プロメトリックグローバルプライバシーポリシー

最終更新：2025年9月

はじめに

Prometric LLC、Paragonおよびその他のグローバルな子会社・関連会社（以下「会社」、「私たち」、「私たちの」または「私たち」と総称）は、あなた（データ主体）との関係に応じて、データ管理者またはデータ処理者として行動する場合があります。

このプライバシーポリシー（以下「ポリシー」）は、テスト候補者、クライアント、契約者およびパートナーに関する個人データの収集および処理について説明しています（以下「データ主体」、「あなた」または「あなたの」と呼びます）。

会社は、会社が事業を行う地域におけるすべてのデータ保護法および規制（EU一般データ保護規則（GDPR）を含むがこれに限定されない）を遵守するよう努めています。具体的には、2016年4月27日の欧州議会および理事会の規則（EU）2016/679、2018年のカリフォルニア消費者プライバシー法（CCPA）、2020年のカリフォルニアプライバシー権法（CPPA）、中華人民共和国個人情報保護法（PIPL）、子供のオンラインプライバシー保護法（COPPA）、家族教育権プライバシー法（FERPA）およびその他の関連するデータ保護法および規制を含みます。

会社は、EU-U.S.データプライバシーフレームワーク（EU-U.S. DPF）、EU-U.S. DPFの英国拡張、およびスイス-U.S.データプライバシーフレームワーク（Swiss-U.S. DPF）に準拠し、EU、英国、スイスのデータ主体の権利を尊重しています。このため、会社は米国連邦取引委員会（FTC）の調査および執行権限に従います。

特に明記されていない限り、以下の定義がこのポリシーに適用されます：

「適用法」とは、データ保護に関連する該当国、州または地域のデータ保護法または適用される規制を指します。

「個人データ」とは、特定されたまたは特定可能な自然人に関する情報を意味します。

「処理」とは、個人データまたは個人データのセットに対して行われる任意の操作または操作のセットを意味し、自動手段によるかどうかを問わず、収集、記録、整理、構造化、保存、適応または変更、検索、照会、使用、伝達による開示、普及またはその他の方法による利用可能化、整列または結合、制限、消去または破棄を含みます。

「監督当局」または「監督当局」は、政府機関によって設立され、特定の管轄区域におけるデータ保護法および規制の適用を監視および/または執行する責任を持つ独立した公的機関を意味します。

1. どのような種類の個人データを収集しますか？

会社は、あなたの会社との関係、試験の性質、提供されるサービスおよび適用法に従って、以下の個人データを収集することがあります：

• 名前、住所、電話番号、国別識別番号、メールアドレス、ログインおよびパスワード情報を含む連絡先詳細
• 生年月日
• 出生国
• 性別
• 学校入学日（米国）
• 母国語
• 家庭の言語
• 親/保護者の情報
• 候補者のテストおよびクラスのスケジュールの詳細
• テスト評価の詳細、テスト候補者ID番号、受験した試験とその時期、試験に関連するスコア、結果、試験または試験の特定のセクションを受けた回数
• 行動のインシデント
• 介入
• 出席
• 評価結果
• 試験スポンサーにより必要とされる候補者の社会保障番号（米国）
• 支払いおよび金融機関情報
• 居住地および国籍
• 写真
• 署名
• ビデオ録画
• 音声録音（法律で許可されている場合および特定の管轄区域においてのみ）
• 身分証明書、確認または適格性文書からの情報
• 候補者のテストパターン、テスト場所、テスト結果、当社のウェブサイトやアプリケーションの使用方法を明らかにする要素を含む取引および関係情報。

さらに、会社は、適用法により許可される特別なカテゴリの個人データを処理することがあります。これには以下が含まれる可能性があります：

• 生体情報（指紋および顔画像）
• テスト候補者の試験調整の要求に関連する健康情報または医療データ
• 人種または民族（適用法により許可される場合）

会社は、特別なカテゴリの個人データを、元々収集された目的またはデータ主体によってその後承認された目的以外に使用することはありません。あなたの明示的かつ明確な同意（オプトイン）を受けた場合を除きます。

私たちの一部の試験では、試験会場の管理者があなたの身分証明書のコピーをスキャンし、署名を記録し、身分確認のために写真を撮る必要があり、これらは直接会社のデータベースに保存されます。

2. 未成年者の個人データ

会社は、未成年者の親または法定後見人の同意なしに、未成年者に関する個人データを故意に収集することはありません。会社は、未成年者の親または法定後見人が子供の個人データの開示を監督および監視することを期待しています。

必要に応じて、私たちは学校がFERPAに基づく義務を果たすのを支援します。会社は、未成年者向けに限られた機能セットおよびウェブサイト体験を提供します。このポリシーのいかなる内容も、学生（またはその親または法定後見人）の教育記録に対する権利を損なうことを意図したものではありません。会社は、FERPAに違反して教育記録からの個人データを開示しないこと、販売、マーケティング、広告、またはその他の禁止された目的のためにその情報を使用しないこと、そして個人データを適切に扱うことに特に同意します。

会社は、学生アカウントを作成するために必要な最小限の情報を教育機関から受け取ります。この情報には通常、メールアドレス、パスワード、名および姓、学生の教師が提供するユニークな教室コードが含まれます。この情報を超えて、学生は割り当てられた活動に応じて応答を提出でき、これらは教師と学生の間で機密として保持され、学校/教師の目的のためにのみ使用されます。学生が入力した情報に加えて、私たちはサービスの使用に関連する情報を自動的に収集します。

会社は、このポリシーに記載されている場合を除き、未成年者やその家族に関する個人データを蓄積し、配布、共有、または販売することはありません。学生のプロフィールは、一般に公開されたり、他の学生に見えることはありません。教師は、協力するために同じ学校内で共同で教えている他の教師と一緒に、成績やスコアを含むクラスを共有することができます。

親の権利

会社は、私たちに登録された未成年者の親および法定後見人がCOPPAに基づく法的権利を行使できるようにします。

自分の子供の個人データのコピーを希望する親は、子供の学校の職員に連絡することができます。学校は、いつでも私たちが生徒からさらなる個人データを収集することを許可しないことを選択でき、私たちが収集した個人データの削除を要求することもできます。

3. 私たちはどのようにあなたの個人データを収集しますか？

ほとんどの場合、当社はデータ主体から直接そのような個人データを収集します。

ただし、他の場合には、主に小学校や中学校、テストスポンサー、または第三者データサプライヤーから情報を受け取ることがあります。データ主体が当社のウェブサイトを訪問し、登録または試験を受けたり、アプリケーションを使用したり、当社に連絡を取ったりする際にも、顧客サービスの目的で取引情報を収集します。

当社がモバイルアプリケーションを通じて収集するすべての個人データは、本ポリシーの条件に従って保護および処理されます。また、当社からのそのような通知を受け取ることを選択した方にのみ、自動（「プッシュ」）通知を提供します。個人は、当社のモバイルアウェアアプリケーションを使用するために、当社に位置情報を提供したり、プッシュ通知を有効にする必要はありません。

当社のウェブサイトを使用する際、クッキー設定の構成によっては、ウェブサイトの使用に関する特定の情報（ウェブサイトにアクセスする日付と時刻、使用するブラウザ、オペレーティングシステム、デバイス、アクセスするウェブサイトページ、および参照元や退出元のウェブサイトページなど）を自動的に収集することがあります。当社は、その情報をさまざまな目的（例えば、当社のウェブサイトを管理および改善すること、当社の製品やサービスを向上させること）に使用することがあります。

適用法が許可する場合、当社はサービスを提供するためにあなたの一般的な位置を特定するために情報を使用することがあります。また、関連するマーケティングやコンテキスト広告を提供することもあります。当社は、サイトへの訪問者を認識し、あなたによるサービスの使用を促進するために、インターネットプロトコル（IP）アドレスやユニークなデバイス識別子を収集します。

当社のウェブサイトの特定のユーザーは、当社がサービスを提供するために個人データを収集する必要がある方法で当社とやり取りすることを選択します。その情報の量と種類は、そのやり取りの性質に依存します。

重要なことは、当社のウェブサイトが他のウェブサイトやオンラインサービスへのリンクを含む場合があることです。それらのリンクを使用する際、別のウェブサイトやサービスに連絡することになります。当社は、他のウェブサイトやサービス、またはそれらの個人情報の収集、使用、開示、保持、削除に関して責任や義務を負いません。それらの他のウェブサイトやオンラインサービスに適用されるプライバシーポリシーや利用規約を参照してください。

生体データの収集

生体認証対応のチェックインシステムおよび当社のリモートプロクタリングプラットフォーム（ProProctorとして知られる）は、テスト候補者のプライバシーを保護しつつ、テスト候補者の身元を確認する方法で、テストプロセスのセキュリティと整合性を向上させるために設計されています。これらの技術には、指紋や顔認識の使用が含まれ、身元確認の目的、詐欺や虚偽表示の検出と防止、テストプロセスの整合性の維持、テストセンターやリモートプロクタリング試験のセキュリティを向上させるために使用されます。

4. なぜ私たちはあなたの個人データを収集するのですか？

テストスポンサーに代わって、当社は次の目的のためにあなたの個人データを収集します：

• テスト試験のスケジュール設定
• 身元の確認
• アカウントの管理およびテストと支払いの管理
• 顧客サービスリクエストの管理
• 無許可の候補者による詐欺や虚偽表示の検出と防止
• テストプロセスの整合性を維持するためのデータ分析の実施
• 候補者およびテストスポンサーへのテスト結果の報告
• マーケティング活動の実施（例：発表、新しいテスト、新しいテストセンター、プロモーション、今後のイベント、新製品、特別機能および店舗のオープン）、適用法の範囲内で
• 当社の法的権利、利益および救済を保護および執行し、当社または他の人々のビジネス、業務または顧客を保護するため、また、当社の製品およびサービスへのアクセスまたは使用を規制する利用規約、サービス利用規約およびその他の契約を執行するため
• ウェブサイト分析ツール（例：Google Analytics 4）を使用して訪問者の行動を分析
• プラットフォーム間でのデジタル広告キャンペーンのパフォーマンスを評価および改善
• 適用法に従った人工知能対応技術のトレーニングおよびテスト。

サプライヤーやその他の第三者について、次の目的のためにあなたの個人データを収集します：

• サプライヤーの管理および運営
• 請求書処理
• サプライヤー確認のデューデリジェンスおよびその他の法的要件

当社は、次の条件を満たす従業員、契約者、下請け業者にのみ個人データを開示します：（i）当社を代表してその情報を処理するためまたは当社のウェブサイトおよびモバイルアプリケーションで利用可能なサービスを提供するためにアクセスする必要がある者；および（ii）その情報を他者に開示しないことに同意する者。 当社は、個人データを第三者に貸し出したり、販売したり、交換したりすることはありません。

本ポリシーでカバーされる個人データが、元々収集された目的やその後に認可された目的とは実質的に異なる新しい目的のために使用される場合、または本ポリシーに明記されていない方法で第三者に開示される場合、あなたの個人データがそのように使用または開示されることを選択する機会を提供します。そのような個人データの使用または開示からオプトアウトするリクエストは、以下の「お問い合わせ方法」セクションに指定されているように、当社に送信してください。

5. あなたの個人データ処理の法的根拠は何ですか？

個人データは、一般的に以下の法的根拠に基づいて収集および処理されます：

• テストの登録およびスケジュール設定、テストの実施、詐欺防止およびテスト結果の処理を含む契約の履行。
• 特別カテゴリの個人データの収集および処理に対するあなたの同意。
• 適用法により、国境を越えたデータ転送に対する同意が必要な場合。
• 請求書処理や財務アカウント管理、ビジネス継続性を促進するためのバックアップ目的、テストセンター管理、ビジネス計画、契約管理、顧客に提供するテストサービスの改善、既存のテスト候補者への関連サービスや製品の提案、ウェブサイトの管理、履行、分析、セキュリティおよび詐欺防止、企業ガバナンス、災害復旧計画、監査および報告、人工知能技術のトレーニングおよび改善など、正当なビジネス目的のため。
• 法的または規制上の義務を遵守すること。

6. 個人データの開示

あなたの個人データを処理する可能性のある第三者には、他の会社の関連会社、認可されたテストセンター、テストスポンサー、および当社のために処理者として行動するサービスプロバイダーが含まれ、次のサービスを提供しています：データホスティング、テスト管理サービス、ビジネス生産性アプリケーション、顧客サービスサポートおよび顧客関係管理ソフトウェア。

政府機関は、国家安全保障や法執行要件を満たすための合法的な要求の結果として、個人データにアクセスする場合があります。

適用法が許可する場合、当社はウェブサイト分析および広告プラットフォームを使用して、当社のウェブサイト上でのユーザー行動を理解し、関連する広告を配信します。これらのプラットフォームは、クッキー、ピクセル、または類似の技術を使用して、あなたのウェブサイトとのインタラクションに関するデータを収集する場合があります。この情報は、キャンペーンの効果を測定し、広告コンテンツをパーソナライズし、全体的なユーザーエクスペリエンスを向上させるために使用されます。そのようなツールの使用の範囲は、ブラウザのクッキー設定の構成方法に依存し、任意の時点でクッキーの設定を管理することによって、パーソナライズされた広告からオプトアウトすることができます。

生体データは、次の場合にのみ第三者に開示されることがあります：

• 不正行為の調査、カンニング、無断テスト、またはその他の受験者の不正行為に関する調査の目的のみに関連する調査。
• そのような要求を行う権限または権限を持つ規制機関、法的機関または政府機関からの合法的な要求に関連する。

当社は、個人データがこのポリシーおよび適用法により要求されるその他の適切な機密性およびセキュリティ対策に準拠して処理されることを保証するために、第三者サービスプロバイダーとの契約を実施しています。

あなたがEU、UK、またはスイスのデータ対象者であり、上記のように第三者サービスプロバイダーに個人データを転送し、当社のためまたは当社を代表してサービスを提供する場合、会社は彼らによるそのデータの処理に責任を負い、彼らが以下に言及されるDPFの原則に矛盾してあなたの個人データを処理した場合には責任を負うものとします。ただし、損害を引き起こす事象について当社に責任がないことを証明した場合を除きます。

7. あなたの個人データはどれくらいの期間保存されますか？

当社は、ビジネスの過程で作成されたすべての記録、特に個人データを含む記録の保存、保管、破棄の目的のために遵守する包括的な記録管理プログラムおよび関連する保持スケジュールを採用しています。当社は、地域に位置するデータサーバーに基づいてデータを分離するデータ管理戦略も展開しています。

クライアント特有の契約要件および適用法に従い、当社は処理の期間中、以下のいずれか短い期間の間、あなたの個人データを保持します：

• 最終サービス、テスト、または評価の日付から5年（5）;
• 個人データが収集された目的の消滅;
• 個人データが収集された適用法のある管轄の法律。

会社は、上記の目的のために必要以上に個人データを保持しません。ただし、クライアント特有の契約要件および適用法に準拠するために必要な場合、またはその権利を保護または行使するために必要な場合には、個人データを長期間保持することがあります。

カナダの移民、難民および市民権に関するテスト結果の場合、当社は移民、難民および市民権カナダによって要求される最小保持期間（現在10年（10））の間、あなたの個人データの記録を保持します。オーストラリアビザに関するテスト結果の場合、オーストラリア連邦によって要求される最小保持期間（現在7年（7））の間、あなたの個人データの記録を保持します。

生体データの保存

コンピュータベースのテストセンターで収集されたすべての生体データは、安全に会社のEU内のセキュアデータセンターに転送され、安全に保存され、収集された管轄における適用法に従って保持されます。生体データは、マイクロソフトAzureに30日間保存および保護されます。

8. 個人データの越境転送

当社のビジネスプロセスは、会社とその関連会社との間で国際的に個人データを転送することを必要とすることがよくあります。あなたと会社との関係の性質に応じて、適用法に従い、あなたの個人データは米国に位置する安全なサーバーに保存されます。あなたの試験の性質および試験場所に応じて、会社およびそのサービスプロバイダーは、米国以外の国の施設で個人データを処理する場合があり、これにはカナダ、メキシコ、インド、および欧州連合またはアジアに位置するその他の国が含まれる場合があります。

個人データが第三者に開示される場合、または適用法に従って十分な保護レベルを提供していないと見なされる国に開示される場合、会社は以下を確保します：

• 関連する監督当局によって承認された標準契約条項の実施;
• 越境データ転送を管理し、適用法に基づく必要かつ適切な保護レベルを確保するための適切な組織的、技術的および法的な安全策の採用。
• 必要に応じて、転送の状況および第三国の法律を評価し、必要に応じて、補足措置を実施する必要があるかどうかを判断するためにデータ転送影響評価を完了します。

米国への越境データ転送に関して、会社はEU-U.S. DPF、UKのEU-U.S. DPFへの拡張、スイス-U.S. DPFに準拠しています。

会社は、EUおよびUKから受け取った個人データの処理に関してEU-U.S.データプライバシーフレームワーク原則（EU-U.S. DPF原則）を遵守していることを米国商務省に認証しています。会社は、スイスから受け取った個人データの処理に関してスイス-U.S.データプライバシーフレームワーク原則（スイス-U.S. DPF原則）を遵守していることを米国商務省に認証しています。

このプライバシーポリシーの条件とEU-U.S. DPF原則および/またはスイス-U.S. DPF原則との間に矛盾がある場合、原則が優先します。データプライバシーフレームワーク（DPF）プログラムの詳細情報を知り、当社の認証を確認するには、https://www.dataprivacyframework.gov/をご覧ください。

9. あなたの権利は何ですか？

あなたの所在地および適用法に応じて、あなたはあなたの個人データに関連する以下の権利を有する場合があります：

• アクセス権
• 訂正権
• 削除権
• 処理の制限権
• 処理に対する異議を申し立てる権利
• データポータビリティの権利
• あなたの個人データが死後にどのように使用されるかを決定する権利

これらの権利の行使は、適用法および監督当局からの関連ガイダンスによって提供される制限の対象となります。

権利を行使するために、データ主体は「お問い合わせ方法」セクションに記載されている通り、会社に連絡することができます。記録を削除することが、該当するアカウントの終了を必要とする場合があることにご留意ください。リクエストを完了する前に、会社はリクエスターの身元を確認するために追加の質問をする場合があります。リクエストに応じられない場合（拒否または制限）、その決定について書面で理由を説明します。

EU-U.S. DPF、UK Extension to the EU-U.S. DPF、Swiss-U.S. DPFに準拠して、会社は、個人データの収集と使用に関するDPF原則に関連する苦情を解決することを約束します。

EU、UK、およびスイスのデータ主体は、EU-U.S. DPF、UK Extension to the EU-U.S. DPF、Swiss-U.S. DPFに基づいて受け取った個人データの取り扱いに関する問い合わせや苦情について、まず「お問い合わせ方法と苦情処理」セクションに記載されている通り、会社に連絡するべきです。

カリフォルニア州のプライバシー権

カリフォルニア州民法第1798条は、カリフォルニア州の住民が、確立されたビジネス関係を持つ企業に対して、第三者との個人データの共有に関する特定の情報を提供するよう求めることを許可しています。会社は、同意なしにカリフォルニア州の消費者の個人データをマーケティング目的で第三者と共有することはありません。もしあなたがテスト候補者であれば、私たちはあなたの個人データをテストスポンサーに提供し、スポンサーはその情報を自社のプライバシーポリシーに従って使用することがあります。

10. どのようにしてあなたの個人データを保護していますか？

会社は、すべての個人データをセキュリティインシデントや無許可の開示から、より一般的には個人データ侵害から保護するために、技術的、物理的、管理的なセキュリティ対策を実施しています。これらのセキュリティ対策は、業界の適切なセキュリティ基準として認識されており、アクセス制御、パスワード、暗号化、消去の厳格な時間制限、ログメカニズムおよび定期的なセキュリティ評価を含みます。

あなたの個人データに影響を与える可能性のある個人データ侵害が発生した場合、会社はインシデント対応計画に従い、データ主体へのリスクを軽減するために適切な行動を迅速にとります。こうした措置には、適切な監督当局および影響を受けたデータ主体への通知が含まれ、関連するインシデントの詳細や軽減措置を適用法の下で求められる場合に提供します。

会社の情報セキュリティプログラムは、年に数回、複数の第三者機関によってレビューされ、セキュリティとデータプライバシーおよび保護に関する最高の基準を満たすか、それを超えることを確認しています。加えて、従業員と契約者は、悪用、喪失、無許可のアクセスの既知または疑いのある事例を速やかに報告する義務があります。

11. 中華人民共和国個人情報保護法（‘PIPL’）に基づく個人データの処理

このセクションは、個人データが中華人民共和国（PRC）の国境内にある場合、または中華人民共和国に所在する当社の子会社が個人データを処理する場合に適用されます。

PIPLの第13条に従い、個人データは以下の目的のために収集されることがあります：

• 個人の同意に基づく；
• 契約の履行、合法的なビジネス利益のため；
• 法的義務や責任の履行のため；
• 公に利用可能なデータの処理のため；
• 法的要件を満たすため。

PIPLの第23条に定められた要件と第4セクションで言及された内容に従い、あなたの個人データを第三者に転送または共有することは、（1）適用される場合はあなたの明示的な同意なしには行われず、または（2）適用法に基づく法的義務を履行するためにのみ行われます。

このポリシーで規定された目的に基づき、個人データはあなたの居住地外の国または地域に転送されることがあります。その際、会社は適用法に従って個人データのセキュリティを保護し、アクセス制御、パスワード、暗号化基準、厳格な保存期間の時間制限、ログメカニズム、定期的なセキュリティ評価を実施します。

会社は、あなたの個人データを中華人民共和国の外に転送する前に、PIPLの第39条に従って、越境データ転送について完全に通知し、あなたの同意を得るとともに、以下の情報を提供します：送信先の受取人の名前、連絡先情報、処理の目的、処理の方法、個人データの種類、そしてPIPLに基づいて権利を行使する方法と手続きについてお知らせします。このために、あなたの明示的かつ別個の同意を求めます。

必要に応じて、会社は個人データが中華人民共和国の外に転送される場合、適用法に従って越境データ転送リスク評価を実施します。

PIPLの下では、センシティブな個人データは、漏洩または不法に使用された場合に、自然人の尊厳や個人または財産の安全に重大な害を引き起こす可能性のある個人データとして定義されます。これには、生体情報、宗教的信念、特別指定の地位、医療健康、財務口座、個人の位置追跡などが含まれます。また、14歳未満の未成年者の個人データも含まれます。

PIPLに従い、かつこのポリシーの第1および第3セクションに詳述されているように、センシティブな個人データの処理は、個人の別個の同意を要し、特定のビジネス関連の目的のために行われます。

会社は、親またはその他の保護者の別個の同意なしに、14歳未満の未成年者から個人データを収集することはありません。私たちは、法律で許可されている範囲内で、適用される法律および規制に従って、親の同意を求めるために、または子供を保護するためにのみ、子供に関する個人データを使用または開示します。

個人データ侵害が発生した場合、会社はデータ主体の個人データの権利を侵害した場合、民事責任を負うものとし、PIPLの下でデータ管理者が負う行政、刑事、その他の法的責任には影響を与えません。

12. プライバシーポリシーの変更

会社は、新しいまたは異なるプライバシー慣行や適用法の変更に従うために、このポリシーを更新することがあります。このポリシーの更新版は、適切なチャネルを通じて提供され、発効日以降に収集されたデータに適用されます。

13. お問い合わせ方法と苦情処理

このポリシーに関するお問い合わせ、コメント、または懸念事項について、または適用法によって許可されたプライバシー権を行使するために、専用ポータルを通じてリクエストを提出してください。個人データリクエスト。

さらに、以下の住所でデータ保護責任者にご連絡いただけます：privacy@prometric.com

郵送でのご連絡も可能です： 

Prometricプライバシープログラムマネージャー
Prometric LLC, 1501 South Clinton Street
Baltimore, Maryland 21224 USA

EU-U.S. DPF、EU-U.S. DPFへのUK拡張、及びスイス-U.S. DPFに準拠して、当社は、EU監督当局、UK情報コミッショナー事務所（ICO）、及びスイス連邦データ保護情報委員会（FDPIC）によって設立された委員会の助言に協力し、遵守することを約束します。これは、EU-U.S. DPF、EU-U.S. DPFへのUK拡張、およびスイス-U.S. DPFに基づいて受け取った個人データの取り扱いに関する未解決の苦情に関するものです。

上記のチャネルを通じてDPFの苦情が解決できない場合、特定の条件の下で、他の救済メカニズムによって解決されなかった残余の請求について拘束力のある仲裁を求めることができます。 

また、関連する管轄区域の適切な監督当局に直接苦情を申し立てる権利もあります。