Mapbox リーガル・ポータル
Mapbox よくあるご質問データプライバシーとセキュリティ
最終更新日2024年2月
このFAQは、Mapbox の製品/サービスにアクセスおよび/または使用する個人を対象としています。Mapbox は、ソフトウェア開発者が位置情報に基づくコンテキストをアプリケーションにすばやく埋め込むことを可能にする地図プラットフォーム企業です(例:ここはどこですか、この場所はどこですか、そこに行くにはどうすればよいですか)。Mapbox'sの主な製品はAPIとSDK(SaaSではない)であり、顧客が構造化されたAPIリクエストの形でMapbox (例えば、X地点の地図コンテンツを送ってください)に送信する情報をコントロールできることを意味する。
1.Mapbox とは?
Mapbox Mapbox 。SDK(ソフトウェア開発キット)とAPI(アプリケーション・プログラミング・インターフェース)を提供しており、企業や開発者はこのSDKを使って、 マッピングとナビゲーションの技術を、ライセンスを受けたアプリケーションやウェブサイトに組み込むことができる。SDKにはソフトウェアコードのライブラリが含まれており、顧客のライセンスアプリケーションやウェブサイトに組み込まれます。これらのソフトウェアコードのライブラリは、 のロケーションデータプラットフォーム(クラウド(AWS-US)でホスティングされたバックエンドデータサーバー)へのAPIリクエストを容易にし、顧客のアプリケーションやウェブサイトに地図やロケーションコンテンツで応答します。Mapbox Mapbox
さらに、Mapbox 、Atlasと呼ばれる位置情報データサービスのオンプレミス版を提供している。
2.Mapbox は個人データを販売していますか?
Mapbox 個人情報を販売することはありません。
3.Mapbox 、エンドユーザーを追跡したり、エンドユーザーのプロファイルを作成したりしますか?
いいえ。 月間アクティブ・ユーザー(「MAU」)課金モデルのお客様については、Mapbox 、課金のみを目的としてMAUのカウントを維持します。Mapbox 、課金サイクル全体にわたってエンドユーザーの活動を追跡することはなく(また追跡することはできません)、その製品/サービスを通じて処理されたデータを使用してターゲット・プロファイルを構築することもありません。
4.Mapbox がエンドユーザーから収集する個人データの種類とその理由は?
5.Mapbox 、個人情報を最小限に抑え、保護するためにどのような措置を講じていますか?
Mapbox Mapbox は、厳密なアクセス制御や、IPアドレスと課金IDを含む生ログファイルの迅速な削除など、当社が処理する限定的な個人データセットに関する多くの技術的および組織的対策を運用しています。 は、会計および課金目的で保持する必要がある課金IDについて、定期的なIDローテーションと1ウェイハッシュを導入し、長期にわたるユーザーリクエストの追跡能力を最小限に抑えています。課金IDは関連性のないイベントと一緒に送信されないため、ユーザーのアクティビティを長期的に関連付ける可能性はさらに低くなる。さらに、 、位置データを送信する遠隔測定イベントに対して、クリッピング・トレースなどの厳格な匿名化手順を運用している。Mapbox Mapbox
6.なぜIPアドレスが収集されるのですか?
インターネットを介した通信には、各送信の発信元と宛先を特定するIPアドレスの存在が必要である。エンドユーザーがインターネットを通じてMapbox の製品/サービスにアクセスするアプリケーションに関与する場合、エンドユーザーは必然的に現在の IP アドレスを 1 つ以上のMapbox サーバーに開示します。IPアドレスは、進行中のセキュリティ、不正防止、または不正使用の調査に関与しない限り、課金および顧客利用報告のために30日間cloudfrontログに保持されます。
7.位置情報はなぜ(いつ)収集されるのか?
Mapbox Mapbox 、顧客のエンドユーザーが モバイルSDKを組み込んだライセンスアプリケーションを使用し、エンドユーザーが携帯電話またはデバイスのオペレーティングシステムを介してライセンスアプリケーションによるエンドユーザーのデバイス位置情報の使用を承認した場合、位置情報を受信する。Mapbox
位置情報データには、緯度経度、高度、水平垂直精度、24時間ごとに回転するセッションID、発信元IPアドレス(インターネット通信と同様)などのフィールドが含まれます。 位置情報に付随するIPアドレスは、ロードバランサーで保持されます(セキュリティと課金目的で使用され、30日後に破棄されます)。このIPアドレスは、位置情報遠隔測定処理パイプラインには転送されません。位置データは、転送中および静止時に暗号化され、最小アクセスの原則に従 い、最小限の人員およびプロセスが、事前に集計された形でアクセスできる。
位置データの匿名化パイプラインでは、位置データは、旅行の出発地と目的地を切り取 り、さらに旅行をセグメントに分割することによって匿名化される。匿名化された位置データは、交通・移動データ製品など、Mapbox マッピング製品の改良に使用される。
8.Mapbox はどこで(地理的に)個人データを処理していますか?
米国のAWSにおいて。 ただし、パフォーマンスを目的として、Mapbox 、さまざまな地域にあるAWSコンテンツデリバリネットワーク(「CDN」)でコンテンツを定期的にキャッシュしています。Mapbox 完全所有子会社に勤務するMapbox 従業員は、Mapbox 製品/サービスをサポート、開発、および提供するために、勤務先の国の個人データにアクセスすることがあります。
9.Mapbox その地理的な処理をヨーロッパ(または他の特定の地域)に限定することはできますか?
Mapboxの製品/サービスは、米国内のAWSプライマリーリージョンからソースデータを保存し、提供する。上述の通り、データはパフォーマンス上の理由から米国外の様々なリージョンからキャッシュされ提供されますが、Mapbox 、1つの限られた地理的リージョンからデータを提供することはできません。GDPRを遵守し、米国およびその他の国への移転を保護するため、Mapbox'のDPA、セクション4.1およびスケジュールAをご覧ください。このスケジュールAには、Mapbox 「EU-米国データ・プライバシー・フレームワーク」、「EU-米国データ・プライバシー・フレームワークの英国拡張」、「スイス-米国データ・プライバシー・フレームワーク」(以下、総称して「データ・プライバシー・フレームワーク」または「DPF」)に基づく認証、および必要に応じて、欧州委員会が2021年に発表した標準契約条項、または欧州委員会(GDPR第46条)もしくはその他の該当する規制当局もしくは立法当局が承認したデータ移転の代替メカニズムが含まれています。
MapboxDPFに基づく認定通知は、こちらで入手可能。https://www.mapbox.com/legal/notice-of-certification
10.Mapbox はデータ処理影響評価(DPIA)を実施していますか?
はい。 Mapbox 、エンジニアリング・ライフサイクルの中で処理する個人データを注意深く精査し、これには新しい(または変更された)処理活動に対するプライバシー・レビューの実施も含まれます。Mapbox 、プライバシー・バイ・デザインの原則に従い、当初から処理する個人データを制限するよう熱心に取り組んでいます。DPIAは、個人データの処理が高リスクであり、より低リスクの方法では達成できないと考えられる場合に実施されます。
11.Mapbox 、グローバルな個人情報保護法へのコンプライアンスをどのように管理していますか?
Mapbox は、適用されるグローバルな個人情報保護法に準拠して運用されるよう設計されたグローバルなデータ保護プログラムを実施しています:VCDPA (米国バージニア州)、UCPA(米国ユタ州)、UK-GDPR(英国)、TIPA(米国テネシー州)、TDPSA (米国テキサス州)、PIPEDA(カナダ)、MTCDPA(米国モンタナ州)、LGPD(ブラジル)、 IDPL (米国アイオワ州)、 ICDPA(米国インディアナ州)、GDPR(欧州)、CTDPA(米国コネチカット州)、CPRA(米国カリフォルニア州)、CPA(米国コロラド州)、APPI(日本)を含むCCPAおよびその施行規則、その他多くの重要な管轄区域があります。
Mapbox当社の個人情報保護プログラムは、プライバシー・バイ・デザインに基づいています。プライバシー・バイ・デザインには、今後の個人情報保護法や規制を監視し、コンプライアンスを維持するために当社の慣行を調整する必要があるかどうかを評価すること、製品/サービスのプライバシー・レビュー、データ侵害対応プロセス、および当社が受領する個人データのセキュリティを確保するために設計された運用化された技術的および組織的対策が含まれます。
12.Mapbox は情報セキュリティの資格を持っていますか?
はい。 Mapbox は、いくつかの重要な認証を取得し、維持しています:Systems and Organizations (「SOC」) 2、SOC 3、Trusted Information Security Assessment Exchange (「TISAX」)、国際標準化機構「ISO」9001、Data Privacy Framework (「DPF」) EU-US、DPF UK-US、DPF Swiss-USの各認証です。さらに、Mapbox UK Ltd.は、英国情報コミッショナー事務局(「ICO」)のデータ保護証明書を保持しています。要請がありNDAが締結されれば、Mapbox 、最新のSOC2報告書のコピーを共有することができます。
13.もっと質問する?
Mapbox 個人情報保護およびデータセキュリティに対する当社の継続的な取り組みについて、ご質問がございましたら、下記までご連絡ください。Mapboxのプライバシーオフィス(privacy@mapbox.com)までご連絡ください。
プライバシー&セキュリティFAQ
最終更新日 2023年8月22日
Mapbox Mapbox 。SDK(ソフトウェア開発キット)とAPI(アプリケーション・プログラミング・インターフェース)を提供しており、企業や開発者はこのSDKを使って、 マッピングとナビゲーションの技術を、ライセンスを受けたアプリケーションやウェブサイトに組み込むことができる。 SDKにはソフトウェアコードのライブラリが含まれており、顧客のライセンスアプリケーションやウェブサイトに組み込まれます。 これらのソフトウェアコードのライブラリは、 のロケーションデータプラットフォーム(クラウド(AWS-US)でホスティングされたバックエンドデータサーバー)へのAPIリクエストを容易にし、顧客のアプリケーションやウェブサイトに地図やロケーションコンテンツで応答します。Mapbox Mapbox
さらに、Mapbox 、Atlasと呼ばれる位置情報データサービスのオンプレミス版を提供している。
Mapbox 個人情報を販売することはありません。
いいえ。月間アクティブ・ユーザー(「MAU」)課金モデルのお客様については、Mapbox 、課金のみを目的としてMAUのカウントを維持します。Mapbox 、課金サイクル全体にわたってエンドユーザーの活動を追跡することはなく(また追跡することはできません)、その製品/サービスを通じて処理されたデータを使用してターゲット・プロファイルを構築することもありません。
Mapbox Mapbox は、厳密なアクセス制御や、IPアドレスと課金IDを含む生ログファイルの速やかな削除など、当社が処理する限られた個人データセットに関する多くの技術的および組織的対策を実施しています。 は、会計および課金目的で保持する必要がある課金IDについて、定期的なIDローテーションと1ウェイハッシュを導入し、長期にわたるユーザーリクエストの追跡能力を最小限に抑えています。課金IDは関連性のないイベントと一緒に送信されないため、ユーザーのアクティビティを長期的に関連付ける可能性はさらに低くなる。 さらに、 、位置データを送信する遠隔測定イベントに対して、クリッピング・トレースなどの厳格な匿名化手順を運用している。Mapbox Mapbox
インターネットを介した通信には、各送信の発信元と宛先を特定するIPアドレスの存在が必要である。 エンドユーザーがインターネットを通じてMapbox の製品/サービスにアクセスするアプリケーションに関与する場合、エンドユーザーは必然的に現在の IP アドレスを 1 つ以上のMapbox サーバーに開示します。IPアドレスは、進行中のセキュリティ、不正防止、または不正使用の調査に関与しない限り、課金および顧客利用報告のために30日間cloudfrontログに保持されます。
Mapbox Mapbox 、顧客のエンドユーザーが モバイルSDKを組み込んだライセンスアプリケーションを使用し、エンドユーザーが携帯電話またはデバイスのオペレーティングシステムを介してライセンスアプリケーションによるエンドユーザーのデバイス位置情報の使用を承認した場合、位置情報を受信する。Mapbox
位置情報データには、緯度・経度、高度、水平・垂直精度、24時間ごとに回転するセッションID、発信元IPアドレス(インターネット通信と同様)などのフィールドが含まれます。 位置情報に付随するIPアドレスは、ロードバランサーで保持されます(セキュリティおよびPUBLISHED: Aug 22, 2023https://www.mapbox.com/legal/legal-faqMapbox Customer FAQ, Page 3billingの目的で使用され、30日後に破棄されます)。 このIPアドレスは、位置情報遠隔測定処理パイプラインには転送されません。
位置情報の匿名化パイプラインでは、位置情報は、旅行の出発地と目的地を切り取 り、さらに旅行をセグメントに分割することによって匿名化される。匿名化された位置データは、交通・移動データ製品を含む、Mapbox マッピング製品の改良に使用される。
米国のAWSにおいて。ただし、パフォーマンスを目的として、Mapbox 、さまざまな地域にあるAWSコンテンツデリバリネットワーク(「CDN」)でコンテンツを定期的にキャッシュしています。Mapbox 完全所有子会社に勤務するMapbox 従業員は、Mapbox 製品/サービスをサポート、開発、および提供するために、勤務先の国の個人データにアクセスすることがあります。
Mapboxの製品/サービスは、米国内のAWSプライマリーリージョンからソースデータを保存し、提供する。 上述の通り、データはパフォーマンス上の理由から米国外の様々なリージョンからキャッシュされ提供されますが、Mapbox 、1つの限られた地理的リージョンからデータを提供することはできません。 GDPRを遵守し、米国およびその他の国への転送を保護するために、欧州委員会が2021年に発表した標準契約条項を含むMapbox'のDPA、スケジュールCを参照してください。
はい。 Mapbox 、エンジニアリング・ライフサイクルの中で処理する個人データを注意深く精査し、これには新しい(または変更された)処理活動に対するプライバシー・レビューの実施も含まれます。Mapbox 、プライバシー・バイ・デザインの原則に従い、当初から処理する個人データを制限するよう熱心に取り組んでいます。DPIAは、個人データの処理が高リスクであり、より低リスクの方法では達成できないと考えられる場合に実施されます。
Mapbox は、適用される以下のような世界的な個人情報保護法に準拠して運用されるよう設計された、グローバルなデータ保護プログラムを実施しています:VCDPA (米国バージニア州)、UCPA(米国ユタ州)、UK-GDPR(英国)、TIPA(米国テネシー州)、TDPSA(米国テキサス州)、PIPEDA(カナダ)、MTCDPA(米国モンタナ州)、LGPD(ブラジル)、IDPL(米国アイオワ州)、ICDPA(米国インディアナ州)、GDPR(欧州)、 CTDPA(米国コネチカット州)、CPRA(米国カリフォルニア州)、CPA(米国コロラド州)、APPI(日本)を含むCCPAとその施行規則、その他多くの重要な司法管轄権。
Mapbox 'のプライバシー・プログラムは、プライバシー・バイ・デザインに基づいています。プライバシー・バイ・デザインには、コンプライアンスを維持するために業務慣行を調整する必要があるかどうかを評価するための、今後のプライバシー法および規制の監視、製品/サービスのプライバシー・レビュー、データ侵害への対応プロセス、およびセキュリティ監査およびSOC2認証、個人データの匿名化および仮名化(該当する場合)、ロギングによる厳格なアクセス制御、データ保持期間の制限など、受領する個人データのセキュリティを確保するために設計された運用化された技術的および組織的対策が含まれます。
はい。 Mapbox は SOC2 Type 2 の認定を受けており、SOC3 のサマリー・レポートをお客様のレビュー用に提供しています。 さらに、Mapbox は、Trusted Information Security Assessment Exchange (「TISAX」) および ISO 9001 認証を取得し、維持しています。要請がありNDAが締結された場合、Mapbox 、最新のSOC2報告書のコピーを共有することができます。
Mapbox 個人情報保護およびデータセキュリティに対する当社の継続的な取り組みについて、ご質問がございましたら、下記までご連絡ください。Mapboxのプライバシーオフィス(privacy@mapbox.com)までご連絡ください。
サブ・プロセッサーの最新情報をご希望ですか?
以下からお申し込みください: