本通知は2025年7月10日より発効します。

目的

アトレオは、個人データの収集および利用に関して、透明性を確保することに努めています。本通知は、プライバシー、データ保護、および個人データに関連する個人の権利と義務に対するアトレオの取り組みについて定めたものです。

本通知は、Atreoに提供された、またはAtreoによって収集・処理される、顧客、臨床試験参加者、ベンダー、求職者、従業員、契約業者、元従業員、およびAtreoのウェブサイト訪問者のすべての個人データ(Cookieやインターネットタグなど)に適用されます。

アトレオは個人のプライバシーを尊重し、お客様、従業員、臨床試験参加者、消費者、ビジネスパートナー、その他関係者の皆様からの信頼を大切にしています。アトレオは、事業を展開する各国の法律に準拠した方法で個人データを収集、利用、開示するよう努めるとともに、事業活動において最高水準の倫理基準を遵守するという伝統を大切にしています。

アトレオのデータ保護責任者の役割は、データ保護に関する義務についてアトレオに情報を提供し、助言を行うことです。データ保護責任者へのご連絡は、DPO@Atreo.io までお願いいたします。

本通知に関するご質問や、詳細情報のご請求は、データ保護責任者までお問い合わせください。AtreoはGDPRに準拠しています。

本通知は随時更新される場合があります。重要な更新が行われた場合、最終更新日はページの下部に反映されます。

定義

「データ管理者」とは、単独で、または他者と共同して、個人データの処理の目的および手段を決定する自然人、法人、公的機関、機関、またはその他の団体をいう。

「データ主体」とは、特定された、または特定可能な生存する自然人をいう。

「GDPR」とは、欧州連合(EU)の一般データ保護規則のことです

「個人データ」とは、その情報から特定可能な生存する個人に関連するあらゆる情報を指します。GDPRでは、このデータは「個人を特定できる情報」と呼ばれています。

「処理」とは、データの収集、保存、修正、開示、または破棄を含む、データに対するあらゆる利用を指します。

「データ処理者」とは、データ管理者に代わって個人データを処理する自然人、法人、公的機関、機関、またはその他の団体をいう。

「特別な種類の個人データ」とは、個人の人種または民族的出自、犯罪歴データ、政治的見解、宗教的または哲学的信条、労働組合への加入状況、健康状態、性生活または性的指向、および生体認証データに関する情報を指し、個人データの一種である。

「犯罪記録データ」とは、個人の有罪判決および犯罪行為に関する情報、ならびに刑事上の嫌疑および手続に関する情報をいう。

データ保護の原則

Atreoは、以下のデータ保護原則に従って個人データを処理します:

  • 個人データを公正かつ適法に、そして透明性をもって取り扱います。
  • 個人データは、特定され、明示的かつ正当な目的のためにのみ収集する。
  • 個人データは、処理の目的に照らして適切かつ関連性があり、かつ必要な範囲に限定してのみ処理すること。
  • 正確な個人データを保持し、不正確な個人データについては、遅滞なく訂正または削除されるよう、あらゆる合理的な措置を講じます。
  • 個人データは、処理に必要な期間のみ保持する。
  • 個人データが安全に管理され、不正または違法な処理、ならびに偶発的な紛失、破壊、または損傷から保護されるよう、適切な措置を講じなければならない。

アトレオは、個人データの取得、処理、および廃棄の方法について責任を負い、上記の原則を遵守することを保証します。

Atreoは、データ管理者として位置づけられる場合、プライバシー通知において、個人の個人データを処理する理由、そのデータの利用方法、および処理の法的根拠を個人に通知し、その他の理由による個人の個人データの処理は行いません。Atreoがデータの処理の根拠として正当な利益に依拠する場合、当該利益が個人の権利および自由に優先しないことを確保するため、評価を実施します。 Atreoは、個人から自身の情報に変更があった、または不正確であるとの連絡を受けた場合、速やかに個人データを更新します。

Atreoは、データ処理者または再委託処理者とみなされる場合、適用される法令、規則、規制に従い、かつデータ管理者の具体的な指示に従ってのみ、個人データを処理します。

従業員および契約業者との関係において収集された個人情報は、当該個人の人事ファイル(紙媒体または電子形式)およびAtreoの人事システムに保管されます。Atreoがこうした人事関連の個人情報を保管する期間は、各個人に交付されるプライバシー通知に記載されています。

Atreoの運用・保守委託業者は、Atreoに製品やサービスを提供する過程において、個人データへのアクセス権限を限定的に付与される場合があります。 これらの委託業者による個人データへのアクセスは、アトレオのために限定された業務を遂行するために合理的に必要な範囲に限定されます。アトレオは、運用・保守委託業者に対し、(1) 本通知に従って個人データのプライバシーを保護すること、および (2) 法令で定められている通り、アトレオへの製品およびサービスの提供以外の目的で個人データを使用または開示しないことを義務付けています。

Atreoは、GDPRの要件に従い、個人データ処理活動に関する記録を保持しています。

個人の権利

データ主体として、個人は自身の個人データに関して、いくつかの権利を有しています。

情報開示請求

個人は、Atreoが自身に関するどのような個人データを管理・処理しているかを知る権利を有し、また、当該個人データが正確であり、Atreoが収集した目的に適したものであることを確認する権利を有します。個人から合理的な要請があった場合、Atreoは当該個人に対し、以下の事項を通知します:

  • 当該個人のデータが処理されているか否か、処理されている場合はその理由、対象となる個人データの区分、および当該データが本人から収集されたものではない場合のデータの出所;
  • データの開示先(欧州経済領域(EEA)域外に所在する受領者を含む)および当該データ移転に適用される保護措置;
  • その個人のデータがどのくらいの期間保存されるか(またはその期間がどのように決定されるか);
  • データの訂正または消去を求める権利、あるいは処理の制限または異議を申し立てる権利;
  • Atreoが自身のデータ保護に関する権利を遵守していないと考えた場合、関連するデータ保護監督当局に苦情を申し立てる権利;および
  • Atreoが自動化された意思決定を行っているか否か、およびそのような意思決定に伴う論理。

また、Atreoは、処理の過程で収集された個人データの写しを当該個人に提供します。当該個人が電子的な手段で請求した場合、特に別段の請求がない限り、通常は電子形式で提供されます。

当該個人が追加の写しを必要とする場合、アトレオは、追加の写しを提供するための事務費用に基づき、妥当な手数料を請求することがあります。

情報開示請求を行うには、DPO@Atreo.io 宛に直接メールを送信してください。ほとんどの場合、Atreoは請求を処理する前に、法的に身分証明書の提示を求める義務があります。また、Atreoがデータ処理者(または再委託処理者)である場合、必要に応じてデータ管理者に連絡を取る必要がある場合があります。

アトレオは通常、請求を受領した日から1ヶ月以内に回答いたします。ただし、アトレオが当該個人のデータを大量に処理している場合など、一部のケースにおいては、請求を受領した日から3ヶ月以内に回答する場合があります。その場合は、アトレオは最初の請求を受領してから1ヶ月以内に当該個人に書面でその旨をお知らせいたします。

情報開示請求が明らかに根拠のないもの、または過度なものである場合、Atreoはその請求に応じる義務を負いません。あるいは、Atreoは回答することに同意する場合もありますが、その際は、当該請求への対応にかかる事務費用を基準として手数料を請求いたします。情報開示請求が明らかに根拠のないもの、または過度なものとみなされる可能性のある例としては、Atreoがすでに回答済みの請求が繰り返し行われる場合などが挙げられます。 個人が根拠のない、または過度な請求を行った場合、アトレオはその旨を当該個人に通知するとともに、当該請求に対応するかどうかを通知します。

その他の権利

個人は、自身の個人データに関して、他にもいくつかの権利を有しています。個人は、Atreoに対し、以下のことを求めることができます:

  • 個人データの収集および利用について、本人へ通知すること;
  • 不正確な個人データを訂正すること;
    処理の目的に照らして不要となった個人データの処理を停止すること、または当該個人データを消去すること;
  • 個人データを引き続き保管するが、利用はしない;
  • ダイレクトマーケティングなどの特定の状況において、個人の個人データの処理に異議を申し立てる権利を尊重すること;
  • 利用者の個人データを、別のIT環境へ容易に移行できるよう、ポータブルな形式で提供します。通常、この要請には「カンマ区切り値(CSV)」ファイル形式でデータを提供することで対応いたします。
  • 個人の個人データに基づく自動化された意思決定に関する権利を尊重すること;
  • 当該個人の利益が、Atreoによる個人データの処理に関する正当な根拠(Atreoが個人データの処理の根拠として正当な利益に依拠している場合)に優先する場合、個人データの処理を停止するか、または当該個人データを消去すること;
  • 処理が違法である場合は、個人データの処理を停止するか、または消去すること;および
  • データが不正確である場合、または当該個人の利益がAtreoによる個人データの処理の正当な根拠に優先するか否かについて争いがある場合は、一定期間、個人データの処理を停止する。

Atreoにこれらの措置のいずれかを依頼するには、DPO@Atreo.io 宛に直接メールをお送りください。

EU域内の個人(EUデータ主体)は、自国のデータ保護当局に苦情を申し立てることができ、また、他の救済措置では解決されなかった一部の残存する請求については、拘束力のある仲裁手続きを請求することができます。

弊社への直接の連絡では解決できないご意見やご懸念がある場合は、管轄の地方データ保護当局にご連絡いただくことも可能です。

データセキュリティ

アトレオは、個人情報のセキュリティを極めて重要視しています。当社は、個人情報の紛失、偶発的な破壊、不正使用、または漏洩から保護し、業務を適切に遂行する従業員以外がデータにアクセスできないよう確保するため、社内方針および管理体制を整備しています。

アトレオが第三者に個人データの処理を委託する場合、当該第三者は書面による指示に基づき業務を行い、守秘義務を負うとともに、データの安全性を確保するために適切な技術的および組織的措置を講じる義務を負います。

Atreoは、個人データが第三者に提供される可能性がある場合、それに伴う法的責任を認識しています。Atreoは、当該第三者が、適切かつ同等の保護水準を提供する原則または類似の法令を遵守していることを事前に確認しない限り、いかなる個人データも第三者に提供しません。Atreoは、クライアントまたは他のデータ管理者から法的に指示された場合を除き、無関係の第三者に対して個人データを提供することはありません。 例えば、そのような状況には、法令または法的手続きにより要求されるクライアントの個人データの開示、あるいは生命、健康、安全に関わる場合など、特定可能な個人の重大な利益のためになされる開示が含まれます。 アトレオが、関係のない第三者への個人データの移転を要請された場合、アトレオは当該第三者が適切かつ同等の保護水準を提供することを確保します。アトレオから個人データを受け取った関係のない第三者が、本通知に反する方法で個人データを使用または開示していることをアトレオが知った場合、アトレオは当該使用または開示を防止または停止するために合理的な措置を講じます。

影響評価

Atreoが実施するデータ処理の一部は、プライバシーに対するリスクを伴う可能性があります。データ処理が個人の権利および自由に高いリスクをもたらす場合、Atreoはデータ保護影響評価を実施し、当該処理の必要性および比例原則の遵守を確認します。これには、当該活動が実施される目的、個人に対するリスク、およびそれらのリスクを軽減するために講じることができる措置の検討が含まれます。

データ漏洩

Atreoは、個人の権利および自由に対するリスクをもたらす個人データの漏洩を発見した場合、発見から72時間以内に情報コミッショナーに報告します。Atreoは、その影響の大小にかかわらず、すべてのデータ漏洩を記録します。

当該情報漏洩が個人の権利および自由に対して高いリスクをもたらすおそれがある場合、当社は影響を受けた個人に対し、情報漏洩が発生したことを通知するとともに、その予想される影響および当社が講じた軽減措置に関する情報を提供します。

国際的なデータ転送

Atreoが管理または処理する個人データは、EEA域外の国へ転送される場合があります。

アトレオは、標準契約条項を適用することで本通知の遵守を確保するとともに、本通知に違反する個人データの利用および開示に関する苦情や紛争について、徹底的な調査を行い、解決に努めます。

当社のプライバシーポリシーに関してご質問や苦情があるEU在住の方は、まずAtreoまでご連絡ください:

DPO@Atreo.io

アトレオの従業員の責務

個人データにアクセスできる従業員は、以下のことを求められます:

  • アクセス権限のあるデータにのみ、かつ許可された目的のためにのみアクセスすること;
  • Atreoの社内外を問わず、適切な権限を有する者以外には、データを開示しないこと;
  • 例えば、施設への立ち入りに関する規則、パスワードによる保護を含むコンピュータへのアクセス、およびファイルの安全な保管と廃棄に関する規則を遵守するなどして、データの安全性を確保すること;
  • 個人データ、または個人データが含まれている、もしくは個人データへのアクセスに使用可能な端末を、データおよび端末の安全を確保するための暗号化やパスワード保護などの適切なセキュリティ対策を講じることなく、Atreoの敷地外へ持ち出してはならない。
  • 業務目的で使用されるローカルドライブや個人用デバイスに個人データを保存しないこと;
  • 把握したデータ漏洩について、直ちにデータ保護責任者に報告すること。

これらの要件を遵守しなかった場合、懲戒事由に該当する可能性があり、その場合はアトレオの懲戒規定および手続きに基づき対処されます。

アトレオは、入社時の研修の一環として、またその後は定期的に、全従業員に対し、データ保護に関する責任について研修を実施します。

職務上、定期的に個人データにアクセスする必要がある従業員、または本通知の実施や本通知に基づく情報開示請求への対応を担当する従業員に対しては、各自の職務内容およびその遵守方法を理解できるよう、追加の研修を実施します。

インターネット上のプライバシー

Atreo、またはAtreoの指示を受けた第三者は、当社のウェブサイトおよび訪問者が当社のウェブサイトの各要素とやり取りする過程を通じて個人データを収集する場合があり、これらについても本通知が適用されます。  このような個人データは、個人が氏名および/または住所を送信した際に収集される場合があります。また、アトレオ、またはアトレオの指示を受けた第三者は、IPアドレス、クッキー識別子、ピクセル、エンドユーザーのウェブサイト上の活動状況など、様々な自動化されたデジタル手段を通じて、個人が能動的に情報を送信することなく、アトレオのウェブサイトへの訪問に関する情報を収集する場合があります。 このような自動化されたデジタル手段によって収集される情報は、特定の個人を直接特定するものではありませんが、インターネットウェブブラウザは、IPアドレスやブラウザのバージョンなど、ユーザーのコンピュータが動作しているソフトウェアに関する情報を自動的にアトレオのウェブサイトに送信します。これらの技術によって収集された情報は、追加の識別可能な情報なしでは、個人を特定するために使用することはできません。

クッキー

Atreoでは、当社のプラットフォームから送信され、お客様のデバイスに保存される小さなデータファイルであるクッキーを使用しています。 当サイトでは、ウェブサイトの運営やパーソナライズ、ユーザー体験の向上など、様々な目的のために、当社または第三者が設定するクッキーを使用しています。クッキーは、ブラウジングセッションの終了時に失効する場合もあれば、次回当サイトにアクセスする際に利用できるよう、お客様のコンピュータに保存される場合もあります。ブラウザの設定を変更することで、クッキーの設定を拒否することができます(設定方法については、お使いのブラウザの「ヘルプ」セクションをご参照ください)。クッキーを無効にすると、当サイトの利用体験に影響が出る可能性があります。

最も貴重な資源である「時間」を最大限に活用しましょう。

*」は必須項目を示します

この欄は検証用ですので、変更しないでください。