SANSプライバシーポリシー

更新：2025年6月

SANS Instituteプライバシーポリシー

Escal Institute of Advanced Technologies, Inc（「SANS Institute」）は、情報セキュリティとサイバーセキュリティのトレーニングを専門とする、米国に拠点を置く企業です。 SANS Instituteは、以下を含む（ただしこれらに限定されない）世界各地で事業を行う完全子会社を所有しています。SANS Training - UK Limited（「SANS UK」）、SANS Training Australia Pty Limited（「SANS Australia」）、SANS Training Singapore PTE LTD（「SANS Singapore」）、SANS Training Japan GK（「SANS Japan」）、SANS Training Europe, B.V（「SANS Netherlands」）、SANS Training Limited（「SANS Ireland」）。SANS Instituteは、これらの企業と合わせて「SANS」と総称されます。

SANSはまた、GIAC（グローバル情報保証認定資格）プログラムおよびSANS Technology Institute（「STI」）を通じた学術プログラムも運営しています。

SANSは、米国商務省が管理するEU-USデータプライバシーフレームワーク（DPF）およびその英国拡張版に参加しています。当社は、これらの枠組みに基づき、欧州連合（EU）および英国（UK）から受領したすべての個人データについて、DPF原則を適用します。詳細は https://www.dataprivacyframework.gov をご覧ください。

本ポリシーは、データ管理者としてのSANSが、当社のWebサイトの利用者、取引先、コンペティション参加者、および当社サービスと関わるその他の人から個人データをどのように収集、使用、処理するかを説明するものです。

本ポリシーは、別途定められたポリシーの対象となる人事関連データには適用されません。

「Webサイト」とは、www.sans.orgおよび当社が運営し、本ポリシーにリンクしているその他のウェブサイトです。 GIACは<1>www.giac/privacy</1>に、STIはwww.sans.edu/privacy に、それぞれ独自のプライバシーポリシーを定めています。本ポリシーは、GIACまたはSTIが収集および処理する個人情報には適用されません。

当社は、あなたにサービスを提供するために、個人情報を処理する必要があります。 GIACやSTIなどのSANS関連組織を含む第三者に対し、サービス提供のためにあなたの個人情報を提供することがあります。本ポリシーに従って第三者に個人情報を提供し、開示することに同意いただけない場合、当社のサービスが利用できなくなることがあります。

処理の根拠

当社は、あなたの同意、契約上の義務の履行、または正当な利益もしくは法的要件がある場合に、あなたの個人情報を処理します。データの提供を拒否すると、サービスへのあなたのアクセスが制限される場合があります。

当社のウェブサイトには、SANSの所有ではない、他のウェブサイトへのリンクが含まれていることがあります。あなたは、あなたのデータがどのように処理されるかを理解するために、アクセスするすべての第三者ウェブサイトのプライバシーステートメントを確認する必要があります。

当社が収集する個人情報

当社は、以下の場合に、個人情報を収集します。
SANSアカウントの作成
購入を行う
当社のウェブサイトのご利用
雇用主が主催するトレーニングイベントへの参加
イベント、アンケート、キャンペーンへの参加

当社は、クッキー、分析ツール、セッションリプレイソフトウェア、および類似の技術を通じて、技術データを収集することもあります。詳細については、当社のクッキーポリシーをご覧ください。

個人情報の使用

当社は、以下の目的で、個人情報を使用します。
ご要望のサービスを提供する
カスタマーサポート
マーケティングオファーに関するご連絡（オプトアウトの選択肢あり）
分析および市場調査を実施する
支払い処理および不正行為の防止
当社の利用規約を適用するとともに、法的義務を遵守します

データの共有と開示

当社は、以下の個人または団体と、データを共有します:
承認されたサービスプロバイダー（例: 決済処理業者、分析会社）
イベントの協賛企業（事前のご同意が必要となります）
GIAC（認定資格リスティングを目的として）
ビジネスパートナー（例: キャンペーンパートナー）
サポート目的の関連会社（例: GIAC、STI）
公的機関（法令に基づいて）
合併、譲渡、組織再編の場合
詐欺防止、紛争解決、法的請求が発生した場合

一般に、当社は、上記で特定された当社の事業目的を遂行するため、以下のカテゴリの個人情報を開示する場合があります:

氏名、連絡先、その他の識別子
顧客記録
保護された分類情報
商業情報
利用データ
オーディオ、ビデオ、その他の電子データ
教育情報
プロファイルおよび推論

当社は、過去12か月間において、上記のカテゴリに該当する個人情報を、以下の第三者のカテゴリに開示しています：データ分析プロバイダー、サービスプロバイダー、およびSANSのイベント、プログラム、論文のスポンサー。

当社は、DPF （データプライバシーフレームワーク）原則に従い、DPFに基づいて受領し、その後当社の代理人として行動する第三者に移転される個人情報の処理について責任を負います。当社は、個人データを共有するすべての第三者代理人に対し、DPF原則およびその他の適用されるデータ保護法に従って個人データを保護することに同意するよう求めます。

当社は、第三者の代理人がDPF原則に反する方法で当該個人データを処理した場合、当該損害の原因となった事象について当社に責任がないことを証明できない限り、DPFの下で引き続き責任を負います。

当社は、すべての第三者代理人が以下に同意することを確保します:

個人データは、データ主体から提供された同意に一致する、特定かつ限定された目的のためにのみ処理されます。
DPF原則が要求するのと同じ水準以上の保護を提供します。
これらの義務を履行できなくなった場合に当社に通知する。この場合、当社は不正な処理を停止または是正するために、合理的かつ適切な措置を講じます。

当社は、個人を特定できないように匿名化および集計されたデータを共有する場合があります。

お客様による選択、および利用と開示の制限方法

DPFに基づき、個人は自身の個人データの利用および開示を制限する権利を有します。当社が個人データを当初の収集目的と著しく異なる目的で使用する場合、または当社の代理人ではない第三者に開示する場合、当社は個人に対してオプトアウトの機会を提供します。個人データの使用または開示の制限を希望する場合は、当社privacy@sans.org に連絡するか、当社からの連絡に記載されているオプトアウトの指示に従って、制限することができます。

DPFに基づくデータの第三者への移転

DPF原則に従い、SANSは以下を行います:

第三者処理業者による個人データの取扱いについて責任を負う
第三者に対し、同等のデータ保護を提供することを要求し、遵守できなくなった場合は当社に通知させる
不正使用を是正するための措置を講じる

データの販売または共有（カリフォルニア州）

カリフォルニア州消費者プライバシー法（以下「CCPA」といいます。）では、以下のように定義されています。「販売」とは、金銭またはその他の価値ある対価と引き換えに、個人情報を第三者に開示し、または利用可能な状態にすることをいいます。「共有」とは、適用される範囲において、クロスコンテキスト行動広告の目的で個人情報を第三者に開示することをいいます。

CCPAの定義に従い、当社が「販売」する可能性のある個人情報のカテゴリには、以下が含まれます。

氏名、連絡先、その他の識別子

CCPAの定義に従い、当社が「共有」する可能性のある個人情報のカテゴリには、以下が含まれます。

氏名、連絡先、その他の識別子

CCPAの定義に従い、当社がデータを販売または共有する第三者のカテゴリには、以下が含まれます。

データ分析プロバイダー
当社の契約履行および事業遂行を支援するサービスプロバイダー
SANSのイベント、プログラム、論文のスポンサー

CCPAの定義に従い、当社がデータを販売または共有する事業目的には、以下が含まれます。

リード獲得、営業開拓、および同様の活動
分析を通じてオンライン活動に関する知見を得る
SANSのイベント、プログラム、および論文のスポンサーにリードを提供する

当社は、過去12ヶ月間に、上記の個人情報のカテゴリをデータ分析プロバイダーに「販売」および「共有」しました。

オプトアウト（利用・提供の停止を求める権利）

ここで、あなたはいつでもオプトアウトできます。

データ保持

当社は、サービスを提供し、法的義務を果たすために必要な期間、個人データを保持します。お客様のデータが雇用主またはパートナーから提供されたものである場合、その保持については、雇用主の同意が適用されることがあります。

お客様の権利

お客様は以下を行うことができます:
あなたのデータにアクセスまたは修正する
削除またはデータ（個人データの取得および他の事業者への移転）の提供を請求する

アカウントまたは電子メール privacy@sans.org から送信する

当社は、法律で義務付けられている場合に、必要な情報を保持することがあります。

独立した紛争解決

当社のDPF遵守に関してご懸念がある場合は、まず当社まで電子メール privacy@sans.org をでご連絡いただくか、電話 +1 301-654-7267 にてデータプライバシー部門への取次ぎをご依頼ください。合理的な期間内に対応いたします。

欧州連合（EU）および英国の個人の場合：EU・米国間DPFおよびEU・米国間DPF英国拡張版を遵守するため、SANSは、EU・米国間DPFおよびEU・米国間DPF英国拡張版に依拠して受領したデータの取扱いに関する当社の未解決の苦情に関して、EUデータ保護機関（DPA）および英国情報コミッショナー事務局（ICO）によって設置されたパネルの助言にそれぞれ協力し、従うことを約束します。

EU DPAのお問い合わせ先
ICOウェブサイト

SANSは、米国連邦取引委員会（FTC）の調査および執行権限の対象となります。

一定の条件の下で、他の手段によって解決されないDPF遵守に関する苦情について、個人は拘束力のある仲裁を申し立てることができます。詳細については、こちらで DPF 原則の付属文書Iをご覧ください。

特定法域の居住者向けの追加情報

米国、欧州連合（EU）加盟国、英国、またはその他の法域を含む（ただしこれらに限定されない）、居住する州または国によっては、追加のデータ保護権が与えられる場合があります。あなたが居住する州または国からあなたに与えられるデータ保護権の追加情報については、こちらをクリックしてください。

米国連邦教育権およびプライバシー法（FERPA）

該当する場合、SANSは、学童および学生の教育記録を保護する、米国連邦教育権およびプライバシー法（FERPA）を遵守します。この法律の主な目的は2つあります。第一に、対象となる学生に対して教育記録に関するより大きな管理権限を付与すること。第二に、対象となる学生の書面による同意がない限り、または特定の例外的な状況を除き、教育機関が教育記録に含まれる「個人を特定できる情報」を開示することを禁止することです。当社のFERPAポリシーの完全版を確認するには、<1>米国連邦教育権およびプライバシー法（FERPA）ポリシーにアクセスしてください。

未成年の個人情報

SANSは、16歳未満の個人情報を意図的に収集または保持することはありません。 SANSに個人情報を提供する方は、16歳以上であることを表明するものとします。 16歳未満の方がSANSに個人情報の提供を希望する場合、SANSは、その方の保護者から適切な同意を得るよう努めます。 SANSが保護者の同意を得ずに16歳未満の個人から個人情報を収集したことが判明した場合、SANSは、その情報を削除するための合理的な措置を講じます（本人または他人を保護するために必要な場合、あるいは法律により要求または許可されている場合を除きます). SANSが16歳未満の個人から個人情報を取得したと思われる場合は、SANS privacy@sans.org までご連絡ください。

その他の重要情報

セキュリティ

あなたの個人情報のセキュリティは、当社にとって重要です。インターネットは世界的な通信手段であり、他者からの脅威、ウイルス、侵入にさらされているため、あらゆる状況においてあなたの個人情報を保護することを、当社はお約束できず、あなたも期待すべきではありません。

お問い合わせ

データプライバシーに関する権利の請求または行使、苦情の申立て、あるいは本ポリシーまたは当社によるお客様の個人情報の取扱いに関するご質問やご提案がある場合は、privacy@sans.org まで電子メールでご連絡いただくか、+1 301-654-7267までお電話のうえ、データプライバシー部門への取次ぎをご依頼ください。