株式会社ジェイ・エス・ビー GDPR プライバシーポリシー

1.適用範囲

本ポリシーは、株式会社ジェイ・エス・ビー(以下「当社」といいます。)による、欧州経済領域(EEA)及びグレートブリテン及び北アイルランド連合王国(英国)のデータ保護に関する規制、特に「一般データ保護規則(2016/679)」(以下「GDPR」といいます。)、並びに2018年EU離脱法により英国法に組み込まれ、2019年データ保護、プライバシー、電子取引(EU離脱)規則により修正されるGDPR(以下「英国GDPR」といいます。)データ主体の個人データの処理について定めています。本ポリシーに定めのない事項に関しては、当社の「個人情報保護方針」及び「個人情報の利用目的(取り扱い)について」(以下「当社個人情報保護方針」といいます。)に定めるところによります。本ポリシーと当社個人情報保護方針との間で矛盾がある場合には、本ポリシーが優先することとします。

2.収集および 処理される個人データの種類

当社は、データ主体から、以下の個人データを収集します。
本ポリシーにおいて「個人データ」とは、GDPR及び英国GDPRに定める意味を有します。基本的には、それにより個人が直接的に特定されるか又は特定可能な、個人についての情報となります。これは、「匿名のデータ」(つまり、個人の身元が恒久的に除去された情報)を含みません。

パリ・ギャラリー事業関連
個展に出展するアーティスト
  • 個展に出展するアーティストの身元データ:姓名、国民識別番号及び/又はパスポート番号
  • 連絡先データ:住所(自宅/オフィス)、電話番号、FAX番号及びメールアドレス
  • 財務データ:銀行口座情報
ギャラリー利用者
  • 身元データ:姓名及び顔写真(任意)
  • 連絡先データ:住所(自宅/オフィス)、電話番号、ファックス番号及びメールアドレス
日本語学校事業関連
入学者/入学希望者
  • 身元データ:姓名、学籍番号、パスポート番号、在留カード情報、運転免許証情報、自動車保険情報及び顔写真
  • 連絡先データ:住所、本籍地、電話番号、ファックス番号及びメールアドレス
  • 略歴データ/タレントマネジメント情報:生年月日、出生地、性別、国籍、学歴、職歴/雇用履歴、専門資格、希望進路、申請歴情報及び志望理由
  • 雇用データ:勤務先名称、勤務先住所、勤務先電話番号、アルバイト先情報、収入状況、収入及び資格外活動許可申請書情報
  • 財務データ:口座情報及び預金残高
  • 健康管理及び医療データ:疾病情報、健康診断結果情報及び学生が在学中に起こした事故(交通事故・漏水事故等を含みます。)に関する情報
  • 関係者 データ:家族構成
エージェント
  • 身元データ:姓名
  • 連絡先データ:住所、電話番号及びメールアドレス
  • SNSデータ:SNSアカウントについての情報
  • 役割及び雇用データ:エージェントの所属会社名、所属会社代表者氏名・所属会社での肩書

当社は、上記で挙げるもの以外にも、当社事業に必要な個人データについて、データ主体に別途関連するプライバシーポリシーを提供した上で処理する場合があります。 上記の個人データを提供いただけない場合は、当社はデータ主体にサービスを提供できない可能性があります。

3.データ主体の個人データの処理の法的根拠

当社は、以下に記載するデータ主体の個人データの収集目的のために、法律により許可される範囲に限り、データ主体の個人データを 利用します。 当社がデータ主体の個人情報を利用する各目的に関して、当社は、GDPR及び英国GDPRにより、当該利用について「法的根拠」を有することを確保するよう要求されます。 最も一般的には、当社は、以下の法的根拠の一つに依拠します。

  • 当社が、データ主体と締結しようとしている又は締結した契約を履行する必要がある場合(「契約上の必要性」)
  • 当社の正当な利益のために必要であり、データ主体の利益及び基本的権利がこれを上回らない場合(「正当な利益」)
  • 当社がデータ主体の個人データを利用する各目的に関して追及される特定の正当な利益の詳細については、以下の表に記載します。
  • 当社が法的な又は規制上の義務を遵守する必要がある場合(「法律遵守」)
  • 当社が、該当する目的のための処理の実行に関するデータ主体の特定の同意を有する場合(「同意」)
  • データ主体にサービスを提供する契約の履行のために処理が必要となる場合
    当社は、データ主体にサービスを提供する契約の履行のために必要であることから、以下の目的のために、データ主体の個人データを処理します。
    パリ・ギャラリー事業関連
    • 個展の開催・運営のために必須の個展に出展するアーティスト及びギャラリー利用者へのご連絡
    日本語学校事業関連
    • 入学希望者の入学選考及び必要な連絡
    • 学校運営上必要な管理及び必要な連絡
  • データ主体から事前に同意をいただいた場合
    当社は、データ主体から事前に同意をいただいた場合、当社は以下の目的でもデータ主体の個人データを取得し処理します。
    パリ・ギャラリー事業関連
    • 個展に出展するアーティスト及びギャラリー利用者へのダイレクトマーケティング
    日本語学校事業関連
    • 入学希望者、学生、エージェント担当者に対するダイレクトマーケティング

    データ主体は、当社が同意取得時にデータ主体に連絡する方法により、いつでも同意を撤回する権利を有しています。 ただし、撤回前の同意に基づく処理の適法性が、同意の撤回により影響を受けることはありません。

  • 正当な利益の追求のために処理が必要となる場合
    当社は、正当な利益を追求するために必要であることから、以下の目的のために、データ主体の個人データを処理します (正当な利益のバランシングテストについては、下記の連絡先までお問い合わせ下さい)。
    パリ・ギャラリー事業関連
    • ギャラリー事業運営の改善
    • 適用される日本法その他の欧州・英国以外の法令の遵守
    日本語学校事業関連
    • 学校運営の改善
    • 適用される日本法その他の欧州・英国以外の法令の遵守
  • 当社が服する法的義務を遵守するために処理が必要となる場合
    当社は、当社が服する欧州及び英国の法的義務を遵守するために必要である場合に、以下の目的のために、データ主体 の個人データを処理することがあります。
  • 個人データの特別カテゴリー
    さらに当社は、データ主体の以下の特別カテゴリーの個人データについては、GDPR 9条2項(a)の明示的同意を根拠に処理します。
    パリ・ギャラリー事業関連 なし
    日本語学校事業関連
    • 入学者/入学希望者の疾病情報、健康診断結果情報

4.個人データの取得源

当社は、データ主体の個人データについて、以下の取得源から取得します。

パリ・ギャラリー事業関連
  • 個展に出展するアーティスト:本人からの直接取得およびアーティストと契約関係にある法人からの間接取得
  • ギャラリー利用者 :本人からの直接取得
日本語学校事業関連
  • 入学希望者・学生:本人からの直接取得及び本人と契約関係にあるエージェントからの間接取得
  • エージェント担当者:本人からの直接取得及び所属するエージェントからの間接取得

5.個人データの保存期間

当社は、個人情報を収集する目的(法律上、会計上又は報告上の要件を満たす目的を含みます。)を果たすため、法的請求を設定しもしくは防御するため、法令遵守及び保護の目的のために必要な期間に限り、個人情報を保存します。
個人情報の適切な保存期間を決定するために、当社は、個人情報の量、性質及び機密性、データ主体の個人情報の不正な利用又は開示による被害の潜在的なリスク、当社がデータ主体の個人情報を処理する目的及び当社がその他の方法により当該目的を達成することができるか否か、並びに適用ある法的要件を検討します。

当社がデータ主体について収集した個人情報を必要としなくなった場合、当社は、当該個人情報を削除し又は匿名化します。 これを行うことができない場合(例えば、データ主体の個人情報がバックアップ・アーカイブに保管されているため。)、当社は、データ主体の個人情報を安全に保管し、削除ができるようになるまで、当該個人情報をあらゆる追加の処理から隔離します。当社がデータ主体の個人情報を(データ主体と関連付けられないようにするために)匿名化する場合、当社は、データ主体に追加の通知を行うことなく、無期限にこの情報を利用することができます。

6.個人データの共有・開示

当社は、本ポリシーで挙げた目的のために、GDPR及び英国GDPRにしたがって、データ主体の個人データを以下のような第三者と共有・開示します。

パリ・ギャラリー事業関連 電子メールサービスの委託先
日本語学校事業関連
  • 共済事業者(全国日本語教育機関共済協同組合、代理店:株式会社ファンケル保険サービス)
  • メッセージサービス事業者(テンセント:WeChat、マイクロソフト:Skype、Facebook:Messenger、Google:Meet)
  • 電子メールサービスの委託先

上記の共有・開示に伴って、データ主体の個人データをEEA及び英国域外の以下の第三国に移転することがあります。

  • 日本
  • 米国
  • 中国
  • (データ主体がEEAに居る場合)英国
  • (データ主体が英国に居る場合)EEA

かかる場合において、データ主体の個人データの処理は、EEA及び英国域外の国へのデータ主体の個人データの移転を含みます。当社は、データ主体の個人データをEEA又は英国域外に移転する場合はいつでも、少なくとも以下の仕組みのうち一つを確実に実施することで、当該個人データに同程度の保護がなされることを確保するよう努めます。

当社は、データ主体の個人データを、随時欧州委員会及び英国政府により十分な水準の個人データ保護を提供するとみなされている国に移転することができます。 さらなる詳細については、欧州委員会:EU非加盟国における個人データ保護の十分性をご参照ください。 日本への移転については、当社は、十分性認定を根拠としてデータ主体の個人データを移転するものとします(GDPR及び英国GDPR45条)。

当社は、データ主体の個人データを、英国政府及び欧州委員会により十分な水準の個人データ保護を提供するとみなされていない国に移転することができます。この場合は、以下を条件とします。

  • 当社は、EEA及び英国において個人データが受ける保護と同一の保護を個人データに与えるように設計された、欧州委員会、英国政府又は英国情報コミッショナー事務所(情報コミッショナー事務所(ICO))により承認された特定のかつ適切な保護措置護措置(例えば、随時発行又は承認されるいわゆる「標準契約条項」の該当する形式を締結するよう個人データの受領者に要求すること。)を利用することができます。
  • 非常に限定的な場合において、当社は、「十分性認定」又は「適切な保護措置」がないにもかかわらず、データ主体の情報をかかる国に移転することを当社に許可する例外又は「特例」に依拠することができます。 例として、当該移転に関するデータ主体の明示的な同意に依拠することが挙げられます。

当社が実施する仕組みの詳細情報については、以下第9条に示す連絡先に宛てて当社にご連絡下さい。

7.データ主体の権利

GDPR及び英国GDPRは、データ主体の個人データについて一定の権利をデータ主体に付与します。 データ主体は、当社が取得し処理するデータ主体の個人データについて、以下の 措置を講じるよう当社に求めることができます。

  • データ主体の個人データへのアクセス
    データ主体は、データ主体に関係する個人データが処理されているか否かについて当社から確認を受ける権利があり、処理されている場合はその個人データおよび関連する一定の情報にアクセスする権利があります。
  • データ主体の個人データの訂正
    データ主体は、データ主体に関係する不正確な個人データを不当な遅滞なく訂正させる権利、また不完全な個人データを完全なものにさせる権利を有しています。
  • データ主体の個人データの削除
    データ主体は、データ主体に関係する個人データを不当な遅滞なく消去させる権利を有しています。
  • データ主体の個人データの処理の制限
    データ主体は、データ主体に関係する個人データの処理を制限させる権利を有しています。
  • データ主体の個人データの処理に対する異議
    データ主体は、データ主体の権利に影響を及ぼすデータ主体に関係する個人データの処理 の法的根拠として当社が正当な利益に依拠することに対して異議を述べる権利を有しています。
  • データ主体の同意の撤回
    この権利は、当社がデータ主体の個人データの処理に関する同意に依拠している場合にのみ存在します。 特に、データ主体は、いつでもダイレクトマーケティング又はダイレクトマーケティングのために当社が行うプロファイリングからオプトアウトする絶対的な権利を有しています。
  • データポータビリティ
    データ主体は、データ主体に関係する個人データを、構造化され、一般的に利用され機械可読性のある形式で受け取る権利、またそのデータを当社から妨げられることなく別の管理者に対して移行する権利を有しています。

これらの権利は、例えばデータ主体の要請に応じることによって他者の個人データが開示されるなど、これらの権利が第三者の権利(当社の権利を含みます。)を侵害する場合または法律により保管が義務付けられる情報もしくは保管に関して当社が正当な法的利益を有する情報を消去するようデータ主体が当社に求める場合、制限されることがあります。 GDPR、英国GDPRおよび現地のデータ保護法に関連する例外が含まれます。 当社は、データ主体の要請に対応する際、当社が依拠する関連する例外をデータ主体に知らせるものとします。
上記の権利を行 使される場合には、下記の連絡先に宛てて当社にご連絡下さい。 なお、ダイレクトマーケティングについては、データ主体は、電子メッセージを用いる場合はかかる連絡手段内の指示に従うことにより、オプトアウトを行うこともできます。 当社は、データ主体の身元を確認し、データ主体の個人データにアクセスするデータ主体の権利を確保することに役立てるために(またはお客 様のその他の権利を行使するために)、データ主体に対し特定の情報を要求する必要がある場合があります。 これは、個人データを受領する権利を有しない者に対して個人データが開示されないことを確保するための安全対策です。 また、当社は、データ主体による対応の迅速化の要求について、データ主体にご連絡し、追加情報を求めることができます。

データ主体が、データ主体の個人データについて、本ポリシー又は当社の慣行に関する異議を申し立てることを希望する場合、下記の連絡先に宛てて当社にご連絡下さい。当社は可及的速やかにデータ主体の異議に回答いたします。

データ主体は、当社によるデータ主体の個人データの処理について、データ主体がEEAに居る場合は該当する監督機関に対し、又はデータ主体が 英国に居る場合は情報コミッショナー事務局に対し、直接異議を申し立てることもできます。

8.本ポリシーの変更

当社は、本ポリシーを随時変更することがあります。 実質的または重大な変更を加える場合には、本ウェブサイトおよび必要な場合にはデータ主体への電子メールによる通知を通じてデータ主体に対してご連絡いたします。

9.連絡先

本ポリシーに関するご質問またはお問い合わせは、下記データ管理者までご連絡下さい。

データ管理者

〒600-8415 
京都市下京区因幡堂町655番地
株式会社 ジェイ・エス・ビー
E-MAIL:privacy@jsb-g.co.jp

制定日:2022年1月14日
最新改訂日:2022年4月1日