# 当社のプライバシー目標とグローバルプライバシーポリシー ### 導入 データプライバシーおよび保護の目的は、個人データの処理に関する文脈において、自然人の公的自由および基本的権利、特にその評判および私生活の保護と保全を図ることです。その目的は、データが処理される形式にかかわらず、個人データの処理、データ主体の権利、およびデータ処理者および管理者の義務を規律することです。 {% stepper %} {% step %} ### 目的および範囲 1.1 本ポリシーは、Coltの従業員およびColtの個人データを処理する者が、個人データを効果的に保護し、Coltの事業サービス、機能、情報システム、資産および人員に対するプライバシーリスクを管理できるようにするためのColtのプライバシー管理要件を定義します。 1.2 Coltのすべての従業員は、日常業務を遂行する際にこれらの原則を理解する責任があります。 1.3 本文書で定義された要件は必須であり、Coltのすべての従業員に適用されます。 {% endstep %} {% step %} ### 定義 2.1 個人データ:識別されている、または識別可能な自然人(「データ主体」)に関するあらゆる情報を意味します。識別可能な自然人とは、名前、識別番号、位置データ、オンライン識別子などの識別子や、その自然人の身体的、生命的、遺伝的、精神的、経済的、文化的または社会的アイデンティティに特有の一つ以上の要因を参照することによって、直接的または間接的に識別できる者を指します。さらに、「機微データ」と呼ばれる種類があり、これは健康に限らず、イデオロギー、宗教、民族的背景、性生活、および刑事または行政上の有罪判決や違反の履歴などを指します。機微データの使用制限と特殊性に対応するため、Coltは機微データの処理を管理するための別個のプライバシーポリシー(Colt機微情報ポリシー)を実施しています。 2.2 従業員:Coltの従業員、Coltが認可した請負業者、サプライヤーの下請け業者、パートナー、派遣労働者、およびサプライヤーに直接雇用されている個人またはサプライヤーがColtへのサービス提供のために任命し関与させた個人を意味します。 2.3 サプライヤー:製品またはサービスの供給についてColtと契約を締結する組織または個人を意味します。これにはサプライチェーン内のすべてのサプライヤーが含まれます。 2.4 Colt個人データ:従業員、顧客およびサプライヤーに関する個人データを意味します。 2.5 「データ保護法令」とは、規則(EU)2016/679(「GDPR」)および随時改訂、修正または置換されうるすべての適用されるデータ保護法および規制を意味します。 {% endstep %} {% step %} ### コンプライアンス 3.1 本ポリシーの遵守は、Coltの個人データの処理に関与するすべてのColt従業員に対して必須です。 3.2 データ保護責任者は、本ポリシーおよび本書に定められた要件に関してColt従業員が達成するコンプライアンスの程度を監視し、報告します。 3.3 本ポリシーへの不遵守は、Coltデータプライバシー責任者からの明示的な許可を必要とします。 3.4 本文書を第三者に提供する前に、データプライバシー責任者から事前承認を得るべきです。 {% endstep %} {% step %} ### 役割と責任 4.1 データ保護責任者は、本書を維持し、Coltに対するプライバシーリスクのレベルを低減する上で有効であり続けることを確保する責任があります。 4.2 Colt従業員は、本書に含まれるポリシーおよび管理の実務上の日常適用について責任を負います。データプライバシー責任者は、本書の要件がどのように適用されたかに関してColt従業員から証拠の提出を求めることがあります。 {% endstep %} {% step %} ### 研修と意識向上 5.1 すべてのColt従業員は、入社後最初の30日以内および継続雇用期間中毎年、必須の一般的なプライバシーおよび情報セキュリティ研修ならびにその役割に応じた特定の研修モジュールを完了しなければなりません。個人データを取り扱う従業員は、個人データを含むColtシステムへのアクセスを取得する前に研修を受ける必要があります。監督者は、適切と判断した場合、自身または報告を受ける従業員に対してプライバシー研修を要請することが推奨されます。 5.2 さらに、データ保護チームは、必要に応じてニュースレター、ガイダンス文書、ウェビナーおよび顧客向け資料を含む継続的な指導および啓発資料を提供します。 5.3 データ保護チームは、人事部およびマーケティング部と協力して、研修および啓発資料が最新で関連性があり、適切に割り当てられまたは配布されることを確保します。必須のプライバシー研修を満足に完了しない場合、懲戒処分またはColtのITインフラへのアクセス喪失につながる可能性があります。 {% endstep %} {% step %} ### データプライバシーの役割と責任 6.1 Coltは、プライバシーリスク管理およびガバナンスの役割を定義、文書化、割り当てなければなりません。 6.2 Coltは、Colt従業員および特定のプライバシーリスク管理活動を実行する者を教育し訓練し、職務を効果的に遂行できるようにしなければなりません。 6.3 Coltは単一のグローバルDPOを任命しており、内部に配置され欧州連合内に所在します。さらに、国ごとのプライバシー法に従い必要に応じてローカルのデータ保護責任者および各国の代表者がおり、これらはグローバルDPOに直接報告します。DPOチームには または 宛てにメールで連絡できます。 グループデータ保護責任者の詳細は以下の通りです: アレッサンドロ・ガルティエリ グループデータ保護責任者 Colt Technology Services Group Limited Colt House | 20 Great Eastern Street | London | EC2A 3EH | UK 6.4 さらに、ローカルDPOは以下のとおりです: * 6.4.1 イタリアDPO:アレッサンドロ・ガルティエリ * 6.4.2 ドイツDPO:セバスチャン・クラースカ * 6.4.3 オランダDPO:エレン・クープマン * 6.4.4 スペインDPO:クリスティナ・シレラ * 6.4.5 インド苦情担当官:アレッサンドロ・ガルティエリ {% endstep %} {% endstepper %} ## 基本原則 Coltは、その責任を負う個人データの機密性と完全性を保護しなければなりません。これには、Coltが直接処理する個人データ(データ管理者としてのColt)、第三者によるサービス提供を通じて処理されるもの(Coltに対するデータ処理者として)、または第三者に対してサービスを提供するデータ処理者としてのColtが含まれます。 いかなる場合でも、Coltがデータ管理者または処理者として行動する場合には、個人データは要求される法的および契約上の義務と保証に従って処理されなければなりません。 適用されるデータ保護規則は、個人データが日常業務で処理されるため、Coltの業務に直接影響を与えます。このデータを処理する際には、特定の原則と措置を満たす必要があります。これらの原則は以下のとおりです: ### 合法性、公正性および透明性 Coltは個人データを以下に従って処理しなければなりません: (a) 合法性:個人データの処理は合法的な根拠に基づいて正当化されなければなりません (b) 公正性:個人データは合理的に期待される方法で公正に処理されなければなりません。 (c) 透明性:処理に関する情報は明確、正確かつ一義的な方法で提供されなければなりません。 ### 目的制限 Coltは、個人データが収集された特定の明示的かつ正当な目的のためにのみ処理され、収集目的と矛盾する方法でさらに処理されないことを確保しなければなりません。 ### データ最小化 収集された個人データは、処理の目的に対して適切かつ関連性があり、目的に限定されている必要があります。 ### 保存期間の制限 Coltは、個人の識別を可能にする個人データを、その収集および処理の目的に沿って必要以上に長く保管してはなりません。 Coltはイントラネットに掲載されているColt保持および破棄ポリシーに従って個人データを保管します。 ### 正確性 Coltは、個人データが正確、完全であり、必要に応じて最新の状態に保たれるよう合理的な手段を講じなければなりません。 Coltが個人データが不正確または古くなっていることを発見した場合、できるだけ早くそのデータを訂正または削除するために合理的なすべての手段が講じられます。 ### セキュリティ Coltは、個人データの不正または違法な処理、偶発的な喪失、破壊または損傷を防止するために適切な技術的および組織的措置を実施することで、収集および処理される個人データが保護されることを確保しなければなりません。 特に、Coltは職務の遂行において個人データにアクセスする従業員が当該データを機密として扱い、法的に開示が認められる場合を除き第三者に開示しないことを誓約することを確保しなければなりません。 Coltの従業員または第三者による個人データへの偶発的、無許可または違法なアクセス、開示、変更、喪失または削除を伴う疑い(または確認された)セキュリティ侵害がある場合は、個人データインシデント対応プロセスに従いCSIRTに連絡してください。 ### 設計段階および既定設定におけるデータ保護(Data Protection by Design and by Default) Coltは、設計段階および既定設定におけるデータ保護を設計・実装することにより、データ保護に関する法的要件の遵守を保護し実証するための措置を適用しなければなりません: (a) プライバシー・バイ・デザイン:製品またはサービスを設計する際、初めからColtは情報要件や顧客の個人データを処理するための適切な同意の取得などの問題を考慮しなければなりません。 (b) プライバシー・バイ・デフォルト:既定では、追求される法的目的を達成するために必要な個人データのみが処理され、かつ個人データの機密性が確保されなければなりません。 7.8.2 プライバシー影響評価(PIA)は、すべての新しい処理活動にプライバシーを組み込むための有用なツールであり、そのためColtは以下のためのガイドラインおよびテンプレートを作成しています: (a) いつPIAを実施すべきか(詳細はPIA正当化を参照); (b) PIAをどのように完了するか(PIA完了ガイドおよびFAQを参照);および (c) PIA文書のテンプレート。 7.8.3 Coltは以下の場合にPIAを実施しなければならないと定めています: (a) 自動化されたデータ処理に基づく個人に関する体系的かつ徹底的な評価(プロファイリングを含む)であり、その結果に基づいて当該自然人に関する判断が行われる場合。 (b) 機微データまたは有罪判決および違反に関連するデータの大規模な処理。Coltにおいて大規模なデータ処理は100人以上のデータ主体と定義されます。 (c) 公にアクセス可能な領域の体系的な監視。 (d) 機微な個人データの処理。 (e) 個人データがColt外部へ、EEA(すなわちEU、アイスランド、ノルウェーおよびリヒテンシュタイン)外または適切性のある国へ転送される場合。 (f) 個人のプライバシーへの影響が重大または最大である場合。影響のさらなる例についてはPIAガイダンス文書を参照してください。 7.8.4 プライバシーリスクを伴う事業活動(例:プロジェクト、物品およびサービスの調達)に必要なプライバシー管理を評価および決定するために、ColtのPIA方法論に従う必要があります。 7.8.5 従業員は、PIAを実施する際やPIAが必要かを評価する際に上記文書を参照し、必要に応じてColtデータ保護チーム()に連絡すべきです。 ### 説明責任 データ管理者としてのColtは、個人データをどのように処理するかおよび本ポリシーを遵守することについて責任があります。 すべての従業員は本ポリシーに従って行動することが求められ、適切な場合にはそれが施行されるようにする責任があります。 データ保護チームは本ポリシーおよびその研修の提供について責任を負いますが、多くの従業員は本ポリシーの一部、特に個人の権利の原則に関する部分を履行する必要があります。その場合、従業員は当該原則および個人の権利ポリシーに定められた手順に従わなければなりません。 Coltは、自らが行う処理活動の記録を維持しなければなりません;この記録に含まれる情報は、Coltがデータ管理者として処理するかデータ処理者として処理するかに応じて異なります。 ### 個人の権利 Coltは、個人が権利を行使する方法についてすべての個人に通知し、個人が自由に権利を行使できるようにします。Coltは、以下のいずれかの個人の権利の行使に関する要請に対して適切に対応します: (a) アクセス権:個人は、自分に関して収集された個人データの写し(Colt自身が保有しているかその提供者が保有しているかを問わず)にアクセスする権利を有し、処理に関する情報の提供を受ける権利を有します。 (b) 訂正権:個人は、自分に関する不正確または不完全な個人データ(Colt自身が保有しているかその提供者が保有しているかを問わず)を訂正する権利を有し、その正確性と適切な処理を保証することができます。 (c) 消去権(忘れられる権利):個人は、自分に関する個人データの削除を要求する権利を有します。 (d) 反対権:個人は、個人データの処理にいつでも反対する権利を有します。 (e) 制限権:個人は、自分に関する個人データの処理を制限する権利を有します。これは処理が「一時停止」され、個人データが保存のみされることを意味します。 (f) データポータビリティの権利:個人は、自分に関する個人データを受け取り、そのデータを構造化され、一般的に使用され、機械可読な形式で別のコントローラーに送信してもらう権利を有します。 (g) 自動化された処理に基づかない決定を受けない権利:個人は、プロファイリングを含む情報の自動化された処理に基づく決定の対象とされない権利を有します。これには、Coltがクッキーを技術的手段として使用し、顧客を評価し行動、パフォーマンス、または嗜好を予測するために顧客のプロファイルを他の利用者や類似顧客と比較する場合が含まれます。 7.10.2 Coltは、これらの要求に対して個人の権利ポリシーで提供される手順に従って対応します。