Organonでは、人々が最高の生活を送ることを可能にする独創的な健康ソリューションを提供するというミッションが個人のプライバシー尊重と個人情報の保護にまで及びます

レビュー実施日:2021年2月1日
発効日:2021年6月1日

私たちはプライバシー原則を尊重した事業活動に取り組んでいます。それは、倫理的で責任あるデータ処理の慣行に対する当社の揺るぎない信念を表しているからです。革新と新しいテクノロジーによって、常に変化が起きています。私たちは、そうした変化に合わせてプライバシー原則を速やかに適応することを目指しています。

このポリシーは、個人情報の移転元や移転先にかかわらず、多国間で移動する個人情報を、当社、または当社の委託先が管理・保護する際のグローバルな基準をAPEC越境プライバシールールの証明書で定義しています。この証明書は、これらの活動を実行するために必要なデータ転送を含む、すべての国での当社の事業に適用されます。このポリシーは、当社が情報を処理するすべての人、例えば、医療従事者や他の顧客、採用候補者、現職社員、退職社員とその扶養家族、患者、介護者、研究者、調査研究の参加者、科学・倫理委員会のメンバー、提携会社、投資者、株主、政府関係者、その他のステークホルダーにも適用されます。

社員と経営幹部の全員がプライバシーを守る重大な責任を担っています。

当社は、個人情報の保護に関連する不測の誤りや判断ミスが個人に潜在的なプライバシーのリスクをもたらし、会社にレピュテーションや、経営、財務、コンプライアンス上のリスクをもたらし得ることを認識しています。当社は、データの収集または個人情報の処理に用いるツールの開発を支援する社員およびその他の人員であって個人情報に恒久的または定期的にアクセスする者に対して、このポリシーに関する適切な研修を実施しています。当社の全社員と当社のために情報を処理する者全員が、このポリシーと適用法令に従って自身の義務を理解し、全うする責任があります。

プライバシーの価値観と基準

私たちは、人々に関わるあらゆる活動でプライバシーの価値観を守ります。当社には次の4つのプライバシーの価値観があります。

尊重

信頼

侵害防止

遵守

プライバシーの信念は多くの場合、当社の企業理念、世界観、自己認識に関連しています。したがって、個人情報をどのように使用し、共有するかについて、個人と地域社会の見解や利益を尊重し、公平性と透明性を保つように心がけています。

信頼は当社の成功に不可欠な要素であるため、当社が個人情報をどのように尊重し、保護するかについて、顧客、社員、治験の被験者、その他のステークホルダーと信頼関係を築いて維持するよう心がけています。

個人情報の不正使用は個人に対して有形無形の損害を及ぼす可能性があるため、プライバシーについて物理的な安全、経済面、レピュテーションなどへの危害を防ぐ努力をしています。

テクノロジーやデータフローの急激な変化や、それに伴うプライバシーのリスクや期待の変化に、法令が常についていけるとは限りません。私たちはプライバシーとデータ保護の法令や条項、それに精神を遵守することでグローバルな事業運営の一貫性と業務効率を高めようと努力しています。

  1. 私たちは、個人情報を使用する活動、プロセス、テクノロジー、第三者との関係に、プライバシーの基準を組み込んでいます。 私たちは、プライバシーの価値観と基準および適用法と一貫性のあるプライバシー規制を、プロセスやテクノロジーの設計に組み込んでいます。以下に記載するプライバシー8原則は、当社のプロセスや活動に関するプライバシーの基準と主要要件、およびそれらをサポートしているテクノロジーについての概要をまとめたものです。

    プライバシー原則

    コアコミットメント

    1. 必要性 – 個人情報を収集、使用、または共有する前に、なぜ必要なのか、正当な事業目的を具体的に定義して記録します。

    • それらの事業目的および適用される法的要件により、どのような個人情報が必要になるか、どれほどの期間が必要になるか判断します。また、これらの判断内容を記録します。
    • 定義した事業目的および適用される法的要件により必要とされる期間を超えて、必要以上の個人情報を収集、使用、または共有したり、識別可能な形で保管したりしません。
    • ビジネス上のニーズにより、個人情報が関与する活動やプロセスに関する情報を長期にわたって保管する必要が生じた場合は、個人情報を匿名化するか、身元を隠します。
    • このような必要要件が、支援技術に組み込まれ、活動やプロセスを支援している第三者に通知されていることを確認します。

    2. 公平性 – 個人情報をその関係者に公平な形で処理します。

    • 予定している個人情報の収集や使用、その他の処理が個人に有形または無形の損害を及ぼす合理的な可能性または重大なリスクがあるかどうか、プライバシーの価値観に従って判断し、損害を防ぐことが必要です。
    • データの本質、対象者のタイプ、または現在の活動に、有形・無形の損害を個人に及ぼす合理的な可能性または重大なリスクが伴う場合、それらの個人に対するメリット、または命を救い生活を改善するという当社のミッションが、損害のリスクを上回ること、ならびに当社が導入している保護措置および保護メカニズムにより当該リスクが軽減されていることを確認する必要があります。
    • リスクが個人のメリットを上回ると見られる状況では、最も適切なセキュリティと保護対策を適用し、その事実を個人に伝え、必要に応じて管轄権のある規制当局の助言を求めます。
    • 適用法で明示的に要求または許可されているところに従って、その個人の明確な同意がある場合にのみ、機密情報や個人情報を処理できます。
    • リスクが個人のメリットを上回ると見られる状況では、リスク分析を文書化し、リスクを可能な限り最小限に抑えるための保護措置を実施します。

    3.透明性 – データが関係する対象者に対して、容易に透明性を保つ方法、または目的で個人情報を処理します。

    • このポリシーに基づいて個人情報が処理される対象者全員に、このポリシーのコピーを入手する権利があります。このポリシーは、www.organon.com/privacyからオンラインでコピーを作成できます。以下の住所に要請すれば、MSDグローバルプライバシーオフィスがこのポリシーの電子コピーまたは書面のコピーを提供します。
    • 個人情報を個人から直接収集する場合は、情報の収集前に、明白でわかりやすく、容易にアクセスできるプライバシー通知または同様の手段を通して、(1) 処理を担当する法人または事業体、(2) チーフプライバシーオフィサーまたは現地のデータプライバシー責任者の連絡先、(3) 収集する情報、(4) 使用目的、(5) 当社がデータの処理を行う法的根拠、(6) 共有先(政府当局からの法的要請を受けての個人情報の開示請求を含む)、(7) 当社が個人情報を他の国に移転するかどうか、またその方法(可能な場合は関係各国の特定を含む)、(8) データの保管期間または当社の決定基準、(9) 対象者が個人情報に関連する質問、問題提起、または権利を行使する方法、(10) 既に行った同意を撤回する方法、(11) 監督機関に苦情を申し立てる権利、(12) 個人情報を提供する義務および提供しなかった場合に生じる結果、(13) 当社が行う可能性のある自動的意思決定(プロファイリングを含む)、(14) このポリシーへのリンク(可能かつ適切な場合)について知らせます。ステークホルダー向けの包括的なプライバシー通知は、https://www.organon.com/privacy/contact/からオンラインで入手できます。
    • 個人情報を監視、センサー、その他の間接的な手段により入手する場合は、情報の収集時にプライバシー通知を直接個人に表示できない可能性があります。そのような場合は、情報を取得する機器やその機器に関連する資料に掲載または印刷するなど、他の手段によって、その個人に対する透明性を確保します。
    • 個人情報をウェブサイト、モバイルアプリ、その他のオンラインアプリケーションやリソースから収集する場合は、インターネットプライバシーポリシーおよび グローバルオンライントラッキングポリシーに記載されているテクノロジー固有の基準を適用して、このプライバシーポリシーに基づく透明性の要件が満たされるようにしています。
    • 当社の明確な指示なしに、個人情報を他の情報源から収集する場合は、情報を入手する前に、当社が情報を使用する方法と目的を、情報提供者が個人に通知済みであることを書面で確認します。書面による確認を情報提供者から入手できない場合は、匿名化された情報または身元が隠された情報のみを使用するか、個人情報を使用する前に、影響を受ける個人にプライバシー通知または同様の手段を通して、(1) 処理を担当する法人または事業体、(2) チーフプライバシーオフィサーまたは現地のデータ保護責任者の連絡先、(3) 収集する情報、(4) 使用目的、(5) 当社が処理を行う法的根拠、(6) 共有先、(7) 当社が個人情報を他の国に移転するかどうか、またその方法(可能な場合は関係各国の特定を含む)、(8) 当社による保管期間、(9) 個人情報に関連する質問、問題提起、権利行使を行う方法、(10) 既に行った同意を撤回する方法、(11) 監督機関に苦情を申し立てる権利、(12) 個人情報を提供する義務および提供しなかった場合に生じる結果、(13) 当社が行う可能性のある自動的意思決定(プロファイリングを含む)、(14) このポリシーへのリンク(可能かつ適切な場合)について知らせます。
    • 可能な場合は、個人の権利要請をサポートするメカニズムなど、透明性に必要なメカニズムが支援テクノロジーの設計に組み込まれていること、また当社の活動やプロセスを支援している第三者が、当社および委託先による情報の取扱いについて、プライバシー通知やその他の明確な手段で通知された内容と異なる方法で個人情報を処理しないことを確認します。
    • 同意を求める際には、当社の支援テクノロジーで同意の証拠を取得し、文書化します。

    4. 目的の制限 – 個人情報は必要性と透明性の原則に従ってのみ使用できます。

    • 以前に収集した個人情報に対する正当な事業目的が新しく特定された場合は、個人情報の新しい使用について個人の同意を得るか、または新しい事業目的がプライバシー通知に記載されている目的や、以前個人に提供したその他の透明性メカニズムに適合していること(ほぼ同一であることを含む)を確認します。適合しているかどうかの判断は、次の項目すべてを基準として行います。(1) 当初の目的と新しい目的との間の関連性、(2) 当該個人の合理的な期待、(3) 個人情報の内容、(4) 当該個人に関してさらに処理を進めた場合に予想される結果、(5) 当社が導入している保護措置。
    • この原則は、匿名化された情報または身元が隠された情報には適用されません。また、個人情報を歴史的および科学的研究にのみ使用し、(1) 倫理評価委員会(または他の有識者)がそのような使用に伴う個人のプライバシーや権利のリスクが許容範囲であると判断した場合、(2) 当社が適切な保護措置を導入してデータの最小化を行っている場合、(3) 個人情報が仮名化されている場合、かつ (4) その他の適用法令がすべて遵守されている場合にも適用されません。
    • 報告機能やダウンストリームのデータ共有を含む支援テクノロジーの設計に、目的制限の制約が組み込まれるようにします。

    5. データ品質 – 個人情報を正確、完全、かつ最新の状態に保ち、使用目的との一貫性を維持するよう努めます。

    • 定期的なデータレビューメカニズムを支援テクノロジーの設計に組み込んで、情報源およびダウンストリームシステムと比較してデータの正確性を検証します。
    • 不正確なデータや古いデータを使用した場合は、対象者に対して不公平になるおそれがあるので、機密情報を使用、評価、分析、報告、または処理する前に、それが正確かつ最新の情報であることを確認します。
    • 当社または委託先の第三者が個人情報に変更を加えた場合は、合理的に可能な範囲内において、それらの変更について関係する個人に適時に連絡するものとします。

    6. セキュリティ – 個人情報や機密情報を消失、誤用、不正アクセス、開示、改変、または破壊から保護する対策を講じます。

    • 当社では最新テクノロジーのベストプラクティスと推進コストを考慮に入れて、包括的な情報セキュリティプログラムおよび保護措置を実施し、情報の性質・機密性と活動のリスクレベルに基づいてセキュリティ制御を適用しています。機能的なセキュリティポリシーには、ビジネスコンティニイティ(事業継続性)とディザスタリカバリ(災害復旧)、暗号化、IDとアクセスの管理、情報分類、情報セキュリティのインシデント管理、ネットワークアクセス制御、物理的な保全、リスク管理などが含まれます。

    7. データ移転 – 個人情報を他の組織や外国と送受信する場合にも、プライバシーの保護の責任を負い、これを継続します。

    (1) 当社は次の要件が充足された場合に個人情報を移転します。

    (a) 個人情報を最初に収集した時点での目的または当社のその他の正当な利益を達成するために共有が必要であること、(b) 個人情報を共有する目的および個人情報が共有されるという事実が、プライバシー通知または個人情報を最初に収集し、当該個人が必要に応じてそれに同意した時点で、当該個人に提供された透明性メカニズムと矛盾していないこと、(c) 当社の子会社のうち一社が単独で他の子会社を代理して個人情報の処理を行う場合であること、(d) 法律上必要であればこのポリシーの原則8に従ってグループ会社間のデータ処理契約を締結すること。 (e) ITインフラストラクチャで個人情報の移転が必要となる場合は、移転の条件を遵守するための適切なセキュリティおよび組織的な措置がすべて講じられていることを条件とすること。

    (2) 個人情報の移転や第三者による処理は、以下の要件が満たされている場合にのみ許可するとともに、当社が取引する第三者がこれらの要件を満たすことを確認します。

    • 第三者の役割が当社に代わって個人情報を処理することであれば、個人情報を当該第三者に提供したり、第三者を雇用したりする前に、以下のことを実施します。(1) プライバシーデューデリジェンスを実施して、第三者に関連するプライバシー慣行とリスクを評価する。(2) 第三者が当社の指示のみに基づいて、(i) このプライバシーポリシーに規定したプライバシー8原則のすべて、その他の基準、および適用法令に従って個人情報を処理すること、(ii) このポリシーおよび適用法に定める基準を遵守することができない場合を含むプライバシーインシデント、またはセキュリティインシデントが発生した場合は直ちに当社に通知し、確認されたインシデントを速やかに修正し、以下のセクション2に定める個人の権利に対処するよう協力すること、(iii) 当該第三者らが他の会社に委託して個人情報の処理を行わせていないこと(事前に当社が書面で承認しており、かつ当該他の会社との契約により同等のデータ保護義務を当該他の会社に負わせている場合を除く)、(iv) 当社に対する役務提供が終了した場合、または当社が請求した場合もしくは指示した場合には、当該第三者らが個人情報をセキュアに削除、または当社に返却すること、および、(v) 処理期間中に、これらの要件に対するコンプライアンスの監査と監視を行う許可を当社に与えることについて、第三者から契約上の保証を受け取る。さらに、個人情報の移転が法律で制限されている国や地域からの個人情報を第三者が処理する場合は、第三者への移転が以下の (3) で説明するデータの国際移転の要件を満たしていることを確認します。
    • 第三者の役割が個人情報を当社に提供することであれば、第三者から個人情報を入手する前に、当社の明確な指示なしに他の情報源から個人情報を収集する場合の透明性要件が満たされていることを確認し、個人情報を当社に提供することが法律違反や他者の権利侵害にならないことを表明した契約書を第三者から入手します。
    • 第三者の役割が、当社の明確な指示なしに当社から情報を受け取って処理することであれば、第三者に情報を提供する前に、情報が匿名化されていること、または身元が隠されていることを確認し、第三者が適用法令に従って、契約書に規定されている具体的な事業目的でのみ情報を使用し、個人を特定しようとしないことを保証する書面を第三者から入手します。
    • 第三者への移転が個人の正当な利益または当社の正当な利益を保護するために必要である場合は、(1)不正防止または当社の権利の行使もしくは当社の土地・建物の保護を目的として情報を移転することができます。(2) 当社の財産に関する当社の社員または第三者の身体的安全を保護する目的で情報を移転することができます。または、(3) 違法行為または重大な不正がなされたという疑義を当社が抱くことが合理的であるときは是正的な保護措置を実施することにより当社の資産を保護することを目的として情報を移転することができます。
    • 第三者が買収または企業支配の対象である場合は(1) 買収契約を締結したり経営権を獲得したりする前に、プライバシーのデューデリジェンスを実施して、その会社のプライバシー慣行や買収または経営権の獲得に関連するリスクを評価し、(2) 個人情報の開示と両社の義務について諸条件を規定したデータ移転契約を締結します。
    • 第三者の役割が当社のすべてまたは一部を買収することである場合は、事業譲渡に関連して個人情報を共有する前に、当社は (1) 個人情報の許可された使用についての適切な制限、ならびにこのポリシーおよび適用法に定める基準の遵守を含む、買収者に対する個人情報の開示について諸条件を規定したデータ移転契約を締結し、(2) 必要なデータ要素の共有を最小限に抑え、(3) このポリシーの透明性と目的の制限に従って、個人情報や機密情報を共有する同意を取得し、そして (4) このポリシーおよび適用法に定める基準を遵守できないことを含む、適切なプライバシーインシデントについて速やかに当社に通知するとともに、確認されたインシデントを速やかに修正するか、個人情報に関わる処理を停止するよう協力することを第三者に求めます。

    (3) 当社は(または会社の代理として)、このポリシーに従って個人情報を外国(本社のある米国(USA)を含む)へ移転します。このポリシーは、個人情報の移転が法律で制限されている他の国や地域から個人情報を移転する場合にも適用されるほか、当該法律により課される要件(移転元と同じデータ保護基準を持たない国への国際間移転のためのメカニズムの使用を含む)を遵守する場合にも適用されます)。

    8. 法的な許可 – 適用法令の要件が満たされた場合にのみ、個人情報を処理します。

    • 他の7原則と、以下に記述する個人の権利の要件は、当社の世界中の事業に適用される多くのプライバシー法とデータ保護法に準拠するように作成されていますが、国によっては以下のような追加要件を満たす必要があります。

      1) 法律で義務づけられている場合は、労使協議会や労働組合による処理の承認など、個人情報の一部の処理について特定の形で同意を得ます。

      2) 法律で義務づけられている場合は、該当するプライバシーまたはデータ保護の規制当局に個人情報の処理を登録するか、またはそれに関する許可を求めます。

      3) 法律で義務づけられている場合は、このポリシーの規定より広い範囲の権利(アクセス権や修正権など)を与えます。

      4) 法律で義務づけられている場合は、個人情報のデータ保管期間をさらに制限します。

      5) 法律で義務づけられている場合は、第三者へのデータの国際移転に関する取決めなど、特定の契約条項を盛り込んだ契約を締結します。

      6) 法律で義務づけられている場合は、国家安全保障機関または警察機関の要件への対応を含め、公的機関の適法な要求に応えて個人情報を開示します。

      このポリシーと適用法との間に抵触がある場合は、より強力な個人の保護を提供している基準を優先します。

  2. 個人情報のアクセス、更新、訂正もしくは削除の要請や、個人情報の処理に対する異議の要請、または個人情報に関する権利の行使の要請には迅速に対応します。
    1. アクセス、訂正、削除およびその他の権利 – 当社が事業を展開している多くの国では、自身の個人情報が不正確、不完全、または最新ではない場合に、当該個人情報にアクセスして更新、訂正、または削除を要請する権利が法律で定められています。個人情報のアクセス、訂正、および削除を個人が要請した場合は、以下の3aおよび適用法で許可される範囲に従って対応します。アクセス、訂正、または削除の要請を規制している適用法が、より強力な保護を個人に提供する場合は、その法律の追加要件が満たされるようにします。

      国によっては、自らの個人情報に関するその他の権利(処理の制限を求める権利、処理に関する不服を申し立てる権利(以下2b参照)および他のサービス提供者へのデータ移転を請求する権利など)が個人に与えられる場合があります。データに関する権利の行使は適用法令に従って対応します。その他の規制または法的要件や現地のコンプライアンス報告に準拠する必要性などにより、削除などの権利が制限される場合がありますが、その場合には、必要に応じてこれらの制限についてお知らせいたします。

    2. 選択 – 「尊重」と「信頼」というプライバシーの価値観に従って、過去に参加に同意したプログラムや活動、ダイレクトマーケティングを目的とした個人情報の処理、個人情報からターゲットを絞り込んだコミュニケーション、オートメーションやアルゴリズムの使用によってなされる、重大な影響が及ぶ可能性のある個人についての評価や決定からのオプトアウトをはじめ、当社は個人情報の処理に異議を申し立てる個人の要請を受け入れます。
      1. 法律で禁じられている場合を除いて、特定の要請が以下に関して当社を妨げる場合は、その選択を拒否できます。(1) 法律または倫理的義務の遵守。これには、国家安全保障機関または警察機関の要件への対応を含め、公的機関の適法な要求に応えて個人情報の開示が法律で義務づけられている場合も含まれます。(2) 調査、法的主張、または法的な防御活動。(3) 透明性と目的制限の原則に従い、当該個人の情報に依拠して締結された契約の履行、関係の管理、または許可されているその他の事業活動への従事。適用法で別途要求されない限り、このポリシーに従って、選択要請を拒否する決定から15日以内に、この決定を文書にして依頼者に通知します。
  3. プライバシー関連の質問、苦情、懸念、およびプライバシーインシデントまたはセキュリティインシデントのすべてに迅速に対応します。
    1. このポリシーの範囲内で個人情報を処理される個人は、このポリシーが適用されるすべての関連会社のリストの開示要請を含む質問、苦情、または懸念をいつでも当社に提起できます。適用法により、社員および当社の代理として働く者がこのポリシーを遵守できない可能性がある場合は、当該社員および当社の代理として働く者は直ちに通知することが期待されます。個人からの質問、苦情、または懸念や、社員または当社の代理として働く者からの通知は、次のグローバルプライバシーオフィス宛てに送ってください。
      1. 欧州経済地域(EEA)に居住する方からの電子メールの宛先: euprivacydpo@organon.com
      2. その他の方からの電子メールの宛先: privacyoffice@organon.com 郵送:Chief Privacy Officer, Organon & Co., 30 Hudson Street, Jersey City, NJ 07302.
    2. 社員および契約業者は、当社のプライバシー慣行に関する質問、苦情、または懸念について、グローバルプライバシーオフィスまたは勤務地の指定されたビジネスプラクティスマネージャーに速やかに知らせる必要があります。
    3. グローバルプライバシーオフィスは、社員やその他の個人から直接受け取ったか、規制機関、アカウンタビリティ・エージェント、その他の政府当局など第三者を介して受け取ったかにかかわらず、当社のプライバシー慣行に関するすべての質問、苦情、または懸念を精査し、場合によってはOffice of Ethics、法務・コンプライアンス部門の担当者と協力して調査します。当社に質問、苦情、または懸念を提起した個人や法人には、30日以内に対応します。ただし、法律または第三者である要求者がより短期間での回答を求めている場合や、政府の並行調査などによって回答に30日よりも長い期間を要する状況では、この限りではありません。その場合は、できる限り速やかに遅延の理由を個人や第三者である要求者に書面で通知します。
    4. グローバルプライバシーオフィスは、法務・コンプライアンス部門の担当者と協力して、プライバシーの規制当局の質問、視察、または調査に対応します。
    5. EEA圏内に在住する個人や、個人情報がEEAのデータ保護法に従ってEEA圏外に移転される個人、個人情報がこのポリシーに従って処理される個人はすべて、EU標準契約条項が個人情報の転送に使用される場合、第三者受益者として、いつでもこの標準契約条項の要件を執行する権利があります。これには、この標準契約条項の下で、自己の権利の侵害に対する救済を求めて訴訟を起こす権利や、その侵害から生じた損害に対して賠償金を受け取る権利を含みます。EEA圏内に在住する個人や、個人情報がEEAのデータ保護法に従ってEEA圏外(米国も含む)に移転される個人は、この標準契約条項の下、当社に対して、以下の機関へ訴訟または異議申し立てを提起することができます。

      管轄のデータ保護当局(特に常居所、勤務地、または侵害の疑いのある場所の加盟国)。データ保護当局の連絡先情報は、加盟国 | 欧州データ保護委員会(europa.eu)に掲載されています
    6. 当社は、質問、苦情、または懸念を提起した個人または法人に適用法により割り当てられた期間内に対応します。ただし、第三者である要求者がより短期間での回答を求めている場合や、回答に長い期間を要する状況では、この限りではありません。その場合は、個人や第三者である要求者に書面で通知します。
  4. 私たちはプライバシーの価値観と基準を守る責任があります。
    1. 立証されたプライバシーまたはセキュリティのインシデントを引き起こした行為について責任を負う子会社は、そのインシデントから生じた損害賠償請求や罰金または罰則の支払責任があります。
      1. 欧州データ保護責任者は、グローバルプライバシーオフィスと連携し、その指示により、EEA圏内に在住する個人やEEAのデータ保護法に従ってEEA圏外に個人情報が移転される個人に影響するEEA圏外の当社子会社によるポリシー違反の申立てに対して、必要な措置を講じます。

監督と監視

倫理的かつ責任あるプライバシー慣行が当社の責務であることを、規制機関やその他のステークホルダーに保証するために、当社はチーフプライバシーオフィサーと専任のグローバルプライバシーオフィス(GPOが統率し、プライバシーおよびデータ保護委員会が監視する大規模な監督・監視のガバナンスグループEU データ保護オフィサー、各国のDPO(法律または現地当局が設置義務づけている場合)を抱えています。そして、シニアリーダーが任命したビジネスプラクティスマネージャーがグローバルプライバシーオフィスと担当組織分野の連絡役の役割を果たしています。

知っておくべき用語

  • 匿名化。情報単独で、または他の情報と組み合わせることによって、個人を特定したり、位置を特定したり、個人に連絡したりできないように、個人情報を復元不能な形で改変、短縮、抹消、編集、または修正すること。
  • 会社。Organon & Co. 当社が当事者である合弁事業を除く、世界各地の承継会社、子会社、および部門。
  • 身元を隠す。直接および間接の個人を特定できる情報の削除。多くの場合、元の識別データを別々に保存すること。
  • 法律。当社が事業を営む国、または当社に代わって個人情報が処理される国で法的拘束力のあるすべての適用法令、規則、規制、または意見の命令。これには、アジア太平洋経済協力会議(APEC)越境プライバシールール(CBPR)など、当社が承認または認定しているプライバシーの枠組みすべてが含まれます。
  • 個人情報。特定の個人に関係するデータまたは個人を特定可能なデータ。個人を特定するデータや、個人の特定、位置の特定、追跡、または連絡に使用される可能性のあるデータを含みます。個人情報には、氏名、個人識別番号、固有の職名のように直接特定できる情報と、生年月日、携帯電話やウェアラブルデバイスの固有のID、電話番号、暗号化データ、およびIPアドレス等のオンライン識別子またはサービスや製品を提供するために収集される可能性のある個人の活動、行動、嗜好などのように間接的に特定可能な情報のどちらも含まれます。
  • プライバシーインシデント。セキュリティインシデントを含む、このポリシー、プライバシー法、データ保護法などの違反または侵害。プライバシーインシデントが発生したかどうか、また、当該プライバシーインシデントが個人データ侵害となるかどうかは、グローバルプライバシーオフィス、ビジネステクノロジーリスクマネジメント(BTRM)および法務部が判断します。
  • 処理。個人情報に対して一連の操作を実施することを意味します。自動的な手段かどうかを問わず、収集、記録、整理、保管、アクセス、改変、修正、検索、協議、使用、評価、分析、報告、共有、開示、普及、転送、提供、調整、組合せ、阻止、削除、消去、又は廃棄を含みますが、これらに限定されません。
  • 個人データ侵害。セキュリティが侵害された結果として、個人情報の毀損、消失、改変または不正な開示もしくは個人情報への不正なアクセスが偶発的もしくは違法な形で発生すること、またはそれらがそのように発生したことを当社が合理的に確信していること。このポリシーに違反する意図なく当社または当社の代理人が個人情報にアクセスした場合、アクセスした情報がこのポリシーの許容範囲内で使用および開示されるのであれば、個人データ侵害とは見なされません。
  • セキュリティインシデント。 情報セキュリティ インシデントは、情報のセキュリティを危険にさらし、事業の運営を弱体化するか損なう可能性のある1つ以上の望ましくない、または予期しない情報セキュリティイベントで構成されます。
  • 機密情報。法律で機密と定義されている情報を含め、個人に損害を及ぼすリスクが内在する個人的な情報。例えば、健康、遺伝、生体的特性、人種、民族、宗教、政治的または哲学的見解や信念、犯罪歴、正確な位置情報、銀行その他の金融口座番号、政府発行の身分証明書番号、未成年の子供、性生活、性的指向、労働組合への加入、保険、雇用主や政府が支給する社会保障やその他の給付などが該当します。
  • 第三者。当社が所有していない、あるいは当社が経営権を持たない法人、組合、人、または当社が雇用していない個人。関連会社は第三者とは見なされません。

本ポリシーの変更

このポリシーは、適用法の要件に沿って随時改定される可能性があります。本ポリシーに重要な変更が行われる場合は、当社のプライバシーウェブページ(https://www.organon.com/privacy)に60日間掲載されます。