プライバシーポリシー

1. はじめに

WorkTime One（「当社」、「当社の」、または「私たち」）へようこそ。当社は、お客様の個人情報とプライバシーの権利を保護することに尽力しております。本プライバシーポリシーは、お客様が当社の時間追跡および従業員管理プラットフォームをご利用になる際に、当社がどのように情報を収集、使用、開示、保護するかを説明するものです。

WorkTime Oneをご利用いただくことにより、お客様は本ポリシーに従った情報の収集および使用に同意したものとみなされます。当社のポリシーおよび慣行に同意されない場合は、当社のサービスをご利用にならないでください。

2. 収集するデータ

2.1 お客様にご提供いただく情報

• アカウント情報：氏名、メールアドレス、パスワード、会社名、請求情報
• 従業員データ：従業員の氏名、ID、部署、役職、給与情報、勤務スケジュール
• 連絡先情報：電話番号、住所、緊急連絡先
• コミュニケーションデータ：メッセージ、サポートチケット、当社チームとの通信記録
• 支払い情報：クレジットカード情報、請求先住所（サードパーティ決済処理業者を通じて安全に処理されます）

2.2 自動的に収集される情報

• 時間追跡データ：出勤・退勤時刻、労働時間、出勤記録、スマートロックからの位置情報データ
• デバイス情報：IPアドレス、ブラウザの種類、オペレーティングシステム、デバイスID
• 使用状況データ：訪問したページ、使用した機能、プラットフォーム上での滞在時間、クリックパターン
• スマートロックデータ：TTLock統合データ（ロックアクセスログ、RFID/NFCカードスキャン、指紋認証データ、PINコード使用履歴を含む）
• 位置情報データ：スマートロック設置場所およびIPアドレスからの地理的位置情報
• Cookieと分析情報：セッションデータ、設定、分析情報

2.3 生体認証データ

TTLockスマートロックを通じた指紋認証をご利用の場合、当社は生体認証データを収集および処理いたします。このデータは：

• AES-256暗号化を使用して暗号化されます
• ハッシュ化された形式で保存され、逆行分析することはできません
• 従業員の識別および時間追跡の目的でのみ使用されます
• 法律で要求される場合を除き、サードパーティと共有されることは決してありません
• 従業員の退職またはアカウント閉鎖時に削除されます

3. データの使用方法

当社は、収集した情報を以下の目的で使用いたします：

3.1 サービス提供

• 従業員の出席状況と労働時間の追跡
• 給与計算、残業代、罰則金の算定
• レポートおよび分析の生成
• 従業員記録および組織構造の管理
• 自動時間追跡のためのTTLockスマートロックとの統合

3.2 コミュニケーション

• 罰則、レポート、システム更新に関する自動メール通知の送信
• カスタマーサポートの提供およびお問い合わせへの対応
• 重要なサービスのお知らせおよびセキュリティアラートの送信
• マーケティングコミュニケーション（お客様の同意を得た上で、いつでもオプトアウト可能）

3.3 セキュリティおよび不正行為の防止

• 不正アクセスの検出および防止
• 不正行為および時間盗用の防止
• データの完全性およびシステムセキュリティの確保
• 当社の利用規約の執行

3.4 改善と分析

• サービス改善のための使用パターンの分析
• 新機能および機能性の開発
• 調査および統計分析の実施
• プラットフォームパフォーマンスのテストおよび最適化

3.5 法令遵守

• 法的義務および規制の遵守
• 当局からの合法的な要請への対応
• 会計および税務目的の記録保持
• 当社の法的権利および利益の保護

4. データの共有と開示

当社はお客様の個人情報を販売いたしません。当社は、以下の状況においてお客様のデータを共有する場合がございます：

4.1 サービスプロバイダー

当社は、プラットフォームの運営を支援する信頼できるサードパーティサービスプロバイダーとデータを共有いたします：

• Firebase（Google）：認証、データベース、ホスティングサービス
• SendGrid：メール通知配信
• TTLock API：スマートロック統合およびアクセス制御
• 決済処理業者：安全な決済処理（完全なクレジットカード情報を受け取ることはありません）
• クラウドインフラストラクチャ：データストレージおよびサーバーホスティング

すべてのサービスプロバイダーは厳格な機密保持契約に拘束されており、当社へのサービス提供のためにのみお客様のデータを使用することが許可されております。

4.2 法的要件

法律により義務付けられている場合、または以下への対応として、お客様の情報を開示する場合がございます：

• 裁判所命令、召喚状、または法的手続き
• 法執行機関または政府機関からの要請
• 当社の権利、財産、または安全の保護
• 詐欺またはセキュリティ問題の調査

4.3 事業譲渡

合併、買収、破産、または資産売却の際に、お客様の情報が新しい事業体に譲渡される場合がございます。当社はそのような変更についてお客様に通知し、お客様のデータに関する選択肢を提供いたします。

4.4 お客様の同意を得た場合

お客様が明示的にそのような共有に同意された場合、当社はサードパーティとお客様の情報を共有することがございます。

5. データセキュリティ

当社は、お客様の個人情報を保護するために業界最高水準のセキュリティ対策を実施しております：

5.1 技術的保護措置

• 暗号化：保管データにはAES-256暗号化、転送データにはTLS 1.3を使用
• 認証：Google Authenticatorおよびメールによる二要素認証（2FA）
• アクセス制御：ロールベースアクセス制御（RBAC）および最小権限の原則
• ファイアウォール：ネットワークレベルの保護および侵入検知システム
• 定期監査：セキュリティ評価、侵入テスト、脆弱性スキャン
• 安全なバックアップ：災害復旧を伴う暗号化された地理的に分散されたバックアップ

5.2 組織的保護措置

• データ保護およびプライバシーベストプラクティスに関する従業員研修
• すべてのスタッフおよび契約者との機密保持契約
• 必要最小限の原則に基づいた個人データへの限定的アクセス
• セキュリティ侵害に対するインシデント対応計画
• 定期的なセキュリティ意識向上プログラム

5.3 セキュリティ侵害の通知

お客様の個人情報に影響を与えるデータ侵害が発生した場合、当社はGDPRおよびその他の適用法令で要求されるとおり、72時間以内にお客様に通知いたします。当社は、侵害の詳細、潜在的な影響、および是正措置についての情報を提供いたします。

6. データの保持

当社は、本プライバシーポリシーに記載された目的を達成するために必要な期間のみ、お客様の個人情報を保持いたします：

• アクティブアカウント：お客様のアカウントがアクティブである間、データは保持されます
• 従業員記録：雇用終了後7年間保持（法的および税務上のコンプライアンスのため）
• 時間追跡データ：7年間保持（労働法で要求されるため）
• 生体認証データ：従業員の退職後またはご要望に応じて30日以内に削除
• 財務記録：7年間保持（税務および会計目的のため）
• マーケティングデータ：オプトアウト要求後直ちに削除
• バックアップデータ：プライマリ削除後90日以内にバックアップから削除

アカウント閉鎖時には、法律により保持が義務付けられている場合を除き、30日以内にお客様の個人データを削除または匿名化いたします。

7. お客様の権利

GDPR、CCPA、その他のプライバシー規制に基づき、お客様には以下の権利がございます：

7.1 アクセス権

当社が保有するすべての個人データのコピーをご請求いただけます。当社は、30日以内に構造化された一般的に使用される機械可読形式でこの情報を提供いたします。

7.2 訂正権

不正確または不完全な個人データの訂正をご請求いただけます。当社は、確認後速やかにお客様の情報を更新いたします。

7.3 消去権（忘れられる権利）

特定の法的例外（税務コンプライアンス、法的義務など）を条件として、お客様の個人データの削除をご請求いただけます。

7.4 処理制限権

お客様がデータの正確性を争う場合など、特定の状況において、当社によるお客様のデータの使用を制限するようご請求いただけます。

7.5 データポータビリティ権

お客様のデータをポータブル形式で受け取ること、または別のサービスプロバイダーに直接転送することをご請求いただけます。

7.6 異議申立権

ダイレクトマーケティング目的または正当な利益に基づく個人データの処理に異議を申し立てることができます。

7.7 同意撤回権

処理が同意に基づいている場合、以前の処理の合法性に影響を与えることなく、いつでも同意を撤回することができます。

7.8 苦情申立権

当社がお客様のプライバシー権を侵害したと思われる場合、お客様の地域のデータ保護機関に苦情を申し立てる権利がございます。

8. Cookieおよびトラッキング技術

8.1 Cookieとは

Cookieとは、当社のサービスの提供および改善を支援するためにお客様のデバイスに保存される小さなテキストファイルです。当社は、セッションCookie（ブラウザを閉じると削除されます）と永続Cookie（設定された期間デバイスに残ります）の両方を使用しております。

8.2 使用するCookieの種類

• 必須Cookie：基本的なプラットフォーム機能（ログイン、セキュリティ、セッション管理）に必要
• パフォーマンスCookie：ユーザーがプラットフォームとどのように対話するかを理解するのに役立ちます（Google Analytics）
• 機能Cookie：お客様の設定（言語、タイムゾーン、ダッシュボードレイアウト）を記憶します
• マーケティングCookie：関連性のある広告を配信するために使用されます（お客様の同意がある場合のみ）

8.3 サードパーティCookie

当社は以下のサードパーティCookieを使用しております：

• Google Analytics：ウェブサイト分析および使用統計
• Firebase：認証およびセッション管理
• SendGrid：メールトラッキング（開封率、クリック率）

8.4 Cookieの管理

お客様はブラウザの設定を通じてCookieを制御できます。必須Cookieを無効にすると、プラットフォームの機能に影響を与える可能性がございますのでご注意ください。ほとんどのブラウザでは、以下のことが可能です：

• 既存のCookieを表示および削除する
• サードパーティCookieをブロックする
• すべてのCookieをブロックする
• ブラウザを閉じるときにCookieを削除する

9. サードパーティサービス

当社のプラットフォームは以下のサードパーティサービスと統合されております：

9.1 TTLockスマートロック

当社は、TTLockのAPIと統合してスマートロックのアクセスログを取得しております。TTLockのプライバシーポリシーが彼らのデータ収集を規定します。当社は、時間追跡の目的に必要なデータのみにアクセスいたします。

9.2 Firebase（Google）

当社は、認証、データベース、ホスティングにFirebaseを使用しております。データは、エンタープライズグレードのセキュリティを備えたGoogle Cloud Platformデータセンターに保存されます。Googleのプライバシーポリシーが彼らのサービスに適用されます。

9.3 SendGrid

メール通知はSendGrid経由で送信されます。彼らはメールアドレスとメッセージ内容を処理しますが、お客様のデータを自社の目的で使用することはありません。

9.4 決済処理業者

当社は、PCI DSS準拠の決済処理業者を使用しております。当社は、完全なクレジットカード情報を当社のサーバーに保存することは決してありません。

10. 国際データ転送

お客様のデータは、米国およびEUを含む、お客様の管轄区域外の国に転送され処理される場合がございます。当社は、適切な保護措置が講じられていることを確認しております：

• 標準契約条項（SCC）：データ転送のためのEU承認契約
• 十分性決定：十分なデータ保護法を有する国への転送
• プライバシーシールド（レガシー）：該当する場合の米国ベースのサービスプロバイダー向け
• 暗号化：すべての国際データ転送は暗号化されます

EUユーザーのデータは、国際転送を最小限に抑えるため、主にEUベースのデータセンターに保存されます。

11. 児童のプライバシー

WorkTime Oneは18歳未満の個人を対象としておりません。当社は、児童から意図的に個人情報を収集することはありません。18歳未満の児童からデータを収集したことが判明した場合、当社は直ちにそれを削除いたします。

親権者または保護者の方で、お子様が当社に個人情報を提供したと思われる場合は、[email protected]までご連絡ください。

12. 本プライバシーポリシーの変更

当社は、当社の慣行、法的要件、またはサービス機能の変更を反映するため、随時本プライバシーポリシーを更新する場合がございます。当社は、以下の方法により、重要な変更についてお客様に通知いたします：

• 新しい「最終更新」日を記載した更新されたポリシーを当社のウェブサイトに掲載
• 登録ユーザーへのメール通知の送信
• 重要な変更についてのアプリ内通知の表示

変更が有効になった後のWorkTime Oneの継続使用は、更新されたプライバシーポリシーへの同意を構成するものとみなされます。

13. 連絡先情報

本プライバシーポリシーまたは当社のデータ慣行に関するご質問、懸念、またはご要望がございましたら、以下までご連絡ください：