データプライバシーフレームワークポリシー

ハイランド・ソフトウェア株式会社（以下「ハイランド」または「当社」）は、米国商務省が定める欧州-米国データプライバシーフレームワーク（以下「欧州-米国DPF」）、欧州-米国DPFの英国拡張解釈、およびスイス-米国データプライバシーフレームワーク（以下「スイス-米国DPF」）を遵守しています。ハイランドは、欧州-米国DPF基づき欧州連合から受領した、また欧州-米国DPFの英国拡張解釈に基づき英国（およびジブラルタル）から受領した個人データの処理に関して、欧州-米国データプライバシーフレームワーク原則（「欧州-米国DPF原則」）を遵守していることを米国商務省に認証しています。ハイランドは、スイス・米国DPFに基づきスイスから受け取った個人データの処理に関して、スイス・米国データプライバシーフレームワーク原則（以下「スイス・米国DPF原則」）を遵守していることを米国商務省に認証しています。本プライバシーポリシーの条項と欧州-米国DPF原則および／またはスイス-米国DPF原則（総称して「DPF原則」）との間に矛盾がある場合、DPF原則が優先します。データプライバシーフレームワーク（DPF）プログラムの詳細および当社の認証内容については、Data Privacy Frameworkをご覧ください。

適用範囲

T本データプライバシーフレームワークポリシー（以下「本ポリシー」）は、米国（以下「米国」）からサービスを提供する際、欧州経済領域（以下「EEA」）、スイス、および英国に所在する顧客または見込み顧客から受け取った個人データを処理する際にハイランドが従うプライバシー原則を定めます。本ポリシーは、他のハイランドウェブサイトを通じて収集された情報、またはハイランドがスポンサーの販売・マーケティング活動中に収集された情報には適用されません。また、ハイランドの採用プロセスを通じて収集された個人データにも適用されません。本ポリシーにおいて、「個人データ」とは、EEA、スイス、または英国から米国におけるハイランドが受領し、いかなる形式で記録され、欧州連合規則2016/679（「一般データ保護規則」または「GDPR」）、スイス連邦データ保護法、または英国データ保護法2018のそれぞれの適用範囲内にある、特定された、または特定可能な個人に関するデータを意味します。

顧客および見込み顧客に対するサービスプロバイダーとしてのハイランドの役割

ハイランドは特定の製品およびソリューションの開発者であり、これらの製品およびソリューションに関連して、EEA、スイス、および英国における顧客および見込み顧客の利益のために、米国に所在する可能性のある従業員を通じて、導入サービス、コンサルティングサービス、クラウドサービス、データ変換サービス、マネージドサービス、技術サポート（総称して「サービス」）を含む多数のサービスを提供しています。これらの米国に所在する従業員は、EEA、スイス、または英国の顧客および見込み顧客にサービスを提供するために個人データを処理する場合があります。

サービス提供中にハイランドと共有される、またはハイランドにより保存される個人データおよびその他の情報のカテゴリーは、顧客が単独で決定します。したがって、ハイランドは、顧客または見込み顧客からこの情報を受け取るまで、処理される可能性のある個人データのカテゴリーや処理の目的を一般的に把握していません。

ハイランドが個人データを処理する際、その目的はサービスの提供に限られます。

個人データに関する顧客および見込み顧客の責任

ハイランドの顧客および見込み顧客は、ハイランドのクラウドソリューション内に保存されるデータ、またはサービスの提供に関連してハイランドと共有されるデータの中に個人データを含めることを選択できます。

ハイランドは、顧客または見込み顧客がハイランドと共有することを選択した個人データのみを処理します。ハイランドは、当該個人データの対象者（「データ主体」）と直接的または契約上の関係を有しません。したがって、顧客または見込み顧客が個人データを共有する場合、適用されるデータ保護法に基づきデータ主体に対して直接負う全ての法的義務を満たす責任は、顧客または見込み顧客が単独で負います。

収集した個人データが出所の国において合法的に収集可能であることを確認する責任は、顧客または見込み顧客にあります。また、顧客または見込み顧客は、適用される法律で要求されるいかなる通知をデータ主体に提供し、データ主体が個人データに関する権利を行使する要求に適切に対応する責任を負います。さらに、顧客または見込み顧客は、ハイランドのクラウドソリューションまたはその他のサービスの利用が、顧客または見込み顧客が定めたいかなるプライバシーポリシーおよびデータ主体に提供した通知と整合していることを確保する責任を負います。

ハイランドは、顧客または見込み顧客のプライバシーポリシーや慣行、および顧客または見込み顧客による当該ポリシーや慣行の遵守について責任を負いません。ハイランドは、顧客または見込み顧客のプライバシーポリシーや、当該ポリシーへの遵守状況を見直したり、コメントしたり、監視したりすることはありません。ハイランドは、ハイランドに提供された指示または承認が、顧客または見込み顧客が公開しているプライバシーポリシーの条項、またはデータ主体に提供された通知に遵守しているか、矛盾しているかを判断するため、それら指示または承認を確認することもしません。顧客および見込み顧客は、自身のポリシー、通知、および適用される法令を遵守した指示および承認を提供する責任を負います。

データプライバシーフレームワーク原則へのハイランドの遵守

米国に所在するハイランドの従業員は、EEA、スイス、または英国に所在する顧客および見込み顧客に対してサービスを提供する場合があります。当該サービス提供のため、ハイランドは個人データを処理することがあります。ハイランドは、EEA、スイス、または英国から米国へ物理的または遠隔的に移転される個人データに対し、以下のDPF原則を適用します。
アクセス

ハイランドが個人データを受領する場合、それは顧客または見込み顧客に代わって行われます。個人データへのアクセス、またはその修正、変更、削除を請求するには、データ主体は自身の個人データを収集したハイランドの顧客または見込み顧客に連絡する必要があります。ハイランドは、データ主体がDPFに基づく権利を行使できるよう支援するため、顧客および見込み顧客からの合理的な要請に協力します。

選択権

データ主体は、(a)収集時に特定されていなかった、またはその後承認された第三者への個人データの開示、および(b)収集時に開示されたまたはその後承認された目的と大きく異なる目的での個人データの利用について、オプトアウトする権利を有します。ハイランドの顧客および見込み顧客は、データ主体がそのような利用または開示をオプトアウトする権利を有する場合、データ主体に通知する責任を負います。

個人データの利用または開示を制限したいデータ主体は、当該個人データの利用および開示を管理するハイランドの顧客または見込み顧客にその要求を提出する必要があります。ハイランドは、データ主体の選択に関する顧客および見込み顧客の指示に協力します。

セキュリティ

ハイランドは、受領した個人データの保護を約束します。個人データの安全を保証することはできませんが、ハイランドは保有する個人データを紛失、誤用、不正アクセス、開示、改ざん、破壊から保護するため、合理的かつ適切な措置を講じます。

ハイランドは、個人データを保護するため、オンラインおよびオフラインのセキュリティ技術、手順、組織的措置を組み合わせて活用しています。例えば、施設セキュリティは、ハイランドのコンピューターへの不正アクセスを防止するよう設計されています。例えばネットワークアクセス制御、パスワード、アクセスログ記録を含む電子的セキュリティ対策は、ハッキングやその他の不正アクセスからの保護を提供します。ハイランドはまた、ファイアウォール、役割ベースの制限、および適切な場合には暗号化技術の使用を通じて個人データを保護します。ハイランドは、個人データへのアクセスを、そのような個人データにアクセスする具体的な業務上の理由がある従業員、下請け業者、および第三者の代理人に限定しています。個人データへのアクセスを許可された個人は、そのような情報を保護する責任を認識しており、適切なトレーニングと指導を受けています。

データの完全性と利用目的の制限

ハイランドの顧客および見込み顧客は、データ主体に開示された目的およびこれに適合する目的に必要な範囲に個人データの収集を制限する責任を負います。また、当該目的に沿った個人データの処理に関する指示または承認をハイランドに提供する責任も負います。

ハイランドの顧客および見込み顧客は、(a)収集する個人データが、その利用目的に照らして正確、完全、最新かつ信頼性があること、および(b)個人データが、データ主体に開示された顧客または見込み顧客の正当な事業目的およびこれに適合する目的を達成するために必要な期間のみ保持されることを確保する責任も負います。ハイランドは、これらの義務の履行を支援するための顧客および見込み顧客からの合理的な要請に協力します。

サービスの提供にあたり、ハイランドは該当するサービスを実施するために必要な最小限の情報のみを要求し、サービスの提供または例えば追加サービス等の適合する目的、法的要件の遵守、ハイランドの法的権利の保全または防御のためのみにそれらの情報を保持します。

再転送

ハイランドは、顧客および見込み顧客へのサービス提供を支援する下請業者および第三者代理店に個人データを開示する場合があります。個人データを下請業者または第三者代理人に開示する前に、ハイランドは受領者から以下の事項を保証します：(a) 個人データをハイランドのサービス提供支援にのみ使用すること、(b) DPF原則で要求されるものと少なくとも同等の個人データ保護水準を提供すること、(c) 受領者が必要な保護を提供できなくなった場合にハイランドに通知すること。通知を受けた場合、ハイランドは受領者による個人データの不正な処理を直ちに停止し是正する措置を講じます。ハイランドは下請業者および第三者代理人への再移転について引き続き責任を負います。

ハイランドは、国家安全保障または法執行上の要件を満たす目的を含め、公的機関による合法的な要請に応じて個人データを開示するよう求められる場合があり、また開示する場合があります。許容される範囲において、ハイランドは当該開示を行う前に、関連する顧客または見込み顧客に通知し、当該開示に異議を申し立てる合理的な機会を提供します。

ハイランドは、それ以外の目的で個人データを第三者に開示することはありません。

救済措置、執行及び責任

欧州-米国DPF原則の英国拡張解釈およびスイス-米国DPF原則を含む欧州-米国DPF原則に従い、ハイランドは、本ポリシーに基づき貴殿のプライバシーおよび米国に転送された個人データのハイランドによる収集または利用に関する苦情を解決することを約束します。

DPF に関するお問い合わせや苦情がある、欧州連合、スイス、および英国の個人は、まず、[email protected] に電子メールを送信するか、440-788-5000 に電話して、ハイランドのデータ保護およびプライバシー部門にご連絡ください。

ハイランドはさらに、DPF原則に基づく未解決のプライバシー苦情を、BBB National Programsが運営する独立した救済機関であるData Privacy Framework Servicesに付託することを約束しています。貴殿の苦情の受理確認が適時に行われない場合、または貴殿の苦情が満足のいく形で解決されない場合は、詳細情報および苦情の提出について https://bbbprograms.org/programs/all-programs/dpf-consumers/ProcessForConsumers [bbbprograms.org] をご覧ください。このサービスは無料で提供されています。

上記の手続きでDFPに関する貴殿の苦情が解決されない場合、一定の条件下において、他の救済手段で解決されない残存クレームについて拘束力のある仲裁を求めることができます。拘束力のある仲裁の詳細については、http://www.dataprivacyframework.gov/framework-article/G%E2%80%93Arbitration-Procedures をご覧ください。  

連邦取引委員会（FTC）は、ハイランドのDPF遵守について管轄権を有します。

さらなる情報

ハイランドによる個人データの処理方法について質問があるデータ主体は、まず個人データを収集したハイランドの顧客または見込み顧客に連絡する必要があります。ハイランドのデータ保護・プライバシー部門へは、[email protected] 宛てにメールを送信するか、440-788-5000 までお電話ください。

本ポリシーは英語で作成され、他の言語に翻訳される場合があります。英語版と翻訳版との間に矛盾や相違が生じた場合、本ポリシーの英語版が優先されます。

本プライバシーポリシーの変更

ハイランドは本ポリシーを随時改訂する場合があります。本ポリシーに重要な変更を加える場合、ハイランドは改訂版を本ページに掲載します。

発効日：2016年9月20日；最終改訂日：2025年7月18日

貴殿が関わるすべての人々とのあらゆるやり取りや関係性を通じて、より多くの情報を得て、より力を得て、よりつながりましょう。