プライバシーポリシー

Djambar AI FZCO Dubai Silicon Oasis, Dubai, United Arab Emirates メール: privacy@myumrah.ai 巡礼者データについては、顧客である旅行代理店がデータ管理者であり、Djambar AI FZCOはデータ処理者として機能します。

代理店データ：名称、住所、事業登録、メール、電話番号、銀行情報、EU域内VAT番号。 巡礼者データ（代理店がプラットフォームを通じて収集）： • 身元情報：氏名、生年月日、国籍 • 書類：パスポート番号、ビザ（AES-256暗号化） • 健康情報：渡航に必要な医療情報（AES-256暗号化） • 連絡先：メール、電話番号、緊急連絡先 • 渡航情報：日程、パッケージ、希望事項 決済データ：クレジットカードの種類（Visa、Mastercard、Amex）、カードの下4桁、Stripeトランザクション識別子。カード番号全体、セキュリティコード（CVV/CVC）、有効期限がMyUmrah.aiによって収集、処理、または保存されることはありません。これらのデータは、PCI DSS レベル1認証プロバイダーであるStripeによってのみ処理されます。 閲覧データ：閲覧ページ、セッション時間（Umami Analytics経由、Cookie不使用、個人データ収集なし）。

• 代理店との商業関係の管理 • プラットフォームサービスの提供（パッケージ管理、CRM、メッセージング） • vDPOモジュールによる法令遵守（GDPR、PDPL） • プラットフォームの改善（匿名化されたアナリティクス） • プラットフォームのセキュリティ（不正検出、監査証跡）

• 契約の履行（GDPR第6.1.b条）：加入サービスの提供 • 正当な利益（GDPR第6.1.f条）：セキュリティ、サービス改善 • 法的義務（GDPR第6.1.c条）：税務および規制上のコンプライアンス • 明示的同意（GDPR第9条）：健康データおよび宗教的信条

データは以下の者のみがアクセスできます： • 関連する旅行代理店（RLS分離による） • Djambar AI FZCO技術チーム（サポート、保守） • 当社の技術的サブプロセッサー：Supabase（ホスティング）、Vercel（CDN）、Stripe（決済）、Anthropic（AI） 各サブプロセッサーは、GDPR第28条に準拠したDPAに拘束されます。

データは以下の国で処理される場合があります： • 欧州連合（Supabase EU） • アメリカ合衆国（Vercel、Stripe、Anthropic）- 標準契約条項（SCC）適用 • アラブ首長国連邦（Djambar AI本社） すべての移転は、GDPR第5章およびPDPL要件に従った適切な保護措置により保護されています。

• 重要データ（パスポート、健康情報）：渡航後6ヶ月で自動削除 • 機密データ（金融情報、緊急連絡先）：最大3年間 • 標準データ（身元情報、希望事項）：契約期間＋1年間 • 請求データ：10年間（法的義務） • アナリティクス：継続的に匿名化、個人データの保持なし

GDPR（第15条から第22条）およびPDPLに基づき、お客様には以下の権利があります： • アクセス権 • 訂正権 • 消去権（「忘れられる権利」） • 処理の制限権 • データポータビリティ権 • 異議申立権 これらの権利を行使するには：privacy@myumrah.ai 回答期限：最大30日。 また、CNIL（フランス）、SDAIA（サウジアラビア）、またはその他の管轄データ保護機関に苦情を申し立てることもできます。

MyUmrah.aiは、プライバシーを尊重する分析ソリューションであるUmami Analyticsを使用しており、Cookieを設定せず、個人データを収集しません。 当社の決済プロバイダーであるStripeは、決済プロセス中の不正防止とトランザクションセキュリティのために厳密に必要なCookieを使用する場合があります。これらのCookieは、指令2002/58/EC（ePrivacy指令）第5条(3)に基づき同意要件から免除されています。 これらの機能的なCookie以外に、同意バナーは不要です。

当社は以下の対策を実施しています： • 保存時の機密データのAES-256暗号化 • すべての通信にTLS 1.3を使用 • 代理店ごとのデータ分離のためのRow Level Security（RLS） • MFA認証の提供 • 機密データへのすべてのアクセスの監査証跡 • 定期的なセキュリティテスト • NIST Cybersecurity FrameworkおよびCIS Benchmarks Level 1への準拠

個人データ保護法（PDPL）に従い: • SDAIA登録：事前記入済みのドキュメント利用可能 • 機微データのダブルオプトイン（健康、宗教） • 未成年者のデータには保護者の同意が必要 • 72時間以内にSDAIAへの侵害通知 • PDPLの第18条に従った限定的保持期間

当社はこのポリシーを変更する権利を留保します。重要な変更は、施行の少なくとも30日前にクライアントにメールで通知されます。

このポリシーに関するご質問: Djambar AI FZCO メール: privacy@myumrah.ai 住所: Dubai Silicon Oasis, Dubai, UAE