Travel IDデータ保護通知

Austrian Airlines AG、Brussels Airlines SA/NV、Deutsche Lufthansa AG、Eurowings GmbH、EW Discover GmbHおよびSwiss International Air Lines AG（以下「ルフトハンザ グループ航空会社」という）、ならびにMiles & Moreが、Travel IDを運営する組織です。

本データ保護通知に別段の記載がない限り、「当社」または「Travel ID運営者」とは、欧州連合一般データ保護規則（「GDPR」）第26条に定義されるお客様の個人データの処理について共同責任を負う管理者（「共同管理者」）としての、ルフトハンザ グループ航空会社およびMiles & More GmbHを指します。

ルフトハンザ グループ航空会社およびMiles & More GmbHの詳細情報および連絡先は、Travel ID運営者の各データ保護通知に記載されています。

Travel IDに関するデータ保護に関するご質問は、下記までお問い合わせください。

Deutsche Lufthansa AG、Miles & More GmbH、Eurowings GmbH、およびEW Discover GmbHのデータ保護管理責任者連絡先：

Deutsche Lufthansa AG

Data Protection Officer

FRA CJ/D

Lufthansa Aviation Center

Airportring

60546 Frankfurt am Main

Germany

Austrian Airlines AGのデータ保護管理責任者連絡先：

Austrian Airlines AG

Legal office – Data Protection

Office Park 2

PO box 100

1300 Vienna Airport

Austria

Swiss International Air Lines AGのデータ保護管理責任者連絡先：

Swiss International Air Lines AG

ZRH S/CJ

PO box

8058 Zurich Airport

Switzerland

Brussels Airlines SA/NVのデータ保護管理責任者連絡先：

Brussels Airlines

Data Protection Officer

Airport Bld. 26, General Aviation - Ringbaan

1831 Machelen

Belgium

Travel IDの登録に際して当社が求める必須情報は、Eメールアドレス、肩書、姓名、生年月日、パスワードのみです。お客様の国および言語の設定は、技術的に可能な限り、お客様がTravel ID運営者の各ウェブサイトやその他のタッチポイントで入力した国および言語の設定を用いて自動的に行われます。この情報は、Travel IDユーザープロファイルを作成し、下記およびTravel ID利用規約に詳細を記載するTravel IDサービスを利用するために必要な情報です。その他の情報は、Travel IDユーザープロファイルに任意で追加していただけます。お客様のご住所、携帯電話番号、支払データ、フライトのご希望（例：出発空港のご希望）などを追加することができます。

お客様のデータ処理の法的根拠は、GDPR第6条第1項第b号に基づく契約の履行です。

また、お客様の同意に基づいて文書を保存することもできます（セクション10を参照）。

契約の履行に必要な場合、当社はお客様のTravel IDユーザープロファイルのステータス変更に関するお知らせを送信します。Travel IDユーザープロファイルでアップロードした渡航文書、支払方法、パスワードの有効期限が切れた場合などがこれに含まれます。

Travel IDユーザープロファイルに3年間ログインしていない場合は、再度ログインしていただきます。それに続けて6か月以内にお客様のTravel IDユーザープロファイルに動作が見られない場合、当社はプロファイルを削除します（「Travel IDユーザープロファイルの削除」を参照）。

お客様のデータ処理の法的根拠は、GDPR第6条第1項第b号に基づく契約の履行です。

当社では、お客様が当社のウェブサイトを訪問し、モバイルアプリやその他のタッチポイントをご利用になる際、お客様に関連する情報をより簡単かつ迅速に提供し、ご利用いただけるようにしたいと考えています。そのため、お客様は、Travel IDを登録し、個人的に連絡を受けることに加えて、例えばフライト予約などに関する関連情報を受け取ることができます。

このログインサービスの利用を希望しない場合は、ログインなしでウェブサイトやタッチポイントをご利用いただくことも可能です。この場合、各コンテンツはお客様の関心に合わせることなく表示されます。

お客様のデータ処理の法的根拠は、GDPR第6条第1項第b号に基づく契約の履行です。

当社は、予め入力されたフォームを用いてお客様が簡単に予約手続きを行うことができるよう、Travel IDユーザープロファイルに入力された情報を使用します。これには、お客様が登録時に任意で入力したデータ、登録後に追加したデータ、お客様のTravel IDに関連した以前の予約時にお客様が提示されたデータであり当社が別の予約に対して自動的に考慮するものが含まれます。また、提供されたデータを予約の際に使用し、オンライン チェックインおよび自動チェックイン機などで予め入力されているフォームを提示します。抽選に参加する場合や、ウェブサイト上の電子フィードバック フォームを使用してお客様フィードバックを送信する場合など、その他のフォームに記入する場合にも、必要な連絡先情報がお客様のTravel IDユーザープロファイルから予め入力されます。

お客様のデータ処理の法的根拠は、GDPR第6条第1項第b号に基づく契約の履行です。

Travel ID運営者との予約の一覧については、Travel ID登録後に行った予約がTravel IDユーザープロファイルに表示されます。ルフトハンザ グループ航空会社での以前のお客様プロファイルから、Travel IDユーザープロファイルに変更すると、以前のお客様プロファイルでの過去の予約もTravel IDユーザープロファイル内で表示されます。

予約の一覧には、特に、フライト統計の作成と表示が含まれます。ログインした状態で予約したのであれば、予約情報は自動的にTravel IDユーザープロファイルに保存されます。予約は、後からプロファイルに追加することも可能です。Travel IDユーザープロファイルでは、過去10年間の予約情報を見ることができます。

お客様のデータ処理の法的根拠は、GDPR第6条第1項第b号に基づく契約の履行です。

当社は、Travel IDユーザープロファイルに保存されたお客様のデータを使用して、お客様に合わせたサービスを提供できるようにします。当社は、お客様が登録時またはその後にTravel IDユーザープロファイルに入力したデータ、およびTravel IDを通じて行われたフライト予約の一部などとして当社が記録したデータを処理します。これには、フライトの遅延やキャンセル、手荷物に関する問題なども含まれます。また、当社は、当社のサービスセンターへの依頼から得られるデータも処理します。

この処理の結果として、当社は苦情やカスタマーサービスの管理を改善し、当社のすべてのタッチポイントにおいて、Travel IDのユーザーとしてお客様に合わせたサービスを提供することができます。 当社のサービスセンターへのお問い合わせは、お客様のTravel IDユーザープロファイル内に表示され、そこから管理することができます。

お客様のデータ処理の法的根拠は、GDPR第6条第1項第b号に基づく契約の履行です。

お客様に対して約定のサービスをご提供できない状況が重なる場合、電子的にまたは郵送でご連絡したり、当社の従業員から個別にご連絡する場合があります。この目的のために、当社はあらゆる問題やお客様のご懸念、事故の数や深刻度に関するデータを使用します。

お客様のデータ処理の法的根拠は、GDPR第6条第1項第f号に基づく正当な利益です。

パスポートやビザなどの渡航文書を、ご予約に関する入国またはトランジット規制との関係で確認することができます。そのために、Travel IDユーザープロファイルを通じて、別途保護されたデータベースに関連渡航文書をアップロードすることができます。これらの文書は、自動的にトラベル ドキュメント チェックに転送され、ご旅行開始前に確認が行われます。

お客様のデータ処理の法的根拠は、GDPR第6条第1項第a号に基づき付与されるお客様の同意によって提供されます。

お客様は、渡航文書からのデータの使用に対する同意をいつでも撤回する権利を有します。この場合、撤回前にこの同意に基づいて行われた処理に関しては撤回がその合法性に影響を及ぼすことはありません。これを行うには、Travel IDユーザープロファイルの「パーソナル ドキュメント」で渡航文書を削除します。

渡航文書は有効期限に達すると自動的に削除されます。

入国またはトランジットに関する健康関連文書の有効性を確認するために、ヘルス ドキュメント チェックの手続きを利用することができます。この目的のために、Travel IDユーザープロファイルを通じて、別途保護されたデータベースに予防接種証明書や回復証明書などの書類をアップロードすることができます。ヘルス ドキュメント チェックは、セクション10.1に記載されるトラベル ドキュメント チェックの一環として行われますが、健康データの処理のため、お客様の別個の同意が必要となります。

お客様のデータ処理の法的根拠は、GDPR第6条第1項第a号と併せ、第9条第2項第a号に基づき付与されるお客様の別個の同意によって提供されます。

お客様は、健康関連データの処理に対する同意をいつでも撤回する権利を有します。この場合、撤回前にこの同意に基づいて行われた処理に関しては撤回がその合法性に影響を及ぼすことはありません。そのために、お客様はTravel IDユーザープロファイルの「パーソナル ドキュメント」で健康文書を削除することができます。

健康関連文書も、有効期限が過ぎると（ただし、アップロード後12か月を超えないものとします）自動的に削除されます。

フライトをご予約いただいたお客様には、ルフトハンザ グループ航空会社より、フライトに関する追加サービスについてご連絡させていただきます。これらの追加サービスには、プレミアム ミールやアップグレードなどのルフトハンザ グループ航空会社のフライト関連サービスだけでなく、レンタカーや保険会社などのルフトハンザ グループ航空会社の提携会社の追加サービスも含まれます（ルフトハンザグループ航空会社の提携会社に関する情報：Austrian Airlines, Brussels Airlines, Eurowings, Discover Airlines, Lufthansa, Swiss International Air Lines)   。この目的のため、お客様のTravel IDユーザープロファイルおよびルフトハンザ グループ航空会社に保存されたお客様に関するデータ（例：フライトに関するデータ、フライトに関するご希望）が処理されます。

お客様のデータ処理の法的根拠は、GDPR第6条第1項第a号に基づき付与されるお客様の同意によって提供されます。

この同意は、登録手続き中またはその後にTravel IDユーザープロファイル内で行うことができ、Travel IDユーザープロファイル内でいつでも管理することができます。

お客様は、本データ保護通知のセクション11「お客様に合わせたご案内のための設定」に記載されているとおり、お客様の主な関心分野を決定し、これに基づきルフトハンザ グループ航空会社および各提携会社（ルフトハンザグループ航空会社の提携会社に関する情報：Austrian Airlines, Brussels Airlines, Eurowings, Discover Airlines, Lufthansa, Swiss International Air Lines)  のサービスに関する情報およびお客様に合わせたご案内を送信することに対して同意することができます。ご案内は、デジタル通信手段（例：Eメール、SMSやMMS、メッセンジャーサービス、検索エンジン、動画、バナー）、電話、ルフトハンザ グループ航空会社のウェブサイトを通じて送信されます。

さらに、お客様がまだMiles & Moreプログラムの会員でない場合には、Miles & More GmbHが会員登録に関するご案内を送ることについて許可することもできます。

当社は、お客様が真にご興味をお持ちの情報やご案内のみをご提供するため、ルフトハンザ グループ航空会社に保存されている予約情報（旅行ルート、旅行期間、予約クラス、Travel IDユーザープロファイルに保存されるご希望情報など）を、お客様の同意のもとで処理します。例えば、当社は、お客様が予定しているご旅行に関する情報を分析して、ご旅行向け追加サービスや目的地で利用できるサービスに関する特別なご案内やクーポンを送信する場合があります。

お客様に合わせた情報やご案内を提供する1つの方法として、提携ウェブサイトや広告主ウェブサイト上でお客様を識別することがあります。

そのために、当社は、SHA256アルゴリズムにより暗号化され、連邦保安局が「暗号論的に強力」と推奨するTravel IDユーザープロファイルに保存されているEメールアドレスや電話番号を、クリーンルームと呼ばれる場所に転送します。データ クリーンルームは、個人データ処理のために外部の技術的影響から隔離された安全な環境です。これは、広告会社（本件ではTravel ID運営者）と提携会社や広告枠提供者との間のデータ交換を容易にすることを目的としており、それぞれの顧客のプライバシーが可能な限り保護されます。この目的のために、提携会社や広告会社もまた、同じ暗号化方式により顧客から取得したデータをデータ クリーンルームに提供します。データ照合において、ヒット（データマッチ）したものはオーディエンス（人々のグループ）と呼ばれるところに送信され、Travel ID運営者がこれを分析し、広告目的に使用できるようになります。当社がデータ クリーンルームに転送したデータへのアクセスは、当社が選択した提携会社および広告枠提供者に対してのみ、対応するデータ処理契約が締結された後に許可されます。

技術発展およびマーケティング業者がサポートする技術に応じて、より強力で安全な暗号化や拡張機能が使用されるようにします。

Googleカスタマーマッチを用いたCRMデータマッチでは、セクション12.2に記載の手順に従って、暗号化されたデータをGoogleが運営するデータ クリーンルームに転送します。このデータ クリーンルームにおいて、Googleは、当社が提供したデータと、同じSHA256ハッシュ化アルゴリズムで暗号化されたGoogleアカウントユーザーのデータを比較します。マッチしたものは、Googleによって、「オーディエンス」と呼ばれるリストにまとめられます。この処理が完了次第（最大48時間）、暗号化されたデータは削除されます。お客様がこのようなオーディエンスに属する場合、お客様がGoogleのプラットフォームを使用してインターネットを閲覧している際に、Googleはお客様を特定し、当社のパーソナライズ広告をお客様に表示することができます。

Googleカスタマーマッチでお客様の個人データを処理するためのもう一つの前提条件は、お客様がGoogleアカウントを有しており、パーソナライズ広告を表示する許可をGoogleに与えていることです。お客様は、Googleのユーザーアカウントのデータ保護タブから、この設定をご自身のご希望に合わせて修正することができます。

Google AdsやGoogleカスタマーマッチの範囲内における、GDPRで定義されるところの個人データの処理に関する管理者は、Google Ireland Ltd（Gordon House, Barrow Street, Dublin 4, Ireland）です。Google Ireland Ltdは、米国カリフォルニア州に本社を置くGoogle LLCの子会社です。現地の法律の適用を受けるため、米国外で処理されるデータへのアクセスを提供する義務を負う場合もあります。

Googleによるお客様の個人データの処理に関する詳細については、Googleのデータ保護通知を参照してください。

セクション12「お客様に合わせた広告の送信」に記載されるお客様のデータのすべての処理の法的根拠は、この処理に対してGDPR第6条第1項第a号に基づきお客様が付与した同意によって提供されます。

この同意は、登録手続き中またはその後にTravel IDユーザープロファイル内で行うことができ、Travel IDユーザープロファイル内でいつでも管理することができます。

また、受信を希望する情報や個別のご案内に関する範囲を指定することもできます。連絡の設定でご調整ください。お客様はTravel IDユーザープロファイル内で、マーケティングに関する連絡に対する同意を分野別に（Eメールでのニュースレターなど）撤回することもできます。

お客様がTravel IDユーザープロファイルをお持ちで、Travel IDユーザープロファイルがMiles & More会員アカウントに関連付けられていない場合、ルフトハンザ グループ航空会社は、Travel ID利用規約に規定されたサービスをお客様に提供するために、お客様のデータを相互に交換します。Miles & More GmbHは、お客様のTravel IDユーザープロファイルを管理するために必要なデータ（例：連絡先、生年月日、任意に保存されたプロファイルデータ）のみをお客様から受領し、これらのデータを独自の目的で処理することはありません。

お客様がTravel IDユーザープロファイルをMiles & More会員アカウントに関連付けた場合、Travel ID運営者はTravel ID利用規約に規定されたサービスを提供するために、お客様のデータを相互に交換します。この関連付けを行うかどうかは、ご自身で決定していただけます。関連付けを行った際に、Travel IDユーザープロファイルとMiles & Moreアカウントの間でデータ照合が行われます。具体的には、両アカウントに保存されるデータは、以下のように転送されます。

すべてのマスターデータ（氏名、生年月日、住所、電話番号など）およびご希望情報（希望する出発空港など）は、Miles & Moreアカウントから自動的に転送されます。EメールアドレスはTravel IDユーザープロファイルのEメールアドレスが使用されます。

お客様のデータの転送に関する法的根拠は、GDPR第6条第1項第b号に基づく契約の履行です。

セクション12に従い、お客様がMiles & More GmbHに対してパーソナライズ広告の送信に関する同意を付与された場合、Miles & More GmbHはこの目的のためにお客様のフライトデータ（ルート、搭乗クラス、出発空港、到着地空港など）を処理します。

Travel ID運営者のウェブサイトやその他のタッチポイントに初めてログインする際、ログイン情報の入力が求められます。セッション中にお客様を認識するために、当社は「ログイン」クッキーを使用します。このクッキーを使用すると、Travel ID認証情報を使用して再度ログインする必要なく、他のTravel ID運営者のウェブサイトを訪問することができます。

Travel ID運営者のウェブサイトにログインしている際、「ログイン状態を維持する」機能を有効にするかどうかを選ぶこともできます。これを有効にすると、いったんウェブサイトを離れてから再アクセスしたときにもう一度ログインする手間を省けます。

また、この目的のためにクッキーを使用して、お客様がウェブサイトやタッチポイントを再度訪れた際に自動的に認識されるようにしています。

「ログイン状態を維持する」機能の有効期限が切れると、再度ログインを求められます。さらに、より高度なセキュリティが求められる動作を行う場合には、常に再ログインが求められます。

お客様のデータ処理の法的根拠は、GDPR第6条第1項第a号に基づき付与されるお客様の同意によって提供されます。

当社は、本データ保護通知に記載されている処理目的の範囲内、かつ必要な限りにおいて、お客様のデータを処理します。

お客様のデータを処理する目的が適用されなくなった場合は、以下の目的でデータを保存する必要がなければ、そのデータは削除されます。

• 商法または税法上の義務から生じる法定保存期間（最高10年）の履行
• 法的請求権の主張、行使、防御

このような場合、お客様のデータの処理は制限（「一時停止」）され、他の目的では処理できなくなります。

Travel IDサービスを今後利用するつもりがない場合は、いつでもTravel IDユーザープロファイルを削除できます。その場合、Travel IDの利用に関連して収集された個人データは、法定の保存義務に抵触しない限り、ただちに削除されます。

お客様のTravel IDユーザープロファイルにログインして削除を実行することにより、Travel IDユーザープロファイルや、Travel IDユーザープロファイル内で提供した特定のデータ項目をご自身で削除することができます。

当社はまた、登録確認のEメールに記載された期限内に登録が確定されない場合、またはアカウントの有効化リンクを記載したEメールが4回送信され1度も使用されなかった場合、仮のTravel IDユーザープロファイルを削除します。

同様に、一定期間ご利用のないユーザープロファイルも削除されます（セクション4参照）。

データ主体として、お客様は、各法定条件が存在する場合、以下の権利を行使することができます。

• 情報を得る権利（GDPR第15条）
• 訂正の権利（GDPR第16条）
• 消去の権利（「忘れられる権利」、GDPR第17条（本Travel IDデータ保護通知のセクション16も参照））
• データ処理を制限する権利（GDPR第18条）
• データポータビリティの権利（GDPR第20条）
• 異議を唱える権利（GDPR第21条（本Travel IDデータ保護通知のセクション18も参照））

当社が同意に基づいてお客様のデータを処理する限り、お客様はいつでもこの同意を撤回する権利を有します。この場合、撤回前にこの同意に基づいて行われた処理に関しては、撤回がその合法性に影響を及ぼすことはありません。

お客様の権利を行使するため、本データ保護通知の「連絡先」セクションに記載されている各Travel ID運営者に連絡することができます。当社がお客様の申請を処理し、お客様の本人確認を行うため、当社はGDPR第6条第1項第c号に従ってお客様の個人データを処理します。

Travel IDユーザープロファイル内でも、お客様のほとんどのマスターデータに関する現在のステータスをいつでもご確認いただけます。何か変更がありましたら、ただちに個人データを更新していただくようお願いします（郵送先住所、Eメールアドレス、または電話番号など）。Travel IDユーザープロファイルを削除する場合は、「Travel IDユーザープロファイルの削除」セクションを参照してください。

さらに、お客様は規制当局に苦情を申し立てる権利（GDPR第77条）を有します。

Travel ID運営者を管轄する全データ保護当局の一覧を以下に示します。

Deutsche Lufthansa AG、Discover Airlines GmbH、およびMiles & More GmbHの管轄監督機関：

Commissioner for Data Protection and Freedom of Information of the State of Hesse

Postfach 3163

65021 Wiesbaden

Germany

電話：+49 (0)611 1408-0

Fax：+49 (0)611 1408-900 または -901

Eメール：poststelle@datenschutz.hessen.de

Eurowings GmbHの管轄監督機関：

Regional Officer for Data Protection and Freedom of Information

State of North Rhine-Westphalia

Postfach 20 04 44

40102 Dusseldorf

Germany

電話：+49 - 211 - 38 424 - 0

Fax：+49 (0)211 38 424-999

Eメール：poststelle@ldi.nrw.de

Austrian Airlines AGの管轄監督機関：

Austrian Data Protection Authority

Barichgasse 40-42

1030 Vienna

Austria

電話：+43 (0)52 152-0

Eメール：dsb@dsb.gv.at

Swiss International Air Lines AGの管轄監督機関：

Federal Data Protection and Information Commissioner

Feldeggweg 1

3003 Berne

Switzerland

電話：+41 (0)58 46 24 395

Fax：+41 (0)58 46 59 996

GDPRの対象となるデータ処理について：

Commissioner for Data Protection and Freedom of Information of the State of Hesse

Postfach 3163

65021 Wiesbaden

Germany

電話：+49 (0)611 1408-0

Fax：+49 (0)611 1408-900 または -901

Eメール：poststelle@datenschutz.hessen.de

Brussels Airlines SA/NVの管轄監督機関：

Autorité de protection des données

Gegevensbeschermingsautoriteit

Data Protection Authority

Rue de la presse 35, 1000 Brussels

Belgium

電話：+32 (0)2 27 44 800

Eメール：contact@apd-gba.be

お客様の特定の状況から生じる理由により、お客様は、いつでもGDPR第6条第1項第f号に基づく個人データの処理に対して異議を唱える権利を有します。

異議が唱えられた場合、当社は、お客様の利益、権利、自由を上回るやむを得ない正当な理由があると証明できない限り、または処理が法的請求権の執行、行使、防御に使用される場合を除き、お客様に関する個人データの処理を停止します。

お客様に関する個人データがダイレクトマーケティングの目的で当社により処理され、お客様がこの処理に異議を唱えた場合は、お客様に関する個人データはそのような目的には処理されなくなります。

お客様は、「連絡先」セクションに記載の連絡先を使用することなどにより、いつでもお客様の個人データの処理に異議を唱えることができます。

当社は、お客様のデータを偶発的または意図的な改ざん、滅失、削除、もしくは権限のない人物によるアクセスから保護するために、技術的、組織的なセキュリティ措置を講じています。当社のセキュリティ措置は新しい技術の発展にともない、継続的に改善されます。

本Travel IDデータ保護通知に記載されている処理業務に関連して、当社はお客様のデータを以下のカテゴリーの受領者に開示する場合があります。

• GDPR第28条第3項に基づくデータ処理契約に従って当社と協力するサービス提供会社
• 政府機関および政府当局（例：警察および捜査活動によるもの）

このような場合、個人データが第三国または国際機関に全世界的に転送される場合があります。お客様とお客様の個人データを保護するため、このようなデータ転送には、法律に基づき適切なセキュリティ対策が講じられます。

もしこのような転送が、欧州委員会や管轄当局が十分性の認定を行っていない国に対して行われる場合、当社は欧州連合の標準契約条項を使用します。欧州連合の標準契約条項についての情報は、欧州連合のウェブサイトをご覧ください。

例外的に、十分な保護がなされていない国への転送は、その他の場合（例：同意に基づく場合、法的手続きに関連する場合、または契約の履行に必要な場合）にも認められる場合があります。