F‑Secure VPN
個人情報保護方針

ここでは、当社が個人データを処理するにあたりベースとする法的根拠についてより詳しく解説します。個別の行為を目的として当社が個人データを処理するにあたりベースとする、サービスごとに異なる正確な法的根拠を補足するものです。

顧客関連データ

当社のサービスを使うことで、お客様は当社のクライアントになります。客様と対話し、当社のクライアントにサービスを提供するために、当社はお客様に関する一部のデータを処理する必要があります。このようなデータ処理は通常、お客様が当社サービスに関連して当社や当社のビジネスパートナーに連絡をする際、フォームやアンケートの記入を行う際、当社のサービスに登録する時、当社のWebソリューションを通して情報を送信する際、コンテストや懸賞に参加する際、Eメールアドレスを登録する際、または当社にEメールを送信する時に生じます。

上記の正当な行為の達成にあたり当社はこのようなデータを必要とすることから、当社には関連する個人データを処理する権限があります。この権限は一般的には「契約履行」や「正当な利益」、または「同意」という形で行使されます。

サービスデータとセキュリティデータ

当社サービスを機能させ、改良そしてお客様に提供するために、当社は関連データを自動的に収集および処理しなければなりません。このようなデータは下記を目的に処理されます。

1. F‑Secure の顧客のネットワークおよびデバイスのセキュリティ、ならびにそれらの機密性と可用性を保護するために F‑Secure のサービスを提供すること

2. F‑Secure が同社の全ての顧客間において、発生している脅威とセキュリティ関連の傾向を検出できるようにして、F‑Secure のサービスが進化する脅威に対抗できること

3. F‑Secureが複数の大陸にまたがる集中型のセキュリティサービスフレームワークを多くの顧客とパートナーに提供すること。

サービスにより実行されるデータの処理は、デバイス/ネットワークの効率的な保護のために必要不可欠であり、契約上のサービスを提供するための F‑Secure の機能の前提条件となるものです。そのような処理は当社がお客様に提供するサービスにおいて不可欠であるため、当社がお客様のデータを処理するための必要性を正当化します。

消費者製品についてはこの権限は「契約履行」の形で行使されます。いくつかのケースにおいては、処理は「正当な利益」の形で行使され、特定の目的のためにデータを処理する「法的義務」もあります。

分析データ

また、当社は上記の法的根拠にもとづき、データ分析を目的として上述のサービスデータやセキュリティデータを再利用します。その正常な運転のためにほぼ全ての F‑Secure サービスが当社インフラストラクチャーに依存していることから、データ分析は当社がサービスを提供するにあたり必要不可欠なパートです。データ分析を行うことで、お客様の当社サービスのご利用をサポートするよう当社は自社インフラストラクチャーを運営できるのです。

当社サービスが、人々がサービスをどのように利用するか、あるいはお客様により良いサービスを提供するにはどうすれば良いかについて、さらに洞察を得る目的のためにのみ必要とされる、しかし弊社サービスの提供には必要ではないデータを収集する場合、当社はお客様から、その目的に対する別途の同意を得た場合にのみ、それを行います。お客様がご希望であれば後から同意を取り消すこともできます。したがって、分析目的でのみ収集されるデータの法的根拠は「同意」になります。

二次利用

データ収集のための上記の主な法的根拠に加えて、当社では次の目的のためにデータを利用したり、データの保存を継続したりしなければならないことがあります。ア）特定の目的のためにデータを処理する「法的義務」を果たすため、またはイ）「正当な利益」を根拠として。このような根拠に頼る状況の例を挙げたリストについては「その他の開示」をご覧ください。

全般的事項

お客様を個々のサービスのクライアントとしてではなく、F‑Secureのクライアントとして認識しています。このため、当社は様々な異なるサービス（Total等）とインタラクション（連絡サポート）に渡って収集したデータはF‑Secureのアカウントにまとめられます。しなしながら、当社の個人情報保護方針に反するデータ集積は行いません。（例えば、当社のVPNサービス内において、お客様のトラフィックにハンズオフ・アプローチを保持しています）。。

販売とデリバリー

当社はお客様の個人情報の一部を当社のサービスのマーケティング、販売、管理、およびサポートをする販売パートナー（オペレーター、ウェブストア等）と交換（開示及び授受）します。当社はこれらの業者に対して、これらの業者が同意を得た活動を行うに際して必要な、そうした個人データへのアクセスを提供します。本データ共有のロジックはシームレスな顧客体験を提供することです。これには顧客マネジメント、サービスサポート、事故管理および問題解決、ダイレクトマーケティング、請求書発行等の活動が含まれています。

当社の販売パートナーは、お客様と既存の顧客関係がある可能性があります。そのようなパートナーや法人顧客は、該当のプライバシーポリシーに基づき、お客様の個人データを独立したものとして処理します。お客様の個人データを扱う場合、私共の販売パートナーは、いかなる場合も、契約または法令を遵守しなければなりません。そのような各組織は、個人データの取り扱い、またその目的に関して独立して責任があると規定されています。

請負

当社は、お客様の個人データの一部をF‑Secureグループ会社および当社のサービスを支援する当社の下請業者に転送または開示することがあります。

当社のクライアントの個人情報が下請業者に送信あるいは開示される必要がある場合、当社の下請業者との契約において、同意したサービス提供（サポート事案を解決するため、商品の発送において物流のパートナーに輸送するため、当社に代わりマーケティングメールを発送するため等）においてのみ、当該情報を使用することを求めます。当社は下請業者に対して、お客様に関連するデータを処理するにあたり、当社本文書における記述を遵守した方法で実施するように要求しています。

内部における転送

F‑Secureはグローバルに事業を展開しています。 そのため、当社の関連会社、下請け業者、流通業者、およびパートナーの中には、サービスを世界規模で展開するために、欧州経済領域外を含む複数の国に拠点を置いているものがあります。 F‑Secureとお客様とのやり取りの範囲によっては、お客様の個人情報が複数の国で保管され、または複数の国からアクセスされることがあります。F‑Secureの関連会社の住所などの情報は、F‑Secureの公式Webページから確認できます。

当社が個人データを欧州経済領域外を含む他の管轄区域に移転する場合、当社は法の求めにしたがって個人データの転送を保護します。この保護は、関係する下請会社および F‑Secure グループ企業に対し、例えば欧州連合によって承認されたデータ転送に関する条項を使う等、適切な技術的安全対策または契約上保護条項を課すことにより実施しています。そのような条項の内容はこちらからご覧になれます。

当社は、正当な理由がある場合、または結果として生じるプライバシーのリスクを評価した後にのみ、グローバルまたは国をまたぐデータの転送を行います。

当社はフィンランドとヨーロッパの経済圏により機密性の高い顧客データを保有しており、当社の管理下に置いています。

その他の用途と開示

個人情報の使用または開示が正当化または許可される場合、あるいはお客様の同意なしに、またはサービスの供給から独立して適用法により情報を開示する義務のある場合など、個人情報保護方針の対象とならない状況があります。

そのような例として、裁判所の命令または関連法域の当局が情報の作成を受け入れさせるために発行した令状に従うこと、すなわち裁判所のルールの順守があります。

同様に、限られた情報群を第三者に開示することが正当的、合法的な権利が発生する状況もあります。そのような開示の例としては、当社が責任に対して自らを保護する必要がある場合、不正行為を防ぐため、当社製品がお客様の期待通りに機能していることを確認するためにお客様の当社製品の使用状況を分析し、有害な経験に対応できるようにする場合、進行中の問題を解決または抑制するために必要な場合、あるいは保険会社や政府規制機関の正当な情報要求を満たす必要がある場合などがあります。そのような行為においては、適用される法律に従って行動します。

販売、合併、分割、または F‑Secure のその他の企業再編など、企業取引の一環としてお客様の個人データを転送する必要がある場合もあります。F‑Secure グループは、その時の運用モデルで要求されているとおり、内部でデータを開示し転送します。しかしながら、その情報開示は、処理する意図された目的のためにそれを知る必要があるグループ会社、部署、チーム、および個人にのみ限定します。

当社はお客様の個人情報の保管場所および方法を決める際に、各開示用件を慎重に検討し、そのような開示要求の可能性を考慮します。

情報源

お客様やデバイスから上記のデータの大部分を直接収集する一方、関連会社、販売パートナー（オペレーターや小売店等）、お客様がサービスを購入する会社などからデータを受け取ります。そのような会社は転売業者である可能性もありますが、当社の外部Webストアパートナーも含みます。基本的な個人情報（購入品の注文データ）や当社のサービスが販売された集計分析データも取得します。そのような他の情報源はお客様にサポートサービスを提供する下請業者、当社のマーケティング活動を支援する広告パートナーも含むことがあります。

シームレスなカスタマーエクスペリエンスを実現し、サポートケースの解決のために必要な情報を得るために行います。

「第三者収集」の典型例は以下の通りです。

• 当社の外部Webストアで購入した製品/サービスに関する情報。

• 当社のサービスをお客様へ直接提供するために、当社事業者/転売パートナーより、以前のサインインデータからお客様の認証情報を取得します。

• 当社は、マーケティングの目的で、企業の意思決定者レジストリからお客様の連絡先データを取得します。

• もしお客様が当社のサービスへ登録するのにソーシャルメディア アカウントを使用された場合、当社はお客様の登録を認証し、連絡を差し上げるためにお客様のアカウントよりEメールアドレスを取得します。

第三者

当社のサービスは、当社とパートナーと共同で提供しており、当社のサービスおよびウェブサイトは、第三者のサービスの埋め込み、または相互運用の場合があります。 このプライバシー文書は、個人データが F‑Secure の影響範囲内にある限り、その個人データにのみ適用されます。お客様の個人データが他の組織によって個別の目的のために処理される場合、組織は、自身の方針に従うと共に、データ保護法の下でお客様の権利を遵守し、正当な方法でお客様の個人データを処理する責任を有します。

最も普及したシナリオは下記の通りです。

• ウェブストア。当社のウェブストアは部分的に第三者のリセーラーによって運営されています。登録段階でお客様が入力した情報はF‑Secureの方針によって取り扱われますが、当社のウェブストアプロバイダの方針が実際の購入と関連行動においては適用されます。

• デバイス位置情報クエリ。当社のサービスを通じお客様がデバイスの位置情報を探索する場合、マップのプロバイダは関連地理情報を処理しなければなりません。本方針の公表日において、F‑Secureは当社のデバイス位置情報と検索機能においてGoogle mapを使用しています。Googleの個人情報保護方針がその機能の使用においては適用されます。

この記載はサービス別の保持期間について補足するものです。法律に基づく基本ルールとしては、個人データは使用目的のために必要なくなった時点で削除または匿名化することになっています。

ただし、一部の個人データの保持期間は、その理由に応じてそれぞれ延長される必要があります。

基本の保持期間を当社が変更する主な理由の例を以下に示します。

• 猶予期間およびバックアップのため（例えば、お客様のご契約期間終了後もある一定期間お客様の個人データを保管することによって、誤ったデータ削除を防ぐため）

• 適用法により、データの保存が義務付けられている（たとえば、サービスの購入と支払いを管理するため）

• 当社が被りうる損害（継続中の訴訟や捜査など）について利用可能な救済法を追求し、損害を最小限にするため

• 繰り返し生じる問題を解決、または制御するため、または将来的な問題（お客様が顧客である間に永久に修正されない問題に関するサポートチケット等）に対応するために十分な情報を得るため

• 詐欺行為を回避するため（当社のコミュニティにおいて禁止を強化する）

• お客様の個人データが二次的な目的のために他のデータに組み込まれている（例：ログの保存）。

• その他の同様の状況で、継続的に個人データを保管することが正当に必要とされている場合

お客様と当社との間におけるその他のやりとりに支障をきたすことを避けるため、お客様のアカウントを最終的に削除するのが遅れる場合があります。これは、お客様が F‑Secure のアカウント（例：お客様のEメールアドレスを使用する当社の消費者サービスに申し込まれているような場合）をお持ちで、尚かつ F‑Secure コミュニティアカウントをお持ちの場合、または当社の広告メッセージの受信を継続される場合などです。F‑Secure コミュニティアカウントの削除規定はそのサービス規約内に記載されています。当社の広告メッセージの受信はいつでもオプトアウトすることができます。

オペレーターパートナーを通じてサービスを購入した場合、アカウントの削除は該当するオペレーターパートナーによって制御されます。パートナーがお客様の契約が終了したことを当社に通知した場合、F‑Secureはアカウントを削除し、アカウントに関連する個人データを削除または匿名化します。

テクニカルサポートの提供時にお客様から情報を受け取った場合、サポートケースが解決しない限り、その情報は保存されます。サポートケースが解決されると、該当する情報は解決してから2年以内に徐々に削除されるか、匿名化されます。

ユーザの同意を得て収集された分析データは、統計目的で保持され、個人データとユーザアカウントの削除時に削除されません。アカウントの削除後、分析データは識別可能なユーザまたはアカウントと関連付けすることはできません。

個人情報を含まないデータ（集積分析データ等）は収集された目的に対して有用であり続ける限り、保持されます。

ここでは、分析の目的でデータを収集および処理するための一般的な慣行について概説します。

F‑Secureのデータ分析は、再利用されたサービスデータ、再利用されたセキュリティデータ、および分析目的で収集されたデータを含みます。

当社は将来的に、よりお客様にフィットしたサービスをご提供したいと考えております。そのため、全体的な使用パターンや顧客層を作成する必要があります。例えば、どの機能が最も使用されているか、どこでサービスが失敗に終わっているか、どこを直す必要があるか、どのようにして当社のサービスを知ったのか、といったことです。

収集するもの。データ分析の目的で処理するデータには次が含まれます。デバイスID、デバイス/ユーザー/ユーザーグループ間の関係、動作環境、サービスの動作時間、ライセンスの種類（試用版または有料版）、デバイスメトリクス（スマートフォンのモデルやOS,言語など）、IPアドレスの一部、サービスエラー、問題のあるファイル、URL、サービスのパフォーマンスデータ、サービスの利用方法（使用される機能や頻度など）、サービスへの接続元のドメイン名、クリックした要素 、タイムスタンプ、地域と位置情報、当社のインサービスメッセージングの有効性、サービスのアクティベーション（関連するメッセージを受信して正常にインストールされたことの追跡など）、インストールおよびアクティベーションパス、サービスパフォーマンス、接続、データルーティング、クォータ そして他の同様のデータ。

実際的なレベルでは、当社サービスのユーザーインターフェースに対するお客様の同意を求める場合、それは以下のデータを送信すべきかどうかを制御します: 1) 追加データ。例えば、どの機能が使用されているか、あるいはどのくらいの頻度で機能が使用されているかといったデータや、サービスメトリクスのようなものです。2) 当該データセットにおける、送信された属性の数。

上記は当社のサイバーセキュリティサービスの利用に関するものです。当社のWebサイトで実行されているデータの分析は、当社のWebサイトプライバシーポリシーに記載されています。

オプトアウト。お客様の当社のサービス向上への貢献には大変感謝しますが、もしF‑Secureへの全てのデータトラフィックの流れを最小限に留めたいのであれば、そちらについても尊重します。追加の分析を採用している当社のサービスに対して、お客様はデータを貢献するかどうか選択できます。サービスの提供に不可欠ではない分析データの収集に対しては、いつでもオプトアウトできます。

全ての分析のデータ収集からオプトアウトする場合、当社からの連絡はサービスデータ収集（サービスを提供する場合はいかなる場合においても収集するもの）のみをもとにすることとなり、当社からのメッセージはお客様にとってより関連性の低いものとなる可能性があります。

お客様のオンライン生活（当社のWebサイトを含みます）のデータ収集に対して反対である場合、オンライン広告主によるモバイルデバイス使用状況のプロファイリングを防止するための、より大規模の方法としては、お客様のデバイスの設定で、広告識別子を時折リセットすることや「トラックしない」設定をオンにすること、また、当社のプライバシー商品を使用することとなります。

分析データの保持。当社のデータ分析活動は、分析データとサービスデータを組み合わせます。その結果において得られた結合データセットは、その後、「正当な利益」に基づいて処理され続けます。過去に収集された分析データは、遡及的に削除すると統計情報が維持されなくなるため、サービス統計の一部として保持されます。お客様が当社サービスのサブスクリプションを停止すると（アカウントが削除されるなど）、該当するサービスの使用に関連する分析データは匿名のデータに戻され、当社はお客様とそのデータを関連付けることはできません。

データの交換。技術環境（インターネット、アプリケーションストアのエコシステム、SNS）により、当社は全てのデータ分析収集と活動を社内で行うことができません。デジタル分析およびマーケティング活動を行うために、一部のデータ（「アンドロイドマーケティング識別子」や同様の識別子等）を当社のオンライン分析やマーケティングパートナーと交換する必要があります。お客様のデータの大部分は他の人と共有されません。

当社製品の分析能力を当社に提供している当社の下請会社の一部もまた、収集データについての集計データを作成及び発行することがあります。そのような場合、統計情報と集計レポートは、いかなる個々人に関連するデータをも含んでいません。

当社はお客様のプライバシーを犠牲にしません。当社が同様のことを行っている他社と最も異なっている点は当社はエコシステムについて理解しており、上記の目的において絶対に重要という訳ではない全てのデータを取り除いて、パートナーを大変注意深く選定しているということです。サービス設定を通じていつでも分析データの収集を自然に回避することができます。

分析目的または統計目的でデータを処理する際にはデータは仮名化されます。当社のデータアナリストは、特定のデータセットを個人に関連付けることはできません。仮名化は、特殊な場合には行われません。たとえば、当社がお客様と連絡を取る際には、データ分析の結果（完全なデータではない）がお客様のEメールアドレスに関連付けれます。もう1つの例は、テクニカルサポートサービスを提供する際に、当社のデータに関してお客様が抱える問題を解決するために該当するデータを使用することがあります。

そのような追加の分析を当社のサービスの表層部分に限定し、当社のサービスのコアプライバシーエリアから離した状態にします。例えば、当社のSecurity Cloud内やVPN サービス内のトラフィックにおいては外部分析は有していません。

当社では、お客様の個人情報を転送、保管、取り扱う際、その機密性、完全性および可用性を保護するための、厳格なセキュリティ対策を適用しています。

お客様の個人情報の紛失、誤用、あるいは不正なアクセス、開示または変更のリスクを下げるために、物理的、行政的、技術的セキュリティ対策を講じています。

すべての個人データは、F‑Secureまたは当社のパートナーが運営する安全なサーバーに保管され、権限のあるセキュリティ担当者にのみアクセスが制限されています。

お客様について当社が有するデータについては権利はお客様に帰属します。特に、お客様について当社が有する個人情報には下記の権利を有します。

• 情報のアクセスと修正。お客様についてのどんな個人情報を有しているかを当社に問い合わせることができ、本件に関しお客様について特定できるデータのコピーを得ることができます。当該データに万一誤り（例：古い情報）を発見した場合、問題解決のためにカスタマーケアへの連絡をお願いしております。そのような場合において、例えば住所やEメールアドレスの変更など、個人情報に変更が生じた場合、情報の更新をお願いします。更新ができない場合、当社に必要な変更をご連絡ください。

• 異議。お客様は、例えばマーケティングの目的での個人情報の処理や正当な利益において当社のお客様の処理の基礎とする場合を含め、個人情報の一定の処理に異議を唱える権利を有します。後者の場合、お客様はその意義について、法的に有効な理由を確立する必要があります。

• 忘れられる権利。お客様は当社に対し、個人情報の保管を止め、削除するよう要請する権利を有します。この場合、お客様の要請に対する法的に有効な理由を確立する必要があります。

• ポータビリティ。お客様はご自身が提供した個人情報について、契約やお客様の同意に従い、開示を求める権利を有します。構造化された方法で、一般的に使用されかつ機械が読み取ることのできるフォーマットでデータを要請することができ、また技術的に可能な場合は他の管理者に転送する要請をすることができます。

• 同意の撤回。お客様の同意のもと処理がなされる場合、お客様は当該設定を通じ、いつでも同意を撤回することができます。特定できるサービスの分析データに関しては、サービスユーザーインターフェースにおける設定を利用することができます。リンクを通じてアクセスすることのできる選択設定画面を通じ、マーケティングに関する連絡からオプトアウトする権利も有しています。

• 制限。当社が有しているお客様に関するデータが誤りである、または当社にそれを利用する権利がないということをお客様が認めるとき、お客様の個人情報のさらなる処理を停止し、問題が解決するまで、ただ保持するよう、当社に要請することができます。

お客様はカスタマーケア機能を通して、権利を行使することができます。当社に連絡するためのリンクは「連絡先情報」にあります。

当社の守秘義務、企業秘密の権利、そして当社のサービスを提供する義務（例：お客様の雇用主）によって、お客様の個人情報の開示や削除、そしてお客様の当該権利の執行を妨げることがあります。お客様の上記の権利は、F‑Secure がお客様の個人情報を処理する根拠となる法的根拠にも依存しています。

もしお客様が、当社がお客様の法的権利を有効にしていないと感じられることがあれば、お客様は所轄官庁に苦情を申し立てる権利を有します。ほとんどの場合、当該官庁はフィンランドデータ保護オンブズマン（tietosuoja.fi）となります。