レイサム アンド ワトキンス グローバル データプライバシー基準
View in English.
はじめに
本書は、レイサム アンド ワトキンスにおけるEU個人データ(以下に定義されます。)の取扱適用基準(以下、「本基準」といいます。)を規定するものです。レイサム アンド ワトキンスは、16か国にオフィスを有するグローバルな法律事務所であり、世界全体で一体として活動しています。その国際的業務の性質上、レイサム アンド ワトキンス内での個人データの移転が必要不可欠です。
レイサム アンド ワトキンスは、エグゼクティブ コミッティーを通じ、レイサム アンド ワトキンス内で取り扱われる個人データの保護をお約束します。特に本基準は、レイサム アンド ワトキンスが保有するEU個人データの移転が、EU規則2016/679(EU一般データ保護規則。以下、「GDPR」といいます。)に従って行われるよう策定するものです。
定義
(イ) 「適用法令」は、 L&W 事業体が所在する法域の法律およびL&W事業体が適用を受けるその他の法律を意味します。
(ロ) 「BCR合意」は、 EU個人データを取り扱う全てのL&W事業体が本基準を遵守することを確約する旨の合意を意味します。
(ハ) 「データ保護機関」は、特定国におけるデータ保護法遵守の監視・規制権限を有する当局を意味します。
(ニ) 「DPIA」は、 GDPR第35条に定義されるデータ保護影響評価を意味します。
(ホ) 「EEA」は、欧州経済領域を意味します。
(ヘ) 「EUプライバシー法」は、GDPR 、プライバシー保護指令2002/58(その後の変更を含みます。)およびヨーロッパにおけるプライバシー関連立法を、EEAの各国および英国内で執行するための国内法令(英国2018年データ保護法を含みます。)を意味します。
(ト) 「EU個人データ」は、EUプライバシー法の適用対象となるデータ管理者としてL&W事業体が次の目的で収集しまたは取り扱う次の個人データを意味します。( i )採用および人事管理に関連して収集され取り扱われる、スタッフ、弁護士、パートナー、コンサルタント、受託業者、およびこれらの者それぞれのその候補者の個人データ(ii)法律サービスの提供や広告宣伝および情報連絡の目的で取り扱われるクライアント、潜在的クライアントおよび旧在籍者の個人データならびに(iii)レイサム アンド ワトキンスとサプライヤー、ベンダー、受託業者およびアドバイザーのとの関係において取り扱われる、これらの者の個人データ(詳細は「All-Personnel Fair Data Processing Statement」、「Recruitment Privacy Policy」(https://www.lw.com/RecruitmentPrivacyPolicy)、「Alumni Privacy Policy」( https://www.lw.com/AlumniPrivacyPolicy)または「Client and Third Party Data Privacy Notice」(https://www.lw.com/ClientandThirdPartyPrivacyNotice)のいずれかを参照してください)。
(チ) 「GDPR」は、EU規則2016/679を意味します。
(リ) 「レイサム アンド ワトキンス」および「当事務所」は、米国デラウェア州の法律に基づき設立された有限責任パートナーシップ(以下、「デラウェアLLP」といいます。)として、フランス、イタリア、香港、シンガポールおよび英国においては関連有限責任パートナーシップ、日本では関連パートナーシップ、韓国では外国法諮問事務所、サウジアラビアではSalman M. Al-Sudairi法律事務所と協力して、グローバルに事業を行っている法律事務所であるレイサム アンド ワトキンスを意味します。また、「当事務所」には、デラウェアLLPが100%保有する法人を含みます。
(ヌ) 「現地法」は、適用されるEUプライバシー法以外にL&W事業体が適用を受ける全ての国の法令、規制または各国により課されるその他の法的義務を意味しま
(ル) 「L&W事業体」は、レイサム アンド ワトキンスを構成する各有限責任パートナーシップ、パートナーシップおよび有限責任会社を意味します。
(ヲ) 「L&W ドイツ」は、レイサム アンド ワトキンス フランクフルトオフィスを意味します。
(ワ) 「モデル条項」は、第三国で設置された処理者または管理者への個人データの移転のための、欧州委員会により随時発出・承認される標準契約条項を意味します
(カ) 「個人データ」は識別された、または識別され得る自然人(以下、「データ主体」といいます。)に関するすべての情報を意味します。識別され得る個人とは、特に名前、識別番号、位置情報、オンライン識別子のような識別子を参照することにより、または身体的、生理的、遺伝的、精神的、経済的、文化的もしくは社会的な同一性を示す一つのまたはそれ以上の要素を参照することにより、直接的または間接的に識別され得る者をいいます。適用されるEUプライバシー法が要求する場合、「個人データ」には自然人ではない者に関するすべての情報も含まれます。
(ヨ) 「構成員」は、レイサム アンド ワトキンスのパートナー、弁護士およびスタッフ(有期雇用と無期雇用とを問いません。)を意味します。
(タ) 「セキュリティ侵害」は、L&W事業体が取り扱うEU個人データに係る、偶発的もしくは違法な破壊、消失、変更、不正な開示、または不正アクセスにつながるセキュリティの侵害を意味します。
(レ) 「特別カテゴリーの個人データ」は、人種または民族、政治的見解、宗教または信条、労働組合の加盟状況、犯罪歴、有罪歴、健康、性的指向または性生活ならびに遺伝子データまたは生体データに関するEU個人データ、および適用されるEUプライバシー法により網羅されているその他の種類のEU個人データを意味します。
(ソ) 「取り扱い(processing)」、「データ管理者(data controller)」および「処理者(processor)」はGDPRにて使用されている意味を有します。
本基準の適用範囲
これらの基準は、EEA域内および英国内に所在するL&W事業体によるEU個人データの取扱いに適用されます。また、L&W事業体が行うEU個人データのEEA域外または英国外への移転、および、EEA域外に所在する(データ管理者またはデータ処理者としての)L&W事業体による当該移転に係るデータの取扱いにも適用されます。
なお、次の点にご留意ください。
a) GDPRとの関係においては、英国は第三国(third country)に該当するものとされています。
b) 英国2018年データ保護法に基づき、個人データが英国からEEA加盟国に移転される場合があります。
c) 英国2018年データ保護法は、拘束的企業準則の導入を、事業グループ内におけるEEA域外各国への個人データの移転のための適切な保護措置の一つとして認めています。
国 |
事務所 |
各国の連絡先 |
アメリカ合衆国 | オースティン、ボストン、センチュリーシティ、シカゴ、ヒューストン、ロサンゼルス、ニューヨーク、オレンジカウンティ、サンディエゴ、サンフランシスコ、シリコンバレー、ワシントン D.C. | 1271 Avenue of the Americas, New York, NY 10020 |
イギリス | ロンドン | 99 Bishopsgate, London EC2M 3XF, United Kingdom |
ベルギー | ブリュッセル | Boulevard du Régent, 43-44, B-1000 Brussels, Belgium |
フランス | パリ | 45, rue Saint-Dominique, Paris 75007, France |
イタリア | ミラノ | Corso Matteotti, 22, Milano, 20121, Italy |
オランダ | (事務所なし) | 99 Bishopsgate, London EC2M 3XF, United Kingdom |
ドイツ | フランクフルト、ミュンヘン、ハンブルク、デュッセルドルフ | Reuterweg 20, 60323 Frankfurt am Main, Germany |
スペイン | マドリッド | Plaza de la Independencia 6, Madrid 28001, Spain |
サウジアラビア* | リヤド | Al-Tatweer Towers, 7th Floor, Tower 1, King Fahad Highway, PO Box 17411, Riyadh 11484, Saudi Arabia |
アラブ首長国連邦 | ドバイ | ICD Brookfield Place, Level 16, Dubai International Financial Centre, PO Box 506698, Dubai, United Arab Emirates |
韓国 | ソウル | 29F One IFC, 10 Gukjegeumyung-ro Yeongdeungpo-gu, Seoul 07326, Korea |
中国 | 北京、上海 | Unit 2318, China World Trade Office 2, 1 Jian Guo Men Wai Avenue, Beijing 100004, People's Republic of China |
香港 | 香港 | 18th Floor, One Exchange Square, 8 Connaught Place, Central, Hong Kong |
シンガポール | シンガポール | 9 Raffles Place, #42-02 Republic Plaza, Singapore 048619 |
日本 | 東京 | Marunouchi Building, 32nd Floor, 2-4-1 Marunouchi, Chiyoda-ku, Tokyo 100-6332, Japan |
* レイサム&ワトキンスはSalman M. Al-Sudairi法律事務所と協力してサウジアラビアで事業をおこなっています。
規則および原則
1. データ取扱原則
データ管理者として、各L&W事業体は、適用がある場合には「All-Personnel Fair Data Processing Statement」、「Recruitment Privacy Policy」(https://www.lw.com/RecruitmentPrivacyPolicy)、「Alumni Privacy Policy」( https://www.lw.com/AlumniPrivacyPolicy)または「Client and Third Party Data Privacy Notice」 https://www.lw.com/ClientandThirdPartyPrivacyNoticeのいずれかに従い、かつ、以下の原則に従います。
1.1 EU個人データは、透明性がある形で、公正かつ適正に取り扱われます。データ主体は、当該データ主体がデータ管理者の身元についての情報、データ主体の個人データの利用目的(犯罪防止、法的手続または課税に関する情報提供制限、適用法令による情報提供制限その他、情報提供につき許容されている制限の範囲に限られます。)、取扱いの法的根拠、および、適用されるEUプライバシー法に基づき求められるその他の関連情報(EUプライバシー法に基づきデータ主体に与えられている権利の詳細を含みます。)についての情報を知らない、または受領していない場合には、当該情報の提供を受ける権利を有します。
1.2 EU個人データは明確かつ合法的な特定の事業目的のために収集されます。適用されるEUプライバシー法が認める場合を除き、当該目的に合致しない方法で取り扱われることはありません。
1.3 特別カテゴリーの個人データは、当事務所の事業目的に必要不可欠の場合にのみ取り扱われ、その場合、適用されるEUプライバシー法の要件に従って取り扱われます。
1.4 収集され取り扱われるEU個人データは、適正で過剰ではない情報量であり、また適切かつ正確な内容であり、必要に応じて最新の状態にあるように適切な処置が講じられます。また、個人データが不正確であると判明した場合、当該個人データに対し訂正や削除などの適切な処置が早急に講じられます。
1.5 EU個人データは、取り扱いの目的に必要な期間を超える長期にわたって保持されることはなく、また、当事務所の文書化されたデータ保持ポリシーに従って保持されます(但し、保持期間については、規制上の定めおよび適用されるEUプライバシー法上の定めに従います。)。
2. データセキュリティ
2.1 各L&W事業体は、事故または違法行為による破棄、事故による消失、改改変、破損、不正な開示または不正アクセス(特に取り扱いにネットワークを介するデータ移転が含まれる場合について)およびその他の違法な取り扱いからEU個人データを保護するために、以下のものを含めた適切な技術的および組織的な措置を、技術水準および実施費用を考慮した上で、しかるべく講じます。かかる措置により、取り扱いにより生じるリスクと保護すべきEU個人データの性質に鑑みて適切なセキュリティレベルを確保し、特別カテゴリーの個人データおよびその他の秘密性の高い情報に対する保護を強化します。
(a) 仮名化
(b) 暗号化
(c) システムとサービスの秘密性、完全性、可用性および回復性
(d) バックアップおよび災害復旧用設備
(e) セキュリティ対策の有効性のテスト、診断および評価
2.2 各L&W事業体は、セキュリティ侵害につき、遅滞なく、当事務所のグローバル データプライバシー オフィスに通知する必要があります。グローバル データプライバシー オフィスは、セキュリティ侵害、当該セキュリティ侵害の結果データ主体に対して生じ得る影響、および講じられた対策を記録し、当該記録を保管します。さらに、グローバル データプライバシー オフィスは、EUプライバシー法に基づき求められる場合には、関係するデータ保護機関および影響を受けるデータ主体に対し通知を行う必要があります。データ保護機関から要請を受けた場合、グローバル データプライバシー オフィスは、L&W事業体がデータ管理者としてEEA域内または英国内で取り扱ったEU個人データに関するセキュリティ侵害の記録を、その所在国または法域のデータ保護機関との間で共有します。
2.3 2.3 各L&W事業体は、EU個人データへのアクセス権を有する構成員またはEU個人データを担当する構成員の信頼性を確保するための措置を講じます。かかる措置には、当事務所の指示に従ってEU個人データを取り扱うことを含みます。
2.4 第7項は当事務所の情報セキュリティポリシーおよびプライバシー機能について規定しています。第7.3項に規定されるセキュリティ コミッティーは、当事務所におけるすべての情報セキュリティポリシーおよび情報セキュリティに関する基準についての責任者です。当事務所のポリシーおよび手続(その後の改正を含みます。)は、遵守が義務付けられる情報セキュリティに係る当事務所の詳細な基準を定めています。
3. データ処理者の関与する業務
3.1 L&W事業体が、当該L&W事業体に代わってEU個人データの取扱いを行うデータ処理者として、他のL&W事業体を起用する場合には、当該データ処理者は本基準の定めを遵守し、また、両当事者は、適用されるEUプライバシー法に基づき求められる場合には、追加の合意条項を整備し、これを遵守します。
3.2 L&W事業体が、当該L&W事業体に代わってEU個人データの取扱いを行うデータ処理者として、外部業者を起用する場合には、当該L&W事業体は、取り扱うEU個人データに適用されるセキュリティレベルにつき、適切な保証を提供しているデータ処理者を選定します。当該L&W事業体は、適用されるEUプライバシー法の定めを遵守する外部データ処理者と契約を締結します。
3.3 L&W事業体がEEA域内または英国内に所在し、当該L&W事業体に代わって行われるEU個人データの取り扱いのために、EEA域外に所在する外部データ処理者を起用する場合、当該L&W事業体は以下のいずれかを行います。
(a) データ処理者用のモデル条項と実質的に同一の様式による契約、または、当該モデル条項の内容が含まれる契約を、当該データ処理者との間で締結します(但し、適用されるEUプライバシー法において認められ得る範囲での修正がなされることがあり得ます。)。
(b) EU個人データを保護するために、適用されるEUプライバシー法に従い、その他の適切な保護措置を講じます。
3.4 データ管理者であるL&W事業体が当事務所以外の外部管理者にEU個人データを移転する場合、当該L&W事業体は、適用されるEUプライバシー法の定めに従いそのデータ移転を行います。適用されるEUプライバシー法により義務付けられる場合、または適用されるEUプライバシー法により認められており適切と考えられる場合、当該L&W事業体は、EU個人データおよび個人の権利を保護するための保護措置を講じます。かかる保護措置には、管理者間のデータ移転に関するモデル条項および十分な保護レベルを提供する他の契約の締結も含まれます。
4. 職員の教育
4.1 レイサム アンド ワトキンスでは、当事務所のプライバシーおよびセキュリティポリシー、ならびにプライバシーおよびセキュリティに対するベストプラクティスにつき、全スタッフ、弁護士およびパラリーガルへの教育を目的としたプライバシーおよびセキュリティに対する意識向上プログラムを継続的に行っています。全構成員は、入所時およびそれ以降は2年に1回、必須のデータプライバシーeラーニングモジュールを修了することが義務付けられており、当事務所は当該モジュールの修了率を追跡しています。個人情報に関して一定の責任を有する構成員に対しては、その責任に応じた内容のデータ保護研修も実施します。
4.2 プライバシーおよびセキュリティに対する意識向上に向けた情報を周知させるために、さまざまなコミュニケーション手段が活用されています。ベストプラクティス例、プライバシーおよびセキュリティに対する意識向上に向けた情報や取組指針は、全構成員がアクセス可能な、プライバシーおよびセキュリティ専用のイントラネット上で入手可能になっています。
4.3 また各L&W事業体において、個人データへのアクセス権を有しその取り扱いを担当する構成員に対し、適切なガイダンスおよび研修が確実に提供されています。
5. 適用される現地法との抵触
5.1 L&W事業体が、現地法、規則またはその他の法的義務により、本基準を遵守することを妨げられ、 本基準に基づいて保証される個人データの保護等に相当程度の悪影響を与える可能性があるとL&W 事業体が信じるに足りる理由がある場合、L&W 事業体は迅速にプライバシー コミッティー(以下に定義)に通知します(ただし、法執行機関による調査について秘密を保持する義務を負う場合など、法律または法執行機関によって当該通知が禁じられている場合を除きます。)。プライバシー コミッティーは、当該通知およびそれに関連して講じた措置を記録します。
5.2 プライバシー コミッティーは、L&W 事業体による当該通知の結果、必要となるすべての措置に関して必要な決定を行い、L&W 事業体はプライバシー コミッティーがおこなうすべての指示に従います。プライバシー コミッティーは、 L&W事業体は民主主義社会において必要とされる範囲を超える態様での大規模、不相応または無分別なEU個人データの移転をいかなる当局に対しても行ってはならないことを確認します。プライバシー コミッティーは、本基準と現地法が抵触する際の対処法も含め、いつでもデータ保護機関に意見を求めることができます。
5.3 プライバシー コミッティーは、現地法が本基準に基づいて保証される個人データの保護等に相当程度の悪影響を与える可能性が高いと判断した場合には、関連するデータ保護機関に通知します。ただし、法執行機関による調査について秘密を保持する義務を負う場合など、法律または法執行機関によって当該通知が禁じられている場合を除きます。かかる通知の禁止がなされた場合、プライバシー コミッティーは、関連L&W 事業体に対し、当該禁止の免除を受け、可能な限り早急に可能な限りの情報を関連するデータ保護機関に開示することを認められるよう最大限努力するとともに、どのような努力を払ったかについての記録を保存するよう指示します。
5.4 プライバシー コミッティーは、当事務所がEU個人データの開示を義務付けられ、かつ、かかる開示を行うことにより、本基準に基づいて保証される個人データの保護等が相当程度の悪影響を受ける可能性が高い場合には、かかる開示の全部につき記録を保存するとともに、(法律または法執行機関により課せられた制限を考慮したうえで) 年1回、関連するデータ保護機関に対し、かかる開示の概要を提供します。
5.5 現地法上求められる保護レベルが、本基準で規定されるEU個人データの保護レベルを超える場合には、当該現地法の規定が優先されます。
6. 相互協力およびデータ保護機関との協力
6.1 各L&W事業体は、各国または各法域に所在するデータ保護機関発出の指示が、本基準に関連する場合またはEU個人データの取り扱い一般に関連するものである場合、当該指示に従います。またデータ保護機関による告示を勘案して本基準を解釈します。
6.2 各L&W事業体は、本基準に関するデータ保護機関からの照会または調査に関し互いに協力します。
6.3 各L&W事業体は、本基準またはEU個人データの取り扱いに関するデータ主体からの問い合わせまたは苦情の対応についても互いに協力します。
施行規則およびコンプライアンス
7. レイサム アンド ワトキンスのポリシー、説明責任およびプライバシー機能
7.1 ポリシーおよびガイダンス
当事務所は、プライバシー コミッティーおよびセキュリティ コミッティーにより承認され随時更新・改正される詳細なポリシー、基準、手続およびガイダンスを導入しており、これらは本基準、特に第1項に定めるデータ取扱原則および第2項に定める情報セキュリティに関する義務を遵守するために従わなければならない規則およびプロセスをより詳細に説明するものです。従業員は当事務所イントラネットのポリシーセクションにて、関連するポリシーに係る詳細を確認することができます。
7.2 説明責任
当事務所は、EUプライバシー法に基づき必要とされるEU個人データに関する取扱いに係る活動の記録を保持します。具体的には、当事務所は、GDPR第30.1条に基づき必要とされる取扱いに係る活動の記録を電子的方式にて保持します。当該記録は、当事務所が事業を行うEEA加盟国のデータ保護当局から請求があった場合には、当該データ保護当局に対して提供されます。
7.3 プライバシー コミッティーおよびセキュリティ コミッティー
(a) レイサム アンド ワトキンスの プライバシー コミッティー およびセキュリティ コミッティー は別個の組織ですが、相互に密接に連携します。両コミッティーは、当事務所のパートナーがChairを務め、当事務所のエグゼクティブ コミッティーに直属します。プライバシー コミッティーは主に意識向上ならびに関連プライバシー法および本基準(および関連する各ポリシー)の遵守徹底に取り組み、セキュリティ コミッティーは主に当事務所の情報セキュリティポリシーおよび基準ならびに当事務所のインシデントレスポンス プラン(Incident Response Plan)の策定および実施に取り組みます。セキュリティ コミッティーは、当事務所のセキュリティポリシー、基準、およびガイドライン、ならびにコミュニケーション システム利用規定(Acceptable Use of Communication Systems Policy)へのサインアップを含むそれらの実施についての責任者です。他方プライバシー コミッティーは、データ移転契約、サプライヤーとのデータ取扱契約、現地の規制遵守、コミュニケーション システム利用規定(Acceptable Use of Communication Systems Policy)の更新を含む当事務所のプライバシー更新、研修およびガイダンスの記録ならびに現地オフィスからのプライバシーに関する質問など、当事務所の内部におけるプライバシーに係る事項を監督します。プライバシー コミッティーは、本基準の遵守についての責任者です。
(b) プライバシー コミッティー およびセキュリティ コミッティー は、当事務所のプライバシーへの取り組みを、データ漏洩その他インシデントへの対応のみではなく、プライバシーバイデザインおよびプライバシーバイデフォルトの原則を取り入れた積極的なものとすることについての共同責任者です。この取り組みには、データの取扱いを該当の目的のために必要な範囲に限定し、データ主体の権利保護のために設計された技術(データ最小化など)の利用が含まれます。
(c) プライバシー コミッティーは、グローバル データプライバシー オフィスを通じ、EUプライバシー法にて義務付けられるDPIAの実施について責任を負います。 リスクを低減するための措置が欠けており、その取扱いによりEU個人データの本人である個人の権利および自由に対し高いリスクをもたらす可能性が高いとの結果がDPIAにおいて示された場合、プライバシー コミッティー はEUプライバシー法に従い関連するデータ保護機関と協議します。
7.4 プライバシー担当構成員
7.4.1 レイサム アンド ワトキンスの グローバル データプライバシー オフィスは、当事務所のプライバシー コミッティーの管理機能を担い、各国の事務所におけるデータプライバシー遵守およびベストプラクティスの促進について責任を負います。グローバル データプライバシーオフィスは、プライバシー コミッティー、セキュリティ コミッティー および各地事務所のデータプライバシー担当弁護士と密に連携し、当事務所のデータプライバシー プラクティス、ポリシーおよび手続を整備、解釈および監督し、各国のレイサム アンド ワトキンス オフィスにおけるデータプライバシー遵守およびベストプラクティスに関する目的および目標の戦略的プランニングと達成に寄与します。グローバル データプライバシー オフィスはマネージャー、スーパーバイザー、弁護士およびスタッフに対し、プライバシーのベストプラクティスに関するガイダンスおよびアドバイスを提供します。本基準の違反があり、またはその違反の可能性がある場合、グローバル データプライバシー オフィスは、当該違反または違反の可能性につき、プライバシー コミッティーに報告します。プライバシー コミッティーは、執行その他の措置を講じる必要性の有無を決定することができます。
7.4.2 レイサム アンド ワトキンスのチーフ インフォメーション オフィサーは当事務所セキュリティ コミッティーのメンバーであり、セキュリティについて責任を負うインフォメーション セキュリティ オフィサーを監督します。 インフォメーション セキュリティ オフィサーは、レイサム アンド ワトキンスの情報セキュリティ管理プログラムの維持(当事務所の情報セキュリティポリシーおよび情報セキュリティ基準の遵守を監督および執行するプロセスの整備を含みます。)に関する責任者です。
7.4.3 当事務所のプラクティスまたはビジネス機能を支援する各システムまたはアプリケーションには、それぞれインフォメーション オーナーが存在します。インフォメーション オーナーは、当事務所のマネジメントを代表して、システムまたはアプリケーションの保護について責任を負います。また、オフィス テクノロジー マネージャー&リード は、それぞれ管轄する場所において、当事務所の情報セキュリティポリシーおよび基準の支援および管理について責任を負います。
7.4.4 各地のオフィス アドミニストレーターは、オフィス マネージング パートナーおよびチーフ オペレーティング オフィサーと協働のうえ、当事務所のプラクティス、ポリシーおよび実施手続を整備、解釈および監督し、関連する各レイサム アンド ワトキンス オフィスにおける目的および目標の戦略的プランニングおよび達成に寄与します。オフィス アドミニストレーターは、すべてのマネージャー、スーパーバイザー、弁護士およびスタッフに対し、当事務所の事業運営全般についてのガイダンスおよびアドバイスを提供するとともに、事業に関する高度な問い合わせおよび課題への対応についても責任を負います。
8. コンプライアンスに対する責任
8.1 レイサム アンド ワトキンスの全構成員は、本基準の遵守が義務付けられており、入所時、およびそれ以降年1回、当事務所の最新版のコミュニケーション システム利用規定(Acceptable Use of Communication Systems Policy)と併せて本基準の受諾を表明しなければなりません(ただし、パリオフィスを除きます。)。レイサム アンド ワトキンス パリオフィスの構成員は、オフィスのイントラネットまたはオフィス内カフェテリアにおける掲示により閲覧およびアクセスが可能なパリオフィスの内部規則(以下、「règlement intérieur」といいます。)を通じて本基準を確認します。また、パリオフィスの全構成員がrèglement intérieurおよびその内容を確実に認識するように、règlement intérieurは年1回全構成員宛にemailで送付されます。 フランスの法律に基づき、フランスオフィス内の全構成員はrèglement intérieurの遵守を義務付けられています。本基準(パリオフィスの場合はrèglement intérieur)の不遵守は服務規律違反であり、解雇またはパートナー資格のはく奪を含む懲戒処分の対象となる場合があります。
8.2 当事務所は、BCR合意を締結しています。当事務所は、L&W ドイツを、EEAのデータ保護の責任を受託するL&W事業体に指定しています。L&W ドイツ はBCR合意に基づき本基準の違反を是正するための措置を取ります。
8.3 L&W ドイツは、EEA域外のその他のL&W事業体による本基準の違反となる行為および不作為を是正するための措置を講じ、当該違反の結果生じた損害を補償する義務を負います。したがって、EEA域外に所在するレイサム アンド ワトキンス オフィスに対する請求は、レイサム アンド ワトキンス ドイツに対して行う必要があります。EEA域内に所在するレイサム アンド ワトキンス オフィスに対する請求は、当該オフィスに対して行う必要があります。
8.4 L&W ドイツがデータ主体から受けた請求に基づく責任を免れるためには、L&W ドイツは、当該請求に係る違反が発生しなかったこと、または、データ主体の請求に係る損害賠償その他の救済の原因となった本基準の違反についてEEA域外に所在するL&W事業体のいずれも責任を負っていないことを証明する必要があります。
9. コンプライアンス検証の監査プログラム
レイサム アンド ワトキンスは、本基準および適用されるデータ保護法令の遵守状況を評価および検証するための以下の措置を講じることを保証します。
9.1 内部監査 – 当事務所の内部監査チーム、プライバシー コミッティーおよび/またはグローバル データプライバシー オフィスのメンバーは、随時内部監査を行い、当事務所内の情報セキュリティおよびコンプライアンスについて評価します。当事務所はかかる監査に関してリスクベース・アプローチを採用しており、各L&W 事業体は、リスクベース・アプローチの観点から合理的に必要な範囲で定期的に監査を受けます。監査の範囲には、当事務所の本基準遵守の検査も含まれます。監査の結果は、プライバシーまたは情報セキュリティに関する限りオーディット コミッティーに報告され、そのうち重要な発見事項はエグゼクティブ コミッティーに報告されます。各L&W 事業体は、当該監査の結果、本基準の遵守のために必要であるとされた是正措置を講じる必要があり、オーディット コミッティーはこれを監督します。
9.2 外部監査 –当事務所の外部監査人は、年1回、当事務所の事業システムに係るセキュリティについて検査するための監査を実施します。また、L&W事業体が、必要に応じて、追加的な外部監査の実施を手配する場合もあります。監査の結果は、プライバシーまたは情報セキュリティに関する限り当事務所のプライバシー コミッティー に報告されます。
9.3 EEA域内におけるデータ保護機関への監査結果の提供 – EEA域内のL&W 事業体は、データ保護機関から要請を受けた場合には、本基準の遵守に関連する限りにおいて、上記の内部監査または外部監査の結果を、当該L&W 事業体が所在する国または法域の当該データ保護機関と共有します。
9.4 データ保護機関による監査への対応 – 各L&W 事業体は、当該事業体が事業を行う EEA域内の各国におけるデータ保護機関が、本基準および当該事業体に適用されるデータ保護法の遵守状況を確認するために当該事業体の業務状況を監査する場合には、かかる監査に応じるものとします。
10. 更新
10.1 第7.3項に規定されるレイサム アンド ワトキンスのプライバシー コミッティーは、本基準を常にレビューし、定期的に更新し、関連性のある更新につき不当な遅滞なくL&W事業体に連絡します。また、当事務所の構成に変更が生じた場合、その旨を本基準に反映した上、新たにL&W事業体となった事業体に対して本基準の条項を受諾させ、かつ遵守させます。
10.2 プライバシー コミッティーは、すべての更新につきセキュリティ コミッティーに連絡し、早急に、かつ適切な態様で関連データ保護機関に対し更新を報告しま
10.3 本基準のうち、秘密性のない条項(別紙1「データプライバシー苦情処理手続」の内容を含みます。)は、レイサム アンド ワトキンスの外部向けウェブサイトおよびレイサム アンド ワトキンスのイントラネット上に掲載されています。本基準の全文は、別紙1のデータプライバシー苦情処理手続所定の、是正措置を受ける権利の行使を希望するデータ主体からの請求により入手可能です(但し、秘密保持契約を締結することを条件とします。)。
11. アクセス、訂正および異議の権利(宣伝広告およびプロファイリングを含む)
各L&W事業体は、EU個人データに係るデータ管理者として、データ主体が第三者受益者として当該L&W事業体に対して以下の権利を有することを認めます。
11.1 EU個人データのデータ管理者として当該L&W事業体が自分の個人データをどのように取り扱うかについて、本基準とデータプライバシーに関する苦情処理手続の写しも含め、情報を受け取る権利
11.2 適用されるEUプライバシー法が規定する時期および間隔で、L&W事業体がデータ主体につき保管しているEU個人データ(取扱いの目的および方法を含みます。)の写しを受領する権利。但し、L&W事業体には、適用されるEUプライバシー法上認められる範囲で、請求の全体または一部につきこれを拒否する権利があります。
11.3 適用されるEUプライバシー法の規定に基づき、EU個人データを更新、訂正し、または完全なものとさせる権利(特にEU個人データの不完全性または不正確性を理由として)。
11.4 適用されるEUプライバシー法の規定に従い、EU個人データを消去する権利
11.5 適用されるEUプライバシー法の規定に従い、EU個人データの取扱いを制限する権利
11.6 適用されるEUプライバシー法の規定に従い、EU個人データのデータ管理者としてのL&W事業体に対してデータ主体が提供したEU個人データを、構造化され、一般的に利用され、かつ機械可読性のある形式で受け取り、また、別のデータ管理者に対し、当該個人データを移行する権利
11.7 適用されるEUプライバシー法の規定上必要とされる場合、事前の同意のない限りダイレクト マーケティングの宣伝情報を受け取らない権利、およびダイレクト マーケティングを目的とした個人データの取り扱い(プロファイリングを含みます。)に対しいつの時点でも異議を述べることができる権利。
11.8 適用されるEUプライバシー法の規定に従い、EU個人データの取扱いについて、いつでも異議を述べることができる権利。
11.9 データ主体の個人的特徴や行動を評価するようなプロファイリングを含む、自動化された取扱いのみに基づく意思決定であって、かつ、データ主体に利害関係のある法的効果を発生させ、またはデータ主体に対して重大な影響を与える意思決定が、データ主体のEU個人データに関して行われた場合に、かかる意思決定に対して異議を述べる権利(かかる意思決定が、適用されるEUプライバシー法において許容され、適用されるプライバシー法に含まれる保護措置のもとでなされる場合を除きます。)。
12. 本基準の違反
レイサム アンド ワトキンスは、データ主体がEU個人データにつき第三者受益者として以下の権利を当事務所に対し行使する権利があることを認めます。
12.1 請求に基づき本基準の写しを入手できる権利。但し、当該請求に対応する当事務所またはL&W事業体が合理的に求める内容で秘密保持をお約束いただくことを条件とします。
12.2 データ主体のEEA域外におけるEU個人データの取り扱いに関する質問に、合理的な期間内(質問から1か月を超えることはありません。)に回答を受ける権利。
12.3 L&W事業体による本基準違反に対し、適切な是正措置(適切な場合、損害の賠償を含みます。)を受ける権利および苦情を申し立てる権利。但し、職員教育、レイサム アンド ワトキンスのポリシーおよびプライバシー部門、本基準の監査プログラムおよび更新に関する規定違反を除きます。
12.4 データ主体の常居所もしくは勤務地、または本基準の違反が生じたとされる場所が所在する、EEA域内の国におけるデータ保護機関に対して、苦情を申し立てる権
12.5 EEA域内の適切な裁判所(かかる裁判所は、当該L&W事業体が設立された場所またはデータ主体の常居所がある法域に所在する裁判所となる可能性があります。)に対し有効な司法救済を求める権利
13. データ主体の権利行使
13.1 12項記載の権利の行使方法については、本基準の別紙1「レイサム アンド ワトキンス データプライバシー苦情処理手続」に詳細を定めます。
13.2 上記の権利行使を希望するデータ主体は、グローバル データプライバシー オフィスにご連絡ください。フランクフルトに所在するプライバシー コミッティーのChairまたは関連するL&W事業体が所在する地域のデータ保護機関または裁判所に対し、苦情の申立てをすることもできます。
13.3 本基準に基づく権利行使をするデータ主体は、違反が生じたことを示す一応の証拠を提出しなければなりません。
本基準発効日:2016年9月
更新:2020年7月