GDPRプライバシーポリシー
最終更新日 2023年10月12日
ヤマトホールディングス株式会社(「ヤマトホールディングス」又は「当社」)はプライバシーを尊重し、当社サイトの訪問者を含むお客様(「お客様」)のプライバシーの保護に取り組んでいます。本プライバシーポリシーは、当社がお客様の個人データを収集、保存、使用及び保護する方法について記載し、お客様のプライバシー権についてお知らせするものです。当社サイトをご利用になる前、当社のサービスをご利用になる前又は当社にお問い合わせいただく前に、本プライバシーポリシーを最後までよくお読みくださいますようお願いいたします。
本プライバシーポリシーはレイヤー形式で作成されておりますので、下記の特定部分へのリンクをクリックして移動することができます。
第1条 本プライバシーポリシーの適用範囲
第2条 データ処理の責任者
第3条 使用する個人データ及びその使用目的
第4条 個人データの取得方法
第5条 個人データの共有先
第6条 個人データの保護
第7条 個人データの移転先
第8条 個人データの保存期間の決定方法
第9条 クッキー(COOKIES)
第10条 お客様のプライバシー権
第11条 お問い合わせ先
第12条 一般条項
第13条 定義
第1条 本プライバシーポリシーの適用範囲
本プライバシーポリシーの適用範囲は、お客様の個人データに係る処理作業であって、一般データ保護規則(「GDPR」)やUK GDPRなど、欧州経済領域(「EEA」)の加盟国及び英国のプライバシー関連規則が適用されるもののみに限定されます。
第2条 データ処理の責任者
- 2.1データ管理者
お客様の個人データの処理に責任を負うのはヤマトホールディングスです。当社関係会社のヤマト運輸は、「お問い合わせ」フォームを介して個人データを収集し、さらに処理する責任を負います(ヤマト運輸はこの処理のためのデータ管理者と見なされます)。完全性の観点から、第3条に、「お問い合わせ」フォームを介した個人データの収集について記載しています。 - 2.2欧州ヤマトの処理
欧州ヤマト運輸株式会社(「欧州ヤマト」)の処理活動については、欧州ヤマトのプライバシーポリシーをご参照ください。本プライバシーポリシーには、ヤマトホールディングス及び欧州ヤマトが共同で責任を負う欧州ヤマトの処理活動が含まれます。 - 2.3データ処理者
原則として、当社は、サイト訪問者の個人データ処理を管理し、当社が第三者の代わりにサイト訪問者の個人データを処理することはありません。 - 2.4法令に準拠した処理
当社は、本プライバシーポリシーに記載されているとおり、適用プライバシー法令に従ってのみ、個人データを処理します。 - 2.5当社サイトにおける第三者の参照
当社サイトには、第三者のウェブサイトへのリンク(例として、ハイパーリンク、バナー、ボタンなど)が含まれています。当社は、こうしたウェブサイトのコンテンツ、これら第三者が提供するサービス、又はこれら第三者による適用プライバシー法令の遵守について責任を負いません。サイト訪問者において、ご覧になる第三者のウェブサイトのプライバシーポリシーを、よくお読みください。
第3条 使用する個人データ及びその使用目的
- 3.1個人データの収集
当社は、以下の場合にお客様の情報を取得することがあります。- a当社サービスの見積りをご依頼いただく場合
- bお荷物を追跡する場合
- c当社サイトより当社にご連絡いただく場合
- d「お問い合わせ」フォームより当社にご連絡いただく場合
- eメール又は電話で当社にご連絡いただく場合
- fその他の形で当社サイトをご利用になる場合
- gお客様ご利用アンケートにご回答いただく場合
- 3.2個人データの分類
当社は、当社サイトご利用者から以下の個人データを取得することがあります。- a当社及びヤマト運輸の「お問い合わせ」フォームより、当社は以下の情報を取得することがあります。
- 氏名
- 住所
- メールアドレス
- 電話番号
- ご依頼主・お届け先
- 会社名
- 荷物に関する情報(追跡番号、荷物のサイズと個数)
- 当社への連絡事項
- クロネコID(該当する場合) - b当社サイトをご利用になる場合、当社は以下の情報を取得することがあります。
- IPアドレス
- 当社サイトでの行動
- a当社及びヤマト運輸の「お問い合わせ」フォームより、当社は以下の情報を取得することがあります。
- 3.3センシティブな個人データの非取得
適用法の要件を満たす場合を除き、原則として、当社がセンシティブな個人データ及び犯罪に関する個人データを取得することはありません。また、未成年者から(直接)個人データを取得することを意図するものではありません。 - 3.4目的と法的根拠
当社は、以下の目的及び法的根拠に基づき、本プライバシーポリシーに従って収集された個人データを処理します。- a契約の履行:当社は、お客様が当社若しくは第三者と締結した契約を履行するため、又はそうした契約の締結前にお客様のご依頼に対応するために、お客様の個人データを使用します。
法的根拠:お客様が当社サイトを通じてご注文をされた場合、当社は、当該ご利用者の個人データを、当社との間に締結された契約を履行するために処理します。当社は、契約を履行するために必要な限度を超えて個人データを処理することはありません。 - bコミュニケーション: 当社は、お客様の個人データを、当社のサービスについて連絡を取り合うため、当社サイトのご利用にとって重要な情報をお知らせするため及び苦情に対応するために使用することがあります。
法的根拠:かかる個人データの処理は、契約の履行及び/又は当社が正当な利益を得る目的のため、すなわち通常の業務を遂行するために必要なものです。 - cマーケティングとお客様ご利用アンケート: マーケティングのため、又はお客様の満足度を測定してご利用体験を改善するためにお客様に連絡をする場合は、過去にご注文されたものと類似のサービスに関するものである場合を除いて、当社はお客様から事前の同意を取得します。お客様には、いつでも当社からのメールの配信を停止する権利があります。
法的根拠: かかる個人データの処理は、当社が正当な利益を得る目的のため、すなわちお客様と連絡を取り合い、類似のサービスを提供するために必要なものであるか、あるいはお客様の事前の同意に基づくものです。 - dカスタマーサービス: お客様がカスタマーサービスをご利用の場合、当社は、カスタマーサービスを提供するために、当該ご利用者の個人データを使用することがあります。例えば、お問い合わせフォームにご記入いただいた場合や、ご不明な点についてお問い合わせいただいた場合、当社はお客様の個人データを処理します。
法的根拠: かかる個人データの処理は、契約の履行又は当社が正当な利益を得る目的のため、すなわち通常の業務を遂行するために必要なものです。 - e法的義務: また、当社は、適用法に基づいて負う法的義務を遵守しなければならないことがあります。当社は、法律で義務付けられる場合に限り、お客様から取得した個人データを、管轄当局などの第三者に提供します。
法的根拠:法的目的に関連した処理活動は、EEA及び英国の法律に基づく法的義務の遵守、並びにEEA及び英国以外の法律を遵守する当社の正当な利益を法的根拠とします。
- a契約の履行:当社は、お客様が当社若しくは第三者と締結した契約を履行するため、又はそうした契約の締結前にお客様のご依頼に対応するために、お客様の個人データを使用します。
- 3.5正当な利益
「正当な利益」という法的根拠に基づいて当社がお客様の個人データを処理すると記載されている場合があります。これは、処理によって果たされる利益と、お客様のプライバシーの利益との間で利益の比較をし、処理の利益が上回ることを意味します。関連する正当な利益については、処理活動ごとに上述するとおりです。 - 3.6追加処理
個人データを収集する際の処理目的以外の目的で、当社がさらに個人データを処理しようとする場合があります。ただし、当初の処理目的に沿った形で行います。そのような場合、当社は、当該追加処理に関する情報を提供します。
第4条 個人データの取得方法
- 4.1収集手段
当社は、以下のさまざまな方法でお客様の個人データを取得します。- aお客様ご自身による提供
当社は、お客様から積極的に提供された情報を取得します。例えば、お問い合わせフォームからお問い合わせいただいた場合には、当社に情報をご提供いただいたことになります。ヤマトホールディングスに個人データを提供する際には、提供を受けるサービスに関係のない情報、正確でない情報及び/又は不要な情報を提供しないようお願いします。 - b自動取得
当社のウェブサイトへのアクセスがあった場合、当社は一定の情報を自動で取得します。例えば、当社サイトへのアクセスがあった場合、当社は、当該ご利用者に関する情報をクッキーを通じて自動で取得します。これについて詳しくは、クッキー通知をご覧ください。 - c外部ソース
当社は例外的に第三者からも情報を取得する場合があります。 - d派生データ
当社は、お客様の個人データについて分析を行うことがあります。分析結果は、お客様に関する個人データに当たる場合もあります。例えば、当社は、最も頻繁にアクセスされるウェブページや、そのサイト訪問者がどのウェブサイトから当該ウェブページを参照したかを分析することがあります。
- aお客様ご自身による提供
- 4.2必要な提供
当社に一定の個人データを提供することが法定若しくは契約上の要件である場合があります。その場合、当社はその旨を別途お伝えするとともに、当該個人データをご提供いただけなかった場合にどのような結果が生じ得るかをご説明します。
第5条 個人データの共有先
場合によっては、お客様の個人データを第三者と共有することが必要となります。本条では、個人データを共有する条件と共有先について記載します。
- 5.1データ共有の条件
当社は、以下の場合に限り、お客様の個人データを第三者と共有します。- a第三者のサービスの提供、又は第三者の関与のために共有が必要な場合。例えば、第三者は原則として、サービス提供の一環として必要な個人データにのみアクセスすることができます。
- bその第三者に属し、個人データにアクセスできる者が、当該個人データに対する秘密保持義務を負う場合。
- cその第三者が、適用されるデータ保護法を遵守する義務を負う場合。
- 5.2個人データの共有先
当社は、上記第3条で規定する情報の全部又は一部を、以下の者(第三者)と共有することがあります。- aヤマトグループ
- bヤマトホールディングスに代わって業務を行う協力会社
- c航空会社、海運会社、トラック運送会社、倉庫、監査会社、コンサルティング会社、法律事務所、保険会社、その他当局、マーケティング代理店、市場調査代理店、インターネット・ホスティング・プロバイダー及び決済処理業者など、関係する下請業者及びサービス・プロバイダー
- dヤマトホールディングス又はヤマトホールディングスの関係企業のデータ処理者が当該目的のために権限を与え、起用し、又は従事させる者であって、処理に関与し、知る必要がある者(会計事務所、監査法人、保険事業体、税理士法人)
- e通過国又はお届け先の国の警察、当局などの管轄当局(通関手続を目的とし、各国の法律により義務付けられる場合に限ります。)
- fその他の知る必要がある第三者
第6条 個人データの保護
- 6.1セキュリティ対策
当社は、お客様の個人データを保護するため、適切な組織的・技術的なセキュリティ手段を講じ、個人データの不正使用、紛失又は改変を防ぎます。また、個人データへのアクセス権限を、当該データにアクセスする必要のある従業員、代理人、受託業者、その他の第三者に限定して付与します。それらの者は、雇用契約、データ処理契約及びその他類似する契約に基づき、秘密保持義務を負います。 - 6.2セキュリティに関するポリシー
当社は、適切な水準の技術的・組織的なセキュリティを確保する方法を定めた情報セキュリティガイドラインを制定しています。同ガイドラインには、個人データ侵害が生じた場合に、どのように対応するかを定めたデータ侵害ポリシーも含まれます。例えば、当社は、適用プライバシー法令に基づいて義務付けられる場合、関連するEU監督当局及び関連するデータ主体に通知します。
第7条 個人データの移転先
当社は、上記の第三者との個人データの共有に関連して、お客様の個人データを日本だけでなく、EEA及び英国以外の他の国・地域にも移転することがあります。本条では、データの移転及びその正当性に関する詳しい情報を記載します。
- 7.1EEA外への移転
当社がお客様の個人データを委託する第三者の一部は、EEA及び/又は英国以外(「GDPR第三国」)を拠点としています。EEA・英国からGDPR第三国にデータを移転する場合、その移転はGDPR及びUK GDPR並びにこれに関して欧州データ保護評議会(European Data Protection Board)、欧州委員会(European Commission)その他の管轄当局が発行する追加の勧告又は決定に従って行います。EEA又は英国以外にデータを移転する場合、かかる移転の正当性は次項記載のとおりです。当社がお客様から直接個人データを収集する場合には、移転に該当しませんのでご注意ください。 - 7.2EEA及び英国以外への移転の正当性
当社は、お客様の個人データをGDPR第三国に移転する場合は常に、以下の保護措置のうち少なくとも1つの措置の実施を確保することで、同程度の保護が行われるようにします。
- GDPR第三国に対するお客様の個人データの移転の正当性は、いわゆるEUの十分性認定を根拠とすることがあります。十分性認定とは、例えば特定の国において、GDPRと同水準のデータ保護が提供されることを欧州委員会が認めるものです。現在の十分性認定を受けている国の一覧については、こちらのウェブページをご覧ください。EEAから日本にお客様の個人データを移転する場合がこれに該当します。
- 十分性認定が適用されないGDPR第三国に個人データを移転する場合には、当社は、欧州委員会が公開するデータ保護に関するモデル条項、いわゆる標準契約条項(「移転SCC」)の該当バージョン、又はICOが承認する英国移転契約を締結します。適用プライバシー法令に基づいて必要だとみなされる場合には、追加措置を講じます。この追加措置は、技術的、組織的及び/又は契約上の措置となる可能性があります。
第8条 個人データの保存期間の決定方法
- 8.1原則
原則として、当社は、お客様の個人データを、データの処理目的に必要な限度を超えて、保存することはありません。 - 8.2例外(保存期間の短縮)
お客様又は他の方がお客様のプライバシー権を行使した場合、関連する個人データが保存されなくなる可能性があります。こうした場合、当社が個人データを処理する期間は、「原則」で規定する期間より短くなることがあります。これについて詳しくは、以下第10条をご覧ください。 - 8.3例外(保存期間の延長
例外的に、当社はお客様の個人データをより長期間にわたって処理することがあります。こうした場合、当社が個人データを処理する期間は、「原則」で規定する期間より長くなることがあります。以下の事項を考慮して、より長期にわたって当社がお客様の個人データを処理する必要がある場合が、これに該当します。- aヤマトホールディングスに適用される法定の最低保存期間であって、より長期にわたる保存を求めるもの、又はその他の具体的な法定義務
- b実務上の対応
- c法的手続
- d表現の自由に対する権利、及び情報に対する権利
- e公益のため、又は管理者に与えられた公的権限の行使のために行われる職務
- f公衆衛生
第9条 クッキー(COOKIES)
- 9.1クッキーの使用 当社は、当社サイトが正しく機能するようにクッキー(Cookie)を使用しています。クッキーとは、ウェブブラウザからインターネットにアクセスしてさまざまな情報を見るのに利用可能なコンピューター、タブレット、スマートフォンなどの電子機器に発行される、小さなテキストファイルです。詳しくは、クッキー通知をご覧ください。
第10条 お客様のプライバシー権
- 10.1プライバシー権
お客様の個人データの処理に関連して、ご利用者には以下のプライバシー権が認められます。プライバシー権について詳しくは、欧州委員会のこちらのウェブページをご覧ください。- a同意を撤回する権利
個人データの処理が同意に基づくものである場合(上記参照)、お客様は、いつでもご自身の個人データに関係する同意を取り下げる権利を有します。 - bアクセス権
お客様は、ご自身の個人データへのアクセスを求める権利を有します。これにより、お客様は、当社が保有するご自身の個人データの写しを受け取ることができます(ただし、必ずしも文書そのものであるとは限りません。)。 - c訂正請求権
お客様は、当社が保有するご自身の個人データの訂正を求める権利を有します。これにより、当社が保有する、お客様に関するいかなる不完全又は不正確なデータも訂正することが可能です。 - d消去請求権
お客様は、ご自身の個人データを消去することを求める権利を有します。これにより、(i)個人データが必要なくなった場合、(ii)同意を撤回される場合、(iii)処理作業に異議を申し立てられる場合、(iv)個人データの違法処理があった場合、(v)法的要件に基づき個人データの消去が必要な場合、又は(vi)GDPR第8.1条に基づく情報社会サービスの提供に関連して個人データが収集された場合に、個人データの削除を当社に請求することができます。当社は、(i)表現の自由の権利及び情報の権利を行使するため、(ii)処理を伴う法的義務を遵守するため、(iii)公衆衛生分野における公共の利益のため、(iv)保存目的のため、又は(v)法的措置の立証、行使若しくは防御のために処理が必要な場合には、お客様からの請求に応じる必要はありません。 - e異議を申し立てる権利
お客様は、当社が正当な利益を根拠として処理を行う場合(上記参照)、ご自身の個人データの処理に対して、異議を述べる権利を有します。当社が、ダイレクトマーケティング目的で個人データの処理を行っている場合、当社はお客様の異議を受け入れます。それ以外の目的で個人データの処理を行っている場合、当社は、(i)お客様の利益、権利及び自由に優先される、又は(ii)法的措置の開始、実行又は主張立証に関連する、やむを得ない正当な理由がある場合を除き、個人データの処理を中止いたします。 - f制限する権利
お客様は、(i)個人データの正確性に異議を唱える場合(当社が請求を確認する期間中)、(ii)その処理が違法であり、消去ではなく制限を請求する場合、(iii)当社が個人データを必要としなくなったものの、法的措置の立証、行使若しくは防御のためにご自身が個人データを必要とする場合、又は(iv)処理に異議を唱える場合(当社が請求を確認する期間中)、ご自身の個人データの処理の制限を求める権利を有します。当社がお客様の個人データの処理を制限することとなった場合、当社は当該データの保存のみを行い、他の方法では処理しません。ただし、(i)当該ご利用者からの同意がある場合、(ii)法的措置の立証、行使若しくは防御を目的とする場合、(iii)他の自然人若しくは法人の権利の保護を目的とする場合、又は(iv)重要な公益上の理由による場合はこの限りではありません。 - gデータポータビリティ権
お客様は、ご自身又はご自身が指定した第三者にご自身の個人データを移転することを求める権利を有します。なお、この権利は、自動化手段により当社が処理を実施し、かつ、当該処理がお客様からの同意を根拠とする場合、又はお客様との契約の履行を根拠とする場合(第3条参照)に限って適用されることにご注意ください。 - h自動意思決定
お客様は、ご自身に著しい影響を与える自動処理(ご自身に関する法的効果を生み出すもの、又はこれと同様に著しい影響を及ぼすもの)のみに基づく決定を受けない権利を有します。この点に関して、当社はお客様の個人データを処理するにあたり、自動意思決定を使用していないことをご承知おきください。 - i苦情を申し立てる権利
上記権利に加え、お客様には、いつでも監督当局(特に、お客様の住所地、勤務地又はGDPR違反があったとされるEU加盟国の監督当局)に苦情を申し立てる権利があります。監督当局の概要及び連絡先については、こちらのウェブサイトをご覧ください。もっとも、当社としては、お客様が監督当局に接触を図られる前に、お客様の苦情に対応する機会をいただきたく、事前のご連絡をお願いします。
- a同意を撤回する権利
- 10.2権利の行使方法
上記権利の行使に費用はかからず、下記のお問い合わせ先からメール又は電話で権利を行使することができます。ご請求が明らかに根拠を欠いているか過剰である場合、特にご請求を繰り返されているような場合には、当社はお客様に合理的な費用を請求するか、お客様のご請求への対応をお断りさせていただきます。 - 10.3ご本人確認
お客様の権利に関するご請求に応じるにあたり、ご本人確認のため、特定の情報のご提供をお願いする場合がございます。 - 10.4ご請求への対応状況
当社は、お客様のご請求への対応状況に関する情報を不当な遅滞なく、また原則としてご請求を受領した後1か月以内に提供します。ご請求内容の複雑さや数によって、かかる期間は、さらに2か月延びる場合があります。期間が延びる場合は、お客様のご請求を受領した後1か月以内にその旨を通知いたします。なお、適用プライバシー法令により、ご請求を拒否することが認められる、又は義務付けられる場合があります。お客様のご請求に応じることができない場合には、法律上又は規制上の制限を条件として、その理由をお知らせいたします。
第11条 お問い合わせ先
ご質問や苦情がある場合、又は本プライバシーポリシー第10条に記載の権利を行使されることをご希望の場合は、以下のお問い合わせ先までご連絡ください。
- 11.1ヤマトホールディングスへのお問い合わせ
お客様のプライバシーに関するお問い合わせは、[email protected]宛てにメールで、又は〒104-8125東京都中央区銀座2-16-10宛てに郵送でご連絡ください。 - 11.2DPOへのお問い合わせ
当社では、DPOを任命しています。[email protected] 宛てにDPOへメールでご連絡ください。電話での問い合わせをご希望の場合、その旨及び希望する言語(EEA加盟国の国語又は日本語の場合に限ります。)を明記してメールでDPOへご連絡ください。DPOからお問い合わせ用の電話番号をご連絡します。
第12条 一般条項
- 12.1当社は、本プライバシーポリシーを、随時改訂する権利を留保します。適用される条項は、お客様の責任において、定期的にご確認ください。
- 12.2本プライバシーポリシーの条項が法令に抵触する場合、法令上認められる限度で、当該条項は、当初の意図を反映した同趣旨の条項に置き換えられます。その場合も、その他の条項は変更されることなく適用され続けます。
第13条 定義
- 13.1本プライバシーポリシーにおける用語の定義は、以下のとおりです。
- 「適用プライバシー法令」とは、GDPRとそれに関連する各国施行法を含む、適用のあるプライバシー法令をいいます。
- 「契約」とは、お客様とヤマトホールディングスとの間で締結される契約をいいます。
- 「GDPR」とは、EU一般データ保護規則(the General Data Protection Regulation (EU))2016/679(「GDPR」)と、2018年データ保護法(Data Protection Act 2018)第3条により英国法の一部を構成するGDPR(「UK GDPR」)のいずれか、又はこれら両方をいいます。
- 「プライバシーポリシー」とは、本プライバシーポリシーをいいます。
- 「当社サイト」とは、EEAの個人を対象としてGDPRの適用範囲にある場合に限り、ヤマトホールディングスが管理するこちらのサイトをいいます。
- 「サイト訪問者」とは、当社サイトにアクセスする個人をいいます。
- 「ヤマトグループ」とは、ヤマトのグループを構成し、ヤマトホールディングスの関係事業体である事業体全てをいいます。
- 13.2「個人データ」、「(共同)管理者」、「処理者」、「データ主体」、「処理」など、適用プライバシー法令に定義のあるその他の用語については、適用プライバシー法令で定める意味を有します。