デジタル資産所有者向けプライバシー規約

Last Update: October 10, 2024

発効日: 2024年10月10日

本Taboola デジタルプロパティ所有者向けプライバシー規約(「パブリッシャー向けプライバシー規約」)は、Taboolaのデジタル広告サービスに適用されます。具体的には、Taboolaが広告主コンテンツをパブリッシャーのプロパティ(Taboola Newsroom、Header Bidding、Taboola ホーム ページ 4 ユー、Taboola News、Taboola プッシュなどを含むがこれらに限定されないパブリッシャー製品・サービスを含む)に掲載する場合などが該当します。 Taboola Home Page 4 You、Taboola News、Taboola Pushなどのパブリッシャー製品・サービスを含む)に広告主コンテンツを掲載する場合などが該当します。本規約は、Taboolaとパブリッシャー間の契約(「契約」)に基づき適用され、本パブリッシャー向けプライバシー規約は、かかる契約に組み込まれ、その不可欠な一部を構成するものとみなされます。本パブリッシャープライバシー規約は、個人データに関してTaboolaおよびパブリッシャーの役割と責任を定めるものです。

出版者プライバシー規約と本契約との間に矛盾がある場合、本契約の矛盾する規定が本出版者プライバシー規約の矛盾する規定を明示的に参照し、かつ当該矛盾する規定に優先することを明記している場合を除き、出版者プライバシー規約が優先するものとします。

本節において定義される用語は、以下に定める意味を有するものとし、関連する用語はこれに従って解釈されるものとする。発行者プライバシー規約において使用されるが定義されていない大文字表記の用語は、本契約で定義された意味を有するものとします。

      1. 適用されるデータ保護法」とは、本契約および本パブリッシャープライバシー規約の対象となる処理に適用される、随時改正または置き換えられる可能性のある、あらゆる適用される連邦、国家、州その他のプライバシーおよびデータ保護法を指します。
      2. カリフォルニア州プライバシー法」とは、2018年カリフォルニア州消費者プライバシー法(Cal.民法典第1798.100条以下(以下「CCPA」という)、改正後(カリフォルニア州プライバシー権法による改正を含む)、及びこれに関連する下位法令及び施行規則。
      3. 管理者」とは、(i) 個人データの処理の目的及び手段を決定する主体、並びに (ii) 適用されるデータ保護法において定義される「管理者」または「事業者」(もしくは実質的に類似する用語)の定義範囲に該当する個人または主体を意味する。
      4. データ主体」とは、(i) 特定された、または特定可能な自然人(この目的において、特定可能な自然人とは、氏名、識別番号、位置データ、オンライン識別子などの識別子、または当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的、社会的特性に特有の要素を参照することにより、直接的または間接的に特定される者をいう)、 及び(ii)データ保護法において定義される「データ主体」、「消費者」(または実質的に類似する用語)の範疇に該当するあらゆる個人を意味する。
      5. EUデータ保護法」とは、(i) EU一般データ保護規則(規則2016/679)(「EU GDPR」)、 (ii) EU電子プライバシー指令(指令2002/58/EC);および(iii) (i)または(ii)に基づき制定された各国のデータ保護法(随時改正または廃止される場合を含む)。
      6. 個人データ」とは、別紙AのB項に定める通り、特定された個人または特定可能な個人に関連するあらゆる情報を指す(なお、適用されるデータ保護法で要求される場合には、固有のブラウザ識別子またはデバイス識別子を含むものとする)。
        1. インタラクション個人データ」とは、消費者がTaboola、Taboolaの製品、Taboolaの資産、およびTaboolaが掲載する広告と意図的にインタラクションした時点、またはその後に消費者から収集される個人データを指します。
        2. 受動的相互作用による個人データ」とは、消費者がTaboola、Taboolaの製品、Taboolaのプロパティ、およびTaboolaが掲載する広告に対して意図的な相互作用を行う前、またはそのような相互作用がない状態で、Taboolaがパブリッシャープロパティから受動的に収集する個人データを指し、これにはIP Address、ページURL、User Agent Stringなどが含まれますが、これらに限定されません。
      7. 処理」とは、個人データまたは個人データの集合に対して行われる、自動化された手段によるか否かを問わず、収集、受領、記録、組織化、構造化、利用、伝送、アクセス、共有、開示、移転、保存、適応または変更、検索、 参照、提供、その他の利用可能化、照合または結合、集計、推論、導出、分析、制限、消去、破棄または廃棄、その他の個人データの取扱いを指し、適用されるデータ保護法における定義を含む。
      8. 処理者」とは、管理者に代わって個人データを処理する事業体を指し、当該用語および/または「データ処理者」(または実質的に類似する用語)が適用されるデータ保護法において定義される方法を含む。
      9. 制限付き移転」とは、(i) EU GDPRが適用される場合、欧州委員会による十分性認定の対象となっていないEEA域外の国への個人データの移転(以下「EU制限付き移転」という); 及び(ii)UK GDPRが適用される場合、UKから、UKデータ保護法2018年第17A条に基づく十分性規制の対象とならない、またはそれに基づかないその他の国への個人データの移転(「UK制限付き移転」)。
      10. サービス」とは、パブリッシャーとの契約に基づきTaboolaが提供するサービスを意味します。
      11. 「セキュリティインシデント」とは、個人データの偶発的または違法な破壊、紛失、改ざん、不正開示、または不正アクセスにつながるセキュリティ侵害を意味する。
      12. 「Standard Contractual Clauses」とは、(i) EU GDPRが適用される場合、欧州議会及び理事会規則(EU)2016/679に基づき第三国への個人データ移転に関するStandard Contractual Clausesについて2021年6月4日付欧州委員会実施決定2021/914に付属する契約条項(以下「EU SCCs」という); 及び(ii)UK GDPRが適用される場合、情報コミッショナーが2018年データ保護法(DPA 2018)第119A条(1)に基づき発行した「EU Commission Standard Contractual Clausesに対する国際データ移転補足条項」(「UK Addendum」)を指す。
      13. 第三者」とは、個人データに関して管理者として行動する事業体を指し、かつ、その個人データが処理されるデータ主体が意図的に関与した事業体ではないものを意味する。この用語は、適用されるデータ保護法における定義を含む。
      14. UKデータ保護法」とは、(i) UKデータ保護法2018年、(ii) UK GDPR(UKデータ保護法2018年 第3条(10)に定義されるもの)、 (「UK GDPR」)、(iii) 英国プライバシー及び電子通信(EC指令)規則2003年、並びに(iv) (i)、(ii) 又は(iii) に基づき制定されるその他の英国法令を意味し、これらは随時改正又は廃止される場合がある。

本サービスに関連して処理される個人情報について、各当事者は、自らが収集する個人情報を、別紙AのB項に記載された目的(以下「許可された目的」という)および本出版者プライバシー条項、本契約、ならびに適用されるデータ保護法(いずれも随時更新される可能性がある)で許可される範囲でのみ処理することに同意する。Taboolaは、Taboolaプライバシーポリシー(随時更新される場合があります)で許可される範囲において、受動的インタラクション個人データを処理する場合があります。

各当事者は、管理者または第三者として収集する受動的相互作用個人データを、該当する場合に応じて処理するものとする。各当事者は、適用される場合、管理者または事業者として収集した相互作用個人データを処理するものとする。個人データの開示(直接的か、または一方の当事者が他方の当事者にデータを提供することを通じて行われるかに関わらず)は、第三者への開示に該当します。

      1. 米国または米国の州のデータ保護法(カリフォルニア州プライバシー法を含むがこれに限定されない)が個人データに適用される場合、Taboolaがサービスに関連して受動的インタラクション個人データを処理する範囲において、Taboolaは当該受動的インタラクション個人データに関してパブリッシャーに対する第三者として行動する。Taboolaは、別紙AのB項に記載された目的のため、かつ本パブリッシャープライバシー規約、契約、適用されるデータ保護法、およびTaboolaのプライバシーポリシー(それぞれ随時更新される場合がある)で認められる範囲において、かかる受動的インタラクション個人データを処理するものとする。このような受動的相互作用による個人データは、当該目的のためにのみTaboolaに提供されます。Taboolaは、適用される米国データ保護法(該当する場合、カリフォルニア州プライバシー法を含む)が企業に要求するのと同等のプライバシー保護を提供します。パブリッシャーは、Taboolaがパッシブインタラクション個人データをパブリッシャーの義務に準拠した方法で利用することを確保する権利を有する。Taboolaに対し通知を行った場合、パブリッシャーは、自身がTaboolaに提供した個人データの不正使用を停止し是正するために合理的かつ適切な措置を講じる権利を有する。Taboolaは、適用されるデータ保護法に基づく義務を履行できなくなったと判断した場合、当該データ保護法で定められた期間内にパブリッシャーに通知します。Taboolaがサービスに関連してインタラクション個人データを収集する場合、それは独立した事業としてこれを行うものとする。

当事者は、個人データを処理する可能性があり、また、各当事者による個人データの処理には適用されるデータ保護法が適用される可能性があることを認める。この場合、各当事者は、個人データの処理に関して、かかる適用されるデータ保護法に準拠するものとする。この場合、第7条に従い、各当事者は、適用されるデータ保護法への自らの遵守について個別に責任を負うものとし、これには以下の適用される要件を含む:(i) データ主体に対する透明性の提供、(ii) 処理に対する同意またはその他の法的根拠の保有、(iii) データ主体がデータ保護上の権利を行使できる連絡窓口の提供。発行者は、Taboolaが管理者として行う個人データの処理に関するデータ保護権利の請求を受領した場合、その範囲において速やかにTaboolaに通知するものとし、これによりTaboolaが適用されるデータ保護法に基づく義務に従い当該請求を履行できるようにする。

  1. 出版社は、Taboolaのサービスに関して受け取ったデータ主体の要求を、Taboolaのグローバルデータ主体アクセス要求ポータルまたは米国向けポータルへ転送するものとする。消費者権利Opt-outポータル(該当する場合)

いずれかの当事者が、サービスに関連するデータ主体の個人データの処理に関して、個人、規制当局、その他の第三者から問い合わせ、苦情、または連絡(以下「第三者通知」という)を受けた場合、速やかに相手方に通知するものとし、両当事者は誠実に、かつ合理的に必要とされる範囲で協力し、かかる第三者通知の要求事項に対処するものとする。

いずれかの当事者が相手方に対して個人データの制限付き移転を行う場合には、別紙Cの規定が適用される。

TaboolaがTaboolaコード、Pixels、その他の追跡技術を使用してパブリッシャープロパティから個人データを収集する場合、パブリッシャーは以下を行うものとします:(i) Taboolaが許可された目的のためにパブリッシャープロパティから個人データを収集するTaboolaコードの使用について、データ主体に対し必要な透明性に関する通知をすべて提供すること、および (ii) データ主体の同意を取得すること(Taboolaが随時要求した場合、適切な証拠を提示すること)。 適用されるデータ保護法の要件に従い、許可された目的のためのTaboolaコードの使用についてデータ主体の同意を取得すること。出版社は、この点に関して以下の義務を負います。具体的には、データ主体に対して提供する透明性に関する通知および同意プロンプトにおいて、TaboolaおよびTaboolaコードの許可された目的での使用を明示的に特定すること、ならびに適用されるデータ保護法で要求されるその他の情報を提供することです。これにより、Taboolaは当該プロパティを通じて合法的にサービスを提供し、許可された目的のために個人データを処理することが可能となります。書面による要請があった場合、Taboolaは、パブリッシャーが適用されるデータ保護法に準拠した通知および同意メカニズムを確保するために必要とする、Taboolaコードおよびパブリッシャープロパティを通じたTaboolaによる個人データの処理に関する情報を、パブリッシャーに合理的に提供するものとします。出版社は特に以下の事項に同意する:

  1. ウェブベースのプロパティに関しては、パブリッシャーのプライバシーポリシーは、第三者(例:Taboola)による興味関心ベースの広告および分析(プロパティ内外)のためのCookie、一意の識別子、および非Cookie技術の使用について説明し、NAIの業界Opt-outページ(http://www.networkadvertising.org)へのリンク、 DAAの業界Opt-outページ(http://www.aboutads.info)、または(EUのウェブベースメディアおよびデータ収集に関しては)EDAA Opt-outリンク(http://www.youronlinechoices.eu)のいずれかへのリンクを、適用されるデータ保護法の要件を満たす方法で提供するものとする。
  2. モバイルアプリベースのプロパティに関しては、パブリッシャーのプライバシーポリシーにおいて、モバイルアプリ上でのSDKの使用、および興味関心ベースまたはクロスアプリ広告・分析(プロパティ内外)のためのモバイル広告識別子の収集について説明すること。さらに、ユーザーおよび訪問者がデバイス設定を通じてクロスアプリ広告のためのモバイルデータ収集をOpt-outする方法の説明を提供すること。
  3. EU向けプロパティにおいて、パブリッシャーは、訪問者のデバイスにTaboola Cookieまたはその他の一意の識別子を配置またはアクセスすることに関して、EUプライバシー法に従い、訪問者から自由意志に基づく、具体的かつ情報に基づく、明確な同意を取得することを保証するものとします。発行者は、訪問者がデータ保護権利(サービスに関連して処理される個人データに関する権利を含む)を行使するために発行者に連絡できるよう、連絡先詳細(プライバシーポリシーを通じて当該詳細を提供することを含む)を訪問者に提供するものとする。上記の義務は、サービスに関して同意メカニズムを必要とする法域において、パブリッシャープロパティが訪問者を引き付ける場合に適用される。

契約期間中、Taboolaはパブリッシャーに対し、推奨されるプライバシーポリシーまたは開示文言を提供する場合があります。出版社は、当該推奨文言を法的助言として、またはその代替として依拠しないこと、ならびにプライバシーポリシーまたは自社ウェブサイトにおける開示内容について、出版社または会社自身が単独で責任を負うことを認める。

発行者は、適用されるデータ保護法で定義される特別なカテゴリーの個人データ、機微な個人情報、または機微なデータを収集し、またはその他の方法でTaboolaに開示するために、サービスを提供または設定してはならない。さらに、出版社は、Taboolaに提供されるページURLに動画タイトル情報が含まれないことを保証するものとします。Taboolaは、本項への違反が是正されるまで、当該違反を理由としてサービス提供を停止する権利を留保します。

各当事者は、訪問者の個人データをセキュリティインシデントから保護するため、適切な技術的及び組織的なセキュリティ対策を講じるものとする。これらの措置には、附属書Bに定める措置が含まれるものとする。

いずれかの当事者が、本契約および本出版者プライバシー規約の対象となる個人データを処理する過程においてセキュリティインシデントを被った場合、当該当事者は以下の措置を講じるものとする:(i) 適用されるデータ保護法に基づき、データ保護当局および/または影響を受けたデータ主体に対して課される報告義務を(自己の費用負担で)履行する責任を負うこと、 (ii) 相手方に対し遅滞なく通知し、当該セキュリティインシデントについて相手方が合理的に要求する情報、または相手方が当該インシデントに関して適用データ保護法に基づく報告義務を負う可能性があるか否かを判断するために別途必要とされる情報を提供する。(iii) セキュリティインシデントの影響を是正および/または軽減するために適切なあらゆる措置を遅滞なく講じる。

各当事者が適用を受ける適用データ保護法において要求される範囲および場所で、各当事者は、許可された目的のための個人データの処理に関してデータ保護影響評価を実施し、および/または必要に応じて適用されるデータ保護当局と協議するものとする。各当事者は、相手方が本項に基づく義務に従いデータ保護影響評価を実施し、及び/又は適用されるデータ保護当局と協議するために必要な場合、相手方から合理的に要求された全ての合理的な協力及び情報を提供するものとする。

A.当事者一覧

各当事者は次のものとする:

  • 収集データについて、開示または提供を行う相手方に対するデータ管理者(およびデータ輸出者)であり、
  • 収集データについて、相手方から受け取る、または相手方によってアクセスが提供されるデータの管理者(およびデータインポーター)。

各当事者の詳細は以下の通りです。

名前:契約書に記載された出版社の詳細を参照のこと。

住所:契約書に記載された出版社の詳細を参照のこと

担当者名、役職、連絡先詳細:契約書に記載されている出版社の詳細、または当事者間で書面により別途合意された内容を参照のこと。

本条項に基づき移転されるデータに関連する活動:本契約に定めるサービスの受領。

署名と日付:本別紙Aは、出版社が本出版者プライバシー規約を受諾した時点で締結されたものとみなされる。

役割(管理者/処理者):データエクスポーターとしてのコントローラーと、データインポーターとしてのコントローラー

 

名前:本契約の冒頭に記載されているTaboolaの詳細を参照のこと。

住所:本契約の冒頭に記載されているTaboolaの詳細を参照のこと。

担当者名、役職、連絡先詳細:Taboolaのプライバシーチーム:privacy@taboola.com

本条項に基づき移転されるデータに関連する活動:本契約に定めるサービスの提供。

署名と日付:本別紙Aは、Taboolaが本パブリッシャープライバシー規約を受諾した時点で締結されたものとみなされる。

役割(管理者/処理者):データエクスポーターとしてのコントローラーと、データインポーターとしてのコントローラー

 

B. 処理および移転の説明 

個人データが処理および/または移転されるデータ主体のカテゴリー: ユーザー

処理および/または移転される個人データのカテゴリー:

デバイスデータ:ユーザーのデバイス、ブラウザ、オペレーティングシステム;モバイルデバイス情報(すべてのモバイルIDはハッシュ化されます)を含むIDFAsおよびAAIDs;Taboolaによって読み取られる、または展開される可能性のあるクッキーデータ(すべてのCookie ID/ユーザーIDはハッシュ化されます);IP Address;ハッシュ化されたメールアドレス;参照元ウェブサイト;ユーザーの言語;国/地域/都市。モバイルアプリがサービスの一部である場合、追加のデータ要素には、切り詰められ不正確な緯度/経度、接続タイプ、画面サイズが含まれます。

ユーザーがアクセスしたデジタル資産に関するデータ:プラットフォームの表示方法とユーザーの操作有無;ウェブまたはアプリの行動。

Header Biddingが本サービスの一部を構成する場合、以下の規定が適用されます:

  • Bid Request / Bid Response Data:入札リクエストの固有ID、提供されたインプレッションを表すIMP object、対象となるパブリッシャーサイトまたはアプリ、アプリ、デバイス、オークションタイプ、最大時間、通貨、ブロックされたカテゴリ、デバイスID、TaboolaユーザーID、呼び出しタグパートナー:URL.

Taboola Newsroomに関しては、以下の事項が適用されます:

  • 出版社ウェブサイトからのイベント情報:変換データ
  • ユーザーエージェントから読み取ったユーザーのブラウザに関する情報:訪問したページのURL、参照元ウェブサイト、オペレーティングシステム、ブラウザの種類、ブラウザのバージョン、クッキーから読み取られた関連付けられたハッシュ化されたTaboolaユーザーID、関連付けられたIP Address(30日後に切り捨て)。

機密データの移転(該当する場合)および適用された制限または保護措置。これらはデータの性質と関連するリスクを十分に考慮したものであり、例えば厳格な目的限定、アクセス制限(専門訓練を受けたスタッフのみがアクセス可能を含む)、データへのアクセス記録の保持、再移転の制限、または追加のセキュリティ対策などが含まれる: 該当なし。

処理および/または移転の頻度(例:データが単発的または継続的に処理および/または移転されるか否か): 契約期間中、継続的に。

処理の性質: 本契約に定めるサービスの提供に必要な個人データの処理。

データ処理/移転およびその後の処理の目的:本契約に定めるサービスの提供。疑義を避けるため、許可された目的には以下が含まれる:(i) デバイス上での情報の保存および/またはアクセス、(ii) 基本広告の選択、(iii) パーソナライズされた広告プロファイルの作成、(iv) パーソナライズされた広告の選択、(v) パーソナライズされたコンテンツプロファイルの作成、(vi) パーソナライズされたコンテンツの選択、(vii) 広告パフォーマンスの測定、(viii) コンテンツパフォーマンスの測定、(ix) 製品の開発および改善、 (x) セキュリティの確保、不正防止、デバッグ;(xi) 技術的な広告またはコンテンツ配信;(xii) オフラインデータソースのマッチングおよび統合;(xiii) 異なるデバイスの連携;(xiv) 識別のための自動送信デバイス特性情報の受信および利用;(xv) 限定データを用いたコンテンツ選択;(xvi) プライバシー選択の保存および伝達。

Taboola Newsroomに関しては、以下の事項が適用されます:(i) サブスクリプションコンバージョンイベントの追跡。

Taboola Pushに関しては、以下の追加目的が適用されます:(i) ユーザーのデバイスへの通知送信。

Header Biddingが本サービスの一部である限り、以下の追加目的が適用される:(i) 掲載枠への入札の可否を判断し、パーソナライズされた推奨事項を提供する。

ホームページ4ユーが本サービスの一部を構成する場合、以下の追加目的が適用される:(i) 指定されたデジタル資産ホームページ内におけるパブリッシャーコンテンツの自動化およびキュレーション。

個人データを保持する期間、またはそれが不可能な場合には、その期間を決定するために用いられる基準:

  • Taboola:生データは最大13か月間保存されます。
  • 広告主:サービスを受けるために必要な期間、または契約書に別途定められている期間。

(サブ)処理者への移転については、処理の対象、性質、期間も明記すること: 該当なし。

 

C. 管轄監督当局

EU GDPRが適用される管轄区域における管轄監督当局: 各当事者に対する管轄監督当局は下記の通りです:

  • Taboola:管轄監督当局は、EU SCCs第13条に従って決定されるものとする。
  • 広告主:管轄監督当局は、EU SCCs第13条に従って決定されるものとする。

UK GDPRが適用される管轄区域における管轄監督機関: 情報コミッショナー事務局

各当事者が実施する技術的及び組織的措置(関連する認証を含む)の説明。これには、処理の性質、範囲、文脈及び目的、並びに自然人の権利及び自由に対するリスクを考慮した、適切なセキュリティレベルの確保が含まれる。

個人データの仮名化および暗号化措置: Taboolaは仮名化されたデータのみを収集します。つまり、ユーザーの名前、メールアドレス、その他の識別可能なデータを把握または処理しないため、当社はユーザーが誰であるかを知りません。当社が収集するユーザー情報には、ユーザーのデバイスおよびオペレーティングシステムに関する情報、IP Address、当社顧客のウェブサイト内でユーザーがアクセスしたウェブページ、ユーザーを顧客のウェブサイトに誘導したリンク、ユーザーが顧客のウェブサイトにアクセスした日時、その他のウェブ閲覧データなどが含まれますが、これらに限定されません。CookieIDはBcryptを用いて匿名化され、IP Addressは切り詰められます。

処理システムおよびサービスの継続的な機密性、完全性、可用性、および回復力を確保するための措置: Taboolaは複数のレベルの電子セキュリティを採用しています(例:エンドポイントセキュリティ、サーバーサイドセキュリティ、検知追跡、定期的なペネトレーションテスト、事後検証イベントをレビューするための深いインテリジェンス収集)。

物理的または技術的なインシデント発生時に、個人データの可用性およびアクセスを適時に復元する能力を確保するための措置: Taboolaは世界中で稼働する9つのデータセンターを維持しています。すべてのデータセンターは相互に複製として機能するため、1つがダウンしても他のデータセンターからデータを抽出できる。

処理の安全性を確保するための技術的及び組織的措置の有効性を定期的にテスト、評価、検証するプロセス: Taboolaは、自社の管理措置(技術的および組織的の両方)の効果を検証するための厳格なプロセスを維持している。システムログ記録と監視体制を整備し、月次(最低)の災害復旧テスト、四半期ごとのペネトレーションテストを実施しています。ウェブを保護するファイアウォールと、ネットワーク全体に配置されたハニーポットにより、あらゆる悪意ある活動を検知します。さらに、当社ではネットワークを常時監視するための報奨金プログラムを導入しています。

ユーザー識別および認証のための措置: Taboolaのすべてのユーザーには、専用のユーザー名とパスワードが割り当てられています。Taboolaの内部ネットワークへのアクセスはすべて、Google認証を使用した2段階認証(2FA)によって行われます。ユーザーはIT部門によってのみ作成され、オンボーディングプロセス中に、かつ人事部門からすべての詳細情報と署名済み契約書を受領した後に限って作成されます。

データ伝送時の保護対策: Taboolaは、安全な伝送プロトコル(最低でもHTTPSおよびTLS v1.2)を介したあらゆるデータ伝送をサポートします。さらに、個人を特定できる情報(PII)を含む可能性のあるシステムは保護され、データはハッシュ化および匿名化された状態で保持されます。

保存中のデータ保護のための措置: 当社のデータベース内に保存されるデータは、Bcryptを用いて匿名化およびハッシュ化されます。データベースへのアクセスは最小限に抑えられ、「業務上知る必要のある範囲」の原則に基づいて行われる。

個人データが処理される場所の物理的セキュリティを確保するための措置: Taboolaのグローバルデータセンター(米国、欧州、アジア)では、各サーバーがTaboola専用に管理される施錠されたキャビネット内に設置されています。これらのキャビネットは、SOC2-certified企業、またはTaboolaがセキュリティ対策を審査した企業によって管理されています。さらに、サーバーへのアクセスには書面による許可と記録が必要である。Taboolaの全オフィスも管理下にあり、従業員は入室にアクセスカードの使用が義務付けられています。さらに、Taboolaのサーバーへのアクセス権限を持つ従業員は限られており、アクセスには書面による許可とログ記録が必須です。

イベント記録を確保するための措置: Taboolaは監視ツールを導入し、ログは当社のSIEMシステムに収集されます。これにより不審な事象が発生した際にアラートが通知され、NOCチームによる監視も実施されています。

システム構成(デフォルト構成を含む)を確保するための措置: サーバーは設定のドリフトとパッチレベルの両方についてスキャンされます。両方にレポートおよび/またはアラートが設定され、関連するパッチレベルが確認されている。新しいパッチはPuppetを使用して配布されます。すべての技術レビューはR&Dアプリケーションを通じて管理され、コーディングおよびCI/CD processesが実装された後、正式なレビュープロセス(QA)を通じて取得されます。

内部ITおよびITセキュリティのガバナンスと管理に関する措置: TaboolaはISO 27001:2013およびISO 27701の認証を取得しています。Taboolaは情報セキュリティポリシーを策定しており、取締役会および経営陣は、組織全体における全ての物理的および電子的な情報資産の機密性、完全性、可用性を維持することにコミットしていることを明記しています。Taboolaは、全新入社員を対象としたセキュリティ研修、全世界の全従業員を対象としたフィッシング対策研修、全従業員向けの定期的なセキュリティ研修を実施しており、さらに研究開発グループ向けの特別セッションも設けています。

プロセスおよび製品の認証/保証のための措置: 四半期ごと/半年ごと/年ごとの内部監査を複数プロセスおよびシステムに対して実施し、Taboolaが定義されたセキュリティ目標および対策に準拠していることを検証する。

データ最小化を確保するための措置: Taboolaは、当社の特定の事業目的に必要な限定的なデータのみを処理するというグローバルなデータ最小化原則に基づき、収集するデータを意図的に制限しています。さらに、Taboolaは、サービス提供のためにアルゴリズムで使用されるデータポイントを「リバースエンジニアリング」する能力も、ビジネス上の必要性も一切持ち合わせていません。より具体的には、Taboolaが収集するデータポイントは、ユーザーの身元を示すものではありません。Taboolaは、ユーザー名、電話番号、メールアドレス、住所などの情報を収集または処理しないためです。代わりに、Taboolaは単なる仮名識別子のみを収集します。これはユーザーのデバイスに関する特性のみを識別するものです。これにはIP Address(収集時に切り詰められ、デバイスの大まかな郵便番号エリアを特定できるが、正確な地理的位置を特定することは決してない)と、一部の限定的なケースではハッシュ化されたメールアドレス(本質的に元に戻すことが不可能であり、元のメールアドレスを復号化することはできない)が含まれます。さらに、収集したデータをまとめて使用した場合でも、個人の氏名、電話番号、メールアドレス、住所を特定することは決してできず、当社のエンジニアはこれを達成するために一切の作業を行いません。さらに、Taboolaはサービス、プロセス、ポリシーにおけるプライバシーリスクを最小限に抑えるため、プライバシー影響評価を実施し記録しています。

データ品質を確保するための措置: データはユーザーから直接収集され、ユーザーはTaboolaデータ主体アクセス要求ポータル(https://accessrequest.taboola.com/access)を通じて、自身のCookieIDに関連するデータを修正する機会が与えられます。

限定的なデータ保持を確保するための措置: 広告配信を目的として直接収集したユーザー情報は、ユーザーが当社サービスと最後にやり取りした時点から最大13か月間(多くの場合より短期間)保持します。その後、一意の識別子を削除するかデータを集計することで、データを匿名化します。この処理は自動的に行われます。

説明責任を確保するための措置: Taboolaは複数のセキュリティ監査とペネトレーションテストを実施しています(ただし、すべてのシステムに対してではありません)。Taboolaはまた、サーバーの物理的保護措置を維持するため、ISO認証を取得し、その他のクラウド関連の認証に準拠しているクラウドプロバイダーを利用しています。

データポータビリティを可能にし、消去を確保するための措置: Taboolaは、個人識別情報(PII)を含む可能性があるため、あらゆる種類のメディアについて、メディア廃棄に関する対応を統一しています。あらゆるメディアは、再利用または廃棄する前に完全に消去されなければなりません。あらゆるメディア廃棄は記録される。従業員は、個人情報を含む可能性のある書類を一切印刷しないよう指示されています。

  1. 当事者が収集データを相手方へ制限付き移転する場合、Standard Contractual Clausesは本パブリッシャープライバシー規約に組み込まれ、以下の通り適用される:

a. 制限付き移転がEU制限付き移転である場合、EU SCCsは当事者間で以下の通り適用される:

  1. (i) モジュール1が適用される;
  2. (ii) 第7条において、任意のドッキング条項が適用される。
  3. (iv) 第11条においては、任意の文言は適用されない。
  4. (v) 第17条においては、オプション1が適用され、EU SCCsはアイルランド法に準拠する。
  5. (vi) 第18条(b)項において、紛争はアイルランドの裁判所において解決されるものとする;
  6. (vii) 別紙IのA部、B部及びC部は、本出版者プライバシー規約の別紙AのA部、B部及びC部に記載された情報をもって完了したものとみなす。
  7. (vii) 別紙IIは、本出版者プライバシー規約の別紙Bに定めるセキュリティ対策により完了したものとみなす。

b. 制限付き譲渡がUK制限付き譲渡である場合、UK Addendumは当事者間で以下の通り適用される:

(i) 上記に定める通り作成されたEU SCCs(EU SCCs)は当事者間で適用され、UK Addendum(以下(ii)項に定める通り作成されたもの)により修正されるものとする;および

(ii) UK Addendumの表1から表3は、上記に定める通り記入されたEU SCCsからの関連情報により記入済みとみなされ、表4の「輸出者」および「輸入者」の選択肢はチェック済みとみなされる。UK Addendumの開始日(表1に定める通り)は、本パブリッシャープライバシー規約の発効日とする。

2.制限付き転送の継続:いずれの当事者も、相手方から受領した収集データについて、当該制限付き移転が適用されるデータ保護法および相手方と合意したStandard Contractual Clausesに準拠することを確保するために必要な一切の行為及び措置を講じた場合を除き、当該収集データの制限付き移転を行ってはならない。