EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
EYでは、とりわけEYネットワーク企業間の個人データの移転について、欧州のデータ保護法の順守を目的とした拘束的企業準則(BCR)プログラムを策定しました。このBCRプログラムは、BCR管理者ポリシーとBCR処理者ポリシーで構成されています。
BCRプログラムにおける「EY」とは、アーンスト&ヤング・グローバル・リミテッド(「EYG」)の要求事項を順守する義務のある独立したメンバーファーム(「EYメンバーファーム」)およびEY組織内のその他の企業(「EYネットワーク企業」)から成るグローバル組織を指します。EYGはEY組織の中心的なガバナンス企業であり、EYネットワーク企業をまとめ、企業間の協力を調整する役割を担います。
欧州のデータ保護法では、個人データ1の利用方法を管理する権利は個人にあるとされています。現在、過去または見込みのあるパートナーおよび構成メンバー、クライアント、サプライヤー、請負業者、ならびにその他の第三者の個人情報をEYが収集し利用する際はデータ保護法が適用され、同法による規制を受けます。
データ保護法では、データ保護が適切な水準にない限り、欧州2 外への個人情報の移転は認められません。EYが事業展開する国の中には、欧州のデータ保護機関から個人のデータ・プライバシー権に対して適切な保護がなされていないとみなされている国もあります。
EYは国をまたいだ個人データの利用が安全に行われ、したがって合法であることを徹底するために適切な措置を講じる必要があります。したがってBCRプログラムでは、欧州のデータ保護法の基準を満たすためのフレームワークを策定し、その結果として欧州内のEYネットワーク企業から欧州外のEYネットワーク企業に転送されるすべての個人データが適切に保護されるようにすることを目的としています。
EYでは、EYの現在、過去および見込みのあるパートナー、構成メンバー、クライアント、サプライヤー、請負業者、その他の第三者のいずれのものであれ、個人データが手作業および自動で処理されるすべてのケースにBCRプログラムをグローバルに適用しています3。
BCRプログラムの中核をなすのは、関連する欧州のデータ保護基準に基づいて解釈されるさまざまな主要規則です。各パートナー、構成メンバーまたは請負業者が個人データを取り扱う際は、これらの規則に従わなければなりません。
すべてのEYメンバーファームには、EYGメンバーへの加盟契約に署名しメンバーになった結果として、BCRプログラムを順守する義務が課されます。EYメンバーファームは加盟契約に署名することにより、EYG規則に規定されるEYのすべての共通基準、手法およびポリシーに従うことになります。BCRプログラムはEYG規則に明記される共通基準の一つです。EYメンバーファームは、その支配下にある企業にもEYG規則順守徹底させる責任を負います。
EYで処理されている個人情報へのアクセスを希望される場合や、個人情報の訂正、削除、処理の制限、または持ち出し可能な個人情報のコピーをご希望の場合は、EYまでお問い合わせください。
追加情報
「拘束的企業準則 - 管理者ポリシー」全文(PDF)は、こちらをクリック。
「拘束的企業準則 - 処理者ポリシー」全文(PDF)は、こちらをクリック。
英国の欧州連合(EU)離脱を受け、EYは英国のデータ保護法を順守するため、BCRの英国版を作成しました。
「英国拘束的企業準則 - 管理者ポリシー」全文(PDF)は、こちらをクリック。
「英国拘束的企業準則 - 処理者ポリシー」全文(PDF)は、こちらをクリック。
EYのBCRプログラムについての追加情報をご希望の場合は、パンフレット「BCR:グローバルなデータ共有ソリューション」(PDF)をご覧ください。
BCRプログラムの規定、BCRプログラム上の権利、その他のデータ・プライバシー項目についてのご質問は、EYグローバル・プライバシー・リーダーにご連絡ください。EYグローバル・プライバシー・リーダーはご依頼内容に自身で対応するか、またはEY内の適切な担当者や部署に転送いたします。EYグローバル・プライバシー・リーダーの連絡先は以下のとおりです。
Felipe Paez
Global Privacy Leader
1 個人データとは、EU一般データ保護規則(GDPR)に記載される定義に従って識別されるか、または識別が可能な自然人に関連するあらゆる情報を指します。
2 BCRの目的において、欧州とは欧州経済地域(EEA)およびスイスを指します。
3 欧州データ保護法における「処理」とは、自動であるか否かに関わらず、個人データに対してなされるあらゆる種類の作業を指します。これは個人データの収集、保管、体系化、破壊、修正、閲覧、開示を含むものと広く解釈されています。