データ・プライバシー・フレームワーク・プライバシーポリシー

最終改訂日:2023年12月19日

米国のZebrafish Labs, Inc. (以下、「imgix」)は、欧州経済地域 (以下、「EEA」)、英国、ジブラルタル、スイスに所在する当社の取引先/パートナーが受け取るお客様の個人情報の当社での取り扱い方法について知っていただくために、本データ・プライバシー・フレームワーク・プライバシーポリシー を作成しました。本データ・プライバシー・フレームワーク・プライバシーポリシーは、imgixプライバシーポリシーを補足するものです。本ポリシーで特に定義されていない限り、本ポリシーにおける用語はimgix プライバシーポリシーと同じ意味を持ちます。

imgixは、欧州連合、英国、ジブラルタル、およびスイスから受け取る個人情報の処理について、EU-米国間のデータ・プライバシー・ポリシー、その英国拡張版、およびスイス-米国間のデータ・プライバシー・フレームワーク (総称して「DPF」)の認定を受けており、本ポリシーの対象となる個人情報についてDPF原則を遵守することを約束します。認定機関のリストを含むDPFの詳細については、https://www.dataprivacyframework.gov/をご覧ください。本ポリシーは imgixに適用されます。

EEA、英国、ジブラルタル、スイスから当社に転送される個人情報は、以下の2つのカテゴリーに分類されます。1) EEA、英国、ジブラルタル、スイスにある当社の取引先/パートナー (以下、「取引先」)の従業員に関する個人情報、および、2) 当社がビジネスパートナーに代わって処理するお客様の個人情報 (画像コンテンツ、デバイス情報、アクセス場所、およびリファラー)。後者の場合、当社はデータ処理事業者の役割を担い、ビジネスパートナーからの指示に基づいてのみそのような情報を処理します。

DPFの要件は、当社がビジネスパートナーに代わって処理者として行動するか、データ管理者として行動するかによって異なります。つまり当社は、その情報の使用方法について独立した決定を下すとともに、当社の各種方針および慣行は、以下に個別に説明するものとします。

ビジネスパートナーに代わり処理事業者として機能するimgix

imgixがビジネスパートナーに代わって処理事業者として機能する場合、以下のポリシーがEEA、英国、ジブラルタル、スイスから米国に転送された個人情報に関するすべてのデータ処理業務に適用されます。

個人情報の利用 当社は、ビジネスパートナーが要求した目的でのみ個人情報を処理します。 

アクセスと訂正 当社は、DPF原則に基づき権利を行使する個人への対応において、管理者 (ビジネスパートナー)を支援します。

エージェントとサービスプロバイダー 当社は、ビジネスパートナーが許可また要求する場合を除き、またDPF原則に従って、個人情報を第三者に転送しません

個人情報は当社のビジネスパートナーの管理下にあるため、当社のビジネスパートナーはかかる個人への適切な通知と選択の機会を提供します。データ処理事業者としてのimgixは、通常、ビジネスパートナーの顧客やその他の個人と直接的な関係を持ちません。

データ管理者として機能するimgix

imgixは、EEA、英国、ジブラルタル、スイスの事業体から、氏名、郵送先住所、Eメールアドレス、電話番号、居住国、クレジットカード情報、取引情報、IPアドレス、デバイス情報、およびIP由来の位置情報 (総称して「個人情報」)を含む情報を受け取る場合があります。

当社に送信された個人情報は、当社およびその代理人が、imgixプライバシーポリシーに記載されている目的で使用される場合があります。これらの目的とは著しく異なる目的でお客様の情報を使用する場合、または、事前に特定されていない第三者 (非代理人)に開示する場合は、当社はお客様に通知し、機密情報以外の情報が含まれる場合はそのような使用および開示からオプトアウトする機会を提供し、機密情報が含まれる場合はオプトインする機会を提供します。

第三者への開示 お客様の個人情報は、プライバシーポリシーに記載されているとおり、以下を含む第三者に開示される場合があります。

  • 当社の事業を運営するための専門アドバイザーおよび保険会社、
  • 紛争解決のための第三者、
  • 当社の事業またはその資産の全部または一部の売却、譲渡、資金調達 (倒産手続きに関連する活動を含む)に関連する適切な第三者、
  • および、当社のサービスの提供、維持、改善のための第三者。

代理業者およびサービスプロバイダーへの開示 当社は、ウェブサイトのホスティング、データ分析、支払い処理、注文処理、情報技術および関連のインフラストラクチャーの提供、顧客サービス、Eメール送信、監査、その他のサービスなど、当社に代わって業務機能やサービスを実行するために、他の企業や個人と契約する場合があります。こういった企業や個人は、当該業務機能の遂行に必要な個人情報にアクセスすることができますが、当社に代わり、または当社に対してサービスを提供する目的以外で個人情報を使用することは制限されています。当社は、個人情報にアクセスできる代理業者やサービスプロバイダーに対し、DPF原則で義務付けられているのと同等の保護を提供することを義務付けています。当社は、当社の代理業者がDPF原則に基づく当社の義務に合致した方法で情報を処理することを保証する責任を負います。

データセキュリティ 当社は、お客様の個人情報の性質およびその情報の処理に伴うリスクを考慮し、個人情報を紛失、誤用、不正アクセス、開示、改ざん、および破壊から保護するために、合理的な、物理的、電子的、および管理上の保護手段を講じています。

データの完全性と目的の制限 弊社は、個人情報の収集および使用を、処理目的に関連する情報に限定し、情報が収集された目的またはその後お客様によって承認された目的と矛盾する方法で個人情報を処理することはありません。弊社は、個人情報の使用目的の達成に必要な範囲で、個人情報の信頼性、正確性、完全性、最新性を確保するために合理的な措置を講じています。

個人情報へのアクセス お客様は、当社が保持するお客様の個人情報の確認および訂正を、privacy@imgix.com宛てに書面にて要請することができます。

DPF の執行と紛争解決

ご質問やご不明な点がございましたら、下記の住所までご連絡ください。当社は、DPF原則に従い、個人情報の使用および開示に関する苦情および紛争について調査し、解決に努めます。

当社がお客様の苦情または紛争を解決できない場合は、米国に拠点を置く、裁判外紛争解決機関であり、無料で苦情解決の支援を提供しているJAMS DPF プログラムにご連絡ください。

DPF原則で詳しく説明されているように、他の手段で苦情が解決されなかった場合に対処するための拘束力のある仲裁オプションも提供されます。当社は米国連邦取引委員会 (FTC) の調査および執行権限の対象となります。

法律で義務付けられている開示

当社は、法執行機関または国家安全保障上の理由による、公的機関からの合法的な要請に応じる場合、または司法手続きもしくは裁判所命令に従うために必要な場合、または法律で義務付けられている場合に、個人情報を開示する必要がある場合があります。

連絡先情報

本DPFプライバシーポリシーに関するご質問は、Eメールにてprivacy@imgix.comまでご連絡いただくか、以下の宛先まで書面にてお問い合わせください。

Christopher Zacharias Zebrafish Labs, Inc. 423 Tehama St San Francisco, California 94103

プライバシーポリシーの変更

本ポリシーは、DPFの要件に従い、随時変更される場合があります。本ポリシー上部の「最終改訂日」の記載を参照することで、最後に更新された日付を確認できます。本ポリシーの変更は、改訂後のポリシーを当社のウェブサイトに掲載した時点で有効となります。