Skip to main content
Diditが750万ドルを調達、本人確認と不正対策のインフラを構築
Didit
Didit
プライバシーポリシー
更新日 2026年5月16日 · didit.me/terms/privacy-policy
法務

プライバシーポリシー

更新日: 2026年5月16日

このページの内容

本プライバシーポリシーは、お客様が当社のウェブサイトを訪問される際、当社にご連絡いただく際、当社の製品およびサービスをご利用いただく際、またはDiditが提供する本人確認または不正対策の検証フローを完了される際に、Diditが個人データをどのように処理するかを説明するものです。

お客様が銀行、フィンテック、暗号資産プラットフォーム、マーケットプレイス、雇用主、またはDiditを利用するその他の組織のために本人確認を行う場合、その組織が検証が必要な理由を決定する当事者となります。これらの場合、その組織は管理者または事業者であり、Diditはその処理者またはサービスプロバイダーとして機能します。検証に特化した処理、生体認証データ、およびホワイトラベルフローについては、当社の検証プライバシー通知および本人確認に関するエンドユーザー規約をご覧ください。

1. 当社について

サービスおよび地域に応じて、お客様のデータは以下のDiditエンティティのいずれかまたは両方によって処理される場合があります。

  • Didit Identity Spain, S.L., CIF B22929327, Calle Nápoles 227, P. 1, 08013 Barcelona, Spain。欧州連合、英国、欧州経済領域、スイス、およびラテンアメリカのお客様との契約主体であり、欧州データプレーンを運営する事業所です。
  • Didit Identity, Inc., EIN 39-2860573, 1111B S Governors Ave STE 34855, Dover, Delaware 19904, United States。米国、カナダ、アジア太平洋、中東、およびグローバルのお客様との契約主体です。

「Didit」「当社」「私たち」、または「当社の」という場合、適用されるサービスを提供するDiditエンティティを意味します。

2. 適用範囲と当社の役割

本プライバシーポリシーは、お客様が以下のいずれかを行う場合に適用されます。

  • `didit.me`またはDiditが運営するウェブサイトを訪問する。
  • 情報、デモ、またはサポートを要求する。
  • Diditとのビジネス関係、アカウント、または統合を作成または管理する。
  • Diditでの職務に応募する。
  • Diditによって、またはDiditを通じて運営される検証、不正防止、認証、またはコンプライアンスフローを使用する。

当社の役割は、状況によって異なります。

状況Diditの役割その意味
ウェブサイト訪問者、マーケティング、採用、営業、サポート、および直接的なビジネス関係管理者Diditは、これらの直接的なやり取りのためにデータが処理される理由と方法を決定します。
Diditの顧客によって要求された検証フロー処理者 / サービスプロバイダー顧客は、検証が行われる理由と、どのチェックが有効になるかを決定します。Diditは顧客に代わってデータを処理します。
セキュリティ、不正防止、サービス整合性、監査ログ、法的コンプライアンス、匿名化または仮名化されたデータに基づく不正モデルのトレーニングと検証、および法的請求その特定の目的のための独立した管理者Diditは、プラットフォームのセキュリティを確保し、不正検出および検証モデルをトレーニングおよび改善し、法律を遵守し、法的請求を確立、行使、または防御するために、限定されたデータを処理する場合があります。

お客様がホワイトラベルの検証フローまたはカスタムドメインを使用している場合でも、カスタムブランディングが施されているからといって、ブランド企業のみがお客様のデータを処理するとは限りません。Diditが基盤となる検証技術および関連する処理を提供している場合があります。

3. 当社が処理する個人データの種類

当社が処理するデータの種類は、サービス、ワークフロー構成、およびお客様とDiditとの関係によって異なります。これには以下が含まれる場合があります。

  • 識別子および連絡先データ, 氏名、メールアドレス、電話番号、郵送先住所、生年月日、および類似の識別情報。
  • ビジネスおよびアカウントデータ, 会社名、請求情報、アカウント資格情報、API使用状況の詳細、およびDiditとの関係の記録。
  • 検証データ, 身分証明書の画像、抽出された文書データ、住所証明ファイル、アンケートの回答、制裁またはウォッチリストスクリーニングの入力、および検証結果。
  • 生体認証およびライブネスデータ(ワークフローに顔認証または類似のチェックが含まれる場合), 自撮り写真、顔画像、ビデオ、ライブネスキャプチャ、なりすまし防止信号、および顔の幾何学的形状のスキャンから派生したデータ。
  • デバイス、ネットワーク、および技術データ, IPアドレス、ブラウザの種類、オペレーティングシステム、言語、デバイス識別子、タイムスタンプ、ネットワークデータから推測される地理的位置、およびその他のセキュリティまたは不正対策テレメトリ。
  • 通信およびサポートデータ, メッセージ、サポートチケット、通話記録、メールのやり取り、および運用ログ。
  • 第三者および公開情報源データ, 当社の顧客、本人確認または不正防止パートナー、公的機関、通信プロバイダー、および法律で許可されている公開情報源から提供される情報。
  • 採用データ, 履歴書、職務経歴、および採用プロセス中に提出されたその他の資料。

当社は、すべてのやり取りにおいて上記のすべての種類を必要とするわけではありません。使用される正確なデータは、要求されたサービスと、関連する顧客によって選択された構成によって異なります。

4. 個人データの利用方法

当社は、以下の目的で個人データを利用する場合があります。

  • 当社のウェブサイトおよびサービスを運営するため, アカウントアクセス、製品提供、顧客サポート、請求、およびコミュニケーション。
  • 本人確認および不正対策インフラサービスを提供するため, ユーザー認証(Know Your Customer / KYC)、ビジネス認証(Know Your Business / KYB)、取引モニタリング、ウォレットスクリーニング(Know Your Transaction / KYT)、およびその他の設定されたチェック。
  • プラットフォームのセキュリティを確保するため, 不正利用の防止、なりすましの検出、不正行為の防止、不審な活動の監視、およびサービス整合性の維持。
  • 匿名化または仮名化された検証活動から派生したデータを使用して、不正検出および検証モデルをトレーニング、評価、および改善するため(法律で許可されている場合)。オプトアウトについてはセクション11をご覧ください。
  • 要求に対応するため, デモ要求、サポートの質問、デューデリジェンス要求、およびビジネスコミュニケーション。
  • 採用および雇用を管理するため, 応募の審査および候補者との連絡。
  • 法的および規制上の義務を遵守するため, 記録の保持、合法的な要求への対応、契約の執行、および内部または外部監査の実施。
  • 法的請求を確立、行使、または防御するため、およびDidit、当社の顧客、および影響を受ける個人の権利、安全性、セキュリティを保護するため。

5. 処理の法的根拠

一般データ保護規則(GDPR)、英国GDPR、スイスのデータ保護法、または類似の法律が適用される場合、Diditは以下の1つ以上の法的根拠に依拠します。

  • 契約の履行、または契約締結前にお客様の要求に基づいて行われた措置。
  • 正当な利益, 当社のプラットフォームのセキュリティ確保、顧客サポート、不正防止、記録保持、匿名化または仮名化されたデータに基づく不正検出および検証モデルのトレーニングと改善、およびビジネス連絡先とのコミュニケーション。ただし、これらの利益がお客様の権利によって優先されない場合に限ります。
  • 同意。マーケティングコミュニケーション、特定のCookie、または特定の管轄区域またはワークフローにおける生体認証処理に同意が必要な場合を含みます。
  • 法的義務。適用される法律、規制、裁判所命令、または当局からの合法的な要求を遵守するために処理が必要な場合。
  • 法的請求の確立、行使、または防御

生体認証データを含む特別なカテゴリのデータまたは機密データが処理される場合、Diditは適用される法律で許可されている場合にのみそのデータを処理します。検証フローにおいて、関連する顧客は、検証自体の主要な法的根拠を決定し文書化する責任を負います。これには、明示的な同意が必要かどうかも含まれます。

6. 個人データの開示方法

当社は、個人データを以下の者に開示する場合があります。

  • 検証の実行を依頼した顧客。顧客がオンボーディング、不正レビュー、コンプライアンスチェック、または関連するビジネスプロセスを完了できるようにするためです。
  • Diditグループエンティティ。関連するサービスを運営、サポート、保護、または提供するために必要な場合。
  • サービスプロバイダーおよびサブプロセッサー, クラウドホスティング、ストレージ、インフラストラクチャ、通信、サポート、分析、不正防止、文書処理、セキュリティ、監査、および専門サービスのプロバイダー。現在のサブプロセッサーリストは、署名済みの秘密保持契約(NDA)に基づき、security@didit.meへの要求により、顧客および見込み顧客に提供されます。
  • 専門アドバイザー, 弁護士、監査人、保険会社、およびコンサルタント。正当なビジネス、コンプライアンス、または法的目的で必要な場合。
  • 公的機関、規制当局、裁判所、法執行機関、またはその他の第三者。法律、法的手続き、または強制力のある政府の要求により義務付けられている場合。
  • 承継者および取引相手方。Diditが合併、買収、資金調達、破産手続き、または資産売却に関与する場合。ただし、機密保持および法的保護措置に従います。

Diditは、生体認証識別子または生体認証情報を販売、賃貸、取引、またはその他の方法で利益を得ることはありません

7. 国際転送

Diditは複数の国でデータを処理する場合があります。個人データが欧州経済領域、英国、スイス、またはその他の転送制限のある管轄区域外に転送される場合、Diditは、必要に応じて、以下を含む適切な保護措置を使用します。

  • 十分性認定。
  • 欧州委員会の2021年標準契約条項(SCCs)および同等の英国またはスイスの追加条項。
  • グループ内転送契約。
  • 適用される法律によって認識されるその他の合法的な転送メカニズム。

8. 保持期間

Diditは、本プライバシーポリシーに記載されている目的のために合理的に必要な期間、個人データを保持します。これには以下が含まれます。

  • 関連するサービスを提供およびサポートするため。
  • 処理者関係における顧客の指示に従うため。
  • 契約上、法的、税務上、会計上、および規制上の義務を遵守するため。
  • セキュリティおよび不正防止の記録を保持するため。
  • 紛争を解決するため。
  • 法的請求を確立、行使、または防御するため。

保持期間は、サービス、ワークフロー構成、適用される法律、およびDiditが処理において果たす役割によって異なります。

  • ビジネス関係データは、通常、関係の期間中、および合法的な契約終了後の記録保持期間中保持されます。
  • サポートおよび監査記録は、運用、セキュリティ、およびコンプライアンスの目的で保持される場合があります。
  • 採用データは、採用プロセスおよび合法的なフォローアップ期間中保持されます。別途同意された場合は、より長く保持される場合があります。
  • 検証データ, デフォルトの保持期間は無期限(「unlimited」)ですが、顧客がより短い期間を設定することも可能です。顧客は、ビジネスコンソールでアプリケーションごとに30日から10年の間で保持期間を設定できます。または、APIエンドポイント`POST /v3/sessions/:session_id/delete/`を介していつでもセッションごとの削除をトリガーできます。エンドユーザーは、セクション9に記載されている削除権を行使することもできます。生体認証データの保持は、いかなる場合も、適用される生体認証プライバシー法および規制(EU一般データ保護規則(GDPR)第9条、イリノイ州生体認証情報プライバシー法(BIPA)、テキサス州生体認証識別子取得または使用法(CUBI)、ワシントン州H.B. 1493、およびその他の適用される生体認証プライバシー法を含む)に従い、それによって上限が定められます。これらの法律がより短い保持期間またはより早い破棄義務を規定している場合、そのより短いまたはより厳格な規則が、デフォルトまたは顧客が設定した保持期間よりも優先されます。

データが不要になった場合、Diditはデータを削除、編集、匿名化、非識別化、または安全に破棄します。生体認証データおよび検証メディアについては、検証プライバシー通知をご覧ください。

9. お客様の権利

お客様の所在地および適用される法律に応じて、お客様は以下の権利を有する場合があります。

  • 個人データへのアクセス権。
  • 不正確または不完全なデータの訂正を要求する権利。
  • 削除または消去を要求する権利。
  • 処理の制限を要求する権利。
  • 特定の処理(正当な利益に基づく処理を含む)に異議を唱える権利(モデルトレーニングおよび不正検出のオプトアウトについてはセクション11をご覧ください)。
  • 処理が同意に基づく場合、同意を撤回する権利。
  • 提供したデータのポータビリティを要求する権利。
  • 法的または同様に重大な影響を生じる、プロファイリングを含む自動化された処理のみに基づく決定の対象とならない権利(GDPR第22条の条件および例外に従う)。
  • 監督機関に苦情を申し立てる権利。Diditの主要な監督機関は、`aepd.es`にあるスペインデータ保護庁(Agencia Española de Protección de Datos / AEPD)です。

Diditが管理者として機能する場合、プライバシーに関する要求はprivacy@didit.meまたはdpo@didit.meまでお送りください。

Diditが顧客の検証フローの処理者またはサービスプロバイダーとして機能する場合、お客様の要求は、検証を依頼した組織に直接お送りください。その顧客が検証の目的を管理しており、最も適切に対応できる立場にあります。Diditがそのような要求を直接受け取った場合、関連する顧客に転送する場合があります。

10. Cookieおよび類似技術

Diditは、ウェブサイト上で機能性、セキュリティ、分析、およびアトリビューションのためにCookieおよび類似技術を使用しています。完全なインベントリ、同意バナーの制御、および当社のグローバルプライバシーコントロール(GPC)とDo Not Track(DNT)の姿勢については、Cookieポリシーをご覧ください。

11. 匿名化されたモデルトレーニングと不正検出, お客様のオプトアウト

Diditは、本人確認、生体認証、および不正検出モデルをトレーニング、評価、および改善し、匿名化または仮名化された検証活動から派生したデータ(例:文書の特徴、不正信号、攻撃パターン、モデルエラーサンプル)を使用して、顧客横断的な不正防止対策を運用しています。Diditは、トレーニングおよび不正検出に使用されるデータが、基盤となる検証記録以外の識別可能な個人に合理的にリンクできないように、匿名化、仮名化、集計、およびアクセス制御を適用しています。

この処理は、以下のDiditの正当な利益に基づいています。

  • すべての顧客が使用する本人確認および不正対策インフラの精度と安全性を向上させること。
  • 不正行為、なりすまし攻撃、ディープフェイク、および既知の攻撃者による再試行を検出および防止すること。
  • モデルのパフォーマンス、公平性、およびセキュリティに関する規制上の期待に応えること。

オプトアウト。 顧客またはエンドユーザーは、以下の方法でモデルトレーニングおよび不正検出処理から自身のデータをオプトアウトできます。

  • APIまたはビジネスコンソールを介して基盤となる検証記録を削除する(削除により、次の更新サイクルでトレーニングパイプラインから記録が削除されます)。
  • 関連するセッション識別子またはアカウントを記載し、オプトアウトを要求するメールをprivacy@didit.meに送信する。

オプトアウトは、要求日から将来にわたって適用されます。Diditは、アクティブなトレーニングデータセットから対象となる記録を削除するために商業的に合理的な努力も行います。

12. 米国, カリフォルニア州消費者プライバシー法(CCPA)/ カリフォルニア州プライバシー権法(CPRA)補遺

このセクションは、カリフォルニア州居住者向けに本プライバシーポリシーを補足するものであり、Diditがカリフォルニア州消費者プライバシー法(CCPA)(カリフォルニア州プライバシー権法(CPRA)によって改正されたもの)に基づく「事業者」である場合に適用されます。DiditがDiditの顧客(CCPAに基づく「事業者」)に対する「サービスプロバイダー」または「契約者」である場合、顧客のプライバシー通知が関連する検証フローを規定し、Diditは関連するデータ処理契約に基づいて個人情報を処理します。

過去12ヶ月間に収集された個人情報のカテゴリ(CCPAカテゴリ):

  • 識別子(氏名、メール、電話番号、IPアドレス、デバイス識別子)。
  • 顧客記録(請求、連絡先、アカウント)。
  • インターネットまたはネットワーク活動(閲覧、インタラクション、テレメトリ)。
  • 位置情報データ(IPから推測)。
  • 感覚データ(自撮り写真、顔画像、ライブネスビデオ、文書画像)。
  • 専門的または雇用データ(候補者の場合)。
  • 機密性の高い個人情報(SPI)。これには、消費者を一意に識別するために使用される生体認証情報、身分証明書に含まれる政府識別子、およびアカウントログイン資格情報が含まれます。
  • 上記のいずれかから導き出される推論(リスクスコア、不正信号、決定結果)。

目的, セクション4に記載されている目的。

個人情報の販売または共有。 Diditは、生体認証情報を含む個人情報を販売または共有(CCPA/CPRAで定義されている用語)しません

機密性の高い個人情報の使用および開示。 Diditは、機密性の高い個人情報をカリフォルニア州民法典§ 1798.121(a)および施行規則で許可されている目的のみに使用します。検証サービスの提供とセキュリティ確保、不正行為とセキュリティインシデントの防止、法的義務の遵守、および別途消費者の制限権をトリガーしないその他の目的のためです。

お客様のカリフォルニア州の権利:

  • 収集、使用、開示、販売/共有される個人情報について知る権利。
  • 個人情報を削除する権利。
  • 不正確な個人情報を訂正する権利。
  • 販売または共有をオプトアウトする権利(Diditはどちらも行いません)。
  • 機密性の高い個人情報の使用および開示を制限する権利(Diditの処理は、この権利をトリガーしない目的にすでに限定されています)。
  • データポータビリティの権利。
  • 上記のいずれかの権利を行使したことに対する非差別を受ける権利。

カリフォルニア州からの要求はprivacy@didit.meまでお送りください。対応する前に本人確認が必要となる場合があります。承認された代理人は、承認の証明を添えて要求を提出できます。

グローバルプライバシーコントロール(GPC)とDo Not Track(DNT)。 Diditは、マーケティングサイトにおいて、ブラウザベースのグローバルプライバシーコントロール信号を販売または共有のオプトアウトとして扱います。Diditは個人情報を販売または共有しませんが、GPC信号は記録され、共有と解釈される可能性のある広告または分析Cookieがそのブラウザに設定されないようにします。Diditは現在、従来のDo Not Track(DNT)ヘッダーには対応していません。これは、それらを解釈する方法について業界のコンセンサスがないためです。Diditの目的では、GPC信号がDNTに優先します。

13. セキュリティ

Diditは、不正アクセス、損失、誤用、改ざん、および違法な破壊から個人データを保護するために設計された管理上、技術上、および組織上の保護措置を使用しています。これには、AES-256による保存時の暗号化、TLS 1.3による転送時の暗号化、AWS KMSでのキー管理、ロールベースのアクセス制御、環境分離、継続的な監視、ベンダー監督、およびインシデント対応手順が含まれます。完全な姿勢と認証については、情報セキュリティポリシーをご覧ください。

完璧なセキュリティ対策はありません。お客様ご自身のデバイス、資格情報、および通信も保護する必要があります。

14. 子供

Diditの公開ウェブサイトおよび標準的なビジネスサービスは、子供を対象としていません。一部の顧客は、未成年ユーザーを含む年齢関連または本人確認関連のチェックのためにDiditを合法的に使用する場合がありますが、その使用は適切な法的根拠と顧客自身の通知によって裏付けられている必要があります。個人データが適切な許可なくDiditに提出されたと思われる場合は、privacy@didit.meまでご連絡ください。

15. 本プライバシーポリシーの変更

当社は、法的、技術的、運用上、または製品の変更を反映するために、本プライバシーポリシーを随時更新する場合があります。ポリシーの上部にある発効日は、最終更新日を示しています。法律で義務付けられている場合、重要な変更は通知されます。

16. 連絡先

Didit Identity Spain, S.L., CIF B22929327 · Calle Nápoles 227, P. 1, 08013 Barcelona, Spain
Didit Identity, Inc., EIN 39-2860573 · 1111B S Governors Ave STE 34855, Dover, Delaware 19904, United States
© 2026 Didit · legal@didit.me · privacy@didit.me · security@didit.me · didit.me/terms/privacy-policy

特定のドキュメントについてご質問がありますか?

legal@didit.me、privacy@didit.me、またはsecurity@didit.meまでメールでお問い合わせいただくか、WhatsAppでメッセージをお送りください。適切な担当者にお繋ぎします。

お問い合わせ
AIにこのページの要約を依頼する