個人情報保護方針 (Privacy Policy)

    English follows

    LUSHではお客様の個人情報に関し、一層安全管理等を徹底させ個人情報の保護に努めてまいります。

    私たちは皆様と同じく、お客様の個人情報の重要性を真摯に受け止めています。是非、本プライバシーポリシーの全文をご一読ください。

    本書は長文となりますので、お客様の便宜のためその概要を本頁にまとめました。できれば時間をかけて全文をご覧いただくことをお奨めいたします。概要は以下のとおりです。

    概要

    • LUSH(以下、「当社」といいます)のウェブサイトをお客様にとって有益なものにするため、当社は(秘密情報を含む)情報を収集します。
    • 購読登録をされたお客様には、当社のニュースを配信します。
    • 当社は、提携企業とお客様の情報を共有する場合がありますが、お客様に関連しない情報を送信してご迷惑をお掛けすることはありません。当社がお客様の情報を公開することはありません。法律上義務付けられる場合又はお客様が当社のコンテンツ規約(Content Standards)に違反した場合には、お客様の情報を当社は、第三者に開示する可能性があります。当社は、本プライバシーポリシーに基づき、当該情報の保存及び処理が安全か第三者に提供する義務が生じる場合があります。
    • 確実に実施されるよう全力を尽くします。
    • お客様に関する情報を記憶できるよう、当社のシステムはCookie(クッキー)を保存しています。これはウェブサイトの改善に役立つものですが、お客様がCookieを拒否することも可能です。
    • 当社がお客様のデータを売却することは決してありません。

    目次

    ______________________________________________________

    条項

    1. 重要情報及び当社について     

    2. 当社が収集するお客様のデータ 

    3. 当社がお客様の個人データを収集する方法     

    4. 当社がお客様の個人データを使用する方法     

    5. お客様の個人データの開示     

    6. 越境移転      

    7. データセキュリティ   

    8. データ保存    

    9. お客様の法的権利     

    10. 用語集

    はじめに

    LUSH グループのプライバシーポリシーをご覧いただき、誠にありがとうございます。

    LUSH グループは、お客様のプライバシーを尊重すると共に、お客様の個人データを保護することに全力を尽くしています。本ポリシーは、お客様が当社のウェブサイトを閲覧する際(お客様がどこでウェブサイトを閲覧しているかを問いません)に当社がお客様の個人データを管理する方法、お客様の個人情報に関する権利、及びお客様がいかに法律で保護されるかについて説明するものです。

    本ポリシーは、お客様が以下の特定のセクションをクリックできる階層的な形式で構成されています。本ポリシーで使用される特定の用語の意味を把握するには、項目10の用語集もご確認ください。

    1. 重要情報及び当社について

    プライバシーポリシーの目的

    本プライバイシーポリシーは、お客様が本ウェブサイトを使用する際に、Lushグループがお客様の個人データを収集及び処理する方法について情報提供を行うことを目的としています。当該情報には、お客様が当社のニュースレターの購読登録、当社の製品若しくはサービスの購入、又は当社のコンテスト若しくはイベントへの参加を行った際に、お客様が本ウェブサイトを通して当社に提供し得る情報が含まれます。

    本ウェブサイトは、未成年者を対象とするものではなく、当社が未成年者に関する情報を意図的に収集することはありません。

    当社がお客様の個人データを収集又は処理する際に、特定の状況下で、当社がお客様に提供する可能性がある他のプライバシーポリシー又は公平な情報処理に関するポリシーと合わせて、本通知をご確認いただくことが重要となります。そうすることにより、当社がお客様のデータを使用する方法及び理由を完全に理解していただくことができます。本ポリシーは、他のポリシーを補完するものであり、それらを無効にすることを意図したものではありません。

    管理者

    Lush Limited(本社は英国に所在)並びにその子会社及び関連会社を「Lushグループ」といいます。本ポリシーは、LUSH Limited及びその子会社を代表して発行されるものであり、本ポリシーにおける「当社は」、「当社が」、「当社を」、「当社の」との表記は、お客様の個人データの処理に責任を有するLush グループの関連企業を指します。本ポリシーに基づいてお客様の情報を収集又は受領する各企業は、データ管理者としてこれを実施します。LUSH グループに属する特定の企業は、自らのウェブサイトに特定のプライバシーポリシーを掲載することがあります。そのため、これらサービスを閲覧又は使用する際には、当該企業がお客様の情報を使用する方法についても必ず確認するようにしてください。

    当社は、お客様が当社の製品又はサービスを購入した際に、お客様のデータ管理者となる企業をお客様にご案内します。Lush Japanは、お客様のデータ管理を英国に本社を置くLush Retail Limitedに委託しており、Lush Retail Limitedが日本のウェブサイトのデータ管理者及び責任者となります。

    本プライバシーポリシーに関してご質問(お客様の法的権利の行使に関する要請を含みます)がある場合は、以下の連絡先を使用して、当社のカスタマーサービスまでご連絡ください。

    連絡先 法人名:ラッシュジャパン

    〒150-0041 東京都渋谷区神南1-17ー11ガーデンキューブ渋谷神南4F

    ラッシュジャパン カスタマーケア

    メールアドレス:[email protected]

    電話番号: 0120-125-204

    データ保護に関する問題について、お客様は英国の監督機関(Information Commissioner's Office /ICO)にいつでも苦情を申し立てる権利を有しています(www.ico.org.uk)。しかし、ICOに連絡される前に、当社の方からお客様の懸念点に対処できるよう、まずは当社までご連絡いただけますようお願い申し上げます。

    プライバシー通知の変更及びお客様が当社に変更事項を通知する義務

    英国のデータ保護法は、2018年5月25日に変更されました。本ポリシーには当該新法に基づくお客様の権利の大半が規定されていますが、当該変更の一部については当社システムがまだ準備段階にあるため、お客様の要請の一部(例:お客様の個人データの移転要請等)に対応できない可能性もあります。

    当社が保有するお客様の個人データが正確及び最新な状態に維持されることが重要となります。当社との関係を通じて、お客様の個人情報に変更があった場合には、当社までご連絡ください。

    第三者のリンク

    本ウェブサイトには、第三者ウェブサイトのリンク、拡張機能及びアプリケーションが含まれる可能性があります。当該リンクをクリックするか当該接続を有効化すると、第三者がお客様に関するデータを収集又は共有できる場合があります。当社は、こうした第三者のウェブサイトを管理しておらず、当該第三者のプライバシー規定に関して責任を負いません。当社のウェブサイトから別のウェブサイトに移動する際には、閲覧先の各ウェブサイトのプライバシーポリシーを一読することを推奨いたします。

    2. 当社が収集するお客様のデータ

    個人情報又は個人データとは、個人を識別することが可能な当該者に関する情報をいいます。これには、識別子が削除されたデータ(匿名化されたデータ)は含まれません。

    当社は、様々な種類のお客様の個人データを収集、使用、保存及び移転する場合があります。当該種類は以下のとおり分類されます。

    • 個人を識別できるデータ 姓名、旧姓、ユーザ名又は類似の識別子、結婚歴、敬称、誕生日及び性別が含まれます。
    • 連絡先のデータ 請求先の住所、配達先の住所、メールアドレス及び電話番号が含まれます。
    • 財務的なデータ 銀行口座及び支払いカードの詳細が含まれます。
    • 取引に関するデータ お客様に対する/お客様からの支払いに関する情報及びお客様が当社から購入した製品及びサービスに関する他の情報が含まれます。
    • 技術的なデータ インターネットプロトコル(IP)アドレス、ログイン情報、ブラウザの種類及びバージョン、時間帯の設定及び位置、ブラウザ拡張機能の種類及びバージョン、オペレーティングシステム、プラットフォーム、及び本ウェブサイトのアクセスにお客様が使用したデバイスに関する他の技術情報が含まれます。
    • プロフィールのデータ ユーザ名及びパスワード、お客様が実行した発注及び購入、お客様の関心事、選好、フィードバック及びアンケートの回答が含まれます。  
    • 使用状況のデータ お客様がウェブサイト、製品及びサービスを使用する方法に関する情報が含まれます。
    • マーケティング及び通信に関するデータ お客様が選択した、当社及び第三者からマーケティング情報を受信する方法及び通信方法が含まれます。

    当社は、統計又は人口統計に関するデータ等の集合データを何らかの目的で収集、使用及び共有することがあります。集合データは、お客様の個人データから抽出する場合がありますが、直接的又は間接的に個人を識別できるものではないため、法律上では個人データとはみなされません。例えば、特定のウェブサイト機能に利用者がアクセスする割合を算出するため、お客様の使用状況に関するデータを統合する場合があります。但し、当社がお客様の個人データと集合データを統合又は結合することで直接的又は間接的にお客様を識別できる場合、当社は当該結合データを個人データとして取扱い、本ポリシーに従ってこれらを使用します。

    当社は、お客様の特別カテゴリの個人データ(人種若しくは民族的素性、宗教的若しくは哲学的信条、性生活、性的指向、政治的思想、労働組合員資格、健康及び遺伝に関する情報、生体認証データを含みます)を収集しません。また、有罪判決及び犯罪に係る情報も収集しません。

    個人データを提供しなかった場合

    当社が法律又はお客様と締結した契約の条件に基づきお客様の個人データを収集する必要がある場合で、お客様が当社の要請に応じて当該データを提供しなかったとき、当社は、お客様と締結した/締結しようとしている契約の内容(例:お客様に対する製品又はサービスの提供)を履行できない場合があります。この場合、お客様と締結した製品又はサービスに関する契約を解除する必要性が生じる場合があります。但し、これに該当する場合には、当社からお客様にその時点で通知を行います。

    3. 当社がお客様の個人データを収集する方法

    当社は、お客様に関するデータ/お客様からデータを回収するため、以下を含む様々な方法を使用します。

    • 直接的な通信 フォームに記入することで、又は郵便/電話/電子メール等の当社との通信を通して、お客様は、当社に個人を識別できるデータ、連絡先のデータ、財務的なデータを提供することができます。これには、お客様が以下を実施する際に当社に提供する個人データが含まれます。
    • 当社の製品又はサービスの申込みをする
    • 当社のウェブサイトでアカウントを作成する
    • 当社のサービス又は発行物の購読登録をする
    • 当社のソーシャルメディアを利用する
    • アプリをダウンロード及びインストールする
    • マーケティング情報の送信を依頼する
    • コンテスト、キャンペーン、アンケート又はイベントへの参加を申し込む、又は
    • 当社にフィードバックを提供する又は苦情を連絡する
    • 自動化された技術又は通信 お客様が当社のウェブサイトを利用すると、当社は、お客様のデバイス、閲覧履歴及びパターンに関する技術的なデータを自動的に収集することができます。当社は、Cookies(クッキー)、サーバログ及びその他の類似する技術を使用してこうした個人データを収集します。当社のCookieを使用した他のウェブサイトをお客様が閲覧した場合にも、当社はお客様に関する技術的なデータを受信することができます。詳細は、当社のCookieポリシーをご確認ください。

    4. 当社がお客様の個人データを使用する方法

    当社は、法律で認められる場合に限定してお客様の個人データを使用します。当社が第三者に当該データを売却することは決してありません。一般的に当社は、以下の状況でお客様の個人データを使用します。

    • お客様と締結した/締結予定の契約を履行する上で必要な場合
    • 当社の(又は、第三者の)正当な利益に必要で、お客様の利益及び基本的な権利が当該利益に優先しない場合
    • 当社が法規制の義務に従う必要がある場合

    マーケティング関連の通信を除き、通常、お客様の個人データを処理する法的根拠として、当社がお客様からの同意に依拠することはありません。

    当社がお客様の個人データを使用する目的

    以下は、当社が予定するお客様の個人データの全使用方法の詳細及び当該使用にて当社が依拠する法的根拠を記載したものです。該当する場合には、当社の正当な利益の内容も記載しています。

    目的/活動:

    お客様を新規顧客として登録する

    データ処理の法的根拠:

    (a) お客様と締結した契約の履行

    目的/活動:

    お客様が発注した製品又は製品又はサービスの注文処理及び納品を行う(以下を含む)

    (a) 支払い、料金及び手数料の管理

    (b) 当社に支払われるべき金額の回収

    データ処理の法的根拠:

    (a) お客様と締結した契約の履行

    (b) 当社の正当な利益に基づく必要性

    目的/活動:

    お客様との関係性を管理する(以下を含む)

    (a) お客様に当社の条件又はプライバシーポリシーの変更を通知する

    (b) レビューの提出又はアンケートの実施をお客様に要請する

    データ処理の法的根拠:

    (a) お客様と締結した契約の履行

    (b) 法的義務を遵守する必要性

    (c) 当社の正当な利益に基づく必要性(記録を最新な状態に維持する/お客様が当社の製品及びサービスをいかに使用しているかを検証する) 

    目的/活動:

    お客様が賞品抽選、イベント、コンテストに参加する、又はアンケートを実施できるようにする

    データ処理の法的根拠:

    (a) お客様と締結した契約の履行

    (b) 当社の正当な利益に基づく必要性(お客様が当社の製品及びサービスをいかに使用しているかを検証する/製品及びサービスを開発して事業成長を図る)

    目的/活動:

    当社の事業及び本ウェブサイトを管理及び保護する(問題解決、データ分析、試験、システム保守、サポート、報告及びデータのホストを含む)

    データ処理の法的根拠:

    (a) 当社の正当な利益に基づく必要性(当社の事業運営、事務サービスおよびITサービスおよびネットワークセキュリティの提供、不正行為の防止、事業再編又はグループ再構築)

    (b)法的義務を遵守する必要性

    目的/活動:

    当社のウェブサイトでお客様に関連性のあるコンテンツを提供し、お客様に提供するマーケティング情報の効果を測定又は理解する

    データ処理の法的根拠:

    (a) 当社の正当な利益に基づく必要性(お客様が当社の製品及びサービスをいかに使用しているかを検証する/製品及びサービスを開発して事業成長を図る/当社のマーケティング戦略を通知する)

    目的/活動:

    データ分析を使用して当社のウェブサイト、製品/サービス、マーケティング、顧客関係及び体験を改善する

    データ処理の法的根拠:

    当社の正当な利益に基づく必要性(当社の製品及びサービスを利用する顧客層を明確化する/当社のウェブサイトを最新かつ関連性が高い状態に保つ/当社の事業を発展させ、当社のマーケティング戦略を周知する)

    目的/活動:

    お客様が興味を持ちそうな製品及びサービスに関する提案や推奨を行う

    データ処理の法的根拠:

    当社の正当な利益に基づく必要性(当社の製品及びサービスを開発して事業成長を図る)

    目的/活動:

    電子メールによるマーケティング活動を行い、電子メールでマーケティング情報を配信する。当該配信には、当社が時折実施する製品、サービス、イベント、オファー及びキャンペーンに関する情報が含まれる。

    データ処理の法的根拠:  お客様がマーケティング情報の受信に明示的に同意した場合、又は当社が当該配信を行う法的な権利を有する場合

    お客様の個人データを使用する目的に応じ、当社は、複数の法的根拠に基づいて当該データを処理できることにご留意ください。複数の法的根拠が以下の表に記載されており、当社がお客様の個人データの処理にて依拠する法的根拠について詳細をご要望の場合は、当社までご連絡ください。

    お客様は、Cookieの全部又は一部を拒否するよう、又はウェブサイトでCookieの設定若しくは受入れがあった際に通知を受信されるようブラウザを設定することもできます。お客様がCookieを無効化又は拒否すると、本ウェブサイトの一部が正常に機能しないか、本ウェブサイトの一部にアクセスできなくなる場合があります。ご了承ください。当社が利用するCookieに関する詳細は、当社のCookieに関するポリシーをご確認ください。

    目的の変更

    当社は、データを収集した目的に限定してお客様の個人データを使用します。但し、当社が他の理由で当該情報を使用する必要があると合理的にみなし、当該理由が当初の理由と相容れる場合は、この限りではありません。新しい目的が当初の目的と相容れると判断された理由についての説明をお求めの場合は、当社までお問い合わせください。

    当社が関連のない目的でお客様の個人データを使用する必要がある場合、当社はお客様に連絡をし、当社に当該使用が認められる法的根拠のご説明をします。

    当社は、法律で義務付けられるか認められる場合、上記の規則に従って、お客様の了解又は同意なしに、お客様の個人データを処理することができます。ご了承ください。

    5. お客様の個人データの開示

    当社は、必要に応じ法律で認められる場合、お客様の個人データを当社が信頼する第三者と共有します(例:Lush グループ内の他の組織/アプリケーション、機能、データ処理又はITサービス、運送サービスを提供する第三者組織/当社のキャンペーン管理を支援する第三者組織/人材採用会社及び関連組織/監査人、弁護士、会計士及びその他の専門分野の顧問/法執行当局又は他の政府機関及び規制機関/クレジットカード及び支払方法を提供する企業/メールマーケティングを実施する第三者及び顧客関係管理(CRM)の専門家/お客様に提供する製品及びサービスのカスタム化及びお客様に対する義務履行を支援する他の第三者)

    当該第三者には、以下が含まれます(これらに限定しません)。

    • 以下の用語集に定める社外の第三者
    • 当社の事業又は資産の一部について、その売却、移転又は統合の対象として当社が選択できる第三者。当社は、かかる第三者と共同で他の事業の買収又は合併を試みることができます。当社の事業に変更が生じた場合には、新しい所有者が本通知の規定と同一の方法でお客様の個人データを使用することができます。

    当社が他者と個人情報を共有する場合、当該情報を保護し、当社のデータ保護、機密性及びセキュリティに関する基準を遵守するため、契約上の合意を締結してセキュリティ対策を配備します。当社が第三者にお客様のデータを売却することは決してありません。

    6. 越境移転

    当社のサービスの引渡しに必要な場合、当社は、日本以外の国々に対する個人情報の移転を実施します。この場合、当社は、個人情報に関連する法規制上の義務の遵守を確保します。これには、個人情報の移転に対する法的根拠を有すること、個人情報の保護水準が十分であることを徹底するため適切な保護策を配備すること等が含まれます。

    7. データセキュリティ

    当社は、個人データの意図しない紛失、不正な使用又は不正なアクセス、変更又は開示を防ぐために適切なセキュリティ対策を講じます。さらに、業務上知る必要のある当社の従業員、代理人、請負人及び他の第三者にお客様の個人データへのアクセスを制限します。守秘義務に拘束され、当社の指示に従う場合に限り、上記の者はお客様の個人データを処理することができます。

    当社のウェブサイト及びアプリケーションで利用可能な全エリアのアクセス権は、「HTTPS化」の技術で管理します。

    当社は、当社のシステムの潜在的な脆弱性及び攻撃を定期的に監視しており、さらなるセキュリティ強化の方法を特定するために脆弱性テストを実施しています。

    当社は、個人データの潜在的な違反に対処するための手順を配備しています。法律で義務付けられる場合は、違反行為をお客様及び適切な規制当局に通知します。

    8. データ保存

    当社がお客様の個人データを使用する期間

    当社は、当初の情報収集の目的を達成する上で必要となる期間に限り、お客様の個人データを保存します。当該目的には、法律上、会計上、報告上の要求事項を満たすための目的が含まれます。

    個人データの適切な保存期間を決定するため、当社は、個人データの数量、性質及び機密性、個人データの不正利用若しくは開示に起因する危害の潜在的なリスク、個人データを処理する目的、他の手法で当該目的を達成できるか否か、適用される法的要件を考慮します。

    保存期間の終了時に、お客様のデータは、完全に消去するか匿名化します(例:他のデータと統合することにより、個人を識別できない方法で当該データを統計分析及び事業計画に使用できる)。

    9. お客様の法的権利

    特定の状況下において、データ保護法に基づき、お客様には自らの個人データに関連する権利が付与されます。以下に定める権利のいずれかの行使を希望される場合は、当社にご連絡([email protected])の上、所定のデータ要請フォームを入手してください。

    • 自らの個人データへのアクセスを要請する。(一般的には、「データ主体のアクセス要請」といいます)。お客様は、当社が保有するお客様の個人データの複写を受領し、当社が合法的に当該データを処理しているかどうか確認することができます。
    • 当社が保存する自らの個人データへの訂正を要請する。当社が不完全又は不正確なお客様のデータを保有する場合、お客様はこれらを訂正することができます。但し、お客様が当社に提供した新しいデータについては、場合によって、当社がその正確性を確認する必要があります。
    • 自らの個人データの消去を要請する。当社が処理を継続する正当な理由がない場合、お客様は自らの個人データを消去又は削除するよう当社に要求することができます。さらに、お客様が処理に異議を唱える権利(以下を参照)を行使した場合、又は当社がお客様の情報を不正に処理した可能性がある場合、又は現地の法令に従ってお客様の個人データを消去することが当社に義務付けられる場合にも、お客様には自らの個人データを消去又は削除するよう当社に要求する権利が付与されます。但し、特定の法的根拠に基づく場合(該当する場合、当該根拠はお客様に通知されます)、当社は、お客様のデータ消去の要求を当該要求時に応じることができない場合があります。
    • 自らの個人データの処理に異議を唱える。当社によるデータ処理が当社の(又は第三者の)正当な利益に基づいており、お客様が自らの基本的な権利及び自由に影響が及ぶ可能性があるとの理由で、当該法的根拠に基づく処理への異議を求める特別な状況がある場合。さらに、お客様は、ダイレクトマーケティングの目的で当社がその個人データを処理することに対して異議を唱える権利も有しています。場合によっては、当社がお客様の情報処理に対する説得力のある法的根拠を示すことで、当該根拠をお客様の権利及び自由に優先させることができます。
    • 自らの個人データの処理を制限するよう要請する。お客様は、以下の状況にて、自らの個人データの処理を一時停止するよう当社に要求することができます。 (a) お客様が当社にデータの正確性の証明を求める場合、(b) 当社がデータを不正に利用しているが、お客様が当社による当該データの消去を望まない場合、(c) 当社が現時点でデータを必要としないにも関わらず、自らの法的請求の立証、行使及び防御を目的として、お客様が当社に当該データの保持を求める場合、又は(d) お客様が当社による自らのデータの使用に異議を申し立てたが、当該データの使用を継続するため当該異議に優先する法的根拠を当社が有しているか当社が確認する必要がある場合。
    • お客様の個人データを自分自身又は第三者に移転するよう要請する。当社は、お客様又はお客様が選択した第三者に対して、お客様の個人データを構造化された、一般的に使用される、機械可読な形式で提供します。当該権利は、お客様の当初の同意に基づいて又はお客様との契約履行を目的として当社が使用する自動的に収集された情報のみに適用されることに留意してください。
    • お客様の同意によって当社がそのデータ処理を行う場合、何時でも同意を取り消す。但し、お客様が同意を取り消す前に実行されたデータ処理の合法性には何らの影響も及ばないものとします。同意を取り消すと、当社がお客様に対して特定の製品又はサービスを提供できなくなる場合があります。この場合、お客様が同意を取り消す際に、当社がお客様にその旨を通知します。

    通常は料金不要

    お客様が自らの個人データにアクセスする際(又は他の権利を行使する際)、料金を支払う必要はありません。但し、お客様の要請が明らかに事実無根、反復的又は過剰である場合、当社は合理的な料金をお客様に請求するか、お客様の要請を拒否することができます。

    当社のお客様に対する要請事項

    お客様の本人確認を行い、お客様が自らの個人データにアクセスする権利(又は、他の権利を行使する権利)を確保するため、当社からお客様に特定の情報の提示を求める必要性が生じる場合があります。これは、個人データを受領する権利のない個人に当該データが開示されないことを徹底するためのセキュリティ措置です。当社は、お客様の要請に迅速に対応するため、お客様に連絡の上、当該要請に関連する追加情報を要請する場合があります。

    要請対応の期限

    当社は、全ての正当な要請に1ヵ月以内に対応できるよう取り組みます。お客様の要請が著しく複雑な場合、又はお客様が複数の要請をした場合には、1ヵ月以上を要する場合があります。この場合、お客様には当該遅延の通知を行い、進捗情報をご連絡いたします。

    10. 用語集法的根拠

    正当な利益とは、お客様に最高のサービス/製品及び最も安全な最高の体験を提供するための、当社の事業の実施及び管理に関わる経営上の利益をいいます。当社は、その正当な利益に基づいてお客様の個人データを処理する前に、お客様に対する潜在的な影響(正の影響と負の影響の双方)及びお客様の権利を考慮して当該利益とのバランスが取れているか確認します。お客様に対する影響が当社の正当な利益に優先する場合、当社は、当該活動にてお客様の個人データを使用しません(但し、当社がお客様から同意を得ているか、当該処理が法律で義務付けられるか認められる場合は、これに限りません)。特定の活動について、お客様に対する潜在的な影響と当社の正当な利益を比較評価する方法については、当社にご連絡の上、詳細情報を入手してください。

    契約の履行とは、お客様が当事者である契約を履行する上で、又は当該契約の締結前にお客様の要請に応じて措置を講じる上で必要となるお客様のデータ処理をいいます。

    法規制上の義務の遵守とは、当社が拘束される法規制上の義務の遵守に必要となる個人データの処理をいいます。

    外部の第三者

    • 処理者又は共同管理者として行為する専門分野の顧問。これには、コンサルタント業務、銀行業務、法律/保険/会計に関するサービスを提供する弁護士、銀行員、監査人及び保険会社が含まれます。
    • 英国に拠点を置き、処理者又は共同管理者として行為し、特定の状況にて処理活動の報告を求める英国歳入関税庁、 規制当局及びその他の当局をいいます。

    他の第三者

    • Google Analytics
    • Google Cloud
    • Google Business
    • Olark
    • MailChimp/Mandrill
    • FFW
    • Adyen
    • PayPal
    • Slack
    • Zendesk
    • 佐川ホールディングス
    • 株式会社ネットプロテクションズ

    Privacy Policy

    We take your privacy seriously; we’re sure you do too, so please do have a read of the full policy.

    We realise it’s quite long, so we’ve tried to help you out by summarising it here, but we’d still love you to take the time to read it in full. In summary:

    • We collect information (including sensitive information) to make Lush's website useful to you.
    • We’ll keep you posted with Lush news if you opt in.
    • We may share your information with companies we work with, but you won’t be plagued with irrelevant material. It will not be publicly available, although we may have to pass on your details where required by law or if you breach our Content Standards.
    • By giving us this data, you agree it may be stored and processed out of Japan. We do all we can to ensure this is done securely and in accordance with the privacy policy. 
    • To remember you, our system will store cookies. This helps us to improve the website, although you can opt out.
    • We will never sell your data.

    CONTENTS

    ____________________________________________________________

    CLAUSE

    1.    Important information and who we are        

    2.    The data we collect about you

    3.    How is your personal data collected? 

    4.    How we use your personal data        

    5.    Disclosures of your personal data     

    6.    International transfers         

    7.    Data security 

    8.    Data retention

    9.    Your legal rights        

    10.   Glossary

    Introduction

    Welcome to the Lush Group’s privacy notice.

    The Lush Group respects your privacy and is committed to protecting your personal data. This privacy notice will inform you as to how we look after your personal data when you visit our website (regardless of where you visit it from) and tell you about your privacy rights and how the law protects you.

    This privacy notice is provided in a layered format so you can click through to the specific areas set out below. Please also use the Glossary to understand the meaning of some of the terms used in this privacy notice.

    1. Important information and who we are

    Purpose of this privacy notice

    This privacy notice aims to give you information on how The Lush Group collects and processes your personal data through your use of this website, including any data you may provide through this website when you sign up to our newsletter, purchase a product or service or take part in a competition or event.

    This website is not intended for children and we do not knowingly collect data relating to children.

    It is important that you read this privacy notice together with any other privacy notice or fair processing notice we may provide on specific occasions when we are collecting or processing personal data about you so that you are fully aware of how and why we are using your data. This privacy notice supplements the other notices and is not intended to override them.

    Controller

    Lush Limited and its subsidiaries and affiliates, are referred to as ‘The Lush Group’.  This privacy notice is issued on behalf of Lush Limited and its subsidiaries so when we mention "Lush", "we", "us" or "our" in this privacy notice, we are referring to the relevant company in the Lush Group responsible for processing your data. Each entity which collects or receives your data under the privacy notice does so as a data controller. Certain group entities within Lush may have specific privacy notices on their websites, so when visiting or using these services please make sure you are informed of how they also use your information.

    We will let you know which entity will be the controller for your data when you purchase a product or service with us. Lush Retail Limited is the controller and responsible for this Japan website.

    If you have any questions about this privacy notice, including any requests to exercise your legal rights, please contact link Customer care using the details set out below.

    Contact details

    Our full details are:

    Full name of legal entity: Lush Japan

    Email address: [email protected]

    Postal address: Tokyo-to, Shibuya-ku, Jinnan, 1-17-11, Garden Cube Shibuya Jinnan 4F

    Telephone number: 0120-125-204

    You have the right to make a complaint at any time to the Information Commissioner's Office (ICO), the UK supervisory authority for data protection issues (www.ico.org.uk). We would, however, appreciate the chance to deal with your concerns before you approach the ICO so please contact us in the first instance.

    Changes to the privacy notice and your duty to inform us of changes

    The data protection law in the UK will change on 25 May 2018. Although this privacy notice sets out most of your rights under the new laws, we may not yet be able to respond to some of your requests (for example, a request for the transfer of your personal data) until May 2018 as we are still working towards getting our systems ready for some of these changes.

    It is important that the personal data we hold about you is accurate and current. Please keep us informed if your personal data changes during your relationship with us.

    Third-party links

    This website may include links to third-party websites, plug-ins and applications. Clicking on those links or enabling those connections may allow third parties to collect or share data about you. We do not control these third-party websites and are not responsible for their privacy statements. When you leave our website, we encourage you to read the privacy notice of every website you visit.

    2. The data we collect about you

    Personal data, or personal information, means any information about an individual from which that person can be identified. It does not include data where the identity has been removed (anonymous data).

    We may collect, use, store and transfer different kinds of personal data about you which we have grouped together follows:

    • Identity Data includes first name, maiden name, last name, username or similar identifier, marital status, title, date of birth and gender.
    • Contact Data includes billing address, delivery address, email address and telephone numbers.
    • Financial Data includes bank account and payment card details.
    • Transaction Data includes details about payments to and from you and other details of products and services you have purchased from us.
    • Technical Data includes internet protocol (IP) address, your login data, browser type and version, time zone setting and location, browser plug-in types and versions, operating system and platform and other technology on the devices you use to access this website.
    • Profile Data includes your username and password, purchases or orders made by you, your interests, preferences, feedback and survey responses.  
    • Usage Data includes information about how you use our website, products and services.
    • Marketing and Communications Data includes your preferences in receiving marketing from us and our third parties and your communication preferences.

    We also collect, use and share Aggregated Data such as statistical or demographic data for any purpose. Aggregated Data may be derived from your personal data but is not considered personal data in law as this data does not directly or indirectly reveal your identity. For example, we may aggregate your Usage Data to calculate the percentage of users accessing a specific website feature. However, if we combine or connect Aggregated Data with your personal data so that it can directly or indirectly identify you, we treat the combined data as personal data which will be used in accordance with this privacy notice.

    We do not collect any Special Categories of Personal Data about you (this includes details about your race or ethnicity, religious or philosophical beliefs, sex life, sexual orientation, political opinions, trade union membership, information about your health and genetic and biometric data). Nor do we collect any information about criminal convictions and offences.

    If you fail to provide personal data

    Where we need to collect personal data by law, or under the terms of a contract we have with you and you fail to provide that data when requested, we may not be able to perform the contract we have or are trying to enter into with you (for example, to provide you with goods or services). In this case, we may have to cancel a product or service you have with us but we will notify you if this is the case at the time.

    3. How is your personal data collected?

    We use different methods to collect data from and about you including through:

    • Direct interactions. You may give us your Identity, Contact and Financial Data by filling in forms or by corresponding with us by post, phone, email or otherwise. This includes personal data you provide when you:
    • apply for our products or services;
    • create an account on our website;
    • subscribe to our service or publications;
    • engage with us on social media;
    • download and install apps;
    • request marketing to be sent to you;
    • enter a competition, promotion or survey, attend an event; or
    • give us some feedback or make a complaint.
    • Automated technologies or interactions. As you interact with our website, we may automatically collect Technical Data about your equipment, browsing actions and patterns. We collect this personal data by using cookies, server logs and other similar technologies. We may also receive Technical Data about you if you visit other websites employing our cookies. Please see our cookie policy for further details.

    4. How we use your personal data

    We will only use your personal data when the law allows us to and we will never sell your data to third parties. Most commonly, we will use your personal data in the following circumstances:

    • Where we need to perform the contract we are about to enter into or have entered into with you.
    • Where it is necessary for our legitimate interests (or those of a third party) and your interests and fundamental rights do not override those interests.
    • Where we need to comply with a legal or regulatory obligation.

    Except for marketing communications, generally we do not rely on consent as a legal basis for processing your personal data.

    Purposes for which we will use your personal data

    We have set out below, in a table format, a description of all the ways we plan to use your personal data, and which of the legal bases we rely on to do so. We have also identified what our legitimate interests are where appropriate.

    Note that we may process your personal data for more than one lawful ground depending on the specific purpose for which we are using your data. Please contact us if you need details about the specific legal ground we are relying on to process your personal data where more than one ground has been set out in the table below.

    Purpose/Activity: 

    To register you as a new customer when you place an order on the Website or App. Here we require personal information to perform our obligations under our contract with you

    Lawful basis for processing: 

    (a) Performance of a contract with you

    Purpose/Activity:

    Updating your account (e.g. such as a change of address or change in your marketing preferences)

    Lawful basis for processing:

    (a) Performance of a contract with you

    Purpose/Activity: 

    To process and deliver your order for products or services including:

    (a) Manage payments, fees and charges

    (b) Collect money owed to us

    Lawful basis for processing:

    (a) Performance of a contract with you

    (b) Necessary for our legitimate interests

    Purpose/Activity:

    To manage our relationship with you which will include:

    (a) Notifying you about changes to our terms or privacy policy

    (b) Asking you to leave a review or take a survey

    Lawful basis for processing:

    (a) Performance of a contract with you

    (b) Necessary to comply with a legal obligation

    (c) Necessary for our legitimate interests (to keep our records updated and to study how customers use our products/services)

    Purpose/Activity:

    To enable you to partake in a prize draw, event, competition or complete a survey

    Lawful basis for processing:

    (a) Performance of a contract with you

    (b) Necessary for our legitimate interests (to study how customers use our products/services, to develop them and grow our business)

    Purpose/Activity:

    To administer and protect our business and this website (including troubleshooting, data analysis, testing, system maintenance, support, reporting and hosting of data). For example, we may need to process your personal information to keep your payment information safe and protect you against fraudulent transactions

    Lawful basis for processing:

    (a) Necessary for our legitimate interests (for running our business, provision of administration and IT services, network security, to prevent fraud and in the context of a business reorganisation or group restructuring exercise)

    (b) Necessary to comply with a legal obligation

    Purpose/Activity:

    To deliver relevant website content to you and measure or understand the effectiveness of the marketing we serve to you

    Lawful basis for processing:

    (a) Necessary for our legitimate interests (to study how customers use our products/services, to develop them, to grow our business and to inform our marketing strategy)

    Purpose/Activity:

    To use data analytics to improve our website, products/services, marketing, customer relationships and experiences where it is necessary for our legitimate interests (or those of a third party) and your interests and fundamental rights do not override those interests. For example, we may at times use your personal information (such as your IP address) to measure the use of our websites by you and assess the effectiveness of our websites and improve the content of our websites.

    Lawful basis for processing:

    (a) Necessary for our legitimate interests (to define types of customers for our products and services, to keep our website updated and relevant, to develop our business and to inform our marketing strategy)

    Purpose/Activity:

    To make suggestions and recommendations to you about goods or services that may be of interest to you, or products and services that you ask us to send you information about, by email, post, mobile, telephone and/or through other digital means (depending on your stated preferences) including social media platforms

    Lawful basis for processing:

    (a) Necessary for our legitimate interests (to develop our products/services and grow our business)

    Purpose/Activity:

    To carry out email marketing and send you marketing communications by email. Such communications will include information about the products, services, events, offers and promotions we offer from time to time.

    Lawful basis for processing:

    (a) Where you have expressly consented to receive such marketing communications or where we have another lawful right to do so

    Purpose/Activity:

    When applying for a position within Lush, we will process information concerning your application and our assessment of it, your references, any checks we may make to verify information provided or background checks and any information connected with your right to work in the UK. If relevant, we may also process information concerning your health, any disability and in connection with any adjustments to working arrangements.

    Lawful basis for processing:

    (a) Performance of a contract with you

    (b) Necessary to comply with a legal obligation

    (c) Necessary for our legitimate interests (to keep our records updated)

    Purpose/Activity:

    When receiving a treatment from a Lush Spa we will ask you for details relating to your health in order to perform a risk assessment.

    Lawful basis for processing:

    1. Performance of a contract with you
    2. Necessary to comply with a legal obligation
    3. Necessary for our legitimate interests (to keep our records updated)

    Cookies

    You can set your browser to refuse all or some browser cookies, or to alert you when websites set or access cookies. If you disable or refuse cookies, please note that some parts of this website may become inaccessible or not function properly. For more information about the cookies we use, please see our cookie policy.

    Change of purpose

    We will only use your personal data for the purposes for which we collected it, unless we reasonably consider that we need to use it for another reason and that reason is compatible with the original purpose. If you wish to get an explanation as to how the processing for the new purpose is compatible with the original purpose, please contact us.

    If we need to use your personal data for an unrelated purpose, we will notify you and we will explain the legal basis which allows us to do so.

    Please note that we may process your personal data without your knowledge or consent, in compliance with the above rules, where this is required or permitted by law.

    5. Disclosures of your personal data

    We sometimes share your personal data with trusted third parties when we are legally permitted to do so, for example, other organisations within our group, third-party organisations that provide applications/functionality, data processing or IT services, delivery couriers, third-party organisations that assist us with the administration of our promotions, recruitment agencies and related organisations, auditors, lawyers, accountants and other professional advisers, law enforcement or other government and regulatory agencies, credit card and payment providers, third party email marketing and CRM specialists, and other third parties to help us personalise our offers to you and to fulfil our obligations to our customers.

    Such third parties include but are not limited to:

    • Third Parties as set out in the Glossary below.
    • Third parties to whom we may choose to sell, transfer, or merge parts of our business or our assets. Alternatively, we may seek to acquire other businesses or merge with them. If a change happens to our business, then the new owners may use your personal data in the same way as set out in this privacy notice.

    When we share personal information with others, we put contractual arrangements and security mechanisms in place to protect the personal information and to comply with our data protection, confidentiality and security standards but we will never sell your data to third parties.

    6. International transfers

    Where necessary in order to deliver our services, we will transfer personal information to countries outside the Japan. When doing so, we will comply with our legal and regulatory obligations in relation to the personal information including having a lawful basis for transferring personal information and putting appropriate safeguards in place to ensure an adequate level of protection for the personal information.

    7. Data security

    We have put in place appropriate security measures to prevent your personal data from being accidentally lost, used or accessed in an unauthorised way, altered or disclosed. In addition, we limit access to your personal data to those employees, agents, contractors and other third parties who have a business need to know. They will only process your personal data on our instructions and they are subject to a duty of confidentiality.

    We secure access to all transactional areas of our websites and apps using ‘https’ technology.

    We regularly monitor our system for possible vulnerabilities and attacks, and we carry out vulnerability testing to identify ways to further strengthen security.

    We have put in place procedures to deal with any suspected personal data breach and will notify you and any applicable regulator of a breach where we are legally required to do so.

    8. Data retention

    How long will you use my personal data for?

    We will only retain your personal data for as long as necessary to fulfil the purposes we collected it for, including for the purposes of satisfying any legal, accounting, or reporting requirements.

    To determine the appropriate retention period for personal data, we consider the amount, nature, and sensitivity of the personal data, the potential risk of harm from unauthorised use or disclosure of your personal data, the purposes for which we process your personal data and whether we can achieve those purposes through other means, and the applicable legal requirements.

    At the end of that retention period, your data will either be deleted completely or anonymised, for example by aggregation with other data so that it can be used in a non-identifiable way for statistical analysis and business planning.

    9. Your legal rights

    Under certain circumstances, you have rights under data protection laws in relation to your personal data. If you wish to exercise any of the rights set out below, please contact us at [email protected] for the relevant data request form.

    • Request access to your personal data (commonly known as a "data subject access request"). This enables you to receive a copy of the personal data we hold about you and to check that we are lawfully processing it.
    • Request correction of the personal data that we hold about you. This enables you to have any incomplete or inaccurate data we hold about you corrected, though we may need to verify the accuracy of the new data you provide to us.
    • Request erasure of your personal data. This enables you to ask us to delete or remove personal data where there is no good reason for us continuing to process it. You also have the right to ask us to delete or remove your personal data where you have successfully exercised your right to object to processing (see below), where we may have processed your information unlawfully or where we are required to erase your personal data to comply with local law. Note, however, that we may not always be able to comply with your request of erasure for specific legal reasons which will be notified to you, if applicable, at the time of your request.
    • Object to processing of your personal data where we are relying on a legitimate interest (or those of a third party) and there is something about your particular situation which makes you want to object to processing on this ground as you feel it impacts on your fundamental rights and freedoms. You also have the right to object where we are processing your personal data for direct marketing purposes. In some cases, we may demonstrate that we have compelling legitimate grounds to process your information which override your rights and freedoms.
    • Request restriction of processing of your personal data. This enables you to ask us to suspend the processing of your personal data in the following scenarios: (a) if you want us to establish the data's accuracy; (b) where our use of the data is unlawful but you do not want us to erase it; (c) where you need us to hold the data even if we no longer require it as you need it to establish, exercise or defend legal claims; or (d) you have objected to our use of your data but we need to verify whether we have overriding legitimate grounds to use it.
    • Request the transfer of your personal data to you or to a third party. We will provide to you, or a third party you have chosen, your personal data in a structured, commonly used, machine-readable format. Note that this right only applies to automated information which you initially provided consent for us to use or where we used the information to perform a contract with you.
    • Withdraw consent at any time where we are relying on consent to process your personal data. However, this will not affect the lawfulness of any processing carried out before you withdraw your consent. If you withdraw your consent, we may not be able to provide certain products or services to you. We will advise you if this is the case at the time you withdraw your consent.

    No fee usually required

    You will not have to pay a fee to access your personal data (or to exercise any of the other rights). However, we may charge a reasonable fee if your request is clearly unfounded, repetitive or excessive. Alternatively, we may refuse to comply with your request in these circumstances.

    What we may need from you

    We may need to request specific information from you to help us confirm your identity and ensure your right to access your personal data (or to exercise any of your other rights). This is a security measure to ensure that personal data is not disclosed to any person who has no right to receive it. We may also contact you to ask you for further information in relation to your request to speed up our response.

    Time limit to respond

    We try to respond to all legitimate requests within one month. Occasionally it may take us longer than a month if your request is particularly complex or you have made a number of requests. In this case, we will notify you and keep you updated.

    10. Glossary

    LAWFUL BASIS

    Legitimate Interest means the interest of our business in conducting and managing our business to enable us to give you the best service/product and the best and most secure experience. We make sure we consider and balance any potential impact on you (both positive and negative) and your rights before we process your personal data for our legitimate interests. We do not use your personal data for activities where our interests are overridden by the impact on you (unless we have your consent or are otherwise required or permitted to by law). You can obtain further information about how we assess our legitimate interests against any potential impact on you in respect of specific activities by contacting us.

    Performance of Contract means processing your data where it is necessary for the performance of a contract to which you are a party or to take steps at your request before entering into such a contract.

    Comply with a legal or regulatory obligation means processing your personal data where it is necessary for compliance with a legal or regulatory obligation that we are subject to.

    External Third Parties

    • Professional advisers acting as processors or joint controllers including lawyers, bankers, auditors and insurers who provide consultancy, banking, legal, insurance and accounting services.
    • HM Revenue & Customs, regulators and other authorities acting as processors or joint controllers based in the United Kingdom who require reporting of processing activities in certain circumstances.

    Other Third parties

    • Google Analytics
    • Google Cloud
    • Google Business
    • Olark
    • MailChimp/Mandrill
    • FFW
    • Adyen
    • PayPal
    • Slack
    • Zendesk
    • SG Holdings Co., Ltd.
    • Net Protections,Inc.

    ホームページ - 個人情報保護方針 (Privacy Policy)