Skip to content

トタルエナジーズの拘束的企業準則 (要約版)

トタルエナジーズの拘束的企業準則
(要約版)

 

  1.    はじめに

    トタルエナジーズ・グループ(または「トタルエナジーズ」)は、適用法に従い、個人情報 保護に関する企業風土および慣行を推進します。この目的のため、トタルエナジーズでは、拘束的企業準則(以下、「BCR」といいます。)を施行しています。

    本文書は、当社のBCRに基づいて適用されるデータ保護方針と、当該方針によって付与される権利を要約したものです。
     

  2.    目的

    当社のBCRは、拘束力のある社内規則であり、当該規則を導入しているトタルエナジーズのすべての子会社に適用されます。BCRは、EUのデータ保護機関の正式な承認を受けています。

    BCRに準拠することにより、適用法に従って、欧州経済地域(以下、「EEA」といいます。) のトタルエナジーズの子会社からEEA域外に所在するトタルエナジーズの子会社に個人情報を移転することができます。
     

  3.    適用範囲

    当社のBCRは、元従業員、現従業員、求職者、顧客および見込み顧客、サプライヤー、下請事業者、ならびにトタルエナジーズ・グループの子会社および株主の代理を務める第三者企業の従業員(以下、「情報主体」といいます。)に関連するデータを含む、トタルエナジーズ子会社によって処理される、EEA域内に所在するすべての個人情報に適用されます。
     

  4.    保護方針

    当社のBCRに規定されている以下の方針を遵守する必要があります。

       •   合法性

    実施される処理3業務は、適用法によって規定される法的根拠を有します。

    個人情報の処理は、合法的かつ正当な、定められた目的のためにのみ実行される必要があります。個人情報は、当該目的に適合しない方法でさらなる処理を行ってはいけません。

       •   目的適合性

    個人情報は、その処理の目的に応じて、その質と量について正確かつ比例的なものでなければなりません。

       •   透明性
    1 個人情報とは、自然人を直接的または間接的に識別することができる情報をいいます。
    2 EEAとは、欧州連合加盟国およびアイスランド、リヒテンシュタイン、ノルウェーを意味します。
    3 処理とは、自動的手段によるか否かにかかわらず、個人情報に対して実行されるあらゆる動作を意味します(収集、記録、保存、破棄など)。
    4 移転とは、EEA域内に所在する個人情報を複数の国間で仮想的および物理的に交換することを意味します。
    個人情報の取得は、適法かつ忠実に行われる必要があります。情報主体は、個人情報処理の特徴および情報主体の権利について知らされている必要があります。ただし、当該通知が不可能であることが判明した場合、または過度の労力を伴う場合は、この限りではありません。

       •   安全性

    個人情報は、不正アクセス、破壊、改ざんまたは紛失のリスクを抑制するために、適切なセキュリティ対策によって保護されなければなりません。

    そのため、個人情報の安全性と機密性を確保するために、以下の内部規範が適用されます。

       •   規則および機密保持規定に従って行動することが要求される、ITおよびコミュニケーション担当者のための利用憲章。
       •   情報システムのセキュリティガバナンス体制を規定する情報システムセキュリティ方針。
       •   情報システムのセキュリティについて、トタルエナジーズ・グループの様々な要件を19の詳細なテーマに分類した「情報システムセキュリティ参照システム」。
       •   トタルエナジーズ・グループ内で保持および交換される情報の機密性、完全性および可用性の保護に関する要件を提示する情報保護方針。

    トタルエナジーズの子会社は、第三者に個人情報の処理を依頼する場合に、個人情報の安全性および機密性について、当該第三者による十分な保証が行われていることを確認するものとします。

       •   保持

    個人情報は、その処理目的において適切かつ合理的な期間に限り保持されなければなりません。

    保持期間が満了した場合、当該情報は破棄、匿名化、またはアーカイブに保存されます。

       •   個人情報の海外移転4

    トタルエナジーズは、EEA域内の国に所在する個人情報を、保護基準が十分に整備されていない第三国に所在するトタルの子会社に直接移転しません。ただし、当該子会社が本BCRに正式に加入している、または欧州委員会が承認するその他の法的手段を採用している場合は、この限りではありません。

    トタルエナジーズは、EEA域内に所在する個人情報を、適用法に基づく法的根拠、および標準契約条項などの十分な保護措置を提供する法的措置なしに、保護基準が十分に整備されていない国に所在する、トタル・グループ以外の企業(データ管理者または処理者)に直接移転しません。

    同様に、データ輸入者は、EEA域内に所在する個人情報を、保護基準が十分に整備されていない国に所在する、トタル・グループ以外の企業(データ管理者または処理者)に移転する場合、BCRの方針の遵守を誓約するための契約を当該企業と締結するものとします。

  5.    情報主体の権利

    処理される個人情報の情報主体は、当社のBCRに基づいて、以下の権利を有します。

       •   個人情報へのアクセス権

       •   個人情報の訂正権、削除権、ロック権

       •   処理への異議権

       •   処理の制限権

    [BCRによって付与される権利の全リストは、以下の付属書類1に詳述されています。]

    情報主体は、自身の個人情報の処理について、法的通知に記載されたお問い合わせ先にリクエストを送信することにより、当該権利を行使することができます。トタルエナジーズの子会社は、EEA域外での処理に関するお問い合わせに対して、法定期限内に回答することを保証します。

    また、情報主体は、トタルエナジーズの子会社がBCRを遵守していないと判断した場合、以下の方法で苦情を申し立てることができます。

       -   メール: [email protected]

    または

       -   郵便:TOTAL – DATA PROTECTION, Tour Coupole, 2 place Jean Millier, Arche Nord Coupole/Regnault, 92078 PARIS LA DEFENSE CEDEX

    情報主体は、苦情申し立ての状況および今後の手続きについて通知されます。

    内部苦情処理手順は、以下の付属書類2に記載されています。

    情報主体がトタルエナジーズに苦情を申し立てることができるという事実は、所管のEEAデータ保護機関に苦情を申し立てる権利、または個人情報の輸出に対する責任を負うトタルエナジーズの子会社が設立されたEEA参加国の裁判所に提訴する権利に影響を与えません。
     

  6.    ガバナンス

    トタルエナジーズの「個人情報保護ネットワーク」は、トタルエナジーズ・グループ内のBCRの施行状況を監視し、管理する役割を担っています。個人情報保護ネットワークは、以下の役職から構成されています。
       •   グループレベルでコンプライアンス活動を監視および追跡する「企業データ・プライバシー・リード」
       •   部門レベルでコンプライアンス活動を主導および統制する「部門データ・プライバシー・リード」
       •   関連会社レベルでコンプライアンス活動を主導および統制する「データ・プライバシー・リエゾン」
     

  7.    内部統制および監査

    当社のBCRの適切な運用を保証するために、複数の内部統制および監査制度が導入されています。

    個人情報保護ネットワークでは、当社のBCRに関するトタルエナジーズ・グループの処理のコンプライアンスレベルを評価するために、年次内部統制計画を策定しています。また、評価後に策定された措置計画に関する定期的な報告体制を確立しています。

    さらに、トタルエナジーズ・グループ内部監査指令では、個人情報保護体制の管理を定期監査計画に組み込んでいます。
     

  8.    トタルエナジーズの規則の変更

    当社のBCRは、必要に応じて加筆または更新することができます。
     

  9.    詳細情報

    当社のBCRの完全版コピー、および当該BCRを導入しているトタルエナジーズの子会社リストの入手を希望される方は、[email protected]までメールにてお問い合わせください。
     

付属書類1
第三者受益権

 

当社のBCRは、本規則を第三者受益者として履行する権利を情報主体に付与します。

具体的には、情報主体は、当社のBCRに定める条件に基づいて以下の方針を履行することができます。

  • トタルエナジーズ・グループ内で行われる処理業務は、適用法によって規定される法的根拠を有していなければならない。
  • トタルエナジーズは、個人情報を合法的、特定かつ明確な目的のために収集し、処理しなければならず、また、個人情報が収集された目的に適合しない方法で個人情報を処理してはならない。
  • トタルエナジーズは、収集目的に適合し、過剰のない個人情報を処理しなければならない。当該情報は正確であり、必要に応じて最新の状態に保持されなければならない。
  • 当社のBCRに基づいて、情報主体の権利に関する情報を、容易かつ永続的に入手できるような方法で情報主体に提供しなければならない。
  • 自身の個人情報がEEA域内に所在する情報主体は、適用法に基づいて、当該情報の処理に対してアクセス権、訂正権および異議権を有していなければならない。
  • 自身の個人情報がEEA域内に所在する情報主体は、当該情報主体に係る法的効力を生じさせる、または当該情報主体に著しい影響を及ぼし、かつ、当該情報主体に係る特定の個人的側面を評価することを意図する個人情報の自動処理のみに基づく決定の対象とはならない。ただし、当該決定が次のいずれかに該当する場合は、この限りではない。
    • 情報主体によって申し立てられた契約の締結または履行の要求が満たされた、または情報主体の意見を表明することができる取り決めなど、情報主体の正当な利益を保護するための適切な措置が存在することを条件とする、契約の締結または履行過程における決定。
    • 情報主体の正当な利益を保護するための措置を定めた適用法により承認された決定。
  • トタルエナジーズは、個人情報の安全性および機密性を確保するために、最先端技術と実施コストを考慮し、適切な措置を講じなければならない。
  • トタルエナジーズは、個人情報を処理するサービス提供者に対して、当該サービス提供者がトタルエナジーズの指示のみに基づいて行動し、安全性および機密性を確保するための適切な措置を講じることを明記した、書面による処理契約を締結しなければならない。
  • トタルエナジーズは、EEA参加国またはEEA域内に所在する個人情報を、適用法に基づく法的根拠、および十分な保護措置を提供する法的措置なしに、保護基準が十分に整備されていない第三国に所在する、トタルエナジーズ・グループ以外の企業(外部データ管理者または処理者)に移転してはならない。
  • トタルエナジーズの子会社は、管轄地域の適用法がトタルエナジーズのBCRに基づく義務の履行を妨げる可能性があり、当該BCRによって提供される保証に悪影響を及ぼす恐れがあると判断した場合、データ輸出者に速やかに通知しなければならない。ただし、法執行機関によって禁止されている場合、特に法執行機関による捜査の機密性を保持するために刑法で禁止されている場合は、この限りではない。
  • 情報主体は、「苦情処理」条項に定める条件に基づき、内部苦情処理制度を通じてトタルエナジーズに苦情を申し立てることができる。
  • BCRに加入しているトタルエナジーズの子会社は、所管の監督機関に協力し、苦情または当該機関からの特定の要請があった場合、個人情報の海外移転に関する推奨事項に従わなければならず、当該子会社が所在する国の監督機関の監査を受けなければならない。
  • 情報主体は、上記の方針を履行し、該当する場合はトタルエナジーズのBCR違反の結果として被った損害の賠償を受けるために、国立監督機関に苦情を申し立てる、またはデータ輸出者が所在するEEA参加国の裁判所に提訴することができる。データ輸入者がEEA域外に個人情報を移転する過程でトタルエナジーズのBCRを遵守しなかった場合、データ輸出者は、あらゆる申し立てに対する防御を行い、データ輸入者が当該BCRに違反していないことを立証し、当該違反によって生じた損害について、情報主体に賠償金を支払うものとする。

付属書類2
内部苦情処理手順

 

情報主体は、トタルエナジーズの子会社がトタルエナジーズのBCRを遵守していないと判断した場合、該当するプライバシーポリシーもしくは契約に定める苦情申し立て手順、または以下の手順に従って、苦情を申し立てることができます。
 

  1.    苦情の申し立て方法

    情報主体は、以下の方法によって苦情を申し立てることができます。

       -   メール: [email protected]

    または

       -   郵便:TOTAL – DATA PROTECTION, Tour Coupole, 2 place Jean Millier, Arche Nord Coupole/Regnault, 92078 PARIS LA DEFENSE CEDEX

    苦情を申し立てる場合は、以下の項目を含む申し立て内容を、できる限り詳細かつ明確に記述する必要があります。

       -   該当する国およびトタルエナジーズの子会社、BCR違反に関する情報主体の見解、要求する是正措置。

       -   情報主体の氏名および連絡先情報、ならびに身分証明書のコピー。

       -   該当する問題に対する過去の対応。
     

  2.    トタルエナジーズの対応

    トタルエナジーズが苦情申し立てを受理してから3か月以内に、該当する部門データ・プライバシー・リード(以下、「BDPL」といいます。)は、苦情申し立ての容認性、および当該申し立てが容認される場合は、トタルエナジーズが当該申し立てに対して講じた、または講じる予定の是正措置について、情報主体に書面で通知するものとします。該当するBDPLは、必要に応じて、当該BCRを遵守するために適切な是正措置を講じることを保証するものとします。

    該当するBDPLは、苦情申し立てのコピーおよび書面による回答を企業データ・プライバシー・リード(以下、「CDPL」といいます。)に送付するものとします。
     

  3.    償還請求手続き

    情報主体が該当するBDPLによる対応に不服がある場合(苦情申し立てが拒否された場合など)、上記のメールアドレスまたは宛先までCDPLに問い合わせることができます。CDPLは、苦情の内容を調査し、当該申し立てが受理されてから3か月以内に当該申し立てに対する決定を行います。当該期間経過後、CDPLは、当初の判断が維持されるかどうか、また当該判断が維持されない場合は、新しい決定内容を情報主体に通知します。

    情報主体がトタルエナジーズに苦情を申し立てることができるという事実は、所管の国立監督機関に苦情を申し立てる権利、またはデータ輸出者が所在するEEA参加国の裁判所に提訴する権利に影響を与えません。