法務・コンプライアンス
私たちの専門チームは、お客様が必要とするヘルプと答えを提供します。
Lookout for Work アプリケーションの プライバシーに関する通知
発効日:2023 年 9 月 22 日
初版発行日:2016 年 10 月 24 日
Lookout for Work アプリケーションのプライバシーに関する通知
Lookout, Inc. (以下、「Lookout」または「当社」) は、お客様のプライバシーはお客様のセキュリティと同じく大切なものであるという信念のもと、お客様の端末および雇用主のセキュリティの保護を目的として収集するお客様のデータに関して、透明性を保ちたいと思っています。そのため、Lookout for Work アプリケーション (以下、「本サービス」) に関連した当社の情報取扱を説明する、このプライバシー通知 (以下、「本通知」) をお客様に提供します。本通知は、お客様がモバイル端末に本サービスをインストールして有効化する際に、お客様から、またお客様について収集されるデータに適用されます。本サービスをダウンロードし有効化することにより、お客様は、本通知に記載されているデータの収集、使用、開示、および保存の慣行に同意することになります。本サービスの利用以外の方法で Lookout がお客様から収集する情報には、プライバシーに関する別の通知が適用されます。
お客様は、(1) 全社員または一部の社員に本サービスのインストールを求める、あるいは (2) 全社員または一部の社員に本サービスを含むモバイル端末管理スイートのインストールを求める企業に雇用された結果、本サービスのダウンロードとインストールを行うよう指示を受けているかもしれません。本通知は、ここに別途明示的に述べられていない限り、本サービスに関する情報取扱にのみ適用されることをご理解ください。お客様の雇用主 (以下、「雇用主」) またはモバイル端末管理プロバイダー (以下、「MDM プロバイダー」) によるデータの収集、使用、開示、およびセキュリティに関する慣行や、Lookout が雇用主に代わって収集するデータについて、ご質問やご要望がある場合は、これらの関係者宛にお問い合わせください。
Lookout は、法律の変更、当社のデータ収集と使用慣行、本サービスの機能、または技術の進歩を反映させるため、本通知を随時変更する権利を留保しています。本通知に重大な変更を加えた場合は、お客様に通知するよう努めます。本通知に含まれる情報に異議がある場合は、本サービスの使用を中止してください。
本通知は、本サービスに関する一般的な質問にお答えする形で構成されています。
1. Lookout for Work アプリケーションとは何ですか?
Lookout for Work アプリケーションは、モバイル端末と企業をさまざまな脅威や企業ポリシーのコンプライアンス違反から保護する、モバイル セキュリティ ソリューションです。1 億を超えるセンサーが配置されたグローバル センサー ネットワークを活用する Lookout は、マシン インテリジェンスを駆使して予測的セキュリティを提供します。人手による分析では見逃されてしまうリスク パターンを示す複雑なパターンを特定できます。脅威が検知されると、Lookout から従業員と管理者に修復方法のオプション (アプリのアンインストール、条件付きアクセスのトリガーなど) が示されます。
2. Lookout は、モバイル端末からどのようなデータを収集しますか?
お客様のモバイル端末と雇用主を脅威から保護するために、Lookout はお客様の端末から特定のカテゴリーのデータを収集します。次のようなデータが収集される可能性があります。
- 分析データ: モバイル端末における製品のパフォーマンスを分析するために使用される
- アプリケーション データ: モバイル端末にインストールされているすべてのアプリケーションのメタデータなど (アプリの名前やバージョンなどが含まれるが、それらに限定されない)。特定の状況では、アプリケーションのコピーを収集することもある。
- 構成データ: モバイル端末がルート アクセスを許可するように設定されているかどうかや、モバイル端末のハードウェアの制限が解除されているかどうかなど
- 端末データ: モバイル端末や、モバイル端末の MDM 識別名など
- ファームウェア/OS のデータ: モバイル端末の製造元と機種、モバイル端末の特定の技術的設定 (モバイル端末の画面サイズやファームウェア バージョンなど)、モバイル端末のオペレーティング システムの種類とバージョンなど
- 識別データ: 雇用主が本サービスのプライバシー管理機能を使用しない場合、必要に応じてお客様の仕事用メール アドレスなどが収集される
- ネットワーク データ: モバイル端末の接続先ネットワークに関するメタデータ (ネットワークの SSID やネットワーク機器に固有の MAC/BSSID アドレスなどが含まれるが、それらに限定されない) や、IP アドレス (国と位置情報を示す) など
- ウェブ コンテンツ データ: 悪意のあるコンテンツや追加の分析が必要なコンテンツの URL やドメインなど
当社が本サービスを提供するには、特定の種類の情報が必要になることをご理解ください。お客様がそうした情報を提供しない場合、または削除することを求める場合、本サービスにアクセスできなくなります。
3. Lookout は私のメールを確認したり、写真を見たりしますか?
いいえ。Lookout は、お客様のモバイル端末上のアプリケーションに関するメタデータやアプリケーション自体のデータを収集します。お客様がそれらのアプリケーションに入力したユーザー データは収集しません。Lookout は、お客様がモバイル端末上のアプリケーションに入力するユーザー データを収集しないため、お客様のメールや SMS メッセージの収集、読み取り、閲覧、スキャンを行うことはありません。Lookout は、お客様の写真や動画を収集することはありませんが、写真や動画ファイル内に潜む特定の脅威からお客様を保護するために、モバイル端末上でローカルにそれらのファイルをスキャンすることがあります。
4. Lookout はモバイル端末以外の場所にある、所有者に関するその他のデータを収集しますか?
本サービスを有効化するため、お客様の雇用主が Lookout にお客様のメール アドレスを提供する場合があります。本サービスが MDM ソリューションと統合され、プライバシー管理機能がオンになっている場合、Lookout がお客様のメール アドレスを収集することはありません。ただし Lookout は、MDM を通じてお客様のメール アドレスにアクセスする場合があります。
お客様が MDM プロバイダー製品の一部として本サービスをインストールした場合、Lookout は該当する MDM プロバイダーからお客様に関する情報 (メール アドレスなど) を収集したり、これらの情報にアクセスしたりすることがあります。プロバイダーのプライバシー慣行については、該当する MDM プロバイダーにお問い合わせください。
Lookout は、お客様が直接当社に連絡して自らの意思によって開示した情報も収集することがあります。
5. Lookout は、どのタイミングでモバイル端末からデータを収集しますか?
お客様が本サービスをダウンロードしてインストールし、有効にすると、Lookout はすぐにモバイル端末からデータの収集を開始し、脅威がないこと、および企業ポリシーに準拠していることを確認します。お客様がモバイル端末上にアプリケーションをインストールする、またはアプリケーションにアクセスするとき、当社は潜在的なセキュリティの脅威がないかを確認するためそれらのアプリケーションをスキャンします。
6. Lookout は、モバイル端末から収集したデータをどのように使用しますか?
収集したデータは、さまざまな事業および商業目的で使用されます。たとえば、お客様のモバイル端末から収集したデータを使用することにより、お客様や雇用主への脅威を検知したり、本サービスやその他の提供製品を改善したりすることが可能になります。お客様のモバイル端末から収集したデータと、サードパーティから収集したデータを組み合わせて、本サービスの改善のために活用する場合もあります。このデータは匿名化されます。解析結果を公開する場合、匿名化した上で集計結果を公開し、お客様と雇用主のプライバシーを保護します。当社によるお客様の情報の使用方法は、以下のようにデータの種類によって異なります。
- アプリケーション データ。本サービスを提供するためにこのデータを使用します。アプリケーション ファイルのスキャンを行い、悪意のある動作をしているアプリケーションがないかどうかを判断します。モバイル端末上のアプリケーションの分析で、これまで分析したことのないアプリケーションに遭遇した場合、そのアプリケーションの一部またはすべてのコピーをダウンロードし、雇用主が行った本サービスの構成に応じて、分析し、リスクを引き起こすかどうかを判断することがあります。第 3 項にあるとおり、アプリケーションのコピーをダウンロードする際にアプリケーションに入力されたユーザー データは収集しません。
- 構成データ。端末の構成データを分析して、端末に変更が加えられていないか、不正アクセスされていないか、安全でない設定になっていないかを判断します (感染、ルート化、ジェイルブレイク、パスコード未設定など)。
- 端末データ。端末または MDM 識別名を使用して、お客様の端末をサードパーティのシステム (モバイル端末管理ソリューションなど) の端末と同期させ、お客様の端末が脅威に遭遇したかどうかを当該システムに報告します。
- ファームウェア/OS に関するデータ。Lookout はこの情報を使用して、不正アクセスされたファームウェアや OS を特定し、端末でセキュリティ更新プログラムが利用できる場合にはお客様に通知します。
- 識別データ。任意で、お客様の仕事用メール アドレスを収集し、お客様に発生した脅威についてコンテキスト情報と共に雇用主に通知します。同意なしにメールをお客様に送信することはありません。
- ネットワーク データ。攻撃者は、Wi-Fi などのインターネット接続を使用してデータを盗むことがあります。これは、中間者攻撃 (MitM) と呼ばれています。当社はこうした攻撃の特定のため、SSID を使用することがあります。Lookout では、お客様の国と地域を知るために IP アドレスを使用する場合がありますが、ユーザーの端末の位置 (GPS) データの読み取り、保存、または移転を行うことはありません。当社はデータを匿名化して情報を集計し、地域ごとのアプリケーションの流行を生み出し、モバイル脅威分析を実施します。この情報は、データ プライバシーを確保するために匿名化されます。
- ウェブ コンテンツ データ。Lookout はセーフ ブラウジング機能 (悪意のあるウェブサイトやフィッシング ウェブサイトへのアクセスをブロックする) の一部として、VPN インターフェイスを使用してお客様の端末上のトラフィックを分析し、脅威を特定します。トラフィックのコンテンツと履歴は、雇用主には共有されません。脅威が発生した場合にのみ雇用主に通知されます。
一般データ保護規則に従い、本通知で定められているお客様の情報の使用に関する法的な根拠は、お客様と雇用主との関係、および雇用主の使用ケースに応じて異なり、以下の根拠が含まれます。(a) お客様の個人情報の使用が、お客様との契約に基づく当社の義務を履行するために必要である (たとえば、雇用主による雇用契約の履行や、Lookout によるサービス規約 [当社のアプリをダウンロードまたは使用することによりお客様が承諾するもの] の遵守)、あるいは (b) 契約の履行のためにお客様の情報を使用する必要はないが、当社の正当な利益または雇用主などの正当な利益のためにそうした情報を使用する必要がある (たとえば、本サービスのセキュリティの確保、本サービスの運用、当社および雇用主の社員などの安全な環境の確保、支払いの授受、不正の防止、当社が本サービスを提供している顧客について知ることなど)。加えて、法的要件 (適切なデータ セキュリティを義務付けるものなど) の遵守。
7. Lookout はデータを他者と共有しますか?
企業向け製品であるため、お客様の雇用主、または雇用主によって閲覧の許可を受けた人物に特定のデータが共有されます。雇用主または雇用主の許可を受けた人物は、本サービスのダッシュボードを使用して、お客様のモバイル端末のセキュリティに関連する特定の情報にアクセスする権限を付与されています。雇用主は、端末の機種やキャリアなど、お客様の端末の属性を見ることができます。雇用主は、Lookout が悪意があると特定したアプリケーションや、雇用主の適用される企業ポリシーに違反するアプリケーションを把握することができます。適用される企業ポリシーへの違反がお客様に与える影響については、雇用主にお問い合わせください。
お客様が本サービスを MDM プロバイダーの製品の一部としてインストールし、有効にした場合、Lookout はお客様のモバイル端末のセキュリティとアクティベーションのステータスを、該当する MDM プロバイダーと共有する場合があります。
Lookout は、お客様に関するデータをサードパーティと共有する場合があります。それには、Lookout の系列会社、および Lookout の代理としてビジネス関連機能を実行する契約を結んだサービス プロバイダーやパートナーが含まれます。これに該当するのは、(a) カスタマー、テクニカル、または運用上のサポートの提供、(b) 注文や、ユーザー/雇用主の依頼の実行、(c) 本サービスのホスティング、(d) データベースの維持、(e) 製品を改善し強化する目的でのデータ分析、(f) 本サービスや他の Lookout 製品のサポートまたはマーケティングを行うサービス プロバイダーなどです。Lookout は、召喚状や裁判所命令など Lookout が受けたあらゆる法的手続きに対応するため、Lookout の法的権利を確立または行使するため、あるいは法的請求から防御するために、お客様に関するデータを開示する場合があります。Lookout は、地方、州、連邦、または外国の法執行機関から情報提供要請を受けた場合、雇用主に当該要請を転送し、処理していただくよう努めますが、直接対応することが法的に適切であると判断した場合は、直接対応し、要請された情報を提供する権利を留保します。当社は、疑いのある違法な活動や詐欺行為、個人の身体的安全を脅かす可能性のある状況、本通知の違反、本サービスのライセンス契約やエンドユーザー契約の違反に関する調査、防止、措置を行うため、または、Lookout、当社の従業員、ユーザー、および公共の権利や財産を保護するために、お客様に関するデータの開示が適切であると誠実に判断した場合、データを開示する場合があります。これには、法執行機関、政府機関、裁判所、またはその他の組織にお客様の情報を共有することが含まれる場合があります。
Lookout は、統合、再編、Lookout の一部資産もしくは全資産の売却、または Lookout の一部もしくは全事業に対する他社からの融資や買収に関連して、お客様のデータを共有する場合があります。
8. Lookout が個人情報を他者に売り渡すことはありますか?
いいえ。Lookout は当社のユーザーの個人情報 (「個人情報」の解釈はカリフォルニア州消費者プライバシー法の定めに従う) を売り渡すことはありません。第 6 項にあるとおり、お客様のモバイル端末から収集したデータと、サードパーティから収集したデータを集計して、本サービス向上に活用する場合がありますが、このデータは匿名化され、いかなる個人情報も含まれません。
9. どのような情報は雇用主に見られることがありませんか?
Lookout が雇用主と共有するのは、端末に脅威が含まれないことを確認したり、企業のセキュリティ ポリシーへの準拠を確認したりするために必要な情報のみです。雇用主は、お客様のメールの内容、閲覧履歴、連絡先、カレンダー、SMS メッセージ、お客様がインストールした悪意のないアプリ (そのアプリが雇用主の会社の適用されるポリシーに違反している場合を除く) を見たり、お客様の位置を追跡したりすることはできません。
10. データをマーケティング目的で使用することがありますか?
Lookout は、お客様のモバイル端末から自動的に収集したデータを、お客様に製品を販売するために使用したり、マーケティング目的でサードパーティと共有したりすることはありません。ただし、お客様の端末から収集した情報を集計して調査を実施したり、モバイル端末のセキュリティや脅威に対する知見を提供したりすることがあります。このような場合、調査に含まれる集計情報は匿名化されます。
11. Lookout はデータをどのように保護し、どれくらいの期間保存しますか?
当社は、合理的な管理上、技術上、物理上のセキュリティ対策を講じ、お客様の情報を不正なアクセス、破壊、または改変から保護します。こうした安全対策は、Lookout が収集、処理、保存する情報の機密性を守り、テクノロジーの現状に見合うように調整されます。
Lookout では、不正な情報の開示に対する適切な安全対策を講じていますが、100%安全といえるインターネット上の送信手段や電子的保存方法は存在しないため、収集する情報が本通知に反する方法で開示されることが絶対にないと保証することはできません。
Lookout のポリシーでは、本サービスをお客様ならびに他の人々に提供するために合理的に必要である場合、または法令遵守の目的上必要である場合に限り、個人データを保持するものとしています。お客様のアカウントが使用されなくなってから 60 日後に、Lookout のサービス利用規約で別途定められているところに従って、データを削除することがあります。情報は、バックアップまた事業継続の目的で作成されたコピーに残される場合があります。この場合、すべてのデータは 256 ビットで暗号化された状態で安全に保存されます。
12. Lookout はデータをどこに保存しますか?
Lookout は、サンフランシスコに拠点を持ち、サーバーは米国に置いています。米国外のユーザーから収集された個人データは、米国に送られます。米国外で本サービスを使用しているお客様の情報は、当社のサーバーが設置されデータベースが運用されている米国に移転され、そこで保存、処理されることがあります。また、お客様の情報を、Lookout または関連会社、子会社、サービス プロバイダーが施設を運用している他の国に移転する場合があります。
これらの国のデータ保護法がお客様の国の法令と異なる場合や、同程度の保護が与えられない場合があります。Lookout は、お客様の情報をどこに移転して処理するとしても、お客様の個人データが、本通知および適用されるデータ保護法に従って確実に保護されるための処置を講じます。お客様が欧州経済領域 (以下、「EEA」)、英国、またはスイスにお住まいの場合、Lookout はさまざまな法的仕組みによりお客様の個人データと権利が保護されるようにします。これには、欧州委員会によって承認された、個人データの第三国への移転に関する標準契約条項が含まれます。
Lookout はまた、EU 加盟国、英国、およびスイスからの個人データの収集、利用、保持に関して、米国商務省が定める EU と米国間のデータ プライバシー フレームワーク (DPF)、EU と米国間の DPF の英国への拡張、およびスイスと米国間の DPF (以下、総称して「データ プライバシー フレームワーク」) を遵守していることを自己認証しています。データ プライバシー フレームワークは、企業が個人データを EEA、英国、スイスから米国に移転する際にデータ保護要件を遵守できるように策定されたものです。データ プライバシー フレームワークの詳細については、以下の第 14 項をご覧ください。
データ プライバシー フレームワークに関する質問を含め、Lookout のプライバシー慣行に関しての質問や苦情については、「質問や懸念がある場合の連絡先」に記載されているメール アドレスまたは住所までお問い合わせください。Lookout は、お客様と協力して問題の解決に努めます。
13. 個人のデータに関して、私にはどんな権利や選択肢がありますか?
EEA、英国、またはスイスにお住まいのお客様は、一般データ保護規則 (以下、「GDPR」) に従って、以下の権利を有する場合があります。
- アクセス。お客様は、当社が処理するお客様に関する個人データのコピーを要請する権利を有します。追加のコピーが必要な場合、当社から相応の料金が請求されることがあります。
- 修正。お客様は、当社が保持するお客様に関する個人データの不完全または不正確な点について、誤りの修正を要請する権利を有します。
- 削除。お客様は、特定の状況において、お客様に関する個人データの削除を要請する権利を有します (当社でその情報が必要でなくなった場合や、お客様が同意を撤回した場合など)。
- ポータビリティ。お客様は、当社に提供した個人データを、一般的に使用される構造化された機械可読形式で受け取る権利を有します。また、特定の状況においてそのデータをサードパーティに送信する権利を有します。
- 異議申し立て。お客様は、(i) ダイレクト マーケティングを目的とするお客様の個人データの処理に対していつでも異議を申し立てる権利、および (ii) 当社やサードパーティが追求する正当な利益のためにお客様の個人データを処理する法的根拠が必要な場合、係る処理に対して異議を申し立てる権利を有します。
- 制限。お客様は、特定の状況 (個人データの正確性に異議を唱える場合など) において、お客様の個人データの処理を制限するよう当社に要請する権利を有します。
- 同意の撤回。お客様の個人データの処理の法的根拠としてお客様の同意 (または明示的な同意) が必要な場合、お客様はいつでもその同意を撤回する権利を有します。
これらの権利のいずれかを行使する場合は、雇用主に連絡してください。Lookout がデータ管理者となっている場合は、これらの権利を行使するために、下記の連絡先情報を利用して Lookout に連絡することもできます。適切な状況においては、Lookout は係る要請を雇用主に転送し、雇用主の指示に従って処理する場合があります。お客様の要請には、30 日以内にすばやく対応します。ただし特定の状況では、Lookout が保持しているお客様に関する個人データすべてについて、アクセスを提供したり削除したりできない場合があります。
お客様は、一般データ保護規則とカリフォルニア州消費者プライバシー法などの適用法の下で特定の権利を有する場合があります。これらの権利のいずれかを行使する場合は、雇用主に連絡してください。下記の連絡先情報を利用して、Lookout にご連絡いただくことも可能です。
14. データ プライバシー フレームワークのもとで、私にはどんな権利や選択肢がありますか?
Lookout は、EU 加盟国から受け取った個人データの処理については EU と米国間のデータ プライバシー フレームワーク (DPF)、英国 (およびジブラルタル) から受け取った個人データの処理については EU と米国間の DPF の英国への拡張に基づき、EU と米国間の DPF の原則を遵守していることを米国商務省に対して認証しています。また、スイスから受信した個人データの処理に関して、スイスと米国間の DPF に基づき、スイスと米国間の DPF の原則 (以下、総称して「DPF 原則」) を遵守していることを米国商務省に対して認証しています。
データ プライバシー フレームワークに関する詳細情報や Lookout のデータ プライバシー フレームワーク認証については、https://www.dataprivacyframework.gov/s/ をご覧ください。
データ プライバシー フレームワーク認証を受けた組織として、Lookout は、EEA、英国、スイスから米国に移転された個人データに関して DPF 原則を遵守します。DPF 原則で求められることに応じて、Lookout がデータ プライバシー フレームワークのもとで情報を受信し、Lookout の代理機関としての役割を果たすサードパーティのサービス プロバイダーにその情報を転送する際に、(i) 代理機関がデータ プライバシー フレームワークに反する方法で情報を処理している場合、かつ (ii) Lookout が損害を発生させる事象に対する責任を負っている場合、Lookout はデータ プライバシー フレームワークのもとで一定の法的責任を負います。
お客様が EEA、英国、またはスイスにお住まいの場合、データ プライバシー フレームワークに基づき、お客様は、当社が保持するお客様に関する個人データへのアクセスを要請する権利を有します。また、その個人データが不正確である場合や、DPF 原則に違反して処理されている場合は、個人データの修正、変更、削除を要請する権利を有します。さらに Lookout は、当社が管理するお客様に関する個人データが独立のサードパーティに開示されること、または、本通知に定められている目的とは大きく異なる目的で使用されることをオプトアウトする機会をお客様に提供します。個人データのその他の使用や開示の制限をご希望の場合は、下記の内容をご確認の上、当社にお問い合わせください。
さらに、データ プライバシー フレームワークのもとでのプライバシー慣行に関するお客様の懸念への当社対応にご不満がある場合は、当社が指定するデータ プライバシー フレームワークの独立の救済制度による支援を無料で受けることができます。詳しい情報については、 https://www.jamsadr.com/eu-us-data-privacy-framework をご覧ください。お客様は、関連する監督機関に苦情を申し立てる権利も保有します。まずは Lookout にご連絡いただければ幸いです。Lookout はお客様の懸念を解決するため、最善を尽くします。
データ プライバシー フレームワークの法的拘束力のある調停手続きの詳細については、https://www.dataprivacyframework.gov/s/article/ANNEX-I-introduction-dpf?tabset-35584=2 をご覧ください。Lookout は、米国連邦取引委員会 (FTC) の調査執行権限の対象です。特定の状況において、当社は、国家安全保障または法執行機関による要求を満たすため、公的機関による合法的な要請に応じてお客様の個人データを開示することを要求される場合があることもご理解ください。
15. その他の質問についてはどこに問い合わせればいいですか?
さらにご質問がある場合は、雇用主にお問い合わせください。Lookout のデータ保護責任者に問い合わせることもできます。support@lookout.com にメールするか、Lookout, Inc. の次の住所に郵送してください。宛先:Michael Musi, Data Protection Officer, 60 State Street, Suite 1910, Boston, MA 02109。EEA にお住まいのお客様は、Lookout, Inc. の次の住所に郵送してください。宛先:Wim Van Campen, VP, Sales EMEA, Florapark 3, 2012 HK Haarlem, Netherlands。