2023年1月1日より適用
アジア太平洋経済協力会議(「APEC」)
APEC越境プライバシー・ルール(「CBPR」)システム:本個人情報保護方針に記載されているBox, Inc.のプライバシーの考え方は、APEC(アジア太平洋経済協力会議)の越境プライバシー・ルール(CBPR)システムを順守しています。APECのCBPRシステムは、APEC加盟国間で移転される個人データの保護を確保するための枠組みを企業に提供します。APECの枠組みに関する詳細はこちらをご覧ください:https://www.apec.org/About-Us/About-APEC/Fact-Sheets/What-is-the-Cross-Border-Privacy-Rules-System
APECプロセッサー向けプライバシー識別(「PRP」)システム:本個人情報保護方針に記載されているBox, Inc.のプライバシーの考え方は、APEC PRPシステムを順守しています。APEC PRPシステムは、データ処理者に、データ管理者のプライバシー要件を効果的に実施するその能力を実証するための枠組みを提供します。APEC PRPの枠組みに関する詳細はこちらをご覧ください:http://mddb.apec.org/Documents/2015/ECSG/DPS2/15_ecsg_dps2_007.pdf.
欧州
顧客のプライバシーに関する権利を保護することが、Boxが提供するサービスの重要点です。Boxは以前から、欧州経済領域(EEA)外へのデータ転送に関して法的な仕組みと枠組みを合わせて一式として提供しています。
イギリス拘束的企業準則: 英EU通商協力協定は、欧州連合離脱(ブレグジット)に伴うイギリス(UK)の移行期間が2020年12月31日に終了することを示しました。 Box, Inc.ならびにその関連会社(以下、「Box」とする)は引き続き、適正なデータ保護に関する枠組みと転送方式を約束し、これに準拠してまいります。 イギリスの個人情報保護監督機関(ICO)は、ICOウェブサイトに、イギリス拘束的企業準則(BCR:Binding Corporate Rules)のデータ処理者ならびに管理者として、Boxを 掲載 しています。 BoxのイギリスBCRは以下でご覧いただけます。
EU拘束的企業準則: Box, Inc.ならびにBoxのグループ企業は、EEAに拠点を置く主要なデータ保護監督機関へ転送することで同社のEU BCRを維持するよう努めています。BoxはECU BCRの承認を待つ間、欧州データ保護機関が認可し承認している現行のBCRに記載されている基本方針に引き続き従うことを約束し、欧州委員会のウェブサイトのリストに掲載される予定です。すべての顧客が利用できる基本契約条項(SCC)を作成し、欧州経済領域(EEA)から領域外にデータを転送する際は合法の転送方式をを保証しています。BoxのEU BCRは以下でご覧いただけます。
EU-米国間プライバシーシールドおよびスイス-米国間プライバシーシールド: 2020年7月16日、欧州司法裁判所(CJEU)は、EU-米国間プライバシーシールドおよびスイス-米国間のプライバシーシールドのフレームワークは欧州経済領域(EEA)からアメリカ合衆国へ個人データを転送するデータ転送方式としてもはや適正ではないと規定しました。アメリカ合衆国商務省のガイダンスに従って、Box, Inc.は、EU-米国間プライバシーシールドフレームワークおよびスイス-米国間のプライバシーシールドフレームワークに引き続き参加し、そのコンプライアンスを認定します。プライバシーシールドの認証に関する詳細はこちらのBox EU-米国間プライバシーシールドおよびスイス-米国間プライバシーシールドの通告をご覧ください。
米国
カリフォルニア州
本「情報収集におけるカリフォルニア州のプライバシー権に関する通知」(以下「CA通知」)は、2018年カリフォルニア州消費者プライバシー法(その後の改訂も含め以下「CCPA」)の規定に従い、Box個人報保護方針に記載された情報を補足するものです。本CA通知には、Box, Inc.およびその関連会社が、カリフォルニア州居住者(以下「消費者」または「お客様」)の個人情報を収集、利用、共有する方法、および、お客様がCCPAに基づく権利を行使する方法が記載されています。
適用範囲:本CA通知における「個人情報」とは、お客様もしくはお客様の世帯を識別できる情報、お客様もしくはお客様の世帯に関連する情報、または、お客様もしくはお客様の世帯に合理的に関連付けることができる情報を意味します。
CCPAは、Boxがお客様の個人情報を収集する際の一定の適用除外を定めています。当社がお客様から、またはお客様について収集した個人情報のうち、公開されているものは、この適用除外に該当します(Cal. Civ. Code Section 1798.140)。そのため、本CA通知およびここに記載されたプライバシー権は、お客様またはお客様の一部の個人情報には適用されない場合があります。
Boxの求職者、現在および過去の従業員、請負業者、またはその他のBox関係者に関連する情報については、Box従業員プライバシー通知またはBox求職者プライバシー通知を参照してください。
情報の収集:当社では、さまざまな目的のためにお客様の個人情報を収集します。収集される個人情報には以下のようなものがあります。
当社がお客様から直接収集する連絡先情報(お名前、Eメールアドレス、電話番号など)
お客様が購入、入手または検討されたBox製品またはサービスなどの商取引情報
インターネットおよび関連するネットワーク操作の情報(IPアドレス、セッションログ、およびBoxの「クッキーに関する通知」に基づくお客様と当社のウェブサイトおよびアプリケーションとのやりとりの情報)
インターネットおよびネットワーク操作におけるIPアドレスなどのジオロケーションデータ
その他の個人情報:(1) お客様がウェビナー、デモ、バーチャルカンファレンスに登録する際に提供する情報、(2) お客様が当社のホワイトペーパーやレポートをダウンロードする際に提供する情報、(3) お客様がBoxのコミュニティフォーラムに参加する際に提供する情報、(4) お客様が当社のBoxサポートポータルを通じて当社に直接連絡する際に提供する情報など
個人情報の利用:当社では、お客様の個人情報を以下の目的で利用します。
Boxサービスの提供、運営、維持、および改善
サービス、機能、調査、ニュースレター、オファー、プロモーション、コンテスト、イベントについてのお知らせ、ならびに、Boxおよび当社のパートナーに関するニュースまたは情報の提供
Boxサービスのパーソナライズおよび改善、お客様の興味や好みに合ったコンテンツ、機能、広告の提供、またはBoxサービスにおけるお客様の体験のカスタマイズ、または
その他Box個人情報保護方針の「情報の利用」セクションに別途記載された目的
個人情報の販売または共有:当社は、第三者のクッキーによって収集されたお客様のデジタルアクティビティを、当社のサービスの強化、カスタマイズ、改善、およびお客様への通知のために利用することがあります。デジタルアクティビティの情報をこのような形で共有することは、CCPAに定める販売に該当する可能性があります。当社のクッキーの使用について詳しくは、Boxのクッキーに関する通知をご覧ください。クッキーの設定を変更するには、ここをクリックしてください。さらに、当社は販売目的、事業開発目的、および法令の許す範囲のマーケティング目的で、限られた連絡先情報を第三者と共有することがあります。
カリフォルニア州におけるプライバシー権:お客様は、Boxが収集したお客様の個人情報に関して、お客様による請求の確認を条件として、以下に記載するプライバシーの権利を行使することができます。
Boxが収集した個人情報を知る権利
個人情報を削除する権利
個人情報を修正する権利
秘匿を要する個人情報の利用および開示を制限する権利
個人情報の販売または共有をオプトアウトする権利、および
権利行使を理由にした差別を受けない権利
権利行使の方法:カリフォルニア州のプライバシー権を行使するには、privacy@box.comまでご連絡ください。当社は、請求を速やかに確認し、45日以内に回答します。上記期間を超える時間が合理的に必要とされる場合は、お客様に直接お知らせします。
CCPAの規定する本人確認ができない場合、当社にはお客様の請求を拒否する権利があります。請求に応じない決定をした場合、当社はその旨と、お客様がその決定に対して異議を申し立てる際の権利についてお知らせします。CCPAの規定により、当社は12か月間に2回のみ、特定の権利の要求に応じることが義務付けられています。
お客様が権利の行使を選択した場合に、Boxはその権利行使を理由として、サービスの拒否、サービスの料金の変更、サービスのレベルの変更を行うことはありません。
情報の事前収集、利用、共有:お客様へのBoxサービスの提供(「事業目的」)に関連して、当社は、Box個人情報保護方針およびサブプロセッサー通知に記載されたとおり、お客様の個人情報を第三者およびその他の事業体と共有する場合があります。
CCPAの規定により、当社は収集した個人情報のカテゴリー、収集の業務上の目的、および個人情報の開示先である第三者のカテゴリーを開示する義務を負っています。以下の表は、過去12か月間の当社の実績を示したものです。
個人情報の区分 | 個人情報収集の事業目的 | 個人情報を開示する第三者の区分 |
|
|
|
本CA通知の更新本CA通知は随時更新されます。本CA通知に変更が加えられた場合は、ページ上部にある「最終更新日」の日付が更新されます。
お問い合わせ:本CA通知についてのご質問は、privacy@box.comまでお寄せください。
バージニア州
本「バージニア州のプライバシー件に関する通知」(「VA通知」)は、当社の個人情報保護方針に記載された情報を補足するものであり、2023年1月1日よりBoxサービスを利用するバージニア州居住者(以下「消費者」または「お客様」)に適用されます。 本VA通知は、お客様がBoxサービスを使用する際に、Boxがお客様の個人情報をどのように収集、利用、共有するかについて記載しています。本VA通知は、バージニア州消費者データ保護法(「CDPA」)の定めにより作成されています。バージニア州に居住するお客様は、当社とのやり取り、またはBoxサービスの利用において、お客様の個人データが、サービス利用規約、個人情報保護方針および本VA通知に従って取り扱われることに同意するものとします。
当社がバージニア州居住者から収集する個人データおよびその利用方法
Boxは、お客様がサービスを利用する際に特定のカテゴリーの個人データを収集します。収集対象には、識別子、取引情報、インターネットその他のネットワーク活動、お客様のIPアドレスに結びついたジオロケーションデータ、およびその他の個人データなどが含まれます。 Boxが収集する個人データおよびその利用方法について、詳細は個人情報保護方針の「情報の収集」および「情報の利用」のセクションに記載されています。
CDPAの規定により、Boxは法的影響またはそれに類する重大な影響を及ぼすプロファイリング/自動意思決定は行いません。さらに、Boxが個人データを「第三者」に「販売」することはありません。
ターゲティング広告
Boxは、お客様から個人識別子を自動的に収集することがあります。ここでいう識別子とは、IPアドレス、デバイス識別子、広告IDおよび、お客様のブラウザまたはデバイスに関するその他の情報などです。当社は、この情報をクッキーやその他のトラッキング技術によって収集し、「ターゲティング広告」のために広告エコシステム内の第三者と共有することがあります。詳細は個人情報保護方針およびクッキーに関する通知をご覧ください。
バージニア州のプライバシー権
バージニア州の居住者には、以下の権利があります。
当社がお客様の個人情報を取り扱っているかどうかの確認、および当該個人情報へのアクセスを要求する権利
誤った個人情報の修正を要求する権利
一定の例外を除き、個人情報の削除を要求する権利
個人データの写しを要求する権利
ターゲティング広告を目的とした個人データの処理のオプトアウトを要求する権利
個人情報の「販売」をオプトアウトする権利、および
消費者に関して法的影響またはそれに類する重大な影響をもたらす決定を行う際に、プロファイリングをオプトアウトする権利
ターゲット広告をオプトアウトする権利は、こちらから行使できます。上記のその他の権利の行使、請求の送付、リクエストの拒否に対する不服申し立てについては、privacy@box.comまでご連絡ください。