• 本回覧は、UKクラブ及びメンバーに係わるEUの一般データ保護規則(GDPR)に関し、メンバーへの一般的ガイダンスを提供するものです。

メンバー各位

2018年2月発行の

でお知らせした通り、一般データ保護規則（GDPR）は、データ侵害が発生した場合に重大な罰金を科しています。 本回覧の目的は、侵害リスクをどのようにすれば軽減できるかについて、メンバー及びコレスポンデンツ、その他関係者に、当クラブの個人情報取扱い方法についてお伝えすることです。 個人データの適切な保護を確実にする上で、乗組員や船客の傷病を扱う人身クレームは、クラブにとって最大の課題です。

前回の回覧で述べた通り、当クラブはGDPRにおける「管理者」(controller)にあたります。　したがって規則に準拠していることを証明する責任があります。 そのため、データ最小化とプライバシー・バイ・デザインに関するGDPR主要原則に沿って、当クラブは以下を実施することで対処したいと考えております。

•  流通させる個人情報の制限を開始する
•  既存の技術を最大限に活用し個人情報を安全に送信する、また可能であれば
•  交換するデータを匿名化する

電子メールの受信者リストは拡大し続けています。これは、リストに含まれてはならない人が電子メールのチェーンに入り込んだ場合、見つけることは困難であることを意味します。さらに、業界関係者になりすます詐欺メールなど電子メールによる不正行為が増加しています。これら詐欺集団は通常、金銭的利益を得ようとしていますが、そのようなメッセージに応答すると、クラブによるデータ侵害につながる可能性もあります。

傷病クレームを取り扱う際に、世界中のメンバー、コレスポンデンツおよびサービスプロバイダーとの間で、緊急に機密性の高い個人情報を交換する必要があります。 GDPR原則を実施することは特に重要です。

本回覧をお読みの皆様に、個人情報の取扱いについての10のヒントという形で「ベストプラクティス」ガイダンスをお届けします。

1. リスペクト　－　すべての人の個人データを、自分が望むのと同様の敬意をもって取り扱う。
2. 電子メールや紙の個人データの生成を最小限にする　－　個人データの作成や流通が少ないほど、保護が容易です。クレーム処理に必要な情報のみを送信する。
3. サイバーセキュリティ － コンピューターシステムのセキュリティを確保し、パスポート、診断書、雇用契約書などの添付ファイルを転送するときは、パスワード保護や電子メールサーバなどのセキュリティ手段を利用する。
4. 匿名化 - メッセージに含まれる個人データを制限し、可能であれば、個人の名前や生年月日の代わりに、乗組員、ブローカー、サーベイヤーなどのような個人識別用語を使用します。その他の識別子として船名、事故の種類、または下船港を、参照番号とともに使うことができます。 これは、電子メールの件名や本文だけでなく、可能であれば、当該クレームの関係書類にも適用します。個人名を使用する以外に方法がない場合は、できるだけ他の識別子を少なくすることを推奨します。当クラブでは、この取り組みをクレーム概要の記載時に採用する予定です。この方法が実践されれば、保険金請求の当事者となっている個人を特定することはできなくなるでしょう。
5. 新たなメールを送付 - 個人を特定せざるを得ない場合は、一度だけにして、その後同じ個人データが電子メールのチェーン内で繰り返されないよう、返信メールは新規に作成する。
6. 全員に返信？ - 「全員に返信」ボタンを押す前に、宛先リストにある全員が送信しようとしている電子メールを本当に受信することが適切かを確認する。
7. 公式電子メールアドレスを使用 - 非公式、私的、またはその他の安全でない電子メールアカウントを使用しない。
8. クリアとロック - デスクから離れる時は、机をきれいにし、パソコン画面をロックする。ハードコピーのデータは安全に保管する。
9. GDPRを良く知る　－　自身のビジネスにどのように適用されるのか、遵守違反に対する罰則などを含め、GDPRについて習熟する。
10. 本ガイドラインを組織内の全員に伝える。

当クラブとしては、メンバー、ブローカー及びクラブ・コレスポンデンツやサーベイヤー、専門家など外部サービス提供者は、通常、当クラブと同様「データ管理者」であると認識しているので、上記セキュリティ対策を実施することにより、クラブおよびメンバーが直面する、個人情報の取扱いから生じるリスクが軽減します。　そして、これらの方法や皆様の組織に適した他の方法の実施を検討するようお願いします。

前回の回覧で申し上げたように、本規則はEU / EEA内に事業所を有する船主および/またはその船舶管理者に適用されています。彼らはEU/EEA内のEU/EEA個人に関する個人データを処理しています。　例えば、船主がギリシャ内で船舶管理会社を有し、その船舶にギリシャ人シニア・オフィサーを乗船させる場合、その個人データは規制対象の範囲内に間違いなくに入ることになります。

本規則が地域外に及ぶ可能性があるのは、次のように、EU/EEAとの間で個人データが転送される場合です。

乗組員の募集について

• 船主/船舶管理者がEU/EEA内に存在しているが、EU/EEA外の乗組員を雇用している場合
• 船主/船舶管理者がEU / EEA外に存在しているが、EU / EEA内の乗組員を雇用している場合
• 船主/船舶管理者がEU/EEA外に存在しており、EU/EEA外の乗組員を雇用しているが、EU/EEAを通過航行する場合、この場合はEU/EEAからEU/EEA外にデータ転送を行うことに繋がるかもしれません。
• 船主/船舶管理者は、（EU/EEA市民であるかを問わず）乗組員に関する個人情報をEU/EEA内の法人つまり、現地事務所、船舶代理店、または当クラブなどに転送する場合。

多くのメンバーは、フィリピン、インド、ウクライナなどEU/EEA外の乗組員の募集に地元のマニング・エージェントを利用しています。 しかし、乗組員がEU/EEA内の事業所を通して船主/船舶管理者と雇用関係を結んでいる場合には、乗組員自身がEU/EEA諸国の国籍でないにもかかわらず、彼らの個人データの処理もまた本規則の対象となります。

さらに、EU/EEA外に存在する船主/船舶管理者がEU/EEA諸国出身の乗組員を雇用している場合、EU/EEA内の個人データを処理するため、そのデータ処理も規制対象となります。

乗組員の傷病クレームに関して、当クラブは船主の使用者責任の保険会社ということになります。そのような場合、船主/船舶管理者は、乗組員に彼らの個人情報を、保険会社およびその他の第三者と共有することを、通知する必要があります。

大部分のメンバーは、乗組員雇用契約や労働協約（CBA）にデータ保護条項/通知が含まれていないか、あるいは何らかの更新が必要になると考えています。したがって、メンバーにおかれては、乗組員に対し必要な通知を確実にしていただくようお願いします。

さらに（情報通知または適正な処理の通知とも呼ばれる）広範なプライバシー通知の作成に加え、メンバーは、通知の中に、傷害および疾病クレームを扱うための条項を含めることを検討するようお勧めします。

• どんな情報を処理するのか？ 乗組員の身元、健康、疾病や傷害に関する個人情報および機密データ。財務情報。
• なぜ処理するのか？ 治療や保険金請求をアシストするため。
• どんな法的根拠に基づいて処理するのか？ 個人の重要な利益を守るために、雇用契約を締結する。また、クレームへの対応や弁護のため、例えば保険提供など、法的・法定義務を遵守するため。
• 誰に転送するのか？ クレームの管理、また/あるいは、治療、旅行及び乗組員送還などに携わるEU/EEA内外の保険会社、保険ブローカー、医療施設及び法人。
• どのくらいの期間保管するのか？ 雇用期間、保管期限およびその他の関連事項について考慮する必要があります。

上記は、GDPR遵守を保証するためのすべてをカバーするリストではありませんが、上記の確認をすることにより、メンバーが当クラブにクレーム情報を提供できるようになるはずです。 さらに、地域的や特定の法的助言を取得していただく必要があります。

当クラブがメンバーに推奨するその他の措置については、前回のクラブ回覧の「メンバーへのさらなる影響」をご参照ください。

国際グループのすべてのクラブは同様のクラブ回覧を発行しています。

以上

ＵＫ Ｐ＆Ｉクラブ 日本支店

For more information Please contact Paul Knight

Email:

Tel. +44 20 7204 2229