プライバシーポリシー

1 適用範囲

BRITA Japan株式会社(以下、「当社」といいます。「BRITA Japan」)は、東京都中央区銀座3-15-10 7Fに所在し、当社が提供する製品およびサービス(以下、総称して「本サービス」)に関連して、購入者およびサービス利用者(以下、「お客様」)の個人情報の取り扱いに関する本プライバシーポリシー(以下、「本ポリシー」)をここに定めます。これには以下が含まれます:

  • 当社のウェブサイト(brita.co.jpおよび関連するサブドメイン);
  • 当社のオンラインショップおよび製品登録システム(BRITA Club);
  • iOSおよびAndroid向けBRITA x LARQコンパニオンアプリ(「アプリ」);
  • Bluetooth経由で接続されるBRITA x LARQスマートボトルおよびアクセサリー(「IoT製品」);
  • 当社のカスタマーサービスセンター、イベント、アンケート、キャンペーン。

本ポリシーは個人情報保護法(APPI)、電気通信事業法(TBA)(第27条の12(外部送信規則)を含む)、および特定電子メールの送信の適正化等に関する法律(特定電子メール法)に準拠しています。

共同利用の開示(個人情報保護法第 27条第5項):BRITA Japanは、特定のお客様の個人情報を、BRITA SE(所在地:Heinz-Hankammer-Straße 1, 65232 Taunusstein, Germany、親会社)およびLARQ Inc.(所在地:185 Clara Street, Suite 100, San Francisco, CA 94107, USA、BRITA x LARQ製品の共同ブランドパートナー)と共同利用しています。 共同利用されるデータの区分、共同利用者の範囲、利用目的、および責任者の氏名は、以下の第6条に記載されています。
 

2 当社が収集する情報

本ポリシーにおいて、「お客様情報」とは、お客様の識別、通信・サービスの利用履歴、およびお客様のデバイス上で生成または保存され、本ポリシーに従って当社が収集するその他の情報を指します。

2.1 お客様から提供される情報

氏名、住所、電話番号、性別、生年月日、メールアドレス、ソーシャルメディア ID、購入履歴、苦情・お問い合わせ情報(通話録音を含む)、製品画像・動画、および当社のフォームに入力されたその他の情報。

2.2 IoTデバイスデータ

BRITA x LARQスマートボトルをBluetooth Low Energy(BLE)経由でアプリに接続した場合:

  • Bluetoothデバイス識別子(BLE MACアドレス)、キャップのハードウェアID、ファームウェアバージョン
  • UV-C浄化の作動ログ(タイムスタンプ、モード、サイクル数)
  • フィルターの状態および交換インジケーター
  • 水温の測定値(対応している場合)
  • バッテリー残量および充電履歴

2.3 健康および水分補給データ(要配慮個人情報)

本アプリは以下のデータを収集する場合があります。当該データが個人情報保護法(APPI)第2条第3項に定める「要配慮個人情報」に該当する場合、収集に先立ち、お客様の事前の同意(APPI第20条第2項)を取得いたします:

  • 1日の水分摂取量(1回あたりの摂取量および1日の合計)
  • 水分補給目標と進捗状況
  • 体重、年齢、性別、活動レベル(手動入力)
  • Apple Health(HealthKit)またはGoogle Health Connectとの間で同期されるデータ(心拍数、睡眠データ、歩数、その他の健康指標を含む場合があります)。当該データが個人情報保護法第2条第3項に定める「健康診断等の結果」に該当する場合、事前のオプトイン同意を要する要配慮個人情報として扱われます。 予防措置として、本アプリを通じて収集されるすべての健康および水分補給データについて、オプトインによる同意を取得します。

2.4 自動的に収集される情報

第5条に記載されている通り、デバイス情報、ログ情報、匿名ID、位置情報(同意を得た上での概算値)、クッキー、およびウェブビーコン。
 

3 利用目的(個人情報保護法 17条、第21条)

個人情報保護法第17条第1項に基づき、利用目的を以下の通り定めます。

(a) 製品およびサービス情報:BRITAの製品、サービス、キャンペーン、およびプロモーションに関する郵便、電話、電子メール、およびプッシュ通知による連絡

(b) 配送および履行:製品、賞品、情報資料の発送

(c) 市場調査:製品開発および顧客満足度の向上のための、郵便、電話、電子メールまたは面談による消費者アンケート

(d) デジタルサービスの改善:当社ウェブサイトおよびアプリの利用パターンを分析し、顧客体験を向上させるため

(e) ターゲティング広告:閲覧履歴や購入履歴に基づき、Google、Yahoo!、Meta、その他の広告ネットワークを通じて、興味関心に基づいた広告を配信すること

(f) 顧客プロファイリング:属性データおよび行動データの分析によるお客様の嗜好の把握

(g) セキュリティおよび不正防止:不正アクセス、利用規約違反、その他の不正利用の検知および防止

(h) IoT製品の機能:Bluetooth接続の確立および維持、UV-Cステータス、フィルター交換リマインダー、バッテリー残量、ファームウェア更新の表示

(i) 水分摂取量の追跡:1日の水分摂取量の追跡、個人に合わせた水分摂取推奨事項の生成、水分摂取履歴および傾向の表示(要配慮個人情報に該当する情報については、事前のオプトイン同意が必要)

(j) ヘルスプラットフォームとの同期:お客様の明示的な指示に基づき、Apple Health / Google Health Connect からの読み取りおよび書き込みを行う(事前のオプトイン同意が必要)

(k) 製品の安全性およびリコール:製品の安全性に関する問題やリコールが発生した場合に、お客様へ連絡すること

(l) お客様からの問い合わせおよび苦情への対応:お客様の質問、苦情、サービスリクエストに対応するため、お客様の問い合わせおよび連絡先データを処理すること

また、個人情報保護法第18条第3項(生命・身体・財産の保護、公衆衛生、政府との協力)に規定される限定的な状況においては、別途の同意なしに個人情報を利用する場合があります。

本製品および本アプリは医療機器ではなく、いかなる疾患の診断、治療、治癒、予防を行うものではありません。水分補給に関する推奨事項は、一般的な健康情報としてのみ提供されるものです。
 

4 クッキー、ウェブビーコン、および追跡技術

当社は、ウェブサイトおよびアプリにおいて、クッキー、トラッキングピクセル、ソフトウェア開発キット(SDK)、および類似の技術を使用しています。これらは以下の2つのカテゴリーに分類されます:

4.1 技術的に必須のクッキー

これらのクッキーは、当社のウェブサイトの基本機能(例:ショッピングカート、ログインセッション、クッキー設定の保存、言語選択)に必要です。これらはセッション固有のものであり、通常、ブラウザを閉じると失効します。これらのクッキーを無効にすると、ウェブサイトの機能が損なわれる可能性があります。これらのクッキーについては、お客様の同意は必要ありません。

Google reCAPTCHA(Google Ireland Limited)は、セキュリティおよびボット検知の目的で使用されています。不正アクセスを防止するために技術的に不可欠であるため、別途の同意は不要です。

4.2 任意の分析、ターゲティング、および広告用クッキー

これらのクッキーは、訪問者が当ウェブサイトおよびアプリをどのように利用しているかに関する情報を収集し、コンテンツや広告をパーソナライズし、広告の効果を測定するために使用されます。当社は、クッキー同意バナーを通じてお客様の事前の同意を得た場合にのみ、これらのクッキーを有効にします。お客様はいつでも同意を撤回することができます。

当社は以下のツールを使用しています:

(a) Google Analytics(Google LLC、1600 Amphitheatre Parkway, Mountain View, CA 94043, USA)。 機能:Webおよびアプリの利用状況分析、レポート作成。収集データ:ページビュー、セッションID、IPアドレス(anonymizeIp関数により匿名化)、デバイス/ブラウザ情報、リファラーURL。Googleはデータを米国のサーバーに転送する場合があります。保存期間:26ヶ月。Googleのプライバシーポリシー:policies.google.com/privacy。オプトアウト:tools.google.com/dlpage/gaoptout。

(b) Google Ads / AdWords / リマーケティング(Google LLC、米国)。機能:コンバージョン追跡、興味関心に基づく広告、ウェブサイト訪問者へのリマーケティング。収集データ:コンバージョンデータ、クリックID、Cookie ID。オプトアウト:adssettings.google.com。

(c) DoubleClick(Google LLC、米国)。機能:広告配信およびフリークエンシーキャッピング。収集データ:広告インプレッションデータ、Cookie ID。オプトアウト:adssettings.google.com。

(d) Facebook/Instagram Pixel(Meta Platforms Inc.、1 Hacker Way, Menlo Park, CA 94025, USA)。機能:広告測定、カスタムオーディエンスの作成、コンバージョン追跡。収集データ:ページイベント、Cookie ID(fbp、fbc)、ハッシュ化されたユーザーデータ。Metaのプライバシーポリシー:facebook.com/privacy/policy。オプトアウト:facebook.com/settings > 広告設定。

(e) Twitter/X(X Corp.、1355 Market Street, San Francisco, CA 94103, USA)。機能:コンバージョン追跡、広告測定。収集データ:ページイベント、Cookie ID。オプトアウト:x.com/settings/privacy_and_safety。

(f) Yahoo! Japan(LY Corporation、東京都千代田区紀尾井町1-3 紀尾井タワー)。機能:日本市場向けの興味関心に基づく広告。収集データ:ページビュー、Cookie ID、閲覧行動。LY Corporationのプライバシーポリシー:privacy.lycorp.co.jp。オプトアウト:btoptout.yahoo.co.jp/optout/。

(g) SmartNews Ads(SmartNews Inc.、東京都渋谷区神宮前2-11-16)。機能:SmartNewsユーザーへの広告配信。収集データ:Cookie ID、広告インプレッションデータ。オプトアウト:SmartNewsアプリの設定から。

(h) LINE(LY Corporation、日本)。機能:LINEユーザーへの広告配信。収集データ:Cookie ID、広告インタラクションデータ。オプトアウト:terms.line.me/line_rules > プライバシー設定。

(i) Amazon Ads(Amazon.com Inc.、410 Terry Avenue North, Seattle, WA 98109, USA)。機能:広告配信。収集データ:Cookie ID、閲覧データ。オプトアウト:amazon.co.jp/adprefs。

お客様は、当社のクッキー設定バナー、上記のオプトアウトリンク、またはブラウザ設定の調整を通じて、いつでもクッキーの設定を管理できます。オプションのクッキーを無効にしても、当社のウェブサイトやアプリの主要な機能には影響しません。

4.3 アプリ用SDK(クッキー以外の追跡技術)

本アプリは、お客様のデバイスから第三者受信者へユーザー情報を送信する以下のソフトウェア開発キット(SDK)を使用しています:

(a) OneSignal(OneSignal Inc., 201 Mission Street, Suite 1320, San Francisco, CA 94105, USA)。機能:プッシュ通知の配信およびエンゲージメント分析。デバイスから収集されるデータ: デバイストークン、プッシュ通知登録ID、アプリセッションデータ、OSバージョン。オプトアウト:デバイスの設定またはアプリの設定でプッシュ通知を無効にしてください。

(b) Datadog(Datadog Inc., 620 8th Avenue, 45th Floor, New York, NY 10018, USA;フランクフルトでのEU内処理が可能)。 機能:アプリケーションのパフォーマンス監視およびエラー検出。デバイスから収集されるデータ:アプリのエラーログ、パフォーマンス指標、セッショントレース。データは送信前に仮名化されます。保存期間:30日間。オプトアウト:該当なし(サービスの安定性のために技術的に必要);データは仮名化されています。
 

5 外部送信に関する開示

電気通信事業法第27条の12(外部送信規律、2023年6月16日施行)に基づき、お客様の端末(ブラウザまたはアプリ)から第三者の受領者へ送信されるユーザー情報について、以下の情報を開示します。この開示義務は、送信される情報が個人情報保護法上の個人情報に該当するか否かにかかわらず適用されます。

  • Google Analytics
    • 受信者: Google LLC(米国)
    • 送信されるユーザー情報: ページビュー、セッションID、IPアドレス(匿名化済み)、デバイス/ブラウザ情報、リファラーURL
    • 受領者の利用目的: ウェブサイト/アプリの利用状況分析、レポート作成
  • Google Ads
    • 受信者: Google LLC(米国)
    • 送信されるユーザー情報: コンバージョンデータ、クリックID、Cookie ID
    • 受領者の利用目的: 広告測定、リマーケティング
  • DoubleClick
    • 受信者: Google LLC(米国)
    • 送信されるユーザー情報: 広告インプレッションデータ、Cookie ID
    • 受領者の利用目的: 広告配信、フリークエンシーキャッピング
  • Meta Pixel
    • 受信者: Meta Platforms Inc. (米国/アイルランド)
    • 送信されるユーザー情報: ページイベント、Cookie ID(fbp、fbc)、ハッシュ化されたユーザーデータ
    • 受領者の利用目的: 広告測定、オーディエンス構築
  • Twitter/X
    • 受信者: X Corp.(米国)
    • 送信されるユーザー情報: ページイベント、Cookie ID
    • 受領者の利用目的: コンバージョン追跡
  • Yahoo! Japan
    • 受信者: LY Corporation (日本)
    • 送信されるユーザー情報: ページビュー、Cookie ID、閲覧行動
    • 受領者の利用目的: 興味・関心に基づく広告
  • SmartNews Ads
    • 受信者: SmartNews Inc. (日本)
    • 送信されるユーザー情報: Cookie ID、広告インプレッションデータ
    • 受領者の利用目的: 広告配信
  • LINE
    • 受信者: LY 株式会社(日本)
    • 送信されるユーザー情報: Cookie ID、広告インタラクションデータ
    • 受領者の利用目的: 広告配信
  • Amazon Ads
    • 受信者: Amazon.com Inc. (米国)
    • 送信されるユーザー情報: Cookie ID、閲覧データ
    • 受領者の利用目的: 広告配信
  • OneSignal SDK
    • 受信者: OneSignal Inc. (米国)
    • 送信されるユーザー情報: デバイストークン、プッシュ通知登録ID、アプリセッションデータ
    • 受領者の利用目的: プッシュ通知配信、エンゲージメント分析
  • Datadog SDK
    • 受信者: Datadog Inc. (米国/EU)
    • 送信されるユーザー情報: アプリのエラーログ、パフォーマンス指標、セッショントレース(仮名化済み)
    • 受領者の利用目的: アプリケーション監視、エラー検出
  • Google reCAPTCHA
    • 受信者: Google Ireland Ltd. (アイルランド)
    • 送信されるユーザー情報: IPアドレス、ブラウザの特性、インタラクションパターン
    • 受領者の利用目的: ボット検出、セキュリティ

お客様は、上記第4.2条に記載されたオプトアウトリンクを利用するか、当社のクッキー設定バナーを通じてクッキー設定を調整するか、またはデバイス/アプリの通知設定を調整することにより、各オプションツールをオプトアウトすることができます。技術的に必須とマークされたツール(reCAPTCHA、Datadog)は、サービスの機能に支障をきたすことなく個別に無効化することはできません。
 

6 第三者への提供および国境を越えた移転(個人情報保護法第27条、第28条)

当社は、個人情報保護法第27条第1項第1号から第4号(業務委託、法的義務、事業承継、共同利用)で認められる場合を除き、お客様の事前の同意なしに個人情報を第三者に提供することはありません。

6.1 国境を越える提供(個人情報保護法第28条)

お客様の個人情報は、日本国外の国へ移転され、そこで処理される場合があります。個人情報保護法第28条に基づき:

  • EU/EEA(ドイツ、オランダ、アイルランド)への移転:日本とEU間の相互十分性認定(2019年1月23日発効)に基づき認められています。別途の同意は不要です。
  • 米国への移転(LARQ Inc.、Google LLC、OneSignal Inc.、Datadog Inc.、Apple Inc.):受領者が個人情報保護法と同等の措置を講じることを確保するため、契約上の保護措置(個人情報保護法に準拠した条項を含むデータ処理契約)に依拠しています。 契約上の保護措置が不十分な場合、当社は、(i) 受領国の情報、(ii) 当該国のデータ保護制度(個人譲歩保護委員会のデータ保護制度調査を参照)、および (iii) 実施されている保護措置についてお客様に通知した上で、事前の同意を取得します。
    • ドイツ
      • 受領者: BRITA SE
        • 移転の根拠: EUの十分性認定 + 共同利用
        • 目的: グループ管理、製品開発
    • オランダ
      • 受領者: Microsoft (Azure West Europe)
        • 移転の根拠: EUの十分性認定 + DPA
        • 目的: クラウドホスティング
    • 米国
      • 受領者: LARQ Inc.
        • 移転の根拠: 契約上の保護措置
        • 目的: 共同ブランド、保証
      • 受領者: Google LLC
        • 移転の根拠: 契約上の保護措置
        • 目的: アナリティクス、広告
    • OneSignal Inc.(※元の表の「国」の記載に準拠)
      • 受領者: OneSignal Inc.
        • 移転の根拠: OneSignal Inc.
        • 目的: プッシュ通知
    • 米国 / EU
      • 受領者: Datadog Inc.
        • 移転の根拠: 契約上の保護措置 / EUの十分性認定
        • 目的: アプリ監視
    • アイルランド / 米国
      • 受領者: Apple / Google (ヘルス)
        • 移転の根拠: 同意+契約上の保護措置
        • 目的: ヘルスデータの同期(ユーザー主導)

海外受領国の個人情報保護制度に関する情報:米国には、個人情報保護法に相当する包括的な連邦データ保護法は存在しません。保護は、分野別の法律(例:カリフォルニア州住民向けのCCPA、健康データ向けのHIPAA)および契約上の保護措置を通じて提供されています。 詳細については、ppc.go.jp で公開されている個人情報保護委員会の「外国における個人情報の保護に関する制度等の調査」を参照してください。

6.2 共同利用(個人情報保護法27条第5項)

共同利用されるデータの区分:氏名、メールアドレス、住所、電話番号、購入履歴、製品登録情報、IoTデバイスデータ、アプリ利用データ、お問い合わせデータ。

共同利用者の範囲:BRITA SE(ドイツ)、LARQ Inc.(米国)、BRITA Japan K.K.

LARQ Inc.(米国)との共同利用は、個人情報保護法 第 28 条に基づく越境移転にも該当します。上記の 6.1 項に記載された保護措置(個人情報保護法に準拠した条項を含む契約上の保護措置)は、この共同利用の取り決めにも適用されます。

利用目的:グループ管理、製品開発、保証対応、カスタマーサービス、共同分析。

管理責任者:
BRITA Japan株式会社
東京都中央区銀座 3-15-10 7F
代表取締役 マイケル・マギー
 

7 セキュリティ対策(安全管理措置

当社は、個人データの漏洩、紛失、または毀損を防止するために、適切かつ必要なセキュリティ対策を実施しています。これには以下が含まれます。

  • 組織的措置:個人情報取扱規程の策定、個人情報保護管理者の任命、定期的な従業員研修、内部監査
  • 技術的措置:転送時(TLS 1.2+)および保存時(AES-256)の暗号化、アクセス制御、侵入検知、分析データの仮名化、定期的なペネトレーションテスト
  • 物理的措置:個人データが保管されているサーバールームおよびオフィスエリアへのアクセス制限

個人情報は、オランダ(EU)にあるサーバー(Microsoft Azure West Europe、アムステルダム)に保存および処理されます。EUは一般データ保護規則(GDPR)の適用対象であり、個人情報保護委員会は、相互十分性認定に基づき、同規則が同等の保護水準を提供していると認定しています。 一部のサブプロセッサー(Google LLC、OneSignal Inc.、Datadog Inc.、LARQ Inc.)は米国に所在しています。米国には業界別のデータ保護法は存在しますが、個人情報保護法に相当する包括的な連邦プライバシー法はありません。当社は、契約上の保護措置(第6.1条参照)を通じて、このギャップに対処しています。
 

保有個人データに関する権利

お客様は、以下の事項を請求することができます:(1) 利用目的の通知、(2) 保有個人データおよび第三者提供記録の開示、(3) 不正確なデータの訂正、追加または削除、(4) 利用の停止、消去、または第三者提供の停止。 請求は、第12条に記載の連絡先宛てに行ってください。利用目的の通知及び開示請求については、個人情報保護法第38条第2項に基づき所定の手数料を徴収致します。適用される手数料および支払方法については、第12条の連絡先にご連絡ください。

当社は、個人情報保護法に基づき、遅滞なく対応いたします。

本人確認:お客様の個人情報を不正な開示から保護するため、本項に基づく請求を処理する前に、お客様の本人確認を行います。 本人確認の方法には、(i) ワンタイム認証リンクによる登録メールアドレスの確認、(ii) 政府発行の身分証明書(運転免許証、マイナンバーカード(マイナンバー部分は隠した状態)など)の提示、または (iii) 法定代理人または代理人が請求を行う場合、委任状または権限を証明する同等の書類と、代理人自身の身分証明書の提示が含まれます。 当社は、お客様からの請求を受領次第、適用される本人確認方法をお知らせいたします。開示請求については、個人情報保護法第38条第2項に基づき手数料が発生する場合があります。適用される手数料額およびお支払い方法については、請求時にご案内いたします。
 

9 個人情報漏洩の通知(個人情報保護法第26条)

当社は、個人の権利利益を害するおそれのあるお客様の個人情報に関するデータ漏洩を認識した場合、個人情報保護法第26条および関連する個人情報保護法施行規則の規定に基づき、個人情報保護委員会(PPC)に報告し、影響を受ける個人に通知します。
 

10 ダイレクトマーケティング(特定電子メール法、特定商取引法第12条の3

特定電子メール法および特定商取引法第12条の3に基づき:

  • 当社は、お客様から事前にオプトインの同意を得た場合に限り、商業的な電子メッセージ(電子メール、プッシュ通知)を送信いたします。
  • 各メッセージには、送信者(ブリタ・ジャパン株式会社)を明記し、有効な返信先アドレスまたはオプトアウト用URLを記載するとともに、当該メッセージが商業的なものであること(広告)を明示します。
  • 当社は、同意の日から3年間、お客様の同意に関する記録を保管いたします。
  • お客様は、メッセージ内の配信停止リンク、お客様アカウントの設定、または第12条に記載の連絡先を通じて、いつでも同意を撤回することができます。
     

11 保存期間

当社は、明示された目的のために必要な期間、または法律で要求される期間のみ、個人情報を保持します:

  • アカウントデータ:アカウントの存続期間、閉鎖後30日以内に削除
  • 注文データ:7年間(法人税法第150条の2、会社法第432条)
  • 健康・水分摂取データ:同意の撤回またはアカウント削除まで;30日以内に削除
  • IoTデバイスデータ:アカウント存続期間中
  • 非アクティブアカウント:お客様のアカウントに6ヶ月間連続してログイン活動がない場合、登録メールアドレス宛に30日前の事前通知を送信した上で、アカウントおよび関連する個人情報を削除することがあります。通知期間内にアカウントにログインすることで、削除を防ぐことができます。
  • マーケティングに関する同意記録:最後に電子メール広告を送信した日から3年間(特定商取引法法)
  • サーバーログ:30日間
  • お問い合わせデータ:解決後、証拠として合理的な期間を保持
     

12 お問い合わせ

BRITA Japan株式会社 カスタマーサービスセンター
個人情報問合せ窓口
住所:〒104-0061 東京都中央区銀座3-15-10 7F
電話番号:0570-001-179(有料電話、平日 10:00~17:00)
オンラインフォーム:support-d.brita.co.jp/hc/ja/requests/new
PPCへの苦情連絡先:個人情報保護委員会 – www.ppc.go.jp
 

13 改定

当社は、事業上または法的な理由により、必要に応じて本ポリシーを改定する場合があります。重要な改定については、新しい改定日を明記して当社のウェブサイトに掲載します。個人情報の利用範囲を拡大する改定、または同意を必要とする新たな利用目的を導入する改定については、改めてお客様の同意を取得します(個人情報保護法第18条)。重要でない改定の公表後も本サービスを継続してご利用いただくことは、改定内容への同意を構成するものとします。

〒104-0061 東京都中央区銀座3-15-10 7F
BRITA Japan株式会社
代表取締役 マイケル・マギー