Bodygramプラットフォーム プライバシーポリシー

この文書は機械翻訳によるものです。本ポリシーの翻訳は参考のためのものであり、本ポリシーの英語版及び本ポリシーに関連する通知その他の文書が、その翻訳と矛盾がある場合には優先します。ただし、適用法により強制的に別の言語でなければならない公式文書の場合を除きます。

発効日2024年01月11日

Bodygram株式会社（以下「当社」といいます）は、お客様のプライバシーを尊重し、本ポリシーを遵守することにより、お客様の個人情報の保護に努めます。本プライバシーポリシーは、Bodygramが提供するBodygramプラットフォーム（以下「本プラットフォーム」といいます）を利用される際に収集される個人情報の利用目的について説明するものです。当社は、プライバシーポリシーを定期的に見直し、更新があればこのページに掲載します。

Bodygramは、特定のデータ処理活動において、データ処理者およびデータ管理者の両方の役割を果たすことにご注意ください。このプライバシーポリシーでは、Bodygram がデータ処理者として、またデータ管理者としてどのようなデータ処理活動を行うかを説明します。

Bodygramは、ビジネスクライアント（以下「クライアント」といいます）に対し、そのビジネス要件に応じて、当社のAPIをシステムに統合し、または「Body Scan」などの機能を利用するために、当社のプラットフォームを提供します。当社のAPIまたは機能の使用目的は、クライアントによって異なります。この件に関して、お客様はデータ管理者として行動し、Bodygram はデータ処理者として行動します。さらに、Bodygram は、Bodygram がデータ管理者である自らの利益と責任においてデータ処理活動を行います。

クライアントに対するデータ処理業者として、当社はデータ保護の手段により、クライアントの指示、または/およびプラットフォーム契約、または各クライアントとの各条件に拘束されます。データ管理者がEEA内で個人データを処理する場合、当社はデータ保護を確保するために、お客様とGDPR第28条に基づくデータ処理契約を締結します。第28条GDPRに従ってデータ処理契約をクライアントと締結し、データ保護を確保します。

トピックス

1. Bodygramプラットフォーム利用時のデータ処理に関する情報
2. 管理者としてのBodygramによるデータ処理に関する情報
   • どのようなデータを収集するのか？
   • データの収集方法
   • お客様のデータはどのように使用されますか？
   • お客様のデータはどのように保存されますか？
   • データの受領者？
   • どのサービス・プロバイダーを利用していますか？
   • データ保護の権利とは？
   • 当社または当社のデータ保護担当者への連絡方法について
   • カリフォルニア州消費者プライバシー法（CCPA）に基づく権利

A. Bodygramプラットフォーム利用時のデータ処理に関する情報

Bodygramプラットフォームは、APIと機能をクライアントに提供し、クライアントはアカウント登録することでプラットフォームの利用を開始することができます。登録後、クライアントは身長、体重、性別、年齢などの基本情報を提供するか、またはAPIやプラットフォーム内の機能を通じて2枚の写真を提供することで、エンドユーザーの身体をスキャンすることができます。その後、プラットフォームは推定身体寸法と3Dアバターなどのアウトプットを提供し、ビジネス目的の達成を支援します。

一般的に、クライアントは、自社のユーザーにカスタマイズされたエクスペリエンスを提供するために、当社のボディスキャン技術を自社のサービスに統合します。そのため、本プラットフォームを利用するクライアントは、データ処理の手段および目的を決定します。このような場合、Bodygramは、GDPR第4条第8号に従ってデータ処理者として行動します。GDPR 第 4 条第 8 項に従ってデータ処理者として行動し、クライアントの指示に従います。 身体測定および3Dアバターを提供するために、当社は、お客様から直接、またはクライアントサービスを通じて間接的に提供された以下の個人データを定期的に処理します：

• IPアドレス
• 身長、体重、年齢、性別
• 全身映像

当社のクライアントは、各自の目的のためにこのデータを処理する責任を負います。当社のクライアントのサービスをご利用で、データ処理や保護についてご質問がある場合は、各クライアントがデータ管理者であるため、各クライアントに直接お問い合わせください。各クライアントのプライバシーポリシーもご覧ください。

当社のAPIまたはBodygram Platform上の機能に関連するデータ処理に関して、データ主体の権利の行使を希望される場合は、当社の技術を実装したサービスの責任主体までご連絡ください。

B. 管理者としてのBodygramによるデータ処理に関する情報

前述のとおり、Bodygramがデータ管理者として実施するデータ処理活動があります。

どのようなデータを収集するのか？

• 電子メール
• パスワード
• デバイス情報
  • オペレーティングシステム、
  • ブラウザの種類とバージョン
• 当社プラットフォームの利用状況に関する情報
  • IPアドレスとリファラー、
  • ホスト名と 接続デバイス、
  • 転送されたデータ量とアクセス状況、
  • 使用日時、
  • アカウント内で行われるスキャンの回数

データの収集方法

Bodygramは、以下の場合に利用者から直接提供されたデータを受け取ります：

• Bodygramプラットフォームのアカウントを作成する
• プラットフォームの使用または閲覧
• お問い合わせフォームへのリンクからお問い合わせいただく。

お客様のデータはどのように使用されますか？

Bodygramは、以下の目的でお客様のデータを処理します；

• Bodygramプラットフォームへのアカウント登録のために、Bodygramはアカウント登録時に提供された個人情報を処理します。データの処理は、GDPR第6条(1)項(b)に基づき、Bodygramとお客様との間の契約（Bodygramプラットフォーム契約または/およびカスタマイズされた契約への同意）を履行するために行われます。

• Bodygramプラットフォームの技術的な提供および当社の正当な利益であるユーザーへのアクセス提供のために、お客様のウェブサイト訪問の過程で行われる一時的なデータ処理は厳密に必要です（GDPR第6条(1)項(f)）。

• 優れた顧客サービスを提供するために、プラットフォームの使用状況を監視し、スキャン制限に近づいている場合や無料スキャンの機会を利用していない場合に顧客に通知するなど、顧客とのコミュニケーションを図り、その利点を最大限に活用することは、当社の正当な利益です（GDPR第6条（1）項（f））。

• 不正行為を防止する目的で、1つの場所から複数のサインアップにフラグを立てるなどの対策を実施することは、当社の正当な利益となります（GDPR第6条(1)項(f)）。

お客様のデータはどのように保存されますか？

Bodygram は、世界各地に設置されたライセンスサーバーにお客様のデータを安全に保管します。データが、個人情報に対して適切なレベルの保護を提供していない国に保管される場合、Bodygram は、そのような転送が EU モデル条項の条件または関連するデータ保護法の下で要求されるその他の適切な転送メカニズムの対象となることを保証するなど、個人情報を保護するために設計された適切な措置を講じます。

Bodygramによって処理される個人データは、法的規制に従って消去またはその処理が制限されます。本プライバシーポリシーに別段の定めがない限り、Bodygram は、個人情報を取得した目的が不要となった時点で、個人情報を消去します。それ以外の場合は、法的に許容される他の目的のために必要な場合、または法的な保持義務を遵守するためにデータを長く保持する必要がある場合にのみ、必要な目的以上の期間データを保持します。

ボディスキャンでは、身長、体重、年齢、性別、身体画像、推定寸法、3Dアバターなどの情報が契約期間中保持されます。クライアントは、提供されるAPIを使用して、ビジネス要件に従って、契約中の任意の時点でこのデータを削除することができます。身体画像については、自動化されたプロセスにより、本質的に個人を特定できない方法で特徴が抽出されます。身長、体重、年齢、性別、推定寸法を含むその他のデータ要素は匿名化され、個人識別情報とともに保存されることはありません。この匿名化処理により、データは当社の技術および事業開発の強化に使用される一方で、個人を特定できる情報とはリンクされず、安全に保存されます。GDPRの規定では、このような匿名化データは個人データとはみなされず、GDPRの対象外であることにご注意ください。

データの受領者？

当社は、各セクションで詳しく説明する特定の運営機能を促進するために、第三者のサービスプロバイダーと契約しています。これらのサービスプロバイダーは、当社の厳格な指導の下、データ保護協定を遵守してユーザーデータを処理します。

データ処理に関する一般情報

データ・プライバシーおよびセキュリティの保護に対する当社の取り組みは、すべての第三者サービス・プロバイダーおよびデータ処理業者との関係において明らかにされています。プロセッサーを使用する場合、プロセッサーはGDPR第28条に基づくデータ処理契約によって当社のプライバシーポリシーに拘束されます。GDPR 28条に基づくデータ処理契約によって当社のプライバシーポリシーに拘束されます。これらのサービスプロバイダーは当社の請負業者であり、本プラットフォームの提供など、お客様の個人データの処理を支援します。お客様の個人データの保護を確実にするため、当社は、標準契約条項（SCC）、該当する場合はデータプライバシーフレームワーク（https://www.dataprivacyframework.gov/）、および追加のデータ保護対策など、さまざまな対策を実施しています。これらには、最高水準のデータプライバシーを維持するための厳格なデータ処理契約が含まれます。弊社が使用するサービスプロバイダーがプライバシーフレームワークの認定を受けているかどうかは、プライバシーポリシーの該当セクションでお知らせします。

ホスティングプロバイダーBodygramは、メタデータおよび通信データの技術的処理のために、米国に拠点を置くホスティングプロバイダーを使用しています。(上記「どのようなデータを収集するのか」を参照）。当社は、ホスティングプロバイダーとの間で、いわゆるデータ処理契約を締結しており（すなわち、GDPR第28条に準拠）、これによりプロバイダーは当社の指示に拘束され、当社に代わってデータを処理します。ホスティングプロバイダーは米国に拠点を置いています。

Bodygramは、個人情報を保護するために適切な措置を講じます。特に、お客様の個人情報への公的アクセスに対する効果的な法的救済手段が存在しない場合があります。当社は、ホスティングプロバイダーとEUモデル条項を締結し、適切なデータ保護レベルの確保を保証しています。さらに、当社のホスティングプロバイダーはデータプライバシーフレームワークの認定を受けており、いかなる移転もEU委員会が発行した妥当性決定に基づくことができます。

どのサービス・プロバイダーを利用していますか？

上記の「データの受領者？」をご参照ください。加えて、当社は以下のサービスを利用しています。

AWS：Bodygramプラットフォームにおけるお客様のアカウントの登録および管理のために、当社は、Amazon Web Services, Inc.N., Seattle, WA 98109-5210, United Statesが提供するAWSサービスを利用しています。Bodygram Platformでアカウントを作成する際、IPアドレスとタイムスタンプを含む送信データ（メールアドレス、パスワード）は、処理と保存のためにAWSのサーバーに転送されます。個人データを処理する法的根拠は、Bodygramとお客様の間の契約の履行（Bodygramプラットフォーム契約への同意）です。米国へのデータ転送は、EU委員会の妥当性決定（GDPR第45条に準拠）および新しいデータプライバシーフレームワークに基づくAWSの認証に基づいています。

Bodygramジャパン株式会社：Bodygramジャパン株式会社は、Bodygram Inc.の日本における子会社であり、トラブルシューティングを目的として業務を行っています。当社は、Bodygram Japan株式会社とデータ処理契約を締結しており（すなわち、GDPR第28条に従って）、Bodygram Japan株式会社は当社の指示に拘束され、当社に代わってデータを処理します。また、日本はGDPR第45条に基づき、欧州委員会からGDPRと同等の適切なレベルのデータ保護を提供するとの妥当性決定を得ています。

データ保護の権利とは？

お客様は、お客様の個人情報の処理に責任を有する者に対して、以下の権利を無償で有します：

• 同意を撤回する権利

• アクセス権：お客様は、当社が処理するお客様の個人情報へのアクセスを要求することができます。

• 消去権：お客様はご自身の個人情報の消去を要求することができます。法的な理由（法的な保管義務など）がない限り、不当な遅延なく消去されます。

• 異議申し立ての権利お客様は、特別な状況に関連する理由により、いつでも個人情報の処理に反対する権利を有します。管理者が、データ主体の利益、権利、および自由、または法的請求の確立、行使、または防御に優先する、処理に関する説得力のある正当な理由を示さない限り、管理者は個人データの処理を中止するものとします。ウェブサイトの提供およびログファイルの保存のためのデータ収集は、ウェブサイトの運営に絶対的に必要です。

• 個人情報の訂正、利用停止、その他管轄法に定める権利

また、お客様は、お客様の居住地、勤務先、またはお客様の権利侵害の疑いが生じた司法管轄区において、データ保護当局に苦情を申し立てる権利を有します。当社は、適用される法律および規制に従って、そのような要請に応じます。

これらの権利の行使を希望される場合は、Eメール：privacy@bodygram.com までご連絡ください。

EU/EEAまたは英国にお住まいの方は、以下の代表メールアドレス（EU/EEAの場合はart-27-rep-bodygram@rickert.law、英国の場合はart-27-rep-bodygram@rickert-services.uk）からもお問い合わせいただけます。

当社または当社のデータ保護担当者への連絡方法について

Bodygramプラットフォームに関するデータ処理活動の責任者は、228 Park Ave S, PMB 91811 New York, New York 10003-1502 USA (att: Bodygram Personal Information Protection Manager)のBodygram Inc.です。Bodygramの個人情報保護方針、当社が保有するお客様に関するデータについてご質問がある場合、またはデータ保護の権利を行使したい場合は、ご遠慮なくお問い合わせください。

Eメール：privacy@bodygram.com（データ保護責任者）

当社のEU/UK担当者は、特に監督当局およびデータ主体から、処理に関連するすべての問題およびEU/UKデータ保護法の遵守を確保する目的で、管理者に加えて、またはその代わりに連絡を受けることができます。

Rickert Rechtsanwaltsgesellschaft mbH
Bodygram Inc.
Colmantstraße 15, 53115 Bonn Germany
art-27-rep-bodygram@rickert.law

Rickert Services Ltd UK
Bodygram Inc.
PO Box 1487
Peterborough
PE1 9XX
United Kingdom
art-27-rep-bodygram@rickert-services.uk

カリフォルニア州消費者プライバシー法（CCPA）に基づく権利

お客様がカリフォルニア州居住者である場合、お客様は当社に対し、以下の要請を行うことができます：

1. 請求前の12ヶ月間にわたる以下の情報を開示します：

• 当社が収集したお客様の個人情報のカテゴリーと特定の情報。(どのようなデータを収集するのか？をご覧ください）
• 当社が当該個人情報を収集した情報源のカテゴリー。(データの収集方法をご覧ください）
• お客様に関する個人情報を収集または販売する業務上または商業上の目的。（「お客様のデータはどのように使用されますか」をご覧ください）
• 当社が個人情報を販売またはその他の方法で開示する第三者のカテゴリー。（「データの受領者」をご覧ください）

2. 一定の例外を除き、当社がお客様から収集した個人情報を削除します。

当社は、お客様の個人情報を販売することはありません。当社は、適用法に基づき、お客様のご要望にお応えします。カリフォルニア州居住者の代理としてアクセスまたは削除のリクエストを行う正規代理人の方は、privacy@bodygram.com、正規代理人である旨をご連絡ください。カリフォルニア州居住者の代理として正規代理人としてリクエストを提出する方法についてご案内いたします。

なお、法的な義務等により、ご希望をお断りする場合もございますので、あらかじめご了承ください。また、ご本人が個人情報に関する権利を行使された場合であっても、差別的取扱いを受けることはありません。

カリフォルニア州にお住まいの方は、privacy@bodygram.com、上記の権利行使に関する情報を入手することができます。