Mapbox リーガル・ポータル
Mapboxデータ・プライバシー・フレームワークに基づく認証に関する通知
2023年11月発効
一般的に利用可能なすべての製品およびサービスについて、Mapbox Inc.およびその米国子会社は、データ・プライバシー・フレームワークに従って欧州連合およびスイスから米国に転送される個人データの収集、使用、および保持に関して、米国商務省が定めたEU-米国データ・プライバシー・フレームワーク、EU-米国データ・プライバシー・フレームワークの英国拡張版、およびスイス-米国データ・プライバシー・フレームワーク(以下、総称して「データ・プライバシー・フレームワーク」)に準拠しています。Mapbox は、当該データに関してデータ・プライバシー・フレームワークの原則を遵守していることを商務省に証明しています。本通知の条項とデータ・プライバシー・フレームワークの原則の間に矛盾がある場合は、データ・プライバシー・フレームワークの原則に従うものとします。データ・プライバシー・フレームワーク・プログラムの詳細、および当社の認証については、https://www.dataprivacyframework.gov/s/。
対象外 (データ・プライバシー・フレームワークの対象外): 製品やサービスのプライベート・プレビュー版、ベータ版、試用版。
データ処理: Mapbox は、地図と位置情報サービスを強化する位置情報データプラットフォームを提供する。Mapbox は、SDK(ソフトウェア開発キット)とAPI(アプリケーション・プログラミング・インターフェース)を提供し、企業や開発者はこれを使用して、Mapbox の地図とナビゲーション技術を、ライセンスを受けたアプリケーションやウェブサイトに組み込む。 SDKには、顧客のライセンスアプリケーションやウェブサイトに組み込まれるソフトウェアコードのライブラリが含まれています。 これらのソフトウェアコードのライブラリは、Mapboxのロケーションデータプラットフォーム(クラウド(AWS-US)でホスティングされたバックエンドデータサーバー)へのAPIリクエストを容易にし、顧客のアプリケーションやウェブサイトに地図やロケーションコンテンツで応答します。さらに、Mapbox 、Atlasと呼ばれる位置データサービスのオンプレミス版を提供している。
データ処理の目的: Mapbox は、Mapbox の製品/サービスの提供、テスト、保守/サポート、セキュリティ保護および改善、詐欺、誤用およびサイバー攻撃の防止、匿名化および非識別化集計統計の算出、ならびにアカウント管理/請求の目的で個人データを処理します。
問い合わせおよび苦情: Mapbox 、当社のデータ・プライバシー・フレームワーク認証の範囲内のサービスのいずれかにおいてお客様の個人データを管理していると思われる場合、当社のデータ・プライバシー・フレームワーク遵守に関するお問い合わせまたは苦情は、privacy@mapbox.comまでお寄せください。Mapbox 、45日以内に回答いたします。プライバシーまたはデータ使用に関する未解決の懸念事項があり、当社が満足のいく対応を行わなかった場合は、当社の米国を拠点とする第三者紛争解決プロバイダー(無料)https://feedback-form.truste.com/watchdog/request。 Mapbox 、または当社の紛争解決プロバイダーのいずれもお客様の苦情を解決しない場合、データ・プライバシー・フレームワーク・パネルを通じて拘束力のある仲裁を行う可能性があります。このオプションの詳細については、EU-米国データ・プライバシー枠組み原則の 付属書Iをご覧ください。
個人データを受け取る可能性のある第三者: Mapbox は、お客様へのサービス提供を支援するために、限られた数の第三者サービスプロバイダを使用しています。これらの第三者プロバイダーは、お客様へのカスタマーサポートの提供、データベースの監視およびその他の技術的操作の実施、データ伝送の支援、データ保管サービスの提供を行っています。これらの第三者は、サービスを提供する過程で、個人データにアクセス、処理、または保存することがあります。Mapbox 、これらの第三者との間で、オンワードトランスファー条項を含む当社のデータ・プライバシー・フレームワークの義務に従って、個人データへのアクセス、使用、および開示を制限する契約を維持します。Mapbox 、これらの第三者がこれらの義務を果たさない場合、当社は引き続き責任を負い、損害の原因となった事象について責任を負います。
アクセス、使用制限、開示制限の権利: EU、英国、スイスの個人は、自分に関する個人データにアクセスする権利、および個人データの使用と開示を制限する権利を有します。当社のデータ・プライバシー・フレームワークの自己認証により、Mapbox 、これらの権利を尊重することを約束しました。Mapbox の担当者は、当社の顧客が当社のサービスに提出したデータにアクセスする能力が限られているため、アクセス、使用の制限、または開示の制限を希望される場合は、当社のサービスにお客様のデータを提出したMapbox の顧客の名前をお知らせください。当社は、お客様のご要望をそのお客様に照会し、お客様のご要望に対応するために必要なサポートを行います。
米国連邦取引委員会の執行: Mapbox「データ・プライバシー・フレームワーク」に基づくコミットメントは、米国連邦取引委員会の調査および執行権限の対象となります。
強制開示: Mapbox 、国家安全保障または法執行上の要件を満たすためなど、公的機関による合法的な要請に応じ、個人データの開示が求められる場合があります。
プライバシー&セキュリティFAQ
最終更新日 2023年8月22日
Mapbox Mapbox 。SDK(ソフトウェア開発キット)とAPI(アプリケーション・プログラミング・インターフェース)を提供しており、企業や開発者はこのSDKを使って、 マッピングとナビゲーションの技術を、ライセンスを受けたアプリケーションやウェブサイトに組み込むことができる。 SDKにはソフトウェアコードのライブラリが含まれており、顧客のライセンスアプリケーションやウェブサイトに組み込まれます。 これらのソフトウェアコードのライブラリは、 のロケーションデータプラットフォーム(クラウド(AWS-US)でホスティングされたバックエンドデータサーバー)へのAPIリクエストを容易にし、顧客のアプリケーションやウェブサイトに地図やロケーションコンテンツで応答します。Mapbox Mapbox
さらに、Mapbox 、Atlasと呼ばれる位置情報データサービスのオンプレミス版を提供している。
Mapbox 個人情報を販売することはありません。
いいえ。月間アクティブ・ユーザー(「MAU」)課金モデルのお客様については、Mapbox 、課金のみを目的としてMAUのカウントを維持します。Mapbox 、課金サイクル全体にわたってエンドユーザーの活動を追跡することはなく(また追跡することはできません)、その製品/サービスを通じて処理されたデータを使用してターゲット・プロファイルを構築することもありません。
Mapbox Mapbox は、厳密なアクセス制御や、IPアドレスと課金IDを含む生ログファイルの速やかな削除など、当社が処理する限られた個人データセットに関する多くの技術的および組織的対策を実施しています。 は、会計および課金目的で保持する必要がある課金IDについて、定期的なIDローテーションと1ウェイハッシュを導入し、長期にわたるユーザーリクエストの追跡能力を最小限に抑えています。課金IDは関連性のないイベントと一緒に送信されないため、ユーザーのアクティビティを長期的に関連付ける可能性はさらに低くなる。 さらに、 、位置データを送信する遠隔測定イベントに対して、クリッピング・トレースなどの厳格な匿名化手順を運用している。Mapbox Mapbox
インターネットを介した通信には、各送信の発信元と宛先を特定するIPアドレスの存在が必要である。 エンドユーザーがインターネットを通じてMapbox の製品/サービスにアクセスするアプリケーションに関与する場合、エンドユーザーは必然的に現在の IP アドレスを 1 つ以上のMapbox サーバーに開示します。IPアドレスは、進行中のセキュリティ、不正防止、または不正使用の調査に関与しない限り、課金および顧客利用報告のために30日間cloudfrontログに保持されます。
Mapbox Mapbox 、顧客のエンドユーザーが モバイルSDKを組み込んだライセンスアプリケーションを使用し、エンドユーザーが携帯電話またはデバイスのオペレーティングシステムを介してライセンスアプリケーションによるエンドユーザーのデバイス位置情報の使用を承認した場合、位置情報を受信する。Mapbox
位置情報データには、緯度・経度、高度、水平・垂直精度、24時間ごとに回転するセッションID、発信元IPアドレス(インターネット通信と同様)などのフィールドが含まれます。 位置情報に付随するIPアドレスは、ロードバランサーで保持されます(セキュリティおよびPUBLISHED: Aug 22, 2023https://www.mapbox.com/legal/legal-faqMapbox Customer FAQ, Page 3billingの目的で使用され、30日後に破棄されます)。 このIPアドレスは、位置情報遠隔測定処理パイプラインには転送されません。
位置情報の匿名化パイプラインでは、位置情報は、旅行の出発地と目的地を切り取 り、さらに旅行をセグメントに分割することによって匿名化される。匿名化された位置データは、交通・移動データ製品を含む、Mapbox マッピング製品の改良に使用される。
米国のAWSにおいて。ただし、パフォーマンスを目的として、Mapbox 、さまざまな地域にあるAWSコンテンツデリバリネットワーク(「CDN」)でコンテンツを定期的にキャッシュしています。Mapbox 完全所有子会社に勤務するMapbox 従業員は、Mapbox 製品/サービスをサポート、開発、および提供するために、勤務先の国の個人データにアクセスすることがあります。
Mapboxの製品/サービスは、米国内のAWSプライマリーリージョンからソースデータを保存し、提供する。 上述の通り、データはパフォーマンス上の理由から米国外の様々なリージョンからキャッシュされ提供されますが、Mapbox 、1つの限られた地理的リージョンからデータを提供することはできません。 GDPRを遵守し、米国およびその他の国への転送を保護するために、欧州委員会が2021年に発表した標準契約条項を含むMapbox'のDPA、スケジュールCを参照してください。
はい。 Mapbox 、エンジニアリング・ライフサイクルの中で処理する個人データを注意深く精査し、これには新しい(または変更された)処理活動に対するプライバシー・レビューの実施も含まれます。Mapbox 、プライバシー・バイ・デザインの原則に従い、当初から処理する個人データを制限するよう熱心に取り組んでいます。DPIAは、個人データの処理が高リスクであり、より低リスクの方法では達成できないと考えられる場合に実施されます。
Mapbox は、適用される以下のような世界的な個人情報保護法に準拠して運用されるよう設計された、グローバルなデータ保護プログラムを実施しています:VCDPA (米国バージニア州)、UCPA(米国ユタ州)、UK-GDPR(英国)、TIPA(米国テネシー州)、TDPSA(米国テキサス州)、PIPEDA(カナダ)、MTCDPA(米国モンタナ州)、LGPD(ブラジル)、IDPL(米国アイオワ州)、ICDPA(米国インディアナ州)、GDPR(欧州)、 CTDPA(米国コネチカット州)、CPRA(米国カリフォルニア州)、CPA(米国コロラド州)、APPI(日本)を含むCCPAとその施行規則、その他多くの重要な司法管轄権。
Mapbox 'のプライバシー・プログラムは、プライバシー・バイ・デザインに基づいています。プライバシー・バイ・デザインには、コンプライアンスを維持するために業務慣行を調整する必要があるかどうかを評価するための、今後のプライバシー法および規制の監視、製品/サービスのプライバシー・レビュー、データ侵害への対応プロセス、およびセキュリティ監査およびSOC2認証、個人データの匿名化および仮名化(該当する場合)、ロギングによる厳格なアクセス制御、データ保持期間の制限など、受領する個人データのセキュリティを確保するために設計された運用化された技術的および組織的対策が含まれます。
はい。 Mapbox は SOC2 Type 2 の認定を受けており、SOC3 のサマリー・レポートをお客様のレビュー用に提供しています。 さらに、Mapbox は、Trusted Information Security Assessment Exchange (「TISAX」) および ISO 9001 認証を取得し、維持しています。要請がありNDAが締結された場合、Mapbox 、最新のSOC2報告書のコピーを共有することができます。
Mapbox 個人情報保護およびデータセキュリティに対する当社の継続的な取り組みについて、ご質問がございましたら、下記までご連絡ください。Mapboxのプライバシーオフィス(privacy@mapbox.com)までご連絡ください。
サブ・プロセッサーの最新情報をご希望ですか?
以下からお申し込みください: