Click here for English.

プライバシーポリシー

ページ更新日:2021年10月25日

基本理念

ウィズワークス株式会社(以下、「当社」)は、以下の内容を、当社の事業活動の基本であるとともに、社会的責務であると考えています。「個人に関する情報(以下、「個人情報」)の価値を尊重し、常に適切な管理と保護の徹底を図ることにより、個人情報を保護すること」。当社はこれを確実に実践していくために、以下の個人情報保護方針に基づき、役員および社員が一体となって、個人情報の適切な取り扱いに努めております。

個人情報保護方針

当社は、個人情報の保護に関する社内コンプライアンス・プログラムを定め、組織体制を整備し、役員および社員に徹底します。
当社は、個人情報を収集する場合、その利用目的を明確にし、情報を提供する個人の同意を得た上で適法かつ公正な手段によって行います。 お預かりした個人情報は責任をもって管理し、法令の規定による場合や個人の利益を保護するために必要な場合以外は、第三者に開示・提供することはございません。
当社は、個人情報への不正アクセス、紛失、破壊、改竄および漏洩などを防止する、適切かつ合理的な措置を講じます。
当社は、個人情報の処理を当社の協力会社に委託する場合、当社の定める委託先選定基準に合致する協力会社を選定し、かつ適正な管理を行うものとします。
当社は、「JIS Q 15001 個人情報保護マネジメントシステム-要求事項」、個人情報保護法、その他の個人情報に関する法令その他の規範を遵守いたします。
当社は、個人情報を適正に利用し、その保護を徹底するために、コンプライアンス・プログラムの継続的な見直しと改善を行います。

ウィズワークス株式会社
代表取締役社長 髙橋 大輔

※以下は、日本国内のみで当社「社内報アプリ」をご利用になる場合は対象外ですので、ご覧いただく必要はございません。

GDPRに関するプライバシーポリシー

当社は、「社内報アプリ」サービス(以下、「当サービス」)のご利用者のプライバシー保護に努めています。当サービスをご利用の上で貴社内にてご運用いただいております、貴社社内報サイトをご利用になる前に、本プライバシーポリシーを最後までお読みくださいますようお願いいたします。

1. 定義
GDPRに関するプライバシーポリシーにおける用語、「個人データ」「処理」などについては、GDPR第4条の定義に準じます。「管理者」「データ主体」「処理者」については、GDPR第4条の定義に加え、以下の通り補足いたします。

管理者 単独または共同で、個人データ処理の目的と手段を決定する法人のお客様のこと。本ポリシーでは、当サービスご契約主体である、貴社を意味します。
データ主体 個人データが処理をする管理者によって処理される、識別されたまたは識別可能な自然人。本ポリシーでは、当サービスをご利用になる、貴社社内報サイトユーザー各位を意味します。
処理者 管理者である法人のお客様からの委託を受けて、個人データの処理を行う者のこと。本ポリシーでは、当社を意味します。

2.データ保護オフィサー(DPO)の氏名及び連絡先
氏名:髙橋 大輔(当社のデータ保護オフィサー)
Eメール:digital@wis-works.jp

3.主たる監督機関の名称及び住所
個人情報保護委員会
住所:〒100-0013 東京都千代田区霞が関3-2-1霞が関コモンゲート西館32階
電話番号:03-6457-9680
URL: https://www.ppc.go.jp

データ主体には、いつでも上記の監督機関に苦情を申し立てる権利があります。もっとも、当社としては、データ主体が監督機関い接触を図る前に、当社に苦情に対応する機会をいただきたく、上記2のデータ保護オフィサー(DPO)に事前の御連絡をお願い申し上げます。

4. 本プライバシーポリシーの適用範囲
本ポリシーは、以下の条件の両方を満たす範囲についてのみ、適用されます。

  • 当サービスのご利用企業による、当サービスを介した個人データ処理
  • 社内広報上の必要に応じた効果測定・分析のため

5. 取得する個人データ
当社は、当サービスを提供するために必要な個人データに限って、当サービスを構築しているクラウド上に保管し、処理します。当サービスにて取得する個人データは、以下のみです。

  • ユーザー情報[ユーザーID、パスワード、メールアドレス、プロフィール画像、シングルサインオンにてご利用の場合、左記に加えて氏名]※共通ID利用の場合、ユーザー情報に個人情報を含みません。
  • Cookie[①貴社記事データにアクセスする用の鍵 ②閲覧に選んだ言語 ③セッションID(セッション切れで消滅)]
  • IPアドレス[アクセスログや認証ログにて取得]

上記以外の個人データを取得・保持することはありません。
また、貴社社内報内に、貴社管理者の操作によって登録される記事コンテンツについては、当サービスの特性上、当社では掲載内容について、一切関知・関与することができません。このため、記事コンテンツ内の個人データに関しては、管理者である貴社にて、すべての責任を負うものとします。

6. 個人データ処理の目的
当社は、以下の目的のためのみ、個人データを処理します。

  • ユーザー情報、Cookie
    データ主体である貴社従業員各位に、当サービス上の貴社社内報サイトおよびご提供機能を、十全にご利用いただく目的のため
  • IPアドレス
    貴社ご依頼に基づく調査・分析などの目的にのみ利用

当サービスご提供にあたり取得した個人データを、当社が上記以外の目的で処理することはありません。
ただし、当社は、当該個人データを、当サービスの開発・運用保守パートナー企業に限り、上記の目的のためにのみ、共有することがあります。開発・運用保守パートナー企業は、当社と同様に適用プライバシー法令を遵守します。

7. クッキー
当サービスではクッキー(Cookies)※を使用していますが、取得しているクッキー情報は、3.にてご説明した情報のみであり、一般のWebサイトで、情報や広告の最適化のために利用するような情報は、いっさい取得しておりません。なお、貴社社内報サイトユーザー各位はいつでも、使用されるインターネットブラウザの対応する設定によって、クッキーの設定を妨げることが可能であり、クッキーの設定を永続的に否定することが可能です。さらに、既に設定されているクッキーは、インターネットブラウザまたは他のソフトウェアプログラムを介していつでも削除できます。ただし、ご利用のインターネットブラウザのクッキーの設定を無効にする場合、当サービスは十分に機能しなくなります。

※クッキー(Cookies)は、インターネットブラウザ(以下、ブラウザ)を介してコンピュータシステムに保存されるテキストファイルです。多くのWebサイトとサーバーはクッキーを使用します。クッキーは、それが保存された特定のブラウザにWebページとサーバーを割り当てることができる文字列で構成されます。これにより、閲覧されたWebサイトやサーバーは、他のクッキーを含む他のブラウザからデータ主体の個々のブラウザを識別できます。唯一無二のクッキーIDを使用して、特定のブラウザを認識して識別します。本サービスは、クッキーを使用することで、ユーザーに対しクッキーの設定なしでは不可能なユーザーフレンドリーなサービスを提供できます。

8. 個人データの処理の法的根拠
処理の法的根拠は以下のとおりです。

  1. (1)データ主体が、一つまたは複数の特定の目的のために、自己の個人データの処理に同意を与えた場合。処理が上記のデータ主体の同意に基づく場合、当該データ主体はこの同意を撤回する権利を有します。
  2. (2)管理者が従うべき法的義務を遵守するために、処理が必要な場合。
  3. (3)データ主体または他の自然人の重大な利益を保護するために、処理が必要な場合。
  4. (4)公共の利益または管理者に与えられた公的権利の行使のために行われる業務の遂行において、処理が必要な場合。
  5. (5)管理者によって追及される合法的な利益のために、処理が必要な場合。

9. データ主体の権利
GDPRを含む適用プライバシー法令において、データ主体には以下の権利があります。これらの権利を主張するため、データ主体は、当社が指名したデータ保護オフィサー(DPO)にいつでも連絡することができます。なお、本項で言及する「管理者」とは、1.にて定義しました通り、当サービスご契約主体である貴社を指します。

(1)情報圏
管理者は、データ主体から個人データを収集する場合、個人データ入手時に、データ主体に一定の情報を提供しなければなりません。

(2)アクセス権
管理者は、データ主体から処理が行われている個人データへのアクセスの請求があればこのコピーを提供しなければなりません。

(3)訂正権
データ主体は、不正確な個人データを訂正することを管理者に求めることができます。

(4)消去権(忘れられる権利)
データ主体は、一定の場合、自分に関する個人データの削除を遅滞なく管理者から得る権利を有します。

(5)処理制限権
データ主体は、一定の場合、管理者に処理の制限をさせる権利を有します。

(6)個人データの訂正、消去、処理の権限に関する通知権限
上記(3)~(5)の場合、管理者は、個人データの取得者にこの処理を連絡するとともに、データ主体が要求する場合、取得者について通知します。

(7)データポータビリティ権
データ主体は、自らに係る個人データを、構造化され、一般的に使用され、機械によって読み取り可能な形式で受け取る権利を有します。また、当該データを、個人データが提供された管理者の妨害なしに、他の管理者に移行する権利があります。

(8)異議権
データ主体は、管理者または第三者によって追及される適法な利益の目的のための処理の必要性に基づく自己の個人データの処理に異議を唱える権利を有します。

(9)プロファイリングを含む自動化された処理を受けない権利
データ主体は、自己に関する法的効果をもたらすか、または当該データ主体に同様の重大な影響をもたらすプロファイリングなどの自動化された処理のみに基づいた決定に、服しない権利を有します。なお、当社は、データ主体の個人データに関してプロファイリングを含む自動化された処理を行いません。

10. 個人データの第三国への移転
 当社は、当サービスを、AmazonWebService(AWS)の日本のリージョン上に構築しております。つまり、貴社社内報ユーザーの実際の居住地・所在地を問わず、すべての個人データを、欧州経済地域(EEA)以外の国である日本国内に所在するクラウドにて処理しています。ただし、欧州委員会による十分性認定に基づき、日本はGDPR第45条に定める十分なデータ保護の水準を確保しています。
当サービスと連携させてGoogleアナリティクスをご利用になる場合、トラッキングおよびWeb解析の目的で、米国内に所在するGoogleにおいても、IPアドレスなど個人データの一部を処理することとなります。ただし、GoogleはEU-USプライバシー・シールドに従っています。欧州委員会によるEU-USプライバシー・シールド決定に基づき、米国内に所在し、EU-USプライバシー・シールドの下で認定された企業へのデータ移転は、十分なデータ保護の水準をみたすとされています。また、Googleアナリティクス連携は、当サービスの標準仕様ではなく、貴社にて管理画面上より設定いただくか、もしくは貴社のお申込みに基づいて当社にて設定を代行して、初めて実装するものです。

11. セキュリティ、安全管理措置
 当社は、当サービスご利用者の個人データのセキュリティを確保するため、適切な組織的・技術的セキュリティ措置を維持し、個人データの第三者による不正使用・紛失または改変を防ぎます。データ転送時の不正アクセスを防止するため、当サービスのすべての通信は、SSL技術を使用し暗号化しています。
個人データへのアクセス権限は、当該データにアクセスする必要のある従業員、開発・運用保守パートナー企業の担当者のみに限定して付与します。これらの該当者は、雇用契約または業務委託契約に基づき、秘密保持義務を負います。当社は、個人データの保護に関して、ISO27001:2013に基づくISMS(情報セキュリティマネジメントシステム)認証を取得しており、十分な技術的・組織的安全管理措置を講じています。

12. 個人データの保存期間
 当社は、貴社による当サービスご利用契約期間に限り、貴社社内報ユーザーの個人データを処理します。貴社社内報ユーザーの個人データは、6.に記載の目的のため必要な期間のみ保管し、契約終了すなわちご利用終了とともに、すみやかに削除します。

13. 個人データの開示、訂正、消去等
 GDPRを含む適用プライバシー法令において、データ主体(貴社社内報ユーザー)が、以下を希望される場合、貴社社内報管理者、または当社お問い合わせ窓口(digital@wis-works.jp)まで電子メールにてご連絡ください。当社は適用プライバシー法令に定められるデータ主体の権利に基づき、上記9.に記載のとおり、適切に対応いたします。

  1. (1)個人データへのアクセス
  2. (2)個人データの訂正
  3. (3)個人データの消去
  4. (4)個人データの取り扱いの制限
  5. (5)処理に対する異議
  6. (6)個人データに関係する同意の取り下げ

第三者によるご本人の個人データの改ざんまたは漏洩等を防止するため、個人データ操作に関する依頼を具体的に記した依頼書、およびご本人であることの確認書類の提示を求めることがございます。

14.一般条項
本プライバシーポリシーは、2021年10月25日に最終改訂いたしました。当社は、法令に基づき、あるいは、当社の方針により、本プライバシーポリシーを変更する可能性があります。ただし、当社は、データ主体の個人データを同意を得ずに新たな方法で利用することはありません。

改訂履歴

版

日付

内容

1.0.0

2021/10/25

初版

 

お問い合わせ先: ウィズワークス株式会社

〒160-0022 東京都新宿区新宿1-26-6新宿加藤ビルディング5F
TEL:03-5312-7471  E-mail:digital@wis-works.jp

 

Privacy Policy

Last updated on: October 25, 2021

Basic Philosophy

The company, wis works, Inc. (hereinafter referred to as "the Company," "our," or "we") considers the following as the foundation of our business activities as well as our social responsibility: To respect the value of information about individuals (hereinafter referred to as "personal information") and protect this personal information by ensuring that it is properly managed and protected at all times. In order to ensure that this is put into practice, our directors and employees are united in their efforts to handle personal information appropriately based on the following privacy policy.

Privacy Policy

We have established an internal compliance program for the protection of personal information, and have provided an organizational structure to ensure that all executives and employees are fully aware of this program.
When collecting personal information, we will clarify the purpose of use and obtain the consent of the individual providing the information before using the personal information with legal and fair means. We will responsibly manage the personal information we receive and will not disclose or provide it to third parties unless required by law or in order to protect the interests of the individual.
We will take appropriate and reasonable measures to prevent unauthorized access to, loss, destruction, falsification, or leakage of personal information.
In the event that we outsource the processing of personal information to a subcontractor, we will select a subcontractor that meets our standards for selecting subcontractors, and will manage the personal information appropriately.
We comply with JIS Q 15001 Personal Information Protection Management Systems - Requirements, the Act on the Protection of Personal Information, and other laws and regulations regarding personal information.
We will continuously review and improve our compliance program to ensure the proper use and protection of personal information.

wis works, Inc.
Daisuke Takahashi, President and CEO

*The policy from here below is not applicable to those who only use the wis works, Inc. company newsletter app within Japan. Please feel free to leave this page.

Privacy Policy for GDPR

We are committed to protecting the privacy of users that use our company newsletter app service (hereinafter referred to as "the Services"). Please read this Privacy Policy to the end before creating a company newsletter website by use of the Services.

1. Definitions
The terms "personal data," "processing," etc. in the Privacy Policy with respect to GDPR are defined in accordance with Article 4 of the GDPR. The following are supplemental definitions for the terms "controller," "data subject," and "processor," in addition to the definitions provided in Article 4 of the GDPR.

Controller A legal entity which, alone or jointly with others, determines the purposes and means of the processing of personal data. For the purposes of this Privacy Policy, the company contracted for the Services shall be the controller.
Data subject An identified or identifiable natural person whose personal data is processed by a controller who performs processing. For the purposes of this Privacy Policy, the data subject is each user who uses a company newsletter website, which in turn uses the Services.
Processor A person who processes personal data on behalf of the controller, a corporate customer. For the purposes of this Privacy Policy, the processor is the Company.

2.Name and contact information of Data Protection Officer (DPO)
Name: Daisuke Takahashi (Data Protector Officer for wis works, Inc.)
Email: digital@wis-works.jp

3.Name and address of primary supervisory authority
Personal Information Protection Commission
Address: Kasumigaseki Common Gate west Tower 32F, 3-2-1 Kasumigaseki, Chiyoda-ku, Tokyo 100-0013, Japan
TEL: 03-6457-9680
URL: https://www.ppc.go.jp

The data subject has the right to declare a complaint with the above-mentioned supervisory authority at any time. However, we would like to request that the data subject contact the Data Protection Officer (DPO) mentioned in Section 2 above in advance, to allow the Company the opportunity to address the complaint before contact is made with the supervisory authority.

4. Scope of this Privacy Policy
This Privacy Policy applies only to the extent that both of the following conditions are met.

  • Processing of personal data by the Services due to companies utilizing the Services
  • Personal data processing applicable to the General Data Protection Regulation (GDPR) of the EU and the Act on the Protection of Personal Information in Japan is performed

5. Personal data to be collected
We store and process only the personal data necessary to provide the Services, the implementation of which is performed on the cloud, on which the Services are built. We collect only the following personal data for the Services.

  • User Information[User ID, password, email address, profile picture, and name (in the case of Single Sign On)] *If using a shared ID, user information does not include personal information.
  • Cookies[1. Key to access data for company newsletter articles, 2. Language selected for viewing, and 3. Session ID (expires when session is closed]
  • IP Address[Obtained from access log or authentication log]

Personal data other than those stated above are never acquired or saved.
Due to the nature of the Services, we cannot be involved in any way in the content of the articles entered into a company newsletter by said company's controller. For this reason, the controller of the company using the Services shall be responsible for all personal data contained in any articles.

6. Purpose of personal data processing
We process personal data only for the following purposes.

  • User information and cookiesCookie
    To allow each employee of a company in use of the Services, who are the data subjects, to fully utilize a company newsletter website and the functions provided by the Services
  • IP address
    Used only for the purpose of inquiry and analysis upon request by a company using the Services

We will never process personal data acquired in the course of providing the Services for any purpose other than those described above.
However, we may share such personal data with other firms limited to partners in development, operation, and maintenance of the Services, and only for the purposes described above. Partner firms in development, operation, and maintenance also comply with applicable privacy laws and regulations in the same manner as the Company.

7. Cookies
While the Services utilizes cookies*, the cookie information obtained is limited to the information described in Section 3, and information to optimize advertising on general websites is never collected. Note that each user of a company newsletter website may at any time prevent cookies by means of corresponding settings in their Internet browser, including the ability to permanently disable cookies. Furthermore, cookies that have already been set can be deleted at any time via an Internet browser or other software program. However, disabling cookies on an Internet browser will not allow the Services to function properly.

*Cookies are text files that are stored on a computer system via an Internet browser (hereinafter referred to as "browser"). Many websites and servers use cookies. A cookie consists of a string of characters that can assign web pages and servers to the particular browser in which it is stored. This allows the viewed website or server to identify the individual browser of the data subject from other browsers containing other cookies. These unique cookie IDs are used to recognize and identify a specific browser. By using cookies, the Services can provide users with user-friendly services that would not be possible without said cookies.

8. Legal basis for processing personal data
The legal basis for processing is as follows.

  1. (1)The data subject has given consent to the processing of his or her personal data for one or more specific purposes.
    If the processing is based on the consent of the data subject as described above, the data subject concerned has the right to withdraw this consent.
  2. (2)The processing is necessary to comply with a legal obligation to which the controller is subject.
  3. (3)The processing is necessary to protect the vital interests of the data subject or another natural person.
  4. (4)The processing is necessary in the performance of a task carried out in the public interest or in the exercise of an official right granted to the controller.
  5. (5)The processing is necessary for legitimate interests pursued by the controller.

9. Rights of the data subject
Under applicable privacy legislation, including the GDPR, data subjects have the rights as listed below. To assert these rights, the data subject may contact our designated Data Protection Officer (DPO) at any time. Note that the "controller" referred to in this section refers to the company contracted to the Services, as defined in Section 1.

(1)Right of information
When collecting personal data from a data subject, the controller must provide certain information to the data subject at the time of obtaining the personal data.

(2)Right of access
The controller must provide a copy of any personal data to which processing is being performed to a data subject if the data subject requests access to such personal data.

(3)Right of rectification
The data subject shall have the right to request the controller to rectify any inaccurate personal data.

(4)Right of erasure ('right to be forgotten')
The data subject shall have the right to obtain from the controller the erasure of personal data concerning him or her without undue delay in certain cases.

(5)Right of restriction of processing
The data subject shall have the right to obtain from the controller restriction of processing in certain cases.

(6)Notification obligation regarding rectification or erasure of personal data or restriction of processing
In cases of (3) to (5) above, the controller shall communicate any processing of the personal data to each recipient to whom the personal data have been disclosed, and inform the data subject about those recipients if the data subject requests it.

(7)Right to data portability
The data subject shall have the right to receive the personal data concerning him or her in a structured, commonly used and machine-readable format. The data subject shall also have the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided.

(8)Right to object
The data subject shall have the right to object to processing of personal data concerning him or her on the basis of necessity of processing for purposes of legitimate interests pursued by the controller or by third parties.

(9)Right not to be subjected to automated processes, including profiling
The data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or similarly significantly affects him or her. Note that we do not perform any automated processing, including profiling, with respect to the personal data of data subjects.

10. Transfer of personal data to a third country
 We have developed the Services by use of Amazon Web Services (AWS) in the Japan region. This means that all personal data, regardless of the actual residence or location of company newsletter users, is processed in the cloud located in Japan, a country outside the European Economic Area (EEA). However, based on an adequacy decision by the European Commission, Japan has ensured an adequate level of data protection as stipulated in Article 45 of the GDPR.
When using Google Analytics in conjunction with the Services, Google, which is located in the United States, will also process a portion of the personal data provided, such as IP addresses, for tracking and web analysis purposes. However, Google follows the EU-US Privacy Shield. In accordance with the EU-US Privacy Shield Decision made by the European Commission, data transfers to companies located in the United States and certified under the EU-US Privacy Shield are considered to meet an adequate level of data protection. Moreover, Google Analytics integration is not a standard specification of the Services, and can only be implemented via a management screen while using the Services or an inquiry made to the Company to set Google Analytics on behalf of a company contracted to the Services.

11. Security and safety control measures
 We maintain organizational and technical security measures to ensure the security of the personal data of the users of the Services and to prevent unauthorized use, loss, or alteration of personal data by third parties. To prevent unauthorized access during data transfers, all communications for the Services are encrypted using SSL technology.
Access to personal data will be granted only to those employees and personnel of partner firms for development, operation, and maintenance of the Services who need access to the personal data. These applicable persons are obligated to maintain confidentiality under employment or outsourcing agreements. We have obtained ISMS (Information Security Management System) certification based on ISO27001:2013 for the protection of personal data, and have implemented sufficient technical and organizational security control measures.

12. Retention period of personal data
 We will process the personal data of users of company newsletters only for the duration of subscription to the Services. The personal data of users of a company newsletter will be stored only for the period necessary for the purposes described in Section 6 and will be deleted without undue delay upon termination of the contract, i.e. termination of use.

13. Disclosure, correction, deletion, etc. of personal data
For purposes of applicable privacy laws, including the GDPR, if a data subject (a user of a company newsletter) wishes for any of the following, please have the user contact the controller of the company newsletter or send an email to our point of contact for inquiries (digital@wis-works.jp). We will respond appropriately as described in Section 9 above based on the rights of the data subject as set forth in applicable privacy laws and regulations.

  1. (1)Access to personal data
  2. (2)Rectification of personal data
  3. (3)Erasure of personal data
  4. (4)Restriction of handling of personal data
  5. (5)Objection to processing
  6. (6)Withdrawal of consent related to personal data

In order to prevent falsification or leakage of a user's personal data by a third party, we may require a user to present a written request that specifically describes the user's request regarding the manipulation of personal data, as well as documents confirming the user's identity.

14.General provisions
This Privacy Policy was last revised on October 25, 2021. We may change this Privacy Policy as required by law or to better suit our internal guidelines. However, we will never use the personal data of data subjects in new ways without their consent.

Revision history

Version

Date

Change Details

1.0.0

2021/10/25

first edition

For inquiries, please contact:

wis works, Inc.
Shinjuku Kato Building 5F, 1-26-6 Shinjuku, Shinjuku-ku, Tokyo 160-0022, Japan
TEL: 03-5312-7471  E-mail: digital@wis-works.jp

Copyright(c) wis works, Inc. All Rights Reserved.