06/04/2026 個人データ保護方針
(適用対象:顧客・取引先・採用応募者)
Cube System Vietnam Co., Ltd.(以下「当社」という)は、当社と関わりを有するすべての個人の個人データを保護することを約束する。本方針は、すべての個人データの取扱いが透明性をもって行われ、最高水準の法令を遵守することを目的として定めるものである。
1. 目的および適用範囲
本方針は、2025年個人データ保護法(法律番号91/2025/QH15、2026年1月1日施行)およびその他の関連法令を遵守するため、当社が個人データを収集、処理、保管、利用および保護する方法を定めるものである。当社は、以下を含むがこれらに限定されないすべての関係者とのやり取りにおいて、データ主体の正当な権利および利益を保護することを約束する。
– 採用応募者:当社の採用プロセスに参加する個人
– 顧客:当社の製品またはサービスを利用する組織の代表者または連絡担当者
– 取引先:当社と業務提携関係にある個人、供給業者または第三者
– 利用者:当社ウェブサイトへアクセスし、または当社のオンラインサービスを利用する個人
– その他の個人:当社の製品提供およびサービス運営の過程において、権利および義務が発生する関係者
本方針は公開されるものであり、当社が事業活動において発生するすべての個人データについて、個人データ管理者、個人データ処理者または個人データ管理・処理者としての役割をどのように果たすかを、データ主体が理解するための法的根拠となるものである。
2. 個人データの定義および分類
当社が収集および処理する個人データは、データ主体との関係および利用目的に応じて異なる。これらのデータは、電子的形式またはこれに類する形式で存在し、特定の個人を識別し得る情報を含み、以下のとおり分類される。
2.1. 基本個人データ
行政上の手続きおよび通常の取引に用いられる、直接的または間接的に個人を識別できる情報を含む。
– 識別情報:氏名、生年月日、性別、国籍、顔写真
– 連絡先情報:電話番号、電子メールアドレス、居住地住所、SNS情報
– 職務経歴情報(採用応募者・取引先の場合):学歴、職務経験、学位、資格および履歴書(CV)に含まれる情報
– デジタル上の利用情報:IPアドレス、Cookie、端末識別子、ブラウザ種別、当社プラットフォームにおける利用ログ
2.2. センシティブ個人データ
高度なプライバシー性を有し、不正に取り扱われた場合に個人の権利および利益に重大な影響を及ぼすおそれのあるデータをいう。当社は、必要な場合に限り、より厳格な安全管理措置を講じた上で、これらのデータを処理する。
– 財務情報:収入額、銀行口座情報、税務情報(個人取引先または契約締結時に該当する場合)
– 健康情報:業務要件に基づく採用応募者の入社前健康診断結果
– 法的情報:プロジェクトまたは顧客の特別要件に基づく犯罪経歴等の情報
– 生体認証・位置情報:当社のセキュリティシステムまたはアプリケーションを通じて取得される個人識別情報または位置情報(該当する場合)
– オンライン活動情報:ウェブサイト/アプリ利用履歴およびログ
2.3. その他の関連データ
上記の分類に該当しないものの、データ主体が当社のサービスを利用し、または当社と業務を行う過程で生成または収集され、個人の識別につながり得るすべての情報。
3. データ処理の目的および法的根拠
3.1. データ処理の法的根拠
会社は、以下のいずれか一つ以上の法的根拠が存在する場合に限り、個人データを処理する。
– 同意(Consent):データ主体が、特定の目的のために会社が個人データを処理することに自発的に同意する場合。
– 契約の履行:データ主体が当事者となる契約の締結準備、または契約に基づく権利義務を履行するために必要な場合。
– 法的義務の履行:ベトナムの現行法令(税務、労働、サイバーセキュリティ等)を遵守するために必要な場合。
– 正当な利益:個人の基本的権利を不当に侵害しない範囲で、システムの安全確保、不正防止および会社の事業活動の安全性を確保するために必要な場合。
3.2. データ処理目的の一覧
| No. | 処理目的の区分 | 具体的な処理内容 | 主な法的根拠 |
| 1 | 人事・採用 | 履歴書(CV)の受領、能力評価、面接連絡、リファレンスチェックを行う 同意および契約締結の準備 | 同意および契約締結の準備 |
| 2 | サービス / 製品の提供 | プロジェクトに関する連絡、ソースコードの引き渡し、ユーザーアカウント管理、技術サポー(オフショア/プロダクト)を行う | 契約の履行 |
| 3 | 取引先管理 | 取引契約の締結、支払義務の履行、サービス内容の照合・精算を行う | 契約の履行および法的義務 |
| 4 | セキュリティおよび安全管理 | システムアクセスの監視(ログ管理)、オフィス内防犯カメラの運用を行う | 正当な利益およびサイバーセキュリティ |
| 5 | 連絡およびマーケティング | サービス更新情報の通知、挨拶状の送付、満足度調査を実施する | 同意 |
3.3. 同意(Consent)の取得および管理
データ主体の自己決定権を尊重するため、会社は以下の方法により同意を取得・管理する。
– 形式:同意は、書面、ウェブサイト上のチェック操作、またはその他証明可能な方法により、明確かつ具体的に示される。
– 範囲:同意は、特定された個人データ処理の目的に限定される。会社が当該処理目的を変更する場合、事前にデータ主体へ通知し、改めて同意を取得する。
– 同意の撤回権:データ主体は、本方針に定める連絡手段を通じて、いつでも同意を撤回する権利を有する。
– 撤回の影響:同意の撤回は、撤回前に適法に実施された個人データ処理の有効性に影響を及ぼさない。ただし、同意の撤回により、会社がデータ主体に対して提供するサービスの全部または一部を継続できなくなる場合がある。
3.4. 必要性および処理範囲に関する原則
会社は、目的適合性およびデータ最小化の原則を厳格に遵守し、個人データを取り扱うものとする。
– 必要性の原則:会社は、第3.2項に定める目的を達成するために真に必要な個人データ項目のみを収集および処理する。当該目的に直接関連しない情報の提供を求めることは行わないものとする。
– 処理範囲の限定:個人データは、あらかじめデータ主体に通知した範囲内の業務に限り処理されるものとする。会社は、法令に別段の定めがある場合を除き、追加の通知および同意を得ることなく、処理範囲を一方的に拡大しない。
– 最小化原則:収集する個人データは、必要最小限の範囲に限定されるものとする。例えば、面接連絡のみを目的とする場合、当該段階において、採用応募者に対し銀行口座情報や詳細な健康情報の提供を求めない。
– 新たな目的の管理:公表済みの目的以外に新たな処理目的が発生した場合、会社は事前にデータ主体へ通知し、適切な法的根拠または確認された同意を取得した後にのみ、当該個人データの処理を行う。
3.5. 会社が顧客に提供するシステム上のデータに関する取扱い
会社が顧客に対してプラットフォームまたはソフトウェアシステムを提供し、顧客の指示に基づき個人データを処理する場合(個人データ処理者としての立場)には、以下のとおりとする。
– 顧客の責任:顧客は、当該個人データをシステムへ登録する前に、データ主体(顧客の従業員または利用者)から、適法かつ有効な法的根拠および必要な同意を取得していることを保証する責任を負う。
– 会社の処理範囲:会社は、サービス提供契約に定められた範囲内においてのみ、システムの安定運用およびセキュリティ確保を目的として個人データを処理する。会社は、顧客の指示を超えて、当該個人データをいかなる目的にも利用しないものとする。
4. 個人データの処理活動
会社は、個人データのライフサイクル全体を通じて、完全性および情報セキュリティを確保するため、以下のとおり一連の統合的な処理活動を実施するものとする。
4.1. 収集および記録:
個人データは、データ主体から直接(申請書類、各種フォーム、ウェブサイト等)取得するほか、データ主体の同意を得た適法な第三者の情報源から収集する。すべてのデータ記録行為は、透明性を確保したうえで実施し、システム上にログとして保存する。
4.2. 分類および保管:
収集後の個人データは、その性質に応じて(基本個人データまたはセンシティブ個人データ)分類し、適切な保管方法を適用する。会社は、安全な保存インフラを利用し、バックアップ体制および多層的なセキュリティ対策により個人データを保護する。
4.3. 修正および更新:
会社は、データ主体からの正当な修正要請を受けた場合、または当該個人データが現状と一致していないと合理的に判断される場合には、速やかに修正および更新を行い、データの正確性を維持する。
4.4. 伝送および共有:
個人データの共有は、権限を有する公的機関または業務上必要な第三者(インフラ提供事業者、プロジェクト取引先等)に限り、書面による秘密保持契約を締結したうえで、第3条に定める目的の範囲内においてのみ実施する。
4.5. 国外へのデータ移転:
オフショア開発プロジェクトの運営またはグループ会社への報告を目的として、会社は個人データを国外(主として日本)へ移転する場合がある。当該移転は、会社が事前に影響評価を実施し、ベトナムの関連法令に従った適切なデータ保護措置を講じた場合に限り行うものとする。
4.6. 削除および消去:
個人データは、以下のいずれかに該当する場合、安全かつ復元不能な方法により削除または消去するものとする。
– 処理目的が達成された場合
– 法令または契約に基づく保存期間が満了した場合
– データ主体が同意を撤回し、かつ当該削除が会社の他の法的義務に抵触しない場合
5. データ主体の権利および義務
5.1. データ主体の権利
法令に別段の定めがある場合を除き、データ主体は、自身の個人データに関して以下の権利を有するものとする。
– 個人データの処理活動について知る権利;
– 個人データの処理に対して同意または不同意を示す権利、並びに処理のために付与した同意を撤回するよう要求する権利;
– 個人データを閲覧し、修正する、または修正を要求する権利;
– 個人データの提供、削除、処理の制限を要求する権利、並びに個人データの処理に反対する要求を行う権利;
– 法律の規定に従って、苦情申立て、告発、訴訟、損害賠償を請求する権利;
– 権限を有する機関、または個人データの処理に関係する機関・組織・個人に対し、法律の規定に基づき自らの個人データを保護するための措置を実施するよう要求する権利。
5.2. データ主体の義務
自身の権利およびシステム全体の安全性を確保するため、データ主体は以下の義務を負うものとする。
– 法令の遵守:個人データ保護に関する法令を遵守し、違反行為の防止に協力する。
– 情報提供の正確性:個人データの処理に同意する場合、正確かつ完全な情報を提供する。
– 他者の権利の尊重:会社のサービス利用にあたり、他者の個人データを侵害しない。
– アカウントの保護:アカウント、パスワード、OTP等の認証情報を自己の責任において管理し、事故または不正利用を発見した場合には、速やかに会社へ通知する。
5.3. 権利行使の方法および対応期限
– データ主体は、第11条に定める連絡先を通じて、権利行使の申請を行うものとする。
– 一次回答期限: データ主体から有効な要求を受領してから02営業日以内に、当社は要求の受領確認、要求の有効性、および処理計画/案の予定について回答する。
– 完了期限: 要求内容(データの抽出、情報の訂正、処理制限または削除など)を実行するための技術的・管理的措置の展開、およびデータ主体への最終結果の通知は、10日から15日以内に完了する。
(注記: 複雑な要求または大量のデータにより処理に時間を要する場合、当社は実施期間の延長を通知するが、法律で定められた最大期限を超えることはない。)
– 当社は、当局に対する説明責任を果たすため、要求の受付から処理までの全過程のログを記録することを約束する。
5.4. 権利行使の制限または拒否の場合
会社は、以下のいずれかに該当する場合、データ主体の申請の全部または一部の実施を拒否することができるものとする
– 当該申請の実施が法令に違反する場合
– 個人データが法令に基づき、権限を有する公的機関により処理されている場合
– 個人データの削除または修正が、他者の生命、健康、財産または合法的な権利・利益に重大な影響を及ぼすおそれがある場合
– データ主体が本人確認に関する規定を適切に履行しない場合
6. 個人データの保存期間および保存原則
6.1. 収集および保存に関する一般原則
会社は、すべての個人データについて、「目的制限」の原則および保存時のセキュリティ確保を厳格に遵守するものとする。
– 目的との関連性:個人データは、第3条に定める明確な目的(採用、サービス提供、契約管理等)のために真に必要な場合にのみ収集され、当該目的を達成するために合理的に必要な期間に限り保存されるものとする。
– 保存場所:個人データは、安全基準を満たし、ベトナムのデータ保存に関する法令を遵守したサーバーまたはクラウドシステム上に保存されるものとする。
– 法令遵守: いかなる場合においても、保存期間は、各データ種別についてベトナム法令により定められた最低保存期間を下回らないものとする。
6.2. 保存期間の詳細
データ主体からの適法な早期削除要請がない限り、個人データの保存期間は以下のとおりとする。
採用応募者データの場合:
– 採用された採用応募者:当該データは、人事・労務記録に関する規定に従い保存する。
– 不採用の採用応募者:採用選考期間の終了または採用応募者からの削除要求があった時点から20日以内に安全に削除/廃棄される。ただし、採用応募者が「タレントプール」への保存について同意した場合には、将来の採用機会の案内を目的として、合意された期間、当該データを保存する。
業務関連データ(顧客/利用者)の場合:
– 会社が製品またはサービスを提供する期間、または第3条に定める処理目的が達成されるまで保存する。
ウェブサイト利用者データ(クッキー/ログ)の場合:
– セッション維持またはシステムセキュリティ確保に必要な期間(通常、システム設定により3か月から1年程度)保存し、その後、自動的に上書きまたは削除する。
法的義務の履行に関連するデータ(契約・サービス終了後)の場合:
– 会社は、契約またはサービス終了後も、以下の法令遵守目的のために個人データを保存するものとする。
会計・税務データ:
– 会計法および税務管理に関する法令に定められた期間(税務当局による監査、検査および確定手続の完了までの期間を含む)保存する。
労務関連データ:
– 労働法および社会保険関連法令に従い保存する。
法的紛争に関する場合:
– 紛争または苦情(該当する場合)が最終的に解決されるまで、または法令に基づく出訴期限が満了するまで保存する。
その他の場合:
– 権限を有する公的機関からの書面による要請、または捜査・安全確保の目的に必要な場合、当該要請に従い保存する。
6.3. 保存期間満了後の対応
上記保存期間が満了した場合、またはデータ主体が同意を撤回した場合(タレントプール、マーケティング等、同意に基づき保存されるデータに限る)、もしくは処理目的が達成され、かつ法令上の追加保存義務がない場合、会社は以下の措置を講じるものとする。
– 完全削除:電子的保存システムから個人データを削除し、バックアップを含め、安全な手順に従い完全に消去する。
– 書面資料の廃棄:紙媒体の記録については、シュレッダー等により適切に廃棄する。
– 匿名化処理(Anonymization):統計分析または社内報告の目的でデータを保持する必要がある場合には、個人を特定できないよう、暗号化または匿名化を実施する。
7. 個人データの共有および移転
7.1. 第三者への個人データの共有
会社は、違法な商業目的のために、いかなる第三者に対しても個人データを販売、交換または提供しないものとする。ただし、第3条に定める目的(サービス提供、支払処理、プロジェクト遂行等)を達成するため、以下の対象に対して個人データを共有する場合がある。
サービス提供取引先(ベンダー/下請業者):クラウド/ホスティング等のITインフラ提供事業者、セキュリティサービス事業者、法務・監査コンサルタント、またはプロジェクト遂行を支援する下請業者。
金融機関・銀行:契約に基づく支払処理、報酬支払、またはデータ主体の要請に基づく金融取引を実施するため。
同一グループ会社(Cube System Group)
– 管理目的:内部管理、レポーティングのためのデータ共有。
取引先/顧客としての役割:オフショア開発、製品開発、ビジネス連携プロジェクトの遂行に必要なデータ共有。
公的機関:税務、労務、安全保障等に関する法令上の義務を履行するため、または適法な書面による要請がある場合。
7.2. 共有時におけるセキュリティ原則
会社は、データ受領者の種類に応じて、以下のとおり適切な保護措置を講じるものとする。
– サービス提供取引先(ベンダー)に対して:会社は、秘密保持契約またはデータ処理契約を締結し、第三者が会社の指示の範囲内でのみデータを処理し、同等のセキュリティ対策を講じることを義務付ける。
– 銀行/公的機関に対して:当該分野の法令および当該機関の規定に従い、データの正確性および送信時の安全性を確保した上で共有を行う。
7.3. 個人データの国外移転
サービス提供またはグローバル管理システムの運用に伴い、個人データは日本を含む海外のサーバーまたは取引先に移転される場合がある。会社は、以下を遵守するものとする。
– 目的の明確化:データ移転は、契約履行、事業運営の継続、またはデータ主体の要請に基づく場合に限り実施する。
– 法令遵守:会社は、法律に従い「個人データの国外移転影響評価一式書類」の作成および当局への報告手続きを完全に履行するとともに、データ受領者が適切な保護措置を講じていることを保証する。
8.データセキュリティおよび保全措置
8.1. セキュリティの確約
当社はデータの重要性を認識しており、不正アクセス、損失、破壊、漏洩、または意図しない開示から個人データを保護するため、企業規模および法令の規定に適した情報セキュリティ基準を適用することを約束する。
8.2. 技術的および組織的措置
当社は以下を含む多層的なセキュリティシステムを展開している。
技術的措置:
– データ暗号化: 通信データの暗号化(SSL/TLS)および重要な保存データの暗号化を適用。
– サイバーセキュリティ: 外部からの攻撃を防ぐため、ファイアウォール、侵入検知ソフトウェア、および厳格なシステムアクセス制御(ログ)を展開。
– アクセスの制限: 個人データへのアクセス権は、業務遂行のためにそのデータを直接必要とする、権限を持つ限られた従業員にのみ付与される(「Need-to-know」の原則)。
– 安全な削除: 保存期限が切れた場合、復元不可能な状態でデータを永久に削除するために専用ツールを使用。
組織的措置:
– トレーニングとプロセス: 従業員がセキュリティ原則を理解し遵守するよう、内部規定の維持と定期的なトレーニングを実施。
– 責任の拘束: 第三者(サービスプロバイダー、取引先)に対し、データを受け取る前に書面による秘密保持誓約書への署名を要求。
8.3. 予期せぬ結果および損害
当社は常に最善の保護措置を講じているが、サイバースペースには常に潜在的なリスクが存在する。データ主体は、以下の(確率は低いものの)予期せぬ結果が発生する可能性があることを理解する必要がある。
– 客観的な技術的インシデント: ハードウェアの故障、物理ストレージの破損、または予期せぬソフトウェアエラーによるデータ損失。
– 未公表の脆弱性: 世界的なセキュリティ企業が修正パッチをまだ更新していない、新たなセキュリティ脆弱性(ゼロデイ)を悪用した攻撃。
– 通信リスク: ユーザーのデバイスまたはインターネットネットワークが安全でない場合、送信中にデータが漏洩する可能性がある。
8.4. 責任の制限(免責)
公平性を確保するため、当社は以下の原因に起因するデータの損失、漏洩、または損害について法的責任を免除される。
不可抗力:
– 災、火災、広域停電、国家光ファイバーの事故、または標準的な技術的防御能力を超える大規模なサイバー攻撃(大規模なDDoS攻撃、未公表のゼロデイ脆弱性の悪用など)、その他当社の制御を超える事象。
データ主体の過失:
– 主体がアカウント、パスワード、またはOTPコードを他者と勝手に共有した場合。
– 主体が悪意のあるリンク(フィッシング)にアクセスしたり、マルウェアに感染したデバイスを使用して当社のシステムにログインしたりした場合。
– 主体が誤った連絡先情報を提供し、データ/通知が誤った受信者に送信された場合。
独立した第三者:
– 電気通信サービスプロバイダー、銀行、またはデータ主体が当社との接続に使用する第三者プラットフォームの過失により発生したインシデント(これらの当事者が当社の直接管理下にある下請業者である場合を除く)。
9. 違反処理およびインシデント通知
個人データの漏洩、損失、またはセキュリティ侵害のインシデントを発見または疑われる場合、当社は以下のステップで緊急対応プロセスを発動することを約束する。
9.1. 阻止および復旧
インシデントを発見次第、当社は直ちに以下の技術的措置を講じる。
– 侵入行為の阻止、影響を受けたシステムの隔離。
– データ主体へのリスクを最小限に抑えるため、損害の程度を評価し、早急に復旧措置、データ回復を実施。データ主体へのリスクを最小限に抑えるため、損害の程度を評価し、早急に復旧措置、データ回復を実施。
9.2. 当局への通知
当社は、インシデント発見から72時間以内に、個人データ保護専門機関(公安省/サイバーセキュリティ局)へ個人データ侵害の通知を行う。ただし、インシデントが個人の権利および利益にリスクをもたらさないと判断された場合を除く。不可抗力により72時間以内に報告できない場合、当社は遅延理由を添えて当局へ報告書を提出する。
9.3. データ主体への通知
インシデントがデータ主体の正当な権利および利益に高いリスクをもたらす恐れがある場合(銀行口座情報、パスワード、センシティブデータの漏洩など)、当社は関係する個人に直接通知する。通知内容には以下が含まれる。
– インシデントの概要。
– 影響を受けたデータの種類。
– データ主体が自己防衛するために推奨される措置(パスワード変更、カードロック等)。
10. 顧客/取引先(組織)の確約および責任
契約の履行またはサービス利用のために第三者(従業員、顧客、エンドユーザー等)の個人データを当社に提供する組織・企業である顧客、取引先について、貴社は以下を確約するものとする。
10.1. データ提供権限に関する確約
顧客/取引先は、当社へ移転するすべての個人データが適法であることを保証する。顧客/取引先は、当社がデータを処理するために提供することについて、個人データ保護法の規定に基づく十分かつ有効な同意(Consent)またはその他の法的根拠を既に有していることを確約する。
10.2. 更新責任
顧客/取引先は、提供するデータの正確性を保証し、元のデータ主体から変更、修正、または削除の要求があった場合、直ちに書面にて当社に通知する責任を負う。
10.3. サービス制限の認識
顧客/取引先は、不可欠な情報に関する同意の撤回またはデータ削除要求により、当社がサービス、技術機能の一部または全部の提供、もしくは契約の履行を継続できなくなる可能性があることを理解し、同意する。この場合、当社はサービスの中断または発生した損害について責任を負わない。
10.4. 当社に対する免責
顧客/取引先は、顧客/取引先が不正にデータを収集した、または当社への移転前にデータ主体から同意を得ていなかったことに起因して発生した、当局からのあらゆる苦情、紛争、または罰金について責任を負い、当社に補償することを確約する。同時に、顧客/取引先は、当社へデータを移転する前に、規定に基づきデータ処理影響評価(DPIA)を実施済みであることを確約する。
11. 有効および方針の変更
11.1. 法的根拠および有効
– 本方針は、ベトナムの2025年個人データ保護法第91/2025/QH15号、政令356/2025/NĐ-CP、およびその他の関連法令の規定に基づき策定・実施される。
– 本方針は2026年1月1日より有効を生じ、当社が以前に公表した「個人データ保護方針」の各バージョンに取って代わる。
– 本方針は、当社の従業員および内部システムに適用されている内部情報セキュリティ規定、規則を無効化または代替するものではない
11.2. 更新および修正
当社は、法令の規定および実際の活動に合わせるため、いつでも本方針を修正、補足する権利を留保する。
– 通知: すべての変更はウェブサイト、アプリ上で公開更新されるか、メールを通じてデータ主体に通知される(権利利益に重大な影響を与える変更の場合)。
– 確認責任: データ主体は、最新のデータ処理方法を把握するため、本方針を定期的に確認することが推奨される。
– 承認: 修正された方針が公表された後もデータ主体がサービスの利用を継続、または協力関係を維持する場合、当該内容を承諾し、遵守することに同意したものとみなされる。
11.3. お問い合わせ先
データ主体の権利行使に関するご質問、苦情、または要求については、以下までご連絡ください。
CUBE SYSTEM VIETNAM CO., LTD.
担当部署:データコンプライアンス管理委員会 (DPO) – 管理部
住所:4th Floor, ICT2 Office Building, Lot 46, Quang Trung Software City, Trung My Tay Ward, Ho Chi Minh City, Vietnam.
Email: info@vn-cubesystem.com
電話番号: (+84) 028-3715-5701
