Privacy

最終更新日2020年8月12日

お客様のプライバシーは、当社にとって重要です。当社の目標は、お客様にとって最も関連性が高く有用な情報、リソース、およびサービスを提供し、パーソナライズされたオンライン体験を提供することです。

このプライバシーポリシー（以下、「本ポリシー」）は、 PCI Security Standards Council（以下、「PCI SSC」、 「当社」または「当社」）が、   当社のオンラインミーティング、イベント、その他のサービスを提供するために使用するリソースやそれに関連するリソースなど（総称して「Webサイト」）、Webサイト、Webページ、ドメイン、ポータル、登録、その他のイベントおよびオンラインリソース、および対応資料について利用可能とするプライバシー関連の条件について記載するために作成されたものです。

プライバシーポリシーは、特に、お客様のウェブサイトの使用に関連して取得されるデータの収集および使用方法について説明しています。当社は、お客様がプライバシー・ポリシーを注意深くお読みになることを強くお勧めします。当ウェブサイトをご利用になることにより、お客様はプライバシーポリシー（その付録を含み、ここにプライバシーポリシーに組み込まれるものとします）の条件に拘束されることに同意されたものとみなされます。プライバシーポリシーの条項に同意されない場合は、当ウェブサイトへのアクセスまたはその他の利用を中止してください。本ウェブサイトにご不満がある場合は、dataprivacy@pcisecuritystandards.orgまでお気軽にご連絡ください。

当ウェブサイトの維持管理は進化しており、当社は予告なしに本プライバシーポリシーの条項を変更することがあります。このような変更後、お客様が引き続き当ウェブサイトをご利用になる場合、お客様は変更の発効日時点で変更された条件に同意されたものとみなされます。有効なプライバシーポリシーは、当ウェブサイトに掲載されますので、お客様は当ウェブサイトをご利用の都度、変更の有無をご確認ください。

1.本プライバシーポリシーが適用されるサイトとリソース

このプライバシーポリシーは、PCI SSC のすべてのWebサイト、Webページ、 ドメイン、ポータル、レジストリ、その他のオンラインリソース（当社のオンラインミーティングおよびイベントを提供するため、またはそれに関連して使用されるリソースを含むがこれに限定されない）に適用されます。  上記にかかわらず、当社は特定のWebページ、ポータル、またはリソースのユーザーに対して、対応する追加の条件（以下、「追加条件」）に同意するよう随時求めることができ、かかる追加条件は、本プライバシーポリシーとの明確な矛盾を解決するために必要な範囲において適用されるものとします。

2.子供のプライバシー

当社は、子供のプライバシーに関するニーズを保護することに努めており、両親や保護者が子供のオンライン活動や興味に積極的な役割を果たすことを推奨しています。当社は、13歳未満の子供から意図的に情報を収集することはなく、また、当ウェブサイトを子供を対象とするものでもありません。

3.PCI Security Standards Council 以外のウェブサイトへのリンクについて

当ウェブサイトは、ユーザーの利便性のために、第三者のウェブサイトへのリンクを提供することがあります。これらのリンクにアクセスすると、当ウェブサイトを離れることになります。当社は、これらの第三者のウェブサイトを管理しておらず、その方針および実践が本プライバシー・ポリシーと一致することを表明することはできません。例えば、他のウェブサイトは、この文書に記載されているのとは異なる方法でお客様の個人情報を収集または使用する場合があります。したがって、他のウェブサイトを利用する際は、慎重に行い、ご自身の責任において行ってください。当社は、お客様が個人情報を提出する前に、いかなるウェブサイトのプライバシーポリシーも確認することをお勧めします。

4.当社が収集する情報の種類

非個人情報

非個人情報とは、特定の個人を識別することができない、使用およびサービス操作に関するデータです。当社は、ユーザーのウェブサイト利用状況を評価するために、非個人情報を収集し、分析することがあります。

5.集計情報

当社は、お客様のコンピュータから自動的に提供される、特定の個人を識別することができない情報を収集することがあります。例えば、リファーラルデータ（お客様が当ウェブサイトの前後に閲覧したウェブサイト）、閲覧したページ、当ウェブサイトでの滞在時間、インターネットプロトコル（IP）アドレスなどがあります。IPアドレスとは、お客様がインターネットにアクセスするたびに、お客様のコンピュータに自動的に割り当てられる番号のことです。例えば、お客様が当社のウェブサイトのいずれかにページを要求すると、当社のサーバーは、ユーザーの人口統計やトラフィックパターンに関する集計レポートを作成するため、およびシステム管理の目的で、お客様のIPアドレスを記録します。

6.ログファイル

お客様がウェブサイトからファイルを要求またはダウンロードするたびに、当社はこれらのイベントとお客様のIPアドレスに関するデータをログファイルに保存することがあります。当社は、この情報を、トレンドの分析、ウェブサイトの管理、ユーザーの動向の追跡、集合的な使用またはその他のビジネス目的のための幅広い人口統計学的情報の収集のために使用することがあります。

7.クッキー

当社のウェブサイトは、お客様のブラウザの機能を利用して、お客様のコンピュータに「クッキー」を設定することがあります。クッキーは、ウェブサイトのコンピュータがお客様のコンピュータに保存する小さな情報パケットです。ウェブサイトは、お客様がアクセスするたびにクッキーを読み取ることができます。例えば、お客様が当社のサイトを訪問するたびに再入力する必要がないようにお客様のパスワードを保存したり、お客様の興味に応じたコンテンツを提供したり、お客様が訪問したページを追跡したりするために、当社はクッキーを使用する場合があります。これらのクッキーにより、当社は収集した情報を使用してお客様のウェブサイト体験をカスタマイズし、お客様の当社サイトへの訪問が可能な限り適切かつ価値のあるものになるようにします。

クッキーおよびその使用方法に関する追加情報については、本書の付録Aにある当社のクッキーに関するお知らせをご覧ください。

8.ウェブビーコン

本ウェブサイトでは、お客様による本ウェブサイトおよび特定のスポンサーや広告主のウェブサイトの利用、特別なプロモーションやニュースレターの利用、その他の活動に関する非個人的な情報を収集するために、ウェブビーコンを使用することもあります。ウェブビーコンによって収集された情報により、当社は、何人が当社ウェブサイトおよび選択されたスポンサーのサイトを利用しているか、何人が当社の電子メールを開いているか、およびこれらの行動がどのような目的で行われているかを統計的にモニターすることができます。当社のWebビーコンは、当社のWebサイトまたは当社のスポンサーのサイト外でのお客様の行動を追跡するために使用されることはありません。当社は、お客様の許可なく、ウェブ・ビーコンから得られる非個人的な情報を個人を特定できる情報にリンクさせることはありません。

9.個人データ

「個人データ」とは、お客様の氏名または個人情報に関連する情報です。一般に、当社は、お客様のニーズと関心をよりよく理解し、よりよいサービスを提供するために個人データを使用します。当社が収集する個人データの具体的な用途は、当該データが収集されるページまたはその際に記載されています。  お客様がウェブサイトを通じて当社に提供される個人データの種類には、氏名、住所、電話番号、電子メールアドレス、ユーザーID、パスワード、請求情報などが含まれる場合があります。  このような情報の提供は、お客様が情報や資料を要求したりダウンロードしたり、メーリングリストに登録したり、対応するオンラインまたは対面での議論やイベントに参加したり、文書で共同作業したり、フィードバックを提供したり、情報を登録したり、プログラム、会議、イベントへの登録や参加、参加やメンバーシップの申請、技術委員会やワーキンググループへの参加を可能にするために必要または要求される可能性があります。  当社は、これらの情報を収集することにより、お客様に連絡を取ったり、お客様が要求された資料（要求された文書やメーリングリストの購読など）を送付したり、対応するイベントや活動への参加を可能にしたり、当社または他者にお客様を特定する（会議またはイベントへの登録または委員会への参加、プログラムまたはオンラインでの議論への参加の申請など）、要求されたサービスまたは資料の代金を請求したりすることができるのです。お客様は、ご自身の個人データを当社に提供しないことを常に選択できますが、その場合、これらの活動に参加したり、これらのサービスから利益を得たりすることが制限されます。 

個人データは、収集された目的に必要な期間を超えて保存されることはありません。一般に、当社は個人データを3年間、またはお客様が当社と何らかの資格や契約関係をお持ちの場合は、その資格や関係の終了後3年間保持します。場合によっては、当社がお客様の個人データを保持する期間を事前に特定することができないことがあります。ただし、当社が従うべき法律上または契約上の義務の遵守、お客様または他者の重要な利益の保護、あるいはその他の正当な利益のために必要な場合には、お客様の個人データを保持、処理、使用することがあります。

10.制限されたウェブサイトおよびポータルサイト

参加または会員資格の申請に関連して提供された情報は、対応する参加組織、参加者または会員のプロフィールを作成するため、または対応する活動への参加を可能にするために使用され、他の PCI   SSC 会員または参加者の代表者および組織と共有されることがあります。このような情報は、コラボレーション、オンラインディスカッション、調査、および自由な情報交換を奨励および促進するために、安全な Web  サイトで他の参加者またはメンバーに提供される場合があります。PCI Security Standards Council の参加者およびメンバーは、自動的に該当する PCI SSC メーリングリストに追加されます。参加者およびメンバーの情報は、イベントの主催者や他の組織と共有され、参加者やメンバーに追加の特典を提供する場合があります。お客様は、当社に個人情報を提供することにより、当社がこれらの目的のために当該情報を保存、処理、および配布することに明示的に同意するものとします。

11.会議及びイベント

当社のコミュニティ・ミーティング、タウンホール、および同様のイベントなど、直接またはオンラインで開催されるイベントに関連してお客様が提供する情報には、氏名、電子メールアドレス、会社名、および会社の種類が含まれる場合があります。  この情報は、そのようなイベントの運営やお客様の参加を促進するために使用され、その目的のために当社の請負業者や他のイベント参加者と、上記の「制限付きウェブサイトおよびポータル」に記載されているように使用および共有されることがあります。  お客様が当該情報を提供された時点で、当社は、提供された目的のために当社が当該データを保存、処理、配布、および使用することへのお客様の同意を求めます。  このようなイベントに関連して、当社は、住所、会社の関連会社、会社の従業員数、その他の会社情報などの追加情報を要求することがあり、これらはマーケティング目的で使用され、イベントのスポンサーに配布されることがあります。このような追加的な情報の使用に対する同意は、情報が収集された時点で求められます。  このようなイベントに関連して収集されたすべての情報は、本プライバシーポリシーの該当する規定に従って保持されます。

12.会社情報

会社情報とは、当社の参加者、会員、その他のステークホルダーまたはユーザー組織の名称および住所に関連する情報であり、利用およびサービスの運営に関するデータを含む場合があります。このような組織の主要な代表者は、その従業員が当社の活動にどの程度関与しているかを測定するために、利用報告を要求することができます。たとえば、技術委員会、ワーキンググループ、オンラインディスカッションおよびイベントへの参加に関する情報は、自社の主要な代表者および PCI SSC のスタッフが利用できるようになる可能性があることを認識する必要があります。

13.お客様の情報の使用方法

当社は、Webサイトのアクティビティ、ユーザビリティ、パフォーマンス、有効性、または参加に関する報告のために集計された非個人データを使用することがあります。また、Webサイトまたは今後の活動の経験、ユーザビリティ、コンテンツを向上させるために使用されることもあります。

当社は、当社の活動、または当社の参加者、会員、利害関係者、その他のユーザーの活動および当社との連携を支援するサービスの提供や、電子ニュースレター、お知らせ、調査、その他の情報を提供するために個人情報を使用する場合があります。制限されたPCI SSC Webページ、ポータル、 または活動にアクセスする場合、 コラボレーションを支援し、許可されたアクセスを確保し、参加者またはメンバー間のコミュニケーションを可能にするために、個人ユーザー情報が使用または追跡されることがあります。

14.情報の共有

当社は、マーケティングを目的として、個人の個人情報または電子メールアドレスのリストを販売、貸与、またはリースすることはなく、これらの情報のセキュリティを維持するために商業的に合理的な措置を講じます。私たちは、法律で義務づけられているように、お客様に通知し、オプトアウトまたはオプトインの機会を提供することなく、将来にわたって上記のいずれかを行うことはありません。  同様に、当社は、お客様の個人情報の収集、使用または開示に関連する金銭的なインセンティブを提供しません。  ただし、当社は、第三者が当社のミッションまたは活動の一部または全部を継続できるようにするために、PCI SSC が将来的に合併する組織または譲渡する組織に対して、 そのような情報を提供する権利を留保します。また、当社は、当社のシステムまたは事業を保護するため、お客様が適用される使用条件に違反していると合理的に判断した場合、またはお客様が違法行為を開始もしくはこれに関与していると合理的に判断した場合に、個人情報を開示する権利を留保します。さらに、特定の状況において、司法またはその他の政府による召喚状、令状、その他の命令に従って、お客様の個人情報を開示する義務が生じる場合があることをご承知おきください。

私たちは、オープンなプロセスを維持するために、私たちの活動の大部分について、一般にアクセス可能なアーカイブを維持することがあります。たとえば、PCI SSCが主催するメールリストやディスカッションフォーラムに電子メールメッセージを投稿したり、PCI SSC のニュースレターを購読したり、 公開会議やその他の会議に登録すると、電子メールアドレスが対応する一般公開アーカイブの一部になることがあります。

お客様がPCI Security Standards Council の参加者またはメンバーである場合、 お客様の個人情報の一部は、他の参加者やメンバー、および一般の人々から見える可能性があることをご承知おきください。当社の参加者データベースおよび会員データベースは、お客様の氏名、電子メール・アドレス、会社の所属、およびお客様が提供することを選択したその他の個人アドレスと識別データに関する情報を保持することがあります。このデータは、他の参加者またはメンバー、および一般に公開されることがあります。あなたの名前、電子メールアドレス、およびあなたが提供する可能性のあるその他の情報は、あなたが参加した当社の各種委員会、ワーキンググループ、オンラインイベントおよびディスカッション、および同様の活動に関する一般にアクセス可能な記録として、次のようなさまざまな場所に含まれる可能性があります：（i）これらの活動の永久的な出席およびその他の記録、（ii）永久にアーカイブされることがある活動によって生成された文書、および（iii）メッセージ内容と共に、公開されることもある当社電子メールアドレスリストの永久アーカイブ。

ウェブサイトの公開エリアで、またはフォーラム（対面またはオンライン）、メッセージボード、ニュースグループ、その他の活動などの公開または広範な参加活動に関連してお客様が開示する情報（個人情報を含む）は、他者が収集、流通、使用できる公開または広範な情報となる可能性があることをご留意ください。当社は他者の行為を制御できず、また制御できないため、これらのフォーラムやその他の活動で自分自身や他者の情報を開示することを決定する際には、十分な注意が必要です。

PCI Security Standards Council の国際的な範囲を考慮すると、個人情報は、 お客様の居住国以外の人物（お客様の国のプライバシー法および規制が当該情報の適切なレベルの保護を確保する上で不十分であるとみなす国の人物を含む）に見える可能性があります。本プライバシーポリシーが適用される現地の規則に抵触するかどうか不明な場合は、お客様の情報を送信しないでください。     

お客様の個人情報がダイレクトマーケティングの目的で使用されることはありませんが、当社が提供するサービス、イベント、活動に関する情報をお客様が要求された場合、そのフォローアップのためにお客様に連絡することはあります。

PCI Security Standards Council による個人情報の収集と使用を希望されない場合は、 当ウェブサイトへのアクセスや使用、参加者またはメンバー資格の申請、PCI SSC の活動への参加をご遠慮ください。

15.情報へのアクセスおよび情報の正確性

当社は、当社の参加組織および会員組織、ならびにその他のWebサイト利用者の個人情報を正確に保つことに努めています。お客様が当社に提出したすべての情報は、確認および変更することができます。これを行うには、dataprivacy@pcisecuritystandards.org宛に電子メールでご依頼ください。 当社は、参加者、メンバーおよび／またはその他の人々が、いつでも情報を更新または削除できるように、各自の個人プロファイルにオンラインでアクセスできるようにすることがあります。お客様のプライバシーとセキュリティを保護するために、当社は、個人プロファイルデータの修正にアクセスする前に、ユーザーIDとパスワードを要求するなど、本人確認のための合理的な手段を講じることもあります。ウェブサイトの一部のエリアでは、パスワードまたはその他の個人識別子を使用して、特定の個人へのアクセスを制限することがあります。パスワードのプロンプトは、制限されたリソースにアクセスしていることを示すものです。

16.セキュリティ

当社は、当ウェブサイトの利用者から提供された個人情報を保護するために、ファイアウォールやサーバー上のその他のセキュリティ対策など、さまざまな手段を用いています。しかしながら、いかなるサーバーも100％安全とは言えず、当ウェブサイトまたはその他の場所でご自身または他者の個人情報または機密情報を送信する際には、このことを考慮する必要があります。当社が収集する個人情報の多くは、コラボレーションやディスカッションなどの参加および/またはメンバーレベルのサービスに関連して使用されるため、氏名、所属企業、電子メールアドレスなどの一部の種類の個人情報は、 PCI Security Standards Council の他の参加者やメンバー、 および公衆に公開されます。当社は、 お客様が提供する情報の盗聴、改ざん、 使用、誤用について、一切の責任を負いません。個人情報の機密保持は、お客様ご自身の責任で行ってください。当ウェブサイトにアクセスする際など、個人情報を提供される際はご注意ください。

17.オプトアウト

当社は、お客様に電子ニュースレター、お知らせ、アンケート、その他の情報を電子メールで送信することがあります。これらの通信の一部または全部を受け取りたくない場合は、電子ニュースレターやお知らせに記載されている指示に従って、オプトアウトすることができます。

18.カリフォルニア州のプライバシー権

2018年カリフォルニア州消費者プライバシー法（以下「CCPA」）およびその他のカリフォルニア州プライバシー法に基づき、カリフォルニア州住民は、適用されるCCPAの要件を満たす企業に対する個人情報の収集、使用および共有に関する一定の権利を有します。  例えば、お客様がカリフォルニア州の居住者である場合、お客様は、当社がお客様について収集した個人情報の内容を知ること、およびその情報にアクセスすることを要求する権利を有します。また、お客様はご自身の個人情報の削除を要求する権利を有しますが、CCPAの例外により、削除の要求にかかわらず、特定の個人情報を保持し使用することができる場合があります。このような権利と法律に関する追加情報については、本書の付録Bにある「カリフォルニア州民のためのプライバシーに関するお知らせ」をご覧ください。 

19.一般データ保護規則（GDPR）の遵守

お客様が欧州経済領域（以下、「EEA」）の居住者である場合、またはEEAに所在する場合、お客様は一般データ保護規則（以下、「GDPR」）に基づく一定の権利を有する可能性があります。  お客様がWebサイト上で、またはWebサイトを通じて、あるいは当社の活動に関連して提供した個人データは、お客様の同意を得た場合にのみ収集され、その同意に基づいてEEA域外からPCI Security Standards Council （またはPCIセキュリティ基準協議会の利益のために維持されているコンピュータサーバー）に送信される場合があります。

一般に、GDPRのもとでは、お客様は以下のことが可能です。

• お客様の個人データへのアクセスを要求する
• 不完全または不正確な個人データを修正する
• お客様の個人データを削除する
• お客様の個人データの使用を停止もしくは制限すること、またはお客様の同意を撤回する
• お客様の個人データのコピーを要求する
• GDPRに基づくお客様の権利が尊重されていないと思われる場合、監督官庁に苦情を申し立てる

お客様が個人データのコピーを要求された場合、当社はお客様にコピーを提供します。最初のコピーは無料で提供されますが、追加のコピーには相応の手数料がかかる場合があります。お客様が個人データの削除を要請する場合、PCI Security Standards Council は、 通常、 実行可能な限り速やかにこれを行いますが、 お客様が個人データを削除される権利は、例えば、法的義務の遵守、または法的請求の立証、行使、防御などの例外に従うことがあります。 

当社の個人データの処理が適用されるデータ保護法に違反していると考えられる場合、お客様はデータ保護を管轄する監督官庁に苦情を申し立てる法的権利を有します。お客様は、お客様の常居所地、勤務先、または侵害が疑われる場所のEU加盟国において、これを行うことができます。

当社のサーバーは、欧州連合がデータ保護が不十分であるとみなす米国に設置されていることにご留意ください。  従って、お客様がウェブサイトを通じて当社に情報を提供される場合、お客様はその情報を米国内の当社に提供することになります。  また、お客様が米国以外の国（EEAを含みますが、これに限定されません）にいる場合、お客様の個人データは、米国を含むお客様の国以外の国に転送され、および/または収集、保存、処理、および/または使用される場合があることにご留意下さい。  例として、EEA域内の個人の個人データが、米国またはEEA域外の別の国にある当社のサーバーに転送される場合に、このような事態が発生する可能性があります。このような国には、EEAまたはお客様の国と同様のデータ保護法がない場合があります。当社がかかる情報を収集する場合、当社は、米国またはその他の国への転送および／または米国またはその他の国での保存、処理、配布および使用について、該当する場合、お客様の同意を求めます。 このようにお客様の情報をEEA域外に転送する場合、当社は、本ポリシーに概説されるお客様のプライバシー権が引き続き保護されることを目的として、適切なセキュリティ対策が講じられることを確保するための措置を講じるものとします。 

20.当社へのご連絡

本ポリシーまたはお客様の個人データに関してご質問やご懸念がある場合、または上記の権利の行使を希望される場合は、PCI Security Standards Council のデータ保護プログラムを通じて、以下の連絡先にお問い合わせください。

付録A、Bに続く。

付録A

クッキーについての注意事項

このクッキーに関するお知らせは、当社ウェブサイト、その他のオンラインリソース、および前述の各要素（以下、それぞれを「サービス」といいます）に関連して、当社がどのように「クッキー」または同様の技術を使用し、お客様のサービスとの関わり方を理解し、お客様の体験を改善し、お客様が特定の関連機能を使用できるようにするかについての情報をお客様に提供するものです。  また、この通知は、第三者が当社のサービスの運営に関連してそのような技術をどのように使用するかについての情報を提供します。

1.本クッキー通知について

このクッキーに関するお知らせは、お客様が当社のサービスをご利用になる際に適用されます。また、サービスの特定の領域で、またはお客様とのやり取りの中で提供される追加のクッキーに関するお知らせまたは条件によって補足される場合があります。

2.クッキーの使用

クッキーは、お客様が訪問するウェブサイトやお客様が使用するアプリケーションによって、お客様のコンピュータやデバイスに配置される小さなデータ（テキストファイル）です。クッキーは、ウェブサイトやアプリケーションを機能させたり、より効率的に動作させたり、お客様の訪問期間中（「セッション」クッキーを使用）または再度の訪問時（「パーシステント」クッキーを使用）にお客様に関する特定の情報を記憶するために広く使用されています。

以下は、当社が当社のサービス内で使用するファーストパーティおよびサードパーティのクッキーの概要と、当社がそれらを使用する目的について説明します。  ファーストパーティークッキーとは、言語設定やログイン情報など、お客様に関する情報を記憶するために、お客様が訪問された際に当社のウェブサイトがお客様のブラウザに保存を依頼するクッキーのことです。サードパーティークッキーとは、お客様が訪問しているウェブサイトのドメインとは異なるドメインからのクッキーであり、当社の広告およびマーケティング活動のために使用されます。

当社は、クッキーを下記3.に記載するカテゴリーに分類しています。

3. 本ウェブサイトで使用されるクッキーのカテゴリーは以下のとおりです。
   
   

• 必要/不可欠なクッキー：これらのクッキーは、個人を特定できるような情報を保存するものではありません。ただし、本サービスを機能させるために必要なものであり、当社のシステムでオフにすることはできません。通常、プライバシー設定、ログイン、フォームへの入力など、サービスの要求に相当するお客様による操作にのみ設定されます。お客様は、これらのクッキーをブロックしたり、警告するようにブラウザを設定することができますが、これらのクッキーがない場合、お客様が要求したサービスの一部または全部が適切に機能しない可能性があります。

• パフォーマンスクッキー：これらは分析および調査用クッキーで、当社が訪問回数を数え、トラフィックを測定することを可能にし、当社のサービスのパフォーマンスを測定し改善することができます。また、どのページが最も人気があり、最も人気がないかを知り、訪問者がサイトやアプリケーションの中をどのように移動しているかを確認するのにも役立ちます。これにより、当社は、当社のサービスの動作方法を改善し、ユーザー体験を向上させることができます。これらのクッキーを通じて収集された情報は、すべて集計され、匿名の形で処理されます。お客様は、これらのクッキーをブロックしたり、警告を表示したりするようにブラウザを設定することができます。これらのクッキーをブロックしても、お客様に提供されるサービスに影響はありません。

• 機能性クッキー：これらのクッキーは、お客様が行った選択やアカウントの設定を記憶するなど、当社のサービスが強化された機能性や個人向け機能を提供することを可能にします。これらのクッキーは、当社または当社が当社のページにサービスを追加している第三者プロバイダーによって設定される場合があります。お客様は、これらのクッキーをブロックしたり、警告するようにブラウザを設定することができますが、これらのクッキーがない場合、お客様が要求したサービスの一部または全部が適切に機能しない可能性があります。

• ターゲティングクッキー：これらのファイルやコードは、直接または広告パートナー、ソーシャルメディア機能、ウェブサイト、電子メール、またはモバイルアプリケーションから、お客様が当社とどのように関わったかを記録し、当社のサービスの分析と改善に役立てるために含まれることがあり、この情報を使用してウェブサイトや、お客様の興味に合った広告を表示するようにします。お客様は、これらのクッキーをブロックしたり、警告を表示したりするようにブラウザを設定することができます。これらのクッキーをブロックしても、提供されるサービスには影響しませんが、お客様がご覧になるターゲット広告が制限されたり、お客様のニーズに合わせてウェブサイトをカスタマイズする当社の能力が制限されたりする可能性があります。

当社が現在サービスに関連して使用している特定のクッキーは、このクッキーに関する通知の末尾に記載されています。

4.クッキーの使用を拒否する方法

お客様は、PCI SSC のウェブサイト（www.pcisecuritystandards.org） を利用する際に、ホームページ下部のクッキーバナーで「DECLINE」をクリックすることにより、各クッキーカテゴリー（必須/厳密に必要なクッキーを除く）の使用を拒否することができます。

また、ブラウザのプライバシー設定メニューで適切な設定を選択することにより、特定のクッキーを受け入れないようにしたり、新しいクッキーがブラウザに配置される前にブラウザに同意を求めたり、クッキーを完全にブロックすることもできます。

以下のリンクから、一般的なブラウザの設定をご確認いただけます（外部のWebサイトの内容については、弊社では責任を負いかねますのでご了承ください）。

• ChromeとChrome AndroidとChrome iOSでCookieの設定を管理する
• SafariとSafari iOSでCookieの設定を管理する
• FirefoxでCookieの設定を管理する
• インターネットエクスプローラでCookieの設定を管理する
• OperaでCookieの設定を管理する

その他のブラウザ、または別のアドバイスについては、デバイスのユーザーマニュアル、www.allaboutcookies.org、または利用可能なオンラインヘルプファイルで助けを求めてもよいでしょう。

5.変更

当社は、本クッキーに関する通知を随時更新することがあります。変更された場合は、本ページに最新の改訂日時を掲載します。

6.連絡先

当社の個人情報の収集および使用に関する詳細については、お客様の権利または連絡先に関する詳細を含め、当社のプライバシーポリシーを参照してください。

このクッキーに関する通知についてご質問やご懸念がある場合は、当社のデータ保護プログラムを通じて、下記までご連絡ください。

また、該当する場合、お客様は該当する司法管轄区域のデータ保護当局に苦情を申し立てることができます。

クッキー一覧

必須/厳重に必要なクッキー

www.pcisecuritystandards.org

• PHPSESSID：セッションクッキー
• agreements: ドキュメント ライブラリのライセンス契約をトラッキングします 
• pci_doc_agreements =  ドキュメントライブラリのライセンス契約をトラッキングします 

programs.pcissc.org

• ASP.NET_SessionId:セッション クッキー
• pciAdmin:セッション クッキー
• AWSALBAWS ロードバランサーのクッキー
• AWSALBCORSAWS ロードバランサーのクッキー

ファンクショナルクッキー

www.pcisecuritystandards.org

• gdpr-cookie: プライバシー通知の受諾/拒否、およびターゲティング Cookie の使用をトラッキングします
• notification_bar: 通知バーを閉じることをトラッキング
• doc_library: ドキュメントライブラリへのアクセスをトラッキングします
• docleadgen：ドキュメントライブラリへのアクセス時に、ユーザーがリード生成ポップアップフォームに入力したかどうかを追跡する

programs.pcissc.org

• session-timeout-cookie：セッションタイムアウトをトラッキングします

ターゲティングクッキー

www.pcisecuritystandards.org

• _ga = Google Analytics、ターゲティングクッキーが受け入れられた場合のみ
• gid = Google Analytics。ターゲティングクッキーが受け入れられた場合のみ

日付: 2020年8月12日

付録B

カリフォルニア居住者のためのプライバシー補足

このPRIVACY SUPPLEMENT FOR CALIFORNIA RESIDENTS （「プライバシー通知」）は、当社のプライバシーポリシーに含まれる情報を補足し、カリフォルニア州に居住する訪問者およびその他の人々（「ユーザー」または「お客様」）にのみ適用されます。当社は、2018年カリフォルニア消費者プライバシー法（以下、「CCPA」）およびその他のカリフォルニア州プライバシー法を遵守するために、本通知を採用します。CCPAで定義された用語は、本通知で使用される場合、同じ意味を持ちます。

当社が収集する情報

当社は、特定の個人または装置を特定し、関連し、説明し、参照し、関連付けることができ、または直接的もしくは間接的に合理的に関連付けることができる情報（以下「個人情報」）を収集しています。特に、当社は、過去12ヶ月以内に、ユーザーから以下のカテゴリの個人情報を収集しました。

個人情報には以下のものは含まれません。

• 政府の記録から得られる一般に入手可能な情報。
• 非特定または集計されたユーザー情報。
• CCPAの適用範囲から除外される情報、例．

• • 1996年医療保険の相互運用性と説明責任に関する法律（HIPAA）、カリフォルニア州医療情報の機密保持法（CMIA）、臨床試験データの対象となる健康または医療情報。
  • 公正信用報告法（FRCA）、グラム・リーチ・ブライリー法（GLBA）またはカリフォルニア金融情報プライバシー法（FIPA）、1994年ドライバーズプライバシー保護法などの特定のセクター固有のプライバシー法が適用される個人情報。

当社は、上記の個人情報を次のような情報源から取得します。

• 当社の訪問者、参加者、会員、評価者、研究所、その他当社の活動、プログラムに関与する者、または当社のウェブサイトにアクセスする者（以下「ステークホルダー」）から直接。例えば、当社がステークホルダーに提供するプログラムおよびその他のサービス（以下、「サービス」）に関連して当社に提供される文書から。
• 当社の代表者またはその代理人からの間接的な情報。例えば、当社の代理人がサービスを提供する過程でステークホルダーから収集した情報など。
• 当社のウェブサイト（www.pcisecuritystandards.org）または当社のその他のオンラインリソースでの活動またはイベントから直接または間接的に。例えば、当社のウェブサイトポータルを通じての投稿、自動的に収集されるウェブサイトの使用状況詳細、またはオンラインイベントへの参加から。
• 当社のサービスに関連して当社と相互作用する第三者から。例えば、当社のステークホルダーと協働して当社のサービスを促進するビジネスパートナーから。

個人情報の利用

当社は、当社が収集した個人情報を、以下の業務目的のために使用または開示することがあります。

• 情報提供の対象となるサービスを履行または提供するため。例えば、当社は、適格セキュリティ評価者から提供された連絡先情報（氏名、電話番号、電子メールおよび住所）を、対応するプログラム活動および参加に関連して、その連絡担当者と連絡を取るために使用します。
• お客様が当社に要求された情報、製品またはサービスを提供するため。
• お客様が関心をお持ちの当社の製品もしくはサービス、またはイベントもしくはニュースに関する電子メールアラート、イベント登録およびその他のお知らせを提供するため。
• お客様と当社との間で締結された契約から生じる当社の義務を遂行し、当社の権利を行使するため（請求および回収のためを含む）。
• 当社のウェブサイトを改善し、その内容をお客様に提示するため。
• テスト、調査、分析、サービス開発のため。
• 当社、当社の利害関係者またはその他の者の権利、財産または安全を保護するために必要または適切な場合。
• 法執行機関の要請に応じるため、および適用法、裁判所命令、政府規制により必要とされる場合。
• 個人情報を収集する際にお客様に説明したとおり、またはCCPAに別途規定されたとおり。
• 継続企業として、あるいは破産、清算、または同様の手続きの一環として、当社が保有する個人情報が譲渡資産の一部であるかどうかにかかわらず、合併、分割、リストラ、再編、解散、または当社の資産の一部または全部のその他の売却または譲渡を評価または実施するため。
• プライバシー・ポリシーに別段の定めがある場合。

当社は、お客様に通知することなく、追加の個人情報を収集したり、収集した個人情報を実質的に異なる、無関係な、または互換性のない目的のために使用したりすることはありません。

個人情報の共有

当社は、業務上の目的のため、お客様の個人情報を第三者に開示することがあります。  業務上の目的で個人情報を開示する場合、当社は、その目的を説明する契約を締結し、受領者が個人情報の秘密を守り、契約の履行以外の目的で個人情報を使用しないことを要求します。

過去12ヶ月の間に、当社は以下のカテゴリーの個人情報を業務目的で開示しました。

カテゴリーA:    識別子。

カテゴリーB:     カリフォルニア州顧客記録法令に記載されている個人情報のカテゴリー（Cal.Civ.B. カリフォルニア州顧客記録法（Cal. Civ. § 1798.80(e)）に記載された個人情報のカテゴリー。

カテゴリーC:    カリフォルニア州法または連邦法に基づく保護されるべき分類特性。

カテゴリーD:    商業的な情報。

カテゴリーF:     インターネットまたはその他類似のネットワーク活動。

カテゴリーI:      職業または雇用に関連する情報。

カテゴリーJ:      非公開の教育情報（家族教育権利プライバシー法（20 U.S.C. Section 1232g、34 C.F.R.）に基づく）。セクション1232g, 34 C.F.R.Part 99)による)。

当社は、事業目的のために、以下のカテゴリーの第三者にお客様の個人情報を開示します。

• 当社の関連会社およびビジネスパートナー。
• サービスプロバイダ。
• 当社がお客様に提供する製品またはサービスに関連して、お客様またはお客様の代理人が当社にお客様の個人情報を開示することを承認している第三者。

過去12ヶ月間、当社は個人情報を売却していません。

お客様の権利と選択 

CCPAは、ユーザー（カリフォルニア州居住者）に対し、個人情報に関する特定の権利を提供します。このセクションでは、お客様の権利について説明し、これらの権利を行使する方法について説明します。

特定の情報へのアクセスおよびデータのポータビリティに関する権利

お客様は、当社が過去12ヶ月間に行ったお客様の個人情報の収集および使用について、特定の情報を開示するよう要求する権利を有します。当社は、お客様から検証可能なユーザーリクエストを受領し確認した後、お客様に開示します。

• 当社が収集した個人情報の種類。
• 当社が収集した個人情報の情報源のカテゴリー。
• 個人情報を収集または販売するための当社の事業または商業上の目的。
• 当社が個人情報を共有する第三者のカテゴリー。
• 当社が収集したお客様に関する特定の個人情報（データポータビリティ要求とも呼ばれます）。
• 当社が事業目的でお客様の個人情報を販売または開示した場合、開示する2つの別個のリスト。

• • 各受領者が購入した個人情報カテゴリーを特定する販売、および
  • 事業目的のための開示：各受領者が入手した個人情報のカテゴリーを特定します。

削除請求権 

お客様は、当社がお客様から収集し、保有しているお客様の個人情報について、一定の例外を除き、削除を求める権利を有しています。当社は、お客様から検証可能なユーザーリクエストを受領し確認した後、例外が適用されない限り、当社の記録からお客様の個人情報を削除します（また、当社のサービスプロバイダーに削除を指示します）。

当社は、当社または当社のサービスプロバイダーが以下のことを行うために情報を保持することが必要な場合、お客様の削除要求を拒否することができます。

1. 個人情報を収集した取引を完了する、お客様が要求した商品やサービスを提供する、お客様との継続的なビジネス関係の中で合理的に予想される行動をとる、またはお客様との契約を履行します。
2. セキュリティ事故の検出、悪意ある、欺瞞的、詐欺的、または違法な活動からの保護、あるいはそのような活動に責任を負う者の告訴。
3. 製品のデバッグを行い、意図した機能を損なうエラーを特定し修復します。
4. 言論の自由の行使、他のユーザーによる言論の自由の行使の権利の確保、または法律で規定されたその他の権利の行使をします。
5. カリフォルニア州電子通信プライバシー法(Cal. Penal Code § 1546 seq)を遵守します。
6. 情報の削除によって研究の達成が不可能になるか著しく損なわれる可能性がある場合、あなたが事前にインフォームド・コンセントを提供していれば、他のすべての適用倫理およびプライバシー法を遵守した公益のための公的または専門家による科学、歴史、統計研究に従事します。
7. 当社との関係に基づき、ユーザーの期待に合理的に沿う内部使用のみを可能にします。
8. 法的義務に従います。
9. お客様が情報を提供した状況に適合する、その他の社内的かつ合法的な使用。

アクセス権、データポータビリティ権、削除権の行使

上記のアクセス権、データポータビリティ権、削除権を行使するには、以下の「連絡先」に記載されているように、検証可能なユーザーリクエストを当社に送信してください。

お客様ご自身、またはお客様の代理人として行動することをお客様が許可したカリフォルニア州務長官登録者のみが、お客様の個人情報に関連する確認可能なユーザー要請を行うことができます。また、お客様は、未成年のお子様の代理人として、確認可能なユーザーリクエストを行うことができます。

お客様は、アクセスまたはデータポータビリティに関する確認可能なユーザーリクエストを12ヶ月間に2回のみ行うことができます。検証可能なユーザー要求には、以下が求められます。

• お客様が、当社が個人情報を収集した本人、または承認された代理人であることを合理的に確認できる十分な情報を提供します。
• 当社が適切に理解、評価、対応することができるよう、十分詳細に要求を記述します。

お客様の身元または依頼する権限が確認できず、個人情報がお客様に関連するものであることが確認できない場合、当社はお客様の依頼に応じたり、お客様に個人情報を提供したりすることはできません。検証可能なユーザーリクエストを行う場合、当社でアカウントを作成する必要はありません。当社は、検証可能なユーザー要求で提供された個人情報を、要求者の身元または要求を行う権限を確認するためにのみ使用します。

回答のタイミングと形式

当社は、検証可能なユーザー要求に対して、その受領から45日以内に回答するよう努めます。それ以上の期間を要する場合（最大90日）には、その理由と延長期間を書面でお知らせします。  お客様が当社のアカウントをお持ちの場合、当社はそのアカウントに当社の書面による回答を送付します。お客様が当社にアカウントをお持ちでない場合、当社は、お客様の選択により、当社の書面による回答を郵送または電子的に送付します。  当社が提供する開示は、検証可能なユーザー要求の受領に先立つ12ヶ月間のみを対象としています。  当社が提供する回答は、該当する場合、当社が要求に応じられない理由も説明します。データポータビリティの要求については、当社は、容易に利用可能であり、かつ、ある企業から別の企業へ支障なく情報を転送できるはずの形式を選択して、お客様の個人情報を提供します。

当社は、検証可能なユーザー要求の処理または対応に際して、それが過度、反復的、または明らかに根拠がない場合を除き、手数料を徴収しません。要請が手数料を必要とすると当社が判断した場合は、要請を完了する前に、当社がその判断を下した理由と費用の見積もりをお客様にお知らせします。

CCPAとは別に、カリフォルニア州のShine the Light法では、 カリフォルニア州の住民が、第三者のダイレクトマーケティングのために企業が共有する個人情報について、企業に問い合わせる権利を与えています。当社は、お客様から開示請求がない限り、第三者の商品やサービスをお客様に直接販売する目的で、お客様の個人情報を第三者に開示することはありません。また、カリフォルニア州民法第1798.83条は、カリフォルニア州の居住者で、当社に「個人情報」（同条に定義される用語）を提供したお客様に対し、その情報が第三者のダイレクトマーケティングのために開示されることに関する一定の情報を要求することを許可しています。カリフォルニア州にお住まいのお客様で、上記についてご質問がある場合は、プライバシーポリシーの「お問い合わせ」の見出しに記載されている方法で、当社にご連絡ください。

差別の禁止

当社は、お客様がCCPAの権利を行使することを理由に、お客様を差別することはありません。CCPAで許可されている場合を除き、当社は、お客様がCCPAの権利を行使した結果、以下のことを行うことはありません。

• 商品またはサービスの提供を拒否します。
• 商品またはサービスに対して、割引やその他の特典の付与、または罰則の賦課を含め、異なる価格または料金を請求します。
• 異なるレベルまたは品質の商品またはサービスを提供します。
• 商品またはサービスに対して異なる価格または料金、あるいは商品またはサービスの異なるレベルまたは品質を受け取る可能性があることを示唆します。

プライバシーポリシーの変更

当社は、当社の裁量により、いつでも本プライバシーポリシーを変更する権利を留保します。本プライバシーポリシーを変更する場合は、電子メール、当社ウェブサイトのトップページでの通知、または更新された規約の掲載によりお知らせします。

お問い合わせ先

このプライバシーに関するお知らせ、当社のプライバシーポリシー、当社がお客様の個人情報を収集し使用する方法、その使用に関するお客様の選択と権利、またはカリフォルニア州法の下でお客様の権利を行使したい場合についてご質問やご意見がありましたら、ご遠慮なく当社までご連絡ください。

日付: 2020年8月12日