プライバシーポリシー

前文

本プライバシーポリシーは、FlixBagプラットフォーム（以下「本プラットフォーム」）のユーザーに対し、個人データの収集、処理、利用、保存、および必要に応じた移転が、資本金1,000ユーロのSASU（単独株主簡易株式会社）であり、ブール＝ラ＝レーヌの商業・法人登記簿に登録された会社FlixBag（以下「FlixBag」または「データ管理者」）によって行われる条件について、情報提供することを目的としています。本社所在地は53 rue Hoffmann, 92340 Bourg-la-Reine（フランス）です。

FlixBagは、超過手荷物のキログラムを持つ旅行者と、競争力のある価格で国際的に荷物を発送したい送り主を結びつけるデジタルプラットフォームです。この活動には、身元情報、支払い情報、位置情報などの個人データの処理が伴います。

FlixBagは、特に2016年4月27日付の個人データの処理に関する欧州連合規則（GDPR）第2016/679号、1978年1月6日付改正情報処理・ファイル・自由に関する法律第78-17号、および本プラットフォームの運営国（欧州連合、フランス語圏アフリカ諸国、カナダ、米国、中国、インド、パキスタン）において適用される現地法令を含む、個人データ保護に関する適用法令を厳格に遵守することを約束します。

第1条 — 定義

本ポリシーにおいて、以下の用語はそれぞれ次の意味を有します：

• • 「個人データ」：直接的または間接的に特定された、または特定可能な自然人に関するあらゆる情報。
• • 「処理」：個人データに対して行われるあらゆる操作（収集、記録、保存、変更、抽出、参照、使用、通信、削除）。
• • 「ユーザー」：旅行者、送り主、または受取人としてFlixBagプラットフォームを利用するすべての自然人。
• • 「旅行者」：荷物の輸送のために超過手荷物のキログラムを提供するユーザー。
• • 「送り主」：本プラットフォームを通じて荷物を送りたいユーザー。
• • 「受取人」：目的地での荷物受け取りのために送り主によって指定された人物。
• • 「データ管理者」：個人データ処理の目的と手段を決定するFlixBag SASU。
• • 「DPO」：データ保護責任者。処理の適合性を確保する責任を持つ人物。

第2条 — データ管理者

本プラットフォームを通じて収集される個人データの管理者は以下のとおりです：

第3条 — 収集するデータ

3.1 ユーザーが直接提供するデータ

登録時、本プラットフォームの利用時、および取引の実行時に、FlixBagは以下のカテゴリのデータを収集します：

a) 本人確認データ

• • 氏名、生年月日、国籍
• • メールアドレス、電話番号
• • パスポートまたは身分証明書のコピー（旅行者は必須）
• • 顔写真（確認バッジ用）
• • 完全な郵便住所

b) フライトおよび輸送データ

• • 電子チケット（スキャンコピー）
• • 予約リファレンス（PNR — 乗客名記録）
• • 完全な旅程（出発地、目的地、乗継地、スケジュール）
• • チケット購入日、フライト日、チケット価格
• • 許可されているスーツケースの数と利用可能なキログラム数

c) 取引および財務データ

• • 銀行情報および支払い手段（クレジットカード、Apple Pay、Google Pay、KKiaPay、FedaPay、PayDunya、CinetPay）
• • 取引履歴（金額、日付、ステータス）
• • 支払いエスクローに関する情報
• • 返金、ペナルティ、キャンセル料に関するデータ

d) 荷物に関するデータ

• • 荷物の種類およびカテゴリ（スタンダード、プレミアム）
• • 申告重量、確認重量
• • 内容物の説明、発送場所および目的地

3.2 自動的に収集されるデータ

• • 接続データ：IPアドレス、ブラウザの種類、オペレーティングシステム、デバイス識別子
• • 位置情報データ：関係者のマッチングおよびリレーポイントでの預け入れ確認のためのGPS位置情報
• • クッキーおよびトラッカー：ナビゲーションデータ、設定、利用統計
• • フライト追跡データ：Flightradar24およびFlightAware APIを通じたリアルタイム情報
• • 評価データ：星評価、ランキング（1〜5）、「常連」ステータス

第4条 — 処理の目的および法的根拠

個人データは以下の目的のために処理されます：

第5条 — データの受領者

個人データは、上記の目的を達成するために必要な範囲に限り、以下のカテゴリの受領者に提供される場合があります：

5.1 社内受領者

FlixBagの権限を付与されたスタッフ（カスタマーサービス、技術チーム、経営陣）が、それぞれの職務の範囲内で。

5.2 委託先および技術パートナー

• • 決済サービスプロバイダー：Stripe、Apple Pay、Google Pay、KKiaPay、FedaPay、PayDunya、CinetPay
• • 本人確認（KYC）サービスプロバイダー
• • フライト追跡APIプロバイダー：Flightradar24、FlightAware
• • クラウドホスティングおよびインフラストラクチャサービス
• • 配送パートナー：Colissimo、UPS、DHL

5.3 認可された第三者

• • 法的要請に基づく司法・行政・規制当局
• • 取引の厳格な範囲内において本プラットフォームの他のユーザー（配送に必要な情報）

第6条 — データの国際移転

FlixBagは国際的に運営されており（欧州連合、フランス語圏アフリカ、カナダ、米国、中国、インド、パキスタン）、第三国への個人データの移転が発生する場合があります。

これらの移転は、GDPRの第5章に従い、以下の保護措置のもとで行われます：

• • 適切な保護水準を提供すると認められた国（個人情報保護と電子文書に関する法律（PIPEDA）に基づくカナダ）に対する欧州委員会の十分性認定。
• • 米国、中国、インド、パキスタンへの移転に対して欧州委員会が承認した標準契約条項（SCC）。
• • 委託先が保有している場合の拘束的企業準則（BCR）。
• • 認定された米国サービスプロバイダー向けのEU-US データプライバシーフレームワーク。

フランス語圏アフリカ諸国については、FlixBagはサイバーセキュリティと個人データ保護に関するアフリカ連合条約（マラボ条約）および適用される国内法を含む現地のデータ保護規制への準拠を確保します。

第7条 — 保存期間

個人データは、処理目的に必要な期間を超えて保存されることはありません：

これらの期間の終了時に、データは統計目的のために完全に削除されるか、不可逆的に匿名化されます。

第8条 — データセキュリティ

FlixBagは、GDPRの第32条に従い、リスクに適したセキュリティレベルを確保するための適切な技術的・組織的措置を実施します：

8.1 技術的措置

• • 転送中（TLS 1.3）および保存中（AES-256）のデータ暗号化
• • GDPR基準に従ったPNRデータおよびダウンロードしたチケットの特定の暗号化
• • 管理者アクセスのための多要素認証（MFA）
• • 可能な場合のデータの仮名化および匿名化
• • ファイアウォール、侵入検知・防止システム（IDS/IPS）
• • 定期的な侵入テストおよびセキュリティ監査
• • 暗号化されたバックアップおよび事業継続計画（BCP/DRP）

8.2 組織的措置

最小権限の原則に基づくアクセス管理ポリシー、データ保護に関するスタッフへの定期的なトレーニング、GDPRの第33条および第34条に従ったデータ侵害通知手順（72時間以内のCNILへの通知、高リスクの場合は関係者への通知）。

第9条 — ユーザーの権利

GDPRの第15条から第22条および改正情報処理・自由法第48条から第56条に従い、各ユーザーは以下の権利を有します：

• • アクセス権（GDPR第15条）：自分のデータが処理されていることの確認を得て、そのコピーを受け取る。
• • 訂正権（GDPR第16条）：不正確または不完全なデータを訂正させる。
• • 消去権（GDPR第17条）：GDPRが定める場合において、データの削除を得る（法的な保存義務は除く）。
• • 処理制限権（GDPR第18条）：特定の状況下で処理の制限を得る。
• • データポータビリティ権（GDPR第20条）：構造化された、一般的に使用される、機械可読な形式でデータを受け取る。
• • 異議申し立て権（GDPR第21条）：正当な利益または商業目的に基づくデータ処理に異議を唱える。
• • 同意撤回権：与えられた同意をいつでも、遡及効なしに撤回する。
• • 死後指示設定権：死後のデータの取り扱いに関する指示を定める（フランスの権利）。
• • 自動化された意思決定に関する権利（GDPR第22条）：プロファイリングを含む自動化された処理のみに基づく、法的効果または同様の効果をもたらす決定の対象とならない。ユーザーはスマートプライシングアルゴリズムに関して人間の介入を要求することができます。

これらの権利は、身分証明書のコピーを添えて、dpo@flixbag.comへのメールまたはFlixBagの本社宛の郵便によって行使できます。FlixBagは、リクエスト受領から1ヶ月以内に回答します。この期限は、リクエストの複雑さおよび数を考慮して、さらに2ヶ月延長される場合があります。

権利行使に困難がある場合、ユーザーはCNIL（Commission Nationale de l'Informatique et des Libertés）3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07、または居住国の管轄監督機関に苦情を申し立てることができます。

第10条 — クッキーおよびトラッカー

FlixBagは、プラットフォームの適切な機能確保、オーディエンス測定、およびユーザーエクスペリエンスのパーソナライズのために、クッキーおよび類似技術を使用します。使用するクッキーのカテゴリは以下のとおりです：

• • 必須クッキー：プラットフォームの機能に不可欠（認証、セキュリティ、カート）。同意不要。
• • パフォーマンスクッキー：オーディエンス測定と統計分析（例：Google Analytics）。同意が必要。
• • 機能クッキー：設定の記憶（言語、通貨）。同意が必要。
• • 広告ターゲティングクッキー：パーソナライズされた広告の配信。同意が必要。

ユーザーはいつでも、プラットフォームに統合されたクッキー管理バナーまたはブラウザ設定を通じて、クッキーの設定を管理できます。非必須クッキーの拒否は、プラットフォームの基本機能へのアクセスに影響しません。

第11条 — 自動化された処理とプロファイリング

FlixBagは以下の自動化された処理を実施します：

• • スマートプライシングアルゴリズム：フライトデータ、先取り係数、および製品カテゴリに基づく1キログラム当たりの自動価格計算。この処理はユーザーに重大な影響を与える決定を生み出しませんが、取引価格を決定します。
• • ランキングアルゴリズム：利用履歴、キャンセル、評価に基づくスコアとランキング（1〜5）の自動付与。このランキングは、送り主に提案される旅行者の表示順序に影響します。
• • 不正検知：不審な活動を検出するための行動の自動分析。

GDPRの第22条に従い、ユーザーは人間の介入を要求し、自分の見解を表明し、FlixBagのカスタマーサービスに決定に異議を唱える権利を有します。

第12条 — 未成年者の保護

FlixBagプラットフォームは、成人（18歳以上、または居住国の法的成年年齢に達した者）を対象としています。FlixBagは未成年者の個人データを意図的に収集しません。FlixBagが未成年者のデータが収集されたことを発見した場合、直ちに削除されます。

第13条 — ポリシーの変更

FlixBagは、特に法的、規制的、または技術的な変化に対応するために、本プライバシーポリシーをいつでも変更する権利を留保します。重要な変更は、発効の少なくとも30日前にメールおよび/またはアプリ内通知でユーザーに通知されます。

変更されたバージョンの発効後にプラットフォームを引き続き使用することは、新しいポリシーへの同意とみなされます。

第14条 — お問い合わせ

本ポリシーに関するご質問または権利行使については、以下にご連絡ください：

2026年2月5日 Bourg-la-Reineにて作成

FlixBag社を代表して

ARNAUD KINTOHOU、社長