個人情報プライバシーポリシー

個人データ保護に関する社内規定

1. 目的
本規定は、従業員および顧客の個人データを、一般データ保護規則（GDPR）およびベトナムの個人データ保護に関する政令第13/2023/ND-CPを含む関連法令に基づき、適法かつ適正に収集・処理することを目的とする。

2. 適用範囲
本規定は、当社のすべての従業員に適用される。

3. 実施原則
(a) 適法性、公平性および透明性：個人データは、適法な目的に基づき、本人の同意またはその他の法的根拠により、明確かつ透明な方法で処理されなければならない。
(b) 目的の制限：個人データは、業務上の明確かつ合法的な目的のためにのみ収集される。
(c) 最小限のデータ処理：個人データは、目的達成に必要最小限に留めること。
(d) 正確性の確保：個人データは正確かつ最新でなければならず、不正確または古い情報は速やかに修正または削除される。
(e) 保管期間：従業員の個人データは、雇用期間終了後も一定期間保管される場合がある。
(f) 安全性と機密性：個人データは、不正アクセス・漏洩・滅失・毀損を防ぐため、技術的・組織的な対策を講じた上で、安全に処理されること。
(g) 説明責任：会社は本規定の遵守に対して責任を負い、証明する義務を有する。

4. 責任
(a) 会社は、個人データ保護の責任者または部署を任命し、本規定の監督・運用・社員教育を実施し、要請・苦情の処理および監督機関との連携、違反時の報告義務を負う。
(b) 従業員は、本規定を遵守し、他者の個人データの権利・義務を尊重しなければならない。また、自身の個人データの変更や他者からの請求・苦情、事故やリスク、違反の兆候がある場合には、速やかに責任者に報告すること。
(c) 第三者（業務委託先など）が個人データを処理する場合には、範囲・目的・期間・条件・権利義務を明記した契約を締結し、本規定および法令を遵守し、適切なセキュリティ対策を講じるとともに、処理終了時には返却または消去すること。

5. 特定個人情報の保護
特定個人情報とは、人種・民族、政治的見解、信仰、労働組合加入、遺伝情報、生体情報、健康状態、性的指向、犯罪歴、位置情報、経済状況、社会保障番号など、機微性の高い情報を指す。

特定個人情報の処理に関わる者は以下を徹底すること：
(a) 法的根拠を明確にする。
(b) 本人の同意を取得する。
(c) 本人に対してアクセス権、訂正権、削除権、処理制限、異議申立権、同意撤回、監督機関への苦情申立権を通知する。
(d) データは正確・最新であり、目的に必要な範囲内に限定する。
(e) 鍵・パスワード・暗号化・アクセス制限・バックアップ等の技術的措置で安全に保管する。
(f) 正当な権限を持ち、かつ適切な保護措置を講じた受領者にのみ開示する。

6. 個人データの売買・共有の禁止
(a) 法的根拠または本人の同意なしに、個人データを売買・譲渡・貸与・寄贈・交換・共有することは禁止する（政令13/2023/ND-CP 第3条第4項）。
(b) 技術的および組織的対策（暗号化、アクセス管理、ログ記録、研修、ポリシー等）を講じ、不正な取引や共有を未然に防止する。
(c) 不審な行為を検知した場合、速やかに責任者に報告し、必要に応じて当局と連携する。
(d) インシデント発生時は、即時対応を行い、影響を最小限に抑えるとともに、責任者・当局・本人に通報すること。

7. 施行条項
(a) 本規定は2023年9月1日より施行する。
(b) 本規定に明記されていない事項については、関連法令に従う。