オラクル・サービス・プライバシー・ポリシー

本オラクル・サービス・プライバシー・ポリシー（以下「サービス・プライバシー・ポリシー」）は、次の3つの項目で構成されています。

I.第1の項目(サービス関連個人情報データの処理規約)では、オラクル・コーポレーションおよびその関連会社(以下「オラクル」)が、オラクルの顧客(以下「お客様」)に提供されるテクニカル・サポート、コンサルティング、クラウドまたはモバイル・アプリケーションを通じて提供されるサービスを含む、その他のサービス(以下「サービス」)の提供に際し、お客様のサービス注文期間中にサービス関連個人情報(後述で定義する)を扱うときに採用するプライバシーおよびセキュリティの慣行について説明しています。

サービス関連個人情報とは、お客様から提供され、オラクル、顧客または第三者のシステムおよび環境に帰属し、サービスを実施するためにお客様に代わってオラクルが処理する個人情報をいいます。サービス関連個人情報には、サービスに応じて、家族、ライフスタイルおよび生活環境に関する情報、雇用状況の詳細、財務状態の詳細、モバイル・デバイスのIDやIPアドレスなどのオンライン識別子、ならびに当事者のオンライン行動および興味・関心のデータが含まれることがあります。サービス関連個人情報は、従業員、求人応募者、請負業者、協力者、パートナー、サプライヤ、顧客、クライアントなど、お客様の担当者およびエンド・ユーザーと関連付けられる場合があります。

II.第2の項目(システム運用データの処理規約)では、当社サービスの(エンド)ユーザー(以下「ユーザー」)が、当社の顧客に対しサービスを監視、保護および提供するために利用されるオラクルのシステムおよびネットワークを使用した当社サービスと関わることによって生成されるシステム運用データに偶発的に含まれる可能性がある個人情報に適用されるプライバシーおよびセキュリティの慣行について説明しています。

システム運用データには、ログ・ファイル、イベント・ファイル、およびその他トレースファイルと診断ファイル、ならびに当社サービスの利用と運用およびサービスを起動するシステムとネットワークに関する統計情報および集計情報が含まれることがあります。

III.第3の項目(顧客およびユーザーへの連絡と通知)は、サービス関連個人情報とシステム運用データに含まれる個人情報の両方に適用されます。この項目では、法的に求められる開示要請をオラクルがどのように扱うかについて説明するとともに、お客様およびユーザーに対し、オラクルのグローバル・データ保護責任者への連絡または苦情の申し立ての方法について説明しています。

サービス関連個人情報およびシステム運用データの定義には、オラクルのWebサイトを利用することで、または契約締結の過程で行われるお客様もしくはユーザーと当社とのやり取りによって収集される、お客様またはユーザーの連絡先および関連情報は含まれておりません。オラクルによるこの情報の取り扱いには、オラクルのジェネラル・プライバシー・ポリシーが適用されます。

I.サービス関連個人情報データの処理規約

オラクルは、プライバシー・ポリシーの第I条および第3条の条件、ならびにお客様のサービス注文に従って、すべてのサービス関連個人情報を扱います。

このサービス・プライバシー・ポリシーの条件とお客様のサービス注文に組み込まれたプライバシーに関するあらゆる条件(オラクルデータ処理契約を含む)との間に矛盾が生じた場合、お客様のサービス注文の関連するプライバシー条件が優先するものとします。

1. サービス関連個人情報の処理の目的

オラクルは、サービスの実施に必要な処理活動において、サービス関連個人情報を処理することがあります。前述のサービスの実施には、オラクル製品およびサービスにアクセスするためのオラクルのサービス・アカウントの作成、新製品または新システム・バージョン、パッチ、アップデートおよびアップグレードのテストおよび適用、ならびにバグの修正およびその他お客様がオラクルに報告した問題の解決が含まれます。

2. 顧客の指示

お客様は、サービス実施のためにオラクルによって処理されるサービス関連個人情報の管理者です。オラクルが次の事項を行うために必要な範囲において、お客様のサービス注文および追加の指示文書に明記されているとおり、お客様のサービス関連個人情報を処理します。(i)適用されるデータ保護法に基づく処理者としての自らの義務を遵守するため、または(ii)お客様が、自らのサービスの利用に関連する適用データ保護法に基づく管理者としての自身の義務を遵守できるよう支援するため。オラクルは、自らの合理的な意見において、お客様の指示が適用データ保護法に違反している場合、その旨を速やかにお客様にお知らせします。お客様は、オラクルが法的調査を実施したり、お客様に法的助言を提供したりする責任を負わないことを確認し、同意します。これには、追加の費用が適用される場合があります。

3. 個人の権利

お客様は、お客様のエンド・ユーザーによるお客様のサービス関連個人情報へのアクセスを制御します。お客様のエンド・ユーザーは、自身のサービス関連個人情報に関する要請がある場合、お客様宛てに要請を行う必要があります。このようなアクセスについて、お客様がこれを利用できない範囲において、オラクルは、オラクル・システム上のサービス関連個人情報に対し、個人からアクセス、削除もしくは消去、制限、訂正、受領および転送、アクセスのブロック、またはその処理に対する異議申し立ての要請があった場合、合理的な支援を提供します。お客様が管理者と特定される、お客様のエンドユーザーからのリクエストまたは照会についてオラクルが直接受領した場合、当該リクエストは、エンドユーザーへの応答なしに速やかにお客様に渡されます。

エンドユーザーで、オラクルに提供されるサービスの個人情報の開示および使用に関する選択肢について質問がある場合は、情報を収集した組織に直接問い合せてください。

4. セキュリティおよび秘密保持

オラクルは、サービス関連個人情報の不慮もしくは違法な破壊、紛失、変更、または不正な開示やアクセスを防止するために設計された、技術的および組織的な措置を実施しており、これを維持します。これらの手段は、通常ISO/IEC 27001:2013規格に準じており、物理アクセス、システム・アクセス、データ・アクセス、送信、インプット、セキュリティ監視、強制執行を含む、サービスに適用されるあらゆるセキュリティ・エリアに適用されます。

オラクルの従業員は、個人情報の秘密性を保持する必要があります。従業員の義務には、秘密保持の誓約、情報保護に関する定期的なトレーニング、および秘密情報保護に関する社内ポリシーの遵守が含まれます。

データ保持およびデータ削除に関することを含め、これらのサービスのセキュリティ慣行に記載されている、サービスに適用される特定のセキュリティ手段に関する詳細情報をご確認ください。

5. インシデント管理およびデータ侵害通知

オラクルは、サービス関連個人情報への不正アクセスまたはその不正な取り扱いの疑いがある問題、またはそのようなアクセスや取り扱いを示唆する問題について、速やかに評価し、対応します。

オラクルが、サービス関連個人情報に関わる問題に、オラクルのシステムに転送、保管またはその他の方法で処理されるサービス関連個人情報のセキュリティ、秘密性または完全性を損なう不正流用または不慮もしくは違法な破壊、紛失、変更、不正な開示やアクセスにつながるセキュリティ侵害があると認識し、そう判断した場合、オラクルは、このような侵害について、不当に遅滞することなくお客様に報告します。

侵害に関する情報が収集されるか、その他の方法によってオラクルが合理的に入手できる場合で、法律で許可される範囲において、オラクルは、オラクルが合理的に知ることになった、またはオラクルが合理的に入手できる侵害に関する追加の関連情報をお客様に提供します。

6.代理処理者

オラクルがサービス提供の支援を目的として、サービス関連個人情報へアクセスさせるために、オラクルの関連会社および第三者の代理処理者を利用する範囲において、かかる代理処理者は、お客様のサービス注文の条件に基づき、オラクルと同程度のデータ保護およびセキュリティ要件に従います。オラクルは、自身が利用する代理処理者が、お客様のサービス注文の条件を遵守することに責任を負います。

オラクルは、サービス関連個人情報を処理する可能性のあるオラクルの関連会社および代理処理者の一覧を維持します。My Oracle Support (https://support.oracle.com) (ドキュメントID: 2121811.1)、またはその他の適用される主要サポート・ツールで提供されるものを介して入手できます。

7. 国境を越えたデータ移転

オラクルは80か国以上で事業を展開しているグローバル企業であるため、サービス関連個人情報は、本ポリシーに従い、必要に応じて世界規模で処理されることがあります。個人情報に対し適切なレベルの個人情報の保護手段が講じられていない国に所在するオラクルの受領者にサービス関連個人情報が転送される場合、オラクルは、EU Standard Contractual Clauses(EU標準契約条項)に従った転送方法、またはデータ保護法で要求されるその他の適切な転送方法で、サービス関連個人情報を保護し、適切に転送されるように保証するための措置を取ります。

お客様とオラクルの間のサービス契約にOracle Data Processing Agreement for Oracle Services(以下「DPA」といいます)がある場合は、そのDPAにおいて、オラクル・サービスに対してお客様の注文に適用される関連データ転送方法についての詳細が記載されています。特に、欧州経済領域(EEA)またはスイスから転送されたサービス個人情報については、かかる転送は、「Oracle's Binding Corporate Rules for Processors (BCR-P)」または「EU Standard Contractual Clauses(EU標準契約条項)」の対象となります。イギリス(英国)から転送されたサービス個人情報について、かかる転送はUK Addendumまたはその他の適切な転送方法の対象となります。

また、お客様とオラクルが、EEA、英国(およびジブラルタル)またはスイスから移転されるサービス関連個人情報について、該当するサービスのDPFに従って転送・処理することを契約により合意している場合、オラクルは、当該サービス関連個人情報の収集、使用、保持に関して米国商務省が定めたEU・米国間のData Privacy Framework (EU-U.S. DPF)およびスイス・米国間のData Privacy Framework (Swiss-U.S. DPF) (以下総称して“DPF”) を遵守します。その場合、オラクルは、オラクルを代理する代理処理者である第三者にも同じことを行わせる責任を負っています。オラクルが、損害の原因に責任がないことを証明しない限り、かかる代理処理者がDPF原則と矛盾した方法でサービス個人情報を処理した場合、DPF原則に基づいて責任を負うものとします。

Oracleは米国商務省に次のことを認定されています。オラクルは、関連する契約で明記されている場合、欧州連合、英国(およびジブラルタル)、または/もしくはスイスから米国に転送されるサービス個人情報に関するDPF原則(前述)を遵守します。本サービスのプライバシーポリシーとDPF原則に矛盾がある場合は、DPF原則が適用されるものとします。DPFプログラムの詳細およびOracleの認定については、Data Privacy FrameworkのWebサイトでご確認ください。

Data Privacy FrameworkのWebサイトを参照するか、オラクルのDPF自己認証の対象となる米国のエンティティのリストを参照してください。DPFに従って受領または転送されたサービス個人情報に関して、連邦取引委員会がオラクルのDPFへの準拠を管轄します。

8. 監査権

お客様のサービス注文に定められている範囲において、お客様は、少なくとも予定監査日の6週間前までに、オラクルに対し書面(詳細な監査計画を含む)にて要請することにより、オラクルのこのサービス・プライバシー・ポリシーの遵守について、自らの費用負担で監査を行うことができます。お客様およびオラクルは、協力して、最終的な監査計画に合意するものとします。

監査は、12か月間で1回までとし、オラクルのオンサイト・ポリシーおよび規則にしたがって、不当に業務を妨げることなく、通常の営業時間内に行うものとします。第三者による監査を希望する場合、第三者監査人については、両当事者の相互同意を必要とし、第三者監査人は、オラクルが受諾する書面による秘密保持契約を締結する必要があります。監査の終了に伴い、お客様はオラクルに対し、監査報告書の写しを提供します。この報告書は、お客様とオラクルとの契約条件に基づき、秘密情報に分類されます。

オラクルは、サービスに適用される処理活動の関連する記録など、監査の実施に合理的に必要となる情報と支援を提供することにより、かかる監査に貢献します。要請された監査の範囲が、SOC 1もしくはSOC 2、ISO、NIST、PCI DSS、HIPAA、または資格を有する第三者監査人によって12か月以内に発行された類似の監査報告書で説明されており、オラクルが監査対象の統制に既知の重要な変更がないことを確認するかかる報告書をお客様に提供する場合、お客様は、報告書で言及された同じ統制の監査を要請する代わりに、第三者監査人の報告書で示された調査結果を受け入れることに同意するものとします。お客様のサービス注文に追加の監査条件が含まれることがあります。

9. サービス関連個人情報の削除または返却

サービス注文に別途記載されているか、法律で要求されている場合を除いて、サービスの終了に伴い、またはお客様の要請に応じて、オラクルは、オラクルのシステムまたはサービス環境にあるお客様の本番顧客データ(サービス個人情報を含む)を、残りのコピー含み返送または削除します。データ削除機能に関する追加情報については、該当するサービスの説明を参照してください。

II.システム運用データの処理規約

1. 個人情報の処理における責任および目的

オラクル・コーポレーションおよびその関連会社は、このポリシーの第II条およびIII条に従って、システム運用データに偶発的に含まれる可能性がある個人情報の処理に対し責任を負っています。オラクルの事業体の一覧をご覧ください。国と地域を選択すると、各国に所在するオラクル事業体の登録住所および連絡先の詳細が表示されます。

当社は、次の目的に該当する場合、システム運用データを収集または処理することがあります。

• a)サービスを安全に保つため(セキュリティの監視および身元管理を含む)
• b)当社のシステムとネットワークを巻き込む潜在的な詐欺または違法活動を調査または防止するため(サイバー攻撃の防止やボットの検出を含む)。
• c)当社のバックアップ・災害復旧プランおよびポリシーを管理するため。
• d)ライセンスおよびその他利用規約の遵守を確認するため(ライセンス・コンプライアンスの監視)。
• e)研究開発のため(当社サービスの分析、開発、改善および最適化を含む)。
• f)適用法規を遵守するため、業務運営のため(法律で定められている報告、開示またはその他法的手続きの要請の遵守を含む)、合併および買収、財務会計、アーカイブおよび保険、法律および事業コンサルティングのため、ならびに紛争解決に関連する場合。

EUで収集されたシステム運用データに含まれている個人情報について、かかる情報の処理に対する当社の法的根拠は、効率的、かつ、適切な手段での当社の製品およびサービスの実施、管理および保護、ならびに業務運営における当社の正当な利益です。個人情報はまた、当社の法的義務または正当な利益に基づき、当該法的義務を遵守するために処理されることがあります。

2. 個人情報の共有

システム運用データに含まれている個人情報は、オラクルの世界規模の組織を通じて共有されることがあります。オラクルの事業体の一覧は、前述の一覧をご覧ください。

また当社は、このような個人情報を次の第三者と共有することがあります。

• 第三者のサービス・プロバイダ(これらの第三者がオラクルに代わって業務を行うため) (例: ITサービス・プロバイダ、弁護士、監査人)。
• 再編、合併、売却、ジョイント・ベンチャー、譲渡、移転など、当社の事業、資産または株式の全部または一部の処分(破産または同様の手続きに関連するものを含む)があった場合の関連する第三者。
• 法律の要求に従い(召喚状やその他の法的手続に従う場合など)、当社の権利を守るため、お客様の安全や他人の安全を守るため、詐欺の調査を行うため、国家の安全または法執行（あるいはその両方）のため、政府（国外の公的機関や政府機関を含む）の要求に応えたりするために、開示が必要であると当社が判断した場合

第三者にシステム運用データに含まれる個人情報へのアクセス権を与える場合、当社は、プライバシー・ポリシーを遵守し、適用法に従い、かかる処理が必要な範囲でのみその個人情報を処理するよう徹底するなど、契約的、技術的、組織的に適切な措置を講じます。

3. 国境を越えたデータ移転

十分なレベルの保護手段が講じられていない国に所在するオラクルの受領者にシステム運用データに含まれる個人情報が転送される場合、かかる転送をEU標準契約条項の対象とするなどユーザーに関する情報を適切に保護するよう設計された措置を講じます。

4. セキュリティ

オラクルは、自社のコーポレート・セキュリティの慣行に従い、不慮もしくは違法な破壊、または不慮の紛失、破損、変更、不正な開示やアクセス、ならびにその他の違法な処理(不必要な収集などが挙げられるが、これに限定しない)もしくは処理の続行から個人情報を保護するよう設計された、適切な技術的、物理的および組織的な措置を実施しています。

5. 個人の権利

お客様に関する個人情報がシステム運用データに含まれている場合、お客様は適用法に基づき定められている範囲において、システム運用データに含まれている個人情報のアクセス、訂正、アップデート、または削除を要求でき、それ以外の場合は、お問い合わせフォームに記入して連絡することで、個人情報に関する選択肢を行使できます。当社は、適用法に従ってお客様の要求に対応します。

カリフォルニア州の居住者は、カリフォルニア州消費者プライバシー法(CCPA)の改正に基づき、オラクルに以下のことを要求できます。

1. 次の情報を開示します

• お客様について収集した個人情報のカテゴリおよび特定の部分、および販売した個人情報のカテゴリ(該当する場合)
• 収集した個人情報の情報源のカテゴリ
• 個人情報を収集または販売する事業目的または商業目的
• 個人情報を販売または開示した第三者のカテゴリー(該当する場合)

2. お客様について当社が収集した個人情報を削除するか、またはお客様に関する不正確な個人情報を修正します。ただし、法令およびコンプライアンスの目的でのみ保持され、CCPAで別途定められている場合を除きます。

3.お客様に関する個人情報の以降の販売をオプトアウトするおという客様の要求に応じます(該当する場合)

カリフォルニア州の居住者に代わって、アクセスまたは削除を要求する委任代理人である場合、お問い合わせフォームからご連絡ください。その際、委任代理人であることを明記ください。カリフォルニア州の居住者に代わって、委任代理人として要求を送信する方法についてお客様に提供します。

お客様が要求を送信する場合、主張する権利(アクセス、修正など)、および対象とする特定の個人情報について具体的に明示してください。場合によっては、適用法または法的義務を遵守するために、オラクルは、お客様の要求を拒否したり、お客様の要求に対応するためにお客様からより多くの情報を求めたりすることがあります。

お客様がカリフォルニア州の居住者である場合は、前述のとおり、お客様の権利の行使に関する情報を入手することができます。その場合は、1-800-633-0748までお問い合わせください。オラクルが前年に受領、準拠、または拒否したCCPAリクエストの詳細は、ここからOracleのAnnual Consumer Privacy Reportingページを参照してください。

III.お客様およびユーザーへの連絡と通知

1. 法的要件。

オラクルは、法律の要求に従い(召喚状やその他の法的手続きに従う場合など)、当社の権利を守るため、お客様やユーザー、他人の安全を守るため、詐欺の調査を行うため、政府(ユーザーの居住国外の公的機関や政府機関を含む)の要求に応じるため、国家の安全または法執行(もしくはその両方)のために、開示が必要であると当社が誠実に思うとき、サービス関連個人情報およびシステム運用データに含まれる個人情報へのアクセス権を提供するよう求められることがあります。

オラクルは、特に法律によって義務付けられている場合を除き、サービス関連個人情報へのアクセス権を提供するよう要請された場合、速やかにお客様にお知らせします。

2. グローバル・データ保護責任者

オラクルでは、最高個人情報保護責任者(Chief Privacy Officer)であるグローバル・データ保護責任者(Global Data Protection Officer)を任命しています。お客様またはユーザーが、本プライバシー・ポリシーもしくはお客様の選択に反する方法でお客様の個人情報が使用されていると思う場合、またはオラクルによる、サービス個人情報またはシステム運用データに含まれる個人情報の取り扱いに関して、ご意見、ご提案がある場合は、お問い合せフォームに記入してグローバル・データ保護責任者にご連絡ください。

グローバル・データ保護責任者宛ての書面によるお問い合せは、以下の住所宛てに送付してください。

Oracle Corporation
Global Data Protection Officer
Willis Tower
233 South Wacker Drive
45th Floor
Chicago, IL 60606
U.S.A.

EU/EEA内で収集された個人情報については、EUデータ保護責任者(EU Data Protection Officer )への書面によるお問い合わせを次の宛先にお送りください。

Robert Niedermeier
Hauptstraße4
D-85579 Neubiberg /München
Germany

ブラジル国内の個人から収集された個人情報については、ブラジル・データ保護責任者への書面によるお問い合わせを次の宛先にお送りください。

Alexandre Sarte
Rua Dr. Jose Aureo Bustamante, 455
Vila São Francisco
São Paulo, BR

3. 苦情の申し立て

オラクルのプライバシー・ポリシーの遵守に関して苦情がありましたら、お問い合わせフォームよりご連絡ください。オラクルは、本プライバシー・ポリシーに関する苦情および紛争について調査し、解決する努力をします。また、欧州連合加盟国の居住者であれば、管轄のデータ保護当局に苦情を申し立てる権利もあります。当社は、DPFに基づいて受け取ったサービスの個人情報の取り扱いに関する未解決の苦情を、米国を拠点とする裁判外紛争解決プロバイダーであるTRUSTeに照会することを約束します。DPF原則関連の苦情のタイムリーな確認を当社から受け取っていない場合、またはDPF原則関連の苦情の対応にお客様が満足できない場合は、TRUSTeにアクセスして詳細を確認するか、苦情を申し立ててください。これらの紛争解決サービスは、お客様に無償で提供されます。

DPFウェブサイトに定める特定条件下において、他の紛争解決方法で解決しない場合は、お客様は拘束力のある仲裁申し立てができます。

4. サービス・プライバシー・ポリシーの変更

本プライバシー・ポリシーの最終更新日は2024年2月21日です。ただし、サービス・プライバシー・ポリシーは、法的要件を遵守したり業務上のニーズの変化などに対応したりするために、将来変更されることがあります。最新のバージョンは、こちらのWebサイトでご覧いただけます。重要な変更があった場合には、変更が適用される前に、適切な他の手段(当社Webサイト上のポップアップ通知や変更通知など)でもお知らせします。

以前の: 12/23/22 | 8/5/22 | 4/9/21 | 1/19/21 | 10/20/20 | 3/7/19 | 2/14/19