プライバシーポリシー

最終更新日:2026年2月13日

本プライバシーポリシーは、This Is Earth Co., Ltd. が、お客様の個人データをどのように収集、利用、保存、保護および共有するかを定める独立した文書です。本ポリシーは、事業上および商業上の機密情報の保護を規律する当社の機密保持方針(Confidentiality Policy)とは区別された文書として制定されています。両文書は相互に補完関係にあるため、併せてご確認ください。

本プライバシーポリシー(以下「本ポリシー」という。)は、This Is Earth Co., Ltd.(以下「当社」、「Company」、「we」、「us」または「our」という。)により制定されるものであり、当社が提供する動画撮影、デジタルアーカイブおよび将来配信サービス(以下「本サービス」という。)に関連して、当社が取り扱う顧客、ウェブサイト訪問者、参加者(Participants)およびその他のすべての個人に関する個人データについて、当社がどのように収集、利用、処理、保存、移転および保護するかを定めるものです。

当社は、責任ある透明性の高いデータ管理を行うことにコミットしています。本ポリシーは、日本の個人情報の保護に関する法律(APPI、平成15年法律第57号、改正を含む)、欧州連合一般データ保護規則(GDPR)(EU)2016/679、英国一般データ保護規則(UK GDPR)、スイス連邦データ保護法(FADP/改正FADP)、カリフォルニア州消費者プライバシー法(CCPA)およびカリフォルニア州プライバシー権利法(CPRA)を含む、適用されるすべての国内、地域および分野別のデータ保護関連法令に準拠します。

第1条 定義

本プライバシーポリシーにおいて、以下の用語はそれぞれ次の意味を有するものとします。

  • 「個人データ(Personal Data)」
    識別された、または識別可能な自然人(以下「データ主体(Data Subject)」という。)に関するあらゆる情報を意味します。識別可能な自然人とは、氏名、識別番号、位置情報、オンライン識別子、または身体的、生理的、遺伝的、精神的、経済的、文化的もしくは社会的アイデンティティに特有の要素の一つまたは複数を参照することにより、直接または間接に識別され得る個人をいいます。
  • 「個人情報(Personal Information)」
    日本の個人情報の保護に関する法律(APPI)において定義される意味を有し、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるものを含みます。
  • 「特別カテゴリーデータ(Special Category Data)」
    人種または民族的出自、政治的見解、宗教または哲学的信念、労働組合への加盟、遺伝データ、個人を一意に識別する目的で処理される生体データ、健康に関するデータ、性生活または性的指向に関する情報を明らかにする個人データを意味します。これらの情報は、日本の個人情報の保護に関する法律(APPI)における要配慮個人情報に相当します。
  • 「データ管理者(Data Controller)」
    個人データの処理の目的および手段を決定する主体を意味します。当社は、本サービスに関連して収集される個人データについて、データ管理者としての役割を果たします。
  • 「データ処理者(Data Processor)」
    データ管理者(Data Controller)のために、またはその指示に基づき、個人データを処理する主体を意味します。
  • 「処理(Processing)」
    個人データに対して行われるあらゆる操作または一連の操作を意味し、収集、記録、整理、構造化、保存、適合または変更、検索、参照、利用、開示、配布、制限、消去または破壊を含みます。
  • 「データ主体(Data Subject)」
    個人データが関連する、識別された、または識別可能な自然人を意味します。
  • 「同意(Consent)」
    特定の目的のために自己の個人データの処理に同意する旨を示す、データ主体の意思を自由意思に基づき、特定され、十分な情報提供を受けた上で、明確な意思表示により示すことを意味します。
  • 「サブプロセッサー(Sub-processor)」
    当社のために個人データを処理する目的で当社が関与させる第三者の主体を意味し、これには Shopify Inc. および DocuSign Inc. を含みますが、これらに限定されるものではありません。
  • 「第三者(Third Party)」
    データ主体(Data Subject)、当社、または当社により認可されたサブプロセッサー(Sub-processor)以外のすべての個人、法人またはその他の組織を意味します。
  • 「監督機関(Supervisory Authority)」
    データ保護法の遵守を監督する独立した公的機関を意味し、日本の個人情報保護委員会(PPC)、関連するEU加盟国のデータ保護監督機関、および英国情報コミッショナーオフィス(ICO)を含みます。

第2条 データ管理者に関する情報

当社は、本サービスに関連して収集される個人データに関して、データ管理者(Data Controller)としての役割を果たします。なお、日本の個人情報の保護に関する法律(APPI)においては、当社は個人情報取扱事業者に該当します。

  • データ管理者の名称
    株式会社This Is Earth
  • 代表取締役
    西田 方志 (Katashi Nishida)
  • 登記上の所在地
    〒107-0062
    東京都港区南青山二丁目2番15号ウィン青山942
  • データ保護に関するお問い合わせ窓口
    privacy@this-is-earth.com
  • 電話番号(国内)
    03-5734-1171
  • サポート対応時間
    平日:10:00~20:00(日本標準時/JST)
  • 監督機関(日本)
    個人情報保護委員会
  • ウェブサイト
    www.this-is-earth.com

第3条 当社が収集する個人データの種類

当社は、本サービス、当社ウェブサイトおよび当社の事業運営に関連して、以下の種類の個人データを収集します。当社は、各目的の達成に必要な範囲において、最小限の個人データのみを収集します(データ最小化の原則)。

  • 本人識別情報
    正式な氏名、生年月日、国籍、性別(任意)、写真付き身分証明書に関する情報
    利用目的:サービスの予約および提供、本人確認、法令遵守
  • 連絡先情報
    住所、電子メールアドレス、電話番号、緊急連絡先情報
    利用目的:サービス提供、利用者への連絡、緊急対応
  • 金融情報
    支払方法の種類、請求先住所、取引記録(カード情報はPCI DSSに準拠した決済ゲートウェイを通じてのみ処理されます)
    利用目的:決済処理、会計および税務対応、不正防止
  • サービス利用情報
    録画に関する希望事項、引渡しに関する指示、予定日、指定受取人の氏名および連絡先情報
    利用目的:サービス提供および将来のコンテンツ引渡し
  • 映像・音声データ
    録画セッション中に撮影された映像および音声の記録(当該記録に含まれる個人情報を含みます)
    利用目的:動画成果物の保存および将来の引渡し
  • 本人確認書類情報
    スタジオで提示された政府発行の写真付き身分証明書の種類および識別情報
    利用目的:スタジオの入室管理および本人確認
  • 利用状況および技術情報
    IPアドレス、ブラウザの種類およびバージョン、オペレーティングシステム、閲覧ページ、滞在時間、デバイス識別子、Cookie
    利用目的:ウェブサイトの利用状況分析、セキュリティ監視およびサービス改善
  • 通信内容情報
    電子メール、サポートチケット、フィードバックフォームの内容その他当社との通信内容
    利用目的:カスタマーサポート対応、苦情および紛争の解決、サービス改善
  • 特別カテゴリの個人データ
    アクセシビリティ対応のため、クライアントが任意に提供する健康情報、宗教上または食事上の配慮に関する情報
    利用目的:アクセシビリティおよび食事上の配慮への対応(本人の同意に基づく)

映像・音声データおよび生体識別子:
録画セッション中に記録される映像・音声データには、参加者または録画時にその場に居合わせた第三者の顔画像や音声パターンなどの生体識別子が偶発的に含まれる場合があります。当社は、これらのデータを生体識別または本人確認の目的で処理することはありません。万一、生体データが識別目的で処理される場合には、GDPR第9条および適用される法令に従い、データ主体の明示的な同意を取得します。

特別カテゴリの個人データ:
当社は、データ主体が特定かつ限定された目的(例:アクセシビリティ対応)のために自発的に提供した場合に限り、特別カテゴリの個人データ(要配慮個人情報)を収集します。また、その処理はデータ主体の明示的な同意に基づいて行われます。当社は、サービスの利用条件として特別カテゴリの個人データの提供を要求または義務付けることはありません。

3.1 自動的に取得される情報

当社のウェブサイトを訪問された際、Cookieおよび類似のトラッキング技術を通じて、一定の技術情報が自動的に収集される場合があります。これには、以下の情報が含まれることがあります。

  • IPアドレスおよびおおよその位置情報(国または地域レベル)
  • ブラウザの種類、バージョンおよび言語設定
  • デバイスの種類、オペレーティングシステムおよび画面解像度
  • 閲覧ページ、各ページの滞在時間およびサイト内の移動経路
  • 参照元URL(当社ウェブサイトへ誘導したウェブサイト)
  • セッション識別子および認証トークン

3.2 第三者から取得する情報

当社は、以下の場合において、第三者からお客様に関する個人データを取得することがあります。

  • 決済処理事業者(取引確認および支払状況に関する情報のみを受領し、クレジットカード番号などの生のカード情報は当社では取得または保存しません)
  • 本人確認サービス提供者(セキュリティ目的で利用される場合)
  • 紹介パートナーまたは法人顧客(参加者として、お客様の所属組織から情報が提供される場合)
  • 公開情報源(法人顧客に関するデューデリジェンスのため、公開されている情報に限り利用)

第4条 — Cookieおよびその他のトラッキング技術

4.1 Cookieとは

Cookieとは、ウェブサイトを訪問した際にお客様のデバイスに保存される小さなテキストファイルです。Cookieは、ウェブサイトの正常かつ効率的な運営を可能にするとともに、ウェブサイト運営者に対して分析情報および機能に関する情報を提供するために広く使用されています。当社は、当社ウェブサイトにおいて、Cookieおよび類似の技術(ウェブビーコン、ピクセルタグ、ローカルストレージオブジェクト等)を使用しています。

4.2 当社が使用するCookieの種類

  • ウェブサイトの基本機能を提供するために不可欠なCookie
    ウェブサイトの基本的な動作を維持するために不可欠なCookieです。これらのCookieは、ページナビゲーション、安全なログイン、およびショッピングカート機能などの基本機能を提供します。これらのCookieは無効にすることはできません。
  • アクセス解析Cookie
    訪問者が当社ウェブサイトをどのように利用しているか(閲覧されたページ、ナビゲーション経路、各ページでの滞在時間など)に関する匿名化された情報を収集する目的で、お客様の同意がある場合にのみ使用されます。これらのクッキーは、当社ウェブサイトの性能およびユーザー体験の向上に役立ちます。
  • 機能Cookie
    言語、地域、表示設定などのお客様の設定を記憶し、より快適でパーソナライズされた利用体験を提供するために使用されます。
  • セッションCookie
    ブラウザを閉じると自動的に削除される一時的なCookieです。お客様がウェブサイトを閲覧している間のセッションを維持するために使用されます。
  • 永続Cookie
    一定期間お客様のデバイスに保存されるCookieであり、複数回の訪問にわたりお客様の設定を記憶するために使用されます。

4.3 Cookieの設定および管理方法

当社ウェブサイトを訪問された際には、デフォルトでは必要不可欠なクッキーのみが有効化されます。分析クッキーは、クッキー同意バナーを通じてお客様が明示的な同意を提供した場合にのみ有効化されます。

お客様は、ブラウザの設定を通じてCookieの使用に関する設定を管理または制御することができます。多くのブラウザでは、以下の操作が可能です。

  • 現在保存されているCookieの確認
  • すべてのCookieのブロック
  • サードパーティCookieのブロック
  • ブラウザを閉じた際にCookieを削除する設定
  • 特定のウェブサイトごとのCookie許可設定の構成

一部のCookieを無効にした場合、当社ウェブサイトの一部機能が正常に動作しない可能性があります。必須Cookieはウェブサイトの運営に不可欠であるため、ブラウザ設定により無効化することはできません。

適用される法令(EUのePrivacy指令および各国におけるその実施法を含みます)により求められる場合、ユーザーのデバイスに非必須Cookieが保存される前に、ユーザーが当該Cookieを承諾、拒否、または管理できるよう、Cookie同意バナーが表示されます。(※ Cookie同意バナーを設置する場合に限り、第4.3条に記載)

Cookieの管理および設定方法の詳細については、www.allaboutcookies.orgをご参照ください。当社は、適用される法令により求められる場合、適用されるデータ保護規制への遵守を証明する目的で、クッキー同意の記録を保持します。

第5条 — 個人データ処理の法的根拠

当社は、適用される法令に基づく正当な法的根拠がある場合に限り、個人データを処理します。以下は、当社が行う各処理活動の種類ごとに依拠する法的根拠の概要です。

  • 契約の履行
    お客様とのサービス契約に基づく当社の義務を履行するために必要な個人データの処理(個人情報保護法第18条第3項第1号、GDPR第6条第1項(b)に基づく)。
    例:予約管理、サービス提供、本人確認、および成果物(Deliverable)の引渡し
  • 法的義務
    適用される法令を遵守するために必要な個人データの処理(個人情報保護法第18条第3項第2号およびGDPR第6条第1項(c)に基づく)。
    例:税務記録の作成・保存、財務報告、規制遵守、ならびに法的権限を有する当局からの適法な要請への対応
  • 正当な利益
    当社の正当な事業上の利益のために必要な個人データの処理(ただし、当該利益がお客様の権利および自由より優先されない場合に限ります)(GDPR第6条第1項(f))。
    例:不正防止、セキュリティ監視およびサービスの改善
  • 同意
    お客様の自由意思に基づき、具体的かつ十分な情報提供を受けた上で与えられた同意に基づく個人データの処理(個人情報保護法第18条、GDPR第6条第1項(a)、および特別カテゴリーデータについては第9条第2項(a))。
    例:マーケティング通信(オプトイン方式)、特別カテゴリーデータの処理、ならびに同意が必要とされる分析クッキーその他の任意クッキー
  • 重大な利益
    データ主体または他の個人の生命・身体等の重大な利益を保護するために必要な個人データの処理(GDPR第6条第1項(d))。
    例:緊急対応、ならびにスタジオ内で発生する健康・安全上の事故への対応

【日本向け(個人情報保護法:APPI)】
上記に加え、当社は個人情報保護法第17条から第27条の規定に従い個人データを処理します。これには、取得の制限(第17条)、利用目的の通知または公表(第18条)、および第三者提供の制限(第23条〜第24条)に関する規定が含まれます。

第6条 — 当社による個人データの利用方法

当社は、本サービスに関連して収集した個人データを、以下に定める特定かつ明確な目的のためにのみ利用します。これらの目的以外でお客様の個人データを利用する場合には、事前にお客様の同意を取得するか、または適用法に基づく他の正当な法的根拠を確立します。

  • サービス予約の受付および予約確認
    サービス申込みの処理、予約確認、領収書の発行、および撮影セッション前の案内連絡の送付のため
  • サービスの提供および契約の履行
    録画セッションの実施、成果物(Deliverable)の作成、コンテンツのアーカイブ保存、ならびに指定された受取人への録画動画の引渡しのため
  • 本人確認
    スタジオにおいて、政府発行の身分証明書を用いて参加者の本人確認を行うため
  • 支払処理
    PCI DSSに準拠した決済ゲートウェイを通じて金融取引を処理および管理するため
  • お問い合わせ対応およびカスタマーサポート
    お問い合わせへの対応、苦情対応、ならびにサービス提供後のサポートのため
  • 法令遵守および規制上の義務への対応
    税務、会計、雇用、マネー・ローンダリング防止(AML)を含む、適用される法令上の義務を遵守するため
  • セキュリティおよび不正防止
    不正行為、不正アクセスおよびセキュリティインシデントの検知、調査および防止のため
  • サービスの改善および利用状況の分析
    利用状況のパターンを分析し、当社のサービスおよびウェブサイトの品質および機能性を向上させるため(匿名化データまたは集計データの利用を含み、また適用法令により求められる場合には、お客様の同意に基づいてのみ使用される分析クッキーを含みます)。
  • マーケティング(同意がある場合に限る)
    お客様が明示的なオプトイン同意を提供した場合に限り、当社サービスに関するプロモーション情報を送付するため。お客様はいつでも配信停止(購読解除)することができます。
  • 苦情対応および紛争解決
    当社サービスに関連する紛争、苦情および法的請求の調査および解決のため
  • 規制当局対応および法的手続
    裁判所、規制当局または法執行機関からの適法な要請に対応するため
  • 緊急事態および安全に関する対応
    スタジオで発生する健康上の緊急事態または安全事故への対応のため

当社は、個人データを収集する際に、その利用目的を明確にお知らせします。また、事前に通知を行い、必要に応じてお客様の同意を取得することなく、新たな目的または当初の目的と両立しない目的のために個人データを利用することはありません。

第7条 — 個人データの共有および第三者提供

当社は、お客様の個人データを商業目的で第三者に販売、貸与または取引することはありません。当社は、以下に定める限定的かつ明確に定義された場合にのみ、お客様の個人データを共有することがあります。

7.1 サブプロセッサ(委託先)およびサービス提供者

当社は、当社サービスに関連して個人データにアクセスする可能性のある、以下の主要なサブプロセッサおよびサービス提供者を利用しています。各サブプロセッサは、書面によるデータ処理契約(DPA)に基づき個人データの処理を行います。

  • Shopify Inc.(カナダ/米国)
    決済処理および注文管理を行うECプラットフォーム。PCI DSSに準拠しています。Shopifyのデータ処理契約(DPA)に基づき個人データが処理されます。データはカナダおよび米国のデータセンターでホストされます。
  • DocuSign Inc.(米国)
    電子署名および契約締結のためのプラットフォーム。SOC 2 Type II認証を取得しています。DocuSignのデータ処理契約(DPA)に基づき個人データが処理されます。データは米国において処理されます。
  • クレジットカード決済ネットワーク
    VISA、Mastercard、American Express — 決済承認ネットワーク。カード番号などの生のカードデータ(Raw Card Data)は当社では処理または保存されません。
  • クラウドストレージサービス提供者
    アーカイブされた動画コンテンツを保存するための暗号化クラウドストレージ。保存時にはAES-256暗号化、通信時にはTLS 1.2以上の暗号化が適用されます。
  • 電子メールおよび通信サービス提供者
    通信およびデジタルコンテンツの配信のための、TLS暗号化電子メール送信サービス。
  • ウェブサイト分析サービス提供者(該当する場合)
    匿名化されたウェブサイト利用状況の分析。当社は、識別可能な形での個人データを分析サービス提供者と共有しません。

当社は、利用しているサブプロセッサの最新の一覧を管理しています。当該一覧は、privacy@this-is-earth.com 宛に書面でご請求いただくことにより、データ主体またはデータ管理者に提供されます。

7.2 法的理由による開示

当社は、以下の場合において、お客様の個人データを裁判所、規制当局、法執行機関または政府機関に開示することがあります。

  • 適用法令、裁判所命令、または政府当局の要請に基づき開示が必要となる場合
  • 法的請求の確立、行使、または防御のために必要な場合
  • 個人の安全を保護するため、または不正行為を防止するために必要な場合

法令により許容される場合には、当社は当該開示を行う前にお客様へ通知します。また、開示される個人データは、厳格に必要とされる最小限の範囲に限定されます。

7.3 企業取引および事業譲渡

合併、買収、企業再編、資産売却、またはこれらに類する取引が行われる場合、お客様の個人データは、同等のプライバシー保護を条件として承継先企業に移転されることがあります。当社は、そのような移転およびそれに関連するお客様の権利について、事前に通知します。

7.4 お客様の明示的な同意に基づく個人データの共有

当社は、お客様の事前の十分な説明に基づく明示的な同意を得た場合に限り、その他の状況においてもお客様の個人データを第三者と共有することがあります。当該同意は、別途、明確かつ透明性のある方法で取得され、お客様はいつでもこれを撤回することができます。

7.5 第三者ウェブサイトへのリンク

当社のウェブサイトには、第三者のウェブサイト、プラットフォーム、またはサービスへのリンクが含まれる場合があります。当社は、当該第三者サイトのプライバシー慣行またはコンテンツについて責任を負いません。お客様が個人データを提供する前に、各第三者サイトのプライバシーポリシーをご確認いただくことを強く推奨します。

第8条 — 国際的なデータ移転

8.1 国際データ移転の概要

本サービスの提供に関連して、お客様の個人データは、当社が利用するサブプロセッサーまたはサービス提供者により、日本および欧州経済領域(EEA)外の国(米国およびカナダを含みます)へ移転され、処理される場合があります。これらの国は、日本またはEEAとは異なるデータ保護水準を有している可能性があります。当社は、適用されるデータ保護法令に従い、当該国際移転が適法かつ適切な保護措置の下で行われるよう必要な措置を講じます。

8.2 国際データ移転に関する適切な保護措置

当社は、個人データのすべての国際移転について、適用されるデータ保護法令に従い、以下を含む適切な法的保護措置が適用されることを確保しています。

  • 十分性認定:
    移転先の国が、日本の個人情報保護委員会(PPC)、欧州委員会、または英国情報コミッショナー事務局(ICO)により十分な水準のデータ保護を有すると認定されている場合、当社は当該十分性認定をデータ移転の法的根拠として利用します。
  • 標準契約条項(SCC)およびその他の移転メカニズム:
    十分性認定がない国への個人データ移転については、当社は、関連する監督当局により承認された標準契約条項(Standard Contractual Clauses)またはその他適法に認められた移転メカニズムを利用することがあります。これには、GDPR第46条第2項(c)に基づくEU標準契約条項(SCC)、英国の国際データ移転契約(IDTA)、または国際的に認められたデータ移転枠組みが含まれる場合があります。
  • APPI(個人情報保護法)への適合:
    日本からの個人データの移転については、当社は個人情報の保護に関する法律第24条(外国にある第三者への提供)その他適用される法令を遵守し、海外の受領者が同法により要求される水準と同等の保護措置を講じていることを確保します。
  • その他の適切な保護措置:
    該当する場合、当社は拘束的企業準則(Binding Corporate Rules:BCR)または国際的に認められた認証制度(例:APEC越境プライバシールール〔CBPR〕)に基づき個人データを移転することがあります。

8.3 主な越境データ移転先

  • 米国
    Shopify Inc.(決済処理)およびDocuSign Inc.(電子署名)などのサービス提供者が所在する国です。これらの事業者への個人データの移転は、適用されるデータ保護法令に従い、標準契約条項(Standard Contractual Clauses)またはその他適法に認められた移転メカニズムを含む適切な保護措置の下で行われます。
  • カナダ
    Shopify Inc.(主要なデータホスティング)が所在する国です。カナダは、欧州委員会の十分性認定制度において、一定の商業組織に対して十分なデータ保護水準を提供する国として認められています。
  • 欧州経済領域(EEA)加盟国
    EUの顧客向けサービスに該当する場合に適用され、GDPRに基づくデータ移転規則に従います。
  • その他の国
    特定のサービス提供のために必要な場合に限り、適用されるデータ保護法令に従い、適切な保護措置に基づいて個人データの移転が行われることがあります。

第9条 — データセキュリティ

9.1 当社が実施しているセキュリティ対策

当社は、お客様の個人データを不正アクセス、紛失、破壊、改ざん、漏えい、または不正利用から保護するため、包括的な技術的および組織的セキュリティ対策を講じています。当社のセキュリティ体制には、以下の措置が含まれます。

  • 保存時の暗号化
    当社のサーバーおよびクラウドストレージに保存されるすべての個人データおよび視聴覚コンテンツは、AES-256暗号化方式により保護されています。
  • 送信時の暗号化
    当社のシステムと外部サービスまたは利用者との間で送信されるすべてのデータは、TLS 1.2以上(HTTPS)の暗号化通信によって保護されています。
  • 決済情報のセキュリティ
    すべての決済カード情報は、PCI DSSに準拠した決済ゲートウェイを通じてのみ処理されます。当社は、カード番号などの生のカード情報を受領、保存、または送信することはありません。
  • アクセス管理
    役割ベースのアクセス制御(RBAC)および多要素認証(MFA)を、個人データを含むすべてのシステムに導入しています。アクセス権限は、厳格な「知る必要がある場合(Need-to-Know)」の原則に基づいて制限されています。
  • ネットワークセキュリティ
    ファイアウォール、侵入検知システム(IDS)、および継続的なネットワークセキュリティ監視により、当社のネットワークインフラを保護しています。
  • 脆弱性管理
    定期的なセキュリティ評価、ペネトレーションテスト、およびソフトウェア更新のためのパッチ管理プロセスを実施しています。
  • 従業員教育
    個人データにアクセスするすべての従業員および業務委託先に対し、データ保護および情報セキュリティに関する研修の受講を必須としています。
  • 委託先評価
    すべてのサブプロセッサーに対して、セキュリティに関するデューデリジェンスを実施し、契約上のデータ保護要件を課しています。
  • セキュリティインシデント対応
    個人データ侵害に対応するための文書化されたインシデント対応計画を整備しており、必要に応じて関係当局および影響を受ける個人への通知手続を含む対応手順を定めています。
  • 物理的セキュリティ
    スタジオ施設およびサーバーインフラへのアクセスは認可された担当者のみに制限されており、スタジオの出入口にはCCTV(監視カメラ)による監視を実施しています。

9.2 セキュリティの限界

当社は商業的に合理的なセキュリティ対策を講じていますが、電子的な送信または保存のいかなる方法も完全に安全であるとは限りません。そのため、お客様の個人データの絶対的な安全性を保証することはできません。お客様には、強固で一意のパスワードを使用し、ログイン認証情報を機密として管理するとともに、不正使用またはセキュリティ侵害の疑いがある場合には直ちに当社へ通知することを推奨します。

第10条 — データの保存および削除

当社は、個人データを、その収集目的を達成するために必要な期間、または適用される法令により要求される期間に限り保存します。当社における主なデータ保存期間は以下のとおりです。

  • 本人確認情報および連絡先情報(契約者)
    サービス関係の存続期間中および終了後5年間(法的義務の履行および紛争解決のため)。
  • 財務および決済記録
    日本の帳簿および税務関連法令に従い、取引日から7年間。
  • 視聴覚コンテンツ(動画記録)
    将来引渡しが確認されるまで、または録画日から最長5年間のいずれか早い時点まで安全に保存されます。ただし、契約者との書面による合意により、これより長い保存期間が定められている場合はこの限りではありません。引渡しが確認された場合、または保存期間が満了した場合には、90日以内に削除されます。
  • 通信およびサポート対応記録
    当該通信の日または関連事項が解決された日から3年間。
  • 本人確認書類情報
    スタジオにおいて本人確認のために確認され、法令により保存が求められる場合を除き、セッション完了後は保存されません。
  • ウェブサイト分析データ
    匿名化または集計された形式において、最長26か月間。
  • マーケティングデータ(オプトイン)
    同意が撤回されるまで、または適用される法令により要求される期間まで。
  • 法令遵守記録
    適用される法令により要求される期間(日本法に基づく会計記録については最低7年間)。
  • インシデントおよびセキュリティログ
    インシデント発生日またはログ記録日から3年間。

適用される保存期間が満了した場合、個人データは安全に削除、匿名化、または(技術的に可能であり、かつ合意されている場合には)データ主体へ返還されます。なお、個人データの早期削除を希望される場合には、第11条に従い書面により申請することができます。

当社は、個人データの保存期間を決定するにあたり、データの性質、処理目的、法令上の義務、契約上の要件、紛争対応の必要性、および正当な事業上の必要性を考慮します。

第11条 — お客様のデータ主体としての権利

お客様は、ご自身の個人データに関して以下の権利を有しています。当社は、これらの権利の行使を迅速かつ不当に制限することなく実現できるよう努めます。

  • アクセス権
    当社が保有するお客様の個人データの写しの提供および、その処理方法に関する情報の開示を請求することができます。
    法的根拠:個人情報保護法第28条;GDPR第15条
  • 訂正権
    不正確、不完全、または最新でない個人データの訂正を請求することができます。
    法的根拠:個人情報保護法第29条;GDPR第16条
  • 削除権(忘れられる権利)
    適用される法令に定められた条件に基づき、ご自身の個人データの削除を請求することができます。
    法的根拠:個人情報保護法第30条;GDPR第17条
  • 処理制限権
    一定の条件において、当社によるお客様の個人データの利用または処理を制限するよう請求することができます。
    法的根拠:GDPR第18条
  • データポータビリティ権
    ご自身の個人データを、構造化され、一般的に使用される機械可読形式で受け取ること、およびそれを別のデータ管理者へ移転することを請求することができます。
    法的根拠:GDPR第20条
  • 異議申立権
    正当な利益に基づく処理またはダイレクトマーケティング目的の処理について、異議を申し立てることができます。
    法的根拠:個人情報保護法第30条第2項;GDPR第21条
  • 同意撤回権
    個人データの処理が同意に基づいて行われている場合、お客様はいつでもその同意を撤回することができます。ただし、同意の撤回は、撤回前に行われた処理の適法性には影響を与えません。
    法的根拠:個人情報保護法第18条;GDPR第7条第3項
  • 個人情報の販売を拒否する権利(CCPA)
    当社は、個人データを商業的な広告目的のために第三者へ販売、共有、または貸与することはありません。
    法的根拠:カリフォルニア州消費者プライバシー法(CCPA)およびカリフォルニア州プライバシー権利法(CPRA)
  • 監督機関への苦情申立権
    個人データの保護に関する管轄の監督機関(日本の個人情報保護委員会(PPC)、EUのデータ保護監督機関(DPA)、英国情報コミッショナーオフィス(ICO)など)に対して苦情を申し立てることができます。
    法的根拠:個人情報保護法第40条;GDPR第77条
  • 自動化された意思決定に関する権利
    人間による審査を伴わずに、法的効果またはこれと同様に重大な影響を生じさせる完全に自動化された意思決定の対象とならない権利を有します。
    法的根拠:GDPR第22条

第11.1条 権利の行使方法

上記のいずれかの権利を行使する場合は、以下の宛先まで書面にてご申請ください。

電子メール:privacy@this-is-earth.com
郵送先:〒107-0062
日本国東京都港区南青山2-2-15 ウィン青山942
株式会社This Is Earth

当社は、お客様からのご請求を受領した場合、5営業日以内に受領確認を行い、適用される法令で定められた期間内に回答いたします。(通常は30日以内。ただし、GDPRに基づき、請求内容が複雑である場合には最大2か月まで延長されることがあります。)

当社は、お客様の請求を処理する前に、本人確認を求める場合があります。また、当社は、請求が明らかに根拠がない場合、または過度に反復的もしくは過剰である場合を除き、原則として手数料を請求することはありません。そのような場合には、合理的な事務手数料を請求する権利、または当該請求の処理を拒否する権利を留保します。

第11.2条 監督機関への苦情申立権

当社によるデータ主体の権利請求への対応にご満足いただけない場合、または当社がお客様の個人データを違法に処理したとお考えの場合には、管轄のデータ保護監督機関に対して苦情を申し立てる権利を有します。

  • 日本
    個人情報保護委員会(PPC)
    ウェブサイト:www.ppc.go.jp
    電話番号:+81-3-6457-9849
  • 欧州連合(EU)
    お客様の居住するEU加盟国のデータ保護監督機関 — 一覧については www.edpb.europa.eu をご参照ください。
  • 英国(United Kingdom)
    英国情報コミッショナーオフィス(Information Commissioner's Office, ICO)
    ウェブサイト:www.ico.org.uk
    電話番号:0303 123 1113
  • スイス連邦(Switzerland)
    連邦データ保護・情報コミッショナー(Federal Data Protection and Information Commissioner, FDPIC)
    ウェブサイト:www.edoeb.admin.ch
  • カリフォルニア州(California)
    カリフォルニア州プライバシー保護庁(California Privacy Protection Agency, CPPA)
    ウェブサイト:www.cppa.ca.gov

第12条 児童のプライバシー

当社のサービスは、主として16歳未満の個人(または該当する法域におけるデジタル同意年齢未満の個人)を対象としていません。なお、デジタル同意年齢は、法域により異なる場合があります。例えば、米国では一般に13歳が基準とされ、EU/EEAでは加盟国法により13歳から16歳の範囲で異なる場合があります。

当社は、未成年者から直接個人データを収集することを意図しておらず、適用されるデジタル同意年齢未満の児童から、検証可能な保護者または法定代理人の同意なしに、故意に個人データを収集することはありません。児童が、正当な団体利用または家族によるサービス利用の一環として録画セッションに参加する場合には、申込者または同席する成人が、当該児童の保護者または法定代理人から必要かつ適法な同意を取得するものとします。

適用されるデジタル同意年齢未満の児童が、検証可能な保護者の同意なしに当社へ個人データを提供していることが判明した場合には、直ちに privacy@this-is-earth.com までご連絡ください。当社は速やかに調査を行い、その事実が確認された場合には、当該個人データを削除いたします。

当社が、特定のサービス契約に基づき未成年者の個人データを認識した上で取り扱う場合(例:適切な同意が取得された教育機関における録画プロジェクト等)には、児童の最善の利益を考慮し、データ最小化、セキュリティおよび保存期間の制限について、最高水準の保護措置を適用します。

録画セッションにおいて契約者以外の個人が関与する場合(これには、家族、団体参加者、グループの参加者、または録画に映り込むその他のすべての人物を含みますが、これらに限定されません)、契約者は、当該録画セッションの実施前に、当該個人から必要かつ法的に有効なすべての同意を取得する責任を単独で負うものとします。なお、当該個人が未成年者である場合には、その保護者または法定代理人からの同意を取得するものとします。

当社は、必要なすべての同意が取得されているという契約者の表明を前提として、視聴覚データ(Audiovisual Data)を取り扱います。

第13条 個人データ侵害の通知

13.1 内部対応

実際に個人データ侵害が発生した場合、またはその疑いがある場合には、当社は直ちに以下の措置を講じます。

  • インシデント対応計画を発動すること
  • 侵害の拡大を防止し、不正なアクセスまたは開示を防ぐための封じ込め措置を講じること
  • 当該侵害の範囲、性質および想定される影響を評価すること
  • 講じたすべての対応措置を記録すること

13.2 監督機関への通知

個人データ侵害が自然人の権利および自由に対するリスクを生じさせるおそれがある場合には、当社は、適用される法令により定められた期間内に、管轄の監督機関へ通知します。

  • GDPR(EU/英国)に基づき、個人データ侵害を認識した時点から72時間以内に、管轄のデータ保護監督機関へ通知します(GDPR第33条)。
  • 日本の個人情報保護法(APPI)に基づき、2022年4月施行の改正個人情報保護法に従い、必要に応じて、遅滞なく個人情報保護委員会(PPC)へ通知します。
  • カリフォルニア州法(CCPA/CPRA)に基づき、カリフォルニア州のデータ侵害通知法(カリフォルニア民法第1798.29条および第1798.82条)に従い、必要に応じて通知を行います。

13.3 影響を受けた本人への通知

個人データ侵害が、影響を受ける個人の権利および自由に対して高いリスクを生じさせるおそれがある場合には、当社は当該個人に対して直接、かつ遅滞なく通知を行います。通知には、以下の事項が含まれます。

  • 侵害の性質および関係する個人データの種類
  • 当社のデータ保護担当窓口の名称および連絡先
  • 当該侵害により生じ得る影響
  • 当該侵害に対応し、その影響を軽減するために講じた、または講じる予定の措置
  • 当該個人が自己の保護のために講じることができる対応措置に関する案内

13.4 個人データ侵害の記録管理

当社は、すべての個人データ侵害について、その事実関係、影響、および講じられた是正措置を記録した包括的な内部侵害記録簿(ブリーチ・レジスター)を維持します。通知が必要であったか否かにかかわらず、すべての個人データ侵害が当該記録簿に記録されます。当該記録簿は、関係する監督機関からの要請があった場合、閲覧のために提供されるものとします。

第14条 — マーケティングコミュニケーションおよび配信停止(オプトアウト)

当社は、お客様が当該マーケティングまたはプロモーションに関する連絡の受信について明示的なオプトイン同意を提供した場合に限り、当該マーケティングまたはプロモーションに関する連絡を送信します。当社は、お客様の明確な同意なしに、お客様をマーケティング配信リストに追加することはありません。

当社が送信するすべてのマーケティングコミュニケーションには、明確かつ機能する配信停止(オプトアウト)の仕組みが含まれます。お客様は、以下の方法により、マーケティングコミュニケーションの受信に関する同意をいつでも撤回することができます。

  • 各マーケティングメールに記載された配信停止(Unsubscribe)リンクをクリックする方法
  • 件名を「Unsubscribe」として unsubscribe@this-is-earth.com 宛てに電子メールを送信する方法
  • 電話番号 03-5734-1171 までお電話によりご連絡いただく方法

マーケティングコミュニケーションの受信に関する同意の撤回は、撤回前に送信されたマーケティングに関する処理の適法性に影響を与えるものではありません。また、サービスの提供や法令遵守など、マーケティング以外の目的のために行われるお客様の個人データの処理にも影響を及ぼすものではありません。

当社は、本サービスに関連して取得した個人データを、別途かつ明示的な同意なしに、自動化されたプロファイリングまたはターゲティング広告の目的で利用することはありません。

第15条 — 地域別プライバシー補足規定

以下の地域別規定は、本プライバシーポリシーの一般条項を補足するものです。地域別規定と一般条項との間に矛盾が生じる場合には、より高い保護を提供する規定が適用されます。

15.1 日本(個人情報保護法(APPI))

当社は、個人情報の保護に関する法律上の個人情報取扱事業者に該当し、同法その他の適用法令ならびに個人情報保護委員会(PPC)が公表するガイドライン等に従って、個人情報および個人データを適切に取り扱います。

個人情報の利用目的は、本プライバシーポリシー第6条に定めるとおりとします。当社は、事前に本人の同意を得た場合または法令により要求される場合を除き、当該利用目的の範囲を超えて個人情報を利用することはありません。

本人は、自己の個人情報について、開示、訂正、削除、または利用停止(使用の停止)を求める請求を、privacy@this-is-earth.com 宛てに当社へ連絡することにより行うことができます。

日本国外の第三者に対する個人情報の提供は、個人情報保護法第24条の要件に従うものとし、海外の受領者が同法と同等の保護措置を講じていることを確保することを含みます。

当社は、個人情報保護委員会(PPC)からの要請に対して速やかに対応し、あらゆる規制当局による照会または調査に全面的に協力します。

15.2 欧州経済領域(EEA)および英国(GDPR/UK GDPR)

欧州経済領域(EEA)または英国に所在する顧客およびデータ主体に関して、当社はそれぞれGDPRおよびUK GDPRに基づくデータ管理者(Data Controller)として行動します。個人データ処理の法的根拠については、本プライバシーポリシー第5条に定めるとおりとします。

欧州経済領域(EEA)または英国から第三国へ個人データを移転する場合、当社は、本ポリシー第8条に記載するとおり、適切な保護措置(標準契約条項〔Standard Contractual Clauses〕または十分性認定等)を用いて当該移転を実施します。

EEAまたは英国のデータ主体は、本プライバシーポリシー第11条に定めるすべての権利(自国の監督機関に対して苦情を申し立てる権利を含む)を有します。EUに関する事項に関する当社のデータ保護担当窓口への連絡は、privacy@this-is-earth.com 宛てに行うことができます。

当社は、個人に対して法的効果またはこれに類する重大な影響を及ぼす自動化された意思決定またはプロファイリングを、人による審査なしに実施することはありません。

15.3 スイス(連邦データ保護法〔FADP/nFADP〕)

スイスのデータ主体に関して、当社は、スイス連邦データ保護法(FADP/nFADP)に従って個人データを処理します。スイスのデータ主体は、本プライバシーポリシー第11条に記載されたものと同等の権利を有し、連邦データ保護・情報委員(Federal Data Protection and Information Commissioner:FDPIC)に対して苦情を申し立てることができます。

15.4 アメリカ合衆国カリフォルニア州(CCPA/CPRA)

カリフォルニア州の居住者は、CCPAおよびCPRAに基づき、特定の権利を有します。これには、知る権利(Right to Know)、削除を求める権利(Right to Delete)、訂正を求める権利(Right to Correct)、個人情報の販売または共有に対するオプトアウトの権利(Right to Opt Out of Sale or Sharing)、およびプライバシー権の行使を理由として不利益な取扱いを受けない権利(Right to Non-Discrimination)が含まれます。

当社は、CCPA/CPRAにおいて定義される個人情報の「販売」または「共有」を行っていません。また、明示的な同意なしに、個人情報をクロスコンテキスト行動ターゲティング広告(cross-context behavioral advertising)の目的で利用することはありません。

カリフォルニア州の居住者は、CCPA/CPRAに基づく権利に関する請求を、privacy@this-is-earth.com 宛てに提出することができます。当社は、請求者の本人確認を行った上で、45日以内に対応します(複雑な請求の場合には、さらに45日まで延長される場合があります)。

過去12か月間において、当社は個人情報の「販売」または「共有」を行っておらず、今後もこれを行う予定はありません。当社は、カリフォルニア州法において定義される個人情報の「販売」を行っていません。

過去12か月間において当社が収集した個人情報のカテゴリおよび事業目的で開示した個人情報のカテゴリについては、本プライバシーポリシー第3条および第7条に定めるとおりです。

15.5 その他すべての国際顧客

日本、欧州経済領域(EEA)、英国、スイスおよびカリフォルニア州以外に所在する顧客およびデータ主体に対しては、当社は、本プライバシーポリシーに定める一般原則および基準を適用します。これには、第11条に定めるデータ主体の権利一式が含まれます。また、当社は、適用される各国のデータ保護法令上の義務についても、可能な限りこれを遵守します。

第16条— 本プライバシーポリシーの変更

当社は、適用される法令の変更、当社の個人データ処理慣行の変更、または当社のサービス内容の変更を反映するため、いつでも本プライバシーポリシーを更新、変更、または差し替える権利を留保します。

本プライバシーポリシーに重要な変更が生じた場合、当社は次の方法によりこれを通知します。

  • 当社公式ウェブサイトに改定後のポリシーを掲載し、更新された施行日を明示する方法
  • 登録済みの顧客に対して通知メールを送信する方法
  • 適用される法令により必要とされる場合には、当社がお客様の個人データを処理する目的に関する重要な変更を実施する前に、新たな同意を取得する方法

本ポリシーの冒頭に記載された日付(「施行日」)は、本ポリシーの現行版が最後に改定された日付を示します。当社がお客様の個人データをどのように保護しているかについて常にご理解いただくため、本ポリシーを定期的にご確認いただくことをお勧めします。

本プライバシーポリシーに重要な変更が通知された後にお客様が当社のサービスを継続して利用された場合、適用される法令により許容される範囲において、改定後のポリシーに同意したものとみなされます。適用される法令により変更について明示的な同意が必要とされる場合(例えば、GDPRに基づく新たな処理目的または処理目的の拡張の場合など)には、当社は当該同意を別途取得します。

第17条 お問い合わせ先

本プライバシーポリシーに関するご質問、データ主体の権利の行使に関する請求、苦情、その他プライバシーに関するお問い合わせについては、以下までご連絡ください。

  • データ管理者/当社
    株式会社This Is Earth
  • データ保護担当窓口
    privacy@this-is-earth.com
  • 郵送先住所
    〒107-0062
    東京都港区南青山二丁目2番15号ウィン青山942
  • 電話番号(国内)
    03-5734-1171
  • 電話番号(国際)
    +81-3-5734-1171
  • サポート対応時間
    平日:10:00~20:00(日本標準時/JST)
  • 権利行使請求の件名
    「データ主体の権利行使請求 —[お名前]」
  • プライバシーに関するお問い合わせの件名
    「プライバシーに関するお問い合わせ —[お名前]」
  • データ侵害報告の件名
    「緊急:データセキュリティインシデント報告」
  • 日本の個人情報保護監督機関
    個人情報保護委員会(PPC)— www.ppc.go.jp
  • EUデータ保護監督機関一覧
    欧州データ保護会議(European Data Protection Board/EDPB)— www.edpb.europa.eu
  • 英国のデータ保護監督機関
    英国情報コミッショナー事務局(Information Commissioner's Office/ICO)— www.ico.org.uk

お客様の個人データを This Is Earth Co., Ltd. にご信頼のうえお預けいただき、誠にありがとうございます。当社は、お客様のプライバシーの保護、データ主体としての権利の尊重、および個人データの適切な管理において最高水準の基準を維持することに尽力しています。本プライバシーポリシーに関するご質問、ご懸念、またはご意見がございましたら、ぜひ当社までお知らせください。