信頼は透明性から
Amplitudeは、世界中のお客様に安全でコンプライアンスに準拠したプラットフォームを提供しています。詳細については、をご覧ください。
プライバシーバイデザイン
Amplitudeでデータをエンドツーエンドで保護します。
収集したデータとその共有方法を完全に制御できます。また、GDPR、CCPA、その他のプライバシー規制に準拠できるよう、プライバシーを念頭に置いてプラットフォームを構築しました。
製品の機能
Time to Live機能を使用して、イベントデータがAmplitudeインスタンスに保存される期間を管理します。
データの信頼性、プライバシー、セキュリティを維持しながら、効率的にデータを削除できるようにします。
ユーザーデータを簡単に取得して、データ主体のアクセス要求に対応します。
予期しない個人情報の取り込みを管理します。
AmplitudeにIPアドレスを保存しないようにします。
詳細なアクセス制御により、誰がどのデータを見るかを正確に管理します。
弊社のプライバシー原則
1
貴社のプライバシーとユーザーデータのプライバシーが弊社の優先事項
Amplitudeプラットフォームは、データを保護するために構築されました。顧客と緊密に連携してプライバシーのユースケースを理解し、ニーズに合った機能を提供します。
2
弊社の目標は、お客様が簡単にコンプライアンスを確保すること
弊社は、お客様がデータに責任を持った上で使用できるプラットフォームを提供することに全力を注いでいます。プライバシー法は常に進化していますが、弊社が提供する柔軟性により、迅速に調整してコンプライアンスを維持できます。
3
Amplitudeは、データを管理するためのツールを提供
弊社は、Amplitudeのプラットフォーム全体でのデータの使用方法を管理する権限をお客様が常に持つべきであると考えています。
4
テクノロジー設計を通じてデータ保護を優先
弊社のプライバシープログラムは、プライバシーバイデザインの原則に基づいています。プライバシー機能を構築するために、積極的で革新的、かつユーザー中心のアプローチを採用しています。
プライバシー法への準拠
弊社は、国際的なプライバシー規制とデータ保護要件が常に進化していることを理解しています。Amplitudeは、GDPR、CCPA、HIPAAなどのプライバシーコンプライアンスのニーズを満たすことに重点を置いています。
Amplitudeのプライバシーチームは、プラットフォームを確実にGDPRに準拠させるためにに、アーキテクチャ、データフロー、ベンダー機能、契約を確認しました。Amplitudeのデジタル分析プラットフォームは、お客様のエンドユーザーと直接やり取りすることはありません。またプラットフォームが自動的に個人データを収集することもありません。ただし、お客様が個人データ(IPアドレスなど)を収集し、処理目的でAmplitudeに送信する場合があります。そのため、Amplitudeは、お客様がプライバシー規制に引き続き準拠できるようにするために手順とアップグレードを実装しました。
具体的には、以下に詳述するように、エンドユーザーのアクセスおよび削除リクエストを自動的に処理するAPIをお客様に提供しています。
- Amplitudeのデータ処理契約(DPA)は、英国、EU、およびEEAから米国西部を拠点とする当社のAWS環境への個人データの転送メカニズムとして、EU標準契約条項(SCC)に依拠しています。2020年7月16日、欧州連合司法裁判所(CJEU)は、EU SCCが引き続きEUから米国への個人データの有効な転送メカニズムであると決定しました。
- Amplitudeは、主要ベンダーとデータ処理契約を締結しています。
- AmplitudeのSDKを使用すると、お客様は、収集し、処理と保存目的でプラットフォームに送信するデータを柔軟に制御できます。Amplitudeではなく、お客様がプラットフォームで収集、保存、処理されるデータの種類を管理します。Amplitudeが認識するデータキーの完全な概要については、をご覧ください。特に明記されていない限り、すべてのフィールドはオプションであり、弊社のコア機能を使用するために個人データは必要ありません。
- Amplitudeは、顧客が特定の個人の情報をプラットフォームから削除したり、エンドユーザーのIPアドレスを保存しないようにプラットフォームに指示したりできる高度な機能を構築しました。
弊社は、プライバシーを念頭に置いてデータ分析を可能にするプラットフォームを構築しています。これによりお客様は、カリフォルニア州消費者プライバシー法(CCPA)およびその他の米国各州のプライバシー法の拡大する枠組みに準拠できます。
ファーストパーティのデータ分析プラットフォームであるため、お客様は収集してAmplitudeに送信するデータと、どのようなアクションを取るかを完全に制御できます。弊社はサービスプロバイダーとしてのみ機能し、お客様の指示に従ってデータを保存および処理します。Amplitudeは、お客様のデータを弊社独自の目的で使用することはなく、またお客様のデータを販売または共有することもありません。
弊社は、お客様がデータを簡単に管理し、リクエストやリクエストなど、データ主体のリクエストを実行するための機能とツールを開発しました。弊社の、サービスプロバイダーとしての弊社の役割を定め、お客様による弊社プラットフォームの使用がCCPAおよびその他の米国のプライバシー法のコンプライアンス要件を満たしていることを保証します。
弊社では、医療保険の相互運用性と説明責任に関する法律(HIPAA)の対象となる機関または事業者であるお客様にとって、保護対象となる健康情報を安全に保つことが最重要事項であることを十分に認識しています。Amplitudeでは、HIPAAコンプライアンスの準拠を支援するために、ビジネスアソシエイト契約を締結することが可能です。
Amplitudeは、AWSがホストするデータセンターを米国とEUで保持しています。これは、さまざまなお客様のデータの保存と処理に関するご希望とニーズを満たしながら、デジタル分析プラットフォームをご利用いただけるようにするためです。EUのデータセンターには、世界で最も厳格なプライバシーと技術の基準を備えたドイツのフランクフルトを選びました。
AWSのデータセンターは、データに関して中立的であり、特定のデータ形式やタイプに依存せず、一般データプライバシー規制(GDPR)を含むプライバシー規制に準拠し、ISO 27001およびSOC 2 Type IIの認証を受けています。
GDPRやCCPAなどの世界的なプライバシー法で要求されるデータ主体のリクエストに、お客様が適切に対応し、遵守できるように、弊社は使いやすいAPIを構築しました。これにより、プログラムを使用して、既存のAmplitude IDやユーザーIDのデータ主体のリクエストを送信できます。データ主体の削除リクエストに関するユーザープライバシーAPIの詳細については、をご覧ください。GDPRに基づくデータ主体のアクセスリクエストおよびCCPAに基づく知る権利のリクエストAPIの詳細については、をご覧ください。
透明性
Amplitudeは、プライバシーは基本的な権利であり、お客様のデータの処理方法に関して明確かつ透明性を保つことが弊社の責任であると考えています。の開発に関するものを含め、弊社のプライバシーポリシーと慣行について透明性を保つことをお約束します。弊社のデータ処理契約(DPA)は、データを安全かつ責任を持って処理するという当社の強いコミットメントを概説しています。弊社は、ユーザーのプライバシーを保護し、信頼を築くためのリソースに引き続き投資していきます。
には、amplitude.comウェブサイト、コミュニティフォーラム、Amplitude Academyの訪問者、Amplitudeのマーケティング活動、および弊社の製品とサービスにアクセスして使用するお客様に関連する情報を処理するための慣行が記載されています。
データ処理補遺(DPA)は、Amplitudeがお客様から弊社プラットフォームに送信された個人データを処理する法的枠組みを定める法的契約であり、弊社のすべてのサービスに適用されます。AmplitudeのDPAは、弊社のおよびに参照により組み込まれているため、どのAmplitudeサービスを使用しているかにかかわらず、お客様によるさらなるご対応は必要ありません。
Amplitudeは、サービスを提供するために、お客様のデータセンターの選択に応じて、米国とEUのサードパーティのサブプロセッサーを使用します。弊社は、適用されるデータ保護法で要求される基準に従って個人データの復処理が保護されることを確認するために、適切な保護措置を実施するよう、契約上の義務をサブプロセッサーに課しています。弊社のサブプロセッサーのリストは、該当するのスケジュールBに記載されています。お客様は、subprocessor.notifications@amplitude.comまでメールでご連絡いただくことで、サブプロセッサーの変更通知を受け取ることができます。
2023年7月10日、欧州委員会は新たにEU-米国データプライバシーフレームワークの十分性認定を正式に採択しました。この十分性認定の採択は、EUと米国のプライバシーシールドの無効化後、EUと米国の間で何年にもわたって行われた激しい交渉の結果です。十分性が認定されたことで、Amplitudeプラットフォームに送信されたEUの個人データは、合法的に米国に転送できるというさらなる保証がお客様に提供されます。
データプライバシーフレームワークの認証に加えて、弊社のDPAに、標準契約条項や英国補遺などの他のデータ転送メカニズムも引き続き取り入れていく予定です。
