Thriveプライバシーポリシー

Deutsch | English (UK) | English (US) | Español | Français (CA) | Français (FR) | हिंदी | Italiano | 日本語 | 한국어 | Polski | Portugûes | 简体中文

最終更新日:2025年7月2日

ようこそ

Thrive Global Holdings, Inc.(以下「Thrive Global」、「Thrive 」、「当社」、「私たち」)へようこそ。Thriveは、科学的根拠に基づいた行動変容ソリューションの提供を通じて、精神的、感情的、肉体的なウェルビーイングの向上をお手伝いします。当社のウェブサイト(以下「サイト」)やモバイルアプリケーション(以下「アプリ」)を通じて、あるいはサードパーティプラットフォーム(SlackやMicrosoft Teamsなど)との連携により、ユーザー(以下「あなた」「ユーザー」)は、持続可能な習慣の形成とウェルビーイング全般の向上に役立つパーソナライズされたツール、リソース、およびコンテンツ(マイクロステップ、アセスメント、教育体験、行動支援機能など)にアクセスすることができます。サイト、アプリ、および関連するデジタル体験を通じて当社が提供するサービスを総称して「サービス」といいます。

これらのサービスを提供し改善するために、当社は、個人を特定できる情報(PII)、エンゲージメントデータ(ユーザーのコンテンツや機能とのインタラクションなど)、行動インサイト、健康関連情報、および適用法で定義されるその他の機密データを含む、さまざまな種類の情報を収集、処理することがあります。当社は、適切な法的根拠に従って、必要に応じてユーザーの同意を得たうえで、これをおこないます。

Thriveはユーザーのプライバシーを保護し、データを責任を持って取り扱うよう努めています。プライバシーとセキュリティに関する原則を、サービスの設計段階から前提として組み込み、技術的、組織的に適切な保護措置を講じています。データの取り扱い方針は、HIPAA、GDPR、CCPA/CPRAなどの適用されるプライバシー規制および、ユーザーの居住地やサービスの利用状況に応じて適用されうる、その他の地域別のフレームワークに準拠するように設計されています。

クイックアクセス:プライバシー権の行使についてはhttps://preferences.thriveglobal.com/privacy、または以下のお問い合わせ先をご覧ください。

本プライバシーポリシーの目的

本プライバシーポリシーは、当社がサービスを通じて収集する個人データの内容、使用方法および共有方法、ならびに当社のデータ取り扱い方針に関するユーザーの選択について説明するものです。本プライバシーポリシーは、https://www.thriveglobal.com/termsに掲載されている当社の利用規約の一部を構成します。

ユーザーはそれぞれの居住地のデータ保護基準や、雇用者がThrive Globalと締結したデータ保護契約(DPA)の対象となる場合があります。この文書には、欧州経済領域(EEA)、イギリス(UK)、スイスおよびカリフォルニア州の消費者とそのプライバシー権に関するセクションが含まれています。

プライバシーポリシーの変更

当社はサービス内容の変更にしたがって、本プライバシーポリシーを更新する場合があります。重要な更新については、適用開始の30日前までにメールで通知されます。軽微な更新については、新たな「最終更新日」と共に公開されます。ユーザーは引き続きサービスを利用することで、そうした変更に同意をしたものとみなされます。

法令遵守の枠組み

当社は、GDPR、CCPA/CPRA、各州のプライバシー法、およびその他の管轄区域の要件をはじめとする、適用されるプライバシー法をつねに遵守します。当社のコンプライアンスプログラムには、定期的な法的レビュー、管理評価、法律の改正に伴うプライバシー慣行の更新が含まれます。当社は法律顧問と協力して、当社の業務が現行の規制基準を満たしていることを確認しています。

プライバシーガバナンス

当社のプライバシープログラムには、プライバシーコンプライアンス、研修、インシデント対応を担当する専任のプライバシー責任者が任命されています。また、従業員を対象に定期的にプライバシー保護研修を実施し、プライバシー保護義務の継続的な遵守とユーザーの個人情報を保護するための責任体制を維持しています。

データ保護の原則

当社は、当社の事業運営および法的義務に適合する正当な目的のためにのみ、個人情報を収集、使用、処理します。また、個人情報の収集目的を収集時または収集前に明確にし、収集は必要なデータに限定し、データ最小化原則を採用しています。さらに、不要な個人情報の処理を排除し、ユーザーのプライバシーを保護するための技術的および組織的対策を実施するために、データ取り扱い方針を定期的に見直しています。

アクセス権限に関する基本方針

当社は、ユーザーがご自身の個人情報に適切にアクセスできる体制をつくるよう努めています。請求があった場合、当社は、本人確認をしたうえで適用される法的要件に従って、速やかにご自身の個人データへのアクセスを提供します。ただし、法律で義務付けられている場合や、アクセスが他者のプライバシーを侵害する場合など、限られた状況においてはアクセスを拒否することがあります。

プライバシー影響アセスメント

当社は、個人情報へのリスクを特定し、軽減するために、プライバシー影響アセスメントを実施します。このアセスメントでは、新しいプロジェクト、システム、および技術をはじめとする当社のデータ処理活動について評価し、プライバシー法およびセキュリティ要件に準拠しているかを確認します。リスクが特定された場合、適切な保護措置を講じて、ユーザーのデータとプライバシーを保護します。

個人情報収集制限の詳細

個人情報の収集は、特定された目的のために必要なもののみに限定します。当社は、本ポリシーで定める正当な目的に、適当な形でかつ直接的に関連するデータのみを収集します。収集は、合法的かつ透明性の高い手段によっておこなわれます。また、適用される法律で義務付けられている場合には、適切な通知と同意を得たうえでおこなわれます。

個人情報処理の法的根拠

当社は、適用されるプライバシー法に基づき、以下の法的根拠に基づいて個人情報を取り扱います:

  • 同意:ユーザーが自由意思で、具体的に、かつ十分な説明を受けたうえで同意をした場合のみ、マーケティング・コミュニケーションや任意のデータ収集をおこないます。
  • 契約の履行:ユーザーとのサービス契約を履行するために必要な処理、あるいは契約締結前にユーザーの要望に応じておこなわれる処理をおこないます。
  • 法的義務:適用される法律、規制、または法的手続きに従うために必要な処理をおこないます。
  • 正当な利益:セキュリティ、不正防止、サービス改善など、当社の正当な事業利益のために必要な処理であり、その利益がユーザーのプライバシー権に優越しない限り、この処理をおこないます。

当社が収集する情報

アプリユーザー

  • アカウント情報:氏名、Eメールアドレス、その他の連絡先情報
  • プロフィール情報:プロフィール写真、経歴、国情報、人口統計情報
  • アプリのエンゲージメント情報:ウェルビーイング調査、ウェビナー、学習アクティビティへの回答およびインタラクション
  • 健康と活動に関する情報:睡眠、運動、心拍数、およびその他のウェルビーイングデータ(身体的、行動的、感情的指標を含む)は、ユーザーが直接提供するか、サイトに接続されたウェアラブルデバイスを通じて提供する場合に限り、収集されます。
  • コミュニケーション:サポートリクエストおよびソーシャル機能を含む、当社とのやりとりやアプリ内でのメッセージ
  • 未成年者(13~15歳)に関する注意事項:雇用主が後援、あるいは公認するプログラムを通じて13歳~15歳の扶養家族または家族に本サービスが提供される場合、Thriveは、適用される児童プライバシー法に従って、親または保護者の同意あるいはスポンサー組織から提供された同意がある場合に限り、それに基づいて個人情報を処理します。このようなアクセスはすべて、本プライバシーポリシーの「子どものプライバシー」セクションの適用を受けるものとします。

サイトユーザー

  • ご提供いただく個人データ:サイト登録時に入力された情報(メールアドレス/パスワード)、またはフォーム、お問い合わせリクエスト、イベント登録、メール購読を通じて電子的に送信された情報(通常は氏名、連絡先、会社情報、電話番号など)

自動的に収集されるデータ

  • ログデータ:IPアドレス、ブラウザの種類と設定、リクエストの日時、インタラクションパターン
  • クッキー:クッキーおよびその他のテクノロジーから得られる情報(詳細は「クッキー」のセクションを参照)
  • デバイス情報:デバイスの種類、オペレーティングシステム、設定、一意の識別子、ネットワーク情報
  • 利用情報:閲覧したコンテンツ、使用した機能、実行したアクション、ユーザーインタラクション、利用時間

規制区分のお知らせ

Thriveのプラットフォームは、ユーザーが健康的な習慣を築き、生活の質を全体的に向上させるための、総合的なウェルビーイングソリューションとして設計されています。当社は、ユーザーが健康関連情報を提供することを選択した場合、それを処理することがあります。ただし当社のサービスは:

  • いかなる病気や症状の診断、治療、治癒、予防を目的としたものではなく、また、資格を有する医療の専門家の診断、治療、または助言を代替するものでもありません。心身の健康に関する懸念がある場合は、資格を有する医療提供者にご相談ください
  • FDAの規制における医療機器に該当しません
  • 一般的なウェルビーイングに関する知見を提供するものであって、健康に関する臨床的なアドバイスを提供するものではありません
  • EEOCの規制に従って、ユーザーの雇用主のウェルネスプログラムを通じて提供される場合もあります。
  • ユーザーの雇用主のウェルネスプログラムを通じて提供される場合、当社は、HIPAA(ビジネス・アソシエートとして行動する場合)、ADA、GINA、EEOCウェルネスプログラムの要件をはじめとする、適用されるすべての規制を遵守します。

情報の利用方法

利用制限の原則

当社は、個人情報の利用を、収集時に定義して許可された目的に限定します。データの使用は、収集時の目的および法的根拠から外れないものとします。個人情報を、適切な同意を得るかまたは新たな法律的根拠を確立しない限り、当初収集した目的と相いれない形では取り扱いません。

正当な営業上の目的

サービスの向上:

  • 問い合わせやサービスリクエストへの対応
  • ユーザーの利用パターンや好みに応じた、サービスのカスタマイズ
  • サービス、規約、ポリシーの変更に関する管理情報の送信
  • コンテンツと機能の提供、維持、改善

リサーチとデータ管理:

  • 調査を実施し、利用状況を集計したうえで匿名化して提供
  • 削除依頼の後に不要な処理が発生しないよう、基本データを保持

セキュリティと法令遵守:

  • 詐欺、犯罪行為、サービスの不正利用の防止
  • ITシステムのセキュリティを確保し、法的義務を遵守
  • 法的請求への対応と、当社の利用規約に定めた事項の実施
  • 当社の業務、権利、ユーザーの安全を保護

当社が導入しているAIシステム

当社はサービス向上のために、機械学習(ML)技術をはじめとする人工知能(AI)システムを導入していますが、それには以下のようなものがあります:

リスクが限定されたAIシステム(透明性義務が適用される):

  • コンテンツ生成システム:AIが、パーソナライズされたウェルビーイングコンテンツとレコメンデーションを作成
  • レコメンデーション・エンジン:MLアルゴリズムで、マイクロステップと機能を提案
  • チャットボットとバーチャルアシスタント:AI搭載のサポートツール

リスクが極めて軽微なAIシステム:

  • 不正行為の検知:AIが、不審なアクティビティやセキュリティ上の脅威を特定
  • システムの最適化:MLによる、アプリのパフォーマンスとユーザー体験の向上
  • アナリティクス処理:AIが、匿名化された利用状況を分析

EU AI規則への対応

  • 透明性措置:ユーザー体験にAIが関与している場合、適切な通知を通じて明確に開示します。
  • 人間による監視:すべてのAIシステムは、有資格者がパフォーマンスを監視し、必要に応じてユーザーが人間による介入を要求できる形で運用されます。
  • 正確性と堅牢性:適切な措置によりAIの信頼性が確保されます。これには、パフォーマンスの検証、エラーとバイアスの監視、継続的な改善などが含まれます。
  • リスク管理:リスク評価およびその軽減処置であり、システム評価、システム機能の記録、インシデント対応などが含まれます。

AIトレーニングのためのデータガバナンス

  • トレーニングデータ:当社は、プライバシーとセキュリティの基準に準拠し、匿名化のうえで集計されたユーザーデータを使用します。
  • サードパーティー・モデル:当社は、明示的な同意なしに、ユーザーの個人データを外部のAIモデルのトレーニングには使用しません。
  • データ品質:トレーニングデータの正確性、代表性を担保し、バイアスを軽減するための対策を実施します。

AIに関するユーザーの権利とコントロール

  • 情報に関する権利:自分に大きな影響を与えるAIシステムの詳細を要求し、自動化された意思決定ロジックの内容を理解し、トレーニングデータ情報にアクセスする権利
  • コントロールの権利:AIによるパーソナライゼーションをオプトアウトし、人間による審査を要求し、AIが生成したコンテンツに意義を申したてる権利

マーケティング

当社は、あなたが関心を持っていると思われるコンテンツ、サービスまたは製品についてご連絡することがあります。法律で義務付けられている場合(EUユーザーなど)には、同意がある場合にのみマーケティング情報を送信します。

オプトアウトのオプション:メールに記載されている配信停止の指示に従うか、ユーザー設定を更新するか、または当社にご連絡ください。

ただし、サービスの提供に必要な通知は、マーケティングに関するオプトアウト設定の対象外です。

ユーザー情報の更新

個人情報の開示請求があった場合、本人確認をおこない、かつ法的要件の範囲内で、個人情報への適切なアクセスを提供します。当社は、データの正確性と品質を担保するため、合理的な措置を講じています。情報が不正確であると思われる場合は、訂正のためにご連絡ください。

プライバシー権の行使については https://preferences.thriveglobal.com/privacy、または「お問い合わせ先」をご覧ください。

クレーム解決

当社は、プライバシー慣行に関するクレームを真摯に受けとめます。当社の個人情報の取り扱いについてご不明な点がございましたら、「お問い合わせ先」までご連絡ください。速やかに調査をおこないます。7営業日以内にクレームを承って、30日以内に問題を解決するよう努めます。またケースによっては、ユーザーは監督当局にクレームを申し立てる権利を有する場合もあります。

参加と是正の権利

当社は、個人情報に関する決定への、ユーザーの参加権を尊重します。ユーザーは、適用される法律に従い本人確認をおこなったうえで、自身のデータへのアクセス、修正、または削除を要求することができます。当社は、合理的な期間内に要求に応じ、法律で義務付けられている是正措置または説明を提供します。ユーザーは、当社の措置に関する決定に異議を申し立て、適切なチャネルを通じてさらなる是正を求める権利を有します。

データプライバシーフレームワーク

当社は、EU-米国データプライバシーフレームワークおよびその英国への拡張、ならびにスイス-米国データプライバシー・フレームワークに自主的に参加し、遵守しています。当社はFTCの監督下にあり、DPFの原則に反するベンダー/サービスプロバイダーについてつねに責任を負います。

紛争解決:DPFに関するクレームは、まず当社にご連絡ください。未解決のクレームは、あなたの費用負担なしにJAMSの裁判外紛争解決手続に託されます。

利用データとThrive Globalプログラム

当社は、ユーザーのサービス利用から知見を得て、業務分析、財務報告、監査機能およびその他の事業目的のために、集計、匿名化したデータを作成することがあります。雇用者のウェルネス・プログラムから得たデータを処理する場合、当社は、すべての集計レポートにおいて適切な非特定化基準を維持することで、個人を特定できないようにします。

Thriveのプログラム(ウェビナー、イベント、コンテスト)に参加することで、ユーザーは当社に対して、提出したコンテンツを合法的なビジネス目的で使用する権利を付与したことになります。参加すると、ユーザーはこれらの条件に同意したものとみなされます。

情報の共有と開示

正当な事業目的による共有

ベンダーおよびサービスプロバイダー:当社は、ホスティング、メール通信、カスタマーサポート、および分析(Google Analytics、Google Cloud、Microsoft Azureなど)のために第三者とデータを共有します。すべてのベンダーは、書面による契約を通じて厳格なプライバシー基準を遵守します。

事業譲渡:合併、買収、資産売却の際に、個人データが譲渡されることがあります。

法的要件:当社は、法的義務を履行し、権利/財産を保護し、公共の安全を確保するためにデータを開示することがあります。

ユーザーの指示による情報共有

ユーザーが第三者のアクセスを承認した場合、または企業顧客にエンゲージメントレポートを共有することを選択した場合、当社はデータを共有することがあります。ユーザーはアプリのコミュニティ機能を通じて、みずから他のユーザーと情報を共有することができます。

一般データ保護規則(GDPR)、英国GDPR、およびスイスデータ保護法

適用範囲とデータ転送

本セクションは、EEA、イギリス、スイスのユーザーに適用されます。ユーザーが当社のサービスにアクセスする際、個人データは、標準契約条項、データプライバシー・フレームワークの認証、および技術的/組織的セキュリティ対策を含む適切な保護措置を講じたうえで、当社のアメリカのサーバーに送信されます。

データ管理者と取扱者としての役割

データ管理者:ユーザーが当社のプラットフォームを通じて個人データを提供する場合、当社では取り扱い目的を決定し、必要に応じてデータ保護影響評価を実施するなど、適用される法律を遵守します。

データ取扱者:企業顧客のデータを取り扱う場合、当社は、適用される取扱者の義務に基づき、顧客の指示に従って行動します。

GDPRにおけるユーザーの権利

  • アクセスする権利:自身の個人データの取り扱い方法を確認し、そのコピーを受け取る権利
  • 修正する権利:不正確または不完全な個人情報の修正を要求する権利
  • 削除する権利:一定の条件に該当する場合、自身のデータの削除を要求する権利
  • 取り扱いを制限する権利:自身のデータの利用方法を制限するよう要求する権利
  • データポータビリティの権利:構造化された、機械が読み取り可能な形式でデータを受け取る権利
  • 異議申し立ての権利:自分の個人情報の取り扱い方にいつでも異議を申し立てることができる権利
  • 同意を撤回する権利:以前に与えた同意をいつでも撤回する権利
  • 自動化された意思決定に関する権利:自動化された処理のみに基づく意思決定の対象とならない権利
  • クレームを申し立てる権利:居住地のデータ保護当局にクレームを申し立てる権利

個人情報へのアクセス請求手続き

当社は、ユーザーの本人確認をしたうえで、適用される法的要件に従って、要求に応じて個人情報への適切なアクセスを提供します。アクセスを希望する場合は、「お問い合わせ先」までご連絡ください。ただし、法律で義務付けられている場合や、アクセスが他者のプライバシーを侵害する場合など、限られた状況においてはアクセスを拒否することがあります。当社は、適切な期間内に回答し、拒否する場合はその理由を説明します。

データ主体権利の手続き

  • リクエストの処理:当社は、本人確認、リクエストの検証、例外の審査、および事業部門間の対応調整をはじめとする、プライバシーの権利に関するリクエストの処理について、標準化された手順を定めています。
  • 回答期限:通常のリクエストに対しては30日以内に回答しますが、複雑なリクエストの場合、60日期限を延長する可能性があります。遅れが発生した場合は、その理由をお知らせします。
  • 認証要件:本人確認には、不正アクセスを防止するために、メールによる認証、アカウント認証などが必要です。また、リスクの高いリクエストに関しては、書類提出が必要な場合があります。

国をまたぐデータの転送

当社は、GDPR第46条が要求する標準契約条項、適格性判断、および必要な追加措置を含む適切な安全措置を実施しています。適格性判断がされていない国へのデータ移転については、移転影響評価を実施し、強化された暗号化、アクセス制御、契約上の保護措置を含む追加の技術的および組織的措置を講じて、十分な保護を確保します。

データ保持

当社は個人データを、収集目的、法令遵守、または紛争解決に必要な部分に限り保持します。データは、業界標準の削除または匿名化処理をしたうえで安全に廃棄されます。保持期間については文書化したうえで、毎年見直しをおこないます。

データの正確性と品質

当社は、保有する個人情報の正確性、完全性、妥当性を維持するよう努めます。また、データ品質を確保するため、不正確な情報が発見された場合には記録を更新するなど、合理的な措置を講じています。ご自身の個人情報が不正確または不完全であると思われる場合は、訂正のため当社の「お問い合わせ先」までご連絡ください。

使用制限

当社は、個人情報を、収集時に明示した目的およびそれと互換性のある目的にのみ使用します。適切な同意をいただくかまたは新たな法的根拠を確立しない限り、ユーザーのデータを関連のない目的で使用することはありません。また、データの処理活動を文書化し、定期的に見直すことで、明示した目的との整合性をつねに確保します。

PHIの取り扱いとHIPAAへの準拠

当社は、HIPAAに従って、保護対象健康情報(PHI)を取り扱うことがあります。PHIとは、病歴、生体情報、健康関連活動情報などのデータであり、雇用主が後援するウェルネスプログラムを通じて収集されるか、または利用者が明示的に選択したうえで提供したものです。PHIの取り扱いは、適切な保護措置のもとで当社のサービスをサポートするため、厳格に制限されており、業務提携契約(BAA)のもとで許可された当事者とのみ共有されます。

データ保持期間

  • PHIおよびePHIの記録:HIPAA§164.316(b)(2)(i)が要求する最低期間である6年間。ただし、州ごとの要件によってはより長い期間が適用される場合あり
  • PHI監査ログ:アクセスログ、変更記録、セキュリティイベントログなどのePHIを含んだり、処理したりするすべてのシステムについて最低6年間
  • HIPAA文書:方針、手順、リスク評価、研修記録、インシデント報告書を含む、すべてのHIPAA準拠の文書について6年間

一般的なデータ保持期間

  • アカウントデータ:セキュリティ保護のため、有効期間+削除後90日間
  • ウェルビーイングの追跡データ:契約終了後90日間
  • マーケティング設定:ユーザーがオプトアウトするまで、および法的に要求される期間
  • サポートのためのコミュニケーション:サービス向上のため、1年間
  • セキュリティログ(非PHI):システム保護およびインシデント対応のため、1年間
  • 事業記録:財務および税務法規で義務付けられている7年間

法的保持手続き:法的措置、調査、規制上の事由のために必要な場合、データをより長く保持する必要が生じる場合があります。これらの法的保持は、当社の法務チームがそれを解除するまで、標準的な削除スケジュールよりも優先されます。

サブプロセッサー

以下は、当社が利用するサブプロセッサーおよびサードパーティプロセッサーの全リストであり、各プロセッサーは、書面による契約を通じて、厳格なプライバシーおよびセキュリティ要件を遵守します。このリストは定期的に更新されます。変更通知を受け取るには、当社のメーリングリストに登録してください。

すべてのサービス:

  • Coda*-ユーザーエンゲージメントとプロジェクトマネジメント- 888 Villa St, Floor 4, Mountain View, CA 94041
  • Datagrail-プライバシーオートメーション- 164 Townsend Street, Suite 12, San Francisco, CA 94107 US
  • Fivetran-データETLパイプライン- 405 14th St floor 11, Oakland, CA 94612 US
  • Google Cloud Platform-データウェアハウス- 1600 Amphitheatre Pkwy Mountain View, CA 94043 US
  • Google Workspace*-コンテンツ制作- 1600 Amphitheatre Pkwy Mountain View, CA 94043 US
  • HubSpot-Eメールマーケティング- 25 First Street, 2nd Floor Cambridge, MA 02141
  • Looker-データ分析- 101 Church Street, 4th Floor, Santa Cruz, CA 95060 US
  • Microsoft Azure-クラウドホスティングプロバイダー- One Microsoft Way, Redmond, WA 980527 US
  • Rethink Autism*-ニューロダイバージェント・ケア・プロバイダー- 49 West 27th Street, New York, NY 10001
  • Salesforce-顧客関係管理- The Landmark @ One Market, Suite 300 San Francisco, CA 94105 US
  • Segment-ユーザー分析- 100 California Street, Suite 700 San Francisco, CA 94111 US
  • Typeform*-調査プラットフォーム- Calle de Pallars 108 (Aticco), 08018 - Barcelona (Spain)
  • Zapier*-ワークフロー・オートメーション- 548 Market St. #62411, San Francisco, CA 94104
  • Zendesk-ユーザーサポートソフトウェア- 450 Park Ave S, New York, NY 10016

サイトのみのサブプロセッサー:

  • Webflow-マーケティングウェブサイト・ホスト- 398 11th Street, 2nd Floor, San Francisco, CA 94103

アプリのみのサブプロセッサー:

  • Amazon Web Services*-SFTP- 410 Terry Avenue North, Seattle, WA 98109 US
  • Datadog-インフラストラクチャおよびセキュリティ監視プラットフォーム- 620 8th Avenue, Floor 45, New York, NY 10018
  • HumanAPI*-ウェアラブル・インテグレーション- 951 Mariners Island Blvd, Suite 300
  • Qualtrics-調査プラットフォーム- 333 W River Park Dr, Provo, UT 84604, US
  • Mailgun トランザクションメール- 112 E Pecan Street, San Antonio, TX 78205 US

*がついたものは、すべてのユーザーに適用されるとは限りません。

請負業者および処理業者に対するプライバシー要件

すべての請負業者および処理業者は、書面による契約を通じて、GDPR、CCPAおよびHIPAAの遵守、適切なセキュリティ対策、漏洩した場合の72時間以内の通知、定期的な監査、および終了時のデータの返却/破棄を厳格に実施しています。

プライバシー・インシデントの報告

当社は、プライバシーに関するインシデント、問い合わせ、およびコンプライアンス活動を文書として記録し対処するための、透明性の高い報告体制を備えています。また、定期的にプライバシー慣行を見直し、規制当局をはじめとする利害関係者に対して、法律で義務付けられている通りに報告しています。データの漏洩が発生した場合、適用される法的義務に従い、影響を受ける個人および当局に速やかに通知します。

カリフォルニア州におけるプライバシー開示

Do Not Track(DNT)とCCPA

当社は、「Do Not Track(DNT)」シグナルには対応していません。当社が金銭的な対価を得るために個人情報を販売することはありません。ただし、カリフォルニア州法の「販売」の広範な定義により、第三者プロバイダーとのクッキーデータの共有について開示をする必要があります。

カリフォルニア州消費者の権利

情報の権利:収集される個人情報のカテゴリーと情報源、取り扱い目的、第三者への提供カテゴリー、および業務上の開示目的。

管理の権利:データの「販売」からのオプトアウト、削除要求(例外あり)、および権利行使による差別禁止。

権利行使の方法 https://preferences.thriveglobal.com/privacyまたは「お問い合わせ先」をご覧ください。

子どものプライバシー

Thriveのサービスは、雇用主が後援するプログラムを通じて16歳以上の個人が利用することを意図しています。当社は16歳未満の子どもから、親、保護者、または参加組織の権限を有する従業員からの適切な同意なく、意図的に個人情報を収集することはありません。必要な同意を得ずに子どもから個人情報を収集したことが判明した場合は、速やかに当該情報を削除し、今後の収集を防止するための措置を講じます。18歳未満のユーザーが本サービスにアクセスする場合、COPPA(児童オンラインプライバシー保護法)、CCPA/CPRA、GDPRなどの適用法に基づき、親または保護者の許可が必要となる場合があります。Thriveは、サービスを直接子ども向けに販売することはなく、未成年者による自己登録を許可していません。当社が本条項に違反して児童から情報を収集した可能性があると思われる場合は、直ちにprivacy@thriveglobal.comまでご連絡ください。

HIPAAコンプライアンスプログラム

HIPAA規制コンプライアンス

  • プライバシー規則の遵守:当社は、個人の権利、最低限必要な基準、プライバシー慣行に関する通知、ならびに管理的、物理的、技術的な保護措置をはじめとするHIPAAプライバシー規則の要件を遵守しています。
  • セキュリティルールの遵守:当社は、HIPAAセキュリティ規則に基づいて必要な仕様および対応可能な仕様を実装し、そうした仕様に関する決定をリスク評価および組織の能力に基づいて行い、文書化したうえで実施しています。
  • 執行と罰則:当社は、保健福祉省市民権局(HHS OCR)のHIPAA執行権限を認識し、民事制裁金の支払いや刑事訴追につながる可能性のある違反を防止するためのコンプライアンスプログラムを維持しています。
  • 州法の遵守:当社は、HIPAAの要件を超えて、健康情報に対する追加的な保護を提供する可能性のある、適用される州のプライバシーおよびセキュリティに関する法律を遵守します。

プライバシー責任者およびセキュリティ責任者

プライバシー責任者:プライバシーポリシーおよび手順の策定・実施・維持、プライバシー研修の実施、クレーム調査、HIPAAプライバシー規則の遵守に責任を負います。

セキュリティ責任者:セキュリティポリシーおよび手順の策定・実施・維持、セキュリティ研修の実施、アクセス制御の管理、HIPAAセキュリティ規則の遵守に責任を負います。

ビジネスアソシエイトの管理

ビジネスアソシエイト契約(BAA):当社のためにPHIを取り扱うすべてのベンダー、請負業者、およびサブプロセッサーは、以下の内容を含むビジネスアソシエイト契約を締結する必要があります:

  • 許可された範囲でのPHIの使用および開示
  • 不正使用または不正開示を防止するための措置
  • 情報漏洩の通知義務
  • 契約終了時のPHIの返却または破棄
  • コンプライアンスの監視と監査権

下請業者の監督:ビジネスアソシエイトは、下請業者と契約する前に当社の承認を得なければならず、PHIを取り扱うすべての下請業者と適切なBAAを締結する必要があります。

HIPAAリスク評価およびコンプライアンスの監視

年次リスク評価:当社は、ePHI保護のために必要な脆弱性の特定、現在の保護措置の評価、追加のセキュリティ措置の決定を目的として、リスク評価を毎年実施しています。

従業員研修:すべての従業員は、採用時およびその後毎年、HIPAAのプライバシーとセキュリティに関する教育研修を受けます。また、PHIへのアクセス権限を有する従業員には、役割に応じた専門研修が実施されます。

コンプライアンスの監視:当社は以下の方法を通じて、コンプライアンスの監視を継続的に実施しています:

  • 定期的な監査ログのレビューとアクセス監視
  • 四半期ごとのアクセス制御のレビューと権限の検証
  • ポリシーおよび手順の年次レビューと更新
  • インシデントの追跡と是正措置の管理

必要最小限の基準:当社は、PHIの使用、開示、および請求を、意図した目的を達成するために最低限必要な範囲に限定します。ただし、本人への開示または特定の許可がある場合はこれに限りません。

HIPAAに基づく個人の権利:ユーザーは以下の権利を有します:

  • 自身のPHIへのアクセスおよびコピーを取得する権利
  • 不正確または不完全なPHIの修正を要求する権利
  • PHIの使用または開示の制限を要求する権利
  • 秘密通信を要求する権利
  • PHIの開示に関して報告を受ける権利
  • PHIの取り扱いに関してクレームを申し立てる権利

HIPAAにおける保護措置

管理上の保護措置:

  • ePHIのセキュリティに責任を負う、HIPAAセキュリティ責任者の指定
  • 従業員研修およびアクセス管理手順の設定
  • 必要最小限の原則に基づく情報アクセス管理
  • セキュリティインシデントの手順と危機管理計画の設定
  • 定期的なセキュリティ評価とリスク評価の実施

物理的な保護措置:

  • ePHIシステムへの物理的アクセスを制限する、施設内でのアクセス管理
  • ePHIの作成、受領、保持のためのデバイスおよびメディアの管理
  • ePHIを含むデバイスおよびメディアの安全な廃棄手順の設定

技術的な保護措置:

  • 一意のユーザー識別と自動ログオフ手順の設定
  • ePHIの静止時の暗号化(AES-256)および転送時の暗号化(TLS 1.2+)
  • ePHIへのアクセスと変更を追跡する監査制御
  • ePHIの不正な改変を防止する整合性制御
  • ePHIを送信する際のセキュリティ確保

セキュリティ

当社は、進化する脅威と規制要件に対応するため、セキュリティ対策を定期的に見直し、更新しています。ただ、ユーザーの情報を保護するために強力な手段を講じてはいますが、インターネットやメールの送信は完全に安全とは言えません。そのため、メールやオープンなコミュニケーション手段を通じて機密情報を共有する際は、十分にご注意ください。Thriveは、あなたが情報を共有することを選択した他のユーザーの行動を保証することはできず、また、サービス内のプライバシー設定またはセキュリティ機能の回避行為については責任を負いません。Thriveのセキュリティ態勢および認証の詳細については、https://thriveglobal.com/securityをご覧ください。

クッキー

当社は、サービスの運営、ユーザー体験の向上、および利用データの収集のために、クッキーならびにその他の技術を使用します。

クッキーの種類

必須クッキー(つねに有効):

  • HubSpot:プライバシー設定 (__hs_do_not_track, __hs_cookie_cat_pref)
  • Cloudflare:セキュリティ保護 (_cfuvid)

機能性クッキー(オプション):

  • Spotify:音楽の好み (sp_landing, sp_t)

アナリティクスクッキー(オプション):

  • HubSpot:使用状況のトラッキング (hubspotutk, __hstc, __hssrc, __hssc)
  • Thrive Global:エンゲージメント・トラッキング(ajs_anonymous_id)
  • Google Analytics:トラフィック分析 (_gat_gtag_UA_87667366_5, _ga_C4ZNYJBEB7, _ga_0S15647RW6, _ga, _gid)
  • Rippling:パフォーマンス監視 (__cf_bm)
  • YouTube:ビデオ分析(YSC)
  • WordPress Engine:機能テスト (wordpress_test_cookie)

広告クッキー(オプション):

  • YouTube:広告のパーソナライズ(VISITOR_INFO1_LIVE)

ユーザーによる選択

ほとんどのブラウザでは、設定によってクッキーを制御することができます。ただし、クッキーを制限すると、サイトの機能に影響を与える可能性があります。さらに、モバイルデバイスのトラッキングコントロールが制限される場合があります

他のウェブサイトへのリンク

本サービスには、当社が管理していない第三者サイトへのリンクが含まれている場合があります。第三者サイトにおける情報共有は、そのサイトのプライバシーポリシーによって管理され、当社のプライバシーポリシーには準拠しません。また、当社は、リンク先のサイトの内容を支持または推奨するものではありません。

お問い合わせ先

プライバシーチーム

データ保護責任者

セキュリティチーム

郵送先住所

Thrive Global Holdings, Inc.
599 Broadway, 6th Floor
New York, NY 10012

電話番号:1-888-700-8474

EU/イギリス/スイス居住者(DataRep)

  • オンラインフォーム: www.dpr.eu.com/thriveglobal
  • メールアドレス: thriveglobal@datarep.com
  • アイルランド:DataRep, Phoenix House, Monahan Road, Cork, T12 H1XY, Republic.
  • アイスランド:DataRep, Laugavegur 13, 101 Reykjavik, アイスランド

© 2025 Thrive Global Holdings, Inc. All rights reserved.