最終更新日: 2026 年 4 月 7 日
本プライバシーステートメントでは、Refinitiv Limited (以下、「Refinitiv」または「当社」) がデータ管理者として、Enhanced Due Diligence サービス(以下、「EDD サービス」)に関連して対象者に関する情報をどのように取得、取り扱い、開示、保管および保護するかを説明しています。
EDD サービスに関連して対象者の個人情報をどのように取り扱うかを理解していただくために、本プライバシーステートメントをよくお読みいただくことをお勧めします。必要な情報を見つけやすくするため、見出しやハイパーリンクを用いて構成しています。
本プライバシーステートメントでは、当社の概要、適用される法律によって認められ得る対象者の権利、および当社の個人情報の取り扱いに関するご質問の連絡方法も説明しています。EDD サービスの仕組みの詳細はこちら (英語)をご参照ください。
なお、本和訳は、英語版の原文のご参考のために便宜上作成されたものです。本和訳について疑義や不明瞭な点がある場合は、英語版の原文をご参照ください。英語版はこちらからご確認いただけます。
当社について
Refinitiv Limited は英国で法人登録されている企業であり、ロンドン証券取引所グループ (以下、「LSEGグループ」) の一員です。EDD サービスにおける個人情報の処理について、データ管理者として責任を負います。
本プライバシーステートメントの適用範囲
本プライバシーステートメントは EDD サービスのみに適用されます。World‑Check (政治的に影響力のある人物 (PEP) 等、金融犯罪・規制リスクに関連する個人・組織情報を含むスクリーニング / デューデリジェンス・ソリューション) は EDD サービスの提供に利用されます。World‑Check 独自のプライバシーステートメントは、こちらをご参照ください。
その他の製品、サービス、ウェブサイト、プラットフォーム、ソフトウェア、アプリケーションおよびイベントに関連して LSEG グループが取得する情報に適用される、当社の一般的な LSEG プライバシーステートメントはこちらをご参照ください。
EDDサービスとは
EDD サービスは、詳細なインテグリティ確認および高度なバックグラウンド・チェックのサービスであり、当社は、金融機関、企業、専門サービス会社、政府機関その他の EDD 顧客 (以下「EDD ユーザー」) が、顧客、サプライヤー、ジョイントベンチャー・パートナー、投資案件、ならびに投資移民プログラム (市民権付与による投資プログラム (CBI) および居住権付与による投資プログラム (RBI) を含み、総称して「投資移民プログラム」といいます) への申請者等と行うビジネスその他の関係に関してデューデリジェンス・チェック (以下「チェック」) を実施できるよう、当社がレポートおよび情報 (以下「レポート」) を提供するものです。
EDD ユーザーは、第三者に関連する法的、規制、財務、信用その他の関連リスク (例: 制裁対象であるか、マネーロンダリングに関係しているか、違法行為に関係しているか、一般に受け入れられる善良な商慣行と整合しない慣行に関与しているか) を特定するためにレポートを使用します。これにより、EDD ユーザーは、適用される規制要件を遵守しつつ、取引を行う個人・法人について情報に基づく意思決定を行うことができます。また特定の個人・法人との取引から生じ得る信用・商業上の問題を識別し、不適切な関係や不正行為への関与を回避する一助となります。EDD ユーザーにより注文されるレポートの大半 (約 90%) は、個人ではなく法人に関するものです。
EDD ユーザーは、チェックの実施に際してレポートに含まれる情報の利用方法を独自に決定しますが、当社の契約条件は、EDD ユーザーがレポートの情報を自社の内部コンプライアンス・プロセス (例: デューデリジェンスやその他のスクリーニング活動) に限って利用することを義務付けています。これらの決定に関する質問は、該当する EDD ユーザーに照会してください。
当社が処理する個人情報
- 対象者の個人情報のうち、パブリック・ドメイン・データに該当する情報の量
- レポート対象が個人か、または対象者が関係する法人か
- EDD ユーザーが依頼するレポートの種類 (LSEG は EDD サービスの一般として様々な種類のレポートを提供しており、それぞれ実施するデューデリジェンスのレベル・情報量が異なる)
「パブリック・ドメイン・データ」とは、(1) 一般にインターネット上で公開されている、または公開されていた個人情報、(2)(i) データ主体(またはその個人情報が関連する消費者や個人)、(ii) 広く流通しているメディア、もしくは(iii) データ主体が個人情報を開示した相手(ただし、Refinitiv がその情報が特定のオーディエンスに限定されていることを認識していない場合に限る)により適法に一般公開されていると Refinitiv が合理的に信じる根拠があるもの、または (3) 政府機関、その他の組織・機関(大学や雇用主等)の記録、データベース、システムから電子、紙もしくはその他の媒体により適法に公開されている、または公開されていた情報をいいます。
パブリック・ドメイン・データの情報源の例としては、以下に含まれる個人情報があります。
(i) 制裁リストや監視リスト、 (ii) 法執行機関、裁判所、規制当局、その他の政府ウェブサイト、(iii) 議会、地方自治体、個々の政治家のウェブサイトなど、政治関連のウェブサイトや出版物、 (iv) 信頼性の高いニュースメディアおよび出版物、 (v) 本人が自ら公開した情報源 (ウェブサイト、ブログ、ソーシャルメディアアプリケーションなど)
「参照データ」とは、大学や雇用主等の組織・機関から電子・紙その他の媒体で提供される個人情報のうち、当該個人の明示的な許可または同意に基づき提供されるものをいいます。参照データは、旅券、学位、雇用履歴の確認に利用される場合があります。
以下に記載するすべての個人情報のカテゴリについて、必ずしもすべての個人に対して処理するわけではありません。EDD サービスに関連して処理される個人情報のカテゴリは、各事案の状況によって異なります。
EDD サービスの一環として、当社はすべての個人 (投資移民プログラムへの申請を行う子どもおよび被扶養者を含みます) について、World-Check を用いたスクリーニングを実施します。World-Check には、メディア検索の結果も含まれています。このメディアデータセットは、金融犯罪、インテグリティ、または信用に関連する疑い、調査、規制措置その他の事項に言及する、公開されているニュース記事、レポートその他のメディア情報で構成されています。メディアから取得された情報は、レポートに記載され、下表に示す複数の個人情報のカテゴリに反映される場合があります。
情報は、当社が直接インタビューを実施する場合(詳細は後述します)、または投資移民プログラムもしくはその他のデューデリジェンス・チェックの一環として、対象者 (データ主体) が EDD ユーザーに情報または書類を提供した場合に、対象者から直接収集されます。これには、EDD ユーザーが取得したアンケート、CBI / RBI 申請書、または公式記録 (例: 警察の無犯罪証明書) の写しなどが含まれ、これらは EDDユーザーにより当社に共有されます。それ以外の場合、情報は下表に記載されたその他の情報源から取得されます。
カテゴリ |
詳細 |
情報源 |
|---|---|---|
| 本人識別情報 |
|
|
| 連絡先情報 |
|
|
| 被扶養者に関する情報 |
|
|
| 雇用情報 |
|
|
| 職業上の信用・誠実性 |
|
|
| PEP 特有情報 |
|
|
財務情報 |
|
|
| 訴訟・規制情報 |
|
|
| 制裁情報 |
|
|
| 犯罪歴情報 |
|
|
| ソーシャルメディア情報 |
|
|
| 通信記録 |
|
|
このようなインタビューの目的は、EDD ユーザーが投資移民プログラム (市民権取得や居住権取得プログラムを含む) への対象者の適格性を評価したり、対象者または対象者が関係する主体とのビジネスやその他の関係を開始する前に、商業的・信用上・規制上のリスクを評価することです。情報が対象者自身からではなく第三者から取得される場合、当社は最低 4 つの情報源を必要とし、取得した情報の検証のために定められた手順に従います。なお、当社が提供するレポートの大半は、インタビューを実施していません。
特別カテゴリの個人情報
当社が収集する個人情報に、特定の法域およびそれぞれの適用されるデータ保護法令に応じて、いわゆる「センシティブ」または「特別カテゴリ」の個人情報が含まれることがあります。これには、対象者の政治的意見に関する情報(例えば、対象者が政党で役職を持つPEPである場合)や、対象者の人種または民族的出自に関する情報 (例えば、レポート作成の過程で取得された氏名、所在地、市民権等その他の情報から合理的に推認される場合) が含まれます。
また、特定の状況下では、対象者が実際に、または疑われている犯罪 (例えば、マネーロンダリングやテロ資金供与犯罪、またはそれらの前提犯罪) に関する情報を処理する場合もあります。
この種の個人情報を当社がどのような根拠で処理するかについては、本ステートメントの「対象者に関する個人情報の利用方法」セクションで説明しています。
子どもの個人情報
EDD サービスは子どもを対象としたものではありません。ただし、例外的な状況において、子どもの個人情報のうち限定的な種類を取り扱う場合があります。例えば、以下のような場合が該当します。
- 子どもが投資移民申請の被扶養者として含まれている場合
このような場合、当社は上記「被扶養者に関する情報」セクションに記載された情報 (氏名、年齢、生年月日、性別、レポート対象者との関係、国籍、旅券または識別番号、出生地等) を処理し、子どもの身元確認および該当する市民権または移民プログラムのデューデリジェンス要件を満たします。また、学歴や職歴の確認を行ったり、World-Check (上記で説明したメディアデータセットを含む) によるスクリーニングを実施する場合 - 子どもが EDD レポートに記載された政治的に影響力のある人物 (PEP) の子または被扶養者として特定されている場合
- 子どもが公式の制裁リスト、法執行機関リスト、または規制リストに直接記載されている場合
これらの限定的な状況において、当社は、子どもがそのような公式リストに含まれているかどうかを確認する、または子どもがレポート対象者の子や被扶養者であることを確認する、さらに必要に応じてデューデリジェンスの一環として身元、教育、雇用、メディア情報を評価することを目的とする場合にのみ、子どもの個人情報を処理します。
このような例外的な場合に子どもの個人情報を取り扱う必要がある場合、当社は、通常、2018 年英国データ保護法スケジュール第 1 第 12 項に規定される不法行為、不正、詐欺の防止など、重大な公益上の理由がある場合、またはその他の適用されるデータ保護法令で求められる場合に限り、これを行います。
対象者に関する情報の利用方法
当社は、下表に記載された目的のために対象者の個人情報を利用しており、その際には、関連する目的や活動を追求するうえでの当社または当社顧客の正当な利益 (対象者のプライバシー上の利益によってこれが優越されない場合)、または当社が当局、規制当局、政府機関への開示など法的または規制上の責任を果たすために必要な場合など、情報利用のための適法な根拠を特定しなければなりません。センシティブな個人情報を利用する場合には、追加の条件を特定する必要があります。当社が対象者の情報をどのように利用し、その法的根拠が何であるかについての詳細は、下表に記載されています。
このセクションの目的上、「通常カテゴリの情報」と「センシティブカテゴリの情報」は、上記「当社が処理する個人情報」表で詳細に定義されています。適用されるデータ保護法令による違いはあるものの、参考までに以下に要約を示します。
- 通常カテゴリの情報には、識別情報 (例: 氏名、生年月日、国籍)、連絡先情報、被扶養者に関する情報、雇用情報、財務情報、職業情報、制裁情報、(明白に公開されている場合の) ソーシャルメディア情報、通信記録が含まれます。
- センシティブカテゴリの情報には、政治的意見 (例: PEP特有情報)、人種または民族的出自 (合理的に推認される場合)、犯罪歴情報 (実際に行われた、または行われたと疑われる犯罪、前提犯罪) が含まれます。
当社の正当な利益 (GDPR 第 6 条第 1 項 (f))
- EDD ユーザーが第三者に対してデューデリジェンスチェックを実施し、ビジネス上の意思決定を行えるようにすること
- EDD ユーザーが規制上の義務や一般に認められた善良な商慣行を遵守できるよう支援すること
- EDD ユーザーのコンプライアンス、規制、商業上のリスクを低減すること
- EDD サービスの完全性、セキュリティ、正確性、可用性を維持し、効率的かつ効果的なデューデリジェンス業務を支援すること
- 金融機関、企業、専門会社、政府機関、その他の EDD ユーザーが信頼する効果的かつ信頼性の高いデューデリジェンスサービスを運営・維持・提供できるようにすること
- 金融犯罪、詐欺、汚職、制裁違反、人身取引、現代の奴隷制、その他の重大な不正行為の防止・検出を確実にし、EDD ユーザー、一般社会、金融システムに利益をもたらすこと
これらの利益は、金融犯罪の防止という重大な公益性、実施されるチェックの性質、そして多くの情報がパブリック・ドメイン・データから取得されており、規制されたデューデリジェンス手続きを通じて提供されているという事実を踏まえると、対象者の権利や自由に優先されるものではありません。
センシティブ情報および犯罪に関するデータの処理の法的根拠
センシティブなカテゴリの情報について、当社の主な処理根拠は GDPR 第 9 条第 2 項(g) (「重要な公共の利益のために必要となる場合」) であり、これは 2018 年英国データ保護法スケジュール第 1 にも反映されています。これには、不法行為、不正、詐欺、その他の重大な不正行為の防止または検出に関連する重大な公益上の条件が含まれます。
情報が対象者によって意図的に公にされたという明確な証拠がある場合には、GDPR 第 9 条第 2 項(e)(「明白に公にされた」) を根拠とすることもあります。
犯罪に関するデータは、明白に公にされた場合、または 2018 年英国データ保護法スケジュール第1に基づき重大な公益上の理由で必要な場合、あるいは EU/EEA 域内では、適切な保護措置を提供する連合または加盟国の法律により認められている場合 (GDPR 第 10 条) に処理されます。
当社の取扱活動および法的根拠の詳細については、下表に記載しています。詳細を表示するには『詳細を表示』を選択してください。
目的 / 活動 |
利用する情報 |
法的根拠 / 条件 |
|---|---|---|
| EDD サービスの提供 |
|
|
|
|
|
| 要請・問い合わせ対応 |
|
|
|
|
|
| 当社の権利行使および法令遵守 (例: 第三者からの請求に対して当社を防御するため、または適用される法律や規制を遵守するため) |
|
|
|
|
|
| 専門アドバイザーからのサービス受領 |
|
|
|
|
|
| 規制当局の要請対応 |
|
|
|
|
|
| EDD サービスの適切な管理と完全性 (例: データ品質保証、システムの保守およびセキュリティ、調査および方法論の開発、アナリストの研修と監督、EDD ユーザーサポート) |
|
|
|
|
個人情報の開示先
当社は、対象者の個人情報を第三者に提供する場合があります。これには、EDD ユーザー、LSEG グループ内の企業 (EDD ユーザー向けの EDD レポートを作成する際に、EDD リサーチャーやアナリストなどのスタッフが関与する場合) が含まれます。適用法令で認められる場合には、当社が法令を遵守するために、公的機関と情報を共有することもあります。
また、当社は、EDDに関連して助言やサービスを提供する少数の第三者サービスプロバイダー(専門アドバイザーを含む)を利用しています。当社が第三者サービスプロバイダーと対象者の個人データを共有する場合、当社は、開示した個人情報の利用方法を厳格に規定する契約を締結しています。
当社が個人情報を共有する相手に関する詳細は、下表に記載されています。
受領者 |
目的 |
共有される情報 |
所在地 |
|---|---|---|---|
| LSEG 法人 |
|
|
|
| サードパーティ・データセンター |
|
|
|
| 外部コンサルタントおよび IT サービスプロバイダー |
|
|
|
| 外部ビジネスインテリジェンス (BI) リサーチャー |
|
|
|
| 外部監査人 |
|
|
|
| 外部法律事務所 |
|
|
|
| EDDユーザー |
|
|
|
| 規制当局・公的機関・裁判所等 |
|
|
|
| 将来の買主・売主、アドバイザーまたは提携先 |
|
|
|
国外への情報移転の理由
EDD サービスはグローバルサービスであり、LSEG はグローバルな組織です。その結果、対象者の個人情報は、さまざまな法域で転送、保存、処理される場合があります。個人情報が処理される具体的な国は、業務の性質や関連する受領者の所在地によって異なります。これらは「個人情報の開示先」セクションで説明されており、受領者の種類ごとに処理される場所の例を示しています。
英国または欧州経済領域 (EEA) 外、または追加の法的要件がある法域に個人情報を第三者へ移転する場合、当社は適用される法令に従い、必要に応じて保護措置を講じて個人情報を保護します。これには以下が含まれます。
- 英国 GDPR または EU GDPR 第 45 条に基づく十分性認定に基づく移転
- EU GDPR 第 46 条に基づき承認された標準契約条項 (SCC) に基づく移転
- 英国国際データ移転契約 (IDTA) または EU SCC の英国付属書に基づく移転
- SCC および英国 IDTA 条項を組み込んだ当社のグループ内移転契約に基づくグループ内移転
- 現地法により要求される場合、追加の保護措置 (契約上の強化、技術的対策、組織的管理) を実施し、個人情報の保護を確保する
これらの保護措置に関する詳細は、https://myaccount.lseg.com/en/policies/gdpr-productinfo (英語) をご参照ください。
当社における個人情報の保護体制
当社は、情報セキュリティを重視しており、物理的、電子的、管理的なさまざまな手段を用いて対象者の個人情報を保護します。技術的および組織的対策は国際的に広く受け入れられている基準に沿っており、定期的に見直し、必要に応じて更新しています。実施するセキュリティ対策は、保護対象となる個人情報の機密性に応じて異なりますが、データ暗号化、アクセス制御、定期的なサイバーセキュリティ評価、データ保護に関する従業員研修などが含まれます。また、EDD ユーザーや第三者サービスプロバイダーに対し、EDD レポートの情報をチェックや当社へのサービス提供に関連する目的でのみ使用するよう制限を課しています。
これらのポリシーと対策には以下が含まれます。
- 堅牢な調査手法と品質保証: EDD アナリストは厳格な調査ガイドラインと文書化されたプロセスに従い、レポートに含まれる情報が関連性を持ち、承認された公開情報および非公開情報から正確に取得されていることを保証します。履歴情報は新しいレポート作成時に再検証されます。
- 情報源の検証: アナリストは、公開情報やインタビュー、第三者ベンダーから取得した情報を含むすべての情報源の品質と信頼性を検証する義務があります。非公開情報の検証には、最低限の情報源要件や検証手順が定められています。
- 研修と監督: EDD リサーチャーやアナリストに対し、調査手法、データ品質、セキュリティ要件の遵守を確保するための定期的な研修を実施しています。
- アクセス制御: EDD システムへのアクセスは認可された調査スタッフに厳しく限定されます。EDDユーザーは生データや内部データベースにアクセスできず、完成したレポートのみ閲覧することができます。
- インシデント対応と侵害検知: セキュリティインシデントを迅速に特定・対応するための侵害検知ツールとインシデント対応計画を導入しています。
- 物理的・技術的保護措置: 安全な施設、スタッフ用セキュリティパス、技術的管理を用いて、EDD データが処理・保存される場所とシステムを保護します。
- コンプライアンス監視: 当社はポリシー、手続き、管理策への遵守状況を定期的に監視しています。
個人情報の保存期間
当社は、処理目的に必要な期間、法的・規制上の義務およびリスク管理ガイドラインに沿って個人情報を保存します。
保存期間の決定要因には以下が含まれます。
- 個人情報が取得目的であるデューデリジェンスと関連性を有する期間
- 当社が責任および義務を履行したことを証明するために記録を保存する合理的な期間
- 請求が行われる可能性のある請求権の時効期間
- 法律で定められた保存期間、または規制当局、専門機関、国際機関による推奨期間
- 継続中の法的または規制上の手続きの有無
これらの基準に基づき、EDD サービスにおける個人情報は、チェックを支援するために必要な期間保存されます。これは、EDD ユーザーが法的・規制上の義務を履行し、リスクを管理し、業界標準や契約要件を遵守し、一般的な良識と倫理的なビジネス慣行に従うために必要な場合を意味します。
EDD レポートの最終版、ベンダーレポート、通信、および関連する個人データは、通常7年間保存されます。ただし、法的保全措置 (訴訟、規制手続き、データ主体の権利請求など) により、より長期間保存が必要な場合があります。保存期間は、関連する EDD レポートまたは関連文書が初めて作成またはシステムにアップロードされた時点から開始します。保存期間が終了し、処理目的のために不要となった個人情報は、当社の内部手続きに従って安全に削除されます。
その他の目的で処理される個人情報 (権利請求や法的請求対応など) の保存期間は、処理の性質や適用される法的・規制要件に応じて異なる場合があります。
詳細については、下記の連絡先までお問い合わせください。
自動意思決定
当社は、対象者に法的効果を生じさせる、または同様に重大な影響を与える自動意思決定プロセスを使用していません。
対象者の権利
欧州経済領域 (EEA)、スイス、または英国に所在する場合、データ保護法令により以下の権利が付与されます。これらの権利は絶対的ではなく、状況によって適用されない場合があります。その場合には、理由をご説明します。
権利を行使する場合は、Privacy Office (contact@world-check.com) または以下宛にご連絡ください。
宛先: Data Protection Officer, LSEG, 10 Paternoster Square, London EC4M 7LS, England, United Kingdom
権利 |
内容 |
| アクセス権およびデータポータビリティ | 当社が保有する対象者の個人情報の詳細またはコピーを請求する権利、および一定の状況で他の管理者への移転を求める権利 |
|---|---|
| 訂正または消去の権利 | 不正確な情報の訂正または削除、特定の個人情報の消去を求める権利 |
| 処理制限の権利 | 個人情報を限定的な目的でのみ使用するよう求める権利 |
| 異議申立権 | 個人情報の処理に異議を唱える権利 |
| 同意撤回権 | 同意に基づく処理について同意を撤回する権利 |
| 苦情申立権 | 個人情報の取扱いに不満がある場合、居住国や勤務国、問題が発生した国の監督機関に苦情を申し立てる権利 |
カリフォルニア州のプライバシー権
- カリフォルニア州にお住まいの場合、当社の California Consumer Privacy Notice (英語)をご参照ください。この通知は本プライバシーステートメントを補足し、カリフォルニア州に居住する個人にのみ適用されます。
南アフリカ - 情報へのアクセス
- 南アフリカにお住まいの場合、当社は南アフリカの South Africa’s Protection of Personal Information Act に基づき、適切なデータ主体が権利を行使できるよう、プロセスと手続きを整備しています。権利を行使したい場合は、こちら (英語)をご覧ください。詳細については、当社の Promotion of Access to Information Manual (英語)をご参照ください。
ブラジルのプライバシー権
- ブラジルにお住まいの場合、当社の Brazilian Data Protection Law Notice (英語) をご参照ください。この通知は本プライバシーステートメントを補足し、ブラジルに居住する個人にのみ適用されます。
中国のプライバシー権
- China Privacy Notice (英語) は本ステートメントを補足し、中華人民共和国の領域内で当社が個人情報を処理する場合にのみ適用されます。
当社への連絡方法
当社によるご自身の個人情報の取り扱いに関してご質問、ご意見、苦情、ご提案がある場合、または前述の権利を行使したい場合は、当社のプライバシー担当部署 (contact@world-check.com)、または以下までご連絡ください。
Data Protection Officer (データ保護責任者)
Refinitiv Limited
10 Paternoster Square London, EC4M 7LS
United Kingdom
ご自身がEU市民またはデータ保護規制当局である場合、GDPRの目的上、当社の欧州代理人として Refinitiv Ireland Limited が指定されています。当社の指定代理人は、contact@world-check.com 宛で連絡を受け付けています。または、次の宛先までご連絡ください。
Refinitiv Ireland Limited
12-13 Exchange Place
IFSC
Dublin, D01 P8H1
Ireland
また、対象者は、居住もしくは働いている国や地域、またはご自身の個人情報に関する問題が発生したと考える国や地域のデータ保護規制当局に申し立てを行う権利を有しています。欧州経済領域の国家データ保護当局 (National Data Protection Authorities) のリストは、こちら http://ec.europa.eu/justice/data-protection/bodies/authorities/index_en.htm (英語) をご覧ください。英国における情報コミッショナーオフィス (Information Commissioner’s Office) については、https://ico.org.uk (英語) をご覧ください。
本プライバシーステートメントの変更
本ステートメントは、随時更新される場合があります。最新の更新日はステートメント冒頭の有効日をご確認ください。
今後、本ステートメントに変更や追加がある場合は、本ページにてお知らせいたします。