GDPRポリシー

Panalytは、お客様が合法的に保持および管理している、お客様自身・従業員・契約社員・採用候補者などの個人情報が、どのように利用および共有されているかに細心の注意を払っており、お客様や従業員の皆様のプライバシーを真摯に受け止めています。当社はお客様や従業員の皆様のプライバシー権利を保護することに焦点を当て、常に最優先事項と位置付けています。

本プライバシーポリシーは、当社の利用規約を補足するものであり、当社のウェブサイト panalyt.com, panalyt.jp や Panalyt のソフトウェアアプリケーションおよびサービス(以上を総称して「当社サービス」と呼びます)を通じて、お客様から得る情報やお客様に関する情報をどのように収集・利用・開示しているかを詳しく説明します。
Panalytは、欧州連合(EU)の加盟国からの個人データの収集・利用・保持に関するEU一般データ保護規則(2018年5月25日発効)(以下、「GDPR]といいます。)および日本の個人情報保護法およびシンガポールの個人情報保護法(以下、「PDPA」といいます。)を遵守しています。これらの法令は、当社サービスの構築や、お客様から当社に提供されたデータを管理する上での、当社の基本原則の指針となっています。

  1. 透明性:当社が保持するお客様に関連し、またはお客様もしくはお客様の指示の下での第三者から提供された場合、従業員の皆様に関連する全ての個人情報は、お客様によってアクセスや確認することが可能であり、お客様の指示の下においては、当社は、従業員の皆様のデータについて、関連する個人がアクセスすることができるプラットフォームを提供することができます。
  2. 商業利用の禁止:当社は、お客様や従業員の皆様に関連するいかなる個人情報も売買することは致しません。当社の事業のいかなる部分も、個人情報の販売には関与しておらず、今後も関与することはありません。
  3. データアクセスの最小化:職務遂行上で個人情報へのアクセスが絶対に必要不可欠な当社の社員のみが、お客様や従業員の皆様の個人データへアクセスします。全てのアクセス履歴はパスワードで保護され、ログに記録されます。これらの個人情報が、個人のコンピューター(ローカル)に存在することはなく、また印刷されることもありません。
  4. データ処理者:当社の役割は「データ処理者」となります。「データ処理者」とは、個人情報処理に関連する特定の目的または「データ管理者」に対して提供されるサービスのために、「データ管理者」からの指示に従って個人情報処理を行う個人または組織であると、GDPRの下で定義されています。ここでの「データ管理者」とは当社のお客様で、データ収集に関わる責任を負います。

1. 本プライバシーポリシーの対象

本プライバシーポリシーは、お客様が当社サービスを利用する際に当社が取得する、個人を特定可能な2種類の情報(以下、「個人情報」といいます。)に関する当社の取り扱いについて定めます。

  1. 顧客データ:当社との取引を行っている、または行うことを検討している事業者や、その事業者において取引を実行・管理する個人に関わる個人情報を指します。例えば、会社名、会社住所、お客様における取引担当の方の氏名、役職、Eメールアドレスなどです。
  2. 従業員データ:お客様またはお客様の指示の下で第三者から当社に提供される、従業員に関する個人情報を指します。ここでの従業員には、従業員、契約社員、採用候補者の他、お客様が正当な理由に基づきデータを保持・管理する対象者も含みます。例えば、氏名、役職、入社日、給与などです。お客様が関連する個人からの許諾を得ており、かつ従業員データ(GDPRの定義によります。)を収集・保持・当社に転送する業務上の理由を定義していることを、明示的に当社が理解・確信した場合、当社は、お客様から受領した従業員データを処理するものとします。

本プライバシーポリシーは、当社の所有下・支配下にない企業や、当社が雇用・管理しない個人には適用されません。

また当社は16歳未満のいかなる個人から、個人情報を故意に取得したり提出させたりことは致しませんし、当社サービスに故意に登録を許可することも致しません。16歳未満のいかなる個人も当社に個人情報を提供することはできず、「従業員データ」が16歳未満の個人のデータを含むことはできません。

2. PANALYTの収集する情報の種類

以下で詳述する通り、当社はお客様からさまざまな種類の個人情報を収集します。当社はこれらの個人情報を使用して、当社サービスの個別最適化や改善したり、お客様がユーザーアカウントやプロフィールを設定したり、他のユーザーに連絡したり、Panalytに対するお客様のご要望を満たしたり、ユーザーが当社サービスをどのように活用しているかを解析することに役立てたり、その他本プライバシーポリシーに記載されている行為を行う場合があります。当社は、一定の個人情報を第三者と共有する場合があります(本項および下記第4項をご参照下さい)。当社が収集する情報の種類は以下の通りです。

A.お客様が当社に提供する情報

顧客データ:当社は、お客様から提供された個人情報を受領し、保存します。例えば、お客様のお名前、Eメールアドレス、当社サービスの閲覧・利用履歴情報などです。お客様は特定の情報を当社に提供しないことを選択することもできますが、その場合は当社サービスに登録できないこともある点はご留意ください。また当社はサービスの利用状況分析のために、お客様の個人が特定されない形で匿名化をした上で、顧客データを当社のパートナー企業に提供することもあります。

従業員データ:当社は、お客様に当社サービスを提供するために、お客様の従業員、契約社員、採用候補者の他、お客様が法的にデータを保持・管理する対象者に関わる個人情報を受領し、保存します。お客様、もしくはお客様の指示の下で第三者から提供されたデータが対象となります。第三者とは例えば、お客様がお使いの他のHRソフトウェアツールを指し、API連携もしくはお客様が直接データをアップロードすることで、当社はデータを受領します。当社は従業員個人が特定されないよう集約・匿名化をした上で、お客様の従業員データを将来予測やベンチマーク機能の実装などの当社サービス開発に活用することもあります。

もしお客様が当社の「紹介サービス」を使用して、お客様の友人・知人に当社サービスをご紹介頂いた場合、当社はそのご友人・知人のお名前とメールアドレスを伺います。当社はそのご友人・知人の方に、当社サービスへのアクセスを促すためワンタイムの招待メールを送ります。当社はそのメール送信や反応率計測のためだけにお名前・メールアドレスを保管しますが、hello@panalyt.com までお問い合わせを頂ければ、当社はそうした情報を削除します。

B.自動的に収集される情報

お客様が当社サービスを訪問・利用するたびに、当社は、お客様のIPアドレス、Cookie情報およびページアクセスなどの情報を、お客様のブラウザーから当社のサーバーログに自動的に受信および記録します。「Cookie」とは、当社がお客様のコンピューターまたはモバイルデバイスに転送する識別子を指し、当社がお客様のブラウザーまたはモバイルデバイスや、お客様が当社サービスにアクセスした手段と時間を当社に知らせるものです。お客様がブラウザーまたはモバイルデバイスの設定を変更して、コンピューターまたはデバイスによるCookie情報取得を禁止または制限することはできますが、これにより、お客様は当社サービスの機能の一部を利用できなくなる場合があります。お客様が、サードパーティのウェブサイトへのリンクをクリックすると、当該サードパーティもお客様にCookieを送信する場合があります。本プライバシーポリシーは、第三者によるCookieの使用については適用対象外です。

お客様が当社サービスにアクセスすると、Panalytの顧客である場合か閲覧のみを行う未登録ユーザーである場合とにかかわらず、当社のサーバーは自動的に、お客様がウェブサイトにアクセスするたびにお客様のブラウザーが送信する情報(以下「ログデータ」)を記録します。ログデータには例えば、お客様のコンピューターのIPアドレス、当社サービスにアクセスする前にお客様がアクセスしていたブラウザーの種類またはウェブページ、お客様がアクセスする当社ウェブサイトのページ、当該ページで費やした時間、お客様が当社ウェブサイトにおいて検索する情報、アクセス時間および日付、その他の統計情報が含まれる場合があります。当社はこうした情報を用いて、当社サービスの利用状況を監視および分析し、ウェブサイトの技術管理を行い、お客様にとっての当社サービスの機能や利便性を向上させ、お客様のニーズにより合わせて調整します。

当社のウェブサイトには、Facebookの「いいね」ボタンやTwitterやLinkedInの「共有」ボタンなど、ソーシャルメディアのウィジェット機能が含まれています。これらの機能は、お客様のIPアドレスとお客様が当社サイトで訪問しているページを収集し、適切に作動させるためにCookieを設定することがあります。ソーシャルメディアのウィジェット機能は、第三者がホストするか、当社のサイトで直接ホストされます。お客様のこれらの機能とのやり取りは、機能を提供する会社のプライバシーポリシーに従います。

C.第三者から受領する可能性のある情報

当社は、お客様の指示のもとで第三者から提供された従業員データの他に(2-Aにて詳述)、第三者からお客様に関する情報を受領する場合があります。例えば、お客様が Google などの第三者アカウントと当社の Panalyt アカウントを接続し、第三者アカウントから当社サービスにログインを行った場合、第三者は当社にお客様の第三者サービス利用に関する情報を伝送する場合があります。この情報には、お客様のユーザーID、アクセストークン、お名前やEメールアドレスなどお客様が第三者に対して共有を許可したいかなる情報を含みますが、必ずしもこれらに限定はされません。

D.Eメールおよびその他のコミュニケーション情報

当社は、Eメールまたはその他の手段でお客様に連絡する場合があります。例えば、お客様の当社サービスの利用状況についてです。お客様が当社からのEメールやその他の連絡を望まない場合は、当社サービスのアカウント管理画面で設定を変更することができます。ただし当社から免責事項を受け取りたくない場合でも、免責事項はお客様による当社サービス利用に適用されますので、お客様は免責事項の変更を確認する責任があることにご留意下さい。

3. 個人情報の保存場所

当社は、個人情報を喪失、誤用、不正アクセス、開示、改ざん、破壊から守るために、合理的な予防措置を講じます。お客様の所在地が米国外の場合、当社がお客様から収集する情報は、米国の目的地に転送され、保存され、処理される場合があります。別途合意しない限りは、お客様は、情報を提供することにより、かかる転送、保存、処理に同意したことになります。当社は、お客様の情報が安全に本プライバシーポリシーに従って処理されるようにするために、合理的に必要なすべての措置を講じます。

本プライバシーポリシー発効時点において、当社はお客様の顧客データや従業員データをGCP(Google Cloud Platform)上だけに保存します。これらのデータは徹頭徹尾暗号化され、当社はGCPの個人情報保護方針を厳格に遵守し、お客様のデータの安全を確保致します。GCPの保護方針の詳細は、 https://cloud.google.com/security/ を参照ください。

EUから GCP への情報転送は、Google と当社間で締結される EU モデル条項によって保護されます。欧州委員会は GDPR の要件を遵守する手段として、種々の モデル契約条項を承認しています。この決定による影響とは、ある規定を契約に盛り込むことで、個人データが GDPR の適用がある地域からEU・EEA圏外にあるクラウドサービスプロバイダーに転送される際に、法令に準拠して行われることとなることです。EU モデル契約条項を適用することで、EU・EEA圏外のプロバイダーは GDPRに準拠するという選択肢を、お客様に提供することができます。

GCPは、モデル契約条項に関し、29条ワーキングパーティーを共同して務めるEUのデータ保護委員会から、GCPの契約上のコミットメントは、EUから他地域へのデータの転送が、データ保護指令(現在は、GDPRにより代替されています。)に従い、適法に構築されていることを確認する旨の、コンプライアンス遵守の確認を得ています。詳細は、https://cloud.google.com/security/compliance/eu-mcc/ を参照ください。

4.Panalytによる個人情報の共有

当社は、お客様の顧客データや従業員データを、個人を特定可能な形で誰にも貸与または販売することはありません。当社は、以下に説明するように、個人を特定可能な形でかかる個人情報を第三者と共有することがあります。

A.信頼できる第三者

当社は、当社に代わって業務を遂行するために他の企業や人々を雇用しており、お客様に当社サービスを提供するためにお客様の情報を共有する必要があります。別途お客様に通知しない限り、かかる第三者は、当社をサポートするために必要な範囲を超えて、当社に共有された個人情報を使用する権利を持ちません。これには、保守サービスの提供、データベース管理、ウェブ解析、当社サービスの全般的な改善など、当社サービスを促進するために当社が雇用する第三者企業および個人が含まれます。当社は、当社のプライバシーポリシー、GDPR、PDPAと矛盾する方法で第三者と情報を共有する場合、責任を負うことがあることに留意します。

特に、お客様への当社サービスの提供の一環として、当社は Google Cloud Platform (GCP) 上で管理されたサーバーやアプリケーションの中だけに、全ての従業員データを保存します。これらのデータは徹頭徹尾暗号化され、お客様のデータの安全を保証するため、当社はGCPの個人情報保護方針を厳格に遵守します。GCPの保護方針の詳細は、 https://cloud.google.com/security/ を参照ください。従業員データの保存や処理環境に根本的な変更が行われる場合は、お客様による書面での認可が必要となるものとします。

当社は、お客様による当社サービスの使用状況の理解のために、第三者の分析サービスを使用します。具体的には当社は、お客様の当社サービス利用状況を分析する目的で、お客様が当社ウェブサイトにアクセスしまたは当社サービスを使用する際に、Eメールアドレスやサービス登録日などの限られた情報をIntercom Inc.(以下「Intercom」)に提供します。Intercomは、お客様による当社サービスの使用状況を分析することで、当社がお客様へのサービスを改善できるようにします。また当社はIntercomを、Eメールまたは当社製品内のチャットボックスを介したコミュニケーション手段として使用する場合があります。Intercomは当社とのサービス契約の一環として、お客様の体験を向上させるために、Eメールアドレス、性別、会社名、役職、写真、ウェブサイトURL、ソーシャルネットワークのハンドルネームおよび物理的住所など、お客様に関連する公開されている連絡先とソーシャル情報を収集しています。Intercomのプライバシー取扱の詳細については、http://docs.intercom.io/privacyを参照ください。Intercomのサービスは、http://docs.intercom.io/termsにあるIntercomの利用規約に準拠しています。かかる情報をIntercomによって収集されまたはIntercomに送信されることを希望しない場合は、当社にご連絡ください。

B.事業譲渡

当社は、通常は起こり得ないことですが、事業資産の売買を選択する場合があります。これらの取引においては、売買先に移転される事業資産の一部として顧客データは必要不可欠となります(但し従業員データはそうではありません)。しかし、当社(もしくは当社の実質的にすべての資産)が買収された場合、または当社が廃業、倒産もしくはその他の支配権の変更が行われた場合、顧客データと従業員データの双方が、第三者に譲渡または第三者が取得する必要不可欠な資産となります。かかる資産譲渡に際しては、関連する諸契約の中において、お客様の顧客データや従業員データにアクセスできるすべての当事者が、本プライバシーポリシーで示されているのと同等レベルのプライバシーを保護することを保証します。

C. 当社や関連各所の保護機関

当社は、法令や裁判所の命令に従う必要があると合理的に判断した場合、お客様と当社の利用規約を執行もしくは適用する場合、またはPanalyt、当社従業員、当社のユーザーもしくはその他の関連各所の権利・財産・安全を保護するために、いかなる情報にアクセスし、読み取り、保存し、開示することを強制される場合があります。当社は、詐欺防止および信用リスクの軽減を目的とする機関に情報を提供することがありますが、当該の特定目的に限定され、かつこれに適合する方法のみによるものとします。

D.お客様の同意を得た場合

上記の場合を除き、お客様は、顧客データが第三者と共有される可能性がある場合は通知され、かかる情報の共有を防ぐことができます。またお客様の従業員データ管理にいかなる変更が行われた場合は、第三者への共有に関する内容も含め、事前にお客様より当社に書面での認可を行う必要があるものとします。

5. 個人情報の安全性

当社はお客様の従業員データを、Google Cloud Platform (GCP) で管理されたSAAS/クラウドサービスセキュリティーサーバーやアプリケーションについての業界水準の範囲内で、伝送し保存します。 これらのデータは徹頭徹尾暗号化され、当社はGCPの個人情報保護方針を厳格に遵守し、お客様のデータの安全を確保します。GCPの保護方針の詳細は、 https://cloud.google.com/security/ を参照ください。GCPの物理的なインフラは Googleの安全なデータセンターでホスト・管理されています。当社のインフラは、ISO 27001、SOC 1およびSOC 2 / SSAE 16 / ISAE 3402(旧:SAS 70 Type II)、PCI レベル1、FISMA ModerateおよびSarbanes-Oxley(SOX)に準拠しています。お客様の従業員データにかかる当社の基本的なデータの保存及び処理に関する環境の変更がなされる場合は、お客様の明示的な書面による許可を必要とします。

顧客データは GCPと同じ環境で保存され、お客様が当社のウェブサイト上で入力した(アップロードではなく)情報は、SSL技術を用いて暗号化されます。

お客様のアカウントは、プライバシーとセキュリティのためパスワードで保護されています。お客様は、パスワードを適切に選択して保護し、アカウントへのアクセス終了後にはサインオフして、コンピューターまたはデバイスとブラウザーへのアクセスを制限することにより、アカウントと個人情報への不正アクセスを防止する必要があります。
お客様の中で当社サービスの管理者となる「アドミン」は、従業員データへのアクセス権をユーザーに付与し、どの従業員データへのアクセスを認めるかを決定することができます。アドミンはアクセスの権限保持者のみにアクセス権を認め、正当なアクセスレベルを保証することで、お客様のデータに対する不正アクセスを未然に防がなければなりません。

当社は、お客様のアカウントおよび当社で保持する個人情報のプライバシーを保護するよう努めていますが、完全なセキュリティを保証することはできません。インターネットを介した情報の送信も含め、いかなるデータ保存・転送メカニズムも完全に安全ではありません。不正な入力または使用、ハードウェアまたはソフトウェアの障害、およびその他の要因により、個人情報のセキュリティがいつでも侵害される可能性があります。

当社サービスには他のサイトへのリンクが含まれている場合があります。当社は、他のサイトのプライバシーポリシーまたは取扱については責任を負いません。別のサイトへのリンクをたどるときは、当該サイトのプライバシーポリシーをお読みください。

6. 16歳未満の個人情報の取り扱い

当社のサービスは16歳未満の方を対象としていません。当社は、16歳未満の子供から個人を特定できる情報を故意に収集することはありません。親または保護者が、親の同意なしに、子供が個人情報を当社に提供したことを検知した場合は、hello@panalyt.com 宛てに連絡して下さい。当社が、16歳未満の子供が当社に個人情報を提供したことを検知した場合、当社は、かかる情報をファイルから削除する措置を講じるものとします。

7. アクセス可能な個人情報

顧客データに関して:

アドミン(当社サービスのお客様側での管理者)の方は、アカウント設定画面より、

  1. 下記の情報にアクセス・編集・削除することが可能です。表示する氏名、パスワード、会社名、会社のロゴ、役職、Eメールアドレス、住所、支払い情報
  2. アドミンとして有効化した場合には、下記の情報にアクセスすることが可能です。所在地、部署、その他の職務関連情報

アドミンの方以外は、アカウント設定画面より、

  1. 下記の情報にアクセス・編集・削除することが可能です。表示する氏名、パスワード
  2. アドミンが有効化した場合には、下記の情報にアクセスすることが可能です。氏名、役職、Eメールアドレス、所在地、部署、その他の職務関連情報

従業員データに関して:

アドミンやスーパーアドミンの方は、全ての従業員データにアクセス・削除することができます。

それ以外の方は、アドミンの方がアクセス権を付与した従業員データにのみ、アクセスすることができます。

お客様が閲覧・更新・削除できる情報は、お客様のアドミンから提供されるデータや当社サービスの変更に伴って、変更される場合があります。更に詳しくご質問されたい場合は、hello@panalyt.com までご連絡下さい。

お客様の声:

当社は、お客様の声/コメント/レビューを当社のウェブサイトに掲示していますが、これらには個人を特定できる情報が含まれている可能性があります。お客様の声とともにお客様の名前を掲示する場合、当社は掲示に先立って Eメールにてお客様の同意を得ます。お客様の声またはコメントからの個人情報の削除を希望される場合は、hello@panalyt.com までご連絡ください。

8. お客様の選択肢

当社サービスにおいて「必要」と明記されている全ての顧客データは、当社サービスをより良いものにするために必要なものです。従業員データを含むその他の全てのデータは、任意のものとなります。お客様がアカウントの削除を希望される場合はアドミンに連絡するか、アドミンの方であれば hello@panalyt.com までご連絡下さい。

アカウントからかかる情報を削除した後、一部の情報が当社のプライベートレコードに残る場合があることに留意ください。当社の法的義務の遵守、紛争の解決または契約の履行強制に必要な場合、当社は顧客データを保持および利用することがあるからです。当社は、お客様が従業員情報を更新または削除した後で、お客様の従業員データから派生もしくは組み込まれた集計データを使用する場合がありますが、個人を特定する方法で使用することはありません。

当社のブログやコミュニティからお客様の個人情報の削除を希望される場合は、hello@panalyt.com までご連絡下さい。

9. 本プライバシーポリシーの変更

当社は、本プライバシーポリシーを随時修正することがあります。現在当社が収集している情報の使用については、当該情報が使用される時点で有効なプライバシーポリシーに準拠します。当社が重要な変更または個人情報の使用方法の変更を行った場合、当社は、当該変更が有効になる前に、当社のウェブサイトにお知らせを掲示するか、Eメールでお客様にお知らせします。かかる変更が最初に掲示された後にお客様が当社サービスを使用する場合、お客様は変更後のプライバシーポリシーに準拠するものとします。

10. プライバシーに対する当社のコミットメント

当社による本プライバシーポリシーの遵守状況は、問題を解決するのに十分な権限を持つ認定内部プライバシー担当者によって、少なくとも年に1回は確認されます。

11. ご懸念と解決

シーに関する質問や懸念をお持ちの方は、まず hello@panalyt.com までご連絡をいただくか、弊社住所(郵便番号 152-0013 東京都目黒区南2丁目5番24号)に郵送していただくようお願いします。当社は、お客様の懸念を解決するためにあらゆる努力を尽くします。

EU(欧州圏)にお住まいの方は、GDPRに基づく未解決のプライバシー侵害の申立について、自国の関連機関に照会下さい。イギリスの場合は、Independent Commissioners Office が該当します。

シンガポールにお住いの方は、PDPAに基づく未解決のプライバシー侵害の申立について、Singapore Personal Data Protection Commission に照会下さい。

お客様が当社の慣行が不公正または欺罔的であるとみなした場合の申立を、調査および解決する権限を持つ規制当局は、個人情報保護委員会となります。

発効日:2023年2月8日