個人情報の保護に関する GE の誓約

 

はじめに

GE は個人のプライバシーの権利を尊重し、適用法令、適用される契約上の義務、および下記の「個人情報の保護に関する GE の誓約」(「本誓約」)に従い、責任を持って個人情報を取り扱うことを誓約します。 本誓約では、GE およびその代理機関による個人情報の処理に関する GE の原則を規定しています。

本誓約は、GE グループ(Electric Insurance Company とその子会社を含む GE の完全子会社および過半数所有会社)内での個人情報の国境を越えた移転における法的根拠となります。これには、GE グループメンバーがデータ処理者である際に本誓約の適用される部分を遵守する場合も含まれます。また、GE は適用法令に従い、GE グループ外の第三者に個人情報を国境を越えて移転することがあります。 GE は適宜、本誓約に従って個人情報を処理します。ただし、現地のより厳格な法令要件に抵触する場合は、現地の法令が優先されます。

範囲

本誓約は、個人情報が GE グループ内で使用された場合に、地理または技術にかかわらず、その情報を保護することを意図しており、GE の個人情報および GE 顧客の個人情報の GE による処理に適用されます。

個人情報の処理

GE は、個人情報を処理する場合に、以下の原則を遵守します。

É公平性 : GE は、個人情報を公平かつ合法的に処理します。

目的 : GE は、個人情報の処理を GE の具体的かつ合法的な目的の達成のためのものに制限します。GE は、かかる目的に適合する処理のみを実行します。ただし、無関係な目的に対する GE の明白な同意、または GE が処理者である場合には顧客の同意が得られた場合を除きます。

原則として、GE は以下の場合に、個人情報を処理します。

  • GE が正当な利益を有し、すべてを考慮した結果処理を正当化できる場合。
  • GE および個人間の法的関係の維持または履行のために必要とされる場合。
  • 適用法令、規制、または政府当局により GE に課されている義務を遵守するために必要とされる場合。
  • 個人または別の当事者の生命、健康または安全を脅かすような例外的状況がある場合。
  • 適用法令により求められる場合には、個人の自発的かつ明示的な、情報に基づく同意(インフォームド・コンセント)が得られた場合。
  • 処理が顧客とのサービス契約に関連している場合。

GE が直接同意を得た場合には、適用法令により求められる範囲において、GE は個人がいつでも無償で同意を撤回できるプロセスを提供します。

均衡性 : GE は、個人情報の処理を、収集および使用する目的に関して適切かつ関連があり、過度ではない程度に制限して行います。

情報の品質: GE は、個人情報が正確かつ最新であることを確保すること、収集および使用する目的を果たすために必要な期間のみ個人情報を保持すること、およびかかる保持要件が満たされた後は、情報を削除または匿名の状態にするための合理的な措置を講じ、また GE が個人情報の処理者である場合には、顧客にそのための手段を提供します。

透明性 : 適用法令により求められる場合、GE は情報が収集された時点または相当の期間内に、GE の身元に関する情報、個人情報の処理の目的および法的根拠、想定される受信者および国境を越えるデータ移転、個人情報の情報源、個人情報に関する権利の行使方法、データ保護責任者の連絡先(該当する場合)、および公平な処理を行うために必要な追加説明を個人に提供します。GE がインターネットまたはその他の電子的手段により個人情報を収集する場合、これらの透明性要件を満たすプライバシーに関する通知を簡単にアクセスできる方法で提供します。

守秘義務 : GE は、適用される業務要件または法規定により開示が必要と判断される場合を除き、処理する個人情報の秘密性を保持します。 GE と個人の関係、または GE が情報の処理者である場合には、GE と顧客との関係が終了した後でも、この義務は存続します。

セキュリティ : GE は、適切な技術的措置および組織的措置を講じて個人情報を保護し、インテグリティ、秘密性、セキュリティおよび利用可能性を確保するように尽力します。 GE は、GE 個人情報に影響を及ぼし、個人の権利および自由に大きなリスクをもたらす可能性のあるセキュリティ違反について、個人に通知します。 GE が処理者である場合、GE は適用法令に従い、処理のセキュリティを確保するための合理的な支援を顧客に提供し、かかる法令に従って、GE 顧客の個人情報のセキュリティ違反について、GE の顧客に通知します。

個人情報の共有および/または移転

以下の状況において、GE は、個人情報を共有および移転することがあります。

  • 個人情報を処理する GE グループ会社が本誓約を遵守している限り、上述の目的を果たすために、GE グループ内で個人情報を共有することがあります。
  • GE は、特定の処理またはその他のサービスを代理で遂行するために選定および採用されたサプライヤーまたは業務委託先に、個人情報を提供することがあります。 GE は、契約により確立された法的関係による手段、またはその他の法的に許される手段により、本誓約および適用法令に従う方法で、新規サプライヤーが個人情報の処理を行うことを確保するよう尽力します。 かかる契約下にあるサプライヤーは、適切なセキュリティ対策を講じる必要があり、GE の指示に従っている場合のみ、個人情報を処理することができます。
  • GE は、法令により求められる場合、GE の法的権利を防御する場合、GE の合併または買収活動、GE の倒産、またはどの部門かを問わず再編成を行う場合に、他の第三者に特定の個人情報を開示することがあります。

センシティブ個人情報の処理

GE がセンシティブ個人情報を処理および/または移転する場合で適用法令により求められる場合には、GE はその処理および/または移転を行う情報に関する個人に通知し、かかる処理および/または移転に関する明示的な同意を得ます。 情報の性質および目的の用途に関連するリスクに応じて、適切なセキュリティ対策を講じます。

説明責任

GE は、本誓約および適用法令で規定されている要件を満たす責任を負います。 特に、GE は以下を行います。

  • 本誓約の要件および適用法令を遵守するために必要な措置を講じます。
  • 適用法令に従った処理活動の記録の管理を含め、かかる遵守を実証する社内での必要な仕組みを構築します。

プライバシープログラム

GE は、本誓約および適用法令の遵守を支援するためのプライバシー実務を実行しています。この実務には、プライバシーリーダーの任命、教育および意識向上プログラム、事例対応手順、プライバシーの影響評価、監査手順、プロセスおよびシステム開発に対するプライバシーバイデザインの取り組みが含まれます。

個人の権利

適用法令に従い、GE に対して身元を十分に証明した個人は、GE が同個人から直接収集した個人情報に関して、以下の権利を行使することができます。GE が処理者である場合には、GE は、顧客が個人に対してプライバシー義務を果たす際に顧客を支援します。

アクセス : 適用法令により求められる場合、GE は保持する個人情報をその情報に関する本人である個人に提供します。この情報には、個人情報の情報源に関する情報、GE による処理の目的、およびかかる個人情報が開示される受領者とそのカテゴリーが含まれます。

修正および削除 : 不完全、不正確、または必要以上の個人情報の修正または削除に関する正当な要求がある場合、GE はそれを尊重および確認します。ただし、情報の保持が GE および個人間での契約関係で求められている場合、訴訟またはその他の法的要求により保存が必要な場合、または適用法令により求められる場合、情報は削除されません。

異議 : 個人の生命または健康が情報の処理のために脅かされるなど、適用法令に従って個人の異議が正当化される場合、GE は個人情報の処理を中止します。 個人はまた、自動処理された個人情報のみに基づいて下された決定が、関係する個人に著しい影響を与える法的効果を生む場合には、異議を申し立てる権利を有します。ただし、同個人が処理を要求した場合または GE と個人間の法的関係のために必要とされる場合を除きます。後者の場合、個人は自動処理された決定に対して意見を表明することができます。 個人は、適用法令により認められている場合に GE が行うマーケティングの目的のための個人情報の処理に対して、異議を申し立てる権利を有します。 GE が処理を続行するための必要不可欠かつ正当な利益が個人の利益または基本的な権利および自由に優先すべきことを GE が明らかにすることができる場合、かかる異議を申し立てる個人の権利の行使はできません。

制限 : 個人はまた、GE の個人情報の正確性に対して異議を唱えた場合など、適用法令により認められる権利の範囲内で、GE が行う当該個人にかかわる GE の個人情報の処理に対する制限を要求する権利を有します。 GE は、情報の保存またはその他の処理の続行が適用法令により認められる場合を除き、かかる制限が正当なものと判断される場合には当該情報の処理を中止します。

苦情 : GE グループ会社による本誓約違反のために損害を受けたと主張する個人は、該当する GE グループプライバシーリーダーまたはコンプライアンス責任者に苦情を申し立てることができます。GE の Web サイトに記載されている GE の苦情処理手順は、その他の連絡手段が利用不能の場合、または既にご利用済みの場合にご利用いただけます。

苦情が正当なものであると GE が判断した場合、当該個人が合理的に満足する程度に苦情を解決するため、合理的な措置を講じます。 GE は、受領後 3 日以内に苦情に対応するよう尽力します。 APEC 越境プライバシールールが規定されている諸国内における GE の本誓約の遵守に関する未解決の苦情がある個人は、GE の米国を拠点とする第三者紛争解決機関 https://feedback-form.truste.com/watchdog/request に無償で問い合わせることができます。

執行 : 本誓約違反のために損害を受けた個人は、適用法令および本誓約の規定に従い、かかる損害に対する賠償金を受け取る権利を有します。 賠償金を受け取る権利を有する個人は、本誓約の規定に従い裁判所に直接償還請求を申し立てるか、適用法令に従い、その他の司法機関に申し立てることができます。

監督機関との協力

GE は、適用プライバシー法令を執行する国または地域の適切な監督機関と協力し、GE による個人情報の処理に対して疑念が生じる正当な理由がある場合は、本誓約に関連する問題に関し権限のある監督機関の決定に従います。

本誓約の改訂

GE は、本誓約を変更する権利を有します。 GE は、あらゆる重要な変更を適宜 GE の主要データ保護機関および/または Trustmark エージェントに通知し、GE の Web サイトで公開します。

定義

個人情報は、特定されたまたは特定可能な個人に関するあらゆる情報です。

GE の個人情報は、GE と個人との関係を通して取得され、GE が自社の目的のために処理するあらゆる個人情報です。 かかる GE の個人情報には、GE との雇用関係に関して取得された雇用情報、GE との顧客関係に関して取得された顧客情報、GE のサプライヤーから取得されたサプライヤー情報が含まれます。

GE 顧客の個人情報は、サービス契約を結んだ顧客に GE がサービスを提供する際に取得され、GE が顧客の代理で処理するあらゆる個人情報です。

顧客は、GE とサービス契約を締結する個人または法人です。

センシティブ個人情報は、個人情報の特別なカテゴリーで、人種的または民族的出自、政治的意見、宗教的または哲学的信念、労働組合の組合員であること、遺伝子情報、生体情報、健康、性生活、および性的指向に関する情報です。