グローバルプライバシーポリシー

本アバイアグローバルプライバシーポリシー（「本ポリシー」）は、アバイア^[1]が「個人データ」^[3]を「処理」^[2]するに際して、データ保護法を遵守するためのアプローチを定めています。本ポリシーは、部署やビジネス機能に適用される特別のデータ保護要件に置き換わるものではありません。個人データの収集、使用および開示に関する各地域の法律・規則で、本ポリシーの内容を超える追加の制限が課されている場合、当該現地法規が優先されます。

本ポリシーでは、アバイアのデータ保護基準を満たしプライバシー関連法規を遵守するために個人データを処理する方法を説明しています。アバイアでの個人データ処理活動に関する手順やガイドラインは、社内の各ポリシーの中で、アバイアの従業員と請負業者に提示されます。 

データ保護法とは

データ保護法では、個人データの処理方法に関して、各個人に特定の権利を付与しています。データ保護法を遵守しない組織は、国のデータ保護当局や裁判所によって制裁や罰則が科される場合があります。アバイアが個人データを処理する場合、処理活動および対象となる個人データは、データ保護法の規定の適用を受けます。

組織が自らの目的で個人データを処理する場合、当該組織は、その情報のデータ管理者とみなされ、よってデータ保護法に基づく法的要件を遵守する主たる責任を負います。

一方、組織がサードパーティに代わって個人データを処理する場合（アバイアのカスタマーに代わりホストされるコンテンツなど）、当該組織は、その情報の「データ処理者」とみなされます。この場合は、個人データのデータ管理者（アバイアのカスタマー）が法的要件を遵守する主たる責任者となります。

アバイアによる個人データ処理活動の透明性

本ポリシーは、拘束的企業準則：管理者向けポリシーおよび処理者向けポリシー（欧州データ保護当局によって承認されたもの）と併せ、アバイアにおける個人データの取り扱いの一般的な慣行について説明しています。

アバイアは、すべての個人データ処理活動に関する透明性を提供し、適用されるすべてのプライバシー法および規制を常に遵守することをコミットします。製品やサービスの幅広さから、さまざまなプライバシーステートメント／プライバシーファクトシートを通じてこれを実施しています。

アバイアは、その役割（データ管理者またはデータ処理者）に応じて、個人データの取り扱いについて、カスタマーおよび／またはデータ主体に、必要に応じて十分に情報提供するための多層的なアプローチを取ります。アバイアがデータ管理者である場合、アバイアは、適用される個別プライバシーステートメントを通じて、その透明性に関する義務（例：アバイアが収集および保持する個人データの種類、アバイアが個人データを収集および保持する方法、アバイアが個人データを収集、保持、使用および公開する目的など）を果たします。アバイアがデータ処理者である場合、アバイアはカスタマー（データ管理者）が透明性に関する義務を果たすことができるように、カスタマーに情報を提供します。

別段の合意がない限り、またはより具体的なプライバシーステートメントあるいはプライバシーファクトシートにおいて定めがない限り、アバイアは、その事業において、リクエストされたソリューションの提供、または別途事業取引を目的として、関連会社および信頼できるサードパーティを含む国際的なリソースを活用するために個人データを海外に移転します。つまり、データ管理者の役割またはデータ処理者の役割においてアバイアに提供される個人データは、どちらも国際的に移転されることを意味します。これには、次のようなさまざまな種類の個人データが含まれます：

•  一方では、事業連絡先データなどの個人データ、カスタマーとの契約を締結および管理するためにアバイアが処理するその他の情報、および当社従業員の個人データ
• 当社のソリューションを提供するために必要な個人データ（通常は、さまざまなプライバシー法の下で「代理としての処理」とみなされます）

後者は、主に当社のカスタマーとの契約上の取り決め、特にアバイアが提供するソリューションのカスタマーによる個々の使用（およびソリューションへの入力）から生じます。通常、このような個人データの種類には、名前、連絡先情報（会社、職名、役職、電子メールアドレス、電話番号、住所）、接続データ、位置データ、動画／通話（記録）データ、およびそれらから抽出されるメタデータなどが含まれます。

各アバイアソリューション内のプライバシーに関する詳細情報は、オファー／サービス説明書、製品プライバシーステートメント／プライバシーファクトシートまたは当社製品内のプライバシーページでご覧いただけます。

データ保護法によるアバイアへの国際的影響とは

多くの国や地域には、個人データの国際的移転を規定する法規があります。例えば、欧州のデータ保護法では、十分なデータ保護が確保されない欧州^[4]域外の国への個人データの移転を禁じています（移転元組織が法律で定められている契約上のまたは法的仕組みを導入する場合を除きます）。アバイアが事業活動を行う一部の国は、欧州データ保護当局からプライバシーとデータ保護に関する個人の権利が十分に保護されているとみなされていません。

データ保護法へのアバイアの対応方法

アバイアは国際的基準に照らし、個人データが安全かつ合法的に処理されるために、適切な措置を講じる義務を負います。アバイアは、こうした要件を満たすためのプロセスとコントロール体制を導入済みです。アバイアは欧州データ保護当局から承認を得て、グローバルな拘束的企業準則:管理者向け及び処理者向けポリシーを採用しました。これらのポリシーは、データ保護法の要件を満たすフレームワークについて定めています（これらのポリシーとその付属資料である「データ主体の権利行使手順」、「苦情処理手順」、「協力手順」、「法執行機関によるデータアクセス手順」などは、参照情報としてここに盛り込まれており、本ポリシーの不可分の一部を成しています）。かかるフレームワークは、アバイアが世界各地で実施するすべての個人データ処理活動に適用されます。

アバイアの拘束的企業準則：管理者向けポリシー

アバイアの拘束的企業準則（管理者向け）ポリシーで説明されている基準は、アバイアが事業活動、雇用管理およびサプライチェーン管理を遂行する目的で個人データを処理するに際して、すべての「グループメンバー」^[1]に適用される世界的な基準です。データ管理者として個人データを処理する際に、アバイアが守らなければならない基本的なデータ保護原則および実務上のコミットメントを以下にまとめました。これらは前述のポリシーに詳細に記載されています。

基本原則

原則 1 – 処理の合法性

• アバイアはすべての処理が適用法に従って行われるように徹底するものとします。

原則 2 – 公正さと透明性

• アバイアは個人データの収集時に、個人データがどのように処理されるかを個人に知らせ説明するものとします。

原則 3 – 目的の制限

• アバイアは個人に知らされた目的、または個人にとって想定内であり、かつアバイアに関連性のある目的においてのみ個人データを取得・処理するものとします。
• アバイアは指定された明確かつ合法的な目的においてのみ個人データを処理するものとします。アバイアはその情報をこうした目的以外で追加的に処理することはありません（ただし、かかる追加的な処理が当該個人データが収集された国の適用法に準拠している場合を除きます）。

原則 4 – データの最小化と正確性

• アバイアは個人データを正確かつ最新の状態に保つものとします。
• アバイアは処理目的に照らし、適切で関連性があり必要な場合に限り個人データを処理するものとします。

原則 5 – 個人データの限定的保持

• アバイアは収集および処理の目的において必要な期間に限り、個人データを保持するものとします。

原則 6 – セキュリティ、整合性と機密性

• アバイアは個人データのセキュリティが個人の権利と自由に対するリスクへの対応として適切なレベルを確保するため、技術的・組織的な対策を適切に講じるものとします。
• また、アバイアのサービスプロバイダーも同等レベルの適切なセキュリティ対策を採用するよう徹底するものとします。
• アバイアは適用法で求められているデータセキュリティ侵害通知要件を遵守するものとします。

原則 7 – 個人の権利

• アバイアはデータ主体の権利行使手順を厳守し、自身の個人データへのアクセスを希望する個人からのリクエストに対し、適用法に則って対応するものとします。
• アバイアは、データ主体の権利行使手順に従い、個人データを修正または削除する、データポータビリティの権利を行使する、または個人データの処理を制限するか処理に反対するリクエストにも対応するものとします。 

原則 8 – 国際的移転での適切な保護の確保

• アバイアは適切な保護を確保しないまま、欧州域外のサードパーティに個人データを移転しないものとします。

原則 9 – 慎重な取り扱いを要する個人データの使用の保護

• アバイアが慎重な取り扱いを要する個人データを処理するのは、個人から明確な同意をあらかじめ得た場合に限ります。ただし、個人データが収集された国の適用法に準拠してかかる情報を処理する正当な根拠が別途ある場合を除きます。

原則 10 – ダイレクトマーケティングの正当化

• お客様は、アバイアのマーケティング情報を受領しないことを選択（オプトアウト）できるものとします。

原則 11 – プロファイリングを含む自動化された個人意思決定

• アバイアは、自動処理が法律で許可されていない限り、プロファイリングを含む自動処理のみに基づく決定の対象とならない個人の権利に関する適用法およびポリシーを遵守するための適切な管理策を設けることを徹底するものとします。

原則12 – 説明責任

• アバイアは、処理の結果、該当する個人に対して高いリスクが生じる可能性があるときに、データ保護影響評価を実施するものとします。
• アバイアは、データ処理活動の記録をその責任において保管するものとします。
• アバイアは、新規システムおよびアプリケーションにおいて、Privacy by DesignおよびPrivacy by Defaultを実装するものとします。
•  

実務上のコミットメント

コミットメント1 – スタッフとサポート

アバイアは、事業全体にわたってプライバシーの遵守を確保・監督するために、適切なスタッフおよびサポートを有するものとします。

コミットメント2 – プライバシートレーニング

• アバイアは、個人データに恒久的または定期的にアクセスできる従業員、個人データの処理に関与する従業員、または個人データの処理に使用されるツールの開発に関与する従業員に対し、拘束的企業準則：管理者向けポリシーの付属資料4に定めるプライバシートレーニングプログラムに従って、適切なプライバシートレーニングを提供するものとします。

コミットメント3 – 監査

• アバイアは、上記の原則の遵守を確認し、拘束的企業準則：管理者向けポリシーの付属資料5に定める監査プロトコルに従って、定期的にデータ保護監査を実施するものとします。

コミットメント4 - 苦情処理

• アバイアは、個人が苦情を申し立てる権利を行使することができる状態を確保し、拘束的企業準則：管理者向けポリシーの付属資料6に定める苦情処理手順に従って、かかる苦情を処理するものとします。

コミットメント5 – データ保護当局との協力

• アバイアは、拘束的企業準則：管理者向けポリシーの付属資料7に定める協力手順に従い、アバイアの拘束的企業準則：管理者向けポリシーに関連する問題に関してデータ保護当局と協力するものとします。

コミットメント6 – 国内法規制によって、アバイアの拘束的企業準則：管理者向けポリシーの遵守が阻害される場合のアクション

• アバイアは、該当する法規制が、拘束的企業準則：管理者向けポリシーに基づく義務の履行を阻止する、またはかかる法規制が拘束的企業準則：管理者向けポリシーを遵守する自らの能力に対して顕著な影響があると判断した場合、法執行機関によって別途禁止されていない限り、データプライバシーオフィサーおよびEU事業体に対して、データ保護の責任について速やかに通知することを徹底します。
• アバイアは、適用される法規制と拘束的企業準則：管理者向けポリシーとの間に矛盾がある場合、実施するアクションについてデータプライバシーオフィサーが責任ある決定を行い、疑義のある場合は管轄権を有するデータ保護当局に報告することを徹底します。

コミットメント7 - 個人データの開示に関する政府の要請

• アバイアグループメンバーは、アバイアの拘束的企業準則：管理者向けポリシーに服する法執行機関または国家安全保障機関から、個人データの開示に関する法的拘束力を有する要請を受けた場合、拘束的企業準則：管理者向けポリシーの付属資料9に定める政府からのデータ要請手順を遵守しなければなりません。
• いかなる場合においても、アバイアグループメンバーは、民主主義社会で必要とされる範囲を超える、大規模で不相応かつ無差別な方法で、いかなる法執行機関、国家安全保障機関またはその他の政府当局にも個人データを移転してはならないものとします。

アバイアの拘束的企業準則：処理者向けポリシー

アバイアの拘束的企業準則（処理者向け）ポリシーで定める基準は、アバイアグループメンバーでないデータ管理者の指示により、その人物に代わって個人データを処理する（エンタープライズスタマーにサービスを提供する状況など）際に、すべてのアバイアグループメンバーに適用される世界的な基準です。データ処理者として個人データを処理する際に、アバイアが守らなければならない基本的なデータ保護原則および実務上のコミットメントを以下にまとめました。これらは前述のポリシーに詳細に記載されています。
 

基本原則

原則 1 – 処理の合法性

• アバイアはすべての処理が適用法に従って行われるように徹底するものとします。
• アバイアは、データ管理者が適用されるデータ保護法に基づく管理者の義務を遵守できるように、不当な遅滞なく当該管理者に協力し、合理的に可能な範囲で支援するものとします。 

原則 2 – 公正さと透明性

• アバイアは、適用法に従って、どのように個人データが処理されるかを個人に通知・説明する要件をデータ管理者が遵守できるよう支援するものとします。

原則 3 – 目的の制限

• アバイアは、データ管理者に代わって、またデータ管理者の指示に従ってのみ、個人データを処理するものとします。 

原則 4 – データの最小化と正確性

• アバイアは、個人データを正確かつ最新の状態に保つ上で、データ管理者を支援するものとします。

原則 5 – 個人データの限定的保持

• アバイアは、データ管理者との契約または法的拘束力のあるその他の文書の条件に基づき必要な期間に限り、個人データを保管するものとします。 

原則 6 – セキュリティと機密性

• アバイアは、データ管理者に代わって処理する個人データを保護するために、適切な技術的・組織的な対策を講じるものとします。
• アバイアは、データ管理者に代わって処理する個人データに影響を及ぼすあらゆるセキュリティ侵害について、データ管理者との契約または法的拘束力のあるその他の文書の条件に従い、不当な遅滞なくデータ管理者に通知するものとします。
• アバイアは、処理再委託業者の任命に関するデータ管理者の要件に従うものとします。
• アバイアは、外部の処理再委託業者が（i）データ管理者と締結する契約またはその他の法的拘束力を持つ文書の条件、および（ii）アバイアの拘束的企業準則（処理者向け）ポリシーに沿った規定を遵守することを確実にするものとし、特に、処理委託業者が適切な同等レベルのセキュリティ対策を講じることを徹底するものとします。 

原則 7 – 個人の権利

• アバイアは、データ管理者が個人の権利を尊重する義務を果たすように支援するものとします。

原則 8 – 説明責任

• アバイアは、データ管理者に対する法令遵守を示すものとします。
• アバイアは、データ管理者に代わって実行しているデータ処理活動の記録を保持するものとします。
• アバイアは、Privacy by DesignおよびPrivacy by Defaultのツールを実装する際にデータ管理者を支援するものとします。

実務上のコミットメント

コミットメント1 – スタッフとサポート

• アバイアは、事業全体にわたってプライバシーの遵守を確保・監督するために、適切なスタッフおよびサポートを有するものとします。

コミットメント2 – プライバシートレーニング

• アバイアは、個人データに恒久的または定期的にアクセスする従業員、個人データの処理に関与する従業員、または個人データの処理に使用されるツールの開発に関与する従業員に対し、拘束的企業準則：処理者向けポリシーの付属資料4に定めるプライバシートレーニングプログラムに従って、適切なプライバシートレーニングを提供するものとします。

コミットメント3 – 監査

• アバイアは、上記の原則の遵守を確認し、拘束的企業準則：処理者向けポリシーの付属資料5に定める監査プロトコルに従って、定期的にデータ保護監査を実施するものとします。
•  

コミットメント4 – 苦情処理

• アバイアは、個人が苦情を申し立てる権利を行使することができる状態を確保し、拘束的企業準則：処理者向けポリシーの付属資料6に定める苦情処理手順に従って、かかる苦情を処理するものとします。

コミットメント5 – データ保護当局との協力

• アバイアは、拘束的企業準則：処理者向けポリシーの付属資料7に定める協力手順に従い、アバイアの拘束的企業準則：処理者向けポリシーに関連する問題に関してデータ保護当局と協力するものとします。

コミットメント6 - 国内法規制によって、アバイアの拘束的企業準則：処理者向けポリシーの遵守が阻害される場合のアクション

• アバイアは、該当する法規制が、拘束的企業準則：処理者向けポリシーに基づく義務の履行を阻止する、またはかかる法規制が拘束的企業準則：処理者向けポリシーを遵守する自らの能力に対して顕著な影響があると判断した場合、以下に対して速やかに通知することを徹底します（別途、法によって禁止されている場合を除きます）。
  • 上記の原則2により提供されるデータ管理者（法執行機関により別途禁止されている場合を除く）
  • データプライバシーオフィサーおよびデータ保護責任を持つEU事業体、および
  • データ管理者およびアバイアを管轄する適切なデータ保護当局
• アバイアが法執行機関または州の保安機関から個人データの開示に関する法的拘束力のある要請を受け取り、それが拘束的企業準則処理者向けポリシーに服する場合、アバイアは以下のことを確実に行います。
  • 法執行機関によって禁止されていない限り、データ管理者に速やかに通知する。

• • 法執行機関または国のセキュリティ機関によって禁止されていない限り、リクエストを保留し、主要データ保護当局およびデータ処理者を管轄する適切なデータ保護当局に通知する。

ポリシーアップデート手順

アバイアは本ポリシーをいつでも変更、修正、アップデートする権利を留保します。更新の有無を随時確認してください。

補足情報

このポリシーの条件、このポリシーに基づくお客様の権利、またはその他のデータ保護の問題についてご質問がある場合は、Avaya グローバル プライバシー オフィスにお問い合わせください。

2023 年 3 月改訂

¹ 「アバイア」には、Avaya LLC（住所：350 Mt. Kemble Avenue, Morristown, NJ 07960, USA）および指定関連会社（「グループメンバー」）を含みます。指定関連会社の詳細なリストは、アバイアの拘束的企業準則：管理者向けポリシーおよび処理者向けポリシーに参照として記載されています。

² 「「処理」とは、個人データを対象として行われる何らかの単一の活動または一連の活動を指し、自動的な手段によるかどうかを問いません。かかる主な活動の例として、収集、記録、統合、構成、保存、改変または変更、抽出、照会、使用、送信や頒布などの共有行為による開示、整列や組み合わせ、制限、消去、破棄が挙げられます。

³ 「個人データ」とは、特定されているまたは特定可能な自然人（「データ主体」）に関連する何らかの情報を指します。特定可能な自然人とは、識別要素を参照することで直接または間接的に特定可能な個人を指します。主な識別要素の例としては、名前、ID番号、位置データ、オンラインID、または当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的、社会的アイデンティティとして特有の1つ以上の要素が挙げられます。

⁴ 本ポリシーで「欧州」と言及されている部分は、欧州経済領域およびスイスを指します。