生体認証情報に関するプライバシーポリシー

発効日：2019年1月

最終更新日：2020年11月

 

目的

Alightは、業務の結果として、すなわち、Alightおよび顧客の従業員がAlightの製品およびサービスを使用する結果として、取得する生体認証データに関し、以下のポリシーを導入しました。Alightの顧客は、適用される法律に基づき、必要に応じて、自らの生体認証データの保管および破壊に関するポリシーを策定し、それを順守する責任を有しています。

 

定義される生体認証データ

本ポリシーで使用されている限りにおいて、生体認証データとは、個人の生理的または行動的なあらゆる特徴、すなわち、イリノイ州生体認証情報プライバシー法(Illinois Biometric Information Privacy Act)の740 ILCS 14/1およびそれ以下で「生体認証識別子」および「生体認証情報」と定義される特徴などに基づいた情報のことです。「生体認証識別子」とは、網膜もしくは虹彩スキャン、指紋、声紋、または掌形もしくは顔の形状のスキャンのことです。「生体認証情報」とは、その入手、変換、保存、共有方法に関係なく、個人特定のために使用される生体認証識別子に基づく、あらゆる情報のことです。

 

生体認証データの収集、保存、使用、送信について

Alightおよび/またはそのベンダーは、Alightの業務を行う間、ならびにAlightの顧客および顧客の従業員に製品またはサービスを提供する間、生体認証データを収集、保存、使用および/または送信することができます。Alightおよび/またはそのベンダーが収集、保存、使用および/または送信した生体認証データについては、法律によって必要とされる限り、Alightおよび/またはそのベンダーが、当該データを収集する前に、各人から書面にて許可を得るものとします。

Alightおよび/またはそのベンダーは、本人確認および不正防止の目的に限り、いかなる生体認証データをも収集、保存、使用および/または送信できるものとします。Alightおよびそのベンダーは、Alightのサービスを使用する結果として顧客または顧客の従業員から手に入れた、いかなる生体認証データも販売、リース、売買してはならないものとします。

 

開示

Alightは、以下に挙げる場合を除き、顧客およびAlightが公認したライセンサーまたはベンダー以外のいかなる個人または事業体にも、顧客の従業員の生体認証データを開示、発信および/または送信してはならないものとします：

• 顧客の従業員の書面による同意を得ている、
• 当該の開示情報が、顧客の従業員が許可する取引を完了するために必要である、
• 開示が州法または連邦法で義務付けられている、または
• 有効な令状または召喚令状に従い、開示が必要である。

 

保管スケジュール

Alightは、顧客の従業員がAlightに最後に電話をしてから3年間、または従業員もしくは顧客がAlightにデータを削除するよう忠告するまで、のいずれか早い時まで、顧客の従業員の生体認証データで、Alightが所有するもの、およびAlightが作成したものをすべて保管するものとします。

 

生体認証データの保存

Alightおよび/またはそのベンダーは、収集された書類または電子的な生体認証データを保存、送信および開示からの保護のために、合理的な注意をもって使用するとともに、Alightが遺伝子マーカー、遺伝子検査に関する情報、口座番号、暗証番号、運転免許書番号、社会保障番号など、個人または個人の口座もしくは財産を一意に特定するために使用することができる、その他の個人情報を保存、送信、および保護する方法と同じ方法、またはさらに厳重に保護する方法で、すべての生体認証データを保存、送信および開示から保護するものとします。