法的情報

プライバシーとセキュリティに関するよくある質問

Avettaではお客様のプライバシーを尊重しており、お客様のデータ保護に取り組んでいます。

この「よくある質問」では、プライバシーの観点から、AvettaとAvettaのクライアント（「クライアント」）、そしてAvettaネットワークに参加するサプライヤー（「サプライヤー」）の関係についての情報を提供します。Avettaがどのようにデータを処理し、保護するのか、サプライヤーが抱く一般的な質問に回答しています。この「よくある質問」は情報提供のみを目的としています。またこれは、法律上の助言の代わりとみなされないものとし、Avettaとの契約に組み込まれたり、契約の一部を構成したりするものではありません。本ページで使用されている用語のうち、定義されていないものについては、エンドユーザーサービス契約（「EUSA」）で規定されている意味を有します。

1.サプライヤーは、どのような方法でAvettaネットワークに参加するのですか？

サプライヤーがAvettaネットワークに参加する一般的な方法は以下の2つです。

クライアントが、AvettaのSaaSプラットフォーム（「Avettaプラットフォーム」）を通じて、関与および管理したいサプライヤーを特定します。次に、Avettaとクライアントが連携し、Avettaネットワークへの参加をサプライヤーに依頼する招待メールを送信します。このプロセスは、クライアントがサプライヤーに関する特定の文書やその他のデータへのアクセスを必要とする場合に適用され、これらのデータはその後、サプライヤーからAvettaに提供されます。その後、Avettaが、Avettaプラットフォームを通じて、当該データをクライアントに提供します。このようにして、Avettaは、サプライヤーと取引のあるクライアントからのデータリクエストに基づいて、サプライヤーのデータを収集します。
サプライヤーが、自らの意思でAvettaネットワークに参加することも可能です。Avettaネットワーク内でつながったクライアントの定める要件に従って、文書およびその他のデータを提供し、取引を開始します。

2.AvettaがAvettaプラットフォームを通じてサプライヤーから収集するデータの種類について教えてください。

一般的に、Avettaはサプライヤーから次の2種類のデータを収集します：一般アクセスデータと限定アクセスデータ

「一般アクセスデータ」には、サプライヤーの商号、業務内容、事業所の住所、事業所の連絡先情報、その他の事業所の一般的な情報が含まれます。

「限定アクセスデータ」には、事前資格審査フォームに含まれるサプライヤーのデータや、特定の保険情報、経験修正率や労働安全衛生局データなどの安全統計、監査（監査とは、関連する規制基準、業界のベストプラクティス、または取引関係を構築したクライアントによって決定されたその他の基準やパラメータに対するサプライヤーの遵守状況を評価するために、サプライヤーの手順および慣行をAvettaが客観的に評価することを指します）中に収集されるすべてのデータ、そしてサプライヤーが当社の労働者製品を使用する場合の労働者データが含まれます。Avettaがサプライヤーから収集する限定アクセスデータの具体的な範囲は、サプライヤーが契約しているAvettaサービス、およびサプライヤーがAvettaプラットフォーム上でつながったクライアントの設定要件によって異なります。

3.Avettaのプラットフォームを通じてサプライヤーのデータにアクセスできるユーザーとその理由について教えてください。

一般アクセスデータは、一般に公開されているデータのことではありません。パスワードで保護されており、Avettaネットワークに参加するクライアントとサプライヤーのみと共有されます。ただし、特定の状況においては、潜在クライアントと共有される場合もあります。サプライヤーの一般アクセスデータの表示は、当社がサプライヤーに提供するメリット / 機能の一部であり、クライアントは、取引の機会を求めてAvettaネットワーク内のサプライヤーを検索することができます。

限定アクセスデータにアクセスできるのは、サプライヤーと取引関係のあるクライアント（およびサプライヤーが下請業者の場合は元請サプライヤー）のみです。また限定アクセスデータは、取引関係のあるクライアントの利益のために維持されます（たとえば、サプライヤーがクライアントと協働するための要件を満たしていること、または特定の労働者がクライアントの職場に入る資格があることを確認するため）。限定アクセスデータは、(i) 取引関係のあるすべてのクライアント（および該当する場合は元請業者）がアクセス可能な標準的なコンプライアンスデータと、(ii) 特定の要件を定義するクライアント（および該当する場合はそのクライアントの元請サプライヤー）のみがアクセス可能であるクライアント固有のコンプライアンスデータという2つのグループに分類できます。当社の労働者向け製品を通じて送信される労働者データは、クライアント固有のコンプライアンスデータに該当し、このデータへのアクセスは、現場にアクセスするための要件を設定するクライアントに限定されることに注意することが重要です。

4.Avettaはサプライヤーからどんな個人データを収集しますか？

サプライヤーが提供する事業所の連絡先情報に個人の氏名またはメールアドレスが含まれていない限り、一般アクセスデータには通常、個人データは含まれません。

限定アクセスデータには個人データが含まれる場合がありますが、限定アクセスデータに含まれる特定の種類の個人データは、サプライヤーが加入しているAvettaサービスおよびサプライヤーと取引関係のあるクライアントが設定した要件によって異なります。

個人データのカテゴリー、データ主体の種類、処理の目的、およびAvettaがEUSAに従い、サービスの提供に伴い実行する処理に関するその他の詳細については、当社のデータ処理補遺（「DPA」）の別紙Bを参照してください。

5.データ処理の目的は何ですか？

Avettaによるデータ処理の目的は以下の通りです。

Avettaのサービスを提供できるようにするために、データ処理を行います。
労働者に関する個人データは、取引関係のあるクライアントの利益のためにAvettaプラットフォームで維持されます（たとえば、特定の労働者がクライアントの職場に入る資格があることを確認するため）。
集計および匿名化されたデータは、Avettaによって以下の目的で使用されます。
- 製品開発
- 調査
- 市場分析
事業所の連絡先データは、Avettaによって以下の目的で使用されます。
- ダイレクトマーケティング（ニュースレターとプロモーションメールの送信など）
- 事業開発
- カスタマーサポート
Avettaのその他の正当な利益については、Avettaのプライバシーポリシーの第5条を参照してください。

6.サプライヤーの個人データを処理するにあたって、一般データ保護規則（GDPR）に基づいたAvettaの役割は何ですか？

事前資格審査フォームに含まれるサプライヤーの個人データ、労働安全衛生局データセット、監査中に収集されるデータセット、労働者関連の製品に含まれる労働者データ、またはサプライヤーと取引関係のあるクライアントによって決定された要件に基づいてAvettaに提出されたその他のデータの処理など、個人データの処理がサプライヤーに代わってサプライヤーの指示の下で実行される限りにおいては、Avettaが処理者となります。

財務やアカウント管理、技術サポート、詐欺防止、販売・マーケティング（例：サプライヤーの管理ユーザーへのニュースレターの配信）など、サービス条項またはAvettaの正当な業務利益に関連するAvetta自身の目的のための個人データ処理の範囲において、Avettaは管理者となります。

7.Avettaはサプライヤーのデータをどのように保護しますか？

Avettaは、EUSA第13条の機密保持規定に拘束されており、DPAに従ってサプライヤーの個人データを処理し、保護することに尽力します。

Avettaは、預託された個人データを含む機密情報の機密性、安全性、および完全性を維持するために設計された、技術面、物理面、管理面、および組織面における堅牢な管理体制を維持します。また、攻撃や侵入、システム障害の検出、防止、対応のためのシステムと手順を導入しており、脆弱性スキャンと侵入テストなどの方法で、当該システムおよび手順の有効性を確認する定期的なテストや監視を実施しています。Avettaは、ISO/IEC 27001:2013（情報セキュリティ管理システム（ISMS）の規格）認証および27701:2019（ISO/IEC 27001の拡張としてのプライバシー情報管理システム（PIMS））認証に加え、ISO/IEC 27017:2015認証（クラウドサービスの提供および利用に適用されるセキュリティ管理に関する規格）、ISO/IEC 27018:2019認証（パブリッククラウドにおける個人を特定できる情報の保護に関する規格）、ISO/IEC 22301:2019（事業継続性管理システムに関する規格）認証を取得し、SOC 2 Type IIの独立監査を毎年実施しています。

顧客のデータを保護するためのAvettaの組織的および技術的な措置に関する詳細については、DPAの付属文書IIを参照してください。

8.Avettaがサプライヤーのデータを開示する可能性のある対象について教えてください。

一般的に、Avettaはサプライヤーのデータを以下の対象に開示する可能性があります。

グループ関連会社およびサービスプロバイダー / 請負業者（クラウドホスティングサービスを提供するAWS、Avettaプラットフォームに統合された第三者の製品、CRMを提供するSalesforce、ネットワークセキュリティサービスプロバイダー、および業務で使用されるその他のツールなど）。
Q3で説明した通り、製品提供の一部としてのAvettaサービスのユーザー（Avettaプラットフォーム上のユーザーが利用可能な一般アクセスデータ、およびサプライヤーと取引関係のあるクライアントと元請サプライヤー（該当する場合）のみと共有される限定アクセスデータ）。
M&A活動に関連する第三者、および法的根拠としての「同意」に基づかない開示の当事者を含むその他の受領者（たとえばAvettaは、法執行機関へのサプライヤーのデータの開示を強制される場合があります）。

詳細については、プライバシーポリシーの第6条を参照してください。

9.Avettaがサプライヤーのデータを販売することはありますか？

サプライヤーがAvettaプラットフォームを使用する過程で当社に提出したデータをAvettaが販売することはありません。

ただし当社は、一般的な（Avettaプラットフォームではない）ウェブサイトにおいて、広告目的でCookieおよび類似する技術を使用する場合があり、これは、カリフォルニア州消費者プライバシー法（2018年）におけるウェブサイト訪問者の個人データの「販売」または「共有」とみなされる可能性があります。いずれの場合においても、当社が金銭を対価とする個人データの「販売」を行うことはありません。

10.一部のAvettaサービスでは、現場の安全に関する提案を生成するために設計された、AIを活用したツールAskAva™へのアクセスを顧客に提供しています。AvettaはAskAvaのトレーニングに顧客コンテンツを使用しますか？また、このツールは個人データをどのように扱いますか？

Avettaは、AskAvaのトレーニングに顧客コンテンツを使用しません。AskAvaはOpenAIを使用しています。提案事項はAIによって生成されるため、誤りがあったり、不完全であったりする可能性があります。

AskAvaの適切な利用に際して、ユーザーが個人データを入力する必要はありません。個人データの入力は、職場の安全に関する提案事項の作成には不要であるため、ユーザーには個人データを入力しないよう推奨します。個人データは、ユーザーが自発的に提供した場合にのみ、処理のためにOpenAIと共有されます。

AskAvaの使用は完全に任意であり、OpenAIにデータを処理されたくない場合は、AskAvaを使用しないでください。OpenAIのデータ処理方法については、OpenAIのAPIに関する文書を参照してください。

11.Avettaはサプライヤーのデータをどこに保存しますか？

下表は、AvettaがSaaSサービスのデータを処理および保存するサーバーの場所を示しています。一般的にAvettaは、現地の法律がより高いレベルによる個人のプライバシー権の保護を規定している国のサーバーを選択しています。

Avetta製品	顧客の所在地（ホスティング位置）
Avetta Connect® Health & Safety、ESG & Sustainability、Business Risk、およびAvetta Transportation Safety – Motor Carrier Statistics Enterpriseを含むが、これらに限定されないサプライヤー向けコンプライアンス製品	グローバル（ドイツ）災害復旧（アイルランド）
Worker Management	アジア太平洋地域（オーストラリア）アジア太平洋地域を除く全世界（ドイツ）
Pegasus Workforce Management	オーストラリア（オーストラリア）米国（米国）オーストラリアと米国を除く全世界（英国）

当社の非生産データはカナダに保存されることに注意してください。

12.個人データが、データ主体の居住する法域外に移転されることはありますか？

Avettaの本社は米国にあり、Avettaはさまざまな第三者ベンダー（処理者 / サブプロセッサー）と契約してサービスを提供しています。そのため、個人データがデータ主体の居住する法域外に移転される可能性があります。

13.Avettaがデータ移転の際に使用する、国境を越えた移転メカニズムについて教えてください。

個人データを欧州経済領域（EEA）または英国外に移転する場合、当社は以下のいずれかを行います。

(i) お客様の個人データが取り扱われる国が、欧州委員会または英国（該当する場合）により「適切」と判断されていることを確認します。

(ii) EEAまたは英国から個人データを移転する場合には、欧州委員会が承認した標準契約条項を当社の契約に含め（該当する場合）、さらに英国から個人データを移転する場合については、EU標準契約条項国際データ移転補遺を含めます。

(iii) その他の法に準拠した、当該データ移転メカニズムまたは条件に依拠します。

米国へのデータの移転に関して、Avettaは、米国商務省が定めるEU - 米国データプライバシーフレームワーク（「EU - 米国DPF」）、英国に拡張したEU - 米国データプライバシーフレームワーク（「英国拡張版」）、スイス - 米国データプライバシーフレームワーク（「スイス - 米国DPF」。「EU - 米国DPF」および「英国拡張版」と合わせて「DPF」）、の自己認証を採用しています。欧州委員会はEU-米国DPFの妥当性の認定を下し、同枠組みの下でEUから米国企業に移転される個人データについて、米国が欧州連合と同等の適切な保護レベルを確保していることを確認しました。同様に、英国当局は、英国のデータ主体のデータが米国に移転される場合、英国拡張版がそのデータの保護レベルを損なうことはないと判断し、英国拡張版を通じて米国との間に英米データブリッジを確立しました。Avettaは、DPFプログラムの参加者として、個人データを処理するにあたって、通知、選択、再移転の説明責任、セキュリティ、データの完全性と目的の制限、アクセス、償還請求、執行、および責任に関するDPFの原則を支持することをお約束します。詳細については、こちらにて、Avettaのデータプライバシーフレームワークの通知をご参照ください。

データ保護法の適用法に追加要件が規定された場合や、国境を超えたデータ移転のための既存のメカニズムが変更された場合、当社は顧客と協力するなどして適切な措置を講じ、要件への準拠、またはデータ主体の個人データを合法的に自国外に移転するための移転メカニズムの更新を行います。

詳細については、DPAの第7条を参照してください。

14.Avettaは、GDPRおよびその他の適用されるデータ保護法をどのように遵守しますか？

複数の法域で事業を営む組織として、Avettaは多くのデータ保護法（GDPR、英国拡張版GDPR、カリフォルニア州消費者プライバシー法、カナダ個人情報保護および電子文書法、および1988年オーストラリアプライバシー法など）の対象となっています。当社のプライバシープログラムは、GDPR要件に基づく基盤の上に構築されています。グローバルなコンプライアンスニーズにより対応できるよう、当社は次のアプローチを採用しています。まず、適用されるデータ保護法の共通要件を特定して、ギャップを識別します。そして、共通要件に対応するためのソリューションを実装した後に差異を分析し、現地の要件に合わせてプログラムをカスタマイズする必要性とすべての法域でこれらの要件を実施する必要性を評価します。

一般的に、当社は、個人データに対して以下の取り扱いを要求するデータプライバシーの原則を遵守します。

合法的、公正、かつ透明性のある方法で処理する（合法性、公正性、透明性）。
特定された明示的かつ合法的な目的のためにのみ収集する（目的の限定）。
適切で、関連性があり、処理する目的に関連して必要なものに限定する（データの最小化）。
正確であり、必要な場合には、個人データのライフサイクル全体を通じて最新の状態が維持されていること（正確性）。
データを処理する目的に必要な期間を超えてデータ主体を識別できる形式で保持しない（保存の制限）。
不正または違法な処理や、意図せぬ損失、破壊、または損傷から保護するために、技術面と組織面において適切な措置を講じ、その安全性を確保する方法で処理を行う（安全性、完全性、機密性）。
適切な予防措置を講じることなく他国に移転しない（移転の制限）。
データ主体が利用できるようにし、データ主体が自身の個人データに関して一定の権利を行使できるようにする（データ主体の権利と要求）。

15.Avettaとサプライヤーの間の関係を規定する条件は何ですか？

Avettaとサプライヤー間の契約関係については、以下に規定されています。

Avettaのプライバシーおよびセキュリティプログラムに関する詳細については、当社の法的情報ページを参照してください。Avettaでは、プライバシーおよびセキュリティプログラムの有効性を継続的に評価しています。またこのような取り組みを通して、法律、市場、または慣行の発展状況を監視し、必要な変更を実施できるよう尽力しています。