1. ホーム
  2. 企業・IR
  3. 個人情報の取り扱いについて
  4. GDPRの適用を受ける社員等の個人データの保護に関する方針

GDPRの適用を受ける社員等の個人データの
保護に関する方針

GDPRの適用を受ける社員等の個人データの保護に関する方針(以下「本方針」)は、EUの「一般データ保護規則(2016/679)」(以下「GDPR」)の適用を受ける社員等の個人データの処理に関してのみ適用されます。

1. 当社の社員等の個人データ保護に関する方針

本方針は、ソフトバンク株式会社(以下「当社」)が、GDPRによって保護される欧州経済領域(以下「EEA」)所在の当社の役員および従業員(社員、嘱託社員、準社員、臨時社員、受入出向社員、派遣社員)、当社の役員もしくは従業員になろうとする者またはなろうとした者(以下「採用応募者等」)および退職者(以下、総称して「社員等」)から、個人データ(以下「社員等個人データ」)の提供もしくは開示を受けた場合または第三者を通じて社員等個人データの受領もしくは取得をした場合に、当社が管理者として当該社員等個人データをどのように収集し、処理するかについて社員等に説明するものです。当社では、GDPR(および適用されるその他のEUおよび加盟国のデータ保護に関する規制がある場合は当該規制)に従って社員等個人データを処理します。
本方針における「社員等個人データ」の処理とは、以下のいずれかの場合に行われるEEAに所在する社員等の個人データの処理をいいます。

  1. (ⅰ)
    当社のEEA域内の拠点の活動に関連してなされる場合
  2. (ⅱ)
    社員等に対する商品またはサービスの提供に関する場合
  3. (ⅲ)
    EEA域内で行われる社員等の行動の監視に関する場合

2. 社員等個人データの収集および処理

当社は常に、社員等個人データをGDPR(第6条および第7条)に規定された法的根拠のいずれかに基づいて処理します。さらに当社は、特別に配慮が必要な社員等個人データを処理する場合は、GDPR(第9条および第10条)に規定された特別な基準に従って行います。
当社では、(ⅰ)当社の事業および社員等の管理等のために必要な場合その他当社に正当な利益がある場合、(ⅱ)社員等と当社との契約の履行もしくは締結前手続きに必要な場合、または(ⅲ)社員等の明確な同意を事前に得た場合に、社員等個人データを収集し、処理することがあります。
社員等は、社員等個人データの収集および処理について同意した場合、同意をいつでも撤回する権利があります。しかし、撤回前の同意に基づく処理の適法性がこれにより影響されることはありません。
当社は、当社の法的義務の遵守、社員等との契約の履行、および当社の事業活動を維持するために必要な期間、社員等個人データを保存します(GDPR第5条および第25条第2項)。

3. 収集および処理する目的および社員等個人データの種類

以下の目的のために、当社は以下の種類の社員等個人データを収集する必要があります。

役員および従業員の個人データを収集および処理する目的

個人データの種類 具体的内容 収集および処理する目的
社内開示情報 氏名、社員番号、所属部署、役職、雇用形態、社員用メールアドレス、業務用携帯端末に関する情報等 業務連絡のため
基本情報 氏名、住所、年齢、生年月日、性別、電話番号、顔写真等 雇用人事管理、配属(出向・転籍を含む)、社員名簿の作成、給与等の支払い、福利厚生の提供、社会保険関係の手続き、法律上必要な諸手続き、その他雇用管理のため
賃金関係情報 年収、月収、賞与等、給与の決定方法、退職金等 給与等の決定および支払い、源泉徴収手続き、社会保険関係の手続き、退職金および福利厚生、財形、その他雇用管理のため
人事情報 人事考課、学歴、資格・免許、職位、職歴、懲戒・表彰等 人材の把握、配属先・担当職務の決定、出向・転籍、研修・能力開発、昇・降格、その他雇用管理のため
家族、親族情報 家族構成、同・別居、扶養の有無、健康状態等 給与等の決定、源泉徴収手続き、社会保険関係の手続き、育児・介護休業等、福利厚生、その他雇用管理のため
身体、健康情報 健康状態、病歴、心身の障害、健康診断結果等 健康管理、適正な就業環境の確保、休職等、配属先の決定、労働時間管理、その他雇用管理のため

採用応募者等の個人データを収集および処理する目的

個人データの種類 具体的内容 収集および処理する目的
基本情報 氏名、住所、年齢、生年月日、性別、電話番号、顔写真等 採否の検討・決定、採用条件の検討・決定、問い合わせ対応、事務連絡等のため
賃金関係情報 年収、月収、賞与等、給与の決定方法等
人事情報 学歴、資格・免許、職位、職歴等
家族、親族情報 扶養の有無等

退職者の個人データを収集および処理する目的

個人データの種類 具体的内容 収集および処理する目的
基本情報 氏名、住所、年齢、生年月日、性別、電話番号、顔写真等 各種人事データ作成、退職後の連絡等のため
賃金関係情報 年収、月収、賞与等、給与の決定方法、退職金等
人事情報 人事考課、学歴、資格・免許、職位、職歴、懲戒・表彰等
家族、親族情報 家族構成、同・別居等
身体、健康情報 健康状態、病歴、心身の障害、健康診断結果等

当社は、社員等に対し、同意を得る際の通知文、契約その他の適切な手段によって、当該個人データを収集し、処理する目的、法的根拠その他の情報についてお知らせします。
当社では、社員等個人データを特定された、明確かつ正当な目的のために処理し、社員等個人データをこれらの目的に適合しない方法でさらに処理することはありません。当社が、当初ある目的のために収集した社員等個人データをその他の目的の達成のために処理しようとする場合、当該処理について必ず社員等にお知らせします。
当社は、処理対象の社員等個人データが処理の目的との関係において、関連性および必要性のあるものに限られるよう徹底します。

4. 社員等個人データの共有

当社はGDPRに従い、社員等個人データを当社グループ各社および第三者と共有することがあります。社員等個人データをデータ処理者と共有する場合、当社はデータの移転および処理を対象とする適切な法的対策を適切に実施します(GDPR第26条、第28条および第29条)。さらに、社員等個人データをEEA外の企業と共有する場合、当社はその移転を対象とする適切な法的対策、とりわけ、欧州委員会により承認された管理者間(2004/915/EC)および管理者と処理者との間(2010/87/EU)の標準契約条項を適切に締結します(GDPR第5章)。

業務委託

業務委託契約を締結している業務委託先に社員等個人データの処理の全部または一部を委託する場合があります。業務委託契約を締結する際には、業務委託の相手としての適格性を十分に審査します。業務委託契約においては、安全管理措置、秘密保持、再委託の条件、その他の社員等個人データの適正な処理に関する事項について定め、定期的な委託業務状況のモニタリング等を実施することによって当社の業務委託先を適切に監督します。

関係会社および各種企業統廃合

当社では、社員等個人データを当社のすべての関係会社と共有することがあります。当社の事業の全部または一部に関して企業合併、会社更生・民事再生、買収、合弁、譲渡、移転、売却または処分(破産手続または同様の手続に関連する場合も含みます。)等が発生した場合、当社は関連する第三者にあらゆる社員等個人データを譲渡する場合があります。

法令遵守とセキュリティ

法律、法的手続、訴訟、社員等の居住国内外の公的機関・政府当局の要請により、当社が社員等個人データを開示する必要が生じる場合があります。また、当社は、国家の安全保障、法執行その他社会上重要な問題により、開示が必要または適切であると判断した場合にも社員等個人データを開示することがあります。
当社はこのほか、当社の権利の保護、利用可能な救済措置の実行、当社の内部規程の執行、不正調査、または当社の事業やユーザーの保護のために、開示が合理的に必要であると誠実に判断した場合にも社員等個人データを開示することがあります。

データの移転

上記のような共有および開示等を行う場合、社員等個人データをEEA外の国に移転することが必要となる場合があります。このような移転を実行する度に、当社では移転対象データを適切なレベルで確実に保護します。特に、欧州委員会決定2001/497/EC、2002/16/EC、2004/915/ECおよび2010/87/EUの定義に従って標準契約条項を締結することにより移転対象データの保護を徹底します。

5. 当社のデータ処理に関する記録

当社が社員等個人データを処理する場合、社員等個人データの処理に関する記録をGDPRに規定された義務に従って取り扱います(GDPR第30条)。当社は、GDPRを遵守し、かつGDPRに基づき監督当局に協力するために必要なすべての情報をこの記録に反映します(GDPR第31条)。

6. セキュリティ対策

当社が社員等個人データを処理する際、適切な技術的かつ組織的な対策を講じ、適切なセキュリティ(無許可・不法な処理、偶発的な喪失や破棄破損に対する保護等)を確保して処理します(GDPR第25条第1項および第32条)。

7. 管轄監督当局に対するデータ侵害の通知

移転、保存その他の処理の対象となる社員等個人データの偶発的・不法な破棄、喪失、改変、無許可の開示・アクセスにつながるセキュリティ侵害が発生した場合に備え、当社は侵害内容をすみやかに検出し、評価するための制度および方策を整備しています。評価の結果に応じて、所管のデータ保護監督当局に必要な通知を行い、影響を受ける社員等に連絡します(GDPR第33条および第34条)。

8. 社員等の権利および
自由に高度なリスクをもたらす可能性のある処理

当社は、社員等の権利および自由に高度なリスクをもたらす可能性のあるデータ処理行為を検出するための制度および方策を整備しています(GDPR第35条)。そのようなデータ処理行為が検出された場合、当社内でそれを評価した上で、当該処理行為を停止し、またはその処理行為がGDPRに準拠するよう確保するか、当該処理行為を続行するための適切な技術的かつ組織的な保護措置を整備するよう徹底します。
疑義がある場合には、当社は所管のデータ保護監督当局に連絡し、その助言および提案を受けます(GDPR第36条)。

9. 社員等の権利

社員等には、当社が収集し処理する社員等個人データについて以下の権利があります。ただし、以下の権利には、一定の要件が存在する場合や、制約が課される場合があります。

  • 社員等個人データの処理に関する情報の取得:社員等には、社員等に関係する当社のデータ処理行為に関するすべての重要情報を当社から取得する権利があります(GDPR第13条および第14条)。
  • 社員等個人データへのアクセス:社員等には、社員等個人データが処理されているか否かについて当社から確認を得る権利があり、処理されている場合はその社員等個人データおよび関連する一定の情報にアクセスする権利があります(GDPR第15条)。
  • 社員等個人データの訂正または削除:社員等には、不正確な社員等個人データを不当な遅滞なく訂正させる権利、また不完全な社員等個人データがあればそれを完全なものにする権利があります(GDPR第16条)。また、一定の要件を満たす場合は、社員等個人データを不当な遅滞なく削除させる権利があります(GDPR第17条)。
  • 社員等個人データの処理の制限:一定の要件を満たす場合は、社員等には、社員等個人データの処理に対する制限を行う権利があります(GDPR第18条)。
  • 社員等個人データの処理に対する異議:一定の要件を満たす場合は、社員等には、社員等の特定の状況に関する事情を理由として、いつでも、社員等個人データの処理に異議を唱える権利があります(GDPR第21条)。
  • 社員等個人データのデータポータビリティ:一定の要件を満たす場合は、社員等には、構造化され、機械で読み取り可能な一般に利用される形式で社員等個人データを受領する権利、また当該社員等個人データを当社の妨害なく別の管理者に転送する権利がある場合があります(GDPR第20条)。
  • 自動化された意思決定の対象とならない:一定の要件を満たす場合は、社員等には、社員等個人データの処理に基づいて社員等に対し法的効果または同等の効果を伴う自動化された意思決定(プロファイリングを含みます。)の対象から除外される権利があります(GDPR第22条)。

上記の権利を社員等が行使する場合は、下記11の連絡先を確認して下さい。
社員等からの要請に対する当社の対応に不満がある場合、または当社による社員等個人データの処理方法について苦情がある場合、データ保護監督当局に苦情を申し立てることができます。

10. 本方針の更新

当社は、本方針を変更することがあります。本方針のあらゆる変更は、本方針の改訂版を当社のウェブサイト経由で掲示すると同時に有効となります。当社が重大と考える変更を行う場合、社員等に対して当社のウェブサイトを通じて可能な範囲でお知らせし、場合によっては社員等の同意の提供をお願いすることがあります。

11. 連絡先

本方針に関する質問または要請については、以下の連絡先にご連絡下さい。

受付メールアドレス
受付窓口 〒105-7529 東京都港区海岸一丁目7番1号
ソフトバンク株式会社 人事本部 社員等個人情報お問い合わせ窓口
受付時間 午前10時~午後5時45分(土曜、日曜、祝日、年末年始を除く)