プライバシーポリシー

TL;DR:CookieVault のプライバシーポリシーは短いです。当社が収集するのはほとんど何もないからです —— メール、当社が読めない不透明な暗号化同期 blob、そして請求 ID。Cookie、閲覧履歴、IP、テレメトリは決して見ませんし、データを売ることもありません。

プライバシーポリシーとは、あるサービスがあなたについてどのようなデータを収集し、なぜ、どのくらいの期間保持し、誰と共有し、あなたにどのような権利があるかを正確に伝える文書のことです。CookieVault のポリシーが異例に短いのは、製品が「当社が技術的に可能な限りあなたのデータを少なく保持する」ように設計されているためです。Cookie の内容は端末上でエンドツーエンドに暗号化されてから当社に届くため、サーバーは復号できない暗号文しか保管しません。1

当社が収集するもの

要点:有料アカウントについて、メールアドレス、不透明な暗号化同期 blob、Paddle 顧客 ID。Free のローカル限定ユーザーについては、アカウントが存在しないため何も収集しません。GDPR 第 5 条 1 項 c はこれを「データ最小化」と呼びます ——「相当、関連性があり、必要なものに限定される」2。APPI 第 18 条も同様に、特定された利用目的の範囲を超える取得を禁じます。これが製品全体の設計ルールです。

収集するデータ目的保有者当社は読めるか
メールアドレスログイン、領収書、セキュリティ通知CookieVaultはい
不透明な同期 blobデバイス間の暗号化 Cookie 同期CookieVaultいいえ —— 暗号文のみ
Paddle 顧客 ID請求と税務処理CookieVaultはい(不透明な ID)
決済カードの詳細サブスクリプションの課金Paddle のみいいえ —— 当社は受け取らない
サポートメールの内容サポート依頼への回答CookieVaultはい、チケットの終了まで

アカウントを作成しない Free ユーザーは上記のいずれも生成しません。拡張機能はあなたの Cookie とプロファイルをローカルに保存し、有料プランで同期を明示的に有効化しない限りネットワーク通信を一切行いません。

当社が決して収集しないもの

要点:当社は Cookie の内容、閲覧履歴、IP アドレス、行動テレメトリを決して収集しません。GDPR の原則は処理の法的根拠が特定されていなければならないということで —— 当社にはこれらを集める根拠もなければ意図もありません。2 APPI 第 17 条も「あらかじめその利用目的をできる限り特定」することを求めており、同様の規律を課しています。

CookieVault が意図的に収集しないものの一覧:

  1. Cookie の内容 —— 同期前に端末上で暗号化;当社は暗号文のみを保存
  2. 閲覧履歴 —— 拡張機能はあなたが訪れるページを読まず送信もしない
  3. IP アドレス —— 当社の分析は Cookie レスかつ集計のみ、訪問者ごとの IP 記録なし
  4. デバイス指紋 —— canvas なし、WebGL なし、フォント列挙なし
  5. 行動テレメトリ —— 拡張機能は analytics SDK をゼロで同梱
  6. 第三者広告 ID —— 広告は一切運用せず、広告ネットワークも統合しない

当社サイトの分析は Cloudflare Web Analytics と Plausible で、設計上どちらも Cookie レスかつ集計のみです。このサイトに Cookie 同意バナーが表示されないのはそのためです —— 同意すべきものが何もありません。

あなたの権利

要点:GDPR、APPI、CCPA、LGPD の下で、あなたはアクセス、削除、訂正、可搬性、異議の権利を持ちます。privacy@cookievault.net にメールしてください。30 日以内に応答します。当社が保持する大部分は読めない暗号文のため、削除は迅速かつ検証可能です。

枠組み別に行使できる権利:

  • GDPR(EU / EEA / 英国) —— 第 15-22 条に基づくアクセス、訂正、消去、制限、可搬性、異議3
  • APPI(日本) —— 個人情報の保護に関する法律(令和 2 年改正、2022 年 4 月施行)第 32-39 条に基づく開示、訂正・追加・削除、利用停止・消去、第三者提供停止の請求権。監督機関は個人情報保護委員会(PPC)4
  • CCPA / CPRA(カリフォルニア) —— Cal. Civ. Code §1798.100 以下に基づく「知る」「削除」「訂正」「販売・共有のオプトアウト」5
  • LGPD(ブラジル) —— Lei 13.709/2018 に基づく確認、アクセス、訂正、匿名化、可搬性、削除6

いずれの権利も行使するには、privacy@cookievault.net にアカウントのアドレスからメールしてください。合理的な請求に手数料は請求しません。30 日以内の応答を目指します。

保存期間

要点:アカウントデータはあなたがアカウントを削除するまで保管、30 日間の猶予期間後に消去。暗号化 blob はクライアント側で削除するまで存続。請求記録は税法が要求する期間(通常は最大 7 年)まで、Paddle のみが保持します。

データ種別保存期間削除のトリガー
アカウントメールアカウント削除 + 30 日間の猶予まであなたがアカウントを削除
暗号化された同期 blobクライアントから削除するまでクライアント側での削除
サポート対応の往復チケット終了 + 12 か月まで自動消去
請求書・課金記録税法が要求する期間(通常は最大 7 年)法定最低(Paddle)

委託先

要点:ちょうど 2 社 —— ホスティングと同期通信のための Cloudflare、そして請求のための Merchant of Record である Paddle。個人情報を受け取る分析処理業者はなく、広告ネットワークやデータブローカーは使いません。現行リストはここで管理します。APPI 第 28 条(外国にある第三者への提供の制限)に基づき、国境を越える提供についてはあらかじめ本人の同意を取得します。

委託先役割取り扱うデータ所在地
Cloudflareホスティング、同期 API、暗号化ストレージ不透明な暗号文、リクエストメタデータグローバルエッジ
PaddleMerchant of Record、請求、税務氏名、メール、決済情報、請求書グローバル

Cloudflare は暗号化された blob と通常のリクエストメタデータしか目にせず、鍵を保持することはありません。7 Paddle は Merchant of Record として 100 以上の法域で決済データと VAT / 売上税のコンプライアンスを扱います。これが、あなたのカード情報が Paddle にだけ届き当社には届かない理由です。8 委託先を追加または変更する際は、本表を更新し、Pro 契約者には事前に通知します。

関連ページ

  • セキュリティ —— このポリシーを可能にする暗号アーキテクチャ
  • 非売却誓約 —— データを決して売らないという当社の恒久的な約束
  • 利用規約 —— サービスの利用を規律する契約
  • 会社情報 —— 誰が CookieVault を作り、どう資金を得ているか

Footnotes

  1. 「エンドツーエンド暗号化」とは、送信者の端末上でデータが暗号化され、受信者の端末上でのみ復号されることを指します。中間者は読めない暗号文しか保管しません。背景は Mozilla のプライバシー文書を参照:https://developer.mozilla.org/en-US/docs/Web/Privacy。

  2. GDPR 第 5 条 1 項はデータ最小化と目的限定の原則を定めます。公式の統合本文:https://gdpr-info.eu/art-5-gdpr/。 2

  3. GDPR の本人の権利は第 15-22 条に定義されます。英国情報コミッショナー事務局(ICO)のガイダンスを参照:https://ico.org.uk。

  4. 日本の個人情報保護委員会(PPC)は個人情報の保護に関する法律(APPI)の所管監督機関です。ガイドライン、本人の権利、第三者提供制限に関する公式情報は:https://www.ppc.go.jp/。

  5. California Consumer Privacy Act(CPRA で改正)はカリフォルニア州司法長官がまとめています:https://oag.ca.gov/privacy/ccpa。

  6. ブラジルの一般データ保護法(LGPD、Lei 13.709/2018)は ANPD が所管します:https://www.gov.br/anpd/pt-br。

  7. Cloudflare 自身のプライバシーに関する約束はここで公開されています:https://www.cloudflare.com/privacypolicy/。

  8. Paddle は Merchant of Record として税務と決済のコンプライアンスを引き受けます。プライバシーの詳細:https://www.paddle.com/legal/privacy。

最終更新:

著者: Lena Park · レビュー: Marcus Reiter