プライバシーポリシー

規則（EU）2016/679（GDPR）第13条および第14条に基づき

最終更新日：2026年2月7日

1. データ管理者

Culturae Heritage Services srls（以下、「管理者」とも称する）、登録事務所：Via dei Banchi 6, 50123 Florence (FI), Italy、VAT番号 IT07519170489、納税者番号 07519170489、REA FI-709102。

プライバシーに関するお問い合わせ先： legal@vatican.museum

管理者は、GDPR第37条に規定される義務対象に該当しないため（管理者は、特別な種類のデータの大規模な処理を行っておらず、また定期的かつ体系的な大規模な監視も行っていない）、データ保護責任者（DPO）を任命していません。個人データの保護に関するご要望は、上記の住所宛てにご連絡ください。

2. 適用範囲

本プライバシー通知は、ウェブサイトvatican.museum（以下「本ウェブサイト」）および管理者が所有するその他のウェブサイトを訪問し、それらとやり取りを行うユーザー（以下「ユーザー」または「データ主体」）の個人データを、管理者がどのように処理するかを説明するものです。

本通知は、本ウェブサイトを通じて行われるすべての処理に適用されます。これには、お問い合わせフォーム、登録システム、統計分析サービス（アナリティクス）、広告およびコンバージョン測定ツール、スパム対策およびセキュリティシステム、ならびに通信サービス（ニュースレター、取引関連メール）が含まれます。これらについては、法律で要求される場合、本ウェブサイトに統合された同意管理プラットフォーム（CMP）を通じて、ユーザーの事前の同意を得た場合にのみ有効化されます。

本ウェブサイトは、編集・情報提供を目的としています。管理者は、適用される法律上の旅行業者、旅行代理店、または旅行仲介業者ではありません。サービスの性質に関する詳細については、免責事項および利用規約をご参照ください。

3. 処理されるデータの種類

3.1 閲覧および技術データ

通常の閲覧中、本ウェブサイトの運営に使用されるコンピュータシステムおよびソフトウェア手順は、インターネット通信プロトコルの使用に内在する特定のデータを自動的に取得します。当該データには、IPアドレス、ブラウザの種類およびバージョン、オペレーティングシステム、言語、要求されたURL、要求日時、HTTPメソッド、サーバー応答コード、技術的なセッション識別子、セキュリティイベントが含まれます。

3.2 ユーザーにより自発的に提供されたデータ

ユーザーが問い合わせフォーム、登録フォーム、または直接の電子メールを通じて自発的に提供する個人データには、以下が含まれる場合があります：

氏名（名および姓）；
メールアドレス；
電話番号；
出身国；
自由入力欄の内容；
登録時のログイン情報（メールアドレスおよびパスワード）；
ユーザーが自発的に提供することを選択したその他の情報。

3.3 クッキーおよび類似の技術を通じて収集されるデータ

本ウェブサイトは、CMPを通じてユーザーが表明した設定に従い、オンライン識別子および本ウェブサイトの利用に関する情報を収集するために、クッキーおよび類似の技術（ローカルストレージ、ピクセル、タグ）を使用します。詳細については、クッキーポリシーをご参照ください。

3.4 広告キャンペーンおよびアフィリエイトに関連するデータ

デジタルマーケティング活動の文脈において、キャンペーン追跡パラメータ（例：gclid、fbclid、msclkid、ttclid、utm_*パラメータ）および集計されたコンバージョン測定値が収集される場合がありますが、これらは常にユーザーの明示的な同意に従って行われます。

3.5 予約に関するデータ

ユーザーが本ウェブサイトを通じてツアーや体験を予約する場合、取引に関連するデータ（予約状況、バウチャー番号など）は、取引に関する連絡（予約確認、状況変更、バウチャーの利用可能状況など）を送信する目的のみに限り、管理者によって処理される場合があります。支払いデータ（クレジットカード、銀行口座情報、セキュリティコード）は、支払い処理を担当する第三者パートナーによって独占的に管理されるため、管理者はこれを収集、処理、または保存することはありません（第7項を参照）。

3.6 ニュースレターおよび商業的通信に関するデータ

ユーザーがニュースレターを購読する場合、管理者はユーザーのメールアドレスおよびテーマに関する好みを収集します。購読は任意であり、ユーザーの事前の明示的な同意がある場合にのみ行われます。

3.7 データ提供の必須性または任意性

閲覧データの提供は、本ウェブサイトの技術的な運営に必要です。お問い合わせフォームおよび登録フォームにおけるデータの提供は任意ですが、必須と表示されたデータ（例：氏名、メールアドレス）を提供しない場合、管理者がユーザーのリクエストに応答したり、アカウントを作成したり、要求されたサービスを提供したりすることができなくなる可能性があります。

クッキーおよび分析、マーケティング、プロファイリング技術への同意は完全に任意であり、かかる同意を拒否しても、ウェブサイトの閲覧やコンテンツへのアクセスに何ら影響を及ぼすことはありません。

4. 利用目的、法的根拠、および保存期間

管理者は、以下の表に記載された目的のために個人データを処理します。記載がある場合、処理はユーザーの事前の明示的な同意がある場合にのみ行われます。

記載されている保存期間は合理的な上限であり、保存期間の制限の原則（GDPR第5条(1)(e)）の適用により短縮される場合があります。

処理が管理者の正当な利益（GDPR第6条(1)(f)）に基づく場合、管理者は、その正当な利益がデータ主体の権利および基本的自由を侵害しないことを確保するために、利益衡量評価（Legitimate Interest Assessment — LIA）を実施しています。ユーザーは、第1項に記載された連絡先宛てに書面で請求することにより、当該評価の写しを請求することができます。

目的	データ	法的根拠	保存期間	備考
ウェブサイトの運営、技術的な機能、セキュリティ、不正および悪用の防止	閲覧データ、技術ログ、IPアドレス	正当な利益（GDPR第6条(1)(f)） — LIAが実施	最大12ヶ月	調査または訴訟の場合は延長可能
お問い合わせフォームまたはメールによるリクエストの処理	ユーザーから提供されたデータ	契約締結前の措置の履行（GDPR第6条(1)(b)）または正当な利益（GDPR第6条(1)(f)） — LIAが実施	最終のやり取りから最大24ヶ月	法的義務または係争中の訴訟がある場合
アカウント登録および会員専用エリアの管理	氏名、メールアドレス、パスワード、電話番号、国	契約の履行（GDPR第6条(1)(b)）	アカウントの有効期間＋12ヶ月	ユーザーからの要請に基づき削除
予約に関連する取引連絡	メールアドレス、予約データ、バウチャーのステータス	契約の履行（GDPR第6条(1)(b)）および正当な利益（GDPR第6条(1)(f））— LIAが実施	予約から最大24ヶ月	取引関連のメールのみ、マーケティング目的ではない
法的および税務上の義務、訴訟管理	法的義務および抗弁に必要なデータ	法的義務（第6条(1)(c)）および／または正当な利益（第6条(1)(f)）	最大10年または適用される時効期間
統計分析および測定（Google Analytics、Hotjar、Microsoft Clarity） — 同意がある場合のみ	Cookie／ID、利用イベント、技術データ	同意（GDPR第6条(1)(a)）	クッキーポリシーに準拠（通常14～26ヶ月）	いつでも撤回可能
広告、リマーケティング、コンバージョン（Google Ads、Bing Ads、Meta/Facebook、TikTok、Instagram） — 同意がある場合のみ	Cookie/ID、イベント、キャンペーンパラメータ	同意（GDPR第6条第1項(a)）	マーケティング：最大24ヶ月；プロファイリング：最大12ヶ月	いつでも撤回可能
スパムおよびボット対策（Google reCAPTCHA v3）	IP、行動データ、_GRECAPTCHA Cookie	正当な利益（GDPR第6条(1)(f)） — LIAを実施	検証セッションの期間	2026年4月2日より、Googleがデータ処理者となります。技術的／必須のクッキー。
ニュースレターおよび商業的通信 — 同意がある場合のみ	メールアドレス、テーマ別の設定	同意（GDPR第6条(1)(a)）	同意が撤回されるまで	24ヶ月間の非アクティブ状態後のリストの整理
レビューの収集および公開	氏名／ニックネーム、レビュー本文、日付	同意（第6条(1)(a)）および正当な利益（第6条(1)(f)）	ウェブサイトへの掲載期間中	ユーザーからの要請による削除

目的

データ

法的根拠

保存期間

備考

ウェブサイトの運営、技術的な機能、セキュリティ、不正および悪用の防止

閲覧データ、技術ログ、IPアドレス

正当な利益（GDPR第6条(1)(f)） — LIAが実施

最大12ヶ月

調査または訴訟の場合は延長可能

お問い合わせフォームまたはメールによるリクエストの処理

ユーザーから提供されたデータ

契約締結前の措置の履行（GDPR第6条(1)(b)）または正当な利益（GDPR第6条(1)(f)） — LIAが実施

最終のやり取りから最大24ヶ月

法的義務または係争中の訴訟がある場合

アカウント登録および会員専用エリアの管理

氏名、メールアドレス、パスワード、電話番号、国

契約の履行（GDPR第6条(1)(b)）

アカウントの有効期間＋12ヶ月

ユーザーからの要請に基づき削除

予約に関連する取引連絡

メールアドレス、予約データ、バウチャーのステータス

契約の履行（GDPR第6条(1)(b)）および正当な利益（GDPR第6条(1)(f））— LIAが実施

予約から最大24ヶ月

取引関連のメールのみ、マーケティング目的ではない

法的および税務上の義務、訴訟管理

法的義務および抗弁に必要なデータ

法的義務（第6条(1)(c)）および／または正当な利益（第6条(1)(f)）

最大10年または適用される時効期間

統計分析および測定（Google Analytics、Hotjar、Microsoft Clarity） — 同意がある場合のみ

Cookie／ID、利用イベント、技術データ

同意（GDPR第6条(1)(a)）

クッキーポリシーに準拠（通常14～26ヶ月）

いつでも撤回可能

広告、リマーケティング、コンバージョン（Google Ads、Bing Ads、Meta/Facebook、TikTok、Instagram） — 同意がある場合のみ

Cookie/ID、イベント、キャンペーンパラメータ

同意（GDPR第6条第1項(a)）

マーケティング：最大24ヶ月；プロファイリング：最大12ヶ月

いつでも撤回可能

スパムおよびボット対策（Google reCAPTCHA v3）

IP、行動データ、_GRECAPTCHA Cookie

正当な利益（GDPR第6条(1)(f)） — LIAを実施

検証セッションの期間

2026年4月2日より、Googleがデータ処理者となります。技術的／必須のクッキー。

ニュースレターおよび商業的通信 — 同意がある場合のみ

メールアドレス、テーマ別の設定

同意（GDPR第6条(1)(a)）

同意が撤回されるまで

24ヶ月間の非アクティブ状態後のリストの整理

レビューの収集および公開

氏名／ニックネーム、レビュー本文、日付

同意（第6条(1)(a)）および正当な利益（第6条(1)(f)）

ウェブサイトへの掲載期間中

ユーザーからの要請による削除

5. クッキーおよび同意管理プラットフォーム（CMP）

本ウェブサイトは、Google Consent Mode v2（2024年3月より欧州の広告主に対して義務化）に準拠した同意管理プラットフォーム（CMP）を使用しており、これによりユーザーは以下の操作が可能です：

非技術的なクッキーおよびツールのカテゴリを承諾、拒否、またはカスタマイズすること；
当ウェブサイト上で利用可能な「Cookie設定の管理」ツールを通じて、いつでも設定を変更すること；
有効な同意が得られた後にのみ、分析、マーケティング、およびプロファイリング用のクッキーおよび技術が有効化される旨の通知を受け取ること。

事前ブロック： ユーザーがCMPを通じて同意を表明するまでは、ユーザーの端末にクッキーや必須ではない技術は一切インストールされません。同意がない場合、技術的／必須のクッキーのみが有効となります。

同意の撤回：ユーザーは 、ウェブサイト上で利用可能な「Cookie設定の管理」ツールを通じて、同意を与えたのと同じ容易さでいつでも同意を撤回できます。撤回前の同意に基づく処理の適法性には影響しません（GDPR第7条第3項）。

技術的／必須のクッキー（Google reCAPTCHAの_GRECAPTCHAクッキーを含む）は、ウェブサイトの運用およびセキュリティに不可欠であるため、同意を必要とせず、デフォルトで有効になっています。

使用されるクッキーの完全なリストを含む詳細については、クッキーポリシーをご参照ください。

6. データの受領者

個人データは、データ処理者（GDPR第28条）、独立した管理者、または権限を有する者として活動する以下の当事者に開示される場合があります：

ITおよびホスティングサービスプロバイダー

OVH SAS（OVHcloud）：ホスティング、専用サーバー、インフラストラクチャ — ドイツ・リンブルク（EEA）のデータセンター。GDPR第28条に基づきデータ処理者として活動します。

分析、広告、およびセキュリティサービスプロバイダー（CMPによる同意に基づき有効化）

Google Ireland Ltd / Google LLC：Google Tag Manager、Google Analytics 4、Google Ads（コンバージョン／リマーケティング）、Google reCAPTCHA v3。
Microsoft Corporation / Microsoft Ireland Operations Ltd：Bing Ads（UET）、Microsoft Clarity。
Meta Platforms Ireland Ltd / Meta Platforms Inc.：Facebook Pixel、Instagram Ads。
TikTok Technology Ltd / ByteDance Ltd：TikTok Pixel。
Hotjar Ltd：行動分析およびヒートマップ。

通信サービスプロバイダー

Amazon Web Services EMEA SARL (AWS): 取引メールおよびニュースレター用の Amazon SES および SNS — リージョン eu-west-1 (アイルランド、EEA)。GDPR 第 28 条に基づき、データ処理者としての役割を果たします。

商業パートナー（独立したデータ管理者）

Viator Inc. (Tripadvisor Group): iframe 統合によるツアーおよび体験の予約・決済パートナー。Viator は、決済データおよび観光サービスの提供に関して、独立したデータ管理者として機能します。
GetYourGuide Deutschland GmbH：ツアーおよび体験型アクティビティのアフィリエイトパートナー。
LivTours：ツアーおよび体験のアフィリエイトパートナー。

ユーザーが第三者のパートナーウェブサイト（アフィリエイトマーケティング）にリダイレクトされた場合、ユーザーの個人データの処理は、各パートナーのプライバシーポリシーに従って行われます。

その他の受領者

法律、税務、および商業のアドバイザー（処理者または権限のある者）。
法律で義務付けられている場合、管轄当局。

管理者は、ユーザーの個人データを販売することはありません。

7. 第三者パートナー（Viator）を通じた支払い

本ウェブサイトでは、サイト内から直接ツアーや体験を購入することができます。決済プロセスは、Viator Inc.（Tripadvisor Group）が提供する統合モジュール（iframe）を通じて完全に処理されます。

管理者は、ユーザーの支払いデータ（クレジットカード番号、銀行口座情報、セキュリティコード）をいかなる方法でも収集、処理、または保存することはありません。当該データは、支払いデータおよび観光サービスの提供に関して独立したデータ管理者として機能するViatorによって、独占的に取得、処理、および保存されます。

管理者はViatorから、以下のデータのみを受け取ります：

コンバージョンに関する集計データおよび統計データ；
予約状況に関する情報（ユーザーへの取引関連の連絡を送付するため）；
販売手数料。

購入されたツアーの請求書およびバウチャーは、Viatorより直接発行されます。

支払いデータの処理については、Viatorのプライバシーポリシーをご参照ください。

8. EEA域外へのデータ転送

一部のプロバイダー（特に米国に本社を置くグループ）においては、欧州経済領域（EEA）外の国への個人データの移転が行われる場合があります。そのような場合、管理者はGDPR第44条以下に基づき、以下の適切な保護措置を講じます：

欧州委員会の標準契約条項（SCC）（GDPR第46条(2)(c)）、更新版（2025年第2四半期）、および必要に応じて、EDPB勧告01/2020に基づく移転影響評価（TIA）および補足措置；
利用可能な場合、欧州委員会の十分性認定（例：米国内の認定事業者を対象としたEU-米国データプライバシー枠組み）；
追加的な技術的・組織的措置（データの最小化、仮名化、転送中および保存時の暗号化、アクセス分離）。

EEA域外へのデータ移転の対象となる主なプロバイダーには、Google LLC、Meta Platforms Inc.、Microsoft Corporation、TikTok/ByteDance、Amazon Web Services Inc.、Viator Inc.が含まれます。

ユーザーは、第1項に記載された連絡先宛てに書面で請求することにより、採用された具体的な保護措置に関する情報および適用される標準契約条項（SCC）の写しを請求することができます。

9. データ主体の権利

ユーザーは、GDPR第15条から第22条に規定される権利をいつでも行使することができます：

個人データへのアクセス権（第15条）；
訂正および更新の権利（第16条）；
該当する場合、消去権（「忘れられる権利」）（第17条）；
処理の制限を受ける権利（第18条）；
該当する場合、データポータビリティ権（第20条）；
異議申立ての権利（特に正当な利益に基づく処理に対するもの）（第21条）；異議が申し立てられた場合、管理者は、やむを得ない正当な理由を証明しない限り、当該データのさらなる処理を行ってはならない；
プロファイリングを含む、自動処理のみに基づく決定の対象とならない権利（第22条）；
同意は、与えたのと同じ容易さでいつでも撤回できる権利。ただし、撤回前の処理の適法性には影響しない（第7条(3)）。

権利を行使するには、legal@vatican.museumまでご連絡ください。

管理者は、原則として請求から1ヶ月以内に回答いたします。ただし、特に複雑な案件や請求件数が多量な場合には、この期間を最大3ヶ月まで延長することがあります（GDPR第12条）。延長が行われる場合、ユーザーには1ヶ月以内にその旨が通知されます。権利の行使は無料ですが、請求が明らかに根拠のないものまたは過度なものである場合はこの限りではありません（GDPR第12条(5)）。

9.1 自動化された意思決定プロセス

管理者は、ユーザーに対して法的効果をもたらす、または同様にユーザーに重大な影響を及ぼす、プロファイリングを含む完全な自動化された意思決定プロセスを実施していません（GDPR第22条）。本ウェブサイトで使用される分析およびマーケティングツールは、集計統計および広告目的のみに限定されており、自動化された個別の意思決定にはつながりません。

9.2 監督当局への苦情申立て

ユーザーは、管轄の監督当局に苦情を申し立てる権利を有します。

イタリアの場合：

Garante per la Protezione dei Dati Personali

Piazza Venezia, 11 — 00187 Roma (RM), Italy

ウェブサイト：www.garanteprivacy.it

PEC：protocollo@pec.gpdp.it

電話番号: (+39) 06 696771

また、2025年11月に公布され、公布から15ヶ月後に適用される規則（EU）2025/2518では、国境を越えた事案における欧州のデータ保護当局間の協力を改善するための新たな手続き規則が導入され、データ主体の権利に対するさらなる保護措置が提供されることに留意すべきである。

10. Google reCAPTCHA v3 — 具体的な通知

本ウェブサイトは、Google Ireland Ltd / Google LLC が提供するスパムおよびボット対策サービスである Google reCAPTCHA v3 を使用しており、これはフォームを含むページでのみ有効化されます。

2026年4月2日より、Googleの発表に従い、reCAPTCHAは、Googleがデータ処理者（Data Processor）として機能し、当ウェブサイトの運営者がreCAPTCHAを通じて収集されたデータに関するデータ管理者（Data Controller）となるモデルで運用されます。

これにより、以下の点が変更となります：

reCAPTCHAに関連するGoogleのプライバシーポリシーおよび利用規約への言及は、もはや適用されず、当ウェブサイトから削除されました；
reCAPTCHAによって収集されたデータの処理は、本プライバシーポリシーおよびGoogle Cloudデータ処理補足条項によって規定されます；
reCAPTCHAは、リスク分析のために必要なクッキー（_GRECAPTCHA）を設定します。これは、同意を必要としない技術的／必須のクッキーに分類されます。

reCAPTCHAによって収集されるデータには、IPアドレス、行動データ（マウスの動き、操作パターン）、ブラウザおよびデバイス情報が含まれる場合があります。これらのデータは、セキュリティおよび不正防止の目的でのみ使用されます。

11. 未成年者

本ウェブサイトは、16歳未満の個人を対象としていません（イタリアにおけるこの基準は、政令第196/2003号第2-quinquies条により定められています）。管理者は、未成年者から故意に個人データを収集する意図はありません。親または保護者が、必要な同意なしに未成年者のデータが収集されたと考える場合、第1項に記載された連絡先を通じて管理者に連絡し、速やかな削除を請求することができます。

12. セキュリティ対策

管理者は、個人データを不正アクセス、紛失、破壊、または改ざんから保護するために、適切な技術的および組織的措置を講じています（GDPR第32条）。これには、暗号化通信（HTTPS/TLS）、最小権限による認証アクセス、定期的なバックアップ、セキュリティ更新、アクセス監視、セキュリティインシデント管理手順などが含まれます。

13. 本プライバシーポリシーの変更

管理者は、本プライバシーポリシーを随時更新する権利を留保します。最終更新日はページ上部に記載されています。重要な変更については、ウェブサイト上の通知を通じて、また可能な場合は登録ユーザーへの電子メールにより通知されます。ユーザーは、定期的に本ページを確認することをお勧めします。

14. 準拠法および管轄

本プライバシーポリシーは、規則（EU）2016/679 （GDPR）、指令2002/58/EC（eプライバシー）、イタリアの個人データ保護法（政令第196/2003号、政令第101/2018号による改正後）、ならびにイタリア個人情報保護委員会（Garante per la Protezione dei Dati Personali）および欧州データ保護委員会（EDPB）の適用される規定およびガイドラインに準拠します。

本ポリシーの解釈または適用に関する紛争については、強制的な消費者保護規定に別段の定めがある場合を除き、フィレンツェ裁判所が管轄権を有します。