11. GDPRの適用を受けるパーソナルデータの保護に関する方針
GDPRの適用を受けるパーソナルデータの保護に関する方針(以下、「本方針」という)は、EUの「一般データ保護規則 (2016/679)」(以下、「GDPR」という)の適用を受けるパーソナルデータの処理に関してのみ適用されます。
(1) 当社のパーソナルデータ保護に関する方針
本方針は、株式会社IDCフロンティア(以下、「当社」という)が、GDPRによって保護される欧州経済領域(以下、「EEA」という)所在の方(以下、「データ主体」という)(当社のお客さまも含まれる可能性があります。)からパーソナルデータの提供若しくは開示を受けた場合又は第三者を通じてパーソナルデータの受領若しくは取得をした場合に、当社が管理者として当該パーソナルデータをどのように収集し、処理するかについてデータ主体に説明するものです。 当社では、GDPR(並びに適用されるその他のEU及び加盟国のデータ保護に関する規制がある場合は当該規制)に従ってパーソナルデータを処理します。
本方針における「パーソナルデータ」の処理とは、以下のいずれかの場合に行われるEEAに所在するデータ主体のパーソナルデータの処理をいいます。
- (ⅰ) 当社のEEA域内の拠点の活動に関連してなされる場合
- (ⅱ) データ主体に対する商品又はサービスの提供に関する場合
- (ⅲ) EEA域内で行われるデータ主体の行動の監視に関する場合
(2) パーソナルデータの収集及び処理
当社は常に、データ主体のパーソナルデータをGDPR(第6条及び第7条)に規定された法的根拠のいずれかに基づいて処理します。 さらに当社は、特別に配慮が必要なパーソナルデータを処理する場合は、GDPR(第9条及び第10条)に規定された特別な基準に従って行います。
当社では、(ⅰ)データ主体に十分なサービス及び製品を提供するのに必要な場合その他当社に正当な利益がある場合、(ⅱ)データ主体と当社との契約の履行又は締結前手続きに必要な場合、又は(ⅲ)データ主体の明確な同意を事前に頂いた場合に、データ主体のパーソナルデータを収集し、処理することがあります。 その際、当社は、データ主体に対し、同意を頂く際の通知文、契約その他の適切な手段によって、当該パーソナルデータを収集し、処理する目的についてお知らせします。
データ主体は、パーソナルデータの収集及び処理について同意した場合、同意をいつでも撤回する権利があります。 しかし、撤回前の同意に基づく処理の適法性がこれにより影響されることはありません。
当社では、データ主体のパーソナルデータを特定された、明確かつ正当な目的のために処理し、そのパーソナルデータをこれらの目的に適合しない方法でさらに処理することはありません。 当社が、当初ある目的のために収集したパーソナルデータをその他の目的の達成のために処理しようとする場合、それについて必ずデータ主体にお知らせします。
当社は、当社の法的義務を遵守するため、十分なサービスを確実に提供するため、そして当社の事業活動を維持するために必要な期間、パーソナルデータを保存します(GDPR第5条及び第25条第2項)。
当社は、処理対象のパーソナルデータが処理の目的との関係において、関連性及び必要性のあるものに限られるよう徹底します。
(3) パーソナルデータの共有
当社はGDPRに従い、パーソナルデータを当社グループ各社及び第三者と共有することがあります。 パーソナルデータをデータ処理者と共有する場合、当社はパーソナルデータの移転及び処理を対象とする適切な法的枠組を適切に設けます(GDPR第26条、第28条及び第29条)。 さらに、パーソナルデータをEEA外の企業と共有する場合、当社はその移転を対象とする適切な法的枠組、とりわけ、欧州委員会により承認された管理者間(2004/915/EC)及び管理者と処理者との間(2010/87/EU)の標準契約条項を適切に設けます(GDPR第5章)。
協業先
データ主体に事前に同意頂いた場合、パーソナルデータは、当社と共同で当社の製品及びサービスを提供する、又はデータ主体へのマーケティングを支援する協業先に対して移転され、保管され、さらに処理されることがあります。
業務委託
- 各種サービス等の販売業務、問い合わせ対応業務、設備メンテナンス業務、料金関連業務、マーケティング業務その他の業務において、パーソナルデータの処理の全部又は一部を委託する場合があります。
- 業務委託契約を締結する際には、業務委託の相手としての適格性を十分に審査します。業務委託契約においては、安全管理措置、秘密保持、再委託の条件、その他のパーソナルデータの適正な処理に関する事項について定め、定期的な委託業務状況のモニタリング等を実施することによって当社の業務委託先を適切に監督します。
- 業務の受託に伴って委託元から提供(預託)されたパーソナルデータについて、これを当該委託元との契約の履行に必要な範囲内で利用します。
関係会社及び各種企業統廃合
当社では、パーソナルデータを当社のすべての関係会社と共有することがあります。 当社の事業の全部又は一部に関して企業合併、会社更生・民事再生、買収、合弁、譲渡、移転、売却又は処分(破産手続又は同様の手続に関連する場合も含みます。)等が発生した場合、当社は関連する第三者にあらゆるパーソナルデータを譲渡する場合があります。
法令遵守とセキュリティ
法律、法的手続、訴訟、データ主体の居住国内外の公的機関・政府当局の要請により、当社がパーソナルデータを開示する必要が生じる場合があります。 また当社は、国家の安全保障、法執行その他社会上重要な問題により、開示が必要又は適切であると判断した場合にもパーソナルデータを開示することがあります。
当社はこのほか、当社の権利を保護し、利用できる救済措置を求め、当社の内部規程を執行し、不正を調査し、又は当社の事業やユーザーを保護するために、開示が合理的に必要であると誠実に判断した場合にもパーソナルデータを開示することがあります。
パーソナルデータの移転
上記のような共有及び開示等を行う場合には、パーソナルデータをEEA外の国に移転することが必要となる場合があります。 このような移転を実行する度に、当社では移転対象データを適切なレベルで確実に保護します。 特に、欧州委員会決定2001/497/EC、2002/16/EC、2004/915/EC及び2010/87/EUの定義に従って標準契約条項を締結することにより徹底します。
(4) 当社のパーソナルデータ処理に関する記録
当社がパーソナルデータを処理する場合、パーソナルデータの処理に関する記録をGDPR(第30条)に規定された義務に従って取り扱います。 当社は、GDPRを遵守し、かつGDPR(第31条)に基づき監督当局に協力するために必要なすべての情報をこの記録に反映します。
(5) セキュリティ対策
当社がパーソナルデータを処理する際、適切な技術的かつ組織的な対策を講じ、適切なセキュリティ(無許可・不法な処理、偶発的な喪失や破棄破損に対する保護等)を確保して処理します(GDPR第25条第1項及び第32条)。
(6) 管轄監督当局に対するパーソナルデータ侵害の通知
移転、保存その他の処理の対象のパーソナルデータの偶発的・不法な破棄、喪失、改変、無許可の開示・アクセスにつながるセキュリティ侵害が発生した場合に備え、当社は侵害内容をすみやかに検出し、評価するための制度及び方策を整備しています。 評価の結果に応じて、監督当局に必要な通知を行い、影響を受けるデータ主体に連絡します(GDPR第33条及び第34条)。
(7) データ主体の権利及び自由に高いリスクをもたらす可能性のある処理
当社は、データ主体の権利及び自由に高いリスクをもたらす可能性のあるデータ処理行為を検出するための制度及び方策を整備しています(GDPR第35条)。 そのようなデータ処理行為が検出された場合、当社内でそれを評価した上で、それを停止し、又はその処理がGDPRに準拠するよう確保するか、それを続行するための適切な技術的かつ組織的な保護措置を整備するよう徹底します。
疑義がある場合には、当社は所管のデータ保護監督当局に連絡し、その助言及び提案を受けます(GDPR第36条)。
(8) データ主体の権利
当社は、データ主体に対し、パーソナルデータの処理の目的をお知らせする際に、GDPR上データ主体に与えられた権利の内容についてもお知らせします。
当該権利をデータ主体が行使する場合は、下記11の連絡先をご確認下さい。 データ主体からのご要請に対する当社の対応にご不満がある場合、又は当社によるパーソナルデータの処理方法について苦情がある場合、データ保護監督当局に苦情を申し立てることができます。
(9) お子様について
当社が16歳未満の、又は加盟国法に基づく年齢制限に達しないお子様のパーソナルデータを収集し処理する場合適切に処理します(GDPR第8条)。
(10) 本方針の更新
当社では、本方針を変更することがあります。 本方針のあらゆる変更は、本方針の改訂版を本ウェブサイト経由で掲示すると同時に有効となります。 当社が重大と考える変更を行う場合、データ主体に対して本ウェブサイトを通じて可能な範囲でお知らせし、場合によってはデータ主体の同意の提供をお願いすることがあります。
