データ保護ポリシー/行動規範

本プライベートポリシーを修正・解釈する権利は、海南航空ホールディングス株式会社に帰属します。当社はこのプライバシーポリシーを随時改訂、更新する場合があります。その場合、最新バージョンは当社サイト上に掲載いたします。当社サイトをご利用の際には、本ページを定期的にご覧いただき、プライバシーポリシーに変更があるかどうかをご確認いただくことをお薦めします。


1.1 本ポリシーには、下記内容に関する重要な情報が含まれています。

      1.1.1 海南航空ホールディングス株式会社(以下「当社」)に義務付けられているデータ保護原則

      1.1.2 個人情報(またはデータ)および配慮すべき個人情報(またはデータ)の意味

      1.1.3 当社が『一般データ保護条例』(EU)2016/679(「GDPR」)をはじめとするその他の国、地域の関連データ保護原則のもとで、個人情報および配慮すべき個人情報を収集・利用する状況

      1.1.4 データ保護に関するデータ主体の権利と義務。

1.2 本ポリシーは、当社の顧客・潜在顧客・ウェブサイトユーザー・求職者に関する個人情報など、当社または当社の依頼を受けた第三者が収集するあらゆる個人情報に適用されます。本ポリシーは、当社のウェブサイト・当社のモバイルアプリ・電話でのコミュニケーション・店舗でのコミュニケーションなどさまざまな方法で提示されます。


1.3 当社は必要に応じて、またはデータ保護義務に従って、本ポリシーの見直しおよび更新を実施します。

1.4 当社は複数の特定目的のために、顧客・潜在顧客・ウェブサイトユーザー・求職者に関する個人情報を取得・保存・使用することができます。

1.5 本ポリシーには、当社のデータ保護義務の履行および個人情報を保護するために講じる措置が規定されています。本ポリシーを制定するもうひとつの目的は、当社の従業員が職務遂行の際にアクセスする可能性のある個人情報の収集・使用・削除の際に適用される規則を、当該従業員に理解・遵守させることにあります。


1.6 当社は、簡潔・明快・透明な姿勢で個人情報を取得および利用し、当該情報が不要になった場合は削除方法と時期を遵守して削除し、データ保護義務の履行に全力を尽くすことを保証します。

1.7 当社のデータセキュリティ担当者(「データセキュリティマネジャー」ともいう)は、個人情報保護の各取り扱いに対する包括的責任、社内コンプライアンスとデータ保護の確保を監査する責任、および当社とあなたと管理機関の間の連絡者としての責任を負います。本ポリシーの内容についてご質問やご意見がある場合、または詳細情報を確認する場合は下記までご連絡ください。

     1.7.1 当社のデータセキュリティ担当者:[hna-dpo@hnair.com]

     1.7.2 当社のEU代表者:[hna-dpo@hnair.com]。

「犯罪記録情報」とは、刑事事件の有罪判決および犯罪、告発、法的手続きならびに関係の保安措置に関連する個人情報を指します。

「データ違反」または「データ漏洩」とは、セキュリティ措置に違反したことによって個人情報が予想外または不法に毀損・紛失・改ざん・不正開示または取得されることを指します。

「データ主体」とは、個人情報に関わる個人を指します。

「個人情報」または

「個人データ」とは、個人を(直接または間接的に)特定できる個人に関する情報を指します。

「取り扱い」とは、情報の取得、記録、整理、保存、変更、検索、開示および/または破壊など、情報を使用または利用して行う行為を指します。

「匿名化」とは、個人情報に対する取り扱いの一種です。匿名化を行うと、追加情報がない限り関連する個人を特定できず、当該の個人情報が特定可能な個人に紐づけられることがないよう、当該追加情報は技術・組織的管理によって独立して保存されます。

「配慮が必要な個人情報」(「特別ジャンルの個人データ」または「取り扱い注意の個人データ」とも呼ばれます)とは、個人の人種・民族・政治の信条・宗教または哲学の信条、会員様(または非会員様)の個人情報、遺伝子情報、(個人を特定するための)生物学的情報および個人健康、性生活または性的嗜好に関する情報をいいます。

「ウェブサイト」とは、当社が所有または運営するいずれかのウェブサイトを指します。

3.1 個人情報を取り扱う際、当社は下記のデータ保護原則を遵守します。

     3.1.1 当社は個人情報を合法、公正かつ透明性のある方法で取り扱います。

     3.1.2 当社は、特定の明示的かつ合法的な目的でのみ個人情報を収集します。当該の合法的な目的に適さない方法で個人情報を取り扱うことはありません。

     3.1.3 当社が個人情報を取り扱うのは、それが目的に基づいているか関連しており、取り扱いが必要かつ適切に取り扱うことができる場合のみです。

     3.1.4 当社は、個人情報の正確性を保つように情報を更新します。正確でない個人情報に対しては、削除または修正など合理的に対処します。

     3.1.5 当社は、個人情報を適切な形式で保存し、データ主体に対して保存時間が該当情報処理の目的を実現するために必要な時間より長くならないように確保します。

     3.1.6 当社は、個人情報のセキュリティを守るため、特に未許可または不法な操作および予想外の紛失、毀損または破壊を防止するために、適切な技術的および組織的な措置を講じます。

4.1 当社は、当社が収集・保持しているお客様の個人情報ならびにお客様の個人情報を使用する方法および使用目的についてお客様に通知するために、本方針を随時補足することがあります。


4.2 関連情報をお伝えする際は、簡潔かつ透明性がありわかりやすく読みやすい形式で、明確かつシンプルな言葉を使って、プライバシー通知によって実施します。


4.3 個人情報の収集時期


     4.3.1 当社は、日々の事業活動や業務の遂行の中で個人情報を収集します。

     4.3.2 当社が個人情報を収集する状況の例には、以下のものがあります。

           (a)当社のウェブサイト、アプリケーションまたはカウンターでアカウントを登録するとき

           (b)(ご本人様から電話、メール、フォーム、当社ウェブサイトなどの手段で)当社の商品、サービスおよび/または施設の購入注文書、書面による要求、または申請書を記入するとき

           (c)(ご本人様から電話、メール、フォーム、当社ウェブサイトなどの手段で)当社の商品、サービスおよび/または施設に関して直接連絡するとき

           (d)当社のウェブサイトまたは実店舗を通じて、当社が提供するサービスおよび/または施設を利用するとき

           (e)特定の取り引き(チケットの購入、特典航空券の交換、ポイントの購入、払い戻しなど)を実施するとき

            (f)当社が運営する何らかのプロモーション、コンテスト、競技、抽選、スペシャルイベントに参加し、イベント中に当社と交流するとき

           (g)当社の何らかの会員キャンペーンに参加するために登録するとき

           (h)当社のアンケートなどの分析調査に参加するとき

            (i)当社の求人に応募したとき。

      4.3.3 当社は、保護者または付添人の事前の許可がない限り、未成年者(法令で規定)からは個人情報を収集しません。保護者または付添人の事前の許可なしに当社が誤って未成年者(法令で規定)から個人情報を収集したと思われる場合、速やかに本方針の第1.7条に記載されている連絡先から当社のデータセキュリティ担当者に連絡ください。当該個人情報を確実に削除いたします。未成年の方(法令で規定)は、事前に保護者または付添人の許可を得ている場合を除き、当社に個人情報を提供してはいけません。


4.4 収集する個人情報の種類

     4.4.1 個人情報のご提供は、必須と明記されていない限り任意です。必須情報をご提供いただけない場合、ご希望の商品および/またはサービスが受けられない場合があります。

     4.4.2 当社が収集する可能性のある個人情報の種類は下記のとおりです。


           (a)名前、住所、電話番号、Eメールアドレス、配送先住所、ユーザー名などの連絡先情報

           (b)請求先住所、銀行カード情報、クレジットカード情報などの金融情報

           (c)国籍、身分証明書の情報(身分証明番号、パスポート番号、写真、生年月日など)、業種・職種、健康状態、食事の好みなどの個人特有の情報

           (d)希望の連絡方法およびマーケティング資料

           (e)当社の会員情報

            (f)追跡データ、位置データ、当社ウェブサイト内でお客様がアクセスしたリソースなど、当社ウェブサイトへのアクセス詳細情報

           (g)IPアドレス、Cookie識別子、無線周波数識別タグなど、オンライン識別子の詳細情報

           (h)当社との取引履歴

            (i)求職者である場合、提出する履歴書や応募用紙に含まれる個人情報など、採用手続き時に当社に提供するあらゆる個人情報。当該個人情報には、職歴および雇用権に関する情報が含まれる場合があります。


     4.4.3 特定の状況において、当社は第三者(金鵬の指定受益者、直系親族、同伴者、(求職者であれば)推薦人など)に関する個人情報を収集する場合があります。この場合、当社への個人情報の提供に対してすでに第三者の同意が得られたとみなされ、当社が本方針に基づいて当該情報を扱っても構わないという了承を得たとみなされます。


4.5 個人情報の収集、使用、処理の目的


     4.5.1 お客様から同意いただいた場合、現状に応じて当社が収集した個人情報が、以下を含むさまざまな目的のために収集、使用、開示および/または処理されることがあります。

           (a)ご希望の当社商品、サービスおよび/または施設の評価、処理、提供。以下はその一例です。

               
              航空券、宿泊プラン付き航空券、機内商品などの販売

              商品またはサービスの予約確認連絡

              チェックイン、食事、座席選択、お手荷物サービス、乗り継ぎ宿泊施設、航空便異常の保証、お手伝いの必要なお客様サービスなどの航空便関連サービス

              搭乗ゲートの通知、手荷物引き取りの通知、渡航中の商品やサービスに関連する通知や説明

           (b)お客様が希望する当社のサポート。以下はその一例です。

         
              関連する問い合わせや情報確認操作の代行

              質問への回答

              取引操作のヘルプ

              テクニカルサポート

           (c)お客様との関係性の維持と向上。以下はその一例です。


              金鵬倶楽部へのご招待

              各種満足度調査へのご招待

           (d)本人確認。以下はその一例です。


              チェックイン、搭乗、手荷物検査などの手続き時における、身分証明書の提示

              サイトにおけるアカウントのログイン記録の告知

              会員手続き時における身分証明書の提示

            (e)ご希望の商品、サービス、施設またはその他の商取引に関連する支払い(払い戻しを含む)の管理および処理。以下はその一例です。


               注文への支払い

               払い戻し請求の処理

               補償義務の履行

             (f)取引に関する質問や苦情の対応、問題やトラブルの解決

            (g)事前に同意を得た場合、当社および当社の関連会社が提供または運営する商品、サービス、施設、顧客ロイヤルティプログラム、プロモーション、商品発売、特別マーケティング、競技会および/またはイベントに関する情報と最新ニュースの提供。以下はその一例です。


                イベント招待状の送付

                賞品の配布または発送

            (h)事前に同意を得た場合、SMS、電話、Eメール、ファックス、郵便、インスタントメッセージ、SNSおよび/またはその他の適切なコミュニケーション手段によるマーケティング

             (i)空港のプレミアムラウンジのご利用や金鵬倶楽部の管理などの、当社顧客ロイヤルティ・ボーナスプログラムの管理

             (j)他の航空会社との間で実施する、航空便のコードシェアまたは類似する商業的取り決め

            (k)弊社の商品、サービスおよび/または施設を使用する際の食事に関するご要望への対応

             (l)内部管理と資料アーカイブの開示要求への対応

           (m)祝日に応じた祝福メッセージの発送

            (n)必要に応じたサービスおよびアカウント変更通知メッセージの発送

            (o)当社の商品、サービス、施設、販売促進プログラムおよび/または展示会の追跡、監査、改善。以下はその一例です。

                当社ウェブサイト、アプリ用のcookie

                当社ウェブサイト、アプリ用のトラフィック解析と性能モニタリングツール

             (p)当社の製品、サービスおよび/または施設に関する市場調査またはリサーチ、社内マーケティング分析、顧客データ管理、顧客モデルおよび選択分析、企画/統計/傾向分析の実施

             (q)上記目的達成のための個人情報の処理、統合および/または分析

              (r)詐欺、違法または不法行為の発見、調査、防止

             (s)当社の監査、リスク管理およびセキュリティ目的による活動

              (t)当社が当事者として契約または文書に基づく義務の履行、ならびにかかる契約または文書に基づく権利の行使

             (u)当社が締結した契約に基づく権利、権益および義務の譲渡

             (v)あらゆる法的または規制上の要件の遵守に伴って、当社に随時適用される法律、規則、命令、指令、裁判所命令、規制、ガイドライン、通知または法案(「適用法令」)に従う情報の開示

            (w)適用法令の下で双方の権利の行使または確保および当社に適用される法令が定める義務の履行。


     4.5.2 当社がお客様のデータを他の目的に使用する場合、GDPRまたはその他の適用法令に基づき、お客様の同意なしにお客様の個人情報を処理できる場合を除き、事前にお客様に通知して同意を得るものとします。

     4.5.3 お客様には、ダイレクトマーケティングの目的でお客様の個人データに対する処理を拒否する権利があります。また、当社のダイレクトマーケティングプログラムから脱退し、お客様を対象とするSMS、電話、Eメール、ファックス、郵便、インスタントメッセージ、SNSおよび/またはその他のコミュニケーション手段の購読を解除する権利があります。上記の各種通信システムにおける購読解除方法については、最善を尽くして説明させていただきますが、購読解除の権利を行使したいにもかかわらず行使方法がわからない方は、本ポリシーの第1.7条をご参照のうえ、当社のデータセキュリティ担当者にご連絡ください。


4.6 個人情報の開示


      4.6.1 当社は業務を円滑に進めるために、またお客様に対する義務の履行のために、本方針の第4.5条に記載した1つ以上の目的で収集した個人情報を第三者に開示する場合があります。以下は、当社がお客様の個人情報を開示する可能性のある第三者の一例です。

           
            (a)4.5.1(a)、4.5.1(b)、4.5.1(i)、4.5.1(j)、4.5.1(k)に記載されている目的については、当社グループの他会社(提携航空会社など)

            (b)業務に関連する運営サービス(データ入力、通信、情報技術、物流、倉庫、配膳、配達、組み立て、設置、印刷および郵便サービス、信用調査、資金調達または販売促進活動など)を提供する第三者企業、代理店、関連する個人または法人。以下はその一例です。

ホテル、保険会社、物流会社、食事供給会社、販売製品供給者などの関連追加サービスの提供者

他の航空会社。コードシェアパートナー、相互販売パートナーなど。注意:他の航空会社にも独自のプライバシーポリシーがあります。プランに他の航空会社による渡航が含まれている場合、本プライバシーに関する声明と異なっている可能性があるため、他社のポリシーのご確認を推奨いたします。

中国民間航空情報グループ、Amadeus、Googleなどの情報技術プロバイダ

            (c)当社の専門コンサルタントおよび/または監査人

            (d)(法令により職権を行使できる)関連政府監督機関または政府機関。以下はその一例です。

                公衆安全およびテロ対策を目的とした、公安機関(全国民間航空・公安ビッグデータトレーニングセンター)への情報提供。


      4.6.2 当社との取引がある第三者には、委任されたサービス業務を遂行するためにお客様の個人情報を使用する権限のみが与えられています。当社との合意の一環として、このような第三者はGDPRおよび/または当社ポリシーを遵守し、お客様の個人情報のセキュリティを確保するために合理的な措置を講じることを求められる場合があります。


4.7 欧州経済領域におけるデータ主体の個人情報の欧州経済地域外への移転


     4.7.1 当社のサービス提供地域が世界的な規模である性格上、以下のように欧州経済領域以外の地域と欧州経済領域データ主体の個人情報を共有する必要があります。

          (a)欧州経済地域外の当社事務所と共有

          (b)欧州経済地域外に位置するサービスプロバイダと共有

          (c)データ主体が欧州経済地域に住んでいる場合

          (d)当社がデータ主体に提供しているサービスに国際的な要素がある場合。

      4.7.2 これらの移転は、欧州データ保護法に基づく特別規定の対象となります。

      4.7.3 当社が欧州経済領域から個人情報を移転し得るのは以下の各所です。

          (a)適切な保護水準を有する指定国、地域、組織

          (b)拘束力のある会社規則、標準的なデータ保護規定または承認された行動規範の遵守によって適切な保護手段を講じている組織。

      4.7.4 欧州委員会の適切性決定(個人データの転送先の国、地域または組織が適切な保護水準を有するかの決定)または適切な保護手段がない場合、当社は欧州経済領域のデータ主体の個人情報を契約の履行または仮履行に必要な欧州経済領域以外の国に移転することがあります。

      4.7.5 場合によっては、契約の履行または仮履行以外の目的で、欧州経済領域のデータ主体の個人情報を欧州経済領域以外の国に移転することについて、同意を求めることがあります。この場合、保障措置の欠如およびこれらの欧州経済領域以外の国(中華人民共和国など)に欧州経済地域と同様のデータ保護法がないため、移転にはより高いリスクが伴うことを、当社はデータ主体に通知するものとします。

      4.7.6 ただし、欧州経済領域のデータ主体の個人情報を欧州経済領域以外へ移転する場合、常にGDPRに適合していることを保証します。当社は、欧州委員会欧州委員会が承認した標準データ保護契約の使用が可能な場合または当該契約が適用対象である場合、これを使用するものとします。当該契約は下記欧州委員会のウェブサイトで確認できます。


              https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en

      4.7.7 詳細は、本ポリシー第1.7条に記載されているデータセキュリティにお問い合わせください。

5.1 あらゆる取り扱いについて、取り扱う前および途中で下記の操作を定期的に実行します。

     5.1.1 特定の取り扱いの目的を審査し、当該取り扱いに対する最も合理的な根拠を以下から選定します。

         (a)データ主体が当該取り扱いに同意したこと

         (b)当該取り扱いがデータ主体と締結された契約を実行するために必要であること、または契約締結前にデータ主体の要望を実行するために必要であること

         (c)当社の法律義務を履行するために必要であること

         (d)データ主体または他の自然人の重大な利益を保護するために必要であること

         (e)当社または第三者のデータ主体の基本権利を凌ぐ正当な利益を保護するために必要であること¬—本ポリシー第5.2条をご参照ください。

      5.1.2 同意に基づく取り扱いの他、当該取り扱いが関連する合理的な目的を達成するために必要である(当該目的を達成するために合理的な方法が他にない)ことを保証します。

      5.1.3 データ保護原則を遵守していることの証明のために、適用する法的根拠に対する当社の決定を記録します。

      5.1.4 当社のプライバシー通知に取り扱いの目的とその法的根拠に関する情報を入れます。

      5.1.5 配慮が必要な個人情報の取り扱いについて、当該情報の取り扱いのための法的な特別条件(本ポリシーの6.2.2条をご参照ください)を確認し、記録します。

      5.1.6 犯罪情報を取り扱う場合は、当該情報の取り扱いのための法的な条件を確認し、記録します。


5.2 当社の正当な利益が取り扱いに最適な法的根拠であるを確認するために、当社は以下を実施します。

     5.2.1 当社の決定が合理的であることを証明するための正当な利益の評価(「LIA」)を実施し、記録します。

     5.2.2 LIAによりプライバシーへの重大な影響があると判断された場合、データ保護影響評価(「DPIA」)の必要性を検討します。

     5.2.3 LIAに対する審査を維持し、状況の変化に応じて繰り返し実施します。

     5.2.4 当社のプライバシー通知に当社の正当な利益に関する情報を入れます。

6.1 配慮すべき個人情報は「特殊個人情報」または「要注意個人情報」(健康状況など)と呼ばれる場合もあります。

6.2 当社は状況に応じて、配慮すべき個人情報を取り扱うことがあります。配慮すべき個人情報を取り扱うのは、以下の場合のみです。

     6.2.1 当社の法的義務または当社の正当な利益など、上記5.1.1条の法的根拠がある場合

     6.2.2 以下のような、個人情報の取り扱いに関する特殊条件の1つが適用された場合

          (a)データ主体が明示的に同意した。以下はその一例です。

             車椅子・担架などをご利用の方がお手伝いの必要なお客様サービスを申し込むとき

             病気による払い戻しを申し込むとき

          (b)会社またはデータ主体の労働法上の権利または義務を行使する目的のために必要である。

          (c)データ主体の重大な利益を保護するために必要であり、かつデータ主体が物理的に同意を与えることができない。

          (d)データ主体が明確に開示している個人情報データを取り扱う。

          (e)法的請求を立証、行使、または弁護するために必要である。

           (f)重大な公益のために必要である。

6.3 配慮すべき個人情報を取り扱う前に、当該取り扱いが上記基準を満たすか否かを評価するために、当社の従業員は取り扱い予定の情報をデータセキュリティ担当者に通知するものとします。


6.4 配慮すべき個人情報は、以下の状態にいたるまで取り扱われません。


     6.4.1 第6.3条に定められた評価が実施された。

     6.4.2 取り扱いの性質(プライバシー通知またはその他の手段で)、取り扱いの目的およびその法的根拠について、関係者に適切に通知した。


6.5 人事採用過程において、当該部門はデータセキュリティ担当者の指示に従って、次の内容に留意します(法律で別段の定めがない限り)。


     6.5.1 書類選考・面接・採用決定の段階で、民族または人種、組合員資格または健康状況などの配慮すべき個人情報に関する質問をしない。

     6.5.2 応募者が履歴書または面接中に聞かれていないにもかかわらず配慮すべき個人情報について言及するなど、配慮すべき個人情報を受け取った場合、記録せずに直ちに削除またはそれに対する引用を修正する。

     6.5.3 記入済みの機会均等モニタリング表と個人の申請表を別の場所に保存して、選考・面接・採用決定の担当者が見られないようにする。

     6.5.4 「就業権」の確認は、早期の選考や面接または決定段階ではなく、無条件雇用の前に行われる。

     6.5.5 雇用の決定後は、健康状態に関する質問のみする。


7.1 関係政府機関からの要請があり(入国管理や治安の目的など)、かつ関係政府機関の管理下にある場合を除き、当社が犯罪記録情報を取り扱うことはありません。

8.1 個人データの取り扱いが個人データの保護に高いリスクをもたらす可能性がある場合、当社は取り扱う前に以下の観点でDPIA評価を実施します。

      8.1.1 その目的に対して必要かつ適切な取り扱いか否か

      8.1.2 個人に対するリスク

      8.1.3 リスクに対処し、個人情報を保護するために講じる対策。


9.1 当社は、危険性の高い情報(個人の権利や自由を侵害する可能性がある情報または配慮が必要な個人情報もしくは犯罪歴が含まれる可能性がある情報)を取り扱う際、当該情報に関する書面記録を保存します。以下が保存する内容の例です。

      9.1.1 雇用機関(または適用対象となるその他の管理者、雇用主代表およびデータセキュリティ担当者)の名称および詳細情報

      9.1.2 取り扱いの目的

      9.1.3 個人カテゴリおよび個人データカテゴリの説明

      9.1.4 個人データの受信者のカテゴリ

      9.1.5 すでに制定した移転メカニズム保障措置の書類を含む国境を越えたデータ移転の詳細

      9.1.6 データ保存スケジュール(可能な場合)

      9.1.7 技術的および組織的なセキュリティ対策の説明(可能な場合)

9.2 当社の記録処理活動の一環として、下記の内容を文書化するか、または当該文書へのリンクを明記します。

      9.2.1 プライバシー通知に必要な情報

      9.2.2 同意記録

      9.2.3 管理者・取扱者契約

      9.2.4 個人情報の所在

      9.2.5 データ保護影響評価(DPIAs)

      9.2.6 データ漏洩/データ違反の記録。

9.3 配慮が必要な個人情報または犯罪歴が含まれている記録情報を取り扱う場合、当社は下記の内容を書面で保管します。

      9.3.1 (必要があれば)なぜ取り扱わなければならないかを含む取り扱いの目的

      9.3.2 当社が取り扱う法的根拠

      9.3.3 当社の各ポリシー(本ポリシーを含む)に従って当社が個人情報を保持または削除するかどうか。従わない場合はその理由。

9.4 当社は、取り扱う個人情報を定期的に見直し、その都度文書記録を更新します。以下がその一例です。

      9.4.1 当社が保有している個人情報を確認するために情報のレビューを実施

      9.4.2 当社の取り扱いをより全面的に知ってもらうためにアンケートを配布し、全社の従業員と相談

      9.4.3 データ保持、セキュリティ、データ共有などの問題に対処するために、当社のポリシー、手続き、契約および合意レビューを実施。

10.1 すべてのデータ主体は、その個人情報に対して以下の権利を有します。

       10.1.1 情報取り扱いの方法・理由および根拠を知る権利—本ポリシー第4条「当社のプライバシー通知」をご参照ください。

       10.1.2 主体によるアクセス要求により、お客様の情報が取り扱われていることを確認し、その情報およびその他の関連情報を取得する権利—下記の10.3条をご参照ください。

       10.1.3 データが不正確または不完全な場合に訂正を求める権利

       10.1.4 データが最初の収集/取り扱いの目的のために必要でなくなった場合、またはそれ以上取り扱うための正当な理由がない場合、データの削除を求める権利(「忘れられる権利」とも呼ばれる)

       10.1.5 情報の正確性に異議がある場合、または取り扱いが正当でない場合(かつデータ主体がデータの削除を希望しない場合)に、個人情報の取り扱い制限を求める権利

       10.1.6 データが不正確と思われる場合、またはデータの取り扱いを拒否した場合に、個人情報の取り扱いの一時的制限を求める権利


10.2 上記10.1の権利のいずれかを行使する場合、本ポリシー1.7条に記載されているデータセキュリティ担当者にご連絡ください。


10.3 主体によるアクセス要求

       10.3.1 当社は主体によるアクセス要求を遵守し、請求があった日から1ヵ月以内に適切なデータを提供するように努めます。提供できない場合はデータ主体に通知します。当社は、適切な情報を提供するために、要求の遵守に関する専門家の助言を受けることがあります。情報の提供は通常無料です。

       10.3.2 可能性は低いですが、明らかに不合理な要求である場合または要求が繰り返される場合、当社は情報を提供しないことを決定する場合があります。ただしこのような場合、当社は専門家の助言を受けます。

11.1 当社は、個人情報のセキュリティを確保し、特に未許可または不法操作による予想外の損失、破壊または損傷を防止するために、技術的および組織的な措置を適切に講じます。以下が措置の一例です。

       11.1.1 可能であれば、個人情報の匿名化または暗号化

       11.1.2 オペレーションシステムおよびサービスの機密保持、整合性、耐久性および融通性の継続的な確保

       11.1.3 物理的または技術的な問題が発生した場合における、個人情報のアクセシビリティとアクセス権限の確保

       11.1.4 個人情報を利用する際のセキュリティを確保するために、技術や組織措置に対して定期的に実施するテストや評価

11.2 当社が個人情報の取り扱いを外部企業に委託する場合、当該外部企業と契約を締結して個人情報のセキュリティ保護のための安全措置を追加で講じるものとします。特に外部企業との契約には下記の内容が含まれるものとします。

       11.2.1 当該企業は、当社の書面による指示に従ってのみ行動することができること

       11.2.2 当該企業は、自社が取り扱うデータに対して機密保持の義務を負うこと

       11.2.3 個人情報を利用する際のセキュリティを確保するために、適切な対策をとること

       11.2.4 当該企業からの外注は、当社の事前の同意かつ書面による契約がある場合にのみ可能であること

       11.2.5 当該企業が主体によるアクセスおよびデータ保護に関する権利の個人による行使について当社と協力すること

       11.2.6 当該企業が当社のプロセッサセキュリティ・データ漏洩通知・データ保護影響評価に関する義務の履行について当社と協力すること

       11.2.7 当該企業が契約終了時にすべての個人情報を契約どおりに削除または当社へ返却すること

       11.2.8 当該企業が監査および検査を受ける際、両方ともそのデータ保護義務の履行を確保するために当社に必要な情報を提供し、データ保護法に違反する行為を求められた場合は速やかに当社に通知することの同意。

12.1 個人情報(および配慮すべき個人情報)は、必要以上に長く保存しないものとします。データの保存期間は、具体的な状況および個人情報を取得する理由によって変わります。通常、個人情報は必要な期間または使用しなくなった時点から7年間のうち、いずれか早い期間まで保存されます。

12.2 必要がなくなった個人情報(および配慮すべき個人情報)は恒久的に情報システムから削除し、すべてのコピーも安全に破棄するものとします。

13.1 データ漏洩には、次のようなさまざまな形態があります。

       13.1.1 個人情報を格納しているデータまたはデバイスの紛失または盗難

       13.1.2 従業員または第三者による個人情報の不正アクセスまたは不正利用

       13.1.3 機器またはシステムの障害(ハードウェア/ソフトウェア問わず)によるデータ消失

       13.1.4 削除ミスやデータ変更などの人的ミス

       13.1.5 火事や洪水など不測の事態

       13.1.6 ハッキング、ウイルスまたはフィッシング詐欺など、ITシステムに対する意図的な攻撃

       13.1.7 情報を保有する組織のふりをして情報を得る「なりすまし」

13.2 データの漏洩が発生した場合、当社は遅滞なく、個人データ漏洩開示計画に則って最善の対応を進めてまいります。

14.1 以下のような場合、いつでもご連絡ください。
14.1.1 当社のお客様個人情報の取り扱い方法、GDPRの遵守またはその他の適用データ保護法について、苦情、不満または意見がある場合

14.1.2 個人情報を使用する以前に当社に対して行った同意を撤回したい場合
お問い合わせいただく際は、本ポリシー第1.7条の連絡方法で当社のデータセキュリティ担当者および/またはEU代表者までご連絡ください。お客様からの苦情、不満または意見に対しては、速やかかつ公平に扱うよう最善を尽くします。