プライバシーポリシー
プライバシーに対する弊社のアプローチ
臨床研究および医学研究は、人々の最も重要な秘密情報の収集と解析に基づいています。信頼の文化がある場所、および関係者が安全なデータ取り扱いを実践する場所でのみ、個人は秘密情報を提供します。この環境の中で業務を行う Synexus Clinical Research Limited(提携会社および子会社を合わせて「Synexus」、「弊社」 と呼びます) は、いずれかの個人についての情報を取り扱う際には、個人のプライバシーを尊重し、データプライバシーと秘密保持の法律を遵守し、責任を持って行う必要があります。このグローバル・プライバシーポリシー(「ポリシー」)は、弊社のグローバル組織内部で処理する主要な個人情報のタイプ、情報の使用と開示方法、取り扱う情報の所有者に対する弊社の責任について説明しています。本ポリシーは一般的な用語で、データプライバシーの法律と規制を遵守する方法について説明しています。これには以下が含まれますがこれらに限定されません。欧州連合(「EU」)一般データ保護規制 2016/679(「規制」)、1996年米国の医療保険の相互運用性と説明責任に関する法律(「HIPAA」)、米国における州のセキュリティー違反法律、世界各地の司法管轄区で採択件数が増え続けているデータ保護法、医薬品の臨床試験の実施基準(GCP)が規定するプライバシーと秘密保護要件。
カリフォルニア州の住民である場合、本ポリシーには、カリフォルニア州法の下で提供が義務付けられている追加情報を含む、 弊社のカリフォルニア州住民用のプライバシー通知, も含まれます。
Synexus はこれらの法律とこのポリシーへの遵守を支援するために設計した内部ポリシー、手順、訓練プログラムを設定しました。弊社のポリシー、手順、訓練プログラムは定期的に見直され、上級管理者の監督下で、プライバシー専門家チームによって監督されます。
Synexusはどのような個人情報を取り扱っていますか?またその目的は何ですか?
臨床および医療情報
グローバルな施設管理組織として、Synexusは治験を実施する顧客に施設を提供し、治験被験者に関連した多量の健康データと生物医学的サンプルを収集、管理、解析します。規制当局が規定した条件で、臨床的及び医療データを何故・どのようにして処理するかを決定する際に、施設管理組織であるSynexusは自身を、治験依頼者/顧客の共同管理者であると考えます。
GCP を遵守して、プライバシーを強化するために、被験者の氏名およびその他の直接的な識別子は、研究目的で Synexus の顧客が使用する記録またはサンプルには添付されません。
治験被験者募集に関する情報
弊社はまた、治験参加に関心を示した個人から、連絡先情報、健康と医学的状態に関する詳細、医学的研究における関心分野の情報を収集して維持します。これにより弊社はそれらの被験者を、将来行われる可能性のある適切な治験向けとして同定することができます。弊社はこの情報を、被験者を募集し、患者募集を支援する目的における一般的統計解析を行うために使用します。
健康スクリーニング情報
Synexusは一定の病理/疾患の健康スクリーニング活動の形式で、地域のコミュニティーに健康サービスを提供することがあります。この活動中に弊社は、参加者の氏名、連絡先情報、医療情報を収集します。検査が実施されると、本人の同意を得て、参加者の情報を弊社のデータベースに追加します。これにより参加者は、特定の病状に基づいて、将来の検査または治験の機会に関する弊社からの連絡を受けることができます。同意を与えないことを参加者が選択する場合、Synexusは検査結果のみをその参加者の医師と共有します。
業界専門家情報
業務実施において、Synexusは従業員、コンサルタント、契約社員、臨床および医学研究に関与する弊社の顧客が雇用または契約しているその他の第三者と協業します。Synexusは、プロジェクトおよび財務管理を含む合法的な業務関連目的で、これらの個人の氏名、連絡先情報、その他の専門的情報を記録して使用します。弊社は、Synexusのサービスに関する妥当な情報を顧客に提供するために、電子メールアドレスを含む、弊社が取得した情報を使用する場合があります。
従業員と人事データ
Synexusは、雇用の決定を通知するために、弊社での雇用を求める応募者の、個人連絡先情報、専門的資格、雇用歴を含む個人情報を収集します。Synexusは法律で許容される場合、犯罪歴、専門的資格剥奪に関するものを含めて、応募者の多様な背景チェックを実施し、雇用後は人事、業績、給料支払い、税務の目的で、職員についての情報を収集します。Synexusは、標準業務運営に従って、多様な会社システムに従業員レベルの情報を収集して記録し、コンサルタント、契約社員、製品またはサービスを提供する第三者に関連した類似の情報も処理します。
ウェブ閲覧者
Synexusは、弊社ウェブサイト閲覧者からの要求に対応するために、それらの人々から自発的に提供される名前付きの情報を収集します。その例としては、弊社のサービスに関する情報を要求する顧客、治験参加に関心のある医療従事者、弊社の欠員への応募希望者などが挙げられます。Synexusはクッキーベースの技術の使用を通して、弊社のウェブサイトにアクセスする際に閲覧者に割り当てられるバーチャルIDにリンクした、多様なデータを収集する場合があります。このデータはサイト解析とファーストパーティマーケティングを含む多様な目的に使われます(下記のオンライン問題を参照)。特定の場合、これらのバーチャルIDは、上述のように閲覧者が自身の名前付き情報を提供した際に、実際の身元にリンクされます。これにより Synexusはそれらの個人に対するマーケティングメッセージを、その個人が関心を持つ可能性のある情報を含めて個別化することができます。
コンタクトセンター
Synexusは治験参加に関心を示した個人に連絡することを目的として、ベンダー・コンタクトセンターを設定します。連絡を受けた人の個人データは要求処理と、Synexusの施設で行われるスクリーニング来院の予約に適格であるかどうかを決定するために使用されます。弊社のコンタクトセンターは、連絡先情報を事前にSynexusに提供していない個人には連絡しません。電話での通話は、品質保証の目的で録音される場合があります。録音される場合、通話者(インバウンドとアウトバンド)には録音される旨が通知されます。
個人情報の内部および外部開示
個人情報は、表明された合法的な業務目的を果たすための「知る必要」に応じて、Synexus とその提携会社および弊社の代理店とサービスプロバイダーを含む第三者間で共有されます。個人情報が含まれるデータベースとホルダーへのアクセスは、適切な職員に限定されます。Synexus は個人情報を取引または販売しません。
一部の状況下で、 Synexusは法執行機関または司法当局によって、調査または訴訟の一環として一定の個人情報の開示を要求される場合があります。Synexusは自社の合併、売却、リストラ、再編成、解散、またはその資産の一部または全部の販売または移転が起こる場合、購入者または後継者に個人情報を開示することがあります。
Synexusのベンダーである企業は「処理者」同意書や秘密保持同意書に署名することが義務付けられ、これにより、これらの企業は契約目的に沿った個人情報のみを処理し、適切な組織セキュリティーおよび技術的セキュリティーの保護策を適用する責任を負います。
個人情報の国際的転送
Synexusはグローバルな企業であり、臨床研究の分野でますます国際化が進む業界に貢献しています。個人情報は、グローバルプロジェクトの需要の増加に応じて、国境を越えて共有されるようになってきました。Synexusは米国を含む世界中の異なる地域におけるデータベースで個人情報を管理しています。一定の状況では、Synexusと顧客の個人情報は、インターネットクラウド上にあるベンダープラットフォーム内部で管理されます。Synexusは、世界中の多くの国で国境を越える個人情報の流れを制限する規制があることを認識し、法規制のある場合には、データに対する十分な保護を確実に提供する対策を講じています。例えば、Synexusは欧州経済地域からの一定の個人情報を転送する際に、標準データ保護条項 (「SDPC」)に適合してきました。SDPCの下で個人情報が取り扱われる EUの住民は、下記に一覧表示されている連絡先にSynexusとの同意書のコピーを要求できます。重要な暗号化データなどで、プライバシーのリスクが非常に低く、データプライバシー保護の法制度が比較的緩めの土地にその情報を転送する場合、Synexusは個人の告知に基づく同意を使用することがあります。
通知と同意
データ収集時点で、Synexusは個人に明瞭ではっきりした言語で、その情報の使用・開示・転送方法、データ取り扱いに関して個人が有する選択肢、データプライバシー法または本ポリシーの下で個人が有する情報に関する権利、質問またはクレームの連絡先について通知します。これらのプライバシー通知は、データ収集の特定の条件に適合するよう作成されます。そのような通知の提供において、Synexusは多くのデータプライバシー法で必要とされている、個人に対して透明で公正である義務を満たします。通知は媒体によって異なり、直接個人に、電子メールで、掲示で、電話で、または弊社のウェブサイトへの掲載で提供される場合があります。
データブライバシー法で義務付けられている場合、またそれがベストプラクティスである場合を含む多くの状況で、Synexusは該当するプライバシー通知と一貫性のある形で、個人のデータの収集、使用、開示に対して個人の同意を求めます。しかし、特に同意を得ることが不相応な努力を要するなど、法律で許容される一定の状況下で、意図したデータの処理が Synexusまたは顧客の正当な利益であり、プライバシーのリスクが低い場合、Synexusは同意なしで個人情報の処理を進めます。またSynexusは法律と司法命令で必要とされる場合、同意なしで、個人情報を使用・開示します。GCP、秘密保持法、データプライバシー規制に従って、Synexusは顧客を代表して被験者から必要な告知に基づく同意を収集します。
データ品質と記録保持
データ品質と正確性はSynexusにとって、基本的に重要な原則です。臨床研究の完全性にとって重要なことは、特に生物医学的サンプルに添付される場合、被験者に関連したデータの正確性です。規制要件に従ってSynexusは専門的な品質保証部門を保持しています。一般的に、弊社のプライバシー通知は個人に対して、情報の確認、エラーの修正、更新の容易な手段を提供します。Synexusは契約、法的、規制要件に従って個人情報を保持します。
情報権利
データプライバシー法が制定されている司法管轄区の場合、また 契約責任で必要な場合、Synexusは個人が弊社による個人情報処理に関連する全ての情報権利を行使できることを保証します。これには以下が含まれますがこれらに限定されません。アクセス・修正する、同意をいつでも撤回する、データ処理に異議を申し立てる、データ削除を求める、データ処理の観点を制限する、直接的なマーケティングを防ぐ、一般的なデジタル形式(例:pdf)で自身に、または別の組織にデータの転送を要請する権利。
その他すべての観点については、正当で優先される利益に関連する理由がない限り、Synexusは以下の情報権利を本ポリシーの下でベストプラクティス事項として許可することに努めます。
- 合理的な時間枠内で個人情報のコピーへのアクセスを許可する
- 不正確な個人情報を修正する
- 個人情報処理に対して以前提供した同意を撤回する
Synexusの顧客が実施する臨床試験に登録した被験者は、Synexusの施設で、被験者識別に必要なリンク付けができる、治験責任医師に連絡することが必要です。
情報セキュリティー
弊社は、未認可のアクセスまたは損失に対して、個人情報、特に重要臨床データを保護するための技術的および組織的セキュリティー対策を求める、包括的な情報セキュリティーポリシーを維持します。規制要件を遵守し、特に米国の州法と規制の下で、Synexusは詳細なセキュリティー違反ポリシーも維持します。これにより、個人または政府当局への必要な全通知を含む、あらゆる個人情報違反の取り扱いに対応する手順が確立されます。
オンライン問題
Synexus Webページは、社外のウェブサイトへのリンクを含んでいる可能性があります。リンクされたウェブサイトは、Synexusが管理するものではなく、また推奨するものでもありません。本ポリシーはSynexus組織外のリンクされたウェブサイトには適用されません。閲覧者は、各個別にリンクされたウェブサイトのプライバシーポリシーを読むことが推奨されます。
弊社のウェブページもクッキーを使用しています。クッキーは、サイト閲覧者のハードドライブ上に、ウェブサイトオペレーターによって配置されるデーターファイルです。弊社と弊社が協力する第三者は、以下の機能のあるクッキーをSynexusウェブサイトへの閲覧者のコンピューターに配置する可能性があります。サイトが閲覧者によって要請されたサービスを配信可能にする機能、サイトのユーザーエクスペリエンスを改善する機能、弊社によるサイト分析実施を可能にする機能、閲覧者の以前のブラウジング活動に基づいて弊社のウェブサイトとインターネットのどこかにマーケティングメッセージを提供し個別化するのに役立てる機能。
オンラインでの皆様とSynexusとの関係は、大半のインターネットブラウザで利用可能な設定を使って管理可能です。現時点では、「追跡禁止」シグナルに弊社は反応しませんが、大半のブラウザは閲覧者に、どのクッキーを自分のコンピューターに配置するか、またクッキーを削除または無効にするか選択することを許可します。クッキーを無効にすると、閲覧者によるSynexusウェブサイトの一定機能の使用を妨げる可能性があるため、注意が必要です。詳細情報については、弊社のクッキーポリシー(リンク先y.
子供のオンラインプライバシー保護
Synexusは13歳未満であることが知られている個人から弊社のウェブサイトを通して情報を収集しません。また、弊社のオンライン業務は13歳未満の人は一切対象にしていません。
権利の行使に対する問い合わせ、クレーム、リクエスト
情報権利の行使(例:データへのアクセス)に関する連絡、問い合わせ、リクエスト、またはクレームの提出先: Data Protection Officer, Privacy Department, Granta Park Cambridge, CB21 6GQ, United Kingdom
規制の下で、データ保護目的でのSynexusの欧州における主要な提携会社であるSynexus Polska Sp. z o.o. (「コントローラー」)は、弊社のEUにおける企業グループに影響を及ぼすデータ保護の主要な責任者です。本規制遵守に関しては、上述のデータ保護担当者にお問い合わせいただくことができます。
EU内では、個人は規制遵守規制を担当する監督官庁に、情報取り扱い方法について苦情を申し立てる権利があります。EUの全監督官庁のリストは、欧州委員会のウェブサイトで閲覧可能です。http://ec.europa.eu/justice/data-protection/article-29/structure/data-protection-authorities/index_en.htm.
ポリシーとポリシー変更の法的立場
本ポリシーは契約ではありませんので、何らかの法的な権利や責任は生じません。Synexusは本ポリシーを変更または改正する権利を保持します。例えば、本ポリシーは、新しい法律の導入や改正に伴って変更が必要となる可能性があります。更新されたポリシーは以下に掲載されます。https://www.synexus.com
最終更新日:2020年1月1日