第2章 欧州経済領域内と英国に所在する
お客様の個人情報の取扱いについて
1.はじめに
第2章では、EU一般データ保護規則2016/679(以下、「GDPR」といいます。)および英国データ保護法2018(以下、「DPA 2018」といいます。)、欧州経済領域(以下、これらの国を総称して、「EEA」といいます。)および/または英国における他の国内および国際的なデータ保護およびプライバシーに関する法令(以下、総称して「データ保護法」といいます。)に基づき、EEAおよび/または英国に所在するお客様の個人情報の取扱いについて、説明いたします。
英国の法律は EEA の法律と類似しており、両域内のお客様は非常に類似した権利を保有していることにご留意ください。したがって、本章のGDPRへの言及は、対応する英国の法律への言及としてもお読みください。
16歳未満のお客様におかれましては、株式会社わびのサービスをご利用されるにあたり、保護者の方に同意を行っていただくか、同意に対して保護者の方の許可をいただくようお願いいたします。お客様ご本人に代わって株式会社わびのサービスのご利用をお申込み・入力等を行うお客様におかれましても、株式会社わびによる個人情報の取扱いについて、お客様ご本人の同意を得てお申込み頂きますようお願いいたします。
なお、第1章で規定する内容と第2で規定する内容が抵触する場合には、第2章の規定が優先するものとします。
2.個人情報の管理者
お客様の個人情報の管理者は株式会社わびとなります。
株式会社わびはデータ保護法に基づき、管理者(お客様の個人情報の取扱い方法および目的を決定する者)と処理者(管理者の書面による指示に基づいて行動する者)によって収集・使用される個人情報を保護しています。
3.個人情報の取扱いの法的根拠
株式会社わびはデータ保護法に基づき、お客様の個人情報を、特定の目的(第1、第3項(個人情報の利用目的)に記載)のために必要な範囲内でのみ取扱うことにより保護しています。
株式会社わびは、お客様の個人情報を以下のいずれかの法的根拠に基づいて取扱います。
お客様が取扱いに同意した場合(GDPR第6条(1)(a))
同意は通常、プロモーションやマーケティングに関連した取扱い、または場合によっては、機微情報に関連した取扱いにのみ適用されます。
契約の履行または契約締結のための措置を講じるために必要な場合(GDPR第6条(1)(b))
これは通常、お客様の本人情報、連絡先、決済、旅行情報等、株式会社わびがサービスを提供するために必要不可欠なお客様の情報を取扱う根拠となります。
株式会社わびが法的義務を遵守するために取扱う必要がある場合(GDPR第6条(1)(c))
これには、税関や入国管理局、法執行機関等との個人情報の共有や、お客様や株式会社わびの従業員に対する法的義務等が含まれます。
医療上の緊急事態が発生した場合等、お客様または第三者の生命を保護するために必要な場合(GDPR第6条(1)(d))。
個人データの取扱いが株式会社わびまたは第三者の正当な利益の目的のために必要となり、これらの利益にデータ保護法に基づくお客様の権利が優先するものでない場合。(GDPR第6条(1)(f))
これには、株式会社わびの事業を運営するために必要な個人情報の利用はもちろんのこと、株式会社わびの商品やサービスの維持・開発・改善、お客様に最高の体験を提供するために必要な個人情報の利用も含まれます。
4.個人情報の取扱いに関する請求について
(1)データ保護法は、お客様に以下の法的権利を認めています。
開示請求
お客様は、株式会社わびが保有するお客様の個人情報のコピーとその取扱いの詳細について請求することができます。
訂正・更新の請求
個人情報の訂正・更新は、ご請求内容を確認した上で、可能である場合にこれを行います。
削除請求
お客様は、株式会社わびが保有するお客様の個人情報の全部または一部の削除を請求することができます。株式会社わびはお客様のご請求内容を検討し、その情報が必要でない場合、または法律により情報の保持を継続することができない場合には、その情報を削除いたします。
個人情報の転送
お客様は、構造化され、一般的で、機械可読性のある形式の個人情報のコピーを請求することができます。個人情報の転送の請求は株式会社わびがお客様から取得した個人情報のうち、お客様の同意に基づいて、または契約を履行するために、自動化された方法によって取扱われる個人情報についてのみ行うことができます。
取扱いに対する異議申立て
お客様は、株式会社わびまたは第三者の正当な利益を目的とする取扱い、またはダイレクトマーケティングを目的とする取扱いに異議を唱えることができます。株式会社わびは、株式会社わびまたは第三者の正当な利益を目的とする取扱いが、お客様の利益に優先することの正当な根拠を証明できない限り、お客様の情報の取扱いを停止いたします。お客様の異議がダイレクトマーケティングに対するものである場合、株式会社わびは取扱いを停止いたします。
個人情報の利用方法の制限
お客様は、特定の状況下で株式会社わびによるお客様の個人情報の利用を制限することができます。制限が適用される場合、お客様の個人情報の取扱い(保持は除きます。)は、お客様の同意を得た場合、または法的主張、特定の権利の保護、または重要な公共の利益のために必要とされる場合に限り、合法的に行われます。
同意を撤回する権利
お客様の個人情報の取扱いが同意に基づいている場合、お客様はいつでもその同意を撤回する権利を有しています。
上記の権利は絶対的なものではなく、すべての状況に適用されるわけではありませんのでご留意ください。また、状況によっては、法律上の例外規定が適用される場合があり、そのような場合にはご請求をお断りする場合もあります。ご請求をお断りする場合には、回答時にその理由をお知らせいたします。
株式会社わびへの請求の記録は、株式会社わびが法的義務を遵守していることを確認できるようにするために保持されます。
(2)請求方法
お客様は無料で権利を行使することができます(ただし、不当な請求、過大な請求、または繰り返しの請求の場合は、手数料をいただく、または請求をお断りすることがあります。)。お問い合わせ窓口は以下のとおりです。
末尾記載の連絡先までご連絡ください。
(3)ご請求への回答
株式会社わびはお客様からの請求を受領後、通常3カ月以内【坂本:すこし長めにしました。】に回答いたします。また、必要に応じて、本人確認や(お客様が第三者に代理して請求を行う場合には)代理して請求を行う権限の証明をお願いすることがあります。ご請求が特に複雑な場合や、複数の請求をされた場合は、詳細な回答に時間がかかる場合があります。また、上記の権利には例外があり、権利の行使ができない場合もございますので、予めご承知おきください。
(3)ご請求への回答
株式会社わびはお客様からの請求を受領後、通常3カ月以内【坂本:すこし長めにしました。】に回答いたします。また、必要に応じて、本人確認や(お客様が第三者に代理して請求を行う場合には)代理して請求を行う権限の証明をお願いすることがあります。ご請求が特に複雑な場合や、複数の請求をされた場合は、詳細な回答に時間がかかる場合があります。また、上記の権利には例外があり、権利の行使ができない場合もございますので、予めご承知おきください。
ご請求に対する株式会社わびの回答にご満足いただけない場合、または個人情報が不適切に取扱われていると思われる場合、お客様は監督官庁に苦情を申し立てる権利を有しています。詳細については、第2、第9項(監督機関への不服申立てについて)を参照ください。
5.商品やサービスを提供するために必要なデータの共有
株式会社わびの商品やサービスは、他の企業や団体の協力を得て提供されており、業務を遂行するために第三者との間で個人情報を共有することがあります。これらの第三者には以下の者が含まれます。
株式会社わびグループ会社
法令上、個人情報を共有することが義務付けられている機関
政府機関、法執行機関、裁判所、税関・入国管理当局、第三者機関等
サービスプロバイダ
株式会社わびと提携会社、各種サービスプロバイダ、マーケティング提携会社等
株式会社わびがサービスプロバイダにデータの取扱いを委託する場合は、適用されるデータ保護法の要件を満たした契約に基づいて個人情報を取扱います。
6.マーケティング・コミュニケーション
株式会社わびでは、ご希望されるお客様にニュースや商品・サービスの詳細をお知らせするために、マーケティング情報を随時配信しています。かかる配信は、お客様がマーケティング情報の受信に同意されている場合、または、株式会社わびの商品やサービスを購入されたお客様で、マーケティングのオプトアウトの機会があったものの、オプトアウトを選択されなかった場合に限り行います。
7.個人情報の保持・移転先
株式会社わびは日本に所在しており、お客様の個人情報を共有するサービスプロバイダやその他の組織の多くは、EEAおよび英国以外の法域に所在しています。日本は、欧州委員会から個人情報の保護が十分になされているとして十分性認定を受けております。
株式会社わびは、個人情報を第三者に提供する際には、日本・EU間の十分性認定や日本の関連法令を含むデータ保護法の要求事項を遵守いたします。ただし、EEAおよび英国以外の国では、お客様の個人情報が国内法により同等に保護されているとは限りませんのでご留意ください。お客様の個人情報の保持先、移転先についての詳細をご希望の場合は、第1第13項(開示等の請求方法およびお問い合わせ窓口)に記載されているお問い合わせ先までご連絡ください。
8.個人情報の保持について
株式会社わびは、利用目的の達成まで、ご同意いただいた利用目的のために必要がある期間、又は、法令や会計上の要件、株式会社わびの業務上の必要性等を考慮した上で、お客様の個人情報について、情報の性質や保持目的に応じて保持期間を決定しています。
9.監督機関への不服申立てについて
お客様は、お客様に関連する個人情報の処理につき、お客様の居住地を管轄するデータ保護当局に対して異議を申し立てる権利を有します。
EEA所在者:お住まいの国の監督当局にご連絡ください。
詳細は、欧州データ保護委員会のウェブサイト(https://edpb.europa.eu/about-edpb/board/members_en)新しいタブで開きます。外部サイトの場合はアクセシビリティガイドラインに対応していない可能性があります。に掲載されています。
英国所在者:the Information Commissioner’s Office(www.ico.org.uk)にご連絡ください。
10.データ管理者およびデータ保護オフィサーの連絡先
データ管理者
茶懐石秋吉
59 rue Letellier, 75015 Paris FRANCE