1. 序文および概要

1.1. サンケミカルおよびグループ会社は、適用されるデータ保護およびプライバシーに関する法令および個人データ保護基準の遵守を強化するグローバルなデータ保護プログラムを整備することにより、データ保護およびプライバシーに対する取り組みを表明します。付録およびサブ規定を含む本データ保護規定（以下、総じて「本規定」）は、一般的枠組みを提供するとともに、法に準拠し、公正、合法、透明かつ安全に個人データの処理が、各地域および世界において行われるようにするための一般要件を定めるものです。加えて、地域ごとの規定および手順が特定のトピックに適用される場合があります。

1.2. 本規定は、適用される法令および規制、特に EU データ保護指令（指令 95/46/EC 、指令 2002/58/EC など）、これらを実施する国内法令、および2018年5月25日発効の一般データ保護規則 2016/679（「GDPR」）（指令 95/46/EC およびこれに関連する各国内法令を代替）の諸要件を満たすものです（これら諸要件より厳格な要件を規定する場合もあります）。地域ごとの法令や規制が本規定より厳格である場合がありますが、そのような場合、当該地域で個人データを処理する際には、より厳格な規則に従うものとします。必要とみなされる場合、地域ごとの追加ルールが随時発出され、本規定と矛盾が生じた場合に優先される、より具体的な規則が規定されることがあります。関連するサンケミカル事業体は、本規定および該当する場合に自身の法域に適用される特定の規定の両方を遵守するものとします。

2. 定義

管理者」とは、個人データ処理の目的および手段を単独で、または他者と共同で決定する自然人、法人、公的機関、政府機関、またはその他の団体を指します。

データ主体」とは、個人データに関連する、特定の自然人、または特定可能な自然人を指します。データ主体の例には、(i) 当社従業員およびその家族、 (ii) 臨時労働者、(iii) サンケミカルによる雇用を希望する者、(iv) 当社サプライヤースタッフおよび顧客、(v) 当社の敷地を訪問する者、および (vi) ウェブサイトのユーザーが含まれます。

個人データ」とは、特定の自然人、または特定可能な自然人（「データ主体」） に関連するあらゆる情報を指します。特定可能な自然人とは、特に氏名、識別番号、位置データ、オンライン識別子などの識別子、または身体的、生理学的、遺伝的、精神的、経済的、文化的、社会的アイデンティティに関連する特有の1つ以上の要素を参照することにより、直接的または間接的に識別可能な人を指します。

個人データ侵害」とは、送信、保存、またはその他の方法で処理された個人データの偶発的または違法な破壊、紛失、改ざん、不正な開示またはアクセスにつながるセキュリティ侵害を指します。

処理」とは、自動化された手段によるか否かに関わらず、収集、記録、整理、構造化、保管、変更、改ざん、検索、参照、使用、送信、配布またはその他の方法で利用可能にすることによる開示、調整、組み合わせ、制限、消去、破壊など、個人データに対し実行される操作の実行を指します。

処理者」とは、管理者に代わり個人データを処理する自然人、法人、公的機関、政府機関、またはその他の団体を指します。

特別カテゴリの個人データ」とは、人種または民族、政治的意見、宗教または哲学的信念、労働組合の加入の有無、自然人を一意に識別することを目的とした遺伝データまたは生体認証データの処理、健康に関するデータ、または自然人の性生活または性的指向に関するデータを指します。前科および犯罪歴に関連する個人データおよび識別番号には、同様の、またはより厳重な規則が適用される場合があります。

サンケミカル」とは、サンケミカルグループ協同組合およびその各関連会社を指します。「サンケミカル事業体」とは、サンケミカルの個別の関連会社を意味します。「サンケミカル地域」とは、サンケミカルの指定地域を指します。

サンケミカルグループ協同組合、サンケミカルコーポレーション、および関連する地域ごとの EUサンケミカル事業体がEUサンケミカル事業体の活動に関連する個人データ処理の管理者となります。

3. 集中処理および地域ごとの処理

3.1. サンケミカル事業体はすべて、その目的のため、一部の個人データを地域ごとに処理します。ただし、グローバル組織として、世界中のさまざまな施設にある特定のデータベース、集中データベース、およびシステムにおいてデータ主体に関する情報を処理または統合することによっても、当社ビジネス活動の多くは実行でき、ビジネス効率化の多くも達成できます。こうした個人データは、サンケミカルによりホストされる、またはサンケミカルの代理によりホストされる他のシステムおよびデータベースと共有されます。ただし、サンケミカルおよびそれらの他のシステムおよびデータベースは、適用される法令、本規定、追加規定（適用範囲内）、およびサンケミカル事業体（適用される地域ごとの法令により要求される場合）に適用される特定の地域ごとの規定に従ってのみ、かかる個人データを収集、受信、使用、共有、またはその他の方法で処理するものとします。

4. 管理者およびデータプライバシーに関する連絡先グループ

4.1. 個人データ処理の管理者はサンケミカル事業体とします。各地域および世界における特定の処理活動においては、サンケミカル事業体、サンケミカル・リージョナル、およびサンケミカル・グローバルが個人データ処理の管理者となります。

4.2. 質問、苦情がある場合、または自らの権利の行使を希望する場合、データ主体は地域のデータプライバシーに関する連絡先グループに連絡することができます。サンケミカルは、各質問に回答し、各苦情について調査し、合理的期間内に対応するため、誠意をもって努力します。

サンケミカルは、各苦情に対し公正、公平で、偏りの無い方法をもって対処します。苦情の申し立てにより、データ主体が直接的または間接的に被害を受けたり、偏見を持たれたりすることはありません。

5. プライバシー原則

5.1. サンケミカルおよびその代理人は、いかなる場合も以下のデータ保護原則に則り行動し、新規システムにおいて、またはプロジェクトの一部として個人データを収集、使用、保持、開示、またはその他の方法で処理する前に、プライバシーに関するリスクを考慮する必要があります。

a. 合法性、公平性、透明性：サンケミカルは正当な根拠に基づく場合にのみ個人データを処理し、公正に行動し、データ主体に個人データ処理に関する情報を提供します。

b. 目的の制限：サンケミカルは、特定の、明示的かつ正当な目的に関連する、必要な個人データのみを収集し、個人データは収集の目的に適合する方法でのみ処理されます。

c. 比例性・データの最小化：サンケミカルは、処理目的と照らし合わせた際に適切で、関連性および必要性のある、過剰でない個人データのみを処理します。

d. 正確性：サンケミカルは、個人データを処理目的に必要な限り正確、完全、かつ最新の状態に保ちます。

e. 説明責任：サンケミカルは、個人データ処理がこれらのデータ保護原則に則り行われていることを実証すべく、適切な措置を講じます。

f. セキュリティ：サンケミカルは、適切な技術的・組織的手段を用いて、無許可または違法な処理からデータを保護するとともに、偶発的紛失、破壊、損傷からの保護を含む、個人データの適切なセキュリティを確保する方法で個人データを処理するものとします。

6. 通知、同意、およびデータ主体の権利

6.1. データ主体または第三者より個人データを収集する場合、サンケミカルはGDPR第12条から第14条に従い、データ主体にプライバシー通知を発出します。通知には、状況やケースに応じてさまざまな情報が含まれます。

6.2. サンケミカルは、自身に関する個人データへの適切なアクセスをデータ主体に提供し、データ主体が個人データを修正、消去、制限、または移転する権利を行使できるようにするものとします。

7. 機密保持、データセキュリティ、侵害通知

7.1. サンケミカルは、個人データの適切なセキュリティを確保するため、無許可または違法な処理、偶発的紛失、破壊、損傷からの保護を含む、適切な技術的・組織的対策を実施するものとします。

7.2. 個人データ侵害が発生した場合、サンケミカルは不当な遅滞なく、可能な場合漏洩発覚後72時間以内に適切な監督当局に通知するものとします。また、個人データ侵害が個人のプライバシーに高いリスクをもたらす可能性がある場合、サンケミカルは個人データが侵害された可能性のあるデータ主体に個人データ侵害に関する通知を提供する場合があります。

8. データ保持

8.1. サンケミカルは、個人データ処理の目的に必要とされる期間、または適用される法令により要求される期間のいずれか長い方の期間のみ、データ主体の識別が可能な形式で個人データを保持するものとします。サンケミカルは、以下の場合を除き、不要となった個人データを適用される法令に従い、安全な方法で処分するものとします（または、可能な限り匿名もしくは特定不能な形式でのみ保持します）。(i) 法的対抗に必要となる場合。 (ii) より長期間の保存を必要とする強制的な（法令または契約上の）保存またはアーカイブ義務がある場合。 (iii) 適切な技術的・組織的措置を講じることを条件として、個人データが公益目的、アーカイブ目的、科学的もしくは歴史的な研究目的、または統計目的でのみ処理される場合。

9. 個人データの第三者への移転

9.1. サンケミカルは、適切な状況においてのみ個人データを第三者に提供し、データ主体にその旨を通知し、個人データを保護するための措置を講じるものとします。

9.2. サンケミカルは、以下の場合に限り、欧州連合（EU）外、欧州経済領域（EEA）外、またはスイス外への個人データの国際移転を（企業間、企業内、その他を問わず）実行するものとします。 (a) 移転が譲渡人の法域内において法令に準拠したものである場合。 (b) 受領者の法域内において適切なレベルの保護がなされていること、または個人データ保護のための適切な保護措置が講じられていることを譲渡人が確認できる場合。譲渡人はこのような適切性を評価する責任を有し、必要に応じて、譲渡人の規定および管轄下にあるものと同様の保護を採用するよう受領者に要求するものとします。

10. 変更

10.1. 適用される法令に従い、サンケミカルは随時、独自の裁量で本規定を改訂、修正、または補足することができます。データ主体は、変更点を定期的に確認・把握することが推奨されます。適用される法令により許容される範囲内において、サンケミカルが自身の個人データの管理者または処理者となることを許可するデータ主体は、本規定の最新版に拘束されることに同意するものとします。

11. プライバシーに関する問い合わせ先

[email protected]

地域ごとの規定

地域ごとのプライバシー規定が存在する場合は、これを本規定を補完するものとして適用します。地域ごとのプライバシー規定と本規定との間に矛盾が見られる場合、かかる特定の局面においては地域ごとの規定が優先されるものとします。本規定の何らかの条項が特定の国または地域の法令に反する場合、あるいは違反となり得る場合、対象となった条項はかかる特定の国の従業員には適用されず、それ以外の条項が適用されるものとします。