• このウェブサイトは自動翻訳されています。
日本語
日本語 English (UK) العربية 简体中文 繁體中文 Italiano Français Português do Brasil Español Español de México 한국어 Русский Deutsch Türkçe
趣意書
お問い合わせ
ポリシー

GDPRデータ保護方針

目的

マルバーン・インターナショナルは、適用されるすべてのデータ保護法および規制を遵守し、最高水準の倫理的行動規範に沿って事業を行うことを約束します。.

本ポリシーは、データ対象者の個人データの収集、使用、保持、移転、開示、破棄に関して、マルバーン・インターナショナルの従業員および第三者に求められる期待される行動および基準を定めるものです。.

個人データとは、特定可能な生存する個人に「関連する」あらゆる情報のことです。個人データは、組織が個人データを処理する方法に制限を課す特定の法的保護措置およびその他の規制の対象となります。マルバーン・インターナショナルは、本ポリシーに記載されているデータ保護要件を確実に遵守する責任があります。違反した場合、マルバーン・インターナショナルは苦情、規制措置、罰金、および/または評判の悪い損害にさらされる可能性があります。本ポリシーに故意に違反する行為は、刑事犯罪を構成する可能性もあります。.

本ポリシーに違反した場合、マルバーン・インターナショナルは真摯に対応し、懲戒手続きの対象となることがあります。本ポリシーの理解を助けるために、以下の用語について説明します:

データ管理者 は、いつ、何のために、どのように個人データを処理するかを決定する会社です。データ管理者として、当社は、データ管理に関する慣行および方針を確立する責任を負います。
保護法当社は、当社の従業員に関するすべての個人データおよび当社の事業において当社の商業目的で使用される個人データのデータ管理者です。.

特別カテゴリーとは人種または民族的出身、政治的意見、宗教的または哲学的信条、労働組合への加盟、一般的データ、生体情報、健康状態、性別、性的指向または性生活に関する情報を含む個人情報。.

会社人事すべての従業員、労働者(請負業者、代理店、コンサルタントを含む)、役員、会員、その他(ボランティア、インターン、実習生を含む)。.

データ対象データ主体:当社が個人データを保有する、生存する、特定された、または特定可能な個人。データ対象者は、どの国の国民または居住者であってもよく、個人データに関する法的権利を有する場合があります。データ対象者は、あなた、あなたの同僚、顧客、サプライヤー、またはその他あらゆる個人です。.

データ保護法GDPRとは、個人データを保護し、個人のプライバシーを尊重するために制定された法令を指します。現在施行されている法律は、(i)一般データ保護規則(「GDPR」)であり、当社がEUまたはEEA加盟国に拠点を置く個人を対象とし、個人データを処理する場合に適用されます。.

英国に居住するデータ主体に適用されるUK-GDPRおよびデータ保護法2018

2025年データ(利用とアクセス)法は、UK-GDPRと現行のデータ保護の枠組みの特定の側面を補足し、拡張するものである。.

個人情報データ対象者を特定する情報、またはデータ対象者に関連する情報であって、当社がそのデータから(直接的または間接的に)特定できるもの。.

個人情報漏洩個人データの偶発的または違法な破壊、紛失、改ざん、不正な開示につながるセキュリティ違反。.

プライバシーポリシー (公正処理通知とも呼ばれる)またはプライバシー・ポリシー: 当社がデータ対象者に関する情報を収集する際に、データ対象者に提供される可能性のある情報を定めた別個の通知。.

加工またはプロセス個人データの使用を伴うあらゆる活動。.

ポリシーの範囲

このポリシーは、データ主体の個人データが処理されるマルバーン・インターナショナルのすべての事業体に適用されます。.

本方針は、電気的形式(電子メールおよびワープロソフトで作成された文書を含む)の個人データ、または個人に関する情報にすぐにアクセスできるような方法で構造化されたマニュアルファイルに保管されている個人データのすべての処理に適用されます。.

ポリシーの実施
マルバーン・インターナショナルのリーダーシップ・チームは、個人データの処理に責任を持つ全従業員に、本ポリシーの内容を認識させ、遵守させなければならない。さらに、マルバーン・インターナショナルは、自分たちのために個人データの処理を委託されたすべての第三者が、このポリシーの内容を認識し、遵守していることを確認する。マルバーン・インターナショナルが管理する個人データへのアクセスを許可する前に、企業または個人を問わず、すべての第三者からこのような遵守に関する適切な保証を求めます。.

データ保護原則
当社が個人データを処理する際には、従うべき義務を定めたデータ保護原則に従わなければなりません。全スタッフは、以下に示す原則を遵守することが求められます。.

  • 合法性、公正性および透明性 - すべての個人データは合法的、公正かつ透明な方法で処理されなければならない。全スタッフは、個人データの使用が合理的かつ期待されるものであることを確認することが求められます。私たちは、どのような個人データを処理するのか、なぜ処理するのかを文書で記録しておかなければなりません。データ保護担当者はこの記録を維持する責任を負い、記録が最新であることを確認するために定期的に監査を行います。.
    • 目的の制限 - 個人データは、特定された明示的かつ合法的な目的のために収集され、それらの目的と相容れない方法でそれ以上処理されないものとします。これは、収集された個人データが何のために使用されるかを正確に特定し、その個人データの処理を、特定された目的を満たすために必要なものに限定しなければならないことを意味します。個人データが収集され処理される目的は、関連するプライバシーに関する通知に明記されます。新たな目的で個人データを使用する必要がある場合は、データ保護責任者に通知 し、継続的なコンプライアンスを確保するために助言に従わなければならない。新しい目的がすでに当社のプライバシー通知でカバーされている場合は、更新する必要はないかもしれませんが、新しい活動が行われる前にプライバシー通知を更新する必要がある場合は、できるだけ早く更新する必要があります。.
    • データの最小化 - 個人データは、適切で、関連性があり、処理目的に関連して必要なものに限定されなければならない。つまり、マルバーン・インターナショナルは、必要以上の個人データを保存してはならない。.
    • 正確性 - 個人データは正確であり、最新の状態に保たれなければならない。つまり、マルバーン・インターナショナルは、期限切れ、不正確、冗長な個人データを特定し、対処するためのプロセスを備えていなければならない。全スタッフは、各自の業務領域における記録の正確性を確保する責任を負う。.
    • 保管の制限 - 個人データは、データ主体の識別が可能な形で、個人データの処理目的に必 要な期間を超えて保管されないものとする。つまり、マルバーン・インターナショナルは、可能な限り、データ主体の識別を制限または防止する方法で個人データを保管しなければならない。組織として、個人データを必要な期間のみ保存することを保証しなければなりません。つまり、記録管理のベストプラクティスに従い、保存する目的がなくなったデータは削除しなければなりません。データ保護オフィサーおよび上級管理チームのメンバーは、記録保持を含む記録管理プロ セスを導入する責任があります。
      このスケジュールには、当社がどのような個人データをどの程度の期間保有し、必要に応じて関連性を検討するか、または削除するかが記載されています。.
    • 完全性と機密性 - 個人データは、不正または違法な処理に対する保護、および不慮の損失、破壊、損傷に対する保護を含め、個人データの適切な安全性を確保する方法で処理されるものとする。マルバーン・インターナショナルは、個人データの完全性と機密性が常に維持されるよう、適切な技術的および組織的手段を用いなければならない。全スタッフは、データの安全性と機密性を保護するために設計されたポリシーまたはプロセス要件に確実に従う責任を負う。職員は、この目的のために設置されたセキュリティー管理を回避しようとしてはならない。.
    • すべてのスタッフは、特にスタッフのデータのセキュリティを保護する上で重要な役割を担っています:
      • マルバーン・インターナショナルのパスワードまたは認証情報を他人と共有してはなりません。.
      • マルバーン・インターナショナルのデータを第三者と共有、アップロード、転送してはならない。.
      • マルバーン・インターナショナルのシステムまたはコンピュータ上のウイルス対策またはセキュリティ制御を無効にしたり、無効にしようとしたりしてはならない。.
  • 説明責任 - マルバーン・インターナショナルとそのスタッフは、法令遵守に責任を持ち、その遵守を証明することができる。.

データ収集

データソース

個人データは、以下のいずれかに該当する場合を除き、データ対象者から直接収集するものとする:

  • 事業目的の性質上、他の個人または団体から個人データを収集する必要がある場合。.
  • データ対象者の重大な利益を保護するため、または他人の重大な損失や傷害を防止するために、緊急の状況下で収集が実施されなければならない。.

データ主体以外の者から個人データを収集する場合は、以下のいずれかに該当する場合を除き、データ主体にその旨を通知しなければならない:

  • データ対象者は他の手段で必要な情報を受け取っていた。.
  • 職業上の守秘義務があるため、情報は秘密にしておかなければならない。.
  • 国内法が個人データの収集、処理または転送を明示的に規定している。.

データ主体への通知が必要であると判断された場合、通知は速やかに、遅くとも個人データの最初の収集または記録から1暦月以内に、データ主体との通信に使用される場合は最初の通信時に、他の受領者に開示される場合は開示時に行われるべきである。.

データ対象者への通知

マルバーン・インターナショナルは、適用される法律、契約により要求される場合、またはそうすることが合理的に適切であると判断する場合、データ対象者にその個人データの処理目的に関する情報を提供します。.

データ対象者が個人データの処理に同意するよう求められる場合、およびデータ対象者から個人データを収集する場合、以下のいずれかに該当する場合を除き、注意を喚起する方法で適切なすべての開示が行われる:

  • データ対象者はすでに情報を持っている。.
  • 開示および/または同意の要件には、法的免除が適用されます。.
  • 開示は電子的または書面にて行われる。.

個人情報保護方針

マルバーン・インターナショナルは、個人データの収集および処理に関するプライバシー通知を会社の従業員に提供します。.

マルバーン・インターナショナルはまた、当社の従業員以外の潜在的な第三者のためのオンラインプライバシー通知、および適用される法律の要件を満たすオンライン「クッキー通知」を含みます。.

プロファイリングと自動意思決定

マルバーン・インターナショナルは現在、プロファイリングおよび自動意思決定を行っておりません。プロファイリングおよび自動意思決定に関与する必要が生じた場合は、データ主体との契約を締結するため、または契約を履行するため、あるいは法律により許可されている場合に限ります。このような場合、データ対象者には以下の機会が与えられます:

  • 自分たちの視点を表現する
  • 自動化された決定についての説明を受ける
  • 自動システムが使用するロジックを見直す
  • 自動化システムを追加データで補完する
  • 自動化された決定について、人間がレビューを行うこと
  • 自動化された決定に対する異議申し立て
  • 自動化された意思決定の実施に反対すること。.

プロファイリングや自動化された意思決定は、データ保護法において厳しく制限されており、デー タ保護影響評価が完了した後にのみ実施しなければならない。スタッフは、データ保護オフィサーの助言と支援を求めることなく、自動化されたプロファイリングや意思決定を含む活動を実施することはできません。.

デジタル・マーケティング

マルバーン・インターナショナルは、携帯電話、Eメール、インターネットなどのデジタル・チャネルを通じて、データ保護法に準拠する場合に限り、プロモーションまたはダイレクト・マーケティング資料を送付します。マルバーン・インターナショナルの関係者が、データ対象者の事前の同意を得ることなくデジタル・マーケティング・キャンペーンを実施しようとする場合は、まずデータ保護責任者の承認を得なければなりません。.

個人データ処理がデジタル・マーケティング目的で承認される場合、データ対象者は、 最初の接触時点で、そのような目的で自分のデータが処理されることに、いかなる 段階でも反対する権利を有することを知らされなければならない。データ主体が異議を申し立てた場合、その個人データのデジタル・マーケティング関連の処理は直ちに中止されなければならず、その詳細は完全に削除されるのではなく、オプトアウトの決定記録とともに抑制リストに保管されなければならない。.

デジタルマーケティングが「企業対企業」の文脈で実施される場合、オプトアウトの機会が与えられれば、個人に対してデジタルマーケティングを実施することに同意の意思表示を得る法的要件はないことに留意すべきである。.

データ保持
公正な処理を確保するため、マルバーン・インターナショナルは、個人情報を最初に収集した目的、またはさらに処理する目的に関して、必要な期間を超えて個人情報を保持することはありません。.

マルバーン・インターナショナルが個人データを保持する必要がある期間は、付録 1 に記載されています。これは、保持期間に影響を及ぼす法的、契約上および事業上の要件を考慮したものである。個人データを保持する必要がなくなったことが確認された場合、保持しない正当な理由がない限り、すべての個人データは速やかに削除または破棄されなければなりません。付録1の保管ガイダンスに従って個人データを破棄または削除しないことを決定した場合 は、文書に記録し、CEOの承認を得なければならない。.

データ保護
マルバーン・インターナショナルは、個人データの安全性を確保するため、物理的、技術的、組織的な手段を採用します。これには、紛失または破損、不正な改ざん、アクセスまたは処理の防止、および人為的行為または物理的または自然環境によってさらされる可能性のあるその他のリスクの防止が含まれます。.

マルバーン・インターナショナルが採用する最低限のセキュリティ対策は、以下の通りである:

  • 個人データが処理されているデータ処理システムに、権限のない者がアクセスできないようにする。.
  • データ処理システムを使用する権利を有する者が、ニーズや権限を超えて個人データにアクセスすることを防止する。.
  • 輸送中の電子的伝送の過程で、個人データが許可なく読み取り、コピー、修正、削除できないようにする。.
  • 個人データがデータ処理システムに入力され、変更され、またはデータ処理システムか ら削除されたかどうか、および誰がそれを行ったかを立証するために、アクセスログが 適切に記録されていることを確認する。.
  • データ処理者が処理を行う場合、データ管理者の指示に従ってのみデータを処理できるようにする。.
  • 個人データが望ましくない破壊や紛失から確実に保護されるようにする。.
  • 異なる目的のために収集された個人データが別々に処理されるようにする。.
  • 個人データが必要以上に長く保存されないようにする。.
  • 当社の適切な従業員に対し、データ保護法に基づく主なコンプライアンス要件と、本ポリシーに従って個人データのセキュリティを確実に維持する方法についての研修を確実に実施する。.

会社の責任

マルバーン・インターナショナルのために、またはマルバーン・インターナショナルの代理として働くすべての者は、本ポリシーおよび関連ポリシーに沿って、データが適切に収集、保管、取り扱われることを保証する責任を負うものとします。.

最高経営責任者(CEO)および人事ビジネスパートナーは、本ポリシーを見直し、マル バーン・インターナショナルのデータ保護責任およびデータ処理に関連するリスクについて取締 役会に報告する責任を負う。本ポリシーまたはデータ保護に関するご質問は、この担当者までお寄せください。.

会社の要員はそうすべきである:

  • 個人データへのアクセスは、マルバーン・インターナショナルの業務に必要な場合に限り、権限を与えられた場合にのみ行うものとします。また、データを取得した特定の合法的な目的のためにのみデータを使用するものとします。.
  • 個人データを非公式に共有しない.
  • 個人データを安全に保管し、権限のない者と共有しないこと。.
  • 取り扱う個人データを定期的に見直し、必要に応じて更新すること。これには、自己の連絡先が変更された場合も含まれます。.
  • 個人データの不必要なコピーを作成せず、コピーは安全に保管および廃棄すること。.
  • 強力なパスワードを使用し、パスワードを他人と共有しないこと。.
  • デスクにいないときは、コンピュータの画面をロックすること。.
  • ラインマネージャーまたはHRビジネスパートナーの許可なく、当社敷地内から個人データを持ち出さない。.
  • データ保護について不明な点がある場合、またはデータ保護やセキュリテ ィに関して改善できる点がある場合は、HRビジネスパートナーに助 言を求める。.

個人データは、承認された外部連絡先に電子的に転送する前に暗号化する必要があります。この方法の詳細については、IT部門に問い合わせてください。.

データ対象者を特定できないように、データを匿名化するか、別のキー/コードを使用することを検討する。.

個人データは、マルバーン・インターナショナルのものでない個人のコンピュータやその他のデバイスに保存しないでください。.

個人データは、法律に準拠し、CEOの許可を得た場合を除き、欧州経済地域外に転送されることはありません。.

机の引き出しや書類棚は施錠すること。個人情報が記載された紙を放置しないこと。.

個人データは、不要になった時点でシュレッダーにかけ、安全に廃棄しなければならない。.

ポリシーの実施

当社の要員による本ポリシーの故意または過失による違反は、当社の懲戒手続きに従った懲戒処分の対象となる場合があります。.

対象者へのアクセス要求の一部である個人データを隠匿または破棄することは犯罪行為です(下記を参照)。また、このような行為は、当社の懲戒手続きにおける重大な違法行為に該当し、解雇につながる可能性があります。.

本ポリシーでは例を挙げていますが、これは決して網羅的なリストではなく、その他の特定の規則が随時通知される可能性があることにご留意ください。.

データ主体の権利およびデータ主体の要求

データ対象者(当社の従業員を含む)は、マルバーン・インターナショナルによって処理される個人データに関して多くの権利を有します。これらの権利は、データ対象者に関連するプライバシーに関する通知に詳しく記載されています。会社要員にはプライバシー通知が発行されます。第三者は、プライバシー通知にオンラインでアクセスするか、コピーを直接請求することができます。.

マルバーン・インターナショナルは、以下の事項に関するデータ主体の権利行使を可能にし、容易にするシステムを確立します:

  • 情報アクセス
  • 処理に対する異議
  • 自動意思決定およびプロファイリングに対する異議申し立て
  • 処理の制限
  • データの移植性
  • データ修正
  • データ消去

個人から上記の権利に関する要請があった場合、マルバーン・インターナショナルは、適用されるすべてのデータ保護法および規則に従って各要請を検討します。職員が要請を受けた場合、職員自身がその要請を管理することは認められず、速やかにデータ保護責任者に通知する必要があります。.

データ対象者は、書面による限り、その権利に関する要請を行うことができます。ただし、データ対象者は、データ対象者要請書(人事部から入手可能) を要求して使用し、これを人事部に提出することが推奨されます。これにより、マルバーン・インターナショナルの適切な担当者が要求を受け取り、迅速に処理することができます。.

データ対象者は、リクエストを提出する際に本人確認を行う必要があります。これを怠った場合、要請が完了しないことがあります。.

情報主体は、自己の個人データに関する以下の情報を入手する権利を有する:

  • 個人データの収集、処理、使用および保存の目的。.
  • データ対象者から取得したものでない場合は、個人データの出所。.
  • データ対象者のために保存される個人データのカテゴリー。.
  • 個人データが送信された、または送信される可能性のある受信者または受信者のカテゴリー、および受信者の所在地。.
  • 想定される個人データの保存期間、または保存期間を決定する根拠。.
  • プロファイリングを含む自動意思決定の使用。.
  • 情報主体が個人情報の処理に異議を唱え、データ保護当局に苦情を申し立て、個人情報の修正または消去を要求し、個人情報の処理の制限を要求する権利。.

個人データへのアクセスまたは個人データの修正に関するすべての要請は、人事部 に提出する必要があります。各要請に対する回答は、データ対象者から書面による要請を受領してから 30 日以内に提供される。適切な確認により、要求者がデータ対象者またはその正式な法定代理人であることを 確認しなければならない。データ対象者は、マルバーン・インターナショナルに対し、誤った、誤解を招く、古い、または不完全な個人データの修正または補足を要求する権利を有するものとする。.

マルバーン・インターナショナルが30日以内に要求に応じられない場合、指定された期間内に以下を提供することを約束する:

  • リクエストの受領確認。.
  • 現在までに判明している情報.
  • データ対象者に提供されない要求された情報または変更の詳細、拒否の理由、および決定に異議を申し立てるための利用可能な手続き。.
  • 残りの回答が提供される予定日(最初の要請が提出されてから遅くとも3ヶ月以内)。.
  • データ対象者が支払うべき費用の見積もり(要求が本質的に過剰な場合など)。.
  • データ対象者がフォローアップのために連絡すべき個人の名前と連絡先。.

データ対象者が要求した情報を提供することで、他の個人の個人データが開示 される状況が発生する可能性があることに留意しなければならない。このような場合、その人の権利を保護するために必要または適切である場合には、情報を修正または保留しなければならない。.

法執行機関からの要請および開示
特定の状況においては、データ対象者の認識または同意なしに個人データを 共有することが許可される。これは、個人データの開示が以下の目的のために必要な場合です:

  • 犯罪の防止または発見。.
  • 犯罪者の逮捕または起訴。.
  • 税金または関税の査定または徴収。.
  • 裁判所の命令または法律の規則による。.

マルバーン・インターナショナルがこれらの目的のために個人データを処理する場合、本ポリシーに概説されている処理規則の例外を適用することができますが、その例外を適用しないことが問題のケースに悪影響を及ぼす可能性が高い場合に限られます。.

データ保護トレーニング

個人データにアクセスするマルバーン・インターナショナルの全社員は、入社時研修の一環として、本ポリシーに基づく責任の概要を説明されます。マルバーン・インターナショナルは、スタッフに対して定期的なデータ保護トレーニングおよび手続きガイダンスを提供し、このトレーニングの修了を義務付けています。.

マルバーン・インターナショナル・サイト間の移動

マルバーン・インターナショナルがさまざまなサイトで効果的に業務を遂行するために、あるサイトから別のサイトへ個人データを転送し、海外の場所から個人データにアクセスできるようにする必要がある場合があります。このような場合、個人データを送信するサイトは、その個人データの保護を確保し、欧州経済地域外へのデータ転送を遵守する責任を負います。全スタッフは、データが正式かつ認可された手段で転送されるようにしなければならない。WhatsAppやその他のインスタントメッセージングサービスなど、個人的なプラットフォームを使用して非公式にデータを共有することは禁じられています、,

第三者への譲渡

マルバーン・インターナショナルは、情報が受領者によって合法的に処理され、適切に保護されることが保証される場合にのみ、個人データを第三者に譲渡し、または第三者によるアクセスを許可します。第三者による処理が行われる場合、マルバーン・インターナショナルはまず、適用される法律の下で、第三者が転送される個人データのデータ管理者またはデータ処理者と見なされるかどうかを確認します。.

第三者がデータ管理者であるとみなされる場合、移転された個人データに関する各当事者の責任を明確にするために、管理者との間で適切な契約を締結する。.

第三者がデータ処理者とみなされる場合、マルバーン・インターナショナルはデータ処理者と適切な処理契約を締結するよう努めるものとする。この契約は、データ処理業者に対し、個人データがそれ以上開示されないよう保護し、マルバーン・インターナショナルの指示に従った場合にのみ個人データを処理することを義務付けるものとする。さらに、データ処理業者に対し、個人データを保護するための適切な技術的および組織的措置を実施すること、ならびに個人データ違反の通知を行うための手続きを実施することを義務付けるものとします。.

マルバーン・インターナショナルが第三者にサービスを委託する場合、その第三者がマルバーン・インターナショナルに代わって個人データを処理するかどうか、また、その委託が個人データの第三国への移転を伴うかどうかを確認します。いずれの場合も、そのような処理および第三国への移転に関する適切な規定を業務委託契約に含めるようにします。.

苦情処理

個人データの処理に関して苦情のあるデータ対象者は、データ保護メールボックスまでご連絡ください。 gdpr@malvernplc.com

違反報告

個人データの盗難または暴露により個人データ侵害が発生したと思われる個人は、直ちにデータ保護責任者にその内容を通知しなければなりません。インシデントの通知は、以下の電子メールで行うことができます。 gdpr@malvernplc.com

データ保護責任者は、報告されたすべてのインシデントを調査し、個人データ漏えいが 発生したか否かを確認します。個人データ漏洩が確認された場合、データ保護責任者は、関連する個人データの重要性と量に基づき、関連する認可された手順に従います。深刻な個人データ漏えいの場合、マルバーン・インターナショナルは、個人データ漏えい対応を調整・管理する緊急対応チームを発足させ、その議長を務めます。.