Japan JP

本個人情報保護方針(以下、「ポリシー」)は、シネクロンおよび/またはその子会社および/または関連会社(以下、総称して「シネクロン」または「当社」)による個人情報の収集、使用、開示および転送に関する当社のプライバシー慣行について説明するものです。

1.シネクロンについて

”シネクロンは、金融サービス業界に特化した最先端のデジタルトランスフォーメーションコンサルティング会社で、全世界の銀行、資産管理者、保険会社のデジタルイニシアチブの加速に取り組んでいます。シネクロンはこれら企業に対し、卸売銀行業務、ウェルスマネジメント、保険、ならびにブロックチェーンやAI技術、データサイエンスといった新しいテクノロジーに関する専門知識を用いて、エンドツーエンドのデジタル、コンサルティング、テクノロジー機能をユニークな手法で提供しています。この結果、当社は年間収益6億5000万ドル超、従業員13,000人超までに成長し、当社のグローバル金融イノベーションラボ(フィン・ラボ)で開発されたアクセラレーター(プロトタイプアプリケーション)の形で、研究・開発への投資を続けています”

2.目的

  • シネクロンの、「個人データ」の収集、保存、処理の手続きを合法的に規定する、プライバシーおよび「個人データ」保護標準を示すこと。
  • シネクロンの事業体全体を通じて一貫した個人データの取り扱いを行うこと。
  • 「個人データ」をデータセキュリティリスクから確実に保護すること。
  • 「個人データ」を、確実に適用される保護法および規制に従った方法で転送または処理すること。

3.範囲

本ポリシーは、電子形式またはその他の方法による個人データの処理に適用されるものであり、シネクロンおよび同社の業務と事業部門に適用され、個人データ保護に関する他のいかなる方針に優先されます。すなわち、本ポリシーは、シネクロンおよびシネクロンの関連会社のすべての職員、請負業者、作業パートナーおよび事業活動に適用されます。

4.ポリシーガイドライン

  • シネクロンは、「個人データ」を収集する具体的な目的を定めるものとし、「個人データ」の収集および処理は、規定されたこれらの目的と一致する方法で行います。
  • シネクロンは、適切かつ関連性のある、必要な範囲に限定された個人データのみを、明示された利用目的のもと必要とされる期間収集し、処理するものとします。
  • 個人データは、収集された個人データの出所にかかわらず、合法的、公正かつ透明性をもって処理されるものとします。
  • シネクロンは、個人データの保存および送信に適切なセキュリティを提供するなど、データ保護法および規制に関する法令を遵守することができるITシステムおよびアプリケーションを利用するものとします。
  • シネクロンは、関連する適用可能なプライバシー要件により、「データ保護影響評価」を実施するものとします。内部文書7
  • シネクロンは、「データ漏えい通知ポリシー」に記述する個人データ漏えい通知プロセスに従い、速やかに漏えいを報告するものとします。
  • シネクロンは、データ保護関連の申し立てを、記録、調査、分析のうえ報告するものとし、シネクロンは、関連する従業員すべてがデータ保護トレーニングを受けていることを保証するものとします。

5.データ収集、転送、処理

シネクロンは、合法的、明示的、かつ正当な目的、またこれらの目的に合致した個人データをさらに処理するため、適用される各種データ保護法に基づいて、個人データ(「機微個人データ」を含む)に該当する可能性のある個人に関する情報を、収集、保存、使用、開示する場合があります。適用法には、2000年情報保護法(IT Act)、2011年情報技術(合理的なセキュリティプラクティス、手続きおよびセンシティブ個人データまたは情報)規則(IT Rules)、一般データ保護規則(GDPR)、イギリスDPA 2018、1998年データ保護法(USA)、カリフォルニア州消費者保護法(CCPA)、カナダ個人情報保護および電子文書法(PIPEDA)、2012年シンガポール個人データ保護法、香港個人データ(プライバシー)条例(PDPO)、日本個人情報保護法(APPI)などが含まれます。

「個人データ」は、次のような理由で処理される場合があります(記載内容に限定されず)。

  • 関係サービスの実施
  • 運営目的
  • 市場調査の実施
  • 当社が有益と判断する製品およびサービスに関する情報の提供
  • シネクロンによってその採用が決定されている、法律、規則、提携、規約の要件への順守
  • 詐欺その他の犯罪、不正行為の検知、調査、監視、防止のため
  • 法的アドバイスを得るため。または法的権利を確立、行使、もしくは擁護するための法的手続き、もしくはそれに関連する目的、および上記の目的に関連もしくは付随するその他の目的。
  • ウェブサイトにおいて収集される個人データ - ウェブサイトにおいて、ユーザーの行動などを追跡するためにクッキーが使用されることがあります。また、マーケティングや調査を目的としてユーザー名、住所、Eメール、電話番号が収集される場合があります

シネクロンは、データ主体から求められる場合は、「個人データ」の収集、保存、処理に先立って、目的を具体的に提示し、自由意志に基づく同意を得るするものとします。

シネクロンは、事前にご本人の書面による同意を得ることなく、収集目的の範囲を超えて個人情報を利用することはありません。「個人データ」は、該当する個人からの同意が得られたか、開示が法的に義務づけられる場合、シネクロン、捜査当局、法執行機関の職員を除く、第三者に提供または開示されることはありません。シネクロンは、適用される法令により許可される範囲において、法律および規制上の義務、社内ポリシー、本ポリシーに記載された上記の目的を確実に遵守することを目的として、電子的通信および音声通信を記録および監視する場合があります。

シネクロンの事業体は、個人データを社内または第三者に転送する場合があります。シネクロンがさまざまな事業体にわたって業務を遂行することを目的として、個人データをある事業体から別の事業体に転送したり、海外から個人データにアクセスできるようにしたりする必要が生じる場合があります。

個人データの第三者への転送は、適用されるデータ保護法に従って適切なレベルの個人データ保護が当該第三者によって保証される場合にのみ行なわれるものとします。データは暗号化され、必要に応じて匿名化されるものとします。

6.機密とセキュリティ

シネクロンは、すべての個人データの機密性と安全性の保護を目的として、偶発的または違法な破壊や開示から個人データを保護するための手続きおよび組織的措置を含む、慎重な措置を講じるものとします。これらの措置には、個人データを処理するすべてのベンダーおよび下請業者との間で、個人データを保護するための書面による契約を締結することなどが含まれます。

また、シネクロンは、管理または配布する個人を特定できる情報が、権限のない個人によってアクセスまたは取得されたり、不正な方法で使用されたりしないよう、その保護に最善を尽くします。

7.データ主体のアクセス、訂正、削除

シネクロンは、データ主体がシネクロンの保有する個人データのコピーを要求する権利を有することを認識しています。個人データに誤りがあることが判明した場合、当該個人は、適宜、修正、更新または削除を請求する権利を有します。個人はまた、現行の法律に従って、個人データの処理に異議を唱えたり制限したりする権利を有するものとします。

データポータビリティの権利は、データ主体がシネクロンに提供した個人データを、 構造化され、一般的に使用され、機械で読み取り可能な形式で受け取る権利を与えるものです。

シネクロンが顧客または取引先のために個人データの処理、開示を伴う取引またはその他のサービスを実施する場合、当該顧客または取引先は、シネクロンが個人データを適切に処理および開示することを許可するために必要な権限をすべて有していることを保証する責任を負うものとします。

データ主体は、アクセス撤回文書に記載されているように、シネクロン内の適切な機関に通知することにより、プライバシー同意を取り下げることができます。

このようなご要望に対応する前には、本人確認をお願いすることがありますのでご了承ください。 個人データは、適用される法的義務またはビジネスプロセスへの準拠を厳密に評価した後、要求に応じて、または目的を遂行したときにシステムから削除されるものとします。

8.データ保護オフィス

データ主体の懸念に対処し、情報へのアクセス、処理、自動化された意思決定およびプロファイリングに対する異議申し立て、処理の制限、データポータビリティ、データ修正およびデータ消去に関するデータ主体の権利を、内部データ保護オフィスを通じて確保するものとします。

個人から上記の権利に関する要請があった場合、シネクロンは適用されるすべてのデータ保護法および規則に従って、当該要請を考慮するものとします。当該要請が不要または過剰なものであると判断されない限り、当該要請の検討または対応にかかる事務手数料は請求されません。これは、データ保護に対する当社の姿勢を示すものであり、当社のコンプライアンスへの取り組みの有効性を強化するものです。

9.トレーニング

すべての社員は、入社時研修の一環として、データ保護の責任に関する概説を受けるものとします。データ保護とプライバシーの意識を持続させるため、定期的な研修を実施し、従業員のデータ保護とプライバシーの文化の徹底に尽力するものとします。

10.意図的なプライバシー

プライバシー管理は、利用可能な技術、実装コスト、範囲、状況、個人データの収集、保存、処理の目的に基づいて、新規または既存のシステムまたはプロセスを設計および実装する際に考慮するものとします。

シネクロンは、個人データの安全性を確保するために、適切なデータ保護原則、技術的および組織的対策を実施するものとします。

11.データ保護影響評価

シネクロンは、定期的にデータ保護影響評価を実施するものとします。これには、以下が含まれます。

  • システムまたは目的の体系的な説明。
  • データ主体の権利および自由に対するリスクの評価。
  • 個人データの保護を確実にするための保護措置、安全対策、仕組みを含むリスクへの対応策の提示と実証。

12.漏えい通知

個人データを取り扱うシネクロンの全社員は、データプライバシー侵害に関連するインシデントおよび本ポリシー違反を報告する責任を負います。このようなインシデントは、SIRT@Synechron.com 宛てに電子メールを送信するか、SIRTポータル (https://SIRT.Synechron.com) を介して、直ちにSIRTに報告するものとします。

13.責任

個人情報を取り扱う関係者は、個人データ保護に向けた合理的な措置を講じるものとします。データ保護責任者(DPO)は、本ポリシーの管理および遵守状況の監視に責任を負います。

14.実施

本ポリシーの履行は必須であり、シネクロンおよびその関連会社の担当者が違反した場合に取るべき措置は以下の通りです:

  • すべての違反事項は、電子メール宛(SIRT@Synechron.com)に報告を行うか、SIRTポータル (https://SIRT.Synechron.com) を介して、速やかにSIRTに報告するものとします。
  • 本方針に反する行為が発覚した場合、違反の内容、損害の程度等を考慮し、解雇または法的措置を含む厳正な処分を行います。

15.定義

  • 本ポリシーへの違反が発見されたシネクロンの人員は、違反の性質、もたらされた損害の程度などを考慮して、厳格な対応を受けるものとします。これには、解雇をはじめ法的措置が含まれます。
  • 関連会社とは、Synechron Limited、Synechron Inc.、Synechron Technologies Pvt.Ltd、および(a)現在または将来において、直接的または間接的に管理している、管理されている、または共通の管理下にある個人または事業体、または(b)会員権、株式所有権、共同運営契約、またはその他の実質的な関係によって、買収、管理、運営されている個人または事業体を指します。またここでの「管理」とは、企業に関しては、取締役を選出する議決権の50%以上を直接または間接的に管理すること、またはその他の企業に関しては、当該企業の経営または経営方針を指示する権限を意味します。
  • 「データ保護法および規制」とは、 欧州連合において、データ保護指令95/46/EC、および同司令を実装する、各加盟国で可決された国内法、一般データ保護規則(GDPR)2016 / 679、ならびに欧州連合以外の各国で適用されるデータ保護およびプライバシー法を意味します。2000年情報保護法(IT Act)、2011年情報技術(合理的なセキュリティプラクティス、手続きおよびセンシティブ個人データまたは情報)規則(IT Rules)、1998年データ保護法(USA)、カリフォルニア州消費者保護法(CCPA)、カナダ個人情報保護および電子文書法(PIPEDA)、2012年シンガポール個人データ保護法、香港個人データ(プライバシー)条例(PDPO)、日本個人情報保護法(APPI)。
  • 欧州連合(EU) – とは、以下より構成される現在のEU加盟国を意味します:オーストリア、ベルギー、ブルガリア、クロアチア、キプロス、チェコ共和国、デンマーク、エストニア、フィンランド、フランス、ドイツ、ギリシャ、ハンガリー、アイルランド、イタリア、ラトビア、リトアニア、ルクセンブルグ、マルタ、オランダ、ポーランド、ポルトガル、ルーマニア、スロバキア、スロベニア、スペイン、スウェーデン。 .
  • 「個人データ」 とは、特定されたまたは特定可能な自然人(「データ主体」)に関連する任意の情報を意味します。特定可能な自然人とは、直接的または間接的に、特に名前、ID番号、一データ、オンライン識別子などの識別子、または当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的、または社会的アイデンティティに固有の1つ以上の要素を参照することで、特定可能な個人を意味します。
  • 2011年情報技術(合理的なセキュリティプラクティス、手続きおよびセンシティブ個人データまたは情報)規則(プライバシー規則)における個人情報とは、自然人に関連し、直接的または間接的に、法人が入手可能または入手する可能性のある他の情報と組み合わせて、当該個人を識別することができるものを意味します。内部文書9
  • 処理とは、 収集、記録、整理、構造化、保管、適応または変更、検索、相談、使用、転送による開示、普及またはその他の方法で利用可能にすること、調整または組み合わせ、制限、削除または破棄など、自動化された手段であるか否かを問わず、個人データまたは個人データの集合に対して実行される操作または一連の操作を意味します。
  • 「指定された目的」 とは、当社が「個人データ」を収集する理由に関して最初から明確であり、関連する個人に関する目的に関して、透明性を保つことを意味します。
  • 個人情報保護規則における機密性の高い個人データまたは情報とは、—以下の情報に関連する個人情報を意味します;(i) パスワード、(ii) 銀行口座またはクレジットカードまたはデビットカードまたはその他の支払い手段詳細などの金融情報、(iii) 身体的、生理的、精神的健康状態、(iv) 性的指向、(v) 医療記録および履歴、(vi) 生体情報、(vii) サービスを提供するために法人に提供された、上記条項に関連する詳細情報、および(viii) 法人が処理するために上記条項に従って受信した情報で、合法的な契約に従って保存または処理されるものを意味します。但し、2005年情報公開法または施行中のその他の法律により、自由に入手可能またはアクセス可能な情報は、本規則の目的上、機密性の高い個人データまたは情報とはみなされないものとします。