シンガポール
Content
シンガポールのプライバシーポリシー
Contents
個人データの収集、利用および開示
1. 個人データの収集および利用
Merchant Management Solutions PTE. LTD.(「Momos」または「当社」)は、お客様に関する以下の情報を収集、利用および開示し、本ポリシーでは以下、総称して「個人データ」といいます。
1.1 お客様からご提供いただく情報
当社のサービスをご提供するにあたり、お客様ご自身に関する情報のご提供をお願いする場合があります。電子的な方法に限らず、お客様が当社に電話またはメールでご連絡された場合や、お客様が当社に代わってお客様の情報を収集・開示することを許可した第三者(フードデリバリープラットフォームなど)から当社が受領した場合にも、当社はお客様の個人データを収集することがあります。
1.2 お客様が任意でご提供くださる情報には、以下が含まれますが、これらに限りません。
お名前
生年月日
電話番号、メールアドレス、ご住所などの連絡先情報
顧客アンケート、質問票、またはキャンペーンへの回答
支払情報や銀行口座情報などの金融情報
(以下、総称して「個人データ」といいます。)
1.3 個人データの取得元
お客様の個人データは、これまでに、または今後、以下の情報源から取得することがあります。
お客様が提供または提出した情報
第三者(第三者代理人、決済サービス提供者、当社のサービス提供者、または業務提携先など)から提供された情報
販促活動および/またはマーケティング活動を通じて収集された情報
当社がお客様へのサービス提供(契約の有無を問いません)を行う前またはその過程で当社に提出された、その他の書面または口頭による連絡内容や文書
2. お客様の個人データを収集する目的
2.1 当社、または当社に代わって業務を行う第三者のデータ処理者およびサービス提供者は、お客様が当社のサービスを受けられるようにするため、お客様からご提供いただいた個人データを収集、利用および保存することがあります。具体的には、当社は以下の目的でお客様の個人データを収集、利用および保存することがあります。
ご注文や配送の状況をご案内するなど、お客様がご希望された商品・サービスをご提供するため
当社ウェブサイト上でのお取引を安全かつ確実に行うため
商品またはサービスの販売後に、ご意見を伺うためにご連絡するため
当社の商品およびサービスに関連してお客様が直面する可能性のある問題や紛争を解決するため
法令および規制上の義務・要件を遵守するため
会計、リスク管理、コンプライアンスおよび記録管理のため
調査、企画および統計分析を行うため
当社のサービスを評価するためのオンラインアンケートまたはご意見募集を実施する際に、確認目的で個人データを収集するため
3. 個人データの正確性、保管期間および安全管理
3.1 お客様の個人データの正確性は主としてお客様から当社にご提供いただく情報に依拠しますので、個人データに誤りがある場合、または個人データに変更が生じた場合は、可能な限り速やかに当社までご連絡ください。当社のサービスをお客様にご提供するためには、一定種類の個人データが必要であることにご留意ください。正確な個人データをご提供いただけない場合、または削除をご要望いただいた場合、当社はお客様へのサービス提供を継続できなくなる可能性があります。
3.2 当社は、お客様が当社の提供するサービスをご利用になる限り、または適用法令により義務付けられる、若しくは認められる期間、お客様の個人データを保有します。個人データが収集目的に必要でなくなり、法令上または事業上の目的からも保有の必要がなくなった場合には、可能な限り速やかに、お客様の個人データ、少なくとも特定の個人に結び付けられる形式の個人データの保有を終了します。なお、匿名化または集計済みの形式では引き続き保有される場合があります。
3.3 当社は、お客様の個人データを受領した後、適用法令に基づき合理的に実行可能なすべての措置および安全対策を講じ、お客様の個人データが当社および当社のデータ処理者によって、不正または偶発的なアクセス、処理、消去、紛失、若しくは使用から安全に保管・保護されるよう努めます。お客様の個人データは機密として安全に管理され、知る必要のある者に限定して開示されます。当社が第三者のサービス提供者またはデータ処理者にお客様の個人データの取扱いを委託または外部委託する場合、当社は契約その他の手段により、当該事業者がこのプライバシーポリシーを遵守しているか監督します。
3.4 インターネットを通じた情報送信は完全に安全ではありません。当社はお客様の個人データを保護するための安全対策を講じていますが、当社に送信される個人データの安全性を保証することはできません。また、当社または第三者への送信は、お客様ご自身の責任において行われるものとします。
4. 個人データの開示
当社は、以下を含む第三者区分にお客様の個人データを共有する場合があります。
法令により当社が開示を求められる、または義務付けられる相手方。裁判所命令に基づくあらゆる当事者
将来設立されるものを含む、当社の関連会社、関係会社および子会社
当社に代わってお客様の個人データを処理するデータ処理者
該当する場合、当社の事業に関連して関連サービスまたは商品を提供する第三者。たとえば、取引先、業務提携先、および上記の目的を遂行する当社を支援するあらゆる当事者
お客様が情報の公開に同意された場合、当社と共同マーケティング施策に参加する当事者
当社の事業運営に必要な管理、受注処理、支払決済、信用照会、債権回収その他のサービスを提供する代理人、請負業者またはサービス提供者
シンガポール国内外を問わず、当社の資産および/または当社自体の取得、処分、ならびに/または取得若しくは処分の予定に関連して、専門サービス提供者および関係規制当局を含む組織。直接または間接を問いません。
当社との秘密保持契約に拘束される当事者または組織
適用法令に基づき開示義務があると当社が誠実に判断する相手方。これには、政府機関、法定当局、業界規制当局が含まれますが、これらに限りません。
当社の監査人、コンサルタント、会計士、弁護士その他の財務・専門アドバイザー
5. 個人データの移転および共有
5.1 当社が個人情報を共有する第三者は、当社へのサービス提供以外の目的で当該個人情報を利用することが制限されています。当社は、個人情報を共有する第三者に対しても、当社と同等のデータ保護原則が適用されるよう常に確保します。
5.2 当社は、上記の目的に必要と判断する最小限の情報のみを開示し、お客様の個人データの完全性および安全性を確保するために、適切な保護措置をすべて講じることをお約束します。
5.3 お客様の法域外へ移転される個人データ(該当する場合)については、受領者が、随時改正される可能性のある、お客様の法域における適用データ保護法と同等の基準でお客様の個人データを保護することを当社が確保します。また、当社はその点について、お客様の個人データの海外受領者から同様の契約上の誓約を取り付けます。当社は、そのような個人データの移転が本プライバシーポリシーに従って行われ(お客様が別途同意された場合を除きます)、適用法令を遵守することを確保します。お客様の個人データの国際移転についてご懸念がある場合は、本プライバシーポリシーに記載の連絡先までお問い合わせください。
6. 個人データの提供または収集・利用・開示への同意がない場合
6.1 ダイレクトマーケティング目的で収集、利用および開示される個人データを除き、お客様は当社が求める個人データをご提供いただく必要があります。ご同意いただけず、個人データをご提供いただけない場合、以下の影響が生じます。
当社は、ご依頼いただいた情報、通知、サービスおよび/または商品をご提供できなくなります。
当社が主催する各種コンテストまたはキャンペーンへの参加・応募に支障が生じる場合があります。
第三者がお客様へのサービス提供に関して必要な契約を締結できなくなる場合があります。
6.2 ダイレクトマーケティング目的でお客様の個人データを利用することについて同意されるかどうかは、お客様の任意です。
7. お客様の個人データへのアクセス、利用の制限および訂正に関する権利
7.1 当社は、お客様の個人データに関する法的権利を尊重します。以下に、お客様の法的権利と、それらの権利を保護するために当社が講じる措置を記載します。データ保護法はすべて同一ではないため、これらの権利がすべての法域で適用されるわけではありません。
7.2 お客様は、いつでも data@momos.com 宛てにメールで当社のデータ保護責任者へご連絡いただけます。その際、以下を行うことができます。
当社が個人データを保有または利用しているかを確認し、当該データへのアクセスを請求すること
不正確、不完全、または最新でない個人データの訂正を請求すること
お客様の個人データの処理を制限するよう請求すること
ご請求日の1年前までの間に、当社がお客様の個人データをどのように利用または開示したか、またはし得たかに関する情報を請求すること
個人データに関する当社の方針および手続きならびに、当社が収集、利用および開示する個人データの区分について、説明または明示を求めること
以前に付与した同意の全部または一部を撤回し、またはお客様の個人データの削除を請求すること。いずれの場合も、適用される法的制限、契約条件および合理的な期間に従うものとします。ただし、同意以外の別の正当な理由がある場合、当社は引き続きお客様の個人データを処理する権利を有する場合があることにご留意ください。
お客様の権利が当社により侵害されたとお考えの場合、管轄当局に苦情を申し立てること
8. プライバシーポリシーの変更
8.1 当社は、本プライバシーポリシーの全部または一部を随時変更することがあります。変更は、更新後のプライバシーポリシーを当社が掲載した時点で直ちに有効となります。本プライバシーポリシーに重要な変更を加える場合は、当社ウェブサイトまたはメールにてお知らせします。
8.2 当社が収集する個人データの種類、お客様の個人データを収集する目的、お客様の個人データを共有する相手先、またはお客様の個人データの利用方法を変更する場合、当社は当該変更について事前にお知らせし、適用法令により必要な場合はお客様の同意をお願いすることがあります。
本プライバシーポリシーの主題および内容に関するご要望、ご質問、ご懸念がございましたら、data@momos.com までご連絡ください。
個人データ共有契約(DSA)
背景
開示当事者は、本データ共有契約(以下「DSA」といいます。)に定める条件に従って、シンガポールで受領した個人データを移転または共有することに同意しており、Merchant Management Solutionsとの間で契約を締結しています。
各当事者は、自己に開示された個人データを、厳格に本DSAの条件に従って利用、収集、保管、処理または開示することを意図しています。
1. 合意事項
1. 定義および解釈
本DSAにおいて、文脈上別段の定めがない限り、以下の用語は次の意味を有します。
「共有個人データ」:
開示当事者が受領当事者に開示する個人データ、または受領当事者が開示当事者に代わって処理する個人データを意味し、氏名、識別番号、位置情報、オンライン識別子、または当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的若しくは社会的アイデンティティに固有の一つ以上の要素を含みます。
「PDPA」:
個人についての、真偽を問わない情報であって、以下のいずれかにより識別可能なものを意味します。
当該情報のみから、または
当該情報と、受領当事者が保有している、またはアクセス可能と見込まれるその他の情報から。
「個人データ侵害」:
送信、保管その他の方法で処理された共有個人データについて、偶発的または違法な破壊、紛失、改変、無権限開示、またはアクセスにつながるセキュリティ侵害を意味します。
「Processing、processes および process」:
個人データの利用を伴うあらゆる活動、またはPDPAにおいて processing、processes 若しくは process が別途定義される場合はその定義によるものを意味します。これには、自動手段によるか否かを問わず、個人データまたは個人データの集合に対して行われる収集、記録、整理、構造化、保管、修正または変更、検索、参照、利用、送信による開示、配布、その他の方法による利用可能化、整合化または結合、制限、消去、破棄などの一切の操作または一連の操作が含まれます。処理には、第三者への個人データの移転も含まれます。
2. 個人データの取扱いおよび保護
2.1 開示当事者および受領当事者は、PDPA上、開示当事者がデータ管理者/データ収集者であり、受領当事者がデータ処理者/データ媒介者であることを確認します。
2.2 受領当事者は、自己の費用負担で、PDPAに基づくすべての義務を常時遵守しなければなりません。また、共有個人データが処理のために移転される可能性のある再委託先、子会社または関連会社についても、PDPA遵守に必要なすべての措置が講じられることを確実にしなければなりません。
2.3 受領当事者は、開示当事者の事前の書面による同意なく、共有個人データをシンガポール国外へ移転してはなりません。開示当事者が同意した場合、受領当事者は、シンガポール国外へ移転される共有個人データがPDPAにおける基準と同等の保護を受けるよう確保することを開示当事者に対してここに約束し、また、共有個人データの提供を受ける海外の第三者からも同様の書面による確約を取得しなければなりません。
2.4 受領当事者は、すべての共有個人データの機密性を保持し、共有個人データを以下の場合にのみ処理、利用または開示します。
https://www.momos.com/pdpa-privacy-policy-singapore-copy に掲載されているプライバシーポリシー(以下「Privacy Policy」といいます。)に定める目的のために厳格に行う場合
開示当事者の事前の書面による同意に従う場合
個人から当該共有個人データの処理、利用または開示について同意を取得した目的に従う場合
PDPAに基づく例外または免除が適用される範囲である場合
法令または裁判所命令により要求される場合。ただし、受領当事者は、自己の費用負担でこれに従う前に、実務上可能な限り速やかに開示当事者へ通知しなければなりません。
2.5 受領当事者は、自らの管理下または占有下にある共有個人データについて、その性質および機微性を考慮のうえ、合理的なセキュリティ対策(必要に応じて、物理的、管理的、手続的および情報通信技術上の措置を含みます。)を講じることにより、共有個人データへの無権限または偶発的なアクセス、収集、利用、開示、複製、修正、処分または破棄、その他これらに類するリスクを防止しなければなりません。
2.6 本DSAにおいて、「合理的なセキュリティ対策」には、物理的アクセス制御、システムアクセス制御、データアクセス制御、データ送信制御、データ入力制御、データ仮名化または暗号化、データバックアップ、およびデータ分離が含まれますが、これらに限られません。
2.7 受領当事者は、共有個人データへのアクセスを、知る必要がある者に限定して、権限のある担当者のみに許可します。
2.8 受領当事者は、開示当事者からの書面による要求を受けた場合、実務上可能な限り速やかに、自己が保有または管理する共有個人データへのアクセスを開示当事者に提供しなければなりません。
2.9 開示当事者が受領当事者に共有個人データを提供する場合、開示当事者は、受領当事者に提供する前に、当該共有個人データが正確かつ完全であることを確保するよう合理的な努力を尽くすものとします。受領当事者は、自己の保有または管理下にある共有個人データが正確かつ完全な状態に保たれるよう、またはそのように維持されるよう、十分な措置を講じなければなりません。いずれの場合も、受領当事者は、開示当事者からの書面による要求を受けた後、実務上可能な限り速やかに、共有個人データの誤りを訂正するための措置を講じなければなりません。
2.10 受領当事者は、本DSAの目的を達成するため、またはプライバシーポリシーに記載された目的のために必要な期間を超えて、共有個人データ(共有個人データを含む文書または記録を電子的か否かを問わず含みます。)を保持してはなりません。
2.11 受領当事者は、開示当事者から要求があった場合、
すべての共有個人データを開示当事者に返還するか、または
自己の保有するすべての共有個人データを削除するものとします。
そのうえで、すべての共有個人データを返還または削除した後、もはや共有個人データを一切保有していない旨を書面で開示当事者に確認しなければなりません。該当する場合、受領当事者は、本DSAの目的のために共有個人データを開示したすべての第三者に対しても、当該共有個人データを受領当事者に返還または削除するよう指示し、同様の証明を受領当事者に提出させなければなりません。
2.12 開示当事者は共有個人データの管理権限を保持し、PDPAに基づく自己の遵守義務について引き続き責任を負います。これには、自己が処理する情報についてのサイバー情報セキュリティの確保、必要な通知の提供、ならびに受領当事者に指示する共有個人データの収集、利用、開示、移転および処理の範囲と目的に関する必要な同意の取得が含まれます。
3. 侵害通知および補償
3.1 受領当事者は、個人データ侵害または第2条に定める義務のいずれかに対する違反が発生したと知った場合、またはそのおそれがあると判断する合理的な理由を有する場合、直ちに開示当事者へ通知しなければなりません。その後、受領当事者は開示当事者に対し、以下の情報を提供します。-
個人データ侵害または第2条に基づく受領当事者の義務違反の性質の説明(対象となる個人データの種類、おおよその件数、および分類を含みます。)
想定される結果
想定される悪影響に対処または軽減するために講じた、または講じる予定の措置の説明
3.2 受領当事者は、開示当事者による当該事案の対応に関し、合理的に協力しなければなりません。これには、以下が含まれます。
いかなる調査への協力
影響を受けた施設および運用への物理的アクセスを開示当事者に提供すること
開示当事者の従業員、元従業員、その他当該事案に関与した者への聞き取りを円滑に進めること
PDPAに基づき必要とされる、または開示当事者が合理的に必要とする、すべての関連記録、ログ、ファイル、データ報告その他の資料を利用可能にすること
個人データ侵害または違法な個人データ処理の結果生じた影響を軽減し、損害を最小化するために、合理的かつ迅速な措置を講じること
3.3 受領当事者は、法令により要求される場合を除き、開示当事者の事前の書面による同意を取得することなく、いかなる第三者にも個人データ侵害について通知してはなりません。
3.4 受領当事者は、開示当事者が以下を単独で決定する権利を有することに同意します。
法令または規制上の義務に従い、または開示当事者の裁量により、影響を受ける個人、監督当局、規制当局、法執行機関その他に個人データ侵害の通知を行うかどうか、ならびに当該通知の内容および送付方法
影響を受ける個人に対して、いかなる種類の救済措置を提供するかどうかを含め、その内容および範囲
3.5 受領当事者は、以下に関して生じる一切の訴訟、請求、要求、損失、損害、法定制裁金、費用およびコスト(償還基準の弁護士費用を含みます。)について、開示当事者およびその役員、従業員、代理人を補償するものとします。
受領当事者に起因する個人データ侵害
受領当事者による第2条に基づく義務の違反
受領当事者の行為、不作為または過失により、開示当事者がPDPAに違反することとなった場合
3.6 開示当事者は、以下に関して生じる一切の訴訟、請求、要求、損失、損害、法定制裁金、費用およびコスト(償還基準の弁護士費用を含みます。)について、受領当事者およびその役員、従業員、代理人を補償するものとします。
開示当事者に起因する個人データ侵害
開示当事者による第2条に基づく義務の違反
開示当事者の行為、不作為または過失により、受領当事者がPDPAに違反することとなった場合
4. 受領当事者の従業員
4.1 受領当事者は、別紙Aに記載されたすべての従業員について、以下を確保します。
共有個人データの機密性について説明を受け、共有個人データに関する秘密保持義務および利用制限に拘束されること
共有個人データの取扱いに関するPDPA上の受領当事者の義務、およびそれが各自の具体的な職務にどのように適用されるかについて理解し、研修を受けていること
4.2 受領当事者は、共有個人データにアクセスするすべての従業員について、その信頼性、誠実性および信用性を確保するための合理的な措置を講じる、または講じるものとします。
5. 契約期間および終了
5.1 本DSAは、以下のいずれかの間、完全な効力を有します。
プライバシーポリシーが有効であること、または
受領当事者がその保有または管理下に共有個人データを保持していること(以下「契約期間」といいます。)。
5.2 PDPAまたはこれに類する法令の変更により、いずれかの当事者が本DSAに基づく義務の全部または一部を履行できなくなった場合、当該処理が新しい要件に適合するまで、当事者は共有個人データの処理を停止します。変更後の法令に適合するよう共有個人データの処理を是正できない場合、各当事者は、他のすべての当事者への書面通知により本DSAを終了させることができます。
5.3 本DSAの終了または満了時、受領当事者は、本DSAに基づき自己が保有するすべての共有個人データを返還、削除または破棄しなければなりません。各当事者は、終了または満了日までに未履行のすべての義務を履行することを約束します。
6. 監査
6.1 受領当事者は少なくとも年1回、本DSAに基づく義務を履行するために使用されるすべての施設およびシステムについて、個人データ処理の実務ならびに情報技術および情報セキュリティ管理の現地監査を実施します。これには、認知された業界ベストプラクティスに基づき、認定された第三者監査会社が実施するネットワークレベルの脆弱性評価を取得することが含まれますが、これに限られません。
6.2 開示当事者から書面による要求があった場合、受領当事者は、関連するすべての監査報告書を開示当事者が確認できるよう提供します。
6.3 受領当事者は、監査報告書で指摘された例外事項について、指摘された例外の重大性を踏まえた合理的な期間内に、速やかに対処しなければなりません。
7. 保証
7.1 受領当事者は、以下を保証し、表明します。
その従業員、再委託先、代理人、その他受領当事者に代わって共有個人データにアクセスする者は、信頼でき誠実であり、個人データの取扱いおよび保護に関するPDPAその他類似法令について必要な研修を受けていること。
受領当事者およびその代理で業務を行う者は、シンガポールまたはその他関連法域におけるPDPAその他の法律、法令、規則、命令、基準およびこれに類する定めに従い、共有個人データを処理すること。
現在の技術環境および導入コストを踏まえ、共有個人データの無権限または違法な処理、ならびに共有個人データの偶発的な紛失、破壊または損傷を防止するため、適切な技術的および組織的措置を講じ、以下に見合う適切なセキュリティレベルを確保すること。
(i) 当該無権限または違法な処理、あるいは偶発的な紛失、破壊または損傷によって生じ得る損害
(ii) 保護される共有個人データの性質
(iii) 本DSAに基づき要求される合理的なセキュリティ対策を含む、適用されるすべての法令および情報・セキュリティ方針への適合
7.2 開示当事者は、受領当事者に移転される共有個人データが適法に収集されており、プライバシーポリシーに記載された目的のために受領当事者へ移転する権限が付与されていること、また、当該個人データが、当事者間で適用される方法および開示当事者が特に指示した目的のための受領当事者による共有個人データの想定利用に従い、PDPAに基づき受領当事者へ移転することが認められていることを保証し、表明します。
8. 第三者の権利
8.1 個人データ保護法2012に定める場合を除き、本DSAの当事者ではない個人または法人は、契約(第三者の権利)法(Cap. 53B)その他これと同等の法令、立法上の制定、指令、規則、またはその他関連法令に基づき、本DSAのいかなる条項も執行する権利を有しません。
9. 変更
9.1 本DSAの変更、修正または解除は、英語で作成された書面により、かつすべての当事者の署名がある場合を除き、いずれの当事者も拘束しません。
10. 準拠法および管轄
10.1 本DSAは、シンガポール法に準拠し、これに従って解釈されるものとします。
10.2 各当事者は、シンガポールの裁判所の専属管轄に服することに合意します。
本契約は、その冒頭に記載された日付に締結されました。
![](data:image/svg+xml,<svg display="block" role="presentation" viewBox="0 0 183 100" xmlns="http://www.w3.org/2000/svg"><path d="M 152.452 37.349 C 136.442 20.842 115.98 6.325 93.049 1.892 C 86.081 0.534 76.773 0.163 71.407 5.736 C 64.565 13.035 70.499 30.487 81.481 29.6 C 87.433 29.072 89.698 22.162 87.042 17.439 C 85.631 14.617 83.027 12.629 80.168 11.079 C 56.02 -2.764 23.38 -4.862 0 11.844" fill="transparent" height="37.34868528749147px" id="rGpqSnR8J" stroke-dasharray="" stroke-linecap="round" stroke-linejoin="round" stroke-width="4.97" stroke="rgb(0, 0, 0)" transform="translate(3.219 19.212)" width="152.45224485148515px"/><path d="M 0 11.619 C 7.071 11.39 33.491 21.738 40.35 21.268 C 38.499 18.19 37.116 14.915 35.507 11.625 C 33.7 7.867 32.587 3.926 31.702 0" fill="transparent" height="21.28391189647101px" id="I9fuJaf7q" stroke-dasharray="" stroke-linecap="round" stroke-linejoin="round" stroke-width="4.97" stroke="rgb(0, 0, 0)" transform="translate(139.727 55.754)" width="40.34950693069311px"/></svg>)
