BAS-IP / 個人データ処理のコンプライアンスに関する覚書

当社のクライアントの皆様が、ご自身の個人データが安全かつ確実に取り扱われていると信頼できるように、当社は強力かつ革新的なデータ保護の慣行にコミットしています。

BAS-IP DISTRIBUTION LTD（以下「当社」または「BAS-IP」）は、適用されるデータ保護法規、特に**英国一般データ保護規則（UK GDPR）およびEU一般データ保護規則（GDPR）**への当社のコンプライアンスに関して、クライアントの皆様向けに本覚書を作成しました。以下では、個人データ保護要件へのコンプライアンスに関する当社の活動についてご紹介します。

定義

**「UK GDPR」**とは、2018年データ保護法に基づき英国法に組み込まれた英国一般データ保護規則（UK General Data Protection Regulation）と、その他の適用される英国のデータ保護およびプライバシー法規を意味します。
**「GDPR」**とは、一般データ保護規則（General Data Protection Regulation）（規則 (EU) 2016/679）および欧州連合および欧州経済領域内で適用される関連するデータ保護およびプライバシー法規を意味します。
個人データ（Personal data）とは、識別された、または識別され得る自然人に関連するあらゆる情報を意味します。
データ主体（Data subject）とは、直接的または間接的に識別され得る識別可能な自然人を意味します。
管理者（Controller）とは、個人データの処理の目的および手段を、単独で、または他者と共同で決定する自然人、法人、公的機関、機関、またはその他の団体を意味します。
処理者（Processor）とは、管理者（Controller）に代わって個人データを処理する自然人、法人、公的機関、機関、またはその他の団体を意味します。
副処理者（Subprocessor）とは、処理者（Processor）によって雇用され、管理者（Controller）に代わって個人データの処理を実施する自然人または法人を意味します。
処理（Processing）とは、個人データまたは個人データのセットに対して行われる操作または一連の操作であって、自動化された手段によるか否かを問わず、例えば、収集、記録、組織化、構造化、保存、適合または変更、検索、参照、利用、送信による開示、普及またはその他の方法による提供、整列または結合、制限、消去または破棄を意味します。

BAS-IPについて

BAS-IPは、IPインターホン、アクセス制御システム、および通信システムを開発・製造しており、この分野におけるリーディングプレーヤーです。当社の活動に関する詳細情報は、ウェブサイト（https://bas-ip.com/）でご確認いただけます。

活動の過程で、当社はさまざまなカテゴリーのデータ主体、すなわち、クライアントとユーザー、従業員、請負業者、およびその他のデータ主体に関連する個人データを収集、アクセス、またはその他の方法で処理する場合があります。このような処理を行う際、当社は適用される法令およびベストプラクティスに従って個人データを処理するために、すべての必要な措置を講じ、関連するポリシー、手順、およびその他の個人データ保護に関する文書を遵守することをコミットしています。

個人データの処理における役割

承知いたしました。以下に、提供された文章の日本語訳を記載します。

個人データ処理のコンプライアンスに関する覚書

定義

**「UK GDPR」**とは、2018年データ保護法に基づき英国法に組み込まれた英国一般データ保護規則（UK General Data Protection Regulation）と、その他の適用される英国のデータ保護およびプライバシー法規を意味します。
**「GDPR」**とは、一般データ保護規則（General Data Protection Regulation）（規則 (EU) 2016/679）および欧州連合および欧州経済領域内で適用される関連するデータ保護およびプライバシー法規を意味します。
個人データ（Personal data）とは、識別された、または識別され得る自然人に関連するあらゆる情報を意味します。
データ主体（Data subject）とは、直接的または間接的に識別され得る識別可能な自然人を意味します。
管理者（Controller）とは、個人データの処理の目的および手段を、単独で、または他者と共同で決定する自然人、法人、公的機関、機関、またはその他の団体を意味します。
処理者（Processor）とは、管理者（Controller）に代わって個人データを処理する自然人、法人、公的機関、機関、またはその他の団体を意味します。
副処理者（Subprocessor）とは、処理者（Processor）によって雇用され、管理者（Controller）に代わって個人データの処理を実施する自然人または法人を意味します。
処理（Processing）とは、個人データまたは個人データのセットに対して行われる操作または一連の操作であって、自動化された手段によるか否かを問わず、例えば、収集、記録、組織化、構造化、保存、適合または変更、検索、参照、利用、送信による開示、普及またはその他の方法による提供、整列または結合、制限、消去または破棄を意味します。

BAS-IPについて

個人データの処理における役割

BAS-IPは、UK GDPRおよびGDPRの下でさまざまな役割を担うことがあります。

管理者として、当社は、例えば、クライアントやウェブサイト訪問者とのコミュニケーション、個人データの処理を伴うマーケティング活動などにおいて、個人データの処理の目的と手段を決定します。
処理者として、当社は、管理者として行動する、またはそれぞれの管理者に代わって行動するクライアントからの指示に基づいて個人データを処理する場合があります。
処理者として個人データを処理する際、当社は副処理者として行動する第三者のサービスプロバイダーを関与させることがあります。

クライアントへのサービス提供の過程で個人データを処理する場合、当社は処理者として行動し、UK GDPRおよびGDPRの適用される要件、ならびに当社とクライアントとの間の関連する契約上の義務を遵守します。

BAS-IPとデータ保護

BAS-IPは、最高のデータ保護基準および適用される個人データ保護法規を遵守することにコミットしています。

個人データの処理を伴うすべての活動は、個人データ処理の規制に関する内部文書に従って実施されます。

当社は、以下の個人データ保護措置を適用しています。

個人データ保護に関する文書の定期的な見直しと、当社の文書および活動への必要な変更

内部の個人データ保護文書の定期的な見直しと更新は、UK GDPR、GDPR、および個人データ保護分野におけるその他の規制行為の要件への準拠を確保するための当社の戦略の不可欠な部分です。

関連する内部文書および採用されたポリシーと手順、特にデータ主体からの要求、個人データ侵害の通知、個人データの処理に関与する第三者のコンプライアンス評価などに関するものは、特に法律の変更や新しい個人データ処理活動の導入があった場合に、必要に応じて定期的に更新または修正されます。

さらに、個人データ処理活動は記録され、これには**個人データ処理記録（RoPA）の維持が含まれ、必要に応じてデータ保護影響評価（DPIA）および正当な利益評価（LIA）**が実施されます。

したがって、個人データ保護文書を最新の状態に保つことにより、当社は高水準の個人データ保護と法令の継続的な遵守を保証します。

データ主体の権利保護に関する要件の遵守

当社のウェブサイトで公開されているプライバシーポリシーは、クライアントおよびその他のデータ主体に対し、個人データが処理される可能性のある目的、どのように、どのような特定の個人データが処理される可能性、ならびに適用される個人データ保護法に基づく彼らの権利に関する情報、およびこれらの権利を行使する方法に関する情報を提供します。

さらに、当社は要求および苦情処理手順を採択しており、これにはUK GDPRおよびGDPRに従ったデータ主体からの要求への対応手順とその権利が含まれています。

当社は、UK GDPR、GDPRの規定、および当社とクライアントとの間の契約上の義務に従って、当社が処理者としてデータを処理するデータ主体からの要求への対応に関連して、クライアントに対し必要なすべてのサポートを提供することにコミットしています。

技術的および組織的セキュリティに関するベストスタンダードと慣行の遵守

当社は、個人データのセキュリティを確保するために技術的および組織的措置を導入しています。当社の内部文書は、個人データ処理時に使用される技術的および組織的措置を明確に定義しています。

情報セキュリティを統治する文書が開発および採用され、また、情報セキュリティイベントを継続的に監視し、インシデントへのタイムリーな対応を保証します。
個人データへのアクセスを制限するための保護手段を実施しており、例えば、パーソナライズされたアカウントの使用を通じた個人データへのアクセス制御、アカウントのパスワードの長さと複雑さに関する要件の制御、およびネットワーク攻撃のリスクを減らすためのネットワークアクセス保護。データが保存されている物理データセンターのセキュリティ要件への準拠の検証。認証時の多要素認証とユーザー認証、ならびにデータアクセス許可の設定と適用、既存のアクセス権の定期的な見直しなど。
クラウド技術を使用して個人データを保存および処理する際に暗号化技術を使用し、最新かつ堅牢な暗号プロトコル、アルゴリズム、暗号スイート、暗号化キー、およびキー管理アプローチの使用要件を確立しています。
運用要件および法的義務に準拠しているかどうかを判断するために、個人データのバックアップを定期的に見直します。
その他の組織的セキュリティ措置を講じており、これには役割と責任の分離ポリシーの実施、関連するポリシーと手順の定期的な更新、職務遂行の監視、および関連する政府当局との協力への意欲の表明が含まれます。当社が実施する人事セキュリティ措置には、場合によっては従業員のバックグラウンドチェック、情報セキュリティ問題に関する従業員の意識向上と監視、ならびにトレーニングおよび専門能力開発プログラムの実施が含まれます。
法令の変更を継続的に監視し、サイバーセキュリティ基準、ガイドライン、個人データ保護監督当局および情報コミッショナーオフィス（ICO）の勧告に従って、個人データ保護の分野におけるベストプラクティスを実施しています。

当社は、個人データ保護のセキュリティを確保するためのすべてのポリシーと手順を遵守し、それらの関連性を定期的にチェックし、タイムリーな見直しを保証します。

定期的な第三者による検証

個人データの処理に関与するすべての第三者は、第三者コンプライアンスを評価するための内部規制手順を使用して検証されます。特に、このようなチェックでは、個人データの処理に関連する関連文書の利用可能性、ならびに不正アクセス、損失、または完全性侵害から個人データを保護するために実施されている技術的および組織的セキュリティ対策の利用可能性と有効性を評価します。

個人データの安全な移転

サービスを提供する際、当社は個人データを英国外、例えば米国およびウクライナに移転することがあります。

個人データの移転に関するセキュリティと法的要件への準拠を確保するために、事前に評価が実施されます。さらに、米国、ウクライナ、および必要に応じて個人データが移転されるその他の国の法的要件と慣行が、英国およびEUの個人データ保護基準と慣行に準拠していることを確保するために、定期的に内部監視が実施されます。さらに、データ輸入者が講じるセキュリティ対策は、特に個人データの保護を統治する関連文書に署名することにより、徹底的にチェックされます。

当社がUK GDPRおよび/またはGDPRの対象となる個人データを移転する場合、契約者と**データ処理契約（DPA）を締結します。このような契約には、EU標準契約条項（SCCs）と英国補遺（UK Addendum）、または国際データ移転協定（IDTA）**を含む適切な移転メカニズムが組み込まれています。

定期的なトレーニング

当社は、従業員および請負業者に対して、UK GDPRおよびGDPRの要件への準拠、ならびに個人データ保護に関するトレーニングを定期的に組織しています。トレーニングで取り上げられるトピックには、UK GDPR、GDPR、およびその他の適用される個人データ保護法の一般要件、処理における役割、個人データ処理の原則、処理の根拠、データ主体の権利の確保、および個人データ保護の問題などが含まれます。

さらに、当社は、データ保護の分野における従業員のトレーニングと意識向上を確実にするために、必要な文書を採用し、適切な措置を講じています。

連絡先

BAS-IPにおける個人データ保護に関してさらにご質問がある場合は、Eメールにてご連絡ください: [email protected]。

敬具

BAS-IP DISTRIBUTION LTD