個人情報保護方針

バージョン:2024年8月

SWISSは、お客様の個人データのセキュリティ保護を含め、セキュリティを最優先事項としています。本個人情報保護方針は、当社がどのような理由に基づいてどのように個人データを収集、処理、使用するかをお知らせするものです。特に、以下の方々を対象としています。

  • 当社のウェブサイトやアプリの利用者
  • ご搭乗者
  • 当社サービスの利用者や、当社サービスに関心をお持ちの方
  • 当社の取引先や提携企業の担当者
  • 当社にご連絡いただく方
  • 当社のニュースレター、個人向けご案内、その他マーケティング関連の配信等の受信者
  • 調査キャンペーン、顧客パネル、顧客満足度調査やアンケートへの参加者
  • イベント参加者
  • 当社各拠点への来訪者

特定のデータ処理については、別途情報がありますのでご注意ください(CookieポリシーTravel ID個人情報保護方針SWISS World Cargoの個人情報保護方針など)。お客様の個人情報を収集する際、関連情報をお伝えする場合が多くあります。個々のサービスの契約条件、特にご搭乗者については当社の一般運送約款をご参照ください。

本個人情報保護方針は、スイスのデータ保護法およびEU一般データ保護規則(GDPR)の双方に基づいています。これらの法律や他のデータ保護法が適用されるか否かは、個々の事案に依存します。

お客様が他人(例えば、共同で予約するご家族やご友人など)に関するデータを当社に提供する場合、当社は、お客様がかかる行為を行う権限を有し、かつそのデータが正確であるとみなします。当該者が本個人情報保護方針について理解していることを確認するようにしてください。

  1. データ管理者
  2. ご連絡先
  3. 個人データの情報源
  4. ​処理を行う主目的および法的根拠
  5. 具体的なユースケース、各ユースケースの目的、法的根拠、詳細情報
  6. GDPRに準拠した法的根拠
  7. データ開示
  8. スイスおよび欧州経済領域以外の国への個人データの移転
  9. 個人データの保持
  10. プロファイリング、人工知能、および法律効果を有する自動的意思決定
  11. データセキュリティ
  12. 個人データに関するお客様の権利
  13. 個人情報保護方針に対する変更

1. データ管理者

別段の定めがない限り、本個人情報保護方針に記載されるデータ管理者は以下のとおりです。

Swiss International Air Lines AG
Malzgasse 15
CH-4052 Basel
Switzerland

ウェブサイト:www.swiss.com

(以下、「SWISS」または「当社」とします)

EU一般データ保護規則の第27条に基づく当社のEU代理人は以下のとおりです。

Swiss International Air Lines AG Frankfurt Branch
Cargo City Süd 558 c
D-60549 Frankfurt am Main
Germany

2. お問い合わせ

本方針の第12項に定めるデータ保護の権利を行使する場合は、データ主体の権利に関する連絡フォームをお使いください。

本個人情報保護方針に関して一般的な質問や懸念がある場合は、当社のデータ保護担当者(Data Protection Officer)およびデータ保護チームまで以下の住所宛にご連絡ください。

Swiss International Air Lines AG
Data Protection Officer
ZRHS/CJ
PO Box
8058 Zurich Airport
Switzerland

dataprotection@swiss.com

個々のご予約やサービスに関するご要望やご意見など、データ保護に関連しないお問い合わせへの回答や関連部署への転送につきましては、データ保護チームでは対応いたしかねます。当社のサービスセンターより適切な連絡フォームをご使用いただくか、お客様が当社の取引先企業としてご連絡なさっている場合はSWISSの担当者までご連絡ください。

3. 個人データの情報源

当社が取得する個人データは、多くの場合、当社へのデータ送信やご連絡をいただく場合などのようにお客様ご自身が開示されたものです。ほぼすべての場合において個人データの提供は任意であり、通常、お客様が当社に個人データを開示する義務はありません。ただし当社は、契約関係の処理およびこれに関連する義務の履行を行うために必要な個人データや、法律で規定されている個人データを収集および処理する必要があります。個人データを収集および処理しなければ、その契約の締結または継続が不可能となるためです。例えば、お客様をフライトの目的地までお連れするために、当社が現地当局または外国当局に移転しなければならない情報をご提供いただく必要があります(第4.4項もご参照ください)。

また当社は、お客様がフライトをご予約の際やその他のオファーをご利用の際などに、お客様に関する個人データを自らまたは自動的に収集する場合があります。これには、ご利用中の端末や取引、またはお客様の行動に関する技術データなどがあります。例えば、当社は予約手続きにおいて収集したデータを分析し、これに基づいてお客様の個人的な関心、好み、相性、習慣を推測することができます。これにより当社は、例えば、お客様の個々のニーズや関心に合わせて当社のオファーや情報のパーソナライズなどを行えるようになります(第10項もご参照ください)。

また当社は、ルフトハンザ グループの他の企業から個人データを受領することもあります。詳細については第4.7項をご覧ください。当社は、当社が提携する企業、当社と連絡を取る者、または公的情報源などの第三者から、お客様に関する情報を受領することもあります。

当社がお客様に関する情報を受領する情報源となる第三者の例は、以下のとおりです。

  • 提携企業(例:Miles & MoreやPartnerPlusBenefitなどの、フリークエントフライヤープログラムの提携先)
  • お客様の代理人(家族や法定代理人など)
  • お客様がご利用の旅行会社
  • 銀行、保険会社、販売パートナー、その他決済に関する契約先企業
  • オンラインサービス提供会社(例:インターネット分析サービスの提供企業)
  • 輸出規制などの法定要件を遵守するための情報サービス
  • 公的手続や司法手続に関連する当局、当事者、その他の第三者
  • 債権回収や商業登記簿などの公的登記簿、官公庁、メディア、またはインターネット

4. ​処理を行う主目的および法的根拠

当社が個人データ処理を行う目的を要約すると、以下のとおりです。

  • 契約の処理。例えば、フライトの運航やその他のサービスを提供するために必要な処理。(第4.1項)
  • 情報およびマーケティング(第4.2項)
  • 市場調査および製品開発(第4.3項)
  • 法的要件への準拠(第4.4項)
  • セキュリティ(第4.5項)
  • 権利の保護(第4.6項)
  • ルフトハンザ グループ内の管理およびサポート業務(第4.7項)
  • 具体的なユースケース(第5項に記載したとおり)

4.1 契約の処理(運送およびその他サービス)

当社は、契約関係の開始、管理および処理に関連して個人データを処理します。契約の処理には、同意に基づくサービスのパーソナライズも含まれます。

契約が生じる状況としては、次のような場合があります。

  • お客様がフライトやその他のサービスを予約する場合
  • お客様が当社のアプリやその他のオンラインサービスを使う場合
  • お客様がTravel IDを使う場合
  • お客様が、勤務先企業のためにSWISS WorldCargoサービスを予約する場合
  • お客様やお客様の勤務先企業が当社と他の契約を締結した場合

ご搭乗いただくお客様については、当社は、運送契約および各サービス契約を履行するため、フライトおよび他のサービスの予約時にお客様が当社に提供したデータを処理します。必要な情報や任意で提供された情報は予約手続中に示し(例えば、氏名、フリークエントフライヤー番号、Eメールアドレス、電話番号、支払情報、渡航書類など)、お客様がご予約を完了なさった場合にのみ保管します。当社や当社の提携先企業が追加サービスを提供する場合があります。これには、事前座席予約、追加手荷物、お食事の事前注文、アップグレード(アップグレード入札を含みます)、手荷物の受け取りとチェックインサービス、旅行保険、宿泊施設、レンタカー、パッケージ商品、その他のサービスを含みます。

契約の処理を行う目的は、通常、契約を締結し、履行し、執行する(該当する場合)ために必要または適切なものすべてを含みます。

例えば、以下を行うための処理などがあります。

  • お客様との連絡
  • カスタマーサービスの提供
  • マイルの適用や付与など、フリークエントフライヤープログラム(例:Miles & More、PartnerPlusBenefit)の管理
  • ITなどの当社のリソースの管理および運営
  • 支払い処理や一般的な会計管理
  • 保持義務に従ったデータの保管
  • コンテストやこれに類するキャンペーンの当選者の確定、通知、および公表(該当する場合)
  • 契約上の法的権利の主張(回収手続、法的手続など)
  • 契約の解除および終了
  • 企業買収、売却、合併などの企業取引の準備および締結

この処理に対する法的根拠は、お客様が当事者である契約の履行または契約前の措置(GDPR第6条(1)(b))です。

4.2 マーケティング目的の電子的メッセージおよび情報

お客様は、Eメール、SMS、メッセンジャーサービス、電話など、お客様が選択した通信手段を通じて、当社、ルフトハンザ グループ企業、またはパートナー企業から、情報、特典、旅行に関する嗜好調査、顧客満足度調査、旅行に関するニュースレターを受け取ることができます。

これらのメッセージやオファーは、受領者がメッセージを開いたかどうか、またはその他の方法で電子広告に興味を示したかどうかを当社が判断することを可能にする技術の使用によって、パーソナライズすることができます。詳細については、当社のCookieポリシーを参照してください。

当社がお客様の同意を求める場合(例えば、ニュースレターをご購読いただく際など)、この処理に対する法的根拠は、お客様の同意(GDPR第6条(1)(a))です。お客様は、この目的のための処理に対する同意を、将来に向けた効力を以て、いつでも取り消すことができます。取り消すには、それぞれの通信に記載されている配信停止リンクにしたがってください。

当社はお客様の同意を求めずに情報提供およびマーケティング関連の活動のためにお客様の個人データを処理する場合、当社の正当な利益が個々の場合において、当該処理のために十分な法的根拠をもたらす(GDPR第6条(1)(f))と判断しています。


4.3 市場調査と製品開発

当社は、利用状況に関するデータ分析など、当社のサービスを改善するために個人データを処理します。この処理を行う法的根拠は、当社の正当な利益(GDPR第6条(1)(f))です。

当社の顧客パネルにご登録いただいたお客様は、当社の製品やサービスに関する特定のテーマについてご意見をお寄せいただくことが可能です。顧客パネルご登録者に対して、定期的に、オンラインアンケートやフォーカスグループ、製品テスト、深層インタビューなどの市場調査プロジェクトにご招待するEメールをお送りします。パネルご登録者からお寄せいただいた住所、年齢、性別、国籍、職歴、旅行に関する行動や習慣などの情報は、各人に適した調査を判断するために使用します。市場調査プロジェクトの過程で収集した情報は、匿名形式で分析されます。詳細はルフトハンザ グループBetaLabウェブサイトをご覧ください。

顧客パネルなどの調査に関連する処理を行う法的根拠は、お客様の同意(GDPR第6条(1)(a))です。

4.4 法的要件への準拠

当社は、法的義務を遵守し、違反を防止し検出するために個人データを処理します。当社の義務の根拠には、スイスの法律や政府間協定、世界各国の法令、自主規制、業界等の基準、当社独自の企業統治または公的指令などがあります。

特に旅客運送の場合、当社は、旅程に含まれる国の当局に対し、所定の個人情報を収集し開示するべき法的義務を負う場合があります。これには以下の個人データが含まれます。

  • 事前旅客情報(APIデータ):ご搭乗者に関する基本情報であって、出入国を行うために特定の政府当局が要求するもの。ご搭乗者の氏名、生年月日、性別、国籍、渡航書類の情報およびEメールアドレスなどを含みます。加えて、APIデータはフライト情報(便名、出発と到着時刻など)のその他の情報も含まれます。
  • 乗客予約記録(PNRデータ):運送に必要な情報およびデータ(例:予約コード、氏名、Eメールアドレス、フライト情報、支払情報、同行者の詳細情報)、および運送に関連するその他のデータ。特に、お客様が送信した情報(例:フリークエントフライヤー情報や特別なご要望)や第三者(例:旅行会社)が送信した情報
  • 特定の予防接種に関する状況などの健康関連データ
  • 小児旅行許可証(小児が単独で旅行する場合、または片方の親のみと旅行する場合)

この情報は、以下の目的を含む法的、セキュリティ、規制、および管理上の理由によって必要とされています。

  • 出入国管理
  • 入国・通関手続
  • 組織犯罪、国際犯罪、テロ等の重大犯罪対策
  • 公衆衛生上の目的(例:伝染病やパンデミックに対処する当局による命令)
  • 適用法令に基づくその他の適法な目的

上記のような情報は、通常、出発国および/または到着国の当局が要求するものであるため、スイスおよび関係する外国の当局(例えば、検察庁、司法当局、保健当局などの行政当局)に開示する必要があるものです。例えばスイス-米国間のフライトを予約した場合、米国国境当局(アメリカ合衆国税関・国境警備局)がAPIデータおよび特定のPNRデータを受け取ります。米国当局は、データの使用に関して、欧州連合に対するのと同じ保証をスイスに提供しており、テロ行為およびその他の重大かつ国境をまたぐ犯罪と闘うためにのみ情報を使用します。

SWISSはさらに、スイスおよび(状況により)外国の警察や検察、司法当局、あるいは行政当局にも、犯罪、軽犯罪あるいは行政上の不正行為を防止および訴追するため、もしくは行政上の職務を遂行するために必要とされる場合には、お客様の個人情報を開示することを義務付けられています。

当局へのデータ移転は、スイスおよび外国の法律を遵守し、上記の目的を支持する当社の正当な利益(GDPR第6条(1)(c)および同条項(f))を法的根拠とします。特別カテゴリーに属する個人データ(健康データなど)に関連する処理を行う場合の法的根拠は、GDPR第9条(2)(a)、同条項(g)または(i)および第10条です。

4.5 セキュリティ

当社は、セキュリティ目的、すなわちお客様および当社のセキュリティのために個人情報を処理します。例えば、セキュリティ目的で行う処理には以下のものがあります。

  • ITセキュリティ対策
  • 物理的アクセスの管理
  • 犯罪行為の検知および訴追のため、特定の施設におけるビデオ監視および録画の評価
  • 盗難、詐欺および不正使用の防止措置
  • 疑わしい行動パターンや不正行為を検出するための分析
  • 「規則に従わない乗客」の搭乗禁止処分。「規則に従わない乗客」とは、他のご搭乗者もしくは乗務員に対し、不適切、攻撃的もしくは暴力的な行動を示す、または航空機に損傷を与える乗客を意味します。
  • 詐欺行為や「規則に従わない乗客」の事例を記録、分析、防止するための、ルフトハンザ グループおよび他の航空会社との間の情報交換
  • 当局および保険会社に対する、危害、傷害および犯罪行為に関する情報開示

本データ処理は、セキュリティに関する当社の正当な利益(GDPR第6条(1)(f))に基づくものです。

4.6 権利の保護

当社は、自らの請求権の存在を立証し執行する能力、および他者の請求に対して自らを防御する能力を保有したいと望んでいます。当社の請求権には、従業員、当社の関連会社、および当社のビジネスパートナーの請求を含む場合があります。当社は権利の保護(例えば、訴訟上もしくは訴訟外において、また世界各地の機関において請求権の法的執行を行うため、または請求に対して自らを防御するため)を目的として個人データを処理します。

このデータ処理を行う法的根拠は、当社の権利の保護についての当社の正当な利益(GDPR第6条(1)(f))です。

4.7 ルフトハンザ グループ内の管理およびサポート業務

ルフトハンザ グループは、効率性向上と競争力維持のために、ルフトハンザ グループ全体または複数の会社にとって役立つ手続を構築し、維持しています。したがって、SWISSおよびルフトハンザ グループの他の企業は、互いのデータ処理を支援するために、本個人情報保護方針に従って個人データを共有する場合があります(第7.1項を参照)。

共同管理および支援の例としては、以下のものが含まれます。

  • Travel ID
  • ITの管理(複数のルフトハンザ グループ企業が使用するシステムを含む)
  • 複数のルフトハンザ グループ企業が使用するデータの集中保管および管理
  • 研修および教育
  • 企業買収、売却、合併などの企業取引の検討または実行
  • 他のルフトハンザ グループ企業に関する問い合わせの転送
  • 共同の不正防止措置(第5.4項を参照)
  • 「規則に従わない乗客」に関するデータ共有(第4.5項を参照)
  • ルフトハンザ グループ内部の手続の全般的見直しおよび改善

このデータ処理を行う法的根拠は、ルフトハンザグループ内の効率的な管理およびサポートについての当社の正当な利益(GDPR第6条(1)(f))です。

5. 具体的なユースケース、各ユースケースの目的、法的根拠、詳細情報

5.1 ウェブサイトへのアクセス

当社は、お客様が当社ウェブサイトを閲覧する際にお客様のブラウザが当社に自動送信する情報を収集します。これには以下のデータが含まれます。

  • お客様の機器のインターネットプロトコルアドレス(IPアドレス)
  • インターネットサービス提供会社
  • 使用しているオペレーティングシステム、ブラウザの種類、ブラウザのバージョン
  • サーバーリクエストの日時
  • アクセスされたウェブサイト
  • リファラーURL(直前に閲覧していたウェブサイト)

当社は、上記のとおり自動的に収集したデータを、当社ウェブサイトを適切に機能させるという目的(例:接続の確立、安定性の確保や中断のないシステムセキュリティの確保、サービス向上、および統計目的)のために処理します。

このデータ処理を行う法的根拠は、かかる目的についての当社の正当な利益(GDPR第6条(1)(f))です。

当社は、当社ウェブサイト上で、分析やマーケティングなどのその他の目的のために、いわゆるCookieやこれに類する技術を使用して個人データを処理する場合もあります。詳細は、当社のCookieポリシーをご覧ください。

5.2 ウェブサイトSWISS Magazine上での広告表示

当社は、お客様がウェブサイトSWISS Magazine(URL:https://www.swiss.com/magazineおよびサブページ)にアクセスする際に、パーソナライズされていない第三者の広告の正しい表示、そのパフォーマンスの測定、セキュリティ確保、不正行為の防止、およびエラー修正のために、上記第5.1項で述べたデータの処理も行います。

当社は現在、この処理を行うために、IAB Europe TCF 2認証を取得しているサービス提供会社であるGoldbach neXT AG(Seestrasse 23, 8700 Küsnacht ZH, Switzerland)を使用しています(当社のサービス提供会社については第7.2項をご参照ください)。

このデータは、所定の目的を達成するための必要性を失い次第、ただし遅くとも30日後には削除されます。

このデータ処理を行う法的根拠は、かかる目的についての当社の正当な利益(GDPR第6条(1)(f))です。広告のパーソナライズにはお客様の同意が必要です(当社のCookieポリシーを参照)。

5.3 掛取引と分割払い

支払取引の問題を防ぐためには、信用調査が役に立ちます。信用調査によって、中長期的には価格にも影響しかねない財務リスクから当社を確実に保護することができます。信用調査は、当社がサービス提供と同時に支払を受けることなくサービスを提供する場合(例:掛取引の場合)に必要となる場合があります。その他のお支払い方法は信用調査なしでご利用いただけます。

当社は、「掛取引」をご利用いただくために、お客様の個人情報(例:氏名、住所、生年月日、Eメールアドレス、携帯電話番号、未払額、使用通貨、予約データ)およびSWISSウェブサイトの利用状況データ(例:ウェブサイトへのアクセスの開始、終了、アクセスした範囲に関する情報、IPアドレス、クリックパスに関する情報)を処理する場合があります。詐欺行為の疑いがある場合、当社はかかる評価およびその根拠となる証拠を検証します。お客様の申込が却下された場合には通知いたします。

処理を行う目的は、この支払方法の提供、本人確認および与信評価(信用機関などの第三者からの照会情報取得を含む場合があります)、ならびにリスク管理(不正行為や不正使用の防止を含み、さらに第三者企業が関わる場合もあります)です。

現在、当社では、第三者企業の利用規約に従って、当該企業による「掛取引」サービスをご利用いただけます(例:MF Group AGのPowerpay)。お客様が当該サービスを利用する場合、当該サービスを提供する会社は、独立管理者として、自らの個人情報保護方針に従ってお客様の個人データを処理する点にご留意ください。

当社または第三者が、お客様との契約(例:お客様が承諾した利用規約)を履行するために必要な処理を行う法的根拠は、GDPR第6条(1)(b)です。上記の目的のためのその他の処理はすべて、当社の正当な利益(GDPR第6条(1)(f))を法的根拠としています。

5.4 不正防止措置

当社は、詐欺その他の不正使用を防止するために、支払取引を検証する場合があります。このため、当社は社内外の情報源を使用します。この目的のため、当社は、明確かつ特定可能な技術的機能も確認します。不正行為が疑われる場合や検知された場合、当社は、関連情報(個人データを含む)をルフトハンザ グループの他企業と共有する場合があり、当該企業もまた自らの目的のために当該情報を検証する場合があります(第4.7項および7.1項を参照)。

このデータ処理を行う法的根拠は、不正防止措置における当社の正当な利益(GDPR第6条(1)(f))です。

5.5 空港での生体認証

お客様は、生体認証サービスの運営者に登録することで、特定の空港で対象となるフライトを利用する際に、搭乗券またはスマートフォンを提示する必要がない、生体認証システム(顔認証)を利用することができます。

バイオメトリクスプロファイルの登録ならびに生体認証に必要な個人情報の処理に関し、EU一般データ保護規則の観点での責任者は、各運営者です。お客様は次の運営者による生体認証サービスをご利用になれます。

  • スターアライアンス

当社が責任を負う処理

  • お客様が当社のオンラインチェックインの範囲においてデジタル搭乗券を受け取ると、当社はお客様のリクエストに応じて(すなわちお客様が対象となる生体認証サービスの運営者を選択した場合)、このデジタル搭乗券をお客様が選択した運営者に転送します。
  • 空港で当社が運営する、相応のカメラが取り付けられたアクセスポイントまたは装置(搭乗ゲートなど)で、当社はお客様の短い動画像列を記録します。規定数の生体写真がこの記録から抽出され、お客様を認証する目的で生体認証サービスの運営者に送信されます。

受領者のカテゴリー

  • EU内に拠点を持つITサービス提供会社(処理者)
  • 生体認証サービスのサプライヤー(管理者)

データの保管期間

お客様のデータは、本人確認処理の完了後またはデータの送信後直ちに、アクセスポイントまたは装置にて削除されます。

処理の法的根拠

お客様のデータは、お客様が登録時に各生体認証サービス運営者に提供した、GDPR第6条(1)(a)および第9条(a)による同意に基づいて処理されます。生体データの使用に関するお客様の同意は、いつでも各運営者に対して撤回することができます。お客様の個人情報の処理と同意の撤回に関する詳細は、運営者の個人情報保護規定をご覧ください。

  • スターアライアンス
スターアライアンス個人情報保護方針について

チャットアシスタント

セルフサービスのご利用、一般的な情報や目的地情報に関するお問い合わせは、当社ウェブサイトのチャットサービスまたは所定のメッセンジャーサービスからご連絡ください。お問い合わせの内容によっては、サービス担当者がライブチャットでお答えする場合もあります。

予約の変更や払い戻し、ご旅行に関連した商品やサービスのお問い合わせに対する回答など、当社サービスをご利用いただくために、目的に応じた個人情報(ご予約番号など)のご提供をお願いします。

Travel IDプロフィールをご登録いただいたお客様には、Travel IDのプロフィールに保存された情報をもとに、ご予約内容の一部を表示するなど、パーソナライズされたサービスをご提供することができます。Travel IDのご利用におけるお客様情報の取り扱いについての詳細は、Travel IDの個人情報保護方針をご覧ください。

当社はお問い合わせのツールにWhatsAppを利用しており、WhatsApp Ireland Ltd(4 Grand Canal Square、Grand Canal Harbour Ireland)とデータ処理契約を締結しています。WhatsAppは通信をエンドツーエンドで暗号化します。したがって、チャット内で交わされた情報はWhatsAppには開示されません。WhatsAppのご利用における個人データの取り扱いに関する詳細は、WhatsAppの個人情報保護方針をご覧ください。

通常、お客様の個人データはEU圏内で処理されます。

5.6 人工知能(AI)による乗客数確認

搭乗から扉を閉めるまでに乗客数を数えることによって、機内の正確な乗客数を確認します。このことは、安全なフライトと手荷物の正しい処理につながり、ひいては安全性の向上に寄与します。乗客数はこれまで、客室乗務員によって手動でカウントされていました。乗客数確認のミスは運航の遅延につながり、間違いに気付かないままであると、安全に関する事項(離陸重量の算出など)に影響を及ぼします。SWISSでは、乗客数確認を自動化することによってミスを最小限に抑えることを目指しており、それによって安全を高め、搭乗手続きを向上します。

SWISSはサービスプロバイダーであるVION AI GmbH(ドイツ)が提供する人工知能(AI)搭載モデルを使用しています。このモデルは、個人を特定することなく、航空機に搭乗する乗客と客室乗務員を区別するよう学習しています。これにより、乗客数と手荷物数を正確かつ自動で数えることが可能になります。

ご利用の便でAIによる乗客数確認が行われる場合、航空機の扉にその旨が記載された標識を掲示してお知らせします。乗客数確認のために搭乗する乗客を録画した動画は、乗客数確認が正常に行われてから間もなく消去されるか、個人を特定できないように処理されます。AIモデルに学習させるために、録画した動画を使用する場合(これは一部の運航便で行われます)、その動画は学習の直後か、少なくとも録画後6週間以内に消去されるか、個人を特定できないように処理されます。

つまるところ、乗客数・手荷物数確認の自動化は以下の点に貢献しています。

  • 安全性の向上
  • 自動化による搭乗手続きの最適化
  • これらの目的のためのAIモデルの学習

当社が法的義務を超えて、このような処理を行うことによって飛行中の安全を確実にする上での法的根拠は、当社の正当な利益として飛行中の安全を高め、搭乗手続きを向上することです(EU一般データ保護規則(GDPR)第6条1項(f))。

6. GDPRに基づく法的根拠

適用法令によっては、法令が特に認めた場合にのみデータ処理が許されます。スイスのデータ保護法はこれに該当しませんが、GDPRはこれに該当します。上記の各目的について記載されていないお客様の個人データの処理は、以下の法的根拠のいずれかに基づいて行われます。

  • お客様の同意。例えば、ニュースレター、マーケティング用Cookieなどのために当社が同意を求めた場合 (GDPR第6条(1)(a))
  • 当社または当社の提携企業でのご予約などについては、お客様との契約の履行または契約前の措置(GDPR第6条(1)(b))
  • EU指令2004/82/ECならびに外国人および統合に関するスイス連邦法第104条以下に基づいて航空会社として管轄当局にAPIデータを連絡する当社の義務などの、法的義務の遵守(GDPR第6条(1)(c))
  • 当社自身の利益および第三者の利益を含む正当な利益(GDPR第6条(1)(f))。例えば、顧客満足度の向上、広告およびマーケティング活動の実行、事業運営の保護および組織化(ウェブサイト、アプリなどのシステムの開発を含む)、ご搭乗者、お客様、従業員、その他の個人、およびルフトハンザ グループのデータ、秘密、資産の保護、リスク管理、企業、企業の一部、その他の資産の売却および購入、法的権利および請求権の執行または防御、スイスおよび外国の法律ならびに社内規則および規制の遵守などについての正当な利益

7. データ開示

7.1 ルフトハンザ グループ企業

SWISSはルフトハンザ グループに所属しています。ルフトハンザ グループおよび同グループ企業に関する詳細情報や報告書は、ルフトハンザ グループ企業概要にてご覧いただけます。SWISSは、お客様に対する契約上の義務を実行し、ご予約依頼に対応し、カスタマーサービスを提供するために、ルフトハンザ グループ内で個人情報を開示する場合があります。開示は、グループ内の管理業務やグループ企業の支援、およびグループ企業自らの処理目的(第4.7項を参照)を促進するために行われる場合があります。

当社は他のルフトハンザ グループ企業と、データ保護法に基づく共同管理者として協働することが多くあります(例えば、お客様がTravel IDを使用する場合など)。また、当社がルフトハンザグループ企業をサービス提供会社として用いる場合も多くあります(以下第7.2項を参照)。

7.2 その他の企業および政府機関

当社は、他社のサービスを使用する場合、当該企業にお客様の個人データを開示することがあります。これらのサービス提供会社は、通常、いわゆる「処理者」として当社に代わって個人データを処理します。当社の処理者は、当社の指示に従ってのみ個人データを処理し、データセキュリティを確保するために適切な措置を講じる義務を負います。一部のサービス提供会社は、共同管理者(例:第5.6項に規定するMeta)、または独立管理者(例:第5.3項に規定する「掛取引」のサービス提供会社)でもあります。

例えば、以下の分野のサービスが含まれます。

  • 旅行関連技術
  • 広告およびマーケティングサービス(例えば、メッセージや情報の配信のため)
  • 企業管理サービス(例えば、会計や資産管理など)
  • 決済サービス
  • ITサービス(例えば、データストレージ(ホスティング)、クラウドサービス、Eメールニュースレター配信、データ分析および改良など)
  • 顧問サービス(例えば、税務アドバイザー、弁護士、経営コンサルタント)

当社は、個々のケースにおいて、他の第三者に対し、当該第三者の目的のために個人データを開示することがあります。例えばお客様の同意がある場合や、当社が当該データを共有する法的義務もしくは権限を有する場合などです。このような場合、データ受領者はデータ保護法の下でデータの独立管理者であり、通常、自らの個人情報保護方針を提供します。

例えば、以下がこのような場合に含まれます。

  • スイス国内外の裁判所および当局への個人データの開示(第4.4項の例を参照)
  • 裁判所もしくは行政機関の命令に従うため、または法的権利もしくは請求権を執行もしくは防御するため、またはその他の法的根拠に基づいてかかる処理が必要であると当社が判断した場合に行う個人情報処理。さらに当社は、手続に関与する他の当事者に対してお客様の個人データを開示する場合があります。
  • 債権回収業者などの他社に対する債権譲渡
  • 企業買収、売却、合併などの企業取引の検討または実行

当社のウェブサイトやアプリに統合されたツールを提供している第三者提供会社が独自に行うデータ収集については、当社のCookieポリシーをご覧ください。

8. スイスおよび欧州経済領域以外の国への個人データの移転

世界的にフライトを運航する航空会社として当社は、本個人情報保護方針に従い、個別のケースに応じてお客様の個人データを世界中に移転します。移転先の国には、お客様の個人データをスイスや欧州経済領域と同程度に保護する法律が存在しない場合もあり得ます。当社は、お客様の個人データをかかる国に移転する場合には、お客様の個人データの保護を適切な方法により確保します。

そのひとつの手段は、例えば、必要な水準のデータ保護を確保するデータ移転契約を、第三国にいるお客様の個人データの受領者との間で締結することです。この契約には、欧州委員会およびスイス連邦データ保護情報コミッショナーが承認、発行、認定した、標準契約条項として知られる契約が含まれます。当社が一般的に使用するデータ移転契約の例は、欧州委員会のウェブサイトで入手できます。かかる契約的取り決めによって、法令による保護の弱さや欠落を部分的には補えますが、あらゆるリスク(例:海外における政府アクセス)を完全に排除はできないことにご注意ください。同意に基づく場合、外国での法的手続きに関連する場合、契約の履行に移転が必要な場合など、例外的な場合においては、適切な保護のない国への移転も許可される場合があります。

9. 個人データの保持

当社はお客様の個人データを以下の期間保持します。

  • 処理目的および該当する目的のために必要な期間(通常、契約の場合は少なくとも契約関係の存続期間)
  • 法令上の保持義務の対象期間。例えば、特定のデータには10年間の保持期間が適用されます。
  • 当社がその保持について正当な利益を有する期間。特に、請求権の執行または防御、アーカイブ目的、またはITセキュリティの確保のために個人情報が必要な場合がこれに該当します。

当社の正当な利益に基づく保持期間の具体例は以下のとおりです。

  • 契約終了後10年間は請求が生じる可能性があるため(除斥期間)、当社は通常、契約上のデータを当該期間にわたり保持します。
  • ビデオ監視の記録や特定のオンライン処理の記録(ログデータ)などの他のデータについては、通常、これよりも短い保持期間が適用されます。
  • 一部の空港では、当社は通常14日間にわたり渡航書類の写しを保持します。これは、当該空港から旅行されるご搭乗者の渡航書類を当社が確認した旨の証明を当局に提出する必要があるためです。
  • ​5項および他の個人情報保護方針に記載のある他の保持期間

10. プロファイリング、人工知能、法律効果を有する自動的意思決定

プロファイリング」とは、個人的側面の分析または予測(例:個人的関心、好み、相性および習慣の分析、または可能性の高い行動予測)を行うための個人情報の自動処理を意味します。プロファイリングは業界を問わず一般的に行われています。プロファイリングは第4項および5項に規定する特定の目的において当社をサポートするものであり、そこに記載の法的根拠に基づくものです。プロファイリングは、例えば当社が以下を行う上で役立ちます。

  • 当社のオファーを個人のニーズに合わせて継続的に改良すること(第4.3項)
  • お客様のニーズに応じて当社のコンテンツおよびオファーを提示すること(第4.2項)
  • お客様に関連すると思われる広告およびオファーを表示すること(第4.2項)
  • 当社のカスタマーサービスでのお客様への対応を改善すること(第4.1項および5.6項)
  • 信用評価を実施すること(第5.3項および5.4項)

人工知能」(AI)について国際的に認められた定義はまだ存在しません。あらゆる新規技術と同様、SWISSは、かかる技術を責任ある方法で用いるよう努めます。例えば当社は、AIで航空機へのご搭乗者と乗務員や地上職員とを区別する試験を行い、顔認識を行うことなく人数計測の誤りを根絶することができました。もしお客様がこのようなご搭乗者人数の計測に含まれていた場合には、詳細情報を入手することができます。

当社は、お客様に関して、お客様に法律効果を及ぼす、またはこれに類する方法でお客様に重大な影響を及ぼすような決定を、自動化された処理のみに基づいて行うことはありません。ただし、当社が別途お客様に通知した場合はこの限りではありません。この場合、お客様は、当該決定を人間が検討するよう求めることができます。

11. データセキュリティ

当社は、お客様の個人情報への保護措置を設け、不正または違法な処理活動からお客様を保護し、紛失、意図せぬ変更、不注意による開示、不正アクセスなどのリスクに対抗するために、適切な技術的および組織的なセキュリティ対策を講じています。もっとも、あらゆる企業のように当社もデータセキュリティ侵害を完全に排除することはできず、一定のリスクの残存は避けられません。

技術的なセキュリティ対策には、データの暗号化・仮名化、記録、アクセス制限、バックアップデータの保管などがあります。組織に関連するセキュリティ対策には、当社の従業員に対する研修、秘密保持契約および監査が含まれます。また当社が業務を委託するデータ処理業者に対しても、技術的および組織的セキュリティ対策を適切に実施するよう求めています(第7.2項を参照)。

12. 個人データに関するお客様の権利

特に、当社が正当な利益に基づいてお客様の個人データを処理し、かつ他の要件を充足している場合、お客様はデータ処理に対して異議を申し立てる権利を有します。お客様は、直接広告(例:広告Eメール)に関連するデータ処理に対しても、いつでも異議を申し立てることができます。直接広告に関するものである限り、これはプロファイリングにも当てはまります。

要件が充足されており、適用法令において例外規定がない限り、お客様は以下の権利も有します。

  • 当社が保管するお客様の個人データに関する情報を請求する権利
  • 不正確または不完全な個人データを訂正させる権利
  • 個人データの削除または匿名化を請求する権利
  • 個人データ処理の制限を請求する権利
  • 特定の個人データを、構造化され、一般的に使用され、機械読取可能な形式で受領する権利
  • 処理が同意に基づく限りにおいて、将来効を有する同意の撤回を行う権利

これらの権利は、個々の事例においては制限・排除される場合がある点にご留意ください。(例:本人確認に疑義がある場合、または他者を保護するため、保護に値する利益を保護するため、もしくは法的義務を遵守するために必要な場合など)。特定の権利の行使によってお客様に費用が生じる場合は、事前にその旨を通知します。

これらの権利を行使するには、通常、お客様の身元を証明する必要があります(他の方法では身元が明らかとならない場合、または他の方法で身元が確認できない場合には、パスポートまたは身分証明書の写しによります)。

お客様は、次の方法によって上記の権利を行使できます。

  • 請求に関連するユーザーアカウントまたはアプリから。例えば、Travel IDユーザーデータでは、いつでもご自身で大部分のマスターデータの現状確認、同意の撤回、およびお客様のTravel IDユーザーデータの削除を行うことができます。
  • ニュースレター等の広告Eメールを配信停止することによって。通常はEメールの末尾から行えます。
  • 当社のデータ主体の権利に関する連絡フォームから。初回の回答をお受け取りになるまでに最大30日かかる場合がありますのでご了承ください。

当社のデータ処理に関するお客様の懸念をお知らせいただきありがとうございます。対応させていただくまで少しお待ちください。その間、お客様は、管轄を有する監督当局に対して苦情を申し立てることも可能です。

個々のご予約やサービスに関するご要望やご意見など、データ保護に関連しないお問い合わせへの回答や関連部署への転送につきましては、データ保護チームでは対応いたしかねます。当社のサービスセンターより適切な連絡フォームをご使用いただくか、お客様が当社の取引先企業としてご連絡なさっている場合はSWISSの担当者までご連絡ください。

13. 個人情報保護方針に対する変更

本個人情報保護方針は、事前の通知なしに随時変更されることがあります。当社のウェブサイトに掲載されている最新版が適用されるものとします。