第1条(适用范围及优先关系) #

1. 本政策适用于我司在提供本网站及本服务过程中获取、使用、保管、提供及其他处理(Processing)个人数据等的处理行为。

2. 若我司就本服务另行制定隐私或信息管理相关规定及说明(包括使用条款、各页面说明、指南等),该等规定及说明将补充本政策,当两者存在冲突时,以该等规定及说明为准。

3. 若我司就本服务相关的集成服务、实施支持、定制开发、咨询及其他个别项目,与客户签订保密协议(NDA)或其他个别合同(以下简称”个别合同”),且该个别合同中包含关于个人数据等或保密信息处理的规定时,该规定将优先于本政策适用。

4. 无论前款如何约定,该个别合同不得在适用法律法规允许的范围外,免除或限制我司基于适用法律法规(包括GDPR)的义务或数据主体(Data Subject)的权利。

第2条(术语定义) #

本政策中使用的主要术语定义如下。

1. “个人信息”:指个人信息保护相关法律及其他法律法规所指的个人信息。

2. “个人数据(Personal Data)”:指GDPR所指的个人数据,或构成个人信息数据库等的个人信息。

3. “处理(Processing)”:指获取、记录、编辑、保管、使用、提供、删除及其他一切处理行为。

4. “数据主体(Data Subject)”:指通过个人数据可识别的个人。

5. “控制者(Controller)”及”处理者(Processor)”:指GDPR中规定的控制者和处理者。

6. “Cookie等”:指通过Cookie、广告标识符、终端标识符及其他类似技术获取的信息。

7. “使用日志”:指访问日志、IP地址、浏览器信息、操作记录、认证及安全日志以及其他随本服务等的使用而自动生成和积累的记录。

第3条(我司的角色:控制者/处理者) #

1. 我司原则上作为**控制者(Controller)**处理与我司客户管理、计费、支持、营销、本网站运营等相关的个人数据等。

2. 另一方面,对于客户在云/VPS等服务中保存及处理的数据(可能包含客户从最终用户等处获取的个人数据,以下简称”客户内容”),当我司出于维护、运维支持及其他目的进行处理时,我司可能根据合同内容作为**处理者(Processor)**进行处理。在此情况下,我司将按照个别合同(包括DPA等)及客户的合理指示进行处理。

第4条(获取的个人数据等) #

我司在提供本服务时可能获取以下个人数据等。

1. 账户及合同信息:姓名(含负责人姓名)、公司名称、部门名称、地址、电话号码、电子邮件地址、登录ID、认证信息、合同内容等

2. 计费及支付信息:账单信息、交易ID、支付状态、发票及收据信息等

   • 使用支付代理服务时,我司可能不保存信用卡号等信息。

3. 支持相关信息:咨询内容、工单内容、处理记录、通信内容、故障处理所需范围内的配置信息及日志等

4. 技术信息·使用日志：IP地址、访问日期时间、终端/浏览器信息、操作系统信息、浏览页面、引荐来源、认证·安全日志、操作历史、Cookie等

5. 域名/SSL相关信息(提供时)：注册人信息、WHOIS相关信息、DNS设置信息、证书申请信息(域名所有权确认信息、组织信息等)

6. 防止欺诈信息：检测欺诈订单·未授权访问等所需信息(交易相关信息、日志、标识符等)

7. 营销相关信息(实施时)：电子邮件发送的同意/停止状态、问卷调查回答、活动申请信息等

8. 其他：我司在本服务的申请页面、设置页面等指定的信息

第5条(使用目的) #

我司为以下目的使用获取的个人数据等。

1. 提供本服务、账户管理、履行合同、本人确认(实施时)

2. 使用费用的计费、结算、到账确认、退款处理、会计·税务处理

3. 服务运维(监控、故障响应、安全对策、备份、维护等)

4. 咨询响应、提供支持、重要通知(条款变更、故障通知等)的通知

5. 域名注册/转移/续费、DNS管理、SSL证书的申请·签发·续费等手续

6. 防止欺诈使用、违反使用条款的应对、权利保护、纠纷应对

7. 改进本服务、开发新功能、使用情况分析、创建统计数据(包括以无法识别个人的形式进行的情况)

8. 活动、电子邮件通讯等的通知

第6条(GDPR中处理的法律依据) #

我司处理EEA/英国等数据主体的个人数据时,我司主要基于以下法律依据进行处理。

1. 履行合同(Contract)：提供本服务、账户管理、支持应对等

2. 遵守法律义务(Legal Obligation)：会计·税务、基于法令的应对等

3. 正当利益(Legitimate Interests)：确保安全、防止欺诈使用、质量改进、纠纷应对等(我司将根据需要进行利益权衡)

4. 同意(Consent)：营销发送、需要同意的Cookie等(可随时撤回同意)

5. 重大利益(Vital Interests)：保护生命·身体等

第7条(提供的任意性·不提供时的影响) #

1. 个人数据等的提供原则上为任意,但如无法提供本服务提供所需的信息,可能无法使用本服务的全部或部分。

2. 营销发送和任意问卷调查等,以不提供不会产生不利影响的方式运营(但有附带特典时除外)。

第8条(向第三方提供) #

1. 除适用法律法规允许的情况外,我司不会在未经本人同意的情况下向第三方提供个人数据。

2. 但在提供本服务所需的范围内,可能会向以下类型的第三方提供(提供对象包括国内外)。

   1. 支付服务商、金融机构(信用卡支付、PayPal等)

   2. 域名注册相关服务商(注册商、注册局等)

   3. SSL证书相关服务商(认证机构、审查机构等)

   4. 防欺诈、安全相关服务商

   5. 分发、通知、支持工具等的提供商

3. 因域名注册等原因,根据注册局等的规则,注册信息的一部分可能会被公开或向第三方披露(根据顶级域和注册形式而异)。

4. 我司可能会根据法律法规的披露要求(法院、行政机关等),在必要范围内提供个人数据等。

第9条(委托·子处理者) #

1. 我司可能会在实现使用目的所需的范围内,将个人数据等处理的全部或部分委托给第三方。

2. 我司在选择受托方时会按适当标准进行审查,通过委托合同等规定安全管理措施、保密义务等,并进行必要且适当的监督。

3. 当我司作为处理者处理客户内容时,我司可能会根据合同使用子处理者。

第10条(国际转移) #

1. 为提供本服务,我司可能会在EEA/英国境外(包括日本)处理个人数据等。

2. 对于适用GDPR的转移,我司将采取充分性认定、标准合同条款(SCC)等基于适用法律法规的适当保护措施。

3. 如希望获取有关国际转移的更多信息,请联系第21条所述窗口。

第11条(保存期限·删除) #

1. 我司仅在实现使用目的所需的期限内保有个人数据等,不再需要时将进行适当的删除、匿名化等处理。

2. 我司将根据客户门户的设置,大致按照**附表1(保存期限·删除标准)**进行数据保留和删除。

3. 但在遵守法律法规(会计、税务等)、保护权利(纠纷应对等)、确保安全或存在其他正当理由的情况下,我司可能会在必要最小范围内保留数据。

4. 如与客户通过单独合同(DPA/NDA等)约定了不同的保存期限或删除条件,则以该约定为准(但仅限于不违反适用法律法规的范围)。

第12条(数据主体的权利) #

当适用GDPR等时,数据主体在法律法规范围内拥有以下权利。

1. 访问权(确认保有个人数据)

2. 更正权

3. 删除权(“被遗忘权”)

4. 处理限制权

5. 数据可携权

6. 异议权(对基于合法利益等的处理提出异议)

7. 撤回同意权(基于同意的处理)

8. 向监管机构申诉(投诉)

第13条(权利行使程序及答复期限) #

1. 前条的请求(以下简称”权利行使请求”)在第21条的窗口受理。

2. 我司在权利行使请求时,为进行本人确认(或代理权确认),可能会要求提供额外信息。

3. 我司根据适用法律法规,原则上在受理请求后1个月内予以答复。但是,如果请求复杂或数量众多,在适用法律法规允许的范围内可能延长答复期限。

4. 我司基于适用法律法规无法应对权利行使请求,或请求超出合理范围时,可能不予应对该请求。在此情况下,我司将在可能范围内说明理由。

第14条(客户端控制台的导出及删除) #

1. 我司在客户端控制台上为客户提供可导出自身信息的机制。可导出的范围可能根据我司的提供情况发生变更,例如包括以下内容。

   • 联系方式

   • 账户/服务

   • 域名

   • 变更日志

   • 交易(结算·交易记录)

   • 发票

   • 工单

2. 我司在客户端控制台上为客户提供可申请删除自身账户的机制。

3. 在提出账户删除申请的情况下,我司将在一定宽限期过后,删除或匿名化我司持有的个人数据等。

4. 尽管有前款规定,我司为遵守法律法规(会计·税务等)或保护权利(纠纷应对等)所需的范围内,可能保留部分信息(例:已支付发票等)。

第15条(Cookie等的使用) #

1. 我司为提高本网站的便利性、确保安全性、访问分析等目的可能使用Cookie等。

2. 对于Cookie等中需要征得同意的内容,我司将根据适用法律法规提供征得同意的机制。

3. 客户可通过浏览器设置拒绝Cookie,但在此情况下,本网站或本服务的部分功能可能无法使用。

第16条(访问分析·广告等) #

1. 我司为改进服务等目的可能使用访问分析工具等。通过访问分析工具等收集的信息将根据该工具提供商的规定进行处理。

2. 在我司使用广告投放服务的情况下,该服务提供商可能使用Cookie等获取浏览信息等。

3. 当本公司使用解析及广告相关工具时，将根据需要在本网站上说明工具名称、退出（Opt-out）方式等信息。

第17条（安全管理措施・信息安全） #

1. 本公司为防止个人数据等的泄露、灭失、损毁、非法访问等，采取组织、人员、物理、技术安全管理措施。

2. 本公司实施包括访问权限管理、强化认证、加密、日志管理、漏洞应对、委托方监督等在内的合理对策。

3. 当本公司作为处理者处理客户内容时，本公司将按照合同采取适当的技术及组织措施。

第18条（个人数据侵害的应对） #

当发生个人数据侵害（泄露、灭失、损毁、非法访问等）时，本公司将按照适用法律法规进行影响评估、防止再发、向监督机构通知以及向数据主体通知（必要时）等应对措施。

第19条（自动化决策・用户画像分析） #

本公司为防止不正当使用、确保安全等目的，可能自动分析使用情况等。当按照法律规定进行对数据主体产生重大影响的自动化决策（包括用户画像分析）时，本公司将按照适用法律法规进行必要的信息提供等。

第20条（未成年人） #

本公司不会有意收集未成年人的个人数据等。未成年人使用本服务时，按照适用法律法规可能需要取得监护人等的同意。

第21条（咨询窗口） #

关于本政策、个人数据等的处理、披露等请求、投诉及咨询的问询，请联系以下窗口。

• 经营者名称：BESTNET合同会社

• 窗口：个人数据咨询窗口

• 联系方式：咨询表单URL

• 受理时间：工作日10:00〜17:00（节假日及年末年初除外）

第22条（经营者信息） #

• 经营者名称：BESTNET合同会社

• 所在地：宮城県大崎市田尻大貫字北長根１６１－１

• 代表人：代表社员　珍田 秀幸

第23条（面向EEA/英国居民的补充信息） #

1. 当本公司因GDPR域外适用等处理EU/EEA或英国居民的个人数据时，数据主体有权向管辖其居住地等的监督机构提出投诉。

2. 本公司将根据需要指定EU/英国代表，并在本网站上公布其联系方式。

第24条（修订） #

1. 本公司可能根据法律法规修订、服务变更等修订本政策。

2. 修订后的本政策将通过在本网站上公布或本公司认为适当的其他方式告知，自公布日或本公司规定的日期起适用。

【制定日：2020年4月1日】
【最终修订日：2026年2月19日】

附表1(保存期限·删除标准:客户门户) #

包含有效服务、已支付发票、已批准佣金等时不予删除等情况除外。此外,为遵守法律法规、应对纠纷等目的,可能在必要最小范围内保留数据。

1. 客户资料 #

• 非活跃状态(自上次支付起):18个月后自动归档

• 已归档:**120个月(10年)**后自动删除(自归档之日起计算)

• 仅注册的客户资料:3个月后自动删除(自注册起计算)

• 非活跃状态的自动删除(自上次支付起):**120个月(10年)**后自动删除
  ※上述多项标准并存时,根据系统状态及条件,删除·归档等的适用顺序或删除时机可能有所变动。

2. 发票 #

• 已取消的发票:自预定日期起**365天(1年)**后自动删除

3. 订单 #

• 已取消的订单:自创建起**365天(1年)**后自动删除

• 欺诈订单:自创建起**730天(2年)**后自动删除

• 待处理订单:自创建起**180天(约6个月)**后自动删除

• 订单草稿:自创建起30天后自动删除
  ※删除订单时,订单中包含的商品(items)也可能被删除。
  ※包含有效服务、已支付发票、已批准佣金的订单可能不予删除。

4. 服务/域名 #

• 已取消的账户:自上次变更起**180天(约6个月)**后自动删除

• 已终止(terminated)的账户:自上次变更起**365天(1年)**后自动删除

• 已取消的域名:自上次变更起**180天(约6个月)**后自动删除

• 已过期域名:自到期日起**120天(约4个月)**后自动删除
  ※根据我司的解约处理设置,解约申请可能被处理为”终止(Terminate)”而非”取消”。

5. 账户删除处理(门户功能) #

• 客户可在门户上申请删除

• 删除在最后登录后30天后执行

• 但是,为应对会计、税务、纠纷等需要的数据可能在必要最小范围内保留