パブリッシャーのプライバシー規約

TABOOLA のパブリッシャーのプライバシー規約

発効日: 2024年10月10日

本Taboolaパブリッシャープライバシー規約(以下「パブリッシャープライバシー規約」)は、Taboolaとパブリッシャーとの間の契約(以下「本契約」といいます)に基づき、TaboolaがTaboola Newsroom、Header Bidding、Taboola Home Page 4 You、Taboola News、Taboola Pushなどのパブリッシャー製品およびサービスを含むがこれらに限定されないパブリッシャーのプロパティに広告主のコンテンツを掲載する場合など、Taboolaのデジタル広告サービスに適用されます。 また、本パブリッシャープライバシー規約は、かかる契約に組み込まれ、その不可欠な部分を形成するものとみなされるものとします。本パブリッシャープライバシー規約は、個人データに関するTaboolaおよびパブリッシャーの役割と責任を定めています。

1.優先順位。

パブリッシャー プライバシー規約と本契約の間に矛盾がある場合、本契約の矛盾する条項が本パブリッシャー プライバシー規約の矛盾する条項に明示的に言及し、それが競合する条項に優先することを明記しない限り、パブリッシャー プライバシー規約が優先されます。

2.定義。

本条で定義される用語は、以下に定める意味を持ち、同族語はそれに応じて解釈されるものとします。パブリッシャーのプライバシー規約で使用されているが定義されていない大文字の用語は、本契約で定義されている意味を持つものとします。

3. 3. 1. “適用されるデータ保護法」とは、本契約および本パブリッシャープライバシー規約の対象となる処理に適用される、適用されるすべての連邦法、州法、州法、またはその他のプライバシーおよびデータ保護法を意味し、随時修正または置き換えられる場合があります。
      2. “カリフォルニア州プライバシー法」とは、カリフォルニア州2018年カリフォルニア州消費者プライバシー法を意味します。民法第1798.100条以下(また、”CCPAの“)、改正(カリフォルニア州プライバシー権法を含む)、および下位の法律および施行規則。
      3. “コントローラ「」とは、(i)個人データの処理の目的と手段を決定する事業体、および(ii)適用されるデータ保護法で定義されている「管理者」または「ビジネス」(または実質的に類似する用語)という用語の範囲に該当する個人または団体を意味します。
      4. “データ主体」とは、(i)識別された、または識別可能な自然人(および、これらの目的のために、識別可能な自然人とは、特に名前、識別番号、位置データ、オンライン識別子などの識別子、または身体的、生理学的、遺伝的、および物理的、生理学的、遺伝的、 その自然人の精神的、経済的、文化的、または社会的アイデンティティ)、および(ii)データ保護法で定義されている「データ主体」、「消費者」(または実質的に類似する用語)という用語の範囲に該当する人。
      5. “EUデータ保護法」とは、(i)EU一般データ保護規則(規則2016/679)(「EU GDPR”);(ii) EUのe-Privacy指令(指令2002/58/EC)。(iii) (i) または (ii) に基づいて、またはそれに従って制定された国内データ保護法は、それぞれ随時修正または置き換えられる可能性があります。
      6. “個人データ「」とは、付録A、パートBに規定されているように、識別された、または識別可能な個人に関連するあらゆる情報(適用されるデータ保護法で義務付けられている場合、固有のブラウザまたはデバイス識別子を含むものとします)を意味します。
         1. “インタラクション個人データ」とは、消費者がTaboola、Taboolaの製品、Taboolaの財産、およびTaboolaが掲載する広告との意図的なやり取りの時点で、またはその後に消費者から収集された個人データを意味します。
         2. “受動的相互作用個人データ」とは、消費者がTaboola、Taboolaの製品、Taboolaのプロパティ、およびTaboolaが掲載する広告との意図的なやり取りの前または存在しない間に、Taboolaが収集したIPアドレス、ページURL、およびユーザーエージェント文字列を含むがこれらに限定されない、パブリッシャープロパティから受動的に収集された個人データを意味します。
      7. “過程「」とは、収集、受信、記録、整理、構造化、使用、送信、アクセス、共有、開示、転送、保存、適応または変更、検索、相談、普及、またはその他の方法で利用可能にする、調整または組み合わせ、集約、推論、導出、分析、 個人データの制限、消去、破壊、廃棄、またはその他の取り扱い(適用されるデータ保護法でそのような用語がどのように定義されているかを含む)。
      8. “プロセッサー「」とは、管理者に代わって個人データを処理する事業体を意味し、適用されるデータ保護法の下でそのような用語および/または「データ処理者」(または実質的に類似する用語)がどのように定義されているかを含みます。
      9. “制限付き転送」とは、(i) EU GDPRが適用される場合、欧州委員会による十分性判断の対象とならないEEA外の国への個人データの転送(「EUの制限付き転送“);(ii) 英国GDPRが適用される場合、英国から、2018年英国データ保護法第17A条に基づく十分性規制の対象とならない、または十分性規制に基づく他の国への個人データの転送(「英国の制限付き転送“).
      10. “サービス」 とは、パブリッシャーとの契約に基づいてTaboolaが提供するサービスを意味します。
      11. 「セキュリティインシデント「」とは、個人データの偶発的または違法な破壊、紛失、改ざん、不正な開示、またはアクセスにつながるセキュリティの侵害を意味します。
      12. 「標準契約条項」 (i) EU GDPRが適用される場合、欧州議会および理事会の規則(EU)2016/679に基づく第三国への個人データの転送に関する標準契約条項に関する2021年6月4日の欧州委員会の実施決定2021/914に付随する契約条項(「EU SCC”);(ii) 英国の GDPR が適用される場合、DPA 2018 の s.119A(1) に基づいて情報コミッショナーによって発行された「EU 委員会標準契約条項の国際データ転送補遺」(「英国補遺”).
      13. “第三者「」とは、個人データに関して管理者として機能する企業を意味し、個人データが処理されるデータ主体が意図的にやり取りした企業ではありません。この用語には、適用されるデータ保護法の下でそのような用語がどのように定義されているかが含まれます。
      14. “英国データ保護法」とは、(i)2018年英国データ保護法、(ii)英国GDPR(2018年英国データ保護法第3条(10)で定義)(「」英国のGDPR“)、(iii)英国プライバシーおよび電子通信(EC指令)規則2003)、および(iv)(i)、(ii)または(iii)に基づいて、または(iii)に従って制定されたその他の英国法(それぞれが随時修正または置き換えられる場合があります)。

3.目的の制限。

本サービスに関連して処理される個人データについては、各当事者は、収集した個人データを附属書AパートBに記載されている目的でのみ処理することに同意するものとします(「許可された目的“)、およびこれらのパブリッシャープライバシー規約、契約、および適用されるデータ保護法で許可されている場合、これらのそれぞれが随時更新される場合があります。Taboolaは、Taboolaプライバシーポリシーで許可されている範囲で、また随時更新される受動的相互作用個人データを処理する場合もあります。

4.当事者の関係。

各当事者は、該当する場合、管理者または第三者として収集した受動的相互作用個人データを処理するものとします。各当事者は、該当する場合、管理者または企業として収集したインタラクション個人データを処理するものとします。一方の当事者から他方の当事者への個人データの開示(直接的または他方当事者にデータを提供している当事者を介して)は、第三者への開示です。

1. 1. 1. 米国または米国の州のデータ保護法が個人データに適用される場合カリフォルニア州プライバシー法を含むがこれに限定されない、Taboolaが本サービスに関連して受動的インタラクション個人データを処理する範囲において、Taboolaは、かかる受動的インタラクション個人データについてパブリッシャーの第三者として行動します。Taboolaは、附属書A、パートBに記載された目的、および本パブリッシャープライバシー規約、本契約、適用されるデータ保護法、およびTaboolaのプライバシーポリシー(それぞれが随時更新される)で許可されている目的のために、かかる受動的インタラクション個人データを処理するものとします。このような受動的相互作用個人データは、そのような目的でのみTaboolaに提供されます。Taboolaは、該当する場合、カリフォルニア州のプライバシー法を含む、適用される米国のデータ保護法によって企業に要求されるのと同じレベルのプライバシー保護を提供します。パブリッシャーは、Taboolaがパブリッシャーの義務と一致する方法で受動的相互作用個人データを使用することを保証する権利を有します。パブリッシャーは、Taboolaに通知した場合、Taboolaに提供する個人データの不正使用を停止し、是正するために合理的かつ適切な措置を講じる権利を有します。Taboolaは、適用されるデータ保護法に基づく義務を果たすことができなくなったとTaboolaが判断した場合、適用されるデータ保護法で義務付けられている期間内にパブリッシャーに通知します。Taboolaが本サービスに関連してインタラクション個人データを収集する範囲において、Taboolaは別の事業として収集するものとします。

5.データ保護法の適用。

両当事者は、個人データを処理する場合があること、および適用されるデータ保護法が各当事者の個人データの処理に適用される場合があることを認めます。この場合、各当事者は、個人データの処理に関して適用されるデータ保護法を遵守するものとします。この場合、第7条に従い、各当事者は、(i)データ主体に透明性を提供する、(ii)処理の同意またはその他の法的根拠を得る、(iii)データ主体がデータ保護権を行使できる連絡先を利用できるようにするための適用要件を含む、適用されるデータ保護法の遵守について個別に責任を負うものとします。パブリッシャーは、Taboolaが適用データ保護法に基づく義務に従って要求を満たすことができるように、管理者としてのTaboolaの個人データの処理に関するデータ保護権の要求を受け取った場合、およびその範囲で、速やかにTaboolaに通知するものとします。

1. パブリッシャーは、Taboolaのサービスに関して受け取ったデータ主体の要求を次の連絡先に指示するものとします。 Taboolaのグローバルデータ主体アクセスリクエストポータル 又は 米国消費者権利オプトアウトポータル、該当する場合。

6.協力。

いずれかの当事者が問い合わせ、苦情、または通信を受け取った場合(「第三者への通知“)、本サービスに関連するデータ主体の個人データの処理に関して、個人、規制当局、またはその他の第三者から、相手方当事者に速やかに通知するものとし、両当事者は、当該第三者通知の要件に対処するために誠実かつ合理的に必要な場合に協力するものとします。

7.国際転送。

いずれかの当事者が他方当事者に対して個人データの制限付き移転を行う場合は、附属書Cの規定が適用されるものとします。

8.パブリッシャープロパティの訪問者の透明性。 

TaboolaがTaboolaコード、ピクセル、その他の追跡技術を使用してパブリッシャープロパティから個人データを収集する範囲で、パブリッシャーは、(i)許可された目的のためにパブリッシャープロパティから個人データを収集するためにTaboolaがTaboolaコードを使用することについて、データ主体に必要なすべての透明性通知を提供するものとし、(ii)Taboolaがいつでも取得する(および、Taboolaがいつでも要求した場合、 適切な証拠を提供する)データ主体は、いずれの場合も、適用されるデータ保護法の要件に従って、許可された目的でのTaboolaコードの使用に同意します。この点に関するパブリッシャーの義務には、Taboolaが当該プロパティを通じて合法的にサービスを提供し、許可された目的のために個人データを処理できるように、パブリッシャーがデータ主体に提供する透明性通知および同意プロンプト、および適用されるデータ保護法で要求されるその他の情報の中で、Taboolaを特定し、許可された目的のためのTaboolaコードを使用することが含まれます。書面による要請があった場合、Taboolaは、パブリッシャーの通知および同意メカニズムが適用されるデータ保護法に準拠することを保証するために、パブリッシャーがパブリッシャーのパブリッシャーのプロパティを通じてTaboolaコードおよびTaboolaによる個人データの処理について合理的に要求する可能性のある情報をパブリッシャーに提供するものとします。パブリッシャーは、以下に特に同意します。

1. パブリッシャーのプライバシーポリシーは、ウェブベースのプロパティに関して、第三者(すなわちTaboola)によるインタレストベースの広告および分析(プロパティ内外)のためのクッキー、一意の識別子、および非クッキー技術の使用について説明するものとし、http://www.networkadvertising.org のNAIの業界オプトアウトページ、http://www.aboutads.info のDAAの業界オプトアウトページ、または(ヨーロッパのウェブベースのメディアおよびデータ収集に関して)EDAAのオプトアウトへのリンクを提供するものとします適用されるデータ保護法の要件を満たす方法で、http://www.youronlinechoices.eu でリンクする。そして
2. モバイルアプリベースのプロパティに関しては、パブリッシャーのプライバシーポリシーは、モバイルアプリでのSDKの使用、およびインタレストベースまたはクロスアプリの広告および分析(プロパティ内外)のためのモバイル広告識別子の収集について説明するものとします。また、ユーザーと訪問者がデバイス設定を通じてクロスアプリ広告用のモバイルデータの収集をオプトアウトする方法の説明を提供します。
3. パブリッシャーは、EUに面したプロパティについて、訪問者のデバイスにTaboolaのクッキーまたはその他の一意の識別子を配置またはアクセスすることに関して、EUプライバシー法に従って、訪問者の自由に与えられた、具体的、情報に基づいた、明確な同意を得ることを保証するものとします。パブリッシャーは、訪問者がデータ保護権(サービスに関連して処理される個人データに関連するものを含む)を行使するためにパブリッシャーに連絡できるように、連絡先の詳細(プライバシーポリシーを通じてこれらの詳細を利用できるようにする場合があります)を提供するものとします。上記の義務は、パブリッシャープロパティが、サービスに関する同意メカニズムを必要とする法域で訪問者を引き付ける場合に適用されます。

9.法的アドバイスではありません。

期間中、Taboolaは、推奨されるプライバシーポリシーまたは開示文言をパブリッシャーに提供する場合があります。パブリッシャーは、法的アドバイスとして、または法的アドバイスの代わりに、そのような推奨文言に依存しないこと、およびパブリッシャーまたは会社自体が、そのプライバシーポリシーまたはウェブサイトでの開示について単独で責任を負うことを認めます。

10.収集されるデータ。

パブリッシャーは、特別なカテゴリーの個人データ、機密性の高い個人情報、または機密データ(適用されるデータ保護法で定義されている)を収集し、または処理のためにTaboolaに開示するように本サービスを提供または構成しないものとします。さらに、パブリッシャーは、Taboolaが利用できるページURLに動画タイトル情報が含まれていないことを確認するものとします。Taboolaは、パブリッシャーが本項に従わなかった場合、当該不履行が是正されない限り、またその不履行が是正されるまで、本サービスを一時停止する権利を留保します。

11.安全。

各当事者は、セキュリティインシデントから訪問者の個人データを保護するために、適切な技術的および組織的なセキュリティ対策を実施するものとします。これらの措置には、附属書Bに定める措置が含まれるものとします。

12.セキュリティインシデント。

いずれかの当事者が、本契約および本パブリッシャープライバシー規約の対象となる個人データに関してセキュリティインシデントに見舞われた場合、その当事者は、(i)適用されるデータ保護法に基づいて適用されるデータ保護当局および/または影響を受けるデータ主体に対する報告義務を(自己の費用で)履行する責任を負うものとします。 (ii) 相手方当事者に、相手方当事者から合理的に要求される可能性のある情報、または他方当事者がセキュリティインシデントに関して適用されるデータ保護法に基づく報告義務を負う可能性があるかどうかを判断するために必要とされるような情報を、不当な遅滞なく相手方当事者に通知し、(iii) かかるすべての行動および措置を講じる。 セキュリティインシデントの影響を修復および/または軽減するために適切な場合、不当な遅延なく。

13.DPIAです。

各当事者が適用されるデータ保護法で義務付けられている場合、およびその範囲で、各当事者は、許可された目的のための個人データの処理に関してデータ保護影響評価を実施し、必要に応じて該当するデータ保護当局に相談するものとします。各当事者は、他方当事者が本条に基づく他方当事者の義務に従ってデータ保護影響評価を完了し、および/または該当するデータ保護当局と協議できるようにするために必要な場合、他方当事者が合理的に要求するすべての合理的な協力および情報を提供するものとします。

付録A

処理の説明

A.当事者リスト

各当事者は、次のとおりとする。

• 相手方当事者に開示または利用可能にする収集データのデータ管理者(およびデータ輸出者)、および
• 相手方当事者から受け取る、または他方当事者によってアクセス可能になる収集データのデータ管理者(およびデータ輸入者)。

各パーティーの詳細は以下に記載されています。

名前： 本契約に記載されている広告主の詳細をご覧ください。

住所： 本契約に記載されている広告主の詳細をご覧ください。

担当者の名前、役職、連絡先の詳細: 本契約に記載されている広告主の詳細、または当事者間で書面で合意された広告主の詳細をご覧ください。

本条項に基づいて転送されるデータに関連する活動: 本契約に定められた本サービスの受領。

署名と日付: この附属書Aは、広告主がこれらの広告主プライバシー規約に同意した時点で実行されたものとみなされます。

役割 (コントローラー/プロセッサ): コントローラー (データ エクスポーター) とコントローラー (データ インポーター)

 

名前： 本契約の序文に記載されているTaboolaの詳細をご覧ください。

住所： 本契約の序文に記載されているTaboolaの詳細をご覧ください。

担当者の名前、役職、連絡先の詳細: Taboola のプライバシー チーム、privacy@taboola.com。

本条項に基づいて転送されるデータに関連する活動: 本契約に定められた本サービスの提供。

署名と日付: 本附属書Aは、Taboolaが本広告主プライバシー規約に同意した時点で締結されたものとみなされるものとします。

役割 (コントローラー/プロセッサ): コントローラー (データ エクスポーター) とコントローラー (データ インポーター)

 

B. 処理と転送の説明 

個人データが処理および/または転送されるデータ主体のカテゴリ: ユーザー

処理および/または転送される個人データのカテゴリー:

デバイスデータ: オペレーティングシステム、ブラウザの種類、ブラウザのバージョン、収集のIPアドレス(30日以内に切り捨てられる)、郵便番号(IPアドレスから派生)、ハッシュ化されたTaboolaユーザーID、ハッシュ化された電子メール、広告主のウェブサイトでの最初およびその後のページ訪問、ユーザーの性別(興味から推測)、エンゲージメントシグナル(サイト滞在時間、スクロール深度、セッション深度)、コンバージョンデータ。

ユーザーが訪問したデジタル資産に関するデータ: 訪問したページ、参照元の Web サイトの URL

転送される機密データ(該当する場合)およびデータの性質とそれに伴うリスクを十分に考慮した制限または保護措置(たとえば、厳格な目的制限、アクセス制限(専門トレーニングを受けたスタッフのみのアクセスを含む)、データへのアクセス記録の保持、転送の制限、または追加のセキュリティ対策など: 該当なし。

処理および/または転送の頻度(例:データが1回限りまたは継続的に処理および/または転送されるかどうか): 契約期間中継続します。

処理の性質: 本契約に定められた、本サービスの提供に必要な個人データの処理。

データ処理/転送およびさらなる処理の目的: 本契約に定められた本サービスの提供。疑義を避けるために付言すると、許可された目的には、(i) デバイス上の情報の保存および/またはアクセスが含まれます。(ii) 基本的な広告を選択する。(iii) パーソナライズされた広告プロファイルの作成。(iv) パーソナライズされた広告を選択する。(v) パーソナライズされたコンテンツプロファイルを作成する。(vi) パーソナライズされたコンテンツを選択する。(vii) 広告のパフォーマンスを測定する。(viii) コンテンツのパフォーマンスを測定する。(ix) 製品の開発と改善。(x) セキュリティの確保、詐欺の防止、およびデバッグ。(xi) 広告またはコンテンツを技術的に配信する。(xii) オフラインデータソースの照合と結合。(xiii) 異なるデバイスをリンクする。(xiv) 識別のために自動的に送信されたデバイス特性を受信し、使用すること。(xv) 限られたデータを使用してコンテンツを選択し、(xvi) 統計を通じて視聴者を理解する。

個人データの保持期間、またはそれが不可能な場合は、その期間を決定するために使用される基準:

• タブーラ:生データは最大 13 か月間保存されます。
• 広告 主:本サービスを受けるために必要な期間、または本契約に別段の定めがある場合。

(サブ)処理者への転送については、処理の主題、性質、期間も指定してください。 該当なし。

 

C. 所轄監督官庁

EU GDPRが適用される管轄の監督当局: 各当事者の管轄監督当局は、以下のとおりです。

• タブーラ:管轄の監督当局は、EU SCCの第13条に従って決定されるものとします。
• 広告 主:管轄の監督当局は、EU SCCの第13条に従って決定されるものとします。

英国のGDPRが適用される管轄の監督当局: 情報コミッショナーオフィス

付録B

セキュリティ対策

処理の性質、範囲、文脈、目的、および自然人の権利と自由に対するリスクを考慮して、適切なレベルのセキュリティを確保するために各当事者が実施する技術的および組織的措置(関連する認証を含む)の説明。

個人データの仮名化と暗号化の対策: Taboolaは仮名化されたデータのみを収集しますが、これは、ユーザーの名前、電子メールアドレス、またはその他の識別可能なデータを知らない、または処理していないため、お客様が誰であるかを知らないことを意味します。当社が収集するユーザー情報には、ユーザーのデバイスおよびオペレーティングシステムに関する情報、IPアドレス、ユーザーがお客様のWebサイト内でアクセスしたWebページ、ユーザーをお客様のWebサイトに誘導したリンク、ユーザーがお客様のWebサイトにアクセスした日時、およびその他のWeb閲覧データが含まれますが、これらに限定されません。CookieIDはBcryptを使用して匿名化され、IPアドレスは切り捨てられます。

処理システムおよびサービスの継続的な機密性、完全性、可用性、および回復力を確保するための対策: Taboolaは、複数のレベルの電子セキュリティ(例:エンドポイントセキュリティ、サーバーサイドセキュリティ、検出追跡、定期的な侵入テスト、事後イベントをレビューするための詳細なインテリジェンス収集)を使用しています。

物理的または技術的なインシデントが発生した場合に、個人データの可用性とアクセスをタイムリーに回復する能力を確保するための措置: Taboolaは、世界中で9つのデータセンターを運営しています。すべてのデータセンターは相互の複製として使用されるため、1つが倒れた場合、他のデータセンターからデータを抽出できます。

処理のセキュリティを確保するために、技術的および組織的対策の有効性を定期的にテスト、評価、評価するプロセス: Taboolaは、その管理(技術的および組織的の両方)の有効性をテストするための厳格なプロセスを維持しています。システムのログ記録と監視、毎月 (少なくとも) DR テスト、四半期ごとの侵入テスト、Web を保護するファイアウォール、悪意のあるアクティビティを検出するためのネットワーク全体に広がるハニーポットを導入しています。さらに、ネットワークを常に監視するのに役立つ報奨金プログラムを導入しています。

ユーザーの識別と承認のための措置: Taboolaのすべてのユーザーは、専用のユーザー名とパスワードに関連付けられています。Taboolaの内部ネットワークへのすべてのアクセスは、Google認証を使用した2FAで行われます。ユーザーは、オンボーディングプロセス中に、人事部門からすべての詳細と署名された契約を受け取った後にのみ、IT部門によってのみ作成されます。

送信中のデータ保護対策: Taboolaは、安全な伝送プロトコル(少なくともHTTPSおよびTLS v1.2)を介したあらゆるデータ送信をサポートしています。さらに、PIIを含む可能性のあるシステムは保護され、データはハッシュ化され、匿名化されます。

保存中のデータ保護のための対策: 当社のデータベースに保存されているデータは、Bcryptを使用して匿名化され、ハッシュ化されます。DBへのアクセスは最小限に抑えられ、「ビジネス上の知る必要がある」という原則に従って行われます。

個人データが処理される場所の物理的なセキュリティを確保するための措置: Taboolaのグローバルデータセンター(米国、ヨーロッパ、アジア)の各サーバーは、Taboolaの使用専用に維持されている施錠されたキャビネットにすべてのサーバーが配置されています。これらのキャビネットは、SOC2 認証を取得しているか、Taboola がセキュリティ対策を見直した企業によって維持されています。さらに、サーバーへのアクセスには、書面によるログに記録された許可が必要です。タブーラのオフィスもすべて管理されており、従業員はアクセスカードを使用して立ち入る必要があります。さらに、Taboolaのサーバーにアクセスできる従業員は限られており、アクセスには書面によるログに記録された許可も必要です。

イベントログを確実にするための対策: Taboolaは監視ツールを実装し、ログはSIEMシステムに収集され、不審なイベントがあれば警告し、NOCチームによって監視されます。

デフォルト構成を含むシステム構成を確保するための対策: サーバーは、構成のドリフトとパッチ レベルの両方についてスキャンされます。レポートやアラートは両方に設定され、関連するパッチレベルが確認されます。新しいパッチは Puppet を使用して配布されます。すべての技術レビューはR&Dアプリケーションを通じて管理され、コーディングとCI/CDプロセスも実装された後、正式なレビュープロセス(QA)を通じて取得されます。

社内のITおよびITセキュリティのガバナンスと管理のための措置: TaboolaはISO 27001:2013および27701の認証を取得しています。Taboolaは、Taboolaの取締役会と経営陣が、組織全体のすべての物理的および電子的情報資産の機密性、完全性、可用性を維持することに尽力することを述べる情報セキュリティポリシーを策定しています。Taboolaは、全新入社員を対象としたセキュリティ研修、グローバル全社員を対象としたフィッシング研修、全社員を対象とした定期的なセキュリティ研修を開催し、研究開発グループ向けのセッションも開催しています。

プロセスおよび製品の認証/保証のための措置: Taboolaが定義されたセキュリティ目標と対策に準拠していることを検証するために、複数のプロセスとシステムに対する四半期/半期/年次内部監査。

データを最小限に抑えるための対策: Taboolaは、当社の特定のビジネス目的に必要な限られたデータのみを処理するというTaboolaのグローバルデータ最小化原則の一環として、収集するデータを意図的に制限しています。さらに、Taboolaには、サービスを提供するために、当社のアルゴリズムで使用されるデータポイントを「リバースエンジニアリング」する能力も、ビジネス上の必要性もありません。具体的には、Taboolaが収集するデータポイントは、ユーザーの名前、電話番号、電子メール、住所などの情報を収集または処理しないため、ユーザーの身元を示すものではありません。代わりに、Taboola は、ユーザーのデバイスに関する特性を識別するだけの仮名識別子のみを収集します。これには、IP アドレス (収集時に切り捨てられ、デバイスの一般的な郵便番号の位置のみを識別できますが、正確な地理位置情報は識別できません) と、限られたケースでは、ハッシュ化された電子メール アドレス (本質的に元に戻すことができず、元の電子メール アドレスを明らかにするために復号化することはできません) が含まれます。また、まとめて利用した場合でも、当社が収集したデータから個人の名前、電話番号、メールアドレス、住所などが判明することはなく、当社のエンジニアは、この目的を達成するために一切の努力を行っておりません。さらに、Taboolaは、当社のサービス、プロセス、およびポリシーのプライバシーリスクを最小限に抑えるために、プライバシー影響評価を作成および記録します。

データ品質を確保するための対策: データはユーザーから直接収集され、ユーザーはTaboolaサブジェクトアクセスリクエストポータルを介してCookieIDに関連するデータを修正する機会が与えられます:https://accessrequest.taboola.com/access

限定的なデータ保持を確保するための対策: 当社は、広告配信の目的で直接収集されたユーザー情報を、ユーザーが当社のサービスと最後にやり取りした時点から最大13か月間(多くの場合、より短い期間)保持し、その後、一意の識別子を削除するか、データを集約することにより、データを匿名化します。このプロセスは自動的に行われます。

説明責任を確保するための措置: Taboolaは複数のセキュリティ監査と侵入テストを行います(ただし、すべてのシステムに対しては限りません)。Taboolaはまた、サーバーの物理的な保護を維持するために、ISO認定を受け、他のクラウド関連認証に準拠したクラウドプロバイダーを使用しています。

データポータビリティを可能にし、消去を確実にするための対策: メディアの廃棄に関連するタブーラは、PIIが含まれている可能性があるため、すべての種類のメディアで同じです。メディアは、再利用または廃棄する前に完全に拭き取る必要があります。メディアの廃棄は文書化されます。従業員には、個人情報を含む可能性のある紙を印刷しないように指示されています。

附属書C

制限付き転送

1. 一方の当事者が他方当事者に収集データの制限付き転送を行う範囲で、標準契約条項は本パブリッシャープライバシー規約に組み込まれ、次のように適用されるものとします。

a. 制限付き転送がEU制限付き転送である場合、EU SCCは次のように当事者間で適用されます。

1. (i) モジュール1が適用されます。
2. (ii) 第 7 条では、オプションのドッキング条項が適用されます。
3. (iv) 第 11 条では、オプションの言語は適用されません。
4. (v) 第17条では、オプション1が適用され、EU SCCはアイルランドの法律に準拠します。
5. (vi) 第 18 条 (b) において、紛争はアイルランドの裁判所で解決されるものとします。
6. (vii) 附属書 I のパート A、B、C は、本パブリッシャー プライバシー規約の附属書 A のパート A、B、C に記載された情報で完了したものとみなされます。そして
7. (vii) 附属書 II は、本パブリッシャー プライバシー規約の附属書 B に定められたセキュリティ対策が完了したものとみなされます。

b. 制限付き転送が英国の制限付き転送である場合、英国補遺は次のように当事者間に適用されます。

(i) 上記に記載されているように完成したEU SCCは、当事者間で適用され、英国補遺(以下のサブ条項(ii)に記載されているように完成)によって修正されるものとします。そして

(ii) 英国補遺の表1から表3は、上記のとおりに記入されたEU SCCからの関連情報で記入されたものとみなされ、「輸出者」および「輸入者」という選択肢は表4でチェックされているものとみなされる。英国補遺の開始日(表 1 に記載)は、本パブリッシャー プライバシー規約の発効日とします。

2.今後の制限付き転送:いずれの当事者も、相手方当事者から受け取った収集データの制限付き転送が適用されるデータ保護法および他方当事者と合意した標準契約条項に準拠していることを確認するために必要なすべての行為および事柄を行わない限り、他方当事者から受け取った収集データの制限付き転送を行わないものとします。