個人情報の取扱いについて
エージェンシーによる個人情報の取扱い
更新日: 2023年8月3日
エストニア・ビジネス・イノベーション庁(登記コード90006012、電子メールinfo@eas.eeおよびkredex@kredex.ee、以下「当庁」または弊機構」))は、法令及び庁のプライバシーポリシーに決められた要件と原則に適合し、個人情報を取扱います。個人情報保護とデータセキュリティの透明性を重視し、このプライバシーポリシーを通じて個人情報の取扱い方法、目的および期間ならびに情報主体の権利をどのように保証しているかをお知らせします。このポリシーの内容を十分にご確認ください。
1.個人情報の取扱いの範囲
当庁は、個人情報の取扱いにおいて「個人情報保護法」(以下「APPI」)およびその他関連法令に基づき、個人情報の利用目的、取扱いの基準、方法を定めます。また、欧州一般データ保護規則(以下「GDPR」)の要件にも準拠しています。個人情報の利用に関する目的と範囲について情報主体に説明し、その権利行使を支援します。特定の状況では、他の管理者が目的や取扱いの範囲を決定している場合、当庁は「受託者」として行動する場合があります。
2.定義
- 情報主体: 取扱いの対象となる個人。(例: 顧客、申請者、ウェブサイト利用者)
- 個人情報: 特定の個人を識別できる情報。(例: 姓名、識別番号、メールアドレス)
- 取扱い: 個人情報に関する操作。(例: 変更、閲覧、保存、削除)
3.個人情報取扱いの法的根拠
当庁は下記の法的根拠に基づき個人情報を取扱います。
- 法令の尊崎: 法令に基づく義務の導入のため。(例: 税法、雇用契約法、マネーロンダリング防止法)
- 契約の実行: 契約の準備、実行、管理、法的証拠の準備と防守のため。
- 公的利益: 法令または行政契約に基づく公的業務の導入のため。
- 正当な利益: 情報主体の権利を侵さない範囲内で行われる情報セキュリティの確保。
- 同意: ニュースレターの送付やキャンペーン参加など、情報主体が明確に同意した場合。
また、GDPR第6条に基づく以下の法的根拠に従います。
- GDPR第6条1項(b): 契約の履行または契約前の措置に必要な場合。
- GDPR第6条1項(c): 法的義務の履行のため。
- GDPR第6条1項(e): 公共の利益または公的権限の行使に関連する場合。
- GDPR第6条1項(f): 正当な利益に基づく場合。
- GDPR第6条1項(a): 情報主体の同意を得た場合。
4.個人情報の利用目的と保存期間
当庁は、取得時に特定した目的に必要な範囲内でのみ個人情報を取扱います。保存期間終了後は、情報を削除または破棄します。
- 申請書類の保存: 法令に基づく期間を守ります。(例: 契約に関連する資料は契約終了後10年間、会計書類は7年間保存する。)
- ユーザーデータの取扱い: 電子サービスや訪問者管理に必要な場合、姓名や識別番号などを取得し、利用します。
- 公的購買の取扱い: 契約に関連するデータや提出書類を法的義務に基づき取扱います。
5.情報主体の権利
情報主体は以下の権利を有します。
- 個人情報の取扱い範囲および利用目的に関する情報提供権 情報主体は、自分の個人情報の利用目的や取扱い範囲について確認を求める権利があります。当庁は、正当な請求に対し、原則と1ヶ月以内に答えます。複雑な請求の場合、回答期間を更に2ヶ月間推し延ばすことがあります。その際は、延長理由を通知します。
- 個人情報の写しの提供権 情報主体が希望する場合、当庁は合理的な範囲で、情報主体に関連する文書の写しを提供します。ただし、他者の権利や自由を不当に侵害する場合は提供を拒否することがあります。
- 個人情報の訂正権 情報主体は、不正確または不完全な個人情報の訂正や補完を要求できます。正当な請求があった場合、当庁は速やかに対応します。
- データポータビリティ権 情報主体は、自分が提供した個人情報を構造化され、一般的に利用されている形式で受け取り、別の管理者に転送する権利があります。この権利は、GDPR第20条に基づき適用されます。
- 個人情報の削除権(忘れられる権利) 情報主体は、収集目的が終了した場合や不要になった場合、個人情報の削除を要求する権利があります。ただし、法令に基づく保存義務がある場合、この権利が制限されることがあります。
- 取扱いの制限権 情報主体は、個人情報の正確性に異議を申し立てる間など、一定の期間、個人情報の取扱いを制限するよう要求できます。
- 同意の撤回権 情報主体は、個人情報の取扱いについて以前に与えた同意を撤回する権利があります。同意の撤回は、撤回前の取扱いの正当性には影響を及ぼしません。
- 異議申立ての権利 情報主体は、当庁の個人情報の取扱いが自身の権利や自由を侵害していると考える場合、その取扱いに異議を申し立てる権利があります。
- 監督機関への苦情申立ての権利 情報主体は、個人情報保護法やGDPRに違反していると判断した場合、監督機関(日本では個人情報保護委員会、EUでは各国のデータ保護監督機関)に苦情を申し立てる権利があります。
6.外部への提供
当庁は、法令に基づく義務の履行や、契約上の義務を果たすために必要な範囲で、第三者に個人情報を提供します。
- 共同管理者: 必要に応じて、他の管理者と共同で情報を取扱います。
- 受託者への提供: サービス提供や契約履行のために受託者へ個人情報を提供します。
- 監査および法的義務: 外部の監査法人、法律事務所、会計事務所などに情報を提供します。
7.データ保護のための措置
当庁は、個人情報の機密性を厳格に保持し、不正アクセスを防ぐために効果的な技術的および組織的対策を実施します。また、GDPR第32条に基づく適切なセキュリティ措置を講じます。
- 漏洩対応: 個人情報漏洩が発生し、情報主体の権利や自由に重大なリスクをもたらす場合は、速やかに情報主体および監督機関に通知します。
8.ポリシーの改訂
法令や技術の進展を考慮し、高い水準の個人情報保護を確保するため、本ポリシーは定期的に見直し、必要に応じて改訂されます。改訂後は速やかに公表します。