グローバルプライバシーポリシー

「Avaya では、お客様の個人データを保護し、適切に取り扱い、使用するよう徹底しています。この姿勢は現在そして将来において一貫しています」

Koldo Loidi
Global Privacy Officer

本 Avaya グローバルプライバシーポリシー（「本ポリシー」）では、Avaya が （「個人データ」）^[3] を^[1]（「処理」）^[2] するに際して、データ保護法を遵守するための Avaya のアプローチを定めています。部署やビジネス機能に適用される特定のデータ保護要件に置き換わるものではありません。個人データの収集、使用および開示に関する各地域の法律・規則で、本ポリシーの内容を上回る追加的制限が課されている場合、当該現地法規が優先されます。

本ポリシーでは、Avaya のデータ保護基準を満たし、プライバシー関連法規に準拠する個人データの処理方法を説明しています。Avaya での個人データ処理活動に関する手順やガイドラインは、社内の各ポリシーの中で、Avaya の従業員と請負業者に提示されます。

データ保護法とは

データ保護法による Avaya の国際的影響

データ保護法への Avaya の対応方法

Avaya の拘束的企業準則：管理者向けポリシー

Avaya の拘束的企業準則：処理者向けポリシー

補足情報

データ保護法とは

データ保護法では、自身の個人データの処理方法に関して、各個人に特定の権利を付与しています。データ保護法を遵守しない組織は、国のデータ保護当局や裁判所によって制裁や罰則が科される場合があります。Avaya が個人データを処理する場合、処理活動と対象となる個人データは、データ保護法の規定の適用を受けます。

組織が組織の目的で個人データを処理する場合、当該組織は、その情報の 「データ管理者」 とみなされ、データ保護法に基づく法的要件を遵守する主たる責任を負います。

組織がサードパーティに代わって個人データを処理する場合（Avaya エンタープライズ顧客に代わりホストされるコンテンツなど）、当該組織は、その情報の 「データ処理者」 とみなされます。この場合は、個人データのデータ管理者（該当サードパーティ）が法的要件を遵守する主たる責任者となります。

ページの先頭へ戻る

データ保護法による Avaya の国際的影響

多くの国や地域には、個人データの国際的移転を規定する法規があります。例えば、欧州のデータ保護法では、^[4] 十分なデータ保護が確保されない欧州域外の国への個人データの移転を禁じています（移転元組織が法律で定められている契約または法的仕組みを導入する場合を除く）。Avaya が事業活動を行う一部の国は、欧州データ保護当局からプライバシーとデータ保護に関する個人の権利が十分に保護されているとみなされていません。

ページの先頭へ戻る

データ保護法への Avaya の対応方法

Avaya は国際的基準に照らし、個人データが安全かつ合法的に処理されるために、適切な措置を講じる義務を負い、こうした要件を満たすための手順と管理体制を導入済みです。欧州では、欧州データ保護当局から承認を受けるとともに、 拘束的企業準則：管理者および処理者向けポリシー を世界的に採用しています。当該ポリシー（当該ポリシーはここで参照することにより、本ポリシーの一部に組み込んだとみまします）は、データ保護法の要件を満たすための明確な枠組みとして Avaya が世界各地で実施するすべての個人データ処理に適用されます。

ページの先頭へ戻る

Avaya の拘束的企業準則：管理者向けポリシー

Avaya の拘束的企業準則（管理者向け）ポリシーは、Avaya が事業活動、雇用管理およびサプライチェーン管理を遂行する目的で個人データを処理するに際して、すべてのグループメンバーに適用される世界的な基準です。データ管理者として個人データを処理する際に、Avaya が守らなければならない基本的なデータ保護原則を以下にまとめました。これらの原則は、（Avaya の他のデータ保護確約とともに）前記のポリシーに記載しています。

原則 1 – 処理の合法性

• Avaya はすべての処理が適用法に従って行われるように徹底します。

原則 2 – 公正さと透明性

• Avaya は個人データの収集時に、個人データがどのように処理されるかを個人に知らせ説明します。

原則 3 – 目的の限定

• Avaya は個人に知らされた目的、または個人にとって想定内でありかつ Avaya に関連性のある目的においてのみ個人データを取得・処理します。
• Avaya は指定された明確かつ合法的な目的においてのみ個人データを処理します。Avaya はその情報をこうした目的以外で追加的に処理することはありません（ただし、かかる追加的な処理が当該個人データの収集国の適用法に則っている場合を除く）。

原則 4– データの最小化と正確性

• Avaya は個人データを正確かつ最新の状態に保ちます。
• Avaya は処理目的に照らし、適切で関連性があり必要な場合に限り個人データを処理します。

原則 5 – 個人データの限定的保持

• Avaya は収集および処理の目的において必要な範囲で、個人データを保持します。

原則 6 – セキュリティと機密性

• Avaya は個人データのセキュリティが個人の権利と自由に対するリスクへの対応として適切なレベルを確保するため、技術的・組織的な対策を適切に講じています。
• また、Avaya のサービスプロバイダーも同等レベルの適切なセキュリティ対策を採用するよう徹底しています。
• Avaya は適用法で求められているデータセキュリティ侵害通知要件を遵守します。

原則 7 – 個人の権利

• Avaya はデータ主体の権利行使手順を厳守し、自身の個人データへのアクセスに関する個人の要請に対し、適用法に則って対応します。
• Avaya は不正確または不完全な個人データの修正や消去の要請、あるいはデータ主体の権利行使手順に従った個人データの処理停止の要請にも対処します。

原則 8 – 国際的移転での十分な保護の確保

• Avaya は適切な保護を確保しないまま、欧州外部のサードパーティに個人データを移転しません。

原則 9 – 慎重な取り扱いを要する個人データ使用についての保護

• Avaya が慎重な取り扱いを要する個人データを処理するのは、個人から明確な同意をあらかじめ得た場合に限ります。ただし、個人データが収集される国の適用法に則ってかかる情報を処理する正当な根拠が別途ある場合を除きます。

原則 10 – ダイレクトマーケティングの正当化

• Avaya ではマーケティング情報の受領しないことを選択する（オプトアウト）機会をお客様に提供します。

原則 11 – 個人の決断の自動化

• Avaya では、自動化処理のみに基づく決断に従うことを拒否する個人の権利に関して、かかる自動化処理が法律上認められる場合を除き、適用法およびポリシーを厳守するために適切な管理体制を設けています。

ページの先頭へ戻る

Avaya の拘束的企業準則：処理者向けポリシー

Avaya の拘束的企業準則（処理者向け）ポリシーで記載されている基準は、グループメンバーでないデータ管理者に代わって個人データを処理する（ビジネスカスタマーにサービスを提供する状況など）すべてのグループメンバーに適用される世界的な基準です。データ処理者として個人データを処理する際に、Avaya が守らなければならない基本的なデータ保護原則を以下にまとめました。これらの原則は、（Avaya の他のデータ保護確約とともに）前記のポリシーに記載されています。

原則 1 – 処理の合法性

• Avaya はすべての処理が適用法に従って行われるように徹底します。
• データ管理者が、適用されるデータ保護法に基づく管理者の義務を履行できるように、過度の遅滞なく当該管理者に協力し支援します。

原則 2 – 公正さと透明性

• Avaya は適用法に則りどのように個人データが処理されるかを個人に通知・説明する必要がある場合、データ管理者を支援します。

原則 3 – 目的の限定

• Avaya はデータ管理者の指示のみに従って個人データの処理を代行します。

原則 4– データの最小化と正確性

• Avaya は個人データを正確かつ最新の状態に保つ上で、データ管理者を支援します。

原則 5 – 個人データの限定的保持

• Avayaはデータ管理者との契約条項または法的拘束力のあるその他の文書に基づき必要な範囲において、個人データを保管します。

原則 6 – セキュリティと機密性

• Avaya はデータ管理者に代わって処理する個人データの保護のため技術的・組織的な対策を適切に講じます。
• Avaya はデータ管理者に代わって処理する個人データに影響を及ぼすいかなるセキュリティ侵害についても、データ管理者との契約条項または法的拘束力のあるその他の文書の条項に則り、過度の遅滞なくデータ管理者に通知します。
• Avaya は処理再委託業者の任命に関しデータ管理者の要請に従います。
• Avaya は外部の処理再委託業者が（i）データ管理者と締結する契約またはその他の法的拘束力を持つ文書の条件、および（ii）Avaya の拘束的企業準則（処理者向け）に沿った規定を確かに遵守することを保証します。処理委託業者が同等レベルのセキュリティ対策を適切に講じることを特に徹底します。

原則 7 – 個人の権利

• Avaya はデータ管理者が個人の権利を尊重する義務を果たすように当該管理者を支援します。

Avaya は本ポリシーをいつでも変更、修正、更新する権利を有します。更新の有無を随時確認してください。

ページの先頭へ戻る

補足情報

本ポリシーや本ポリシーに基づくお客様の権利、その他のデータ保護に関してのご質問は、以下のアドレスの Avaya グローバルプライバシーオフィスまでお問い合わせください。同オフィスが対応するか、社内の担当者や部門に適宜おつなぎします。

宛先：Global Privacy Officer

電子メール: dataprivacy@avaya.com

住所：Avaya UK, Building 1000, Cathedral Square, Cathedral Hill, Guildford, Surrey GU2 7YL, United Kingdom

2018 年 4 月改定。

^{[1] 「Avaya」 は、Avaya Inc（住所：4655 Great America Parkway, Santa Clara, CA 95054-1233, USA）および指定関連会社 （「グループメンバー」）を含みます。指定関連会社の詳細なリストは、 Avaya 拘束的企業準則：管理者および処理者向けポリシー に参照として記載されています。} 

^{[2] 「処理」 とは個人データを対象として行われる何らかの単一の活動または一連の活動を指し、自動的な手段によるかどうかを問いません。かかる主な活動の例として、収集、記録、統合、構成、保存、改変または変更、抽出、照会、使用、提出や頒布などの共有行為による開示、整列や組み合わせ、制限、消去、破棄が挙げられます。}

^{[3] 「個人データ」とは、特定されているまたは特定可能な自然人 （「データ主体」）に関連する何らかの情報を指します。特定可能な自然人とは、識別要素を参照することで直接または間接的に特定可能な個人を指します。主な識別要素の例としては、名前、ID 番号、所在地のデータ、オンライン ID、または当該自然人の肉体的、生理的、遺伝的、精神的、経済的、文化的、社会的アイデンティティとして特有の 1 つ以上の要素が挙げられます。}

^{[4] 本ポリシーで「欧州」と言及されている部分は、欧州経済領域およびスイスを指しています。}