プライバシーポリシー

1988年プライバシー法（連邦法）およびオーストラリアプライバシー原則（APP）、EU一般データ保護規則（EU GDPR）、および英国一般データ保護規則（UK GDPR）の目的において、Recoプラットフォームを通じて収集された個人情報のデータ管理者は以下のとおりです。

EU一般データ保護規則（GDPR）で義務付けられている場合、当社のEU代理人はプラットフォーム上に公開されます。英国一般データ保護規則（GDPR）で義務付けられている場合、当社の英国代理人はプラットフォーム上に公開されます。

Recoは個人情報を2つの異なる役割で取り扱います。

• データ管理者として、お客様がアカウントの作成および使用のために当社に直接送信する情報（例：氏名、メールアドレス、アカウントのアクティビティ）について、本ポリシーは当該処理を対象としています。
• データ処理者として、プロバイダーが紹介招待を送信するために顧客の連絡先データをプラットフォームにアップロードする場合。この場合、プロバイダーがデータ管理者となり、当社はデータ処理補足条項に基づきプロバイダーに代わってデータを処理します。セクション12を参照してください。

「Reco」はブランド名および製品名です。法人名はNetfect Platforms Pty Ltdです。本ポリシーにおけるRecoへの言及は、Recoとして事業を行うNetfect Platforms Pty Ltdを指します。

当社は、第4項に記載された目的のために必要な個人情報のみを収集します。収集する個人情報のカテゴリーは以下のとおりです。

当社は以下の情報を収集しませんし、お客様も以下の情報を送信しないでください。

• 政府発行の識別番号（納税者番号、パスポート番号、運転免許証番号）。
• クレジットカード番号または銀行口座情報（これらは当社の決済代行業者によって処理されます）をすべて入力してください。
• 生体認証情報または遺伝子情報。
• プラットフォーム外で使用するサードパーティ製アプリ（WhatsApp、iMessageなど）を介して送信された紹介リンクの内容については、リンクが生成されたという事実のみが記録され、送信先は記録されません。

紹介者が紹介を送信すると、以下の手順が順番に発生します。

1. 紹介者は紹介者の連絡先情報（氏名と、メールアドレスまたは携帯電話番号のうち少なくとも1つ）を提供します。当社は紹介手続きを行うためにこれらの情報を収集します。
2. 紹介者には、選択されたチャネルを通じて、誰が紹介したか、どのプロバイダーが関わっているか、そして選択肢について明確に説明した上で、直ちに通知します。
3. 審査員は、 受け入れるか、拒否するか、無視するかを選択できます。拒否は、最初のメッセージと、審査員がアクセスするすべてのプラットフォームページで可能です。
4. 紹介者がオプトアウトした場合、当社はその紹介に関する今後の連絡を停止し、合理的な期間内にその連絡先情報を削除し（同じチャネルでの今後の招待の停止を継続するために必要な場合を除く）、紹介者に紹介が進行しなかったことを通知します（理由は明らかにしません）。
5. 紹介者が紹介内容を確認すると、紹介者の氏名と連絡先が該当するプロバイダーと共有され、プロバイダーは報酬を送付し、フォローアップを行うことができます。この情報共有に対する紹介者の同意は、確認ステップで記録されます。

当社は、機密情報（プライバシー法およびGDPRで定義されている情報、健康状態、人種または民族的出自、政治的意見、宗教的信条、性的指向、労働組合への加入、生体認証データまたは遺伝子データ、犯罪歴など）を求めません。

Recoは医療関連分野のプロバイダーによって利用されているため、クライアントはレビューやメッセージに機密情報を含めないようにしてください。もし含めてしまった場合、それは任意で提供されたものとみなし、他の個人情報と同様の保護措置の下で保管します。削除をご希望の場合は、いつでもご連絡ください。

プロバイダーが個々のアソシエイトのレビューを可能にする場合、アソシエイトはプロバイダーから通知を受け、プラットフォーム上でレビュー対象となる前に同意していなければなりません。アソシエイトには以下の権利があります。

• 彼らについて投稿された内容を確認する。
• 事実と異なる内容の訂正を依頼する。
• レビューから名前を匿名化または削除するよう要求する。
• 今後、審査対象となる関係者リストから彼らを削除するよう要請する。

ご要望はprivacy@reco.tipsまでお送りいただくか、プロバイダーを通じてお申し出ください。

Recoは成人向けサービスです。当社は18歳未満の方から個人情報を意図的に収集することはありません。詳細は第16項をご覧ください。

このプラットフォームは、プロバイダーが報酬の説明文や報酬条件を作成する際にAIを活用します。プロバイダーがこれらの機能を使用すると、次のようになります。

• プロバイダーからの入力情報（通常は簡単な事業概要と好み）は、処理のためにAIサービスプロバイダーに送信されます。
• 当社は、お客様の個人コンテンツを第三者のAIモデルのトレーニングに使用することはありません。 AIサービスプロバイダーとの契約により、彼らが当社のAPI入力をトレーニングに使用することは禁止されています。
• AIの出力はあくまでも草稿です。サービス利用規約第6条に記載されているとおり、プロバイダーはこれらの出力を確認し、採用する責任を負います。

プロバイダーは、必要最低限の範囲を超えて個人情報をAI機能に入力してはならず、また、自社の顧客に属する機密情報や秘密情報を入力してはなりません。

本プラットフォームには、不正操作の兆候に基づいて紹介を評価する自動不正検出機能が搭載されています。不正の兆候が検出された場合、紹介が審査のために保留されたり、料金が返金されたり、アカウントが停止されたりする可能性があります。

• これらの結果は完全に自動化されているわけではありません。プロバイダーアカウントの停止など、お客様に重大な影響を与える重要な決定については、人間が関与します。
• プロバイダーが不正行為のフラグに異議を申し立てた場合、利用規約第15条に規定されている14日間の異議申し立て期間が適用され、担当者がその決定を審査します。
• 当社がGDPR第22条の適用を受ける場合、お客様には人間の審査を要求したり、意見を表明したり、決定に異議を申し立てたりする権利があります。privacy@reco.tipsまでご連絡ください。

当社はプラットフォームの運営に少数のサービスプロバイダーを利用しています。これらのプロバイダーは、適切なセキュリティと機密保持を義務付ける書面による契約に基づき、当社の指示に従って個人情報を処理し、自社の目的でデータを使用することはできません。当社が使用するカテゴリは以下のとおりです。

• クラウドホスティング、データベース、認証、ファイルストレージ（現在はGoogle LLCが運営するGoogle CloudとFirebase）。
• 決済処理および定期購読料の請求（現在はStripe, Inc.およびその地域関連会社が担当）。Stripeはカードデータを直接取り扱い、独自のプライバシーポリシーに基づき、その処理に責任を負います。
• トランザクションSMSおよびメール（現在はTwilioとメール配信プロバイダーが利用しており、当社の最新のサブプロセッサーリストに掲載されています）。
• 住所検索と地図表示（現在は、国に応じた機能を提供するため、Google マップ プラットフォームを使用しています）。
• ヘルプデスクおよびメールによるやり取りのための顧客サポートツール
• 第7節で説明するAIドラフト機能を支えるAIサービスプロバイダー。

現在のサブプロセッサー一覧はプラットフォーム上に公開されており、サプライヤーの変更に応じて更新されます。プロバイダーは、データ処理に関する追加条項に基づき、サブプロセッサーの変更通知を購読できます。

紹介者が紹介内容を確認すると、紹介者の氏名と連絡先を該当するプロバイダーと共有し、プロバイダーが報酬を届け、フォローアップできるようにします。この共有は以下のとおりです。

• 審判が確認した後にのみ発生します。
• 照会先が照会の目的で提供した情報に限定される。
• 紹介者の氏名以外の情報は含まれません（プロバイダーが新規顧客を紹介した人物を特定し、紹介者報酬を支給できるようにするため）。

情報が共有されると、プロバイダーは紹介者へのフォローアップに関して当該情報の管理者となり、プロバイダーのプライバシーポリシーが適用されます。

当社は個人情報を以下の者と共有する場合があります。

• 必要に応じて守秘義務を負う専門アドバイザー（弁護士、監査人、保険会社など）
• 当局は、合法的な要請（裁判所命令、召喚状、有効な規制当局の要求）に応じて情報を提供します。当社は各要請を精査し、要請が広範すぎる場合や違法な場合は拒否します。
• 事業売却、合併、再編、または同様の事象に関連して後継事業体となり、後継事業体は本ポリシーと同等以上の保護義務を負うものとします。

当社は、個人情報を海外に転送する前に、受領者が本ポリシーおよび適用法に従って個人情報を取り扱うことを保証するために、以下の合理的な措置を講じます。

• APP 8（オーストラリアプライバシー原則）の対象となる移転については、受領者のプライバシー体制を評価し、APPと同等の取り扱いを確保するための合理的な措置を講じる。
• EEA/英国の個人データを十分性認定のない国へ移転する場合、欧州委員会の標準契約条項（または該当する場合は英国IDTA/英国補足条項）および、関連する場合には、シュレムスII判決および現在のEDPB/ICOガイダンスに基づく補足措置に依拠する。

現在のリストには、オーストラリア（主要サーバー）、米国（クラウドホスティング、決済処理、AIサービス）、欧州経済領域（メール配信、バックアップリージョン）、および英国が含まれています。このリストは、当社のサブプロセッサーリストとともにプラットフォーム上で公開されています。

本プラットフォームを利用することにより、お客様は、個人情報の一部が第8.1項に記載されているサービスプロバイダーによって海外で処理されることを承諾するものとします。当社がAPP-8と同等の措置を講じることができない場合、当社は移転前にお客様の個別の同意を求めます。

正式な申請を行う前に、アカウント設定で以下の項目を含む個人情報の大部分を自分で管理できます。

• プロフィール情報 — 名前、連絡先、所在地、言語、タイムゾーンを表示、修正、更新できます。
• 表示と共有 — 公開プロフィールやコミュニティページに表示される内容、および紹介を検証する際にプロバイダーと共有するフィールドを選択します。
• 通知設定 — メール、SMS、プッシュ通知、アプリ内アラートのどれを受け取るか、メッセージのカテゴリ（サービス、紹介活動、マーケティング）と頻度を選択します。
• マーケティング設定 — マーケティング関連の連絡はいつでも受信または受信停止できます。これは、アカウントの運用に必要なサービス関連の連絡とは別個のものです。
• レビュー設定（プロバイダー）—個々のアソシエイトをレビューできるかどうか、またどの程度の詳細度でレビューできるかを制御します。
• 接続済みプロバイダー（クライアント）— 接続されているプロバイダーを確認し、いつでも切断できます。
• アカウントの閉鎖とデータの削除 — 設定からアカウントと関連する個人情報の削除を開始します。

設定を変更すると、変更はすぐに反映され、情報処理方法を調整する最も迅速な方法となります。アカウント内のコントロールを使用することは、ほとんどの場合、このセクションに基づく正式な権利要求を行うことと同等です。設定がご希望どおりに機能しない場合は、いつでも正式な要求（セクション11.11）にエスカレートできます。

お客様は、当社が保有するお客様の個人情報のコピーを請求することができます。

不正確、古い、不完全、無関係、または誤解を招く情報については、訂正を依頼することができます。ほとんどの項目は、アカウント設定から直接修正できます。

お客様は、ご自身の個人情報の削除を当社に依頼することができます。当社は、法律で保持が義務付けられている場合または許可されている場合を除き、削除いたします（第10項を参照）。削除は、アカウント設定から直接行うか、privacy@reco.tips宛てにメールを送信することで開始できます。当社は、依頼に対応する前に本人確認を行い、30日以内に完了を通知いたします。

マーケティングメールに記載されている購読解除リンクをクリックするか、アカウント設定で設定を更新することで、いつでもマーケティング情報の配信を停止できます。

当社が正当な利益に基づいて処理を行う場合、お客様は処理に異議を申し立てることができます。また、一定の条件を満たす場合、お客様は当社に対し処理の制限を求めることができます。

当社がお客様の同意または契約に基づいて自動化された手段でお客様のデータを処理する場合、お客様は構造化され、一般的に使用される機械可読形式でデータのコピーを要求するか、技術的に可能な場合は、そのデータを別のデータ管理者へ送信するよう当社に要求することができます。

当社が同意に基づいて処理を行う場合、お客様はいつでも同意を撤回できます。同意の撤回は、撤回前の処理の合法性には影響しません。

APP 2に基づき、法律上可能かつ実行可能な場合、お客様は匿名または仮名を使用して当社と取引することができます。アカウントの場合、プラットフォームの運用において本人確認が不可欠であるため、通常は匿名での取引は実行できません。そのような場合は、別途ご説明いたします。

7.2項を参照してください。あなたに影響を与える重要な自動決定について、人間の審査を求めることができます。

監督機関に苦情を申し立てることができます。第18項を参照してください。

privacy@reco.tipsまでメールでご連絡ください。行使したい権利を明記し、ご本人確認に必要な情報（通常はアカウントに登録されているメールアドレス）を添えてください。なりすましによるデータ侵害を防ぐため、ご本人確認をお願いする場合があります。確認済みのリクエストには30日以内（EEA/英国では1ヶ月以内）に対応いたします。複雑なリクエストの場合は、法律で認められている範囲で、最長3ヶ月まで対応期間を延長する場合がありますので、その旨をお知らせいたします。妥当なリクエストには料金はかかりません。

ご依頼をお断りする場合は、その理由とお客様の権利についてご説明いたします。

プロバイダーが自社の顧客に関する情報をプラットフォームにアップロード、インポート、またはその他の方法で導入する場合（たとえば、既存顧客をプロバイダーの紹介プログラムに招待するために使用される連絡先リストなど）、プロバイダーはその情報の管理者であり、Recoは処理者となります。

利用規約の第18条では、プロバイダーの保証事項が規定されており、プロバイダーがRecoにデータを提供する法的根拠を有していること、およびプロバイダーの管轄区域における適用されるプライバシー法に基づき、必要な通知をすべて行い、必要な同意を得ていることなどが含まれています。

適用されるプライバシー法（GDPRおよび英国GDPRを含む）で義務付けられている場合、プロバイダーとRecoの間にはRecoのデータ処理補足契約（「DPA」）が適用されます。現在のDPAはプラットフォーム上に公開されており、プロバイダーが個人データをアップロードする際に利用規約の一部を構成します。DPAには以下の事項が規定されています。

• 処理の対象と期間。
• データ主体および個人データのカテゴリー。
• サブプロセッサの用語。
• 国際送金メカニズム（必要に応じて標準契約条項を含む）。
• セキュリティ対策（GDPR第32条）
• 情報漏洩通知
• 監査および支援の権利、
• 終了時のデータの返却／削除。

プロバイダーは、Recoプラットフォームの利用を含め、顧客情報の収集および利用に関する独自のプライバシーポリシーを策定し、維持する必要があります。Recoのポリシーは、プロバイダーの義務に取って代わるものではありません。

コミュニティページとは、クライアントが推薦した企業に関する一般公開ページです。企業がRecoに登録しているかどうかに関わらず、コミュニティページが存在する場合があります。詳しくは、利用規約の第27項をご覧ください。

非会員企業の場合、コミュニティページには以下の内容が含まれる場合があります。

• 事業名、営業場所（郊外／市レベル）、および公開されている連絡先情報。
• 説明とカテゴリ。
• 顧客から寄せられたレビューと評価。
• そのビジネスが推薦されているという事実、および推薦件数の集計。

非会員事業者が個人事業主である場合、または事業名に個人名が含まれている場合、コミュニティページに個人情報が偶然含まれる可能性があります。当社は、当該情報を本ポリシーおよび適用されるプライバシー法に基づいて取り扱います。

あなたはできる：

• 認証済みのプロバイダーアカウントを作成することで、ページを所有できます。アカウントを作成すると、ページの管理権を取得できます。
• 事実誤認を訂正するには、complaints@reco.tipsまでご連絡いただくか、プラットフォームの苦情処理プロセスをご利用ください。
• ページを削除するには、確認済みのリクエストを送信してください。リクエストを受領後、14日以内に審査を行い、法的、公共の利益、または法定防御上の理由で保持が必要な場合を除き、ページを削除します。保持が必要な場合でも、最小限の範囲にとどめます。
• 特定のレビューやコンテンツに対する異議申し立ては、利用規約の第9条および本ポリシーの第18条に基づいて処理されます。

お客様の同意なしに、コミュニティページの情報を使用して直接の競合他社に商業的な働きかけを行うことはありません（例えば、お客様のビジネスが否定的なレビューを受けたことを競合他社に伝えることはありません）。

データ漏洩が影響を受ける個人に重大な損害をもたらす可能性が高く、プライバシー法第IIIC部に基づく「適格データ漏洩」の基準を満たす場合、当社は、当該制度に従い、可能な限り速やかにオーストラリア情報コミッショナー事務局および影響を受ける個人に通知します。

GDPRまたは英国GDPRが適用される場合、当社は個人データ侵害を認識してから72時間以内に、必要に応じて関係する監督機関に通知し、侵害によって個人の権利と自由に対する重大なリスクが生じる可能性が高い場合は、影響を受けた個人に遅滞なく通知します。

プラットフォームに影響を与えるデータ侵害の疑い（例えば、アカウントの侵害、レフェリーデータの漏洩、またはRecoから送られてきたと思われる予期しないメールなど）に気づいた場合は、24時間以内にprivacy@reco.tipsとcomplaints@reco.tipsまでご連絡ください。

お客様の個人情報の取り扱いに不備があったと思われる場合は、privacy@reco.tipsまでご連絡ください（コンテンツ削除に関するお問い合わせはcomplaints@reco.tipsまで）。ご連絡いただいた後、3営業日以内に受領確認を行い、30日以内に正式な回答をいたします。

また、プライバシー規制当局に苦情を申し立てる権利もあります。お住まいの地域によっては、それが以下の機関となる場合があります。

• オーストラリア — オーストラリア情報コミッショナー事務局 (OAIC)、oaic.gov.au。
• ニューサウスウェールズ州の公共部門に関する事項 — ニューサウスウェールズ州情報プライバシー委員会（IPC）、ipc.nsw.gov.au。
• 欧州経済領域 — あなたが居住、勤務している、または侵害行為が行われたとされるEU加盟国の監督当局。
• 英国 — 情報コミッショナー事務局（ICO）、ico.org.uk。
• その他の管轄区域 — お住まいの地域のプライバシーまたはデータ保護当局。

規制当局に苦情を申し立てる前に、まず弊社にご連絡いただく必要はありませんが、ご懸念事項に直接対応させていただく機会をいただければ幸いです。