GDPR: 一般データ保護規則

このページでは、RapidFoundry LTD(「当社」、「私たち」、「弊社」)が欧州連合規則2016/679、一般データ保護規則(「GDPR」)をどのように遵守しているかを概説しています。この声明は、当社のデータ保護慣行に関する透明性を提供することを目的としており、当社が収集する個人データとその使用方法について詳述しているプライバシーポリシーと併せてお読みください。

GDPRコンプライアンスへの取り組み

RapidFoundry LTDは、個人データの処理に関して自然人の基本的権利と自由を保護することに取り組んでいます。EUを拠点とするSoftware-as-a-Serviceプロバイダーとして、当社は事業のあらゆる側面においてGDPRの完全な遵守を確保するための包括的な対策を実施しています。

当社は、データ保護が単なる法的義務ではなく、当社組織、お客様、そして当社が処理するデータの対象となる個人との間の信頼の基盤であることを認識しています。当社のコンプライアンスプログラムは、進化する規制ガイダンスとベストプラクティスを反映するため、継続的な見直しと改善の対象となっています。

役割:データ管理者とデータ処理者

当社がデータ管理者として機能する場合

GDPR第4条(7)に従い、RapidFoundry LTDは個人データを処理する目的と手段を決定する場合、データ管理者として機能します。これには以下が含まれます:

  • 当社ウェブサイト訪問者の個人データの処理
  • お客様のアカウントと関係の管理
  • 従業員および求職者データの処理
  • マーケティングおよびコミュニケーション活動の実施
  • 請求および契約事項の管理

データ管理者として、当社は処理活動がGDPR要件に準拠していることを確保し、データ主体のリクエストに対応する全責任を負います。

当社がデータ処理者として機能する場合

GDPR第4条(8)に従い、RapidFoundry LTDは当社のSaaSプラットフォームの提供に関連してお客様に代わって個人データを処理する場合、データ処理者として機能します。この役割において:

  • 当社のプラットフォームにアップロードまたは処理される個人データについては、お客様がデータ管理者のままです
  • 当社はお客様の文書化された指示に厳密に従ってそのようなデータを処理します
  • 当社はすべてのお客様と適切なデータ処理契約を維持しています
  • 当社は契約したサービスを提供するために必要な範囲を超えて、自社の目的のためにお客様のデータを使用することはありません

合法的処理原則(GDPR第5条)

RapidFoundry LTDはGDPR第5条に定められたデータ保護原則を遵守しています。すべての個人データ処理活動は、以下の原則に従って実施されます:

適法性、公正性、透明性

当社は個人データを適法に、公正に、透明性のある方法で処理します。個人は、当社のプライバシーポリシーおよびその他の適用される通知を通じて、自分のデータがどのように処理されるかについて情報提供を受けます。

目的の制限

個人データは、特定の、明示的かつ正当な目的のために収集され、それらの目的と互換性のない方法でさらに処理されることはありません。

データの最小化

当社は、処理される個人データが、処理される目的に関して適切、関連性があり、必要なものに限定されるよう確保します。

正確性

当社は、個人データが正確であり、必要に応じて最新の状態に保たれるよう合理的な措置を講じています。不正確なデータは遅滞なく消去または修正されます。

保存の制限

個人データは、収集された目的を達成するために必要な期間のみ、適用される法的保存要件に従って保持されます。

完全性と機密性

当社は、個人データの安全性を確保するための適切な技術的・組織的措置を実施しており、これには不正または違法な処理からの保護、および偶発的な損失、破壊、または損害からの保護が含まれます。

説明責任

当社は、上記の原則およびすべての適用されるGDPR要件への準拠を実証するための文書と記録を維持しています。

処理の法的根拠

GDPR第6条に従い、RapidFoundry LTDは有効な法的根拠を特定した場合にのみ個人データを処理します。当社が依拠する法的根拠には以下が含まれます:

  • 契約上の必要性(第6条(1)(b)):データ主体との契約の履行、またはデータ主体の要求に応じて契約前の措置を講じるために必要な処理
  • 法的義務(第6条(1)(c)):当社が従うべき法的義務を遵守するために必要な処理
  • 正当な利益(第6条(1)(f)):当社または第三者によって追求される正当な利益のために必要な処理。ただし、そのような利益がデータ主体の権利と自由によって覆されない場合
  • 同意(第6条(1)(a)):データ主体が一つまたは複数の特定の目的のための処理に明示的な同意を与えた場合

当社が特別なカテゴリーの個人データを処理する場合、GDPR第9条に基づく追加条件が満たされることを確保しています。特定の処理活動に適用される具体的な法的根拠の詳細は、当社のプライバシーポリシーに記載されています。

データ処理契約

GDPR第28条に従い、RapidFoundry LTDは管理者-処理者の関係を持つすべての当事者とデータ処理契約(「DPA」)を締結しています。

お客様とのDPA

お客様に代わってデータ処理者として機能する場合、当社はGDPR第28条(3)のすべての要件に対応する包括的なDPAを提供します。これには以下が含まれます:

  • 処理の対象、期間、性質、および目的
  • 処理される個人データの種類とデータ主体のカテゴリー
  • 管理者の義務と権利
  • 文書化された指示に基づいてのみデータを処理するという当社のコミットメント
  • 担当者の機密保持義務
  • 実施されるセキュリティ対策
  • 副処理者を雇用するための条件
  • データ主体の権利とコンプライアンス義務に関する支援
  • 終了時のデータの削除または返却
  • 監査および検査の権利

当社の標準DPAはリクエストに応じて入手可能であり、サービス利用規約の一部を構成しています。

副処理者とのDPA

当社はすべての副処理者とDPAを維持しており、これらはお客様との契約に含まれるデータ保護義務と同等またはそれ以上のものであり、処理チェーン全体で同じレベルの保護を確保しています。

副処理者とベンダー管理

RapidFoundry LTDは、サービス提供を支援するために第三者の副処理者を雇用しています。当社はすべての副処理者が当社のデータ保護基準を満たすことを確保するために、厳格なベンダー管理プログラムを維持しています。

副処理者のデューデリジェンス

副処理者を雇用する前に、当社は彼らのデータ保護慣行について徹底的な評価を行います。これには以下が含まれます:

  • セキュリティ認証と監査レポートのレビュー
  • 技術的・組織的措置の評価
  • 該当する場合、データ転送メカニズムの評価
  • GDPR遵守能力の検証

副処理者リスト

当社は最新の副処理者リストを維持しており、これはリクエストに応じて、または当社の顧客ポータルを通じてお客様に提供されます。このリストには、各副処理者の身元、所在地、および処理活動が含まれています。

副処理者の変更

当社のDPA条項に従い、当社は副処理者の意図された変更について事前にお客様に通知し、合理的なデータ保護の根拠に基づいてそのような変更に異議を唱える機会を提供しています。

国際データ転送と保護措置

RapidFoundry LTDは欧州連合に本社を置いています。個人データが欧州経済領域(「EEA」)外に転送される場合、当社はGDPRの第V章(第44条〜第49条)に従って適切な保護措置が講じられていることを確保します。

転送メカニズム

当社は国際データ転送を正当化するために以下のメカニズムに依存しています:

  • 十分性認定(第45条):欧州委員会から十分性認定を受けた国への転送
  • 標準契約条項(第46条(2)(c)):十分性認定のない国への転送については、委員会実施決定(EU)2021/914に従って採用された欧州委員会の標準契約条項(「SCC」)を使用しています
  • 補完的措置:転送影響評価に基づいて必要な場合、本質的に同等のレベルの保護を確保するための追加の技術的、契約的、組織的措置を実施します

転送影響評価

SCCに依存する転送については、受領国の法的枠組みが適切な保護を確保するかどうかを評価するための転送影響評価を実施しています。これらの評価では、関連する法律、公的機関によるアクセス、およびデータ主体の権利の有効性を考慮します。

EU-米国データプライバシーフレームワーク

該当する場合、当社は2023年7月10日の欧州委員会の十分性決定に従い、認証された米国組織への転送にEU-米国データプライバシーフレームワークに依存することがあります。

技術的・組織的措置

GDPR第24条および第32条に従い、RapidFoundry LTDは当社の処理活動によってもたらされるリスクに適切なレベルのセキュリティを確保するための適切な技術的・組織的措置を実施しています。

技術的措置

  • 暗号化:保存中および転送中のデータは、業界標準の暗号化プロトコル(AES-256およびTLS 1.2以上)を使用して保護されています
  • アクセス制御:役割ベースのアクセス制御、多要素認証、および最小権限の原則
  • ネットワークセキュリティ:ファイアウォール、侵入検知システム、および定期的な脆弱性評価
  • 仮名化:データ主体へのリスクを軽減するために適切な場合に適用
  • バックアップと復旧:テスト済みの復元手順を備えた定期的な暗号化バックアップ
  • ログ記録と監視:包括的な監査ログとリアルタイムのセキュリティ監視

組織的措置

  • 情報セキュリティポリシー:データの取り扱い、アクセス、およびセキュリティを管理する文書化されたポリシー
  • 従業員トレーニング:すべての担当者に対する定期的なデータ保護とセキュリティ意識トレーニング
  • 機密保持契約:すべての従業員および請負業者は機密保持義務に拘束されています
  • インシデント対応:セキュリティインシデントの特定、報告、および対応のための文書化された手順
  • 事業継続性:処理システムの可用性と回復力を確保するための計画
  • 定期的な監査:セキュリティ管理の定期的な内部および外部監査

認証

RapidFoundry LTDは情報セキュリティのベストプラクティスへのコミットメントを示すために[ISO 27001 / SOC 2 Type II / その他の適用される認証]を維持しています。関連する認証のコピーはリクエストに応じてお客様に提供されます。

データ主体の権利サポート

RapidFoundry LTDはGDPRの第III章に基づくデータ主体の権利行使を促進することに取り組んでいます。

当社が管理者である場合

当社がデータ管理者として機能する場合、個人は当社に直接権利を行使することができます。当社は有効なリクエストに不当な遅延なく、GDPR第12条(3)に基づいて許可される場合は1ヶ月以内に対応します。これらの権利を行使する方法の詳細は、当社のプライバシーポリシーに記載されています。

当社が処理者である場合

当社がデータ処理者として機能する場合、当社はDPA義務およびGDPR第28条(3)(e)に従って、データ主体のリクエストに対応する際に(管理者として)お客様を支援します。これには以下が含まれます:

  • アクセス、修正、消去、およびポータビリティのリクエストに対応するためのお客様向けの技術的機能の提供
  • データ主体から直接受け取ったリクエストを関連するお客様に速やかに転送
  • お客様が義務を果たすために必要な情報と支援の提供

サポートされる権利

当社は該当する場合、以下のデータ主体の権利をサポートします:

  • アクセスの権利(第15条)
  • 訂正の権利(第16条)
  • 消去の権利(第17条)
  • 処理の制限の権利(第18条)
  • データポータビリティの権利(第20条)
  • 異議申し立ての権利(第21条)
  • 自動化された意思決定に関連する権利(第22条)

データ侵害手順

RapidFoundry LTDはGDPR第33条および第34条に従って、個人データ侵害の検出、調査、および対応のための文書化された手順を維持しています。

侵害の検出と評価

当社は潜在的な侵害を迅速に検出するための技術的監視と組織的手順を採用しています。検出時には、当社のインシデント対応チームが侵害の性質、範囲、および潜在的な影響を評価します。

監督機関への通知(第33条)

当社がデータ管理者として機能し、侵害が自然人の権利と自由にリスクをもたらす可能性がある場合、当社は侵害を認識してから不当な遅延なく、可能であれば72時間以内に、権限のある監督機関に通知します。

データ主体への通知(第34条)

侵害が自然人の権利と自由に高いリスクをもたらす可能性がある場合、当社は第34条(3)に基づく例外が適用されない限り、不当な遅延なく影響を受けるデータ主体に侵害を通知します。

お客様への通知(処理者の役割)

当社がデータ処理者として機能し、お客様のデータに影響を与える個人データ侵害を認識した場合、当社は不当な遅延なく影響を受けるお客様に通知し、お客様が独自の通知義務を果たすために十分な情報を提供します。

文書化

当社はGDPR第33条(5)に従って、すべての個人データ侵害の記録を維持しており、これには事実、影響、および講じられた是正措置が含まれます。

データ最小化と保持慣行

データ最小化

GDPR第5条(1)(c)に従い、当社は事業全体にデータ最小化の原則を適用しています:

  • 当社は特定の目的に必要な個人データのみを収集します
  • 当社は不必要な処理を排除するためにデータ収集慣行を定期的に見直します
  • 当社はデータ最小化をデフォルトの考慮事項としてシステムとプロセスを設計しています
  • 当社はお客様が当社のプラットフォームを使用する際にデータ最小化を適用するよう奨励しています

保持慣行

個人データは、収集された目的を達成するために必要な期間のみ保持されます。当社の保持慣行は以下によって管理されています:

  • 保持スケジュール:当社は異なるカテゴリーの個人データの保持期間を指定した文書化された保持スケジュールを維持しています
  • 法的要件:特定のデータは適用法(例:税務、会計、または規制上の義務)によって要求される場合、より長く保持される場合があります
  • 契約上の義務:処理者としての当社の役割で処理されるお客様データは、お客様の指示と当社のDPA条件に従って保持されます
  • 安全な削除:保持期間の満了またはサービスの終了時に、個人データは安全に削除または匿名化されます

当社が管理する個人データのカテゴリーに対する特定の保持期間は、当社のプライバシーポリシーに詳述されています。

連絡先情報

このGDPRコンプライアンス声明、当社のデータ保護慣行に関する質問、またはデータ主体の権利を行使するには、以下の連絡先までお問い合わせください:

RapidFoundry LTD
Isiodou 13 Unit 401
Limassol, 3031]
キプロス

一般データ保護に関するお問い合わせ:
メール:privacy@rapidfoundry.net

この声明の更新

当社は、当社の慣行、技術、法的要件、またはその他の要因の変更を反映するために、このGDPRコンプライアンス声明を随時更新する場合があります。当社のコンプライアンス慣行に関する最新情報については、このページを定期的に確認することをお勧めします。

Last updated
February 16, 2026