このページの本文へ移動

データの取扱いに関する説明

本文

株式会社SmartHR(以下「当社」といいます。)は、当社が「SmartHR」の名称で提供するサービス及びその関連サービス(以下「本サービス」といいます。)の提供にあたり、利用ユーザー(SmartHR利用規約第2条1.に定める「利用ユーザー」を指します。)から委託を受けた個人データを取り扱います。

現時点における当該データにかかる安全管理措置その他の当社によるデータの取扱いに関するご説明は以下のとおりです。なお、本ページの内容は、当社の判断により予告なく変更される場合があります。

1.安全管理措置

当社は、別紙1に記載されているとおり、利用ユーザーから委託を受けた個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置(以下「安全管理措置」といいます。)を実行します。別紙1に記載されるとおり、安全管理措置には、以下が含まれます。

  • 個人データを仮名化又は暗号化するための措置
  • 当社のシステム及びサービスの継続的な機密性、完全性、可用性及び回復性を確保するための措置
  • 技術的なインシデントが発生した際、適時な態様で、個人データの可用性及びそれに対するアクセスを復旧するための措置

2.従業者及び再委託先の監督

当社は、機密性の確保のため以下の措置を講じます。

  • 当社の従業員及び再委託先に対して、指示に応じるために必要な範囲でのみ、利用ユーザーから委託を受けた個人データにアクセスする権限を与えること。
  • 当社の従業員及び再委託先が、業務の範囲に適用される範囲でセキュリティ措置を遵守するよう徹底するための適切な手順を実施すること。
  • 利用ユーザーから委託を受けた個人データの取扱いが許可されたすべての者に、秘密保持を誓約させ、又は適切な法令に基づく秘密保持義務を負わせること。

3.再委託

(1)再委託先への委託についての同意

  • 利用ユーザーは、当社が再委託先に対して、本サービスの提供にあたり個人データの取扱いを委託することについて同意します。

(2)再委託先への委託についての要件

  • 当社は、再委託先と書面による契約を締結し、当社と同等以上の水準の個人データ保護を実現する条件を当該再委託先に課します。
  • 当社は、当社が委託する再委託先が義務を遵守することについて、及びかかる再委託先の行為又は不作為によって当社がSmartHR利用規約に基づく義務に違反することになった場合について、責任を負います。

4.本人の権利

  • 当社が利用ユーザーから委託を受けた個人データの取扱いに関する要請を本人から直接受けた場合、当社は、速やかに利用ユーザーに連絡するとともに、利用ユーザーに要請を提出するよう本人に助言します。利用ユーザーは、かかる本人からの要請などの問い合わせに単独で対応する一切の責任を負います。
  • 個人データの取扱いの性質を考慮し、データ保護法及び規則に基づく本人の請求に対応する利用ユーザーの義務の履行のため、当社は、可能な限り、適切な安全管理措置により利用ユーザーを支援します。

5.安全管理措置の支援

  • 当社は、当社が利用可能な個人データの取扱いの性質を考慮の上、安全管理措置を実行及び維持することにより、利用ユーザーが、適用されるデータ保護法に基づく安全管理措置を確実に実施できるよう支援します。

6.漏えい等の連絡

  • 当社が、利用ユーザーから委託を受けた個人データに関する漏えい等を認識した場合、当社は、損害を最小限にし、利用ユーザーから委託を受けた個人データを保護するための合理的な措置を速やかに講じ、利用ユーザーに対し漏えい等が発生した旨を速やかにかつ不当な遅滞なく連絡します。
  • 漏えい等の連絡は、電子メールを含む当社が選択する手段により行います。利用ユーザーは、正確な連絡先情報を維持し、常に安全な通信を確保することについて、単独で責任を負います。
  • 利用ユーザーは、利用ユーザーに適用されるデータ保護法における、漏えい等に関する義務を遵守すること、及び、第三者への通知義務を履行することについて単独で責任を負います。
  • 当社が漏えい等の連絡その他の漏えい等に関する義務を履行することをもって、漏えい等に関する当社の過失又は責任を当社が認めたものとは解されません。

7.利用ユーザーの保有個人データの消去又は返却

  • 当社は、本説明に規定された手順に従って、本サービスの提供の終了又は満了時に、適用されるデータ保護法に従い、利用ユーザーの保有個人データを返却又は消去します。

8.監査

  1. (1) 当社は、当社の安全管理措置の適切性を検証するために、当社が選択した適格の監査人によって、当社のデータの取扱いの状況に対する監査を実施します。

    • 監査は、少なくとも年1回実施されます。
    • 監査は、当社の費用負担により実施します。

  2. (2) 当社は、利用ユーザーが行う個人情報保護法に基づく委託先の監督の一環として、委託先における個人データの取扱状況を把握するために必要な情報を、別紙1を含む当社が選択する手段により提供します。

  3. (3) 当社は、利用ユーザーによる当社への立入検査には応じません。

9.データの移転

  • 当社は、個人情報保護法に基づき、原則として、利用ユーザーから委託を受けた個人データを日本国外にある第三者に移転する場合、個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定める国にのみ移転を行います。
  • 当社が利用ユーザーから委託を受けた個人データを前項で定める国以外へ移転する場合、当該第三者が、個人情報保護委員会規則で定める基準に適合する体制を整備していることを確認する等によって、移転が個人情報保護法に準拠して行われることを確保します。

別紙1(安全管理措置の実施)

当社は、個人情報保護法ガイドライン通則編に従い、以下の通りの安全管理措置を実施します。

1.基本方針の策定

当社は、個人データの適正な取扱いの確保について組織として取り組むためにプライバシーポリシーを策定し、公表しています。

2.個人データの取扱いにかかる規律の整備

当社は、その取り扱う個人データの漏えい等の防止その他の個人データの安全管理のために、個人データの具体的な取扱いにかかる規律を整備しています。規律の内容は以下に記載する安全管理措置を含みますがこれに限られません。また、セキュリティを維持する観点から社外公開はしておりません。

3.組織的安全管理措置

当社は、組織的安全管理措置として、次に掲げる措置を講じています。

  • 組織体制の整備
  • 個人データの取扱いにかかる規律に従った運用
  • 個人データの取扱状況を確認する手段の整備
  • 漏えい等事案に対応する体制の整備
  • 取扱状況の把握及び安全管理措置の見直し

4.人的安全管理措置

当社は、人的安全管理措置として、従業者に、個人データの適正な取扱いを周知徹底するとともに適切な教育を行っています。

5.物理的安全管理措置

当社は、物理的安全管理措置として、次に掲げる措置を講じています。

  • 個人データを取り扱う区域の管理
  • 機器及び電子媒体等の盗難等の防止
  • 電子媒体等を持ち運ぶ場合の漏えい等の防止
  • 個人データの消去及び機器、電子媒体等の廃棄

6.技術的安全管理措置

当社は、技術的安全管理措置として、次に掲げる措置を講じています。

  • アクセス制御
  • アクセス者の識別と認証
  • 外部からの不正アクセス等の防止
  • 情報システムの使用に伴う漏えい等の防止

7.外的環境の把握

当社は、外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じています。