地域情報

アジア太平洋経済協力会議（「APEC」)

APEC越境プライバシー・ルール（「CBPR」）システム：本個人情報保護方針に記載されているBox, Inc.のプライバシーの考え方は、APEC（アジア太平洋経済協力会議）の越境プライバシー・ルール（CBPR）システムを順守しています。APECのCBPRシステムは、APEC加盟国間で移転される個人データの保護を確保するための枠組みを企業に提供します。APECの枠組みに関する詳細はこちらをご覧ください：
https://www.commerce.gov/global-cross-border-privacy-rules-declaration

APECプロセッサー向けプライバシー識別（「PRP」）システム：本個人情報保護方針に記載されているBox, Inc.のプライバシーの考え方は、APEC PRPシステムを順守しています。APEC PRPシステムは、データ処理者に、データ管理者のプライバシー要件を効果的に実施するその能力を実証するための枠組みを提供します。APEC PRPの枠組みに関する詳細はこちらをご覧ください：http://mddb.apec.org/Documents/2015/ECSG/DPS2/15_ecsg_dps2_007.pdf.

欧州

顧客のプライバシーに関する権利を保護することが、Boxが提供するサービスの重要点です。Boxは以前から、欧州経済領域（EEA）外へのデータ転送に関して法的な仕組みと枠組みを合わせて一式として提供しています。

EU拘束的企業準則: Box, Inc.ならびにBoxのグループ企業は、EEAに拠点を置く主要なデータ保護監督機関へ転送することで同社のEU BCRを維持するよう努めています。BoxはECU BCRの承認を待つ間、欧州データ保護機関が認可し承認している現行のBCRに記載されている基本方針に引き続き従うことを約束し、欧州委員会のウェブサイトのリストに掲載される予定です。すべての顧客が利用できる基本契約条項（SCC）を作成し、欧州経済領域（EEA）から領域外にデータを転送する際は合法の転送方式をを保証しています。BoxのEU BCRは以下でご覧いただけます。

EU・米国間データプライバシーフレームワーク（EU米DPF）: 2023年7月11日、弊社は欧州委員会によるEU米DPFの十分性に関する決定を歓迎いたします。 DPFにより、対象となる米国企業がEU法に準拠して個人データの越境移転を円滑化することが可能になります。 Boxは、事業顧客の組織に代わって処理する個人データの移転について、EU米DPFに準拠しています。 Boxはまた、スイス米国DPFと呼ばれるスイスで採用される予定の類似のデータプライバシーフレームワークの認証も予定しています。 Box Inc.のデータプライバシーフレームワークについての詳細は、 Boxデータプライバシーフレームワーク方針をご覧ください。弊社の認証については、https://www.dataprivacyframework.gov をご覧ください。

イギリス

イギリス拘束的企業準則: 英EU通商協力協定は、欧州連合離脱（ブレグジット）に伴うイギリス（UK）の移行期間が2020年12月31日に終了することを示しました。 Box, Inc.ならびにその関連会社（以下、「Box」とする）は引き続き、適正なデータ保護に関する枠組みと転送方式を約束し、これに準拠してまいります。イギリスの個人情報保護監督機関（ICO）は、ICOウェブサイトに、イギリス拘束的企業準則（BCR：Binding Corporate Rules）のデータ処理者ならびに管理者として、Boxを掲載しています。 BoxのイギリスBCRは以下でご覧いただけます。

英国・米国間データプライバシーフレームワーク（英米DPF）: EU米DPFの認証に加え、BoxはEU米DPFの英国への拡張と呼ばれる英国で採用される予定の類似のデータプライバシーフレームワークに対する認証も予定しています。 Box Inc.のデータプライバシーフレームワークについての詳細は、 Boxデータプライバシーフレームワーク方針をご覧ください。弊社の認証については、https://www.dataprivacyframework.gov をご覧ください。

米国

カリフォルニア州

2018 年カリフォルニア州消費者プライバシー法修正版（以下「CCPA」）の要求に応じて、このカリフォルニア州の収集時通知（以下「CA 通知」）は、Box プライバシー通知に含まれる情報を補足します。この CA 通知では、Box, Inc.とその関連会社がカリフォルニア州居住者 (「消費者」または「お客様」) の個人情報を収集、使用、共有する方法と、CCPA に基づくお客様の権利を行使する方法について説明します。

範囲この CA 通知で個人情報と言う場合、お客様またはお客様の世帯を特定する情報、関連する情報、または合理的に関連付けられる可能性のある情報を意味します。

CCPA は、Box による個人情報の収集に適用される可能性のある特定の免除を規定しています。これらの免除には、公開されているお客様から収集された個人情報、またはお客様に関する個人情報が含まれます（カリフォルニア州民法 1798.140 に記載）。したがって、この CA 通知およびここに記載されているプライバシー権は、お客様またはお客様のすべての個人情報には適用されない場合があります。

Box への求職者、現従業員および元従業員、請負業者、またはその他の Box 従業員に関する情報については、Box 従業員のプライバシー通知または Box 志願者のプライバシー通知をご覧ください。

収集時の通知 弊社は、さまざまな目的でお客様の個人情報を収集する場合があります。たとえば、以下のカテゴリの個人情報を収集する場合があります。

連絡先情報 弊社がお客様から直接収集するこれには、お客様の名前、メールアドレス、電話番号が含まれる場合があります。
商用情報 お客様が購入、取得、または検討した Box の製品やサービスなどの情報。
インターネットおよびその他の関連ネットワーク活動 お客様の IP アドレス、セッションログ、 Box クッキー通知に従った弊社ウェブサイトやアプリケーションとのやり取り方法など。
地理位置情報データ IP アドレスなどのインターネットおよびネットワークアクティビティのサブセットが含まれる場合があります。
その他の個人情報 （1）ウェビナー、デモ、バーチャルカンファレンスに登録する際にお客様が弊社に提供する情報（2）弊社のホワイトペーパーやレポートをダウンロードする際にお客様が提供する情報（3）Box のコミュニティフォーラムに参加する際にお客様が提供する情報など（4 ）Box サポートポータルを通じて直接お問い合わせいただく際に提供する情報。

個人情報のソース 弊社が個人情報を収集するソースは、プライバシー通知の「情報の収集」セクションに記載されています。

個人情報の利用 弊社はお客様の個人情報を以下のビジネス目的で使用する場合があります。

Box サービスの提供、運用、維持、および改善。
サービス、機能、アンケート、ニュースレター、オファー、プロモーション、コンテスト、イベントについての連絡、Box および弊社の厳選されたパートナーに関するその他のニュースや情報の提供。
Box サービスをパーソナライズして改善し、お客様の興味や好みに合ったコンテンツ、機能、広告を提供したり、Box サービス上での体験をカスタマイズしたりすること。
Box プライバシー通知の「情報の使用」セクションに別途記載されているとおりです。

Box は、CCPA で許可されている目的以外の目的で機密の個人情報を使用または開示しません。

個人情報の「販売」または「共有」 弊社は第三者クッキーにより収集されたユーザーのデジタルアクティビティを使用して、弊社サービスの強化、カスタマイズ、向上、通知を行う場合があります。弊社は「ターゲット広告」の目的でこの情報を使用し、第三者と共有する場合もあります。この方法でデジタル活動を共有することは、CCPA に基づく個人情報の「販売」または「共有」とみなされる場合があります。クッキーの使用について詳しくは、クッキー通知をご覧ください。クッキーの設定を調整するには、こちらをクリックしてください。さらに、弊社は事業開発、および法的に許容される場合には販売およびマーケティングの目的で、限定的な連絡先詳細を第三者と共有する場合があります。

Box は、16 歳未満の消費者の個人情報を「販売」または「共有」することについて、実際に認識していません。

カリフォルニア州プライバシー権 お客様の要求が確認されることを条件として、お客様は Box がお客様に関して収集した特定の個人情報に関して、以下にリストされているプライバシー権を行使することができます。

Box がお客様に関してどのような個人情報を収集したかを知る権利。
お客様の個人情報を削除する権利。
お客様の個人情報を修正する権利。
機密性の高いお客様の個人情報の使用と開示を制限する権利。
お客様の個人情報の「販売」または「共有」をオプトアウトする権利。
お客様の権利を行使するための無差別の権利。

権利を行使する方法 カリフォルニア州プライバシー権を行使するには、privacy@box.com までご連絡ください。弊社はお客様の要求を速やかに確認し、(45)日以内に対応させていただきます。該当する期間を超えて追加の時間が合理的に必要な場合は、お客様に直接通知いたします。こちらのメールテンプレートを送信することで、個人情報の「販売」または「共有」をオプトアウトすることもできます。クッキーの設定を調整するには、こちらをクリックしてください。

CCPA の要求に従ってお客様の身元を確認できない場合、弊社はお客様の要求を処理しない権利を留保します。この決定が下された場合、弊社はその決定を、その決定に対して異議を申し立てるお客様の権利とともにお客様に通知します。 CCPA に定められているように、弊社は特定の権利要求に対して(12)か月の間に 2 回のみ応答する義務があります。お客様は権限のある代理人を使用してお客様に代わって要求を送信することができますが、弊社はお客様の代理人に、お客様に代わって行動するための適切な権限があることを確認するための情報の提供を求めたり、直接本人確認を依頼する場合があります。

お客様が権利のいずれかを行使することを選択した場合、Box はお客様が権利を行使したことを理由に、サービスを拒否したり、弊社のサービスに対して異なる価格やレートを提供したり、異なるレベルのサービスを提供したりすることはありません。

情報の事前収集、使用、共有 Box サービスの提供（ビジネス目的）に関連して、弊社はプライバシー通知および再処理者通知に記載されているとおり、お客様の個人情報を第三者およびその他の団体と共有する場合があります。

CCPA の要求に従って、弊社は収集した個人情報のカテゴリー、収集のビジネス目的、および個人情報を開示した第三者のカテゴリーを開示する義務があります。以下の表は、過去(12)か月間の弊社の取り組みをまとめたものです。

個人情報のカテゴリー	個人情報を収集する事業目的	個人情報開示の対象となる第三者のカテゴリー
連絡先情報弊社がお客様から直接収集するこれには、お客様の名前、メールアドレス、電話番号が含まれる場合があります。商用情報お客様が購入、取得、または検討した Box の製品やサービスなどの情報。インターネットおよびその他の関連ネットワーク活動お客様の IP アドレス、セッションログ、Box クッキー通知に従った弊社ウェブサイトやアプリケーションとのやり取り方法など。地理位置情報データ IP アドレスなどのインターネットおよびネットワークアクティビティのサブセットが含まれる場合があります。その他の個人情報（1）ウェビナー、デモ、バーチャルカンファレンスに登録する際にお客様が弊社に提供する情報（2）弊社のホワイトペーパーやレポートをダウンロードする際にお客様が提供する情報（3）Box のコミュニティフォーラムに参加する際にお客様が提供する情報など (4) Box サポートポータルを通じて直接お問い合わせいただく際に提供する情報。	Box サービスの提供、運営、維持、および改善。サービス、機能、アンケート、ニュースレター、オファー、プロモーション、コンテスト、イベントについての連絡、Box および弊社の厳選されたパートナーに関するその他のニュースや情報の提供。 Box サービスをパーソナライズして改善し、お客様の興味や好みに合ったコンテンツ、機能、広告を提供したり、Box サービス上での体験をカスタマイズしたりすること。 Box プライバシー通知の「情報の使用」セクションに別途記載されているとおりです。	サービスプロバイダーおよび請負業者再処理者通知に記載されているボックスの関連会社および子会社。 Box サービスを統合できるビジネスパートナー。

個人情報の保管 弊社はプライバシー通知の「情報の共有と開示」セクションに記載されているとおり、お客様の個人情報を保管します。

CA 通知の更新 こちらの CA 通知は随時更新される場合があります。変更が加えられた場合、ページ上部の「最終更新日」が更新されます。

お問い合わせ こちらの CA 通知に関してさらにご質問がある場合は、privacy@box.com までお問い合わせください。

米国オムニバス式プライバシー法一部の米国州のプライバシー法では、州住民に特定の開示を要求し、州住民に一定の権利を与えています。このセクションでは、Box, Inc.とその関連会社が米国 4 州居住者の個人データを収集、使用、共有する方法と、現在有効な米国各州のプライバシー法に基づいてお客様の権利を行使する方法について説明します。

このセクションに記載されている権利は、お住まいの州の適用法に準ずることにご注意ください。該当する場合、お客様の居住州のプライバシー法は Box によるお客様の個人データの収集に適用される特定の例外を規定する場合もあります。これには、弊社がお客様から収集した、またはお客様に関して一般公開されている個人データが含まれます。したがって、ここに記載されているプライバシー権はお客様またはお客様のすべての個人データに適用されるわけではありません。

弊社が収集する個人データとその使用方法 Box はお客様がサービスを使用するときに、識別子、商業情報、インターネットまたはその他の関連ネットワーク活動、IP アドレスに関連付けられた地理位置情報データ、およびその他の個人データを含む、特定のカテゴリーの個人データを収集します。 Box が収集する個人データとその使用方法の詳細については、プライバシー通知の「情報の収集」および「情報の使用」セクションに記載されています。

米国州のプライバシー法の目的のため、Box は法的または同様に重大な影響をもたらすプロファイリングや自動化された意思決定には関与しません。

個人データの共有 Box サービスの提供に関連して、弊社は Box プライバシー通知（「情報の共有と開示について」のセクションを参照）に記載されているとおり、サブプロセッサおよび Box の関連会社ならびに子会社が、顧客コンテンツにあるお客様の特定の情報または個人データを、Box サービスのサポートまたは改善の目的で処理、保管、またはその他の方法でアクセする場合があります。 Box のサブプロセッサについては、こちらの一覧をご覧ください。https://www.box.com/legal/subprocessors

ターゲット広告 Box はお客様から個人識別情報を自動的に収集する場合があります。これらの識別情報には、IP アドレス、デバイス識別子、広告 ID、およびブラウザまたはデバイスに関するその他の情報が含まれます。弊社はクッキーおよびその他の追跡技術を介してこの情報を収集し、弊社サービスの強化、カスタマイズ、向上、通知を行う場合があります。また、「ターゲット広告」の広告エコシステムで活動する第三者と共有する場合もあります。これについては、プライバシー通知とクッキー通知で詳しく説明されています。お住まいの州および適用される法律によっては、この方法でデジタルアクティビティを共有することも個人データの「販売」とみなされる場合があります。

プライバシー権 お住まいの州で適用される法律に準じ、次の権利があります。

弊社がお客様の個人データの処理を行ったかを確認し、その個人データへのアクセスを要求する。
お客様の個人データの不正確さの修正を要求する。
特定の例外を除き、お客様の個人データの削除を要求する。
お客様の個人データのコピーの取得を要求する。
ターゲット広告を目的とした個人データの処理のオプトアウトを要求する。
個人データの「販売」のオプトアウトを要求する。

法的または同様に重大な影響をもたらす決定を促進するためのプロファイリングをオプトアウトする。こちらのメールテンプレートを送信するか、こちらをクリックすることで、個人データおよびターゲット広告の「販売」をオプトアウトする権利を行使できます。上記のその他の権利を行使するには、要求または要求拒否への異議申し立てを privacy@box.com まで提出してください。

要求を処理するために、お客様の身元を確認する必要がある場合があります。お客様の身元を確認できない場合、弊社はお客様の要求を処理しない権利を留保します。弊社が要求に対する措置を講じることを拒否した場合、弊社はその決定に対して異議を申し立てる方法について提供します。弊社は適用法に従って要求に対応します。

お客様は権限のある代理人を使用してお客様に代わって要求を送信することができますが、弊社はお客様の代理人に、お客様に代わって行動するための適切な権限があることを確認するための情報の提供を求めたり、直接本人確認を依頼する場合があります。お客様が権利のいずれかを行使することを選択した場合、Box はお客様が権利を行使したことを理由に、サービスを拒否したり、弊社のサービスに対して異なる価格やレートを提供したり、異なるレベルのサービスを提供したりすることはありません。

通知の更新。米国州のプライバシー法の状況は発展されており、こちらのセクションは、適用法の必要に応じて随時更新される場合があります。