GDPRコンプライアンス

1. GDPRへの取り組み

Virtual Receptionistは、当社が処理する個人データのセキュリティと保護を確保することに取り組んでいます。2018年5月25日に施行されたEU一般データ保護規則（GDPR）に準拠するための包括的なポリシーと手順を実施しています。

データ管理者およびデータ処理者として、当社はGDPRの原則である合法性、公正性、透明性、目的制限、データ最小化、正確性、保存制限、完全性、機密性に従って個人データを取り扱います。

2. データ処理の原則

• 合法性：有効な法的根拠（同意、契約、法的義務、正当な利益）がある場合にのみ個人データを処理します。
• 目的制限：特定の、明確な、正当な目的のためにデータを収集します。
• データ最小化：意図した目的に必要なデータのみを収集します。
• 正確性：個人データが正確で最新であることを確保するための措置を講じます。
• 保存制限：必要な期間のみデータを保持します。
• セキュリティ：適切な技術的および組織的措置を実施します。

3. GDPRに基づくお客様の権利

データ主体として、GDPRに基づき以下の権利を有します：

4. データセキュリティ対策

お客様の個人データを保護するために堅牢なセキュリティ対策を実施しています：

• すべてのデータ転送のエンドツーエンド暗号化（TLS 1.3）
• 保存データのAES-256暗号化
• 定期的なセキュリティ監査およびペネトレーションテスト
• アクセス制御および認証メカニズム
• データ保護に関する従業員研修
• インシデント対応手順
• データバックアップおよび災害復旧計画

5. 国際データ移転

欧州経済領域（EEA）外に個人データを移転する場合、適切な安全策を講じています：

• 欧州委員会が承認した標準契約条項（SCC）
• 十分性認定を受けた国への移転
• 該当する場合の拘束的企業準則

6. データ処理契約

法人のお客様のデータ処理者として、GDPR第28条に準拠したデータ処理契約（DPA）を締結しています。当社のDPAは以下を網羅しています：

• 処理の対象事項と期間
• 処理の性質と目的
• 処理する個人データの種類
• データ主体のカテゴリ
• 管理者の義務と権利
• 復処理者の要件

7. データ侵害の通知

個人データの侵害が発生した場合、当社は以下を行います：

• 72時間以内に関連する監督当局に通知
• 必要に応じて影響を受けるデータ主体に侵害を伝達
• すべての侵害と講じた是正措置を文書化
• 将来の侵害を防止するための措置を実施