Miles & Moreウェブサイト／アプリ／通信媒体のデータ保護ポリシー

「当社」とはMiles & More GmbH, Unterschweinstiege 8, 60549 Frankfurt am Main（「MMG」）を指し、欧州連合の一般データ保護規則（「GDPR」）およびドイツ連邦データ保護法（Bundesdatenschutzgesetz - 「BDSG」）の意味において、お客様の個人データを処理する責任を負う組織です。

「運営者」とある場合は、Miles & Moreの顧客ロイヤルティプログラム（「Miles & More」）の運営者かつ発行者であるMMGとLufthansa German Airlines（「ルフトハンザ」）を指し、顧客ロイヤルティプログラムに対し、EU一般データ保護規則第26条に定められる通りに、共同で責任を負います。ご要望があれば、当社はこの共同データ管理者契約の主な内容をお客様が入手できるように致します。これらの会社についての完全な情報はwww.miles-and-more.comおよびwww.lufthansa.comにおけるそれぞれのインプリント上でご覧になれます。

当社ウェブサイトおよびアプリ上には、個人データの処理を必要とする、様々な機能が搭載されています。これらの機能は、たとえばMiles & More会員が認証データを使ってログインした後（Miles & Moreカード番号と暗証番号、またはユーザーIDとパスワードなど）にのみ利用できます。

以下の機能はMiles & More会員としてお客様がログインした場合に、利用可能です。

• プロフィールの表示とカスタマイズ 
• アワードの請求
• マイルを使用したり、貯めるためのプラットフォームの利用
• カスタマイズされた情報やオファーの受領 
• アンケートや抽選への参加

機能を使用するために追加の個人情報を提供する必要がある場合、当社ウェブサイトまたはアプリ上でユーザーの身元が確認されます。特に必須情報が入力されているかどうかが確認されます。必須情報が提供されない場合、特定の機能は利用できません。

お客様のために当社が用意したオファーの提示、ならびにアンケートや抽選への参加のための、この処理に関する法的根拠は、GDPR第6条1項(b)（契約と契約締結前措置の履行）、およびGDPR第6条1項(a)（同意）です。

当社のウェブサイトおよびアプリはログインせずに使用できるものの、個人データの処理を必要とする機能を含む場合もあります。以下はその一例です。

• 問い合わせやコメントを当社に送信するためのお問い合わせフォームの利用

このデータの処理に関する法的根拠はGDPR第6条1項(b)（契約の履行と契約締結前措置の履行）です。

お客様はMiles & Moreプログラムに登録したりログインすることで、個人データを積極的に提供せずに、ウェブサイトを利用することができます。ただし、この場合であっても、お客様がウェブサイトにアクセスできるようにするため、特定の情報を処理する必要があります。 

当社のサーバーは以下のデータを自動的に認識します（一般にログファイルと言われるもの）。

• ドメイン名
• 閲覧の日付と時刻
• 顧客ファイルリクエスト（ファイル名とURL）
• httpレスポンスコード
• セッション中に転送されるバイト数
• お客様の端末のIPアドレス
• デバイスのプロパティ（オペレーティングシステムなど）
• ウェブサイトのリファラー（当社のウェブサイトを閲覧する直前にアクセスしていたウェブサイトについての情報）
• 位置情報（お客様の許可を得ない、地域についてのみ）

このデータはお客様が技術的にウェブサイトにアクセスできるようにするとともに、その安定性と安全性を確保するために処理され、セキュリティインシデントを確認するために90日間保持されます。このデータの処理に関する法的根拠は、GDPR第6条1項(f)（正当な利益－ウェブサイトの技術的安定における会社の利益）です。 

さらに、当社のウェブサイトを社外からの攻撃（ハッカーによる攻撃、ボットネット攻撃、その他の不正行為の試みなど）から守るため、お客様のIPアドレスは匿名の形式で処理されます。お客様のIPアドレスはお客様のプロフィールと一緒に保存されることはなく、お客様個人を（不相応な著しい努力を払うことなく）遡って追跡することはできません。このデータの処理に関する法的根拠はGDPR第6条1項(f)（利益の均衡－システムの安全性における会社の利益）です。   

さらに、当社はお客様の端末を認識するため、クッキーやローカルストレージなどの技術を使用します。これについては第3.3項に詳細を説明しています。

第2.1項に説明する機能を使用するために、お客様はMiles & Moreカード番号と暗証番号、またはユーザーIDとパスワードを使用して当社のウェブサイトにログインできます。第3.1項に説明されているデータに加えて、お客様のマスターデータ、ステータスデータ、プログラムデータおよびログイン後のその他のデータがこのデータ保護ポリシーに説明されているかたちで処理されます。 

当社ウェブサイト上では「ログインした状態を保つ」オプションがお客様に提供されます。ログインプロセス中にこの機能を選択すると、新たにウェブサイトを閲覧する際に、再びログインしなくて済むよう、お客様を認識するために、クッキーはアクセストークンを保存します。マイルの利用など、機密またはセキュリティ関連の機能についてのみ、再度ログイン情報が求められます。この選択を排除するか、ブラウザー設定ですべてのクッキーを削除すると、クッキーが排除され、お客様は再びログインする必要があります。セキュリティ上の理由から、一般人が利用できるコンピューターやその他のデバイスでのこの機能の利用は推奨されません。

お客様が当社のサービスをできる限り簡単に使えるようにするため、当社はクッキーと言われるもの、およびその他のトラッキング手法を利用しています。これについてはクッキーおよび同様の技術で詳細をご覧いただけます。

お客様は当社のウェブサイトにゲストとしてアクセスできます。しかしながら、Miles & Moreの特定の機能は、アクセスデータでログインした後にのみ、ご利用になれます。

ご利用時に以下のデータが自動的に収集されます。

• ドメイン名
• 閲覧の日付と時刻
• 顧客ファイルリクエスト（ファイル名とURL）
• httpレスポンスコード
• セッション中に転送されるバイト数
• お客様の端末のIPアドレス
• デバイスのプロパティ（オペレーティングシステムなど）
• アプリ間の参照リンク（当社のアプリを閲覧する直前に呼び出した、リンクされているアプリについての情報） 
• 位置情報（お客様の許可を得ない、地域についてのみ）

ゲストとしてサービスをご利用になる場合、一定期間に何人の訪問者が当社のアプリを利用したかを判断したり、統計を取ったりするために匿名形式でのみ当社はこのデータを評価します。この処理に関する法的根拠は、GDPR第6条1項(f)（正当な利益 - ウェブサイト、アプリおよびオファーの改善における会社の利益）です。

要求されたアクセスデータ（Miles & Moreカード番号と暗証番号、またはユーザーIDとパスワード）を入力した後、またはMiles & Moreプログラムの登録後には、当社アプリのすべての機能をご利用になれます。お客様のアクセスデータはアプリの機能を使用できるようにするために必要です。このデータの処理に関する法的根拠はGDPR第6条1項(b)（契約と契約締結前措置の履行）です。

また、アプリが使用される際に、当社はデータ分析の目的で第4.1項で言及されているデータを処理することがあります。このデータは匿名の形で処理され、お客様のプロフィールと一緒に保存されることはありません。この処理に関する法的根拠は、GDPR第6条1項(f)（正当な利益 - ウェブサイト、アプリおよびオファーの改善における会社の利益）です。お客様がそのための許可を当社に付与する場合、当社はお客様のプロフィールデータとデータを照合できます。この処理の法的根拠はGDPR第6条1項(a)（同意）です。

あなたの現在地の確認をアプリに許可すると、アプリにお使いのモバイル端末の位置情報サービスへのアクセスを許可することになります。お使いの端末の位置情報サービスは、モバイル、WLANやGPSネットワーク、またはiBeaconsからの情報を用いて、お客様のおおよその位置を特定します。

アプリがお客様の最寄りの地域のオファーの表示など、位置情報に基づいた機能を提供できるようにするためには、お使いのモバイル端末の位置情報サービスへのアクセスの許可が必要です。アクセスを許可しない場合、位置情報に基づくコンテンツの表示は制限されます。

iOSオペレーティングシステム搭載のスマートフォンの設定（AppleのiPhoneとiPad）:
iOSの設定において、後から、位置情報機能の許可を有効にしたり、無効にしたりすることもできます。そうするには、iOSでアプリの「設定」を開き、「データ保護」メニューのオプションとサブカテゴリーの「位置情報サービス」を選択します。以下のメニューで、お客様のデバイスにインストールされているアプリで位置情報に基づいた機能のあるものをすべて見つけられます。ここで、Miles & Moreアプリを選択します。以下のメニューで、位置情報へのアクセスを常に許可するか、全く許可しないかを選択できます。

オペレーティングシステムとしてAndroidを搭載しているスマートフォンでの設定（Samsung、HTC、Sony、LGなど様々なメーカー）：Android上でデバイスおよびオペレーティングシステムのバージョンによって、いつでも位置情報機能の設定を変更できます。変更するには、お使いのデバイスでアプリの「設定」を開いてください。「セキュリティ＆位置情報」をタップして、次に「位置情報」をタップします（または「位置情報」のみ、ワークプロフィール内の「位置情報」と「詳細」）。「アプリレベルでの許可」をタップします。変更したいアプリを探します。アプリの位置情報許可を無効にします。

当社のアプリはお客様の同意なしに、許可を利用することはありません。位置情報サービスはお客様がアプリ内で明示的な許可を与えている場合にのみ、アクセスされます。このために、登録またはログインした後に、お客様はアプリから許可を求められます。アプリはお客様が質問に「許可」と答えた後でのみ、位置情報サービスのアクセスオプションを利用します。

この処理の法的根拠はGDPR第6条1項(a)（同意）です。

当社はウェブサイトおよびアプリの両方で特定の分析手順を使用します。以下は、解析手順と機能の統合について説明しています。

Adobe Analyticsはウェブサイト、アプリ、デジタル通信媒体に配置されています。これは、Adobe Systems Software Ireland Limited（4-6 Riverwalk, Citywest Business Campus, Dublin 24, Ireland）（「Adobe Analytics」）によるウェブ解析サービスです。 

Adobe Analyticsはクッキー、特にAdobeのドメインに属する2o7.netとomtrdc.netを使用します。Adobe Analyticsはウェブビーコンもインストールします（最後のセクションの第3.3.1項を参照）：ウェブビーコンはデジタルコンテンツ上に配置されている、透明なグラフィックで、そのリクエストは訪問者によって検知されます。ウェブビーコンを使用すると、お客様がウェブサイト、アプリ、または通信媒体をウェブビーコンを使って開いた際に、訪問者の活動を測定できるようになります。

Adobe Analyticsでは、ユーザーのIPアドレスは短縮され、匿名化されます。ここでは匿名化された形でのみ使用されます。

クッキーまたはウェブビーコンを使用して取得された情報は欧州連合加盟国内または欧州経済地域の協定加盟国にあるAdobeのコンピューターセンターにのみ送信されます。Adobeは当社の代わり、かつ上記の目的にのみこの情報を使用します。

Adobe Analyticsによるクッキーを使用したこのような情報の収集および使用を許可したくない場合は、こちらからこれを拒否できます。アプリを使用している場合には、データ保護規約の最後にある無効化のボタンで、このような情報の収集を阻止することができます。これを選択すると、追跡データを含まない選択解除クッキーがユーザーの機器に配置されます。これでユーザーが拒否したことが認識され、それ以降はデータを追跡する目的でAdobeのサーバーとデータ共有することができなくなります。

また、使用中のインターネットブラウザが全般的にクッキーを一切承認しないように設定することができます。そうすると、Adobe Analyticsによるデータの収集を阻止することができます。同じことが「do not track」機能またはウェブビーコンの画像表示の無効化にも該当します。各ブラウザのサプライヤーによってこれに該当する設定が異なるため、ご自分のインターネットブラウザの指示を読んで無効化に必要な手順をよく理解してください。

Adobe AnalyticsおよびAdobeのデータ保護についての詳細はwww.adobe.com/jp/privacy.htmlでご覧いただけます。

当社ウェブサイト上で、当社はGoogleの「Captchas」と呼ばれるもの（「Google reCAPTCHA」）を使用しています。これは人（不正行為の場合は、コンピューター）が特定のオペレーションを実行したかどうかを判断する機能です。「Captcha」は「Completely Automated Public Turing test to tell Computers and Humans Apart（コンピューターと人間を区別する完全に自動化されたチューリングテスト）」を意味します。

Googleのセキュリティ点検は以下の情報を特に利用します。

• お客様の端末のIPアドレス
• ブラウザのプロパティ（ブラウザの種類、バージョン、スクリーンの解像度、言語、アクセスの時刻と日付など）
• お客様のGoogleアカウント（ログインしている場合）
• ウェブサイト上での閲覧の行動
• エントリー行動（reCAPTCHA画面上でのマウスの動きなど）
• 適宜、画像の特定に関わるタスク

Googleでのデータ保護についての詳細はhttps://policies.google.com/privacy?hl=ja&gl=jaからご覧いただけます。

第5.1項および5.2項に説明されている処理に関する法的根拠はGDPR第6条1項(f)（正当な利益－ウェブサイトの関連性と継続的な開発における会社の利益）です。同意を得られた場合、当社はお客様のデータを匿名の形式で、お客様のマスターデータおよびプログラムデータと関連付けることができます。この処理に関する法的根拠はGDPR第6条1項(a)（同意）です。第5.3項における、この処理の法的根拠はGDPR第6条1項(f)（正当な利益－システムの安全性／スパムからの保護における会社の利益）です。

当社ウェブサイトおよびアプリでは、ソーシャルネットワーク（FacebookやTwitterなど）に関する機能を統合することができます。

現在、Miles & Moreからのオファーにはソーシャルネットワークのリンクが使用されています。これらのリンクを使用せずに、当社のウェブサイト、アプリの両方にアクセスし利用することができます。これらの追加機能を利用する際は個人情報の取り扱いについての次のポリシーにご注意ください。

ソーシャルネットワーク内（Facebookのページ、YouTubeチャンネル、またはTwitterアカウントなど）のオファーへのウェブサイト内のリンクは、現行のソーシャルネットワークページへの単純なリンクを意味します。このようなリンクを使用する場合、当社はこれらのソーシャルネットワーク提供者といかなる個人情報も共有しません。ただし、これらの提供者は基本的にユーザーがどこから訪問したかを識別する能力を持ち合わせています。当社はこれらのプロバイダーのデータ処理について、いかなる影響力も持ちません。このデータ保護ポリシーはこれらのプロバイダーのオファーには適用されません。詳細は通常、それぞれの提供者のデータ保護ポリシーにてご覧いただけます。

当社ウェブサイトからリンクを介して、当社が運営していない第三者のウェブサイトを訪問することができます。たとえば、お客様がマイルを獲得できたり、Miles & More会員に対する特別オファーが提供されているパートナー会社のウェブサイトなどがあります。このような第三者のウェブサイト上における個人データの処理については、当社は影響力をもたず、該当するウェブサイトの提供者によって情報が取り扱われます。そのため、これらのウェブサイト上での（個人）情報の処理についての正確な情報を取得するには、これらのウェブサイトでデータの利用条件およびデータ保護についての情報をお読みください。

当社は、お客様のデータを契約および法律に定められた義務を遂行するのに必要な期間、処理します。お客様のデータが処理される目的がもはや適用されなくなった場合、以下の目的で、データを保存する必要がなければ、データは削除されます。

• 商法典および税法典から派生した商法と税法に基づく保存期間を満たすという目的。これらの期間は最長10年間の場合があります
• 期間の定めに関する規定に従って証拠を保存するという目的。民法の195条およびそれに続く条（ドイツ民法典 - BGB）に基づくと、これらの期間の定めは最長30年の場合があります。通常の期間の定めは3年です。

当社のサービスを提供できるようにするため、当社はGDPR第28条に従って、サービスセンター、ウェブホスティングサービス、または処理者など、その他のITサービス提供者などのサービス提供者を使用します。これらのサービス提供会社は注意深く選定され、当社の指示によってのみ業務を行います。またこれらのサービス提供会社は、データ保護法に基づく義務を遵守する十分な保証を提供します。

当社はまた、委託した処理の一部として、第三者からデータ処理の委託を受けてデータを受け取ります。これは、例えば、プログラムパートナーについての顧客サービスの問い合わせの処理との関連で発生します。
個人データが第三国に転送される場合、法的要件（特にEUの十分性の認定およびEUの標準的契約条項。EUの標準的契約条項についての情報は欧州連合のウェブサイトでご覧になれます）およびGDPR第45、46条に従って、個人データの保護のために適切な保護措置が講じられます。

個人データをデータ処理者に転送する法的根拠は、GDPR第26条と併せて、本データ保護ポリシーの法的根拠のセクション3に記載されています。
さらに、一部の場合に、当社は、ドイツおよび国際当局に対して個人データを利用できるようにすることが法的に義務付けられます（GDPR第6条1項(c)（法的義務）。

データ主体として、お客様は、この規則に定められた以下の権利を行使することができます。

• 情報に関する権利（EU一般データ保護規則第15条）
• 訂正の権利（GDPR第16条）
• 消去に関する権利（「忘れ去られる権利」）（GDPR第17条）
• データ処理の制限の権利（GDPR第18条）
• データポータビリティの権利（GDPR第20条）
• 異議を唱える権利（EU一般データ保護規則第21条）

お客様は権利の行使のために、当社のお問い合わせフォームを使用できます。その際、当社がお客様の申請を処理し、お客様を識別できるよう、当社はEU一般個人データ保護規則の第6条1項(c)に従ってお客様の個人データを処理します。

お客様のマスターデータの大半について現在の状況は、常にウェブサイト上の顧客プロフィールのページでもご自身で確認することもできます。何か変更がありましたら、ただちに個人情報を更新していただくようお願い申し上げます（郵送住所、Eメールアドレス、または電話番号など）。

お客様には監督機関に不服申し立てを行う権利もあります（EU一般個人データ保護規則第77条、ドイツ連邦データ保護法第19条）。

MMGおよびルフトハンザの監督機関は以下の通りです。

The Data Protection Commissioner of Hesse
Postfach 3163
65021 Wiesbaden

Gustav-Stresemann-Ring 1
65189 Wiesbaden

Tel: 0611/1408-0
Fax: 0611/1408-900 or -901
E-mail: poststelle@datenschutz.hessen.de

お客様の特定の状況により、EU一般個人データ保護規則第6条1項(e）あるいは(f)に基づき、お客様にはいつでも個人データの処理に関し異議を唱える権利があります。

当社は、保護に値する、そしてお客様の利益、権利、自由より重大な、処理に対するやむを得ない理由があると証明できない場合、あるいは処理が法的要求を守り、行使し、弁護するために使用されない場合は、お客様に関わる個人データをもはや処理しません。

お客様に関する個人データが直接広告を行うために処理される場合は、お客様はいつでも、そのような広告を目的とする個人データの処理に対して異議を申し立てる権利があります。

直接広告の目的での処理を拒否される場合は、お客様に関する個人データはそのような目的のためにもはや処理されることはなくなります。

お客様は、プライバシー保護指令（2002/58/EC）に関わりなく、技術的明細事項が使用されている自動処理を使用する情報会社のサービスの利用に関連して、権利を行使することができます。

お客様は、いつでも、このデータ保護ポリシーの第10条に記載されたお問い合わせフォームの使用等により、お客様の個人データの処理に関して異議を唱えることができます。

当社が処理するお客様のデータを偶発的または意図的な改ざん、損失、削除、もしくは権限のない人物によるアクセスから保護するために、技術的、組織的なセキュリティ措置が講じられています。セキュリティ措置は新しい技術の発展にともない、継続的に改善されます。
当社はドイツ、欧州連合加盟国、または欧州経済地域の協定加盟国にあるサーバーにお客様の個人情報を保管します。

当社はこれらのデータ保護ポリシーを定期的に確認して、必要に応じてデータを更新します。これらのデータ保護ポリシーに大きな変更が加えられる場合は、お客様に通知いたします（当社ウェブサイト上またはアプリ上などで）。