はじめに
当社では、お客様からご提供の個人情報を大切に扱います。 本プライバシーポリシー(以下「本ポリシー」)の目的は、DigiCert, Inc. および/またはその関連会社(以下「デジサート」、「DigiCert Group」、または「当社」)との間で個人情報を共有する当社の企業顧客およびその他の個人(以下「お客様」)の代表者に対して、当社が個人情報をどのように収集・処理するかをお伝えし、お客様から共有される個人情報に関わる一定の権利についてお知らせすることです。
中華人民共和国(以下「PRC」)、日本、およびオーストラリアにお住まいの方は、後述する「他の管轄固有の情報」のセクションをご覧ください。
本ポリシーの目次
はじめに
本ポリシーの目次
デジサートについて
本プライバシーポリシーの適用範囲
製品固有の情報
データ処理の目的
データ処理の法的根拠
お客様に関して当社が収集する情報
Cookie とトラッキング技術
重要な個人情報
お客様の情報を利用する目的
第三者への開示
情報セキュリティ
お客様の情報のホスティング場所と保管場所
当社がお客様の情報を保管する期間
お客様の情報に関するお客様の権利
EU、英国、スイスのデータプライバシーフレームワーク
中国のプライバシー
日本のプライバシー
オーストラリアのプライバシー
苦情
適用可能性
未成年のプライバシー
本ポリシーに対する変更
連絡先情報
関連文書
デジサートのリーガルリポジトリ
デジサートについて
DigiCert, Inc. は米国で設立された会社であり、その本社住所は「2801 North Thanksgiving Way, Suite 500, Lehi, Utah 84043」です。 当社への連絡方法については、以下の連絡先情報をご覧ください。 また、DigiCert, Inc. は、世界各地に子会社も有しています(総称して「DigiCert Group」)。
認証局(「CA」)として行動する範囲において、デジサートは、本ポリシーのもとで処理される個人情報のデータ管理者として行動します。 当社がお客様の情報をどこで処理・保管するか、またデジサートのどの事業体がデータ管理者つまり特定の事例におけるデータ処理の責任者であるかについては、「お客様の情報のホスティング場所と保管場所」のセクションを参照してください。
本プライバシーポリシーの適用範囲
本ポリシーは、お客様の個人情報を収集して処理するデジサートの従業員、エージェント、ネットワーク、サーバー、製品、ウェブサイト、モバイルアプリケーション、オンラインサービス、プラットフォーム、デバイス、および/または技術に適用されます。
製品固有の情報
デジサートが提供する製品およびサービスは多岐にわたります。 特定のデジサート製品および子会社、たとえば DNS Made Easy、Rapid Web Services, LLC(以下「SSL ストア」)、QuoVadis、GoGetSSL などに関連する事業体固有の追加情報については、デジサートプライバシーセンターをご覧ください。
データ処理の目的
CA として活動する場合、デジサートは当該の特定証明書サービスに適用される認証局運用規定(以下「CPS」)に従ってお客様に証明書サービスを提供する目的で、お客様の個人情報を処理します。 また、当社ウェブサイトの使用も含めて、お客様が要求または購入した他の製品および/またはサービスを提供する目的で、お客様の個人情報を処理することもあります。 具体的な情報については、後述の「お客様の情報を利用する目的」を参照してください。
データ処理の法的根拠
デジサートがお客様の個人情報を処理するのは、適用法に基づいて根拠または正当性がある場合に限られます。
企業顧客のエージェントおよび代表者の場合、お客様が代表する当社の顧客にサービスを提供する際に発生する正当な利益に従って、お客様の個人情報を処理します。そのために、当社の企業顧客が要求または購入した製品および/またはサービスを提供し、お客様の個人情報を処理するうえで必要なサービスを実行します。
その他のお客様の場合、該当する状況に応じ、またお客様の所在地および/またはお客様が要求または購入したサービスまたは製品に応じて、当社は、お客様との書面による契約を交わす措置を講じる目的や、お客様との書面による契約に基づく義務を履行する目的で、お客様の個人情報を処理する場合があります。
お客様が要求した製品および/またはサービスの一部として、お客様自身に代わって、またはお客様が代表している企業顧客に代わってお客様から自発的に個人情報を提供していただくと、当社はその要求に応えることができます。
CA として活動する場合、当社は、認証局/ブラウザフォーラム(以下「CA/B フォーラム」)など特定の第三者コンソーシアムによって開発・施行された業界標準に従ってお客様の個人情報を処理する義務を負うものとします。 業界標準および関連コンソーシアムの詳細については、当社のリーガルリポジトリで該当する CPS を参照してください。
お客様に関して当社が収集する情報
当社が収集する個人情報のカテゴリー:
お客様がデジサートの製品およびサービスを利用している間、および/またはそれに先立つ 12 か月間、当社は次の表で「業務上の連絡先情報」に列挙されている個人情報を収集および/または処理します。 証明書発行プロセスの一環として、当社は「認証情報」欄に示した情報を収集します。
リモート本人確認(以下「RIV」)の使用が選択された場合には、以下の「生体情報」に示した情報も収集します。
業務上の連絡先情報 |
姓名、メールアドレス、住所、電話番号およびファックス番号、IP アドレス、ユーザー名および関連するアカウント情報、役職名、雇用主、特定の支払情報。 |
認証情報 |
デジサートは、検証プロセスの一環として、政府発行の身分証明書(運転免許証、パスポートなど)を含めた重要な個人情報を限定的に処理します。 |
生体情報 |
デジサートは、検証プロセスの一環として使われる政府発行の身分証明書や、当社のリモート本人確認(以下「RIV」)プロセスの使用を選択したお客様が利用する特定の生体情報といった重要な個人情報を限定的に処理します。 必要な場合には、お客様の重要な個人情報を処理する前に、改めてお客様の同意を得ます。 リモート本人確認に関するプライバシーポリシーはこちらをご覧ください。撤回をリクエストする権利についても記載されています。 |
当社がお客様の情報を収集する情報源のカテゴリー:
当社が提供する製品および/またはサービスの一環として、当社は以下のように各種の情報源からお客様の個人情報を収集することがあります。
当社のウェブサイト: デジサートおよびそのサードパーティライブチャット管理者は、メールやライブチャットも含めた当社のウェブサイトを通じて、あるいは当社アカウントの作成を選択した当社顧客の場合は顧客アカウントを通じて、お客様の情報を収集することがあります。 お客様が当社のライブチャットプラットフォームを使用して当社に連絡する場合、当社はライブチャットでお客様と通信する前にお客様の同意を得る必要があります。 ライブチャットの代わりに、support@digicert.com までお問い合わせいただくことも可能です。
当社の OCSP サービス: デジサート証明書によって保護されている HTTPS ウェブサイトまたはその他の TLS サービスに対して Online Certificate Status Protocol(以下「OCSP」)リクエストが行われた場合に、デジサートはお客様の情報を収集することがあります。 当社のリーガルリポジトリで当該 CPS に記載されているように、デジサートは OCSP サービスを運営するために OCSP リクエスト、クライアントの IP アドレス、証明書シリアルナンバーを収集します。 デジサートは OCSP データを最大 7 年間保管し、トラブルシューティングと、悪意ある、または不正な活動の検出のために使用します。 当社のコンテンツ配信ネットワークによって処理された OCSP データは、10 日後に削除されます。
お客様が提供する情報: お客様は、デジサートのウェブサイトにおける自身のアカウント(以下「アカウント」)を通じて、あるいはデジサートまたはそのリセラーのそれ以外の連絡先を通じて、電子証明書をリクエストします。 リクエストを提出する際、お客様は個人に関して氏名、メールアドレス、電話番号、住所および政府発行の身分証明書(使用される身分証明書によっては、追加の情報が記載されている場合があります)の各情報をデジサートに提供するものとします。 特定のデジサートサービスおよび製品で必要となる個人情報の詳細は、当社のリーガルリポジトリで当該 CPS に記載されています。
第三者からの情報: デジサートは、お客様から得た個人情報を確認または補足するために、第三者の情報源から情報を収集する場合があります。 第三者の情報源から得たそのような情報を、デジサートは証明書の発行に関連する検証サービスを履行する目的で使用します。
デジザートがソーシャルメディアプラットフォームを通じて外部とコミュニケーションをとる場合、顧客満足度やブランド評価を測定するとともに、外部コミュニケーション戦略の有効性を把握することを目的として、コミュニケーションに関連する活動を収集、分析します。
デジサートがマーケティング活動を行う場合、法律で認められている限り、リードジェネレーションおよびデータ品質プロバイダーや公開されている情報源といった第三者から情報を収集して使用することがあります。
ソーシャルメディアリスニング: 当社は API (アプリケーションプログラミングインターフェイス)を通じてソーシャルメディアプラットフォームに統合された特定のサードパーティツールを使用します。 これらのツールは、消費者や、そのようなプラットフォームのユーザーがデジサートに関してソーシャルメディアに発信した投稿から、製品とサービスの改善に役立つ分析情報を収集します。 この情報はマーケティング目的や販売促進には使用しませんが、ソーシャルメディアリスニングを通して収集した情報を顧客アカウントに紐付けることがあります。
リセラー関連会社: 当社のリセラー関連会社を通じて電子証明書および関連製品を購入したお客様に関して、デジサートはリセラー関連会社との取引に関わる業務上の連絡先情報、金融取引情報、その他の個人情報を収集する場合があります。 リセラー関連会社とのパートナーシップに関連するデータ処理は、共同管理者に関する契約のもとで管理されるのが一般的です。 当社のリセラー関連会社に関するプライバシー運用方針の詳細については、デジサートプライバシーセンターをご覧ください。
Cookie とトラッキング技術
デジサートは、Cookie、ウェブビーコン、ログファイルなどの技術を使用して、ウェブサイトの訪問者に関する技術情報を収集、分析、保存しています。 デジサートが Cookie をどのように使用するか、お客様自身の Cookie 設定をどう管理するかについては、「Cookie の設定」をご覧ください
お客様の情報を利用する目的
当社は、お客様の情報を以下の目的で利用する場合があります。
第三者への開示
お客様が要求または購入した製品および/またはサービスによっては、お客様がデジサートの製品およびサービスを利用している間、および/またはそれに先立つ 12 か月間、デジサートは、デジサートの関連会社、サービスプロバイダー、および当社に代わって、かつ適用法に従って個人情報を処理するそれ以外の第三者に、お客様の情報を開示する場合があります。
お客様のデータを当社が第三者に販売することはなく、お客様の情報の開示先となる第三者は、少なくとも本プライバシーポリシーと同程度の拘束力を持つ要件に従うものとします。 適用法の規定に従って、そのような第三者は、処理要件の概要を規定し、以下に概要を示す 1 つ以上の目的を果たすためにお客様の情報の使用を制限するデータ処理契約によっても拘束されます。
デジサート関連会社への開示
サービスプロバイダーへの開示
第三者への開示
情報セキュリティ
利用者の個人情報に関するセキュリティは、デジサートにとって最も重要です。 デジサートは、業界のベストプラクティスおよび適用可能なデータ保護法に従って、社内の技術的対策および組織的対策を導入しており、維持しています。 このような対策は、こちらで確認できます。
その他のセキュリティ対策のうち、当社は、保存中のデータおよび転送中のデータについて業界標準の暗号化を実施しています。 当社のセキュリティ対策は、商業上合理的なプロトコルに沿っていますが、デジサートはお客様の個人情報について絶対的な安全を保証するものではありません。 当社のセキュリティ対策に関するご質問は、privacy@digicert.com までお問い合わせください。
お客様の情報のホスティング場所と保管場所
データの保管は、お客様の所在地によって、またお客様が購入あるいは要求した製品および/またはサービスによっても異なるのが普通です。 お客様の個人情報に関する当社のデータ処理活動は、当該地域で適用可能なデータ保護法の対象となります。 特定の製品に関する詳細については、デジサートプライバシーセンターをご覧ください。
内部処理
米国の事業体の場合、お客様の認証情報は、当社の米国データセンターに保管されます。 EU/EEA の事業体の場合、お客様の検証情報はオランダおよびスイスにあるデータセンターに保管されます。
DigiCert Group における内部処理のために当社がお客様の情報を処理ならびに保管する場所に関する具体的な情報は、以下の表のとおりです。
プラットフォーム |
製品 |
ホスティング場所 |
保管場所 |
CertCentral |
CertCentral(TLS/SSL 証明書、コードサイニング証明書)、製品機能には検出と自動化が含まれる |
米国 |
米国 |
CertCentral EU |
CertCentral TLS/SSL 証明書 |
オランダ |
オランダ、スイス |
CertCentral EU |
DTM による適格署名 |
オランダ |
一部のデータは米国に保管 |
DigiCert One
|
Trust Lifecycle Manager |
米国 オランダ スイス 日本 |
米国 オランダ スイス 日本 |
DigiCert One
|
Document Trust Manager |
米国 オランダ スイス 日本 |
米国 オランダ スイス 日本 |
DigiCert One
|
IoT Trust Manager |
米国 オランダ 日本 |
米国 オランダ 日本 |
DigiCert One
|
Software Trust Manager |
米国 日本 オランダ
|
米国 オランダ スイス 日本 |
DigiCert One |
Embedded Trust Manager(旧称 Mocana) |
米国 |
米国 |
Gatekeeper |
Gatekeeper |
オーストラリア |
オーストラリア |
第三者のサブプロセッサー
当社は、お客様が要求した製品またはサービスを提供する目的で当社に代わってお客様の個人情報を処理する第三者のプロセッサーにも、お客様の情報を提供する場合があります。 当社のサブプロセッサーのリストは、https://www.digicert.com/content/dam/digicert/pdfs/legal/sub-processor-list.pdf でご確認になれます。
当社がお客様の情報を保管する期間
当社は、業務上の正当な目的のためにのみ、またお客様(またはお客様が代表している企業顧客)に製品および/またはサービスを提供する当社の取り組みを達成するために必要な限りにおいてのみ、業界標準に沿って適用可能な CPS に従って、個人情報を保持します。 具体的には、当社は以下の保管スケジュールに従って特定種類のデータを保持します。
お客様の情報に関するお客様の権利
お客様は、個人情報に関する一定の権利を有する場合があります。 お客様情報へのアクセス要求、ポータビリティの要求、削除の要求、個人情報の処理の制限の要求、修正の要求、プライバシーの権利を行使する際に差別を受けない権利の要求を提出できるほか、場合によっては、当社がお客様の個人情報を処理することに異議を唱え、処理についての同意を撤回する要求を提出することができます。
お客様は、以下の手段を使って、お客様の個人情報に関する権利を行使できます。
お客様の本人確認
上記の要求にお応えする前に、お客様の本人確認のために当社からいくつかの質問にお答えいただきます。 本人確認のために追加の文書が必要な場合には、その旨をお知らせします。
本人確認ができなかった場合
本人確認ができない場合は、その旨をお知らせします。 不正であると考えられる理由がある場合は、いかなる要求も却下させていただきます。
アカウントの更新: お客様のプライバシーの権利を行使する際にアカウントを開設する必要はありませんが、アカウントをお持ちの場合は、お客様のアカウントプロフィールにアクセスして編集することで個人情報を更新できます。 サポートについては、support@digicert.com 宛てに当社サポートチームにお問い合わせください。
マーケティングのオプトアウト: お客様は、自身の個人情報をマーケティング目的で処理しないよう当社に要請する権利を有します。 お客様は、当社のプライバシーリクエストフォームを通じて連絡することによって、このような処理を防ぐ自身の権利を、いつでも行使できます。
NAI/DAA 消費者オプトアウト:: 以下のウェブページにアクセスして、デジサートの代理で広告を配信する企業を含む幅広い企業からのターゲット広告をオプトアウトすることもできます。 NAI(Network Advertising Initiative)の場合は http://www.networkadvertising.org/managing/opt_out.asp、DAA(Digital Advertising Alliance)の場合は http://www.aboutads.info/choices/ にアクセスしてください。 上記サイトを通じてオプトアウトしても、デジサートのウェブサイトまたはプラットフォームを使用する際に広告が表示されなくなるわけではありませんが、上記サイトでオプトアウトした企業が配信するお客様の興味関心に合わせてカスタマイズされた広告が表示されることはなくなります。
委任代理人の指名: お客様は、居住する州や国により、お客様の代理でリクエストを行う委任代理人を指名する権利を有する場合があります。 米国、および場合によってはその他の州/国では、委任状を提出して委任代理人を指名できます。 委任状をお持ちでない場合、privacy@digicert.com にお問い合わせいただき、委任代理人を指名するために記入する必要があるフォームをお受け取りください。 なお、本人確認や委任代理人指定のために追加の手順が必要になることがあります。
不服申し立てをする権利: その要求を上回る利益または要件がない限り、当社は上記に挙げたプライバシー権に関して提出されたすべての要求を尊重します。 ただし、その要求を上回る可能性のある、業務上の正当な理由またはその他の要件がある場合、要求にお応えできないことがあります。 その場合、要求にお応えできなかった理由をお知らせします。 お客様が居住する州または国によっては、当社がお客様の要求にお応えできない場合、お客様が不服申し立てをする権利を有する場合があります。 件名を「Appeal」として privacy@digicert.com にメールを送信すると、不服申し立てが可能です。
EU-U.S. Data Privacy Framework、Swiss-U.S. Data Privacy Framework、UK Extension
デジサートは、米国商務省が定める EU-U.S. Data Privacy Framework(EU-U.S. DPF)、EU-U.S. Data Privacy Framework の UK Extension、および Swiss-U.S. Data Privacy Framework(Swiss-U.S. DPF)に準拠しています。 EU-U.S. DPF に基づいて欧州連合から、また EU-U.S. DPF の英国エクステンションに基づいて英国(およびジブラルタル)から受領した個人情報の処理に関して、EU-U.S. データプライバシーフレームワーク原則(EU-U.S. DPF 原則)を遵守していることを、デジサートは商務省に対して証明済みです。 Swiss-U.S. DPF に基づいてスイスから受領した個人情報の処理に関して、Swiss-U.S. データプライバシーフレームワーク原則(Swiss-U.S. DPF 原則)を遵守していることを、デジサートは商務省に対して証明済みです。 本ポリシーに記載されている条項と、EU-U.S. DPF 原則、EU-U.S. DPF の英国エクステンション、および/または Swiss-U.S. DPF 原則との間に矛盾がある場合は、その原則に従うものとします。 データプライバシーフレームワーク(DPF)プログラムの詳細と当社の認証については、https://www.dataprivacyframework.gov をご覧ください。
デジサートは、各データプライバシーフレームワークのもとで受信した個人データを処理する責任を負い、その後、デジサートの代理人としての役割を果たす第三者に転送します。 デジサートは、EU、英国、スイスからの個人データの転送すべてについて、転送の義務条項を含むデータプライバシーフレームワークの原則を遵守します。
データプライバシーフレームワークに準じて受信または転送される個人データに関して、デジサートは、米国連邦取引委員会の規制執行力の支配下にあります。 特定の状況において、当社は、国家の安全または法執行の要件を満たすためなど、行政機関による法律に基づく要求に応じて個人データの開示を求められる場合があります。
他の管轄固有の情報
国 |
プライバシー覚書 |
中国(PRC)の居住者 |
本ポリシーに付属の「中国のプライバシー覚書」をご覧ください。
|
日本の居住者 |
本ポリシーに付属の「日本のプライバシー覚書」をご覧ください。
|
オーストラリアの居住者 |
本ポリシーに付属の「オーストラリアのプライバシー覚書」をご覧ください。
|
その他の国すべて
|
居住国における個人情報保護法についての情報があるかどうかは、デジサートプライバシーセンターをご確認ください。 |
苦情の申し立て
当社のプライバシー運用方針に関する苦情は、当社のプライバシーリクエストフォームで、または privacy@digicert.com 宛てのメールで申し立てることができます。 当社がその苦情に対応する前に、お客様の本人確認をさせていただきます。
EU-U.S. DPF、EU-U.S. DPF の英国エクステンション、および Swiss-U.S. DPF に従って、デジサートは、当社の個人情報収集および使用に関する DPF 原則関連の苦情を解決することをお約束します。 EU-U.S. DPF、EU-U.S. DPF の UK エクステンション、および Swiss-U.S. DPF に基づいて受領した個人情報の取り扱いに関するお問い合わせや苦情がおありの、EU、UK、スイスの個人の方は、まず privacy@digicert.com 宛てにデジサートまでご連絡ください。
お客様が、当社が満足のいく対応を行っていない未解決のプライバシーまたはデータ使用に関する懸念をお持ちの場合、米国の第三者紛争処理機関(https://feedbackform.truste.com/watchdog/request)までお問い合わせください(無料)。
特定の条件下では(詳細についてはデータプライバシーフレームワークのウェブサイト https://www.dataprivacyframework.gov/s/article/How-to-Submit-a-Complaint-Relating-to-a-Participating-Organization-s-Compliance-with-the-DPF-Principles-dpf を参照)、他の紛争解決手続きが尽くされたときに、お客様は法的拘束力のある仲裁を受ける権利を行使できる場合があります。
適用可能性
デジサートのウェブサイトからダウンロードされたソフトウェアの利用規約は、同ソフトウェアの利用に関して、本ポリシーの規約よりも優先されるものとします。 「製品固有の情報」および「他の管轄固有の情報」のセクションで注記されているとおり、当社は本ポリシーの範囲外の処理活動を記述する補足的なプライバシーポリシーを提供する場合もあります。
当社のウェブサイトには、本ポリシーとは異なる第三者のウェブサイトへのリンクが含まれている場合があります。 これらのウェブサイトのいずれかに個人情報を送信する場合、お客様の情報はそのプライバシーポリシーによって管理されるため、それらのウェブサイトに個人情報を送信する前に、これら第三者ウェブサイトのプライバシーポリシーを注意深くお読みになることをお勧めします。
未成年のプライバシー
デジサートは、18 歳未満の子供から意図的に個人情報を収集することはありません。また、デジサートのウェブサイト、プラットフォーム、アプリケーションは未成年向けではありません。 当社が 18 歳未満の子供に関する個人情報を有していると思われる場合は、privacy@digicert.com までお問い合わせください。
本プライバシーポリシーの変更
当社は随時、本ポリシーを更新することがあります。 当社の情報運用に当社が重大な変更を加える場合、本プライバシーポリシーを更新した後、当事者の方々に通知します(例: ホームページまたは製品プラットフォームに通知を掲載する、または必要な場合に影響を受ける個人にメールを送信するなどして)。 このページを定期的にチェックして、当社のプライバシー方針の最新情報を確認することをお勧めします。 本ポリシーの改定は、それが掲載されてから 30 暦日後に有効となるか、または適用法の規定に従って有効となります。
連絡先情報
本ポリシーや当社のデータ収集方法に関するご質問やご不明な点がありましたら、デジサートのデータプライバシー責任者か、またはデジサートの欧州データ保護連絡係までお問い合わせください。 英国の個人の場合、お客様は当社の英国担当者に問い合わせることもできます。
デジサートデータプライバシー責任者
DigiCert, Inc.
Attention: Data Privacy Officer, Aaron Olsen
2801 North Thanksgiving Way、Suite 500
Lehi, Utah 84043, United States
電話フリーダイヤル: 1-800-896-7973(米国およびカナダ)
電話直通: 1-801-701-9600
Fax フリーダイヤル: 1-866-842-0223(米国およびカナダ)
Fax 直通: 1-801-705-0481
欧州データ保護連絡係
DigiCert Ireland Ltd.
Attention: 欧州データ保護連絡係、Richard Hall
Unit 21, Beckett Way
Park West Business Park
Dublin 12, Ireland
電話: +353 1803 5400
Fax: +353 1861 7990
イギリス担当者
DigiCert UK Limited
Attention: イギリス担当者
c/o Worldwide Corporate Advisors Llp
150 Minories
London EC3N 1LS United Kingdom
リーガルリポジトリ
上記の文書およびその他の重要な文書は、デジサートのリーガルリポジトリでご覧いただけます。