1. 解釈
本ポリシーにおいて使用される用語の意義は、別表に定めるところによる。
2. 前置き
本ポリシーには、エムオーツーリスト株式会社(イングランド登録番号FC023316)(以下「本会社」という)におけるその顧客、サプライヤ、従業員、労働者、その他の第三者の個人データの取り扱い方法を明記する。
本ポリシーは、データが保存されるメディアの如何にかかわらず、或いはデータが過去又は現在の従業員、労働者、顧客、依頼者又はサプライヤ連絡窓口、株主、ウェブサイト・ユーザー、又はその他のデータ主体のいずれに関係するかにかかわらず、本会社が処理する全ての個人データに適用される。
本ポリシーは本会社の全ての社員(「社員」)に適用される。社員は、本会社のために個人データを処理するときに本ポリシーを読み、理解し、順守し、かつ、その要件に関する訓練に参加しなければならない。本ポリシーには、本会社が準拠法を順守するために社員に期待することを明記する。本ポリシーは、従業員の雇用契約の一部を成さず、随時修正される。
本ポリシーを順守することは社員の義務である。社員による本ポリシーの解釈及び本ポリシーに従った行動を助けるものとして、関連するポリシー及びプライバシーガイドラインが社員に与えられる。社員は係る関連するポリシー及びプライバシーガイドラインの全てをも順守しなければならない。本ポリシーに反した場合には、懲戒処分を受けることがある。
本ポリシー(並びに関連するポリシー及びプライバシーガイドライン)は内部文書であり、データ保護担当者から事前に許可を受けなければ第三者、依頼者又は規制者と共有することはできない。
3. 範囲
本会社は、個人データを正確かつ適法に取り扱うことは組織に対する信頼を維持し、事業活動の成功を促進することを認識する。個人データの機密性及び完全性を保護することは、本会社が常に重視する極めて重要な責任である。
全ての取締役は、本会社の社員全員が本ポリシーを順守する状況を確保する責任を負い、係る順守を確保するために適切な慣行、プロセス、管理及び訓練を実施することを要する。
データ保護担当者は本ポリシーを監督する責任を負い、さらに、適宜、関連するポリシー及びプライバシーガイドラインを作成する責任を負う。この職にあるのは本店(所在地日本国130-0013東京都墨田区錦糸1丁目2-1アルカセントラル17階)のコンドウ ヒデアキであり、同人にはアドレス privacy@mo-tourist.com を使用して連絡することができる。本ポリシー又はGDPRの運用について何か不明な点がある場合、又は本ポリシーが順守されていない可能性或いは順守されなかった可能性がある場合には、データ保護担当者に連絡すること。
4. 個人データの保護の原則
本会社は、GDPRに明記される個人データの処理に係る原則を順守し、GDPRは、個人データを、
(a) 適法に、公正に、かつ透明に処理すること(適法性、公平性及び透明性)
(b) 特定の、明示的かつ合法な目的でのみ収集し、当該目的に適わない方法で更なる処理を行わないこと(目的の制限)
(c) 処理の目的に十分であり、関連しており、必要であるもののみに限ること(データの極小化)
(d) 正確を期し、かつ、必要に応じて随時更新すること(正確性)
(e) 当該データの処理の目的に必要である期間が経過するまで、データ主体の本人確認ができる形で保管すること(保存の限度)
(f) 無断の処理又は違法な処理及び偶発的な滅失、破壊又は毀損を防止する適切な技術的かつ組織的な方策を使用して個人データのセキュリティを確保する方法で処理すること(セキュリティ、完全性及び機密性)
(g) 適切な保障措置を配備せずに別の国に移転しないこと(移転の制限)
(h) 個人データに関連する特定権利をデータ主体に与え、データ主体が当該権利を行使できるようにすること(データ主体の権利及び要求)を要求している。
本会社は、上記のデータの保護の原則を順守する責任を負い、順守を説明することができなければならない(説明責任)。
5. 適法性、公平性、透明性
5.1 適法性及び公平性
GDPRは、処理を防止することを意図しておらず、むしろ、個人データの処理が適法に、公平に、かつ透明に、従ってデータ主体の権利に悪影響を及ぼさずに行われることを保証することを意図している。
個人データは、適法に処理されるためには、GDPRに明記される法的根拠の一つに基づいて処理されなければならない。係る法的根拠は次のとおりである。
(a) 同意:本会社が特定目的でデータ主体の個人データを処理することへの明確な同意をデータ主体が与えたこと。
(b) 処理は、データ主体が当事者である契約の実施に、又は契約を締結する前にデータ主体の求めに応じて措置を講じるために必要である。
(c) 本会社の法律上の順守の義務を果たす。
(d) データ主体の重要な利益を保護する。
(e) 処理はデータ主体の利益又は基本的な権利及び自由を侵害するので本会社の合法な利益は優先されないという状況を生むことのない目的で、本会社の合法な利益を追求する。本会社が、合法な利益のために個人データを処理する場合、処理の目的は、適用されるプライバシー通知又は公正処理通知に明記される必要がある。
本会社は法人出張管理会社であり、よって、本会社の顧客に代わって旅行の手配の全側面を取り扱う。従って、本会社は、業務の過程で、契約から発生する義務を実施し、また、個別的な旅行予約オーダーを生成し、これに伴い、本会社の顧客のニーズに応えるために個人データを収集し、使用し、処理することに合法な利益を保有する。本会社は、本会社の契約上の義務を果たし合法な業務上の利益を達成する過程で、以下の第13条第5項に説明されるように第三者と個人データを共有することができる。
本会社は、センシティブ個人データを取り扱う場合には、必ず、データ主体、即ち、本会社の顧客から明示的な同意を得た上で取り扱う。
5.3 透明性(データ主体への通知)
GDPRはデータ管理者に対し、情報がデータ主体から直接収集されたか、それとも他所から収集されたかに応じて、データ主体に詳細な特定情報を提供するよう要求している。従って、本会社がデータ主体から直接個人データを収集した場合、本会社はデータ主体に対し、GDPRがデータ主体に与えている権利について通知する。当該通知には次の事項を含める。
(a) 本会社が個人データを処理する意向にある場合、その処理の目的及びその処理の法的根拠。
(b) 本会社が個人データを第三者と共有する場合、又は第三者に開示する場合、係る第三者の種類。
(c) 本会社が個人データを使用し開示する場合、データ主体がその使用又は開示を制限するために使用できる方法。処理に異議を申し立てる権利を含む。
(d) 主体のアクセス権。
(e) 忘れ去られる権利。
(f) 処理することに同意を与えた場合に、同意を撤回する権利。
(g) データが不正確又は不完全であるときに、訂正する権利。
(h) データポータビリティの権利
(i) 自動意思決定及びプロファイリングに関連する権利。
本会社はデータ主体に対し、データ管理者及びデータ保護担当者の名前も提供する。
個人データが間接的に(例えば、第三者又は一般公衆の自由な利用が可能であるソースから)収集されるとき、社員は、データを収集し/受領した後できる限り速やかに、GDPRが要求している情報の全てをデータ主体に提供しなければならない。また、社員は、その個人データが、GDPRに従い、本会社が予定するその個人データの処理の根拠に基づいて、第三者から収集されたことを確認しなければならない。
センシティブ個人データが収集される場合は、本会社はデータ主体に対し、本会社がデータ主体の明示的な同意に従って個人データを処理している旨を述べる。
6. 目的の制限
個人データは、特定の、明示的かつ合法な目的でのみ収集しなければならない。当該目的に適わない方法で更なる処理を行ってはならない。
7. データの極小化
個人データは、処理の目的に十分であり、関連しており、必要であるもののみに限られなければならない。本会社は、処理の目的に必要である程度を超えて個人データを収集することはない。
8. 正確性
本会社は、本会社が使用し保有する個人データが、正確であり、完全であり、随時更新され、本会社の収集目的に関連している状況を確保する。個人データが不正確であるときは、訂正し又は削除しなければならない。本会社は、不正確な又は古い個人データを破棄し又は修正する全ての相当の措置を講じる。
9. 保存の限度
個人データは、法律上、会計上又は報告上の要件を満たす目的を含め、本会社が当初に収集した際の合法な業務上の目的で必要である期間を超えて識別可能な形で保管してはならない。
本会社は、データを最低期間にわたって保管する必要が法律上ある場合のほか、必要がなくなった時点に全ての個人データを破棄し又は本会社のシステムから消去する全ての相当の措置を講じる。これには、係るデータの削除を第三者に適宜要求することが含まれる。本会社が保有するオフラインデータについては、最大で1年間保管した後、削除し又はシュレッダーにかける。ビザ申請等のセンシティブな事項については、ビザが発給され、送付された後、その情報はシュレッダーにかけられ、本会社のシステムから削除される。
本会社は、データの保存期間及びその期間の決定の仕方を、適用されるプライバシー通知の中でデータ主体に伝える。
10. セキュリティ、完全性及び機密性
10.1 個人データの保護
無断の処理又は違法な処理及び偶発的な滅失、破壊又は毀損を防止する適切な技術的かつ組織的な方策を使用して個人データのセキュリティを確保しなければならない。
本会社は、本会社の規模、範囲及び事業、本会社の利用可能な資源、本会社が他者のために保有し又は保管する個人データの量、及び識別されたリスクにふさわしい保障措置を策定し、施行し、維持する(暗号化の使用を適宜含む)。本会社は、本会社における個人情報の処理のセキュリティを確保する係る保障措置の有効性を定期的に評価し検査する。本会社は、個人データの違法な処理又は無断の処理及び偶発的な滅失又は損壊を防止する相当かつ適切なセキュリティ体制を備えている。センシティブ個人データの滅失及び無断のアクセス、使用又は開示の防止には、特段の配慮が必要である。
本会社は、個人データの保護に必要なポリシー及び手順を備えている上に、求めに応じて十分な体制を配備することを約束する第三者サービス提供者のみに、個人データを移転する。
本会社は、個人データの機密性、完全性及び利用可能性を保護することによりデータのセキュリティを維持している。機密性、完全性、利用可能性の意義は以下に定めるところによる。
(a) 機密性とは、個人データを知る必要のある人だけが、使用する許可を受けた上で、個人データにアクセスできることをいう。
(b) 完全性とは、個人データが正確であり、その処理の目的に適していることをいう。
(c) 利用可能性とは、使用する許可を受けた人が、許可された目的で必要であるときに個人データにアクセスできることをいう。
10.2 個人データ侵害の報告
GDPRはデータ管理者に対し、一切の個人データ侵害を、適用される規制者、及び、特定の状況において、データ主体に通知するよう要求している。
本会社が、個人データ侵害が発生したことを知ったとき、又は疑うときは、その旨はデータ保護担当者に報告されなければならず、潜在的な個人データ侵害に関連する証拠は保存されなければならない。
11. 移転の制限
GDPRは、GDPRが個人に与えているデータ保護のレベルが侵されないようにするため、EEA外の国々へのデータ移転を制限している。社員が、一国において生成した個人データを別の国に送り、別の国で閲覧し、又はアクセスするとき、社員は、個人データを、国境を越えて移転したことになる。
本会社は、本会社とデータ主体間の契約の実施、公的利益に関わる理由、法的請求権の立証、行使又は抗弁、データ主体が身体的又は法的に同意を与える能力を欠いているときのそのデータ主体の重要な利益の保護、及び、いくつかの限られた状況において、本会社の合法な利益の追求を含め、GDPRに明記されるその他の理由の一つにより移転が必要であるという根拠のみに基づいて、EEA外に個人データを移転する。
12.データ主体の権利及び要求
本会社は、以下に掲げるデータ主体の権利に則して個人データを処理する。
(a) 処理への同意を何時でも撤回する権利(同意が与えられた場合)
(b) データ管理者の処理活動に係る特定情報を受け取る権利
(c) 本会社が保有する自己の個人データへのアクセスを要求する権利
(d) 本会社が直接的なマーケティングを目的として自己の個人データを使用することを阻止する権利
(e) 収集又は処理の目的では不要になった場合に個人データを消去するよう、又は不正確なデータを訂正するよう、又は不完全なデータを完全にするよう、本会社に求める権利
(f) 特定状況において処理を制限する権利
(g) 本会社の合法な利益又は公的利益に基づいて正当化された処理に異議を唱える権利
(h) 個人データのEEA外への移転を許可した契約書のコピーを要求する権利
(i) データ主体又は他者に損害又は苦痛を与えるものと思われる処理を阻止する権利
データ主体が自己に関して本会社が保有する情報を要求する場合、係るデータ主体アクセス要求は、アドレス privacy@mo-tourist.com を使用してコンドウ ヒデアキに対して書面によって行われるべきであり、同書面のコピーはデータ保護担当者に与えられ、データ保護担当者は、コンドウ ヒデアキから情報の提供を受ける前に係る要求を検証する。
13. 説明責任
13.1
データ管理者は、データ保護の原則の順守を確保するため、技術的かつ組織的な方策を、効果的な方法を使用して実施しなければならない。データ管理者は、データ保護の原則の順守責任を負い、当該順守を説明することができなければならない。
本会社は、下記の事項を含め、GDPRの順守を確保し文書に明記するに十分な資源及び管理体制を備えていなければならない。
(a) 適格なデータ保護担当者(必要であるとき)並びにデータプライバシーについて説明する責任を担う役員を選任する
(b) 個人データを処理するときにプライバシー・バイ・デザインを実施し、処理にデータ主体の権利及び自由を侵害する高リスクが伴うときにデータ保護影響評価(DPIA)を完了する。
(c) 本ポリシー、関連するポリシー、プライバシーガイドライン、プライバシー通知、公正処理通知等の内部文書にデータ保護を盛り込む。
(d) GDPR、本ポリシー、関連するポリシー、プライバシーガイドライン、及びデータ主体の権利、同意、法的根拠、DPIA、個人データ侵害等のデータ保護に係る事項について本会社の社員を定期的に訓練する。本会社は、本会社の社員の訓練への参加の記録を備え付けなければならない。
(e) 順守の改善に向けた努力を証明するために検査の結果を使用することを含め、実施されたプライバシー方策を定期的に検査し、定期的な見直し及び監査を行う。
13.2 記録の備え付け
GDPRは本会社に対し、本会社のデータ処理活動全ての完全かつ正確な記録を備え付けることを要求している。
13.3 訓練及び監査
本会社には、本会社の社員全員にデータプライバシー法を順守させるため、社員全員に十分な訓練を受けさせる必要がある。また、本会社は、順守状況を評価するため、本会社のシステム及びプロセスを定期的に検査し、見直さなければならない。
13.4 データ保護影響評価(DPIA)
本会社は、本会社が行う処理に高リスクが伴うと考えるときは、DPIAが必要であるか否かを検討する(さらに、結果についてデータ保護担当者と協議する)。とりわけ、本会社は、下記の事項を含め、個人データの処理が関与する主なシステム変更プログラム又は業務変更プログラムを実施するときは、DPIAを実施する。
(a) 新技術(プログラム、システム又はプロセス)の使用、又は技術(プログラム、システム又はプロセス)の変更
(b) プロファイリングと自動データ管理(ADM)を含む自動処理
(c) センシティブデータの大規模処理
(d) 公共の場所の大規模な系統的監視
DPIAには、次の事項の全てを含めなければならない。
(i) 処理、その目的及び適宜データ管理者の合法な利益の記述
(ii) 処理の必要性及びその目的に対する比例性の評価
(iii) 個人へのリスクの評価
(iv) リスク軽減体制及び順守の証明
13.5 個人データの共有
本会社は、本会社が保有する個人データを、本会社のグループのメンバー、即ち、2006年会社法のセクション1159に定義される本会社の子会社、本会社の究極の親会社及びその子会社と共有することができる。さらに、本会社は、EU外に多くの支店を置いており、これに伴い、本会社は、当該支店も本ポリシーの規定に拘束される旨の契約を当該支店と締結した。
一般的に、本会社は、特定の保障措置及び契約上の体制が備わっていない限り、個人データを第三者と共有することはできない。しかし、本会社の事業の性質により、弊社は必然的に個人データを次のような第三者と共有しなければならない。
- Amadeus e-Travel、Amadeus IT Group S.Aのeコマース事業部門、その他の会社が運営する旅行業中央予約システム(GDS又はCytric)
- トラベルサービスを提供する会社(航空会社、鉄道、ホテル、レンタカー代理店など)の予約システム(直接的又は間接的に)
- レンタカー会社又はハイヤー会社
- ビザ代理申請機関及び関連する大使館
- 保険会社又は規制当局(法令及び規制により開示が必要である場合)
- 税関や入国管理局などの公的機関(当該機関から求められた場合又は法令により必要である場合)
- 旅行先が米国である場合、米国の税関・国境警備局(テロリズムその他の国境を越えた重大犯罪を防止し、これと闘うため)
- 法的機関又は犯罪防止機関及び規制機関(提供する義務が本会社にある場合又は法令により提供できる場合)
- 本会社に役務を提供し又は本会社の代理人を務めるその他の第三者請負人及び顧問
- 特定の第三者ウェブサイト(顧客の旅行の手配に関連する情報を記入するため)
本会社は、次の要件が一つでも満たされていれば、本会社が保有する個人データをこれらの第三者と共有する。
(a) 当該第三者は、請け負ったサービスを提供するために当該情報を知る必要がある。
(b) 個人データを共有する前に、データ主体にプライバシー通知を提供し、かつ、必要に応じて、データ主体の同意を得た。
(c) その第三者は、要求されているデータセキュリティ基準、ポリシー及び手続を順守することを約束し、かつ、十分なセキュリティ体制を備えている。
(d) その移転は、適用されるクロスボーダー移転の制限を順守している。
14. 本プライバシー基準の変更
本会社は本ポリシーを随時変更することができる。前回の改訂は2018年4月1日に行われ、次回改訂は2018年5月25日に行われる。
本ポリシーは、本会社が営業する国々のデータ保護法及び規則に優るものではない。
別表
本会社の名称:
M.O. Tourist Co. Limited(イングランド登録番号FC023316)
本会社の社員:
全ての従業員、労働者、請負人、代理人、コンサルタント、取締役、構成員、その他。
同意:
データ主体が、陳述により又は明確な積極的行為により、データ主体に関連する個人データの処理に同意したことを意味する、自由に与えられ、特定的であり、十分な説明を受けた上で与えられ、かつ、データ主体の願いを明白に示していなければならない同意。
データ管理者:
個人データを処理する時、理由及び方法を決定する人又は組織。データ管理者は、GDPRに従って慣行及び方針を確立する責任を負っている。本会社は、本会社の社員に関連する全ての個人データ及び本会社が営利目的で自社の業務に使用する個人データのデータ管理者である。
データ主体:
本会社が保有する個人データの源である、生存し、識別され又は識別可能な個人。データ主体は、いずれかの国の国民又は住人であり、自己の個人データに係る法的権利を有することができる。
データ保護担当者(DPO):
GDPRにより特定状況において選任される必要のある人。義務的DPOが選任されていない場合には、データ保護管理者又は任意に選任されたその他のDPOをいい、或いはデータ保護に係る順守の責任を担っている本会社のデータプライバシーチームをいう。
EEA:
EU内の28か国、アイスランド、リヒテンシュタイン及びノルウェー。
明示的同意:
非常に明白な特定陳述を必要とする(即ち、行為だけではない)同意。
一般データ保護規則(GDPR):
一般データ保護規則((EU)2016/679)。個人データはGDPRに明記される法的保障措置の対象である。
個人データ:
一データ主体を識別している情報、又は本会社が、特定のデータのみから又は本会社が所持し或いは合理的に入手できるその他の識別子と組み合わせて(直接的又は間接的に)識別することができる一データ主体に関連する情報。センシティブ個人データは個人データに入るが、匿名データ又は永久に削除された個人を特定するものを含んでいるデータは、個人データには入らない。個人データは、事実に基づいたもの(例えば、名前、電子メールアドレス、所在地、生年月日)、或いはその人の行為又は行動に関する意見である。具体的には、住所、生年月日、旅券情報、配偶者・子供・親の名前、電話番号、電子メールアドレス、緊急連絡先、旅行保険内容、勤務する会社、所得、労働許可情報、以前の旅行先、私的な嗜好、ポイントカード情報、自動車登録情報、ソーシャルメディアアカウント、学歴、本人確認書類(銀行取引明細書や公共料金請求書)等である。
プライバシー・バイ・デザイン:
GDPRの順守を確保するために適切な技術的かつ組織的な方策を効果的な方法で実施すること。
プライバシーガイドライン:
このプライバシー基準及び関連するポリシーの解釈及び実施を支援するために設けられた本会社のプライバシー/GDPR関連ガイドライン。EU一般データに掲載されている。
諸条件(ダービー支店 & ロンドン営業所)
https://www.mo-tourist.co.jp/gdpr/termscondition.htm
プライバシー基準-データ保護ポリシー(ダービー支店 & ロンドン営業所)
https://www.mo-tourist.co.jp/gdpr/dataprotection.html
一般データ保護規則(GDPR)(ダービー支店 & ロンドン営業所)
https://www.mo-tourist.co.jp/gdpr/generaldata.html
プライバシー通知又はプライバシーポリシー:
本会社がデータ主体に関する情報を収集するときにデータ主体に提供される情報を明記している個別通知。これらの通知は、個人の特定集団に適用される一般プライバシーステートメント(例えば、従業員プライバシー通知やウェブサイトプライバシーポリシー)の形を取るか、特定目的に関連する処理を取り扱っている独立した臨時のプライバシーステートメントの形を取ることができる。
処理:
個人データの使用を伴う活動。当該データの入手、記録、保有、又は当該データの編成、修正、回復、使用、開示、削除、破棄といった当該データに係る作業又は一連の作業の実施を含む。個人データを第三者に伝送し又は移転することも処理に入る。
センシティブ個人データ:
属する人種又は民族、政治的見解、宗教的又は類似の信念、所属する労働組合、身体又は精神の健康状態、性生活、性的指向、生体認証又は遺伝データ、刑事犯罪及び有罪判決に関連する個人データを明かしている情報。