EU個人データ保護方針

本方針は、東芝デバイス＆ストレージ株式会社（以下「当社」）が欧州経済領域（以下「EEA」）において
「一般データ保護規則（2016/679）」（以下「GDPR」）で保護される所在の方（以下「データ主体」）
（当社のお客様、パートナーも含まれる可能性があります。）から個人データの提供もしくは開示を受けた場合または第三者を通じて個人データの受領もしくは取得をした場合に、当社が管理者として当該個人データをどのように収集し、処理するかについてデータ主体に説明するものです。当社では、GDPR（ならびに適用されるその他のEUおよび加盟国のデータ保護に関する規制がある場合は当該規制）に従って個人データを処理します。

当社は常に、データ主体の個人データをGDPR（第6条および第7条）に規定された法的根拠のいずれかに基づいて処理します。さらに当社は、例えばお客様の労働組合加入状況、宗教に関する見解、健康状態など、取り扱いに注意を要する個人データを処理する場合は、GDPR（第9条および第10条）に規定された特別基準に従って行います。

当社では、以下の記載する目的のためにデータ主体の個人データを収集し、処理することがあります。

• 当社の製品およびサービスをご提案するため
• 事業の継続性を確保するため
• 当社従業員ならびに雇用関係に関係する業務を管理するため
• 当社の製品、サービスおよび広告を提供し、改善し、発展させるため
• 当社の方針および規約を通知するため
• 安全性およびセキュリティを向上させるため
• 業務上の管理、データ分析、調査および監査などのため
• 当社の製品およびサービスの変更を通知するため
• アカウントを管理するため
• 当社が法的義務を遵守し、当社または第三者の法的権利を保護するため

また当社は、データ主体と当社の契約関係の締結に基づき、以下の目的のためにデータ主体の個人データを収集し処理することがあります。

• 従業員、請負業者、ベンダーおよびその他当社にサービスを提供する自然人との間の当社の義務を遵守するため
• 最後に、データ主体に明確なご同意をいただいた場合、当社は以下の目的でもデータ主体の個人データを収集し、処理することがあります。
• サービスに関係するマーケティング広告を作成するため
• データ主体の関心をお持ちになると考える情報をデータ主体に提供するため
• データ主体が当社のサービスのインタラクティブ機能に参加できるようにするため（データ主体が選択する
  場合）
• データ主体のニュースレター、メールマガジンの購読を管理するため
• 業務上の分析を行うため
• 本方針に記載されていないその他の利用目的のため

データ主体は、個人データの収集および処理について同意した場合、同意をいつでも撤回する権利があります。しかし、撤回前の同意に基づく処理の適法性がこれにより影響されることはありません。

当社では、データ主体の個人データを特定された、明確かつ正当な目的のために処理し、その個人データをこれらの目的に適合しない方法でさらに処理することはありません。当社が、当初ある目的のために収集した個人データをその他の目的の達成のために処理しようとする場合、それについて必ずデータ主体にお知らせします。
当社は、当社の法的義務を遵守するため、十分なサービスを確実に提供するため、そして当社の事業活動を維持するために必要な期間、個人データを保存します。(GDPR第5条および第25条第2項）。

当社は、本方針に記載の目的（およびデータ収集時に詳細が説明される目的）の達成に必要な種類の個人データを収集する必要があります。当社では、このような個人データをデータ主体が当社に提供される際（本ウェブサイトに表示されるフォームに記入の際）に直接データ主体から、またはこのような個人データがデータ主体の電子通信端末もしくはインターネットブラウザによって当社に提供される場合は間接的に、そのデータを取得することができます。当社は、処理対象の個人データが処理の目的に鑑み、適切で、目的に関係するものでありかつ必要なものに限られるよう徹底します。

当社はGDPRに従い、個人データを当社グループ各社および第三者と共有することがあります。個人データをデータ処理者と共有する場合、当社は個人データの移転および処理を対象とする適切な法的枠組を適切に設けます（GDPR第26条、第28条および第29条）。さらに、個人データをEEA外の企業と共有する場合、当社はその移転を対象とする適切な法的枠組、とりわけ、管理者間（2004/915/EC）および管理者と処理者との間（2010/87/EU）の標準契約条項を適切に設けます（GDPR第5章）。

データ主体に事前に同意頂いた場合、個人データは、当社と共同で当社の製品およびサービスを提供する、またはデータ主体へのマーケティングを支援する協業先に対して移転され、保管され、さらに処理されることがあります。

1. 製品およびサービスの販売業務、問合せ対応業務、マーケティング業務その他業務において、個人データ 処理の全部または一部を委託する場合があります。
2. 業務委託契約を締結する際には、業務委託の相手として適格性を十分に審査します。業務委託契約に おいては、安全管理処置、秘密保持、再委託の条件、その他の個人データの適正な処理に関する事項について定め、定期的な委託業務状況のモニタリング等を実施することによって当社の業務委託先を適切に監督します。
3. 業務の委託に伴って委託元から提供（預託）された個人データについて、これを当該委託元との契約の履行に必要な範囲内で利用します。

当社では、個人データを当社のすべての関係会社と共有することがあります。当社の事業の全部または一部に関して企業合併、会社更生・民事再生、買収、合弁、譲渡、移転、売却または処分（破産手続または同様の手続に関係する場合も含みます。）等が発生した場合、当社は関連する第三者にあらゆる個人データを譲渡する場合があります。

法令、法的手続、訴訟、データ主体の居住国内外の公的機関・政府当局の要請により、当社が個人データを開示する必要が生じる場合があります。また当社は、国家の安全保障、法執行その他社会上重要な問題により、開示が必要または適切であると判断した場合にも個人データを開示することがあります。
当社はこのほか、当社の権利を保護し、利用できる救済措置を求め、当社の内部規程を執行し、不正を調査し、または当社の事業やユーザーを保護するために、開示が合理的に必要であると誠実に判断した場合にも個人データを開示することがあります。

上記のような共有および開示等を行う場合には、個人データをEEA外の当社グループが所在する国・地域に移転することが必要な場合があります。このような移転を実行する度に、当社では移転対象データを適切なレベルで確実に保護します。特に、欧州委員会決定2001/497/EC、2002/16/EC、2004/915/ECおよび2010/87/EUの定義に従って標準契約条項を締結することにより、またはGDPR第46条項（2）項第（c）号に基づき欧州委員会が採択した標準データ保護条項により徹底します。

当社が管理者または処理者として行動する場合、個人データの処理に関する記録をGDPR（第30条）に規定された義務に従って取扱います。当社はGDPRを遵守し、かつGDPR（第31条）に基づき監督当局に協力するために必要なすべての情報をこの記録に反映します。

当社が個人データを処理する際、適切な技術的かつ組織的な対策を講じ、適切なセキュリティ（無許可・不法な処理、偶発的な喪失や破棄破損に対する保護など）を確保して処理します。当社はこの保護レベルを達成するために適切な技術・組織上の対策を講じます（GDPR第25条第1項および第32条）。

当社は、法律によってより長い保存期間が義務付けられるまたは許可される場合を除き、本方針に概説する目的の達成に必要な期間、個人データを保存します。

移転、保存その他の処理の対象の個人データの偶発的・不法な破棄、喪失、改変、無許可の開示・アクセスにつながるセキュリティ侵害が発生した場合に備え、当社は侵害内容を速やかに検出し、評価するための制度および方策を整備しています。評価の結果に応じて、監督当局に必要な通知を行い、影響を受けるデータ主体に連絡します（GDPR第33条および第34条）。

当社は、データ主体の権利および自由に対し高いリスクをもたらす可能性のあるデータ処理行為を検出するための制度および方策を整備しています（GDPR第35条）。そのようなデータ処理行為が検出された場合、当社内でそれを評価した上で、それを停止し、またはその処理がGDPRに準拠するよう確保するか、それを続行するための適切な技術的かつ組織的な保護措置を整備するよう徹底します。

疑義がある場合には、当初は所管のデータ保護監督当局に連絡し、その助言および提案を受けます（GDPR第36条）。

当社は収集し、処理する個人データについて以下の権利があります。

• データ主体のデータの処理に関する情報：データ主体に関係する当社のデータ処理行為に関してすべての必要な情報を当社から取得する権利があります（GDPR第13条および第14条）
• 個人データへのアクセス：データ主体には、データ主体に関係する個人データが処理されているか否かについて当社に確認する権利があり、処理されている場合はその個人データおよび関連する一定の情報にアクセスする権利があります（GDPR第15条）
• 個人データの訂正または削除：データ主体には、データ主体に関係する不正確な個人データの訂正を不正な遅滞なく受ける権利、また不完全な個人データがあればそれを完全なものにする権利があります（GDPR第15条）。また一定の法定条件が該当する場合は、データ主体に関係する個人データを不正な遅滞なく削除される権利がある場合があります（GDPR第17条）。
• 個人データの処理の制限：一定の法的条件が該当する場合は、データ主体には、個人データの処理に対する制限を当社から得る権利がある場合があります（GDPR第18条）。
• 個人データの処理に対する異議：一定の法的条件が該当する場合は、データ主体には、データ主体特有の事情を理由にいつでも、データ主体に関係する個人データの処理に反対する権利がある場合があります（GDPR第21条）。
• 個人データのデータポータビリティ：一定の法定条件が該当する場合は、データ主体には、構造化され、機械で読み取り可能な一般に利用される形式でデータ主体の個人データを受領する権利、またそのデータを当社の妨害なく別の管理者に転送する権利を有する場合があります（GDPR第20条）。
• 自動化された意思決定の非対象：一定の法定条件が該当する場合は、データ主体には、データ主体の個人データの処理に基づく自動化された意思決定（プロファイリングを含む）（それがデータ主体に対する法的または同様の効力を生じる範囲内で）の対象にならない権利を有する場合があります。（GDPR第22条）。

データ主体からのご要請に対する当社の対応にご不満がある場合、または当社による個人データの処理方法に苦情がある場合、データ保護監督当局に苦情を申し立てることが出来ます。

当社が16歳未満の、または加盟国法に基づく年齢制限に達しないお子様の個人データを収集し処理しません。当社が16歳未満の、または加盟国法に基づく年齢制限に達しないお子様の情報を収集し処理したことが判明した場合、その情報を可能な限り早期に消去する対策をとります（GDPR第8条）。

本ウェブサイトから第三者のウェブサイトまたはインターネット上の情報源へのハイパーテキストリンクを提示することがあります。当社は、第三者の個人データ保護に関する実務慣行およびコンテンツを管理しておらず、それに責任を負うことはできません。第三者の個人データ保護に関する方針を注意深くお読みいただき、データ主体の個人データがどのように収集し処理されるかをご確認ください。

当社では、本方針を変更することがあります。本方針のあらゆる変更は、本方針の改訂版を本ウェブサイトに掲載すると同時に有効となります。

本方針に関するご質問またはご請求については、個人情報保護担当までご連絡ください。

附則：本方針は2020年4月1日に更新されました。