Scovai はデータ保護をコアに設計されています。本 GDPR ポリシーは、一般データ保護規制 (EU) 2016/679 への準拠方法と、特に当社の AI 駆動採用プラットフォームを通じて個人データが処理される候補者を含む、データ主体の権利を保護するために実施する安全保障について説明しています。
1. GDPR に基づく当社の役割
Scovai は状況に応じて 2 つの役割で運営されています。
- データ処理者:組織 (テナント) が Scovai を採用プロセスの管理に使用する場合、当社はテナント (データ管理者) に代わってデータ処理者として機能します。処理はデータ処理契約 (DPA) に基づいて管理されます。
- データ管理者:当社のウェブサイト訪問者、当社のタレントプールへの直接応募者、およびアカウント保有者に対しては、当社はデータ管理者として機能します。
2. 設計およびデフォルトによるデータ保護
GDPR 第 25 条に従い、Scovai は設計およびデフォルトによるデータ保護を実装しています。
- マルチテナント分離:各組織のデータは論理的に分離されています。ユーザーは自らのテナント内のデータのみにアクセス可能です。
- 最小限のデータ収集:使用されている採用機能に必要なデータのみを収集します。
- 仮名化:セマンティックマッチングに使用されるベクトル埋め込みは人間が読める形式ではなく、元の履歴書テキストを復元するために逆算することはできません。
- アクセス制御:ロールベースアクセス制御 (RBAC) により、ユーザーが自分のロール (管理者、採用担当者、候補者) に関連するデータのみを見ることができます。
- 暗号化:転送中のすべてのデータは TLS を介して暗号化されます。機密認証情報は保存時に AES-256-CBC を使用して暗号化されます。
3. 同意管理
Scovai は以下を行う組み込み同意管理システムを提供しています。
- 特定の処理目的 (履歴書解析、AI スコアリング、心理測定評価、インタビュー参加、タレントプール掲載) に対する詳細な同意を記録します
- 同意が与えられた、変更された、または取り消された時期の完全な監査証跡を保持します
- 候補者がプロフィールを通じてまず同意を取り消すことができます
- 同意が取り消されたときに自動的に処理を制限します
4. 自動意思決定の保護 (第 22 条)
Scovai は AI を使用してスコアリング、プロファイリング、および評価を行っています。第 22 条 (3) に基づいて以下の保護を実装しています。
4.1 唯一自動決定なし
プラットフォームは意思決定支援ツールとして設計されています。AI 出力 (スコア、ランキング、インタビュー評価) は人間の採用担当者への推奨として提示され、採用決定に対する完全な権限を保持しています。
4.2 説明可能性
AI で生成されたすべてのスコアには、スコアに影響した要因を平易な言葉で説明する説明可能な AI (XAI) の根拠が含まれます。これには以下が含まれます。
- スコアに寄与したスキルと適格性
- どのような調整が行われたか、そしてその理由
- 候補者がポジション要件とどのように比較されるか
4.3 異議を唱える権利
候補者は、プラットフォームのコンプライアンスモジュールを通じて、AI で生成された評価またはスコアの人間によるレビューをリクエストできます。テナントに通知され、合理的な期間内にレビューリクエストに対応する必要があります。
4.4 バイアス監視
プラットフォームには、性別および年齢分布を含む人口統計的な不均衡について AI スコアリングパターンを分析する自動バイアス監視が含まれています。
5. データ主体の権利
Scovai は、すべての GDPR データ主体の権利の行使をサポートしています。
| 権利 | GDPR 条文 | Scovai によるサポート方法 |
|---|---|---|
| アクセス | 第 15 条 | 候補者はプロフィールを通じてすべてのデータを表示できます。テナントはコンプライアンスモジュールを通じて候補者データをエクスポートできます。 |
| 訂正 | 第 16 条 | 候補者は自分のプロフィールデータを直接編集できます。採用担当者は候補者情報を更新できます。 |
| 削除 | 第 17 条 | GDPR データエクスポートと削除リクエストは、完全な監査ログを伴うコンプライアンスモジュールを通じて開始できます。 |
| 制限 | 第 18 条 | 紛争が解決している間、候補者単位で処理を制限できます。 |
| ポータビリティ | 第 20 条 | データはコンプライアンスモジュールまたは API を通じて構造化 JSON 形式でエクスポートできます。 |
| 異議 | 第 21 条 | 候補者は同意設定を通じてプロファイリングと自動処理に異議を唱えることができます。 |
| 自動決定 | 第 22 条 | 人間によるレビューリクエストは、AI による決定に対して送信できます。上記のセクション 4 を参照してください。 |
6. データ処理契約
すべてのテナント関係は、以下を指定するデータ処理契約 (DPA) に基づいて管理されています。
- 処理の主体事項と期間
- 処理の性質と目的
- 処理される個人データの種類
- データ主体のカテゴリー
- 管理者と処理者の義務と権利
- サブプロセッサの要件と承認手続き
7. データ漏洩手続き
個人データ漏洩の場合、Scovai は。
- 影響を受けたテナント (データ管理者) に遅延なく、漏洩に気づいてから 72 時間以内に通知します
- 漏洩の性質、影響を受けるデータ、予想される影響、および対処のために取った措置を含む詳細情報を提供します
- テナントが監督当局とデータ主体に対する自身の通知義務を履行するのを支援します
- 内部漏洩レジスタにすべての漏洩を文書化します
8. サブプロセッサ
Scovai はサブプロセッサの使用を最小限に抑えています。現在。
- AI 処理:ほとんどの AI 処理 (履歴書解析、スコアリング、評価、インタビュー) は EEA 内の地域的にホストされたインフラストラクチャで実行されます。候補者の個人データは外部 AI プロバイダーに送信されません。
- 職務経歴書生成:Anthropic Claude API を使用しますが、位置関連データ (職務名、要件) のみが送信され、候補者の個人データは送信されません。
- インフラストラクチャ:すべてのホスティングインフラストラクチャは欧州経済領域内に配置されています。
個人データを処理する新しいサブプロセッサを使用する前にテナントに通知します。
9. データ保持と削除
データ保持期間はプラットフォームレベルで構成され、許可される範囲内でテナントがカスタマイズできます。デフォルトの保持期間は、当社のプライバシーポリシーに詳述されています。自動削除プロセスは毎日実行され、保持期間を超過したデータを削除します。
10. データ保護チームへのお問い合わせ
GDPR 関連のお問い合わせ、データ主体リクエスト、または当社のデータ処理契約のコピーをリクエストする場合。
メール:privacy@scovai.com