最終更新日:
Let’s Encryptのプライバシーポリシーでは、3つの異なる状況において、どのようにお客様の情報収集、使用、開示を行うかを説明しています。
- 信頼済み当事者として、Let’s Encryptの証明書を使用するHTTPSで保護されたウェブサイトにアクセスする場合、
- 加入者である場合、つまり、Let’s Encryptから証明書を要求して使用する場合、
- Let’s Encryptのウェブサイト、コミュニティディスカッションフォーラム、letsencrypt.orgの下にあるその他のウェブページ、およびLet’s Encryptがアカウントを運営するサードパーティのソーシャルメディアサイトの訪問者である場合。
Let’s Encryptは、カリフォルニア州(米国)の非営利公益法人であるインターネットセキュリティリサーチグループが提供するサービスです。
信頼済み当事者
Let’s Encrypt証明書を使用するHTTPSウェブサイトまたはその他のTLSサービスを使用する場合、ブラウザ(またはTLSクライアント)は、証明書が失効されていないかどうかを確認するためにLet’s Encryptに問い合わせる場合があります(「OCSPリクエスト」)。ブラウザがOCSPリクエストを行う場合、当社のサーバーは、一時的なサーバーログファイルにIPアドレス、ブラウザ、およびオペレーティングシステムを自動的に記録します。OCSPリクエストからのデータを使用して、プロファイルを作成したり、個人を特定したりすることはありません。一時的なサーバーログは運用目的のみに使用され、通常は7日以内に削除されます。ソフトウェアの障害や不正使用を調査するために、サーバーログの一部をより長く保持する場合があります。その場合、調査が完了したら、保存されているログをすべて削除します。また、どの証明書が最大の要求量を生成するかなど、サーバーログから集約情報を計算、保持、公開する場合もあります。そのようなデータセットには、識別可能なユーザーまたはデバイスの活動に関する情報が含まれていないように、常に努めます。
加入者
加入者である場合、インターネット上で到達可能な特定のドメイン名または名前を公開的に保証することを目的とした、Let’s Encryptからの信頼済み証明書を要求しています。その制御を証明するプロセスの一環として、Let’s Encryptは証明書の認証と管理に関連するさまざまな情報を収集します。その情報には、Let’s EncryptサービスにアクセスしたIPアドレス、要求されたドメイン名のすべての解決済みIPアドレス、検証リクエストに関連するサーバー情報、すべての着信HTTP/ACMEリクエストの完全なログ、すべての発信検証リクエスト、およびクライアントソフトウェアによって送信されたまたは推論された情報が含まれます。この情報は、信頼済みルートプログラムの要件に従って、最低7年間保存されます。この情報は最大10年間保存されます。
当社のサービスが期待通りに機能することを、証明書の信頼性に依存する人々を含め、一般の人々に示す必要があります。その結果、IPアドレスを含む情報を削除できない場合があります。この情報は、公開API、証明書透明性(CT)ログなどの公開リポジトリ、および/または公開ディスカッションなど、さまざまな方法で公開される場合があります。
アカウントサービスと復旧のために、メールアドレスなどの連絡先情報を提供するオプションがあります。お客様の連絡先は公開されず、「法執行機関と緊急事態」で説明する状況を除き、共有されることはありません。メールアドレスを提供することにより、お客様は、当社からサービス関連のメールを受信することに同意したことになります。メールの下部にある「購読解除」リンクをクリックするか、privacy@abetterinternet.orgまでお問い合わせいただくことで、いつでもサービス関連のメールの購読を解除できます。お客様の連絡先情報をマーケティングまたはプロモーション目的で使用することはありません。
Debian、Ubuntu、Red Hat、またはGithubなどによって運営されているリポジトリからクライアントソフトウェアをダウンロードする必要がある場合があります。そのようなソフトウェアリポジトリとのやり取りは、そのリポジトリ自身のプライバシーポリシーおよび/または利用規約によって管理されます。
訪問者
ISRGウェブサイトを閲覧する訪問者である場合、寄付を行うオプションがあります。寄付は、選択した支払い方法に応じて、DonorBox、Stripe、Shopify、PayPalなどの信頼できる支払いパートナーによって処理され、必要に応じてISRGのSalesforceデータベースとSage Intacctに保存されます。寄付を行う際に、お客様のお名前とメールアドレス、および提供された場合は郵送先住所を収集します。寄付後、寄付金の処理と管理(募金活動のリマインダーや更新を含む)のために、お客様の情報を使用します。DonorBox、Stripe、PayPal、Shopify、The Giving Block、Salesforce、Printful、Formstack、およびSage Intacctとのやり取りは、それぞれのプライバシーポリシーによって管理されます。寄付に関連するクレジットカード情報や銀行情報を収集または保持することはありません。
ISRGウェブサイトでのサインアップやその他のマーケティング資料を通じて、ISRGプロジェクトに関連するコミュニケーションを受信するために、メールアドレスを提供できます。Salesforceを介して配信される通信とSalesforceとのやり取りは、そのプライバシーポリシーによって管理されます。場合によっては、お客様のメールアドレスを使用して、ISRGとそのプロジェクトに関するパーソナライズされたコミュニケーションを送信することがあります。メールのフッターからオプトアウトするか、press@abetterinternet.orgまでメールを送信することで、メールアドレスの削除を要求できます。
ISRGコミュニティサポートフォーラムの使用を登録する場合、提供する個人情報とそのフォーラムでの行動は、フォーラムのホスティングおよびソフトウェアプロバイダーであるCivilized Discourse Construction Kitのプライバシーポリシーによって管理されます。このサポートフォーラムを提供することにより、個人情報を収集または維持することはありません。
お客様のデータまたは情報は販売しません
お客様のデータまたは情報は販売しません。これには、信頼済み当事者、加入者、および訪問者のデータと情報が含まれます。
サードパーティの分析ツールとメールマーケティングツールの使用
訪問者が当社のウェブサイトとメールをどのように利用しているかを理解し、募金活動とマーケティング戦略を改善するために、ISRGは随時、サードパーティのウェブとメールの分析ツール、具体的には当社のウェブサイトにはGoogle Analytics、マーケティングメールにはSalesforce Account Engagementを展開する場合があります。
- Google Analytics:このツールは、ページの閲覧、ページとサイトの閲覧時間、ナビゲーションパスなど、訪問者が当社のウェブサイトとどのようにやり取りしているかについてのデータを収集します。この情報を使用して、ウェブサイトのパフォーマンスとユーザーエンゲージメントを分析します。トラフィック分析の目的のために必要な限り、Google Analyticsによって収集されたデータを保持します。Google広告設定ページを使用して、ディスプレイ広告のGoogleアナリティクスのオプトアウトを行い、Googleディスプレイネットワーク広告をカスタマイズできます。さらに、Googleアナリティクスオプトアウトブラウザアドオンをダウンロードしてインストールすることにより、Googleアナリティクスがお客様のデータを収集するのを防ぐことができます。当社のサイトを使用する際にGoogleがどのようにデータを使用するかについては、Googleがサービスを使用するサイトまたはアプリからの情報の使用方法をご覧ください。
- Salesforce Account Engagement:マーケティングメールの場合、Salesforce Account Engagementは、メールの開封やクリックなど、受信者の活動を理解するのに役立ちます。このエンゲージメントデータを使用して、メールキャンペーンのパフォーマンスを評価し、オーディエンスの行動を理解します。Salesforce Account Engagementを使用している限り、エンゲージメントデータを保持します。メールに記載されている購読解除リンクを使用するか、press@abetterinternet.orgまで直接お問い合わせいただくことで、いつでも当社のマーケティングコミュニケーションをオプトアウトできます。
法執行機関からの要請と緊急事態
保有している範囲で、限定的な状況において、第三者にお客様に関する個人を特定できる情報を開示することがあります。そのような状況には、お客様の同意がある場合、または召喚状またはその他の司法または行政命令に従うなど、法律で義務付けられていると誠実に信じる場合が含まれます。また、生命の損失、人身傷害、財産の損害、または重大な財産上の損害を防ぐために必要であると誠実に信じる場合、アカウント復旧情報を開示する場合があります。
お客様が提出した情報を法律で開示する必要がある場合、(禁止されている場合、または無益である場合を除き)、お客様の情報に関する要求が行われたことを事前に通知し、開示に異議を申し立てる機会を与えるように努めます。合理的に可能なあらゆる手段でこの通知を行うように努めます。開示要求に異議を申し立てない場合、お客様の情報を引き渡すことが法律で義務付けられる可能性があります。
さらに、当社は、当社の製品やテクノロジーのユーザーに関する情報へのアクセスを要求する不適切であると信じる特定の要求(ユーザーに関する情報へのアクセス要求)に対して、当社独自の裁量で異議を申し立てる権利を留保します。
GDPRに基づき、欧州経済地域(EEA)の信頼済み当事者、加入者、および訪問者はどのような権利を有しており、どのように行使できますか?
このポリシーに記載されているとおり、個人データを処理しています。情報の処理の目的と法的根拠は以下のとおりです。
目的:証明書ステータス(OCSP)情報の提供
法的根拠:正当な利益
追加情報:証明書ステータス情報を確実に提供するために、信頼済み当事者から情報を収集および処理します。
目的:証明書の発行と管理サービスの提供
法的根拠:契約、正当な利益
追加情報:信頼性が高く安全な証明書発行および管理サービスを提供し、当社のサービスが期待通りに機能することを一般に示すため、加入者から情報を収集および処理します。
目的:訪問者への情報提供
法的根拠:同意、正当な利益
追加情報:Webおよびメールを介して信頼性が高く効率的な方法で情報を提供するため、訪問者から情報を収集および処理します。
目的:寄付とスポンサーシップに関する問い合わせの処理
法的根拠:正当な利益
追加情報:寄付を処理およびサポートするため、情報を収集および処理します。
目的:法的義務と緊急の状況
法的根拠:法的義務、正当な利益
追加情報:法的義務を遵守する場合、および生命の損失、人身傷害、財産損害、または重大な財政的損害を防ぐために必要であると善意で信じる場合、情報を収集および処理することがあります。
IPアドレスを含む情報を削除できない場合があります。この情報は、当社の証明書の信頼性を判断する際に、他者が信頼するために必要だからです。場合によっては、法的義務に基づいて、またはあなたの重要な利益または他人の利益を保護するために、個人データを処理することがあります。
あなたの個人データは、米国を含む、私たちと私たちのサービスプロバイダーがデータの保存または処理を行う管轄区域から収集または転送される場合があります。これらの管轄区域では、EEAを含むあなたの管轄区域と同じレベルのデータ保護が提供されない場合があります。私たちは、欧州委員会が承認した標準契約条項を使用するデータ処理契約を締結すること、または欧州委員会が承認したその他の保護措置を使用することにより、サービスプロバイダーがEEA居住者の個人データについて適切なレベルの保護を提供することを確保するための措置を講じています。EU圏外への個人情報の転送に使用されるメカニズムの詳細を入手する権利があります。下記の連絡先情報までメールでお問い合わせください。
欧州経済地域(EEA)に所在する個人は、個人情報に関して、当社のサイトおよびサービスの使用を通じて処理する個人データへのアクセス、修正、または削除を行う権利など、特定の権利を有します。EEAに拠点を置く信頼当事者、加入者、または訪問者である個人は、
- privacy@abetterinternet.org にメールを送信して、個人データレポートを要求できます。このレポートには、あなたに関する個人データが含まれており、構造化され、一般的に使用され、移植可能な形式で提供されます。情報を開示する前に、身元の確認のために追加情報を要求することがありますのでご注意ください。
- privacy@abetterinternet.org に連絡して、情報の修正または削除を要求できます。
- 情報の処理に異議を申し立てることができます。サービスメールの送信にあなたの情報を使用する場合など、情報の使用を停止するよう要求できます。「Let's Encrypt」メールに含まれる「登録解除」リンクをクリックすることで、サービスメールの受信に関する同意をいつでも取り消すことができます。
- 規制当局に苦情を申し立てることができます。EEAに拠点を置き、データ保護法を遵守していないと考えている場合は、現地の監督当局に苦情を申し立てる権利があります。
詳細情報、またはプライバシーに関する問題の報告については、privacy@abetterinternet.org にご連絡ください。