プライバシー通知

 

Last changed: Mon, 28th Jun '21

これは、Infobip株式会社およびその子会社、関連会社のプライバシー通知です。Infobipは、どこで事業を行う場合でも、正しいやり方でプライバシーを守ることを目指しています。当社は、個人情報の責任ある利用がビジネスの成長を支え、パートナー、消費者、ブランド間の強固な関係を構築すると信じています。当社は一企業体として、当社が関わるすべての個人のプライバシーを尊重し、保護することをお約束します。


当社がお客様から収集した個人情報、当該のデータの使用方法、およびデータを共有する相手について透明性を確保することは、当社にとって非常に重要です。これは完全に、このプライバシー通知(付録1を含む)に含まれるものです。いくつかの節に分かれ、ナビゲーションが容易になっています。このプライバシー通知に加えて、当社は、必要に応じて、追加のジャストインタイムプライバシー情報を提供することがあります。

1. 定義

この通知では、以下の定義を使用します。

  • 「Infobip」、「当社」「私たち」または「当社の」という用語は、Infobip 株式会社およびその子会社関連会社を指します。時には、用語「Infobipグループ」を使い、Infobip株式会社とその子会社および関連会社を指すこともあります。
  • 「お客様」とは、Infobipが個人情報を収集・処理する自然人(個人)のことをいいます。
  • 用語「サービス」とは、Infobipのクラウド型通信(CPaaS – サービスとしてのコミュニケーション・プラットフォームおよびSaaS – サービスとしてのソフトウェア)およびその他の製品やサービスを意味します。
  • 用語「個人情報」とは、直接的または間接的にお客様を特定できるお客様の情報を意味します。
  • 「管理者」とは、データ処理の目的および手段を決定し、個人情報保護に関して適用されるプライバシー法に準拠した方法で当該データの処理に対して責任を負う組織を意味します。
  • 「処理者」とは、管理者に代わって個人情報を処理する組織を意味します。
  • 「適用されるプライバシー法」とは、所定の個人情報の処理に適用されるすべての法令(一般データ保護規則(EU)2016/679、英国の一般データ保護規則(UK GDPR)、または英国の2018 年データ保護法など)を意味します。詳細については、国別の付録を参照してください。

2. INFOBIPのサービスについて

Infobipは、サービスとしてのコミュニケーション・プラットフォーム(CPaaS)およびサービスとしてのソフトウェア(SaaS)のプロバイダーです。当社は、お客様にサービスを提供する際、状況に応じて管理者または処理者として行動します。
処理者としての活動
当社の顧客は主に、当社のサービスを独自のソフトウェアアプリケーション(API経由)や当社のウェブサイトのインターフェースであるInfobipポータルを自社の業務の統合に利用する企業です。当社のクラウド通信プラットフォームを利用することにより、お客様はさまざまな通信チャネル(SMS、電子メール、音声など)を利用して、エンドユーザーとのコミュ

ニケーションを送信または交換することができます。当社はお客様のエンドユーザーと直接の関係を持っていないため、こうした通信は通信事業者やその他の通信プロバイダーを通じて配信されます。これを行う場合、当社はお客様を代表して処理者として行動し、当社のサービスをお客様に提供することのみを目的として、関連する情報を処理します。当社は、お客様の指示に従い、また、お客様と締結したサービス利用規約、サービス契約および、またはデータ処理契約または類似の契約に沿って、制限の範囲内でこれを行います。
たとえば、お客様が、当社の顧客のエンドユーザーとして、当社の顧客が当社のプラットフォーム(SMSメッセージなど)を利用して送った通信の受信者である場合、当社は、当社の顧客に代わってその通信を送信します。つまり、その顧客は管理者であり、Infobipは処理者となります。顧客に代わって行われる当社の活動に関連する権利に関して顧客のエンドユーザーから受け取る場合のある要求は、顧客に転送されるか、エンドユーザーが直接、同顧客に連絡するよう求められます。
管理者としての活動
このプライバシー通知では、Infobipが管理者として行う活動について説明しています。Infobipは、当社自身の目的のために個人情報を処理し、他の誰かを代表して行動しない場合、管理者となります。当社は、このプライバシー通知に記載されているようにその情報を処理したり、適用されるプライバシー法から生じるすべての義務を尊重したりすることに取り組みます。

3. 個人情報の責任は誰ですか?

このプライバシー通知に記載されている個人情報の処理に責任を負う主体(管理者)は、Infobip Limited(35-38 New Bridge Street, Fifth Floor, London EC4V 6BW, United Kingdom)で、登 録番号は7085757です。

EUデータ保護法の目的のために、Infobip株式会社はEUベースの データ保護責任者(「DPO」)を当社のEU代表として任命しています。当社のDPOは、電子メールアドレス(data-protection-officer@infobip.com)で連絡できます。

お客様に適用できる特定の契約上の合意および所定の処理活動によっては、別のInfobipの子会社または関連会社がお客様の個人情報の管理者となる場合があることにご注意ください。
Infobipのすべての子会社および関連会社の連絡先詳細は、https://www.infobip.com/officesで入手できます。
お客様が、このプライバシー通知または当社のプライバシー慣行についてご質問がある場合は、電子メールアドレスdata-protectionofficer@infobip.comを通じて当社のプライバシーチームまたはデータ保護責任者に連絡することができます。

4. 個人情報はどのように入手されるのか?

当社が処理する個人情報のほとんどは、お客様が当社のサービスを利用したり、当社のウェブサイトにアクセスしたり、イベントに登録したり、当社の調査活動に参加したり、申込書を提出したり、または当社と連絡を取ったりする際に、お客様から当社に直接提供されるものです。

また、当社は次のような場合に、他の情報源から個人情報を受け取ります。

  • お客様が当社の顧客やサプライヤーに雇用されているか、またはそれらを代表する場合、当社のサービスを利用できるために、顧客が当社に特定の情報を提供することがあります。
  • お客様が当社の顧客のエンドユーザーである場合、当社のサービスをご利用いただけるために、顧客が当社に特定の情報を提供することがあります。
  • お客様が当社の市場調査に参加される場合、当社はその調査に関連する情報を当社の第三者提供者から受け取ることがあります。
  • お客様が当社のウェブサイトやサービスを利用する際に、お客様のインターネットプロトコル(IP)アドレス、ユーザー設定、クッキー識別子、その他の固有の識別子、ブラウザまたはデバイス情報、位置情報(IPアドレスから導かれるおおよその位置情報を含む)などの特定の情報を当社が自動的に収集します。当社が、クッキーを通じてデータを収集する方法の詳細については、クッキーポリシーをご覧ください。
  • お客様が仕事に応募する場合、当社は身辺調査サービスの提供者から情報を受け取り、LinkedInやその他の一般に公開されている情報源、またはデータエンリッチメントプロバイダー(現地の法律で認められている場合)から情報を収集することがあります。
  • お客様が当社の求職者から推薦人として指名された場合、当社は、当社の採用プロセスの一環としてお客様とつながることができるように、特定の情報を受け取ることがあります。

5. どのような個人情報を、どのような法的根拠に基づいて収集し、どのように利用し、どのぐらいの期間これを保管するのか?

5.1 当社が顧客に当該のサービスを提供する場合
この節では、当社が当社の顧客にサービスを提供する際の個人情報の処理に関する情報を見つけます。

お客様が以下である場合、お客様のデータの処理方法の詳細を提供します。

• 当社の顧客が個人である場合

• 当社の顧客のために、または顧客を代表して働いている場合、お客様は以下のどちらかのユーザーです。
o 「アカウントユーザー」(アカウントにログインし、Infobipのサービスを利用するために、顧客によって許可された個人)。
o 「ビジネス連絡先」(顧客の代理人、または顧客とInfobipの間の連絡窓口となる個人)

• 当社の顧客の「エンドユーザー」(当社の顧客からの通信を受信し、または当社の顧客に送信する個人)。
5.1.1. 契約を締結したり、顧客のアカウントを作成したり、顧客が当社のサー
ビスを利用できるように必要な協力を提供したりするために、
どのよ
うな個
人情報
を収集
する
のか?
Infobipは「アカウントデータ」を収集します。これは、顧客のアカウントを作成したり、顧客がInfobipのサービスを利用したり、顧客に請求したりするために必要な情報など、顧客とのビジネス関係を正常に保つために必要なすべてのデータです。具体的なデータの種類には、以下が含まれます。

• 顧客およびアカウントユーザーの登録情報(姓名、ビジネス住所、電話番号、電子メールアドレス、会社名、業種、業務上の役割、ログイン情報など)。

• 顧客の請求および財務詳細(請求先住所、前払いまたは後払いの顧客、銀行口座の詳細、付加価値税番号、信用度および支払行動に関する情報、および適用法令によって必要とされるその他の追加情報など)

• ビジネス連絡先の詳細(姓名、会社住所、電話番号と電子メールアドレス、会社名と業種、業務上の役割など)

• 「顧客サポートデータ」(カスタマーサポートチケットの内容を含む顧客サポートコミュニケーションなど)。
どのよ
うにし
て個人
情報を
収集
する
のか?
• お客様が個人の場合、お客様または当社のデューデリジェンス提供者から直接収集します。

• お客様の組織が当社の顧客である場合、お客様またはお客様の組織から直接収集します。
なぜ個
人情報
を収集
するの
か、ど
のよう
な法的
根拠に
基づく
のか、
また、
どのよ
うに利
用する
のか?
当社は、アカウントデータを以下のために収集・使用します。

• お客様との契約を締結・管理すること

• お客様のアカウントを作成し、そのアカウントユーザーが当社のサービスを利用できること

• お客様のアカウントを安全に保管し、カスタマーケアとサポートを提供すること

• 当社の製品やサービスに関する情報を共有したり、顧客とのビジネス関係を維持・改善したり、これらのビジネス関係から生じる当社の権利を行使したり、義務を履行したりすること

• 潜在的な顧客との契約を締結できるかどうかをデューデリジェンスにより評価すること。プロセスの一環として、お客様の識別情報を使用する場合があります。デューデリジェンスを実施する場合は、別途、処理に関する正確な内容を伝えます。

これらの活動を実施することは、お客様の組織にサービスを提供するという意味で、当社の正当な利益です。ただし、お客様個人が当社の契約相手である場合は、サービス契約の履行、お客様の要請に応じて契約締結前に協力を提供する必要があるため、お客様のデータを処理します。
個人情
報の保
管期間
はどの
くらい
か?
• アカウントユーザーおよびビジネス連絡先の個人情報は、当社と顧客のビジネス関係が終了してから12ヶ月後に保管されます。

• 当社の顧客である個人の個人情報は、ビジネス関係が終了してから7年後に保管されます。

• 顧客サポートデータは、サポート依頼を解決してから、7年間保管されます。

アカウントデータは通常、指定された期限までに保管されます。ただし、特定の地域の法律で規定されている場合、司法機関から要請された場合、または当社の法的権利を守るために必要な場合、当社は、このデータを異なる期間に保管するよう求められることがあります。詳細については、第11節を参照してください。
5.1.2. 顧客が当社のサービスを利用して通信を交換したり、当社のネットワークとサービスのセキュリティを確保したり、請求や支払を処理するために:
どのよ
うな個
人情報
を収集
する
のか?
Infobipは、以下の内容を含む「通信関連データ」を収集します。
「通信コンテンツ」:Infobipのサービスを通じてお客様とそのエンドユーザーとの間で交換されるメッセージテキスト、音声、動画またはオーディオメディア、ドキュメントまたはイメージ。

「トラフィックデータ」:当社のサービスを利用して交換された通信の伝達またはその通信に関連する課金のために処理されるデータです。これには、通信自体に関する情報(通信のルーティング、種類、期間、時間など)および通信の発信元と受信先に関する情報(提供されるサービスによっては、お客様のエンドユーザーの電話番号または電子メールアドレスを含む)が含まれます。

また、当社は、お客様が当社のサービスを利用する際に作成される情報である「利用状況データ」を収集します。これには、アプリケーションによってInfobipに通信された情報(IPアドレス、お客様の利用状況に関する情報、ルーティング情報など)、および当社のプラットフォーム上でのお客様の活動に関するログが含まれます。
どのよ
うにし
て個人
情報を
収集
する
のか?
• 通信コンテンツは、当社の顧客またはそのエンドユーザーから受領されています。

• 当社の顧客のエンドユーザーの電話番号や電子メールアドレスは、当社の顧客から受領されています。その他のトラフィックデータは、通信の伝達過程で自動的に生成または取得されます。

• 利用状況データは、お客様から直接受信されるか、お客様が当社のサービスを利用する際に自動的に生成されます。
なぜ個
人情報
を収集
するの
か、ど
のよう
な法的
根拠に
基づく
のか、
また、
どのよ
うに利
用する
のか?
信コンテンツ は、特定のお客様を代表してのみ収集・処理されます。当社は、お客様の指示に従い、処理者として行動します。

トラフィックデータは通常、通信の詳細記録として保管され、当社は以下のように収集・利用します。

• 通信事業者および通信プロバイダーとの間でお客様の通信を伝達するため、およびお客様からのお問い合わせに対応する目的で、トラフィックを管理します。
o お客様が、当社の顧客として、個人である場合、サービス契約の履行に必要であるため、当社はお客様の個人情報を処理します。顧客が法人である場合、当社は正当な利益に依拠して、当社の顧客にサービスを提供します。

• ネットワークに関する問題のトラブルシューティングと検出、詐欺やその他の不正行為の防止、および当社サービスの安全性を確保します。これらの活動を行うとき、当社はアカウントおよび利用状況データを利用することもあります。後者は、アカウントユーザーの活動の時間枠を構築し、適切なミティゲーション措置を講じることができるため、特に不正行為の調査に関連します。
o 当社のサービスのセキュリティは当社にとって極めて重要であるため、当社は、これらの活動について、当社のネットワークおよびサービスのセキュリティを維持・向上させるために、当社の正当な利益に依拠しています。

• 料金を計算したり、通信プロバイダー等との相互接続料金を決済したり、当社の顧客または通信プロバイダーとの請求に関する紛争を解決したりします。場合によっては、この活動の一部として、アカウントデータを利用することもあります。
o これらの活動を行うことは、決済を扱い、財政上の紛争を解決するという意味で、当社の正当な利益です。

当社の法的義務を遵守するために、当社は、法執行事項を規制する国内の関連データ保持規定に定められているとおり、通信関連データを含む記録を保持し、政府の要請に基づきこれを共有する義務を負う場合があることをご注意ください。
個人情
報の保
管期間
はどの
くら
いか?
• 通信コンテンツは、顧客を代表して、お客様の指示に従って保管されます。

• エンドユーザーの個人情報(電話番号や電子メールアドレスなど)を含むトラフィックデータは、通信が行われた月の末日から12カ月後に通信の詳細記録から削除されます。

• エンドユーザーの個人情報を含まないその他のトラフィックデータ(時間、種類、通信期間、ルーティング詳細など)は、通信の詳細記録で、通信した年の翌年から最大10年間保管されます。

• 利用状況データは、最大3年間保管されることがあります。

通信関連データおよび利用状況データは通常、記載された期限のとおりで保管されます。ただし、特定の地域の法律で規定されている場合、司法機関から要請された場合、または当社の法的権利を守るために必要な場合、当社は、このデータを異なる期間に保管するよう求められることがあります。詳細については、第11節を参照してください。
5.1.3. 当社の製品およびサービスの改善のために
どのよ
うな個
人情報
を収集
する
のか?
Infobipは「行動分析データ」を収集します。このデータは、お客様が当社のウェブサイトおよび当社のプラットフォーム上で活動する際に、当社の顧客のアカウントユーザーとして生成するデータ(使用期間、訪問ページ、訪問履歴、使用機能、お客様のIPアドレスおよびブラウザに関する情報など、当社のウェブインターフェース内でのお客様の行動記録)です。
どのよ
うにし
て個人
情報を
収集
する
のか?
• 行動分析データは、お客様から直接受信されるか、お客様が当社のサービスを利用する際に、お客様のブラウザにクッキーと信頼できるトラッキング技術を配置することによって自動的に生成されます。当社が、当社のウェブサイトでクッキーを通じてお客様のデータを収集する方法の詳細については、クッキーポリシーをご覧ください。
なぜ個
人情報
を収集
するの
か、ど
のよう
な法的
根拠に
基づく
のか、
また、
どのよ
うに利
用する
のか?
当社は、行動分析データを以下のために収集・使用します。

• 当社の現在の顧客が当社のプラットフォームやサービスの利用方法の洞察を得ます。具体的には、当社は、当社のプラットフォームのユーザーが利用可能な機能やツールをどのように利用しているかを分析し、お客様のパフォーマンスを向上させるための推奨事項(ある機能によりよくアクセスする方法など)を提供し、当社のお客様のビジネスニーズをよりよく満たすために、人の介入を含んだ上で部分的に自動化された計測を行います。

• ツールの使用に関する統計を作成して、どのツールがユーザーフレンドリーなデザインで、どのツールを強化する必要があるかを把握します。

このような活動の一般的な目標は、エンドユーザーとの通信において、お客様やお客様の組織の伝達機能を強化することです。当社はこれを実行するとき、正当な利益に依拠します。
個人情
報の保
管期間
はどの
くら
いか?
行動分析データは、生成された後、最大25カ月間保存されます。
5.2. お客様が製品やサービスを当社に提供する場合
どのよ
うな個
人情報
を収集
する
のか?
当社のサプライヤー(ベンダーやサービスプロバイダーとも呼ばれる)として、お客様が個人である場合、当社は以下のデータを収集することがあります。

• お客様の姓名、(ビジネス)住所、電話番号、電子メールアドレス、会社名、業種、業務上の役割、およびお客様の請求情報
(請求先住所、付加価値税番号、銀行口座の詳細、および当社が法的に要求されている場合、並びに適用となる国内法令に従って求められている場合の詳細情報等)

また、当社のサプライヤーと取引を行う場合、以下の情報を収集することがあります。

• 姓名、ビジネス住所、電話番号、電子メール、会社名、業種、業務上の役割など、「ビジネス連絡先」(サプライヤーとInfobipの間の連絡窓口となるサプライヤーの代表者など)に関する個人情報。
どのよ
うにし
て個人
情報を
収集
する
のか?
• お客様が個人として当社のサプライヤーである場合、お客様から直接収集します。

• お客様の組織が当社のサプライヤーである場合、お客様またはお客様の組織から直接収集します。
なぜ個
人情報
を収集
するの
か、ど
のよう
な法的
根拠に
基づく
のか、
また、
どのよ
うに利
用する
のか?
当社は、以下のためにこのデータを収集・使用します。

• お客様またはお客様の組織との契約を締結および管理します

• お客様の製品やサービスに関する関連情報を取得し、当社の事業やサービスに関する関連情報のお客様と共有します

• お客様またはお客様の組織とのビジネス関係を維持して改善したり、ビジネス関係から生じる当社の権利を行使したり、義務を履行したりします。

法人であるサプライヤーから製品やサービスを購買するか、あるいはサプライヤーと協働するという意味で、これらの活動を行うことは、当社の正当な利益となります。ただし、当社の契約相手として、お客様が個人である場合、契約の履行に必要であり、契約締結の前に必要であることから、当社はお客様の個人情報を処理します。
個人情
報の保
管期間
はどの
くら
いか?
• ビジネス連絡先に関する個人情報は、当社とサプライヤーとのビジネス関係が終了してから12ヶ月後に削除されます。

• 当社のサプライヤーである個人の個人情報は、ビジネス関係が終了してから7年後に削除されます。

具体的な現地法に定めがあった場合、現地当局からの要請があった場合、当社の法的権利を守るために必要な場合、当社は上記で記載された期間と異なる期間に、このデータを保管するよう求められることがあります。詳細については、第11節を参照してください。
5.3. 当社の製品やサービスに関するご質問がある場合、および新たなビジネスチャンスを模索するためにご連絡をいただく場合
どのよ
うな個
人情報
を収集
する
のか?
当社は、お客様のお名前、連絡先詳細(電子メールアドレス、電話番号、国名など)やビジネス情報(会社名、業種、業務上の役割など)を収集することがあります。また、当社は、コミュニケーションの性質から、お客様が当社の送付することを選択したその他の情報も収集します。
どのよ
うにし
て個人
情報を
収集す
るのか
• お客様が当社の事業やサービス(たとえば、「セールスに連絡」フォームを経由して)について知るために当社のウェブサイトに登録したとき、当社のチャットチャネルを通じて当社とのチャットを開始したとき、当社と取引関係を結ぶために措置を取ったとき、スタートアップ集団の申込書を提出したとき、および詳細情報を求める際にお客様が連絡先詳細を当社に提供したときに、お客様から直接収集します。

• 当社は、ビジネスおよび専門のネットワークおよびデータベース(LinkedInなど)、または一般に利用可能な情報源およびデータエンリッチメントプロバイダーから間接的に収集した情報を提供するサードパーティを採用する場合もあります。当社が保持する情報は、当社のサービスや製品から恩恵を受ける可能性のある潜在的な顧客やサプライヤーへの訴求に役立つ情報、または当社がその製品やサービスに興味を持っている場合に限られます。
なぜ個
人情報
を収集
するの
か、ど
のよう
な法的
根拠に
基づく
のか、
また、
どのよ
うに利
用する
のか?
当社は、以下のためにこのデータを収集・使用します。

• お客様またはお客様の組織が当社の製品・サービスを使用すること、またはお客様の製品・サービスを当社に提供することにより、お客様と連絡したり、お客様の質問へ回答したり、当社とのさらなる協力に関心があるかどうかを見つけたりします。

• 契約締結に共通の関心がある場合、プリセールスおよび購買プロセスにおいて十分な支援を確保します。

当該活動は、当社の事業遂行のための正当な利益を表しています。当社の契約相手として、お客様が個人である場合、契約の履行に必要であり、契約締結の前に必要であることから、当社はお客様のデータを処理します。
個人情
報の保
管期間
はどの
くら
いか?
• この目的のために収集された個人情報は、当社がお客様またはお客様の組織とビジネス上の契約を締結しない限り、当社からの最後の連絡日から6ヶ月後に削除されます。
5.4. 当社が電子メールまたはその他のマーケティング通信をお客様に送信する場合
どのよ
うな個
人情報
を収集
する
のか?
当社は、お客様の姓名、連絡先詳細(電子メールアドレスや電話番号など)を収集します。また、電子メールの開封数やクリック数など、簡単な統計も収集します。
どのよ
うにし
て個人
情報を
収集
する
のか?
• お客様が当社ウェブサイト上のウェブフォームからニュースレター、ブログ、その他のマーケティングコミュニケーションの受信を申し込まれた場合、お客様から直接収集します。

• 当社がお客様の組織と既存のビジネス関係を有している場合、企業間(B2B)マーケティングの一環として、お客様から直接、またはお客様の組織を通じてデータを収集します。

• お客様が当社の電子メールでやり取りをした場合、電子メールの開封数やクリック数に関する簡単な統計情報は、クリアGIFなどの業界標準のテクノロジーによって自動的に生成されます。
なぜ個
人情報
を収集
するの
か、ど
のよう
な法的
根拠に
基づく
のか、
また、
どのよ
うに利
用する
のか?
このデータを収集する目的は、以下の通りです。

• 当社のサービス、企業ニュース、ウェビナーおよび今後のイベントについての情報を提供すること

• 直接販売戦略の改善に役立てるための統計情報(電子メール開封数、クリック数)を収集すること。

お客様が当社の電子メールマーケティング通信に登録される場合、当社は、かかるウェブフォームのご提供時には、お客様が当社に提供した同意に依拠しています。B2B(企業間)マーケティングの場合、既存のビジネスパートナー(顧客やサプライヤーなど)に当社のサービス、企業ニュース、ウェビナー、今後のイベントを電子メールまたは他の形式の通信で知らせることにより、当社のビジネス関係を維持・改善するために、当社の正当な利益に依拠します。

いかなる場合でも、お客様は、積極的に好みを管理し、またはInfobipのすべてのマーケティング通信で提供されている配信停止リンクを使って、いつでもInfobipとの通信からオプトアウト(配信停止)することができます。お客様が当社のマーケティング通信の配信を停止した場合(つまり、お客様が同意を取り消すか、処理に異議を申し立てた場合)、当社はお客様へのマーケティング資料の送信を停止します。

ただし、当社は、今後お客様に不要なコンテンツをお送りすることがないように、お客様の電子メールアドレスや電話番号のみを含む、いわゆる「サプレッションリスト」を維持しています。当社は、ニュースレター受信者の選択を尊重するために、当社の正当な利益に基づいて、この情報を保持します。
個人情
報の保
管期間
はどの
くら
いか?
• お客様の個人情報(姓名、連絡先詳細)は、お客様が異議を申し立てない限り、お客様またはお客様の組織と当社とのビジネス関係を維持する間、当社のマーケティング活動のために保管されます。

• お客様が直接配信を申し込んだ場合、お客様の個人情報は、お客様が配信停止を申し込むまで、当社のマーケティング活動のために保管されます。

• お客様が配信停止を申し込むか、異議を申し立てる場合、お客様が今後マーケティングコミュニケーションを受けることがないように、当社はお客様の連絡先詳細(電子メールアドレスまたは電話番号など)を含むサプレッションリストのみを保管します。
5.5. 当社のウェビナー、ビジネスブレックファスト、デベロッパー・ミートアップ、その他のイベントへ登録したり、参加したり、講演したりする場合
どのよ
うな個
人情報
を収集
する
のか?
お客様が当社のビジネスブレックファスト、ウェビナー、デベロッパー・ミートアップ、その他のイベント(以下「イベント」という)への参加登録またはチェックインをされる場合、当社は通常、お客様の姓名、連絡先詳細(電子メール、電話番号、国など)、および業務内容(会社名、業種、お客様の業務上の役割など)を収集します。また、お客様が講演者として参加される場合は、簡潔な履歴書と公式写真を提供するように求められることがあります。

また、ライブイベントの場合、お客様の到着時間や場所、宿泊施設の詳細、食事の希望などをお伺いすることもあります。お客様が招待状の提供を必要とされる場合、または、お客様がビザを取得するために保証書を取得する必要がある場合、当社は適用される法律で要求される必要な情報(お客様の姓名、住所、生年月日、パスポートの詳細など)を収集します。

当社は、イベントから写真、音声、映像素材を収集することがあります。

Infobipのシフトカンファレンスに登録し、参加する場合は、異なるルールが適用されることがあります。詳細については、Infobipのシフトプライバシー通知をご確認ください。
どのよ
うにし
て個人
情報を
収集
する
のか?
• お客様が当社のイベントへの参加登録またはチェックインをしたとき、直接収集します。

• お客様の会社が、お客様に代って当社のイベントに参加するための連絡先詳細を当社に提供する場合があり、その場合、当社は登録用のリンクと共に招待状をお客様に送ります。
なぜ個
人情報
を収集
するの
か、ど
のよう
な法的
根拠に
基づく
のか、
また、
どのよ
うに利
用する
のか?
当社は、以下のためにこのデータを収集・使用します。

• お客様がウェビナーに登録した場合、ウェビナーの詳細を事前に提供し、ウェビナーの開催について伝え、その後ウェビナーの録画を電子メールでお送りします。
• お客様が当社のライブイベントへの参加またはイベントでスピーチをするように登録した場合、お客様のイベントへの参加を確保し、お客様の到着前およびイベント中にすべての関連情報をお客様に伝え、イベントを円滑に進める(当社のイベントの場所、宿泊施設、旅行またはイベントに関連するその他のロジスティックスデータに関する詳細についてお客様

6. 個人情報をどのように誰と共有するのか?

当社は、当社が管理者として行う活動および本プライバシー通知に記載されている活動を遂行するために、お客様の個人情報の処理に協力するサプライヤー(ベンダーまたはサービスプロバイダーとも呼ばれる)を雇う場合があります。当社はグローバル企業であるため、日常運営の一環として、当社の子会社および関連会社とお客様の個人情報を共有することがあります。Infobipグループ内でのこのような共同利用は、個人情報の処理と転送に関する会社間契約によって規制されています。


新しいサプライヤーと雇用する前に、セキュリティとプライバシーの評価を実施します。このようなサプライヤーが当社の処理者として作業する場合、当社は、個人情報の処理が書面によるデータ処理契約によって管理されることを保証します。


上記にかかわらず、当社は原則として、関係者以外極秘で、以下のようにどうしても必要な場合を除き、個人情報を第三者と共有することはありません。

  • 必要に応じて、通信事業者や他の通信サービスプロバイダーとの間で、適切なルーティングや接続の設定を行う場合。当社は、通信事業者、その他の通信プロバイダー(WhatsApp、Viber、Facebook、KakaoTalk、Line、Telegramなど)との接続を通じて、当社の顧客が発信するメッセージをそのエンドユーザーがどこにいても配信することができます。
  • サービスプロバイダーおよび技術プロバイダーにとって、当社に代わって特定の活動を行うために、厳密に必要な範囲である場合。これらは、当社のサービス(たとえば、当社のサービスの機能の一部として)および当社の他のプロセス(たとえば、当社の求人応募プロセスを管理するためにソフトウェアプロバイダーを利用する)の両方に関連する可能性があります。
  • 当社の法的義務に従うために必要な場合の第三者。当社は、訴訟手続き、裁判所命令、または当社に送達された法的手続き(刑事訴訟など)、または公共の安全に対する脅威、規制上の要件、または調査や破産との関連から、関係法令により権限を有する司法機関とお客様の個人情報を共有する場合があります。通信プロバイダーとして、当社は法執行目的のために特定の通信関連データを保持することが義務付けられており、法執行機関の要請に基づき権限を有する法執行機関とそのデータを共有することが求められます。また、当社は、関連する会計、財務、税務の法令に準拠していることを証明する義務がある場合、お客様のデータはその目的のために監査役や税務当局と共有される場合があります。
  • マーケティング活動の一環として当社が利用できる広告パートナー。詳細については、当社のクッキーポリシーに記載され、当社のウェブサイトにアクセスする際にクッキーの設定を変更する方法についても説明されています。
  • 合併、売却、またはその他の資産譲渡の場合における開示の一環としてのM&Aステークホルダー。お客様の情報は、法律または契約によって認められている場合、そのような取引の一部として譲渡されることがあります。

7. 個人情報はどのようにして日本域外に移転されるのか?

当社は、全世界で事業活動を展開し、お客様の個人情報を上記の項で指定された当事者に提供することにより、お客様の個人情報を日本域外で処理することがあります。すべての国際的移転は、お客様の個人情報の機密性と安全性を確保し、適用されるプライバシー法に基づいて実施されます。これには、特定の技術的、組織的、および契約上の措置が含まれる場合があります。たとえば、欧州経済領域外への個人情報の移転に関連して、必要に応じて、データ移転のための標準契約条項を完成させ、実行します。

8. 個人情報はどのように保護されるのか?

Infobipでは、セキュリティとプライバシーは密接に関連しているものだと信じています。当社が収集・処理された個人情報を保護するために、当社は、技術的、組織的に広範なセキュリティ対策の開発、導入、および継続的な改善に投資しています。これらの対策は、ISO27001:2013規格要件に基づいて実施されています。詳しくは、ここでお読みいただけます。当社の最新の証明書リストはここでご覧いただけます。


当社では、Infobipに入社した初日からオンボーディングプロセスを通じて、またInfobipに在籍中は継続的にプライバシーとセキュリティの分野について、すべてのスタッフを教育するよう配慮しています。


当社は、サプライヤーと契約する前に、そのセキュリティ慣行や適用されるプライバシー法との整合性を確認します。契約した後でも、関連評価を定期的に実施しています。

9. 個人情報に関するお客様の権利とは?

適用されるプライバシー法に応じて、お客様は個人情報に関して一定の権利を有する場合があります。
適用されるプライバシー法が許容する場合、お客様には次の権利があります。
• 取消前の同意に基づく処理の合法性に影響を与えることなく、当社によるお客様の個人情報の処理(当該処理がお客様の同意に基づくものであり、同意が許容される唯一の処理根拠である範囲において)に対するお客様の同意を取り消すこと。


  • お客様自身の個人情報へのアクセスを要求し、当社が保有するお様の個人情報のコピーを要求することを意味すること。
  • 不正確と思われるお客様の個人情報の修正(訂正)および不完全と思われるお客様の個人情報の修正を当社に求めること。
    特定の状況下で個人情報を消去するよう当社に要求すること。
    特定の状況下において個人情報の処理を制限するよう当社に要求すること。
    お客様の同意に基づき、またはお客様との契約関係に基づき、当社が自動化された手段でお客様の個人情報を処理する場合、お客様はデータポータビリティの権利を行使することができること。
    当社が正当な利益に基づいてお客様の個人情報を処理している場合、お客様にはその処理に対して異議を申し立てる権利があること。
  • o マーケティング目的のデータ処理に異議を申し立てたい場合は、当社のマーケティングコミュニケーションに記載されている配信停止リンクを使用して、いつでもそれを停止することができます。
    また、お客様には、当社がプロファイリングを含め自動化された意思決定操作を行うことができる例外的な場合には、特定の権利を有する場合があること。当社の個人情報の使用方法についてご質問がある場合、または特定の権利を行使したい場合、あるいはお客様の個人情報の処理に関する苦情を解決したい場合は、当社のデータ保護責任者に連絡することができます。次の電子メールアドレスに電子メールを送信してください。data-protection-officer@infobip.com

適用される場合、お客様の常居所、職場、または侵害の疑いのある場所の欧州連合加盟国の監督当局に苦情を申し立てることができます。その他の理由から異議を申し立てたり、関連るデータ保護当局に連絡したりしたい場合は、https://edpb.europa.eu/about-edpb/board/members_en にアクセスすることにより、EEAのデータ保護当局の連絡先詳細について確認できます。

10. お客様に大きな影響を与える自動意思決定を行っているか?

当社は、当社のプラットフォームのユーザーが利用可能な機能やツールをどのように利用し
ているか(当社のウェブインターフェース内でのお客様の使用行動を追跡することなど)を
分析し、お客様のパフォーマンスを向上させるための推奨事項(たとえば、特定の機能への
より良いアクセス方法)を提供するために、人の介入を含んだ上で部分的に自動化された計
測を行います。

11. 個人情報の保管期間はどのくらいか?

お客様の同意に基づいて収集されたお客様の個人情報は、同意で指定された期間に保管され
ます。いかなる目的であれ、お客様の個人情報の処理に対する同意を取り消して、当該のデ
ータを削除することを希望される場合は、data-protection-officer@infobip.comにメールをお
送りいただくことにより、いつでもこれを行うことができます。お客様の同意の対象となっ
ていないお客様の個人情報については、収集目的を達成するために必要な期間のみ保管し、
その後、法令に基づき、識別不可能(匿名化)にするか、削除します。
具体的な保管期間は、本プライバシー通知の第5項にあるそれぞれの活動の下に記載されて
います。記載されている保管期間は、標準的な既定期間です。一部の場合では、法律の執行
、税務、その他の目的に関連する現地の法律により、例外が適用されます。また、訴訟、法
執行機関の要請、政府の調査などの法的事項により、第5項で記載された期間より長い期間
に個人情報を含む記録の保存が必要になった場合、法的に保持する義務がなくなった時点で
、当該の記録を削除します。

12. お子様からの情報について

当社の製品およびサービスは、16歳未満のお子様を対象としたものではありません。その状
況を知った場合、またはその通知を受けた場合、当社は直ちに合理的な手段を講じて、その
情報を当社の記録から可能な限り速やかに削除します。16歳未満のお子様から収集した情報
があると思われる場合は、data-protection-officer@infobip.comまでご連絡ください。

13. このプライバシー通知は、どのくらいの頻度で 更新されるのか?

本プライバシー通知の最新版では、個人情報の収集、処理、および開示に関する当社の慣行
について規定しています。このページで、すべての変更に関する通知をご提供します。最終
更新日は、本プライバシー通知の冒頭でいつでも確認できます。
前バージョン: 2022年11月29日

付録1. 現地プライバシー規制の特定の要件

Argentina

In addition to or in derogation of the Privacy Notice, the following applies to processing of personal data for
individuals residing in Argentina:
For the purposes of Argentinian data protection laws, including The Personal Data Protection Act (“PDPA”) Act
No. 25.326 and the Decree No. 1558/2001, personal data will be processed by Infobip Latam S.A., domiciled at
Av. Dorrego 1789, Piso 2, Oficina 201/202, Buenos Aires (C1414CKM) Argentina, as the controller of the
personal data.
Your consent is granted for the collection, processing, use and transfer of personal data as described in the
Privacy Notice, in the Annex hereto.
In the event you wish to exercise any of the rights, you should contact Infobip using the details provided in
Section 11 of the Privacy Notice. If you consider that you have not been duly attended to in the exercise of your
rights, you may file a claim with the la Agencia de Acceso a la Información Pública

Brazil

In addition to or in derogation of the Privacy Notice, the following applies to processing of personal data for
individuals residing in Brazil:
For the purposes of Brazilian data protection laws, including the General Data Protection Law No 13,709/2018
(“LGPD”), Infobip Brasil Serviços de Valor Adicionado Ltda, domiciled at
Avenida Candido de Abreu, 70, sala 81 Curitiba/PR, 80530-000 Brasil, has appointed its Data Protection Officer
(“DPO”) as our Representative. Our DPO is contactable via the email address data-protectionofficer@infobip.com.
If you are located in Brazil, you have all the following rights as set forth in the LGPD:

  • i. Be informed if there is any personal data processing and request
  • information and a copy of the personal data.
  • ii. Request the correction of your personal data that is inaccurate and/or
  • completion of such data which is incomplete.
  • iii. Ask us to anonymize, block or erase your personal data in certain
  • circumstances.
  • iv. Request to transmit your personal data to another service or product
  • provider, limited to commercial or industrial secrets.
  • v. Provide an informed consent for specific purpose and within determined
  • period of retention and withdraw your consent at any time for the future
  • where processing is based on your consent.
  • vi. To oppose the processing carried out based on one of the legal basis
  • other than your consent

You have the right to lodge a complaint regarding your personal data before the Brazilian Data Protection
National Authority (“ANPD”) as well as consumer-defense entities.
If you have any questions on how we use your personal data or if you wish to exercise a certain right or resolve
a complaint regarding the processing of your personal data, you can contact our addressed Data Protection
Officer by sending an email to the following email address: data-protection-officer@infobip.com.

Canada

In addition to or in derogation of the Privacy Notice, the following applies to processing of personal data for
individuals residing in Canada:
The term “applicable privacy law” includes all Canadian laws and regulations applicable to the processing of
personal data, including the Personal Information Protection and Electronic Documents Act (Canada) or any
equivalent provincial legislation, including, the Personal Information Protection Act (British Columbia), the
Personal Information Protection Act (Alberta), or the Act respecting the protection of personal information in
the private sector (Quebec).
We will not collect personal data indiscriminately, but will limit collection of personal data to that which is
reasonable and necessary. We will also collect personal data as authorized or required by law. We will only
use or disclose your personal information for the purposes set out above and as required or authorized by
law. We will retain your personal information as long as is reasonable to serve the original purpose for which
we collected the information, and for so long as retention is necessary for a legal or business purpose.

LEGAL BASIS FOR PROCESSING YOUR PERSONAL DATA – CONSENT

We will process your personal data only with your knowledge and consent, except where exempted, required
or permitted by applicable laws. The form of consent may vary depending on the circumstances and the type
of information being requested. Your consent may be express or implied. Taking into account the sensitivity
of your personal information, purposes of collection, and your reasonable expectations, we will obtain the
form of consent that is appropriate to the personal information being processed. By using our Services or
otherwise by choosing to provide us with your personal data, you acknowledge and consent to the processing
of your personal data in accordance with this Privacy Notice and as may be further identified when the
personal data is collected. When we process your personal data for a new purpose, we will document that
new purpose and ask for your consent again, unless applicable law authorizes or requires us to do so without
consent.

If you are a resident of the province of Quebec, we will always seek your express consent to the collection,
use, and communication of your personal data, except when specifically allowed by applicable law. For
example, we may, in certain cases, use or communicate your personal data, without your consent for
purposes of fraud prevention or to provide a service requested by you. You may, in certain circumstances, be
asked to confirm your consent in a separate document. When we process your personal data for a new
purpose, we will, when required by applicable law, document that new purpose and ask for your consent
again.
If you do not consent to the processing of your personal data in accordance with this Privacy Notice, please
do not access or continue to use the Services or otherwise provide any personal data to us.

TRANSFERS OF YOUR PERSONAL DATA ACROSS BORDERS

As noted in section 7 of this Privacy Notice, your personal data may be processed, used or stored in
jurisdictions other than your jurisdiction of residence. As a result, when your personal data is processed, used
or stored in a jurisdiction other than where you are residing, it may be subject to the law of that foreign
jurisdiction, including any law permitting or requiring disclosure of the information to the government,
government agencies, courts and law enforcement in that jurisdiction.
When we transfer your personal data outside your jurisdiction of residence, we will use reasonable
safeguards, including contractual requirements with the third parties receiving and processing the personal
data, to ensure the adequate protection of your personal information.

YOUR RIGHTS REGARDING YOUR PERSONAL DATA

If you are a Canadian resident, you may have the following rights under applicable Canadian privacy laws:

  • Right to access: You have the right to request that we confirm the existence of the personal information
  • concerning you that we hold and that we allow you to access that personal information. In some situations,
  • we may not be able to provide access to certain personal information (for example, if disclosure would reveal
  • personal information about another individual, or the personal information is protected by solicitor/client
  • privilege). We may also be prevented by law from providing access to certain personal information. If we
  • refuse an access request, we will notify you in writing, document the reasons for refusal, and outline further
  • steps which are available to you.
  • Right to correct: If your personal information that we hold is inaccurate, incomplete or equivocal, or if its
  • processing is not authorized by law, you have the right to request that the information be rectified. If a
  • challenge regarding the accuracy of your personal information is not resolved to your satisfaction, we will
  • annotate the personal information with a note that the correction was requested but not made.
  • Right to revoke consent: You have the right to revoke your consent to the use or communication of your
  • personal information. This will not affect the lawfulness of any use or communication of your personal
  • information that happened before you revoked your consent. If you revoke your consent, we will inform you
  • of the likely consequences of that revocation, which may include our inability to provide certain services for
  • which that information is necessary.
  • Right to portability: If you are a resident of the province of Quebec, you have the right to request that your
  • personal information that we hold be communicated to you, or to any person you may designate, in a
  • structured, commonly used technological format.
  • Right to de-indexation: If you are a resident of the province of Quebec, you may, in certain situations and if
  • the legal requirements are met, require that we cease disseminating your personal information, or that we
  • de-index any hyperlink attached to your name that provides access to your personal information.

Columbia

In addition to or in derogation of the Privacy Notice, the following applies to processing of personal data for
individuals residing in Colombia:
For the purposes of Colombian data protection laws, including Law 1581, 2012 and its regulatory decrees,
personal data will be processed by Infobip Colombia S.A.S., domiciled at Carrera 11 B No. 97-56 Edificio Ápice
Oficina 601, Bogotá, Colombia, as the controller of the personal data.

Your rights: In addition to the rights that are outlined in Section 9 of this privacy notice, you are also
entitled to:

  • • Request from us a copy of the information that was given to you in the moment you consented to the
  • processing of your personal data.
  • • Request rectification or correction of their personal data.
  • • Request evidence of the consent, except when consent is not required for the processing.
  • • Be informed about the use that has been effectively given to your personal data.
  • • Withdraw consent in certain circumstances including where it is no longer necessary for Infobip to process
  • the personal data.
  • • File claims before the Superintendency of Industry and Trade.

In addition to the information set out in Section 7 above, when this Privacy Notice refers to the possibility of
sharing your personal information or performing international transfers of such information, these operations
shall comprise, under Colombian laws, both transfers and transmissions of your personal data. Both transfers
and transmissions shall be fully compliant with applicable Colombian laws
If you consider that you have not been duly attended to in the exercise of your rights, you may file a claim
with the la Superintendencia de Industria y Comercio, Delegatura de Protección de Datos Personales.

Egypt

In addition to or in derogation of the Privacy Notice, the following applies to processing of personal data for
individuals residing in Egypt:

DATA SUBJECT RIGHTS

In addition to the data subject’s rights stated under Section 9 of the Privacy Notice, you as the data subject
enjoy the following additional rights:

  1. To object to the processing of personal data or its results whenever the same contradicts your fundamental rights and freedom.
  2. To get notified of any infringement to your personal data; and
  3. To submit a compliant before the Personal Data Protection Center (the “PDPC”) in any of the following cases:
  • Infringement or breach of the right of personal data protection
  • Failure to exercise your rights
  • In relation to the decisions issued by the data protection officer for the personal data held by the
  • processor or the controller in relation to the requests submitted to the data protection officer.

NOTIFICATION OF BREACH

Infobip shall notify the PDPC of any personal data infringement within seventy-two (72) hours of such
infringement. In the event that such infringement relates to national security protection concerns, then the
notification shall be immediate.
In all cases, Infobip shall notify the data subject with the infringement of the personal data of the data subject
and the measures taken within 3 (three) days from the date of notifying the PDPC.

India

In addition to or in derogation of the Privacy Notice, the following applies to processing of personal data for
individuals residing in or subject to the laws of India:

WHAT PERSONAL DATA DO WE COLLECT, WHY AND ON WHICH LEGAL BASIS, HOW DO WE USE IT AND FOR
HOW LONG DO WE KEEP IT?

In addition to the data collected under the Privacy Notice, we also collect the following sensitive personal data
or information (as this term is defined under the Information Technology [Reasonable Security Practices and
Procedures and Sensitive Personal Data or Information] Rules, 2011) from you, namely financial data including
but not limited to, billing and financial details of a customer (e.g. billing address, prepaid or postpaid customer,
bank account details, information about creditworthiness and payment behaviour, and other additional
information as required under applicable laws). This data will be used for the purposes listed under Section 5
of this Privacy Notice, for which we rely on your consent.

INFORMATION FROM CHILDREN

To the extent you are residing in or subject to the laws of India, children above the age of 16 and under the age
of 18 cannot use our products or services as our customers without the express consent and supervision of a
parent or guardian. If you are above the age of 16 but under the age of 18, your parent or guardian is required
to consent on your behalf prior to using our products or services as our customer. If we learn or are notified
that you are below the age of 18 and using our services without express consent of a parent or guardian, we
will immediately take reasonable steps to delete that information from our records as quickly as possible. If you
think a child under 18 is using our products or services as a customer without express consent of a parent or
guardian, please contact us at data-protection-officer@infobip.com.

GRIEVANCE OFFICER

In case of any queries or grievances with respect to your data or this Privacy Notice, you may contact our
Grievance Officer at data-protection-officer@infobip.com.

Indonesia

In addition to or in derogation of the Privacy Notice, the following applies to processing of personal data for
individuals residing in Indonesia or outside the territory of Indonesia when that has legal impact towards: (i) the
territory of Indonesia or (ii) data subjects being Indonesian citizens outside of the territory of Indonesia. With
reference to the applicable Indonesian laws and regulations, this Privacy Notice is also prepared in Indonesian
language version in addition to the English language version for the purpose of delivering this Privacy Notice to
you (as the data subjects).
If there is any inconsistency or difference in the interpretation between the Indonesian language version and the
English language version of this Privacy Notice, the English language version shall prevail.
With respect Personal Data Protection, the primary law source is Law No. 27 of 2022 on Personal Data Protection
(“Law No. 27”) and along with other related regulations being: (i) Law No. 11 of 2008 regarding Electronic
Information and Transactions as amended by Law No. 19 of 2016 (“EIT Law”); (ii) Government Regulation No.
71 of 2019 regarding Provisions of Electronic Systems and Transactions (“Reg. 71”); (iii) Minister of
Communications and Informatics Regulation No. 20 of 2016 regarding the Protection of Personal Data in an
Electronic System (“MOCI 20/2016”). For your ease of reference, we shall refer Law No. 27, EIT Law, Reg.71 and
MOCI 20/2016 jointly or separately as the “Indonesian Data Protection Laws” or “IDPL”.
In addition to or in derogation of this Privacy Notice, the following applies to the processing of personal data
by Infobip within the scope of the IDPL.

DEFINITIONS