SAP Concur の個人情報保護方針

発効日:2023 年 2 月 28 日

この個人情報保護方針の以前のバージョンを表示するには、ここをクリック。Previous Version

SAP Concur の個人情報保護方針

個人のプライバシーを保護することは、ビジネスを展開していく上で必要不可欠です。当社はデータ保護およびプライバシーに対する個人の権利を保護する決意を表明するために、この個人情報保護方針を作成しました。ここでは、個人を直接的または間接的に特定するために使用可能な情報(以下「個人データ」)を当社が取り扱う方法についての概略を記載しています。 

1. この「個人情報保護方針」で SAP という場合に何を指すか

この個人情報保護方針は、次のいずれかの場合に、個人データの収集および処理に適用されます。(i) この Web サイトおよびその他のグローバルに展開する SAP Concur のビジネス活動を一元的に運営する際に、601 108th Avenue NE, Suite 1000, Bellevue, WA 98004 に所在する Concur Technologies, Inc.(以下「SAP Concur US」)またはこの個人情報保護方針の末尾にある「追加国および地域固有の規定」に記載されることがある、特定の SAP グループ法人が個人データの収集および処理を行う場合。(ii) お客様またはお客様の雇用主との契約前または契約上の取引関係において、SAP Concur または Concur Holdings (Netherlands) B.V.(以下「SAP Concur BV」)が個人データの収集および処理を行う場合。(iii) 登録フォームの関連において、特定の SAP グループ法人がサービスまたはイベントへの登録目的で個人データを直接収集しており、この個人情報保護方針を参照することにより、この登録ページまたは Web サイトで関連する管理者として提示されている場合。

SAP Concur US、SAP Concur BV、および関連する SAP の各グループ法人を(それぞれの場合に応じて)、以下「SAP Concur」といいます。「SAP」という場合は、SAP SE、SAP America, Inc.、または該当する SAP グループ法人を指します。

この個人情報保護方針は、その独自の個人情報保護方針を提示している SAP のインターネットページや Web サービスには適用されません。

2. SAP が個人データを処理する目的

ビジネスを行い、当社のさまざまな Web プレゼンスやその他のコミュニケーションチャネルを運用する際、SAP Concur は、顧客、パートナー、サプライヤー、ベンダー、候補者など、当社がやり取りを行う相手の個人データを処理します。

そのような場合、SAP Concur は、以下の 1 つまたは複数の業務目的で、個人データを処理する場合があります。

A. 顧客やパートナーなどとの取引関係を推進するため

SAP Concur は、顧客、パートナー、およびその他のユーザーとの取引関係を推進し、契約前および契約上の取引関係を全うするために個人データを処理します。これには、要求を満たし、注文を処理し、注文された製品やサービスを提供すること、または当社の取引関係を確立、履行および維持するためのその他の関連する行為に携わることが含まれる場合があります。

製品やサービスには、クラウドソフトウェア製品、Web サービス、アプリ、オンラインフォーラム、ウェビナーおよびイベント、マーケティング関連以外のニュースレター、ホワイトペーパー、チュートリアル、トレーニングのほか、コンテストや懸賞といったその他のオファリングが含まれる場合があります。お客様が法人顧客に代わって SAP Concur から製品やサービスを購入するまたは購入予定の場合、または法人顧客もしくはパートナーと SAP Concur 間の取引関係に関する担当者(「顧客担当者」)として関わっている場合、SAP Concur はお客様の個人データをこの目的で使用します。具体的には、SAP Concur は、お客様の個人データを使用して、お客様のアカウントの開設の確認、契約締結の管理、法律で求められる場合がある開示、支払いの通知、および当社の製品やサービスに関するその他の情報の送信を行うことがあります。SAP Concur は、関連する問い合わせに回答し、お客様に必要なサポートを提供し、お客様のフィードバックを処理する場合があります。

お客様またはお客様の雇用者が当社の製品やサービスを使用する関連において、SAP Concur は、お客様、ユーザー、または顧客の質問や苦情を解決するため、あるいは疑わしい取引を調査するために、郵便、電子メール、ライブチャット、連絡フォーム、電話、またはその他のメディアでお客様に連絡する場合があります。電話またはチャットセッションの場合、SAP Concur は、SAP Concur のサービスの品質向上のため、当該の電話中にお客様にその旨を通知した後に、かつ適用法に従って、録音の開始前にお客様の事前同意を得た上で当該の通話またはチャットセッションを記録することがあります。

お客様またはお客様の雇用者と SAP Concur 間の既存の取引関係において、SAP Concur は、お客様が当社の製品やサービスの機能性と品質にどの程度満足しているかを把握するとともに、製品に関する最新の発表、ソフトウェアのアップデートやアップグレード、イベント、特別オファー、およびお客様にとって有用な SAP Concur のソフトウェアとサービスに関する関連情報をお客様に提供するため、お客様の個人データを処理します。

B. 製品やサービスを開発するため

適用法により許容される限り、SAP Concur は、社内での研究、技術的な実証と開発のため、また SAP Concur の製品やサービスの作成、開発、運用、納入、改善、アップグレード、または拡張に SAP Concur が役立てるために、お客様の個人データを処理する場合があります。SAP Concur は、匿名化されたデータセットの作成のために個人データを処理する場合があり、そのデータセットはその後、SAP Concur の製品やサービスの向上のために使用される可能性があります。

C. 法令を確実に遵守するため

 SAP Concur では、その製品、サービス、オンラインイベント、施設、および敷地の適切なレベルの技術的および組織的なセキュリティを確保する目的で、お客様の個人データを処理します。このため、SAP Concur は、SAP Concur が所有する、SAP Concur によりもしくは SAP Concur のために製造される、または SAP Concur が管理する製品やサービスの品質と安全性を検証または維持するために必要な対策を講じます。これには、指定されたユーザーの十分な識別と承認のための個人データの使用、監査、分析、および調査による内部品質管理、既存のまたは意図した機能を損なうエラーを特定して修復するためのデバッグ、アカウントおよびネットワークのセキュリティ、喪失防止のための複製、セキュリティインシデントの検出、悪意のある、偽装的、詐欺的、または違法な行為からの保護、およびそのような行為の責任者を起訴することが含まれます。当社はさらに、当社の所在地および資産のセキュリティと安全を保護するため、お客様が現地の SAP Concur 関連会社またはラボを訪問する際に、アクセス管理およびビデオ監視の関連で、お客様の名前、肖像、およびその他の連絡先またはコンプライアンス関連データを処理する場合があります。

 SAP Concur とその製品、テクノロジーおよびサービスには、さまざまな国の輸出関連法が適用されます。これには欧州連合とその加盟国、アメリカ合衆国の法律があります(ただしこれに限らない)。これらの国が発布した適用される輸出法、貿易制裁、および禁輸措置により、SAP Concur は、政府発行の制裁対象者リストに登載された組織、法人およびその他の当事者が、SAP Concur の Web サイトまたはその他の配送チャネルを通じて一定の製品、テクノロジー、およびサービスにアクセスすることを防止することを義務付けられています(欧州連合制裁リスト、米国商務省産業安全保障局(BIS)の禁止顧客リスト(DPL)、米国財務省外国資産管理室(OFAC)の特別指定国民および資格停止者リスト(SDN リスト)、米国商務省産業安全保障局のエンティティリストを含む米国の制裁リスト、国際連合安全保障理事会の制裁など)。SAP Concur は、これらの法的要件を遵守するために必要な範囲で個人データを処理します。特に、SAP Concur は、該当する制裁対象者リストに対する自動チェックを行うために個人データを処理し、制裁対象者リストが更新されたり、ユーザーが自身の情報を更新したりするたびにかかるチェックを定期的に繰り返します。一致する可能性がある場合、SAP Concur は、SAP Concur のサービスおよびシステムへのアクセスをブロックし、ユーザーに連絡してその身元を確認します。

必要な場合、SAP Concur は、何らかの形のサイバー犯罪、当社の製品やサービスの違法な使用または詐欺などの犯罪行為を防止したり起訴したりするために、また当社の権利を主張するまたは法的請求から SAP Concur を防御するために個人データを使用します。

D. データ保護法および不正競争防止法関連の要件を遵守するため。

関連する SAP グループ会社が事業を行っている国、およびお客様が商業的情報の受領について明示的に同意したか、またはオプトアウトしたかに応じて、SAP Concur は、かかる情報の受領に関するお客様のデータ保護およびプライバシーの選択を満たすために必要な個人データを処理するとともに、コンプライアンスを確実なものとするために必要な場合は、かかる情報を SAP グループの他の法人と交換する場合があります。

 E. SAP Concur のインターネットページ、Web オファリング、またはその他のオンラインイベントを運用するため

SAP Concur は、そのインターネットページ、Web オファリング、またはその他のオンラインイベントの運用、お客様への提供、およびお客様による使用の管理を目的として、個人データを処理します。

ユーザープロファイルの作成

SAP Concur の フォーラム、ブログ、ネットワーク(SAP Concur Community など)など、Web サイトにリンクされている一定の Web オファリングでは、ユーザープロファイルを登録して作成する必要があります。ユーザープロファイルにより、お客様は自身に関する個人情報(自身の氏名、写真、ソーシャルメディアのアカウント、住所または電子メールアドレス、電話番号、個人的関心、スキル、および自身の会社に関する基本情報など)を、他のユーザーと共有することができます。ユーザープロファイルは、ユーザー間のやり取り(メッセージングやフォロー機能など)をパーソナライズするとともに、SAP がそのようなサービスを通じたコラボレーションを促進し、コミュニケーションの質を向上させるのに役立ちます。お客様は、関連する Web オファリングのプロファイル設定により、共有したい情報を決定することができます。

 ID サービス

ユーザープロファイルは、SAP Concur の単一の Web オファリングに固有のものかもしれませんが、それにより SAP Concur のほかの Web オファリングや SAP グループの別の法人の Web オファリングにアクセスすることもできます。それらの追加の Web オファリングを使用するかどうかは、お客様の選択次第です。選択する場合、SAP Concur は、初回アクセスを提供するために、お客様の個人データをかかるその他の Web オファリングで利用できるようにします。なお、当社がこうしたユーザープロファイルを作成することにお客様が同意されなければ、SAP Concur は、お客様の同意がサービス提供を認められるための法的要件であるサービスを提供できなくなることにご注意ください。

イベントのプロファイリング

お客様が SAP Concur のイベント、セミナー、またはウェビナーに登録した場合、SAP Concur は、参加者間のやり取りを促進し、コミュニケーションやアイデアの交換を活性化させるため、基本的な参加者情報(お客様の氏名、会社、および電子メールアドレス)を、同じイベント、セミナー、またはウェビナーのほかの参加者と共有する場合があります。

ユーザーエクスペリエンスの向上

SAP Concur は、お客様のユーザーエクスペリエンスの向上、お客様の個別の要求の特定、およびお客様が探している情報を当社が提供する方法をパーソナライズするために、お客様による当社の Web オファリングへのアクセスに関連する情報を処理します。この目的のため、当社はお客様がユーザープロファイルを登録しているかどうかにかかわらず、情報を収集します。

クッキーおよび類似のツール

SAP Concur は、この「個人情報保護方針」およびその クッキー方針に定める目的で、クッキーまたは類似のテクノロジーを使用して、SAP Concur の Web サイトおよびその他の Web オファリングのユーザーに関する個人データを処理します。concur.com ホームページのフッターにある「Cookie Preferences」リンクにアクセスすると、詳細情報が表示され、クッキー設定を実行するオプションが提示されます。

F. 人材を確保するため

SAP Concur は、当社の就職の機会に関心のある有資格の個人の個人データを、さまざまなソースから収集して処理する場合があります。求職者や候補者は、自発的に行うか広告掲載に応えて行うかにかかわらず、SAP Career Portal を介して応募することを求められます。SAP Concur は、応募手順を実行し、応募者を選考する目的で SAP Career Portal により個人データを収集します。SAP Career Portal 固有の個人情報保護方針に、SAP Concur による応募者のデータの収集および処理の方法に関する詳細な情報が記載されています。

G. SAP Concur の製品やサービスを売るため

SAP Concur は、販売およびマーケティングの目的で、個人データを収集し、処理します。当社は、予定されているイベントや SAP Concur の最新の製品とサービスについて、最新情報をお届けすることを目指しています。Web やイベントフォームなどを通じてお客様が関心を示された場合、当社は SAP Concur のサービスおよびオファリングに対するお客様の関心についてさらに話し合うために、お客様に連絡する場合があります。

フィードバック、アンケートおよび調査のお願い

適用法により認められる範囲で、SAP Concur は、関連する資材、製品、またはサービスの改善に関するフィードバックを求めて、お客様に連絡する場合があります。また SAP Concur は、アンケートや調査への参加をお客様にお願いする場合があります。これらは通常、参加者であることを示す情報を提供することなく参加できるように設計されています。それにもかかわらず、お客様が個人データを提供された場合、SAP Concur はそのデータを、アンケートまたは調査に記載された目的で、またはその製品とサービスの改善のために使用します。

最新情報の提供

お客様またはお客様の雇用者と SAP Concur 間の既存の取引関係の範囲内で、SAP Concur は、お客様またはその雇用主がすでに購入または使用している製品やサービスに類似している、または関連する SAP Concur の製品やサービスについてお客様に通知するためにお客様の個人データを処理します。SAP Concur は、法律で認められている範囲で、または SAP Concur が取引関係の関連で当該情報を収集済みである場合にのみ、電子メールまたは電話でかかるニュースについて連絡します。お客様は、この目的で SAP Concur が使用することについて、各マーケティング関連アプローチの下部にあるオプトアウトオプションを選択することで、いつでも異議を唱えることができます。

パーソナライズされたコンテンツ

SAP Concur は、そのさまざまな事業分野とその提供物にわたるお客様の SAP Concur とのやり取り(お客様またはお客様の雇用主による SAP Concur の製品やサービスの過去および現在の使用、SAP Concur の Web オファリング、イベント、ホワイトペーパー、無料トライアル、またはニュースレターへの参加と使用など)に関する情報を処理して、要求された製品とサービスを提供し、お客様との個人的なコミュニケーションを改善します。またこのデータが、SAP Concur のビジネスを効率的に運用するために使用されることもあります。これには、分析や統計のさまざまな作業をサポートするデータの自動化と集計、パフォーマンスおよび予測分析、お客様のカスタマージャーニーをサポートし、かかる要求を満たすための探索的データサイエンスも含まれます。法律で認められる範囲で、SAP Concur は、かかる情報を集約した形で組み合わせて使用することにより、当社がお客様の関心やビジネス上の要求を理解し、当社のビジネスインサイトおよびマーケティング戦略を策定し、お客様とのパーソナライズされたコミュニケーションを作成、開発、提供、および改善するために役立てる場合があります。また、SAP Concur が所有する Web サイトまたは第三者の Web サイト上に関連コンテンツを表示するために、SAP Concur が使用する場合もあります。

広告 ID

お客様の同意を条件としてまたは適用法で認められる範囲で、SAP Concur は、第三者が運営するソーシャルネットワークまたはその他の Web オファリング(Twitter、LinkedIn、Facebook、Instagram、Google など)に提供するために、ハッシュ化されたユーザー ID を作成する場合があります。この情報はその後、より関連性の高い SAP Concur のコンテンツを表示するために、第三者独自のユーザーデータベースと照合されます。

3. SAP が処理する個人データ

SAP Concur では、当社のビジネスを行う、またはさまざまな Web プレゼンスやその他のコミュニケーションチャネルを運用する際に、やり取りする人々に関するさまざまなタイプの個人データを処理します。

 これには個別のケースに応じて、以下のタイプの個人データが含まれる場合があります。

 A. 連絡先データ

SAP Concur は、次のカテゴリーの個人データを連絡先データとして処理します。氏名、電子メールアドレス、住所/所在地(国、都道府県、市区町村)、電話番号、およびお客様の SAP Concur との関係の履歴。

 B. SAP Concur との取引関係に関連する個人データ

確立された取引関係の関連において、SAP Concur は取引先の会社名、業種、お客様の役職名と職位、部門と職務、およびお客様の企業の SAP Concur との関係の履歴を処理します。お客様が製品やサービスを注文するためにクレジットカード番号または銀行の詳細を提供する場合、SAP Concur はこの情報を収集して、要求された製品やサービスの支払いを処理します。

C. コンプライアンス関連の個人データ

法令によって求められる場合、SAP Concur は、生年月日、学歴、ID カードまたはその他の ID 番号、地理的位置、重大な訴訟その他の法的手続きなどの取引先関連情報、およびその他の輸出管理またはカスタムコンプライアンス関連情報などのデータカテゴリーを処理する場合があります。

E. SAP Concur のインターネットページ、Web、またはオンラインオファリングへの参加と使用により生成されたデータ

利用データ

SAP Concur では、お客様が SAP Concur の Web プロパティにアクセスした際に、お使いのブラウザー、オペレーティングシステム、または IP アドレスに関する情報など、一定のユーザー関連情報を処理します。また、当社は、お客様が閲覧したページ、お客様がページ上で費やした時間、お客様に当社のページを紹介したページ、お客様が選択した当社サイト上のリンクといった、当社の Web オファリングの利用に関する情報も処理します。

登録データ

SAP Concur は、お客様が SAP Concur のイベントやその他の Web サービスに登録する場合に直接 SAP Concur に提供する可能性がある、上記のお客様の連絡先データやその他の情報を処理する場合があります。

参加データ

お客様がウェビナー、バーチャルセミナー、イベント、またはその他の SAP Concur の Web サービスに参加する場合、SAP Concur は、当該イベントの準備のために、そのセッション、投票、調査、または SAP Concur とその参加者間または参加者同士のその他のやり取りを含め、関連する Web サービスとのお客様のやり取りを処理する場合があります。イベントに応じておよび参加者のそれぞれの通知を条件として、SAP Concur は、イベントまたはセッションの録音や録画を収集する場合があります。

F. 特別なカテゴリーの個人データ

イベントへの登録に関連して、SAP Concur は、ゲストの健康と福祉を考慮する目的で、お客様の食事の好みや、障がいの有無に関する情報を求める場合があります。このような情報の収集は、常に参加者の同意に基づきます。なお、食事の好みに関するかかる情報をご提供いただけない場合、SAP Concur は、イベントの際にかかる要求にお応えする機会がない場合があることにご注意ください。

G. 第三者(公開されているソースを含む)が受領した個人データ

SAP Concur は通常、データ主体から直接個人データを収集することを目指しています。SAP Concur がお客様の許可を得ているまたは適用法で認められる場合、SAP Concur は第三者のソースからも個人データを取得する場合があります。これらの第三者ソースには、次のものが含まれます。(i) SAP Concur および/または SAP グループとの取引におけるお客様の雇用者、(ii) お客様が SAP Concur と個人データを共有するように指示した第三者、(iii) 第三者ソース、およびビジネス指向のソーシャルネットワークや情報ブローカーなどの公開ソース。

当社が第三者ソースから個人データを収集する場合、確立された内部統制により、第三者ソースがこの情報を SAP Concur に提供することが許可されており、当社がこの目的のためにその情報を使用できることの確認が図られます。SAP Concur は、この個人データを、この個人情報保護方針に加え、SAP Concur に個人データを提供した第三者または適用される国内法によって課される追加の制限に従って取り扱います。

H.  顧客満足に必要な個人データ

法律またはお客様の同意に基づいて許容される範囲で、SAP Concur は、データの完全性と正確性を確保するとともに、当社がお客様とのやり取りをより適切に調整し、お客様のそれぞれの関心や要求に最も適した情報を判断できるように、特定のユーザーに関して直接的または間接的に収集した情報を組み合わせる場合があります。

4. SAP Concur がお客様の個人データを処理する期間

SAP Concur は、お客様の個人データを、以下のために必要な期間に限り処理します。(i) お客様またはお客様の雇用主から要求された製品およびサービスをお客様が利用できるようにするため、(ii) SAP Concur が、例えば、適用される輸出法、金融法、税法、または商取引法などに起因する、個人データを保持する法的義務を遵守するため、(iii) この個人情報保護方針に詳しく記載するとおり、SAP Concur の正当な業務目的を履行するため(お客様がこれらの目的での SAP Concur による自身の個人データの使用に異議を唱えた場合を除く)、(iv) SAP Concur による自身の個人データの処理についてお客様が以前に与えた同意をお客様が取り消すまで。同意を取り消す方法の詳細については、「お客様のデータ保護の権利」と題された項にあるガイダンスを参照してください。

SAP Concur は、それが不要になった、または SAP Concur の顧客とお客様との関係に変更があったことを SAP Concur が知らされるまでの間、製品やサービスの開発のためにお客様の個人データを処理する場合があります。

 SAP Concur は、お客様の個人データを処理するための法的義務の遵守のために必要な場合、または SAP Concur が法的請求に対して主張するまたは自身を防御するために当該の個人データを必要とする場合、追加の期間にわたってお客様の個人データを保持する場合があります。SAP Concur は、関連する保持期間が終了するまで、または当該の請求が解決されるまで、お客様の個人データを保持します。

5. お客様の個人データの受領者

お客様の個人データは、以下のカテゴリーの第三者に提供される場合があります。

A. SAP グループの法人

SAP Concur は、現地の取引関係を通じてのみ、その製品やサービスを顧客に販売しているため、SAP Concur は、お客様の個人データを、その目的および取引関係を遂行するために必要な範囲で、現地の関連する SAP グループ法人に移転する場合があります。また、SAP グループのその他の法人が、SAP SE およびその他の SAP グループ法人に代わってグループの社内サービスを一元的に提供する場合、または個人データがそれぞれの法的根拠で当該法人に移転された場合に、個人データを受領したり、それらにアクセスしたりすることもあります。そのような場合、これらの法人は同じ目的で、またこの個人情報保護方針に記載しているのと同じ条件に基づいて、個人データを処理する場合があります。SAP グループ法人の最新のリストは、こちらに掲載されています。お客様またはお客様の雇用主との取引関係を担当している SAP グループ法人についてお知りになりたい場合は、privacy-request@concur.com までご連絡ください。

B. サードパーティーのサービスプロバイダー

SAP Concur は、コンサルティングなどのサービス、Web サイトの提供、SAP Concur からのオファーの履行とプロビジョニング、ニュースレターの配信などの目的で、SAP Concur に代わって個人データを処理するために、サードパーティーのサービスプロバイダーと契約する場合があります。これらのサービスプロバイダーは、そのサービスの提供時に個人データを受け取るか、個人データへのアクセスを許可される場合があり、GDPR を含む関連するデータ保護法の意味における受領者となります。

C. SAP Concur パートナー

お客様の同意により、またはお客様の求めにより別途示されたとおり、お客様が注文されたサービスの履行目的を含め、SAP は、お客様の個人データを、お客様が要求した製品やサービスを提供するために、指定されたパートナー企業と共有する場合があります。

D. その他のサードパーティー

SAP Concur は、お客様の同意に基づいて、またはお客様の求めにより別途示されたとおりに、お客様の登録データを SAP Concur のセミナー、ウェビナー、またはイベントの登録ページに記載されている企業に移転する場合があります。これらの企業は、イベントの共同主催者またはスポンサーとしてお客様の個人データを受領し、お客様の登録データをイベントへの参加目的に使用します。これらの企業は、その処理目的およびお客様が権利を行使する方法について、法的に求められる情報を直接お客様に提供します。

6. お客様のデータ保護の権利

A. アクセス、修正、および削除の権利

お客様は、SAP Concur に対していつでも、SAP Concur がお客様のどの個人データを処理するかについての情報へのアクセスを要求し、また必要であれば、当該個人データの修正や削除を求めることができます。ただし、SAP Concur による当該個人データの削除は、SAP Concur にそれを保持する法定上の義務や優先する権利がない場合にのみ行うことができます。お客様が自身の個人データを削除するよう SAP Concur に要求した場合、お客様は、SAP Concur によるお客様の個人データの使用を必要とする SAP Concur サービスのご利用を継続できなくなる場合があります。

B. SAP Concur から個人データの返却を受ける権利

SAP Concur がお客様の同意に基づいてまたはお客様との契約を履行するためにお客様の個人データを使用する場合、お客様はまた、SAP Concur に提供した個人データのコピーを、SAP Concur に要求することができます。その場合は、privacy-request@concur.com にご連絡の上、お客様の要求に関連する情報と処理作業、その個人データを受け取る形式の希望、およびその送付先をお客様とするか別の受取人とするかを指定してください。SAP Concur は、お客様のご要望について慎重に検討し、ご要望に応える最善の方法をお客様とご相談します。

C. 制限する権利

お客様は、次のいずれかの場合は、お客様の個人データのさらなる処理を制限するよう SAP Concur に要求することができます。(i) お客様が自分に関して個人データが誤っていると主張する(ただし、関連の個人データの正確性を確認するために SAP Concur が必要とする時間を条件とする)、(ii) お客様の個人データを SAP Concur が処理する何らの法的根拠がなく、かつお客様が SAP Concur によるその個人データのそれ以降の処理を制限することを要求する、(iii) SAP Concur はお客様の個人データをもう必要としないが、お客様が法律上の権利を主張もしくは行使、あるいは第三者の要求に抗弁するために当該データを SAP Concur が保持することを要求する、または (iv) SAP Concur の正当な利益(以下にさらに規定)に基づく SAP Concur によるお客様の個人データの処理にお客様が異議を唱える場合(ただし、お客様の個人データの処理において優先する利益もしくは法的な義務が SAP Concur にあるかどうかを判断するために SAP Concur が必要とする時間を条件とする)。

D. 異議を唱える権利

SAP Concur がお客様の個人データを SAP Concur の正当な利益(特に SAP Concur がその正当な利益を追求してダイレクトマーケティングに従事し、またはダイレクトマーケティングに関連したプロファイリングを応用する場合)に基づいて処理している場合、お客様は随時、自身の個人データのかかる使用に異議を唱える権利を有します。ダイレクトマーケティングを目的とした SAP Concur によるお客様の個人データの処理にお客様が異議を唱えた場合、SAP Concur は、かかる目的でのお客様の個人データの処理を直ちに中止します。それ以外の場合はすべて、SAP Concur はお客様の異議を注意深く精査し、関連情報のさらなる利用を中止します。ただし、その異議におけるお客様の利益に優先しうる、情報を継続して利用するための SAP Concur の正当かつやむを得ない理由がある場合、または SAP Concur が法的請求の立証、行使、または防御のために当該情報を必要とする場合はその限りではありません。

E. 同意を取り消す権利

SAP Concur がお客様の同意に基づいてお客様の個人データを処理している場合、お客様は、登録を解除するか、取り消しについて当社にその都度通知することにより、いつでもご自身の同意を取り消すことができます。同意を取り消された場合、SAP Concur は、法律で処理を義務付けられる場合を除いて、以降はこの同意に基づく個人データの処理を行いません。法律上の理由により SAP がお客様の個人データを保持することを求められる場合、お客様の個人データは、以降の処理が制限され、法律によって義務付けられる期間に限って保持されます。ただし、お客様が同意を取り消された時点までの、過去の SAP Concur による個人データの処理には、取り消しの効果は及びません。さらに、SAP Concur オファリングを使用するためにお客様の事前の同意が必要な場合は、お客様の取り消し後、SAP Concur はそれ以降該当するサービス(複数の SAP Concur オファリングについて、SAP Identity Authentication Service のもとで SAP Concur がお客様のプロファイルを使用することに対する同意を取り消された場合は、それらの各サービス)、オファーまたはイベントを提供することができなくなります。

 F. 苦情申し立ての権利

SAP Concur がお客様の個人データを、この個人情報保護方針に記載する要件に従って、または適用されるデータ保護法に基づいて処理していないとお客様がお考えの場合、お客様は随時、適用法で求められる範囲で、現地の関連するデータ保護当局(特に EEA 加盟国に在住している場合)、または SAP Concur が登記している国もしくは州のデータ保護当局に苦情を申し立てることができます。

7. お客様によるデータ保護の権利の行使方法

お客様の権利行使の要求については、privacy-request@concur.com までご連絡ください。

8. SAP による、データ保護の権利の行使要求の確認方法

SAP Concur は、お客様が行使を希望するデータ保護の権利の処理に先立ち、合理的な確度までお客様の本人確認を行えるようにするための手段を講じます。  実行可能な場合、SAP Concur では、お客様の権利行使の要求の提出においてお客様が提供した個人データを、SAP Concur がすでに保持している情報と照合します。これには、お客様が要求を提出した際に提供した 2 つ以上のデータポイントと、SAP Concur がすでに保持している 2 つ以上のデータポイントとの照合が含まれます。 

SAP Concur は、明らかに根拠のない、過剰な、詐欺的な、それぞれの権利を正当に代表していない第三者が代表する、またはその他現地法で義務付けられていない要求については、処理をお断りします。

9. 未成年者または児童による SAP Concur の製品やサービスの使用

一般的に、SAP Concur の Web サイトおよびオンラインサービスは、16 歳未満、または関連する法域において相当する最低年齢未満のユーザー向けではありません。お客様が 16 歳未満である場合は、これらの Web サイトやオンラインサービスに登録して利用することはできません。

10. その他の国および地域固有の規定

A. EU、EEA、またはその他の GDPR 関連国で SAP Concur にプライバシー要件が適用される場合

管理者のデータ保護責任者

SAP グループのデータ保護責任者への連絡は随時、privacy[@]sap.com で行うことができます。

管理者の関連データ保護当局

SAP グループの主要なデータ保護監督当局はドイツにある、Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg であり、住所は Lautenschlagerstraße 20, 70173 Stuttgart です。お客様がほかの EU または EWR 加盟国に在住の場合は、管轄のデータ保護監督当局の連絡先の詳細がこちらに記載されている場合があります。

SAP Concur が個人データを処理するための法的権限

SAP Concur は、以下の法的権限に基づいて、上記の業務目的でお客様の個人データを処理しています。

お客様の事前の同意に基づく SAP Concur による個人データの処理に関する総論

SAP Concur は、お客様の事前の同意に基づいて、特定の処理目的でお客様の個人データを処理する場合があります。

正当なビジネス上の利益に基づく SAP Concur による個人データの処理に関する総論

GDPR 第 6.1 条 (f) およびその結果としての SAP Concur の正当なビジネス上の利益を、お客様の個人データを処理するための当社の法的権限として言及する場合、SAP Concur は、以下の目的でその正当なビジネス上の利益を追求しています:自社の事業運営を効率的に管理および実行する、分業のために最適化されたグループ体制内で、当社の従業員、顧客、パートナー、および株主の利益を最優先にしたインテリジェントかつ持続可能なビジネスプロセスを維持して運営する、お客様を含む SAP Concur の顧客およびパートナー(そのそれぞれについては以下に記載)との持続可能な取引関係を運営する、その Web サービスを利用する際に最良のユーザーエクスペリエンスを提供する、域外の法令を遵守する、または法的請求に対して主張しもしくは自らを防御する。

SAP は、これらの事業目的の追求における当社の利益は正当なものであり、したがって処理を差し控えるお客様の個人的な権利および利益に引けを取らないものであると考えています。これらのいずれの場合も、当社は自らのバランステストにおいて以下を正しく考慮に入れます:それぞれのケースにおいて SAP Concur が合理的に追求する事業目的、処理される必要がある個人データのカテゴリー、量および機密性、お客様の個人データの保護レベル(当社の一般的なデータ保護のポリシー、ガイドライン、およびプロセスにより確保される)、および処理作業に関連してお客様が有する権利。

このアプローチの詳細については、privacy-request@concur.com までお問い合わせください。

顧客やパートナーなどとの取引関係の推進

顧客、パートナーなどとの取引関係を推進する際、SAP Concur および現地の SAP グループ法人は、以下に基づいて個人データを処理する場合があります。GDPR 第 6.1 条 (b) お客様との(事前の)契約上の義務を履行するために必要な場合、GDPR 第 6.1 条 (c) SAP Concur に適用される法的要件を満たすために必要な場合、GDPR 第 6.1 条 (f) 契約上もしくは契約前の関係が会社またはその他の法人に関連し、SAP Concur が雇用者との(事前の)契約上の義務(SAP Concur の事業運営を効率的に実行または管理するための正当な利益)を履行するためにお客様の個人データを顧客担当者として処理する場合、GDPR 第 6.1 条 (f) お客様との取引関係を維持し、ユーザーまたは顧客担当者としてのお客様の満足度を確保し、お客様の関心または要求に応じてほかの SAP Concur の商品やサービスに関する情報を提供するために必要な場合(SAP Concur の顧客およびパートナーとの持続可能な取引関係を運営するための正当な利益)、または上記のいずれかと同等のその他の国内法に基づく法的権限(該当する場合)。

法令の確実な遵守

適用される法令の遵守を確実にするため、SAP Concur および現地の SAP グループ法人は、以下に基づいてお客様の個人データを処理する場合があります:GDPR 第 6.1 条 (c) SAP Concur が対象となる欧州連合または EU 加盟国の法律に基づく法的要件を満たすために必要な場合、GDPR 第 6.1 条 (f) EU 域外の法令を遵守するために必要な場合(域外の法令を遵守するための正当な利益)、またはその他の国内法に基づく同等の条文(該当する場合)。

 SAP Concur のインターネットページ、Web オファリング、またはその他のオンラインイベントの運用

インターネットページ、Web オファリングまたはその他のオンラインイベント(以下「Web サービス」)を運用する際、それぞれの運営目的に応じて、SAP Concur または現地の SAP グループ法人は、以下の法的権限に基づいてお客様の個人データを処理しています:GDPR 第 6.1 条 (b) および (f) Web サービスおよび各機能の提供、お客様のオンラインアカウントの作成と管理、サービスの更新、セキュリティ保護、トラブルシューティング、Web サービスの提供、改善、および開発、お客様の要求や指示への応答と対応のため(SAP Concur の事業運営を効率的に実行または管理するための正当な利益)、GDPR 第 6.1 条 (c) および (f) 当社の Web サービスのセキュリティを管理して確実化し、セキュリティ上の脅威、不正行為もしくはその他の犯罪行為や悪意のある活動を防止および検出するとともに、Web サービスの条項を強制するために合理的に必要な場合に、法的請求または防御を確立または維持し、当社の情報技術システムに対する攻撃を含む不正行為またはその他の違法行為を防止するため(SAP Concur の事業運営を効率的に実行または管理するとともに、法的請求に対して自らの主張または抗弁を行うための正当な利益)、GDPR 第 6.1 条 (a) お客様の個人データを処理することにお客様の同意を求める必要がある場合、またはその他の関連する国内法に基づく同等の法的権限(該当する場合)。

クッキーおよび類似のツール

クッキーまたは類似のテクノロジーを使用して当社の Web サービスのユーザーの利用行動を追跡して評価する場合、SAP Concur は、以下の法的権限に基づいてお客様の個人データを処理しています。GDPR 第 6.1 条 (a) お客様の個人データを処理することにお客様の同意を求める必要がある場合、GDPR 第 6.1 条 (b) お客様との(事前の)契約上の義務を履行するために必要な場合、GDPR 6.1 (f) お客様が顧客担当者として代表している会社またはその他の法人との(事前の)契約上の義務を履行するために必要な場合(SAP Concur の事業運営を効率的に実行または管理するための正当な利益)、またはその他の関連する国内法に基づく同等の法的権限(該当する場合)。

第三者(公開されているソースを含む)からのデータの収集

お客様に関する個人データを第三者から収集する場合、SAP Concur または現地の SAP グループ法人による収集の法的根拠は、以下に基づく場合があります:GDPR 第 6.1 条 (a) 当社またはお客様の個人データを SAP Concur に移転する第三者が、お客様の個人データを処理することにお客様の同意を求めていた必要がある場合、GDPR Article 6.1 (b) お客様との(事前の)契約上の義務を履行するために必要な場合、GDPR 第 6.1 条 (c) SAP Concur が対象となる欧州連合または EU 加盟国の法律に基づく法的要件を満たすために必要な場合、GDPR 第 6.1 条 (f) EU 域外の法令を遵守するために必要な場合(域外の法令を遵守するための正当な利益)、またはお客様との取引関係を維持し、ユーザーまたは顧客担当者としてのお客様の満足度を確保し、お客様の関心または要求に応じてほかの SAP Concur の商品やサービスに関する情報を提供するために必要な場合(SAP Concur の顧客およびパートナーとの持続可能な取引関係を運営するための正当な利益)、またはその他の関連する国内法に基づく同等の法的権限(該当する場合)。

SAP Concur の製品やサービスの売り込み

マーケティング活動に従事する際、SAP Concur は、お客様の個人データを、以下の法的権限に基づいて処理しています:GDPR 第 6.1 条 (a) この目的で SAP Concur がお客様のデータを処理することについてお客様の同意が法律で義務付けられている場合、GDPR 6.1 (f) お客様が顧客担当者として代表している会社またはその他の法人との(事前の)契約上の義務を履行するために必要な場合(SAP Concur の事業運営を効率的に実行または管理するための正当な利益)、お客様またはお客様の雇用主との取引関係を維持し、ユーザーまたは顧客担当者としてのお客様の満足を確実なものとし、関連するグループの内部体制をマッピングして関連する業務活動を SAP グループ内の一元的なソースに束ねてそれらが統一的に運営されるようにするとともに、お客様の関心または要求(これはさまざまなソースからのお客様に関する情報の組み合わせ(プロファイリング)が含まれる場合がある)に応じて他の SAP Concur 製品やサービスに関する情報を提供するために必要な場合(分業のために最適化されたグループ体制内で、当社の従業員、顧客、パートナー、および株主の利益を最優先にしたインテリジェントかつ持続可能なビジネスプロセスを維持して運営するとともに、SAP Concur の顧客およびパートナーとの持続可能な取引関係を運営するための正当な利益)。SAP Concur はこの情報を、当社の商品やサービスを宣伝する目的で顧客、見込客およびターゲットを対象とする当社の正当な利益を追求するためにお客様の住所宛てに、または同様の商品やサービスのダイレクトマーケティングの目的でお客様の電子メールアドレス宛てに(ただし、(i) 当社の商品またはサービスの購入に関連して当社がお客様の電子メールアドレスを受領していて、(ii) お客様が、直接的な広告のためのお客様の電子メールアドレスの使用に異議を唱えておらず、かつ (iii) 当社がすべてのアプローチにおいて、当社がお客様の電子メールアドレスをマーケティング目的で使用することにお客様がいつでも異議を唱えることができることを通知することを条件とします)、または適用法(もしくは該当する場合はその他の関連する国内法に基づく同等の法的権限)の下で許容される範囲(一般的には明示的同意もしくは推定的承諾)でその他の電子的手段(電話や MMS など)で提供する場合があります。

SAP が海外へのデータ移転を行う正当な理由

グローバル企業グループとして、SAP Concur には SAP グループ関連会社がヨーロッパ経済領域(「EEA」)外の国においても存在し、第三者のサービスプロバイダーを使用しています。SAP Concur は、その国際的な事業運営の一環として、お客様の個人データを EEA 外の国に移転する場合があります。当社が EU または EEA 内の国から EEA 外の国に個人データを移転し、それに対して EU 委員会が適切な決定を下していない場合、SAP Concur は EU の標準契約条項を使用して、お客様の個人データを保護するために EEA における水準と同等の水準のデータ保護レベルを確保するよう、契約上データインポーターに義務付けます。かかる標準契約条項の(広告や無関係な情報を取り除いて編集済みの)コピーは、privacy-request@concur.com 宛に依頼を送信して入手することができます。また、データ保護の国際的側面についての欧州委員会からの詳細な情報は、こちらから入手することができます。

B. SAP Concur に米国における特定のプライバシー要件が適用される場合は、下記の規定も適用されます

SAP Concur は、13 歳未満の児童であることが分かった場合は、その個人データを収集しません。  お客様が親または後見人であり、SAP Concur が児童に関する情報を収集したと考える場合は、この個人情報保護方針の記載に従って SAP Concur にご連絡ください。  SAP Concur は、その情報をなるべく速やかに削除するための措置を取ります。 

C. <616>SAP に米国カリフォルニア州における特定のプライバシー要件が適用される場合は、下記の規定も適用されます</616>。

 お客様は次の権利を有します。(i) SAP Concur が収集、使用、またはお客様について開示するお客様の個人データへのアクセスを SAP Concur に要求する、(ii) SAP Concur がお客様に関する個人データを削除することを要求する、(iii) 自身の機微な個人情報の使用や開示をオプトアウトする、(iv) お客様のデータ保護の権利行使に対する非差別的扱い、(v) お客様の個人データへのアクセスを要求する場合において、当該情報が移植可能であり、可能であれば、お客様がその情報を支障なく別の相手に転送できる、容易に使用できる形式によるものとする。

カリフォルニア州消費者プライバシー法(以下「CCPA」)に基づく開示要件に従って、SAP Concur はお客様の個人データを販売または共有しません。当社は、事業活動の過程で個人データを第三者と共有したり、第三者が SAP Concur のさまざまな Web サイトでデータを収集することを許可したりする場合があります。SAP Concur の Web サイトおよびオンラインサービスが 16 歳未満のユーザー向けではないことから、また CCPA の開示要件に従って、SAP Concur は、16 歳未満の未成年者の個人データを販売しません。

データ主体のアクセス要求: 

SAP Concur は世界各地のデータ主体のアクセス要求を受け、SAP Concur が管理者であるすべての有効な要求が適切な期間内に対応されるようにします。CCPA に定められている検証プロセスに従って、SAP Concur は、削除要求についてはより厳格な検証プロセスが必要となり、または機微もしくは貴重とみなされる個人データについては、お客様の個人データの不正なアクセスや削除によってお客様が被り得る被害を最小限に抑える必要があります。SAP Concur がすでに保持している情報以外の追加の情報を SAP Concur がお客様に要求する必要がある場合、SAP Concur はその情報を、お客様が自身のデータ保護の権利を行使できるようにお客様本人を確認する目的で、またはセキュリティおよび不正行為の防止目的にのみ使用します。 

privacy-request@concur.com で SAP Concur に連絡することに加えて、お客様は、Concur Technologies, Inc., 601 108th Avenue NE, Suite 1000, Bellevue, WA 98004, USA, Attention: Privacy Manager まで連絡することにより、自身の権利を行使することもできます。

また、お客様は、委任代理人を指名して、ご自身のデータ保護の権利行使の要求を SAP Concur に提出することもできます。かかる指定業者は、カリフォルニア州に登録されており、お客様の代理として行動する権限をお客様から付与されている証明を提出する必要があります。    

 D. SAP Concur にブラジルの一般データ保護法(「LGPD」)の要件が適用される場合は、下記の規定も適用されます。

SAP は、ブラジルに関するデータ保護責任者を任命しています。当社のデータ保護責任者への書面による問い合わせ、要求、または苦情は、Paulo Nittolo Costa 宛てにお送りください。電子メール:webmaster[@]sap.com、住所:Avenida das Naçóes Unidas 14171 - Marble Tower – 7th Floor - São Paulo-SP, Brazil 04794-000。

E. SAP Concur にマレーシアの個人データ保護法(「PDPA」)の要件が適用される場合、この個人情報保護方針のマレーシア語版を利用できることがあります。

F. <673>SAP Concur にフィリピンの特定のプライバシー要件が適用される場合は、</673>下記の規定も適用されます。

フィリピン国内の個人の場合、お客様は以下の権利を行使することができます。

以下の連絡先に電話または書面で連絡することで SAP に要求を提出できます。電子メール:webmaster[@]sap.com、電話番号:+632-8705-2500、住所:SAP Philippines, Inc., Attn: Data Protection Officer, 27F Nac Tower, Taguig City 1632, Philippines。

フィリピンの居住者と国民には、以下の規定が適用されます。

不正確な、不完全な、期限切れの、虚偽の、非合法に取得した個人データ、またはその不正な使用が原因で損害を被った場合は、データ主体としての自身の権利および自由の違反を考慮して、国家プライバシー委員会または裁判所により最終的に裁定された補償を請求できます。プライバシーの違反または個人データの侵害の被害者であるか、データプライバシー法違反の影響を個人的に受けた場合は、国家プライバシー委員会に苦情を申し立てることができます。

自身の権利の移転お客様の法定相続人および譲受人は、お客様の死亡後、またはお客様が禁治産者となった、または自身の権利を行使できなくなった場合、いつでもお客様の権利を行使することができます。

G. SAP Concur にシンガポールの個人データ保護法(「PDPA」)の要件が適用される場合は、下記の規定も適用されます。

SAP は、シンガポールに関するデータ保護責任者を任命しています。当社のデータ保護責任者への書面による問い合わせ、要求、または苦情は、下記宛てに提出してください。件名:[宛先]Tina Bhatia、DPO (Singapore)、電子メールアドレス:webmaster[@]sap.com、住所:Mapletree Business City, 30 Pasir Panjang Rd, Singapore 117440、電話:+65 6664 6868。

H. SAP Concur に南アフリカにおける 2013 年個人情報保護法(「POPIA」)の要件が適用される場合は、下記の規定も適用されます。

この個人情報保護方針で使用される「個人データ」とは、当該用語が POPIA で定義されている「個人情報」を指します。この個人情報保護方針で使用される「お客様」とは、POPIA にて用いられている自然人または法人を指します。登記上の住所を 1 Woodmead Drive, Woodmead とする Systems Applications Products (Africa Region) Proprietary Limited & Systems Applications Products (South Africa) Proprietary Limited (SAP South Africa) は、南アフリカの 2013 年個人情報保護法(2013 年法律第 4 号)の適用対象であり、POPIA に基づく責任当事者です。お客様は、個人または法人として、SAP South Africa が POPIA に違反してお客様の個人情報を利用したと考える場合、まずは SAP South Africa(webmaster[@]sap.com、電話:011 325 6000、住所:1 Woodmead Drive, Woodmead, Johannesburg South Africa 2148)と懸念の解決を図ることを約束していただきます。

かかるプロセスに満足できない場合、お客様には、次の連絡先詳細を使用して、情報規制機関に苦情を申し立てる権利があります。JD House, 27 Stiemens Street, Braamfontein, Johannesburg, 2001, P.O.Box 31533, Braamfontein, Johannesburg, 2017、電子メール:complaints.IR[@]justice.gov.za、問い合わせ:inforeg[@]justice.gov.za

お客様は、2000 年 Promotion of Access to Information Act 2 (「PAIA」)に基づき、当社が保有するお客様に関する個人情報の詳細を要求することができます。詳細については、SAP PAIA のマニュアルを参照してください。

I. <743>SAP Concur にトルコにおける特定のプライバシー要件が適用される場合は、</743>下記の規定も適用されます。

SAP が、トルコの居住者および国民向けに、この Web サイトおよびその他グローバルに展開する SAP の事業活動を一元的に運営する際に、トルコにおける個人データの保護に関する法律第 6698 号(「LPDP」)の要件に従った方法で個人データを収集している場合、お客様のデータ管理者は次のとおりです。SAP Türkiye Yazilim Üretim ve Ticaret A.Ş、住所:Emaar Square Ofis Kulesi, Libadiye Cd No:82-F D:Kat: 17-18, 34700 Ünalan/Üsküdar/İstanbul、MERSİS No: 744017604300017、電話番号:+90 216 330 03 00。

 J. その他

  中国に固有の規定 が、中華人民共和国の国民に適用されます。

  コロンビアに固有の規定 が、コロンビア共和国の国民に適用されます。