プライバシーポリシー

1. はじめに

iSewa(以下「当社」「私ら」「私たちの」)はマレーシアで運営される不動産管理プラットフォームです。当社は、ウェブサイト isewa.com.my とiSewaアプリケーション(総称して「プラットフォーム」)を運営しています。本プライバシーポリシーは、お客様がプラットフォームへのアクセスまたは使用時に、当社がどのようにお客様の個人情報を収集、使用、保管、開示、および保護するかを詳しく説明するものです。

当社は、マレーシア個人データ保護法2010年(「PDPA」)およびすべての適用データ保護規制を遵守することにコミットしています。プラットフォームを使用することにより、お客様は本プライバシーポリシーを読み、理解し、本ポリシーに記載されている方法でのお客様の個人情報の収集、使用および開示に同意していることを確認します。

本プライバシーポリシーは、不動産所有者、賃借人、不動産仲介業者、請負業者、弁護士、開発業者、買い手、代理人、およびプラットフォームへのアクセスまたは使用を行う他のすべての者を含むプラットフォームのすべてのユーザーに適用されます。

2. データ管理者

iSewaプラットフォームは、マレーシアに設立された企業TEKNOSIA SDN BHDにより運営されており、プラットフォームを通じて収集されるお客様の個人情報の責任者となるデータ管理者です。データ保護に関するご質問やご不明な点がある場合は、当社のデータ保護責任者(DPO)までお問い合わせください。

• 運営事業体: TEKNOSIA SDN BHD
• 会社登録番号(SSM): 202401043304
• データ保護責任者: dpo@isewa.com.my
• 一般的なサポート: support@isewa.com.my

当社のDPOはPDPA遵守とこのプライバシーポリシーの監視を担当し、マレーシアのJabatan Perlindungan Data Peribadi(個人データ保護部門)との主要な連絡係として機能します。

3. 当社が収集する情報

3.1 お客様が提供される個人情報

アカウントに登録する場合、当社のサービスを使用する場合、または当社と通信する場合、お客様は以下の個人情報を提供する場合があります:

• 身元情報: 姓名、表示名、プロフィール写真、生年月日、および身分証番号(例:マイカード/ICカード番号、パスポート番号)
• 連絡先情報: 電子メールアドレス、電話番号(携帯電話)、および居住地または事業所の住所
• アカウント情報: ユーザー名、パスワード(bcryptを使用してハッシュ化された形式で保存)、二要素認証(2FA/TOTP)シークレット、およびリカバリーコード
• 組織情報: 会社または組織名、登録番号(SSM)、および不動産管理会社、仲介業者、または請負業者企業の事業詳細
• 不動産情報: 不動産住所、所有権詳細、賃貸契約、ユニット構成、不動産写真、平面図、および関連文書
• 財務情報: 銀行口座詳細(フィールドレベルでAES-256-GCMを使用して暗号化)、請求書記録、支払い履歴、請求設定、および税関連情報
• 通信データ: プラットフォームのメッセージングシステムを通じて送信されるメッセージ、メンテナンスチケットの説明、アナウンスメント、およびコメント
• 文書データ: プラットフォームにアップロードされるファイル(賃貸契約、ユーティリティ請求書、領収書、法律文書、およびその他の不動産関連書類を含む)

3.2 認証データ

当社は複数の認証方法をサポートし、関連データを収集します:

• 電子メール/パスワード: お客様のメールアドレスおよびbcryptハッシュ化されたパスワード。当社は平文パスワードを保存することはありません
• 電話OTP: SMS経由で送信されたワンタイムパスワード(OTP)による確認用の電話番号
• ソーシャルログイン: GoogleまたはFacebook、Appleを使用して認証する場合、当社はこれらのサービスからお客様の名前、電子メール、およびプロフィール識別子を受け取ります。当社はお客様のソーシャルメディアパスワードを受け取ったり保存したりすることはありません
• MyDigital ID: マレーシアのMyDigital IDを通じて認証する場合、政府の身元確認提供者から身元確認を受け取ります
• 二要素認証: 有効にしている場合、当社は暗号化されたTOTPシークレットおよびワンタイムリカバリーコードを保存します

3.3 自動的に収集される情報

プラットフォームにアクセスする場合、当社は特定の技術情報を自動的に収集します:

• デバイス情報: デバイスタイプ、オペレーティングシステム、ブラウザの種類とバージョン、画面解像度、およびデバイス識別子
• ネットワーク情報: IPアドレス、インターネットサービスプロバイダ、および概算位置情報(国/都市レベル)
• 使用データ: 訪問されたページ、使用された機能、タイムスタンプ、クリックパターン、セッション継続時間、参照URL、およびプラットフォーム内の検索クエリ
• パフォーマンスデータ: ページ読み込み時間、エラーログ、およびクラッシュレポート(プラットフォームの信頼性向上を支援するため)

3.4 第三者からの情報

当社は以下の場合からお客様に関する情報を受け取る場合があります:

• 不動産管理者または所有者: 彼らが賃借人、請負業者、またはその他の役割としてお客様を不動産に追加する場合
• 招待リンク: 不動産または組織に参加するための招待を受け入れる場合、当社は紹介コンテキストを受け取ります
• ユーティリティプロバイダー: 統合されている場合、当社はお客様の同意を得てお客様に代わってユーティリティアカウント情報および請求データを取得する場合があります
• 政府サービス: MyDigital IDまたはその他のマレーシア政府デジタル身分サービスを通じて

4. 処理の法的根拠

PDPA 2010に基づき、当社は以下の合法的根拠に基づいて個人データを処理します:

• 同意(セクション6): プラットフォームに登録する場合、お客様は本プライバシーポリシーに記載された目的のための個人データの処理に明示的な同意を提供します。お客様の同意は監査可能性のためにタイムスタンプおよびバージョン番号(consentGivenAt、consentVersion)と共に記録されます。
• 契約上の必要性: 本サービス規約に同意した場合、プラットフォームのサービスを提供するために必要な処理(不動産管理、請求、メンテナンス追跡、通信を含む)
• 正当な利益: 詐欺防止、プラットフォームセキュリティ、サービス改善、および分析の目的のための処理(このような利益がお客様のデータ保護権によって優先されない場合)
• 法的義務: マレーシアの法的要件(財務記録保持義務、税報告、および裁判所命令を含む)を遵守するために必要な処理

5. 当社がお客様の情報をどのように使用するか

当社は以下の目的のためにお客様の個人情報を使用します:

5.1 サービス提供

• プラットフォーム上のアカウントの作成および維持
• 身元認証およびお客様の役割に基づくアクセス権限の管理
• 請求、支払い追跡、および請求を含む不動産管理業務の処理
• メンテナンスリクエスト、ワークオーダー、および請負業者割り当ての管理
• 不動産関連文書を安全に保存および整理
• プラットフォームユーザー(所有者、賃借人、仲介業者、請負業者など)間の通信を有効化
• 委任機能(家族成員、不動産管理者)をサポート

5.2 通信

• 請求書の期限日、メンテナンス更新、およびリース通知などのサービス通知を送信
• ログイン通知、2FAプロンプト、および疑わしい活動警告を含むセキュリティアラートを配信
• プラットフォームアナウンスメント、機能更新、および重要なサービス変更を提供
• お客様の質問およびサポートリクエストに対応

5.3 プラットフォーム改善

• 使用パターンおよびトレンドを分析してプラットフォーム機能およびユーザーエクスペリエンスを改善
• 新しいプラットフォーム機能の社内研究開発を実施
• プラットフォームのパフォーマンスを監視し、問題をデバッグして安定性を確保
• 事業報告用の匿名化された集計統計を生成

5.4 セキュリティおよび遵守

• 詐欺、セキュリティインシデント、および悪用の検出、防止、および対応
• 当社のサービス規約および受け入れ可能な使用ポリシーの実施
• 遵守および説明責任のための監査証跡の維持
• マレーシアの法律およびその他の規制要件への遵守

6. データ共有および開示

当社は、マーケティング目的のための任意の第三者にお客様の個人データを販売、賃貸、またはトレードしません。当社は以下の状況にのみお客様の情報を共有する場合があります:

6.1 プラットフォームユーザー間の情報共有

不動産関連データは、不動産管理業務に必要に応じて関連ユーザー間で共有されます。例えば:

• 不動産所有者は賃借人の連絡先情報および賃貸詳細を確認できます
• 賃借人は関連する不動産詳細および所有者/仲介業者の連絡先情報を確認できます
• 仲介業者は所有者に代わって管理するために割り当てられた不動産にアクセスできます
• 請負業者は彼らに割り当てられた仕事のメンテナンスチケット詳細を表示できます
• 代理人は所有者により許可を与えられた不動産にアクセスできます

共有情報の範囲は各役割に必要な範囲に限定されており、プラットフォーム内のロールベースの権限管理システムによって制御されます。

6.2 第三者サービスプロバイダー

当社は、プラットフォームの運営をサポートするために信頼された第三者サービスプロバイダーを利用します。これらのプロバイダーは、当社の指示のみに基づいてお客様のデータを処理することおよび適用データ保護法を遵守することを契約上要求されます。当社のサービスプロバイダーカテゴリは以下の通りです:

• クラウドインフラストラクチャ: プラットフォームデータおよびファイルアップロード用のホスティングおよびストレージプロバイダー
• メール配信: トランザクションメール、通知、およびアラート送信用のサービス
• SMS/OTP配信: 電話確認コードおよびSMS通知送信用プロバイダー
• 支払い処理: サブスクリプション支払い(Proプラン)処理用の第三者支払いゲートウェイ
• 認証プロバイダー: ソーシャルログインプロバイダー(Google、Facebook、Apple)および身元確認用のMyDigital ID
• 分析: プラットフォーム使用を理解するために当社を支援するプライバシー重視の分析サービス

6.3 法的要件

当社は、開示が以下に必要であると誠実に信じる場合、お客様の個人情報を開示する場合があります:

• 適用されるマレーシアの法律、規制、または法的手続き(裁判所命令を含む)を遵守するため
• Jabatan Perlindungan Data Peribadi を含む政府当局からの合法的なリクエストに対応するため
• iSewa、当社のユーザー、または一般大衆の権利、財産、またはセキュリティを保護するため
• 当社のサービス規約の潜在的な違反を調査または防止するため

6.4 ビジネス移譲

合併、買収、再編成、または資産売却の場合、お客様の個人データは買収事業体に移譲される場合があります。当社は、このような移譲およびそのような移譲から生じるこのプライバシーポリシーの変更についてお客様に通知します。

7. データセキュリティ

当社はお客様の個人データのセキュリティを真摯に受け取り、PDPA要件に一致する二要素認証、AES-256-GCM暗号化、およびレート制限を含むセキュリティ対策を実装しています:

7.1 暗号化

• 転送中のデータ: お客様のデバイスと当社のサーバー間のすべての通信は、TLS(トランスポート層セキュリティ)を使用して暗号化されます
• 保存データ: ICカード番号および銀行口座詳細を含む機密個人データは、AES-256-GCMフィールドレベル暗号化を使用して暗号化されます
• パスワード: ユーザーパスワードは適切なソルトラウンドを使用してbcryptでハッシュ化されます。当社は平文パスワードを保存することはありません

7.2 認証およびアクセス制御

• トークン盗聴を防ぐための更新トークンローテーションを備えた安全なJWT(JSON Web Token)認証
• 強化されたアカウントセキュリティのためのオプション二要素認証(2FA/TOTP)
• 複数の失敗したログイン試行後のアカウントロックアウト保護
• 2FAデバイス紛失の場合のアカウントアクセス用リカバリーコード
• ユーザーが自分の役割に関連するデータのみにアクセスできるようにするロールベースアクセス制御(RBAC)

7.3 インフラストラクチャセキュリティ

• HTTPセキュリティヘッダー(コンテンツセキュリティポリシー、X-Frame-Optionsなど)はHelmetを介して実施
• ブルートフォースおよびサービス拒否攻撃を防ぐためのAPIエンドポイントのレート制限
• インジェクション攻撃を防ぐための入力検証およびサニタイゼーション
• 定期的なセキュリティ監査および脆弱性評価
• セキュリティ関連イベントの包括的な監査ログ

7.4 人事管理

当社のスタッフによる個人データへのアクセスは、その職務のために必要な人員に限定されており、アクセス権を持つすべてのスタッフは機密保持義務に拘束されます。

8. データ保持

当社は、お客様の個人データを、それが収集された目的を果たすために必要な期間、または法律で要求される期間のみ保持します。当社の具体的な保持期間は以下の通りです:

8.1 自動データパージ

当社は自動化されたデータ保持施行システムを運営しています:

• 日次の自動化されたプロセス(MYT午前2時30分に実行)は、30日以上ソフト削除された状態にあったユーザーアカウントを永久に削除します
• 有効期限切れのログインセッションは毎日自動的にクリーンアップされます
• すべての自動パージ操作は遵守責任のための監査ログに記録されます

9. PDPA下でのお客様の権利

マレーシア個人データ保護法2010に基づき、お客様は個人データに関して以下の権利を有します:

9.1 アクセス権

お客様は、当社が保有されているお客様に関する個人データへのアクセスを要求する権利を有します。プラットフォームを通じて、または当社のDPOにdpo@isewa.com.myでメールを送信することにより、データ主体アクセス要求(DSAR)を提出できます。当社は、PDPAで要求される通り、検証されたアクセス要求に21日以内に対応します。

お客様のデータエクスポートには、プロフィール情報、同意記録および履歴、賃貸記録および請求書、不動産および所有権記録、アップロードされた文書メタデータ、監査ログエントリ、およびセキュリティイベント記録が含まれます。

9.2 修正権

お客様は、不正確または不完全な個人データの修正を要求する権利を有します。プロフィール設定を通じて直接、お客様の情報の大部分を更新できます。自己修正できないデータについては、当社のDPOにお問い合わせください。

9.3 同意撤回権

お客様は、いつでも個人データの処理に対する同意を撤回する権利を有します。プラットフォームの設定を通じて、または当社のDPOに連絡することにより、これを実行できます。同意を撤回すると、プラットフォームの特定の機能を使用する能力に影響を与える可能性があることにご注意ください。当社は、お客様の撤回を処理する前にすべての結果についてお客様に通知します。

同意撤回は、撤回前に実施された処理の合法性、または他の合法的根拠(例:法的義務)に基づく処理に影響を与えません。

9.4 削除権

お客様はいつでもお客様のアカウントおよび関連する個人データの削除を要求できます。削除要求を受け取った場合:

• お客様のアカウントは即座にソフト削除(非活化)されます
• お客様はアカウントを再度有効化できる30日間の猶予期間を有します
• 30日後、お客様の個人データは永久かつ取り返しのつかない形で削除されます
• 特定のデータは、法律で要求される場合(例:7年間の財務記録)この期間を超えて保持される場合があります

9.5 処理防止権

お客様は、ダイレクトマーケティング目的での個人データの処理を防止する権利を有します。当社はユーザーへのダイレクトマーケティングに従事しませんが、プラットフォーム設定の通知設定を通じて非本質的な通信をオプトアウトできます。

9.6 お客様の権利を行使する方法

お客様の権利を行使するため、お客様は以下を実行できます:

• プラットフォーム内の関連するセルフサービスオプション(プロフィール設定、アカウント削除)を使用
• dpo@isewa.com.myで当社のDPOにメールを送信
• 以下の「お問い合わせ」セクションで提供されたアドレスに書き込む

当社は、お客様の個人データのセキュリティを確保するために、要求を処理する前にお客様の身元を確認するよう求める場合があります。

10. データ侵害通知

影響を受けるデータ主体に重大な害を引き起こす可能性のある個人データの侵害が発生した場合、当社は以下のことを行います:

• 侵害を認識してから72時間以内にJabatan Perlindungan Data Peribadi(PDPA委員)に通知
• 侵害の詳細、潜在的な結果、および当社が実施または実施することを提案する措置についての詳細を提供して、遅滞なく影響を受けるデータ主体に通知
• 重大度レベル、影響を受けるデータカテゴリー、影響を受けるユーザー数、根本原因分析、および改善ステップを含む社内インシデント管理システムに侵害を文書化

11. 国際データ移譲

お客様のデータは、主にマレーシアで保存および処理されます。場合によっては、第三者クラウドインフラストラクチャまたはサービスプロバイダーを使用する場合、お客様のデータが他の司法管轄区で処理される場合があります。このような移譲が発生する場合、当社は以下を確認します:

• 適切なセキュリティ対策が整えられている。これには、当社のサービスプロバイダーとの契約データ保護条件が含まれます
• 受信司法管轄区がデータ保護の適切なレベルを提供するか、適切な契約措置が実施されます
• 移譲はPDPA 2010の要件(セクション129)に準拠している

12. クッキーおよび追跡技術

12.1 本質的なクッキー

当社は以下の目的のために厳密に必要なクッキーを使用します:

• 認証: ログイン状態を維持し、安全なアクセスを管理するためのセッションクッキー
• セキュリティ: CSRF(クロスサイトリクエストフォージェリ)保護トークン
• 設定: 言語およびテーマ設定の保存

これらのクッキーはプラットフォームが機能するために不可欠であり、無効化することはできません。

12.2 分析クッキー

ユーザーがプラットフォームとどのようにやり取りするかを理解するため、プライバシー重視の分析を使用する場合があります。これらの分析は以下のように構成されます:

• 個人識別情報を収集または保存しない
• 匿名化または集計データのみを使用
• 広告ネットワークとデータを共有しない

12.3 第三者クッキー

当社は広告またはリマーケティングクッキーを使用しません。当社は第三者広告ネットワークにプラットフォーム上にクッキーを配置することを許可しません。

12.4 クッキーの管理

ブラウザ設定を通じてクッキーを制御および管理できます。本質的なクッキーを無効化するとプラットフォームの特定の機能が正常に機能しないことがあることにご注意ください。

13. 自動化された意思決定

プラットフォームは、法的効果を生む、または同様にお客様に重大な影響を与える自動化された意思決定またはプロフィーリングを使用しません。自動化された処理(請求サイクル予測またはメンテナンス優先度提案など)は、ユーザーを支援するためにのみ使用され、人間による意思決定に代わることはありません。

14. 児童プライバシー

プラットフォームは18歳未満の個人による使用を目的としていません。当社は、18歳未満の児童からの個人データを意図的に収集しません。18歳未満の児童からの個人データを収集したことに気付いた場合、当社はすぐにそのようなデータを当社のシステムから削除するために即座の措置を講じます。

お客様が親または保護者であり、お客様の児童が当社に個人データを提供したと考える場合は、当社のDPOにdpo@isewa.com.myで連絡してください。当社が適切な措置を講じることができるようにします。

15. 第三者リンク

プラットフォームには、当社により運営されていない第三者のウェブサイト、サービス、またはリソースへのリンクが含まれる場合があります。当社はこれらの第三者のプライバシー慣行について責任を負わず、個人データを提供する前に彼らのプライバシーポリシーを確認することをお勧めします。

16. このプライバシーポリシーの変更

当社は、当社の慣行の変更、プラットフォームの機能、または法的要件を反映するために、本プライバシーポリシーを随時更新する場合があります。当社が重大な変更を加える場合:

• 当社は本ページの上部の「最終更新」日付を更新します
• 当社は登録ユーザーにメールまたはプラットフォームの通知システムを通じて通知します
• PDPAで要求される場合、個人データを処理する方法に影響を与える実質的な変更に関する新鮮な同意を取得します
• 監査可能性を確保するために同意のバージョン履歴を保持します

変更後のプラットフォームの継続的な使用は、更新されたプライバシーポリシーへのお客様の受け入れを構成します。

17. 苦情

当社が本プライバシーポリシーまたはPDPA 2010に従ってお客様の個人データを適切に処理しなかったと考える場合は、お客様は以下を実行できます:

• 懸念を提起するためdpo@isewa.com.myで当社のDPOに連絡
• マレーシアのJabatan Perlindungan Data Peribadi(個人データ保護部門)にwww.pdp.gov.myで苦情を提出

18. お問い合わせ

本プライバシーポリシーまたはデータ保護慣行に関してご質問、懸念事項、またはリクエストがある場合は、当社にお問い合わせください:

TEKNOSIA SDN BHD(iSewaの運営者)

• 会社登録番号(SSM): 202401043304
• データ保護責任者: dpo@isewa.com.my
• 一般的なサポート: support@isewa.com.my