プライバシーポリシー

1. 当社について

Qodeは、AIを活用した採用プラットフォームであり、当社のAI採用アシスタントであるTracyなどを通じて、組織による候補者のソーシング、連絡先情報の取得、応募者のスクリーニングおよび評価、面接のスケジューリング、ならびにプライベート・タレントプールの管理を支援します。当社は、個人データを保護し、適法、公正かつ透明性をもって処理することに尽力しています。

本プライバシーポリシー(以下「本ポリシー」といいます)は、Olik Pte Ltd(会社登録番号:202103692E)(以下「Qode」「当社」といいます)が、お客様による当社のウェブサイト、アプリケーションおよびサービス(以下「本サービス」といいます)の利用に際し、どのように個人データを収集、利用、開示、移転および保護するかを説明するものです。

1.1 当社のコンプライアンス

当社は、適用されるデータ保護法、プライバシー法および人工知能関連法(EU一般データ保護規則(GDPR)、英国GDPRおよび2018年データ保護法、EU人工知能法(EU AI Act)、ベトナム個人データ保護法および政令13/2023/ND-CP、ベトナム人工知能法、ならびにシンガポール個人データ保護法(PDPA)を含みます)を遵守して本サービスを設計・運営しています。当社の情報セキュリティプログラムは、AICPAのSOC 2 Type II基準に基づく独立した審査を受けています。

1.2 当社の役割:管理者または処理者

当社の役割は、状況によって異なります。

  • 管理者(コントローラー)。当社は、ウェブサイト訪問者、見込み顧客およびアカウント保有者の個人データ、当社のタレント検索インデックスを運営するために第三者および公開されている情報源からソーシング、集約およびエンリッチメントを行う候補者プロフィールデータ、ならびに本サービスの改善および保護のために利用するデータについて、管理者として行為します。
  • 処理者(プロセッサー)/サービスプロバイダー。当社は、お客様(雇用主および採用チーム)がプライベート・タレントプールおよび採用ワークフロー内でアップロード、インポートまたは管理する候補者データについて、お客様に代わって処理者として行為します。当該処理は、当社のデータ処理契約およびお客様自身のプライバシー通知に準拠します。

1.3 連絡先とアカウンタビリティ

2. 適用範囲

本ポリシーは、(a) 顧客を代表してアカウントを作成し、または本サービスを利用する個人としてのユーザー、(b) 本サービスに職業上のプロフィールが掲載され、または本サービスを通じて処理される個人としての候補者、(c) ウェブサイト訪問者、(d) 見込み顧客、既存顧客およびベンダーのビジネス上の連絡先を対象とします。

当社の顧客が候補者データの管理者である場合、本ポリシーに加えて当該顧客のプライバシー通知が適用されます。候補者は、当該データに関する要請を該当する顧客に直接行ってください。当社は、法律および当社のデータ処理契約により要求される範囲で、顧客の対応を支援します。

3. 当社が収集する個人データ

カテゴリー
身元・連絡先データ氏名、メールアドレス、電話番号、勤務先、役職、住所、職業上のプロフィールへのリンク
候補者の職業データCV/履歴書、職務経歴、ポートフォリオへのリンク、公開されている職業プロフィール情報、面接の都合、アセスメントおよびスクリーニングの出力
アカウント・取引データログイン認証情報、サブスクリプションおよび請求情報、サポート依頼、コミュニケーション履歴
利用・デバイスデータ検索クエリ、スケジューリング活動、タレントプール管理操作、ログデータ、IPアドレス、ブラウザおよびデバイス識別子、IPアドレスから推定されるおおよその位置情報、Cookieデータ
AIインタラクションデータTracyその他のAI機能との間で交換される入力および出力、ならびに品質、安全性および監査の目的で保持される関連ログ

3.1 個人データの取得元

  • お客様から直接(アカウント登録、アップロード、コミュニケーション、本サービスを通じて設定された面接)
  • 当社の顧客から(顧客が候補者情報を本サービスにアップロードまたはインポートする場合)
  • 公開されている情報源およびライセンスを受けた第三者データプロバイダーから(当社が候補者の職業プロフィールをソーシングまたはエンリッチメントする場合)。法律が要求する場合、当社は、利用した情報源のカテゴリーを含め、法定の期間内に候補者に対して当該処理について通知します。
  • 自動的に(お客様が本サービスを利用する際のCookieおよび類似の技術を通じて)

3.2 センシティブデータ

本サービスは、センシティブデータまたは特別カテゴリーのデータ(健康、人種的・民族的出自、宗教的信条、労働組合への加入など)を収集するようには設計されていません。当社は、顧客に対し、適法な根拠がない限りそのようなデータをアップロードしないよう指示しています。それにもかかわらずセンシティブな個人データが処理される場合、当社は、必要に応じてデータ主体への個別の通知を含め、適用法が要求する強化された保護措置を適用します。

4. 処理の目的と法的根拠

当社は、お客様の同意、契約の履行、法的義務の遵守、および当社の正当な利益(お客様の権利との比較衡量を行い、異議申立ての権利を確保した上で)を含む、適用法が認める法的根拠に基づいて個人データを処理します。ベトナム国内の個人については、他の法定の根拠が適用される場合を除き、主としてお客様の同意に依拠します。

目的データカテゴリーおよび根拠
本サービスの提供:候補者検索、連絡先取得、スクリーニング、面接スケジューリング、タレントプール管理身元、候補者の職業、アカウントおよびAIインタラクションデータ - 契約の履行。ソーシングされた候補者データについては正当な利益(比較衡量およびお客様の異議申立ての権利を条件とします)
AI機能(Tracyを含む)の運用および改善利用、AIインタラクションおよび候補者の職業データ - 正当な利益。必要な場合は同意
コミュニケーション:サービスに関する更新、通知、お問い合わせへの対応身元およびアカウントデータ - 契約の履行、正当な利益
マーケティング(現地法が要求するオプトイン/オプトアウトを伴います)身元および利用データ - 同意。許容される場合、ビジネス上の連絡先については正当な利益
セキュリティ、不正防止、濫用検知、監査ログ利用、デバイスおよびアカウントデータ - 正当な利益、法的義務
法令、規制当局および裁判所への対応、法的請求の立証または防御関連する範囲のデータ - 法的義務、正当な利益
分析および製品改善利用およびデバイスデータ(可能な場合は集計または仮名化したもの) - 正当な利益。必須ではないCookieについては同意

当社は個人データを販売せず、また、お客様に通知することなく、かつ必要な場合に同意を取得することなく、上記の目的と相容れない目的で個人データを処理することはありません。

5. 人工知能と自動化された意思決定

5.1 透明性:お客様はAIとやり取りしています

Tracyは人工知能システムです。お客様がTracyまたはその他の自動会話機能とやり取りする際、当社はそれがAIであることを明確に示します。本サービスを通じて生成されたAIコンテンツ(合成されたアウトリーチメッセージや要約など)には、法律が要求する場合、機械可読な形式を含め、その旨の表示またはラベル付けがなされます。

5.2 Qodeにおける採用へのAIの利用方法

  • 職務要件および検索クエリに対する候補者プロフィールのマッチングおよびランキング
  • CVの要約、スキルの抽出、面接質問の生成などのスクリーニング支援
  • スケジューリングおよび候補者へのコミュニケーションなどのワークフロー自動化

当社は、採用に利用されるAIが適用されるAI関連法の下で高リスクとして扱われることを認識しています。当社は、リスク管理、データガバナンスおよび品質管理、技術文書、ログ記録、正確性およびバイアスのテスト、ならびに実効的な人間による監督を含め、これに応じてこれらの機能を設計・運営しており、これらの機能のデプロイヤー(導入者)としての顧客自身の義務の履行を支援します。

5.3 人間による監督

QodeのAI機能は意思決定支援ツールです。本サービスは、候補者について法的効果または同様の重大な影響を生じさせる採用、不採用その他の最終的な決定を、完全に自動化された方法で行うことはありません。採用担当者および採用責任者がレビューを行い、結果について引き続き責任を負います。顧客が重大な影響を伴う自動化された意思決定を含む処理を設定する場合、当該顧客は、適法な根拠、実質的な人間の関与および法律が要求する保護措置を確保する責任を負い、Qodeはそのための契約上および技術上の手段を提供します。

5.4 AIに関するお客様の権利

  • AIシステムとやり取りしていること、およびコンテンツがAIにより生成されたものであることを知らされる権利
  • お客様に重大な影響を及ぼす自動処理に関与するロジック、ならびにその重要性および予想される結果について、有意義な情報を得る権利
  • 法的効果または同様の重大な影響を生じさせる決定について、人間によるレビューを求め、自己の見解を表明し、当該決定に異議を申し立てる権利
  • プロファイリングを含む、正当な利益に基づく処理に異議を申し立てる権利

6. 個人データの共有方法

  • 当社の顧客。候補者データは、その採用目的のために本サービスを利用する顧客が利用できるようになります。
  • サービスプロバイダー(復処理者)。ホスティング、クラウドインフラ、AIモデルプロバイダー、分析、コミュニケーション、決済およびカスタマーサポートのプロバイダーであり、本ポリシーおよび適用法に整合する秘密保持、セキュリティおよびデータ保護の義務を課す書面による契約に拘束されます。最新の復処理者リストは、ご請求に応じて提供します。
  • 専門アドバイザー(弁護士、監査人、保険会社)。秘密保持義務の下で共有されます(当社のSOC 2審査を実施する監査人を含みます)。
  • 当局および法的手続。適用法または権限ある公的機関による有効かつ拘束力のある要請により要求される場合、当社は必要最小限の情報を開示し、適法な場合には影響を受ける顧客に通知します。
  • 企業取引。合併、買収、資金調達または資産の売却の場合、秘密保持および保護の継続性を条件として共有されることがあります。管理者の変更があった場合は、お客様に通知します。

当社は、個人データを販売または貸与せず、また、第三者がその独自のダイレクトマーケティングに利用するために個人データを共有することはありません。

7. 国際データ移転

当社は、お客様の所在国以外の国(シンガポール、米国、ベトナム、インドネシアを含みますが、これらに限られません)に個人データを移転する場合があります。その場合、当社は、十分性認定、承認された標準契約条項もしくは同等の移転メカニズム、移転影響評価、必要な場合の規制当局への届出または通知、ならびに転送時および保存時の暗号化や厳格なアクセス制御などの補完的な技術的措置といった、移転元の法域の法律が要求する保護措置を適用します。お客様は、第1.3条記載の連絡先を通じて、関連する保護措置の写し(必要に応じて一部黒塗りしたもの)を請求することができます。

8. データの保持

当社は、本ポリシーに記載された目的のために必要な期間に限り個人データを保持し、その後は削除するか、または不可逆的に匿名化します。目安となる期間は以下のとおりです。

データ保持期間の目安
アカウントデータアカウントの存続期間+閉鎖後90日間。ただし、法的請求または法定の記録保持のために必要な場合を除きます
顧客が管理する候補者データ(Qodeが処理者の場合)顧客の指示およびデータ処理契約に従います。契約終了時には60日以内に削除または返却します
ソーシングされた候補者プロフィール(Qodeが管理者の場合)四半期ごとに見直し・更新します。異議申立て/消去請求があった場合、または正確性もしくは必要性が失われた場合に削除します
AIインタラクションログ12か月間(セキュリティ、品質および監査の目的)
請求・税務記録適用される税法および会計法により要求される期間
セキュリティログ12か月間

適用法がより短い期限を定める場合、当社はこれに従います。特に、ベトナム国内の個人が同意を撤回し、または有効に削除を請求した場合、当社は、法定の例外を除き、受領後72時間以内に当該請求に対応します。

9. データセキュリティとSOC 2

当社は、AICPAのトラストサービス規準(Trust Services Criteria)に整合した、文書化された情報セキュリティプログラムを維持しています。Qodeは、セキュリティ、可用性および機密性の規準を対象として、継続的な監査期間にわたる独立したSOC 2 Type II審査を受けており、その報告書はNDAの締結を条件として顧客に提供されます。当社の措置には以下が含まれます。

  • 転送時(TLS 1.2以上)および保存時における個人データの暗号化
  • ロールベースのアクセス制御、最小権限の原則に基づく権限付与、多要素認証および定期的なアクセスレビュー
  • ログ記録および継続的な監視、脆弱性管理ならびにペネトレーションテスト
  • セキュアなソフトウェア開発ライフサイクル、変更管理および環境の分離
  • ベンダー/復処理者のリスク評価および契約上のセキュリティ義務
  • 事業継続、災害復旧およびテスト済みのバックアップ手順
  • 従業員の秘密保持誓約、適法な範囲での経歴確認、ならびにセキュリティ研修

9.1 個人データ侵害の通知

当社は、文書化されたインシデント対応計画を維持しています。個人データの侵害が発生した場合、当社は、不当な遅滞なく、かつ適用法が要求する期間内(当社の事業を行う法域の多くでは、侵害を認識してから72時間以内)に、所管の規制当局および必要な場合には影響を受ける個人に通知し、また、影響を受ける顧客が自らの義務を履行できるよう、不当な遅滞なく当該顧客に通知します。

10. お客様の権利

適用法に定める条件および例外に従い、お客様には以下の権利があります。

  • 自己の個人データがどのように処理されるかについて知らされる権利
  • 自己の個人データにアクセスし、その写し(ポータブルな形式を含みます)を受領する権利
  • 不正確または不完全なデータの訂正・修正を求める権利
  • 自己のデータの削除・消去を請求する権利
  • プロファイリングおよびダイレクトマーケティングを含む処理の制限または処理への異議申立てを行う権利(ダイレクトマーケティングはいつでもオプトアウトできます)
  • いつでも同意を与え、拒否し、または撤回する権利(撤回前の処理の適法性には影響しません)
  • 法律で認められる場合を除き、法的効果または同様の重大な影響を伴う完全に自動化された決定の対象とされない権利
  • お客様の現地法の定めるところにより、規制当局に苦情を申し立て、法的手続を開始し、違反に対する損害賠償を請求する権利

10.1 権利行使の方法

請求は privacy@qode.world までご提出ください。本人確認をお願いする場合があります。当社は、適用法が定める期間内(通常は1か月以内、より短い法定期限が適用される場合は当該期限内)に対応します。

11. 同意と撤回

当社が同意に依拠する場合、同意は明確な積極的行為により取得され、目的ごとに特定され、印刷または再現可能な形式で記録されます。沈黙または不作為は同意を構成しません。お客様は、アカウント設定または当社への連絡により、いつでも同意を撤回することができます。撤回は、撤回前の処理の適法性に影響しません。撤回があった場合、当社は当該処理を中止し、適用法が要求する期間内に確認の連絡を行います。

12. Cookieおよび類似の技術

当社は、本サービスの運営のために厳密に必要なCookieを使用し、必要な場合にはお客様の同意を得た上で、分析用および機能用のCookieを使用します。お客様は、当社のCookieバナーおよびブラウザの設定を通じて、設定を管理することができます。

13. 児童

本サービスは業務上の利用を目的としており、児童を対象としていません。当社は、16歳未満(または適用法が定めるより高い年齢未満)の者の個人データを故意に処理することはありません。現地法が要求する場合、児童の個人データの処理は、親または保護者の同意がある場合に限り行われます。当社が児童のデータを保有しているとお考えの場合は、当社までご連絡ください。当該データを削除いたします。

14. 本サービスに対するクローリングおよびスクレイピングの禁止

当社は、本サービスからデータを抽出するための自動化されたシステムまたはソフトウェア(ボット、クローラー、スクレイパーを含みます)の使用を禁止します。これは、本サービス内の個人データを不正なアクセスおよび開示から保護するためです。違反した場合、利用停止、契約終了および法的措置の対象となることがあります。

15. 本ポリシーの変更

当社は、本ポリシーを随時更新することがあります。当社は、「最終更新日」を改訂した上で更新版を本ページに掲載し、重大な変更については、合理的な事前通知(電子メールまたは製品内通知など)を行い、法律により要求される場合には、改めて同意を取得します。

16. お問い合わせ

本ポリシーまたは当社のデータの取扱いに関するご質問は、 privacy@qode.world までお問い合わせください。