1. 当社について
HOYA Surgical Optics(以下「当社」または「HSO」)は、白内障手術および屈折矯正手術に使用される眼内レンズおよび関連手術製品を専門とする、眼科医療機器のグローバルメーカーです。当社は、すべての事業活動において個人情報の保護に取り組んでいます。本プライバシー通知は、当社の事業活動において個人情報をどのように収集、利用、共有、保護するかを説明するものです。
お客様の所在地およびご利用になる製品・サービスに応じて、お客様の個人情報の管理責任者は、お客様の国における該当する現地のHOYA Surgical Opticsの法人となります。これは、異なる管轄区域において異なるHSO法人が管理責任者となることを意味します。HOYA Surgical Optics GMBHは、欧州域内における特定の活動における管理責任者、および特定のグループレベル事項における中央窓口として機能する場合があります。
本プライバシーポリシーは、別途の社内プライバシー通知の対象となる従業員データを除く、当社が処理するすべての個人情報に適用されます。当社ウェブサイトを通じて、製品・サービスに関連して、業務上のやり取りの中で、求人応募・採用に関連して、また社内業務全般において収集される個人情報に適用されます。
当社はグローバルに事業を展開しており、本プライバシーポリシーは管轄区域を問わず一貫して適用されることを意図しています。現地のプライバシー法が追加の権利を付与したり追加の要件を課す場合、当社はそれらの現地義務を遵守します。
本プライバシー通知は、HSOが事業を展開する主要な国々のデータ保護法要件を反映しています。対象国は以下の通りです:
- オーストリア、フランス、ドイツ、イタリア、英国、欧州経済領域: 一般データ保護規則(GDPR)、および英国においては英国GDPRおよび2018年データ保護法
- 中国: 個人情報保護法(PIPL)
- インド: デジタル個人情報保護法2023
- 日本: 個人情報保護法(APPI)
- シンガポール: 個人情報保護法2012(PDPA)
- 韓国: 個人情報保護法(PIPA)
- タイ: 個人情報保護法2019(PDPA)
- アメリカ合衆国: 医療保険の携行性と責任に関する法律(HIPAA)、カリフォルニア州消費者プライバシー法(CCPA)、および現在施行中のその他の適用される州のプライバシー法
現地法により追加の権利または義務が規定されている場合、HSOは当該管轄区域においてそれらの規則を適用します。
お客様の個人情報について責任を有する管理者についてご質問がある場合は、以下の「お問い合わせ」セクションをご覧ください。
2. 収集する情報
当社は、お客様、ベンダー、契約業者、ビジネスパートナー、見込み顧客、医療専門家、研究参加者、訪問者、その他の利害関係者との事業活動において、個人情報を収集します。当社が収集する可能性のある個人情報のカテゴリーには、以下のものが含まれます。
2.1 お客様から提供いただく情報
- 連絡先および本人確認情報(氏名、メールアドレス、電話番号、会社名、役職、職務、勤務先住所、専門職識別番号)
- 医療専門家および研究者の専門情報(専門分野、所属機関、資格、研修記録)
- 契約および取引情報(契約書、発注書、請求書、支払いおよびその他の取引)
- 医療専門家との契約に関連する財務および報酬情報(報酬、謝礼、コンサルティング契約、および透明性報告に必要な関連記録)
- アカウント作成時のログイン情報および認証情報(例:ユーザー名/メールアドレス、パスワード)
- 通信・連絡記録(メール、通話、会議メモ、問い合わせ、フィードバック、苦情)
- 採用および候補者情報(履歴書/職務経歴書、カバーレター、応募書類、資格、職歴、推薦状、面接メモ、評価結果)
- イベントおよびマーケティングデータ(登録情報、嗜好、アンケート回答、参加記録、推薦文)
- メディアコンテンツ(イベント、インタビュー、推薦文、研修セッションからの写真、動画、音声記録)
- 医療専門家の画像およびその他のメディア(当社のウェブサイト、出版物、または宣伝資料での使用について適切な同意を得て収集・公開されたもの)
- 同意記録および嗜好管理情報
- 製品および研修データ(サービスリクエスト、フィードバックフォーム、研修出席状況)
- デューデリジェンス、オンボーディング、コンプライアンスチェック時に提供された情報
- 監査、訴訟、規制当局への提出書類、紛争解決を支援するために提供された情報
2.2 自動的に収集する情報
当社のウェブサイト、プラットフォーム、または施設をご利用になる際、当社は以下の情報を含む特定の情報を自動的に収集する場合があります:
- デジタルIDおよび活動データ(IPアドレス、ブラウザの種類、デバイス情報、オペレーティングシステム、ログインイベント、セッションログ)
- 閲覧ページ、クリックしたリンク、クッキーデータ、ヒートマップ、アンケートを含むウェブサイト利用情報
- システム、プラットフォーム、または施設へのアクセス記録(ログインイベント、訪問者のWi-Fi利用状況、CCTV映像、セキュリティバッジデータ、監査証跡を含む)
- プロファイリング、コンバージョン追跡、広告ネットワーク、リマーケティング活動のためのオンライン識別子(適用される同意要件に従う)
2.3 第三者から受け取る可能性のある情報
法令に基づき、第三者から以下の情報を受け取る場合があります:
- 販売代理店、パートナー、または公開情報源からのビジネス連絡先情報
- 規制当局、業界データベース、スクリーニング提供者からのコンプライアンスまたは検証情報
- 当社の共同研究に関わる医療提供者または研究者に関する専門情報
- 人材紹介会社、教育機関、または前職の雇用主からの候補者経歴調査結果および推薦状(法令で認められる場合に限る)
- 共同研究、監査、臨床試験、または規制上の義務の文脈において第三者から共有されるデータ
2.4 特別な種類の情報(必要な場合に限り、かつ法律で認められる範囲内でのみ)
当社は通常、患者情報を収集しません。ただし、以下のような限定的な状況において、健康データが偶発的または直接的に処理される場合があります:
- 苦情対応、安全性情報報告、リコール、有害事象通知の処理時
- 市販後調査または被験者を対象とする臨床研究活動において
- 安全性および性能を実証するために必要な規制当局への提出書類
このような処理は、医療機器メーカーとしての規制上および法的義務を満たすために必要な範囲に厳格に限定されます。
3. 情報の利用方法と目的
以下の表は、当社が個人情報を利用する目的、関連するデータのカテゴリー、および処理の法的根拠について説明しています。当社が正当な利益に依存する場合は、その旨が明記されています。
| 目的 | 利用内容 | 法的根拠 | 正当な利益(該当する場合) |
|---|---|---|---|
| 顧客およびビジネス関係管理 | 連絡先情報、通信履歴、契約書、取引詳細 | 契約;正当な利益 | 顧客、ベンダー、請負業者、パートナーとの関係管理 |
| カスタマーサービスおよびテクニカルサポート | 連絡先情報、サービス履歴、ケースデータ、苦情記録 | 契約;正当な利益 | 製品サポートの提供、問題解決、苦情対応 |
| アカウントの作成と管理 | 本人確認データ、ログイン認証情報、登録情報 | 契約;正当な利益 | ユーザー認証、安全なアクセス提供、アカウント管理 |
| マーケティング、イベント、エンゲージメント | 連絡先情報、嗜好、ウェブサイト利用状況、イベント登録、アンケート回答、推薦文、写真/動画/音声記録 | 同意;正当な利益 | 製品・サービスのプロモーション、イベントの企画運営、エンゲージメントの管理 |
| 専門的・臨床的連携 | 医療提供者および研究者の専門情報、研修記録、連携データ、フィードバック | 契約;正当な利益 | 医療専門家との連携、研究支援、製品利用の改善 |
| 医療従事者契約及び報酬 | 医療従事者連絡先、契約記録、財務/支払いデータ | 契約;法的義務;正当な利益 | 医療専門家との契約関係管理、コンプライアンスおよび透明性報告のための支払い・報酬記録の維持 |
| コミュニケーションとソーシャルメディア | 連絡フォーム、メール、会議メモ、チャット、ビデオ通話、通信文、ソーシャルメディア投稿、ダイレクトメッセージ | 正当な利益 | 問い合わせへの対応、フィードバックの監視、交流の維持 |
| 契約管理、コンプライアンス、法的義務 | 契約記録、デューデリジェンスデータ、検証チェック | 法的義務;正当な利益 | 契約履行、コンプライアンス要件の遵守、ベンダーのオンボーディング |
| ウェブサイト、システム、ネットワークおよび施設管理とセキュリティ | 利用データ、クッキー、IPアドレス、デバイス/ブラウザ詳細、ログインおよびアクセスログ、訪問者Wi-Fiログ、セキュリティバッジデータ、CCTV、セキュリティアラート、サーバーログ | 同意(必須でないクッキー);正当な利益;法的義務 | デジタルサービスの提供、ITおよび施設のセキュリティ確保、不正行為、悪用、不正アクセスの防止 |
| 製品開発、品質、規制報告 | 顧客フィードバック、トレーニングデータ、苦情メタデータ | 法的義務;正当な利益 | 製品の改善、医療機器規制への対応、監査支援 |
| 健康監視、市販後調査、リコールおよび苦情 | 患者識別情報(例:年齢、性別、インプラント日)、製品識別情報(種類、シリアル番号)、健康データ、苦情申立者および医療従事者の連絡先詳細 | 法的義務:同意(必要な場合) | 規制上の義務の遵守確保、監視活動の実施、有害事象および苦情の管理 |
| 臨床試験および研究 | 参加者データ(例:年齢、性別、健康データ、生活習慣情報、償還詳細)、医療従事者データ(氏名、専門分野、所属機関、資格) | 同意;法的義務;正当な利益(該当する場合) | 医療機器の安全性、性能、品質を評価するための研究の実施 |
| 訴訟、紛争解決、監査 | 識別情報および連絡先情報、関連する事件文書 | 法的義務;正当な利益 | 当社の法的権利の保護、紛争の管理、監査および調査の支援 |
| 経済分析および市場調査 | 取引記録、契約データ、顧客およびパートナーのグループ分け、購買行動 | 正当な利益 | 事業実績の評価、市場動向の特定、顧客ニーズの把握 |
| 電話による連絡および録音 | 電話番号、通話録音、カスタマーサービスからのメモ | 同意;正当な利益 | サポート要請への対応、スタッフ研修、品質保証 |
| AIおよび自動化サポート | メタデータ、ユーザー提供コンテンツ、関連業務記録、業務ツール出力 | 正当な利益 | 業務ツールにおけるAIの活用による効率性向上と製品パフォーマンスの支援(常に人間の監督下で実施) |
| 採用と求人応募 | 候補者情報(履歴書、資格、推薦状、応募データ、面接メモ、評価結果) | 同意;契約(契約前の手続き);法的義務(該当する場合) | 採用プロセスの管理、職務適性の評価、候補者パイプラインの維持 |
| プラグインおよび埋め込みサードパーティコンテンツ | オンライン識別子、デバイス/ブラウザデータ、インタラクションデータ | 同意;正当な利益 | サードパーティ機能の提供(地図、動画、グラフィック、位置情報)、ソーシャルメディア統合の実現、ユーザー体験の向上 |
| 同意に基づくメディアおよび画像の使用 | 医療従事者およびイベント参加者の写真、動画、音声記録 | 同意 | 適切な同意を得た上で、ウェブサイト、宣伝資料、研修資料への画像・記録の掲載 |
注: 現地法において正当な利益が法的根拠として利用できない場合、別の法的根拠に依拠します。例:
- 日本: 収集時に開示した「特定利用目的」の範囲内で処理する必要があります。別紙Aを参照。
- カナダ、中国、インド、シンガポール、韓国、タイ、米国: 処理は同意、または現地法で認められる他の根拠(契約履行、法的義務の遵守、生命・健康の保護、その他の法定例外など)に依存します。
4. 機微なデータの利用
当社が収集・利用する個人情報の一部は、適用される法令において機微情報とみなされます。これには例えば、当社医療機器の使用に関連する健康関連情報が含まれる場合があります。
当社は、以下の場合など、厳密に必要な場合にのみ機微な個人情報を収集・利用します:
- 医療機器の安全性および規制報告義務(安全性監視報告、有害事象管理、市販後調査、製品リコールを含む)の遵守、または
- 臨床試験および研究を支援する場合(HOYA Surgical Opticsが参加者データの管理者として機能する場合)。このような場合、データは通常、当社に代わって認可された臨床研究機関、医療専門家、または研究パートナーによって収集・管理され、倫理的および法的要件に沿って処理されます。
- その他、お客様が明示的な同意をいただいた特定の目的のため。
お客様はいつでも同意を保留または撤回することができます。ただし、サービス提供、規制上の義務の履行、研究参加の支援のために機微な個人情報が必要な場合、同意がないと手続きを進められない場合があります。
5. HIPAAに基づく保護対象健康情報
米国では、当社が処理する情報の一部は、医療保険の相互運用性と説明責任に関する法律(HIPAA)に基づく保護対象医療情報(PHI)に分類される場合があります。 HOYA Surgical Optics は HIPAA の適用対象機関ではありませんが、医療提供者のビジネスアソシエイトとして、あるいは規制報告、監視活動、臨床研究に関連して PHI を受け取る場合、当社は HIPAA の要件および適用される契約上の義務に従って当該情報を取り扱います。
6. AIおよび自動化技術の使用
当社は人工知能(AI)ツールを使用しています:
ビジネスツールにおけるAI
文書作成、要約、コミュニケーションなどの業務を支援するため、社内アプリケーション(例:Microsoft Copilot)のAI機能を利用しています。これらのツールは、文脈に応じてビジネス の連絡先データやコンテンツを処理する場合があります。
自動化された意思決定の禁止
当社は、法的または同等の重大な影響を及ぼす意思決定を、人間の監督なしにAIシステムで行いません。
7. 情報の共有
当社はお客様の個人情報を販売または貸与しません。以下の対象と共有する場合があります:
- グループ会社 – 内部管理、事業継続、およびグループレベルのサービス提供のため。
- 信頼できるサービスプロバイダー – ITホスティング・クラウドプロバイダー、分析プラットフォーム、顧客関係管理ツール、マーケティング支援パートナー、イベント主催者、調査ツールプロバイダー、決済・買掛金処理プロバイダー、契約管理プラットフォームなど。これらの当事者は当社の指示に基づき行動し、厳格な守秘義務およびデータ保護義務を負っています。
- 医療提供者、規制当局、透明性登録機関 – 製品安全、リコール、苦情、臨床研究、安全性監視報告、または医療専門家との関わりに関する必要な透明性開示の調整・管理が必要な場合
- 専門アドバイザーおよび専門家 – 弁護士、監査人、コンサルタント、保険会社、税務アドバイザー、その他当社の事業支援や法的請求の防御のために起用される外部専門家。
- 研究・共同パートナー – 臨床試験や研究活動において学術機関、病院、業界パートナーと共同で作業する場合。
- 企業取引 – 合併、買収、合弁事業、事業分離、再編、事業または資産の売却に関与する第三者。
- 規制当局、法執行機関、その他の公的機関 – 法令、法的手続きにより要求される場合、または個人や事業の安全、権利、財産を保護するために必要な場合。
- 第三者のプラットフォームおよび埋め込みコンテンツプロバイダー – 当社のウェブサイト上で、お客様がそれらのコンテンツを利用する場合のマッピング、ビデオ、ソーシャルメディアサービスなど。
- お客様のご要望によるその他の場合 – お客様が、医療提供者や協力者など、他の当事者との情報共有を当社に依頼した場合。
データを受け取るすべての当事者は、厳格な守秘義務およびデータ保護義務を課せられています。
8. 国際的なデータ転送
お客様の個人情報は、お客様の居住国外に転送される場合があります。その場合、当社は適用される法律の要件に準拠した保護措置を適用します。
内部移転
HOYAグループ内でのすべての内部移転は、HOYAデータ共有フレームワークによって管理されています。このフレームワークには、欧州委員会の標準契約条項(SCC)および同等の保護措置が組み込まれており、国を越えて個人情報が共有される際にその安全が確保されます。
外部移転
お客様の居住国外に所在する外部サービスプロバイダーやパートナーを利用する場合、当社は以下のような保護措置を適用します:
- 欧州委員会または英国当局が承認した標準契約条項(SCCs)
- 十分性認定(欧州委員会、英国、その他の規制当局により認められる場合)
- 補足的な契約上、組織上、または技術上の保護措置
8.1 国別規則
- 欧州連合/欧州経済領域および英国: 転送は、利用可能な場合、SCC、英国補遺、または十分性認定を用いて、GDPR または英国 GDPR に準拠して行われます。
- 中国: 個人情報の越境移転は個人情報保護法(PIPL)の対象となります。必要に応じて、同意を取得し、セキュリティ評価または届出を行い、中国サイバー空間管理局(CAC)が承認した標準契約その他のメカニズムを使用します。
- インド: 政府による制限がない限り、2023年デジタル個人情報保護法(DPDPA)に基づき越境移転が許可されます。当社は契約上および技術的な保護措置を適用し、適切な保護を確保します。
- シンガポール: シンガポール国外への移転は、移転された情報が同等の保護を受け続けることを要求する2012年個人情報保護法(PDPA)に従って実施されます。
- 韓国: 国際移転は個人情報保護法(PIPA)で規制されています。必要に応じて、同意を取得するか、韓国法で認められたその他の法的移転メカニズムを適用します。
- タイ: 国境を越えた移転は、2019年個人情報保護法(PDPA)によって規制されています。移転は、受入国が十分な保護措置を有している場合、同意が得られた場合、またはその他の法的根拠が適用される場合に許可されます。
- 米国: 米国サービスプロバイダーを利用する場合、契約上の保護措置を要求し、該当する場合はEU-米国データプライバシー枠組みおよび英国拡張枠組み(適用可能な場合)などの枠組みに依拠します。
- カナダ: 国際的な移転は個人情報保護及び電子文書法(PIPEDA)に沿って実施されます。移転情報の適切な保護を確保する契約条項などの保護措置が含まれます。
9. 情報の保持期間
当社は、本プライバシー通知に記載された目的を達成するために必要な期間、または法律で要求される期間のみ、お客様の個人情報を保持します。これは、情報の種類や適用される法的・規制的・契約上の要件によって保持期間が異なることを意味します。
例:
- 規制、製品安全、または安全性監視の目的で収集された情報は、医療機器規制で要求される期間保持される場合があります。
- 契約および財務記録は、税務、会計、商法上の義務を遵守するために保持される場合があります。
- 採用情報は、採用プロセスの期間中、および法律で要求される場合やお客様がさらなる保存に同意した場合、その後一定期間保存される場合があります。
- マーケティング情報は、お客様が同意を撤回するか、当社による情報の利用に異議を申し立てるまで保持されます。
個人情報が不要となった場合、当社は安全に削除するか、個人を特定できない状態に匿名化します。
10. お客様の権利
お客様のプライバシーに関する権利は、居住地によって異なります。例:
- EEA または英国にお住まいの場合は、GDPR に基づく権利(アクセス、修正、消去、異議、制限、ポータビリティ、同意の撤回など)を有します。
- 日本にお住まいの場合、個人情報保護法(APPI)が適用されます。
- その他の国にお住まいの場合、お客様の権利は現地の法律によって異なる場合があります。
当社は、お客様の所在地にかかわらず、現地法で認められている権利を尊重し適用します。
国別の権利の詳細な概要については、以下をご覧ください: www.hoya.com/Privacyrights
権利を行使するには、以下の連絡先までご連絡ください。
11. 情報のセキュリティ
当社は、お客様の個人情報を保護するため、適切な技術的および組織的措置を講じています。これには以下が含まれます:
- 必要に応じて、転送中および保存中のデータの暗号化
- アクセス制御による許可ユーザーへのデータ制限
- ファイアウォールや侵入防止システムを含む多層的なセキュリティアーキテクチャ
- 定期的なセキュリティ監査、リスク評価、脆弱性テスト
- 脅威の監視とインシデント対応手順
これらの対策は、グローバルな情報セキュリティ基準を反映しており、お客様のデータを紛失、誤用、不正アクセスから保護することを目的としています。
12. クッキーおよび分析ツール
当社は、サイトの機能性、セキュリティを確保し、お客様の体験を向上させるために、クッキーおよび類似の技術を使用しています。一部のクッキーは厳密に必要なものですが、分析やマーケティング用のクッキーなど、その他のクッキーについてはお客様の同意が必要となります。 当社が使用する分析ツールには、Google Analytics、Google Tag Manager、Microsoft Clarity、LinkedIn Insight Tagが含まれます。これらのツールは、訪問者の行動を理解し、当社のウェブサイトを改善し、マーケティングの効果を測定するのに役立ちます。お客様は、同意マネージャーまたはブラウザの設定を通じて、いつでも同意を管理または撤回することができます。
13. お問い合わせ
本プライバシー通知または個人情報の取り扱いに関するご質問は、下記までお問い合わせください:
HSO プライバシー事務局
メール: [email protected]
お問い合わせは、お客様の国における関連するHOYA Surgical Optics事業体へ転送されます。当該事業体は、現地活動(採用、顧客またはベンダーとの関係、製品サービスなど)における個人情報の管理責任者として機能します。
14. 本ポリシーの変更
当社のデータ取扱方法や法的義務の変更を反映するため、本ポリシーを更新する場合があります。更新時には、本ページ上部の「発効日」を改訂し、必要に応じて重要な更新箇所を明示します。
別紙A – 利用目的(日本)
個人情報保護法(APPI)に基づき、日本で個人情報を収集する際には、収集時に利用目的を特定する必要があります。HOYA Surgical Opticsの利用目的は下記の通りです。これらの目的は、情報収集時に別途通知または合意がない限り適用されます。
| データ主体のカテゴリー | 利用目的 |
|---|---|
| お客様および医療従事者 | 製品・サービスの注文、手配、出荷に関する情報の提供;製品の販売;機器の修理、保守、点検;アフターサービスおよび技術サポートの提供;問い合わせ、苦情、サービス要請の処理および文書化;HSOが主催または支援するセミナー、学術会議、展示会、研修、キャンペーン、イベントの企画および通知;製品の企画、研究、開発、マーケティング;製品デモンストレーションおよびトレーニングの提供; 苦情対応、安全性監視、リコールを含む品質・安全性報告;HSO施設のアクセス管理および来訪者管理;顧客との交渉、会議、コミュニケーションの実施;法令に基づき政府機関へ提出する文書および報告書の作成。 |
| ベンダー、請負業者、ビジネスパートナー | ビジネスパートナーとの交渉、会議、コミュニケーション、その他のやり取りの実施;請求書発行、支払い、その他の業務運営の管理;デューデリジェンスおよびコンプライアンスチェック;契約管理およびオンボーディング;HSOに委託された業務運営の実施;HSO施設のアクセス管理および訪問者管理;HSOが提供する研修の履歴管理;法令に基づき政府機関に提出する文書および報告書の作成。 |
| 医療専門家および研究協力者 | 臨床協力、研修、研究活動への関与;専門情報(専門分野、所属機関、資格)の収集・管理;研究契約、償還金、関連支払いの管理;製品使用状況の分析と安全性・性能向上のためのフィードバック;透明性報告;法令に基づく規制当局・政府機関への報告。 |
| 訪問者および来客 | 施設のセキュリティおよび安全管理(CCTV、訪問者登録、Wi-Fiアクセス、アクセスバッジシステムを含む)、アクセス制御および監査証跡、安全衛生規制の遵守。 |
| 患者(付随データ) | 安全性監視報告、有害事象通知、製品苦情に関連して受け取った情報の取り扱いと文書化。 法令およびその他の条例で要求される政府機関への文書および報告書の作成。 |
| 求職者(インターンを含む) | 候補者の選考;採用情報および面接結果の提供;採用プロセスに関連する業務の実施;採用業務の管理;法令に基づき政府機関への文書および報告書の作成。 |