Y-Prime, LLC
個人情報保護方針
目的
Y-Prime, LLC (YPrime)は、個人データの収集と使用に関して透明性を確保することを約束します。この通知は、プライバシー、データ保護、および個人データに関する個人の権利と義務に対するYPrimeの取り組みを規定しています。
この通知は、クライアント、臨床試験参加者、ベンダー、求職者、従業員、請負業者、元従業員、YPrimeに提供または収集および処理されるYPrimeのウェブサイトへの訪問者(Cookieやインターネットタグなど)のすべての個人データに適用されます。
カリフォルニア州のプライバシー権
カリフォルニア州の「Shine the Light」法に基づき、個人、家族、または家庭で使用する製品またはサービスの取得に関連して特定の個人を特定できる情報を提供するカリフォルニア州の居住者は、当社が他の企業と共有した顧客情報に関する情報(存在する場合)を要求し、取得する権利(暦年に1回) があります。 該当する場合、この情報には、顧客情報のカテゴリと、直前の暦年に当社が顧客情報を共有した企業の名前と住所が含まれます (たとえば、2021年に行われた要求は、2020年の共有活動に関する情報を受け取ります)。
この情報を取得するには、privacy@yprime.com宛てに、件名とメッセージ本文に「カリフォルニア州プライバシー情報の要求」と記載した電子メールのメッセージを送信してください。要求された情報は、お客様のメールアドレスに返信することで提供されます。
すべての情報共有が「Shine the Light」要件の対象となるわけではなく、対象となる共有に関する情報のみが回答に含まれることに注意してください。
YPrimeは、個人のプライバシーを尊重し、顧客、従業員、臨床試験参加者、消費者、ビジネスパートナーなどの信頼を大切にしています。YPrimeでは、事業を行っている国の法律と一致する方法で個人データを収集、使用、および開示するよう努めていますが、事業慣行において最高の倫理基準を維持するという伝統もあります。
この通知に関する質問、または詳細情報の要求は、privacy@yprime.com宛にメールにて送信してください。YPrimeはGDPRに準拠しています。
この通知は時折更新される場合があります。内容の更新が行われると、最後の改訂日がページの最後に反映されます。
定義
「データ管理者」とは、個人データの処理の目的と手段を単独でまたは他の人と共同で決定する自然人または法人、公的機関、代理店またはその他の団体です。
「データ主体」とは、識別された、または識別可能な生存している自然人を意味します。
「GDPR」は、欧州連合の一般データ保護規則です
「個人データ」とは、その情報から特定できる生存する個人に関する情報をいいます。GDPRの下では、このデータは「個人を特定できる情報」として知られています。
「処理」とは、データの収集、保存、修正、開示または破棄を含む、データの使用を意味します。
「データ処理者」とは、データ管理者に代わって個人データを処理する自然人または法人、公的機関、代理店またはその他の団体を指します。
「個人データの特別カテゴリ」とは、個人の人種または民族、犯罪歴データ、政治的意見、宗教的または哲学的信念、労働組合の会員、健康、性生活または性的指向、およびバイオメトリックデータに関する情報を意味し、個人データの一形態です。
「犯罪歴データ」とは、個人の刑事上の有罪判決および犯罪に関する情報、ならびに刑事上の申し立ておよび訴訟に関する情報を意味します。
データ保護の原則
YPrimeは、以下のデータ保護原則に従って個人データを処理します。
- 公正、合法的、透明性のある方法で個人データを処理します。
- 特定の、明示的かつ合法的な目的のためにのみ個人データを収集します。
- 個人データは、適切で、関連性があり、処理の目的に必要なものに限定されている場合にのみ処理されます。
- 正確な個人データを保持し、不正確な個人データが遅滞なく修正または削除されることを確実にするための合理的なすべての措置を講じます。
- 個人データは、処理に必要な期間のみ保持します。個人データは、処理に必要な期間のみ保持します。
- 個人データが安全であることを確認し、不正または違法な処理、および偶発的な損失、破壊、または損傷から保護するための適切な措置を採用しています。
YPrimeは、個人データの取得、処理、廃棄方法、および上記の原則の遵守について責任を負います。
- 公正、合法的、透明性のある方法で個人データを処理します。
- 特定の、明示的かつ合法的な目的のためにのみ個人データを収集します。
- 個人データは、適切で、関連性があり、処理の目的に必要なものに限定されている場合にのみ処理されます。
- 正確な個人データを保持し、不正確な個人データが遅滞なく修正または削除されることを確実にするための合理的なすべての措置を講じます。
- 個人データは、処理に必要な期間のみ保持します。
- 個人データが安全であることを確認し、不正または違法な処理、および偶発的な損失、破壊、または損傷から保護するための適切な措置を採用します。
- 個人データの取得、処理、廃棄方法、および上記の原則の遵守について責任を負います。
データ管理者とみなされる場合、YPrimeは個人に、個人データを処理する理由、そのようなデータをどのように使用するか、およびプライバシー通知で処理する法的根拠を伝え、他の理由で個人の個人データを処理しません。YPrimeがデータ処理の基礎として正当な利益に依存している場合、YPrimeはそれらの利益が個人の権利と自由によって上書きされないように評価を行います。個人が個人情報が変更された、または不正確であることを通知した場合、YPrimeは、速やかに個人情報を更新します。
データ管理者と見なされる場合、YPrime は、個人データを処理する理由、そのようなデータをどのように使用するか、プライバシーに関する通知で処理の法的根拠を個人に通知し、他の理由で個人の個人データを処理することはありません。
従業員および請負業者としての関係中に収集された個人データは、個人の人事ファイルに、ハードコピーまたは電子形式、およびYPrime HRシステムに保持されます。このような人事関連の個人データをYPrimeが保持する期間は、個人に発行されたプライバシー通知に含まれています。
YPrimeの運用および保守の請負業者は、YPrimeに製品またはサービスを提供する過程で、個人データへのアクセスが制限されることがあります。これらの請負業者による個人データへのアクセスは、請負業者がYPrimeのために限定された機能を実行するために合理的に必要なものに限定されます。YPrimeは、運用および保守の請負業者に以下のことを要求します。(1) この通知と一致する個人データのプライバシーを保護し、(2) 法律で義務付けられている通り、YPrimeに製品やサービスを提供する以外の目的で個人データを使用または開示しないこと。
YPrimeは、GDPRの要件に従って、個人データ処理活動の記録を保持します。
個人の権利
データ主体として、個人は個人データに関連していくつかの権利を有します。
データ主体のアクセス要求(Subject Access Requests:SAR)
個人は、自分に関するどのような個人データがYPrimeによって管理および処理されているかを確認し、そのような個人データが正確であり、YPrimeが収集した目的に関連していることを確認する権利を有します。個人が合理的な要求をした場合、YPrimeはその個人に次のことを伝えます。
- 個人データが処理されているかどうか、処理されている場合はその理由、関連する個人データのカテゴリ、および個人から収集されていない場合はデータのソース。
- 欧州経済地域(EEA)外に所在する受信者を含む、データが開示される、または開示される可能性がある相手、およびそのような転送に適用される保護措置。
- 個人データの保存期間(またはその期間の決定方法)。
- データの修正または消去、または処理を制限または反対する権利。
- YPrimeが自分のデータ保護権を遵守していないと考えた場合、関連するデータプライバシー監督当局に苦情を申し立てる権利。及び
- YPrimeが自動化された意思決定を実行するかどうか、およびそのような意思決定に関連する論理。
YPrimeはまた、処理中に収集された個人データの写しを個人に提供します。個人が電子的に要求した場合、個人が別段の要求をしない限り、これは通常電子形式で行われます。
個人が追加の写しを必要とする場合、YPrimeは、追加の写しを提供するための管理費に基づく妥当な料金を請求する場合があります。
データ主体のアクセス要求を行うには、個人は電子メールでメッセージをmarketing@yprime.com宛に送信する必要があります。ほとんどの場合、要求を処理する前にYPrimeは法的に、身元証明を要求する必要があります。 また、場合によっては、YPrimeがデータ処理者(またはサブ処理者)である場合、YPrimeはデータ管理者に連絡する必要があります(該当する場合)。
YPrimeは通常、要求を受け取った日から1か月以内に対応します。YPrimeが大量の個人データを処理する場合など、場合によっては、要求を受け取った日から3か月以内に応答することがあります。YPrimeは、最初の要求を受け取ってから1か月以内に、該当するかどうかを伝える書面を個人に送付します。
データ主体のアクセス要求が明らかに根拠のない、または過度である場合、YPrimeはそれに従う義務はありません。あるいは、YPrimeは応答に同意することもできますが、要求に応答するための管理費に基づく料金が請求されます。データ主体のアクセス要求が明らかに根拠のない、または過度であると見なされる可能性が高い例は、YPrimeが既に応答した要求が繰り返される場合です。個人が根拠のない、または過度の要求を提出した場合、YPrimeは、これが事実であり、それに応答するかどうかをその個人に通知します。
その他の権利
個人は、自身の個人データに関して、その他のいくつかの権利を有します。個人は、次のことをYPrimeに要求できます。
- 個人データの収集と使用について通知する。
- 不正確な個人データを修正する。
- 処理目的で不要になった個人データの処理を停止または消去する。
- 個人データを引き続き保存するが、使用しない。
- ダイレクトマーケティングなどの特定の状況で個人データの処理に異議を唱える個人の権利を尊重する。
- 別のIT環境に簡単に転送できるように、ポータブルな形式で個人データを提供する。通常、この要求には「カンマ区切り」(csv)ファイルの形式でデータを提供することで対応します。
- 個人データに基づく自動意思決定に関する個人の権利を尊重する。
- 個人の利益が個人データを処理するためのYPrimeの正当な根拠を無効にする場合(YPrimeが個人データを処理する理由として正当な利益に依存している場合)、個人データの処理を停止または消去する。
- 処理が違法である場合は、個人データの処理を停止または消去する。及び
- データが不正確な場合、または個人の利益がYPrimeの個人データ処理の正当な根拠を無効にするかどうかについて論争がある場合、個人データの処理を一定期間停止する。
YPrimeに上記の手順のいずれかを依頼するには、個人がmarketing@yprime.com宛に電子メールにてメッセージを送信する必要があります。
欧州連合の個人(EUデータ主体)は、自国のデータ保護機関に苦情を申し立てることができ、他の救済メカニズムによって解決されなかった一部の残留請求について、拘束力のある仲裁を求めることができます。
当社で直接解決できない意見や懸念がある場合は、管轄の地域データ保護機関に連絡することもできます。
データセキュリティ
YPrimeは個人データのセキュリティを真剣に考えています。YPrimeは、紛失、偶発的な破壊、誤用または開示から個人データを保護し、従業員が職務を適切に遂行する場合を除き、データにアクセスしないようにするための内部ポリシーと管理を実施しています。
YPrimeが第三者に代わって個人データを処理する場合、そのような当事者は書面による指示に基づいてこれを行い、守秘義務を負い、データのセキュリティを確保するために適切な技術的および組織的措置を実施する義務があります。
YPrimeは、個人データが第三者に転送される可能性がある場合の潜在的な責任を認識しています。YPrimeは、適切かつ同等レベルの保護を提供する原則または同様の法律を第三者が順守することを最初に確認することなく、個人データを第三者に転送することはありません。YPrimeは、クライアントまたは別のデータ管理者から合法的に指示されない限り、個人データを無関係の第三者に転送することはありません。たとえば、そのような状況には、法律または法的手続きによって要求されるクライアントの個人データの開示、または生命、健康、または安全に関わるものなど、特定可能な人物の重大な利益のために行われる開示が含まれます。YPrimeが無関係の第三者に個人データを転送するように要求された場合、YPrimeは、その第三者が適切かつ同等レベルの保護を提供することを保証します。YPrimeから個人データを受け取った無関係の第三者が、この通知に反する方法で個人データを使用または開示していることをYPrimeが知った場合、YPrimeはその使用または開示を防止または停止するための合理的な措置を講じます。
影響評価
YPrimeが実行する処理の一部は、プライバシーのリスクにつながる可能性があります。処理が個人の権利と自由に高いリスクをもたらす場合、YPrimeはデータ保護影響評価を実施して、処理の必要性と比例性を判断します。これには、活動が行われる目的、個人へのリスク、およびそれらのリスクを軽減するために講じることができる対策の検討が含まれます。
データ侵害
YPrimeは、個人の権利と自由にリスクをもたらす個人データの侵害があったことを発見した場合、発見から72時間以内にInformation Commissioner(英国個人情報保護監督機関)に報告します。YPrimeは、その影響に関係なく、すべてのデータ侵害を記録します。
違反が個人の権利と自由に高いリスクをもたらす可能性が高い場合、影響を受けた個人に違反があったことを伝え、もたらされる影響と講じた緩和策に関する情報を提供します。
海外へのデータ転送
YPrimeによって管理または処理される個人データは、欧州経済領域 (EEA) 外の国に転送される場合があります。
YPrimeは、適用されるStandard Contractual Clauses(標準契約条項)を利用し、この通知に違反する個人データの使用および開示に関する苦情または紛争を完全に調査し、解決を試みることにより、この通知の遵守を保証します。
YPrimeの従業員の責任
YPrimeの従業員は、雇用の過程で、他の個人および当社の顧客およびクライアントの個人データにアクセスする場合があります。 この場合、YPrimeは、従業員および顧客および顧客に対するデータ保護義務の履行を支援するために、個人に依存しています。
個人データにアクセスできる従業員は、次の要件を満たしている必要があります。
- アクセス権限のあるデータにのみ、許可された目的でのみアクセスすること。
- YPrime社内外を問わず、適切な権限を持つ個人以外にデータを開示しないこと。
- たとえば、施設へのアクセス、パスワード保護を含むコンピュータへのアクセス、および安全なファイルの保存と破棄に関する規則を遵守することにより、データを安全に保つため。
- データとデバイスを保護するための暗号化やパスワード保護などの適切なセキュリティ対策を採用せずに、個人データ、または個人データを含む、または個人データへのアクセスに使用できるデバイスをYPrime施設から持ち出さないこと。
- 業務目的で使用されるローカルドライブまたは個人用デバイスに個人データを保存しないこと。そして
- データ侵害に気づいた場合は、privacy@yprime.comに直ちに報告すること。
これらの要件を遵守しない場合、YPrimeの懲戒ポリシーおよび手順に基づいて対処される懲戒違反になる可能性があります。
YPrimeは、入社プロセスの一環として、またその後も定期的に、データ保護の責任について全従業員に研修を提供するものとします。
個人データへの定期的なアクセスを必要とする役割を持つ従業員、またはこの通知の実施またはこの通知に基づく対象者のアクセス要求への対応を担当する従業員は、その義務とその遵守方法を理解するのに役立つ追加の研修を受けるものとします。
インターネットプライバシー
YPrime、またはYPrimeの指示による第三者は、そのウェブサイトおよびウェブサイトの要素との訪問者のやり取りを通じて個人データを収集する場合があり、これもこの通知の対象となります。このような個人データは、個人が自分の名前および/または住所を提出したときに収集できます。YPrime、またはYPrimeの指示を受けた第三者は、個人がIPアドレス、Cookie識別子、ピクセル、エンドユーザーのウェブサイト活動など、さまざまな自動化されたデジタル手段を通じて積極的に情報を送信することなく、YPrimeウェブサイトへの訪問に関する情報を収集することもできます。このような自動化されたデジタル手段によって収集された情報は、特定の個人を直接識別するものではありませんが、インターネットウェブブラウザは、IPアドレスやブラウザのバージョンなど、ユーザーのコンピュータが動作しているソフトウェアに関する情報を自動的にYPrimeウェブサイトに送信します。これらの技術によって収集された情報は、追加の識別可能な情報なしに個人を識別するために使用することはできません。
クッキー
YPrimeは、当社のプラットフォームによって提供され、デバイスに保存される小さなデータファイルであるクッキーを使用します。当社のサイトでは、当社または第三者が作成したクッキーを、ユーザーエクスペリエンスを向上させるためのウェブサイトの運用およびパーソナライズするため、またターゲットを絞った広告目的など、さまざまな目的で使用しています。クッキーは、閲覧セッションの終了時に失効するか、次回ウェブサイトにアクセスしたときに備えてコンピュータに保存される場合があります。ブラウザの設定を調整することで、クッキーの設定を防ぐことができます(これを行う方法については、ブラウザの「ヘルプ」セクションを参照してください)。クッキーを無効にすると、当社のウェブサイトのエクスペリエンスに影響します。
バージョン 9、最終更新日 2023 年 3 月 25 日