GDPRの適用を受ける個人データの保護に関する方針
GDPRの適用を受ける個人データの保護に関する方針(以下「本方針」)は、EUの「一般データ保護規則 (2016/679)」(以下「GDPR」)の適用を受ける個人データの処理に関してのみ適用されます。
1. 当社の個人データ保護に関する方針
本方針は、ソフトバンクロボティクスグループ株式会社(以下「当社」)が、GDPRによって保護される欧州経済領域(以下「EEA」)所在の方(以下「データ主体」)(当社のお客さまも含まれる可能性があります。)から個人データの提供もしくは開示を受けた場合または第三者を通じて個人データの受領もしくは取得をした場合に、当社が管理者として当該個人データをどのように収集し、処理するかについてデータ主体に説明するものです。当社では、GDPR(ならびに適用されるその他のEUおよび加盟国のデータ保護に関する規制がある場合は当該規制)に従って個人データを処理します。
本方針における「個人データ」の処理とは、以下のいずれかの場合に行われるEEAに所在するデータ主体の個人データの処理をいいます。
- (ⅰ) 当社のEEA域内の拠点の活動に関連してなされる場合
- (ⅱ) データ主体に対する商品またはサービスの提供に関する場合
- (ⅲ) EEA域内で行われるデータ主体の行動の監視に関する場合
2. 個人データの収集および処理
当社は常に、データ主体の個人データをGDPR(第6条および第7条)に規定された法的根拠のいずれかに基づいて処理します。さらに当社は、特別に配慮が必要な個人データを処理する場合は、GDPR(第9条および第10条)に規定された特別な基準に従って行います。
当社では、(ⅰ)データ主体に十分なサービスおよび製品を提供するのに必要な場合その他当社に正当な利益がある場合、(ⅱ)データ主体と当社との契約の履行または締結前手続きに必要な場合、または(ⅲ)データ主体の明確な同意を事前に頂いた場合に、データ主体の個人データを収集し、処理することがあります。その際、当社は、データ主体に対し、同意を頂く際の通知文、契約その他の適切な手段によって、当該個人データを収集し、処理する目的についてお知らせします。
データ主体は、個人データの収集および処理について同意した場合、同意をいつでも撤回する権利があります。しかし、撤回前の同意に基づく処理の適法性がこれにより影響されることはありません。当社では、データ主体の個人データを特定された、明確かつ正当な目的のために処理し、その個人データをこれらの目的に適合しない方法でさらに処理することはありません。当社が、当初ある目的のために収集した個人データをその他の目的の達成のために処理しようとする場合、それについて必ずデータ主体にお知らせします。
当社は、当社の法的義務を遵守するため、十分なサービスを確実に提供するため、そして当社の事業活動を維持するために必要な期間、個人データを保存します(GDPR第5条および第25条第2項)。当社は、処理対象の個人データが処理の目的との関係において、関連性および必要性のあるものに限られるよう徹底します。
3. 個人データの共有
当社はGDPRに従い、個人データを当社グループ各社および第三者と共有することがあります。個人データをデータ処理者と共有する場合、当社は個人データの移転および処理を対象とする適切な法的枠組を適切に設けます(GDPR第26条、第28条および第29条)。さらに、個人データをEEA外の企業と共有する場合、当社はその移転を対象とする適切な法的枠組、とりわけ、欧州委員会により承認された管理者間(2004/915/EC)および管理者と処理者との間(2010/87/EU)の標準契約条項を適切に設けます(GDPR第5章)。
協業先
データ主体に事前に同意頂いた場合、個人データは、当社と共同で当社の製品およびサービスを提供する、またはデータ主体へのマーケティングを支援する協業先に対して移転され、保管され、さらに処理されることがあります。
業務委託
(1)各種サービス等の販売業務、問い合わせ対応業務、設備メンテナンス業務、料金関連業務、マーケティング業務その他の業務において、個人データの処理の全部または一部を委託する場合があります。
(2)業務委託契約を締結する際には、業務委託の相手としての適格性を十分に審査します。業務委託契約においては、安全管理措置、秘密保持、再委託の条件、その他の個人データの適正な処理に関する事項について定め、定期的な委託業務状況のモニタリング等を実施することによって当社の業務委託先を適切に監督します。
(3)業務の受託に伴って委託元から提供(預託)された個人データについて、これを当該委託元との契約の履行に必要な範囲内で利用します。
関係会社および各種企業統廃合
当社では、個人データを当社の全ての関係会社と共有することがあります。当社の事業の全部または一部に関して企業合併、会社更生・民事再生、買収、合弁、譲渡、移転、売却または処分(破産手続または同様の手続に関連する場合も含みます。)等が発生した場合、当社は関連する第三者にあらゆる個人データを譲渡する場合があります。
法令遵守とセキュリティ
法律、法的手続、訴訟、データ主体の居住国内外の公的機関・政府当局の要請により、当社が個人データを開示する必要が生じる場合があります。また当社は、国家の安全保障、法執行その他社会上重要な問題により、開示が必要または適切であると判断した場合にも個人データを開示することがあります。当社はこのほか、当社の権利を保護し、利用できる救済措置を求め、当社の内部規程を執行し、不正を調査し、または当社の事業やユーザーを保護するために、開示が合理的に必要であると誠実に判断した場合にも個人データを開示することがあります。
個人データの移転
上記のような共有および開示等を行う場合には、個人データをEEA外の国に移転することが必要となる場合があります。このような移転を実行する度に、当社では移転対象データを適切なレベルで確実に保護します。特に、欧州委員会決定2001/497/EC、2002/16/EC、2004/915/ECおよび2010/87/EUの定義に従って標準契約条項を締結することにより徹底します。
4. 当社の個人データ処理に関する記録
当社が個人データを処理する場合、個人データの処理に関する記録をGDPR(第30条)に規定された義務に従って取り扱います。当社は、GDPRを遵守し、かつGDPR(第31条)に基づき監督当局に協力するために必要な全ての情報をこの記録に反映します。
5. セキュリティ対策
当社が個人データを処理する際、適切な技術的かつ組織的な対策を講じ、適切なセキュリティ(無許可・不法な処理、偶発的な喪失や破棄破損に対する保護等)を確保して処理します(GDPR第25条第1項および第32条)。
6. 管轄監督当局に対する個人データ侵害の通知
移転、保存その他の処理の対象の個人データの偶発的・不法な破棄、喪失、改変、無許可の開示・アクセスにつながるセキュリティ侵害が発生した場合に備え、当社は侵害内容をすみやかに検出し、評価するための制度および方策を整備しています。評価の結果に応じて、監督当局に必要な通知を行い、影響を受けるデータ主体に連絡します(GDPR第33条および第34条)。
7. データ主体の権利および自由に高いリスクをもたらす可能性のある処理
当社は、データ主体の権利および自由に高いリスクをもたらす可能性のあるデータ処理行為を検出するための制度および方策を整備しています(GDPR第35条)。そのようなデータ処理行為が検出された場合、当社内でそれを評価した上で、それを停止し、またはその処理がGDPRに準拠するよう確保するか、それを続行するための適切な技術的かつ組織的な保護措置を整備するよう徹底します。
疑義がある場合には、当社は所管のデータ保護監督当局に連絡し、その助言および提案を受けます(GDPR第36条)。
8. データ主体の権利
当社は、データ主体に対し、個人データの処理の目的をお知らせする際に、GDPR上データ主体に与えられた権利の内容についてもお知らせします。
当該権利をデータ主体が行使する場合は、下記11の連絡先をご確認ください。データ主体からのご要請に対する当社の対応にご不満がある場合、または当社による個人データの処理方法について苦情がある場合、データ保護監督当局に苦情を申し立てることができます。
9. お子さまについて
当社が16歳未満の、または加盟国法に基づく年齢制限に達しないお子さまの個人データを収集し処理する場合適切に処理します(GDPR第8条)。
10. 本方針の更新
当社では、本方針を変更することがあります。本方針のあらゆる変更は、本方針の改訂版を本ウェブサイト経由で掲示すると同時に有効となります。当社が重大と考える変更を行う場合、データ主体に対して本ウェブサイトを通じて可能な範囲でお知らせし、場合によってはデータ主体の同意の提供をお願いすることがあります。
11. 連絡先
本方針に関するご質問またはご要請については、以下の連絡先にご連絡ください。