GDPRプライバシーポリシー

1. はじめに

GMOブランドセキュリティ株式会社（以下「弊社」といいます）は、日本のドメイン名、商標その他の知的財産に関わるサービスを提供する会社として、EUおよびUKの居住者の個人データを、欧州委員会により定められた一般データ保護規則（2018年5月25日に施行）（EU GDPR）および、2021年1月1日より効力を発する英国で採用されたUK GDPRに従って処理します。弊社はEU, UKの居住者の方の個人データのコントローラーであり、その責任を負っています。

本プライバシーポリシーは、弊社が個人データを収集および処理する方法に関する情報を提供することを目的としています。この個人データにはお客様が弊社のウェブサイトを利用し、または弊社のサービス（以下「サービス」といいます）の提供を受け、あるいはマーケティング資料やニュースレターの申し込みを行うことにより弊社に提供される可能性のあるデータを含みます。

2. 収集するデータの種類

個人データまたは個人情報とはその個人を識別できる情報を指します。匿名化され、個人の特定ができないデータは含まれません。

以下の列挙する類型につき、お客様に関する個人データを収集、利用、保存、転送することがあります：

個人識別情報には、名、旧姓、姓、ユーザー名または類似の識別子、婚姻の状況、肩書、生年月日、性別が含まれます。
連絡先情報には、請求先住所、配送先住所、メールアドレス、電話番号が含まれます。
財務情報には、銀行口座情報と支払用カードの詳細が含まれます。
取引情報には、弊社との取引に関する情報の詳細を含む、EU, UKの居住者の方との金銭の授受に関する情報が含まれます。
技術情報には、IPアドレス、ログインデータ、ブラウザの種類とバージョン、タイムゾーン設定と場所、ブラウザプラグインの種類とバージョン、オペレーティングシステムとプラットフォーム、およびこのウェブサイトへのアクセスに使用するデバイスが含まれます。
プロフィール情報にはユーザー名とパスワード、購入履歴、興味、好み、フィードバック、調査への回答などが含まれます。
利用情報には、弊社のウェブサイト、製品、サービスの利用方法に関する情報が含まれます。
オプトアウトに関する情報には、弊社や第三者からのマーケティングを受ける際のご要望やコミュニケーションに関するご要望が含まれます。

弊社では提供するサービスに関するさまざまな手続を行う際、日本の労働安全衛生法の遵守を目的として、従業員の健康に関する情報（遺伝子情報や生体認証データを含む）を収集することがあります。この際、原則として、明示的な事前の同意を取得します。

法律にあるいは契約に基づいて個人データを収集する必要があるにもかかわらず個人データが提供されない場合、弊社は締結済み、あるいは締結予定の契約を履行できない（サービスの不提供など）場合があります。契約を解除する場合は事前に通知いたします。

3. データの取得方法

以下に弊社が採用する個人データの取得方法を列挙します。

• 直接の対話：フォームへの記入、信書の授受、電話、メールなどにより個人識別情報、連絡先情報、財務情報を弊社が取得することがあります。これには、以下の場合に提供される個人データが含まれます：
• 弊社のサービスへの申込み
• 見積の提供、見積依頼、請求書の送付など、取引に関する弊社との連絡一切
• 顧客サービスやその他のお問い合わせ
• 弊社のウェブサイトでのアカウント登録
• 弊社のサービスでのアカウント登録
• マーケティング情報の提供を希望
• 弊社のサービス、セミナー、展示会への通知の受領および参加申込み
• コンペティション、プロモーション、または調査への参加
• フィードバックの提供
• デバイスへのアクセス、ブラウジングの操作、および行動パターンに関する技術情報の自動取得：クッキー、サーバーログ、および他の類似の技術を使用してこの個人データを取得します。また、弊社のクッキーを使用する他のウェブサイトを訪れた場合において技術情報を取得することがあります。クッキーと他の類似の技術に関する詳細については、以下の項目10.「クッキーおよび他の類似の技術について」をご覧ください。
• 第三者または公に利用可能な情報源からの取得
  1. グーグルなど、英国外に拠点を置く分析サービス提供者からの提供
  2. 株式会社帝国データバンクなど、英国およびEU外に拠点を置く企業情報提供者からの提供
• Paypalなど英国およびEU外に拠点を置く支払・配送サービス提供者からの連絡先情報、財務情報、および取引情報の提供。
• 英国内外のドメイン名のWhoisなど、公に利用可能な情報源からの個人識別情報および連絡先情報の提供

4. 個人情報の利用方法

弊社は法律で認められている場合にのみ個人データを使用します。
最も一般的な利用の必要性を以下列挙します。

• 弊社が締結しようとしている、あるいは締結した契約を履行するため
• データ主体の利益および基本的権利が優先しないことを前提に、弊社（または第三者）の正当な利益を保護するため
• 法的義務を遵守するため

一般的に弊社は個人データを処理する法的根拠として同意に依存しません。
ただし第三者の広告宣伝を電子メールまたはテキストメッセージで送信する前には同意を取得します。
同意をしていただいた後においても弊社に連絡することにより、いつでもこれらの同意を撤回することが可能です。
法的根拠に関する詳しい説明は以下の通りです。
正当な利益：お客様に最高のサービス/製品を提供し、最高かつ最も安全な体験を提供することを可能にするために、弊社の事業を実施および管理する弊社の利益

弊社は、弊社の正当な利益のために個人データを処理する前にその潜在的な影響（肯定的および否定的の両方）、およびデータ主体の権利のバランスを考慮し、確認します。
弊社は、データ主体のへの影響がより保護されるべき場合にお客様の個人データを使用することはありません（お客様の同意がある場合、または法律で要求もしくは許可されている場合を除く）。
弊社の正当な利益とデータ主体への潜在的な影響をどのように評価するかについては弊社にお問い合わせください。

契約の履行：データ主体が当事者である契約（未締結のものを含む）
法的義務の遵守：弊社が従うべき法的義務の遵守

弊社は、以下の利用目的の達成に必要な範囲内で個人情報を利用します。カッコ内に当該利用がGDPR上の合法とされる根拠を併記します。

1. お客様にサービスを提供するため（契約の履行）
2. サービスのマーケティングおよび広告のため（正当な利益）
3. お客様にニュースレター、販促物、弊社もしくは弊社のグループ会社、提携会社の商品・サービスに関連する情報を送付するため（正当な利益）
4. お客様のアカウントの作成を容易にし、お客様のアカウントの管理を支援し、お客様のアカウントに関する通知を行うため（契約の履行）
5. お客様からのご要望、お問い合わせに対する確認、検討、対応（契約の履行）（法的義務の履行）
6. 調査、分析、研究を行うことにより、本サービスを開発、改善、提供するため（正当な利益）
7. お客様と弊社との間の契約から生じる、または契約に関連して生じる弊社の権利を行使し、義務を履行するため（契約の履行）
8. 適用される法令を遵守するため（法的義務の遵守）
9. 第三者が所有する個人データを処理する際に、当該第三者に特定のサービスを提供するため（正当な利益）
10. 本サービスを運営、維持、管理し、本サービスの管理および顧客が本サービスを利用する際の体験の質を向上させるため（正当な利益）

5. お客様及び関係者の権利

お客様または関係者は、自己に関するEU及びUKの個人データについて、以下の権利を有します。

1. 自己のEU及びUKの個人データ及びその個関連情報へのアクセス権
2. 自己のEU及びUKの個人データにおける不正確な情報を不当な遅滞なく訂正する権利
3. 不当な遅滞なく自己のEU及びUKの個人データを消去する権利
4. 自己のEU及びUKの個人データの処理を制限する権利
5. お客様または他の関係者が提供したEU及びUKの個人データを、コンピュータで読み取り可能な一般的な形式で転送し、他の組織に管理させる権利
6. 正当な利益に基づく処理、及びダイレクトマーケティング目的での処理に反対する権利
7. 個人に重大な影響を及ぼしうる法的効果を含む自動処理によって行われる評価や決定を受けない権利
8. 監督機関に苦情を申し立てる権利

これらの権利を行使する方法の詳細については、下記の第13項を参照してください。

マーケティング

弊社は、特にマーケティングや広告に関して、ある種の個人データの使用に関して選択肢を提供することを目指しています。

プロモーションオファー

弊社は、個人識別情報、連絡先情報、技術情報、利用情報、プロフィール情報を使用して、顧客のニーズや興味について仮説を構築することがあります。この仮説に基づき、顧客が弊社のどの製品、サービス、オファーが関連するかを決定します。
弊社からの情報提供を希望し、サービスを購入し、下に記載するオプトアウトをしていなければ弊社のマーケティングに関わる情報を受け取ることになります。

第三者によるマーケティング

弊社はマーケティング目的であなたの個人データを第三者と共有する前に、あなたの明示的な同意を得ます。

オプトアウト

いかなる場合も弊社または第三者に連絡を取ることにより、マーケティング情報の送信を停止することが可能です。

目的の変更

弊社は取得目的以外であなたの個人データを使用しません。ただし、別の理由で使用する合理的な必要性があり、その理由が元の目的と互換性がある場合はそのかぎりではありません。新しい目的が元の目的とどのように互換性があるかについての説明を希望される場合は弊社までご連絡ください。
目的外で個人データを使用する必要が生じた場合は、その旨を通知し、それを許容する法的根拠について説明をします。
一方で法律によって要求されるか許可されている場合には同意なしに個人データを処理することがあることにはご留意ください。

6. セキュリティ対策

弊社は、個人データの偶発的な消失、不正使用、不正アクセスによる意図しない変更、開示防止するために適切なセキュリティ対策を講じています。また個人データへのアクセスは、ビジネス上の必要がある従業員、代理人、契約業者、その他の第三者に限定されています。彼らは弊社の指示に基づいてのみあなたの個人データを処理し、かつ守秘義務を負っています。
弊社は、個人データが侵害された可能性に対処するための手続きを設けています。法律で義務付けられている場合には違反があったことを当事者と公共機関に通知します。

7. 個人データの開示

弊社は、上記で述べた目的のために、以下に挙げる者とあなたの個人データを共有することがあります。

• 日本とベトナムにあるGMOグループの他の会社（GMOインターネットグループ株式会社およびGMOインターネットグループの企業（https://www.gmo.jp/company-profile/groupinfo/ にリストされている関連会社を指す））
  使用目的：「個人情報の利用目的」でGMOインターネットグループ株式会社とそのグループ企業全てに共通するものとして定義されています。主にサービス開発やマーケティング、および顧客およびその他の関係するデータ主体とのコミュニケーションを目的として共有します。GMOインターネットグループ株式会社の最高管理責任者（代表、代表取締役、グループ代表、熊谷正寿）によって監督されます。
• ドメイン登録業者や特許庁などの外部委託先及び公的機関。
• 日本、アメリカ、またはベトナムに所在するクラウドサービスやITシステム管理サービスを提供会社。
• 英国、EU、日本に所在するコンサルティング、銀行業務、法律、保険、会計サービスの提供者（弁護士、銀行家、監査人、保険会社を含む）
• 特定の状況において処理活動の報告が要求されるイギリスもしくはEUの行政機関。
• 弊社のビジネスや資産の一部を取得しあるいは弊社の全部または一部と合併する可能性のある第三者。このような変更が生じた場合においても本ポリシーに掲げる弊社の権利及び義務は新しいオーナーに承継されます。

弊社はすべての第三者に対し、個人データの安全を尊重し、法律に従ってそれを扱うことを要求しています。弊社は、第三者が自分たちの目的のために個人データを使用することを許可せず、指定された目的の範囲内で、弊社の指示に従ってのみ個人データを処理することを許可しています。

8. EUおよび英国の個人データの国際移転

弊社は個人データを英国または欧州経済領域外に移転する際、少なくとも以下のいずれかのセーフガードが実施されることを確認し、GDPRの下と同等の保護が提供されることを保障します。

• 個人データに関して適切な保護レベルを提供すると認定された国への個人データ移転に関して：日本は欧州委員会および英国政府によって適切なデータ保護を提供する国として認定されています。弊社はEUおよび英国の顧客およびその他の関係する主体の個人データを適切に管理しています。
• 適切な保護レベルを提供すると認定されていない国への個人データの移転：このような国に所在する特定のサービスプロバイダーを利用する場合、GDPRと同等の保護を提供しうる認められている特定の契約および移転メカニズム（標準契約条項や国際データ移転契約など）を使用することがあります。EUおよび英国の個人データはアメリカやベトナムまたは世界中のその他の国々にあるクラウドサービスプロバイダーやITサービスベンダーなどのアウトソーシング契約業者に移転され、その国にあるサーバーに保存されることがあります。弊社はこれらの法的主体に適切な移転メカニズムを採用しています。詳細情報が必要な場合は12章に記載された連絡先までお問合せください。