パートA：一般

適用範囲

この文書は、2018 年 5 月 25 日から発効した GDPR コンプライアンス ポリシーの現在の運用バージョンであり、次のエンティティで構成される TechVersions の活動に適用されます。

テクノロジー出版会社、TechVersions、8000 Towers Crescent Drive、13階、Vienna、VA 22182

導入

TechVersions の中心的な活動は、ターゲット市場から効果的なリードを生み出すことで、B2B 製品のマーケティングにおいて顧客にサポートを提供することです。

リードジェネレーションは、ソーシャルメディアマーケティング、Webマーケティング、電子メールマーケティング、テレマーケティングなどの関連テクノロジーを使用するビジネスパートナーを含むさまざまなチャネルを通じて企業の信頼できる購入意向を特定するための関連データを収集するインテリジェントな市場調査を通じて行われます。

これらの活動のプロセスにおいて、TechVersionsはB2Bマーケティングチェーンに付加価値をもたらす仲介者として機能します。お客様から提供されたキャンペーン情報は、微調整され、潜在的な市場空間に配信するためのキャンペーン資料に変換されます。

キャンペーン資料を関連メディアに掲載することで、最終ターゲット顧客への配信は、リードを生み出す外部パブリッシャーを通じて行われます。リードの一部は、社内パブリッシング活動と、TechVersionsの研究開発チームが開発した革新的な企業インテント・マーケティングツールの活用によって創出されます。

パブリッシャーによって生成されたリードは、品質を向上させるためにインテリジェントにフィルタリングされ、顧客に渡される前に実行可能なマーケティング目標に変換されます。

TechVersionsは、信頼できるベンダーと熟練した人材の育成を含む独自の製品、プロセス、情報生成システムを開発してきました。これらは、TechVersionsが世界中のB2Bマーケティングエコシステムに提供する価値提案を反映しています。この専門知識を維持・育成し、商業機会の獲得に活用することは、TechVersionsの正当な利益です。

TechVersions が採用しているこの GDPR コンプライアンス コードは、TechVersions が世界中で「民主主義社会の市民の基本的権利としてのプライバシー」という概念に尽力しており、GDPR で義務付けられているすべてのプライバシー原則を、該当する場合は誠意を持って実施することを宣言しています。

ただし、TechVersions は、B2B 市場の仲介者として世界中で合法的な事業活動を行うことが正当な利益であり、GDPR に基づいてプライバシーの保護を求められている個々の自然人の権利と衝突することなく誠実に事業を遂行することが TechVersions の民主的な権利であることを開示します。

TechVersions はまた、そのビジネス モデルでは、GDPR の範囲外の事業体のデータと、個人データではないが部分的に個人を特定できる情報を含む可能性があるが子供の個人データと GDPR で「特別なカテゴリ」に分類される個人データは含まれないビジネス連絡先データのみの収集が必要であることを開示しています。

GDPRへの露出

TechVersionsGroupは、基本的に「B2Bマーケティング仲介業者」であり、世界中でマーケティングリードを創出し、多くの国の顧客にサービスを提供しています。TechVersionsは消費者市場で事業を展開していないため、EUのデータ主体の個人情報を直接的にも間接的にも収集することはありません。TechVersionsが収集するデータは、一般的に企業従業員のビジネス連絡先データに分類され、氏名、勤務先メールアドレス、勤務先電話番号などが含まれます。

B2Bマーケティングリードの一部は、EU諸国と英国で生成されています。EU/英国に所在するお客様も、TechVersionsのサービスをご利用いただける場合があります。現在、お客様とのやり取りの大部分は米国で行われており、リードジェネレーションのビジネスパートナーとのやり取りの大部分はインドで行われています。

したがって、TechVersions の GDPR への準拠は、EU/英国地域で事業を展開する企業組織からビジネス連絡先データが収集される場合に認識されます。

GDPRコンプライアンスへのアプローチ

GDPR コンプライアンス リスクにさらされるデータの処理に可能な限り厳格な基準を適用できるようにするために、TechVersions は、該当する場合は受信データに適切なタグを付けて GSD として分類することにより、GDPR 機密データ (GSD) を TechVersions のリソースを流れる「機密データ」として扱うポリシーを採用しています。

サポート構造の設計には、データ主体のプライバシー保護と、GSD タグ付きデータに関するプライバシー保護に関連する情報のセキュリティが考慮されています。

データは特定の場所で処理され、GSD を処理するための技術インフラストラクチャもそのような特定の場所に配置されていますが、この GDPR 行動規範の原則が GSD 処理を超えて組織全体に浸透し、独自の技術および管理インフラストラクチャを備えたさまざまな場所に配置されている可能性のあるマーケティング、財務、管理機能も含まれるように、企業レベルの GDPR 認識が構築され、今後も追求され続けます。

当社は、データ処理インフラ全体のセキュリティを効果的に実施するために、データアクセス、処理、保管、送信などに関する複数のサブポリシーを含む包括的な情報セキュリティポリシーを採用しています。

プライバシーに関する取り組み

TechVersionsは、「プライバシー」が市民社会における重要な民主的権利であることを認識しています。責任ある企業体として、TechVersionsは、処理のために企業データリポジトリに個人データが提供されるすべての自然人のプライバシー保護に尽力しています。

EU/英国に顧客が存在すること、およびEU/英国に居住する企業従業員の活動が監視されていることを考慮して、TechVersionsは、たとえそれぞれの事業組織の事業目標を追求するさまざまな事業体の従業員としての立場でのみ交流する場合でも、グループと交流する可能性のあるすべての自然人のプライバシーを保護するために、GDPRコンプライアンス標準を採用することを選択しました。

正当な利益

TechVersionsの中核事業は、企業向け各種製品の購入に関連するデータの処理です。活動範囲は、収集、集約、分析、セグメンテーション、そしてインテントモニタリングに及びます。これらの処理プロセスにおいて、TechVersionsはビジネス環境から収集された生データに付加価値を加え、ビジネス上の意思決定を支援する情報へと変換します。

収集された生データは、データ主体に属するデータとして認識され、GDPRに基づくデータ主体の権利が適用可能です。処理中にデータに付加される価値は、TechVersionsが有する独自のデータ処理能力から生じており、TechVersionsは当該データ処理能力に関して一定の知的財産権を主張しています。

仮名化されたデータがある場合、付加価値を付与された仮名化データは、TechVersionsが更なる研究のために利用する正当な利益を有するデータとみなされます。仮名化されていないデータは、付加価値が付与された状態であっても、アクセス、訂正、制限、ポータビリティ、消去といったデータ主体の権利の行使の対象となります。仮名化されたデータは、GDPRの対象となる機密データとは分類されません。

TechVersionsは、EU GDPR規則の第6条(1)(f)で認められているように、事業体の意思決定担当者の企業特性やビジネス連絡先データなどのビジネス関連データの収集と処理において正当なビジネス上の利益を有しています。

また、TechVersions の事業は EU 諸国内外での事業運営に関係しており、EU GDPR 規則の第 6 条 (1) (c) に規定されているように、データ処理に関する各国の法的義務、および特に IT 関連の活動全般に適用されるその他の法律の対象となります。

さらに、TechVersions は、必要に応じて情報に基づく明示的な同意を得ることや、データ主体との契約上の義務の要件を遵守することなど、第 6 条に規定されている EU GDPR の原則を取り入れた合法的な処理のためのビジネス慣行を採用しています。

したがって、プライバシーとデータ保護に関する TechVersions のポリシーは、GDPR の機密データをその発生段階と TechVersions システムへの入力段階で識別し、処理のライフサイクル全体にわたってタグ付けするという問題に対処する特定のプライバシーおよび情報セキュリティ制御で構成されます。

データ処理エコシステムへのコンプライアンスの範囲拡大

さらに、EU GDPR で明示されている個人のプライバシーに対する基本的権利を保護するという立法趣旨を維持し、適切な技術的および組織的/管理的制御を維持して、TechVersions に代わって処理するために GDPR の機密データにアクセスする可能性のあるすべての下流のビジネス関係者も GDPR に準拠していることを保証します。

TechVersionsは、GDPRの規定に基づき、業務の大部分において「データ管理者」ではなく「データ処理者」であることを認識しています。処理の一部において下請業者のサービスを利用する場合、「共同管理者」の役割を担う場合があります。

これらの役割を念頭に置き、TechVersions のポリシーと管理は、GDPR コンプライアンスを確実に遵守するように構成されています。これには、ビジネス パートナーの GDPR コンプライアンス活動について適切な情報を入手するための適切な技術的および組織的/管理的管理の維持、および必要に応じて TechVersions 独自の GDPR コンプライアンス対策の共有が含まれます。

この文書の制限事項

以下の段落では、企業レベルでの GDPR コンプライアンスに関する TechVersions の包括的なポリシーを示し、業務において GDPR 原則のコンプライアンスを満足のいくレベルで達成するための TechVersions のアプローチを強調します。

このポリシー文書は、TechVersions 外部の事業体を含む利害関係者との限定的な共有を目的としており、したがって、組織の知的財産を保護するために不可欠な処理に関する専有情報は除外されます。

ここに記載されている以上の情報開示の要求は、TechVersions のデータ開示ポリシーに基づいて対処され、信頼性のない認証済み電子メールを通じてプライバシー マネージャーに送信される場合があります。

パートB：具体的な政策概要

1. 割り当てられた責任

TechVersionsは、データ主体からのあらゆる要求および苦情に対応する連絡担当者としてプライバシーマネージャーを任命しました。TechVersionsにおけるGDPRのセンシティブデータに対する現状のリスクレベルを考慮すると、TechVersionsの中核業務は、EUデータ主体の大規模かつ体系的なモニタリングやEU域内の個人へのサービス提供を伴わないものと考えられ、したがって、GDPRで想定されている「データ保護責任者」を任命する必要はありません。

情報セキュリティガバナンス委員会（ISGC）は、GDPRコンプライアンスを含む情報セキュリティ全般を統括します。TechVersionsの最高政策立案機関として、GDPRポリシーを含むすべての情報セキュリティポリシーの策定を担当し、適時、データ保護責任者（DPO）として個人またはコンサルタントを任命する必要があるかどうかを監視します。

2. データ分類

TechVersionsは個人に対するマーケティング活動には関与しておらず、通常、GDPRの規制規定の対象となる個人を特定できるデータを収集することはありません。ただし、事業部門または従業員がEU/英国に所在することが判明している場合、組織の従業員のメールアドレスや電話番号など、個人を特定できる可能性のあるすべての個人データは「GDPRのセンシティブ情報」に分類されます。

したがって、EU/UK の物理的な所在地の住所に関連付けられたビジネス連絡先データ セット全体が GDPR 機密データ (GSD) として識別され、組織内でのさらなる処理中にタグ付けされます。

データ主体の物理的な所在地情報がない場合、関連する事業組織の物理的な所在地が関連していると見なされます。

3. データ監査

2018 年 5 月 25 日より前に 1 回、その後は毎月または ISGC によって決定された間隔で、保存されたデータ セットが検証され、GSD が特定され、データのアーカイブ、削除、またはその他の特別な保護が必要かどうかなど、それに関連するコンプライアンス要件が検証されます。

適切な「同意」または「正当な利益に関する注記」が添付されていないGSDデータセットは削除が推奨されます。
確認後、当該データはフォレンジック分析によって削除されます。

4. GDPR影響評価

2018 年 5 月 25 日より前に、GDPR ギャップ評価が実施され、必要に応じて是正措置が実施されました。2018 年 5 月 25 日以降は、ISGC が必要と判断した時点で、重要な新規プロジェクトが実施されるたびに、データ保護影響評価 (DPIA) が実施されます。

5. 新規事業受入ポリシー

2018 年 5 月 25 日以降、データ処理を伴うすべての新規ビジネス コミットメントは、処理を担当する技術チームと協議の上、DPO から提出される特定の GDPR 影響評価メモとともに ISGC の承認を受ける必要があります。

6. GSDデータストレージポリシー

GSD は、厳密に「知る必要がある者のみ」がアクセスできるシステムに保存されます。

すべての GSD セットには、データの取得元であり、同意または契約に基づいてデータの収集に責任を負うデータ コントローラーのタグが付けられるものとします。

このようなデータ セットに関連付けられた特定の制限も、データ セットにタグ付けされる必要があります。

データ ストレージは、データのライフサイクル中いつでも、データの修正、データの移植性、データの消去、またはデータへのアクセスの要求など、データ主体の権利を実行するために、個々のデータ セットを検索して処理できるようにするものとします。

7. GSDデータアクセスポリシー

GSDへのアクセスは、アクセス制御ポリシーに従って行われ、各GSDデータセットには特定のアクセスパラメータが設定され、誰がデータにアクセスでき、どのようにアクセスできるかが定義されます。GSDデータセットへのアクセスは、GSD従業員として指定された者のみに許可されます。

パスワードなどのアクセス パラメータの使用は、必要に応じてある程度の複雑さと一意性をもって定義され、暗号化とマシン ID タグで補完される必要があります。これにより、GSD データは、許可された GSD 従業員に割り当てられた特定のハードウェアからのみアクセスできるようになります。

データがクラウド上に保存されている場合、保存時および転送中のデータが不正アクセスから保護されることを保証するために必要となる追加の制御とともに、GDPR に準拠したクラウド サービスのみを使用する必要があります。

プロジェクト固有のGSDは、当該プロジェクトに所属する従業員のみがアクセスできるよう保存されるものとします。プロジェクト間のアクセスは必要に応じて制限されるものとします。

8. GSDデータ保持ポリシー

GSDは、処理に必要な最小限の期間のみ、アクティブなプロセス環境に保持されます。その後、データは、正当な利益に基づいて特定された要件（例えば、プロジェクトの請求サイクルが完了するまで）に従って安全にアーカイブされます。

その後、データは引き続き安全にアーカイブ化されるか、または当社の正当な利益の要件に従って破棄されます。

アーカイブされたデータは毎月レビューされ、不要になったデータが特定され、廃棄の指示については ISGC に問い合わせる必要があります。

重複する法律により生じる可能性のあるデータ保持に関する法的義務は、正当な利益の評価に考慮されるものとします。

9. GSDデータ開示ポリシー

GSD の開示要求は通常、ソースデータ管理者からのみ受け付けられます。

データ主体から直接受け取ったリクエストはフィッシングのリスクにさらされていることが認識されており、そのようなリクエストがある場合は、両者間に存在する同意または契約に基づいてデータ主体からデータを収集した対応するデータ管理者に照会されるものとします。

開示されるデータは、要求を行うデータ管理者の代表者の身元を適切に認証した後、データ主体に転送するためにデータ管理者にのみ送信されるものとします。

例外的な状況において、データ主体またはその権限のある代理人または法執行機関に直接データを開示する必要がある場合、要求を行う人物の身元の適切な認証が確実に行われなければなりません。

すべてのデータ開示要求は、データのリリース前に ISGC による承認を受ける必要があり、要求と評価文書は必要な GDPR コンプライアンス文書として扱われます。

10. GSDデータインシデント管理ポリシー

この規定における「インシデント」とは、データが侵害された疑いがあるかどうかにかかわらず、GSD コンプライアンス規定またはその下にあるポリシーや手順に違反したことを示す可能性のあるあらゆる観察を指します。

内部告発ポリシーは、社内外のあらゆる観察者によって事件が速やかに報告されるようにするために使用できます。

TechVersions が認識したこのようなインシデントはすべて、GSD インシデント管理登録簿に記録され、DPO に照会されて直ちに対応されます。

DPO はインシデント レポートを確認し、インシデントを解決するための措置を直ちに講じ、また、ISGC にインシデントを報告するものとします。

ISGCは速やかに会議を招集し、インシデントを評価し、データ侵害の疑いがあるかどうかを特定します。必要に応じて、ISGCはインシデントのリスク評価のため、直ちにテクノリーガル監査を命じる場合があります。リスク評価に基づき、ISGCは、当該データに関連するデータ管理者へのデータ侵害通知の送付を含む、更なる措置の必要性を判断します。

GSDが組織内の他の従業員によってアクセスされたインシデントは、必ずしも「侵害」ではなく、セキュリティインシデントとみなされます。ただし、このようなインシデントについては、不正アクセスの原因について調査する必要があり、意図しない偶発的なアクセスであった場合は、人事ポリシーに従って適切な社内懲戒処分によって解決される場合があります。データが外部に持ち出されておらず、外部からのアクセスも受けていない場合、インシデントは侵害には該当しない社内データ事故として分類される場合があります。

アクセスまたは移動されたデータが暗号化された形式であり、受信者が解読できない状態であったことが判明している場合、関連する復号化キーのセキュリティに関する適切な内部調査を条件として、アクセスは違反に相当しない内部データ事故として分類される可能性があります。

11. GSDデータ侵害通知ポリシー

「データ侵害」インシデントとは、TechVersions が必要な調査を行った後、GSD の特定のデータ セットへのアクセスが侵害され、外部のエンティティが GSD セットにアクセスまたは送信したことを認識したインシデントです。

このようなデータ侵害インシデントは、直ちに ISGC に報告され、ISGC は、データセットに関連するデータ コントローラーに、インシデントの関連詳細とともに遅滞なく通​​知するものとします。

当該報告書には、違反の性質と範囲、違反の日時、影響を受けたデータ主体の詳細、違反の認識時に講じられた措置などを明記するものとします。必要に応じて、データ違反は監督機関にも報告されます。

12. GSDデータ主体の権利管理ポリシー

TechVersions のデータ処理システムには、特に GDPR で規定されているデータ主体の権利に関して GDPR の要件に準拠できるように、「設計によるプライバシーとセキュリティ」が組み込まれています。

データ主体の「アクセス」、「訂正」、「消去」、「移植性」、および「制限」を課す権利などのこれらの権利を満たすために、TechVersions は、特定のデータ主体に属するデータセットを個別に抽出して処理できるように GSD ストレージおよびアクセス システムを有効にしました。

したがって、このシステムは GDPR の最も厳格な要件に準拠するように設計されています。

データ主体からそのような権利の行使要求を受け取った場合は、データ開示ポリシーに従って、まず要求が検証され、その後、データがデータ管理者から受け取られた場合は、データ管理者にデータ開示の確認が求められます。

通常、リクエストはデータ コントローラーとの通信で処理され、移植が必要な場合はデータ コントローラーに返されます。

TechVersions がデータ管理者の協力なしにデータ主体の要求を処理しなければならない例外的な状況では、不正な開示の可能性に対して補償を受けることが TechVersions の正当な利益となるため、不正な開示を防止するために適切な予防措置が講じられます。

13. GSDデータ転送ポリシー

GSDデータは通常、アプリケーションインターフェース（API）を介してシステムに流入します。インターフェースへのアクセスは、GSDリスクが重大であると判断された場合、適切な二要素認証を備えた安全なパスワードアクセスシステムを介して行われます。

データの送信は、既知の脆弱性をカバーする送信セキュリティの管理に従って暗号化ベースで行われます。

アプリケーション自体、その固有のストレージと処理要素、APIは、適切なマルウェア対策と安全なアクセス管理システムによって不正アクセスや悪意のある攻撃から保護されています。

GSD セットが顧客または下請業者に送信される場合でも、送信は API または暗号化された電子メールによる暗号化された通信チャネルを通じて管理されます。

14. GSDマーケティング利用ポリシー

TechVersions が電子メール、電話連絡、またはその他の方法でマーケティング目的で GSD を使用する場合、そのようなコミュニケーションを可能にするために適切な同意または契約があることを確認するよう注意が払われます。

TechVersions はまた、リードジェネレータ、下請けプロセッサ、および顧客のパートナーが、利用可能な権限以外で GSD を使用しないことを強く求めています。

明確な同意が得られない場合、ビジネス連絡先データはリードジェネレータから収集されず、顧客に渡されることも、下請け業者を通じて処理されることもありません。

このようなデータは、TechVersions システムに入るとすぐに削除され、「適切な処理の同意のない GSD」として識別されます。

15. GSD同意ポリシー

データ主体が EU/英国に所在しているか、またはその雇用主が EU/英国に所在しているために GSD として分類されるすべての情報は、データ主体が GDPR で要求される形式に基づいて明示的な同意を与えた場合にのみ受け入れられます。

GDPR施行以前の状況では、こうした同意は一般的に、プライバシー通知を含む個人データ処理の原則に基づいて収集されていました。こうしたプライバシー通知には、収集される情報の内容、収集目的、保存期間、保護方法、情報の正確性、処理のためにEU域外に転送されるかどうかなどが示されていました。一部の同意は、デフォルト設定として「オプトイン」原則に基づいていました。

GDPR では、明示的な同意に基づいてのみ個人データが収集されることが必須であり、「オプトアウト」がデフォルトのオプションであり、承諾を示す肯定的なアクションに基づいてのみ同意が受け入れられます。

さらに、プライバシー通知には、データ主体が「下流の処理者の身元を知らされる権利」、「アクセスおよび訂正の権利」、「移植性および消去の権利」などの特定の権利を有することも記載する必要があります。

新しい要件を考慮すると、GDPR 以前の形式で取得されたすべての同意は無効とみなされ、そのようなデータは TechVersions によって破棄されます。

TechVersions のリードを生成する外部パブリッシャーは、データ主体が EU/英国に所在する場合、新しい同意形式で生成されたリードのみを提供することを契約を通じて確認するものとします。

16. GSDステークホルダーコミュニケーションポリシー

TechVersionsは、TechVersionsのGDPRコンプライアンスプログラムのステークホルダーである多くの外部組織を通じて事業を展開しています。これらの組織には、顧客、リードジェネレーター、下請け業者などが含まれます。

効果的なコンプライアンスを確保するため、関係者とのいかなる通信においても、安全な送信を介し、権限のある代表者とのみ行う場合を除き、GSD データは交換してはなりません。

API 経由の通信はアクセス ポリシーによって制御されますが、電子メール経由のその他の通信は電子メール通信ポリシーで制御する必要があります。

基本的に、電子メール通信ポリシーでは、GSD または GDPR コンプライアンス情報を利害関係者と共有する場合は、ほとんどの場合、他の組織の DPO である通知済みの連絡先電子メール アドレスを通じてのみ行うものと定義するものとします。必要な場合は、電子メール通信を暗号化し、デジタル署名で認証することができます。

17. GSD 正当な利益特定ポリシー

TechVersions は、データ消去やデータ修正などのデータ主体の特定の権利が、TechVersions の正当な利益の要件と矛盾したり、その他の法的義務を考慮してデータに適用される可能性のあるデータ保持法と矛盾したりする可能性があることを認識しています。

データ主体の権利が履行されるすべてのケースにおいて、TechVersionsは更なる措置を講じる前に、リクエストを評価します。TechVersionsがリクエストを拒否、またはリクエストを受諾するために修正する必要があると判断した場合、その理由は文書化され、ISGCによってGSD正当な利益に関する注記が作成されます。

データがアクティブである必要がない場合、正当な利益の期限が切れるまで安全にアーカイブされる場合があります。

データ主体の要求を処理するための正当な利益の主張を行使する理由は、データ主体への転送を担当するデータ管理者に伝えられるものとします。

18. GSD人材管理ポリシー

GSD は、TechVersions が保管している間は、情報セキュリティの観点から排他的かつ特別な注意を必要とするデータ セットとみなされます。

したがって、GSD は、特別に訓練された従業員によって、必要に応じて適切にタグ付けされ、処理されることになります。

これらの従業員と、GSD が保存、アクセス、処理されるシステムは、GSD に関連するリスクのレベルを考慮して安全に管理されます。

この GSD 処理への人材の割り当てと解任は、より高度な経歴検証、トレーニング、物理的なアクセス ID、制裁ポリシーなどの適切なセキュリティ対策によって管理されるものとします。

必要に応じて、GSD 従業員向けに HR ポリシーを適切にアップグレードする必要があります。

19. GSD仮名化ポリシー

仮名化は、GSD の処理におけるリスクを軽減する戦略であることが認識されています。

仮名化された個人データは、仮名化プロセスが適切に構築されている限り、GDPR 規制の目的上「個人データ」とはみなされません。

TechVersions は、GDPR リスクに対する自社の業務の現在の露出レベルを考慮して、現時点ではリスク軽減の戦略として仮名化を使用する必要はないと考えています。

20. GSD DRP-BCPポリシー

TechVersions は、GSD 処理を含む業務を含む業務において、効果的な災害復旧および事業継続計画の重要性を認識しています。

TechVersions は、GSD データの適切なバックアップを維持し、不測の事態が発生した場合でも事業継続性を維持できる適切な能力を維持します。

21. GSDコンプライアンス文書ポリシー

GDPRコンプライアンスの措置は、いつでも確認できるよう文書化されなければなりません。コンプライアンス文書は、作成後最低6年間保管されなければなりません。

文書が法執行要件の証拠となる可能性がある場合、または TechVersions の正当な利益を守るための証拠となる可能性がある場合、そのような文書は要件が続く限り保持されます。

22. GSD監査ポリシー

TechVersions の内部セキュリティ監査チームは、少なくとも年に 1 回、TechVersions の情報資産を監査し、セキュリティのレベルと GDPR およびその他の規制要件への準拠を評価します。

ビジネス プロファイルに大幅な変更があった場合は、ISGC による評価に基づいて外部監査が検討される場合があります。

TechVersions は、契約上の義務に従って遵守されていることを確認するために、下請業者の施設の監査を実施する権利を留保します。

ただし、TechVersionsは、下請業者の施設を監査する権限は権限付与であり、例外的な状況においてのみ使用されることを認識しています。これは、契約上の保証に基づき、下請業者が自らの側でコンプライアンス要件を満たす責任を軽減するものではありません。

23. GSD苦情処理方針

TechVersionsは、データ主体との紛争が発生した場合に、多層的な苦情処理ポリシーを提供します。これらの苦情は、第一階層としてDPO、第二階層としてISGC、そして第三階層として取締役会が設置するオンライン紛争解決委員会によって処理されます。

GDPR 監督機関からの問い合わせはすべて DPO によって処理され、必要に応じて ISGC にエスカレーションされます。

顧客、発行者、または下請業者との紛争は、それぞれの契約上の合意に従って処理されるものとします。

24. ネットワークセキュリティポリシー

当社が使用する IT インフラストラクチャの安全性を確保するため、TechVersions は、必要に応じてファイアウォール、侵入検知システム、マルウェア防止システム、システム パッチ適用などを含む強力な情報セキュリティ ポリシーを採用します。

指定された情報セキュリティ管理者は、ネットワークセキュリティの維持に責任を負います。

追記：この規約は随時改訂されることがあります。