最終更新日:2018年12月3日
概要
GBIFは、科学的研究と政策をサポートする生物多様性に関連する根拠を提供するために必要な情報を収集および維持することを法的に保障された利益としています。さらに、ユーザーとのやり取りのために必要最小限の個人情報を収集します。GBIFはこの情報を第三者に販売することはなく、本プライバシーポリシー通知に記載された範囲内でのみ取り扱います。欧州連合(EU)に拠点を置く団体として、一般データ保護規則(General Data Protection Regulation, GDPR)に準拠します。ただし、ユーザーの出身地、現在地、居住地には関係なく、すべてのユーザーに同じ標準の個人情報保護が適用されます。
この概要は、プライバシーポリシー通知の残りの部分に代わるものではないので、すべての詳細については以下を読み進めてください。
1. はじめに
1.1. 本プライバシーポリシー通知は、Global Biodiversity Information Facility(地球規模生物多様性情報機構) Universitetsparken 15, DK-2100 Copenhagen Ø, CVR no. 29087156(以下、「GBIF」)が、以下の状況において個人データをどのように取り扱うかについて情報提供することを目的としています。
- gbif.orgとそのサブドメインを通じて利用できるインターネットサービス(「GBIFのインターネットサービス」)を使用する場合
- GBIFのインターネットサービスに登録する場合
- GBIFのニュースレターに登録する場合
- GBIFに質問、または連絡する場合
- GBIFデータベースのレコードに含まれる種の観察者、採集者、あるいは同定者である場合
- GBIFネットワークパートナーまたは諮問委員会の代表である場合
- データ出版者に技術担当者または運営担当者として雇用されており、GBIFを通じて出版されるデータの担当者である場合
1.2. 本プライバシーポリシー通知は、GBIFに提供された、あるいはGBIFのインターネットサービスを通じて収集されたすべての個人データに適用されます。
1.3. 本プライバシーポリシー通知では、個人データの取り扱い方法と目的について説明します。GBIFは本プライバシーポリシー通知およびGBIFに適用される法律を遵守して個人データを取り扱います。特に一般データ保護規則(EU 2016/679)(以下「GDPR」)、およびGDPRを補完するデンマークのデータ保護法(Danish Data Protection Act No. 502 of 23 May 2018)とこれらの改正も遵守します。
1.4. GBIFは、個人データに関するデータ管理者です。お問い合わせは、9章に記載されている連絡先までご連絡ください。
2. GBIFが収集するデータ、その目的、および取り扱いの法的根拠
2.1. GBIFのインターネットサービスを使用する場合
- GBIFはユーザーおよびインターネットサービスの使い方に関する技術的なデータを自動的に収集します。
- 技術的なデータとは、ユーザーがGBIFのインターネットサービスにアクセスしている間に収集した情報、インターネットプロトコル(IP)アドレス、ログインデータ、ブラウザの種類とバージョン、機器の種類、タイムゾーン、ロケーション設定、ブラウザプラグインの種類とバージョン、オペレーティングシステムおよびプラットフォームを意味します。
この取り扱いの目的は、ユーザーがGBIFのインターネットサービスをどのように使用しているのかを把握し、ユーザー体験とGBIFのインターネットサービスの機能を最適化することです。この取り扱いは、GBIFのインターネットサービスを向上させるというGBIFの利益を維持するために必要となります(GDPR article 6(1)(f))。
2.2. GBIFのインターネットサービスに登録する場合
- 登録時には、ユーザーの氏名、電子メールアドレス、居住国、ユーザーログインの情報を収集します。プロフィールに写真を1枚以上アップロードする場合は、GBIFはその写真を処理します。コミュニティフォーラムでのディスカッションの内容はすべてGBIFにより処理され、GBIFのインターネットサービスを使用する他のユーザーに、ユーザー名とともに公開されます。
この取り扱いの目的は、GBIFの1つまたは複数のインターネットサービスでプロフィールを登録するユーザーを識別することです。この取り扱いは、GBIFのサービスをユーザーに提供するというGBIFの利益の維持のために必要となります(GDPR article 6(1)(f))。
2.3. GBIFのニュースレターに登録する場合
- GBIFは、ユーザーの電子メールアドレス、受け取りを希望するニュースレターの情報、同意、および、開示を選択した場合は、氏名、組織名、国または地域の情報を収集します。
この取り扱いの目的は、ユーザーにニュースレターを送ることです。この取り扱いは、ユーザーにマーケティング資料を送信するというGBIFの利益を追求するために必要となります(GDPR article 6(1)(f))。
上記にかかわらず、GBIFはデンマークマーケティング慣行法第10項(Danish Marketing Practices Act Section 10)に従って、ニュースレターを送信する際は常にユーザーの同意を得ています。
2.4. GBIFに質問、または連絡する場合
- GBIFは、ユーザーの氏名、電子メールアドレス、電話番号、所属する会社名または組織名、ユーザーの質問およびGBIFの回答の情報を収集します。
この取り扱いの目的は、ユーザーの質問に回答する、またはユーザーと連絡を取ることです。この取り扱いは、GBIFネットワークおよび一般の方々と連絡を取るというGBIFの利益を追求するために必要となります(GDPR article 6(1)(f))。
2.5. GBIFデータベースのレコードに含まれる種の観察者、採集者、あるいは同定者である場合
- GBIFデータベースのレコードに含まれる種の観察者、採集者について、GBIFは、レコード中の観察または採集イベントの場所や日付と同様に、その人物の氏名を公開します。GBIFデータベースのすべてのレコードはGBIFのインターネットサービスを通じて公開されます。
- GBIFデータベースのレコードに含まれる種の同定を確認した人物について、GBIFは、レコードでその人物の氏名を公開します。GBIFデータベースのすべてのレコードはGBIFのインターネットサービスを通じて公開されます。
この取り扱いの目的は、研究者がGBIFを通じてアクセスするデータの使用適合性を評価することを支援し、名前の記された個人の観察記録、採集、あるいは専門的見解に対し謝意を表すことです。この取り扱いは、研究目的にデータを共有するGBIFと公共の利益を追求するために必要となります(GDPR article 6(1)(f))。
2.6. 正式なGBIF参加者、諮問委員会、またはGBIFの助成を受けているプロジェクトの代表である場合
- GBIFは、職場の連絡先情報(氏名、役職、職場の所在地、電子メールアドレス、電話番号)と所属する組織または機関の名前をGBIFのインターネットサービスを通じて公開します。
この取り扱いの目的は、研究者と他の専門家がGBIFネットワークで情報を共有できるようにすること、また、ユーザーがデータについてのエラーの疑いや詳細な情報に関してデータ出版者にフィードバックできるようにすることです。この取り扱いは、GBIFネットワークでの専門家の活動を促進するGBIFの利益を追求するために必要となります(GDPR article 6(1)(f))。
2.7. データ出版者に技術担当者または運営担当者として雇用されており、GBIFを通じて出版されるデータの担当者である場合
- GBIFは、職場の連絡先情報(氏名、役職、職場の所在地、電子メールアドレス、電話番号)と所属する組織または機関の名前をGBIFのインターネットサービスを通じて公開します。
この取り扱いの目的は、研究者と他の専門家がGBIFネットワークの情報を共有できるようにすること、また、ユーザーがデータについてのエラーの疑いや詳細な情報に関してデータ出版者にフィードバックできるようにすることです。この取り扱いは、GBIFネットワークでの専門家の活動を促進するGBIFの利益を維持するために必要となります(GDPR article 6(1)(f))。
- GBIFは、データ出版者に向けたGBIFのサービスに関するアナウンスと情報を送信するために、氏名と職場の電子メールアドレスを収集します。
この取り扱いの目的は、ユーザーにサービスに関するアナウンスを送信することです。この取り扱いは、GBIFのインターネットサービスを通じてデータを出版する機関との連絡におけるGBIFの利益を追求するために必要となります(GDPR article 6(1)(f))。
上述した個人データの処理のため、GBIFが法的根拠に基づく正当な利益を言及できる範囲において、GBIFはこれらの利益のバランシングテストを実施し、GBIFの利益がユーザーの利益や基本的権利および自由によって無効とはならないことを確認しました。このバランシングテストの詳細情報をご希望の方は、下記9章に記載された電子メールアドレスにご連絡ください。
3. 個人データの収集方法
3.1. 大半の場合、GBIFは個人データをご本人から直接受け取ります。しかし、以下の場合には、第三者から個人データを受け取ることがあります。
3.2. GBIFのインターネットサービス上で情報のやり取りをする際は、GBIFはユーザーの機器、ブラウザでの操作とパターンについて技術的なデータを自動収集することがあります。
3.3. GBIFのデータベースのレコードで公開するデータについては、政府機関、博物館、大学、非政府組織など、GBIFの世界中のデータ出版者ネットワークから収集しています。
3.4. GBIFのインターネットサービス上で公開している連絡先情報については、ご本人から直接、または雇用者や代表している組織や機関から収集します。
4. 個人データの開示
4.1. GBIFの主要なインターネットサービスは主に、コペンハーゲン大学においてGBIFのデータ取扱者によってホストされています。GBIFはコペンハーゲン大学とGDPRに準拠したデータ保護契約を締結し、GBIFの指示と目的に沿ってのみデータを取り扱うようにしています。
4.2. GBIFは、GBIFに代わってデータを処理する第三者のサービスから個人データを収集することはありませんが、GBIFがこうしたサービスを使用、統合するということにより、個人データが、ITサービス業者やホスティングプロバイダー、コンサルタント、およびSMSサービスプロバイダーなどの第三者と共有される可能性もあることを意味します。この通知で各サービス提供者について説明したように、こうしたデータ取扱者が確実にGBIFの指示に従いGBIFの目的のためだけにデータを取り扱うように、GBIFはGDPRに準拠したデータ保護契約を各種サービスプロバイダーと締結しています。
4.3. 法律により求められた場合には、第三者サービスプロバイダーが個人データを公的機関に開示する場合があります。
5. 個人データの第三国への転送
5.1. GBIFは、米国に拠点を置く複数の第三者サービスプロバイダーを利用しており、以下の保護措置の下で個人データの許容される転送を行っています。
第三者サービス | 所在地 | 保護措置の枠組み |
---|---|---|
Atlassian | 米国 | EU-米国間プライバシーシールドフレームワーク (EU-U.S. Privacy Shield Framework) |
Box | 米国 | EU-米国間プライバシーシールドフレームワーク (EU-U.S. Privacy Shield Framework) |
Civilized Discourse Construction Kit | 米国 | EU-米国間プライバシーシールドフレームワーク (EU-U.S. Privacy Shield Framework) |
DataONE | 米国 | EU-米国間プライバシーシールドフレームワーク (EU-U.S. Privacy Shield Framework) |
GitHub | 米国 | EU-米国間プライバシーシールドフレームワーク (EU-U.S. Privacy Shield Framework) |
Google Analytics & Google Cloud | 米国 | EU-米国間プライバシーシールドフレームワーク (EU-U.S. Privacy Shield Framework) |
MailChimp | 米国 | EU-米国間プライバシーシールドフレームワーク (EU-U.S. Privacy Shield Framework) |
Microsoft | 米国 | EU-米国間プライバシーシールドフレームワーク (EU-U.S. Privacy Shield Framework) EUモデル条項(EU Model Clauses) |
ORCID | 米国 | EU-米国間プライバシーシールドフレームワーク (EU-U.S. Privacy Shield Framework) |
Vimeo | 米国 | EU-米国間プライバシーシールドフレームワーク (EU-U.S. Privacy Shield Framework) |
Zapier | 米国 | EU-米国間プライバシーシールドフレームワーク (EU-U.S. Privacy Shield Framework) |
Zoom Video Communications | 米国 | EU-米国間プライバシーシールドフレームワーク (EU-U.S. Privacy Shield Framework) |
ユーザー情報の保護のために使用する文書の入手を含め、詳細な情報については、info@gbif.orgまでお問い合わせください。
6. ユーザーの権利
6.1. ユーザーは、特定の状況下で、以下の一つ以上の権利を有します。
6.1.1. ユーザーは、当該ユーザーの個人データへのアクセスを要求する権利を有します。これにより、GBIFが保持しているご自分の個人データを受領することができ、GBIFがそのデータを合法的に取り扱っていることを確認できます。
6.1.2. ユーザーは、GBIFが保持している当該ユーザーの個人データの修正を要求する権利を有します。これにより、GBIFがユーザーについて保持している不完全または不正確な情報を修正することができます。
6.1.3. ユーザーは当該ユーザーの個人データの消去を要求する権利を有する場合があります。これにより、GBIFが個人データを取り扱い続ける正当な理由がない場合、データの抹消または除去を依頼することができます。個人データの継続的な取り扱いが必要とされる範囲において、具体的には制定、施行、保護された法的要件に対してGBIFが法的義務を順守する必要があるといった場合には、GBIFは個人データを抹消する必要はありません。
6.1.4. GBIF(または第三者)に正当な利益がある場合にあっても、この根拠に基づく取り扱いに異議を唱えたいと思わせる特別な事情がある場合、ユーザーは当該ユーザーの個人データを取り扱うことに異議を唱える権利を有します。
6.1.5. ユーザーは、当該ユーザーの個人データの取り扱いの制限を要求する権利を有することがあります。これにより、たとえば、個人情報の正確性や取り扱いの理由を明らかにしてほしい場合などに、ご自分の個人データの取り扱いを一時停止するよう依頼することができます。
6.1.6. ユーザーは、当該ユーザーの個人データを他のサービスへ移転する(データポータビリティとも呼ばれる)ことを要求する権利を有することがあります。
6.1.7. GBIFがユーザーの同意に基づいて当該ユーザーのデータを取り扱っている場合、ユーザーはいつでも同意を撤回することができます。同意の撤回を希望される場合は、9章に記載された連絡先にご連絡ください。
6.1.8. 解決されない懸念事項がある場合は、デンマークデータ保護機関(Danish Data Protection Agency)、居住または勤務している国あるいはデータ保護法違反があったと考えられる国のデータ保護当局に苦情を申し立てる権利があります。デンマークデータ保護機関の連絡先情報は、Danish Data Protection Agency are Borgergade 28, 5, 1300 København K、電子メールアドレスは dt@datatilsynet.dk 、電話番号は +45 33 19 32 00 です。
7. データの保持
7.1. 個人データは、本プライバシーポリシー通知に記載された目的を満たすために必要となる限り、保持されます。
7.2. GBIFのインターネットサービスを使用した場合、収集された情報は30日後に削除されます。
7.3. GBIFのインターネットサービスを介してユーザープロフィールを登録した場合、そのプロフィールはリクエストがあった場合にのみ削除されます。GBIFと公共の利益において研究および政策目的に関連する情報を保存するため、GBIFがユーザープロフィール、コミュニティフォーラムでのディスカッションの内容、および永続的な識別子が割り当てられたデータダウンロードに関する情報を削除することは通常、ありません(GDPR article 6(1)(f))。
7.4. 購読したニュースレターに関してマーケティングの同意を取り下げる場合、GBIFは収集した情報を30日以内に自動的に削除します。なお、同意の取り下げを記録した情報は、取り下げ後2年間保存されますので予めご了承ください。
7.5. GBIFに質問をしたり、連絡を取ったりした場合、収集した情報は5年後に削除されます。
7.6. GBIFデータベースにデータを公開する場合、通常、データ出版者の要求がない限り、そのデータを削除することはありません。
7.7. GBIFのインターネットサービスを通じてユーザーの連絡先情報を公開する際には、GBIFと公共の利益において、機関のサービス履歴や研究目的のデータの出所を維持するため、仮にユーザーがGBIFネットワークの関連機関または組織の代表ではなくなっても、その情報を保存する場合があります(GDPR article 6(1)(f))。
7.8. 例外として、個人データを使用する正当な利益がGBIFにある場合には、GBIFはその個人データを削除することはありません。
8. データセキュリティ
8.1. GBIFは、個人データの消失、不正アクセス、改ざん、開示を防ぐために、適正なセキュリティ対策を講じています。
8.2. また、GBIFは個人データにアクセスできる権限を持つ者を、業務を遂行するうえでユーザーの個人情報にアクセスする適切で合理的な必要性があり、機密を守ることを確約したか、もしくは法的に適正な守秘義務の下におかれた従業員および請負業者に限定しています。
9. 連絡先情報
9.1. GBIFは、収集された個人データのデータ管理者です。
9.2. 本プライバシーポリシー通知についてご質問がある場合や、ご自分の権利の行使を要求する場合は、下記の連絡先にご連絡ください。
Global Biodiversity Information Facility
Universitetsparken 15
DK-2100 Copenhagen Ø
CVR no. 29087156電話番号: +45 35 32 14 70
電子メールアドレス: info@gbif.org
10. 本プライバシーポリシー通知の変更
10.1. GBIFは、本プライバシーポリシー通知を随時、更新および変更する権利を有します。本プライバシーポリシー通知の変更は、https://www.gbif.org で公開されます。