アメリカ合衆国とカナダ以外においてMSDの商号で知られているMerck & Co., Inc. (アメリカ合衆国、ニュージャージー州、ローウェイ)では、命を救い、生活を改善するというミッションがプライバシーの尊重と個人情報の保護にまで及びます。
レビュー実施日:2022年5月1日
発効日:2022年5月1日
私たちはプライバシーを尊重した事業活動に取り組んでいます。それは、倫理的で責任ある行動に対する当社の揺るぎない信念を表しているからです。革新と新しいテクノロジーによって、リスク、期待、法律が常に変化しています。私たちはプライバシーの責任基準に従って、そうした変化に速やかに適応することを目指しています。
このポリシーは、個人情報の移転元や移転先に関わらず、個人情報を、当社、または、当社の委託先が管理・保護する際のグローバルな基準を定義しています。また、APEC 越境プライバシールールの証明書、ならびに 欧州連合で承認されている当社の拘束的企業準則(BCR)、およびEU-米国間プライバシーシールドおよびスイス-米国間プライバシーシールド の遵守をサポートする当社の中心的な責任を説明しています。このポリシーは、当社が世界各国で展開している事業活動と、各子会社や部門(当社の事業承継者を含む)で取り扱う個人情報に関連するあらゆる活動、すなわち、研究、製造、販売、企業支援活動や、それらの活動を実施するために必要なデータ転送などに適用されます。
- 研究と製造:医療や健康に関する革新のニーズと機会の評価。調査研究の提案、管理、資金援助。当社の調査研究や製品開発をサポートする研究者、科学・倫理委員会メンバー、提携企業などの評価と雇用。調査研究の求人。治験薬や市販品の安全性、有効性、品質の評価。有害事象や製品品質に関する苦情の処理と報告など、製品の安全性と品質に関する義務の履行。薬事規制当局への認可申請と登録。関連する法令や倫理要件の遵守。
- 商業活動:当社製品の市場の評価。製品の広告、宣伝、販売、流通、配達。顧客である医療従事者、医療保険払込者、患者など、当社製品の末端利用者や、製品利用者の介護者とのコミュニケーションと関係構築。イベントの主催と実施。宣伝活動を支援する提携会社の評価と雇用。関連する法令や倫理要件の遵守。
- 企業支援:社員の求人、雇用、管理、育成、連絡、給与支払。社員とその扶養家族の給付の事務管理。社員の業績・能力評価の実施。トレーニングその他の学習・能力開発プログラムの提供。社員の懲戒手続や苦情処理手続。倫理およびプライバシーの事案管理と調査の実施。有形資産、仮想資産、インフラストラクチャの管理とセキュリティ保護。物品やサービスの調達と支払。環境、健康、安全、その他、企業の社会的責任に対する義務の履行。メディアへの対応。関連する法令や倫理要件の遵守。
このポリシーは、当社が情報を処理するすべての人、例えば、医療従事者や他の顧客、採用候補者、現社員、退職社員とその扶養家族、患者、介護者、研究者、調査研究の参加者、科学・倫理委員会のメンバー、提携会社、投資者、株主、政府関係者、その他のステークホルダーにも適用されます。
社員と経営幹部の全員がプライバシーを守る重大な責任を担っています。
当社は、個人情報の保護に関連する不測の誤りや判断ミスが個人にプライバシーのリスクをもたらし、会社にレピュテーションや、経営、財務、コンプライアンス上のリスクをもたらしうることを認識しています。当社は、データの収集または個人情報の処理に用いるツールの開発に従事するすべての従業員およびその他の人員であって個人情報に恒久的または定期的にアクセスする者に対して、このポリシーに関する適切な研修を実施しています。当社の全社員と当社のために情報を処理する者全員が、このポリシーと適用法令に従って自身の義務を理解し、全うする責任があります。
プライバシーの価値観と基準
私たちは、プライバシーの基準を適用する方法を含め、人々に関わるあらゆる活動で プライバシーの価値を守ります。当社には次の4つのプライバシーの価値があります。
尊重 | 信頼 | 侵害防止 | 遵守 |
---|---|---|---|
プライバシーの懸念は多くの場合、当社の企業理念、世界観、自己認識に関連しています。したがって、個人情報をどのように使用し、共有するかについて、個人と地域社会の見解や利益を尊重し、公平性と透明性を保つように心がけています。 | 信頼は当社の成功に不可欠な要素であるため、当社が個人情報をどのように尊重し、保護するかについて、顧客、社員、患者、その他のステークホルダーと信頼関係を築いて維持するよう心がけています。 | 個人情報の不正使用は個人に対して有形無形の損害を及ぼす可能性があるため、プライバシーに関する物理的損害、経済的損害、レピュテーションリスク、その他の損害を防ぐ努力をしています。 | テクノロジーやデータフローの急激な変化や、それに伴うプライバシーのリスクや期待の変化に、法令が常についていけるとは限りません。私たちはプライバシーとデータ保護の法令の精神と条項を遵守することでグローバルな事業運営の一貫性と業務効率を高めようとしています。 |
- 私たちは、個人情報を使用するあらゆる活動、プロセス、テクノロジー、第三者との関係に、プライバシーの基準を組み込んでいます。私たちは、プライバシーの価値と基準および適用法と一貫性のあるプライバシー規制を、プロセスやテクノロジーの設計に組み込んでいます。以下に記載するプライバシー8原則は、当社のプロセスや活動に関するプライバシーの基準と主要要件、およびそれらをサポートしているテクノロジーについて概要をまとめたものです。
プライバシー原則
コアコミットメント
1. 必要性 – 個人情報を収集、使用、共有する前に、なぜ必要なのか、正当な事業目的を具体的に定義して記録します。
- それらの事業目的および適用される法的要件により個人情報が必要になる期間を決めて記録します。
- 定義した事業目的および適用される法的要件により必要とされる期間を超えて、必要以上の個人情報を収集、使用、共有したり、識別可能な形で保管してはなりません。
- ビジネス要件により、活動やプロセスに関する情報を長期にわたって保管する必要が生じた場合は、データを匿名化します。
- このような必要性要件が、支援技術に組み込まれ、活動やプロセスを支援している第三者に通知されていることを確認します。
2. 公平性 – 個人情報をその関係者に不公平な形で処理してはなりません。
- 予定している個人情報の収集や使用、その他の処理が個人に有形または無形の損害を及ぼす潜在的または重大なリスクがあるかどうか、プライバシーの価値に従って判断し、損害を防ぐことが必要です。
- データの本質、対象者の種類、あるいは活動に、有形・無形の損害を個人に及ぼす潜在的または重大なリスクが伴う場合、それらの個人に対するメリット、または命を救い生活を改善するという当社のミッションが、損害のリスクを上回ること、ならびに当社が導入している保護措置および保護メカニズムにより当該リスクが軽減されていることを確認する必要があります。
- リスクが個人のメリットを上回ると見られる状況では、最も適切なセキュリティと保護対策を適用し、その事実を個人に伝え、可能な限り管轄権のある規制当局の助言を求めます。
- 適用される法で明示的に要求または許可されているところに従って、本人の明確な同意がある場合にのみ、機微情報や個人情報を処理できます。
- リスクが個人のメリットを上回ると見られる状況では、リスク分析を文書化し、リスクを可能な限り最小限に抑えるために必要なメカニズムを設計します。
3. 透明性 – 個人情報を不透明な手段や目的で処理してはなりません。
- このポリシーに基づいて個人情報が処理される対象者全員に、このポリシーのコピーを入手する権利があります。このポリシーは、https://www.msdprivacy.com/index.htmlからオンラインでコピーを作成できます。下記の住所に要請すれば、MSDグローバルプライバシーオフィスがこのポリシーの電子コピーまたは書面のコピーを提供します。
- 個人情報を個人から直接収集する場合は、情報の収集前に、明白でわかりやすく、容易にアクセスできるプライバシー通知または同様の手段を通して、(1) 処理を担当する法人または事業体、(2) チーフプライバシーオフィサーまたは現地のデータプライバシー責任者の連絡先、(3) 収集する情報、(4) 使用目的、(5) 当社が処理を行う法的根拠、(6) 共有先(政府当局からの法的要請を受けての個人情報の開示要求を含む)、(7) 当社が個人情報を他の国に移転するかどうか、またその方法(可能な場合は関係各国を含む)、(8) 保管期間または当社の決定基準、(9) 個人情報に関連する質問、問題提起、権利を行使する方法、(10) 既に行った同意を撤回する方法、(11) 監督機関に苦情を申し立てる権利、(12) 個人情報を提供する義務および提供しなかった場合に生じる結果、(13) 当社が行う自動的意思決定(プロファイリングを含む)、(14) このポリシーへのリンク(可能かつ適切な場合)について知らせます。ステークホルダー向けの包括的なプライバシー通知は、http://www.msd.com/about/how-we-operate/privacy/transparency-and-privacy.htmlからオンラインで入手できます。
- 個人情報を調査、センサー、その他の間接的な手段により入手する場合は、情報の収集時にプライバシー通知を直接個人に表示できない可能性があります。そのような場合は、情報を取得する機器やその機器に関連する資料に掲載または印刷するなど、他の手段によって、その個人に対する透明性を確保します。
- 個人情報をウェブサイト、モバイルアプリ、その他のオンラインアプリケーションやリソースから収集する場合は、インターネットプライバシーポリシー および グローバル オンライン トラッキング ポリシーに記載されているテクノロジー固有の基準を適用して、このプライバシーポリシーに基づく透明性の要件が満たされるようにしています。
- 当社の明確な指示なしに、個人情報を他の情報源から収集する場合は、, 、情報を入手する前に、当社が情報を使用する方法と目的を、情報提供者が個人に通知済みであることを書面で確認します。書面による確認を情報提供者から入手できない場合は、匿名化された情報のみを使用するか、個人情報を使用する前に、影響を受ける個人にプライバシー通知または同様の手段を通して、(1) 処理を担当する法人または事業体、(2) チーフプライバシーオフィサーまたは現地の個人情報管理責任者の連絡先、(3) 収集する情報、(4) 使用目的、(5) 当社が処理を行う法的根拠、(6) 共有先、(7) 当社が個人情報を他の国に移転するかどうか、またその方法(可能な場合は関係各国を含む)、(8) 当社による保管期間、(9) 個人情報に関連する質問、問題提起、権利行使を行う方法、(10) 既に行った同意を撤回する方法、(11) 監督機関に苦情を申し立てる権利、(12) 個人情報を提供する義務および提供しなかった場合に生じる結果、(13) 当社が行う自動的意思決定(プロファイリングを含む)、(14) このポリシーへのリンク(可能かつ適切な場合)について知らせます。
- 可能な場合は、個人の権利要請をサポートするメカニズムなど、透明性に必要なメカニズムが支援テクノロジーの設計に組み込まれていること、また当社の活動やプロセスを支援している第三者が、当社および委託先による情報の取り扱いについて、プライバシー通知やその他の明確な手段で通知された内容と異なる方法で個人情報を処理しないことを確認します。
- 同意を求める際には、当社の使用するテクノロジーで同意の証拠を取得し、文書化します。
4. 目的の制限 – 個人情報は必要性と透明性の原則に従ってのみ使用できます。
- 以前に収集した個人情報に対する正当な事業目的が新しく特定された場合は、個人情報の新しい使用について個人の同意を得るか、新しい事業目的がプライバシー通知に記載されている目的や、以前個人に提供したその他の透明性メカニズムに適合していること(ほぼ同一であることを含む)を確認します。適合しているかどうかの判断は、次の項目すべてを基準として行います。(1) 当初の目的と新しい目的との間の関連性、(2) 当該個人の合理的な期待、(3) 個人情報の内容、(4) 当該個人に関してさらに処理を進めた場合に予想される結果、(5) MSDが導入している保護措置。
- この原則は、匿名化された情報には適用されません。また、個人情報を歴史的および科学的研究にのみ使用し、(1) 倫理評価委員会(または他の有識者)がそのような使用に伴う個人のプライバシーや権利のリスクが許容範囲であると判断した場合、(2) 当社が適切な保護措置を導入してデータの最小化を行っている場合、(3) 個人情報が仮名化されている場合、かつ (4) その他の適用法令がすべて遵守されている場合にも適用されません。
- 報告機能やダウンストリームのデータ共有を含む支援テクノロジーの設計に、目的制限の制約が組み込まれるようにします。
5. データ品質 – 個人情報を正確、完全、最新の状態に保ち、使用目的との一貫性を維持します。
- 定期的なデータレビューメカニズムを支援テクノロジーの設計に組み込んで、情報源およびダウンストリームシステムと比較してデータの正確性を検証します。
- 機微情報を使用、評価、分析、報告、処理する前に、それが正確かつ最新の情報であることを確認します。不正確なデータや古いデータを使用した場合は、人々に対して不公平になるおそれがあります。
- 当社または委託先の第三者が個人情報に変更を加えた場合は、それらの変更について関係する個人に合理的に可能な場合適時に連絡する必要があります。
6. セキュリティ – 個人情報や機密情報を消失、誤用、不正アクセス、開示、改変、破壊から保護する対策を講じます。
- 当社では最新テクノロジーのベストプラクティスと実装コストを考慮に入れて、包括的な情報セキュリティプログラムを実施し、情報の機密性と活動のリスクレベルに基づいてセキュリティ制御を適用しています。機能的なセキュリティポリシーには、ビジネスコンティニュイティ(事業継続性)とディザスタリカバリ(災害復旧)、暗号化、IDとアクセスの管理、情報分類、情報セキュリティのインシデント管理、ネットワークアクセス制御、物理的な保全、リスク管理などが含まれます。
7. データ移転 – 個人情報を他の組織や外国と送受信する場合にも、プライバシーの保護の責任を負い、これを継続します。
(1) 当社は次の要件が充足された場合に個人情報を移転します。
(1) 個人情報を最初に収集した時点での目的または当社のその他の正当な利益を達成するために共有が必要であること、(2) 個人情報を共有する目的および個人情報が共有されるという事実が、プライバシー通知または個人情報を最初に収集し当該個人が必要に応じてそれに同意した時点で当該個人に提供された透明性メカニズムと矛盾していないこと、(3) MSDの子会社のうち一社が単独で他の子会社を代理して個人情報の処理を行う場合であること、(4) 法律上必要であればこのポリシーの原則8に従ってグループ会社間のデータ処理契約を締結すること。 (5) ITインフラストラクチャで個人情報の移転が必要となる場合は、移転の条件を遵守するための適切なセキュリティおよび組織的な措置がすべて講じられていることを条件とすること。(2) 個人情報の移転や第三者による処理は、以下の要件が満たされている場合にのみ許可するとともに、当社が取引する第三者がこれらの要件を満たすことを徹底する責任を負います。
- 第三者の役割が当社に代わって個人情報を処理することであれば、個人情報を第三者に提供したり、第三者を雇用したりする前に、以下のことを実施します。(1) プライバシーデューデリジェンスを実施して、第三者に関連するプライバシー慣行とリスクを評価する。(2) 第三者が当社の指示のみに基づいて、このプライバシーポリシーに規定したプライバシー8原則のすべて、その他の基準、および適用法令に従って個人情報を処理すること、本ポリシーおよび適用法に定める基準を遵守することができない場合を含むプライバシーインシデント、またはセキュリティインシデントが発生した場合は直ちに当社に通知し、確認されたインシデントを速やかに修正し、以下のセクション2に定める個人の権利に対処するよう協力すること、当該第三者らが他の会社に委託して個人情報の処理を行わせていないこと(事前に当社が書面で承認しており、かつ当該他の会社との契約により同等のデータ保護義務を当該他の会社に負わせている場合を除く)、MSDに対する役務提供が終了した場合またはMSDが請求した場合には当該第三者らが個人情報を削除またはMSDに返却すること、および、これらの要件に対するコンプライアンスの監査と監視を処理期間中に行う許可を当社に与えることについて、第三者から契約上の保証を受け取る。さらに、個人情報の移転が法律で制限されている国や地域からの個人情報を第三者が処理する場合は、第三者への移転が下記 (3) で説明するデータの国際移転の要件を満たしていることを確認します。
- 第三者の役割が個人情報を当社に提供することであれば、第三者から個人情報を入手する前に、当社の明確な指示なしに他の情報源から個人情報を収集する場合の透明性要件が満たされていることを確認し、個人情報を当社に提供することが法律違反や他者の権利侵害にならないことを表明した契約書を第三者から入手します。
- 第三者の役割が、当社の明確な指示なしに当社から情報を受け取って処理することであれば、第三者に情報を提供する前に、情報が匿名化されていることを確認し、第三者が適用法令に従って、契約書に規定されている事業目的でのみ情報を使用し、個人を特定しようとしないことを保証する書面を第三者から入手します。
- 第三者への移転が個人の正当な利益または当社の正当な利益を保護するために必要である場合は、(1)不正防止または当社の権利の行使もしくは当社の財産の保護を目的として情報を移転することができます。(2) 当社の従業員または当社の敷地もしくは建物等の中にいる第三者の身体的安全を保護する目的で情報を移転することができます。または、(3) 違法行為または重大な不正がなされたという疑義を当社が抱くことが合理的であるときは是正的な保護措置を実施することにより当社の資産を保護することを目的として情報を移転することができます。
- 第三者が買収または企業支配の対象である場合は、(1) 買収契約を締結したり経営権を獲得したりする前に、プライバシーのデューデリジェンスを実施して、その会社のプライバシー慣行や買収または経営権の獲得に関連するリスクを評価し、(2) 個人情報の開示と両社の義務について諸条件を規定したデータ移転契約を締結します。
- 第三者の役割が当社のすべてまたは一部を買収することである場合は、事業譲渡に関連して個人情報を共有する前に、当社は (1) 個人情報の許可された使用についての適切な制限、およびこのポリシーおよび適用法に定める基準の遵守を含む、買収者に対する個人情報の開示について諸条件を規定したデータ移転契約を締結し、(2) 共有前に個人に関するデータ要素を精査して共有の要件を評価し、(3) このポリシーの透明性と目的の制限に従って、個人情報や機密情報を共有する同意を取得し、そして (4) このポリシーおよび適用法に定める基準を遵守できないことを含む、適切なプライバシーインシデントについて速やかに当社に通知するとともに、確認されたインシデントを速やかに修正するか、個人情報に関わる処理を停止するよう協力することを第三者に求めます。
(3) 当社は(または会社の代理として)、このポリシーに従って個人情報を外国(米国を含む)へ移転します。このポリシーは、個人情報の移転が法律で制限されている他の国や地域から個人情報を移転する場合にも適用されるほか、当該法律により課される要件(移転元と同じデータ保護の基準を持たない国への国際間移転のためのメカニズムの使用を含む)を遵守する場合にも適用されます)。
8. 法的な許可 – 私たちは適用法令の要件が満たされた場合にのみ、個人情報を処理します。
- 他の7原則と、以下に記述する個人の権利の要件は、当社の世界中の事業に適用される多くのプライバシー法とデータ保護法に準拠するように作成されていますが、国によっては以下のような追加要件を満たす必要があります。
1) 法律で義務づけられている場合は、労使協議会や労働組合による処理の承認など、個人情報の一部の処理について特定の形で同意を得ます。
2) 法律で義務づけられている場合は、該当するプライバシーまたはデータ保護の規制当局に個人情報の処理を登録するか、またはそれに関する許可を求めます。
3) 法律で義務づけられている場合は、このポリシーの規定より広い範囲の権利(アクセス権や修正権など)を与えます。
4) 法律で義務づけられている場合は、個人情報のデータ保管期間をさらに制限します。
5) 法律で義務づけられている場合は、第三者へのデータの国際移転に関する取り決めなど、特定の契約条項を盛り込んだ契約を締結します。
6) 法律で義務づけられている場合は、国家安全保障機関または警察機関の要件への対応を含め、公的機関の適法な要求に応えて個人情報を開示します。
このポリシーと適用法との間に抵触がある場合は、より強力な個人の保護を提供している基準を優先します。
- 個人情報のアクセス、更新、訂正もしくは削除の要請や、個人情報の処理に対する異議の要請、または個人情報に関する権利の行使の要請には迅速に対応します。
- アクセス、訂正、削除およびその他の権利 – 当社が事業を展開している多くの国では、自身の個人情報が不正確、不完全、最新ではない場合に、当該個人情報にアクセスして更新、訂正、削除する権利が法律で定められています。個人情報のアクセス、訂正、削除を個人が要請した場合は、下記の3aに従って対応します。アクセス、訂正、削除の要請を規制している適用法が、より強力な保護を個人に提供する場合は、その法律の追加要件が満たされるようにします。 国によっては、自らの個人情報に関するその他の権利(処理の制限を求める権利、処理に関する不服を申し立てる権利(下記2b参照)および他のサービス提供者へのデータ移転を請求する権利など)が個人に与えられる場合があります。データに関する権利の行使は適用法令に従って対応します。
- 国によっては、自らの個人情報に関するその他の権利(処理の制限を求める権利、処理に関する不服を申し立てる権利(下記2b参照)および他のサービス提供者へのデータ移転を請求する権利など)が個人に与えられる場合があります。データに関する権利の行使は適用法令に従って対応します。その他の規制要件や現地のコンプライアンス報告への必要性などにより、削除などの権利が制限される場合がありますが、その場合には、必要に応じてこれらの制限についてお知らせいたします。選択 – 「尊重」と「信頼」というプライバシーの価値に従って、過去に参加に同意したプログラムや活動、ダイレクトマーケティングを目的とした個人情報の処理、個人情報からターゲットを絞り込んだコミュニケーション、オートメーションやアルゴリズムの使用によってなされる、重大な影響が及ぶ可能性のある個人についての評価や決定からのオプトアウトをはじめ、当社は個人情報の処理に異議を申し立てる個人の要請を受け入れます。
- 法律で禁じられている場合を除いて、特定の選択要請が以下に関して当社を妨げる場合は、その選択を拒否できます。(1) 法律または倫理的義務の遵守。これには、国家安全保障機関または警察機関の要件への対応を含め、公的機関の適法な要求に応えて個人情報の開示が法律で義務づけられている場合も含まれます。(2) 調査、法的主張、法的な防御活動。(3) 透明性と目的制限の原則に従い、当該個人の情報に依拠して締結された契約の履行、関係の管理、または許可されているその他の事業活動への従事。このポリシーに従って、選択要請を拒否する決定から15日以内に、この決定を文書にして依頼者に通知します。
- プライバシー関連の質問、苦情、懸念、およびプライバシーインシデントまたはセキュリティインシデントのすべてに迅速に対応します。
-
このポリシーの範囲内で個人情報を処理される個人は、このポリシーが適用されるすべての関連会社のリストの開示要請を含む質問、苦情、懸念をいつでも当社に提起できます。適用法により、社員および当社の代理として働く者がこのポリシーを遵守できない可能性がある場合は、当該社員および当社の代理として働く者は直ちに通知することが期待されます。個人からの質問、苦情、懸念や、社員または当社の代理として働く者からの通知は、下記のグローバルプライバシーオフィス宛てに送ってください。
- 欧州経済地域(EEA)に居住する方からの電子メールの宛先:euprivacydpo@msd.com
- その他の方からの電子メールの宛先:msd_privacy_office@msd.com
- 郵送:Privacy Office, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, USA 19454
- 社員および契約業者は、当社のプライバシー慣行に関する質問、苦情、懸念について、グローバルプライバシーオフィスまたは勤務地の指定されたプライバシースチュワードに速やかに知らせる必要があります。
- グローバルプライバシーオフィスは、社員やその他の個人から直接受け取ったか、規制機関、アカウンタビリティ・エージェント、その他の政府当局など第三者を介して受け取ったかにかかわらず、当社のプライバシー慣行に関するすべての質問、苦情、懸念を精査し、場合によってはOffice of Ethics、法務、コンプライアンス部門と協力して調査します。当社に質問、苦情、懸念を提起した個人や法人には、30日以内に対応します。ただし、法律または第三者である要求者がより短期間での回答を求めている場合や、政府の並行調査などによって回答に30日よりも長い期間を要する状況では、この限りではありません。その場合は、できる限り速やかに遅延の理由を個人や第三者である要求者に書面で通知します。
- グローバルプライバシーオフィスは、法務およびコンプライアンスと協力して、プライバシーの規制当局の質問、視察、調査に対応します。
- 苦情を申し立てた個人と当社との間で解決できない問題については、当社は苦情の調査と解決にあたる以下の紛争解決手続に参加して、このポリシーに基づき紛争解決をすることに同意していますが、EEA圏内に在住する個人や、個人情報がEEAのデータ保護法に従ってEEA圏外に移転される個人は随時、下記の基準3.f.に依拠することもできます。
- 人事の活動に関する、EEAおよび英国での雇用関係において収集された個人情報の米国への移転に関する紛争については、当社は適切なEUデータ保護当局のパネルと協力します。
- 人事の活動に関する、スイスでの雇用関係において収集された個人情報の米国への移転に関する紛争については、当社はスイスのデータ保護監督機関(FDPIC)と協力します。
- このポリシーに基づくその他すべての個人情報の移転に関する紛争、例えば、アジア太平洋経済協力会議(APEC)諸国間における 越境プライバシールール (CBPR)ならびにEU-米国間およびスイス-米国間プライバシーシールドを通じた人事以外の活動に関する個人情報の移転 に関連する紛争については、米国を拠点とした第三者紛争解決業者( https://feedback-form.truste.com/watchdog/request ) による紛争解決(無料)に同意しています。
- 本条項で説明されている手順に則って解決されない、EU-米国間およびスイス-米国間プライバシーシールドのもとで起こる紛争については、各自が、EU-米国間およびスイス-米国間プライバシーシールドに定めるプライバシーシールドパネルの手順に従い、拘束力のある仲裁を開始する選択ができます。
-
EEA圏内に在住する個人や、個人情報がEEAのデータ保護法に従ってEEA圏外に移転される個人、個人情報がこのポリシーに従って処理される個人はすべて、このポリシーの下、第三者受益者として、いつでもこのポリシーの要件を執行する権利があります。これには、このポリシーの下で、自己の権利の侵害に対する救済を求めて訴訟を起こす権利(上記セクション2に記載)や、その侵害から生じた損害に対して賠償金を受け取る権利を含みます。EEA圏内に在住する個人や、個人情報がEEAのデータ保護法に従ってEEA圏外(米国も含む)に移転される個人は、このポリシーの下、個人情報の EEA 圏外への移転に責任を負う当社子会社に対して、以下の機関へ訴訟または異議申し立てを提起することができます。
- EEA 所在のデータ移転者を管轄する司法当局
- EEA 所在のデータ移転者を管轄する司法当局
- EEA 所在のデータ移転者を管轄する司法当局
- 当社のBCRを指示した所轄の主要データ保護機関(フランスの CNILなど)
- 当社は、質問または懸念を提起した個人または法人に30日以内に対応します。ただし、法律または第三者である要求者がより短期間での回答を求めている場合や、回答に30日よりも長い期間を要する状況では、この限りではありません。その場合は、個人や第三者である要求者に書面で通知します。
-
このポリシーの範囲内で個人情報を処理される個人は、このポリシーが適用されるすべての関連会社のリストの開示要請を含む質問、苦情、懸念をいつでも当社に提起できます。適用法により、社員および当社の代理として働く者がこのポリシーを遵守できない可能性がある場合は、当該社員および当社の代理として働く者は直ちに通知することが期待されます。個人からの質問、苦情、懸念や、社員または当社の代理として働く者からの通知は、下記のグローバルプライバシーオフィス宛てに送ってください。
- 私たちはプライバシーの価値と基準を守る責任があります。
-
立証されたプライバシーまたはセキュリティのインシデントを引き起こした行為について責任を負う子会社は、そのインシデントから生じた損害賠償請求や罰金または罰則の支払責任があります。
- 欧州データ保護責任者は、グローバルプライバシーオフィスと連携し、その指示により、EEA圏内に在住する個人やEEAのデータ保護法に従ってEEA圏外に個人情報が移転される個人に影響するEEA圏外の当社子会社によるポリシー違反の申し立てに対して、必要な措置を講じます。また、義務が生じた場合、 Merck, Sharp & Dohme (Europe) Inc., USA -Belgium Branch (以下「MSD ヨーロッパ」) は、EEA圏内に在住する個人やEEAのデータ保護法に従ってEEA圏外に個人情報が移転される個人に影響するポリシー違反に対して、EEA圏外の子会社が負うものと認められた罰金、罰則、損害賠償金を支払う責任があります。グローバルプライバシーオフィスと、違反嫌疑の説明責任を負うべきEEA圏外の子会社の協力を得て、欧州データ保護責任者そのような違反の責任がないことを証明する責任があります。罰金、罰則、損害賠償金が生じた行為の説明責任を別の子会社が負う状況では、その子会社はMSDヨーロッパが支払った金額を速やかに払い戻さなければならない場合があります。EEA圏外に所在する当社の子会社がこのポリシーに違反した場合はEEA圏内の裁判所またはデータ保護機関が裁判管轄権を有し、違反の影響を受けた個人に対しては上記3.fに記載したとおり欧州データ保護責任者に対する権利および救済が与えられます。
- Merck Sharp & Dohme LLC.は、グローバルプライバシーオフィスと連携し、プライバシーオフィスからの指示により、EEA圏外に在住する個人に影響するポリシー違反の申し立てに対し、必要な措置を講じます。また、義務が生じた場合は、EEA圏外に在住する個人やEEAのデータ保護法が個人情報に適用されない個人に影響するポリシー違反に対して認められた罰金、罰則、損害賠償金を支払う責任があります。罰金、罰則、損害賠償金が生じた行為の説明責任を別の子会社が負う状況では、その子会社はMerck Sharp & Dohme LLC.が支払った金額を速やかに払い戻さなければならない場合があります。
-
立証されたプライバシーまたはセキュリティのインシデントを引き起こした行為について責任を負う子会社は、そのインシデントから生じた損害賠償請求や罰金または罰則の支払責任があります。
監督と監視
倫理的かつ責任あるプライバシー慣行が当社の責務であることを、規制機関やその他のステークホルダーに保証するために、当社は チーフプライバシーオフィサー が率いる大規模な監督・監視のガバナンスグループと専用のグローバル プライバシーオフィス(GPO)、EU DPO、各国DPO(法律または現地当局が設置を義務づけている場合) を有しています。そして、最高幹部が任命した プライバシースチュワード がグローバルプライバシーオフィスと担当組織分野の連絡役の役割を果たしています。
当社は、このポリシーやAPEC CBPRなどの法律要件を遵守しているかどうかを定期的に確認する法律上の責任を、プライバシー・アカウンタビリティ・エージェントに委ねています。
グローバルプライバシーオフィスによって管理される保証審査に加え、内外の監査チームや保証チームがコンプライアンスの審査を実施して、当社がこのポリシーと、それに従属するポリシー、手続き、基準、ガイダンスに従っていることを確認します。監査チームと保証チームが不備を見つけた場合は、是正措置や予防処置の計画を立てて実施します。監査プログラムの結果は、このポリシーの記載どおり、報告義務を負うチーフプライバシーオフィサー、関連するDPO、およびとデータ保護委員会に通知されます。
このポリシーを承認した、または当社の事業拠点を管轄する、プライバシーおよびデータ保護機関は、このポリシーに基づいて、当社がこのポリシーを遵守しているかどうかを確認する権利があります。当社は、このポリシーの解釈と適用に関して、これら所轄庁のアドバイスに従います。
知っておくべき用語
- 匿名化。情報単独で、または他の情報と組み合わせることによって、個人を特定したり、位置を特定したり、個人に連絡したりできないように、個人情報を復元不能な形で改変、短縮、抹消、編集、修正すること。
- 法律。当社が事業を営む国、または、当社に代わって個人情報が処理される国で法的拘束力のあるすべての適用法令、規則、規制、意見の命令。これには、EU拘束的企業準則(BCR)、アジア太平洋経済協力会議(APEC)越境プライバシールール(CBPR)、EU-米国間プライバシーシールド、およびスイス-米国間プライバシーシールド(米連邦取引委員会の調査・執行力に基づく)など、当社が承認または認定されているプライバシーの枠組みすべてが含まれます。
- 当社。Merck & Co., Inc.(米国ニュージャージー州ローウェイ)とその事業承継者、世界中の子会社と各国事業部。ただし、当社が当事者となっている合弁企業を除きます。
- 個人情報。特定の個人に関係するデータまたは個人を特定可能なデータ。個人を特定するデータや、個人の特定、位置の特定、追跡、連絡に使用される可能性のあるデータを含みます。個人情報には、氏名、個人識別番号、固有の職名のように直接特定できる情報と、生年月日、携帯電話やウェアラブルデバイスの固有のID、電話番号、暗号化データ、およびIPアドレス等のオンライン識別子またはサービスや製品を提供するために収集される可能性のある個人の活動、行動、嗜好などのように間接的に特定可能な情報のどちらも含まれます。
- プライバシーインシデント。セキュリティインシデントを含む、このポリシー、プライバシー法、データ保護法などの違反または侵害。プライバシーインシデントが発生したかどうか、また、当該プライバシーインシデントが個人データ侵害となるかどうかは、グローバルプライバシーオフィス、情報技術リスクマネジメントおよびセキュリティ(ITRMS)およびOffice of General Counselが判断します。
- 処理。個人情報に対して一連の操作を実施することを意味します。自動的な手段かどうかを問わず、収集、記録、整理、保管、アクセス、改変、修正、検索、協議、使用、評価、分析、報告、共有、開示、普及、転送、提供、調整、組み合わせ、阻止、削除、消去、廃棄を含みますが、これらに限定されません。
- 個人データ侵害。セキュリティが侵害された結果として、個人情報の毀損、消失、改変もしくは不正な開示もしくは個人情報への不正なアクセスが偶発的もしくは違法な形で発生すること、またはそれらがそのように発生したことをMSDが合理的に確信していること。このポリシーに違反する意図なく当社または当社の代理人が個人情報にアクセスした場合、アクセスした情報がこのポリシーの許容範囲内で使用および開示されるのであれば、個人データ侵害とは見なされません。
- 機微情報。法律で機微と定義されている情報を含め、個人に損害を及ぼすリスクが内在する個人的な情報。例えば、健康、遺伝、生体的特性、人種、民族、宗教、政治的または哲学的見解や信念、犯罪歴、正確な位置情報、銀行その他の金融口座番号、政府発行の身分証明書番号、未成年の子供、性生活、性的指向、労働組合への加入、保険、雇用主や政府が支給する社会保障やその他の給付などが該当します。
- 第三者。当社が所有していない、あるいは当社が経営権を持たない法人、組合、人、または当社が雇用していない個人。このポリシーに明記されている場合を除き、当社の子会社や部門は、このポリシーに基づく「第三者」の要件を満たす必要はありません。子会社の1つが他の子会社の処理を支援する場合も含め、子会社や部門はすべて、このポリシーに従って個人情報を処理する必要があります。
本ポリシーの変更
このポリシーは、適用法の要件に沿って随時改定される可能性があります。本ポリシーに重要な変更が行われる場合は、当社のプライバシーウェブページ(https://www.msdprivacy.com/)に60日間掲載されます。