worldwide

worldwide

米国とカナダ以外では MSD の商標を用い、Merck Sharp & Dohme LLCとIntervet を含む(ただし、これに限定されません)Merck & Co., Inc. (米国ニュージャージー州、ローウェイ)では、命を救い、生活を改善するというミッションがプライバシーの尊重と個人情報の保護にまで及びます。

審査日:2023 年 9 月 1 日
発効日:2023 年 9 月 1 日

私たちはプライバシーを尊重した事業活動に取り組んでいます。 それは、倫理的で責任ある行動に対する当社の揺るぎない信念を表しているからです。イノベーションと新しいテクノロジーによって、リスク、期待、法律が常に変化していることを認識しています。私たちはプライバシーの責任基準に従って、そうした変化に速やかに適応することを目指しています。

本ポリシーは、個人情報の移転元や移転先に関わらず、個人情報を、当社、または、当社の委託先が管理・保護する際のグローバルな基準を定義しています。これは、APEC 越境プライバシー ルール認証、ならびにEU拘束的企業準則(BCR)、および EU-米国間データ プライバシー フレームワーク(DPF)プログラム、DPF の英国への拡張、スイス-米国間データ プライバシー フレームワーク プログラムの遵守をサポートする当社の中心的な責任ある取り組みを説明しています。

当社は、米国商務省が定める EU-米国間データ プライバシー フレームワーク プログラム(EU-米国間DPF)、英国の EU-英国間DPF への拡張、スイス-米国間データ プライバシー フレームワーク プログラム(スイス-米国間DPF)に準拠しています。当社は、EU-米国間 DPF に基づいて欧州連合から受け取った個人情報ならびに英国の EU-米国間 DPF への拡張に基づいて英国(およびジブラルタル)から受け取った個人情報の処理に関し、データ プライバシー フレームワーク原則(EU-米国間DPF 原則)に準拠することを米国商務省に証明しています。当社は、スイス-米国間 DPF に基づいてスイスから受け取った個人情報の処理に関し、スイス-米国間データ プライバシー フレームワーク原則(スイス-米国間DPF 原則)に準拠することを米国商務省に証明しています。本ポリシーの条項と EU-米国間DPF 原則および/またはスイス-米国間DPF 原則との間に抵触がある場合は、本原則が適用されるものとします。 データ プライバシー フレームワーク(DPF)プログラムの詳細、および当社の認証については、https://www.dataprivacyframework.gov/ をご覧ください。

本ポリシーは、当社が世界各国で展開している事業活動と、各子会社や部門(当社の事業継承者を含む)で取り扱う個人情報に関連するあらゆる活動、すなわち、研究、製造、営業、それらに対するサポート部門や、それらの活動を実施するために必要なデータ転送などに適用されます。これには以下が含まれますが、これらに限定されるものではありません。

  • 研究と製造:医療や健康に関するイノベーションのニーズと機会の評価。調査研究の開始、管理、資金提供。当社の調査研究や製品開発をサポートする研究者、科学・倫理委員会メンバー、ビジネスパートナーなどの評価と招聘。調査研究の被験者募集。治験薬や市販品の安全性、有効性、品質の評価。有害事象や製品品質に関する苦情の処理と報告など、製品の安全性と品質に関する義務の履行。薬事規制当局への承認申請と製品の収載。関連する法令や倫理要件の遵守。
  • 販売:当社製品の市場の評価。製品の広告、マーケティング、販売、流通、配送。顧客である医療従事者、医療保険支払者、患者および当社製品のその他のエンドユーザー、ならびに製品利用者の介護者とのコミュニケーションや関わり。イベントの後援と実施。営業活動を支援するビジネスパートナーの評価と関わり。関連する法令や倫理要件の遵守。
  • 企業支援:社員の求人、採用、管理、育成、連絡、報酬。社員とその扶養家族の福利厚生の事務管理。社員の業績・能力評価の実施。トレーニングその他の学習・能力開発プログラムの提供。社員の懲戒や苦情処理の実施。倫理およびプライバシーの問題の管理と調査の実施。有形および仮想的な資産、ならびにインフラストラクチャの管理とセキュリティ保護。物品やサービスの調達と支払い。環境、健康、安全、その他、企業の社会的責任に対する義務の履行。メディアへの対応。関連する法令や倫理要件の遵守。

本ポリシーは、当社が情報を処理するすべての人、たとえば、医療従事者やその他の顧客、採用候補者、現社員および元社員とその扶養家族、患者、介護者、研究者及び調査研究の参加者、科学・倫理委員会のメンバー、ビジネスパートナー、投資家および株主、政府関係者、およびその他のステークホルダーにも適用されますが、これらに限定されるものではありません。

社員と経営幹部の全員がプライバシーを守る重大な責任を担っています。

当社は、個人情報の保護に関連する不注意による誤りや判断ミスが個人にプライバシーリスクをもたらし、当社の評判、経営、財務、コンプライアンス上のリスクをもたらす可能性があることを認識しています。当社は、個人情報に恒久的または定期的にアクセスするすべての社員およびその他の人員、データの収集または個人情報の処理に用いるツールの開発に従事する人員に対して、本ポリシーに関する適切なトレーニングを実施しています。当社の全社員と当社のために情報を処理するその他の人員は、本ポリシーと適用法令に従って自身の義務を理解し、遵守する責任があります。

プライバシーの価値観と基準

私たちは、プライバシーの基準を適用する方法を含め、人々に関わるあらゆる活動で プライバシーに関する価値観を守ります。当社のプライバシーに関する価値観には、次の4つがあります。

尊重

信頼

保護

遵守

プライバシーに関する懸念は、しばしば、私たちが何者であるか、社会をどう見ているか、私たち自身を定義しているかという本質に関係するものです。したがって、個人情報を使用し、共有する際には、個人や社会全般の見解や関心を尊重し、公平性と透明性を保つように努めます。

信頼は当社の成功に不可欠な要素であるため、当社が個人情報をどのように尊重し、保護するかについて、顧客、社員、患者さん、その他のステークホルダーと信頼関係を築き、かつ維持するよう努めます。

個人情報の誤用は、個人に有形無形の損害を及ぼす可能性があります。そのため、個人への物理的被害、金銭的被害、評判の失墜、およびその他の種類のプライバシー侵害の防止に努めます。

テクノロジーやデータフローの急激な変化や、それに伴うプライバシーのリスクや期待の変化に、法令が常に対応できるとは限りません。そのため、私たちは、グローバルな事業運営の一貫性と効率性を高める方向で、プライバシーとデータ保護に関する法律と規制の精神と条文の両方を遵守するよう努めます。

  1. 私たちは、個人情報を使用するあらゆる活動、プロセス、テクノロジー、第三者との関係に、プライバシーの基準を組み込んでいます。私たちは、当社のプライバシーに関する価値観と基準および適用法令に一致したプライバシー規制を、プロセスやテクノロジーの設計に組み込んでいます。以下に記載するプライバシー 8 原則は、当社のプロセスや活動に関するプライバシーの基準と主要要件、およびそれらをサポートしているテクノロジーの概要をまとめたものです。

    プライバシー原則

    コア コミットメント

    1. 必要性 – 個人情報を収集、使用、共有する前に、なぜ必要なのか、正当な事業目的を具体的に定義して記録します。

    • それらの事業目的および適用される法的要件により個人情報が必要になる期間を決めて記録します。
    • 定義した事業目的および適用される法的要件により必要とされる期間を超えて、必要以上の個人情報を収集、使用、共有したり、識別可能な形で保管してはなりません。
    • ビジネス要件により、活動やプロセスに関する情報を長期にわたって保管する必要が生じた場合は、データを匿名化します。
    • このような必要性要件が、支援技術に組み込まれ、活動やプロセスを支援している第三者に通知されていることを確認します。

    2.公平性 – 個人情報をその関係者に不公平な形で処理してはなりません。
    • 予定している個人情報の収集や使用、その他の処理が個人に有形または無形の損害を及ぼす潜在的または重大なリスクがあるかどうか、保護というプライバシーに関する価値観に従って判断します。
    • データの本質、対象者の種類、あるいは活動に、有形または無形の損害を個人に及ぼす潜在的または重大なリスクが伴う場合、それらの個人に対するメリット、または命を救い生活を改善するという当社のミッションが、損害のリスクを上回ること、ならびに当社が導入している対策、安全管理措置、メカニズムにより当該リスクが軽減されていることを確認します。
    • リスクが個人のメリットを上回ると見られる状況では、最も適切なセキュリティと保護対策を適用し、その事実を個人に伝え、可能な限り管轄権のある規制当局の助言を求めます。
    • 適用法令で明示的に要求または許可されている場合、かつ本人の明確な同意がある場合にのみ、機密に分類される個人情報を処理できます。
    • リスクが個人のメリットを上回ると見られる状況では、リスク分析を文書化し、リスクを可能な限り最小限に抑えるために必要なメカニズムを設計します。

    3.透明性 – 個人情報を不透明な手段や目的で処理してはなりません。
    • このポリシーに基づいて個人情報が処理される対象者全員に、このポリシーのコピーを入手する権利があります。本ポリシーは、https://www.msdprivacy.com/index.html からオンラインでコピーを作成できます。下記の住所に要請すれば、グローバル プライバシー オフィスが本ポリシーの電子コピーまたは書面のコピーを提供します。
    • 個人情報を個人から直接収集する場合は、情報の収集前に、明白でわかりやすく、容易にアクセスできるプライバシー通知または同様の手段を通して、(1) 処理を担当する法人または事業体、(2) チーフ プライバシー オフィサーまたは現地のデータ プライバシー責任者の連絡先、(3) 収集する情報、(4) 使用目的、(5) 当社が処理を行う法的根拠、(6) 共有先(政府当局からの法的要請を受けての個人情報の開示要求を含む)、(7) 当社が個人情報を他の国に移転するかどうか、またその方法(可能な場合は関係各国を含む)、(8) 保管期間または当社の決定基準、(9) 個人情報に関連する質問、懸念の表明、権利を行使する方法、(10) 既に行った同意を撤回する方法、(11) 監督機関に苦情を申し立てる権利、(12) 個人情報を提供する義務および提供しなかった場合に生じる結果、(13) 当社が行うプロファイリングを含む自動化された意思決定、(14) このポリシーへのリンク(可能かつ適切な場合)についてお知らせします。ステークホルダー向けの包括的なプライバシー通知は、http://www.msd.com/about/how-we-operate/privacy/transparency-and-privacy.html からオンラインで入手できます。
    • 個人情報を調査、センサー、その他の間接的な手段により入手する場合は、情報の収集時にプライバシー通知を直接個人に表示できない可能性があります。そのような場合は、情報を取得する機器やその機器に関連する資料に掲載または印刷するなど、他の手段によって、その個人に対する透明性を確保します。
    • 個人情報をウェブサイト、モバイル アプリ、その他のオンライン アプリケーションやリソースから収集する場合は、インターネット プライバシー ポリシー およびグローバル オンライン トラッキング ポリシーに記載されているテクノロジー固有の基準を適用して、このプライバシー ポリシーに基づく透明性の要件が満たされるようにしています。
    • 当社の明確な指示なしに、個人情報を他の情報源から収集する場合は、情報を入手する前に、当社が情報を使用する方法と目的を、情報提供者が個人に通知済みであることを書面で確認します。書面による確認を情報提供者から入手できない場合は、匿名化された情報のみを使用するか、個人情報を使用する前に、影響を受ける個人にプライバシー通知または同様の手段を通して、(1) 処理を担当する法人または事業体、(2) チーフ プライバシー オフィサーまたは現地のデータ・プライバシー責任者の連絡先、(3) 収集する情報、(4) 使用目的、(5) 当社が処理を行う法的根拠、(6) 共有先、(7) 当社が個人情報を他の国に移転するかどうか、またその方法(可能な場合は関係各国を含む)、(8) 当社による保管期間、(9) 個人情報に関連する質問、懸念の表明、権利を行使する方法、(10) 既に行った同意を撤回する方法、(11) 監督機関に苦情を申し立てる権利、(12) 個人情報を提供する義務および提供しなかった場合に生じる結果、(13) 当社が行うプロファイリングを含む自動化された意思決定、(14) このポリシーへのリンク(可能かつ適切な場合)について知らせます。
    • 可能な場合は、個人の権利要請をサポートするメカニズムを含む、透明性に必要なメカニズムがサポートテクノロジーの設計に組み込まれていること、また当社の活動やプロセスを支援している第三者が、当社および委託先による情報の取り扱いについて、プライバシー通知やその他の明確な手段で通知された内容と異なる方法で個人情報を処理しないことを保証します。
    • 同意を求める際には、当社の使用するテクノロジーで同意の証拠を取得し、文書化します。

    4.目的の限定 – 個人情報は必要性と透明性の原則に従ってのみ使用できます。

    • 以前に収集した個人情報に対する正当な事業目的が新しく特定された場合は、個人情報の新しい使用について個人の同意を得るか、新しい事業目的がプライバシー通知に記載されている目的や、以前個人に提供したその他の透明性メカニズムに適合していること(ほぼ同一であることを含む)を確認します。適合しているかどうかの判断は、次の項目を基準として行います。(1) 当初の目的と新しい目的との間の関連性、(2) 当該個人の合理的な期待、(3) 個人情報の内容、(4) 当該個人に関してさらに処理を進めた場合に予想される結果、(5) 当社が導入している安全管理措置。
    • この原則は、匿名化された情報には適用されません。また、個人情報を歴史的および科学的研究にのみ使用し、(1) 倫理委員会(または他の有識者)がそのような使用に伴う個人のプライバシーや権利のリスクが許容範囲であると判断した場合、(2) 当社が適切な安全管理措置を導入してデータの最小化を行っている場合、(3) 個人情報が仮名化されている場合、かつ (4) その他の適用法令がすべて遵守されている場合にも適用されません。
    • レポート機能やダウンストリームのデータ共有を含むサポートテクノロジーに、目的制限の制約が確実に組み込まれるよう設計します。

    5.データ品質 – 個人情報を正確、完全、最新の状態に保ち、使用目的との一貫性を維持します。

    • ソース及びダウンストリームシステムに対してデータの正確性を検証するためのサポートテクノロジーに、定期的なデータ レビュー メカニズムが確実に組み込まれるよう設計します。
    • 機密情報を使用、評価、分析、報告、処理する前に、それが正確かつ最新の情報であることを確認します。不正確なデータや古いデータを使用した場合は、人々に対して不公平になるおそれがあります。
    • 当社または委託先の第三者が個人情報に変更を加えた場合は、それらの変更について関係する個人に合理的に可能な場合、タイムリーに関係者に連絡されるようにします。

    6.セキュリティ – 個人情報や機密情報を紛失、誤用、不正アクセス、開示、改ざん、破壊から保護する対策を講じます。
    • 当社では最新テクノロジーのベスト プラクティスと実装コストを考慮に入れて、包括的な情報セキュリティ プログラムを実施し、情報の機密性と活動のリスク レベルに基づいてセキュリティ制御を適用しています。機能的なセキュリティポリシーには、business continuity (事業継続性)とdisaster recovery (災害復旧)、暗号化、ID とアクセスの管理、情報分類、情報セキュリティのインシデント管理、ネットワーク アクセス制御、物理的な保全、リスク管理などが含まれます。

    7.データ移転 – 個人情報を他の組織や外国と送受信する場合にも、プライバシーの保護の責任を負い、これを継続します。

    (1) 当社は次の要件が満たされた場合に個人情報を移転します。

    • (1) 個人情報を最初に収集した時点での目的または当社のその他の正当な利益を達成するために共有が必要であること、(2) 個人情報を共有する目的および個人情報が共有されるという事実が、プライバシー通知または個人情報を最初に収集し当該個人が必要に応じてそれに同意した時点で当該個人に提供された透明性メカニズムと矛盾していないこと。(3) 当社の子会社のうち一社が単独で他の子会社を代理して個人情報の処理を行う場合であること、(4) 法律上必要であればこのポリシーの原則 8 に従ってグループ会社間のデータ処理契約を締結すること。(5) IT インフラストラクチャで個人情報の移転が必要となる場合は、移転の条件を遵守するための適切なセキュリティおよび組織的な措置がすべて講じられていることを条件とすること。

    (2) 個人情報の移転や第三者による処理は、以下の要件が満たされている場合にのみ許可するとともに、当社が取引する第三者がこれらの要件を満たすことを徹底する責任を負います。

    • 第三者の役割が当社に代わって個人情報を処理することである場合個人情報を第三者に提供したり、第三者を雇用したりする前に、以下のことを実施します。(1) プライバシー デュー デリジェンスを実施して、第三者に関連するプライバシー慣行とリスクを評価する。(2) 第三者が当社の指示のみに基づいて、このプライバシー ポリシーに規定したプライバシー 8 原則のすべて、その他の基準、および適用法令に従って個人情報を処理すること、本ポリシーおよび適用法令に定める基準を遵守することができない場合を含むプライバシー インシデント、またはセキュリティ インシデントが発生した場合は直ちに当社に通知し、確認されたインシデントを速やかに修正し、以下のセクション 2 に定める個人の権利に対処するよう協力すること、当該第三者らが他の会社に委託して個人情報の処理を行わせていないこと(事前に当社が書面で承認しており、かつ当該他の会社との契約により同等のデータ保護義務を当該他の会社に負わせている場合を除く)、MSD に対する役務提供が終了した場合またはMSDが請求した場合には当該第三者らが個人情報を削除または MSD に返却すること、および、これらの要件に対するコンプライアンスの監査と監視を処理期間中に行う許可を当社に与えることについて、第三者から契約上の保証を受け取る。さらに、個人情報の移転が法律で制限されている国や地域からの個人情報を第三者が処理する場合は、第三者への転送が下記 (3) で説明するデータの国際移転の要件を満たしていることを確認します。
    • 第三者の役割が個人情報を当社に提供することである場合、第三者から個人情報を入手する前に、当社の明確な指示なしに他の情報源から個人情報を収集する場合の透明性要件が満たされていることを確認し、個人情報を当社に提供することが法律違反や他者の権利侵害にならないことを表明した契約書を第三者から入手します。
    • 第三者の役割が、当社の明確な指示なしに当社から情報を受け取って処理することである場合、第三者に情報を提供する前に、情報が匿名化されていることを確認し、第三者が適用法令に従って、契約書に規定されている事業目的でのみ情報を使用し、個人を特定しようとしないことを保証する書面を第三者から入手します。
    • 第三者への移転が個人の正当な利益または当社の正当な利益を保護するために必要である場合(1)不正防止または当社の権利の行使もしくは当社の財産の保護を目的として情報を移転することができます。(2) 当社の従業員または当社の敷地もしくは建物等の中にいる第三者の身体的安全を保護する目的で情報を移転することができます。または、(3) 違法行為または重大な不正がなされたと合理的に疑われる場合に、是正的なセキュリティ措置を実施することにより当社の資産を保護することを目的として情報を移転することができます。
    • 第三者の役割が当社のすべてまたは一部を買収することである場合、(1) 買収契約を締結したり経営権を獲得したりする前に、プライバシーのデュー デリジェンスを実施して、その会社のプライバシー慣行や買収または経営権の獲得に関連するリスクを評価し、(2) 個人情報の開示と両社の義務について諸条件を規定したデータ移転契約を締結します。
    • 第三者の役割が当社のすべてまたは一部を買収することである場合、事業譲渡に関連して個人情報を共有する前に、当社は (1) 個人情報の許可された使用についての適切な制限、およびこのポリシーおよび適用法令に定める基準の遵守を含む、買収者に対する個人情報の開示について諸条件を規定したデータ移転契約を締結し、(2) 共有前に個人に関するデータ要素を精査して共有の要件を評価し、(3) このポリシーの透明性と目的制限の原則に従って、個人情報や機密情報を共有する同意を取得し、そして (4) このポリシーおよび適用法令に定める基準を遵守できないことを含む、適切なプライバシー インシデントについて速やかに当社に通知するとともに、確認されたインシデントを速やかに修正するか、個人情報に関わる処理を停止するよう協力することを第三者に求めます。

    (3) 当社は(または会社の代理として)、このポリシーに従って個人情報を外国(米国を含む)へ移転します。このポリシーは、個人情報の移転が法律で制限されている他の国や地域から個人情報を移転する場合にも適用されるほか、当該法律により課される要件(移転元と同じデータ保護の基準を持たない国への国際間移転のためのメカニズムの使用を含む)を遵守する場合にも適用されます)。

    8.法的な許可 – 私たちは適用法令の要件が満たされた場合にのみ、個人情報を処理します。

    • 他の7つのプライバシー原則と、以下に記述する個人の権利の要件は、当社の世界中の事業に適用される多くのプライバシー法とデータ保護法に準拠するように作成されていますが、国によっては以下のような追加要件を満たす必要があります。
      • 1) 法律で義務づけられている場合は、労使協議会や労働組合による処理の承認など、個人情報の一部の処理について特定の形で同意を得ます。
      • 2) 法律で義務づけられている場合は、該当するプライバシーまたはデータ保護の規制当局に個人情報の処理を登録するか、またはそれに関する許可を求めます。
      • 3) 法律で義務づけられている場合は、このポリシーの規定より広い範囲の権利(アクセス権や修正権など)を与えます。
      • 4) 法律で義務づけられている場合は、個人情報のデータ保管期間をさらに制限します。
      • 5) 法律で義務づけられている場合は、第三者へのデータの国際移転に関する取り決めなど、特定の契約条項を盛り込んだ契約を締結します。
      • 6) 法律で義務づけられている場合は、国家安全保障機関または警察機関の要件への対応を含め、公的機関の適法な要求に応えて個人情報を開示します。

      このポリシーと適用法令との間に抵触がある場合は、より強力な個人の保護を提供している基準を優先します。

  2. 個人情報のアクセス、更新、訂正もしくは削除の要請や、個人情報の処理に対する異議の要請、または個人情報に関するその他の権利の行使の要請には迅速に対応します。
    1. アクセス、訂正、削除およびその他の権利 – 当社が事業を展開している多くの国では、自身の個人情報が不正確、不完全、最新ではない場合に、当該個人情報にアクセスして更新、訂正、削除する権利が法律で定められています。個人情報のアクセス、訂正、削除を個人が要請した場合は、下記の3aに従って対応します。アクセス、訂正、削除の要請を規制している適用法令が、より強力な保護を個人に提供する場合は、その法律の追加要件が満たされるようにします。

      国によっては、自らの個人情報に関して、処理の制限を求める権利、処理に関する不服を申し立てる権利(下記 2b 参照)および他のサービス提供者へのデータ移転を請求する権利など、その他の権利が個人に与えられる場合があります。データに関する権利の行使は適用法令に従って対応します。その他の規制要件や現地のコンプライアンス報告への必要性などにより、削除などの権利が制限される場合がありますが、その場合には、必要に応じてこれらの制限についてお知らせいたします。

    2. 選択 – 「尊重」と「信頼」というプライバシーの価値観に従って、過去に参加に同意したプログラムや活動、ダイレクト マーケティングを目的とした個人情報の処理、個人情報からターゲットを絞り込んだコミュニケーション、オートメーションやアルゴリズムの使用によってなされる、重大な影響が及ぶ可能性のある個人についての評価や決定からのオプト アウト をはじめ、当社は個人情報の処理に異議を申し立てる個人の要請を受け入れます。
      1. 法律で禁じられている場合を除いて、特定の選択要請が以下に関して当社を妨げる場合は、その選択を拒否できます。(1) 法律または倫理的義務の遵守。これには、国家安全保障機関または警察機関の要件への対応を含め、公的機関の適法な要求に応えて個人情報の開示が法律で義務づけられている場合も含まれます。(2) 調査、法的主張、法的な防御活動。(3) 透明性と目的制限の原則に従い、当該個人の情報に依拠して締結された契約の履行、関係の管理、または許可されているその他の事業活動への従事。本ポリシーに従って、選択要請を拒否する決定から 15 日以内に、この決定を文書にして依頼者に通知します。
  3. プライバシー関連の質問、苦情、懸念、およびプライバシー インシデントまたはセキュリティ インシデントのすべてに迅速に対応します。
    1. このポリシーの範囲内で個人情報を処理される個人は、このポリシーが適用されるすべての関連会社のリストの開示要請を含む質問、苦情、懸念をいつでも当社に提起することができます。適用法令により、社員および当社の代理として働くその他の者がこのポリシーを遵守できない可能性がある場合は、当該社員および当社の代理として働くその他の者は直ちに通知することが期待されます。個人からの質問、苦情、懸念や、社員または当社の代理として働くその他の者からの通知は、下記のグローバル プライバシー オフィス宛てに送ってください。
      1. 欧州経済地域(EEA)に居住する方からの電子メールの宛先:euprivacydpo@msd.com
      2. その他の方からの電子メールの宛先:msd_privacy_office@msd.com
      3. 郵送:Privacy Office, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, USA 19454
    2. 社員および契約業者は、当社のプライバシー慣行に関する質問、苦情、懸念について、グローバル プライバシー オフィスまたは勤務地の指定されたプライバシー スチュワードに速やかに知らせる必要があります。
    3. グローバル プライバシー オフィスは、社員やその他の個人から直接受け取ったか、規制当局、管理責任機関、その他の政府当局を含むがこれらに限定されない第三者を介して受け取ったかに関わらず、当社のプライバシー慣行に関するすべての質問、苦情、懸念を精査し、場合によっては Office of Ethics、法務・コンプライアンス部門と協力して調査します。当社に質問、苦情、懸念を提起した個人や法人には、30暦日以内に対応します。 ただし、法律または第三者である要求者がより短期間での回答を求めている場合や、政府の並行調査などによって回答に 30 日よりも長い期間を要する状況では、この限りではありません。その場合は、できる限り速やかに遅延の理由を個人や第三者である要求者に書面で通知します。
    4. グローバルプライバシーオフィスは、法務・コンプライアンスと協力して、プライバシーの規制当局の質問、視察、調査に対応します。
    5. 苦情を申し立てた個人と当社との間で解決できない問題については、当社は苦情の調査と解決にあたる以下の紛争解決手続に参加して、このポリシーに基づき紛争解決をすることに同意していますが、EEA 圏内に在住する個人や、個人情報が EEA のデータ保護法に従って EEA 圏外に移転される個人は随時、下記の基準 3.f. に依拠することもできます。
      1. 人事の活動に関する、EEA および英国での雇用関係において収集された個人情報の米国への移転に関する紛争については、当社は適切な EU および英国のデータ保護当局委員会と協力します。
      2. 人事の活動に関する、スイスでの雇用関係において収集された個人情報の米国への移転に関する紛争については、当社はスイスのデータ保護監督機関(FDPIC)と協力します。
      3. 当社は、アジア太平洋経済協力会議(APEC)の諸国間における越境プライバシー ルール(CBPR)の遵守に基づく個人情報の移転に関する紛争について、当社の説明責任者である BBB National Programs による紛争解決に同意しています。当社の参加範囲の詳細について、またはBBB National Programs を通じてプライバシーに関する問い合わせを送信する 場合は、このページ下にある公式ロゴをクリックしてください。
      4. EU-米国間データ プライバシー フレームワーク(DPF)プログラム、DPF の英国への拡張、スイス-米国間データ プライバシー フレームワーク プログラムを通じた人事以外の活動に関する個人情報の移転に関連する紛争については、BBB National Programs が運営する独立した紛争解決機構であるデータ プライバシー フレームワーク サービスによる紛争解決(無料)に同意しています。苦情について迅速な通知が届かない場合、または苦情の対応にご満足いただけない場合は、https://bbbprograms.org/programs/all-programs/dpf-consumers/ProcessForConsumersにアクセスし、苦情を申し立てることができます。
      5. 本条項で説明されている手順に則って解決されない、EU-米国間データ プライバシー フレームワーク(DPF)プログラム、DPF の英国への拡張、スイス-米国間データ プライバシー フレームワーク プログラム、のもとで起こる紛争については、一定の条件の下、他の救済手段では解決されない一部の苦情に対して各自が拘束力のある仲裁を申し立てることができます。詳しくは、https://www.dataprivacyframework.gov/s/article/G-Arbitration-Procedures-dpf?tabset-35584=2をご覧ください。
    6. EEA 圏内に在住する個人や、個人情報が EEA のデータ保護法に従って EEA 圏外に移転される個人、個人情報がこのポリシーに従って処理される個人はすべて、このポリシーの下、第三者受益者として、いつでもこのポリシーの要件を執行する権利があります。これには、このポリシーの下で、自己の権利の侵害に対する救済を求めて訴訟を起こす権利(上記セクション 2 に記載)や、その侵害から生じた損害に対して賠償金を受け取る権利を含みます。EEA 圏内に在住する個人や、個人情報が EEA のデータ保護法に従って EEA 圏外(米国も含む)に移転される個人は、このポリシーの下、個人情報の EEA 圏外への移転に責任を負う当社子会社に対して、以下の機関へ訴訟または異議申し立てを提起することができます。
      1. EEA 所在のデータ移転者を管轄する司法当局
      2. 当社の欧州データ保護責任者が所在する国の司法当局
      3. 所轄のデータ保護機関(特に、その者の居住地、勤務地、または侵害が疑われる場所の加盟国)
      4. 当社の BCR を指示した所轄の主要データ保護機関(フランスの CNIL など)
    7. 当社は、質問または懸念を提起した個人または法人に 30 暦日以内に対応します。ただし、法律または第三者である要求者がより短期間での回答を求めている場合や、回答に 30 日よりも長い期間を要する状況では、この限りではありません。その場合は、個人や第三者である要求者に書面で通知します。
  4. 私たちはプライバシーに関する価値観と基準を守る責任があります。
    1. 立証されたプライバシーインシデントまたはセキュリティインシデントを引き起こした行為について責任を負う当社の子会社は、そのインシデントから生じた損害賠償請求や罰金または罰則の支払責任を負います。
      1. 欧州データ保護責任者は、グローバル プライバシー オフィスと連携し、その指示により、EEA 圏内に在住する個人や EEA のデータ保護法に従って EEA 圏外に個人情報が移転される個人に影響する EEA 圏外の当社子会社によるポリシー違反の申し立てに対して、必要な措置を講じます。また、義務が生じた場合、Merck, Sharp & Dohme (Europe) Inc., USA – Belgium Branch(以下「MSD ヨーロッパ」)は、EEA 圏内に在住する個人や EEA のデータ保護法に従ってEEA圏外に個人情報が移転される個人に影響するポリシー違反に対して、EEA 圏外の子会社が負うものと認められた罰金、罰則、損害賠償金を支払う責任があります。グローバル プライバシー オフィスと、違反嫌疑の説明責任を負うべき EEA 圏外の子会社の協力を得て、欧州データ保護責任者はそのような違反の責任がないことを証明する責任があります。罰金、罰則、損害賠償金が生じた行為の説明責任を別の子会社が負う状況では、その子会社は MSD ヨーロッパが支払った金額を速やかに払い戻さなければならない場合があります。EEA 圏外に所在する当社の子会社がこのポリシーに違反した場合は EEA 圏内の裁判所またはデータ保護機関が裁判管轄権を有し、違反の影響を受けた個人に対しては上記のセクション 3.f. に記載したとおり欧州データ保護責任者に対する権利および救済が与えられます。 Merck Sharp & Dohme LLC. は、グローバル プライバシー オフィスと連携し、その指示により、EEA 圏外に在住する個人に影響するポリシー違反の申し立てに対し、必要な措置を講じます。また、義務が生じた場合は、EEA 圏外に在住する個人や EEA のデータ保護法が個人情報に適用されない個人に影響するポリシー違反に対して認められた罰金、罰則、損害賠償金を支払う責任があります。罰金、罰則、損害賠償金が生じた行為の説明責任を別の子会社が負う状況では、その子会社は Merck Sharp & Dohme LLC. が支払った金額を速やかに払い戻さなければならない場合があります。

監督と監視

当社が倫理的かつ責任あるプライバシー慣行への取り組みに責任を負っていることを、規制当局やその他のステークホルダーに保証するために、当社はチーフ プライバシー オフィサ が率いる大規模な監督・監視のガバナンス グループと専用のグローバル プライバシー オフィス(GPO)、EU DPO、各国 DPO(法律または現地当局が設置を義務づけている場合) を有しています。そして、上級管理職者が任命した プライバシー スチュワード がグローバル プライバシー オフィスと担当組織分野の連絡役の役割を果たしています。

当社は、本ポリシーや APEC CPBR などの法律要件を遵守しているかどうかを定期的に確認する法律上の責任を、プライバシー アカウンタビリティ エージェントに委ねています。

グローバル プライバシー オフィスによって管理される保証審査に加え、内外の監査チームや保証チームがコンプライアンスの審査を実施して、当社がこのポリシーと、それに従属するポリシー、手続き、基準、ガイダンスに従っていることを確認します。監査チームと保証チームが不備を見つけた場合は、是正措置および予防措置の計画を立てて実施します。監査プログラムの結果は、このポリシーの記載どおり、報告義務を負うチーフ プライバシー オフィサー、関連する DPO、およびとデータ保護委員会に通知されます。

このポリシーを承認した、または当社の事業拠点を管轄する、プライバシーおよびデータ保護機関は、このポリシーに基づいて、当社がこのポリシーを遵守しているかどうかを確認する権利があります。当社は、このポリシーの解釈と適用に関して、これら所轄庁のアドバイスに従います。

知っておくべき用語

  • 匿名化。情報単独で、または他の情報と組み合わせることによって、個人を特定したり、位置を特定したり、個人に連絡したりできないように、個人情報を復元不能な形で改変、短縮、抹消、編集、修正すること。
  • 法律。当社が事業を営む国、または、当社に代わって個人情報が処理される国で法的拘束力のあるすべての適用法令、規則、規制、意見の命令。これには、EU 拘束的企業準則(「BCR」)、アジア太平洋経済協力会議(「APEC」)越境プライバシー ルール(「CBPR」)、EU-米国間データ プライバシー フレームワーク(DPF)プログラム、DPF の英国への拡張、スイス-米国間データ プライバシー フレームワーク プログラム(米連邦取引委員会の調査・執行力に基づく)など、当社が承認または認定されているプライバシーの枠組みすべてが含まれます。
  • 当社。Merck & Co., Inc.(米国ニュージャージー州、ローウェイ)とその事業承継者、世界中の子会社と各国事業部。ただし、当社が当事者となっている合弁企業を除きます。
  • 個人情報。識別された個人に関するデータ、または識別可能な個人データ。個人を特定するデータや、個人の識別、所在把握、追跡、連絡に使用される可能性のあるデータを含みます。個人情報には、氏名、識別番号、一意の役職などの直接識別可能な情報と、生年月日、一意のモバイルまたはウェアラブル デバイス識別子、電話番号などの間接的に識別可能な情報、およびキーコード化されたデータ、サービスまたは製品を提供するために収集される可能性のある個人の活動、行動、もしくは好みが含まれます。
  • プライバシー インシデント。セキュリティ インシデントを含む、本ポリシー、プライバシー法、データ保護法などの違反または侵害。プライバシー インシデントが発生したかどうか、また、当該プライバシー インシデントが個人データ侵害となるかどうかは、グローバル プライバシー オフィス、Information Technology Risk Management and Securit(ITRMS)および Office of General Counsel が判断します。
  • 処理。個人に関する情報に対して実施する一連の操作。自動的な手段かどうかを問わず、収集、記録、整理、保管、アクセス、改変、修正、検索、協議、使用、評価、分析、報告、共有、開示、普及、転送、提供、調整、結合、阻止、削除、消去、廃棄を含みますが、これらに限定されません。
  • 個人データ侵害。セキュリティが侵害された結果として、個人情報の毀損、消失、改変もしくは不正な開示もしくは個人情報への不正なアクセスが偶発的もしくは違法な形で発生すること、またはそれらがそのように発生したことを MSD が合理的に確信していること。本ポリシーに違反する意図なく当社または当社の代理人が個人情報にアクセスした場合、アクセスした情報がこのポリシーの許容範囲内で使用および開示されるのであれば、個人データ侵害とは見なされません。
  • 機密情報。法律で機密と定義されている情報を含め、個人に危害を及ぼすリスクが内在する個人的な情報。例えば、健康、遺伝、生体情報、人種、民族、宗教、政治的または哲学的見解や信念、犯罪歴、正確な位置情報、銀行その他の金融口座番号、政府発行の身分証明書番号、未成年の子供、性生活、性的指向、労働組合への加入、保険、雇用主や政府が支給する社会保障やその他の給付などが相当しますが、これらに限定されません。
  • 第三者。当社が所有していない、あるいは当社が経営権を持たない法人、組合、人、または当社が雇用していない個人。本ポリシーに明記されている場合を除き、当社の子会社や部門は、本ポリシーに基づく「第三者」の要件を満たす必要はありません。子会社のひとつが他の子会社の処理を支援する場合も含め、子会社や部門はすべて、本ポリシーに従って個人情報を処理する必要があります。

本ポリシーの変更

本ポリシーは、適用法の要件に沿って随時改定される可能性があります。本ポリシーに重要な変更が行われる場合は、当社のプライバシー ウェブページ(https://www.msdprivacy.com/) に60日間掲載されます。