プライバシーと個人情報の保護
ミシュランは、個人情報の保護は、すべての利害関係者との関係についての信頼性を高めるために重要であると確信しています。当グループは、事業活動に必要な情報のみを収集および処理することを保証するものです。
定義と背景
個人情報とは、自然人を直接的または間接的に特定する情報です。
これには、たとえば次のものが含まれます。
- 個人を直接特定するもの。写真、または個人の婚姻状況に関する情報(姓、名など)。
- 間接識別の場合:一意の識別番号(ナンバープレート、ミシュランID、携帯電話番号など)または情報の組み合わせ(性別、年齢、職業、居住地など)。
すべての個人情報は保護する必要があります。
プライバシーと個人情報を保護するための規制の数は、近年世界中で劇的に増加しています。多くの国では、これらの規制に準拠しなかった場合、非常に重大な経済的な罰則(多くの場合、マスコミで報道される)や刑事的な罰則が課されるようになりました。
指導原則
従業員、顧客、サプライヤー、株主、パートナー、または下請け業者の個人情報は、法律および規則、ならびに個人情報の保護に関して該当するグループのルールに従って処理される必要があります。
グループは、事業活動に必要な情報のみを収集および処理することを保証するものです。
法律で必要かつ許可されている場合を除き、個人情報を第三者に伝達することはできません。
ミシュランはまた、情報保護がすべての利害関係者との関係における信頼関係の構築にとって非常に重要であり、グループはこれに特に秀でているものであると確信しています。
個人データの保護は、すべての人が努力することによりはじめて保証することができます。
しなければならないこと
- 目的に必要な個人情報のみを収集して処理し、この目的が正当で明確に定義されていることを確認する。
- 個人情報の収集と使用が、関係者に提供された情報に準拠していることを確認する。必要に応じて、データの収集と使用について本人の同意を得ていることを確認する。
- 自由記載欄には、関連性があり、且つ適切で過度ではないコメントのみを入力する。このコメントの対象である人と自分のコメントを共有することに問題がないかどうかを検討する。
- 不正確または不完全なデータを破棄または修正する。情報に対する個人の権利を尊重する。
- 個人情報は、知る必要がある正当な内部受信者にのみ送信する。
- 法的義務が発生した場合、またはグループと契約を結んだ企業に対してのみ、個人情報を外部に送信する。
- 他の国からの情報への許可されたアクセスまたは国外への転送の場合にグループ内で適用されるすべての保証条項を読み、遵守する。これらのドキュメントはイントラネットでアクセスできる(遵守しなければならないルール(BCR)等)。
- 個人情報のセキュリティと機密性を確保する(たとえば、ファイルの暗号化に関するグループセキュリティルールに準拠することにより、ドキュメントの送信を行うなど)。
- 情報に対する侵害(データの損失、不正アクセス、不正公開など)が発生した場合には、適用される手順に従って、ミシュランCERT(コンピューター緊急対応チーム-ITセキュリティ上ぼ問題の管理を担当するチーム)に通知する。
- 職務上個人情報の取り扱いが必要な場合は、定期的にトレーニングに参加する。自分の活動に適用される取り決めを理解する。
してはいけないこと
- 情報主体が何か知らないまま個人情報を収集する。
- 本人の同意なしに、または法律で義務付けられている場合にのみ本人の同意を得て、いわゆる「センシティブ」情報(健康状態、性的嗜好、政意見、信仰、人種または民族)を収集する。
- 法務部門に相談することなく、国外にいる人に個人情報へのアクセスを許可する。
- 目的のために必要な期間を超過して個人情報を保持する。
実際の例1
あなたは営業チームの一員であり、顧客との親密な関係を築きたいと考えています。このため、グループの顧客関係管理ツールに顧客の私生活に関連するいくつかの詳細を入力したいと思います。あなたの後任者は、あなたの不在時にこの情報にアクセスできる可能性があります。これは許可されるでしょうか?
いいえ。収集できるのは、職務分野に関連する事実情報のみです。また、特定のセンシティブ情報(健康状態、宗教など)の収集は固く禁じられています。顧客は自分の個人情報へのアクセスを要求できることを忘れないでください。
実際の例2
同僚が職場で事故に遭いました。すべての製造サイトにフィードバックを提供したいと考え、以下の情報項目を掲載しました:
Ronan A(ファーストネームのみ).、Monitor(ポジション名)、Vannesサイト(サイトっ名)、負傷の詳細と事故の状況。
同僚のファーストネームだけを書いていますが、規則を守っているでしょうか?
以下を確認する必要があります。
- 1.正当な目的がありますか?
- はい。このフィードバックを通じて従業員の安全を向上させることです。
- 2.このすべての情報を送信することは不可欠ですか?
- いいえ。サイト名、ポジション名、ファーストネームは、この事故の報告には役立ちません。
- 個人データを「匿名化」するにあたり、常に以下を検討する必要があります。
掲載された情報でこの人物を特定できるか?この事例の場合、サイト名とポジションを掲載することにより、個人を特定できる十分な情報を提供してしまいます。