レイサム アンド ワトキンス グローバル データプライバシー基準
View in English.
はじめに
本書は、レイサム アンド ワトキンス(以下「当事務所」といいます。)におけるEU個人データ(以下に定義されます。)の取扱適用基準(以下、「本基準」といいます。)を規定するものです。レイサム アンド ワトキンスは、15か国にオフィスを有するグローバルな法律事務所であり、世界全体で一体として活動しています。その国際的業務の性質上、レイサム アンド ワトキンス内での個人データの移転が必要不可欠です。
レイサム アンド ワトキンスは、エグゼクティブ コミッティーを通じ、レイサム アンド ワトキンス内で取り扱われる個人データの保護をお約束します。特に本基準は、レイサム アンド ワトキンスが保有するEU個人データの移転が、EU規則2016/679(EU一般データ保護規則。以下、「GDPR」といいます。)に従って行われるよう策定するものです。
定義
(イ) 「適用法令」は、 L&W 事業体が所在する法域の法律およびL&W事業体が適用を受けるその他の法律を意味します。
(ロ) 「BCR合意」は、 EU個人データを取り扱う全てのL&W事業体が本基準を遵守することを確約する旨の合意を意味します。
(ハ) 「データ保護機関」または「DPA」は、特定国におけるデータ保護法遵守の監視・規制権限を有する当局を意味します。
(ニ) 「DPIA」は、 GDPR第35条に定義されるデータ保護影響評価を意味します。
(ホ) 「EEA」は、欧州経済領域を意味します。
(ヘ) 「EUプライバシー法」は、GDPR 、プライバシー保護指令2002/58(その後の変更を含みます。)およびヨーロッパにおけるプライバシー関連立法を、EEAの各国内で執行するための国内法令を意味します。
(ト) 「EU個人データ」は、EUプライバシー法の適用対象となるデータ管理者としてL&W事業体が次の目的で収集しまたは取り扱う次の個人データを意味します。( i )採用および人事管理に関連して収集され取り扱われる、スタッフ、弁護士、パートナー、コンサルタント、受託業者、およびこれらの者それぞれのその候補者の個人データ(ii)法律サービスの提供や広告宣伝および情報連絡の目的で取り扱われるクライアント、潜在的クライアントおよび旧在籍者の個人データならびに(iii)レイサム アンド ワトキンスとサプライヤー、ベンダー、受託業者およびアドバイザーのとの関係において取り扱われる、これらの者の個人データ(詳細は「All Personnel Fair Data Processing Statement」、「Recruitment Privacy Policy」、「Alumni Privacy Policy」または「Client and Third Party Privacy Notice」のいずれかを参照してください。)。
(チ) 「GDPR」は、EU規則2016/679を意味します。
(リ) レイサム アンド ワトキンスは、デラウェア州(米国)の法律に基づいて設立された有限責任パートナーシップ(LLP)(以下「デラウェアLLP」といいます。)であり、英国、フランス、イタリア、シンガポール、香港およびサウジアラビアにおける関連有限責任パートナーシップならびに日本における関連パートナーシップと共に、全世界で法律業務を行っています。レイサム アンド ワトキンスは韓国では外国法諮問法律事務所として法律業務を行っており、レイサム アンド ワトキンスにはデラウェアLLPが完全所有するすべての法人や事業体も含まれます。
(ヌ) 「現地法」は、適用されるEUプライバシー法以外にL&W事業体が適用を受ける全ての国の法令、規制または各国により課されるその他の法的義務を意味しま
(ル) 「L&W事業体」は、レイサム アンド ワトキンスを構成する各有限責任パートナーシップ、パートナーシップおよび有限責任会社を意味します。
(ヲ) 「L&W ドイツ」は、レイサム アンド ワトキンス フランクフルトオフィスを意味します。
(ワ) 「モデル条項」は、第三国で設置された処理者または管理者への個人データの移転のための、欧州委員会により随時発出・承認される標準契約条項を意味します
(カ) 「個人データ」は識別された、または識別され得る自然人(以下、「データ主体」といいます。)に関するすべての情報を意味します。識別され得る個人とは、特に名前、識別番号、位置情報、オンライン識別子のような識別子を参照することにより、または身体的、生理的、遺伝的、精神的、経済的、文化的もしくは社会的な同一性を示す一つのまたはそれ以上の要素を参照することにより、直接的または間接的に識別され得る者をいいます。適用されるEUプライバシー法が要求する場合、「個人データ」には自然人ではない者に関するすべての情報も含まれます。
(ヨ) 「構成員」は、レイサム アンド ワトキンスのパートナー、弁護士およびスタッフ(有期雇用と無期雇用とを問いません。)を意味します。
(タ) 「セキュリティ侵害」は、L&W事業体が取り扱うEU個人データに係る、偶発的もしくは違法な破壊、消失、変更、不正な開示、または不正アクセスにつながるセキュリティの侵害を意味します。
(レ) 「特別カテゴリーの個人データ」は、人種または民族、政治的見解、宗教または信条、労働組合の加盟状況、犯罪歴、有罪歴、健康、性的指向または性生活ならびに遺伝子データまたは生体データに関するEU個人データ、および適用されるEUプライバシー法により網羅されているその他の特別な種類のEU個人データを意味します。
(ソ) 「取り扱い(processing)」、「データ管理者(data controller)」および「処理者(processor)」はGDPRにて使用されている意味を有します。
本基準の適用範囲
レイサム アンド ワトキンスは現在、以下の国々で業務を行っています(EEA内の国々はグレーのハイライトで表示されています。)。
|
国 |
事務所 |
各国の連絡先 |
|
アメリカ合衆国 |
オースティン、ボストン、センチュリーシティ、シカゴ、ヒューストン、ロサンゼルスGSO、ニューヨーク、オレンジカウンティ、サンディエゴ、サンフランシスコ、シリコンバレー、ワシントン D.C. |
1271 Avenue of the Americas, New York, NY 10020 |
|
英国 |
ロンドン、マンチェスター(法律業務は行わない) |
99 Bishopsgate, London EC2M 3XF, United Kingdom |
|
ベルギー |
ブリュッセル |
Place Sainte-Gudule 14, 1000 Brussels, Belgium |
|
フランス |
パリ |
45, rue Saint-Dominique, Paris 75007, France |
|
イタリア |
ミラノ |
Corso Matteotti, 22, Milano, 20121, Italy |
|
ドイツ |
フランクフルト、ミュンヘン、ハンブルク、デュッセルドルフ |
Reuterweg 20, 60323 Frankfurt am Main, Germany |
|
スペイン |
マドリッド |
Plaza de la Independencia 6, 28001 Madrid, Spain |
|
サウジアラビア |
リヤド |
Al-Tatweer Towers, 7th Floor, Tower 1, King Fahad Highway, PO Box 17411, Riyadh 11484, Saudi Arabia |
|
アラブ首長国連邦 |
ドバイ |
ICD Brookfield Place, Level 16, Dubai International Financial Centre, PO Box 506698, Dubai, United Arab Emirates |
|
イスラエル |
テルアビブ |
28 HaArba’a Street, North Tower, 34th floor, Tel Aviv, 6473925, Israel |
|
韓国 |
ソウル |
29F One IFC, 10 Gukjegeumyung-ro Yeongdeungpo-gu, Seoul 07326, Korea |
|
中国 |
北京 |
Unit 2318, China World Trade Office 2, 1 Jian Guo Men Wai Avenue, Beijing 100004, People’s Republic of China |
|
香港 |
香港 |
18th Floor, One Exchange Square, 8 Connaught Place, Central, Hong Kong |
|
シンガポール |
シンガポール |
9 Raffles Place, #42-02 Republic Plaza, Singapore 048619 |
|
日本 |
東京 |
Marunouchi Building, 32nd Floor, 2-4-1 Marunouchi, Chiyoda-ku, Tokyo 100-6332, Japan |
本基準は、適用されるEUプライバシー法の対象となるL&W事業体によるEU個人データの取り扱いに適用されます。 本基準は、従業員、応募者、クライアントおよび第三者の個人データの転送にも適用されます。 従業員の個人データには、例えば以下のものが含まれます。
- 識別情報(例:氏名、連絡先情報、緊急連絡先、写真、就労資格証明、識別番号)
- 個人および家族の詳細(例:出生地、婚姻状況、国籍、市民権、家族構成、パスポートおよびビザの詳細)
- 健康情報(例:障害、病欠記録、事故報告、健康診断情報、職業健康情報、食事の好みおよび食物アレルギー)
- キャリア管理および開発に関するデータ(例:従業員カテゴリ、フルタイムまたはパートタイムのステータス、教育および資格、言語能力、推薦状、身元調査、職業経験)
- 雇用契約または契約の遂行および終了に関するデータ(例:雇用期間、従業員ID、勤務時間記録、労働時間および休暇、業績評価、研修、懲戒処分および苦情、退職面接)
- 財務データ(例:報酬、補償、給与、福利厚生、銀行口座の詳細、税番号や社会保障番号)
- 音声および映像記録(例:防犯・監視カメラ記録、オンライン会議およびウェビナー、イベントおよび出版物)
- 建物のアクセス制御システムの使用、およびオフィス機器や設備のアクセスと使用に関するデータ
- 業務上の関係や従業員福利厚生プログラムの一環としての出張に関するデータ
応募者の個人データには、例えば以下のものが含まれます。
- 応募書類に含まれる情報(例:氏名、連絡先情報、職務経歴および学歴、資格、就労資格証明、履歴書の追加情報)
- 機微情報(例:人種や民族的出自、障害)
- 面接および評価時に収集された情報(例:面接ノート、フィードバック、評価およびビデオ面接を通じて収集された情報)
- 採用サイトおよびウェブサイトの利用に関する情報(例:クッキーを通じて収集されたIPアドレス情報)
- 推薦者やリクルーターなどの第三者からの情報
- 採用前のバックグラウンドチェックに必要な情報(例:犯罪歴の確認、資格や職歴の確認)
- 建物のアクセスに関する情報やセキュリティカメラの映像
クライアントおよび第三者に関連する情報には、例えば以下のものが含まれます。
- 識別情報(例:氏名、連絡先情報、識別番号)
- 生体情報(例:写真)
- 商業情報
- 職業または雇用関連の情報
- 公に利用可能なソーシャルメディアやニュース報道
- 保護対象となる分類の特徴(例:国籍、政治的所属、市民権の状況)
- 音声および映像記録(例:防犯・監視カメラ映像、オンライン会議やウェビナー)
EU個人データの処理は、適切な場合に以下に基づき行われます。
- 同意 - GDPR第6条第1項aおよび第9条第2項a
- 契約の履行 - GDPR第6条第1項b
- 法的義務の遵守 - GDPR第6条第1項c
- 正当な利益 - GDPR第6条第1項f
- 雇用分野における義務の遂行および特定の権利の行使 - GDPR第9条第2項b
- 法的請求の確立、行使または防御 - GDPR第9条第2項f
EU個人データは、当事務所のネットワークを通じて上記の表に記載された場所に転送される可能性があります。
また本基準は、L&W事業体によるEEA外へのEU個人データの輸出およびEEA外に位置するL&W事業体による輸出データの処理、ならびにEU個人データのEEA外のL&W事業体への再転送にも適用されます。
本基準の目的上、英国はGDPRの規定に基づき第三国と見なされることが確認されています。これに伴い、Latham & Watkins(London)LLP(以下「L&Wロンドン」といいます。)は、当事務所内の英国データの転送を対象とする独自のグローバル データプライバシー基準を実施します。当該データ転送に関しては、L&Wロンドンが、EEA外に所在する他のL&W事業体の英国基準の違反行為や不作為を是正する責任を単独で負い、また、EEA外に所在するL&W事業体による英国基準の違反から生じる損害に対して補償を行う唯一の責任を負います。したがって、英国データの処理に関して苦情を申し立てることを希望するデータ主体は、L&Wロンドンに連絡する必要があります。詳細については、UKグローバル データプライバシー基準をご参照ください(https://www.lw.com/Privacy)。
規則および原則
1. データ取扱原則
データ管理者として、各L&W事業体は、適用がある場合にはEU個人データを「All Personnel Fair Data Processing Statement」、「Recruitment Privacy Policy」、「Alumni Privacy Policy」または「Client and Third Party Privacy Notice」のいずれかに従い、かつ、以下の原則に従います。
1.1 EU個人データは、透明性がある形で、公正かつ適正に取り扱われます。データ主体は、当該データ主体がデータ管理者の身元についての情報、データ主体の個人データの利用目的(犯罪防止、法的手続または課税に関する情報提供制限、適用法令による情報提供制限その他、情報提供につき許容されている制限の範囲に限られます。)、取扱いの法的根拠、および、適用されるEUプライバシー法に基づき求められるその他の関連情報(EUプライバシー法に基づきデータ主体に与えられている権利の詳細を含みます。)についての情報を知らない、または受領していない場合には、当該情報の提供を受ける権利を有します。
1.2 EU個人データは明確かつ合法的な特定の事業目的のために収集されます。適用されるEUプライバシー法が認める場合を除き、当該目的に合致しない方法で取り扱われることはありません。
1.3; 特別カテゴリーの個人データは、当事務所の事業目的に必要不可欠の場合にのみ取り扱われ、その場合、適用されるEUプライバシー法の要件に従って取り扱われます。
1.4 収集され取り扱われるEU個人データは、適正で過剰ではない情報量であり、また適切かつ正確な内容であり、必要に応じて最新の状態にあるように適切な処置が講じられます。また、個人データが不正確であると判明した場合、当該個人データに対し訂正や削除などの適切な処置が早急に講じられます。
1.5 EU個人データは、取り扱いの目的に必要な期間を超える長期にわたって保持されることはなく、また、当事務所の文書化されたデータ保持ポリシーに従って管理されます(但し、保持期間については、規制上の要件および適用されるEUプライバシー法上の規定に従います。)。
2. データセキュリティ
2.1 各L&W事業体は、事故または違法行為による破棄、事故による消失、改変、破損、不正な開示または不正アクセス(特にネットワークを介するデータ移転が含まれる場合について)およびその他の違法な取り扱いからEU個人データを保護するために、以下のものを含めた適切な技術的および組織的な措置を、技術水準および実施費用を考慮した上で、しかるべく講じます。かかる措置により、取り扱いにより生じるリスクと保護すべきEU個人データの性質に鑑みて適切なセキュリティレベルを確保し、特別カテゴリーの個人データおよびその他の秘密性の高い情報に対する保護を強化します
(a) 仮名化
(b) 暗号化
(c) システムとサービスの秘密性、完全性、可用性および回復性
(d) バックアップおよび災害復旧用設備
(e) セキュリティ対策の有効性のテスト、診断および評価
2.2 各L&W事業体は、セキュリティ侵害が発生した場合、遅滞なく、当事務所のグローバル データプライバシー オフィスに通知する必要があります。グローバル データプライバシー オフィスは、セキュリティ侵害の記録を適切に保管し、当該セキュリティ侵害の結果データ主体に対して生じ得る影響、および講じられた是正措置を記録し、当該記録を保管します。さらに、グローバル データプライバシー オフィスは、EUプライバシー法に基づき必要とされる場合には、関係するデータ保護機関および影響を受けるデータ主体に対しEUプライバシー法に基づき必要に応じて通知を行います。データ保護機関から要請を受けた場合、グローバル データプライバシー オフィスは、L&W事業体がEEA域内においてデータ管理者として処理するEU個人データに関するセキュリティ侵害の記録を、その所在国または法域のデータ保護機関に提供します。
2.3 各L&W事業体は、EU個人データへのアクセス権を有する、またはその処理を担当する構成員の信頼性を確保するための措置を講じます。かかる措置には、当事務所の指示に従ってEU個人データを適切に処理することを含みます。
2.4 第8項では、当事務所の情報セキュリティポリシーおよびプライバシー部門について説明します。第8.3項に記載されるセキュリティ コミッティーは、当事務所内のすべての情報セキュリティポリシーおよび基準に責任を負います。当事務所のポリシーおよび手続きは、随時改訂される可能性があり、情報セキュリティに関する詳細な基準が定められており、これに従わなければなりません
3. データ処理者の関与する業務
3.1 L&W事業体が、当該L&W事業体に代わってEU個人データの取扱いを行うデータ処理者として、他のL&W事業体を起用する場合には、当該データ処理者は本基準の定めを遵守し、また、両当事者は、適用されるEUプライバシー法に基づき必要な場合には、追加の合意条項を整備し、これを遵守します。
3.2 L&W事業体が、当該L&W事業体に代わってEU個人データの取扱いを行うデータ処理者として、外部業者を起用する場合には、当該L&W事業体は、取り扱うEU個人データに適用されるセキュリティレベルにつき、適切な保証を提供しているデータ処理者を選定します。当該L&W事業体は、適用されるEUプライバシー法の要件を満たす契約を、外部データ処理者と締結します。
3.3 L&W事業体がEEA域内に所在し、当該L&W事業体に代わって行われるEU個人データの取り扱いのために、EEA域外に所在する外部データ処理者を起用する場合、当該L&W事業体は以下のいずれかを行います。 (a) データ処理者用のモデル条項と実質的に同一の様式による契約、または、当該モデル条項の内容が含まれる契約を、当該データ処理者との間で締結します(但し、適用されるEUプライバシー法において認められ得る範囲での修正がなされることがあり得ます。)。 (b) EU個人データを保護するために、適用されるEUプライバシー法に従い、その他の適切な保護措置を講じます。
2020年12月24日に締結されたEUと英国間の貿易協力協定(Trade and Cooperation Agreement)の第FINPROV.10A条第1項および第4項に記載された移行期間が終了した後、英国に設立された第三者データ処理者にも同じ基準が適用されます。移行期間終了後、L&W事業体は、GDPR第45条以降の意味において適切な法的保護措置に基づいてのみ、EU個人データを英国に転送します。これらの保護措置には、モデル条項や、英国がEUと同等のデータ保護水準を確保できると欧州委員会が判断するの適合性認定などが含まれる可能性があります。
3.4データ管理者であるL&W事業体が当事務所以外の外部管理者にEU個人データを移転する場合、当該L&W事業体は、適用されるEUプライバシー法の定めに従いそのデータ移転を行います。適用されるEUプライバシー法により義務付けられる場合、または適用されるEUプライバシー法により認められており適切と考えられる場合、当該L&W事業体は、EU個人データおよび個人の権利を保護するための保護措置を講じます。かかる保護措置には、管理者間のデータ移転に関するモデル条項の適用や、十分な保護水準を確保するためのその他の契約の締結も含まれます。
4. 職員の教育
4.1 レイサム アンド ワトキンスでは、当事務所のプライバシーおよびセキュリティポリシー、ならびにプライバシーおよびセキュリティに対するベストプラクティスについて、全スタッフ、弁護士およびパラリーガルへの教育を目的としたプライバシーおよびセキュリティ意識向上プログラムを継続的に行っています。すべての構成員は、入所時に必須のデータプライバシーeラーニングモジュールを受講することが求められ、その後は2年ごとに受講しなければなりません。このモジュールの受講完了率は、当事務所により追跡管理されます。さらに、個人データに関する特定の責任を負う構成員に対しては、必要に応じてカスタマイズされたデータ保護研修が提供されます。
4.2 プライバシーおよびセキュリティに対する意識向上に向けた情報を周知させるために、さまざまなコミュニケーション手段が活用されています。ベストプラクティスガイド、プライバシーおよびセキュリティ意識向上のためのヒントシートや各種取組が、全構成員がアクセス可能な、プライバシーおよびセキュリティ専用のイントラネット上で提供されています。
4.3 各L&W事業体は、個人データへのアクセス権を有するまたはその取り扱いを担当する構成員に対し、適切なガイダンスおよび研修が確実に提供されています。
5. 適用される現地法との抵触
5.1 現地法や規制またはその他の法的義務により、L&W事業体が本基準の遵守が妨げられると考える合理的な理由を有し、かつ、それが本基準によって提供される保証に重大な悪影響を及ぼす可能性がある場合、L&W事業体は速やかにプライバシー コミッティー(以下に定義されます。)に通知しなければなりません(ただし、法的に禁止されている場合、または法執行機関による調査の機密保持を確保するために禁止されている場合を除きます。)。また、EU個人データの移転は意図されたものであっても一時停止されます。プライバシー コミッティーは、このような通知および関連する対応の記録を保持します。
5.2 プライバシー コミッティーは、L&W事業体からの通知を受けた場合に必要な措置を決定し、L&W事業体はプライバシー コミッティーが発する指示に従わなければなりません。プライバシー コミッティーは、L&W事業体が大規模、過度または無差別な方法で、民主社会において必要な範囲を超える形でEU個人データを公的機関に移転すべきではないことを認識しています。また、プライバシー コミッティーは、適宜、現地法と本基準の抵触をどのように扱うべきかについて、関係するデータ保護機関(DPA)に助言を求めることができます。
5.3 プライバシー コミッティーは、現地法が本基準によって提供される保証に重大な悪影響を及ぼす可能性があると判断した場合、関係するDPAに通知します(ただし、法的に禁止されている場合、または法執行機関による調査の機密保持を確保するために禁止されている場合を除きます。)。そのような禁止がある場合、プライバシー コミッティーは、当該L&W事業体に対し、制限の解除を得るために最大限の努力を行い、可能な限り迅速に関係するDPAへ情報開示を行うよう指示します。また、その努力の記録を保持します。DPAが本基準の遵守状況を監督する権限を行使することに関して争いが生じた場合、その紛争はEEA内の裁判所に提訴されます。
5.4 プライバシー コミッティーは、当事務所が義務として開示しなければならず、本基準によって提供される保証に重大な悪影響を及ぼす可能性のあるEU個人データの開示について記録を保持します。また、法的制限または法執行機関による制限を考慮しつつ、関係するDPAに対し、当該開示の概要を年次報告として提供します。
5.5 現地法が本基準で規定されたものより高いレベルの保護をEU個人データに対して求める場合には、当該現地法の規定が優先されます。
6. 相互協力およびデータ保護機関との協力
6.1 各L&W事業体は、各国または各法域に所在するデータ保護機関から発出された指示が、本基準に関連する場合またはEU個人データの取り扱い一般に関連するものである場合、当該指示に従います。またデータ保護機関による告示を勘案して本基準を解釈します。
6.2 各L&W事業体は、本基準に関するデータ保護機関からの照会または調査に関し互いに協力し、データ保護機関が合理的に要求する情報を提供します。
6.3 各L&W事業体は、本基準または自身のEU個人データの取り扱いに関するデータ主体からの問い合わせまたは苦情の対応についても互いに協力します。
7. データ転送
7.1 L&W事業体は、GDPR第44条から第46条に従って、またはGDPR第49条に基づく例外が適用される場合に、データ処理業者およびその他の第三者にEU個人データを転送します。
7.2 7.2 グローバル データプライバシー オフィスは、L&W事業体に代わり以下の要素を考慮しながらEU個人データの転送に先立って転送影響評価を実施し、文書化します。
7.2.1 転送の具体的な状況(処理チェーンの長さ、関与する当事者の数および使用される伝送チャネル、意図されたさらなる転送、受領者の種類、処理の目的、転送される個人データのカテゴリおよび形式、転送が行われる経済セクター、転送されたデータの保存場所)。
7.2.2 転送の特定の状況に照らして関連する、第三国の法律および慣行(公的機関へのデータ開示を要求するものや、当該機関によるアクセスを許可するものを含む)および適用される制限および保護措置。
7.2.3 これらの条項の下での保護措置を補完するために実施された関連する契約上、技術上または組織上の追加的な保護措置ならびに転送中および転送先の国における個人データの処理に適用される措置。
7.3 L&W事業体は、EU個人データの転送に先立ち、追加の保護措置を講じる必要がある場合には、グローバル データプライバシー オフィスおよびプライバシー コミッティーに通知します。
7.4 受入国の法律または慣行の適用を受けることにより、データ輸入者としてのL&W事業体が本基準に基づく義務を履行できないと判断した場合、当該L&W事業体(データ輸入者)は、データ輸出者であるL&W事業体およびプライバシー コミッティーに通知するとともに、EU個人データのセキュリティおよび機密性を確保するための追加措置を特定します。L&W事業体およびプライバシー コミッティーが、特定された追加措置が本基準の遵守を保証できないと判断した場合、L&W事業体は、当該EU個人データの予定されている転送を中止します。
7.5 L&W事業体は、転送影響評価を定期的に見直し、他のL&W事業体と共有します。 実務上の規則およびコンプライアンス
8. レイサム アンド ワトキンスのポリシー、責任体制およびプライバシー部門
8.1 ポリシーおよびガイダンス 当事務所は、プライバシー コミッティーおよびセキュリティ コミッティーによって承認され、随時更新および改訂される詳細なポリシー、基準、手順およびガイダンス文書を策定しています。これらの文書は、本基準の遵守を確保するために遵守すべきルールおよびプロセスを詳細に説明し、特に第1項に定められたデータ取扱原則および第2項に定められた情報セキュリティの義務を明記しています。従業員は、当事務所のイントラネットのポリシーセクションで、関連するポリシーの詳細を確認できます。
8.2 アカウンタビリティ 当事務所は、EUプライバシー法の要件に従い、EU個人データの処理活動に関する記録を保持します。特に、GDPR第30.1条に基づく処理活動の記録を電子形式で維持し、当事務所が事業を展開するEEA諸国のデータ保護機関から要請があった場合には、これを開示します。
8.3 プライバシーおよびセキュリティ コミッティー
(a) レイサム アンド ワトキンスのプライバシー コミッティーおよびセキュリティ コミッティーは、それぞれ独立した委員会であるが密接に連携しており、いずれも当事務所のパートナーが代表を務め、当事務所のエグゼクティブ コミッティーの指揮・監督を受けます。プライバシー コミッティー(グローバル データプライバシー オフィスを通じて)の主な役割は、プライバシー関連法および本基準(および関連ポリシー)に関する意識の向上およびコンプライアンスの徹底です。一方、セキュリティ コミッティーの主な役割は、当事務所の情報セキュリティポリシーおよび基準の策定および施行、ならびにインシデント対応計画の管理です。セキュリティ コミッティーは、情報セキュリティポリシー、基準、ガイドラインおよび実務慣行の策定を担当し、情報通信システムの適正使用に関するポリシーの遵守を監督します。一方、プライバシー コミッティー(グローバル データプライバシー オフィスを通じて)は、データ転送契約、サプライヤーとのデータ処理契約、現地規制要件の遵守、内部プライバシー更新(情報通信システムの適正使用に関するポリシーの更新を含む)、研修およびガイダンスの提供、現地オフィスからのプライバシー関連の問い合わせ対応など、内部のプライバシー事項を管理します。
(b) プライバシー コミッティー(グローバル データプライバシー オフィスを通じて)およびセキュリティ コミッティーは、当事務所のプライバシー対策を能動的かつ継続的に推進する責任を共有し、プライバシー・バイ・デザインおよびプライバシー・バイ・デフォルトの原則を確実に組み込むよう努めます。このアプローチには、データ最小化などの技術的手法を活用し、目的に必要な範囲でのみデータを処理し、データ主体の権利を保護することが含まれます。
(c) プライバシー コミッティー(グローバル データプライバシー オフィスを通じて)は、EUプライバシー法の要件に従い、必要に応じてDPIAを実施する責任を負います。DPIAの評価の結果、EU個人データの処理がデータ主体の権利および自由に対して高いリスクをもたらすと示された場合で、かつリスクを軽減する措置が取られていない場合には、プライバシー コミッティーは関係するDPAと協議します。
8.4 EUプライバシー法に従い、L&Wドイツはデータ保護責任者(DPO)を任命しています。DPOの連絡先情報は、レイサム アンド ワトキンスのプライバシーポリシーに掲載されます。
8.5 プライバシー担当者
8.5.1 レイサム アンド ワトキンスのグローバル データプライバシー オフィスは、プライバシー コミッティーの管理機能を果たし、当事務所全体のデータプライバシーコンプライアンスおよびベストプラクティスを推進します。このオフィスは、プライバシー コミッティーおよびセキュリティ コミッティー、各オフィスのデータプライバシー担当弁護士とも緊密に連携し、当事務所のデータプライバシーに関する慣行、ポリシーおよび手続きを策定、解釈、監視し、データプライバシーコンプライアンスおよびベストプラクティスに関する戦略的計画や目標の策定および実施を支援します。また、パートナー、マネージャー、その他スーパーバイザー、弁護士およびスタッフに対し、プライバシー ベストプラクティスに関する指導や助言を行います。本基準の違反またはその可能性がある場合、グローバル データプライバシー オフィスは、当該違反または潜在的な違反をプライバシー コミッティーに報告し、必要な措置の実施を検討します。
8.5.2 レイサム アンド ワトキンスのチーフ インフォメーション オフィサーは、セキュリティ コミッティーのメンバーであり、情報セキュリティ オフィサーの業務を監督します。情報セキュリティ オフィサーは、当事務所の情報セキュリティ管理プログラムの維持を担当し、情報セキュリティポリシーおよび基準の遵守を監督、施行および監視するプロセスを確立します。
8.5.3 当事務所の業務またはビジネス機能を支える各システムまたはアプリケーションには、インフォメーション オーナーが任命されています。インフォメーション オーナーは当事務所のマネジメントの代表であり、システムまたはアプリケーションの保護に責任を負います。さらに、各オフィスのテクノロジー マネージャーおよびリードは、当該オフィスにおいて情報セキュリティポリシーおよび基準を支援・管理する責任を担います。
8.5.4 各オフィスのオフィス アドミニストレーターは、オフィスマネージングパートナーおよびチーフ オペレーティング オフィサーと連携し、当事務所の業務慣行、ポリシーおよび手続きの策定、解釈および監視を行い、該当するレイサム アンド ワトキンスオフィスにおける戦略的計画や目標の策定および実施に貢献します。また、オフィス アドミニストレーターは、マネージャー、その他スーパーバイザー、弁護士およびスタッフに対し、当事務所の一般的な業務運営に関する指導および助言を行うとともに、エスカレーションされた業務上の問い合わせや問題の対応を担当します。
9. コンプライアンスに対する責任
9.1 レイサム アンド ワトキンスの全構成員は、本基準の遵守が義務付けられており、入所時、およびそれ以降年1回、本基準の受諾を表明しなければなりません(ただし、パリオフィスを除きます。)。本基準の受諾は当事務所の最新版のコミュニケーション システム利用規定(Acceptable Use of Communication Systems Policy)と併せて行われます。パリオフィスの構成員は、オフィスの内部規則("règlement intérieur")を通じて本基準が周知されます。この規則は、オフィスのイントラネット上で閲覧できるほか、オフィス内の掲示によっても通知されます。さらに、règlement intérieur は、すべての構成員に対し、毎年電子メールで送付され、本規則およびその内容を確実に認識できるようにしています。フランス法に基づき、パリオフィスの全構成員は règlement intérieur の規定を遵守する義務を負います。本基準(またはパリオフィスにおいては règlement intérieur)に違反した場合、懲戒処分の対象となる可能性があり、最終的には解雇やパートナー資格の剥奪に至る場合もあります。パリにおいては、懲戒処分は構成員の区分ごとに適用されます。スタッフに対する懲戒処分はフランス労働法(French Labor Code)に定められており、警告から重大な不正行為による解雇までの範囲となります。弁護士に対する懲戒処分は、パリ弁護士会の懲戒機関または当事務所によって決定され、最終的には業務委託アソシエイト契約の解除またはパートナー資格の剥奪に至る場合があります。
9.2 当事務所は、BCR合意を締結しています。当事務所は、L&W ドイツを、EEAにおけるデータ保護の責任を受託するL&W事業体として指定しています。L&W ドイツ はBCR合意に基づき本基準の違反を是正するための措置をを講じる権限を有しており、契約上の強制力を持ってこれを実施することができます。
9.3 L&W ドイツは、EEA域外のその他のL&W事業体による本基準の違反となる行為および不作為を是正するための措置を講じ、当該違反の結果生じた損害を補償する義務を負います。したがって、EEA域外に所在するレイサム アンド ワトキンス オフィスに対する請求は、L&W ドイツに対して行う必要があります(ただし英国に関する請求は除きます。これらの請求はL&Wロンドンに対して行う必要があります。)。EEA域内に所在するレイサム アンド ワトキンス オフィスに対する請求は、当該オフィスに対して行う必要があります。
9.4 データ主体からの請求に対する責任を免れるために、L&Wドイツは、(1)当該違反が発生しなかったこと、または(2)EEA域外に所在するL&W事業体が本基準違反による損害またはその他の救済措置に対して責任を負わないことを証明しなければなりません。
9.5 L&W事業体は、本基準の適用を受けるEU個人データを、本基準を実際に順守しているL&W事業体にのみ転送するものとします。
10. コンプライアンス検証の監査プログラム
レイサム アンド ワトキンスは、本基準および適用されるデータ保護法令の遵守状況を評価および検証するための以下の措置を講じます。
10.1 内部監査 当事務所の内部監査チームは、プライバシー コミッティーまたはグローバル データプライバシー オフィスのメンバーの支援を受けながら、本基準の遵守状況を継続的に評価するための監査を実施します。この監査には、EU個人データを処理するアプリケーション、ITシステムおよびデータベースの検証、EU個人データの転送状況の確認、受領国の法令のレビュー、ベンダー契約の精査などが含まれます。監査の適切な範囲は、個別のケースに応じて決定されます。当事務所のリスクベースの監査アプローチに基づき、必要に応じて本基準の監査が定期的に実施されます。監査結果は、適宜、当事務所のグローバル データプライバシー オフィス、L&Wドイツの管理部門、および当事務所の上級マネジメントに報告されます。また、監査によって本基準の遵守のために必要な是正措置が特定された場合、それらの措置が実施されるようにし、監査コミッティーがその実施状況を監視します
10.2 外部監査
当事務所のビジネスシステムのセキュリティを検証する監査が、外部監査機関によって毎年実施されます。また必要に応じて、任意のL&W事業体が追加の外部監査を随時手配することができます。監査結果は、適宜当事務所のプライバシー コミッティーおよび/またはセキュリティ コミッティーに報告され、本基準または情報セキュリティに関連する事項について検討されます。
10.3 第10.1項および第10.2項に記載された監査に加えて、エグゼクティブ コミッティー、監査コミッティー、DPO、プライバシー コミッティーまたはセキュリティ コミッティーは、追加の監査を要請することができます。
10.4 EEA内のL&W事業体は、当該内部監査または外部監査の結果が本基準の遵守に関連する場合、DPAから要請があった際には、当該結果をその国または法域のDPAに提供します。
10.5 DPA監査の受け入れ 各L&W事業体は、事業を展開するEEAの国において、DPAが本基準および適用されるEUプライバシー法の遵守状況を確認するために、その業務を監査することを許可します。
11. 政府によるアクセス要求
11.1 L&W事業体が、法執行機関や政府機関を含む第三者(以下「第三者請求」といいます。)から、EU個人データの提供、保持、開示、アクセス許可またはその他の処理を求める要求を受けた場合、当該L&W事業体は以下の措置を講じなければなりません。
11.1.1 速やかに、関係する他のL&W事業体およびプライバシー コミッティーに対して、当該要求または命令を通知し、データ輸出者としてのL&W事業体が当該要求または命令に異議を申し立てるために行う合理的な努力を支援する。
11.1.2 適用される法令により、関係する他のL&W事業体およびプライバシー コミッティーへの通知が禁止されている場合、当該要求または命令に対して管轄裁判所で異議を申し立てるよう合理的な努力を行い、関係する他のL&W事業体が手続きに介入できる許可を求める。
11.1.3 当該要求、またはL&W事業体が第三者請求に応じて行った開示その他の対応が、関係するL&W事業体の本基準遵守を妨げる場合、または妨げる可能性がある場合、関係するL&W事業体は、速やかに他の関係L&W事業体およびプライバシー コミッティーに対し、本基準の遵守が不可能であることを通知する。
11.2 L&W事業体は、第三者請求に関する法的評価を文書化し、本基準の有効期間中、その情報を保持する。この評価は、DPAからの要請があった場合には開示される。
11.3 第11.1項の規定を条件として、L&W事業体は、第三者請求に対応するために必要な最小限のEU個人データのみを第三者に提供するものとし、当該データの移転は、民主社会において必要とされる範囲を超えるような、大規模・過度・無差別な方法では行なわないものとする。
12. 更新
12.1 第8.3項に規定されるレイサム アンド ワトキンスのプライバシー コミッティーは、本基準を継続的に見直し、定期的に更新し、関連する更新を不当な遅滞なくL&W事業体に通知します。また、当事務所の組織構造に変更が生じた場合、その旨を本基準に反映した上、新たにL&W事業体となった事業体に対し本基準の条項を受諾し遵守することを求めます。プライバシー コミッティーは、これらの基準に関する変更についてL&W事業体に通知します。
12.2 プライバシー コミッティーは、セキュリティ コミッティーおよびL&W事業体に対し、すべての更新情報を適宜提供し、また、必要に応じて関連するDPAに速やかに報告します。
12.3 本基準のうち、秘密性のない条項(別紙1「データプライバシー苦情処理手続」の内容を含みます。)は、レイサム アンド ワトキンスの外部向けウェブサイトおよびレイサム アンド ワトキンスのイントラネット上に掲載されます。更新された基準は遅滞なく公開されます。本基準の全文は、別紙1のデータプライバシー苦情処理手続に基づき、是正措置を受ける権利を行使しようとするデータ主体からの請求に応じて開示されます(ただし、秘密保持契約の締結が条件となります。)。 データ主体の権利
13. アクセス権、訂正権、および異議申立権(マーケティングおよびプロファイリングを含む)
各L&W事業体は、EU個人データに係るデータ管理者として、データ主体が第三者受益者として当該L&W事業体に対して以下の権利を有することを認めます。
13.1 EU個人データのデータ管理者として当該L&W事業体が自分の個人データをどのように取り扱うかについて、本基準およびデータプライバシーに関する苦情処理手続の写しも含め、情報を受け取る権利
13.2 適用されるEUプライバシー法が規定する期間および間隔で、L&W事業体がデータ主体につき保管しているEU個人データ(取扱いの目的および方法を含みます。)の写しを受領する権利。但し、L&W事業体には、適用されるEUプライバシー法上認められる範囲で、請求の全体または一部につきこれを拒否する権利があります。
13.3 適用されるEUプライバシー法の規定に基づき、EU個人データを更新、訂正、または補完する権利(特にEU個人データの不完全性または不正確性を理由として)。
13.4 適用されるEUプライバシー法の規定に従い、EU個人データを消去する権利
13.5 適用されるEUプライバシー法の規定に従い、EU個人データの取扱いを制限する権利
13.6 適用されるEUプライバシー法の規定に従い、EU個人データのデータ管理者としてのL&W事業体に対してデータ主体が提供したEU個人データを、構造化され、一般的に利用され、かつ機械可読性のある形式で受け取り、また、別のデータ管理者に対し、当該個人データを移行する権利
13.7 適用されるEUプライバシー法の規定上必要とされる場合、事前の同意のない限りダイレクトマーケティングの宣伝情報を受け取らない権利、およびダイレクトマーケティングを目的とした個人データの取り扱い(プロファイリングを含む。)に対しいつの時点でも異議を述べることができる権利。
13.8 適用されるEUプライバシー法の規定に従い、EU個人データの取扱いについて、いつでも異議を述べることができる権利。
13.9 データ主体の個人的特徴や行動を評価するプロファイリングを含む、自動化された取扱いのみに基づく意思決定であり、かつ、データ主体に利害関係のある法的効果を発生させ、またはデータ主体に対して重大な影響を与える意思決定が、データ主体のEU個人データに関して行われた場合に、かかる意思決定に対して異議を述べる権利(かかる意思決定が、適用されるEUプライバシー法において許容され、適用されるプライバシー法に含まれる保護措置のもとでなされる場合を除きます。)。
14. 本基準の違反
レイサム アンド ワトキンスは、データ主体がEU個人データにつき第三者受益者として以下の権利を当事務所に対し行使する権利があることを認めます。
14.1 請求に基づき本基準の写しを入手できる権利。但し、当該請求に対応する当事務所またはL&W事業体が合理的に求める内容で秘密保持義務を受け入れることを条件とします。
14.2 データ主体のEEA域外におけるEU個人データの取り扱いに関する質問に対し、合理的な期間内、遅くとも質問から1か月以内(複雑な請求内容の場合は遅くとも3か月以内に)に回答を受ける権利。
14.3 L&W事業体による本基準違反に対し、適切な是正措置(適切な場合、損害の賠償を含みます。)を受ける権利および苦情を申し立てる権利。但し、職員教育、レイサム アンド ワトキンスのポリシーおよびプライバシー部門、本基準の監査プログラムおよび更新に関する規定違反を除きます。
14.4 データ主体の常居所もしくは勤務地、または本基準の違反が生じたとされる場所が所在する、EEA域内の国におけるデータ保護機関に対して、苦情を申し立てる権利。
14.5 EEA域内の適切な裁判所(かかる裁判所は、当該L&W事業体が設立された場所またはデータ主体の常居所がある法域に所在する裁判所となる可能性があります。)に対し有効な司法救済を求める権利
15. データ主体の権利行使
15.1 第14項記載の権利の行使方法については、本基準の別紙1「レイサム アンド ワトキンス データプライバシー苦情処理手続」に詳細を定めます。
15.2 上記の権利行使を希望するデータ主体は、グローバル データプライバシー オフィスにご連絡ください。フランクフルトに所在するプライバシー コミッティーのChairまたは関連するL&W事業体が所在する地域のデータ保護機関または裁判所に対し、苦情の申立てをすることもできます。
15.3 本基準に基づく権利行使をするデータ主体は、違反が生じたことを示す一応の証拠を提出しなければなりません。
15.4 L&W事業体は、データ主体がEUプライバシー法に従い、適切な委任状に基づいて非営利団体、組織または協会によって代表される場合があることを認識しています。 終了
16. 終了
16.1 本基準の終了または転送の停止に伴い、該当するL&W事業体は、データ輸出者の選択に基づき、EU個人データおよびそのコピーを保持、返却または削除することができます。
16.2 データ輸出者が、該当するL&W事業体による個人データの保持を認めた場合、データ輸入者は、GDPRのデータ転送規定に従い、EU個人データの保護が維持されるよう保証しなければなりません。
16.3 現地法により、データ輸入者としてのL&W事業体がEU個人データの返却または削除を禁じられている場合、当該データ輸入者は、本基準に従い、EU個人データの保護が維持されるよう保証しなければなりません。
本基準発効日:2016年9月
更新:2024年4月