Last update: October 1st 2025
目次
はじめに
お客様のプライバシーおよび個人データの保護は、Brevo および当グループ各法人(以下総称して「Brevo」「当社」)にとって最優先事項です。本ポリシー中で定義されていない大文字語は、Brevo のサービス利用規約(Terms of Service)に定める意味を有します。
Brevo は、以下に定める特定かつ明示的な目的のため、または(i)サービスの提供、(ii)お客様に開示したその他の目的で、妥当かつ必要十分な範囲で個人データを収集・利用・保持・共有します。当社は、個人データの収集時の状況や文脈に適合するプライバシー実務となるよう努めます。
当社が収集する個人データの種類および利用方法は、当社との関わり方(ウェブサイト訪問者、サービスを利用する Brevo の顧客およびその担当者、または顧客の連絡先・受信者など)によって異なります。したがって本プライバシーポリシー(以下「本ポリシー」)は以下に適用されます。
- Brevo の顧客(以下「顧客」)のすべてのユーザーおよび代表者
- 顧客がソフトウェア上にアップロードした、またはソフトウェアを通じて収集した連絡先(電子的コミュニケーションの受信者、商談先の連絡先、登録ユーザー等。以下「連絡先(Contacts)」)のうち、当社が顧客の代理ではなく自らの管理者(コントローラ)として処理する場合
- Brevo のウェブサイト(https://fr.Brevo.com、以下「ウェブサイト」)を訪問するすべての訪問者(以下「ウェブサイト利用者」)
(以上をまとめて「お客様」といいます。)
本ポリシーは、当社に適用されるプライバシー関連法令(EU 規則2016/679(GDPR)および各国の関連法)に従い、当社による個人データの処理について明確かつ包括的にお知らせすることを目的としています。
法令・技術・商慣行の変更等により、本ポリシーは随時更新される場合があります。変更が重要な場合、当社は適切な手段でお知らせします。常に最新版をご確認ください。顧客は本ポリシーの記載を連絡先への告知に利用できます。お客様は、本ポリシーに同意し、また本ポリシーに記載のとおり当社による情報の収集・利用・開示に同意したものとみなされます。本ポリシーに同意いただけない場合、当社サービスをご利用にならないでください。
「個人データ」「データ主体」「管理者(コントローラ)」「処理者(プロセッサ)」「処理」「目的」「GDPR」等の用語については、本ポリシー末尾の「定義」をご参照ください。
お客様の個人データ処理に関するデータ管理者
本ポリシー第3節に記載の処理について、データ管理者(処理の目的・手段を決定する者)となる Brevo グループの法人は、お客様が契約を締結している Brevo 法人(有償プランの場合はお客様に請求書を発行する法人)です。所在地により、Sendinblue France(SAS)、Sendinblue North-America(Inc.)、Sendinblue Germany(GmbH)のいずれかが該当します。
Brevo グループの親会社は Sendinblue(フランス法上の SAS、本店:17 rue Salneuve, 75017 Paris, France、パリ商業登記番号 498 019 298)であり、Brevo の商号で事業を行っています。
本ポリシーの適用範囲
連絡先(Contact)の方へ:本ポリシー第3節に記載の特定目的については、Brevo が管理者(コントローラ)として処理しますが、それ以外の処理(コンテンツの保存、顧客の代理でのメール送信、統計作成等)について当社はコントローラではありません。Brevo はこれらの処理について処理者(プロセッサ)として、顧客の指示に基づき実施します(当社が自己の名で電子的コミュニケーションを送信することは、第3節に明記した場合を除きありません)。したがって、削除・アクセス・制限等、本ポリシー第8節(米国は第11節)の権利行使に対応できるのは顧客(データ管理者)です。各顧客のプライバシーポリシーをご確認のうえ、権利行使を行ってください。当社が処理者として個人データを取り扱う方法の詳細は、当社のデータ処理契約(DPA)をご参照ください。
当社はソフトウェア上で、オプションのアプリ/機能(WhatsApp メッセージ、Facebook 広告、Google Fonts・reCAPTCHA、Cloudflare Turnstile、OpenAI など。詳細は利用規約記載)を提供します。これらは第三者提供であり、当社は管理・保証いたしません。各機能の提供に伴う処理は、当該第三者のポリシー・利用規約に従います。ご利用の際は、各第三者のプライバシーポリシーをご確認ください。
ご不明点は、第9節(米国は第11節)の連絡先までお問い合わせください。
個人データの収集・処理目的
当社は、目的達成のために関連性があり、過度でなく、厳密に必要な個人データのみを収集・処理します。
当社が管理者(コントローラ)として行う処理について、目的・データの種類・法的根拠・保存期間を以下の表にまとめます。
ウェブサイト利用者のデータ処理
ソフトウェア経由で処理されるデータ
すべてのデータ主体に共通する目的
上記に加え、当社は以下の目的でも個人データを利用することがあります:契約遵守の監視、本ポリシーの履行、違法行為の防止・法的手続への対応、その他お客様の同意に基づく目的等。
収集元
- お客様から直接:問い合わせや注文時に、氏名・連絡先・雇用情報等を収集します。決済は PCI 準拠の決済事業者が処理します(保存は任意)。
- 顧客アカウント作成時:氏名・メール・会社名・ログイン用パスワード等。サービス提供・アカウント管理・連絡に利用します(アカウント通知はオプトアウト不可)。
- 顧客から(顧客の連絡先に関するデータ):当社は顧客のサービス提供者(処理者)として契約上処理します。顧客のプライバシー実務が適用されます。
- 自動取得(ウェブサイト/ソフトウェア利用時):IP、ISP情報、デバイス・ブラウザ情報等。クッキー等の利用はクッキーリスト(https://www.brevo.com/legal/cookies/)参照。オンライン通信の円滑化や必須サービス提供のための正当な利益、またはお客様の同意に基づき、診断・保護・運用・統計・マーケティング改善に利用します。顧客は必要な情報提供と同意取得を行う責任を負います(ピクセル、ビーコン等を含み得ます)。
当社は、追加の個人データカテゴリを収集する場合、または当初と非互換な目的に利用する場合、事前に本ポリシーの更新または通知を行います。
自由記述欄/自由入力データに記載可能な個人データ
当社は目的達成に必要最小限の個人データのみ処理します。この保証のため、ウェブサイトやソフトウェア上の自由記述欄には、サービスに関連し、目的に直接関連する事実情報のみをご提供ください。アップロード機能の利用時も同様です。
入力が必須であるかは収集時に示されます(例:アスタリスク表示)。必須項目が未提供の場合、当社はご要望への対応やサービス提供ができない場合があります。
個人データの開示先
当社は、適用法に従い、特定され承認された受領者に限り個人データを共有します(守秘義務を課します)。
社内の権限を付与された従業員(第3節の目的達成に必要な者)
— カスタマーサポート、営業・マーケティング、データ/デリバラビリティ、経理、人事(採用応募者対応)
外部受領者
- 政府当局:法執行・司法当局からの要請に応じて提供する場合があります。
- 提携事業者(計測用の非個人データ取得等):各受領者のプライバシーポリシーに従います。
- グループ会社・第三者:親会社・子会社との共有(サポート、マーケ、技術運用等)。事業承継、法令遵守、違法行為対応、権利行使・防御、同意に基づく場合等。
- サービス提供者:ホスティング、分析、メールホスティング、決済、チケット管理、インフラ、SMS 送信、セキュリティ・不正検知、オプション機能の第三者(Google Fonts / reCAPTCHA、Cloudflare Turnstile、WhatsApp、OpenAI 等)、顧客体験モニタリング、エキスパートプログラム運営等。当社は機密保持・適切な技術的/組織的安全措置を要求します。サブプロセッサ一覧は DPA に記載があります。
裁判上・行政上の手続、または所管当局の要請に応じて、第三者へ開示する場合があります。
欧州経済領域(EEA)外への個人データ移転
お客様の個人データが、欧州委員会の十分性認定のない国(例:米国、インド)へ移転される場合があります。当社は、適切な保護措置により十分な保護水準を確保します。
保証の概要・抜粋は第9節(米国は第11節)の連絡先にて請求いただけます。
個人データ処理に関するお客様の権利
適用法に基づき、以下の権利を有します:
- 同意の撤回:同意に基づく処理について、いつでも撤回可能(撤回前の処理の適法性は影響なし)。
- アクセス権:当社が保有する個人データの開示・写しの交付(濫用・過度でない限り)。
- 訂正権:不正確・不完備・不最新のデータの訂正(濫用・過度でない限り)。
- 消去権:一定の場合にデータの消去を請求可能(有効な異議申立て・同意撤回、目的不適合・不要、違法処理等)。
- 処理の制限:正確性への異議、違法処理だが消去に反対、当社目的では不要だが権利行使に必要、当社の正当利益に基づく処理への異議の検討中、等。
- データポータビリティ:同意または契約(契約前措置を含む)に基づく自動化処理について、構造化・一般的・機械可読形式で受領。
- フランス居住者のデジタル遺言:死後の個人データの取扱いに関する一般・個別の指示権。
異議申立て:当社の正当利益に基づく処理については、特別な事情に関連する理由によりいつでも異議申立てが可能です(当社の強行的正当事由や法的請求の確立・行使・防御に必要な場合を除く)。商業的勧誘(ニュースレター等)については、フッターのリンクからいつでも配信停止できます。第2節・第3節を参照し、当社が管理者である処理について権利行使してください。
監督機関への不服申立て:所管監督機関(フランスの場合 CNIL)へ苦情を申し立てる権利がありますが、まずは下記連絡先へご連絡ください。
権利行使先(当社が管理者の場合):
- 郵送:Sendinblue SAS, 17 rue Salneuve, 75017 Paris, France
- メール:[email protected]
顧客はソフトウェアの「edit my profile」から自らのデータを随時更新できます。
データ保護責任者(DPO)への連絡方法
- 郵送:Sendinblue SAS, Data Protection Officer, 17 rue Salneuve, 75017 Paris, France
- メール:[email protected]
- 英国:UK GDPR 第27条に基づく英国代表窓口:[email protected]
児童のプライバシー
当社は16歳未満の児童から故意に個人データを収集しません。ただし、顧客が 16 歳未満の個人データをサービスへ入力することは顧客のプライバシー実務に従います。当社はその遵守責任を負いません。16歳未満の個人から情報が提出された疑いがある場合は [email protected] までご連絡ください。当社は不適切に収集された情報を削除する権利を留保します。
米国向け特記事項
個人データの収集・処理
Brevo は、以下に記載する目的、または当社が開示した目的で妥当かつ関連する範囲においてのみ、個人データを収集・利用・保持・開示します。これらの目的は、当社サービスの提供に合理的に必要であるか、収集時の文脈と適合するものです。
直近12か月において、Brevo が収集した個人データのカテゴリは以下のとおりです。
- 識別子(Identifiers)
- 学歴・雇用に関する情報(Education and employment information)
- 取引・購買履歴(Commercial history)
- インターネットその他の同様の活動情報(Internet and similar activity)
- お客様が任意に提供したその他の個人データ
当社がこれらの個人データを処理する目的は、本プライバシーポリシー第3節に記載のとおりです。
当社は、法令に基づく通知および必要な同意なく、新たな個人データのカテゴリを収集したり、当初と著しく異なる目的で既に収集した個人データを利用したりすることはありません。
保存期間
各カテゴリの保存期間は、本プライバシーポリシー第3節に記載のとおりです。
個人データの開示
直近12か月において、Brevo は本プライバシーポリシー第6節「外部受領者」に記載の第三者へ、事業目的のため個人データを開示しました。お客様の同意に基づく場合、または法令で求められる場合、その他受領者に開示することがあります。
プライバシー管理
お客様は、当社が収集・保有する個人データをお客様自身で管理できるよう、以下の手段を利用できます。
- 顧客アカウント:ソフトウェアにログインし、情報の編集・設定変更を随時行えます。アカウントの削除により、当社における個人データを削除できます。
- 連絡先情報:顧客は、ソフトウェアにログインして、連絡先(Contacts)の個人データを編集・削除できます。連絡先の方が Brevo に直接消費者プライバシー請求を行った場合、当社は識別が可能であれば、該当顧客に請求を取り次ぎます。
- メール配信:顧客・ウェブサイト訪問者に対し、サービスに関するマーケティングメールを送信する場合があります。メール内のリンクまたは [email protected] への連絡で配信停止できます。なお、アカウント運用上の通知等、非宣伝目的のメールは停止できない場合があります。
- SMS 同意:携帯番号をご提供いただいた場合、当社は情報提供やサービス通知のための SMS を送信することがあります。マーケティング SMS はお客様のオプトインがある場合のみ送信します。いずれの SMS も「STOP」または「UNSUBSCRIBE」と返信することで配信停止できます(通信料が発生する場合があります)。
- Do Not Track:現時点で、当社システムはブラウザの「Do Not Track」信号を認識していません。変更があれば本ポリシーを更新します。
米国のプライバシー権
米国には、分野別の連邦法に加え、州ごとの包括的な消費者プライバシー法(例:CCPA(カリフォルニア)、コロラド、アイオワ、モンタナ、ネバダ、ネブラスカ、オレゴン、テキサス、ユタ等)があります。お住まいの州に応じ、以下の権利の一部または全部が適用される場合があります。
- 訂正権:不正確な個人データの訂正を請求できます。
- アクセス権:当社が収集した個人データの有無の確認、コピーの提供(可搬で利用しやすい形式)を請求できます(法で開示が禁止される情報や、履行回数・頻度が制限される場合あり)。
- 削除権:収集・保持している個人データの削除を請求できます(例外あり)。当社は削除・匿名化・集計のいずれかで対応します。
- 開示請求:収集カテゴリ、収集源のカテゴリ、収集・利用・共有・販売(該当する場合)の目的、共有先のカテゴリ、販売または共有がある場合の詳細(カテゴリ別)等の開示を求めることができます(法律上の上限あり)。
- 販売・行動型広告の共有のオプトアウト:Brevo は個人データを販売しません。州法で「共有」のオプトアウト権がある場合は [email protected] までご請求ください。
- プロファイリングのオプトアウト:嗜好等の評価・分析・予測を目的とする個人データ処理のオプトアウトを [email protected] へ請求できます。
- センシティブデータのオプトアウト:Brevo はセンシティブな個人データの収集を意図しておらず、同意なく特性の推定等の目的で開示・利用することはありません。
- 差別的取扱いの禁止:権利行使を理由に、商品・サービスの拒否、価格・品質の差別的取扱い、雇用上の報復などを行いません。
- Shine the Light(CA州):提携先・第三者への個人データ共有(マーケティング目的)に関する開示請求が可能です([email protected] へ)。
注意(カリフォルニア州):B2B 文脈で、顧客または見込み顧客の従業員として業務上提供されたデータには、上記の権利が適用されない場合があります。
消費者プライバシー請求
ソフトウェアで提供される手段以外で権利行使を希望される場合、オンライン請求フォームまたは [email protected] までメールで、本人確認可能な請求を行ってください。
連絡先(顧客の Contacts)の方から当社へ直接請求があった場合、当社は識別可能な範囲で該当顧客に取り次ぎます。
当社は、請求者が本人または正当な代理人であること、請求内容の理解・評価・対応が適切に行えることを確認できた場合に限り、請求に対応します。法で認められる場合を除き、手数料は請求しません。対応は各法域の要件に従い、例外や契約上義務との抵触がある場合、全部または一部に応じられないことがあります。
追加の連絡先は本ポリシー第9節をご参照ください。
データ移転への同意
Brevo は米国および欧州連合で事業を行い、EU 内外のサービス提供者を利用しています。このため、個人データが法域を越えて移転される場合があります。当社は、越境移転を可能な限り限定し、移転が必要な場合は適法なデータ移転メカニズムを用いるよう努めます。データが国外に移転されると、その国の法令(例:米国に保存された情報は米国法に基づき政府当局がアクセスし得る)に服します。当社による個人データの収集を許可することで、本項に記載の移転および処理に同意したものとみなされます。
Brevo のサービスがEU または米国以外での使用に適切・許可されていることを当社は保証しません。顧客は、自らのサービス利用が適用法に適合するかを単独で判断・確認する責任を負います。
データセキュリティ
当社は、個人データを不正または違法なアクセス・破壊・利用・改変・開示から保護するため、合理的かつ適切な安全管理措置を維持します。データ量・性質・範囲に見合う多層防御(ファイアウォール、暗号化、ウイルス対策、侵入検知等)を講じ、Tier 3・PCI DSS 認証データセンターの安全なサーバーに保管し、認証を経た当社担当者・委託先のみがアクセス可能とします。当社従業員・委託先には、適用プライバシー法の要件を周知し、必要最小限のアクセスに制限します。
ただし、インターネット上の送受信は完全な安全を保証できません。第三者による当社対策の回避や不正利用の可能性、顧客側のセキュリティ対策・実務について、当社は保証しません。
お客様の顧客アカウントの安全管理は、お客様の責任です。強固なパスワードの設定・秘匿、共有端末でのログアウト等を推奨します。パスワードの紛失・盗難・漏えい、または不正利用について、当社は責任を負いません。
受信トレイ(Inbox)機能に関する追加条項
当社ソフトウェアは、Google API Services User Data Policy(Limited Use を含む)に準拠します。Brevo ソフトウェアが Google API から受領した情報の他アプリへの利用・移転は、同ポリシーに従います。
ユーザーが Brevo に Gmail ユーザーデータへのアクセスを付与した場合、Brevo は以下に従います。
- アクセスの用途は、Gmail メール本文(添付含む)・メタデータ・ヘッダ・設定の読取・作成・変更・制御に限定され、ウェブメールクライアント機能の提供のために用います。
- 上記データの第三者移転は禁止(機能の提供・改善、法令遵守、事業譲渡等の必要時を除く)。
- 当該データを顧客獲得やマーケティング活動の管理には利用しません。
- 当該データを広告配信に使用しません。
- 人手による閲覧は、ユーザーの明示同意がある特定のメッセージ、セキュリティ上必要な場合(濫用調査等)、法令遵守、または社内運用の必要がある場合に限り、かつ集計・匿名化後に行います。
第三者ウェブサイト
サービスには第三者が所有・運営するウェブサイトへのリンクが含まれる場合があります。当社はこれら第三者サイトのプライバシー・データ収集・利用・開示実務を管理できず、責任を負いません。各サイトのプライバシー声明を確認してください。
本ポリシーの変更
当社は本ポリシーを定期的に更新する場合があります。重要な変更がある場合、本ポリシーの掲示更新またはサービス内での通知にてお知らせします。ページ上部に最終改定日を表示します。改定日の後にサービスを継続利用する場合、新ポリシーが適用されます。お客様は定期的な確認をお願いします。
定義
- 管理者(Controller):個人データの処理目的・手段を単独または共同で決定する者。
- データ主体(Data subject):識別された、または識別可能な自然人。
- GDPR:EU 規則2016/679。自然人の個人データ保護およびその自由な移転に関する規則。
- 処理者(Processor):管理者のために個人データを処理する者。
- 個人データ(Personal data):識別された・識別可能な自然人に関するあらゆる情報(氏名、識別番号、位置情報、オンライン識別子、属性等)。カテゴリには、識別子、法で保護される情報、(特定状況における)センシティブ情報(受信者でないメッセージ内容、人種、健康、労組加盟、児童に関する情報等)、生体情報、商取引履歴、雇用関連、非公開の教育情報、インターネット活動、プロファイリングの推定等が含まれます。CCPA における「個人情報(Personal Information)」を含みます。
- 処理(Processing):収集、記録、編成、構造化、保存、改変、取得、参照、利用、開示、配布、連結、制限、消去、破棄等、個人データに対して行われる一切の操作。