法的枠組み
個人情報の取り扱い
技術的・組織的対策
クッキーの使用許諾
第三者サービスプロバイダーおよびサブプロセッサー
個人データの転送とホスティングサービス
データ侵害への対応
設計とデフォルトによるプライバシー
プライバシーポリシー
トレーニングとアウェアネス
EUおよび英国代表
私たちのお約束
本ページは、翻訳版となります。翻訳版は情報提供のみを目的としており、記載された用語、条件、表現の意味は、英語版における定義および解釈に従うものとします。英語版と翻訳版の間に相違や矛盾がある場合は、英語版が優先されます。
CHEQ はデータプライバシーを深く重視し、EU の GDPR や米国の個人情報保護法を含む全ての法規制の遵守を図っています。このホワイトペーパーでは、当社のプライバシー方針と手続きを概説し、関連する法律への準拠についての質問に答えています。
ご不明な点がございましたら、CHEQ の担当者までお問い合わせください。
法的枠組み
CHEQ は国際的に事業を展開し、EU の GDPR やカリフォルニアの CCPA など、様々な個人情報保護法をはじめとした要件に対応しています。新しい法律や要件の変更にも迅速に適応し、当社の手続きを常に最新の状態に保ちます。
CHEQ のサービス提供において、ユーザーの個人データに関わる役割は「処理者」または「サービスプロバイダー」として行っています。詳しい情報はCHEQのウェブサイト内のプライバシーポリシーで確認できます。
データ保護を真剣に取り組む CHEQ は、合法的かつ公正、透明なデータ処理を約束し、EU や英国に代表者を配置して地域の規制の順守を実践しています。
最先端のセキュリティとプライバシーの確保は、CHEQ の主要な取り組みの一つです。ユーザーのデータ保護のため、技術的・組織的な措置を施し、これらの管理や対策は定期的に見直し・更新し、データの機密性、完全性、可用性を守り続けます。
個人情報の取り扱い
CHEQ は、セッションの不正アクセスを判別し、お客様のウェブサイトへの不正なアクセスをブロックするため、IP アドレスを活用します。また、お客様が「サインアップアンドリードプロテクション」を利用する場合、ユーザーのメールアドレス、電話番号、およびユーザーエージェント情報も活用します。これらは GDPR の下で、個人データと認識されます。
目的の制限およびデータの最小化
CHEQ は、上述のデータを厳格に必要な範囲でのみ処理し、承認されたサービスをお客様に提供する目的で使用します。CHEQ の製品を不正なサービスの追跡に利用することを選んだ場合、データはその特定の目的のみの利用となり、GDPR および CCPA に完全に準拠します。
データ保存の制限
当社によって保持されるデータは、サービス提供、法的義務の履行、紛争解決、または公表しているプライバシーポリシーに記述された目的のためだけに使用されます。明確な法的理由がない限り、当社は定期的に個人情報を削除し、またお客様の要請に基づき速やかに削除を行います。
データ処理契約
CHEQ は全てのお客様とデータ処理契約(DPA)を結びます。DPAに関してはこちらでご確認いただけます。DPA は CHEQ の「処理者」としての役割と、お客様の「管理者」としての役割を明確にし、双方の権利と義務を示しています
技術的・組織的対策
CHEQ は、個人データの不正アクセス、開示、改ざん、および破壊からの保護を最優先とし、そのための技術的・組織的対策を厳格に実施しています。個人データの保護には、暗号化、アクセス制御をはじめとする業界標準のセキュリティ手段を採用しています。さらに、セキュリティリスクを早期に特定し、それを軽減するために定期的なセキュリティ評価と監査を行っています。
私たちは、情報セキュリティ・マネジメント・システム(ISMS)を導入し、データの収集、処理、保存、転送といった全てのデータ処理プロセスを厳格に管理しています。このISMSは、世界的な標準規格である ISO/IEC 27001 を基盤としています。
また、プライバシー情報管理システム(PIMS)を確立し、データの集約、取扱、保持、転送の全工程を総括的に管理しています。当社の PIMS は、世界的に認知されたプライバシー情報管理の基準である ISO/IEC 27701 に準拠しています。
詳細な情報や当社のセキュリティへの取り組みについては、CHEQ SECURITY POSTURE をご覧ください。
クッキーの使用許諾
お客様のウェブサイトおよびサービスの安全性を確保するため、CHEQ はクッキーおよび類似技術を使用しています。以下の理由により、これらのクッキーは CHEQ において「必須」と判断されています。
クッキーはお客様のウェブサイトへの不正アクセスの特定とブロックに特化して使用されています。
必要な目的を遂行するための、限られた期間のみ保存されています。
そのため、CHEQ のクッキーをお客様のデバイスに組み込む際、特別な同意は必要ありません。
当社は、ウェブサイトを安全に利用することが、お客様の事業にとって重要であると認識しています。CHEQ のクッキーが当社サービスへの安全なアクセスを確保する上で欠かせないと考えております。この考え方は、EU の司法機関にも認められています。
第三者サービスプロバイダーおよびサブプロセッサー
CHEQ は、サービス提供のため、必要に応じて第三者サービスプロバイダー、特にホスティングプロバイダーとデータを共有する場合があります。また、CHEQ のオプション機能(CHEQ のコアサービスに含まれないもの)を利用した場合、関連ドキュメンテーションに記載された通り、追加のデータ移転が生じることがあります。
データを第三者サービスプロバイダーと共有する前に、CHEQ は詳細な評価を実施し、プロバイダーが GDPR の要件を満たす適切な保護措置を講じていることを確認します。サブプロセッサーに関する一覧は、こちらから確認いただけます。
データ移転に関しては、データ処理契約(DPA)が適用され、すべての移転が個人情報保護法および業界標準に従って行われることを保証します。CHEQ がデータを外部に転送する場合も、この DPA が適用されます。
法律で義務付けられている場合、CHEQ は GDPR の標準契約条項(SCC)やその英国版を採用し、特定の地域へのデータ移転時に追加のプライバシーおよびセキュリティ保護を提供します。
また、CHEQ の DPA は、移転される個人情報のセキュリティを確保するため、移転先当事者に CHEQ を支援し、様々なセキュリティ機構を維持することを義務付けています。CHEQ の DPA には、データ受領者が以下のような義務を負うことが明記されています:
– 個人情報を偶発的・違法な破壊から守るための技術的、組織的手段の採用。
– 定期的なセキュリティポリシーの見直し、暗号化の採用、適切なファイアウォールの維持など、情報セキュリティを確保する詳細な措置の実施。
– ネットワークのセキュリティとその適切性の定期的な評価。
– セキュリティインシデントが発生した場合、速やかに CHEQ への報告と、調査・解決の支援。
個人データの転送とホスティングサービス
お客様の要望に応じて、データの処理と保存に利用するCHEQサーバーを選択いただけます。データは、米国(AWS us-east-1)あるいは EU(AWS eu-west-1)のいずれかで保存及び処理されます。ただし、集計データや冗長化されたデータ(仮名化)は米国内で転送・処理されることがあります。
当社は、移転影響評価(TIA)を通じて、情報が安全に、適切に管理される手に移転されることを保証します。EUや英国以外の国への情報の移転は、この評価を基に行われます。TIA は、受領者が適切な法的、組織的、セキュリティ対策を講じていることを確認するためのものです。
CHEQ の TIA では、移転されるデータに関して受領者が満たすべきセキュリティ基準や、政府への情報開示のリスク、データセンターの安全性などの要因が詳細に検討されます。さらに、受領者の所在地や、その国の法律がプライバシーを十分に保護しているかも評価の対象となります。
この TIA を基に、CHEQ は情報の保管や処理方法に関する適切な判断を行い、お客様のデータを安全に管理します。
データ侵害への対応
CHEQ は、データ侵害への備えとして詳細な対応計画を策定しております。万が一、データ侵害が発生した際には、法律の要求に従い、関連する顧客や影響を受ける個人、ならびに関連当局に迅速にその旨を報告いたします。当社には専門のインシデント対応チームがおり、このチームは定期的な研修と模擬訓練を通じて、最適な対応力を維持しています。さらに、データの保護を強化するために侵入検知システムやファイアウォールをはじめとした技術的・組織的手段を導入し、脆弱性評価や侵入テストを周期的に実施し、セキュリティの確保に努めています。
設計とデフォルトによるプライバシー
CHEQ は、「Privacy by Default」および「Privacy by Design」の原則を、それぞれ当社のプロセスや製品・サービスに採用しています。このアプローチにより、個人データは初めから保護されると同時に、データ保護がすべてのデータ処理の側面に取り入れられています。その実現のため、当社は適切な技術的、組織的対策を施しています。
CHEQ では、データ保護の全側面を網羅するため、組織内に複数の上級職を配置しています。
データ保護オフィサー(DPO): DPO は、セキュリティ法令の遵守や内部ポリシーの策定・実施における中心的な役割を担います。CHEQ の技術への深い洞察と連携を基に、広範なプライバシーコンプライアンス慣行を形成し、各部門と協力しています。これにより、CHEQ の製品やプロセスが、変動する国際的なプライバシー基準に適合していることを確保します。また、DPO は従業員の定期的なプライバシー・セキュリティ研修と、ポリシー違反時の適切な対応を監督しています。
最高情報セキュリティ責任者(CISO): 当社の従業員は CISO とその専門家チームによる厳格なセキュリティ方針に従って動作しています。その主要な目的は、適切な手段で個人情報を保護することです。CHEQ の従業員が個人情報にアクセスする際には、適切な認可が必須とされます。
また、必要な場合やサービス提供のための場合のみ、当社の従業員が個人情報にアクセスします。
プライバシーポリシー
CHEQ は、個人情報保護方針を維持し、個人に対し、当社のデータ処理活動、個人の権利、および当社のコーポレートウェブサイトにアクセスした場合の権利の行使方法に関する情報を提供します。当社の個人情報保護方針は、データ保護法令の遵守と、データ処理の透明性・明確性を維持することを目的として、定期的に見直し・更新されます。プライバシーポリシーへのリンク
トレーニングとアウェアネス
CHEQ は、すべての従業員と請負業者に、データ保護法、規制、当社の個人情報保護方針、手順、そして個人データ保護のベストプラクティスについての定期的なトレーニングと啓発プログラムを提供しています。さらに、当社のデータ保護方針と手順が正確に守られていることを保証するために、周期的な監査と評価が行われています。
EUおよび英国代表
Cheq AI Technologies (2018) Ltd は、GDPR の要件に基づき、欧州データ保護局(EDPO)を EU の GDPR 代表として正式に任命しています。GDPR に関するお問い合わせは、以下の方法で EDPO にご連絡いただけます:
EDPO のオンラインリクエストフォームを利用する:https://edpo.com/gdpr-data-request/
書面にて、EDPO(住所:Leuchtenfabrik, House A, 1st floor, Edisonstrasse 63, Berlin, 12459 Berlin, Germany)へ直接ご連絡いただく。
また、英国GDPRの第27条に基づき、Cheq AI Technologies (2018) Ltd は、EDPO UK Ltd を英国の GDPR 代理人として指名しています。英国 GDPR に関するお問い合わせは、以下の方法で EDPO UK にご連絡いただけます:
EDPO UK のオンラインリクエストフォームを利用する:https://edpo.com/uk-gdpr-data-request/
書面にて、EDPO UK(住所:8 Northumberland Avenue, London WC2N 5BY, United Kingdom)へ直接ご連絡いただく。
私たちのお約束
CHEQ は、お客様、パートナー、ユーザーのプライバシーと個人情報を尊重し、深く保護することに注力しています。私たちはプライバシーを基本的な人権とみなし、個人データが透明かつ法的、責任を持って取り扱われることを当然の義務と捉えています。当社は、適切なデータ保護法と規制を厳格に遵守し、関係者へのプライバシー保護の水準を最高に保つために、継続的にプライバシーポリシーと手順を監査・更新しています。