グローバルプライバシーポリシー

Avayaでは、お客様の個人データを保護し、適切に取り扱い、使用するよう徹底しています。この姿勢は現在そして将来において一貫しています。

本Avayaグローバルプライバシーポリシー（本「ポリシー」）では、Avayaが（「個人データ」）^[3]を（「処理」）^[2]するに際して、データ保護法を遵守するためのAvayaの^[1]アプローチを定めています。本ポリシーは、部署やビジネス機能に適用される特別のデータ保護要件に置き換わるものではありません。個人データの収集、使用および開示に関する各地域の法律・規則で、本ポリシーの内容を超える追加の制限が課されている場合、当該現地法規が優先されます。

本ポリシーでは、Avayaのデータ保護基準に合致し、プライバシー関連法規を遵守する個人データの処理方法を説明しています。Avayaでの個人データ処理活動に関する手順やガイドラインは、社内の各ポリシーの中で、Avayaの従業員と請負業者に提示されます。

データ保護法とは

Avayaによる個人データ処理活動の透明性

データ保護法によるAvayaへの国際的影響とは

データ保護法へのAvayaの対応方法

Avayaの拘束的企業準則：管理者向けポリシー

Avayaの拘束的企業準則：処理者向けポリシー

방침 업데이트 절차

ポリシーアップデート手順

データ保護法とは

データ保護法では、個人データの処理方法に関して、各個人に特定の権利を付与しています。データ保護法を遵守しない組織は、国のデータ保護当局や裁判所によって制裁や罰則が科される場合があります。Avayaが個人データを処理する場合、処理活動および対象となる個人データは、データ保護法の規定の適用を受けます。

組織が組織の目的で個人データを処理する場合、当該組織は、その情報の 「データ管理者」 とみなされ、よってデータ保護法に基づく法的要件を遵守する主たる責任を負います。

一方、組織がサードパーティ（Avayaエンタープライズカスタマーに代わりホストされるコンテンツなど）に代わって個人データを処理する場合、当該組織は、その情報の「データ処理者」 とみなされます。この場合は、個人データのデータ管理者（Avayaのエンタープライズカスタマー）が法的要件を遵守する主たる責任者となります。

ページの先頭へ戻る

Avayaによる個人データ処理活動の透明性

本ポリシーは、拘束的企業準則:管理者向けポリシーおよび処理者向けポリシー（欧州データ保護当局によって承認されたもの）と併せ、Avayaにおける個人データの取り扱いの一般的な実務について説明しています。

Avayaは、すべての個人データ処理活動に関する透明性を提供し、適用されるすべてのプライバシー法および規制を常に遵守することをコミットします。製品やサービスの幅広さから、さまざまなプライバシーステートメントを通じてこれを実施しています。Avayaは、その役割（データ管理者 vs. データ処理者）に応じて、個人データの取り扱いについて、エンタープライズカスタマーおよび／またはデータ主体に十分に情報提供するための多層的なアプローチを取ります。Avayaがデータ管理者である場合、Avayaは、適用される個別プライバシーステートメントによって補完された本ポシリーを通じて、その透明性に関する義務（例：Avayaが収集および保持する個人データの種類、Avayaが個人データを収集および保持する方法、Avayaが個人データを収集、保持、使用および公開する目的など）を果たします。Avayaがデータ処理者である場合、Avayaはエンタープライズカスタマー（データ管理者）に、透明性に関する義務を果たすことができるように情報を提供します。

別段の合意がない限り、またはより具体的なプライバシーステートメントにおいて定めがない限り、その事業において、Avayaは、リクエストされたソリューションを提供する、またはその他の事業取引を目的として、関連会社および信頼できる第三者を含む国際的なリソースを活用することにより、個人データを海外に移転します。つまり、データ管理者の役割またはデータ処理者の役割においてAvayaに提供される個人データは、どちらも国際的に転送されることを意味します。これには、様々な種類の個人データが含まれます：（i）一方で事業連絡先データなどの個人データ、エンタープライズカスタマーとの契約を締結および管理するためにAvayaが処理するその他の情報、および当社従業員の個人データ。(ii)また一方で、当社のソリューションを提供するために必要とされる個人データ（通常は様々なプライバシー法に基づく「代理としての処理」とみなされます）。後者は、主に当社のエンタープライズカスタマーとの契約上の取り決め、特にAvayaが提供するソリューションの個人の使用状況（および入力）から生じます。通常このような個人データのタイプには、名前、連絡先情報（会社、職名、役職、電子メールアドレス、電話番号、所在地）、接続データ、位置データ、動画/通話（記録）データ、およびそれらから抽出されるメタデータなどが含まれます。それらのAvaya・ソリューション内のプライバシーに関する詳細情報は、申込書/サービス説明書、製品プライバシーステートメントまたは当社製品内のプライバシー ページでご覧いただけます。

ページの先頭へ戻る

データ保護法によるAvayaへの国際的影響とは

多くの国や地域には、個人データの国際的移転を規定する法規があります。例えば、欧州のデータ保護法では、十分なデータ保護が確保されない欧州域外の国^[4]への個人データの転送を禁じています（転送元の組織が法律で定められている契約または法的仕組み導入する場合を除く）。Avayaが事業活動を行う一部の国は、欧州データ保護当局からプライバシーとデータ保護に関する個人の権利が十分に保護されているとみなされていません。

ページの先頭へ戻る

データ保護法へのAvayaの対応方法

Avayaは国際的基準に照らし、個人データが安全かつ合法的に処理されるために、適切な措置を講じる義務を負います。Avayaは、こうした要件を満たすためのプロセスとコントロール体制を導入済みです。欧州では、Avayaは欧州データ保護機関から承認を得ており、そのグローバルな拘束的企業準則:管理者および処理者向けポリシーを採用しました。本ポリシーは、データ保護法の要件（付属情報を含むこれらのポリシー（例：「データ主体適正手順」、「苦情処理手順」、「協力手順」など）は、参照事項としてここに統合され、本ポリシーの統合された一部を形成します）を満たすフレームワークについて定めています。かかるフレームワークは、Avayaが世界各地で実施するすべての個人データ処理活動に適用されます。

Avayaの拘束的企業準則：管理者向けポリシー

Avaya の拘束的企業準則（管理者向け）ポリシーで説明されている基準は、Avayaが事業活動、雇用管理およびサプライチェーン管理を遂行する目的で個人データを処理するに際して、すべての「グループメンバー」^[1]に適用される世界的な基準です。データ管理者として個人データを処理する際に、Avayaが守らなければならない基本的なデータ保護原則および実務上のコミットメントを以下にまとめました。これらは前述のポリシーに詳細に記載されています。

基本原則

原則 1 – 処理の合法性

• Avayaはすべての処理が適用法に従って行われるように徹底します。

原則 2 – 公正さと透明性

• Avayaは個人データの収集時に、個人データがどのように処理されるかを個人に知らせ説明します。

原則 3 – 目的の限定

• Avayaは個人に知らされた目的、または個人にとって想定内でありかつ Avaya に関連性のある目的においてのみ個人データを取得・処理します。
• Avayaは指定された明確かつ合法的な目的においてのみ個人データを処理します。Avaya はその情報をこうした目的以外で追加的に処理することはありません（ただし、かかる追加的な処理が当該個人データが収集された国の適用法に準拠している場合を除く）。

原則 4 – データの最小化と正確性

• Avayaは個人データを正確かつ最新の状態に保ちます。
• Avayaは処理目的に照らし、適切で関連性があり必要な場合に限り個人データを処理します。

原則 5 – 個人データの限定的保持

• Avayaは収集および処理の目的において必要な範囲でのみ、個人データを保持します。

原則 6 – セキュリティ、整合性と機密性

• Avayaは個人データのセキュリティが個人の権利と自由に対するリスクへの対応として適切なレベルを確保するため、技術的・組織的な対策を適切に講じます。
• また、Avaya のサービスプロバイダーも同等レベルの適切なセキュリティ対策を採用するよう徹底します。
• Avaya は適用法で求められているデータセキュリティ侵害通知要件を遵守します。

原則 7 – 個人の権利

• Avaya はデータ主体の権利行使手順を厳守し、自身の個人データへのアクセスに関する個人の要請に対し、適用法に則って対応します。
• Avayaは、個人データを修正または削除する、データポータビリティの権利を行使する、または、データ主体の権利手順に従い、個人データの処理を制約しもしくは異議を申し立てるリクエストにも対応します。

原則 8 – 国際的移転での十分な保護の確保

• Avayaは適切な保護を確保しないまま、欧州外部のサードパーティに個人データを移転しません。

原則 9 – 慎重な取り扱いを要する個人データ使用についての保護

• Avayaが慎重な取り扱いを要する個人データを処理するのは、個人から明確な同意をあらかじめ得た場合に限ります。ただし、個人データが収集された国の適用法に準拠してかかる情報を処理する正当な根拠が別途ある場合を除きます。

原則 10 – ダイレクトマーケティングの正当化

• お客様はAvayaのマーケティング情報を受領しないことを選択（オプトアウト）することができます。

原則 11 – 個人の決断（プロファイリング等）の自動化

• Avayaでは、自動化処理のみに基づく判断に従うことを拒否する個人の権利に関して、かかる自動化処理が法律上認められる場合を除き、適用法およびポリシーを厳守するために適切な管理体制を設けています。

原則12 – 説明責任

• Avayaは、処理の結果該当する個人に対して高いリスクが生じる可能性が高いときに、データ保護への影響評価を実施します。
• は、データ処理活動の記録をその責任において保管します。
• Avayaは、新規システムおよびアプリケーションにおいて、Privacy by DesignおよびPrivacy by Defaultを実装するものとします。

実務上のコミットメント

コミットメント1 – 苦情処理

• Avayaは、個人が苦情を申し立てる権利を行使することができる状態を確保し、その拘束的企業準則の付属資料2で定める苦情処理手順に従ってかかる苦情を処理します。

コミットメント2 – データ保護当局との協力

• Avayaは、拘束的企業準則の付属資料3で定める協力手順に従い、Avaya拘束的企業準則管理者向けポリシーに関連する問題において、データ保護当局に協力します。

コミットメント3 – 国内法規制によって、Avaya拘束的企業準則管理者向けポリシーへの準拠が阻害される場合のアクション

• は、該当する法規制が、拘束的企業準則管理者向けポリシーに基づく義務の履行を阻止する、またはかかる法規制が拘束的企業準則管理者向けポリシーに遵守する自らの能力に対して顕著な影響があると自らが判断する場合、法執行機関によって禁止されていない限り、Avayaが、データプライバシーオフィサーおよびEU事業体に対して、データ保護の責任について速やかに通知することを確実なものとします。
• Avayaは、適用される法規制とその拘束的企業準則管理者ポリシーとの間に矛盾がある場合、実施するアクションについてデータプライバシーオフィサーが責任ある決定を行い、疑義のある場合は管轄権を有するのデータ保護当局に相談することを確実なものとします。

ページの先頭へ戻る

Avayaの拘束的企業準則：処理者向けポリシー

Avayaの拘束的企業準則（処理者向け）ポリシーで定める基準は、Avayaグループメンバーでないデータ管理者の指示により、その人物に代わって個人データを処理する（エンタープライズスタマーにサービスを提供する状況など）際に、すべてのAvayaグループメンバーに適用される世界的な基準です。データ処理者として個人データを処理する際に、Avayaが守らなければならない基本的なデータ保護原則および実務上のコミットメントを以下にまとめました。これらは前述のポリシーに詳細に記載されています。

基本原則

原則 1 – 処理の合法性

• はすべての処理が適用法に従って行われるように徹底します。
• Avayaは、データ管理者が、適用されるデータ保護法に基づく管理者の義務を履行できるように、不当な遅滞なく当該管理者に協力し、合理的に可能な範囲で支援します。

原則 2 – 公正さと透明性

• Avayaは適用法に準拠してどのように個人データが処理されるかを個人に通知・説明する必要がある場合、データ管理者を支援します。

原則 3 – 目的の限定

• Avayaはデータ管理者に代わって、データ管理者の指示にのみに従って個人データの処理を代行します。

原則 4 – データの最小化と正確性

• Avaya は個人データを正確かつ最新の状態に保つ上で、データ管理者を支援します。

原則 5 – 個人データの限定的保持

• Avayaはデータ管理者との契約条項または法的拘束力のあるその他の文書に基づき必要な範囲において、個人データを保管します。

原則 6 – セキュリティと機密性

• Avaya はデータ管理者に代わって処理する個人データの保護のため、技術的・組織的な対策を適切に講じます。
• Avaya はデータ管理者に代わって処理する個人データに影響を及ぼすあらゆるセキュリティ侵害について、データ管理者との契約条項または法的拘束力のあるその他の文書の条件に従い、不当な遅滞なくデータ管理者に通知します。
• は、処理再委託業者の任命に関しデータ管理者の要請に従います。
• Avaya は外部の処理再委託業者が（i）データ管理者と締結する契約またはその他の法的拘束力を持つ文書の条件、および（ii）Avaya の拘束的企業規則（処理者向け）に沿った規定を遵守することを確実にします。特に、処理委託業者が同等レベルのセキュリティ対策を適切に講じることを確実にします。

原則 7 – 個人の権利

• Avaya はデータ管理者が個人の権利を尊重する義務を果たすように当該管理者を支援します。

原則 8 – 説明責任

• Avayaは、データ管理者への法令遵守を実施するものとします。
• Avayaは、データ管理者に代わって実行しているデータ処理活動の記録を保持します。
• Avayaは、Privacy by DesignおよびPrivacy by Defaultのツールを実装する際にデータ管理者を支援するものとします。

実務上のコミットメント

コミットメント1 – 苦情処理

• Avayaは、個人が苦情を申し立てる権利を行使することができる状態を確保し、その拘束的法人準則の付属資料2で定める苦情処理手順に従ってかかる苦情を処理します。

コミットメント2 – データ保護当局との協力

• Avayaは、拘束的企業準則の付属資料3に定める協力手続に従い、Avaya拘束的企業規則処理者向けポリシーに関連する問題においてデータ保護当局に協力します。

コミットメント3 - Avaya拘束的企業準則処理者向けポリシーへの遵守を妨げる国内法規制がある場合のアクション

• は、該当する法規制が、拘束的企業準則処理者向けポリシーに基づく義務の履行を妨げ、またはかかる法規制が拘束的企業準則処理者向けポリシーに遵守する自らの能力に多大な影響があると自らが判断する場合（法執行機関によって禁止されていない限り）、Avayaが以下に対して速やかに通知することを確実なものとします。
• 2により提供されるデータ管理者（法執行機関により別途禁止されている場合を除く）
• データプライバシーオフィサーおよびデータ保護責任を持つEU事業体、または
• Avayaを管轄する適切なデータ保護当局
• Avayaが法執行機関または州の保安機関から個人データの開示に関する法的拘束力のある要請を受け取り、それが拘束的企業準則処理者向けポリシーを対象とする場合、Avayaは以下のことを確実に行います。
• 法執行機関によって禁止されていない限り、データ管理者に速やかに通知する。
• 法執行機関または一国のセキュリティ機関によって禁止されていない限り、リクエストを保留し、主要データ保護当局およびデータ処理者を管轄する適切なデータ保護当局に通知します。

ページの先頭へ戻る

ポリシーアップデート手順

Avayaは本ポリシーをいつでも変更、修正、アップデートする権利を留保します。更新の有無を随時確認してください。

ページの先頭へ戻る

補足情報

本ポリシーや本ポリシーに基づくお客様の権利、その他のデータ保護に関してのご質問は、以下のアドレスの Avaya グローバルプライバシーオフィスまでお問い合わせください。同オフィスが対応するか、社内の担当者や部門に適宜おつなぎします。

宛先:グローバルプライバシーオフィサー

電子メール: dataprivacy@avaya.com

住所：Avaya UK, Building 1000, Cathedral Square, Cathedral Hill, Guildford, Surrey GU2 7YL, United Kingdom

改定：2020年5月

^[1] 「Avaya」 は、Avaya Inc,（住所：4655 Great America Parkway, Santa Clara, CA 95054-1233, USA）および指定された関連会社 （「Avayaグループメンバー」）を含みます。指定された関連会社の詳細なリストは、Avaya拘束的企業準則：管理者および処理者向けポリシーに参照資料として記載されています。

 ^[2]「処理」 とは個人データを対象として行われる何らかの単一の活動または一連の活動を指し、自動的な手段によるかどうかを問いません。かかる主な活動の例として、収集、記録、統合、構成、保存、改変または変更、抽出、照会、使用、送信や頒布などの共有行為による開示、整列や組み合わせ、制限、消去、破棄が挙げられます。

 ^[3]「個人データ」 とは、特定されているまたは特定可能な自然人 （「データ主体」）に関連する何らかの情報を指します。特定可能な自然人とは、識別要素を参照することで直接または間接的に特定可能な個人を指します。主な識別要素の例としては、名前、ID番号、所在地のデータ、オンラインID、または当該自然人の肉体的、生理的、遺伝的、精神的、経済的、文化的、社会的アイデンティティとして特有の1または２以上の要素が挙げられます。

 ^[4] 本ポリシーで「欧州」と言及されている部分は、欧州経済領域およびスイスを指しています。