プライバシー
基本的な考え方
プライバシーは、テクノロジーの利用、イノベーションの促進、ステークホルダーの信頼獲得など、持続可能な「楽天エコシステム」の構築に欠かせない重要な要素であり、単なるコンプライアンス上の問題に限りません。すべてのお客様に安心して楽天のサービスをご利用いただけるよう、楽天グループは法令要件を上回るプライバシー対策の実施、強化、徹底に努めます。
マネジメント体制
プライバシーおよびデータ保護の分野は急速に発展しており、その変化に対応するため、継続的にプライバシーコンプライアンスに関する改善活動に取り組んでいます。
楽天グループでは、プライバシーとデータ保護のための社内規則であるBinding
Corporate Rules(拘束的企業準則、以下「BCR」)、および欧州連合(以下「EU」) のプライバシー法であるGeneral Data Protection
Regulation(一般データ保護規則、以下「GDPR」)の要件に則り、グループ内のコンプライアンスの状況を監督、モニタリングする専門の職位として、グローバルプライバシーマネージャーを任命しています。グローバルプライバシーマネージャーは、海外の各地域における責任者であるリージョナルプライバシーオフィサーや、各社で任命されたローカルプライバシーオフィサーと連携することにより、強固なプライバシーネットワークを構築し、楽天グループに適用されるコンプライアンスの遵守状況とリスクの有無をモニタリングしています。また、その結果をグループ情報セキュリティ&プライバシー委員会や経営会議に適時報告しています。さらに、楽天グループ内外でのデータ利用を適切に管理するための社内プロセスであるデータコントロールプロセスを導入しています。データの利活用が個人情報保護方針や社内規則、適用法令に準拠していることを確実にするため、プライバシースペシャリストおよび関連する社内のステークホルダーによってプライバシー影響評価を実施し、グループ全体で統制されたコンプライアンスと安全なデータの取り扱いを保証しています。
プライバシーへの取り組み
楽天グループは、お客様に安全なサービスを提供するとともに、各国でビジネスを展開するにあたり、当該国のプライバシー法の遵守を徹底しています。しかし、国によってはプライバシー法令が限定的・断片的である場合、情報保護の水準が不十分な場合があります。そのため、当社は、グローバルに事業展開する企業として、プライバシーおよびデータ保護の観点から独自の運用基準を設け、コンプライアンス体制を高い基準で維持することに取り組んでいます。
拘束的企業準則(BCR)の導入
楽天グループは拘束的企業準則(Binding Corporate Rules)と呼ばれる世界水準のプライバシー保護基準を導入しています。これは全グループ会社が遵守すべき内部規則であり、楽天グループにおけるデータ保護を確立するものです。当社のBCRは、GDPRに基づきルクセンブルクにあるEUのデータ保護機関によって承認された拘束的企業準則、および英国一般データ保護規則 (UK GDPR) に基づき英国のデータ保護機関によって承認された拘束的企業準則の2つで構成されています。当社はルクセンブルクにあるデータ保護機関からBCRの承認を得た最初の日本企業であり、英国のEU離脱後に英国のデータ保護機関から承認を得た最初の日本企業でもあります。BCRに準じたデータの取り扱いをすることによって、楽天グループ全体で個人のプライバシーとデータの保護に取り組んでいます。
また、これらの規則は、合法的なデータの取り扱い、目的の制限、データ品質の保証などの主要なプライバシー原則を含むほか、適用されるプライバシー法の下で、自らのデータがいかに取り扱われているのかを知る権利や、訂正権、異議を申し立てる権利等を認めています。さらに、お客様の地域および適用されるプライバシー規制によっては、追加の権利が認められる場合があります。
詳しくはこちらをご覧ください。
国内基準への準拠
日本国内で展開するビジネスにおいて、個人情報保護法および管轄官庁が定める法制度・ガイドラインへの準拠状況を定期的に確認・モニタリングしています。加えて、以下の3社については、日本工業規格「JIS Q 15001個人情報保護マネジメントシステムー要求事項」に適合し、個人情報について適切な保護措置を講じる体制を整備している事業者を認定するプライバシーマークの付与も受けています。
プライバシーマーク取得企業
- 楽天証券株式会社
- 楽天コミュニケーションズ株式会社
- 楽天インサイト株式会社
データの取り扱いにおける透明性の確保
楽天グループでは、継続的なサービス向上のためにお
客様の情報を取得、利用、保管しています。各サービスにおいて、お客様のデータの取扱方針をプライバシーポリシーとして開示し、必要に応じてイラストを交えた解説で分かりやすく明確な説明を心がけるなど、透明性の確保に努めています。
また、お客様への情報発信を強化するため、「プライバシーセンター」をリニューアルしました。「プライバシーセンター」では、楽天グループのプライバシーに関する様々な取り組みを紹介しています。また、楽天グループ各社の個人情報保護方針の閲覧や、プライバシー保護やテクノロジーの理解に役立つ記事もお読みいただけます。楽天グループでは、お客様のプライバシーを尊重することについて、私たちの企業ミッションである「イノベーションを通じて、人々と社会をエンパワーメントする」を実現するために重要であると考えています。
プライバシー規制のモニタリング
グローバルに事業を展開する楽天グループにとって、各国のプライバシー法の制定・改廃など、世界動向をモニタリングすることは不可欠です。グローバルプライバシーオフィスでは、リージョナルプライバシーオフィサーや各社のプライバシーオフィサーと連携してモニタリングを行い、実務上の変更が必要になる場合は迅速なエスカレーションを行っています。
グローバルプライバシーオフィスは、各事業の責任者に潜在的なリスクや課題を共有するため、各事業におけるプライバシーコンプライアンスの状況、リスク、課題を可視化したプライバシーダッシュボードを定期的に提供しています。このように、現行の法的措置のみを考慮するのではなく、今後の動向を見越し、将来においても有効なプライバシーへの対応を推進しています。
プライバシー教育
プライバシーへの対応を継続的に改善するためには、従業員研修や意識の向上が必要不可欠です。プライバシーの重要性を全従業員の共通意識として浸透させるために、プライバシー教育・啓発の専門チームを設け、グループの全従業員を対象とした年次の研修や入社時の研修に加え、国際的なデータ・プライバシーの日(Data Privacy Day)に合わせた啓発イベント「Rakuten Privacy Awareness Day」を開催しています。さらに、ポスターやインフォグラフィック、月間のプライバシー関連ニュースをダイジェストで発信する「The Privacy Times」など、様々なチャネルを通じてプライバシーの重要性を社内に向けて発信しています。
特定利用者情報取扱方針
2023年6月に日本の電気通信事業法が改正され、特定利用者情報を利用する事業者は取扱方針を策定および公表することが義務付けられました。楽天グループ株式会社は、この電気通信事業法の義務に基づき、弊社が取り扱う特定利用者情報について、その利用目的や保護の体制などをお客様にご理解いただくことを目的として本方針を制定しました。
特定利用者情報取扱方針はこちらからご確認ください。