お問い合わせ
ジャパングリーンメディカルセンター プライバシーポリシー
プライバシーポリシー(邦訳)
これは、ジャパングリーンメディカルセンターリミテッド (JGMCまたは当院) のプライバシーポリシーです。JGMCが、どのように、なぜ個人データを使用するのか、また、2018年データ保護法 (DPA 2018) そして英国一般データ保護規則(UK GDPRというブレグジット後GDPR (EU一般データ保護規則2016/679)の英国で留保されている形式の法律)を含む適用可能なデータ保護法およびプライバシー法(データ保護法)に従って情報の安全とセキュリティを保つために実施する事項について説明いたします。
本ポリシーにより以下の内容を説明致します。
1. JGMCについて、JGMCへの連絡方法
2. いつ個人データを収集するか
3. 当院がどのような個人データを収集し、誰に関連するか
4. 個人データを処理する理由
5. 利用者の健康データ
6. 電話での会話の録音
7. 就職希望者向け情報
8. CCTVの使用方法
9. 通信
10. クッキー及びJGMCのウェブサイト
11. 個人データの受領者
12. 個人データの保管期間
13. 個人データの安全な維持
14. 国際移転
15. データ主体としての権利
16. 本ポリシーの変更
17. 子供のためのプライバシーポリシー
1. JGMCについて、JGMCへの連絡方法
当院は、Japan Green Medical Centre Limitedです。登録番号02396001の株式会社であり、10 Throgmorton Avenue, London, EC2N 2DL, United Kingdom にJapan Green Medical Centre 株式会社として、登録事務所を設けて主な事業を運営しております。JGMCは、情報コミッショナーのオフィス (ICO) にデータコントローラ(管理者)としてと登録されています(登録番号 Z483616X)。
本ポリシー、または皆様の個人データに関してご質問がある際には、弊社オフィス住所まで書面、または reception@japangreen.co.uk へメール(件名については“Data Protection”)にて弊社情報保護チームにお問い合わせください。
データ保護法において、JGMCは管理者となります。これは、当院が個人データを使用する方法とその理由を決定し、かつ、安全に保管することについて責任を負うことを意味します。
2. いつ個人データを収集するか?
JGMCは、さまざまな方法で個人データ(識別可能な個人に関連する情報を意味します)を収集します。これらについては、以下で詳しく説明します。
利用者から収集した個人データ
多くの場合、当院が保持する個人データは、目的に関係する人により当院に提供されています。 例えば:
• 当院のサービスについての問い合わせ(例えば、電話や Eメールによる)、または当院のウェブサイト上のフォームに記入した場合。
• 利用者として登録した場合。
• 当院に利用者の連絡先の詳細を提供し、お知らせの受診や通信を求めた場合。
また、下記を含む当院の個人との関係に関連する個人データについても処理します:
• 医療および健康管理サービスの提供に際し生じる情報 (健康に関する繊細な個人データを含む)
• 通信の為に必要な連絡先の詳細
• 当院が受領する支払いに関連した銀行の詳細
• 電話相談の録音
• 当院のクリニックの外壁に設置した CCTV 画像及びビデオ。
利用者から収集した個人データ
当院は、関係者、保険会社、その他の医療従事者や医療提供機関(NHSを含む)を含む第三者機関から個人データを提供されることがあります。例えば:
• 利用者が、利用者をその最近親者または、緊急連絡先と登録した場合に、利用者の情報が当院に提供されることがあります。
• 利用者が企業の従業員である場合、利用者の雇用者が、利用者の個人データを当院に提供することがあります。
• 利用者が医療保険加入利用者である場合、保険者は (例えば、利用者の契約について) 個人データを当院に提供することがあります。
• 当院は、他の医療従事者または医療サービス機関 (例えば、検査会社からの検査の結果、または利用者が治療を受けている病院からの医療記録)から個人データを受け取ることがあります。
3. 当院がどのような個人データを収集し、誰に関連するものか
利用者が利用者本人であるかどうかによって、当院が収集する個人データに以下の情報が含まれる場合があります。
• 個人についての詳細および連絡先 (氏名、住所、電話番号、Eメールアドレスなど)。
• 医療情報 (診療記録、当院が提供した医療処置の詳細、臨床写真、超音波画像、X線画像、他の医療機関と交わす紹介記録、利用者の健康についてのメモや記録を含む)。
• 利用者様を含む外線電話内容の録音
• 他者との関係についての情報 (家族や最近親者の詳細)。
• 銀行または支払カードの詳細。
• 利用者と当院の間の連絡。
• 利用者が当院のサービスについて提供するフィードバックや苦情。
• 利用者の雇用者、または保険の詳細。
• CCTV の画像 (詳細については、本ポリシーの第6部を参照してください)。
JGMCは、利用者に関連した「繊細な個人データ」の追加カテゴリを含む、他の個人データを処理する場合があります。これには医療や健康情報だけでなく、個人の人種や民族性、宗教的信念や性的指向についてのような情報を含みます。その詳細について本ポリシーの5番を参照してください。
また、企業やその他の組織における個人の連絡先に関する個人データを処理します(他のケア提供者、サービス提供者、または専門アドバイザーなど)。当院の運営および、サプライヤー企業や他の組織との関係維持における、正当な利益のためにこの情報を使用します。
子供と脆弱者
当院が収集し処理する個人データの一部には、子供または脆弱者(例えば、身体的、精神的に弱い立場の大人)に関連するものがあります。 当院は、そのような人々に関連する個人データが確実に保護されるように特別な注意を払っています。
当院は、個人データの処理に関して同意を得る必要があり、関連する個人が同意を得るために十分な能力を持たない場合(16歳未満の子供や身体的、精神的に弱い立場の大人の場合など)には、親権者または保護者へ同意を求めます。
当院は子供たちのためのプライバシーポリシーを準備しております(詳細について本ポリシーの17番を参照してください)。当院当院がどのように、そしてなぜ個人データを使うのかを年齢に沿った言葉使いで記載されています。そのコピーはウエブサイトで閲覧することもできますし、コピーを要求することもできます。
4. 個人データを処理する理由
当院は、下記の、1つまたは複数の理由により個人データを使用します。
• 個人に医療サービスを提供するため (例えば、当院がその個人との契約上の義務を実行する事)。
• 法的および専門的な義務 (記録保管の要件、規制監査の許可、データ保護法およびその他の適用法により必要とされる情報の開示など) に準拠するため。
• 当院の満足いく事業の継続および促進にむけた当院の正当な利益を追求するため (例えば、従業員教育訓練のための個人データ、または市場調査目的のための連絡先の詳細の使用)。
• 利用者と従業員のための安全な環境 (CCTV を使用して) を提供する正当な利益を追求するため。
• 緊急時には、当院利用者の重要な利益を保護するために個人データを使用するため。
もし当院が繊細な個人データ(通常は利用者、時にはその家族に関するもの)を処理する場合は、これは通常、当院が治療または医療サービスを提供するために必要であると判断されるからです。ただし、次の理由により情報処理を行う場合があります。
• 個人が当院の行為に対し、明確な同意を示した場合。
• 緊急時において、同意を得ることができない人命を保護するために、当院は個人データを処理する必要があります。
• 当院が法的請求を確立し、行使し、擁護するために必要な場合。
5. 利用者(利用者)の医療データ
当院は医療サービスに関連した機密性の高い医療データ(データ保護法では特別なカテゴリーの個人データと分類されます)を処理します。これには以下のものを含みます。
(a) 健康に関するデータ
(b) 人種や民族に関するデータ
(c) 遺伝子データ、そして
(d) 個人の性生活や性的志向に関するデータ
いずれの場合にも:
(a) そのようなデータが処理されるのは、以下のような理由で処理が必要である場合である。
i.関連する個人が利用者である場合の、データ主体との契約(UK GDPR第6条(1) 項(b))(すなわち、医療および治療を提供する契約)の履行。
ii.医療事業の運営における当院の正当な利益(UK GDPR第6条(1) 項(f))。これには、医療業界基準の遵守、従業員の教育訓練、および(本ポリシーの第6部に記載されている電話録音の場合)事実を確認するための記録の保存が含まれます。
iii.法的義務(UK GDPR 第6条(1) 項(c))を遵守すること(医療記録を維持する法的義務など);そして
(b) 特別なカテゴリーのデータを処理するための追加条件は、予防または産業医学、従業員の作業能力の評価、診断および健康管理または治療の提供を含む健康管理のために(DPA 2018スケジュール1、第2項(1)およびUK GDPR第9条(2) 項(h))に処理が必要であることです。
DPA 2018第11条(1) 項に従い、この第5部に記載されている特別カテゴリーデータの処理は、医療従事者によって、またはその責任の下、または制定法または法の支配の下で守秘義務を負っている別の者によってのみ実行されるものとします(DPA 2018第204条(1) 項で定義)。
6. 電話での会話の録音
JGMCは、利用者が録音に合意せず、ご自身の意思で拒否することを選択しない限り、利用者との外部通話 (着信および発信) を定期的に録音します。ご自身の意思で拒否することは通話中の指示に従うことで簡単に行うことができます。
当院は、UK GDPR 第6条 (1) 項(f) に従って当院の正当な利益となる以下の目的で電話での会話を記録します。
(a) 品質保証: 医療提供者の規制を含む、適用される規制および関連する慣行および手順の遵守を確認するため。
(b) 事実確認: JGMC の事業に関連する事実の存在を確認し、従業員と利用者を保護するため。 たとえば、利用者が従業員に対して暴言を吐いているという苦情があった場合。
(c) 従業員の教育訓練: 品質管理や従業員の教育訓練など、従業員が達成することが期待される基準を確認または実証すること。
当院では、通話内容に加え、発信者の番号、通話日時などの記録を保管しております。
当院は、利用者と JGMC 従業員との間の電話通話には非常にプライベートな性質の機密健康情報が含まれる可能性があることを認識しており、利用者のデータ保護権利が確実に保護されるよう広範な措置を講じています。 特に次の措置を実施しました。
• 利用者には、単純かつ簡単に通話録音を拒否し、合意しないことが可能です。
• 通話が録音されているという事実は、英語と日本語の通話メッセージによって利用者に明確に通知されます。
• 録音は、それ以上保持するやむを得ない法的理由がない限り (利用者からの苦情や JGMC 従業員に対する虐待など)、30 日後に自動的に削除されます。
• 録音は安全な暗号化形式で英国のデータセンターに保存されます。 全てのアクセス(データへの接続と入手)は厳密に管理されており、そのアクセスはすべて記録され、絶対に必要な場合にのみ許可されます。
• 当院は、利用者の個人データが確実に保護されるよう、法的拘束力のあるセキュリティの確約と保証が提供された専門の電気通信サービスプロバイダーと協力しています。
• 録音は、UK GDPR に基づく個人のデータ主体の権利に従って、要求に応じて削除できます。
当院による通話録音の使用に関してご質問がある場合、または通話録音の削除をご希望の場合は、reception@japangreen.co.uk までメールでご連絡いただくか、020 7330 1750 までお電話ください。
7. 就職希望者向け情報
当院は、JGMC に求人応募する個人に対し個人データを収集し、保存、使用します。
その情報には下記の情報が含まれます。
• JGMCへ提供された情報(履歴書、申請書、通信記録など)。
• 面接中に提供された情報。
• 前雇用者および推薦者から得られる情報。
• 採用代理店によって当院に提供される情報。
• 当院の依頼した個人履歴確認の結果 (Disclosure and Barring Serviceの犯罪歴証明書など)。
応募者の履歴の中に彼らがその役割に不適当になってしまうものが何もないことを確認するために、当院は犯罪判決のチェックを行う可能性があります。当院における就業は、高度の信用と誠実さが必要とされるために、これを実行します(JGMCの従業員が脆弱者に対応し、医療情報やその他の機密情報を取り扱うため)。
当院は、応募プロセスの最終段階である採用提案を行う際にのみ犯罪歴の確認を行い、照会を求め、その際には常にデータ保護法およびその他の適用される国内法の特定の要件に従って行動します。当院は、そのようなデータを処理する際に法律で維持することが義務付けられている適切なポリシー文書と保護手段を整備しています。
応募者情報の利用方法
当院は以下の収集した個人データを利用します。
• 応募者のスキル、資格、および役割への適合性を評価するため。
• 信頼性を照合するため (carry out background and reference checks)。
• 採用過程に関する応募者と交信するため。
• 当院の採用過程に関連する記録を保持するため。
• 法的または規制上の要件に準拠するため。
当院にとって雇用契約を結ぶ上で必要である、もしくは応募者が特定の役割に適していることを保証するものとしての正当な利益(legitimate interest)を確保するためにこれらすべてを行います。
この個人データがなければ、採用過程を正常に処理することはできません。
雇用プロセス中に適切な調整を行う必要があるかどうかを検討するために、雇用応募者に関する繊細な個人データ、例えば障害情報を処理する必要がある場合に、データを要求する時点でこれを行うための明示的な同意を求めるか、そのような繊細なデータを収集するための別の適法な条件を満たすことを確認します。 当院の適切なポリシー文書で説明されているとおりです。
応募者情報の保存
当院は通常、採用に至らなかった応募者に関する個人データを雇用決定通知後3〜6ヶ月間保管いたします。
当院はこの期間の個人データを保持することにより、法的請求がある場合に、応募者を差別していないこと、採用プロセスが公正かつ透明であることを実証することができます。
この期間(雇用決定通知後3〜6ヶ月間保管)の後、当院は応募者の個人データを安全に破棄いたします。将来の機会が生じた場合に備えファイルに個人データを保存したい場合は、応募者に連絡し、同意を求めます。
雇用が成立した応募者については、採用過程で提供された個人データの一部は職員の個人ファイルへ保管され、不必要な情報については確実に破棄します。
8. CCTV の使用方法
アクトンクリニック
当院はクリニックの安全とその中にいる人々の安全を守るために、当院のアクトンクリニック入り口にCCTVを設置しています。 当院は、クリニック入口を出入りする人のビデオ画像を記録するCCTVカメラを建物の外側に一機配置しています。また、 人々がCCTV画像を記録している事を確実に認識できるように、カメラの下方部分に通知を表示しています。
CCTVで記録された画像は30日間保存され、その後自動的に削除されます。 CCTV画像へのアクセスは特定の従業員に限られており、必要に応じ録画を見ることができます。 当院は例外的な状況(法執行機関からの要請など)または法律で要求された場合(裁判所命令またはデータ主体のアクセス要求など)に限りCCTV録画記録を共有します。
録音が公開される可能性がある場合(たとえば、犯罪者の身分証明を支援するため)は、可能な限り影響を受ける可能性のある人の希望を考慮し、個人の顔をぼかしたり、隠したりします。
当院の従業員は、CCTV へのアクセスの使用に関する厳格なポリシーに従うことが求められており、ICO が作成したビデオ監視 (CCTV の使用を含む) に関するガイダンスを遵守しています。こちらでご覧いただけます。https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/cctv-and-video-surveillance/guidance-on-video-surveillance-including-cctv/
シティクリニック
シティクリニックの建物の中または周辺(建物の外など)には、建物全体を占有または管理していないため、JGMCが所有していない第三者機関のCCTVがある場合がありますが、シティクリニック自体にはCCTVはありません。JGMCは、シティクリニックの建物の周囲または外部のCCTVに関する管理者ではなく、それに関する問い合わせは建物の管理者に直接行う必要があります。
9. 通信
当院は当院が提供するサービスの一環として、また、医療行為を行うために必要に応じ、当院ご利用者へ連絡するために個人データを使用します。 例えば、診療予約再確認のため、または検査結果の準備ができた事をお知らせするために、利用者へ連絡する場合があります。電話、テキストメッセージ、Eメール、または郵便で連絡を差し上げる可能性もあります。
市場調査情報の受け取りを希望された場合に限り、Eメールで市場調査コミュニケーションを個人的に送信します。
当院は、事前に受信者の同意を得ないまま他の企業や組織にEメールを送信することがあります。これは、サービスを促進し、関係を構築するために行われます。
当院がこのような連絡をする場合、受信者が連絡内容に関心をもたれる、または関連性があると思われるからです(通常は以前の取引や第三者機関による推奨に基いて行われます)。
受信者はいつでも市場調査情報についての受信方法の変更や市場調査情報の購読を拒否することができます。当院のEメールの "購読中止"リンクをクリックするか、reception@japangreen.co.uk まで件名 "unsubscribe"と入力しお知らせください。
10. クッキー及びJGMCのウェブサイト
当院は、当院のウェブサイトへの訪問者がそのような情報を提供することを選択した場合(ウェブサイトのフォームに記入するなど)、個人データを収集します。また、以下で説明するように、グーグルアナリティクス(Google Analytics)を含むクッキーを使用して、その他の特定の情報を収集します。
クッキー(Cookies)
当院のウェブサイトでは、利用者の体験を向上させ、特定の機能を有効にするために「クッキー」を使用しています。ウエブブラウザは、記録保持の目的でウェブサイトの利用者を識別し、場合によっては情報(繰り返しの訪問など)を追跡するために、ハードドライブにクッキー(文字と数字の小さなファイル)を配置します。利用者は、ウェブブラウザを設定してクッキーを拒否するか、または当院のウェブサイトがクッキーを使用して利用者の体験を向上させ、特定の機能を有効にするかどうかを知らせるように設定することができます。ただし、クッキーの許可を拒否すると、サイトの使用に支障をきたす可能性があります。
当院のウェブサイトのクッキーポップアップバナーの「Analytics」ボックスにチェックを入れて同意した場合(ウェブサイトの下部にある「C」ボタンをクリックしてもアクセスできます)、Google, Inc.(以下「Google」)が提供するウェブ解析サービスGoogle Analyticsを利用もしており、クッキーによりウェブサイトの利用状況を収集しています。Google Analyticsのデフォルト実装を使用しているため、収集する使用データは以下に限定されます。
• 利用者数
• セッション統計
• おおよその地理的位置
• ブラウザと使用機器の情報
Google Analytics によって収集されたデータは、当院のウエブサイトでの稼働状況を評価し、全体的なコンテンツの相互作用に関する統計レポートを作成し、ウエブサイトの稼働状況とインターネットの使用に関連するその他のサービスを提供するために使用されます。
当院のウェブサイトの下部にある「C」ボタンをクリックし、「Analytics」ボックスのチェックを外すことで、いつでも Google Analytics の使用をオプトアウトすることができます。
Google Analytics と初期設定の実装の詳細については、こちらをご覧ください。
https://support.google.com/analytics/answer/12159447?hl=en.
GoogleによるGoogle Analyticsの全ての使用を拒否するには、次のURLから入手できるGoogle Analyticsオプトアウトブラウザアドオンをインストールします
https://tools.google.com/dlpage/gaoptout
クッキーの使用の詳細については、上記の1番に記載されている詳細を使用してお問い合わせください。
他のサイトへのハイパーリンク
当院のウェブサイトには、第三者機関のウェブサイト (プライベート病院など) への外部リンクが含まれています。当院は、いかなるこれらの外部ウェブサイトの内容や機能についても責任を負いません。外部のウェブサイトから利用者の個人データが要求された場合、利用者が提供する情報は本ポリシーの対象外となります。個人データを提供する前に、ウェブサイトのプライバシーポリシーをお読みになることをお勧めします。
11. 個人データの受領者
利用者個人データ利用者個人データ利用者が当院に提供する個人データは、データ保護法に基づく当院の義務および当院の職業上の守秘義務に従って、非公開かつ機密に保たれます。当院は、以下の目的で必要とされ、英国外への個人データの国際移転に関するものを含め、データ保護法の要件を満たすことができる場合にのみ、他のデータ管理者に個人データを開示または共有します(本ポリシーの14番を参照してください)。
• 利用者に医療および健康管理サービスを提供するため。これは、例えば、利用者の雇用主または保険会社が利用者に関する医療情報を要求し、利用者がそのような共有に明示的に同意した場合に当てはまります。あるいは、雇用主は、利用者がこの取り決めに同意した場合、当該医療および健康管理サービスの費用を処理するために、その従業員(JGMCの利用者)に関連する特定の医療治療関連の個人データを、雇用主が指定したサービスプロバイダーまたは保険会社などの特定の第三者と共有するよう当院に要求することができます。
• 法執行機関に情報を提供する必要がある場合、または規制当局からの要求や裁判所の命令に従って、個人データを開示することが法的に義務付けられている場合。
• 当院が利用者の個人データを共有するための別の法的根拠があると確信した場合。又は
• 事業再編、合併、買収、またはその他の企業取引に関連して、当事者が取引を評価し、利用者が中断することなくサービスを受け続けることができるようにするため。
当院は、JGMCにサービスを提供する第三者機関とも個人データを共有することもあります。それらのサービス提供者は、当院の代理として特定の目的のために、当院の厳密な指示に従い個人データを処理しています。
当院は、利用者の個人データを安全に保管するための十分な保証を提供している第三者機関のサービスプロバイダのみを使用し、利用者の個人データを保護し、JGMC にサービスを提供する事以外の目的で使用されないように適宜書面で契約することを常に保証します。
12. 個人データの保管期間
個人データは、収集された目的のために必要である限りにおいて、または関連する相応の目的のためにのみ保存されます。(このように記録を維持管理するのは、後に法的および規制の要件に応じるために、そして後に法的請求が上げられる場合に情報が要求されることがあるためです。
利用者(および最近親者などの関連者)の場合、当院は治療期間中に個人データを保存します。 その後、以下の表に記載された期間、その情報を保管します。
|
他の種類の記録は、異なった期間保存されます。そして、健康福祉ケアのための実践の記録管理規則(the Records Management Code of Practice for Health and Social Care)の中に含まれる保存に関するベストプラクティス(最良の実践)の推奨事項に従います。当院の保有期間の詳細および詳しい内訳については、https://transform.england.nhs.uk/information-governance/guidance/records-management-code/ をご覧ください。
それ以外の全ての場合において、当院は、個人データの量、性質、個人データの機密性、不正な使用または開示による被害の可能性、利用者の個人データを処理する目的、他の手段によってこれらの目的を達成できるかどうか、および適用される法的要件を満たしている必要があるかなどによって、個人データを保管する適切な期間を決定します。
個人データが不要になった場合は、安全に破棄されます。
13. 個人データの安全な管理
当院は、利用者の個人データが誤って紛失、使用、または不正な方法でアクセスされたり、破損したり、破壊されたり、変更されたり、開示されたりしないよう、適切なセキュリティ対策を講じています。
これには、物理的なセキュリティ対策(紙のファイルを安全な施設に保管するなど)と電子セキュリティ技術(機器の暗号化やウィルス対策など)の両方が含まれます。
当院は、利用者の個人データへのアクセスを、従業員、代理人、請負業者、及び業務上必要な第三者機関に制限します。 彼らは当院の指示に従い利用者の個人データを処理するのみであり、厳格な法的および契約上の守秘義務の対象となります。
当院は、個人データ漏洩違反に対処するための手順を設置しており、利用者およびICOおよび法的に要求される場合には、その他の関連監督期間に通知します。
14. 国際移転
通常、個人データは英国内でのみ保存されます。ただし、当院に第三者サービスを提供する企業の一部、および当院が個人データを共有する組織の一部(上記11番を参照してください)は、他の場所に拠点を置いている場合があります。そのようなサービスプロバイダーを利用したり、そのような組織と個人データを共有したりする前に、当院は、彼らが処理する個人データがデータ保護法に従って適切に保護および移転されていることを確認するための措置を講じます。通常は、次の 1 つ以上の方法を使用します。
• 受領者が、データ保護法に従って個人データの十分な保護を提供することが承認された国に在籍していることを確認すること。
• (受領者が米国に拠点を置いている場合)受領者がデータプライバシーフレームワークリストに、EU-US Data Privacy Framework(EU-US DPF)の英国拡張に参加していることが示され、受領者が受領した時点で移転がEU-US DPF原則の対象となることを確認すること。
• データ保護法に従って承認された標準データ保護条項の締結を受領者に要求するなど、適切な保護措置を実施すること。又は
• それ以外の場合、データ保護法により、移転が許可される場合。
このようなデータ移転のために当院が実施する対策およびセーフガードについてより詳細な情報をご希望の場合は、上記の1番に記載されている連絡方法を使用してお問い合わせください。
15. データ主体としての権利
データ保護法は、皆様にデータ主体(利用者、就職希望者、またはその他の個人)として個人データに関する特定の権利を提供します。これらは次のとおりです。
• 自分の個人データにアクセスする権利。 これにより、データ主体は自分に関して当院が保持している個人データのコピーを受け取ることができます。
• 個人データの修正または完成を要求する権利。 これにより、データ主体は自分に関して当院が保持する不完全または不正確な情報を修正してもらうことができます。
• 自分の個人データの消去を要求する権利。 これにより、データ主体は当院に自分の個人データの削除または消去を要求することができます (ただし、当院が当該情報を使用し続ける正当な法的理由がある場合には、これは適用されない場合があります)。 また、データ主体は、処理に抗議する権利を行使した場合に、自分の個人データの削除または消去を当院に要求する権利を有します (下記を参照してください)。
• 個人データの処理に抗議する権利。 データ主体は、当院が正当な利益の目的(これには電話録音の拒否を含みます)または直接の市場調査のために個人データを処理することに異議を唱えることができます。
• 個人データの使用方法を制限する権利。 データ主体は、当院による自分の情報の使用方法 (主に保管または法的請求での使用) を制限することができます。
• ポータブルコピーを取得したり、個人データを転送したりする権利。当院は要求の下でデータ主体または (技術的に可能な場合) 第三者に、データ主体の個人データのコピーを、構造化され、一般的に使用されている機械可読形式で提供します。 これは、データ主体の同意に基づいて、または契約を履行するために当院が処理する自動化された情報にのみ適用されることに注意してください。
• 同意を撤回する権利。 当院が同意に基づいてデータ主体の個人データを処理している場合、データ主体はいつでもその同意を撤回する権利を有します。
回答
当院は1ヶ月以内にすべての個人データの要求に対応するように努力しますが、要求が特に複雑な場合や、多数の要求があった場合、1ヶ月より長くかかる場合があります。また、上記の権利には例外があり、適用されない場合もありますのでご注意ください。
当院は利用者の身元を確認するために、利用者からの追加情報を要求する必要があります。これは、個人データが、それを受け取る権利を持たない人に開示されないことを保証するためのセキュリティ対策です。また、利用者の要求を明確にするように依頼することがあります。
要求を行うための手数料
通常は、個人データにアクセスする(またはその他の権利を行使する)ための料金を支払う必要はありません。ただし、利用者の要求が根拠のない、反復的、または過度の場合は、妥当な料金を請求することがあります。また、このような状況では、利用者のご要望に応じることをお断りする場合があります。
要求の方法
上記のいずれかの権利を行使したい場合は、当院の情報保護チームにお問い合わせください。Japan Green Medical Centre Limited, 10 Throgmorton Avenue, London, EC2N 2DL, United Kingdomまたはメールで reception@japangreen.co.uk 宛てに明確に利用者の要求内容を示すようお願いいたします。JGMC は、要望の作成に役立つテンプレートリクエストフォーム(要望に関する雛形)を提供します。JGMCでは、ご依頼のお手伝いをするためのテンプレートリクエストフォームをご用意しております。
ICOに苦情を申し立てる権利
データ保護要求に対する当院の対応に満足していない場合、または個人データが誤って扱われていると思われる場合は、データ保護監督機関(英国では ICO)に苦情を申し立てていただく権利があります。苦情の申し立てについては、https://ico.org.uk をご覧ください。
16. 本ポリシーの変更
本ポリシーは随時更新されますので、ご確認ください。最新のバージョンは、常に当院のウェブサイトに掲載されます。本ポリシーは、2025年10月21日に最終更新されました。
17. 子供のためのプライバシーポリシー
子供のためのプライバシーポリシーも補足として、このプライバシーポリシーに加えております。
本プライバシーポリシー(邦訳文)は、如何なる相違がある場合も、法的には英語文書が優先します。また、お子様が当院を受診する際にコピーが配布されます。また、上記の詳細を使用してコピーを請求することもできます。
PRIVACY POLICY
This is the privacy policy for Japan Green Medical Centre Limited (JGMC, we, us, our). It explains how and why we use personal data, and what we do to ensure information is kept safe and secure in accordance with applicable data protection and privacy laws including the UK Data Protection Act 2018 (DPA 2018) and the UK GDPR (being the EU General Data Protection Regulation 2016/679 in the form retained in the UK after Brexit) (Data Protection Laws).
This policy explains:
1. Who we are, and how to contact us
2. When we collect personal data
3. What personal data we collect, and who it relates to
4. Why we process personal data
5. Patient health data
6. Recording telephone calls
7. Information for job applicants
8. How we use CCTV
9. Communications
10. Cookies and our website
11. Recipients of personal data
12. How long we store personal data for
13. How we keep personal data safe
14. International transfers
15. Your rights as a data subject
16. Updates to this policy
17. Children’s Privacy Policy
1. Who we are, and how to contact us
We are Japan Green Medical Centre Limited, a limited company with registered number 02396001, having our registered office and main place of business at Japan Green Medical Centre Limited, 10 Throgmorton Avenue, London, EC2N 2DL, United Kingdom. We are registered as a data controller with the Information Commissioner’s Office (ICO) with registration number Z483616X.
If you have questions about this policy or your personal data, please contact our Data Protection Team by writing to our office address or by emailing reception@japangreen.co.uk with the subject line “Data Protection”.
For the purposes of Data Protection Laws, we are a controller. This means we are responsible for deciding how and why we use personal data, and for keeping it safe.
2. When we collect personal data
We collect personal data (meaning information which relates to an identifiable individual) in a number of ways. These are described in more detail below.
Personal data we collect from you
Often the personal data we hold is provided to us by the person it relates to, for example when someone:
・enquires about our services (for example, by telephone or email) or fills in a form on our website;
・registers to become a patient; or
・provides us with their contact details and asks to receive news or correspondence.
We also process personal data relating to our dealings with that individual, which can include:
・information (including sensitive health personal data) generated in the course of providing medical services;
・contact details included in correspondence;
・bank details relating to payments we receive;
・recordings of telephone consultations; and
・images and video from CCTV outside our clinic.
Personal data received from third parties
We are sometimes provided with personal data by third parties, including related individuals, insurance providers, third party medical practitioners and other healthcare service providers (including NHS trusts). For example:
・your information might be provided to us by a patient who has listed you as their next of kin or emergency contact;
・if you are an employee of a corporate client, your employer may provide us with personal data about you;
・if you are a patient with medical insurance, your insurer may provide us with personal data (for example, regarding your policy); and
・we may receive personal data from other medical practitioners or healthcare services (for example, test results from a laboratory, or records from a hospital that has treated you).
3. What personal data we collect and who it relates to
Depending on whether or not you are a patient, the personal data we collect may include:
・personal details and contact information (such as name, address, telephone and email address);
・health information (including medical records, details of treatments we have provided, clinical photography and images from ultrasounds, x-rays and scans, referrals to and from other healthcare providers, notes and reports about your health);
・recordings of external telephone calls, including with patients;
・information about relationships to others (e.g. details of family and next of kin);
・bank or payment card details;
・correspondence and communication between you and us;
・feedback or complaints you provide about our services;
・details of your employer, or insurance status; and
・CCTV images (see part 6 of this policy for further information).
We may process other types of personal data, including additional categories of “sensitive personal data”, particularly in relation to our patients. This will include medical and health information, and may also include information about an individual’s race or ethnicity, religious beliefs or sexual orientation. Please see section 5 of this policy for further details.
We also process personal data on individual contacts at businesses and other organisations (such as representatives of other care providers, service providers, or professional advisers). We use this information for the purpose of our legitimate interests in running JGMC and building relationships with suppliers and other organisations.
Children and vulnerable persons
Some of the personal data we collect and process relates to children or vulnerable persons (for example, adults who are physically or psychologically vulnerable). We take extra care to ensure that personal data relating to such people is protected. If we require consent for the processing of personal data and the relevant individual does not have sufficient capacity to provide consent (as may be the case for children under 16 and some vulnerable adults) we will ask for consent from a parent or guardian.
We have a Children’s Privacy Policy which explains how and why we use personal data in age-appropriate language for children (please see section 17 of this policy for further details). A copy of this can be found on our website and hard copies are available on request.
4. Why we process personal data
We use personal data because we need to for one or more of the following reasons:
・to provide healthcare services to an individual (for example, to perform a contractual obligation we owe that individual);
・in order to comply with legal and professional obligations (such as record-keeping requirements, permitting regulatory audits, or disclosing information where required by Data Protection Laws and other applicable laws);
・to pursue our legitimate interests in operating and promoting the success of our business (such as using personal data for staff training, or contact details for marketing purposes);
・to pursue the legitimate interest of providing a safe environment for patients and staff (by using CCTV); and
・in an emergency we may use personal data to protect the vital interests of our patients.
If we process sensitive personal data (typically in relation to patients and occasionally their families), this is usually because we need to in order to provide medical treatment or healthcare services. However, we may also use this information because:
・the individual has provided their explicit consent to our doing so;
・in an emergency, we need to do so to protect the life of someone who is unable to provide consent; or
・we need to in order to establish, exercise or defend a legal claim.
5. Patient health data
We process sensitive health data (which Data Protection Laws class as ‘Special Category Personal Data’) in connection with the healthcare services we provide. This may include:
(a) data concerning health;
(a) racial or ethnic origin data;
(b) genetic data; and
(c) data concerning an individual’s sex life or sexual orientation.
In each case:
(a) such data are processed because the processing is necessary for:
(i) the performance of a contract with the data subject (Article 6(1)(b) UK GDPR) (i.e. a contract to provide healthcare and treatment) whilst the relevant individual is a patient.
(ii) our legitimate interests in operating a healthcare business (Article 6(1)(f) UK GDPR). This includes complying with healthcare industry standards, staff training and (in the case of telephone recordings described in Paragraph 6 of this policy) keeping records to ascertain the facts of a matter;
(iii)to comply with a legal obligation (Article 6(1)(c) UK GDPR) (such as a legal obligation to maintain healthcare records); and
(b) our additional condition for processing special category data is that the processing is necessary for healthcare purposes (Paragraph 2(1) Schedule 1, DPA 2018 and Article 9(2)(h) UK GDPR) including preventive or occupational medicine, the assessment of the working capacity of an employee, medical diagnosis and the provision of healthcare or treatment.
In accordance with section 11(1) DPA 2018, the processing of Special Category Data described in this Paragraph 5 shall only be carried out by or under the responsibility of a health professional (as defined in section 204(1) DPA 2018), or by another person who in the circumstances owes a duty of confidentiality under an enactment or rule of law.
6. Recording telephone calls
JGMC routinely records external telephone calls (incoming and outgoing) with patients, unless the patient has chosen to object to the recording and opt-out, which can be done easily by following the in-call instructions.
We record telephone conversations for the following purposes, which are in our legitimate interests in accordance with Article 6(1)(f) UK GDPR.
(a) Quality Assurance: to ascertain compliance with applicable regulations and related practices and procedures, including healthcare provider regulations.
(b) Fact checking: to establish the existence of facts relevant to JGMC’s business and protect our staff and patients. For example if there is a complaint made by a patient or if a patient is verbally abusive towards a member of our staff.
(c) Staff Training: to ascertain or demonstrate the standards that are expected to be achieved by staff, for example, for quality control or staff training.
In addition to the content of the telephone call, we keep a log of the caller’s number as well as the date and time of the call.
We are aware that telephone calls between patients and JGMC staff may include confidential health information of a very private nature, and we have taken extensive steps to ensure that patients’ data protection rights are protected. In particular, we have done the following:
・Patients are given the ability to simply and easily opt-out of and object to call recording;
・The fact that calls are recorded is clearly notified to patients by in-call messages in English and Japanese;
・Recordings are automatically deleted after 30 days unless there is a compelling lawful reason for retaining them for longer (for example, a complaint by a patient or abuse towards JGMC staff);
・Recordings are stored in a secure encrypted format in a UK data centre. Access is strictly controlled and any access is logged and will only be permitted where absolutely necessary;
・We work with a specialist telecommunications service provider who has provided legally binding promises and guarantees of security to ensure your personal data is protected; and
・Recordings can be deleted on request in accordance with an individual’s data subject rights under UK GDPR.
If you have any questions regarding our use of telephone call recording or wish to have a call recording deleted, please contact us by emailing reception@japangreen.co.uk or by calling 020 7330 1750.
7. Information for job applicants
We collect, store and use personal data about individuals who apply to join JGMC. This may include information:
・provided to us (such as in CVs, application forms, and through correspondence);
・provided during an interview;
・obtained from previous employers and referees;
・provided to us by recruitment agencies; and
・received as a result of our carrying out background checks (such as checks for criminal convictions with the Disclosure and Barring Service).
We may carry out a check for criminal convictions in order to satisfy ourselves that there is nothing in an applicant’s history which makes him or her unsuitable for the role. We do this because working with us involves a high degree of trust and integrity (as our staff deal with vulnerable people and will have access to health data and other confidential information).
We only carry out criminal records checks and ask for references at the last stage of the application process, when making an offer of employment, and always act in accordance with the specific requirements of Data Protection Laws and other applicable national laws when doing so. We have in place an appropriate policy document and safeguards which we are required by law to maintain when processing such data.
How we use applicant information
We use the personal data we collect to:
・assess an applicant’s skills, qualifications, and suitability for a role;
・carry out background and reference checks;
・communicate with an applicant about the recruitment process;
・keep records related to our hiring process; and
・comply with legal or regulatory requirements.
We do all of this either because it is necessary in order for us to enter into a contract of employment or because we have a legitimate interest in ensuring an applicant is suitable for a particular role. Without this personal data, we will not be able to process an application successfully.
If we need to process sensitive personal data about a job applicant, for example disability information in order to consider whether we need to provide appropriate adjustments during the recruitment process, we will ask for explicit consent to do this at the time at which we request the data or ensure that we satisfy another lawful condition for collecting such sensitive data, as explained in our appropriate policy document.
Retention of applicant information
We normally retain personal data about unsuccessful applicant for between 3 and 6 months from the time we inform them of our hiring decision. We retain personal data for this period so we can demonstrate, in the event of a legal claim, that we have not discriminated against an applicant and that the recruitment process was fair and transparent. After this period, we will securely destroy the applicant’s personal data. If we wish to retain personal data on file, in case future opportunities arise, we will contact the applicant and ask for his or her consent to do so.
If an applicant is successful, some of the personal data provided in the application process will be stored as part of the staff member’s personnel file, and any unnecessary information will be securely destroyed.
8. How we use CCTV
Acton Clinic
We have CCTV at the entrance to our Acton Clinic in order to protect the security of our clinic and the safety of the people within it. We have a single CCTV camera located on the exterior of the building which records video images of persons entering and leaving the clinic. A notice is posted below the camera to ensure that people are aware of CCTV image recording.
Images recorded by CCTV are stored for a period of 30 days, after which they are automatically deleted. Access to CCTV images is restricted to designated staff, who will only view the recording where necessary. We only share CCTV with others in exceptional circumstances (such as requests from law enforcement) or if required by law (such as pursuant to a court order or data subject access request). If there is a possibility of recordings being made public (for example, to assist in the identification of an offender) we will consult with and take into account the wishes of any other persons who might be affected, although we will usually blur or disguise the faces of individuals where possible.
Our staff are required to comply with a strict policy regarding the use of access to CCTV, and we adhere to the guidance on video surveillance (including the use of CCTV) produced by the ICO which can be found here: https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/cctv-and-video-surveillance/guidance-on-video-surveillance-including-cctv/
City Clinic
There may be third party CCTV in or around the City Clinic building (for example outside the building) which is not owned by JGMC as it does not occupy or control the entire building, but there is no CCTV in the City Clinic itself. JGMC is not a controller in respect of any CCTV around or outside the City Clinic building and enquiries regarding it should be directed to the building’s management.
9. Communications
We use personal data to contact people as part of the services we provide, and when we need to in order to operate our medical practice. For example, we may contact patients to remind them about an appointment or let them know their results are ready. We might do this through a phone call, text message, email or by post.
We will only contact you personally with email marketing communications if you have specifically asked to receive marketing.
We sometimes send emails to other companies and organisations without their prior consent. We do this in order to promote our services and build relationships. If we have contacted you like this, it is because we think these communications may be of interest or relevance to you (usually on the basis of our previous dealings with you or a recommendation from a third party).
You can change how you hear from us or unsubscribe from marketing at any time by clicking the “unsubscribe” link on any of our emails, or by emailing reception@japangreen.co.uk with the subject line “unsubscribe.”
10. Cookies and our website
We collect personal data about visitors to our website if they choose to provide such information (such as by filling in a website form). We also collect certain other information using cookies including Google Analytics, as explained below.
Cookies
Our website uses “cookies” to enhance your experience and enable certain functionality. Web browsers place cookies (a small file of letters and numbers) on hard drives to distinguish website users for record-keeping purposes and sometimes to track information (such as repeat visits). You can choose to set your web browser to refuse cookies, or to alert you when cookies are being sent. However, if you refuse to allow cookies, this may interfere with your ability to use the site.
If you consent by ticking the ‘Analytics’ box on the cookies pop-up banner on our website (also accessible by clicking the ‘C’ button at the bottom of the website), then we will also use Google Analytics, a web analytics service provided by Google, Inc. (Google), which gathers information about website use by means of cookies. As we use the default implementation of Google Analytics, the usage data which we collect is limited to:
・Number of users
・Session statistics
・Approximate geolocation
・Browser and device information
The data collected by Google Analytics is used to assess your activity on our website, compile statistical reports on overall content interaction, and provide other services related to website activity and internet usage.
You can opt out of our use of Google Analytics at any time by clicking on the ‘C’ icon at the bottom of our website and unticking the ‘Analytics’ box.
More information on Google Analytics and the default implementation is available here:
https://support.google.com/analytics/answer/12159447?hl=en
You can opt-out of all Google’s use of Google Analytics by installing the Google Analytics Opt-out Browser Add-on available here:
https://tools.google.com/dlpage/gaoptout
For more information on our use of cookies, please contact us using the details set out in section 1 above.
Hyperlinks to other sites
Our website contains hyperlinks to third-party websites (such as private hospitals). We are not responsible for the content or functionality of any of those external websites. If an external website requests personal data from you the information you provide will not be covered by this policy. We suggest you read the privacy policy of any website before providing any personal data.
11. Recipients of personal data
Personal data you provide to us will be kept private and confidential in accordance with our obligations under Data Protection Laws and our professional obligations of confidentiality. We will only disclose or share personal data with other data controllers where this is required for the following purposes and provided that we can satisfy the requirements of Data Protection Laws, including with respect to international transfers of personal data outside the UK (see section 14 of this policy):
・to provide patients with medical and healthcare services. This may be the case, for example, where a patient’s employer or insurer requests medical information about the patient and the patient explicitly consents to such sharing. Alternatively, an employer may request us to share certain healthcare treatment related personal data relating to their employees (being patients of JGMC) with certain third parties, such as the employer’s nominated service providers or insurers in order for the costs of such medical and healthcare services to be processed, where the patient has agreed with us to this arrangement;
・where we are legally required to disclose personal data, such as where we are required to provide information to law enforcement, or pursuant to a request from a regulator or a court order;
・where we have satisfied ourselves that we have another lawful basis for sharing your personal data; or
・in connection with a business reorganisation, merger, acquisition or other corporate transaction, in order to allow the parties to evaluate the transaction and to ensure that our patients continue to receive services without interruption.
We also sometimes share personal data with third parties who provide services to JGMC. However, these service providers will only process personal data on our behalf, for specified purposes, and in accordance with our strict instructions.
We only use third party service providers who have provided sufficient guarantees that your personal data will be kept safe, and we always ensure there is a written contract in place which protects your personal data and prevents it from being used for any purpose other than providing services to JGMC.
12. How long we store personal data for
We only store personal data for as long as is necessary for the purpose(s) it was collected for, or for related compatible purposes (such as record keeping, in order to comply with legal and regulatory requirements and because information may be required if a legal claim later arises).
In the case of patients (and related individuals such as next of kin) we store personal data for the duration of the treatment. We will then store the information for the periods set out in table below.
|
Other types of record may be stored for different periods, and we adhere to the best practice retention recommendations contained within the Records Management Code of Practice for health and care records. For further information and a detailed breakdown of our retention periods, please visit https://transform.england.nhs.uk/information-governance/guidance/records-management-code/
In all other cases, we will determine the appropriate retention period for personal data by considering the amount, nature, and sensitivity of the personal data, the potential risk of harm from its unauthorised use or disclosure, the purposes for which we process your personal data and whether we can achieve those purposes through other means, and the applicable legal requirements.
Once personal data is no longer required it will be securely destroyed.
13. How we keep personal data safe
We have put in place appropriate security measures to prevent your personal data from being accidentally lost, used or accessed in an unauthorised way, damaged or destroyed, altered or disclosed. This includes both physical security measures (such as keeping paper files in secure premises) and electronic security technologies (such as device encryption and anti-virus protection).
We limit access to your personal data to those employees, agents, contractors and other third parties who have a business need to know. They will only process your personal data on our instructions and they are subject to strict legal and contractual confidentiality obligations.
We have put in place procedures to deal with any suspected personal data breach and will notify you, the ICO and any other relevant regulatory body of a breach when legally required to do so.
14. International transfers
We normally only store personal data within the UK. However, some of the companies which provide us with third-party services, and some of the organisations with which we share personal data, (see section 11 above), may be based elsewhere. Before using such service providers or sharing personal data with such organisations, we will take steps to make sure that any personal data they process is adequately protected and transferred in accordance with Data Protection Laws, usually by one or more of the following methods:
・ensuring the recipient is in a country which has been approved as providing adequate protection for personal data in accordance with Data Protection Laws;
・(if the recipient is based in the United States) ensuring the recipient is indicated on the Data Privacy Framework List as participating in the UK Extension to the EU-US Data Privacy Framework (EU-US DPF) and the transfer will be subject to the EU-US DPF Principles upon receipt by the recipient;
・implementing appropriate safeguards such as requiring the recipient to enter into Standard Data Protection Clauses approved in accordance with Data Protection Laws; or
・Data Protection Laws otherwise permit us to make the transfer.
If you would like more detailed information on the measures and safeguards which we implement for such data transfers, then please contact us using the details set out in section 1 above.
15. Your rights as a data subject
As a data subject, Data Protection Laws provide you (whether a patient, recruitment candidate or other individual) with certain rights in relation to your personal data. These are as follows:
・The right to access your personal data. This enables you to receive a copy of the personal data we hold about you.
・The right to request correction or completion of personal data. This enables you to have any incomplete or inaccurate information we hold about you corrected.
・The right to request erasure of your personal data. This enables you to ask us to delete or remove personal data (though this may not apply where we have a good, lawful reason to continue using the information in question). You also have the right to ask us to delete or remove your personal data where you have exercised your right to object to processing (see below).
・The right to object to processing of your personal data. You can object to us processing personal data for legitimate interests purposes (this includes opting out of telephone recordings) or for direct marketing.
・The right to restrict how your personal data are used. You can limit how we use your information (primarily to storage or for use in legal claims).
・The right to have a portable copy or transfer your personal data. Upon your request, we will provide you, or (where technically feasible) a third party, with a copy of your personal data in a structured, commonly used, machine-readable format. Note this only applies to automated information we process on the basis of your consent or in order to perform a contract.
・The right to withdraw consent. If we are relying on consent to process your personal data you have the right to withdraw that consent at any time.
Responding
We try to respond to all personal data requests within one month. Occasionally it may take us longer than a month if your request is particularly complex or you have made a number of requests. Please also bear in mind that there are exceptions to the rights above and some situations where they do not apply.
We may need to request additional information from you to help us confirm your identity. This is a security measure to ensure that personal data is not disclosed to any person who has no right to receive it. We may also contact you to ask you to clarify your request.
Fees for making a request
You will not normally have to pay a fee to access your personal data (or to exercise any of your other rights). However, we may charge a reasonable fee if your request is unfounded, repetitive or excessive. Alternatively, we may refuse to comply with your request in these circumstances.
How to make a request
If you want to exercise any of the rights described above, please contact our Data Protection. Team by writing to Japan Green Medical Centre Limited, 10 Throgmorton Avenue, London, EC2N 2DL, United Kingdom or emailing reception@japangreen.co.uk, clearly stating the nature of your request. JGMC can provide you with a template request form to assist you in making your request.
Your right to complain to the Information Commissioner’s Office
You have the right to complain to the Information Commissioner’s Office if you are not satisfied with our response to a data protection request or if you think your personal data has been mishandled. For further information on how to make a complaint, please visit https://ico.org.uk.
16. Updates to this policy
We will update this policy from time to time, so please check back. The current version will always be posted on our website. This policy was last updated on 21st October 2025.
17. Children’s Privacy Policy
A “Children friendly” policy has been added to this “Privacy policy” as a supplemental policy and a copy will be made available to children when visiting our clinics. A copy may also be requested using the details provided above.
