個人情報保護規定/Privacy Policy
第1条(目的) 本規程は、当社が行う外国人人材紹介、採用支援、在留資格申請支援、受入れ支援、定着支援その他これらに付随関連する業務において取り扱う個人情報、個人データ、要配慮個人情報その他の関連情報について、適正な取得、利用、保管、提供、削除及び安全管理を行い、本人の権利利益を保護するとともに、日本の個人情報保護法、関係ガイドライン、並びにGDPRその他適用ある各国・地域の個人情報保護法令等に適切に対応することを目的とする。
第2条(適用範囲) 本規程は、当社の役員、従業員、業務委託先、派遣社員、外部専門家その他当社の指揮命令又は委託に基づき個人情報を取り扱うすべての者に適用する。
第3条(定義) 「個人情報」とは、生存する個人に関する情報であって、氏名、生年月日、国籍、旅券番号、在留カード番号、住所、電話番号、メールアドレス、学歴、職歴、資格、語学力、家族情報、画像その他特定の個人を識別できるものをいう。
1.「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
2.「保有個人データ」とは、当社が開示、訂正、利用停止等の権限を有する個人データをいう。
3.「要配慮個人情報」とは、日本法上の人種、信条、社会的身分、病歴、犯罪の経歴、健康診断結果、障害情報等、特に慎重な取扱いを要する情報をいう。日本法では、要配慮個人情報の取得・第三者提供には原則として本人同意が必要であり、オプトアウト提供は認められない。
4.「特定機微情報」とは、当社が業務上特に厳格に管理すべき情報をいい、旅券写し、在留カード写し、履歴書、職務経歴書、推薦状、卒業証明書、婚姻・出生・家族関係資料、課税証明書、納税証明書、預金残高資料、送金記録、顔写真、署名、健康情報、犯罪経歴確認資料その他在留資格申請又は雇用審査に必要となる情報を含む。
5.「外国第三者提供」とは、日本国外に所在する第三者に対して個人データを提供することをいう。日本法では、外国にある第三者への提供について、本人同意その他法令所定の要件への対応が必要である。
6.「越境移転」とは、外国に所在する本人、送り出し機関、提携先、クラウド事業者、採用企業、法律専門家その他に対し、個人データを移転又はアクセス可能な状態に置くことをいう。
7.「GDPR対象データ」とは、GDPRが適用される可能性のある個人データをいう。EU域内拠点の活動との関連がある処理には、本人の国籍・居住地にかかわらずGDPRが適用され得る。
第4条(基本原則) 当社は、個人情報の取扱いについて、次の原則を遵守する。
(1) 利用目的をできる限り特定し、その範囲内で利用すること
(2) 適法かつ公正な手段により取得すること
(3) 業務上必要最小限の情報のみ取得・利用すること
(4) 正確性及び最新性の確保に努めること
(5) 不正アクセス、漏えい、滅失、毀損の防止その他安全管理措置を講ずること
(6) 委託先及び提携先を適切に監督すること
(7) 本人の開示、訂正、利用停止等の権利に適切に対応すること
(8) 越境移転や外国法適用の可能性を個別に検討すること。
第5条(取得する情報) 当社は、次の情報を業務上必要な範囲で取得する。
1.基本情報:氏名、性別、生年月日、国籍、住所、連絡先
2.本人確認情報:旅券、在留カード、運転免許証、署名
3.人材紹介関連情報:履歴書、職務経歴書、学歴、資格、語学力、希望職種、希望勤務地、希望給与
4.雇用・受入れ関連情報:雇用契約、勤務条件、配属先、住居情報、緊急連絡先
5.在留資格申請関連情報:在留歴、出入国歴、家族構成、婚姻関係、学位、職歴証明、納税資料、残高資料、事業計画、送金記録その他申請に必要な資料
6.健康・適性関連情報:業務上必要性が認められる範囲の健康診断結果、就業制限情報
7.法令対応上必要な情報:反社会的勢力確認、法令違反調査、本人申告情報
8.Web・システム利用情報:問い合わせ履歴、アクセスログ、通信記録、Cookie等 第6条(利用目的) 当社は、取得した個人情報を次の目的で利用する。
(1) 外国人人材の募集、登録、面談、選考、マッチング及び職業紹介
(2) 採用企業への候補者提案、選考調整、連絡、面接設定
(3) 在留資格認定証明書交付申請、在留資格変更許可申請、在留期間更新許可申請その他出入国在留手続の準備及び支援
(4) 雇用契約締結支援、受入れ準備支援、生活オリエンテーション、定着支援
(5) 本人確認、連絡、問い合わせ対応、苦情対応
(6) 法令、行政機関、入管、労働関係機関その他公的機関への対応
(7) 委託先、提携先、送り出し機関、教育機関、採用企業との必要な連携
(8) サービス改善、監査、統計分析、社内教育
(9) 前各号に付随する業務
第7条(要配慮個人情報及び在留資格申請関連情報の取扱い)
1.当社は、健康情報、障害情報、犯罪経歴、家族関係、宗教・信条を推知し得る情報、在留資格申請上提出される身分関係資料、財産・納税資料等、本人に重大な影響を及ぼし得る情報を、通常の個人情報より厳格に管理する。
2.要配慮個人情報を取得又は第三者提供する場合は、法令上の例外がある場合を除き、あらかじめ本人の明確な同意を取得する。日本法では要配慮個人情報の取得・第三者提供に原則同意が必要であり、漏えい時は報告対象となり得る。
3.GDPRが適用される場合、健康情報その他の特別カテゴリーデータについては、明示的同意その他適法根拠を確認したうえで取り扱う。GDPRは特別カテゴリーデータについて厳格な取扱いを定めている。
4.在留資格申請のために収集した資料は、申請に必要な範囲に限って利用し、営業目的その他の二次利用を行わない。
5.旅券写し、在留カード写し、顔写真、署名画像等は、複製・送信・保存・印刷の権限を制限する。
第8条(本人同意)
1.当社は、本人から個人情報を取得する際、利用目的、提供先の範囲、国外移転の可能性、問い合わせ窓口等を明示し、必要に応じて書面又は電磁的方法により同意を取得する。
2.採用企業、登録支援機関、行政書士、弁護士、送り出し機関、海外提携先その他への提供が予定される場合は、その旨を本人に説明する。
3.外国第三者提供又はGDPR対象データの越境移転を行う場合は、当該国・地域、提供先の体制、法令上必要な措置について説明し、必要な同意又は契約対応を行う。日本法では外国第三者提供について本人同意等が必要であり、EUから第三国移転ではSCC等の移転メカニズムが用いられる。
第9条(第三者提供)
1.当社は、法令に基づく場合を除き、本人の同意なく個人データを第三者に提供しない。
2.次の場合は、業務上必要な範囲で第三者提供を行うことがある。
(1) 求人企業への候補者情報提供
(2) 在留資格申請のための専門家又は申請取次者への提供
(3) 登録支援機関、教育機関、送り出し機関等との連携
(4) 住居手配、航空券手配、保険加入等の受入れ支援
3.提供時には、提供先、提供項目、目的、法的根拠、同意の有無を記録する。日本法上、第三者提供時には確認・記録義務に関するガイドラインが整備されている。
第10条(外国第三者提供・越境データ移転)
1.当社は、外国にある第三者へ個人データを提供する場合、日本法その他適用法令に従い、本人同意、十分性認定、契約上の保護措置その他必要な法的対応を行う。
2.EU関連データの第三国移転を行う場合は、必要に応じて標準契約条項(SCC)その他適法な移転手段を用いる。
3.外国にあるクラウドサーバへの保存については、その態様が直ちに外国第三者提供に当たるとは限らないが、事業者が当該データを取り扱わない契約条項及び適切なアクセス制御が必要である。日本のPPCは、そのような場合には外国第三者提供に該当しないことがあると示している。
4.海外提携先に対しては、秘密保持義務、再提供禁止、目的外利用禁止、削除義務、漏えい時報告義務を契約で課す。
第11条(委託先管理)
1.当社は、システム管理、クラウド保管、翻訳、申請補助、面接調整、書類回収、コールセンター、広告運用その他個人情報取扱いを伴う業務を外部に委託する場合、委託先の安全管理体制を事前審査する。
2.委託契約には、秘密保持、目的外利用禁止、再委託制限、アクセス制限、漏えい報告、返還・削除、監査協力等を定める。
3.委託先には、必要かつ適切な監督を行う。
第12条(安全管理措置) 当社は、個人データの漏えい、滅失又は毀損の防止その他安全管理のため、組織的・人的・物理的・技術的安全管理措置を講ずる。PPCガイドラインも、事業規模や取扱情報の性質・量、リスクに応じた安全管理措置を求めている。
1. 組織的安全管理措置
(1) 個人情報保護管理責任者の選任
(2) 情報資産台帳及び取扱フローの整備
(3) 権限管理、承認手続、持出管理
(4) 監査及び定期点検
2. 人的安全管理措置
(1) 秘密保持誓約書の取得
(2) 年1回以上の教育研修
(3) 退職・異動時の権限剥奪及び資料返還
3. 物理的安全管理措置
(1) 書庫施錠、入退室管理
(2) 申請書類の原本管理簿
(3) 不要書類の溶解・裁断
4. 技術的安全管理措置
(1) アカウント管理、強固な認証、二要素認証
(2) 暗号化、アクセス制限、操作ログ保存
(3) 私物端末利用制限
(4) USB等外部媒体の管理
(5) メール誤送信対策
(6) 共有フォルダの閲覧制限
第13条(在留資格申請書類の特別管理)
1.在留資格申請のために取得した書類は、「申請用特別管理情報」として区分し、通常書類より厳格に管理する。
2.申請書類の送付は、原則として暗号化、アクセス期限付き共有リンク、パスワード分離送信又は安全な電子契約・申請システムを使用する。
3.紙資料を郵送する場合は、追跡可能な方法による。
4.申請結果通知後も、法令・契約・紛争対応上必要な期間を超えて保管しない。
5.在留カード、旅券、住民票、戸籍・婚姻・出生証明等の画像データは、閲覧権限者を限定する。
第14条(正確性の確保) 当社は、在留資格申請、求人企業への紹介、受入れ支援等に使用する個人データについて、本人確認、更新確認、裏付資料確認等により、できる限り正確かつ最新の内容を保つよう努める。
第15条(保管期間及び削除)
1.個人情報は、利用目的達成に必要な期間及び法令上必要な保存期間に限り保管する。
2.不採用者情報、登録のみで長期間更新のない候補者情報、終了案件情報は、別途定める保存基準に従い削除又は匿名化する。
3.在留資格申請関連書類については、申請履歴、再申請、監査、紛争対応の必要性を考慮しつつ、必要最小限の期間で管理する。
4.削除は、復元困難な方法で実施する。
第16条(開示、訂正、利用停止等) 本人から自己情報について、開示、訂正、追加、削除、利用停止、第三者提供停止等の請求があった場合、法令に従い、本人確認のうえ、合理的期間内に対応する。GDPRが適用される場合には、アクセス権、訂正権、消去権、処理制限権等も踏まえて対応する。
第17条(漏えい等対応)
1.個人データの漏えい、滅失、毀損、不正アクセス、誤送信その他事故が発生し、又はそのおそれが生じた場合、担当者は直ちに管理責任者へ報告し、被害拡大防止措置を講ずる。
2.当社は、事実関係、漏えい範囲、原因、二次被害可能性、再発防止策を調査する。
3.報告対象事案に該当する場合は、個人情報保護委員会への報告及び本人通知を行う。PPCは、速報を「速やかに(概ね3~5日以内)」行うよう案内している。
4.委託先で事故が発生した場合は、委託先に対し直ちに当社へ通知させる。PPCガイドラインでは、委託先から委託元への速やかな通知により委託先の報告義務が免除される場合がある。
5.事故の内容が海外法令上の報告義務にも該当し得る場合は、現地法の期限も確認する。
第18条(海外法令対応)
1.当社は、候補者、求職者、採用企業又は提携先の所在国・地域に応じ、適用可能性のある海外個人情報保護法令を確認する。
2.特にEU関連取引については、GDPRの適用可能性、処理の法的根拠、透明性、データ主体の権利、越境移転の適法性を検討する。GDPRはEU域内拠点の活動との関連で、本人の国籍や居住地を問わず適用され得る。
3.英国、シンガポール、韓国その他の法域のデータ移転規制が関係する場合は、必要に応じて現地専門家の助言を受ける。
4.海外法令が日本法より厳格な場合は、原則としてより高い保護水準を採用する。
第19条(Cookie・ウェブフォーム・採用サイト)
1.当社は、問い合わせフォーム、求職者登録ページ、広告配信、アクセス解析等を通じて取得する情報について、プライバシーポリシー又はフォーム上の表示により、取得項目、利用目的、第三者送信等を明示する。
2.海外向けサイトを運用する場合は、多言語による通知文を整備する。
3.履歴書アップロード機能等では、暗号化通信及びアクセス権限管理を行う。
第20条(教育・監査) 当社は、役員及び従業員に対し、採用実務、在留資格申請実務、国際データ移転、メール誤送信防止、生成AI利用時の注意点等を含む個人情報保護教育を継続的に行い、定期監査を実施する。
第21条(生成AI・翻訳ツール等の利用)
1.当社は、個人情報を外部AIサービス又は外部翻訳サービスに入力する場合、当該サービスの利用規約、学習利用の有無、保存先、委託関係、国外移転の有無を確認する。
2.旅券、在留カード、履歴書、申請資料等の特別管理情報は、原則として匿名化又はマスキングなしに外部AIへ入力してはならない。
3.やむを得ず利用する場合は、本人同意、契約、アクセス管理等の安全措置を講じる。
第22条(罰則) 本規程に違反し、又は個人情報保護上重大な過失があった者に対しては、就業規則その他社内規程に基づき、必要な懲戒その他の措置を講ずる。
第23条(窓口) 個人情報の取扱い、開示等請求、苦情、相談、漏えい報告の窓口は、当社が別途定める個人情報相談窓口とする。
第24条(見直し) 本規程は、法令改正、ガイドライン改定、事業内容の変更、国際的動向、事故発生状況等を踏まえ、必要に応じて見直す。PPCもガイドラインは国際的動向や社会情勢の変化を踏まえて見直すとしている。