第1条（适用范围及优先关系） #

1. 本政策适用于我司在本网站及本服务的提供相关中取得、利用、保管、提供及其他处理（Processing）的个人数据等的处理。
2. 若我司就本服务另行规定或显示隐私或信息管理相关的规定、表示（包括使用规则、个别画面上的显示、指南等），该规定、表示应补充本政策，若两者相冲突，以该规定、表示为优先。
3. 若我司与客户就与本服务相关的集成服务、导入支持、个别开发、咨询等个别项目签订保密协议（NDA）及其他个别契约（以下简称”个别契约”），且该个别契约包含个人数据等或机密信息的处理相关条款，则该条款优先于本政策适用。
4. 前项不影响该个别契约在适用法律允许的范围内，不得免除或限制我司根据适用法律（包括GDPR）承担的义务或数据主体（Data Subject）的权利。

第2条（用语定义） #

本政策中使用的主要用语定义如下：

1. 「个人信息」：指《个人信息保护法》及其他法律规定的个人信息。
2. 「个人数据（Personal Data）」：指GDPR中的个人数据，或构成个人信息数据库等的个人信息。
3. 「处理（Processing）」：指取得、记录、编辑、保管、利用、提供、删除及其他一切处理。
4. 「数据主体（Data Subject）」：指可通过个人数据识别的个人。
5. 「控制者（Controller）」及「处理者（Processor）」：指GDPR中规定的控制者及处理者。
6. 「Cookie等」：指通过Cookie、广告标识符、设备标识符及其他类似技术获取的信息。
7. 「使用日志」：指访问日志、IP地址、浏览器信息、操作历史、认证及安全日志及随本服务等的使用自动生成、积累的其他记录。

第3条（我司的角色：控制者/处理者） #

1. 我司原则上对与我司客户管理、计费、支持、营销、本网站运营等相关的个人数据等，作为控制者（Controller）进行处理。
2. 另一方面，对客户在云/VPS (虚拟专用服务器)等中保存、处理的数据（可能包括客户从最终用户等获取的个人数据，以下简称”客户内容”），若我司出于维护、运营支持等目的进行处理，我司可能根据契约内容作为处理者（Processor）进行处理。在该情况下，我司将根据个别契约（包括DPA等）及客户的合理指示进行处理。

第4条（获取的个人数据等） #

我司在提供本服务过程中，可能获取以下个人数据等：

1. 账户·契约信息：姓名（包括负责人姓名）、公司名称、部门名称、地址、电话号码、电子邮件地址、登录ID、认证信息、契约内容等
2. 计费·结算信息：计费信息、交易ID、结算状态、发票·收据信息等
   • 若使用支付代理服务，我司可能不保持信用卡号等信息。
3. 支持相关信息：咨询内容、工单内容、处理历史、通信内容、障碍应对所必需范围内的设置信息·日志等
4. 技术信息·使用日志：IP地址、访问日期和时间、设备/浏览器信息、OS信息、浏览页面、引荐来源、认证及安全日志、操作历史、Cookie等
5. 域名/SSL相关信息（如适用）：注册人信息、WHOIS相关信息、DNS设置信息、证书申请信息（域名所有权确认信息、组织信息等）
6. 反不正当使用对策信息：检测不正当订单、不正当访问等所必需的信息（交易相关信息、日志、标识符等）
7. 营销相关信息（如实施）：邮件配信的同意/停止状态、问卷回答、活动报名信息等
8. 其他：我司在本服务申请界面、设置界面等中指定的信息

第5条（利用目的） #

我司将获取的个人数据等用于以下目的：

1. 本服务的提供、账户管理、契约的履行、身份确认（如实施）
2. 服务费用的计费、结算、入款确认、退款处理、会计·税务处理
3. 服务运营（监视、障碍应对、安全对策、备份、维护等）
4. 咨询应对、支持提供、重要通知（规则变更、障碍通知等）的通知
5. 域名注册/迁移/续订、DNS管理、SSL证书的申请·发放·更新等手续
6. 反不正当使用、使用规则违反应对、权益保护、纠纷应对
7. 本服务的改进、新功能开发、使用情况分析、统计数据创建（包括以不能识别个人的形式进行的情况）
8. 活动、电子邮件通讯等的信息

第6条（GDPR中处理的法律依据） #

当我司处理EEA/英国等的数据主体的个人数据时，我司主要基于以下法律依据进行处理：

1. 契约的履行（Contract）：本服务提供、账户管理、支持应对等
2. 法律义务的遵守（Legal Obligation）：会计·税务、基于法律的应对等
3. 正当利益（Legitimate Interests）：确保安全、反不正当使用防止、品质改进、纠纷应对等（我司将根据需要进行利益平衡）
4. 同意（Consent）：营销配信、需要同意的Cookie等（同意随时可撤回）
5. 重大利益（Vital Interests）：生命·身体的保护等

第7条（提供的自愿性·不提供的影响） #

1. 个人数据等的提供原则上是自愿的，但若无法提供本服务所必需的信息，可能无法使用本服务的全部或部分。
2. 营销配信或任意问卷等，将以不会因不提供而产生不利益的形式运营（但存在特殊权利的情况除外）。

第8条（第三方提供） #

1. 除适用法律许可的情况外，我司不会在未获得本人同意的情况下向第三方提供个人数据。
2. 但在本服务提供所必需的范围内，可能向以下类型的第三方提供（提供对象包括国内外）：
   1. 结算事业者·金融机构（信用卡结算、PayPal等）
   2. 域名注册相关事业者（注册商、注册局等）
   3. SSL证书相关事业者（认证机构、审查机构等）
   4. 反不正当检知·安全相关事业者
   5. 配信·通知·支持工具等的提供事业者
3. 随着域名注册等，根据注册局等的规则，注册信息的一部分可能被公开或向第三方披露（因TLD和注册形态而异）。
4. 我司可能根据法律要求的披露请求（法院、行政机构等），在必需范围内提供个人数据等。

第9条（委托·子处理者） #

1. 我司可能在达成利用目的所必需的范围内，将个人数据等的处理的全部或部分委托给第三方。
2. 我司在选择委托对象时，按照恰当的标准进行审查，通过委托契约等要求安全管理措施·保密等，进行必要且恰当的监督。
3. 当我司作为处理者处理客户内容时，我司可能根据契约使用子处理者。

第10条（国际转移） #

1. 我司为提供本服务，可能在EEA/英国域外（包括日本）处理个人数据等。
2. 对于适用GDPR的转移，我司将采取充分性认定、标准契约条款（SCC）等基于适用法律的适当保护措施。
3. 如希望获得有关国际转移的追加信息，请联系第21条中的联系方式。

第11条（保存期间·删除） #

1. 我司仅在达成利用目的所必需的期间内保有个人数据等，不需要时进行适当的删除·匿名化等。
2. 我司根据客户端门户的设置，基本按照附表1（保存期间·删除标准）进行数据保持·删除。
3. 但在法律遵守（会计·税务等）、权益保护（纠纷应对等）、安全确保或其他正当理由存在时，我司可能在必要最小限度范围内保持数据。
4. 若客户通过个别契约（DPA/NDA等）与我司合意了不同的保存期间·删除条件，该合意优先适用（但仅限不违反适用法律的范围）。

第12条（数据主体的权利） #

当GDPR等适用时，数据主体在法律范围内享有以下权利：

1. 访问权（确认持有的个人数据）
2. 更正权
3. 删除权（「被遗忘权」）
4. 处理限制权
5. 数据可携带权
6. 异议权（对基于正当利益等的处理的异议）
7. 同意撤回权（基于同意的处理）
8. 向监管机构的申诉（投诉）

第13条（权利行使的程序·回复期限） #

1. 前条的请求（以下称「权利行使请求」）由第21条的联系方式受理。
2. 在行使权利请求时，我司可能为了身份确认（或代理权确认）要求提示追加信息。
3. 我司将根据适用法律，原则上在请求受理后1个月内作出回复。但若请求复杂或数量众多，我司可能在适用法律允许的范围内延长回复期限。
4. 若我司根据适用法律无法应对权利行使请求，或请求超出合理范围，我司可能不应对该请求。在该情况下，我司将在可能的范围内说明原因。

第14条（客户端门户中的导出及删除） #

1. 我司在客户端门户中提供了客户可以导出自身信息的机制。可导出的范围可能因我司的提供情况而变更，例子包括：
   • 联系方式
   • 账户/服务
   • 域名
   • 变更日志
   • 交易（结算·交易）
   • 发票
   • 工单
2. 我司在客户端门户中提供了客户可以申请删除自身账户的机制。
3. 当提出账户删除申请时，我司将在一定的缓冲期经过后，删除或匿名化等所持有的个人数据等。
4. 前项不影响我司为法律遵守（会计·税务等）或权益保护（纠纷应对等）的需要，在必需范围内保持部分信息（例：已支付发票等）。

第15条（Cookie等的使用） #

1. 我司为提升本网站的便利性、确保安全、进行访问分析等，可能使用Cookie等。
2. 对于其中需要同意的Cookie等，我司将根据适用法律提供取得同意的机制。
3. 客户可通过浏览器设置拒绝Cookie，但在该情况下，本网站或本服务的部分功能可能无法使用。

第16条（访问分析·广告等） #

1. 我司可能为改进服务等目的使用访问分析工具等。通过访问分析工具等收集的信息，将根据相应工具提供者的规定进行处理。
2. 若我司使用广告配信服务，相应事业者可能通过Cookie等获取浏览信息等。
3. 若我司使用分析、广告相关工具，必要时将在本网站上公示工具名称、退出方式等。

第17条（安全管理措施·信息安全） #

1. 我司为防止个人数据等的泄露、灭失、毁损、不正当访问等，采取组织性、人员性、物理性、技术性安全管理措施。
2. 我司实施包括访问权限管理、认证加强、加密、日志管理、脆弱性应对、委托对象监督等在内的合理对策。
3. 对于客户内容，当我司作为处理者进行处理时，我司将根据契约采取恰当的技术性·组织性措施。

第18条（个人数据泄露的应对） #

当发生个人数据泄露（泄露、灭失、毁损、不正当访问等）时，我司将根据适用法律进行影响评估、再发防止、向监管机构通知及向数据主体通知（如需要）等应对。

第19条（自动化决策·特征分析） #

我司可能为反不正当使用防止、安全确保等目的，自动分析使用情况等。当法律要求进行会对数据主体造成重大影响的自动化决策（包括特征分析）时，我司将根据适用法律提供必要的信息等。

第20条（未成年人） #

我司不会有意收集未成年人的个人数据等。当未成年人使用本服务时，根据适用法律，可能需要获得父母等监护人的同意。

第21条（联系方式） #

有关本政策、个人数据等的处理、披露等的请求、投诉·咨询，请通过以下方式联系：

• 事业者名：BESTNET LLC
• 窗口：个人数据咨询窗口
• 联系方式：咨询表单URL
• 受理时间：平日10:00～17:00（不含法定假日、年末年初）

第22条（事业者信息） #

• 事业者名：BESTNET LLC
• 地址：宫城县大崎市田尻大贯字北长根161-1
• 代表人：代表社员 珍田秀幸

第23条（EEA/英国居住者的追加信息） #

1. 当我司根据GDPR等域外适用处理EU/EEA或英国居住者的个人数据时，数据主体有权向自身居住地等所属的监管机构提出投诉。
2. 我司将根据需要选任EU/英国代表人，并在本网站上公开其联系方式。

第24条（修订） #

1. 我司可能根据法律修订、服务变更等修订本政策。
2. 修订后的本政策将通过本网站上的发布等我司认为恰当的方式通知，并自发布日期或我司规定的日期起适用。