GDPR準拠

WorkTime OneはEU一般データ保護規則(GDPR)を完全に遵守しています。あなたの権利と個人データの保護方法について学びましょう。

最終更新:2025年11月18日

2018年からGDPR準拠
EUデータセンター利用可能
標準契約条項

目次

1. GDPR概要

一般データ保護規則(GDPR)は、2018年5月25日に欧州連合および欧州経済領域全体で施行された包括的なデータ保護法です。組織がEU居住者の個人データを収集、処理、保存、保護する方法について厳格な要件を定めています。

個人データとは何ですか?

GDPRの下では、個人データとは、識別された、または識別可能な自然人に関するあらゆる情報です。これには以下が含まれます:

  • 基本的な身元:氏名、住所、メールアドレス、電話番号
  • 勤務情報:従業員ID、役職、部門、給与
  • 技術データ:IPアドレス、デバイスID、ブラウザフィンガープリント
  • 位置データ:スマートロックからの地理的位置
  • 生体データ:スマートロック認証に使用される指紋
  • 行動データ:勤務時間、出勤パターン、時間記録

GDPRの主要原則

WorkTime Oneは7つのGDPR原則すべてを遵守しています:

1. 適法性、公正性、透明性

明確なプライバシー通知により、データは適法、公正、透明に処理されます

2. 目的の制限

特定の正当な目的のためにのみデータを収集

3. データの最小化

記載された目的に必要なデータのみを収集

4. 正確性

個人データを正確かつ最新の状態に保つ

5. 保存の制限

必要な期間のみデータを保持

6. 完全性と機密性

適切なセキュリティ対策でデータを保護

7. 説明責任

文書化とポリシーを通じてコンプライアンスを実証

2. GDPR下での当社の役割

データ管理者とデータ処理者

WorkTime Oneは、状況に応じて異なる立場で活動します:

データ管理者としてのWorkTime One

貴社の組織のアカウントデータ(会社名、請求情報、管理者ユーザー)については、当社がデータ管理者です。このデータの処理方法と理由を決定します。

例:アカウント登録、請求、カスタマーサポート、サービス通信

データ処理者としてのWorkTime One

貴社がアップロードおよび管理する従業員の時間追跡データについては、当社がデータ処理者です。貴社(顧客)がデータ管理者であり、処理の目的と手段を決定します。

例:従業員名、勤務時間、出勤記録、生体データ、位置データ

データ管理者としての貴社の責任

WorkTime Oneを使用して従業員の時間を追跡する場合、貴社はデータ管理者であり、以下について責任があります:

  • 従業員データ処理の合法的根拠の取得(同意、契約、正当な利益など)
  • データ収集と使用を説明するプライバシー通知を従業員に提供
  • 生体データ収集(指紋)の明示的同意の取得
  • 従業員のデータ主体権利要求への対応
  • 適切な技術的および組織的措置の実施
  • 現地の労働法および従業員監視規制の遵守
  • 必要に応じてデータ保護影響評価(DPIA)の実施

3. 処理の法的根拠

GDPRは個人データ処理に合法的根拠を要求します。WorkTime Oneは以下の法的根拠に依拠します:

契約(第6条第1項(b))

利用規約に基づいてサービスを提供するために必要な処理。これはアカウント管理、請求、コアサービス機能に適用されます。

正当な利益(第6条第1項(f))

セキュリティ、詐欺防止、サービス改善のための処理。当社の利益と貴社の権利および自由のバランスをとります。

同意(第6条第1項(a))

マーケティング通信およびオプション機能には明示的な同意が必要です。いつでも同意を撤回できます。

法的義務(第6条第1項(c))

税務記録、財務コンプライアンス、法的要求への対応など、法律で要求される処理。

特別カテゴリーデータ(生体認証)

生体データ(指紋)はGDPR第9条に基づく「特別カテゴリー」データと見なされ、追加の保護が必要です。以下に基づく処理は合法です:

  • 明示的同意(第9条第2項(a)):指紋収集について従業員から明示的で情報に基づいた同意を得る必要があります
  • 雇用の文脈(第9条第2項(b)):国内法に基づく雇用義務に処理が必要な場合があります
  • セキュリティ対策:生体データはハッシュ化、暗号化され、他の個人データとは別に保存されます
  • 撤回する権利:従業員はいつでも同意を撤回し、生体データの削除を要求できます

4. データ主体の権利

GDPRの下、貴社は個人データに関して包括的な権利を有します:

アクセス権(第15条)

当社が貴社の個人データを処理しているかどうかの確認を取得し、そのデータにアクセスする権利があります。

行使方法:

  • アカウントにログインし、設定 → データエクスポートに移動
  • CSV、JSON、Excel形式でデータをエクスポート
  • 包括的なデータアクセス要求については [email protected] にメール
  • 30日以内に対応します(無料)

訂正権(第16条)

不正確な個人データを修正または完成させる権利があります。

行使方法:

  • 設定でアカウント情報を直接更新
  • 管理者は従業員管理セクションで従業員情報を更新可能
  • 当社の支援が必要な修正については [email protected] に連絡
  • 30日以内に不正確さを修正します

消去権/忘れられる権利(第17条)

特定の状況において個人データの削除を要求する権利があります。

行使方法:

  • 設定 → アカウント → アカウント削除でアカウントを閉鎖
  • 従業員は雇用主(データ管理者)に連絡して削除を要求可能
  • 削除要求については [email protected] にメール
  • 30日以内にデータを削除(法的保持要件を除く)
  • 90日以内にバックアップを消去

注:法律で要求される特定のデータは保持する場合があります(例:税務記録は7年間)

処理制限権(第18条)

特定の状況において、当社がデータを処理する方法を制限するよう要求できます。

利用可能な場合:

  • データの正確性に異議を唱える場合(検証中)
  • 処理が違法だが削除を望まない場合
  • 当社がもはやデータを必要としないが、法的請求のためにデータが必要な場合
  • 処理に異議を唱えた場合(正当な根拠の検証待ち)

データポータビリティ権(第20条)

構造化された機械可読形式で個人データを受け取り、別の管理者に転送する権利があります。

サポートされる形式:

  • CSV(カンマ区切り値)
  • JSON(JavaScript Object Notation)
  • Excel(.xlsx)
  • 別のサービスへの直接API転送(支援についてはお問い合わせください)

異議権(第21条)

正当な利益に基づく処理またはダイレクトマーケティングに異議を唱える権利があります。

行使方法:

  • マーケティングへの異議:メールの配信停止リンクまたは設定 → 通知
  • プロファイリングへの異議:[email protected] に連絡
  • 正当な利益処理への異議:説得力のある正当な根拠を示さない限り中止します

自動化された意思決定に関する権利(第22条)

貴社に重大な影響を与える自動処理のみに基づく決定の対象とならない権利があります。

WorkTime Oneの立場:法的効果または同様の重大な影響を生じる自動決定は行いません。給与計算およびペナルティ評価は、貴社(雇用主)が定義した透明なルールに基づいており、手動でレビューおよび調整できます。

5. データ保護対策

適切なセキュリティを確保するため、包括的な技術的および組織的措置を実施しています:

技術的措置

  • 暗号化:保存データにはAES-256暗号化、転送中データにはTLS 1.3
  • 仮名化:可能な限り、プライバシーリスクを軽減するためデータを仮名化
  • アクセス制御:最小権限の原則を持つロールベースアクセス制御(RBAC)
  • 二要素認証:すべてのユーザーに必須2FAを利用可能
  • 自動バックアップ:地理的冗長性を備えた定期的な暗号化バックアップ
  • 侵入検知:セキュリティ脅威の24時間365日監視
  • 脆弱性管理:定期的なセキュリティテストとパッチ管理

組織的措置

  • データ保護ポリシー:包括的な内部ポリシーと手順
  • 従業員トレーニング:すべてのスタッフに定期的なプライバシーとセキュリティトレーニング
  • 機密保持契約:すべての従業員がNDAと機密保持契約に署名
  • アクセスレビュー:従業員のアクセス権限の四半期ごとのレビュー
  • インシデント対応計画:データ侵害対応の文書化された手順
  • データ保護影響評価:高リスク処理のためのDPIA実施
  • ベンダー管理:すべてのサブプロセッサーのデューデリジェンス

設計によるプライバシーとデフォルト

  • 製品開発の開始時からプライバシー考慮事項を統合
  • デフォルト設定がプライバシー保護を優先
  • システム設計にデータ最小化を組み込み
  • 製品ライフサイクル全体での定期的なプライバシーレビュー

6. 国際的なデータ転送

WorkTime Oneは、貴社の個人データを欧州経済領域(EEA)外に転送する場合があります。適切な保護措置が講じられていることを保証します:

データ保存場所

  • 主要ストレージ:Google Cloud Platform経由のEUベースのデータセンター(ドイツ、ベルギー、オランダ)
  • バックアップ:複数のEU地域にわたって複製
  • EU専用ストレージのオプション:エンタープライズ顧客はEU専用データ常駐を要求可能

転送メカニズム

標準契約条項(SCC)

十分性決定のない国へのデータ転送には、EU承認の標準契約条項(SCC)を使用します。当社のSCCはSchrems II判決の要件を組み込んでいます。

十分性決定

可能な限り、EU十分性決定のある国にデータを転送します(英国、スイス、特定の条件下でカナダなど)。

補足措置

EU外に転送されるデータを保護するため、補足的な技術措置(暗号化、仮名化)を実施します。

サブプロセッサー

EU個人データを処理する可能性のある以下のサブプロセッサーを使用します:

サブプロセッサー 目的 所在地 保護措置
Google Cloud Platform ホスティング、データベース EU(主要) SCC、ISO 27001
Firebase(Google) 認証、データベース EU(主要) SCC、ISO 27001
SendGrid メール配信 米国 SCC、PCI DSS
TTLock API スマートロック統合 中国 SCC、暗号化

7. データ処理契約(DPA)

GDPR第28条で要求されるように、従業員データの処理にWorkTime Oneを使用するすべての顧客にデータ処理契約を提供します。

DPAとは何ですか?

データ処理契約(DPA)は、データ管理者(貴社)とデータ処理者(当社)間の法的拘束力のある契約であり、個人データの処理方法を管理します。これにより、貴社のデータを処理する際にGDPRに準拠することが保証されます。

当社のDPAには以下が含まれます

  • 対象事項と期間:サブスクリプション期間中の時間追跡と出勤管理
  • 性質と目的:サービス提供のための従業員時間追跡データの処理
  • 個人データの種類:氏名、従業員ID、勤務時間、生体データ、位置データ
  • データ主体のカテゴリー:貴社の従業員と請負業者
  • 貴社の義務:データ管理者としての貴社の責任
  • 当社の義務:データ処理者としての当社の責任
  • セキュリティ対策:当社が実施する技術的および組織的措置
  • サブ処理:認可されたサブプロセッサーのリスト
  • データ主体の権利:データ主体要求に対する当社の支援
  • 監査と検査:当社のコンプライアンスを監査する貴社の権利
  • データ侵害通知:侵害を通知する当社の義務
  • 国際転送:SCCと転送メカニズム
  • 削除と返却:契約終了時のデータ処理

アクセス方法:当社の標準DPAは利用規約に組み込まれています。エンタープライズ顧客は [email protected] に連絡してカスタマイズされたDPAを要求できます

8. データ侵害通知

GDPR第33条および第34条に基づき、データ侵害通知に関する厳格な義務があります:

当社の義務

  • 監督当局への通知:EU居住者に影響を与える侵害を認識してから72時間以内に関連監督当局に通知
  • 顧客への通知:影響を受けた顧客(データ管理者)に不当な遅延なく、通常24〜48時間以内に通知
  • データ主体への通知:侵害が個人に高リスクをもたらす場合、影響を受けた個人への通知を支援
  • 侵害の文書化:事実、影響、救済措置を含むすべての侵害の記録を維持

当社が通知する内容

  • 侵害の性質(何が起こったか)
  • 影響を受けた個人と記録のカテゴリーと概数
  • 侵害の潜在的な結果
  • 侵害に対処するために講じた、または講じる予定の措置
  • 潜在的な悪影響を軽減するための措置
  • さらなる問い合わせのための連絡先情報

データ管理者としての貴社の義務

従業員のデータに影響を与える侵害を通知した場合、貴社は以下を行う必要がある場合があります:

  • 侵害が従業員に高リスクをもたらすかどうかを評価
  • 国の監督当局に通知(必要な場合)
  • 影響を受けた従業員に通知(侵害が彼らの権利と自由に高リスクをもたらす場合)
  • 侵害対応と決定を文書化

9. データ保護責任者(DPO)

GDPR第37条に基づき、データ保護戦略を監督し、コンプライアンスを確保するためにデータ保護責任者を任命しています。

DPOの責任

  • GDPRおよび他のデータ保護法へのコンプライアンスの監視
  • データ保護影響評価(DPIA)に関する助言
  • 監督当局との協力
  • データ主体および監督当局の連絡窓口としての活動
  • データ保護義務に関するスタッフのトレーニング
  • 内部監査および評価の実施

DPOへの連絡

GDPR関連の質問や懸念については、データ保護責任者に直接連絡できます:

メール:[email protected]

郵送:Data Protection Officer, WorkTime One, Inc.

応答時間:DPO問い合わせには5営業日以内に対応します

10. 従業員のプライバシー権

WorkTime Oneを通じて従業員データを処理する場合、特別な考慮事項が適用されます:

雇用主の義務

重要:雇用主(データ管理者)として、従業員のプライバシーに関する法的義務があります。

  • 透明性:時間追跡、収集されるデータ、その使用方法について従業員に通知
  • 合法的根拠:時間追跡の合法的根拠(通常は契約または正当な利益)を確保
  • 生体認証の同意:指紋または他の生体データを収集する前に明示的な同意を取得
  • データ最小化:正当なビジネス目的に必要なデータのみを追跡
  • 従業員の権利:従業員のデータ主体権利要求(アクセス、削除など)を促進
  • 労使協議会への相談:一部のEU諸国では、従業員監視を実施する前に労使協議会と相談
  • 国内法:国内労働法および従業員監視規制を遵守

従業員プライバシー通知テンプレート

組織向けにカスタマイズできる従業員プライバシー通知テンプレートを提供します。これにより、GDPR透明性要件への準拠を支援します。

ダウンロード:[email protected] で従業員プライバシー通知テンプレートをリクエスト

11. 監督当局への苦情

GDPR第77条に基づき、当社がデータ保護権を侵害したと考える場合、監督当局に苦情を申し立てる権利があります。

苦情の申し立て方法

以下の監督当局に苦情を申し立てることができます:

  • 常居所地のEU加盟国
  • 勤務地のEU加盟国
  • 侵害が発生したとされるEU加盟国

EU監督当局

お住まいの地域のデータ保護当局を検索:

EU全体リスト:European Data Protection Board

アイルランド(当社のEU拠点):Data Protection Commission(DPC)

メール:[email protected]

ウェブサイト:www.dataprotection.ie

まず当社にご連絡ください

データ処理について懸念がある場合は、まず当社にご連絡いただくことをお勧めします。問題を直接解決することに尽力し、貴社の懸念に対処するために協力します。

12. 連絡先情報

GDPR関連の質問、データ主体権利要求、またはその他のプライバシーに関する懸念について:

GDPR問い合わせ:[email protected]

データ保護責任者:[email protected]

プライバシーチーム:[email protected]

一般サポート:[email protected]

EU代表:[email protected]

応答時間:GDPR要求には30日以内に対応します(法律で要求される通り)

当社のEU拠点

EU固有の事項については、当社のEU代表に連絡できます:

EU代表:WorkTime One Europe Ltd.

メール:[email protected]

管轄:アイルランド(主導監督当局:アイルランドDPC)

GDPRリソース

データ保護の権利と当社のコンプライアンスについて詳しく学ぶ

プライバシーポリシー

完全なプライバシー慣行

セキュリティ対策

実施している技術的保護措置

利用規約

サービス契約とDPA