オラクル法務部門

オラクルによるプライバシーの取り扱い
オラクル・サービス・プライバシー・ポリシー

本オラクル・サービス・プライバシー・ポリシー（以下「サービス・プライバシー・ポリシー」）は、次の3つの項目で構成されています。

I. 第1の項目(サービス関連個人情報データの処理規約)では、Oracle Corporationおよびその関連会社(以下「オラクル」)が、オラクルの顧客(以下「お客様」)に提供される技術サポート、コンサルティング、クラウドまたはその他のサービス(以下「サービス」)の提供に際し、お客様のサービス注文期間中にサービス関連個人情報(後述で定義する)を扱うときに採用するプライバシーおよびセキュリティの慣行について説明しています。

サービス関連個人情報とは、お客様から提供され、オラクル、顧客または第三者のシステムおよび環境に帰属し、サービスを実施するためにお客様に代わってオラクルが処理する個人情報をいいます。サービス関連個人情報には、サービスに応じて、家族、ライフスタイルおよび生活環境に関する情報、雇用状況の詳細、財務状態の詳細、モバイル・デバイスのIDやIPアドレスなどのオンライン識別子、ならびに当事者のオンライン行動および興味・関心のデータが含まれることがあります。サービス関連個人情報は、従業員、求人応募者、請負業者、協力者、パートナー、サプライヤ、顧客、クライアントなど、お客様の担当者およびエンド・ユーザーと関連付けられる場合があります。

II.第2の項目(システム運用データの処理規約)では、当社サービスの(エンド)ユーザー(以下「ユーザー」)が、当社の顧客に対しサービスを監視、保護および提供するために利用されるオラクルのシステムおよびネットワークを使用した当社サービスと関わることによって生成されるシステム運用データに偶発的に含まれる可能性がある個人情報に適用されるプライバシーおよびセキュリティの慣行について説明しています。

システム運用データには、ログ・ファイル、イベント・ファイル、およびその他トレースファイルと診断ファイル、ならびに当社サービスの利用と運用およびサービスを起動するシステムとネットワークに関する統計情報および集計情報が含まれることがあります。

III.第3の項目(顧客およびユーザーへの連絡と通知)は、サービス関連個人情報とシステム運用データに含まれる個人情報の両方に適用されます。この項目では、法的に求められる開示要請をオラクルがどのように扱うかについて説明するとともに、お客様およびユーザーに対し、オラクルのグローバル・データ保護責任者への連絡または苦情の申し立ての方法について説明しています。

サービス関連個人情報およびシステム運用データの定義には、オラクルのWebサイトを利用することで、または契約締結の過程で行われるお客様もしくはユーザーと当社とのやり取りによって収集される、お客様またはユーザーの連絡先および関連情報は含まれておりません。オラクルによるこの情報の取り扱いには、オラクルのジェネラル・プライバシー・ポリシーが適用されます。

I. サービス関連個人情報データの処理規約

オラクルは、プライバシー・ポリシーの第I条およびIII条の条件、ならびにお客様のサービス注文に従って、すべてのサービス関連個人情報を扱います。

このサービス・プライバシー・ポリシーの条件とお客様のサービス注文に組み込まれたプライバシーに関するあらゆる条件(オラクルデータ処理契約を含む)との間に矛盾が生じた場合、お客様のサービス注文の関連するプライバシー条件が優先するものとします。

1.サービスの実施

オラクルは、サービスの実施に必要な処理活動において、サービス関連個人情報を処理することがあります。前述のサービスの実施には、新製品または新システム・バージョン、パッチ、アップデートおよびアップグレードのテストおよび適用、ならびにバグの修正およびその他お客様がオラクルに報告した問題の解決が含まれます。

2.顧客の指示

お客様は、サービス実施のためにオラクルによって処理されるサービス関連個人情報の管理者です。オラクルは、オラクルが次の事項を行うために必要な範囲において、お客様のサービス注文および追加の指示文書に明記されているとおり、お客様のサービス関連個人情報を処理します。(i)適用されるデータ保護法に基づく処理者としての自らの義務を遵守するため、または(ii)お客様が、自らのサービスの利用に関連する適用データ保護法に基づく管理者としての自身の義務を遵守できるよう支援するため。オラクルは、自らの合理的な意見において、お客様の指示が適用データ保護法に違反している場合、その旨を速やかにお客様にお知らせします。これには、追加の費用が適用される場合があります。

3.個人の権利

お客様は、お客様のエンド・ユーザーによるお客様のサービス関連個人情報へのアクセスを制御します。お客様のエンド・ユーザーは、自身のサービス関連個人情報に関する要請がある場合、お客様宛てに要請を行う必要があります。このようなアクセスについて、お客様がこれを利用できない範囲において、オラクルは、オラクル・システム上のサービス関連個人情報に対し、個人からアクセス、削除もしくは消去、制限、訂正、受領および転送、アクセスのブロック、またはその処理に対する異議申し立ての要請があった場合、合理的な支援を提供します。

4.セキュリティおよび秘密保持

オラクルは、サービス関連個人情報の不慮もしくは違法な破壊、紛失、変更、または不正な開示やアクセスを防止するために設計された、技術的および組織的な措置を実施しており、これを維持します。これらの手段は、通常ISO/IEC 27001:2013規格に準じており、物理アクセス、システム・アクセス、データ・アクセス、送信、インプット、セキュリティ監視、強制執行を含む、サービスに適用されるあらゆるセキュリティ・エリアに適用されます。

オラクルの従業員は、個人情報の秘密性を保持する必要があります。従業員の義務には、秘密保持契約書、情報保護に関する定期的なトレーニング、および秘密情報保護に関する社内ポリシーの遵守が含まれます。

データ保持およびデータ削除に関することを含め、これらのサービスのセキュリティ慣行に記載されている、サービスに適用される特定のセキュリティ手段に関する詳細情報をご確認ください。

5.インシデント管理およびデータ侵害通知

オラクルは、サービス関連個人情報への不正アクセスまたはその不正な取り扱いの疑いがある問題、またはそのようなアクセスや取り扱いを示唆する問題について、速やかに評価し、対応します。

オラクルが、サービス関連個人情報に関わる問題に、オラクルのシステムに転送、保管またはその他の方法で処理されるサービス関連個人情報のセキュリティ、秘密性または完全性を損なう不正流用または不慮もしくは違法な破壊、紛失、変更、不正な開示やアクセスにつながるセキュリティ侵害があると認識し、そう判断した場合、オラクルは、このような侵害について、不当に遅滞することなくお客様に報告します。

侵害に関する情報が収集されるか、その他の方法によってオラクルが合理的に入手できる場合で、法律で許可される範囲において、オラクルは、オラクルが合理的に知ることになった、またはオラクルが合理的に入手できる侵害に関する追加の関連情報をお客様に提供します。

6.代理処理者

オラクルがサービス提供の支援を目的として、サービス関連個人情報へアクセスさせるために、第三者の代理処理者を利用する範囲において、かかる代理処理者は、お客様のサービス注文の条件に基づき、オラクルと同程度のデータ保護およびセキュリティ要件に従います。オラクルは、自身が利用する代理処理者が、お客様のサービス注文の条件を遵守することに責任を負います。

オラクルは、サービス関連個人情報を処理する可能性のあるオラクルの関連会社および代理処理者の一覧を維持します。詳細については、My Oracle Support (https://support.oracle.com) (ドキュメントID: 2121811.1)、またはその他の適用される主要サポート・ツールであってサービスに提供されるものを介して入手できます。

7.国境を超えた移転

オラクルは、サービスの実施に必要な場合、世界規模でサービス関連個人情報を移転、アクセスおよび保管できます。

このような世界規模のアクセスが、欧州経済領域および英国（以下「EEA」）またはスイスを情報の出所とするサービス関連個人情報のEEA領域外もしくはスイス国外に所在するオラクルの関連会社もしくは第三者の代理処理者への移転にかかわっており、欧州委員会または管轄する国内のEEAデータ保護当局による拘束力をもつ、十分な決定を受領していない範囲において、かかる移転は、EU標準契約条項などの適用されるデータ保護法を遵守した、十分なレベルの保護を講じる、拘束力があり、かつ、適切な移転メカニズムの対象となります。

また、お客様とオラクルが、EEAまたはスイスから移転されるサービス関連個人情報について、該当するサービスのプライバシー・シールドに従って移転・処理することを契約により合意している場合、オラクルは、当該サービス関連個人情報の収集、利用、保持に関して米国商務省が定めたEU・米国間のプライバシー・シールド・フレームワークおよびスイス・米国間のプライバシー・シールド・フレームワークも遵守します。その場合、オラクルは、オラクルを代理する第三者にも同じことを行わせる責任を負っています。

オラクルは、米国商務省に対し、プライバシー・シールド原則を遵守することを証明しています。このサービス・プライバシー・ポリシーの条項とプライバシー・シールド原則との間に矛盾がある場合、プライバシー・シールド原則が優先するものとします。プライバシー・シールド・プログラムの詳細、およびオラクルの証明書を確認するには、https://www.privacyshield.gov/listをご覧ください。

Oracleのプライバシー・シールド自己認証の対象となる企業リストの詳細は、プライバシー・シールドのWebサイトを参照してください。プライバシー・シールド・フレームワークに基づきサービス関連個人情報を受領または移転する場合、オラクルは、米国連邦公正取引委員会による規制執行権限の対象となり、また、EUデータ保護機関およびスイスFDPICとの協力を確約します。

8.監査権

お客様のサービス注文に定められている範囲において、お客様は、少なくとも予定監査日の6週間前までに、オラクルに対し書面(詳細な監査計画を含む)にて要請することにより、オラクルのこのサービス・プライバシー・ポリシーの遵守について、自らの費用負担で監査を行うことができます。お客様およびオラクルは、協力して、最終的な監査計画に合意するものとします。

監査は、12か月間で1回までとし、オラクルのオンサイト・ポリシーおよび規則にしたがって、不当に業務を妨げることなく、通常の営業時間内に行うものとします。第三者による監査を希望する場合、第三者監査人については、両当事者の相互同意を必要とし、第三者監査人は、オラクルが受諾する書面による秘密保持契約を締結する必要があります。監査の終了に伴い、お客様はオラクルに対し、監査報告書の写しを提供します。この報告書は、お客様とオラクルとの契約条件に基づき、秘密情報に分類されます。

オラクルは、サービスに適用される処理活動の関連する記録など、監査の実施に合理的に必要となる情報と支援を提供することにより、かかる監査に貢献します。要請された監査の範囲が、SOC 1もしくはSOC 2、ISO、NIST、PCI DSS、HIPAA、または資格を有する第三者監査人によって12か月以内に発行された類似の監査報告書で説明されており、オラクルが監査対象の統制に既知の重要な変更がないことを確認するかかる報告書をお客様に提供する場合、お客様は、報告書で言及された同じ統制の監査を要請する代わりに、第三者監査人の報告書で示された調査結果を受け入れることに同意するものとします。お客様のサービス注文に追加の監査条件が含まれることがあります。

9.サービス関連個人情報の削除または返却

サービス注文に別途記載されているか、法律で要求されている場合を除いて、サービスの終了に伴い、またはお客様の要請に応じて、オラクルは、オラクルのコンピュータに置かれているお客様の本番顧客データを、当該データに合理的にアクセスできないまたは当該データを合理的に読み込むことができないよう設計された手段で削除します。ただし、データの全部または一部を削除しないようオラクルに対し法的に義務が課せられている場合はこの限りではありません。お客様は、サービス終了前のデータ削除に関する詳細について、Oracleのサービス担当者に相談できます。

II.システム運用データの処理規約

1.個人情報の処理における責任および目的

オラクル・コーポレーションおよびその関連会社は、このポリシーの第II条およびIII条に従って、システム運用データに偶発的に含まれる可能性がある個人情報の処理に対し責任を負っています。オラクルの事業体の一覧をご覧ください。国と地域を選択すると、各国に所在するオラクル事業体の登録住所および連絡先の詳細が表示されます。

当社は、次の目的に該当する場合、システム運用データを収集または処理することがあります。

• a)サービスを安全に保つため(セキュリティの監視および身元管理を含む)
• b)当社のシステムとネットワークを巻き込む潜在的な詐欺または違法活動を調査または防止するため(サイバー攻撃の防止やボットの検出を含む)。
• c)当社のバックアップ・災害復旧プランおよびポリシーを管理するため。
• d)ライセンスおよびその他利用規約の遵守を確認するため(ライセンス・コンプライアンスの監視)。
• e)研究開発のため(当社サービスの分析、開発、改善および最適化を含む)。
• f)適用法規を遵守するため、業務運営のため(法律で定められている報告、開示またはその他法的手続きの要請の遵守を含む)、合併および買収、財務会計、アーカイブおよび保険、法律および事業コンサルティングのため、ならびに紛争解決に関連する場合。

EUで収集されたシステム運用データに含まれている個人情報について、かかる情報の処理に対する当社の法的根拠は、効率的、かつ、適切な手段での当社の製品およびサービスの実施、管理および保護、ならびに業務運営における当社の正当な利益です。個人情報はまた、当社の法的義務または正当な利益に基づき、当該法的義務を遵守するために処理されることがあります。

2.個人情報の共有

システム運用データに含まれている個人情報は、オラクルの世界規模の組織を通じて共有されることがあります。オラクルの事業体の一覧は、前述の一覧をご覧ください。

また当社は、このような個人情報を次の第三者と共有することがあります。

• 第三者のサービス・プロバイダ(これらの第三者がオラクルに代わって業務を行うため) (例: ITサービス・プロバイダ、弁護士、監査人)。
• 再編、合併、売却、ジョイント・ベンチャー、譲渡、移転など、当社の事業、資産または株式の全部または一部の処分(破産または同様の手続きに関連するものを含む)があった場合の関連する第三者。
• 法律で要求される場合(召喚状やその他の法的手続きに従う場合など)において、当社の権利を守るため、お客様の安全や他人の安全を守るため、詐欺の調査を行うため、国家の安全または法執行(あるいはその両方)のため、政府(国外の公的機関や政府機関を含む)の要求に応じるために、開示が必要であると当社が誠実に思うとき。

第三者にシステム運用データに含まれる個人情報へのアクセス権を与える場合、当社は、プライバシー・ポリシーを遵守し、適用法に従い、かかる処理が必要な範囲でのみその個人情報を処理するよう徹底するなど、契約的、技術的、組織的に適切な措置を講じます。

3.国境を超えた移転

十分なレベルの保護手段が講じられていない国に所在するオラクルの受領者にシステム運用データに含まれる個人情報が転送される場合、かかる転送をEU標準契約条項の対象とするなどユーザーに関する情報を適切に保護するよう設計された措置を講じます。

4.セキュリティ

オラクルは、自社のコーポレート・セキュリティの慣行に従い、不慮もしくは違法な破壊、または不慮の紛失、破損、変更、不正な開示やアクセス、ならびにその他の違法な処理(不必要な収集などが挙げられるが、これに限定しない)もしくは処理の続行から個人情報を保護するよう設計された、適切な技術的、物理的および組織的な措置を実施しています。

5.ユーザーの選択

適用法に基づき定められている範囲において、ユーザーは、一定の状況下で、システム運用データに含まれている個人情報のアクセス、訂正、アップデート、または削除を要請でき、それ以外の場合は、お問い合わせフォームに記入して連絡することで、個人情報に関する選択肢を行使できます。

III.顧客およびユーザーへの連絡と通知

1.法的要件。

オラクルは、法律の要求に従い(召喚状やその他の法的手続きに従う場合など)、当社の権利を守るため、お客様やユーザー、他人の安全を守るため、詐欺の調査を行うため、政府(ユーザーの居住国外の公的機関や政府機関を含む)の要求に応じるため、国家の安全または法執行(もしくはその両方)のために、開示が必要であると当社が誠実に思うとき、サービス関連個人情報およびシステム運用データに含まれる個人情報へのアクセス権を提供するよう求められることがあります。

オラクルは、特に法律によって義務付けられている場合を除き、サービス関連個人情報へのアクセス権を提供するよう要請された場合、速やかにお客様にお知らせします。

2.グローバル・データ保護責任者

オラクルでは、グローバル・データ保護責任者を任命しています。プライバシー・ポリシーもしくはお客様の選択に反する方法でお客様またはユーザーの個人情報が使用されていると思う場合、またはオラクルによるサービス関連個人情報もしくはシステム運用データに含まれる個人情報の取り扱いに関して他に質問、意見、提案がある場合は、お問い合せフォームに記入してグローバル・データ保護責任者にご連絡ください。

グローバル・データ保護責任者宛ての書面によるお問い合わせは、以下の住所宛てに送付してください。

Oracle Corporation
Global Data Protection Officer
10 Van de Graaff Drive
Burlington, MA 01803
U.S.A.

EU/EEA内で収集された個人情報については、EUデータ保護責任者への書面によるお問い合わせを次の宛先にお送りください。

Robert Niedermeier
Hauptstraße 4
D-85579 Neubiberg / München
Germany
電子メール: mail@legislator.de

3.紛争の解決または苦情の申し立てについて

当社によるプライバシーおよびセキュリティの慣行の遵守に関して苦情がありましたら、オラクルまでご連絡ください。当社のプライバシー慣行に関する苦情や紛争を調査し解決すべく努力いたします。

プライバシーまたはデータの利用に関するお客様の懸念が解決されず、オラクルの対応にご満足いただけない場合は、米国に拠点を置く第三者紛争解決機関(https://feedback-form.truste.com/watchdog/request)にご連絡ください(無料でご利用いただけます)。

特定の状況(プライバシー・シールドのWebサイトに記載されています)において、他の紛争解決手続きが尽くされた場合���、ユーザーは拘束力のある仲裁を求めることができます。また、欧州連合加盟国の居住者は、所轄のデータ保護当局に苦情を申し立てる権利を有します。

4.サービス・プライバシー・ポリシーの変更

本プライバシー・ポリシーの最終更新日は2019年3月7日です。ただし、サービス・プライバシー・ポリシーは、法的要件を遵守したり業務上のニーズの変化などに対応したりするために、将来変更されることがあります。最新のバージョンは、こちらのWebサイトでご覧いただけます。重要な変更があった場合には、変更が適用される前に、適切な他の手段（当社Webサイト上のポップアップ通知や変更通知など）でもお知らせします。