Cato Cloudサービスの個人情報にかかる保護方針

KDDI株式会社 (以下「当社」という。) は、個人情報の重要性を認識し、その保護の徹底をはかるため、当社業務に関連する法令およびガイドラインなどを遵守するとともに、個人情報を、以下により取り扱うこととします。

当社は、イスラエル企業であるCato Networks Ltd.の提供するクラウド型ネットワークセキュリティサービスである「Cato Cloudサービス」(以下「本サービス」という。) の提供の過程で適法かつ公正な手段により取得したお客さまの氏名、住所、電話番号、メールアドレス、IPアドレス、パソコンログなどの情報を取り扱います。また、情報の内容によっては個人情報に該当しない場合もありますが、当社は、お客さまの情報の取り扱いに十分配慮するものとします。これらの個人情報の提供がない場合には、本サービスの業務機能を利用できない場合があります。

当社は、要配慮個人情報として法令で定められている情報を取得する場合には、適用される法令に則って同意を取得するなどの必要な対応を行った上で、当該要配慮個人情報を取得します。

当社は、以下に記載する事業目的のうち、一又は複数の目的でお客さまの個人情報を利用することがあります。

• 本サービスを提供し、お客さまによる本サービスの効率的な利用を可能にするため。
• お客さまによる本サービスの利用に関する詳細を処理するため。
• お客さまに対して各種のサービスに関する通知を行うため。
• 本サービスに関してお客さまが自発的に提供する個人情報の詳細を処理するため。
• お客さまと当社の間で締結された契約を履行し、管理し、かつ執行するため。
• 当社サービスおよび製品を調査し、分析し、開発するため。
• 本サービスおよび当社のその他の製品に関連する情報を通知するため。

当社は、適用される法令に従って、次のいずれかの場合においてお客さまの個人情報を利用することがあります。

• お客さまの同意がある場合
• 当社の正当な利益に基づき必要な場合
• 法令に基づく場合
• 人の生命、身体または財産の保護のために必要があるとき
• 公衆衛生の向上または児童の健全な育成の推進のために特に必要があるとき
• 国の機関もしくは地方公共団体またはその委託を受けた者が法令に定める事務をすることに対して協力する必要があるとき

当社は、お客さまの個人情報を利用目的が達成されるまで保持します。当社は、利用目的が達成された場合や、利用目的が達成されなかったものの本サービス自体が中止となった場合などは、当該個人情報を遅滞なく消去いたします。

当社は、お客さまの個人情報を2条の目的の範囲で、当社のグループ会社、Cato Networks, Ltdおよび同社の代理店である株式会社マクニカその他本サービス提供にあたり業務を委託する第三者に提供する場合があります。当社は、本サービスを提供するため、お客さまの所在国以外の国に対して、お客さまの個人情報を移転する場合があります。当該国には、日本およびイスラエルなどが含まれ、これらの国は、お客さまの所在国と同等レベルのデータ保護を行っていない場合があります。外国にある第三者へ個人データの提供を行う場合は、適用される法令の定めに従い、同意の取得やデータ移転契約締結などの必要な措置を取ります。お客さまの情報を保護するために用いられている文書の写しを入手するなど、詳細な情報を得る場合には、5条記載の【KDDI個人データ開示等相談窓口】にてご連絡ください。

当社は、個人情報へのアクセスの管理、個人情報の持出し手段の制限、外部からの不正なアクセスの防止のための措置その他の個人情報の漏えい、滅失またはき損の防止その他の個人情報の安全管理のために必要かつ適切な措置 (以下「安全管理措置」という。) を講じます。当社は、安全管理措置を講ずるにあたっては、関係する法令、ガイドラインおよびISMS (情報セキュリティマネジメントシステム) の枠組みを活用し、以下のとおり技術的保護措置および組織的保護措置を適切に実施します。

個人情報へのアクセスの管理 (アクセス権限者の限定 (異動・退職した社員のアカウントを直ちに無効にするなどの措置を含む。)、アクセス状況の監視体制 (アクセスログの長期保存など)、パスワードの定期的変更、入退室管理など) を実施します。個人情報の持出し手段の制限 (みだりに外部記録媒体へ記録することの禁止、社内と社外との間のメールの監視を社内規則などに規定した上で行うことなど) を実施します。外部からの不正アクセスの防止のための措置 (ファイアウォールの設置など) を実施します。

ア) 従業者 (派遣社員含む。) の監督

個人情報管理の責任者として、「情報セキュリティ責任者」を任命するとともに、個人情報の安全管理に関する従業者の責任と権限を明確に規定します。安全管理に関する内部規程・マニュアルを定め、それらを従業者に遵守させるとともに、その遵守の状況についての適切な監査を実施します。 従業者に対して個人情報の安全管理に関する教育研修を実施します。

イ) 業務委託先の監督

当社は、個人情報の取り扱い業務の全部または一部を委託する場合があります。この場合、当社は、個人情報を適正に取り扱うと認められるものを選定し、委託契約において、安全管理措置、秘密保持、再委託の条件、委託契約終了時の個人情報の返却などその他の個人情報の取り扱いに関する事項について適正に定め、必要かつ適切な監督を実施します。

当社は、お客さま本人またはその代理人から、適用される法令においてお客さまに認められている権利 (同意の撤回権、アクセス権、削除権、異議権、データポータビリティ権などが含まれる場合があります。) を行使する場合は、以下の相談窓口までご連絡ください。

また、お客さまは当社の個人情報の取り扱いについて、異議がある場合には、お客さまが、所在する国・地域の保護当局に異議申立てを行うことができる場合があり、また「Cato Cloud利用規約」の定めによる紛争解決機関による紛争解決を図ることができます。

【KDDI個人情報開示等相談窓口】

sl-privacy@kddi.com

米国カリフォルニア州に在住するお客さまの個人情報 (特定の消費者又は世帯を直接的又は間接的に特定し、関連し、説明し、参照し、関連付けることができ、又は合理的に結合することのできる情報をいいます。以下本附則において同じ。) の取り扱いに関しては、カリフォルニア州消費者プライバシー法 (California Consumer Privacy Act of 2018。以下「CCPA」といいます。) の定めに従い、上記の規定に加えこの附則が適用されます。

当社は、過去12か月間に以下に記載される個人情報のカテゴリをお客さまから収集しており、今後も以下に記載される個人情報のカテゴリを収集します。

当社は、お客さまに通知を行うことなく、上記以外の個人情報のカテゴリを収集せず、また収集した個人情報を、大幅に異なる、無関係な、又は矛盾する目的によって利用しないものとします。

当社は、事業目的又は商業目的によって第三者に対して、お客さまの個人情報を共有し又は開示することがあります。事業目的又は商業目的によってサービスプロバイダーに対して個人情報を開示する場合、当社は、当該目的を記載し、かつサービスプロバイダーに対して個人情報の秘密保持および契約履行目的以外による個人情報の使用禁止を要求する契約を締結します。

過去12か月間に、当社は、事業目的又は商業目的によって、以下に記載するカテゴリの第三者に対して、個人情報を共有し又は開示しています。

• グループ会社
• ネットワークセキュリティサービスを提供する会社を含むサービスプロバイダー。

当社は、過去12か月間に、いかなる個人情報も販売していません。

CCPAによって、カリフォルニア州に居住する消費者には、個人情報に関する個別の権利が提供されています。以下に、CCPAに基づくお客さまの権利を記載し、その行使方法を説明します。

お客さまは、お客さまが要求した時点以前の過去12か月間に、当社がお客さまの個人情報を収集し、共有し、開示し、又は利用したことに関する一定の情報を、当社がお客さまに対して開示することを要求する権利を有しています。当社は、お客さまによる検証可能な請求を受領し確認した場合、以下に記載する情報の一部又は全部をお客さまに開示するものとします。

• お客さまに関して当社が収集した個人情報のカテゴリ
• お客さまに関して当社が収集した個人情報の情報源のカテゴリ
• 当該個人情報を収集し又は販売する当社の事業目的又は商業目的
• 当社が当該個人情報を共有し又は販売する第三者のカテゴリ
• 個人情報を販売した第三者各々によって販売された個人情報のカテゴリ
• 事業目的又は商業目的で開示された個人情報のカテゴリ
• お客さまに関して当社が収集した個人情報の特定の部分。

お客さまは、一定の例外事由を除き、当社がお客さまから収集し保持しているお客さまの個人情報のいかなる部分についても、当社が削除することを請求する権利を有しています。当社が、検証可能なお客さまによる請求を受領し確認した場合、例外事由の適用がない限り、当社の記録からお客さまの個人情報を削除し (かつ削除するようサービスプロバイダーに指示を出し) ます。

当社は、以下の目的のために、当社又は当社のサービスプロパイダーにおいて当該情報の保持が必要となる場合、お客さまによる削除請求を拒否することがあります。

• 当社が個人情報を収集した取引を完了させるため、お客さまから要求された製品若しくはサービスを提供するため、お客さまと当社との間における継続的な事業関係の状況の範囲内で合理的に予測される措置を講じるため、又はその他お客さまと当社の間における契約を履行するため。
• セキュリティ事故を探知するため、悪意、詐欺、偽装又は違法な行為から保護するため、又はこれらの行為に責任を有する者を訴追するため。
• 既存の意図された機能を妨げるエラーを特定し修正するために製品をデバッグするため。
• 自由な言論を行使するため、その他のお客さまの自由な言論を行使する権利を確保するため、又は法律に定める他の権利を行使するため。
• カリフォルニア州電子通信プライバシー法 (カリフォルニア州刑法典1546条以下) を遵守するため。
• すべての他の適用可能な倫理およびプライバシー法が遵守された、公共の利益に資する公的な、又は査読される科学的、歴史的、若しくは統計上の研究に従事するためであり、当該情報が削除されると当該研究の実現が不可能になるか又は著しく損なわれる可能性があり、かつ、お客さまが事前にインフォームドコンセントを行っていた場合。
• お客さまと当社の関係に基づき、お客さまの期待と合理的に適合した内部での使用のみを可能とするため。
• 法的義務を遵守するため。
• そのほか、お客さまが情報を提供された状況と適合する方法で、当該情報を合法的に内部使用するため。

当社は、お客さまから収集した個人情報を販売しておらず、今後も販売しません。

カリフォルニア州の居住者がCCPAに基づく自己の権利を行使したことによって、当社は、当該居住者を差別しないものとします。さらに、CCPAに認められる場合を除き、当社は、以下を行わないものとします。

• お客さまに対して製品又はサービスの提供を拒否する。
• ディスカウント若しくはその他の特典の付与又は違約金の賦課による場合を含め、お客さまに対して製品又はサービスに異なった価格又は料金を請求する。
• お客さまに対して、異なったレベル又は質の製品又はサービスを提供する。
• お客さまが、異なる価格若しくは料金の製品若しくはサービス、又は異なるレベル若しくは質の製品若しくはサービスを受領する可能性を示唆する。

上記のアクセス権および削除権を行使するためには、上述のKDDI個人データ開示等相談窓口にご連絡いただき、当社に対して検証可能な請求を行ってください。

お客さま、すなわち、自然人又はカリフォルニア州内でお客さまに代わって行為を行う権限をお客さまが付与したカリフォルニア州州務長官に登録した事業体のみが、お客さまの個人情報に関する検証可能な請求を行うことができます。お客さまは、さらに、お客さまの未成年のお子様に代わって検証可能な請求を行うこともできます。

検証可能な請求は、

• お客さまが、当社が個人情報を収集した者であるか又は権限を付与された代理人であることを、当社が合理的に確認するのに十分な情報を提供するものでなければなりません。
• お客さまの請求を当社が適切に理解し、評価し、対応するのに十分な程度に詳細に当該請求を説明するものでなければなりません。