が明示的に同意した。以下はその一例です。

             車椅子・担架などをご利用の方がお手伝いの必要なお客様サービスを申し込むとき

             病気による払い戻しを申し込むとき

          (b)会社またはデータ主体の労働法上の権利または義務を行使する目的のために必要である。

          (c)データ主体の重大な利益を保護するために必要であり、かつデータ主体が物理的に同意を与えることができない。

          (d)データ主体が明確に開示している個人情報データを取り扱う。

          (e)法的請求を立証、行使、または弁護するために必要である。

           (f)重大な公益のために必要である。

6.3 配慮すべき個人情報を取り扱う前に、当該取り扱いが上記基準を満たすか否かを評価するために、当社の従業員は取り扱い予定の情報をデータセキュリティ担当者に通知するものとします。


6.4 配慮すべき個人情報は、以下の状態にいたるまで取り扱われません。


     6.4.1 第6.3条に定められた評価が実施された。

     6.4.2 取り扱いの性質(プライバシー通知またはその他の手段で)、取り扱いの目的およびその法的根拠について、関係者に適切に通知した。


6.5 人事採用過程において、当該部門はデータセキュリティ担当者の指示に従って、次の内容に留意します(法律で別段の定めがない限り)。


     6.5.1 書類選考・面接・採用決定の段階で、民族または人種、組合員資格または健康状況などの配慮すべき個人情報に関する質問をしない。

     6.5.2 応募者が履歴書または面接中に聞かれていないにもかかわらず配慮すべき個人情報について言及するなど、配慮すべき個人情報を受け取った場合、記録せずに直ちに削除またはそれに対する引用を修正する。

     6.5.3 記入済みの機会均等モニタリング表と個人の申請表を別の場所に保存して、選考・面接・採用決定の担当者が見られないようにする。

     6.5.4 「就業権」の確認は、早期の選考や面接または決定段階ではなく、無条件雇用の前に行われる。

     6.5.5 雇用の決定後は、健康状態に関する質問のみする。


7.1 関係政府機関からの要請があり(入国管理や治安の目的など)、かつ関係政府機関の管理下にある場合を除き、当社が犯罪記録情報を取り扱うことはありません。

8.1 個人データの取り扱いが個人データの保護に高いリスクをもたらす可能性がある場合、当社は取り扱う前に以下の観点でDPIA評価を実施します。

      8.1.1 その目的に対して必要かつ適切な取り扱いか否か

      8.1.2 個人に対するリスク

      8.1.3 リスクに対処し、個人情報を保護するために講じる対策。


9.1 当社は、危険性の高い情報(個人の権利や自由を侵害する可能性がある情報または配慮が必要な個人情報もしくは犯罪歴が含まれる可能性がある情報)を取り扱う際、当該情報に関する書面記録を保存します。以下が保存する内容の例です。

      9.1.1 雇用機関(または適用対象となるその他の管理者、雇用主代表およびデータセキュリティ担当者)の名称および詳細情報

      9.1.2 取り扱いの目的

      9.1.3 個人カテゴリおよび個人データカテゴリの説明

      9.1.4 個人データの受信者のカテゴリ

      9.1.5 すでに制定した移転メカニズム保障措置の書類を含む国境を越えたデータ移転の詳細

      9.1.6 データ保存スケジュール(可能な場合)

      9.1.7 技術的および組織的なセキュリティ対策の説明(可能な場合)

9.2 当社の記録処理活動の一環として、下記の内容を文書化するか、または当該文書へのリンクを明記します。

      9.2.1 プライバシー通知に必要な情報

      9.2.2 同意記録

      9.2.3 管理者・取扱者契約

      9.2.4 個人情報の所在

      9.2.5 データ保護影響評価(DPIAs)

      9.2.6 データ漏洩/データ違反の記録。

9.3 配慮が必要な個人情報または犯罪歴が含まれている記録情報を取り扱う場合、当社は下記の内容を書面で保管します。

      9.3.1 (必要があれば)なぜ取り扱わなければならないかを含む取り扱いの目的

      9.3.2 当社が取り扱う法的根拠

      9.3.3 当社の各ポリシー(本ポリシーを含む)に従って当社が個人情報を保持または削除するかどうか。従わない場合はその理由。

9.4 当社は、取り扱う個人情報を定期的に見直し、その都度文書記録を更新します。以下がその一例です。

      9.4.1 当社が保有している個人情報を確認するために情報のレビューを実施

      9.4.2 当社の取り扱いをより全面的に知ってもらうためにアンケートを配布し、全社の従業員と相談

      9.4.3 データ保持、セキュリティ、データ共有などの問題に対処するために、当社のポリシー、手続き、契約および合意レビューを実施。

10.1 すべてのデータ主体は、その個人情報に対して以下の権利を有します。

       10.1.1 情報取り扱いの方法・理由および根拠を知る権利—本ポリシー第4条「当社のプライバシー通知」をご参照ください。

       10.1.2 主体によるアクセス要求により、お客様の情報が取り扱われていることを確認し、その情報およびその他の関連情報を取得する権利—下記の10.3条をご参照ください。

       10.1.3 データが不正確または不完全な場合に訂正を求める権利

       10.1.4 データが最初の収集/取り扱いの目的のために必要でなくなった場合、またはそれ以上取り扱うための正当な理由がない場合、データの削除を求める権利(「忘れられる権利」とも呼ばれる)

       10.1.5 情報の正確性に異議がある場合、または取り扱いが正当でない場合(かつデータ主体がデータの削除を希望しない場合)に、個人情報の取り扱い制限を求める権利

       10.1.6 データが不正確と思われる場合、またはデータの取り扱いを拒否した場合に、個人情報の取り扱いの一時的制限を求める権利


10.2 上記10.1の権利のいずれかを行使する場合、本ポリシー1.7条に記載されているデータセキュリティ担当者にご連絡ください。


10.3 主体によるアクセス要求

       10.3.1 当社は主体によるアクセス要求を遵守し、請求があった日から1ヵ月以内に適切なデータを提供するように努めます。提供できない場合はデータ主体に通知します。当社は、適切な情報を提供するために、要求の遵守に関する専門家の助言を受けることがあります。情報の提供は通常無料です。

       10.3.2 可能性は低いですが、明らかに不合理な要求である場合または要求が繰り返される場合、当社は情報を提供しないことを決定する場合があります。ただしこのような場合、当社は専門家の助言を受けます。

11.1 当社は、個人情報のセキュリティを確保し、特に未許可または不法操作による予想外の損失、破壊または損傷を防止するために、技術的および組織的な措置を適切に講じます。以下が措置の一例です。

       11.1.1 可能であれば、個人情報の匿名化または暗号化

       11.1.2 オペレーションシステムおよびサービスの機密保持、整合性、耐久性および融通性の継続的な確保

       11.1.3 物理的または技術的な問題が発生した場合における、個人情報のアクセシビリティとアクセス権限の確保

       11.1.4 個人情報を利用する際のセキュリティを確保するために、技術や組織措置に対して定期的に実施するテストや評価

11.2 当社が個人情報の取り扱いを外部企業に委託する場合、当該外部企業と契約を締結して個人情報のセキュリティ保護のための安全措置を追加で講じるものとします。特に外部企業との契約には下記の内容が含まれるものとします。

       11.2.1 当該企業は、当社の書面による指示に従ってのみ行動することができること

       11.2.2 当該企業は、自社が取り扱うデータに対して機密保持の義務を負うこと

       11.2.3 個人情報を利用する際のセキュリティを確保するために、適切な対策をとること

       11.2.4 当該企業からの外注は、当社の事前の同意かつ書面による契約がある場合にのみ可能であること

       11.2.5 当該企業が主体によるアクセスおよびデータ保護に関する権利の個人による行使について当社と協力すること

       11.2.6 当該企業が当社のプロセッサセキュリティ・データ漏洩通知・データ保護影響評価に関する義務の履行について当社と協力すること

       11.2.7 当該企業が契約終了時にすべての個人情報を契約どおりに削除または当社へ返却すること

       11.2.8 当該企業が監査および検査を受ける際、両方ともそのデータ保護義務の履行を確保するために当社に必要な情報を提供し、データ保護法に違反する行為を求められた場合は速やかに当社に通知することの同意。

12.1 個人情報(および配慮すべき個人情報)は、必要以上に長く保存しないものとします。データの保存期間は、具体的な状況および個人情報を取得する理由によって変わります。通常、個人情報は必要な期間または使用しなくなった時点から7年間のうち、いずれか早い期間まで保存されます。

12.2 必要がなくなった個人情報(および配慮すべき個人情報)は恒久的に情報システムから削除し、すべてのコピーも安全に破棄するものとします。

13.1 データ漏洩には、次のようなさまざまな形態があります。

       13.1.1 個人情報を格納しているデータまたはデバイスの紛失または盗難

       13.1.2 従業員または第三者による個人情報の不正アクセスまたは不正利用

       13.1.3 機器またはシステムの障害(ハードウェア/ソフトウェア問わず)によるデータ消失

       13.1.4 削除ミスやデータ変更などの人的ミス

       13.1.5 火事や洪水など不測の事態

       13.1.6 ハッキング、ウイルスまたはフィッシング詐欺など、ITシステムに対する意図的な攻撃

       13.1.7 情報を保有する組織のふりをして情報を得る「なりすまし」

13.2 データの漏洩が発生した場合、当社は遅滞なく、個人データ漏洩開示計画に則って最善の対応を進めてまいります。

14.1 以下のような場合、いつでもご連絡ください。
14.1.1 当社のお客様個人情報の取り扱い方法、GDPRの遵守またはその他の適用データ保護法について、苦情、不満または意見がある場合

14.1.2 個人情報を使用する以前に当社に対して行った同意を撤回したい場合
お問い合わせいただく際は、本ポリシー第1.7条の連絡方法で当社のデータセキュリティ担当者および/またはEU代表者までご連絡ください。お客様からの苦情、不満または意見に対しては、速やかかつ公平に扱うよう最善を尽くします。