プライバシーポリシー
第1条(目的)
本規程は、【ISETAN MITSUKOSHI ITALIA S.r.l./MITSUKOSHI ITALIA S.p.A.】(以下「当社」という。)における個人データの取扱ルールを定めるものである。
第2条(定義)
本規程における用語の定義は、次の各号に定めるところによる。
-
「個人データ」とは、識別されたまたは識別され得る自然人(以下「データ主体」という。)に関するすべての情報をいう。なお、個人データには、死者に関する情報は含まれない。
-
「識別され得る自然人」とは、特に氏名、個人識別番号、位置データ、オンライン識別子、または身体的、生理的、遺伝的、精神的、経済的、文化的もしくは社会的アイデンティティに特有な1つまたはそれ以上の要素を参照することによって、直接的または間接的に識別され得る者をいう。
-
「処理」とは、自動的な手段であるか否かを問わず、個人データの収集、記録、編集、構造化、保存、修正または変更、復旧、参照、利用、移転による開示、周知またはその他周知を可能なものとすること、整列または結合、制限、削除または破棄などの作業をいう。
-
「同意」とは、声明または明らかに積極的な行為により、当該データ主体が自己に関する個人データの処理への同意を表明することによって、データ主体の自由になされた特定の、十分に情報を提供された上での、かつ明確な意思表示をいう。
-
処理者」とは、当社のために個人データの処理を行う自然人、法人、公的機関、行政機関またはその他の団体をいう。
-
「個人データ侵害」とは、移転、保存またはその他の取扱いがなされた個人データに対する偶発的または違法な破壊、滅失、変更、許可されていない開示またはアクセスをもたらすセキュリティ侵害をいう。
-
「EU」とは、欧州経済地域(EEA)加盟国をいう。
-
「役職員」とは、当社の組織内にあって直接間接に当社の指揮監督を受けて当社の業務に従事している者等をいい、雇用関係にある従業員(正規、臨時、嘱託を含む。)および派遣社員(総称して、以下「社員」という。)のみならず、取締役、監査役も含まれる。
-
「HDS」とは、株式会社三越伊勢丹ホールディングスをいう。
-
「所管部門」とは、当社を所管するHDSまたは株式会社三越伊勢丹の部門をいう。
第3条(当社の責務)
-
当社は、事業を遂行するにあたり、欧州委員会によるGeneral Data Protection Regulation (以下「GDPR」という。)、個人データの保護に関する法令、ガイドラインその他の規範、本規程およびルールブック等を遵守し、個人データの保護に努めるものとする。
-
本規程は、当社の全ての役職員に対して適用されるものとし、当社は、その役職員に本規程を遵守させる。
第4条(目的の限定の原則)
当社は、特定された明示的かつ適法な利用目的(以下、「利用目的」という。)のために個人データを収集する。また、当社は、利用目的に反した方法で個人データの処理を行わない。
第5条(最小化の原則)
当社は、利用目的に照らし、必要かつ適切な限度で個人データの処理を行う。
第6条(適法性、公正性および透明性の原則)
当社は、適法、公正かつ透明性のある手段により個人データの処理を行う。なお、「透明性のある手段」とは、個人データの処理に関する情報および通知が容易にアクセス可能で理解可能なものであり、かつ、明瞭で平易な言語が用いられていることをいう。
第7条(個人データの収集)
1. 当社は、データ主体から個人データを収集するに際し、データ主体に対し、データ主体がすでに情報を所持している場合を除き、以下の情報を書面(電子的手段を含む。)で提供しなければならない。
(1) 当社の身元および詳細な連絡先
(2) 個人データ処理の目的および処理の法的根拠
(3) 処理がGDPR第6条1項(f)号に基づく場合、当社または第三者によって求められる正当な利益
(4) 個人データの取得者または取得者の種類
(5) 第三国や国際組織ヘデータ移転する意図がある場合はその旨、および十分性決定の存在または不存在に関する事実、または適切な安全保護措置がとられているかどうかの照会先とそのコピーの入手方法等
(6) 個人データの保存期間、または保存期間を決定するために検討される要素
(7) アクセス権、訂正権または削除権、データポータビリティーの権利等データ主体の権利の存在
(8) 処理が同意に基づく場合、同意はいつでも撤回することができること、撤回前に行われた処理は合法であり続けること
(9) 監督機関に不服を申し立てる権利
(10) 個人データの提供が法律または契約上の要件か、契約を締結するのに必要なものであるか、および、データ主体に個人データ提供の義務があるか、ならびに、当該データ提供の不履行により起こり得る結果
(11) 当社は、プロファイリングを含む自動処理に基づく決定を行わないこと
2. 当社は、個人データを収集する際、1つまたは複数の特定の目的のために個人データを処理することについて、データ主体の同意を取得するものとする。なお、当社は、かかるデータ主体の同意を書面(電子的形態を含む。)で取得・保存し、証明できるようにしておかなければならない。
第8条(特殊な種類の個人データ処理の禁止)
当社は、人種、民族的出自、政治的見解、宗教的または思想的信条、労働組合への加入を明らかにする個人データ、遺伝データ、自然人の一意な識別を目的とした生体データ、健康または性生活に関するデータ、または性的嗜好についてのデータを取り扱ってはならない。ただし、データ主体が、特定された目的のためにかかる個人データの処理に対して明示的な同意を与えた場合はこの限りではない。
第9条(個人データのEU域外移転の禁止)
-
当社は、個人データをEU域内から、EU域外の第三国へ移転してはならない。なお、本規程において「移転」には、個人データを提供・送信する場合のみならず、EU域外の第三者が個人データを見る(閲覧する)ことのできる状態になることも含まれる。
-
第1項にかかわらず、EU域内から日本への移転は、許容される。
第10条(個人データの正確性の確保等)
-
当社は、個人データを、正確に、必要な場合には最新に保つものとする。
-
当社は、利用目的に照らし、不正確な個人データが遅滞なく消去または訂正されることを確保するために、合理的な手段を講じる。
-
当社は、個人データを、利用目的に照らして必要とされる期間を超えて保存してはならない。
-
当社は、個人データを、データ主体の識別が可能な状態で保存する。
第11条(役職員の責務)
個人データを取り扱う業務に従事する役職員は、当該業務を遂行するにあたり、法令、本規程および当社社長の指示に従い、個人データの秘密の保持に十分な注意を払いつつその業務を行うものとする。
第12条(適切な処理者のみの利用)
1. 当社は、個人データの処理を第三者に委託する等処理者を利用する場合、GDPRの要件を充たし、データ主体の権利の保護を確実にするための適切な技術的および組織的な施策を実施することを保証することのできる処理者のみを利用しなければならない。
2. 当社は、処理者を利用する場合、処理者との間で、以下の事項を規定した契約を締結しなければならない。なお、この契約は、書面(電子的形態を含む。)でなされなければならない。
(1) 処理者は、当社からの書面による指示のみに基づいて個人データを処理すること。
(2) 処理者は、個人データの処理を行う個人(従業員)に守秘義務を課すこと。
(3) 処理者は、GDPR第32条「処理の安全性」により要求されるすべての対策をとること。
(4) 処理者が他の処理者を利用する場合には事前に当社の許可を得ること、また、他の処理者には(処理者と)同様の義務を負わせること
(5) 処理者は、当社がデータ主体の権利行使の要求に応じる義務を履行するため、適切な技術的および組織的な施策によって当社を支援すること
(6) 処理者は、当社の負うGDPR第32条から第36条までの義務の遵守を支援すること
(7) 当社の選択により、処理者は、処理に関連した業務終了後、すべての個人データを消去し、または当社に返還すること。また、EU法または国内法が個人データの保存を要求しない限り、存在する複製物を消去すること
(8) 本条に定められた義務の遵守を証明するすべての情報、および当社または当社の委任した監査人の行う監査に必要なすべての情報を当社が利用可能にすること。
第13条(適切な技術的および組織的な施策の実施)
当社は、個人データを適切なセキュリティを確保する方法で処理しなければならない。そのために、適切な技術的および組織的な施策を実施する。具体的な施策については、ルールブックに規定する。
第14条(アクセス権)
当社は、データ主体から、当該データ主体に関する個人データへのアクセス要求を受けたときは、当該個人データを取り扱っている場合は、当該データ主体に対し、遅滞なく、当該個人データの複製を提供するものとする。ただし、当該個人データを開示することが困難な事情がある場合は、所管部門を通じ、HDSの法務部門に相談のうえ、GDPRおよび国内法令に従った対応をとるものとする。
第15条(訂正権)
当社は、データ主体から、当該データ主体に関する個人データの内容が不正確であることを理由に、当該個人データの内容の訂正を求められた場合には、遅滞なく必要な調査を行い、その結果に基づき、当該個人データの内容の訂正を行うものとする。
第16条(削除権)
当社は、データ主体から、当該データ主体に関する個人データの消去を求められた場合、遅滞なく、当該個人データを消去する。但し、当該保有個人データの消去を行うことが困難な事情がある場合は、所管部門を通じ、HDSの法務部門に相談のうえ、GDPRおよび国内法令に従った対応をとるものとする。
第17条(処理を制限する権利)
当社は、データ主体から、当該データ主体に関する個人データについてGDPR第18条に規定される処理の制限を要求された場合、これに応じる。この場合、当該個人データは、保存・保管を除き、データ主体の同意に基づくか、法的主張時の立証、行使若しくは抗弁のため、または他の自然人若しくは法人の権利を保護するため、若しくはEU 若しくは加盟国の重要な公共の利益のためだけに処理を行う。但し、当該個人データの処理の制限を行うことが困難な事情がある場合は、所管部門を通じ、HDSの法務部門に相談のうえ、GDPRおよび国内法令に従った対応をとるものとする。
第18条(異議を述べる権利)
当社は、データ主体から、当該データ主体に関する個人データの処理について、GDPR第21条第1項に規定される異議を述べられた場合、当社は、遅滞なく、当該個人データについて、保存・保管以外の処理を停止する。ただし、処理の停止が困難な事情がある場合は、所管部門を通じ、HDSの法務部門に相談のうえ、GDPRおよび国内法令に従った対応をとるものとする。
第19条(プロファイリング)
当社は、プロファイリングを含む自動処理に基づく決定を行わない。
第20条(データ主体への通知義務)
-
当社は、データ主体からの第14条から第18条までの要求に対してとられた施策に関する情報を、不当な遅滞なしに、遅くても要求を受けてから1ヶ月以内に、データ主体に提供しなければならない。
-
当社は、データ主体からの第14条から第18条までの要求に対し何の施策もとらない場合には、遅くとも1ヶ月以内に、その理由および監督機関へ不服申立てや法的救済を求めることができることを通知しなければならない。
第21条(通知義務)
当社は第15条、第16条および第17条により実行された個人データの訂正若しくは消去または処理の制限について、当該個人データの開示先である取得者に対し、不可能であるか若しくは過度の困難を伴う場合を除き、連絡するものとする。当社は、データ主体が要求する場合、当該取得者についてデータ主体に通知するものとする。
第22条(記録の保管)
当社は、データ主体からの第14条から第18条までの要求に関連して受領した書面の原本(電磁的記録による場合は当該電磁的記録)および提供した書面の写し(電磁的記録による場合は当該電磁的記録)を3年間保管しなければならない。
第23条(手数料)
当社は、データ主体からの第14条から第18条の要求があった場合に、当該措置の実施に関し、当該データ主体から手数料を徴収してはならない。ただし、データ主体からの要求が明らかに無根拠または過度である場合(特に、要求を何度も繰り返す場合)は、所管部門を通じ、HDSの法務部門に相談のうえ、GDPRおよび国内法令に従った対応をとるものとする。
第24条(個人データ侵害発生の場合の対応)
個人データ侵害が発生した場合、当社は、直ちに、所管部門に報告・連絡し、対応にあたる。
第25条(個人データ侵害のデータ主体への通知)
個人データ侵害がデータ主体の権利および自由に高いリスクを引き起こし得る場合、当社は、不当な遅滞なしに、データ主体に個人データ侵害について通知しなければならない。
第26条(個人データ侵害の監督機関への通知)
個人データ侵害が発生した場合、当社は、不当な遅滞なく、可能であれば侵害を認識してから72時間以内に、侵害の内容および結果、侵害に対する対策等を監督機関へ通知しなければならない。
第27条(監督機関との協力)
当社は、監督機関よりその職務の遂行において要請を受けた場合は、これに協力する。
第28条(統括責任者)
当社社長は、当社における個人データの保護管理に関する業務を統括する権限を有し、責任を負うものとする。
第29条(教育)
当社社長は、全役職員が本規程および実務上の指針を理解し、適切な個人データの処理が行われるよう教育を実施する。
第30条(監査)
HDSは、当社の個人データの処理に関する監査を実施することができる。当社は、当該監査に応じなければならない。
第31条(調査)
-
当社およびHDSは、役職員が本規程に違反したこと、またはその恐れがあることを把握した場合は、調査を行うことができる。
-
当社およびHDSが前項の調査を行う場合、役職員は、その調査に協力しなければならない。
第32条(規程の改廃)
当社社長は、本規程を改廃することができる。この場合、HDSの事前承認を要するものとするが、組織および名称変更等の軽微な修正についてはこの限りではない。
附 則
-
本規程は、当社社長が所管する。
-
本規程は、2018年5月25日より施行する。
2018年5月25日 制定