Fortinetプライバシーポリシー

この文書は、https://www.fortinet.com/corporate/about-us/privacy.htmlで参照可能なFortinetの正式な英語版プライバシーポリシーの日本語訳として、お客様の便宜を図って提供されるものです。Fortinetプライバシーポリシーの日本語訳と英語版との間に相違がある場合、後者の英語版が優先されます。

発効日: 2018年5月25日

これは、Fortinet, Inc.およびFortinet, Inc.が完全保有する子会社(総称して「Fortinet」または「当社」)のプライバシーポリシーです。当社は、高度化し続ける脅威から当社のお客さまのデータとシステムを保護する、セキュリティソリューションを提供しています。Fortinetは、ポリシーに基づいてセキュリティとプライバシーを提供します。その2つはそれぞれが重要であり、そして時に共存関係にあります。当社は、セキュリティ・バイ・デザイン、そしてプライバシー・バイ・デザインの考え方を支持しています。本プライバシーポリシーは、Fortinetが次の2つのカテゴリの情報を扱う方法について説明します。

  1. 当社のパートナーとお客さまが、彼ら自身に代わって当社に処理を依頼する個人データ(「プロセッサデータ」)。Fortinetは、FortiGuard、FortiCare、FortiCloud、FortiSandbox Cloud、およびFortiMail Cloudを含む、セキュリティ製品とサービス、関連サポートと専門サービスを提供しています(総称して「Fortinetのサービス」)。下記に明記するいくつかの例外を除いて、適用される法律の下、特定の状況で、FortinetはFortinetのサービスを通して当社が受け取る個人データの「プロセッサ」と見なされます。そのデータの「コントローラ」(言い換えれば、データがどのように使用されるかを判断する権利のある団体)は、当社のお客さま、または当社直接のお客さまのお客さまとなります。
  2. 人事および採用業務の目的以外で、当社が事業運営のために扱う個人データ(「コントローラデータ」)。この例としては、下記のような個人データが含まれます。
    • マーケティング、営業、およびお客さまとの関係管理を目的として、当社が使用する個人データ。
    • 当社のお客さまに対してサイバー攻撃を仕掛けるハッカーが操作する、特定のデバイスのIPアドレスなど、お客さまの保護に役立てるために当社が処理する、第三者の脅威アクターに関する特定の個人データ。
    • Network Security Expert Institute(ネットワーク セキュリティ エキスパート インスティチュート)、Fortinet Network Security Academy(Fortinetネットワーク セキュリティ アカデミー)、およびその他の研修や認定プログラムに関連して、当社が取り扱う個人データ。
    • 当社ビジネスパートナーおよびサプライヤーの社員に関する個人データ。
    • POSデータ。
    • イベント参加者に関する個人データ。
    • 投資家向け広報活動に関する個人データ。
    • 当社Webサイトおよび他の場所で、当社の事業運営のために収集された、その他の事業関連個人データ(オンラインフォーラムの登録情報など)。

適用される法律の下、特定の状況において、Fortinetはこのデータの「コントローラ」となります。

本プライバシーポリシーは、プロセッサデータ特有の詳細、コントローラデータ特有の詳細、そして当社による両種のデータの取り扱い方法に関連する情報を含んでいます。

1. プロセッサデータ特有のプライバシー方針

a. 当社が収集するプロセッサデータの種類

当社は、お客さまとそのユーザーから、または彼らの代理として情報を受け取ります。Fortinetのサービスの性質上、この情報には何らかの種類の個人データが含まれることがあります。例えば、当社はFortinetのサービスを通じて、プロセッサデータになりうる以下の種類の情報を収集することがあります。

  • デバイス識別子、IPアドレス、ファームウェアバージョン、オペレーティングシステム、タイムゾーン、言語、MACアドレス、およびコンピューティングシステム、アプリケーション、ネットワークに関するその他の情報。
  • 氏名、Eメール、年齢、性別、電話番号、写真。
  • コンピューティングシステム、アプリケーション、およびネットワークのアクティビティに関する情報。
  • ファイルとコミュニケーションのコンテンツおよびメタデータ;ウイルス対策およびその他マルウェアの統計およびファイル。
  • URLを含むシステムログとトラフィック。
  • ファイル、システム、URLに関するトラブルシューティングの依頼や、セキュリティに関する問い合わせなど、Fortinetのサービスのセキュリティおよびファイアウォールソリューションに関連する、ダッシュボードまたはポータルを通じて当社に提供される情報。

上に挙げられた技術的情報のいくつかは、特定の状況においては個人データと見なされます。Fortinetはまた、下の項で説明するCookieおよび類似の自動データ収集技術を通じて、プロセッサデータを収集します。当社は、次の項に記載のとおりプロセッサデータを利用します。

b. プロセッサデータの利用

契約上の義務に従い、また特定のFortinetのサービスに応じて、当社は上に述べられた情報を(場合によって、当社がお客さま等から入手するその他の情報と組み合わせて)、以下の目的で利用および開示する場合があります。

  • 以下を含むFortinetのサービスの提供を目的とします:
    • メンテナンスと技術サポートの提供。
    • 製品アップグレードの提供。
    • セキュリティおよび事業継続性における問題への対処。
    • Fortinetのサービスの分析と向上。
  • Fortinetのサービスが準拠する法的条件を適用するため。
  • 法律の遵守、および権利、安全、財産を保護するため。
  • 当社顧客またはユーザーが要求あるいは承認する、または当社のビジネスが機能するために合理的に求められるその他の目的のため。

多くのFortinetのサービスは、自動化された技術を使用して、悪意を持つことが疑われるデータをブロックまたは隔離するなどの対策により、サイバーセキュリティの脅威を認識し、防御します。当社のお客さまをより確実に保護し、またお客さま自身のセキュリティコンプライアンスを支援する目的で、Fortinetのサービスにはこういった状況で集められる外部の脅威情報を使用するものがあります。これは、類似の状況にあるFortinetのサービスのお客さまのために、セキュリティを強化することが目的です。例えば、特定のFortinetのサービスが、当社のお客さまの一部に対するハッカーの攻撃を突き止めたとします。この場合、当社はこの脅威から得た情報を利用して、類似の攻撃から他のお客さまを保護することが可能になります。このように、当社のサービスが、経験から会得することができなかった場合よりもはるかに優れた防御を、顧客データに対して提供することができています。当社はこのような「脅威データ」を、下の「コントローラデータ特有のプライバシー方針」に記載されるとおり取り扱います。

c. プロセッサデータの開示

契約上の義務に従い、そして特定のFortinetのサービスに応じて、当社は上に述べられた情報を下記のとおり共有する場合があります。

  • 当社のお客さま、およびお客さまもしくはそのユーザーによって選ばれた第三者との、個人データの共有を伴う場合のある、Fortinetのサービスを提供するため。
  • Fortinetのサービスが準拠する法的条件を適用するため。
  • 法に準拠するため。そして権利、安全、および資産を保護するために開示が適切であると当社が見なした場合(例としては、国家の安全保障または法の執行)。
  • 実際の、あるいは熟考された事業の売却、合併、統合、管理体制の変更、相当量の資産の譲渡、または組織再編の一環として。
  • 当社のお客さま、またはユーザーによって要請または許可されたその他の目的、あるいは当社の事業を遂行するために合理的に求められる、その他の目的のため。

これらの目的のため、本プライバシーポリシーに記載のアクティビティにおいて当社を支援する関係団体やその他の企業に対して、当社は情報を共有する場合があります。

2. コントローラデータ特有のプライバシー方針

a.当社が収集するコントローラデータの種類

コントローラデータとは、業務データと脅威データという2つの一般カテゴリのデータを含みます。

例えば、業務データには下記のようなものが含まれる場合があります。

  • 連絡先情報と勤務先情報: 氏名、Eメールアドレス、電話番号、役職、会社名など。
  • 当社の製品、サービス、イベント、およびFortinet Developer Networkのようなオンラインフォーラムやコミュニティの利用体験に関する、ユーザー情報。
  • 既存のお客さま、または見込み客に関する、Fortinetとのその他のやり取りに関する情報:調達およびお客さま向けサービスなど。
  • 認定候補者に関する詳細情報:連絡先情報、身元書類、および候補者の身元や試験のセキュリティを証明するために集められた、その他の個人データ、試験結果を含む。
  • 既存のお客さま、または見込み客の興味関心についての情報。
  • Fortinet製品とサービスに関する支払い情報。
  • Fortinetが承認したディストリビュータからのデータ。

当社は、関連する個人またはその雇用主、および第三者情報ソースから業務データを直接入手します。第三者情報ソースには、企業Webサイトなどの一般公開されているソースの他に、クレジットカード発行会社、手形交換所、データブローカー、詐欺データベース、お客さまおよびユーザーへの照会などが含まれます。

Fortinetはまた、セキュリティの脅威、つまり脅威データと関係する特定の個人データのコントローラであるとみなされています。そのデータが個人データである場合、脅威データにはIPアドレス、デバイス識別子、URL、そして悪意のあるアクティビティと関連のあるその他のデータが含まれます。当社は、Fortinetのサービス、オンラインフォーラムなど一般に公開されたソース、その他のセキュリティプロバイダーや研究者、および独立調査機関から脅威データを入手します。

前述のように、当社はFortinetのサービスの殆どにおいてプロセッサとして行動します。しかしながら、脅威データに関しては、適用される法律の下でコントローラとなります。

Fortinetはまた、以下の項で解説するCookieおよび類似の自動化されたデータ収集手段を介して、業務データと脅威データを収集します。当社は、次の項で説明されるとおりに全てのコントローラデータを利用します。

b. コントローラデータの利用(業務データおよび脅威データ)

Fortinetはコントローラデータを下記のとおり利用します:

  • 当社の製品、サービス、イベント、Webサイト、コミュニティ、トレーニング、証明書、およびその他のサービスを提供するため。
  • マーケティング、広告、その他コミュニケーションのため(それら全てを特定の受取人のためにカスタマイズし、最適化することを含みます)。
  • 顧客、パートナー、サプライヤー、イベント参加者、その他との関係を管理するため。
  • 調査およびその他の市場リサーチのため。
  • サイバーセキュリティ調査のため。
  • Fortinetのサービス、およびその他業務を分析、改善、開発するため。
  • 当社の事業とオンライン資産を管理する法的条件を適用するため。
  • セキュリティおよび事業継続性を提供するため。
  • 法を順守し、権利、安全性および資産を守るため。
  • 当社のお客さま、またはユーザーによって要求あるいは許可された、その他の目的のため、もしくは当社の事業を遂行するために合理的に求められる目的のため。

c. コントローラデータの開示(業務データおよび脅威データ)

契約上の義務に従い、当社は上記の情報を下記のとおり共有します。

  • 先に説明したとおりに情報を利用するため。
  • 実際の、または熟考された事業売却、合併、統合、管理体制の変更、相当量の資産の譲渡、または組織再編の一環として。
  • 当社のお客さま、またはユーザーによって要請または許可されたその他の目的、あるいは当社の事業を遂行するために合理的に求められる、その他の目的のため。

これらの目的のため、本プライバシーポリシーに記載のアクティビティにおいて当社を支援する関係団体やその他の企業に対して、当社は情報を共有する場合があります。

d. コントローラデータを処理するための法的根拠(業務データおよび脅威データ)

法的管轄区域によっては、お客様の個人データを利用または開示するにあたって、拠り所とする法的根拠について通知することが企業に求められています。それらの法律が適用となる範囲でコントローラデータを処理する場合、当社の法的根拠は次のとおりです。

  • 正当な利益:ほとんどのケースでは、商業活動において下記のような当社の正当な利益を促進する目的で、Fortinetは個人データを取り扱います。それにあたり、当社は影響を受ける個人の利益あるいは基本的権利、および自由を無視することはありません。
    • 当社の事業、社員、そして資産を守るため。
    • お客さまへのサービス提供のため。
    • マーケティングのため。
    • 当社の事業を分析し、向上させるため;そして/あるいは、
    • 法的問題に対処するため。

当社はまた、同様の正当な利益のために、お客さまおよびビジネスパートナーに関する個人データを処理することがあります。

  • 個人に対する当社の契約上の責任を履行するため:個人データ処理のいくつかは、個人に対する当社の契約上の責任を果たすために実施されます。または、契約締結を見越しての顧客からの要請によって、適切な措置を講じるために実施されます。
  • 同意:法によって義務付けられている場合、およびいくつかの他のケースでは、当社は同意に基づいて個人データを取り扱います。法的に義務付けられている場合(特定の管轄区域においての、セキュリティ目的での指紋の使用など)、明示的な同意の下に個人データは取り扱われます。
  • 当社によるいくつかの脅威データ(およびその他データのいくつかの)処理は、公益のために実施される任務の遂行に必要なものです(個人データ保護を含むサイバーセキュリティなど)。
  • 法令遵守:法的義務を果たすため、当社は特定の方法で個人データを利用および開示する必要があります。

3. 当社のプライバシー方針についての追加情報(プロセッサデータおよびコントローラデータの両方に該当します)

a. 個人データに関する権利と選択(ダイレクトマーケティングのオプトアウトを含む)

適用される法律の下で権利と選択を行使いただけるよう、当社は下記に説明するオプションを提供しています。適用される法律の下、これらの多くは重要な制限あるいは例外の対象となります。

  • プロセッサデータに関して権利または選択を行使するには、当社が処理するデータを所有するFortinetのお客さまへ直接依頼してください。特に、下記に説明するセルフサービスのオプションでは、お客様の懸念事項が完全に解決されない場合、そのようにすることを推奨します。
  • 関連するFortinetのサービスまたはFortinetのWebサイト、オンラインサービスにログインすることによって、一定のユーザー情報を確認し、更新することができます。

さらに、お客様の管轄区域(例えば欧州経済領域内) の法律が、当社の所有するお客様の個人データの一部へのアクセス、修正、または抹消を要請する権利を追加で付与することがあります。場合によっては、お客様が当社に提供した個人データのコピーを携帯できる形で受け取るか、または当社がその個人データを第三者へ送信するよう要請する資格を持つことがあります。法はまた、お客様の個人データの処理を制限したり、お客様の個人データの処理に抗議したり、またはお客様の個人データの処理に関する同意を撤回したりする(お客様の要請が効力を持つ以前に起こったいかなる処理の合法性にも、これが影響することはありません)権利を付与することもあります。

これらの要請を行うにあたっては、下記のとおり当社へ連絡することができます。

  • 例えば欧州経済領域とその他いくつかの管轄区域の住民は、ダイレクトマーケティングを目的とした当社のコントローラデータ処理に加わらない権利を有することがあります。下記のとおり当社へご連絡いただくことで、この権利を行使できます。
  • 当社のマーケティングEメール、およびその他いくつかのコミュニケーションには、登録と削除に関する説明が記載されています。関連するコミュニケーションを制限または停止する場合、それらをご利用いただけます。オプトアウトの手続きは、適用される法律との整合性を取るために完了まで時間を要する場合があります。コミュニケーションによっては(請求書関連の特定のコミュニケーションまたは緊急のサービスメッセージなど)、オプトアウトの対象になりません。
  • 多くのFortinetのサービスは、ハッキングおよびその他の無許可でのアクティビティをブロックするように設計されています。それらのサービスは、ハッキングやその他の無許可でのアクティビティと関連付けられた類似のデータポイントに対して、ユーザーのアクティビティまたはデバイス特性を比較するため、自動化された手段を用います。当社のサービスが誤ってお客様をブロックしたと考えられる場合は、関連するFortinetのお客さまにサポートを依頼してください。当社のサービスが、特定のWebサイトへのアクセスを誤ってブロックしたと考えられる場合は、そのようなブロックに関して調査するために、FortiGuardのWebサイトに掲載されている指示に従ってください。顧客との契約内容、およびブロックされた原因によっては、場合により当社が直接お手伝いできることがあります。
  • 当社のプライバシー方針に関するどのような懸念や苦情についても、当社へご連絡いただけます。また、関連政府当局へ苦情を申し立てることもできます。

カリフォルニア州におけるプライバシー権:

  • カリフォルニア州法第 1798.83 節は、直接的な販売活動を目的として当社が前年に特定の個人情報を開示した第三者のリスト(開示があった場合)、および当該第三者に開示された個人情報の種類のリストを、一定の制限の下でカリフォルニア州在住者が要求および取得することを認めています。カリフォルニア州にお住まいでこの情報を希望する方は、privacy@fortinet.comまでメールでご連絡ください。
  • オンライン投稿物の削除:未成年者は、当社Webサイトまたはオンラインスペース(パブリックフォーラムなど) に投稿したコンテンツまたは情報の削除、あるいは匿名化を要請することができます。この場合は、関連Webサイトまたはオンラインスペースにあるセルフサービスオプションをご利用になるか(利用可能な場合)、下記に説明されている方法で当社までご連絡ください。当社は、そのような要請を適用法令に則って取り扱います。カリフォルニア州法の下で要請があった場合、このプロセスは該当するコンテンツまたは情報の完全な、あるいは網羅的な除去を保証しません。

b. 集約または匿名化されたデータ

適用法令と契約上の責務に従うことを条件として、(i)情報が関連する個人を特定しないよう、当社はコントローラデータあるいはプロセッサデータを集約、または匿名化することがあります。また、(ii)集約、匿名化された情報、および非個人情報の当社による利用と開示は、本プライバシーポリシーの下ではいかなる制限も受けず、どのような目的であってもそれを制約なく他者に開示できます。

c.Cookieおよび類似の自動的なデータ収集について

当社および第三者は、Cookie、Webビーコン、JavaScript、そしてモバイルデバイスの機能性といった自動化された手段によって、自社のWebサイト、アプリケーションおよびEメールから一定の情報を収集することがあります。この情報に含まれる可能性があるのは、ユニークブラウザ識別子、IPアドレス、ブラウザおよびオペレーティングシステム情報、デバイス識別子(Apple IDFAまたはAndroid 広告IDなど)、ジオロケーション、その他のデバイス情報、インターネット接続情報、および当社のアプリケーション、Webサイト、Eメールの個人利用状況についての詳細です(例えば、当社Webサイトを訪問したお客様がその前に閲覧していた第三者WebサイトのURL、当社Webサイト上でお客様が訪問したページ、当社Webサイト上でお客様がクリックしたリンクなどを指します)。

当社と第三者は、様々な種類のCookieやその他のブラウザベース、またはプラグインベースのローカルストレージなど(HTML5ストレージまたはフラッシュベースのストレージなどを指します)、ユーザーのデバイス内に情報を読み書きする目的で、自動化された手段を使用する場合があります。

Cookieおよびローカルストレージは、ユニーク識別子などのデータを含むファイルです。当社または第三者は、本プライバシーポリシーに記載の目的で、ユーザーのデバイスにこれを転送したり、デバイスからこれを読み取ったりする場合があります。ここに記載の目的とは、収集の状況によってデバイスの識別、サービスの供給、記録管理、および分析とマーケティングなどを指します。

お客様は、特定の種類のCookieを拒否するか、または特定のCookieが送られた時に警告を受けるようにWebブラウザを設定ことができます。ブラウザによっては、HTML5ローカルストレージに対しても類似の設定を行うことができ、フラッシュストレージはここで管理が可能です。しかし、Cookie、ローカルストレージ、JavaScriptまたはその他の技術をブロックまたは拒否すると、いくつかのWebサイト(当社のWebサイトを含みます) は正常に機能しなくなることがあります。

これらの技術は、(a)お客様がログイン中であるか、あるいは以前にログインしたことがあるかの記録管理に役立ちます。これによって当社は、お客様がご利用可能な全ての機能を表示できるようになります;(b)お客様が訪問したページの設定を記憶し、次回訪問時にご希望のコンテンツを表示できるようにします;(c)カスタマイズされたコンテンツを表示します;(d)分析を行い、トラフィックとユーザーの傾向を測定し、当社のユーザー層に関する理解を深めます;(e)技術的問題を突き止め、修復します; その他、(f)当社の事業の計画と改善を行います。

またいくつかの場合、第三者が運営するサービスを広告として表示することで、当社は情報収集を促進しています。Cookieなどの自動的手段を介して情報を集めることで、広告サービスは徐々にユーザーのオンラインアクティビティを記録していきます。これにより、ユーザー個々の関心または特質、および/あるいは事前に訪問した特定のサイトまたは使用したアプリケーションに基づいて、または当社あるいは広告サービスの得ている、推測する、あるいはユーザーからすでに収集しているその他の情報に基づいて、作成した広告をユーザーへ提示するために、この情報を利用することができます。例えば、当社およびこれらのプロバイダは、(i)ユーザーとそのデバイスを認識するため、(ii)広告を通知し、最適化し、そして提供するため、そして(iii)広告インプレッション、広告サービスのその他の利用法、これら広告インプレッションと広告サービスの利用状況を報告するため(特定のサイトあるいはアプリへの訪問にそれらがどのように関係しているかを含みます) 、異なる種類のCookie、その他の自動化技術、およびデータを使用することがあります。

当社が現在提携する一部の広告サービス業者が提供する、お客さまの興味や関心に基づく広告からオプトアウトする方法など、興味関心に基づく広告についての一般知識をさらに得るためには、 aboutads.info/choices または youronlinechoices.eu などを、お客さまのWebブラウザから利用することができます。Googleアナリティクスからのオプトアウト、Googleディスプレイネットワークのカスタマイズについては、Google広告設定ページをご確認ください。Googleはまた、ブラウザにGoogle アナリティクス オプトアプト アドオンをインストールすることも認めています。ブラウザを交換、変更、またはアップグレードした場合、もしくはCookieを削除した場合は、これらのオプトアウトツールの再インストールが必要になることもあります。当社は、ブラウザベースのDo Not Trackシグナルには応答しません。

デバイス識別子およびジオロケーションのためのプライバシー設定など、お客様がご利用のモバイルオペレーティングシステム上でのプライバシー管理に関する追加情報は、モバイルデバイス製造者のWebサイト(またはそのオペレーティングシステム製造者のWebサイト)をご確認ください。

d. 国際的なデータ転送

Fortinetおよび本プライバシーポリシーに記載された開示データの受取人は、アメリカ合衆国、カナダ、および世界各地に存在します。受取人の居住国は、お客様の居住国と同様のプライバシー保護法が効力を有しない場合があります。プロセッサデータ用のFortinetデータセンターは、主としてカナダに設置されています。当社は、国境を超えたデータ保護のための法的要件を遵守しており、それには欧州委員会が承認した標準的契約条項の利用、また場合によりEU-U.S.あるいはSwiss-U.S.間のプライバシーシールドフレームワークへの第三者の参加も含まれます。Fortinetが第三者へのデータ転送に利用する、データ転送手順に関する書類を要求する際の法的権利の行使については、当社へお問い合わせください。

Fortinetのサービスには、当社のお客さまとユーザーが、第三者への国際的なデータ転送を行うことができるものもあります。そのようなデータ転送についての全責任は、顧客とユーザーが負います。

e.セキュリティ

データの保護と不正なアクセスの防止、データセキュリティの維持、および収集したデータの正確な使用のため、当社は物理的、電子的、および管理面での対策を講じています。しかしながら、当社が収集したデータが本プライバシーポリシーに反する方法で開示されることは決してない、と当社が保証することはありません。

お客さまの個人情報を保護するためにパスワードをご利用の場合、パスワードの機密性を保つことはお客さまの責任となります。パスワードの情報は誰とも共有しないようにしてください。

f.データの保存

当社は、法によって、それより長い保存期間が義務付けられている場合、または認められている場合を除き、本プライバシーポリシーに記載の目的に添うために必要な期間のみ、お客様の情報を保存します。本プライバシーポリシーに記載のアクティビティに必要なセキュリティと事業継続性を実現する目的で、当社はオリジナルのデータよりも長い期間保存する場合もある一定のデータに関して、バックアップを作成します。

g.変更の通知

Fortinetは、法律の変更、当社のデータ収集および使用方針、当社のサービス内容の変化、技術の発展により、いつでも本プライバシーポリシーを変更する権利を有します。定期的に本ページで変更点をご確認ください。全ての更新版プライバシーポリシーは、フッター内のハイパーリンクまたはその他の適当な場所経由でFortinet.comへと掲載されます。

h.当社への連絡方法

当社の取り組みや本プライバシーポリシーに関するご質問は、privacy@fortinet.comまでお問い合わせください。