サポートセンター

プライバシーステートメント

 

プライバシーステートメント

1. はじめに

FPT Smart Cloud Company Limited(以下「FPT Smart Cloud」)は、個人データ保護方針、プライバシーステートメント、手順、ガイドラインおよびテンプレートを通じて、顧客、ビジネスパートナー、従業員その他すべての個人に関わる個人データの取扱いに関する厳格な要件を定めています。
これらは、欧州連合の一般データ保護規則(GDPR)、ベトナム政府の個人データ保護法令第13/2023/ND-CP号、およびその他各国のデータ保護規制に準拠しており、世界各国の国内法および国際的なデータ保護原則の遵守を確保するものです。

この方針、ステートメント、手順、ガイドラインおよびテンプレートは、FPT Smart Cloudにおけるグローバルなデータ保護およびセキュリティ基準を設定し、FPT Smart Cloudとその子会社、関連法人およびパートナー間での情報共有を規定します。

FPT Smart Cloudは、透明性、データ最小化、データセキュリティなどを含むデータ保護の基本原則を策定し、それを指針として採用しています。

 

1.1. 目的

FPT Smart Cloudの個人データ保護方針およびプライバシーステートメントは、FPT Smart Cloud、関連法人、ならびに子会社に対して全世界で適用され、グローバルに受け入れられている基本的なデータ保護原則に基づいています。

個人データの保護は、信頼できるビジネス関係を築く基盤であり、FPT Smart Cloudが一流の雇用主としての評判を維持するための重要な要素です。

この個人データ保護方針は、FPT Smart Cloud、子会社および関連法人間での国境を越えたデータ移転に必要な枠組みの一つを提供し、EU一般データ保護規則(GDPR)、個人データ保護法令第13/2023/ND-CP号、またはその他の各国データ保護規制により定められた適切な保護水準を確保するものです。適切な法令が整備されていない国であっても、国際間データ移転に対応できるよう配慮されています。

個人データの収集、処理、移転および利用を標準化し、合理的かつ合法的、公正、透明に取り扱うことにより、データの盗難、改ざん、破損、喪失、漏洩を防止するため、FPT Smart Cloudは本ポリシー、プライバシーステートメント、情報セキュリティポリシーを策定しています。

 

1.2. 適用範囲

FPT Smart Cloudによるすべての個人データの処理は、本手順の適用範囲に含まれます。

すなわち、FPT Smart Cloudにおけるすべての業務プロセスおよび情報システムにおいて個人データの収集、処理、利用および移転が行われ、FPT Smart Cloudの代理として個人データの処理を行うすべての従業員、契約者、第三者提供者が対象となります。

この方針は、個人識別情報を取り扱うすべての部門および機能に対してグローバルに拘束力を持つものであり、FPT Smart Cloudのすべての部門、関連法人および子会社はこれに従う義務があります。

適用対象には、個人データ保護法令第13/2023/ND-CP号、GDPR、その他の国内および国際的なデータ保護規制の要件に従って、個人データが収集されるすべてのデータ主体が含まれます。

 

1.3. 各国法の適用

個人データ保護方針、プライバシーステートメント、手順、ガイドラインおよびテンプレートは、国際的に受け入れられたデータプライバシー原則を包含するものであり、既存の国内外の法律に取って代わるものではありません。これらは各国のデータプライバシー法を補完するものであり、いかなる場合でも、より厳格な要件がある場合には、当該国の法令が優先されます。

一方で、該当する国内法が存在しない場合にも、本ポリシー、手順およびガイドラインの内容は遵守されなければなりません。また、各国の法令におけるデータ処理に関する報告義務も遵守する必要があります。

FPT Smart Cloudの各子会社または関連法人は、本個人データ保護方針、プライバシーステートメント、ガイドラインおよび法的義務の遵守に対して責任を負います。

もし、当該国の法令上の義務と、本方針、プライバシーステートメント、手順、ガイドライン上の義務が矛盾する場合には、該当する子会社または法人は、データ保護責任者(Data Protection Officer)に通知する必要があります。

万が一、当該国法と本方針やステートメントの間に矛盾が生じた場合には、FPT Smart Cloudは該当する子会社または関連法人と協力し、本ポリシーと手順の目的を満たす実用的な解決策を講じるものとします。

 

1.4. 責任

データ保護責任者(Data Protection Officer)は、本プライバシーステートメントの内容が正確であることを保証し、FPT Smart Cloudのウェブサイトに当ステートメントを掲載するなど、データ主体が本通知の内容を、FPT Smart Cloudが個人データの収集を開始する前に把握できるような仕組みを整備する責任を負います。

また、FPT Smart Cloudが個人データを収集・処理する前に、当ステートメントがデータ主体に提供されるよう保証する責任を担います。

FPT Smart Cloudのすべての従業員・スタッフは、データ主体と接触する際に本ステートメントの内容を相手に十分に伝え、個人データの処理に対する同意を適切に得る責任を有します。

 

2. プライバシーに関する声明

FPT Smart Cloudは、ベトナムに本社を置くグローバルなテクノロジーおよびITサービスグループであるFPTコーポレーション(FPT – HoSE)の一員です。グループは年間売上約25億米ドル、従業員数54,687名を有しています。FPT Smart Cloudは、ISO 9001:2015、ISO 27001:2022、ISO 27027:2015、ISO 27018:2019、PCI DSSなどの国際認証を取得しており、日本、ベトナム、アジア太平洋地域のデリバリーセンターを通じて、クラウドコンピューティング、AIサービス、AIインフラ、AIプラットフォーム、AI as a Service、Data as a Service、連結財務諸表ソリューションをグローバルに提供しています。

取得する個人データの種類:
氏名、メールアドレス、役職、会社名、国名、電話番号
IPアドレス、人口統計情報、使用デバイスのオペレーティングシステムおよびブラウザ種類

取得元:
FPT Smart CloudのWEBサイト

 

2.1 収集および処理する可能性のある個人情報

当社ウェブサイトは、ユーザーが個人情報を提供することなくアクセス可能ですが、以下の方法で情報を収集することがあります。

  1. 直接的な取得:例として、ニュースレター登録やフォーラムコメント投稿時に、氏名、メールアドレス、役職、会社名、国、電話番号などをご提供いただく場合があります。
  2. 間接的な取得:当社ウェブサイトの技術を通じて、IPアドレス、人口統計情報、使用デバイスのOS、ブラウザの種類等を収集する場合があります。

取得された情報は、ウェブトラフィックの分析、サーバー管理、ユーザー体験向上のための改善に活用されます。必須の個人情報をご提供いただけない場合、リクエストへの対応ができない場合がございます。

 

2.2 収集した情報の利用目的

取得した個人情報は、以下の目的で使用されます:

  • 製品やサービスに関するご要望の対応
  • ビジネス関係構築のためのご連絡
  • お問い合わせやご意見への回答
  • 顧客アンケートなどのマーケティング活動
  • 会社情報のご案内
  • 関連する法令遵守のため

 

2.3 同意

本プライバシー通知にご同意いただくことにより、特定の目的において当社が個人データを処理することにご承諾いただいたものとみなされます。

FPT Smart Cloudが個人情報を処理するためには、明示的な同意が必要です。同意の際には、その利用目的と方法をご案内いたします。

処理目的の変更または追加がある場合は、遅延なく通知し、新たな同意を取得いたします。
同意は、メール、書面、またはお電話にていつでも撤回可能です。

 

2.4 受領者、移転、および開示について

FPT Smart Cloudは、事前の許可なしに第三者と個人情報を共有することはありません。例外的に、以下の目的で第三者(FPT Smart Cloudの子会社、ビジネスパートナー、サービスベンダー、認可された代理業者など)に共有する場合があります。

  • データ処理および保存
  • サービス提供や取引実施
  • 法的義務に基づく外部当局・監督機関への開示

当社は13歳未満の児童からの情報取得を意図していません。お子様の情報取得があった場合は、保護者の方からご連絡ください。

FPT Smart Cloudは、16歳以上の児童は原則として自己の同意を理解し、提供できると考えます。16歳未満の児童については、保護者または後見人の同意が必要となります。

保護者が代理で申請する場合:本人および児童の身元確認書類および出生証明書が必要です。
代理人が申請する場合:委任状と本人確認書類が必要です。

 

2.5 開示

FPT Smart Cloudは、以下の対象に個人データを提供することがあります。

  • 第三国(EU圏外)および国際機関:FPT Smart Cloudの海外子会社・関連法人
  • 保護措置:標準契約条項を含むデータ処理契約
  • 詳細情報はデータ保護責任者までお問い合わせください。

 

2.6 保有期間

FPT Smart Cloudは個人データを1年間処理し、原則2年間または適用法令に準じて保有します。

 

2.7 Cookieポリシー

当社ウェブサイトでは、Cookie技術を用いてユーザー行動の把握や広告表示最適化を行っています。広告パートナーによるリマーケティングのためのCookieが導入されることがあります。

Cookieはブラウザ設定で削除または拒否が可能です。詳細はご利用中のブラウザ設定をご確認ください。

 

2.8 データセキュリティ

FPT Smart Cloudは、個人情報の安全性を確保するために、技術的および組織的な保護措置を実施しています。関係する従業員に限定してアクセスを許可し、監査や法的義務に対応します。インターネットの性質上、完全な安全性は保証されませんが、最大限の努力をもって保護に努めます。

 

2.9 外部リンク

当サイトには外部サイトへのリンクが含まれていますが、これらはFPT Smart Cloudの管理下にはありません。リンク先のプライバシーポリシーをご確認の上、ご自身の責任において情報提供を行ってください。

 

2.10 データ主体としての権利

個人データの保有・処理中において、データ主体には以下の権利があります:

  • 通知を受ける権利
  • アクセス権
  • 訂正を求める権利
  • 消去を求める権利(忘れられる権利)
  • 処理制限を求める権利
  • データのポータビリティ権
  • 処理に対する異議申し立ての権利
  • 自動処理(プロファイリング)に対する異議申し立ての権利
  • 司法的救済を求める権利
  • 損害賠償請求権
  • 自己防衛権

本人確認のために、パスポート、運転免許証、身分証明書の提示をお願いする場合があります。

 

2.11 苦情申し立て

FPT Smart Cloudによる個人データの処理方法または対応に不服がある場合、監督機関またはFPT Smart Cloudのデータ保護責任者(DPO)に直接苦情を申し立てることができます。

 

2.12 監督機関および連絡先情報

ベトナム監督機関
担当機関:ベトナム公安省
所在地:30 Tran Binh Trong, Hai Ba Trung Ward, Ha Noi, Vietnam
電話番号:+84 692343647

 

2.13. プライバシーステートメントの変更について

FPTスマートクラウドは、当社の単独の裁量により、本プライバシーステートメントの全部または一部をいつでも変更、修正、追加、または削除する権利を留保します。したがって、本ステートメントを定期的にご確認いただく責任はお客様にあります。ステートメントの変更は、本ウェブサイト上で公開された時点で有効となります。お客様が引き続き当ステートメントをご利用になることで、これらのすべての条件に同意されたものとみなします。

 

2.14. お問い合わせ

本プライバシーステートメント、またはお客様の個人情報保護に関するご質問がございましたら、FPTスマートクラウドのデータ保護責任者(DPO)までご連絡ください。

データ保護責任者(DPO):ファム・テ・ミン

住所:ベトナム、ハノイ市、カウザイ区ファム・ヴァン・バック通り10番地、FPTタワー
Eメール:[email protected]
電話番号:+84 913571357

 

2.15. 文書の所有者および承認

本ステートメントの所有者はデータ保護責任者(DPO)であり、個人情報保護方針に基づくレビュー要件に従って、内容の見直しを実施する責任を負っています。

本ステートメントは、データ保護に責任を持つ取締役によって承認されています。

 

3. 付録

3.1. 用語の定義

略語

説明

PII / 個人識別情報 / 個人データ

EU一般データ保護規則(GDPR)第4条第1項に定義される個人データとは、識別された、または識別可能な自然人(データ主体)に関連するあらゆる情報を指します。氏名、識別番号、位置情報、オンライン識別子、身体的、遺伝的、精神的、経済的、文化的、社会的な属性などにより、直接または間接的に識別される自然人です。

データ主体

直接的または間接的に識別される自然人を指します。

データ管理者

GDPR第4条第7項に基づき、処理の目的および手段を決定する自然人または法人、公的機関、機関、またはその他の組織。

データ処理者

GDPR第4条第8項に基づき、管理者に代わって個人データを処理する自然人または法人、公的機関、機関、またはその他の組織。

受領者

GDPR第4条第9項に基づき、第三者か否かに関わらず、個人データが開示される自然人または法人、公的機関、機関、またはその他の組織。

第三者

GDPR第4条第10項に基づき、データ主体、管理者、処理者、または管理者・処理者の権限の下で行動する者以外の自然人または法人、公的機関、機関、またはその他の組織。

DPO

データ保護責任者(Data Protection Officer)

DPIA

データ保護影響評価(Data Protection Impact Assessment)

EU

欧州連合(European Union)

 

 

3.2. 関連文書

No.

コード

文書名

1

EU GDPR

欧州一般データ保護規則

2

PERSONAL DATA PROTECTION DECREE NO. 13/2023/ND-CP

ベトナム個人情報保護に関する政令 第13/2023/ND-CP号

3

PCI DSS

ペイメントカード業界データセキュリティ基準(Payment Card Industry Data Security Standard)

 

 

3.3. ベトナムにおける個人データ保護法の概要

ベトナムには、単一の包括的な個人情報保護法は存在せず、さまざまな法律文書においてデータ保護およびプライバシーに関する規定が含まれています。プライバシー権、名誉権、尊厳の権利に関する基本的原則は、2013年憲法および2015年民法にて不可侵かつ法律により保護されるものとされています。

個人情報の収集、保存、使用、処理、開示または移転に関する基本原則は、以下の主要な法令に明記されています:

  • データ法 第60/2024/QH15号(2025年7月1日施行)
  • 刑法 第100/2015/QH13号
  • サイバーセキュリティ法 第24/2018/QH14号
  • ネットワーク情報セキュリティ法 第86/2015/QH13号、および改正法 第35/2018/QH14号
  • 消費者保護法 第59/2010/QH12号、および改正法 第35/2018/QH14号
  • 情報技術法 第67/2006/QH11号、および改正法 第21/2017/QH14号
  • 電子取引法 第51/2005/QH11号
  • 政令 第85/2016/ND-CP号(情報システムの分類によるセキュリティに関するもの)
  • 政令 第72/2013/ND-CP号、および改正政令 第27/2018/ND-CP号、150/2018/ND-CP号
  • 政令 第52/2013/ND-CP号、および改正政令 第08/2018/ND-CP号、85/2021/ND-CP号
  • 政令 第15/2020/ND-CP号(情報通信分野の行政違反に対する制裁)
  • 通達 第03/2017/TT-BTTTT号、第20/2017/TT-BTTTT号、第38/2016/TT-BTTTT号、第24/2015/TT-BTTTT号(および第06/2019/TT-BTTTT号による改正)
  • 首相決定 第05/2017/QD-TTg号(国家的なサイバー情報セキュリティ確保のための緊急対応計画)

これらの法令の適用は、各事例の具体的な状況に依存します。たとえば、金融、教育、医療分野に属する事業者には、特別な個人情報保護規制が適用される場合があります。加えて、2019年労働法においては、従業員の個人情報に関する規定も存在しています。

利用規約

FPTスマートクラウド | 利用規約

利用条件の合意
FPTスマートクラウドのウェブサイトは、世界中のすべてのユーザーにご利用いただけます。本ウェブサイトは、情報提供を目的としてFPTスマートクラウドにより作成および維持されています。本ウェブサイトを利用することにより、ユーザーは本利用条件に同意し、これに拘束されること、またすべての適用される法律および規制を遵守することに同意したものとみなされます。ユーザーは、本ウェブサイトの運用を妨害したり、妨害しようとしたりしてはなりません。本利用規約に同意いただけない場合は、本ウェブサイトのご利用をお控えください。

限定的なライセンス
本ウェブサイトおよびそのすべてのコンテンツ(特許、著作権、商標およびその他の知的財産権を含む)は、FPTスマートクラウドに帰属し、国際的な知的財産権法により保護されています。ユーザーは、本ウェブサイトの利用に際し、世界中の知的財産権法を遵守することに同意するものとします。FPTスマートクラウドは、いかなる特許、商標、著作権、営業秘密情報に関しても、明示的または黙示的な権利をユーザーに付与しません。FPTスマートクラウドは、ユーザーに対して、本ウェブサイトを非独占的かつ非商業的な限定的利用の範囲で使用することを許諾しますが、本ウェブサイトの全部または一部を改変、複製、送信、販売または配布することは許可されません。また、FPTスマートクラウドの事前の書面による許可なしに、本ウェブサイトの一部または全部を用いて新たなウェブサイトを作成したり、インターネット上でリンクを作成して使用することもできません。なお、当サイト上でダウンロードやアクセスが可能なソフトウェアおよびその他の資料は、それぞれのライセンス条件・規約・通知に従うものとします。

これらの条件に違反した場合、ユーザーに付与されたすべての権利は予告なく自動的に終了します。FPTスマートクラウドは、本ウェブサイト上でそのような行為やコンテンツを禁止していますが、ユーザーは本ウェブサイト上に表示されるコンテンツに対して自己責任で対応しなければならず、また、ユーザーが作成、送信または表示するコンテンツおよびその行為によってFPTスマートクラウドが損害を被った場合も、すべてユーザーの責任となります。

ブログに関して
FPTスマートクラウドのブログは、コミュニティへの情報共有を目的としています。コメントや投稿のご提出は歓迎いたしますが、ブログサービスを利用するにあたり、双方の権利および責任を明確にする必要があります。当ウェブサイトでホストされているブログへのアクセス、作成または投稿を行うことにより、また当社が提供するサービスの対価として、ユーザーは本規約および将来の改訂を含む関連ポリシーに同意するものとします。FPTスマートクラウドは、本利用条件に違反するコメントやユーザーを削除する権利を有します。

ユーザーは、FPTスマートクラウドのブログに投稿されるすべてのコンテンツについて、その投稿者が全責任を負うことに同意するものとします。さらに、本サイトのユーザーによるすべての意見は、FPTスマートクラウドまたはその関連会社を代表するものではなく、あくまで個人の見解であることを理解してください。

以下の行為は禁止されます:

  • FPTスマートクラウドまたは第三者の知的財産権(商標、著作権など)を侵害、またはその恐れがある行為

  • FPTスマートクラウドまたは第三者の法的権利、肖像権の侵害

  • 名誉毀損、嫌がらせ、差別行為

  • 他者になりすます行為や、誤認を招く目的で虚偽の身元を使用すること

  • 違法または犯罪行為に結びつく投稿(例:児童買春、違法化学物質取引、詐欺行為、銀行口座の不正取引など)

  • 猥褻、人種差別的、または性的に露骨な表現の使用

  • 知的財産法により保護されている画像、写真、ソフトウェアその他の資料を、権利を有しないままアップロード・配布すること

  • 宣伝目的の投稿、コンテストの実施、チェーンメールの拡散

  • 商業的な目的でのサービスや製品の宣伝

  • ウイルスや悪意のあるコード、ファイル、プログラムを含むファイルのアップロードまたは配布

  • スパムメールや不正なプロモーションの送信

FPTスマートクラウドは、ユーザーが投稿するコンテンツについて、削除、修正、監視を行う権利を有します。
また、ユーザーは本規約違反によってFPTスマートクラウドが被る損害、損失、責任に対して補償する義務があります。

他のウェブサイトへのリンク
FPTスマートクラウドの事前の書面による承諾がない限り、本ウェブサイトまたはその一部へのリンクを他のウェブサイト上に作成することはできません。リンクの許可が与えられた場合でも、FPTスマートクラウドはその許可をいつでも独自の裁量で終了する権利を有します。

本ウェブサイトには、他のウェブサイトへのリンクが含まれる場合がありますが、それらのサイトは各自の利用規約に基づいて運営されており、FPTスマートクラウドはその内容や運営に対して一切責任を負いません。リンクはあくまで利便性のために提供されており、FPTスマートクラウドは、リンク先の正確性、安全性、サービス品質を保証するものではありません。ユーザーは、リンク先の利用について、自己の責任において行うものとします。

多言語での情報提供
本ウェブサイトでは、英語以外の言語でも情報が提供される場合があります。これらの翻訳は、人または自動翻訳ソフトウェアにより実施されており、FPTスマートクラウドは翻訳の正確性および完全性を保証するものではありません。詳細は以下の「免責事項」もご参照ください。

免責事項
ユーザーは、本ウェブサイトの利用が自己責任であることを理解し、これに同意するものとします。当社は、本ウェブサイトの構築および維持において最大限の注意を払っておりますが、提供される情報、ソフトウェア、製品、サービスなどはすべて「現状有姿(As Is)」で提供されており、明示または黙示を問わず、いかなる保証もいたしません。特に、商品性や特定目的への適合性に関する保証は、適用される法律の範囲で明確に否認されます。

FPTスマートクラウドは、本ウェブサイトが常時中断なく、タイムリーかつ安全に、またエラーなしで利用できることを保証いたしません。本ウェブサイトに掲載されている内容は情報提供の目的に限られ、技術的助言とは解釈されません。当社は、情報の更新、正確性、完全性について一切の責任を負いません。

責任の制限
ユーザーは、本ウェブサイトの利用が完全に自己責任であることを理解し、同意するものとします。いかなる場合においても、FPTコーポレーション、FPTスマートクラウド、またその関連会社は、ユーザーまたは第三者に対して、本ウェブサイトの利用に関連するすべての損害(直接的、間接的、特別損害、派生的損害を含む)について責任を負わないものとします。

ユーザーは、以下に起因するすべての責任、損害、訴訟、費用(弁護士費用を含む)について、FPTスマートクラウドに補償することを約束します:

  • 掲載情報の取得、編集、配信におけるユーザーの行為、不作為、過失、または制御不能な要因による損失または損害

  • 掲載情報の誤り、省略、不正確さ、配信の遅延や中断

  • ウェブサイトからのダウンロードなどにより発生する損害(データ損失やシステム破損などを含む)

違反およびサービス終了
ユーザーが適用される法令、本利用規約、またはプライバシーポリシーに違反した場合、FPTスマートクラウドは、ユーザーへのアクセス権、ライセンス、その他の許可を、予告なく直ちに停止または終了する権利を有します。

準拠法
本利用規約は、ベトナム社会主義共和国の法律に準拠し、それに従って解釈されます。法的手続きや訴訟はすべてベトナムにおいて提起され、ユーザーはベトナムの裁判所の専属管轄に同意するものとします。

プライバシーポリシー
本利用規約には、当社の [プライバシーポリシー] が組み込まれていますので、あわせてご確認ください。

利用規約の変更
FPTスマートクラウドは、独自の裁量により、本サービスをいつでも予告なく変更または終了する権利を有します。ユーザーは、本規約を定期的に確認する責任を負います。本ウェブサイトの継続的な利用は、変更後の規約への同意を意味します。

著作権について
© 2025 FPT Smart Cloud Co., Ltd. 無断複写・転載を禁じます。FPTスマートクラウドは他者の知的財産権を尊重しており、ユーザーにも同様の対応を求めます。
本ウェブサイトは、FPTスマートクラウドが顧客向けに情報提供目的で運営しており、法律的助言を目的とするものではありません。法的助言が必要な場合は、弁護士にご相談ください。

脆弱性開示に関する方針

I.セキュリティまたはプライバシー上の脆弱性の報告方法

FPTスマートクラウドの製品、ソフトウェア、サービス、またはウェブサーバーに影響を及ぼすセキュリティまたはプライバシー上の脆弱性を発見された場合は、当社までご報告ください。FPTスマートクラウドでは、セキュリティ研究者、開発者、一般ユーザーを問わず、すべての方からのご報告を歓迎いたします。

脆弱性をご報告いただく際は、下記の情報を記載の上、以下のメールアドレスまでご連絡ください。
📧 [email protected]

  • 該当する製品およびソフトウェアのバージョン

  • 実際に観察された挙動および期待される正しい挙動の説明

  • 再現手順を記載した番号付きのリスト(手順が複雑な場合は動画の添付も歓迎します)

※ メールで送信する際は、機密情報を暗号化してください。
FPTスマートクラウドは、報告を受領した旨の返信を行い、必要に応じて追加の情報提供をお願いする場合があります。

II. FPTスマートクラウドの対応方針

お客様の保護を最優先とするため、FPTスマートクラウドでは、調査が完了し必要なアップデートが公開されるまでは、脆弱性に関する情報を開示、議論、または確認いたしません。

FPTスマートクラウドは、セキュリティに関する修正情報や、脆弱性を報告していただいた個人・団体へのクレジット(謝辞)を、セキュリティアドバイザリおよび当社のセキュリティ情報配信メーリングリスト(security-announce)を通じて公開しています。

共通脆弱性情報の開示(CVD)に関する詳細は、以下のリンク先をご参照ください:
🔗 https://www.iso.org/standard/72311.html

III. セキュリティアドバイザリについて

FPTスマートクラウドのセキュリティアドバイザリは、FPTスマートクラウドのセキュリティ情報公開の補足資料です。必ずしもセキュリティ速報(セキュリティブリテン)を要しないが、顧客の全体的なセキュリティに影響を与える可能性のある変更点について扱います。

アドバイザリには、該当する変更または更新に関する追加情報を提供するため、FPTスマートクラウドナレッジベースの記事が付随しています。

FPTスマートクラウドの技術セキュリティ通知を常に最新の状態に保つことで、ユーザー環境の保護にお役立ていただけます。詳細は、「FPT Smart Cloud Technical Security Notifications」をご参照ください。

お支払い方法

I. 一般ポリシーおよび規定

FPT Cloudは、FPTスマートクラウドが所有・運営しており、統合された技術プラットフォーム、多様な製品エコシステム、グローバルな接続性を通じて、人工知能(AI)およびクラウドコンピューティング(Cloud)ソリューションを提供するリーディングカンパニーです。ウェブサイト https://fptcloud.com/ は、FPTスマートクラウドの所有物であり、企業向けにクラウドベースの製品およびソリューションに関する詳細な情報を提供することを目的としています。これにより、企業はデジタルトランスフォーメーションを推進し、資本コストを削減し、業務効率を向上させることが可能となります。

本ウェブサイトをご利用いただくことで、ユーザーは本ウェブサイトに記載されている規約に同意したものとみなされます。当社は、「利用規約」セクションに記載された条項について、予告なくいつでも変更、修正、追加または削除を行う権利を有します。これらの変更は、ウェブサイト上に更新された時点で直ちに適用されますので、定期的に内容をご確認ください。

  1. お支払い方法に関する条件

お客様は、以下の方法にてオンライン決済をご利用いただけます:Visa、MasterCard、またはデビットカード。
また、以下の銀行口座へのお振込みも可能です:

  • 口座名義:Cong ty TNHH FPT Smart Cloud

  • 口座番号:20138138901

  • 銀行名:TPBank

III. サービス利用登録に関する条件

お客様は、https://fptcloud.com/ 上の「新規登録」セクションからアカウントを作成し、各種サービスの購入が可能です。サポートが必要な場合は、ホットラインまたはメール([email protected])までご連絡ください。

 

  1. サービス利用手順

新規ユーザーは https://fptcloud.com/ にてアカウントを作成後、ログインしてください。
次に「プロジェクト作成」を選択し、プロジェクト名を入力して希望するサービスを選択します。ここから、FPT Cloudのサービスをお試しいただくことも、ご購入いただくことも可能です。

  1. キャンセル・返金ポリシー

お客様がサービス登録を完了した後は、いかなる理由によってもキャンセル・変更・返金は承っておりません。予めご了承ください。

  1. 保証・保守ポリシー

当社のサービスはすべてオンラインで提供されているため、保証または保守サービスのポリシーは設けておりません。ただし、技術サポート、苦情対応、補償等に関しては、お客様と締結した品質保証契約書に基づき、適切に対応いたします。

 

データ保護方針

データ保護方針

1. はじめに

FPTスマートクラウド有限会社(以下「FPTスマートクラウド」といいます)のコーポレートデータ保護方針は、顧客、ビジネスパートナー、従業員、またはその他の個人に関連する個人データの取扱いに関して厳格な要件を定めています。本方針は欧州のデータ保護指令の要件を満たし、世界各国の国内外のデータ保護法に準拠することを目的としています。FPTスマートクラウドにおけるグローバルなデータ保護および情報セキュリティ標準を確立し、FPTスマートクラウドとその子会社、関係法人間の情報共有を規定するものです。

FPTスマートクラウドでは、「透明性」「データ最小化」「データセキュリティ」などの原則に基づき、個人データ保護方針および情報セキュリティ管理ガイドラインを定めています。

FPTスマートクラウドの全マネージャーおよび従業員は、本方針および関連法令を遵守する義務があります。データ保護責任者として、当社におけるデータ保護の原則が世界中で順守されていることを保証する責務を負っています。

ご質問がございましたら、いつでもお気軽にご連絡ください。

ファム・テ・ミン
データ保護責任者(DPO)
Email: [email protected]
電話番号: +84 913571357

1.1. 目的

本データ保護方針は、FPTスマートクラウドおよびその子会社、関係法人に全世界で適用され、世界的に受け入れられているデータ保護の基本原則に基づいています。データ保護の確保は、信頼に基づくビジネス関係および優れた雇用主としての評価の礎です。

本方針は、FPTスマートクラウドとその関連法人間における国境を越えたデータ転送のための必要な枠組み条件を提供するものであり、EU一般データ保護規則(GDPR)、ベトナム個人データ保護令第13号、日本の個人情報保護法(APPI)、シンガポールの個人データ保護法(PDPA)などの国内外の規制に準拠した適切なレベルの保護を確保します。

個人データの収集、処理、転送および使用を標準化し、適法・公正・透明な利用を促進するとともに、データの盗難、改ざん、損傷、紛失または漏洩を防止することを目的としています。

1.2. 適用範囲

本方針は、FPTスマートクラウドによるすべての個人データの処理に適用されます。

つまり、個人データの収集、処理、使用、転送に関与するすべてのビジネスプロセス、情報システム、ならびにFPTスマートクラウドを代表して個人データの処理に携わるすべての従業員、契約者、第三者プロバイダーに対して適用されます。

個人識別情報を処理するすべての部署・機能は、本方針を遵守する必要があります。また、GDPR、個人データ保護令第13号、その他の関連法に従って、個人データが収集されるすべてのデータ主体が対象となります。

1.3. 国内法の適用

本データ保護方針は、国際的に受け入れられている原則を取り入れたものであり、既存の国内法を代替するものではありません。本方針は、各国のデータ保護法を補完するものであり、国内法と矛盾する場合、または国内法の方が厳格である場合には、国内法が優先されます。国内法が存在しない場合においても、本方針の内容を順守する必要があります。

各子会社または法人は、本データ保護方針および関連する法的義務を遵守する責任を負います。国内法と本方針が矛盾する場合には、該当する法人はデータ保護責任者に通知する義務があります。矛盾がある場合は、データ保護責任者が関係法人と連携し、実務的かつ目的に沿った解決策を講じます。

1.4. 国内外データ保護法違反の防止

データ保護責任者(DPO)は、FPTスマートクラウドのデータ保護を担当する取締役に直属し、個人データ処理に関する法的・ reputational リスクを把握・削減・監視する責務を負います。

個人データ保護方針、ガイドライン、手順、テンプレートは年に一度見直され、法律・規制・ビジネスの変化があれば迅速に改訂されます。DPOは、社内向けにオンライン教育プログラムを定期的に実施し、最新の規制動向や方針の更新について周知します。

ポリシー違反が発覚した場合、またはその可能性があると判断された場合は、DPOおよび経営陣に報告されます。経営陣は違反者に対し、譴責、罰金、一時停職、解雇などの適切な制裁を課すことができます。

2. ポリシー

2.1. 基本原則

2.1.1 個人データ保護のルール
  • 個人データは法令に従って処理されなければなりません。

  • データ主体は、その個人データの処理に関する活動について、法律に別段の定めがない限り通知を受ける権利があります。

  • 個人データは、個人データ管理者、処理者、管理者兼処理者、第三者によって登録・申告された目的に基づき処理されなければなりません。

  • 収集される個人データは、処理の範囲と目的に適したものでなければなりません。個人データの売買は、法令により認められている場合を除き、いかなる形でも禁止されます。

  • 処理目的に応じて、個人データは随時更新・追加されなければなりません。

  • 個人データは処理の全過程において保護・安全性が確保される必要があります。すなわち、個人データは法令違反、漏洩、滅失、改ざん等から技術的手段をもって防止されなければなりません。

  • 個人データは、処理目的に対して適切な期間内で保存されるものとし、法令に別段の定めがある場合を除きます。

  • 個人データ管理者および管理者兼処理者は、上記第1項から第7項に定められたデータ処理のルールを遵守し、その遵守状況を証明する義務があります。

2.1.2 データ主体の権利の確保

  • 通知を受ける権利
    データ主体は、自己の個人データ処理に関する情報を通知される権利があります。

  • 同意を与える権利
    データ主体は、特定の場合(政令第13/2023/NĐ-CP第17条に定める場合を除く)を除き、自己の個人データ処理に同意する権利を有します。

  • アクセスする権利
    データ主体は、自己の個人データにアクセスし、閲覧・修正・修正請求を行う権利を有します。

  • 同意を撤回する権利
    データ主体は、法令に別段の定めがない限り、いつでも自己の同意を撤回することができます。

  • 削除を求める権利
    データ主体は、法令に別段の定めがない限り、自身の個人データの削除または削除請求を行う権利があります。

  • 処理の制限を求める権利
    データ主体は、自己の個人データ処理の制限を求める権利があります。この制限は、データ主体からの要請後72時間以内に対応されなければなりません(法令に別段の定めがある場合を除く)。

  • 個人データの取得を求める権利
    データ主体は、個人データ管理者または管理者兼処理者に対し、自身の個人データの提供を求める権利があります。

  • 処理への異議申し立て権
    a) データ主体は、自己の個人データが広告・マーケティング目的で使用されることを防ぐため、管理者または管理者兼処理者に対し処理の停止を求める権利を有します。
    b) 上記要請に対し、管理者等は72時間以内に対応しなければなりません(法令に別段の定めがある場合を除く)。

  • 苦情・告発・訴訟を行う権利
    データ主体は、法令に基づき、苦情、告発または訴訟を行う権利があります。

  • 損害賠償を求める権利
    データ主体は、自身の個人データ保護に関する違反があった場合、法令に基づき損害賠償を求めることができます。

  • 自己救済の権利
    データ主体は、民法および政令第13/2023/NĐ-CPに基づき、自己の権利を自ら保護する、または関係機関・団体に保護措置を求める権利があります。

2.3. 従業員のデータ

2.3.1 雇用関係におけるデータ処理

雇用関係においては、雇用契約の開始、履行、終了のために、従業員の個人データを処理することができます。採用活動においては、応募者の個人データを処理することができます。不採用となった応募者については、必要な保存期間を経た後にそのデータを削除する必要があります。ただし、将来の採用活動のためにデータを保管することに応募者が同意した場合はこの限りではありません。

応募者の個人データをFPTスマートクラウドのシステムにおいて処理するためには、応募者の事前の同意が必要です。また、他の関連法人での採用活動に利用する場合も同意が必要です。

既存の雇用関係におけるデータ処理は、雇用契約の目的に直接関連するものでなければなりません。ただし、以下の正当な根拠のいずれかがある場合は除きます。

採用プロセス中に第三者から応募者情報を取得する必要がある場合には、該当する国の法律を遵守しなければなりません。疑義がある場合には、応募者から同意を得る必要があります。

雇用契約の履行に直接関係しない個人データを処理する場合は、法律上の義務、労使協定、従業員の同意、または会社の正当な利益などの法的根拠が必要です。

従業員は、自身の扶養家族や緊急連絡先など他者に関する情報を会社に提供することがありますが、提供前にその本人に対し情報提供の旨を通知し、必要に応じて同意を得る責任があります。また、会社と情報を共有する場合には、その本人にも本ポリシーを読んでもらうようにしなければなりません。

2.3.2 法的根拠に基づくデータ処理

従業員の個人データの処理は、国家法により要求・許可・義務付けられている場合にも許可されます。処理の種類および範囲は、その法的目的に必要かつ関連法に準拠したものでなければなりません。法的裁量が認められている場合には、従業員の保護すべき利益を考慮しなければなりません。

2.3.3 データ処理に関する労使協定

契約履行の目的を超えるデータ処理活動は、労使協定により認められる場合に限り許可されます。労使協定には、賃金協定や労使代表との合意などが含まれ、該当する労働法の範囲内で締結される必要があります。協定には、データ処理の具体的な目的が明記され、かつ国内データ保護法の範囲内である必要があります。

2.3.4 同意に基づくデータ処理

従業員の個人データは、当人の同意に基づいて処理されることがあります。同意は自発的に提供されなければならず、強制による同意は無効です。同意は書面または電子的手段により取得され、記録されなければなりません。一部の状況においては、口頭での同意も可能ですが、その場合も適切に記録される必要があります。

当人が自発的かつ十分な情報を得たうえでデータを提供した場合、国内法において明示的な同意が必須とされていない限り、黙示の同意があったとみなされる場合もあります。同意を取得する前には、本ポリシーに基づいて情報提供を行う必要があります。

2.3.5 正当な利益に基づくデータ処理

FPTスマートクラウドの正当な利益のために必要である場合にも、個人データの処理は認められます。正当な利益には、法的利益(例:未払い債権の回収)や商業的利益(例:契約違反の回避)などが含まれます。

ただし、特定の事案において、データ主体の保護すべき利益が明確に存在し、それが優先されるべきである場合には、処理は行えません。データ処理の前に、保護すべき利益が存在するかどうかの評価が必要です。

2.3.6 電気通信およびインターネット利用

電話、メール、イントラネット、インターネット、社内SNS等は、原則として業務目的で提供されている会社資産です。これらは、適用される法規および社内ポリシーに基づいて使用される必要があります。

私的利用が許可されている場合であっても、電気通信の秘密保持に関する法令や国内電気通信法の規定を遵守しなければなりません。

FPTスマートクラウドでは、電話・メール通信やイントラネット・インターネット使用を常時監視することはありません。ただし、ITインフラまたは個別ユーザーに対する攻撃を防御するため、技術的に有害なコンテンツをブロックしたり、攻撃パターンを分析するなどの保護措置を講じることがあります。

セキュリティ上の理由から、これらの利用は一時的に記録されることがあります。特定の人物による法令またはポリシー違反が疑われる場合に限り、適切な調査機関が個人に関するデータの分析を行うことができます。その際は、比例性の原則に従い、関係国の法律を順守しなければなりません。

2.4. 国家機関、政府機関、連邦機関またはその他の規制当局からのアクセス要求

国家機関、政府機関、連邦機関またはその他の規制当局からの個人データへのアクセス要求は、国際データ移転に関する要求と同様に、該当する国の法律を厳格に遵守して処理されます。すべてのアクセス要求は、「アクセス要求記録簿」に登録されます。

これらの要求はすべてデータ保護責任者(DPO)が管理し、FPTスマートクラウドのデータ保護担当取締役の同意のもとで対応されます。DPOは、国家機関等との連絡を一手に担い、またアクセス要求記録簿の管理も担当します。

FPTスマートクラウドは、法令に反しない限り、当該データ主体に対してアクセス要求の存在を遅滞なく通知します。

2.5. ポリシーの見直しおよび評価

本ポリシーは、国際的な基準、法的規制、技術および事業の最新状況を反映させるために、年に2回レビューおよび評価されなければなりません。また、個人データ管理実務の適時性を確保するためにも、この見直しは不可欠です。

2.6. 公表および周知

本ポリシーは、従業員が個人データ保護管理に関する原則や規定を理解し、それに従うことができるよう、周知プロセスに基づいて公表されます。

本ポリシーは、データ保護責任者(DPO)およびFPTスマートクラウドの担当取締役によって見直し・修正される必要があります。データ保護責任者は、その実施および内部監査に責任を持ちます。

  1. データ保護管理

FPTスマートクラウドは、本データ保護ポリシーおよび適用されるデータ保護法への準拠状況を、年1回のデータ保護監査およびその他の管理活動を通じて確認します。これらの管理活動の実施責任は、データ保護担当者にあります。

監査の結果は、データ保護責任者およびFPTスマートクラウドの管掌取締役に報告されなければなりません。要請があった場合には、監督当局に対して結果を開示します。監督当局は、該当国の法令に基づき、本ポリシーの規定への準拠状況を独自に監査することができます。

  1. 技術的および組織的対策

FPTスマートクラウドは、委託データ処理契約の範囲内で個人データを処理する非公開企業として、EU一般データ保護規則(GDPR)およびその他国際的なデータ保護法への準拠を確保するための技術的および組織的対策を講じます。

加えて、FPTスマートクラウドは、システムおよびコンポーネントの機密性、完全性、可用性、および耐障害性を確保する責任を負います。

以下の分類に基づく対策は、現在の最小限のセキュリティ要件を網羅し、FPTスマートクラウドがデータ管理者の代理として個人データを処理する際の保護レベルの評価を目的としています。FPTスマートクラウドが管理者のシステムに接続する場合、少なくとも「機密性」の項目、すなわち「アクセス権管理」および「職務の分離」の管理を実施する必要があります。

FPTスマートクラウドでは、これらの対策を継続的に改善するプロセスを導入しています。

4.1. 秘密保持(Confidentiality)

  1. a) アクセス制御/建物セキュリティ

目的:個人データの処理に使用されるシステムへの不正使用を防止すること。

各従業員のユーザーマスターデータと個別識別コードを連絡先ディレクトリに登録。

各システムへは、識別コードとパスワードによる認証を経てのみアクセス可能。

実施中の対策:

☒ 警報システム

☒ 建物の配線保護

☒ 自動アクセス制御システム

☒ チップカードによる入退室管理

☒ 暗証番号付き施錠システム

☒ 手動施錠システム

☐ 生体認証によるアクセス管理

☒ 入口のビデオ監視

☐ 赤外線センサー/モーションセンサー

☒ セーフティロック

☒ 鍵の引き渡し規定

☒ 守衛/受付による身分確認

☒ 来訪者の記録

☒ 特別選任された清掃員の起用

☒ 特別選任された警備員の起用

☒ IDカードの着用義務

  1. b) 物理的アクセス制御/システム保護

目的:個人データを処理または使用する設備への物理的アクセスを不正に行わせないこと。

業務施設はセキュリティ要件に応じてゾーン分けされ、アクセス権限が異なる。

特殊区域(例:リモート保守センター等)には、追加のアクセス制御が施されている。

実施中の対策:

☒ 内部アクセス制御

☒ 権限分離管理

☒ 強力なパスワード要件

☐ 生体認証

☒ ユーザー名とパスワードによる認証

☒ ITシステムへのユーザープロファイル割当て

☒ サーバー/PCの物理的施錠

☒ VPN技術の利用(リモートアクセス)

☒ USB等の外部インターフェースのロック

☒ モバイルデバイスの暗号化

☒ 不正侵入検知システム

☐ スマートフォンの一括管理(例:遠隔削除)

☐ スマートフォン内容の暗号化

☐ スマートフォン用の安全なパスワード

☒ ノートパソコン上のデータメディア暗号化

☒ 個別ユーザー名の割当て

☐ その他(必要に応じて記載)

  1. c) 電子的アクセス制御/アクセス権の保護

目的:アクセス権を持つ者のみがデータにアクセスし、かつ個人データが不正に閲覧・複製・変更・削除されないようにすること。

各業務に必要なデータへのアクセスは、システムおよびアプリケーション上のロールと権限設定によって管理。

実施中の対策:

☒ 権限設計コンセプト

☒ システム管理者による権限管理

☒ 最小限のシステム管理者数

☒ 削除の記録管理

☒ アクセスログ(データの入力、変更、削除)

☒ ウイルス対策ソフトの導入

☒ デバイス再利用前の物理的データ削除

☒ ソフトウェアファイアウォールの適用

☒ データキャリアの安全な保管

☒ パスワードポリシー(長さ、更新頻度)

☒ データキャリアの暗号化

☒ 適切なシュレッダーまたは専門業者の利用

☒ ハードウェアファイアウォールの適用

☒ データキャリアの適切な破棄

☐ その他(必要に応じて記載)

☒ アクセスログの記録

 

  1. d) 分離管理/目的外利用の防止

目的:異なる目的で収集されたデータが、混在して処理されないようにすること。

個人データは、処理者の内部目的のみに使用。

第三者(例:下請け業者)への提供は契約と法令に基づいてのみ実施。

実施中の対策:

☒ 別々のシステム/媒体による物理的な分離保存

☒ 権限管理の設計

☒ 本番環境とテスト環境の分離

☒ 同一目的に基づくデータの暗号化

☒ テスト環境に本番データを使用しない

☒ 論理的なクライアント分離(ソフトウェアベース)

☐ その他(必要に応じて記載)

 

  1. e) 仮名化(Pseudonymization)

目的:追加情報なしではデータ主体を特定できない形式で個人データを処理すること。その追加情報は別途保管され、技術的・組織的措置により保護される。

実施中の対策:

☒ 仮名化(または匿名化)によるデータ処理

☒ 紐付け情報ファイルの分離保管(セキュアなITシステム内)

4.2. 完全性(Integrity)

a) データ転送管理/データ転送の安全性

データ転送管理の目的は、個人データの転送中に不正に読み取られたり、コピー、変更、削除されることを防ぎ、誰に転送されるのかを監視・追跡可能にすることです。

FPTスマートクラウドが第三者(顧客、業務委託先、サービス提供者など)へ個人データを転送するのは、該当契約が存在し、かつ特定の目的のために限られます。EU/EEAまたは原産国以外の国へ個人データを転送する場合、FPTスマートクラウドは、EUのモデル契約条項などを使用し、適切なデータ保護水準が転送先組織・地域で確保されていることを保証します。

☒ 専用回線またはVPNトンネルの設置
☒ 電子メールの暗号化
☒ データ受信者および転送・削除期間の記録
☒ 特別な輸送担当者および運送業者の選定
☒ 匿名化/仮名化されたデータによる転送
☒ 定期的なデータリクエストおよびデータ転送の概要作成
☒ 安全な輸送容器・梱包による物理的な輸送
☒ 暗号化された外部記憶媒体(CD、USB等)による転送

  1. b) 入力管理

入力管理の目的は、個人データの入力に関する状況を後から確認・監査できるようにすることです。

システムへの入力はログファイルとして記録され、後日誰がいつどのようにデータを入力・修正・削除したかを確認可能です。

☒ 入力・修正・削除が許可されているアプリケーションの一覧作成
☒ 権限管理に基づく入力・修正・削除権限の設定
☒ データの入力、修正、削除の継続的なログ記録
☒ 個別に割り当てられたユーザー名の使用によりアクセス制御を確保
☒ 自動処理されたデータの由来を評価するための記録保存
☒ アクティビティログ

4.3. 可用性および耐性(Availability and Resilience)

a) 偶発的または故意による破壊・損失の防止

可用性管理の目的は、個人データが偶発的な破壊や損失から保護されることを確保することです。

処理目的が終了した個人データは速やかに削除されます。なお、削除は即座に完全に行われるのではなく、一時的にロックされた後、一定期間経過後に完全削除され、誤削除や故意の破壊を防止します。

☒ 空調設備、過電流保護、消火器を備えたサーバールーム
☒ バックアップデータを別の安全な場所に保管
☒ 緊急対応計画
☒ 事業継続計画(BCP)
☒ トイレなどの衛生施設直下にサーバールームを配置しない
☒ 定期的なバックアップ
☒ 緊急時の監督体制

  1. b) 迅速な復旧体制

☒ バックアップおよび復旧の概念に基づいたリカバリ手順
☒ 復旧テストの実施
☒ 緊急対応体制の監督

4.4. 定期的な見直し、評価、監査のための手続き

a) データ保護管理

☒ 個人データの収集・処理・利用に関する社内ポリシーを策定
☒ データ保護責任者を文書で任命済み
☒ 従業員に対する個人情報の機密保持義務
☒ 電気通信の秘密保持規則への準拠義務
☒ 処理活動の内部記録リストを保持
☒ データ保護影響評価にデータ保護責任者が関与
☒ データ保護責任者は組織図に明記
☒ 従業員向けの研修を実施
☒ 不正アクセスを検知するための管理システムを導入

  1. b) インシデント対応管理

ITセキュリティに関連するインシデントや障害が発生した、あるいは疑われる場合の管理体制を確保します。

☒ インシデント管理のプロセス設計
☒ 現実的な訓練を実施するチーム体制
☒ セキュリティチームの任命と訓練

  1. c) プライバシー・バイ・デザインと初期設定によるデータ保護(EU規則に基づく)

☒ プライバシー・バイ・デザイン:適切な技術による保護の確保
☒ 将来的なニーズに対応したプライバシー保護技術の選定
☒ プライバシー・バイ・デフォルト:デフォルト設定による保護の確保

  1. d) 委託先(サブコン)管理・監督

管理者の明確な事前承認がない限り、データ処理の委託は行いません(契約書、正式な発注管理、厳格な選定、事前評価、継続的な監査など)。

☒ 委託先の専門的な精査(特にデータ保護に関して)
☒ データ処理契約等により委託先に対するガイドラインを文書化
☒ 委託先にデータ保護責任者が任命されている(必要に応じて)
☒ 管理者による監査権限を契約で明記
☒ 委託前にセキュリティ対策の実施状況を確認
☒ 委託先の従業員に機密保持契約を義務付け
☒ 契約終了後のデータの削除または破棄の保証
☒ 委託先の活動および状況の継続的な監査

5. 個人データ保護に関する研修

すべての新入社員は、入社初日に個人データ保護に関する研修を受講しなければなりません。

個人データを取り扱うすべての従業員は、データ処理を開始する前に、個人データ保護に関する研修を受講し、試験に合格することが義務付けられています。また、年に一度のリフレッシュ研修も必須です。

  1. データ保護責任者(DPO)

データ保護責任者は、業務命令に対して内部的に独立しており、国内外のデータ保護規則の遵守に努めます。データ保護責任者は本データ保護ポリシーに責任を持ち、その遵守状況を監督します。データ保護責任者は、FPTスマートクラウド取締役会により任命されます。

すべてのデータ主体は、データ保護またはデータセキュリティに関連する懸念、質問、情報請求、苦情を、いつでもデータ保護責任者に申し出ることができます。要望があった場合、懸念事項および苦情は機密として取り扱われます。

データ保護責任者の連絡先:

FPTスマートクラウド有限会社
データ保護責任者:ファム・テ・ミン(Pham The Minh)
住所:ベトナム ハノイ市 カウザイ区 ファム・バン・バック通り10番地 FPTタワー
携帯電話:+84 913571357
メールアドレス:[email protected]

  1. 責任および懲戒処分

FPTスマートクラウドおよびその子会社・関係法人の執行機関は、それぞれの責任範囲内におけるデータ処理に対して責任を負います。したがって、法的要件および本データ保護ポリシーに定めるデータ保護要件(例:国別の報告義務)を満たすよう確保する義務があります。取締役会は、組織的・人的・技術的対策が整備され、すべてのデータ処理が適切に実施されるよう責任を負います。これらの要件の遵守は、関係従業員の責任です。

外部機関によるデータ保護監査が実施される場合は、直ちにデータ保護責任者へ報告しなければなりません。

個人データの不適切な処理、またはその他のデータ保護法違反は、多くの国で刑事罰の対象となり、損害賠償請求の原因となる可能性があります。従業員個人に責任がある違反行為に対しては、就業規則に基づく懲戒処分(戒告、罰金、停職、解雇など)の対象となる場合があります。

このポリシーの意味やご自身への適用方法についてご不明な点がある場合は、下記まで電話またはメールにてデータ保護責任者へご相談ください。
Pham The Minh
電話:+84 913571357
メール:[email protected]

  1. 補足的ガイドラインおよび文書

個人データ保護ポリシー

すべてのFPTスマートクラウド従業員は、本ポリシー、ガイドライン、手順、テンプレートをQMSプラットフォーム上で閲覧することができます。

  1. 例外

例外事項については、必ずデータ保護責任者による確認およびFPTスマートクラウドの責任取締役による承認が必要です。

10. 付録(Appendix)

10.1. 定義

略語

説明

PII / 個人識別情報 / 個人データ

EU一般データ保護規則(GDPR)第4条第1項に定義される「個人データ」とは、識別された、または識別可能な自然人(データ主体)に関するあらゆる情報を指します。識別可能な自然人とは、名前、識別番号、位置データ、オンライン識別子、またはその者の身体的、生理的、遺伝的、精神的、経済的、文化的、または社会的な属性に基づいて直接的または間接的に識別できる者を指します。

データ主体

GDPR第4条第1項に基づき、直接的または間接的に識別可能な個人。

データ管理者(Data Controller)

GDPR第4条第7項に基づき、個人データの処理目的および手段を単独で、または他者と共同で決定する自然人または法人、公的機関、機関、その他の団体。

データ処理者(Data Processor)

GDPR第4条第8項に基づき、データ管理者の代わりにデータを処理する自然人または法人、公的機関、機関、その他の団体。

受領者(Recipient)

GDPR第4条第9項に基づき、第三者か否かを問わず、個人データが開示される自然人または法人、公的機関、機関、その他の団体。

第三者(Third Party)

GDPR第4条第10項に基づき、データ主体、管理者、処理者、またはそれらの直接的権限の下でデータを処理する者以外の自然人または法人、公的機関、機関、その他の団体。

DPO

データ保護責任者(Data Protection Officer)

DPIA

データ保護影響評価(Data Protection Impact Assessment)

EU

欧州連合(European Union)

10.2. 関連文書

No

コード

文書名

1

EU GDPR

EU一般データ保護規則(General Data Protection Regulation)

2

PERSONAL DATA PROTECTION DECREE NO. 13/2023/ND-CP, VN

ベトナム政府による個人データ保護政令 第13/2023/ND-CP号(2023年7月)

3

PCI DSS

支払カード業界データセキュリティ基準(Payment Card Industry Data Security Standard)

10.3. ベトナムにおけるデータ保護法の概要

ベトナムには、単一の包括的なデータ保護法は存在しません。データ保護およびプライバシーに関する規定は、さまざまな法的文書に分散されています。プライバシー権、名誉、尊厳に関する権利およびそれらの基本原則は、2013年憲法および2015年民法において不可侵かつ法的に保護されるものと規定されています。

個人データの収集、保存、利用、処理、開示または移転に関する指針は、以下の主要な法令に記載されています:

  • データ法 第60/2024/QH15号(2024年11月30日国会通過、2025年7月1日施行)

  • 刑法 第100/2015/QH13号(2015年11月27日国会通過)

  • サイバーセキュリティ法 第24/2018/QH14号(2018年6月12日国会通過)

  • ネットワーク情報セキュリティ法 第86/2015/QH13号(2015年11月19日国会通過)、第35/2018/QH14号(2018年11月20日改正)

  • 消費者権利保護法 第59/2010/QH12号(2010年11月17日国会通過)、第35/2018/QH14号(2018年11月20日改正)

  • 情報技術法 第67/2006/QH11号(2006年6月29日国会通過)、第21/2017/QH14号(2017年11月14日改正)

  • 電子取引法 第51/2005/QH11号(2005年11月29日国会通過)

  • 政令 第85/2016/ND-CP号(2016年7月1日発効)情報システムのセキュリティ分類に関するもの

  • 政令 第72/2013/ND-CP号(2013年7月15日)、インターネットサービスとオンライン情報に関する管理;第27/2018/ND-CP号および第150/2018/ND-CP号により改正

  • 政令 第52/2013/ND-CP号(2013年5月16日)、第08/2018/ND-CP号および第85/2021/ND-CP号によって改正

  • 政令 第15/2020/ND-CP号(2020年2月3日)、郵便、電気通信、無線、IT、電子取引に関する違反への行政処分

  • 通達 第03/2017/TT-BTTTT号(2017年4月24日)政令85のガイドライン

  • 通達 第20/2017/TT-BTTTT号(2017年9月12日)全国的な情報セキュリティインシデント対応規定

  • 通達 第38/2016/TT-BTTTT号(2016年12月26日)越境公共情報提供に関する詳細

  • 通達 第24/2015/TT-BTTTT号(2015年8月18日)インターネット資源の管理・利用について(2019年7月19日通達第06/2019/TT-BTTTT号により改正)

  • 首相決定 第05/2017/QD-TTg号(2017年3月16日)、国家サイバー情報セキュリティ確保のための緊急対応計画

これらの法文書の適用性は、それぞれの事案の具体的な状況に依存します。たとえば、銀行・金融、教育、医療分野の企業は、より専門的なデータ保護規制の対象となる可能性があります。また、労働者の個人情報に関しては、2019年労働法に基づく規定が適用されることがあります。

FPTコーポレーションのデータ保護に関する規定:

  • ベトナム語:Chính sách bảo mật dữ liệu cá nhân(01-CS/TT/HDCV/FPT v1.0)
    個人データ保護ポリシー

  • ベトナム語:Chính sách bảo mật dữ liệu cá nhân của cán bộ nhân viên(02-CS/TT/HDCV/FPT v1.0)
    従業員の個人データ保護ポリシー

 

リスクまたは違反の報告

リスクや違反行為に関するご報告がございましたら、下記の方法にて速やかにご連絡ください。

データ保護責任者(DPO):ファム・テ・ミン(Pham The Minh)
FPTタワー
10 Pham Van Bach Street, Cau Giay Ward, Ha Noi, Viet Nam

携帯電話:+84 913571357
Eメール:[email protected]

日本のお客様向け個人情報保護方針

個人情報保護方針

(プライバシーステートメント)について

 

制定年月日 2019年1月31日

最終改正年月日 2025年7月25日

FPTジャパンホールディングス株式会社

代表取締役社長 ド・ヴァン・カック

 

1.         個人情報保護に関する当社の考え方

当社は、FPTジャパンホールディングス株式会社および子会社(以下総称して「当社グループ」)、取り扱う全ての個人情報の保護について、社会的使命を十分に認識し、本人の権利の保護、個人情報に関する法規制等を遵守します。また、以下に示す方針を具現化するための個人情報保護マネジメントシステムを構築し、最新のIT技術の動向、社会的要請の変化、経営環境の変動等を常に認識しながら、その継続的改善に、全社を挙げて取り組むことをここに宣言します。

 

2.         個人情報保護方針

(1)     個人情報は、ソフトウェア開発および情報サービス業務における当社の正当な事業遂行上並びに従業員の雇用、人事管理上必要な範囲に限定して、取得・利用及び提供をし、特定された利用目的の達成に必要な範囲を超えた個人情報の取扱い(目的外利用)を行いません。また、目的外利用を行わないための措置を講じます。

(2)     個人情報保護に関する法令、国が定める指針及びその他の規範を遵守致します。

(3)     個人情報の漏えい、滅失、毀損などのリスクに対しては、合理的な安全対策を講じて防止すべく事業の実情に合致した経営資源を注入し、個人情報セキュリティ体制を継続的に向上させます。また、個人情報保護上、問題があると判断された場合には速やかに是正措置を講じます。

(4)     個人情報取扱いに関する苦情及び相談に対しては、迅速かつ誠実に、適切な対応をさせていただきます。

(5)     個人情報保護マネジメントシステムは、国内外に適用される法令、ガイドライン等の当社を取り巻く環境の変化を踏まえ、適時・適切に見直してその改善を継続的に推進します。

(6)     トップマネジメントは変更した時に個人情報保護方針に更新されます。

(7)     制定年月日また最終改正年月日は変更した時に個人情報保護方針に更新されます。

(8)     個人情報保護方針の内容についての連絡先の具体的な住所は5. 保有個人データに関する事項の周知の(3)保有個人データの取扱いに関する苦情の申し出先にて更新します。

 

3.         適用範囲

当社が事業で取扱う全ての個人情報に関する取扱いを定めるものです。

 

4.         個人情報の取扱い方針(取得、利用目的、共同利用、第三者提供等)

(1)     個人情報の取得

当社は、以下の方法で個人情報を取得します。

(ア)     お客様や従業員から直接個人情報の提供を受ける場合(名刺、契約等の書面、Webサイト、口頭など)

(イ)     お客様が当社へのお問い合わせ、または当社サービスを利用する際に自ら個人情報を登録する場合

(ウ)     業務委託先、ビジネスパートナーを含む第三者からお客様の個人情報の提供を受ける場合

(エ)     刊行物やインターネット等で公開された個人情報を取得する場合

(オ)     公的機関に照会して入手する場合

 

(2)     取得した個人情報の利用目的

当社は、以下の目的で個人情報を利用します。

(ア)     お客様の個人情報(ご契約前の見込のお客様も含みます)

営業、マーケティング、研究開発等の活動およびお客様との関係維持に関する管理のため例として、以下のような利用が含まれます。

          お客様からのお問い合わせ対応、記録またはその他のカスタマーサポートの提供のため

          当社および当社グループが取り扱うサービスやソリューション、イベント等に関する情報のご案内のため(ダイレクトメール、メールマガジン等の方法で)

          当社および当社グループより依頼したアンケートの回答結果やサービスの利用状況、Webサイト上の行動履歴等を分析し、お客様に適切と判断する情報の提供のため、また得られた傾向・知見等を当社が発信するリリース情報や事例等で公開するため

(イ)     従業員、及びそのご家族に関する個人情報

雇用及び人事管理のため

例として、以下のような利用が含まれます

          入社や退職手続き等の雇用および人事管理のため

          勤怠や給与等の労務管理のため

          社員証の発行やオフィスビルの入館手続き、防犯のため

(ウ)     業務委託先、ビジネスパートナー、その他関係会社の従業員に関する個人情報

委託業務、関連取引の実施およびの関係維持に関する管理のため例として、以下のような利用が含まれます

          見積書、契約書等の送付先・事務連絡先を把握するため

          委託業務の円滑な遂行のための連絡手段を整備するため

          イベントの企画や共催、また結果の報告等を当社が発信するリリース情報や事例等で公開するため

(エ)     弊社、及び弊グループの人材採用活動における応募者に関する個人情報

選考および採否に関する連絡のため例として、以下のような利用が含まれます

          応募者の適格性を評価するため

          応募者に当社および当社グループの雇用機会やイベント等を案内するため

          当社および当社グループより依頼したアンケートの回答結果やサービスの利用状況、Webサイト上の行動履歴等を分析し応募者に有益と判断する情報の提供のため、また得られた傾向・知見等を当社が発信するリリース情報や採用情報サイト等で公開するため

 

(3)     取得した個人情報の共同利用

当社は、前記「(2)取得した個人情報の利用目的」にて定める個人情報をその利用目的の範囲内において、ベトナムにあるFPTスマートクラウドを中心とする各グループ各社と共同利用する場合があります。この場合の共同利用する個人情報の管理責任は、当社となります。なお、FPTスマートクラウドにおけるデータ保護ポリシーおよび当該国の個人情報保護に関する制度は以下の通りです。

          FPT Smart Cloud Privacy Statement

https://fptcloud.com/ja/privacy-policy-ja/

          外国における個人情報の保護に関する制度(個人情報保護委員会調査)

https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/

 

(4)     取得した個人情報の第三者提供・取扱業務の委託

当社は、次に掲げる場合を除き、取得した個人情報を本人の同意を得ることなく、第三者に提供することはありません。また、利用目的を遂行するために外部に委託する場合があります。委託先については、情報保護に関するセキュリティ対策、管理方法を評価の上、必要な安全対策を実施している企業に限定することとし、当社は適切に管理・監督を行ないます。

          事前にお客さまに同意をいただいている場合

          個人を特定できない統計情報、または匿名加工情報に処理した上でその結果を提供する場合

          法令に基づく開示を要求された場合

          人の生命、身体又は財産の保護のために必要があり、本人の同意を得ることが困難である場合

          当社が個人情報の取扱について評価・監督している委託先へ業務を委託する場合

 

5.         保有個人データに関する事項の周知

当社で保有している保有個人データに関して、ご本人様又はその代理人様からの利用目的の通知、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止および第三者提供記録の開示の請求(以下、「開示等の請求」といいます)につきましては、以下の要領にて対応させていただきます。

(1)     個人情報の取扱事業者の名称及び住所並びに法人にあたってはその代表者の氏名

会社名:FPTジャパンホールディングス株式会社

代表者:ド・ヴァン・カック

住所:東京都港区三田3丁目5−19 住友不動産東京三田ガーデンタワー33階

 

(2)     個人情報保護管理者(若しくはその代理人)の氏名又は職名、所属及び連絡先

個人情報保護管理者:ファン・ティ・タイン・ホア

役職:取締役 執行役員 兼 最高執行責任者

連絡先:[email protected]

 

(3)     保有個人データの取扱いに関する苦情・相談の申し出先

当社で保有している個人情報について、開示、訂正、利用停止などの要請があった場合には、ご本人であることを確認の上で対応いたします。

個人情報に関する苦情及び相談を含むお問合せは人事部(HR)でお受けいたします。

FPTジャパンホールディングス株式会社

個人情報問合せ窓口

電話番号:03-6634-6868

お問い合わせフォーム:https://fptsoftware.jp/contact
※リンク先の「お問い合わせ種類」の項目で、『個人情報・情報セキュリティの苦情、相談について』を選択してください。

 

(4)     認定個人情報保護団体の名称及び、苦情の解決の申出先

【当社の商品・サービスに関する問合せ先ではございません】

認定個人情報保護団体の名称:一般社団法人日本情報システム・ユーザー協会(JUAS)

苦情の解決の申出先:認定個人情報保護団体事務局

住所:認定個人情報保護団体事務局

電話番号:03-6264-1318

受付時間 10:00〜16:00(土、日、祝日休み)

または

認定個人情報保護団体の名称:一般財団法人日本情報経済社会推進協会(JIPDEC)
苦情の解決の申出先:認定個人情報保護団体事務局
住所:東京都港区六本木一丁目9番9号 六本木ファーストビル内
電話番号:03-5860-7565 / 0120-700-779

 

(5)     保有個人データの開示等の求めに応じる手続き

(ア)     開示等の求めの申し出先

開示等のお求めは、上記個人情報問合せ係にお申し出ください。

(イ)     開示等の求めに関するお手続き

          お申し出受付け後、当社からご利用いただく所定の請求書様式「保有個人データ開示等請求書」を郵送いたします。

          ご記入いただいた請求書、代理人によるお求めの場合は代理人であることを確認する書類、手数料分の郵便為替(利用目的の通知並びに開示の請求の場合のみ)を上記個人情報問合せ係までご郵送ください。

          上記請求書を受領後、ご本人確認のため、当社に登録していただいている個人情報のうちご本人確認可能な2項目程度(例:電話番号と生年月日等)の情報をお問い合わせさせていただきます。

          回答は原則としてご本人に対して書面(封書郵送)にておこないます。

(ウ)     代理人によるお求めの場合、代理人であることを確認する資料

開示等をお求めになる方が代理人様である場合は、代理人である事を証明する資料及び代理人様ご自身を証明する資料を同封してください。各資料に含まれる本籍地情報は都道府県までとし、それ以降の情報は黒塗り等の処理をしてください。また各資料は個人番号を含まないものをお送りいただくか、全桁を墨塗り等の処理をしてください。

          代理人である事を証明する資料

<開示等の求めをすることにつき本人が委任した代理人様の場合>

本人の委任状(原本)

<代理人様が未成年者の法定代理人の場合>いずれかの写し

戸籍謄本

住民票(続柄の記載されたもの)

その他法定代理権の確認ができる公的書類

<代理人様が成年被後見人の法定代理人の場合>いずれかの写し

後見登記等に関する登記事項証明書

その他法定代理権の確認ができる公的書類

          代理人様ご自身を証明する資料

運転免許証

パスポート

健康保険の被保険者証

住民票

(エ)     利用目的の通知または開示のお求めについての手数料

1回のお求めにつき1,000円

(お送りいただく請求書等に郵便為替を同封していただきます。)

(6)     保有個人データの安全管理のために講じた措置について

(ア)     組織的安全管理措置

組織体制の整備、個人データの取扱いに関する規律に従った運用、個人データの取扱い状況を確認する手段の整備、漏えい等事案に対応する体制の整備、取扱い状況の把握及び安全管理措置の見直し等に関して、必要な措置を講じています。

(イ)     人的安全管理措置

個人データの取扱いに関する留意事項について、従業員に定期的なトレーニング等を行なっております。また、個人データについての秘密保持に関する事項を含む誓約書を取得しております。

(ウ)     物理的安全管理措置

個人データを取り扱う区域の管理、機器及び電子媒体等の盗難等の防止、電子媒体等を持ち運ぶ場合の漏えい等の防止、個人データの削除及び機器、電子媒体等の廃棄に関して、必要な措置を講じています。

(エ)     技術的安全管理措置

情報システムに関して、アクセス制御、アクセス者の識別と認証、外部からの不正アクセス等の防止、情報システムの使用に伴う漏えい防止等に関して、必要な措置を講じています。

 

6.         Cookie(クッキー)の取り扱いについて

当社は、お客様へのサービスのためクッキーを使用することがあります。お客様がブラウザの設定でクッキーの送受信を許可している場合、当社はお客様のコンピュータに保存されたクッキーを取得し、収集した行動履歴と個人情報を紐付ける場合があります。

なお、お客様はご使用されているWebブラウザの設定により、Cookieの受け取りを拒否したり、警告を表示することが可能です。

ただし、Cookieの受け取りを拒否された際には、当社および他社がCookieを使用して提供するサービスの一部もしくは全てのサービスがご利用できなくなる場合もありますので、ご了承ください。

Cookie(クッキー)とは

当社のWebサイトでは、一部のページで「Cookie」という技術を使用しています。CookieはWebサイトを管理するWebサーバーとお客様のWebブラウザとの間で相互にやり取りされる情報のことです。Cookieを使用すると、Webサーバーは特定のコンピュータがWebサイト上のどのページを閲覧したのかなどの情報を記録することが可能となります。

Webビーコンとは

Cookieと一緒に機能し、お客様が当社の特定のページに何回アクセスしたのかを知ることができる技術です。