プライバシーポリシー

DataSabaiは、アカウント情報およびウェブサイト情報についてはデータ管理者として、またエンタープライズ顧客に代わって業務文書や取引を処理する場合にはデータ処理者として機能します。処理者として行動する場合、当社の処理活動は、該当顧客とのData Processing Agreement (DPA) に従います。

お客様が、顧客によるDataSabai連携を通じてデータが処理される従業員、サプライヤー、または取引先である場合は、その顧客（データ管理者）に対して、プライバシー取り扱いに関する情報を直接お問い合わせください。

当社は、収集した情報を以下の目的で利用します。

• EDI、IDP、コンプライアンス、Web EDIサービスの提供、運用、維持
• 取引先のオンボーディングおよびERP連携設定の管理
• 電子業務文書の変換、検証、当事者間でのルーティング
• Intelligent Document Processing (IDP) ワークフローにおける文書取り込みとデータ抽出
• 取引先基準および規制に対するトランザクション準拠状況の監視
• 支払い処理および請求管理
• 技術サポート提供およびサービス要求への対応
• サービス通知、セキュリティアラート、製品アップデートの送信
• 監査証跡の維持およびコンプライアンスレポートの生成
• 不正または無権限の活動の検知、調査、防止
• プラットフォーム性能、精度、信頼性の改善
• 法的および規制上の義務の履行
• マーケティング連絡の送信（法令上必要な場合はお客様の同意がある場合に限る）

当社は、個人データの処理にあたり、以下の法的根拠に依拠します。

当社は、ウェブサイトおよびWebベースのプラットフォームにおいて、以下の目的でCookieおよび類似技術を使用します。

• 安全なユーザーセッションと認証状態の維持
• ユーザー設定および構成情報の記憶
• 利用傾向の分析による使いやすさの改善
• プラットフォーム性能と稼働状況の監視

当社は第三者広告Cookieを使用しません。Cookie設定はブラウザ設定から管理できます。必須Cookieを無効化すると、安全なプラットフォーム機能の一部が損なわれる可能性があります。

当社は、お客様の個人情報または業務取引データを販売、貸与、取引することはありません。以下の限定的な状況でのみ情報を共有する場合があります。

DataSabaiはタイに本社を置き、グローバルに事業を展開しています。お客様のデータは、お客様の所在国以外の国で保管または処理される場合があり、それらの国では異なるデータ保護基準が適用される可能性があります。

• 欧州委員会承認のStandard Contractual Clauses (SCCs)
• 関係当事者すべてとのData Processing Agreements (DPAs)
• リスクに応じた技術的・組織的セキュリティ対策

欧州経済領域（EEA）、英国、またはスイスからの個人データ移転については、当社は以下を含む適切な保護措置を実施します。

その他の法域に関わる移転についても、適用される現地法に従い同等の保護を適用します。

当社は、収集目的の達成、契約上の義務履行、法的義務遵守に必要な期間に限りデータを保持します。一般的な保持期間は以下のとおりです。

• アカウントおよびプロフィール情報: 顧客関係の継続期間中、およびアカウント閉鎖後最大24か月
• EDIおよびIDP取引記録: 取引先契約要件および税務・監査義務を満たすため、通常7年間保持（契約上異なる期間が定められている場合を除く）
• 監査ログおよびセキュリティログ: 最低12か月、または適用法令・顧客契約でより長い期間が要求される場合はその期間
• マーケティングおよび同意記録: 同意が撤回されるまで、およびその後の合理的期間

適用される保持期間の満了後、データは当社の廃棄手続に従い、安全に削除または匿名化されます。

事業上重要なERPおよびEDIデータを保護することは、当社のミッションの中心です。当社は、以下を含む強固な技術的・組織的セキュリティ対策を実施しています。

• TLS 1.2以上による通信中データの暗号化
• AES-256または同等水準による保存データの暗号化
• Role-based access controls (RBAC) と最小権限原則
• プラットフォームアクセスに対するMulti-factor authentication (MFA)
• 定期的な脆弱性評価およびペネトレーションテスト
• 包括的な監査ログ記録および異常検知
• 事業継続計画および災害復旧計画
• 従業員向けセキュリティ研修およびバックグラウンド確認

お客様の権利および自由にリスクをもたらす可能性のある個人データ侵害が発生した場合、当社は適用法令に従い、法定期間内に、影響を受ける当事者および関連監督当局に通知します。

お客様の居住国によっては、個人データに関して以下の権利を有する場合があります。

• アクセス権: 当社が保持するお客様の個人データの写しを取得する権利
• 訂正権: 不正確または不完全なデータの修正を請求する権利
• 削除権: 法的および契約上の保持義務に従う範囲でデータ削除を請求する権利
• 制限権: 一定の処理活動の制限を請求する権利
• 移転権: 構造化された機械可読形式でデータを受け取る権利
• 異議申立権: 正当な利益に基づく処理またはダイレクトマーケティングに対して異議を述べる権利
• 同意撤回権: 過去に与えた同意をいつでも撤回する権利
• マーケティング停止: 商業的連絡をいつでも停止する権利

これらの権利を行使するには、privacy@datasabai.com までご連絡ください。当社は本人確認を行ったうえで、30日以内（または現地法で求められる期間内）に対応します。なお、当社がエンタープライズ顧客に代わってデータ処理者として行動している場合、まずその顧客にご請求いただく必要があります。

本サービスは業務利用を目的として設計されており、18歳未満の個人を対象としていません。当社は未成年者から故意に個人情報を収集することはありません。万一、未成年者からのデータを当社が意図せず受領したと思われる場合は、privacy@datasabai.com までご連絡ください。速やかに削除します。

当社プラットフォームは、EDIおよびWeb EDI連携の一環として、第三者のERPシステム、取引先ポータル、外部サービスと接続する場合があります。本プライバシーポリシーは、これら第三者システムには適用されません。連携する各システムのプライバシーポリシーをご確認いただくことをお勧めします。DataSabaiは第三者プラットフォームのプライバシー慣行について責任を負いません。

当社は、サービス内容、法的要件、またはデータ取り扱いの変更を反映するため、本プライバシーポリシーを随時更新することがあります。重要な変更を行う場合、当社は以下を実施します。

• 本書冒頭の"Last Updated"日付を更新する
• 登録ユーザーに対しメールまたはプラットフォーム上の目立つ通知でお知らせする
• 法令上必要な場合は、改めて同意を取得する

変更通知後も本サービスの利用を継続した場合、お客様は改定後のポリシーに同意したものとみなされます。定期的に本ページをご確認いただくことをお勧めします。

本プライバシーポリシーまたは当社のデータ取り扱いに関するご質問、ご懸念、またはデータ主体としての請求については、以下までご連絡ください。

EU/EEAの利用者の方へ: 当社の回答にご満足いただけない場合は、各国のデータ保護当局に苦情を申し立てる権利があります。英国では Information Commissioner's Office (ICO)（ico.org.uk）が該当します。