アマデウスとGDPR

最終更新日 - 2018年5月

欧州連合の新しい一般データ保護規制(GDPR)は2018年5月25日に発効されました。この規制は既存データの保護法を更新し、最近のテクノロジーの進展、グローバライゼーション、複雑な個人データの流れを考慮して個人データの保護を強化することを目的としています。これは現在のデータ保護法を近代化したものです。

GDPRはEU内で個人データを処理する組織に適用されますが、同時にEU内の個人を標的とする、または商品やサービスを提供するEU外の組織にも適用されます。

規制の遵守はアマデウスの最優先事項の一つです。アマデウスは、GDPRの下での要件に対処するため社内のGDPRプログラムを実施しています。このプログラムにはアマデウスのシステムの評価が含まれています。この評価では、GDPRの要件に準拠する上で個人情報の処理システムに必要となる変更が特定され、個人データの処理方法が文書化されています。このレビューでは、旅行業界標準が考慮されており、GDPR要件が満たされると同時に旅行業界のニーズも満たされることが保証されています。

当社の目標は、これまでも、また現在も個人データがGDPRの新しい透明性と説明責任の要件に従って処理されることを確認することであり、アマデウスがGDPRの下での要件に対処できるよう、十分な保護を施し、当社の顧客がすべてのコンプライアンス義務を果たすことができるよう、情報提供を行うことにより支援することです。

当社のアマデウスGDSプライバシー通知は、 こちらに説明されています。

当社のアマデウスの顧客とビジネスパートナーのプライバシー通知は こちらをご覧ください。

GDPRに関する詳細情報は以下の用語集、よくある質問(FAQ)セクションおよび当社のプライバシー原則をご覧ください。さらにご質問がある場合には、お客様のアカウントマネージャーまでお問い合わせください。

用語集

個人データ:個人データとは、識別される個人または識別可能な個人に関するあらゆる情報を指します。つまり、当社が処理または取り扱う情報から個人を特定できる場合、たとえ名前でなくても、個人データを扱っている可能性が大きいことを意味します。

データ処理者:データ管理者に代わり、またその指示に従って処理を行う事業体。

データ管理者:個人データを処理する意味と目的を決定する事業体。アマデウスは、GDSとしての役割においてデータ管理者であるとみなされます。
 

FAQ

ご質問は、通常のアマデウスにおける連絡先を使用して送信してください。

  1. アマデウスはGDPRを遵守していますか?
    はい。アマデウスはGDPRにより導入された新しい要件を遵守しています。特にGDPRではプライバシーバイデザイン(Privacy by Design)を導入し、個人に向けた透明性と処理に関する当社の顧客の基本を重要視しています。
  2. リージョナル・オフィスおよび子会社もすべてGDPRを遵守していますか?
    2017年および2018年第1四半期に当社は社内GDPRプログラムを実施し、新しい規制への適応と準備を行いました。当プログラムの一貫として、当社は、組織全体の個人データを処理する事業部門およびソリューションの評価を行いました。
  3. 個人データが製品またはサービスで処理される場合、アマデウスはどのようにしてGDPRを遵守しますか?
    アマデウスは顧客へのサービス提供においてGDPRを遵守します。データ管理者として、アマデウスは、GDSとしてのアマデウスに適用されるGDPRおよびGDSのセクター特有のプライバシー法を遵守します。またデータ処理者として、アマデウスは顧客との契約上の義務を遵守し、GDPRの下でデータ管理者として担う直接の責任を果たします。
  4. アマデウスの顧客にサービスを提供する際、コンプライアンスのために顧客データはどのように管理されますか?
    顧客に対するITプロバイダーとして、当社は顧客の指示の下で業務を行います。一般的にアマデウスのシステム機能は顧客の要件を満たすよう開発されており、顧客のニーズの変更に対応するためのプロセスが設けられています。GDPRの施行に備え、当社は、処理業務に不可欠な透明度を導入しました。そのため、顧客はコントロールを持ち続け、またその顧客基盤に対しても、透明性の要件を満たすことができます。
  5. GDPRを遵守するためにプロセスを変更しましたか?
    当社は、事業体の処理業務を証明するデータの収集、プライバシーバイデザインなど、GDPRの様々な重点領域に関し新しいプロセスを導入しました。
  6. アマデウスから直接情報を受け取る必要がある場合の問い合わせ先は?
    ご質問は、通常のアマデウスにおける連絡先を使用して送信してください。
     

アマデウスのプライバシー原則

情報、特に個人データはアマデウス事業の中核であり、個人データの取り扱いは不可欠です。このためデータプライバシー/データの保護は、アマデウスグループにおいて高い優先度を占めています。そのため、アマデウスはアマデウスのプライバシー原則を遵守するよう尽力してきました。

アマデウスのプライバシー原則は、当社の企業ポリシー、標準およびプロセス、および最終的にはその行動に反映されるものとして、アマデウスのプライバシーフレームワークの基本となります。

グローバル企業として、アマデウスは、アマデウスのプライバシー原則の策定において、国際的に認知されている標準(国際連合のガイドライン、OECDのガイドライン、ISO/IEC 29100)、ならびに欧州連合の一般データ保護規則(GDPR)を考慮しました。

 

アマデウスのプライバシー原則
アマデウスのプライバシー原則インフォグラフィック

 

透明性アマデウスの個人データ処理方法を通知する
合法性

当社は以下の義務を負います:

  • 個人データの処理するための許容される法的根拠を持つこと(契約、法的義務、正当な利益または個人の同意など)。
  • データに関して違法な行為をしないよう徹底すること。
透明性当社は個人データの処理方法について透明でなくてはならず、(1) 個人データを収集する際には個人に適切なプライバシー通知を提供し、(2) データの保存、処理の流れ、アクセスに関する適切な情報を顧客に提供する必要があります。
データ主体の権利の尊重

データ主体は以下の権利を有します:

  • 自分の個人データの収集と処理に関して通知を受ける権利
  • 自分の個人データにアクセスする権利
  • 処理業務および自動化手段により行われる決定に反対する権利
  • 不正確な個人データの訂正を依頼する権利
  • 自分の個人データの削除する権利および忘れられる権利、および
  • データポータビリティの権利。

 

ポータビリティサービスを提供するため必要に応じて個人データを処理し、知る必要のある場合に限りアクセスを許可する
目的に関する制限

当社は、当初から個人データ処理の目的およびその意図する使用用途を特定する必要があります。

当社は、これらの特定の合法的な目的のためのみに個人データを処理できます。

データ最小化

当社は以下の制限を行う必要があります:

  • 保有する個人データは特定の目的に厳重に必要な情報のみとする
  • 知る必要のある者のみが個人データにアクセスする。
保存に関する制限

当社は以下の義務を負います:

  • 個人データは、目的の達成に必要な期間中のみ保持され、
  • その後は安全に削除されるか、匿名化されます。
正確性当社は、個人データが正確、完全、最新である(データを古い状態で保つ法的根拠がある場合を除く)よう徹底する必要があります

 

十分な保護個人データを安全に保ち、極秘として取り扱います
セキュリティ当社は、個人データを損失または不正アクセス、破壊、使用の変更または開示などのリスクから保護するため、適切な技術的および組織的対策を講じる必要があります。
データ転送当社は、個人データを別の関係者に転送する前に、データが十分に保護されることを確認する必要があります。