社員のプライバシーに関する方針 社員のプライバシーに関する方針 社員のプライバシーに関する方針 社員のプライバシーに関する方針 2018/7/1 1. はじめにはじめにはじめにはじめに 1 2. 私たちが収集する個人データの内容および使用方法私たちが収集する個人データの内容および使用方法私たちが収集する個人データの内容および使用方法私たちが収集する個人データの内容および使用方法 1 3. 個人データの保管方法および個人データにアクセスできる者個人データの保管方法および個人データにアクセスできる者個人データの保管方法および個人データにアクセスできる者個人データの保管方法および個人データにアクセスできる者 3 4. 個人データの開示および国際移転個人データの開示および国際移転個人データの開示および国際移転個人データの開示および国際移転 3 5. セキュリティおよび保管セキュリティおよび保管セキュリティおよび保管セキュリティおよび保管 4 6. 社員の社員の社員の社員の権利権利権利権利 5 7. 質問質問質問質問 5 8. 本方針の更新本方針の更新本方針の更新本方針の更新 5 付属書類 付属書類 付属書類 付属書類 1-個人データの処理の説明個人データの処理の説明 個人データの処理の説明個人データの処理の説明 7 付属書類 付属書類 付属書類 付属書類 2-モニタリング方針モニタリング方針 モニタリング方針モニタリング方針 10 1. はじめにはじめにはじめにはじめに 社員との関係、および人事管理システム(以下「HR システム」)(主に、新人研修、トレーニ ング、評価、人材開発を含めて楽天での雇用期間において常に全社員をサポートし、楽天グル ープによるグループ HR プログラムの改善も可能にする Workday ソフトウェア)のグループ全 体における実施に関連して、皆さんを雇用し、皆さんの役務を利用する楽天グループの会社 (以下「会社」)では、社員に関する個人データ(以下「個人データ」)の収集、使用、保管、 移転およびその他の処理に関する実施について説明するため、モニタリング方針を含む社員の プライバシーに関する方針(以下「本方針」)を作成しました。本方針の目的において、「社 員」とは会社の過去、現在および将来の社員(会社から雇用の申し出を受けた候補者、ボラン ティア、下請業者、代理人、インターン、派遣社員、パートナー社員、および臨時雇用者を含 む)を指します。 データ管理者は、個人データの取り扱いに関する主要な責任を負う事業体です。本方針の目的 において、HR システムに関連して収集される個人データのデータ管理者は、主に会社、ならび に一部の特定の目的では楽天株式会社(以下「私たち」および「データ管理者」)を指します。 2. 私たちが収集する個人データの内容および使用方法私たちが収集する個人データの内容および使用方法私たちが収集する個人データの内容および使用方法私たちが収集する個人データの内容および使用方法 私たちは、法律により、あるいは社員との契約関係の結果として、社員に関する特定の個人デ ータの収集を求められる場合があります。この情報を提供しない場合、これらの義務を遂行で きない、または遂行が遅れることがあります。私たちは社員の情報を収集する際に、特定のデ ータが必須であるかどうか、ならびにかかるデータを提供しない場合の影響について、社員に 通知します。
2.1 収集する個人データの内容収集する個人データの内容収集する個人データの内容収集する個人データの内容 会社は、社員が勤務中、すなわち楽天グループの業務に従事中に自身の職務を実行することに 直接関連する、ならびにデータ管理者の法的義務を果たすために必要である、または別の方法 で現地法に基づき収集が容認されている、社員に関する個人データを収集します。特に会社は、 付属書類 1 に記載されるカテゴリーおよびタイプの個人データを収集します。また、私たちのモ ニタリング活動については、付属書類 2 に記載するモニタリング方針も参照してください。 さらに会社は、評価、研修記録、会社での履歴、および給与情報に含まれる個人データなど、 私たちが生成する個人データも収集・処理します。 2.2 個人データの使用方法個人データの使用方法個人データの使用方法個人データの使用方法 私たちは、付属書類 1 に記載され、上記に説明される個人データを、同付属書類に詳述される目 的と法的根拠に基づき使用します。私たちは、社員の個人データを処理する場合はいつでも、 社員のプライバシーを尊重し、特に私たちの正当な利益を満たすために個人データを処理する 際は、社員のプライバシーが確実に保護され、私たちの正当な利益が社員の利益または基本的 な権利と自由により無効になることがないよう、堅固な保護対策を講じます。 私たちは、(社員としての立場で社員から収集する)社員の個人データをマーケティング目的 で使用しません。ただし、社員の明確な同意を取得し、マーケティング目的での個人データの 使用に対する同意をいつでも無償で取り消す後続の権利を社員に提供した場合を除きます。 2.3 特別なカテゴリーの個人データ特別なカテゴリーの個人データ特別なカテゴリーの個人データ特別なカテゴリーの個人データ 私たちは、雇用および/または社会保障関連法の遵守を現地法により認められる場合、または 法的権利の確立、行使または防御に必要な場合、社員に関する特別なカテゴリーの個人データ (別称「機密性の高い個人情報」)を収集・処理することができます。特に、会社は、種族的 出身、宗教、身体および/または精神の健康に関する情報を処理することができます。また、 市民権、配偶関係または兵役義務など、一部の他の個人データも、給付管理の目的において、 また雇用および社会保障関連法により義務付けられる職場の健康、安全および設備の問題に対 処するために、処理することができます。 2.4 緊急連絡先情報緊急連絡先情報緊急連絡先情報緊急連絡先情報 付属書類 1 に示すとおり、HR システムには緊急時の連絡のみを目的として、緊急時の連絡先情 報(この種の個人データには、社員の親戚、保護者および友人の個人データ(以下「緊急連絡 先」)を含む)が含まれています。 2.5 社内コミュニケーション社内コミュニケーション社内コミュニケーション社内コミュニケーション 私たちは時折、私たちの正当な利益のために必要な、楽天グループの社内コミュニケーション を促進するための社内資料において、社員を特集します。 私たちは、楽天グループの事業を広めるまたは宣伝するため、またはその他の社内コミュニケ ーションの目的で、写真、画像、ビデオ、動画、パフォーマンスまたは録音における社員の肖 像および/または名前(総称して社員の「肖像」)を使用することができます。 私たちは、いつでも、媒体を問わず、社員の肖像を編集、変更、コピー、展示、公表、または 放映することを選択できます(最終製品は「メディア」として知られる)。ただし、これらの
メディアが、楽天グループの社内コミュニケーションのためにのみ作成・使用されることを条 件とします。メディアは、楽天グループにおいて世界的に公表することができます。楽天グル ープの海外事業体への個人データの移転を保護するために私たちが講じる措置については、以 下の第 4.1 項を参照してください。 3. 個人データの保管方法および個人データにアクセスできる者個人データの保管方法および個人データにアクセスできる者個人データの保管方法および個人データにアクセスできる者個人データの保管方法および個人データにアクセスできる者 私たちは、HR システムに社員の個人データを保管するだけでなく、各社員の個々のハードコピ ーファイルを維持しています。グローバル人事部および会社の人事部が、安全な環境にこれら のファイルを維持しています。 個人データへのアクセスは、付属書類 1 に記載されている目的でまたは法律により義務付けられ て、かかるアクセスを必要とする個人(グローバル人事部および会社の人事部のメンバー、社 員の事業部門のマネージャーを含む)、およびコンプライアンスや法務などのデータ管理者の 社内管理職務の正式な代表者に制限されています。また、社員が別の雇用機会の対象となって いる、または業種に選任された新しいマネージャーがファイルをレビューする必要があるなど 該当する場合、厳密に知る必要がある場合に限り、データ管理者の他のマネージャーにもアク セスが認められます。マネージャーを含む全社員は、本方針の要件に拘束されます。 4. 個人データの開示および国際個人データの開示および国際個人データの開示および国際個人データの開示および国際移転移転移転移転 私たちは、HR システムの維持および運営のために、ならびに私たちに対する以下のサービスの 提供に関連して、適用法に従い、関連する個人データを特定の第三者に開示することができま す。かかるサービスとは、給付管理(保険および退職金制度の管理を含む)、補償管理、人事 管理・支援、給与支払サービス、出張管理および関連サービス、求人サービス、および研修サ ービスをいいます。さらに私たちは、必要な場合、また適用法に従って、監査人、その他の外 部専門アドバイザー、ならびに IT システムプロバイダーやコンサルティング会社など私たちに 製品やサービスを提供するその他の当事者に対して、個人データを開示することができます。 私たちは、上記に記載された人の一部など、私たちの代理として個人データを処理する第三者 データ処理業者を起用する場合、書面での契約によりかかる処理を委託し、関連する処理を管 理する技術上・組織上の安全対策に関して十分な保証を提供するデータ処理業者を選択し、処 理業者が私たちの代理として私たちの指示に基づき行動することを確実にします。さらに、私 たちは、書面での契約により、かかる第三者データ処理業者に対し、適切なデータ保護および 情報セキュリティの要件を課します。 4.1 個人データの国際移転個人データの国際移転個人データの国際移転個人データの国際移転 楽天グループのグローバルな性質を前提として、私たちは、情報が最初に収集された国以外の 国を本拠地とする楽天グループの他の事業体に、機密性の高い個人情報を含む個人データを転 送します(参考のため、該当する国のリストはこちらで入手できます: https://officerakuten.sharepoint.com/:b:/r/sites/Organizations/ghr/hr-all/Group%20Company%20List/Group%20Company%20List.pdf?csf=1&e=jnozhI)。かかる個人 データは、付属書類 1 に詳述される一部の目的において移転されます。 私たちは、世界中で社員のプライバシーの保護に熱心に取り組んでおり、社員の個人データが 適切に保護され、楽天グループの会社が私たちのグローバルプライバシー基準を遵守するよう 努めています。特に、楽天グループは拘束的企業準則を導入しています。これは、世界中で同 じ水準のデータ保護を確保し、データの国際移転を合法化するために、一般に認められている
欧州のデータ保護基準です。私たちの拘束的企業準則(以下「BCR」)は、楽天グループ内で のグローバルなデータ処理のための適切な水準の保護を提供し、関連する欧州連合当局の承認 を得ています。楽天の BCR はこちら(https://corp.rakuten.co.jp/privacy/en/bcr.html)で確認でき ます。 私たちは、楽天の BCR に拘束されない楽天グループの会社に個人データを移転する場合、それ らの楽天グループの会社との間に適切な契約条項を設けます。 楽天グループの海外事業体の他にも、私たちは、データが収集された場所と同等の水準の保護 を提供していない法域に位置するデータ処理業者に対して、個人データを開示・移転する場合 があります。私たちは、例えば適切な契約条項などの適切な合意を盛り込むことにより、かか るデータ処理業者が確実に私たちのグローバルプライバシー基準を遵守するようにします。 私たちは随時、法的義務を遵守するために必要な場合、海外に位置する法的機関や規制当局な ど、他の当事者に個人データを開示する場合もあります。上述のとおり、これらの場所のデー タ保護法が、データが収集された場所と同等の水準の保護を提供していないことがあります。 かかる場合、私たちは受領者に対し、適切な契約条項の締結など、適切なデータ保護法に従っ て自身に開示される個人データを適切に保護することを求めます。これらの状況において私た ちが社員の個人データを保護する方法に関する詳細な情報については、以下の第 7 条に記載され る詳細を利用して私たちに連絡してください。 4.2 個人データの追加の開示個人データの追加の開示個人データの追加の開示個人データの追加の開示 個人データは、企業の再建、売却、または資産の譲渡、合併、事業部門の売却、あるいはデー タ管理者またはそれらの関連事業体の財政状態または組織の状況の変化に関連して、適用法に より認められる場合、開示されることもあります。かかる開示が発生した場合、私たちは合理 的な努力を尽くして、社員の個人データの移転先である事業体が本方針に沿う方法で個人デー タを使用するようにします。 5. セキュリティおよび保管セキュリティおよび保管セキュリティおよび保管セキュリティおよび保管 私たちは、適切な技術上および組織上の措置を講じて、不正または違法な処理および/または 不慮の損失、改造、開示またはアクセス、あるいは不慮または違法な破壊または損害から個人 データを保護しています。 私たちは、社員との契約関係がある限り、社員の個人データを保持します。社員との関係が終 了した場合、私たちは以下を行うために、一定の期間、社員の個人データを保持します。 • 分析および/または監査の目的における業務記録の維持 • 法律に基づく記録保管要件の遵守 • 既存または潜在的な法的請求の防御または提起 • 苦情への対応 私たちは、これらの目的において個人データが必要でなくなった場合、社員の個人データを削 除します。技術的な理由で情報をシステムから完全に削除することができない場合、私たちは、 データのさらなる処理または使用を防ぐための適切な対策を講じます。
6. 社員の権利権利権利 権利 社員は、現地法に基づき、個人データに関する特定の権利を有しています。これらには、以下 に関する権利が含まれます。 • 社員の個人データにアクセスする • 社員に関して私たちが保持する情報を修正する • 社員の個人データを消去する • 社員の個人データの私たちによる使用を制限する • 社員の個人データの私たちによる使用に異議を唱える • 社員の個人データを利用可能な電子形式で受領し、第三者に送信する(データポータビリテ ィの権利) • 社員の現地のデータ保護当局に苦情を申し立てる かかる 権利について 話し合う 、またはかか る権利を 行使すること を希望す る場合は、 [email protected] に連絡してください。ただし、適用法により、上記の権利の一部を行 使する権利が制限される場合があることにご注意ください。 自身の情報に変更がある、または会社が保持する自身の個人データが不正確である場合は、私 たちに連絡して更新または訂正していただくようお願いします。 私たちは、社員の要求に対処するために追加の情報が必要な場合、社員にご連絡します。 7. 質問質問質問質問 本方針に関して質問がある場合、グローバル人事部([email protected])にご連絡く ださい。データ保護担当者が遅滞なく対応します。 社 員 は 、 楽 天 の グ ロ ー バ ル プ ラ イ バ シ ー マ ネ ー ジ ャ ー に 対 し 、 ま た は 楽 天 の BCR (https://corp.rakuten.co.jp/privacy/en/bcr.html)に従ってデータ保護当局に対し、苦情を申し立 てることができます。 8. 本方針の更新本方針の更新本方針の更新本方針の更新 私たちが個人データを使用する方法または本方針の他の側面に重要な変更があった場合、改正 された本方針を再発行して可能な限り早急に社員にお知らせします。
付属書類 付属書類 付属書類 付属書類 1 個人データの処理の説明 個人データの処理の説明個人データの処理の説明 個人データの処理の説明 個人データの 個人データの個人データの 個人データの カテゴリー カテゴリーカテゴリー カテゴリー 個人データの 個人データの 個人データの 個人データの タイプ タイプ タイプ タイプ 使用目的、および処理が必要な理由使用目的、および処理が必要な理由使用目的、および処理が必要な理由使用目的、および処理が必要な理由((((法的根拠法的根拠法的根拠法的根拠)))) 雇用契約管理情 報 氏名 社員と会社が共に働くため。これは、IT 製品や人事の管 理目的におけるユーザーアカウントの作成など、社員の 雇用契約に関連して、私たちが社員に対する契約上の義 務を履行できるようにするため、また管理するために必 要である。 評価、人事異動、人材管理、実績管理、および人事管理 のため。データ管理者が人材を管理できるようにするた め、人事の目的でこのデータを使用することは、私たち の正当な利益である。 性別 生年月日 写真 国籍 所属部署 職位 職種 退職 休暇 事務所の所在地 会社の電子メー ルアドレス 業務用の電話番 号 従業員番号 雇用状況 評点 給与 自宅の住所 労働許可/査証 情報 人材管理情報 評価 評価、人事異動、人材管理、実績管理、および人事管理 のため。データ管理者が人材を管理できるようにするた め、人事の目的でこのデータを使用することは、私たち の正当な利益である。 言語スキル 異動の意思 研修履歴 主要な/追加の 職歴 職務経験 海外での職務経 験
前職 教育 賞 懲罰 グローバル経験 プログラム履歴 資格 報酬および給与 支払業務情報 給与 社員の会社との契約に関連して、社員に対する契約上の 義務を履行する目的の報酬情報管理および給与支払業務 のため。 ボーナス 奨励金 株数 記録された勤務 時間 家族に関する情 報 自宅の住所 有価証券勘定 税法 人事管理および コラボレーショ ン情報 氏名 人事管理の目的、管理のため、HR システムの検索・使 用のため。会社が業務活動を行い、人材を管理できるよ うにするため、それらの目的でこのデータを使用するこ とは、私たちの正当な利益である。 写真 所属部署 職位 職種 退職 休暇 事務所の所在地 会社の電子メー ルアドレス 業務用の電話番 号 従業員番号 雇用状況 緊急情報 氏名 緊急時の連絡のため。これは、社員の健康と安全との関 連で社員に対する私たちの法律上の義務に遵守するた め、または一部の状況においては社員または他の人物の 重大な利益を保護するために必要である。 緊急連絡先情報
※本付属書類 1 では、私たちが収集できるすべての個人データをリストアップしていますが、私 たちは社員に関連する必要な個人データに限り収集します。したがって、かかる社員の個人デ ータが上記に記載された目的で必要でない場合、派遣社員、パートナー社員、下請業者の人材 管理情報および報酬および給与支払業務情報などの個人データを収集・使用しません。同様に、 各社員との関係に基づき必要でない雇用契約管理情報(派遣社員、パートナー社員、下請業者 の休暇、生年月日、評点)を意図的に収集・使用しません。
付属書類 付属書類付属書類 付属書類 2 モニタリング方針 モニタリング方針モニタリング方針 モニタリング方針 定義 「楽天の楽天の楽天の楽天の IT システムシステムシステムシステム」とは、楽天グループが管理し、業務上の目的で社員に提供されるシステ ムを言います。これには、Microsoft や Box などの外部ベンダーが提供するシステムが含まれま す。 「施設施設施設施設」とは、楽天グループが管理・運営する事務所または施設を言います。 モニタリングする理由 モニタリングする理由 モニタリングする理由 モニタリングする理由 1. 私たちは、すべての業務上のコミュニケーションの安全性に対して最終的な責任を負います。 私たちは、楽天の IT システムを使用する場合、および施設において、可能かつ適切な限り社 員のプライバシーを尊重します。しかし私たちは、以下の理由で、警告なく社員の通信やフ ァイルをモニタリングすることができます。 (a) 機密情報を保護し、不正な開示を防ぐ (b) 楽天の方針の遵守を強化・確保する (c) 法律上または規制上の義務を遵守する (d) 楽天の方針に詳述されるとおり、楽天の IT システムの不正使用を防止、調査、また は検知する (e) 犯罪や不正行為を防止、調査、または検知する (f) 訴訟または規制当局の調査の目的 (g) ネットワークの運用および維持を確保する(ウイルススキャンなど) 2. かかるモニタリングは許される範囲においてのみ実行されます。私たちには、以下の 1 つに 該当するモニタリングの目的で、社員の個人データを処理するため、法的根拠となる処理を 必要とする理由がなければなりません。 (a) 会社の正当な利益を満たすため(例えば、IT ネットワークとシステムの運用を維 持するため、楽天の方針の遵守を強化・確保するため、犯罪や不正行為を防止、 調査、または検知するため、訴訟または規制当局の調査の目的) (b) 会社の法律上の義務を遵守するため、または例えば会社が保有する情報の機密性 を確保するために雇用および社会保障関連法に基づく権利を行使するため モニタリング対象 モニタリング対象 モニタリング対象 モニタリング対象 1. 社員は、欧州のデータ保護法および現地の適用される国内法令に従い、モニタリングにより 社員に関する個人データが開示される場合があることを承知するものとします。モニタリン グの過程で収集されるデータは、前項の 1 で述べた目的に限り保管・処理されます。同じ目 的において、会社は、楽天グループの会社のデータ管理者およびメンバーとして、他の楽天 グループの会社に対し、また第三国(日本、米国など)に位置する防犯用品会社などのサプ
ライヤーに対し、個人データを移転、共有、または開示する必要があります。これらの国々 の一部は、データが収集された場所と同等の水準の個人データの保護を提供していない場合 があります。収集した個人データが確実に保護されるよう、楽天グループの会社は、社員の プライバシーに関する方針の第 4 条に述べたとおり、楽天のグローバルプライバシー基準、 すなわち楽天の BCR を忠実に守ります。 2. 特に、私たちは、上記 1(モニタリングする理由)で説明した目的において、以下をモニタ リングすることができます。 (a) 楽天の IT システムを使用するすべての通信(以下を含みますが、これらに限定され ません) i. 電話:発信者/受信者、相手先電話番号、通話時間 ii. 電子メール:送信者/受信者、件名、内容、添付ファイル iii. インスタントメッセージ:送信者/受信者、内容、添付ファイル iv. インターネットの使用:アクセスしたサイトとページ、サイトにアクセス した日時、サイトにいた時間、アップロード/ダウンロードした内容 (b) 個人所有のデバイスを使用した際のアクセスログなどの情報が、楽天の IT システム に接続・アクセスするために使用されます。具体的には、各アプリケーションに設 けられた諸条件を参照してください。 (c) 会社の PC やノートパソコンに保存している Excel ファイルや Word ファイル(アド レス帳または電子メールを収容するメールボックスではない)などのファイル。特 に、私たちは、クレジットカード番号、日本の社会保障番号(マイナンバー)、漢 字とカタカナの列(以下「検索可能な項目」)について、会社の PC やノートパソ コンに保存している上記ファイルをスキャンする監査ツールを配備します。監査ツ ールが会社の PC やノートパソコン内に検索可能な項目を検知すると、内部監査部 に対しレビューするよう警告します。レビューにより、監査ツールが警告した検索 可能な項目が楽天グループ情報セキュリティ基本方針の「情報資産の分類および処 理」に分類される「非常に機密性の高い情報」であると判明した場合、内部監査部 と関連チームは「非常に機密性の高い情報」が含まれる会社の PC またはノートパ ソコンを使用する社員に連絡を取り、検索可能な項目の内容を確認します。 (d) 法律で義務付けられた場合、施設での CCTV モニタリングシステムの使用は、適切 な信号またはディスプレイを使用して明確に表示されます。 3. 第 5 条(セキュリティおよび保管)および第 6 条(社員の権利)、ならびに社員のプライバ シーに関する方針の他の関連規定は、本モニタリング方針に基づくモニタリングの目的で処 理された個人データに同様に適用されます。
