データ・プライバシー・フレームワーク通知
最終更新日2025年3月5日
はじめに
このデータプライバシーフレームワークに関する通知(以下「通知」)は、Panopto, Inc.(以下「Panopto」)が、米国商務省が定めるEU-USデータプライバシーフレームワーク(以下「EU-US DPF」)、EU-US DPFの英国拡張版、およびスイス-USデータプライバシーフレームワーク(以下「スイス-US DPF」)にどのように準拠しているかを説明するものです。Panoptoは米国商務省に対し、EU-US DPFに基づき欧州連合(「EU」)から、EU-US DPFの英国拡張版に基づき英国およびジブラルタル(「英国」)から、およびスイス-US DPFに基づきスイスから受領した個人データの処理に関して、EU-USデータプライバシーフレームワーク原則およびスイス-USデータプライバシーフレームワーク原則(総称して「DPF原則」)を遵守することを証明しました。本通知の条項とDPF原則の間に矛盾がある場合は、DPF原則に従うものとします。データ・プライバシー・フレームワーク(「DPF」)プログラムの詳細および当社のDPF認定については、https://www.dataprivacyframework.gov/。
DPFを遵守するための要件は、Panoptoがお客様のために処理者として行動しているか、自社のデータ処理のためにデータ管理者として行動しているかによって異なるため、Panoptoの方針および遵守方法は以下に個別に記載されています。本通知を確認する際には、これらの区別を念頭に置いてください。PanoptoがEU-US DPFの下で採用している慣行は、以下に概説するとおり、EU-US DPFの英国エクステンションに準拠して英国から米国に転送されるデータ、およびスイス-US DPFに準拠してスイスから米国に転送されるデータにも適用されます。
データ処理業者としてのPanopto
Panoptoがお客様に提供するサービスは、主にインターネット上で動画、音声、文章、その他のコンテンツを作成、管理、配信するためのツールを備えた動画ホスティングプラットフォームです。Panoptoのサービスへのアクセスを許可されたユーザーにアカウントをプロビジョニングすること、および特定のユーザーがアクセスを許可されなくなった時点でアカウントを削除することは、お客様の独自の判断によるものとします。いずれの場合も、お客様はそのユーザーの個人データの管理者であり、Panoptoはお客様の指示に従ってデータ処理活動を行う処理者に過ぎません。このような立場において、Panoptoはお客様に代わって処理する個人データを所有または管理することはありません。代わりに、そのようなデータはすべてPanoptoのお客様が所有し、管理しています。
Panoptoは、お客様に代わって処理を開始する前に、お客様(データ管理者)と契約を締結し、お客様が適用されるデータ保護法を遵守することを保証します。Panoptoが処理した個人データは、本契約、DPF、または適用されるデータ保護法によって許可または要求される場合を除き、第三者に開示されることはありません。また本契約では、Panoptoが個人データを紛失、誤用、不正アクセス、開示、改ざん、破壊から保護するために、適切なデータセキュリティ対策を講じて処理を実施することが明記されます。Panoptoは、顧客(データ管理者)に代わる処理者として、顧客から処理のために受領した個人データに関して、データ管理者に適用されるその他のDPF原則を適用する立場にありません。
データ管理者としてのPanopto
Panoptoは、個人がPanoptoのウェブサイトを通じて直接個人情報を提供した場合、および情報プロバイダーを通じて取得した場合に限り、個人情報を収集します。Panoptoは、ヨーロッパ全域に所在する個人および企業の個人データを含むデータベースを開発し、維持しています。このデータは、要求された情報やコンテンツを提供するため、Panoptoのサービスを販売するため、およびその他の関連目的のために使用されます。その際、Panoptoは収集した個人データのデータ管理者として行動します。データ管理者として、PanoptoはすべてのDPF原則を遵守する必要があります。
お知らせ
Panoptoは、お客様に代わってプロセッサーとして、個人情報をEU、英国、スイスから米国に転送する前に、個人データが適用されるデータ保護法に従ってPanoptoに提供されたことを、データ管理者であるお客様から契約上確認する必要があります。さらに、Panoptoは、プロセッサーとしてお客様から収集する個人データに関するプライバシー慣行について、Panopto認定ユーザープライバシーポリシーで通知しています。
Panoptoが管理者としてデータ主体から直接個人データを収集する場合、Panoptoウェブサイト訪問者プライバシーポリシーにおいて、当該個人データに関するプライバシー慣行について通知します。
チョイス
Panoptoが顧客の処理者として個人データを取得する場合、Panoptoの顧客は管理者として、顧客による個人の個人データの使用または開示に関して、関連する個人に一定の選択肢を提供する責任を負います。お客様の所在地によっては、これらの選択肢には、お客様の個人データに関して、処理への反対、情報提供、アクセス、修正、消去、処理の制限、データポータビリティ、苦情の申し立て、同意の撤回を1つ以上行う権利が含まれる場合があります。Panoptoは処理業者として、通常、お客様からの要請や問い合わせを関連するお客様に転送します。
Panoptoが管理者として個人から個人データを収集する場合、Panoptoが上記の権利を行使する上で個人データを使用することについて、その個人が持つ可能性のある要求や問い合わせに直接対応します。例えば、個人は、Panoptoからのマーケティングメールの受信を拒否することを選択することができます。さらに、個人データに関する要望や問い合わせは、[email protected]。
Panoptoは、お客様の個人データを販売したり、マーケティング目的または当初収集した目的とは実質的に異なるその他の目的で第三者と共有したりすることはありません。上記リンク先のプライバシーポリシーに記載されているとおり、Panoptoは、子会社や関連会社、Panoptoの業務をサポートし、特定のデータプライバシーおよびセキュリティ要件を満たすことを義務付ける契約を締結しているサービスプロバイダーなど、限定的な状況において、特定の第三者に個人データを開示することがあります。さらに、Panoptoは、国家安全保障や法執行の要件を満たすための要請など、公的機関からの合法的な要請に応じ、個人情報の開示を求められる場合があります。
オンワード・トランスファー
Panoptoは、第三者に開示または譲渡されるすべての個人データについて、上記の通知および選択の原則を遵守します。Panoptoは、第三者がDPF原則に基づくPanoptoの義務と一致する方法で、譲渡された個人データを効果的に処理するよう、合理的かつ適切な措置を講じます。
Panoptoが(プロセッサーとして)お客様の代理として、またお客様の指示によりデータをサブプロセッサーに送信する場合、お客様は転送のコンプライアンスを確保する責任を負います。Panoptoが(管理者として)処理者を使用し、Panoptoに代わり、Panoptoの指示により処理業務を行う場合、Panoptoは当該処理者に以下のいずれかを要求します:
- DPF(米国を拠点とする処理者の場合)、EU、英国、スイスの適用されるデータ保護法(EU/英国/スイスを拠点とする処理者の場合)、または別の適切性認定(米国またはEU/英国/スイス以外の国を拠点とする処理者の場合)に同意する。
- Panoptoとの間で、限定された特定の目的でのみデータを処理し、Panoptoが提供するものと同レベルの保護を提供することを求める書面による契約を締結すること。
第三者への譲渡の場合、Panoptoは通常、DPF原則に違反する第三者の行為に対して責任を負います。
セキュリティ
Panoptoは、処理に伴うリスクおよび個人データの性質を十分に考慮し、個人データを紛失、誤用、不正アクセス、開示、改ざん、破壊から保護するために、合理的かつ適切な対策を講じています。実際にセキュリティが侵害された場合、またはその可能性がある場合、またはセキュリティに関するその他のお問い合わせは、[email protected]。
データの完全性
Panoptoが処理する個人データは、特定の処理の目的に関連するものに限定されます。Panoptoは、当該データが収集された目的、またはその後関連する個人によって承認された目的と相容れない方法で個人データを処理することはありません。また、Panoptoは、これらの目的に必要な範囲内で、処理者または管理者としての役割に合致する限り、処理する個人データがその使用目的にとって信頼できるものであり、正確、完全かつ最新のものであることを保証するために合理的な措置を講じます。この点に関して、Panoptoは、(Panoptoが直接的な関係を持たない個人の個人データに関しては)お客様に対し、当該データが収集された目的またはその後許可された目的に必要な範囲で、関連する個人データを更新および修正するよう要請しています。
アクセス
Panoptoは、個人データにアクセスする個人の権利を認めます。Panoptoがプロセッサーとして保有する個人データに関して、個人データへのアクセス、訂正、編集、削除を希望する個人は、該当するPanoptoの顧客にご連絡ください。Panoptoの顧客はお客様の個人データの管理者であるため、適用されるデータ保護法の下でお客様の権利を保護する責任があります。お客様がPanoptoに直接連絡された場合、当社はお客様の要求または問い合わせを該当するPanoptoの顧客に転送することがあります。お客様から要請があった場合、Panoptoはデータ主体の要請に対応するためのサポートを提供します。
管理者としてのPanoptoの立場において、個人はPanoptoがデータベースで管理している個人データへのアクセスを要求することができます。個人は、自分に関する個人データがPanoptoのデータベースにあるかどうかを知る権利、およびそのようなデータが不正確である場合に訂正、編集、または削除する権利を有します。この権利は、要請を行った個人に関する個人データにのみ適用され、法律で定められたその他の制限に従うものとします。個人は、[email protected] 宛てに電子メールを送信することにより、アクセスを要求することができます。リクエストを処理する前に、Panoptoが個人の身元を確認する必要がある場合があることにご留意ください。Panoptoは、合理的な期間内にすべての合理的なアクセス要求を処理しますが、適用される法律で定められた条件に従い、アクセスを拒否または制限する権利を留保します。
施行
Panoptoが顧客の処理者として個人データを取得する場合、個人は顧客の紛争解決プロセスに従い、該当する顧客に個人データの処理に関する苦情を提出することができます。Panoptoは、顧客または個人の要請に応じて、このプロセスに参加します。
Panoptoは管理者として、個人データの収集および使用に関するDPF原則関連の苦情を解決することを約束します。 PanoptoがDPFに準拠して受領した個人データの取り扱いに関する問い合わせまたは苦情をお持ちのEU、英国、スイスの個人の方は、まず下記の「Panoptoへの連絡方法」に記載されている方法でPanoptoにご連絡ください。問い合わせまたは苦情を英語で提出すると、手続きが迅速になります。DPFに従い、Panoptoは苦情を受け取ってから45日以内に回答します。
また、PanoptoはDPFに従い、DPFに依拠して受領した個人データの取り扱いに関する未解決の苦情を、米国に本拠を置く裁判外紛争解決機関であるJAMSに照会することを約束します。DPF原則に関連する苦情をPanoptoからタイムリーに受け取らなかった場合、またはPanoptoがお客様のDPF原則に関連する苦情に満足のいく対応をしていない場合は、以下をご覧ください。 https://www.jamsadr.com/DPF-Dispute-Resolution をご覧ください。JAMSのサービスは無料で提供されます。JAMSの調停は、JAMSの規則に従って開始することができます。特定の条件下では、個人は残留クレームを解決するために拘束力のある仲裁を請求することができます。このような仲裁が発動される場合に関する追加情報は、https://www.dataprivacyframework.gov/s/article/ANNEX-I-introduction-dpf?tabset-35584=2。
米国連邦取引委員会は、PanoptoのDPF遵守を管轄しています。
Panoptoへの連絡方法
本通知またはPanoptoの個人情報の取り扱いに関するご質問やご不明な点がある場合、または苦情を申し立てる場合は、Panoptoまで書面にてご連絡ください:
Panopto, Inc.
Attn: Data Protection
600 River Avenue, Suite 100
Pittsburgh, PA 15212