最終更新: 2023年9月
一般情報
Prometric LLCは、アメリカ合衆国デラウェア州の有限責任会社で、本社は1501 South Clinton Street, Baltimore, Maryland 21224 USA(以下「会社」、「私たち」または「私たちの」)にあります。Prometricは、データ主体との関係に応じてデータ管理者またはデータ処理者として行動することができます。
このプライバシーポリシー(以下「ポリシー」)は、テスト候補者、クライアント、契約者およびパートナーに関する個人データの収集と処理に関する当社の慣行を説明するために、ここに示されている原則に従って作成および実施されました。Prometricは、プライバシーと個人データの尊重に特に注意を払い、このポリシーおよび適用法に従って遵守することを約束します。
特に、会社は、会社が運営するすべてのデータ保護法、以下を含む法律を遵守することを約束します:
- 個人データの処理に関する自然人の保護に関する2016年4月27日の欧州議会および理事会の規則(EU)2016/679およびそのデータの自由な移動を扱い、指令95/46/EC(一般データ保護規則)を廃止する(「GDPR」);
- 2018年のカリフォルニア州消費者プライバシー法(「CCPA」)、2020年のカリフォルニア州プライバシー権法(「CPPA」)によって改正された;
- 中華人民共和国の個人情報保護法(「PIPL」);
- 会社が運営するその他の関連データ保護規制。
「適用法」とは、関連する国のデータ保護法またはデータ保護に関連する適用規則を指します。
「個人データ」とは、特定されたまたは特定可能な自然人に関連する任意の情報を意味します。
「処理」とは、個人データまたは個人データのセットに対して行われる任意の操作または操作のセットを意味し、自動的手段によるかどうかにかかわらず、収集、記録、整理、構造化、保存、適応または変更、取得、相談、使用、送信による開示、配布またはその他の提供、整合または結合、制限、消去または破壊を含みます。
1. どのような種類の個人データを収集しますか?
Prometricは、会社との関係および適用法に応じて、次の個人データを収集します:
- 氏名、住所、電話番号、国固有の識別番号、メールアドレス、ログインおよびパスワード情報を含む連絡先の詳細
- 生年月日
- 性別
- 候補者のテストスケジュールの詳細
- テスト評価の詳細、テスト候補者ID番号、受験した試験とその日付、スコア、試験または特定の試験セクションを受験した回数
- テストスポンサーから要求される場合の社会保障番号(アメリカ)
- 支払いおよび金融機関の情報
- 居住地および国籍
- 写真
- 署名
- ビデオ録画
- 音声録音(法的に許可されている場合および特定の管轄区域内でのみ)
- 本人確認、検証、または適格性文書からの情報
- 取引および関係情報、候補者のテストパターン、テスト場所、テスト結果、Prometricのウェブサイトおよびアプリケーションの使用に関する情報を含む要素
さらに、Prometricは、適用法により許可される特別なカテゴリーの個人データを処理する場合があり、これには以下が含まれる場合があります:
- 生体情報(指紋画像およびテンプレート、顔画像およびテンプレート)
- テスト候補者のテスト配慮要求に関連する健康情報または医療データ
- 適用法により許可される人種または民族
2. どのようにしてあなたの個人データを収集しますか?
ほとんどの場合、Prometricは個々のデータ主体から直接そのような個人データを収集します。
ただし、他の場合には、テストスポンサーや第三者のデータ供給者から情報を受け取ることがあり、顧客をよりよく理解するのに役立ちます。候補者がPrometricのウェブサイトを訪問し、登録または試験を受け、アプリケーションを使用するか、私たちに連絡した場合、顧客サービスの目的で取引情報も収集します。
Prometricがモバイルアプリケーションを通じて収集するすべての個人データは、このポリシーの条件に従って保護および処理されます。また、私たちからのそのような通知を受け取ることを希望する方には、自動的な(「プッシュ」)通知を提供します。個人は、私たちのモバイルアプリケーションを使用するために、Prometricに位置情報を提供したり、プッシュ通知を有効にしたりすることは求められません。
生体データの収集
生体認証対応チェックインシステムとPrometricのリモート監督プラットフォーム(ProProctorとして知られる)は、テスト候補者のプライバシーを保護しながら、テスト候補者の身元を確認する方法でテストプロセスのセキュリティと整合性を向上させるように設計されています。これらの技術は、身元確認の目的、詐欺および偽情報の検出と防止、テストプロセスの整合性の維持、テストセンターおよび遠隔監督された試験のセキュリティの向上に使用されます。
3. なぜあなたの個人データを収集するのですか?
テストスポンサーの代理として、Prometricは以下の目的のためにあなたの個人データを収集します:
- テスト試験のスケジュール設定
- 身元の確認
- テストおよび支払いの管理
- 顧客サービスリクエストの管理
- 無許可の候補者による詐欺および偽情報の検出と防止
- テストプロセスの整合性を維持するためのデータ分析の実施
- 候補者およびテストスポンサーへのテスト結果の報告
- 適用法に従ったマーケティング活動の実施
供給者およびその他の第三者に対して、Prometricは以下の目的のためにあなたの個人データを収集します:
- 供給者の管理および管理
- 請求書処理
- 供給者の確認およびその他の法的要件
4. あなたの個人データを処理する法的根拠は何ですか?
個人データは、一般的に以下の法的根拠に基づいて収集および処理されます:
- 特別なカテゴリーの個人データの収集および処理に対するあなたの同意。
- 適用法により要求される場合の国境を越えたデータ転送に対するあなたの同意。
- テストの登録およびスケジュール設定、テストの実施、詐欺防止および結果の処理を含む契約の履行。
- 請求書処理や財務アカウント管理、ビジネス継続性を促進するためのバックアップ目的、テストセンターの管理、ビジネス計画、契約管理、顧客に提供されるテストサービスの改善、既存のテスト候補者への関連サービスおよび製品の提案、ウェブサイトの管理、履行、分析、セキュリティおよび詐欺防止、企業ガバナンス、災害復旧計画、監査および報告などの正当なビジネス目的。
- 法的または規制上の義務の遵守。
5. 個人データの開示
個人データは、提供されたサービスに関連する正当なビジネス理由で、他の会社の関連会社、政府機関または第三者と共有される場合があります。
会社は、以下のように個人データを共有する場合があります:
- 子会社などのグループ内で
- 関連会社および認可されたテストセンターと
- リクエストを促進し、サービスを改善するために、テストスポンサーやサービスプロバイダーなどのビジネスパートナーと
- 必要に応じてまたは権限により、政府機関および公的機関と
生体データは、第三者に対してのみ開示される場合があります:
- 不正行為に関する調査に関連して、カンニング、不正試験、またはその他のテスト候補者の不正行為に関する調査の目的のため。
- 管轄権および/またはそのような要求を行う権限を持つ規制、法的または政府機関による合法的な要求に関連して。
当社は、適用法により要求される場合、第三者との契約を締結し、個人データがこのポリシーおよび他の適切な機密性およびセキュリティ措置に従って処理されることを保証します。
6. どのようにしてあなたの個人データを保存しますか?
あなたとPrometricとの関係の性質および適用法に応じて、私たちはあなたの個人データをアメリカ合衆国バージニア州アシュバーンにある安全なOracleクラウドインフラストラクチャに保存します。
Prometricは、ビジネスの過程で作成されたすべての記録の保持、保存および破壊を目的とした包括的な記録管理プログラムおよび関連する保持スケジュールを遵守しています。私たちはまた、地域に位置するデータサーバーに基づいてデータを分離するデータ管理戦略を展開しています。
適用法に従い、当社は処理の期間中、以下の短い期間のいずれかの間、あなたの個人データを保持します:
- 最後のサービス、テストまたは評価の日付から5年
- 個人データが収集された目的の満了
- 個人データが収集された適用法の法域の法律
Prometricは、上記の目的のために必要以上に個人データを保持することはありません。ただし、Prometricは、適用法に従って遵守するために、またはその権利を保護または行使するために必要な場合には、個人データを長期間保持することがあります。
生体データの保存
コンピュータベースのテストセンターで収集されたすべての生体データは、EU内のPrometricの安全なデータセンターに安全に転送され、収集された管轄法に従って保持されます。生体データは、Microsoft Azureに30日間保存および保護されます。
7. 個人データの転送
場合によっては、第三者の使用には、個人データを他の国に転送することが含まれる場合があります。当社のビジネスプロセスでは、会社とその関連会社の間で国際的に個人データを転送する必要があることが多いです。
個人データがEU/EEA内で処理され、個人データが第三者に開示される場合、または適用法に従って十分な保護レベルを提供していないとみなされる国において、会社は以下を保証します:
- EU委員会に承認された標準契約条項の実施;
- 該当する転送を管理し、適用法の下で必要かつ適切な保護レベルを保証するための適切な組織的、技術的および法的な保護策の採用。
- 必要に応じて、転送の状況および第三国の法律を評価し、必要に応じて補足措置を実施するかどうかを判断するためにデータ転送影響評価を完了します。
EU/EEA内で処理されない個人データについて、データ主体の管轄外に位置する第三者に開示される場合、会社は、標準契約条項や/またはデータ主体からの適切な同意を取得するなど、個人データを保護するために必要な保護策が講じられていることを保証します。これらのメカニズムは、国および関連する適用法に応じて異なる場合があります。
8. あなたの権利は何ですか?
管轄および適用法に応じて、あなたは以下の権利を持つ場合があります:
- アクセス権
- 訂正権
- 消去権
- 処理制限権
- 処理に異議を唱える権利
- データポータビリティ権
- 死後の個人データの使用方法を決定する権利
これらの権利の行使は、適用法および監督機関からの関連ガイダンスによって提供される制限の対象となります。
権利を行使するためには、データ主体は「私たちに連絡する方法」セクションに記載された方法で会社に連絡できます。リクエストに応じるために、身分証明を求める場合があります。リクエストに応じられない場合(拒否または制限)には、その決定を文書で説明します。
カリフォルニア州プライバシー権
カリフォルニア州民法第1798条は、カリフォルニア州の居住者が、確立されたビジネス関係を持つ企業に対して、第三者との個人データの共有に関する特定の情報を提供するよう求めることを許可しています。Prometricは、同意なしにカリフォルニア州の消費者の個人データを第三者とマーケティング目的で共有することはありません。テスト候補者である場合、Prometricはあなたの個人データをあなたのテストスポンサーに提供し、スポンサーは独自のプライバシーポリシーに従ってその情報を使用する場合があります。
9. どのようにしてあなたの個人データを保護しますか?
Prometricは、すべての個人データをセキュリティインシデントや無許可の開示から保護し、一般的に個人データ侵害から保護するために、技術的、物理的および管理的な安全対策を実施しています。これらの安全対策は、業界で適切なセキュリティ基準として認識されており、アクセス制御、パスワード、暗号化、消去のための厳格な時間制限、ログ記録メカニズム、定期的なセキュリティ評価を含みます。
個人データ侵害があなたの個人データに影響を与える可能性がある場合、Prometricはインシデント対応計画に従い、データ主体へのリスクを軽減するために迅速に適切な行動を取ります。そのような措置には、関連する監督機関および影響を受けたデータ主体への通知が含まれ、インシデントおよび適用法(すなわちGDPRまたはPIPL)に基づく緩和措置の関連詳細を提供します。
Prometricの情報セキュリティプログラムは、年に数回、複数の第三者機関によってレビューされ、セキュリティおよびデータプライバシーおよび保護のための最高の基準を満たすかそれを超えることを確保しています。さらに、従業員および契約者は、既知または疑わしい不正使用、損失、または無許可のアクセスの事例を速やかに報告する義務があります。
10. 中華人民共和国個人情報保護法(PIPL)に基づく個人データの処理
このセクションは、個人データが中華人民共和国(PRC)の境界内にある場合、または中華人民共和国にある当社の企業によって処理される場合に適用されます。
PIPL第13条に従い、個人データは以下の目的で収集される場合があります:
- 個人の同意に基づいて;
- 契約の履行、正当なビジネス利益のため;
- 法定義務や責任の履行のため;
- 公に入手可能なデータを処理するため;
- 法的要件を満たすため。
PIPL第23条の要件およびセクション4に記載されている内容に従い、あなたの個人データを第三者に転送および共有することは、(1)適用される場合のあなたの明示的な同意がない限り、または(2)適用法に基づく法定義務を履行するためでない限り行われません。
このポリシーに記載された目的に基づき、個人データは、処理のために居住地の外にある国または地域に転送される場合があります。その際、会社は、適用法に従って個人データのセキュリティを保護し、アクセス制御、パスワード、暗号化基準、保持期間の厳格な時間制限、ログ記録メカニズム、定期的なセキュリティ評価を含むがこれに限らない措置を講じます。
会社は、PRCの外に個人データを転送する前に、PIPL第39条に従ってあなたに国境を越えたデータ転送について完全に通知し、あなたの同意を取得します。通知内容には、送信先の名前、連絡先情報、処理の目的、処理の方法、個人データの種類、PIPLに基づく権利を行使するための方法と手続きが含まれます。このために、私たちは明示的かつ別個の同意を求めます。
必要に応じて、会社は、個人データがPRCの外に転送される場合、適用法に従って国境を越えたデータ転送リスク評価を実施します。
PIPLの下では、敏感な個人データは、漏洩または不正使用された場合、自然人の尊厳に重大な害を引き起こす可能性がある個人データとして定義され、これには生体的特徴、宗教的信念、特別指定された地位、医療健康、金融口座、個人の位置追跡などが含まれ、また14歳未満の未成年者の個人データも含まれます。
PIPLに従い、セクション2に詳細が記載されているように、敏感な個人データの処理は、個人の別途の同意を要し、特定のビジネス関連の目的のために実施されます。
Prometricは、親または他の保護者の別途の同意なしに14歳未満の未成年者から個人データを収集することはありません。法律によって許可されている範囲でのみ、子供に関する個人データを使用または開示し、適用される法律および規制に従って親の同意を求めるか、子供を保護します。
個人データ侵害が発生した場合、Prometricは、PIPLの下でデータ主体の個人データの権利を侵害した場合、民事責任を負いますが、データ管理者がPIPLに基づいて負うべき行政、刑事またはその他の法的責任には影響を与えません。
11. プライバシーポリシーの変更
会社は、新しいまたは異なるプライバシー慣行に従うために、ポリシーを更新する必要がある場合があります。更新されたバージョンは、適切なチャネルを通じて提供され、その施行日以降に収集されたデータに適用されます。
12. お問い合わせ方法
このポリシーに関するお問い合わせ、コメント、または懸念事項、または個人データに関連する適用法によって許可されたプライバシー権を行使するために、以下のアドレスにデータ保護責任者にご連絡ください: joseph.srouji@contractor.prometric.com
以下のリンクをクリックして、必要なすべてのフィールドをフォームに入力することによって、あなたの個人データに関するリクエストを提出することもできます: 個人データリクエスト
郵送でのご連絡も可能です:
Prometricプライバシープログラムマネージャー
Prometric LLC, 1501 South Clinton Street
バルチモア, メリーランド州 21224 USA
Prometricの内部苦情処理プロセスを尽くした後、試験候補者が解決に満足できない場合、米国に拠点を置く代替紛争解決プロバイダーであるメリーランド大のベター・ビジネス・ビューロー(「BBB」)に苦情を申し立てることができます。
BBBウェブサイト: http://www.bbb.org/greater-maryland/
BBB電話: 410-347-3990
BBBファックス: 410-347-3936
データ主体は、関連する管轄区域の competent Supervisory Authority に直接苦情を申し立てる権利もあり、適用法に基づいて法的手続きを取ることもできます。