データ保護に係る拘束的企業準則プログラム

EYでは、とりわけEYネットワーク企業間の個人データの移転について、欧州のデータ保護法の順守を目的とした拘束的企業準則(BCR)プログラムを策定しました。このBCRプログラムは、BCR管理者ポリシーとBCR処理者ポリシーで構成されています。

BCRプログラムにおける「EY」とは、アーンスト&ヤング・グローバル・リミテッド(「EYG」)の要求事項を順守する義務のある独立したメンバーファーム(「EYメンバーファーム」)およびEY組織内のその他の企業(「EYネットワーク企業」)から成るグローバル組織を指します。EYGはEY組織の中心的なガバナンス企業であり、EYネットワーク企業をまとめ、企業間の協力を調整する役割を担います。

データ保護法とはどのようなものでしょうか。

欧州のデータ保護法では、個人データ1の利用方法を管理する権利は個人にあるとされています。現在、過去または見込みのあるパートナーおよび構成メンバー、クライアント、サプライヤー、請負業者、ならびにその他の第三者の個人情報をEYが収集し利用する際はデータ保護法が適用され、同法による規制を受けます。

データ保護法によってEYには国際的にどのような影響が及ぶのでしょうか。

データ保護法では、データ保護が適切な水準にない限り、欧州 2 外への個人情報の移転は認められません。EYが事業展開する国の中には、欧州のデータ保護機関から個人のデータ・プライバシー権に対して適切な保護がなされていないとみなされている国もあります。

EYではどのような対応をしているのでしょうか。

EYは国をまたいだ個人データの利用が安全に行われ、したがって合法であることを徹底するために適切な措置を講じる必要があります。したがってBCRプログラムでは、欧州のデータ保護法の基準を満たすためのフレームワークを策定し、その結果として欧州内のEYネットワーク企業から欧州外のEYネットワーク企業に転送されるすべての個人データが適切に保護されるようにすることを目的としています。

EYでは、EYの現在、過去および見込みのあるパートナー、構成メンバー、クライアント、サプライヤー、請負業者、その他の第三者のいずれのものであれ、個人データが手作業および自動で処理されるすべてのケースにBCRプログラムをグローバルに適用しています3

BCRプログラムの中核をなすのは、関連する欧州のデータ保護基準に基づいて解釈されるさまざまな主要規則です。各パートナー、構成メンバーまたは請負業者が個人データを取り扱う際は、これらの規則に従わなければなりません。

すべてのEYメンバーファームには、EYGメンバーへの加盟契約に署名しメンバーになった結果として、BCRプログラムを順守する義務が課されます。EYメンバーファームは加盟契約に署名することにより、EYG規則に規定されるEYのすべての共通基準、手法およびポリシーに従うことになります。BCRプログラムはEYG規則に明記される共通基準の一つです。EYメンバーファームは、その支配下にある企業にもEYG規則順守徹底させる責任を負います。

個人データの管理

EYで処理されている個人情報へのアクセスを希望される場合や、個人情報の訂正、削除、処理の制限、または持ち出し可能な個人情報のコピーをご希望の場合は、EYまでご連絡ください

追加情報

「拘束的企業準則 - 管理者ポリシー」全文は、こちらをクリック。

「拘束的企業準則 - 処理者ポリシー」全文は、こちらをクリック。

EYのBCRプログラムについての追加情報をご希望の場合は、パンフレット「BCR:グローバルなデータ共有ソリューション」をご覧ください。

BCRプログラムの規定、BCRプログラム上の権利、その他のデータ・プライバシー項目についてのご質問は、EYグローバル・プライバシー・リーダーにご連絡ください。EYグローバル・プライバシー・リーダーはご依頼内容に自身で対応するか、またはEY内の適切な担当者や部署に転送いたします。EYグローバル・プライバシー・リーダーの連絡先は以下のとおりです:

Felipe Paez
Global Privacy Leader

注:

1 個人データとは、EU一般データ保護規則(GDPR)に記載される定義に従って識別されるか、または識別が可能な自然人に関連するあらゆる情報を指します。

2 BCRの目的において、欧州とは欧州経済地域(EEA)およびスイスを指します。

3 欧州データ保護法における「処理」とは、自動であるか否かに関わらず、個人データに対してなされるあらゆる種類の作業を指します。これは個人データの収集、保管、体系化、破壊、修正、閲覧、開示を含むものと広く解釈されています。