データ処理契約書

iLost DPAのダウンロード

DPAを開く (PDF)

本ページでは、下部に示す視覚的概要に基づき、iLostプラットフォーム内における個人データの処理方法を説明します。 これには、関与する個人データの種類、関係者の役割、および適用される規制枠組みについて、管轄区域固有の法的条項を参照せずに説明します。

定義

  1. クレーム/遺失物報告: 発見物に対する所有権または権利を主張する目的で、ユーザーがiLostプラットフォームを通じて提出する情報。
    クレームは、ユーザーのアカウントが検証された後(メールアドレスの提出と検証リンクによる確認を含む)かつiLostがポリシーに従って受理した場合にのみ有効となる。 当該承認後、請求情報は関連するクライアントに提供され、発見物は当該ユーザーに関連付けられます。
    この時点をもって、以下に説明するフェーズ1からフェーズ2への移行が完了します。

  2. クライアント: iLostプラットフォームを利用して発見物の登録および管理を行う組織、企業、または機関(ホテル、会場、交通事業者、公共機関などを含むがこれらに限定されない)。
    疑義を避けるため、クライアントは自然人ではない。

  3. 管理者(Controller): 個人データの処理の目的及び本質的な手段を決定する主体。

  4. 遺失物(Found Item): クライアントがiLostプラットフォームに登録した物品。遺失物は当初、特定可能な個人と関連付けられていない場合があり、請求の提出と検証を経てユーザーと関連付けられることがある。

  5. iLostプラットフォーム: iLostが運営するオンラインのSaaS(サービスとしてのソフトウェア)ソリューション。ウェブインターフェースおよび組み込み検索ウィジェットを含み、クライアントが遺失物の登録・管理を行い、ユーザーが遺失物の検索、報告、請求、回収を可能にする。

  6. 個人データ: 特定された、または特定可能な自然人に関するあらゆる情報。氏名、連絡先、識別データ、写真、請求関連情報、IPアドレスなどのオンライン識別子を含むがこれらに限定されない。

7.処理: 個人データに対して行われるあらゆる操作または一連の操作。収集、保存、利用、開示、削除などが含まれる。

  1. 処理者: 管理者に代わって個人データを処理する事業体。

  2. ユーザー: 紛失物の検索、請求、または回収のためにiLostプラットフォームと直接やり取りする自然人であり、その文脈において個人データが処理される者。適用されるデータ保護法が存在する場合には、ユーザーは当該法における「データ主体」、「個人」、または同等の法的概念に該当する。

1. フェーズ1 – クライアント主導の処理

フェーズ1では、発見物の登録および管理の文脈において、クライアントの担当者がiLostプラットフォームに個人データを入力します。

物理的なサービスデスクにおける所有者候補への積極的な通知や物品の一致確認などの行為はフェーズ1の一部とみなされ、管理責任者としてのクライアントの責任下にあります。

これには以下が含まれますが、これらに限定されません:

  • ユーザー登録済でない既知または推定所有者の連絡先情報
  • 遺失物に追加されたメモ
  • オンライン請求なしでの物品受取確認のために入力された個人情報

フェーズ1における役割

フェーズ1では:

  • クライアントは処理の目的、すなわち遺失物の正当な所有者への返還を決定します
  • クライアントは管理者として行動します
  • iLostは処理者として行動し、クライアントによって、またはクライアントに代わって入力された個人データを処理します

フェーズ1における処理関係は、適用されるデータ処理契約(DPA)によって規定されます。

2. フェーズ2 – ユーザー主導の処理(検証後)

フェーズ2は、ユーザーが請求または紛失報告を提出し、かつiLostが検証プロセスを完了した後にのみ開始されます。
この検証には、ユーザーの連絡先情報(メール認証など)の確認、およびiLostの内部検証・不正防止ポリシーへの準拠が含まれます。

検証が完了するまで、ユーザーが提供した個人データはiLostによってのみ処理され、クライアントには提供されません

クレームまたは紛失報告がiLostによって検証・承認されると、フェーズ2が開始され、関連するユーザーの個人データがクライアントに提供され、さらなる処理が行われる可能性があります。

ユーザー提供の個人データ

クレームまたは紛失報告プロセスにおいて、ユーザーは以下の個人データを提供する場合があります:

  • 氏名および連絡先詳細
  • 所有権を証明するためのクレーム関連情報または説明
  • iLostプラットフォームを通じて交換されたメッセージ
  • 物品返送のための配送先および住所詳細
  • 補足画像または書類

クレームまたは紛失報告を提出し、適用されるプライバシーポリシーおよび利用規約に同意することにより、 ユーザーは、iLostプラットフォームの運営および遺失物の回収促進を目的として、iLostによる本個人データの処理に同意するものとします。

フェーズ2におけるiLostの役割

フェーズ2では:

  • iLostは、iLostプラットフォーム上でのユーザー主導の全処理において独立した管理者として機能します。これには以下が含まれます:
  • ユーザー認証
  • アカウント管理
  • クレーム処理
  • コミュニケーションワークフロー

  • 発送手配

  • iLostは、検証結果とプラットフォームポリシーに基づき、ユーザーの個人データをクライアントに提供するかどうか、およびそのタイミングを決定します。

フェーズ2における遺失物の識別可能性

フェーズ1で登録された遺失物は、自動的に個人データを構成するものではありません

遺失物が特定可能な個人と関連付けられるのは、ユーザーのクレームまたは遺失報告がiLostによって検証された場合のみです。

その時点以降、当該遺失物はiLostプラットフォーム内で追跡可能な個人データとして扱われます。

クライアントへの個人データの開示

検証後、特定のユーザー個人データ(例:請求関連情報または配送詳細)は、以下の目的で必要な範囲においてクライアントに開示される場合があります:

  • 所有権の確認
  • 最終的な一致判定の実施
  • 物品の発送準備および完了、または物理的な引き渡し

iLostによる検証および承認前に、ユーザー個人データがクライアントと共有されることはありません。

3. フェーズ2における管理者間関係

検証後にユーザーの個人データがクライアントに開示されると、個人データは管理者間(C2C)フレームワークのもとで処理・交換されます。

この枠組みでは:

  • iLostは、iLostプラットフォーム内でのユーザー主導の処理(検証、通信、プラットフォームレベルのワークフローを含む)において管理者としての立場を維持します
  • クライアントは、自社の後続処理(以下を含む)において管理者としての立場を維持します:
  • 所有権の確認および最終的な一致判定
  • 内部記録の維持
  • 発送準備および完了、または物理的な引き渡し

各当事者は、自らの処理目的および処理の必須手段を独立して決定し、自らの処理活動に関連する適用されるデータ保護法の遵守について責任を負います。

4. 責任分担概要

フェーズ1

  • クライアント: 管理者
  • iLost: 処理者 (DPAに基づく)

フェーズ2 (検証後および開示後)

  • iLost: 独立管理者 (ユーザー主導の処理)
  • クライアント: 独立した管理者(自社業務処理)
  • 個人データは管理者間条項に基づき交換される

5. 適用されるデータ保護およびプライバシー規制

以下のリストは網羅的ではない
適用要件は、クライアント、ユーザー、および関連する処理活動(フェーズ1および/またはフェーズ2)の所在地によって異なる。

アメリカ大陸

  • 米国(一部):カリフォルニア州消費者プライバシー法/カリフォルニア州プライバシー権法(CCPA/CPRA) – 主にフェーズ2
  • 米国:その他の州のプライバシー法(該当する場合) – フェーズ1および/またはフェーズ2
  • ブラジル:一般データ保護法 (LGPD) – フェーズ1およびフェーズ2
  • カナダ: PIPEDAおよび適用される州のプライバシー法 – フェーズ1およびフェーズ2
  • メキシコ: 個人データ保護に関する連邦法 – フェーズ1およびフェーズ2
  • アルゼンチン: データ保護法 – フェーズ1およびフェーズ2

アジア太平洋地域

  • 中国:個人情報保護法 – フェーズ1およびフェーズ2(該当する場合)
  • 日本:個人情報保護法 – フェーズ1およびフェーズ2
  • シンガポール: 個人データ保護法 – フェーズ1およびフェーズ2
  • オーストラリア: プライバシー法1988 – フェーズ1およびフェーズ2
  • 韓国: 個人情報保護法 – フェーズ1およびフェーズ2
  • インド: デジタル個人データ保護法 – フェーズ1およびフェーズ2(該当する場合)
  • インドネシア: 個人データ保護法 – フェーズ1およびフェーズ2
  • タイ: 個人情報保護法 – フェーズ1およびフェーズ2
  • マレーシア:個人情報保護法 – フェーズ1およびフェーズ2
  • フィリピン:データプライバシー法 – フェーズ1およびフェーズ2
  • ベトナム:個人情報保護政令 – フェーズ1およびフェーズ2
  • 香港:個人データ(プライバシー)条例 – フェーズ1およびフェーズ2
  • 台湾: 個人情報保護法 – フェーズ1およびフェーズ2

ヨーロッパ

  • 欧州連合/欧州経済領域: 一般データ保護規則(GDPR) – フェーズ1およびフェーズ2
  • イギリス: UK GDPRおよび2018年データ保護法 – フェーズ1およびフェーズ2
  • スイス: データ保護に関する連邦法(FADP) – フェーズ1およびフェーズ2

中東・アフリカ

  • UAE / DIFC / ADGM データ保護規制 – フェーズ1およびフェーズ2
  • カタール: データ保護法 – フェーズ1およびフェーズ2
  • イスラエル: プライバシー保護法 – フェーズ1およびフェーズ2
  • サウジアラビア: 個人データ保護法 (PDPL) – フェーズ1およびフェーズ2
  • バーレーン / オマーン: 適用される国内データ保護法 – フェーズ1およびフェーズ2
  • トルコ:個人データ保護法 – フェーズ1およびフェーズ2
  • 南アフリカ:個人情報保護法 (POPIA) – フェーズ1およびフェーズ2
  • ナイジェリア: ナイジェリアデータ保護法 (NDPA) – フェーズ1およびフェーズ2
  • ケニア: データ保護法 – フェーズ1およびフェーズ2

各当事者は、自社の処理活動および管轄区域に適用されるデータ保護法の遵守について責任を負い、上記に重大な追加または変更があった場合は、書面にてiLostに通知するものとする。

視覚的フロー概要

組織とユーザーの役割、管理者責任の移行を含む、フェーズ1とフェーズ2間の完全なデータフローを説明する視覚的マッピング図を以下に示します。

Phase 1 and Phase 2 data flow diagram