プライバシーポリシー
お客様のプライバシーは重要です。このポリシーでは、Polyscopeaがグローバルなストーリーインテリジェンスプラットフォーム全体で個人情報をどのように収集、使用、保護、共有するかを説明します。
このページは自動翻訳されており、不正確な箇所が含まれている可能性があります。公式バージョンについては、英語の原文をご参照ください。
目次
1. はじめに & 適用範囲
1.1 本ポリシーについて
本プライバシーポリシー(「ポリシー」)は、Polyscopea(「当社」、「私たち」、「プラットフォーム」)が、当社のストーリーインテリジェンスプラットフォーム、ウェブサイト、アプリケーション、API、AIを活用した分析ツール、および関連するすべてのサービス(総称して「サービス」)にアクセスまたは利用する個人(「あなた」、「ユーザー」)に関する情報をどのように収集、使用、開示、保持、保護するかを説明します。Polyscopeaは、市場、技術、規制、ベンチャーキャピタル、地政学、エネルギー、健康などの分野にわたる進化するナラティブを追跡、分析、接続するAIを活用したストーリーインテリジェンスプラットフォームです。
1.2 適用範囲
本ポリシーは、Polyscopeaによって処理されるすべての個人データに適用され、収集の媒体や方法に関わらず有効です。以下の手段を通じて収集される情報を対象とします:
- http://localhost/Polyscopea でアクセス可能な当社のウェブサイトおよびウェブアプリケーション
- アカウント登録、認証、およびプロファイル管理
- サブスクリプション購入および支払い処理
- AIエージェント分析、ストーリー追跡、および調査レポート生成
- 電子メール通信、アプリ内通知、およびニュースレター
- カスタマーサポートとのやり取りおよびフィードバックの提出
- クッキー、アナリティクス、および類似の追跡技術
- 当社のサービスに関連して個人データが収集されるオフラインでのやり取り
1.3 データ管理者
Polyscopeaは、プラットフォームを通じて処理される個人データのデータ管理者として機能します。データ管理者として、当社はあなたの個人データを処理する目的と方法を決定します。当社によるデータ処理方法に関するご質問は、本ポリシーの第18項に記載の詳細にてデータ保護責任者までお問い合わせください。
1.4 本ポリシーへの同意
当社のサービスにアクセスまたは利用することにより、あなたは本ポリシーに記載されている情報の収集、使用、開示について読み、理解し、同意したことを認めるものとします。本ポリシーの条件に同意しない場合は、サービスにアクセスまたは利用してはなりません。処理の法的根拠として同意が必要な管轄区域(欧州経済領域など)のユーザーについては、必要に応じてあなたの個人データを処理する前に明示的な同意を取得します。
1.5 他の文書との関係
本ポリシーは、当社の利用規約、クッキーポリシー、およびサービス固有の補遺またはデータ処理契約と併せて読まれるべきです。本ポリシーとあなたがPolyscopeaと締結している他の契約との間に矛盾がある場合、プライバシーおよびデータ保護に関する事項については、Polyscopeaの権限ある代表者が署名した書面による契約で明示的に別段の定めがない限り、本ポリシーの条件が優先されます。
2. 当社が収集する情報
当社は、サービスを提供、改善、保護するために、いくつかのカテゴリーの情報を収集します。収集するデータの種類は、お客様がプラットフォームとどのように関わり、どの機能を使用するかによって異なります。
2.1 お客様から直接提供される個人データ
- アカウント情報: 氏名、メールアドレス、ユーザー名、パスワード(bcryptを使用してハッシュ化された状態で保存)。登録時には、プラットフォーム内でのアクセスレベルを決定するユーザーロール(読者、アナリスト、編集者)を選択します。
- プロフィール情報: 経歴、所属組織、関心分野、希望言語の選択(当社がサポートする10言語:英語、アラビア語、フランス語、スペイン語、ドイツ語、中国語、日本語、ポルトガル語、ロシア語、トルコ語)、およびテーマ設定を含む表示設定。
- サブスクリプションおよび課金データ: サブスクリプション階層の選択(無料、プロフェッショナル(月額29ドル)、またはエンタープライズ(月額99ドル))、請求先住所、支払い方法の詳細(第三者決済プロセッサーであるTap Paymentsを通じて処理)、取引履歴。当社のサーバーには完全なクレジットカード番号は保存されません。
- ユーザー生成コンテンツ: ブックマーク、保存された検索条件、ストーリー追跡設定、調査レポートリクエスト、編集レビュー提出物、注釈、およびプラットフォーム内で作成したメモやコメント。
- 通信データ: お問い合わせフォームを通じて送信されたメッセージ、カスタマーサポートへのリクエスト、フィードバックの提出、および当社宛てに送信されたその他の通信。
2.2 使用状況データ(自動収集)
- アクティビティログ: 閲覧したページとストーリー、使用した機能、入力した検索クエリ、ブックマークしたストーリー、アクセスした調査レポート、開始したAIエージェントタスク、およびすべてのインタラクションのタイムスタンプ。これらは当社のactivity_logデータベーステーブルに記録されます。
- インタラクションデータ: クリックパターン、スクロール深度、個々のストーリーまたは調査レポートに費やした時間、プラットフォーム内のナビゲーションパス、機能使用頻度。
- 参照元データ: Polyscopeaへの参照元となったウェブサイトのURL、当社プラットフォームで訪問したページ、およびサービス内でクリックしたリンク。
- パフォーマンスデータ: ページ読み込み時間、発生したアプリケーションエラーまたはクラッシュ、機能固有のパフォーマンスメトリクス。
2.3 デバイスおよび技術データ
- デバイス識別子: IPアドレス(都市または地域レベルでの地理的位置の概算に使用される場合があります)、ブラウザの種類とバージョン、オペレーティングシステムとバージョン、画面解像度、デバイスの種類(デスクトップ、タブレット、モバイル)。
- 接続情報: インターネットサービスプロバイダー、接続速度、ネットワークの種類。
- ブラウザデータ: 言語設定、タイムゾーン設定、およびプラットフォームの機能に影響を与える可能性があるインストール済みのブラウザプラグインまたは拡張機能。
2.4 AI生成および派生データ
- ストーリー分析データ: 当社の6種類の専門AIエージェント(ソース発見、検証、分析、接続マッピング、レポート生成、監視)によって生成される、AI生成の要約、トレンド分析、センチメント評価、ナラティブアーク追跡、ストーリー相互接続マッピング。
- 信頼性スコア: ソース検証、相互参照、時間的一貫性分析に基づいて、ストーリー、ソース、進展に割り当てられるアルゴリズムで計算されたスコア。
- パーソナライゼーションデータ: お客様の使用パターン、ブックマーク、および表明された設定に基づいて生成される、派生した関心プロファイル、コンテンツ推奨、関連性スコア。
- 研究成果物: 公開されている情報源から収集され、当社の分析パイプラインを通じて処理された、AI生成の調査レポート、セクター分析、インテリジェンスブリーフ。
2.5 クッキーおよびトラッキング技術
当社は、お客様が当社プラットフォームを訪問する際に情報を収集・保存するために、クッキーおよび類似のトラッキング技術を使用します。当社が使用するクッキーの詳細な説明および管理方法については、本ポリシーの第12項を参照してください。当社が採用するトラッキング技術の種類には以下が含まれます:
- セッションクッキー: ブラウザを閉じると期限切れになる一時的なクッキーで、セッション状態、言語設定、認証状態を維持するために使用されます。
- 永続的クッキー: 設定された期間デバイスに残るクッキーで、設定(テーマ選択や言語設定など)を記憶し、戻ってきたユーザーを認識し、「ログイン状態を保持する」機能を容易にするために使用されます。
- 分析技術: ページビュー、セッション時間、機能エンゲージメントメトリクスなど、ユーザーが当社プラットフォームとどのように関わっているかを理解するのに役立つツール。
3. お客様の情報の利用方法
当社は、お客様の個人データを以下の目的で処理します。各目的は、セクション4で説明する1つ以上の法的根拠に基づいています。
3.1 サービスの提供とプラットフォームの運営
- お客様のユーザーアカウントと認証情報の作成、維持、保護
- お客様のサブスクリプション階層(無料、プロフェッショナル、エンタープライズ)およびユーザーロール(閲覧者、アナリスト、編集者、管理者)に基づくプラットフォーム機能へのアクセス提供
- サブスクリプション注文の処理と履行、請求サイクルの管理、および当社の決済プロセッサーを通じた支払い取引の処理
- ストーリー追跡、AIを活用した分析、調査レポート、インテリジェンスブリーフィングの提供
- お客様のブックマーク、保存済み検索、通知設定、その他のパーソナライズ機能の管理
- カスタマーサポートの提供およびお客様からのお問い合わせ、フィードバック、苦情への対応
3.2 AI処理と分析
- 当社の6種類の専門AIエージェントを実行し、対象セクター全体で展開するストーリーやナラティブの発見、検証、分析、関連付け、レポート作成、監視を行う
- 自動化されたアルゴリズム評価を通じて、ストーリー、情報源、進展に対する信頼性スコアを生成する
- AI生成の調査レポート、セクター分析、ストーリー関連性マッピングを作成する
- 集約されたパフォーマンス分析を通じて、当社のAIモデルの精度、関連性、信頼性を継続的に改善する(明示的な同意なしに個々の個人データをモデルトレーニングに使用することはありません)
3.3 パーソナライゼーションとレコメンデーション
- お客様の関心、閲覧履歴、表明された設定に基づいて、コンテンツのレコメンデーションとストリーフィードを調整する
- お客様の言語、テーマ、アクセシビリティ設定に基づいてプラットフォームインターフェースを調整する
- お客様の追跡設定に合わせた、セクター固有およびトピック固有のアラートと通知を提供する
3.4 分析とプラットフォーム改善
- 集約された利用パターンを分析し、当社サービスがどのように使用されているかを理解し、改善すべき領域を特定する
- A/Bテストと機能実験を実施してユーザーエクスペリエンスを最適化する
- プラットフォームのパフォーマンス、稼働時間、信頼性を監視する
- プラットフォームの利用動向に関する集約された匿名化統計レポートを生成する
3.5 コミュニケーション
- アカウント確認メール、パスワードリセット通知、サブスクリプション確認、支払い領収書を含む取引関連のコミュニケーションを送信する
- ストーリー更新、新たな進展、AI分析完了、編集レビューステータス変更に関するアプリ内通知を配信する
- マーケティングコミュニケーション、ニュースレター、製品アップデートを送信する(法律で要求される場合にはお客様の同意を得た上で、すべてのコミュニケーションにオプトアウト機能を設けます)
- セキュリティアラート、ポリシー変更、メンテナンス通知を含む重要なサービス告知を提供する
3.6 セキュリティと不正防止
- 不正アクセス、セキュリティインシデント、詐欺、その他の悪意のある活動の検出、防止、調査
- 当社の利用規約およびその他の適用されるポリシーの執行
- ユーザーIDの確認およびアカウント侵害の防止
- セキュリティおよびコンプライアンス目的のための監査ログの維持
3.7 法的遵守
- 適用される法律、規制、法的プロセス、政府の要求への遵守
- 法的請求の確立、行使、または防御
- 税務、会計、財務報告義務の履行
- 国家安全保障または法執行機関の要件を含む、公的機関からの合法的な要求への対応
4. 処理の法的根拠
一般データ保護規則(GDPR)および類似のデータ保護法の下では、各処理活動に対して適法な根拠を特定する必要があります。当社は、GDPR第6条(1)に基づく以下の法的根拠に依拠しています:
4.1 契約の履行 — 第6条(1)(b)
お客様が当事者である契約の履行に必要な処理、または契約締結前にお客様の要求に応じて措置を講じるために必要な処理。この根拠は、アカウント作成、ご契約のサブスクリプション階層に応じたプラットフォーム機能の提供、支払い処理、およびカスタマーサポートの提供に適用されます。
4.2 正当な利益 — 第6条(1)(f)
当社の正当な利益の目的のために必要な処理であり、その利益がお客様の基本的な権利および自由によって上回られない場合。当社は以下の事項について正当な利益評価を実施しています:
- 分析を通じてプラットフォームのパフォーマンス、機能、ユーザーエクスペリエンスの改善および最適化
- 不正行為、セキュリティインシデント、および不正利用行為の検出と防止
- ストーリーインテリジェンスサービスを提供するためのAIエージェントおよびアルゴリズムシステムの運用
- 分析能力を強化するための内部研究開発の実施
- プラットフォーム利用動向に関する集約された匿名化されたインサイトの生成
- 既存顧客への類似サービスに関するダイレクトマーケティング通信の送信(適用される法律で許可されている場合、お客様のオプトアウト権に従う)
4.3 同意 — 第6条(1)(a)
お客様から自由に与えられた、具体的で、情報に基づいた、曖昧さのない同意に基づく処理。お客様はいつでも同意を撤回することができ、撤回前に行われた処理の適法性には影響しません。当社は、法律上同意が必要なマーケティングメールの送信、お客様のデバイスへの非必須クッキーの設置、特別なカテゴリーの個人データ(該当する場合)の処理、および他の法的根拠でカバーされない処理について同意に依拠しています。
4.4 法的義務 — 第6条(1)(c)
法的義務の遵守に必要な処理。これには、支払いに関連する税務および会計上の義務、規制当局からの合法的なデータアクセス要求への対応、データ保護および電子商取引規制で要求される記録の維持、該当する場合のAML/KYC規制の遵守が含まれます。
4.5 重大な利益 — 第6条(1)(d)
まれな状況において、データ主体または他の自然人の重大な利益を保護するために必要な場合に、個人データを処理することがあります。この根拠は、緊急サービスへの連絡や生命に対する差し迫った脅威への対応など、緊急事態でのみ適用されます。
5. AI & 自動意思決定
PolyscopeaはAIを活用したプラットフォームであり、人工知能は当社のサービスに不可欠です。当社は、AIシステムの動作方法およびそれがユーザーに与える影響について透明性を確保することに努めています。このセクションでは、GDPR第22条に基づき必要な情報を提供します。
5.1 当社のAIエージェントの種類
| エージェントの種類 | 機能 | 処理されるデータ |
|---|---|---|
| ソース発見 | 追跡対象のストーリーに関連する公開利用可能なソースを特定・収集する | 公開ウェブデータ、RSSフィード、ニュースソース |
| 検証 | 複数のソース間で情報を照合し、正確性を評価する | ソースコンテンツ、メタデータ、公開履歴 |
| 分析 | 感情分析、トレンド検出、ナラティブアークの追跡を実行する | ストーリーコンテンツ、履歴データ、セクターの文脈 |
| 関連性マッピング | ストーリー、エンティティ、展開間の関係性を特定する | ストーリーメタデータ、エンティティデータ、時間データ |
| レポート生成 | AI生成の調査レポートおよびインテリジェンスブリーフを編集する | 集約された分析出力、レポートパラメータ |
| 監視 | 展開を継続的に追跡し、重要な変更について通知をトリガーする | ストーリー更新、閾値パラメータ、アラート設定 |
5.2 信頼性および信憑性スコアリング
当社プラットフォームは、アルゴリズム的手法を用いて、ストーリーおよびソースの信頼性および信憑性スコアを算出します。これらのスコアは、以下の要素から導き出されます:裏付けとなるソースの数と多様性、発信元出版物の過去の信頼性、報告された情報の時間的一貫性、事実確認の結果、編集レビューのステータス。信頼性スコアは情報提供ツールとして表示されるものであり、個人に対して法的効果または同様に重大な影響を及ぼす自動意思決定を構成するものではありません。信頼性スコアについて人的レビューを希望される場合は、編集チームまでお問い合わせください。
5.3 コンテンツのパーソナライゼーション
当社は、自動処理を使用して、プラットフォーム上でユーザーに表示されるコンテンツをパーソナライズします。これには、閲覧履歴、ブックマーク、表明された関心、サブスクリプション階層に基づいて、ストーリー、調査レポート、セクターカバレッジエリアを推薦することが含まれます。このパーソナライゼーションはユーザー体験を向上させるものであり、公開されているコンテンツへのアクセスを制限するものではありません。プロファイルの関心、ブックマーク、通知設定を変更することで、推薦に影響を与えることができます。
5.4 自動処理のための保護措置
- 人的監視: AI生成コンテンツはすべて編集レビュープロセスを経ます。AI分析、信頼性スコア、レポートは、編集レビュー済みとして指定される前に人的検証の対象となります。
- 透明性: AI生成コンテンツはプラットフォーム上で明確にラベル付けされます。ユーザーは視覚的指標を通じて、AI生成分析と編集レビュー済みコンテンツを区別できます。
- 異議申し立ての権利: ユーザーは、自動意思決定またはスコアに対して異議を申し立て、プロファイル設定またはサポートチームを通じて人的介入を要求する権利を有します。
- 定期的な監査: 当社は、AIシステムの正確性を評価し、潜在的なバイアスを特定し、アルゴリズムが意図通りに動作することを確保するために、定期的な監査を実施します。
- 法的効果を伴う完全自動意思決定の禁止: 当社は、ユーザーの明示的な同意がない限り、または適用法令に基づき適切な保護措置が講じられている場合を除き、ユーザーに対して法的効果を生じさせ、または同様に重大な影響を与える、完全に自動化された処理に基づく意思決定を行いません。
5.5 AIモデルトレーニング
当社は、ユーザーの明示的な同意なしに、ユーザーの個人データを使用してAIモデルをトレーニングすることはありません。当社のAIエージェントの改善は、集約された匿名化されたパフォーマンスデータおよび公開利用可能なトレーニングデータセットに基づいて行われます。将来、識別可能なユーザーデータをAIモデルトレーニング目的で使用することを希望する場合は、事前に十分な情報に基づく同意を求め、オプトアウトする能力を提供します。
6. データ共有と第三者
当社はお客様の個人データを販売することはありません。お客様の情報は、以下に記載された状況においてのみ、また、明示された目的を達成するために必要な範囲でのみ共有します。
6.1 サービスプロバイダーとデータ処理者
当社は、信頼できる第三者企業に委託して、当社に代わってサービスを提供しています。これらのサービスプロバイダーは、契約に基づくデータ処理者として行動し、指示された通りにのみお客様のデータを処理し、適切なセキュリティ対策を維持する義務を負います:
- クラウドインフラストラクチャとホスティング: 適切な冗長性とセキュリティを備えたサーバー、データベース、アプリケーションインフラストラクチャをホストするプロバイダー。
- 決済処理: 当社の決済ゲートウェイであるTap Paymentsが、サブスクリプション決済を処理します。Tap Paymentsは、お客様の決済処理に必要なデータのみを受信し、PCI-DSSに準拠しています。当社はサーバーに完全な支払いカード情報を保存しません。
- AIおよび機械学習サービス: 厳格なデータ処理契約に基づき、当社のAIエージェントの運用をサポートする第三者AIプロバイダー(DeepSeekを含む)。
- メール配信: 取引メール、通知、マーケティングコミュニケーションを当社に代わって配信するメールサービスプロバイダー。
- 分析プロバイダー: 集約された分析データを通じてプラットフォームの利用状況を理解するのに役立つサービス。個人データ収集を最小限に抑えるように設定されています。
6.2 法的要件と法執行機関
当社は、以下の目的のために開示が必要であると誠実に信じる場合、お客様の個人データを開示することがあります:法的義務、裁判所命令、または合法的な政府の要求に従うため;Polyscopea、当社のユーザー、または公衆の権利、財産、安全を保護するため;不正行為、詐欺、またはセキュリティ問題の可能性を防止または調査するため;または当社の利用規約を執行するため。法律で許可されている場合、当社はそのような要求を受けた影響を受けるユーザーに通知し、過度に広範または違法な要求には異議を申し立てます。
6.3 事業譲渡
合併、買収、組織再編、破産、または当社の資産の全部または一部の売却が発生した場合、お客様の個人データはその取引の一部として移転される可能性があります。お客様の個人データが異なるプライバシーポリシーの対象となる前に通知を行い、受領する組織が本ポリシーに記載された保護を尊重すること、または同等以上の保護を提供することを確約するようにします。
6.4 集約および匿名化されたデータ
当社は、研究、マーケティング、分析、その他の目的のために、集約された、匿名化された、または識別情報が除去されたデータを第三者と共有することがあります。このデータは、合理的にお客様を特定するために使用することはできません。
6.5 お客様の同意に基づく場合
お客様が明示的な同意を与えた場合、プラットフォームの機能を通じて研究レポート、ブックマーク、または分析を他のユーザーや外部関係者と共有することを自発的に選択した場合など、第三者とお客様の個人データを共有することがあります。
7. 国際的なデータ移転
Polyscopeaはグローバルに事業を展開し、複数の法域にわたるユーザーにサービスを提供しています。お客様の個人データは、お客様が居住する国以外の国々に移転、保存、処理される場合があり、それらの国々は異なるデータ保護法を有している可能性があります。
7.1 移転メカニズム
個人データを国際的に移転する際、当社は適切な保護措置が講じられていることを確保します:
- 十分性認定: 欧州委員会が第三国が十分なレベルのデータ保護を提供していると認定した場合、当社はその十分性認定に基づいてデータを移転することがあります。
- 標準契約条項(SCCs): 十分性認定のない国への移転については、欧州委員会の標準契約条項(2021年6月に更新)を、Schrems II判決で要求される補足的措置とともに使用します。
- 拘束的企業準則: 該当する場合、当社は、管轄データ保護当局によって承認されたサービスプロバイダーの拘束的企業準則に依拠します。
- 例外規定: 限られた状況において、GDPR第49条に基づく適用可能な例外規定、例えばお客様の明示的な同意や契約履行の必要性に基づいてデータを移転することがあります。
7.2 補足的措置
- 機密データに対する送信中および保存時のAES-256-GCM暗号化
- 可能な場合、国境を越えた移転前に適用される仮名化およびデータ最小化技術
- 移転されたデータへのアクセスを許可された担当者のみに制限する厳格なアクセス制御
- 受入国の法的枠組み(政府によるアクセスや監視法を含む)の定期的な評価
- 受領者からの契約上のコミットメント:政府のアクセス要求があった場合に当社に通知し、不均衡または違法な要求に対して異議を申し立てること
7.3 移転影響評価
重要な国際データ移転ごとに、当社は移転影響評価(TIA)を実施し、受入国の法的枠組み、移転されるデータの性質、移転メカニズム、および必要な補足的措置を評価します。当社はこれらの評価の記録を維持し、定期的に、または重要な法的変更が発生した際に更新します。
8. データの保持
当社は、お客様の個人データを、収集目的を達成するために必要な期間、または適用される法律で要求される期間のみ保持します。
8.1 保持スケジュール
| データカテゴリー | 保持期間 | 正当な理由 |
|---|---|---|
| アカウントデータ | アカウント存続期間 + 削除リクエスト後30日間 | 契約履行;猶予期間 |
| アクティビティログ | 作成から24ヶ月間 | 正当な利益(セキュリティ、分析) |
| 支払い記録 | 取引日から7年間 | 法的義務(税務/会計) |
| サブスクリプションデータ | サブスクリプション存続期間 + 12ヶ月間 | 契約履行;紛争解決 |
| AIエージェントタスク記録 | 完了から18ヶ月間 | 正当な利益(改善、監査可能性) |
| リサーチレポート | アカウント存続期間 + 6ヶ月間 | 契約履行 |
| ブックマーク & 設定 | アカウント存続期間 | 契約履行 |
| メールキュー記録 | 送信から90日間 | 正当な利益(配信可能性) |
| 通知 | 作成から12ヶ月間 | 契約履行 |
| クッキーデータ | 様々(第12項参照) | 同意または正当な利益 |
| サポート記録 | 解決から3年間 | 正当な利益(品質保証、紛争) |
| セキュリティ/監査ログ | 作成から3年間 | 正当な利益;法的義務 |
8.2 アカウント削除
お客様がアカウントの削除をリクエストされた場合、当社は法的に保持が義務付けられているデータを除き、30日以内にお客様の個人データを削除または匿名化します。30日の猶予期間中は、アカウントの再開をご希望の場合は当社までご連絡ください。猶予期間を過ぎると、削除は永久的かつ元に戻せません。
8.3 匿名化
可能な場合、当社は個人データを削除するのではなく匿名化し、お客様を特定できない形式で分析および統計目的に引き続き使用できるようにします。匿名化されたデータは、適用される法律の下ではもはや個人データとはみなされず、無期限に保持される場合があります。
9. データセキュリティ
当社は、お客様の個人データのセキュリティを真剣に受け止め、不正アクセス、改ざん、開示、または破壊から情報を保護するための包括的な技術的および組織的対策を実施しています。
9.1 暗号化
- 保存データ: 機密性の高い個人データは、AES-256-GCM(ガロア/カウンターモードにおける256ビット鍵を使用した高度暗号化標準)を使用して暗号化され、機密性と真正性の両方を提供します。当社のコア暗号化サービスは、鍵の生成、ローテーション、および暗号化操作を管理します。
- 転送中のデータ: すべての通信はTLS 1.2以上(TLS 1.3を推奨)を使用して暗号化されます。すべてのエンドポイントでHTTPSを強制し、プロトコルダウングレード攻撃を防ぐためにHSTSヘッダーを使用しています。
- パスワードセキュリティ: ユーザーパスワードは、ブルートフォース攻撃に耐えうる十分なコストファクターを持つbcryptを使用してハッシュ化されます。平文でパスワードを保存することは決してありません。パスワードリセットトークンは暗号的に生成され、時間制限があり、1回限りの使用です。
9.2 アクセス制御
- ロールベースアクセス制御: プラットフォームは、最小権限の原則に従って定義された権限を持つ4つのユーザーロール(リーダー、アナリスト、エディター、管理者)によるRBACを実装しています。
- ミドルウェアによる強制: 当社のAuthMiddlewareおよびRoleMiddlewareコンポーネントは、すべてのリクエストに対して認証および認可チェックを強制します。
- 管理アクセス: サーバーインフラストラクチャ、データベース、および管理ツールへのアクセスは、多要素認証、VPNアクセス、個別に割り当てられた資格情報を通じて、承認された担当者に制限されています。すべての管理アクションは記録されます。
9.3 インフラストラクチャセキュリティ
- サーバーOS、PHP 8.2ランタイム、MySQLデータベース、およびすべての依存関係への定期的なセキュリティパッチ適用
- SQLインジェクション、XSS、CSRF、その他のOWASP Top 10の脆弱性から保護するWebアプリケーションファイアウォール(WAF)
- MVCフレームワーク全体での入力検証と出力エンコーディング
- ブルートフォース攻撃およびDoS攻撃から保護するためのレート制限とスロットリング
- 別の地理的場所に保存される暗号化されたデータベースバックアップ
9.4 インシデント対応
当社は、文書化されたデータ侵害インシデント対応計画を維持しています:
- 検出と封じ込め: 侵害の範囲と影響を制限するための即時封じ込め手順を伴う継続的監視システム。
- 評価: 侵害の性質、範囲、深刻度、影響を受けたデータ主体、および関連するデータカテゴリの迅速な評価。
- 通知: 侵害に気づいてから72時間以内に関連する監督機関への通知(GDPR第33条)。侵害が個人に高いリスクをもたらす可能性が高い場合、不当な遅延なく影響を受けた個人にも通知します(第34条)。
- 是正措置: 根本原因分析、システム強化、およびプロセス改善を含む是正措置。
- 文書化: すべてのインシデント、事実、影響、および是正措置の包括的な文書化。
9.5 セキュリティの限界
当社は堅牢なセキュリティ対策を実施していますが、電子的な送信または保存の方法で完全に安全なものはありません。当社はお客様の個人データの絶対的な安全性を保証することはできず、強力で固有のパスワードを使用し、資格情報を秘密に保ち、共有デバイスを使用する際にはログアウトすることをお勧めします。
10. お客様の権利
お客様の管轄区域に応じて、個人データに関して様々な権利を有しています。当社は、以下に記載する各権利の行使を容易にするための手続きを実施しています。
10.1 GDPRに基づく権利(EU/EEA居住者)
- アクセス権(第15条): 処理の確認と、補足的な処理情報を含む個人データのコピーを入手する権利。
- 訂正権(第16条): 不正確なデータの訂正と不完全なデータの完成を求める権利。ほとんどの情報はプロフィール設定から直接更新できます。
- 削除権(「忘れられる権利」)(第17条): データが不要になった場合、同意を撤回した場合、またはデータが違法に処理された場合に削除を要求する権利。
- 処理制限権(第18条): データの正確性に異議を唱える場合、または処理が違法であり削除よりも制限を希望する場合に、処理の制限を要求する権利。
- データポータビリティ権(第20条): 個人データを構造化され、一般的に使用され、機械可読な形式(JSONまたはCSV)で受け取り、別の管理者に送信する権利。
- 異議申し立て権(第21条): 正当な利益またはダイレクトマーケティングに基づく処理に対していつでも異議を申し立てる権利。ダイレクトマーケティングについては、直ちに処理を停止します。
- 自動化された意思決定に関する権利(第22条): 法的効果または同様に重大な影響を及ぼす完全に自動化された意思決定の対象とならない権利(例外あり)。
- 同意撤回権: 以前の処理の合法性に影響を与えることなく、いつでも同意を撤回する権利。
- 苦情申し立て権: お客様のEU加盟国の監督当局に苦情を申し立てる権利。
10.2 CCPA/CPRAに基づく権利(カリフォルニア州居住者)
- 知る権利: 収集された個人情報のカテゴリーと具体的な内容、情報源、目的、および第三者への提供先の開示を要求する権利。
- 削除を求める権利: 一定の例外を除き、個人情報の削除を要求する権利。
- 訂正を求める権利: 不正確な個人情報の訂正を要求する権利。
- 販売/共有のオプトアウト権: 当社は、クロスコンテキスト行動ターゲティング広告のために個人情報を販売または共有しません。方針が変更された場合、お客様にはオプトアウトする権利があります。
- 機微個人情報の利用制限権: 要求されたサービスを実行するために必要な目的に利用を制限する権利。
- 差別を受けない権利: プライバシー権を行使したことによる差別的扱いを受けない権利。
10.3 LGPDに基づく権利(ブラジル居住者)
Lei Geral de Protecao de Dados(一般データ保護法)に基づき、お客様には以下の権利があります:処理の確認、データへのアクセス、不正確なデータの訂正、不要なデータの匿名化またはブロック、データポータビリティ、同意に基づいて処理されたデータの削除、第三者共有に関する情報、同意拒否とその結果に関する情報、および同意の撤回。
10.4 POPIAに基づく権利(南アフリカ居住者)
Protection of Personal Information Act(個人情報保護法)に基づき、お客様には以下の権利があります:個人情報が収集されていることの通知、個人情報へのアクセスと訂正、処理への異議申し立て。南アフリカ情報規制当局に苦情を申し立てることができます。
10.5 権利の行使方法
上記のいずれかの権利を行使するには、以下のいずれかの方法でお願いします:
- アカウント設定からリクエストを送信: http://localhost/Polyscopea/?page=profile&tab=settings
- 第18項に記載のデータ保護責任者(DPO)にメール送信
- 第19項に記載の連絡先住所に書面による請求を郵送
リクエストを処理する前に本人確認を行います。30日以内(またはお客様の現地法で要求される期間内)に回答いたします。権利の行使に費用はかかりませんが、明らかに根拠がなくまたは過剰なリクエストの場合は除きます。
11. 子供のプライバシー
12. クッキーおよびトラッキング技術
12.1 クッキーとは
クッキーは、ウェブサイトを訪問した際にデバイスに保存される小さなテキストファイルです。ウェブサイトを適切に機能させ、効率を向上させ、レポート情報を提供するために広く使用されています。Polyscopeaによって設定されるクッキーは「ファーストパーティークッキー」です。当社のウェブサイトを通じて機能を有効にする第三者が設定するクッキーは「サードパーティークッキー」です。
12.2 使用するクッキー
| クッキー名 | 種類 | 目的 | 保存期間 |
|---|---|---|---|
| PHPSESSID | 必須 | セッション状態と認証を維持 | セッション |
| polyscopea_theme | 機能性 | 好みのテーマ(ライト/ダーク)を保存 | 1年 |
| polyscopea_lang | 機能性 | 好みの言語設定を保存 | 1年 |
| polyscopea_remember | 機能性 | 永続的ログインを有効化 | 30日 |
| polyscopea_consent | 必須 | クッキー同意設定を記録 | 1年 |
12.3 クッキーのカテゴリー
- 厳密に必須(必須): 中核機能(セッション管理、認証、セキュリティ)に不可欠です。無効化できません。ePrivacy指令の下では同意は不要です。
- 機能性: 拡張機能とパーソナライズ(言語、テーマ、ログイン状態)を有効にします。これらがなくてもプラットフォームは機能しますが、体験が低下する可能性があります。
- 分析: ページビュー、セッション時間、ナビゲーションパスを含む、集約および匿名化されたデータを通じて訪問者の行動を理解するのに役立ちます。
12.4 クッキー設定の管理
- ブラウザ設定: ほとんどのブラウザでは、クッキーを拒否したり、既存のクッキーを削除したり、アラートを設定したりできます。必須クッキーを無効にすると、特定の機能が使用できなくなる可能性があります。
- プラットフォーム設定: 必須でないクッキーカテゴリーを受け入れるか拒否するかを選択できるクッキー設定コントロールを提供しています。
- Do Not Track: この設定を有効にしているユーザーに対して、必須でない分析トラッキングを無効化することで、DNT信号に対応します。
13. メール通信と通知
13.1 通信の種類
- トランザクションメール: アカウント確認、パスワードリセット、サブスクリプション確認、支払い領収書、セキュリティアラート。これらは必須であり、マーケティング設定に関わらず送信されます。
- アプリ内通知: ストーリー更新、新展開、AI分析完了、編集レビュー状況の変更、およびプラットフォーム内の通知センターで配信されるシステム告知。
- メール通知: ストーリーの展開、新しい調査レポート、および通知設定に基づく定期的なダイジェストに関する設定可能なアラート。
- マーケティング通信: 製品アップデート、機能発表、ニュースレター、プロモーションコンテンツ。同意を得た場合のみ送信され、すべてのメッセージに配信停止メカニズムが含まれています。
13.2 通知設定の管理
通知設定は、プロフィール設定 http://localhost/Polyscopea/?page=profile&tab=settings からいつでも管理できます。受信するメール通知の選択、ダイジェストの頻度の調整、およびすべてのメッセージに含まれる配信停止リンクを使用したマーケティングメールからの配信停止が可能です。
13.3 メールキュー処理
当社のメールキューシステムは、お客様のメールアドレスとメッセージ内容を含む送信メールを処理し、配信可能性の監視のために90日間保持します。バウンスまたは失敗したメールは、品質保証とメールリストの健全性のために記録されます。
14. サブスクリプションと支払いデータ
14.1 サブスクリプション階層
Polyscopeaは3つのサブスクリプション階層を提供しています:無料(0ドル/月)、プロフェッショナル(29ドル/月)、エンタープライズ(99ドル/月)。ご利用のサブスクリプション階層が利用可能な機能を決定します。当社は、お客様の階層、開始/終了日、更新ステータス、および階層変更を記録します。
14.2 支払い処理
すべての支払い取引は、当社のPCI-DSS準拠の第三者決済ゲートウェイであるTap Paymentsを通じて処理されます。Tap Paymentsがお客様の支払いカード情報を直接収集します。当社は、トークン化された参照情報、カードの下4桁、取引金額、通貨、ステータス、および一意の取引識別子のみを保存します。当社はお客様の完全なクレジットカード番号、有効期限、またはCVVを決して保存しません。
14.3 支払い取引記録
当社は、金額、通貨、支払い方法の参照情報、ステータス(保留中、完了、失敗、返金済み)、およびタイムスタンプを含む支払い取引記録を保持します。これらの記録は、税務および会計規制に準拠して7年間保持されます。お客様はアカウント設定から支払い履歴を確認できます。
14.4 返金と異議申し立て
お客様が返金をリクエストしたり、支払いに関する異議申し立てを行ったりした場合、当社は関連する取引データ(アカウント情報、取引履歴、異議申し立て期間中のサービス利用記録を含む)をTap Paymentsおよびお客様のカード発行銀行と共有する場合があります。
15. サードパーティリンクとサービス
15.1 外部リンク
当社のプラットフォームには、ストーリーや調査レポートで引用されるニュースソース、研究出版物、参考資料などの外部ウェブサイトへのリンクが含まれています。当社はこれらのウェブサイトを管理しておらず、そのプライバシー慣行、コンテンツ、またはセキュリティについて責任を負いません。当プラットフォームを離れた後に訪問するすべてのウェブサイトのプライバシーポリシーを確認することをお勧めします。
15.2 サードパーティCDNとリソース
当社のプラットフォームは、サードパーティのコンテンツ配信ネットワーク(タイポグラフィ用のGoogle Fonts、スタイリング用のTailwind CSS、アイコン用のLucide)からリソースを読み込みます。お使いのブラウザがこれらのリソースを読み込む際、CDNプロバイダはお客様のIPアドレスとブラウザ情報を受け取る可能性があります。これらのプロバイダには独自のプライバシーポリシーがあります。
15.3 埋め込みコンテンツ
一部のストーリーや調査レポートには、サードパーティソースからの埋め込みコンテンツ(チャート、地図、マルチメディアなど)が含まれる場合があります。他のウェブサイトからの埋め込みコンテンツは、発信元のウェブサイトを直接訪問した場合と同様に動作し、データを収集し、クッキーを使用し、お客様のインタラクションを監視する可能性があります。
16. 地域別プライバシー補遺
以下の地域別規定は、特定の管轄区域に所在するユーザーに適用されます。地域別補遺が一般規定と矛盾する場合、当該管轄区域のユーザーについては補遺が優先されます。
16.1 欧州連合 / 欧州経済領域
処理はGDPRおよび英国GDPRに準拠します。第10.1項の権利に加えて:
- データ処理に関する事項については、弊社のEU代表者にご連絡いただけます(詳細は第18項)。
- 弊社のAIエージェント運用や信頼スコアリングを含む高リスク処理については、データ保護影響評価(DPIA)を実施しています。
- 第30条で要求される通り、処理活動記録(ROPA)を維持しています。
- 越境処理については、主たる監督機関の下でのワンストップショップメカニズムに従います。
16.2 米国カリフォルニア州
第10.2項のCCPA/CPRAの権利に加えて:
- Shine the Light法: カリフォルニア州民法第1798.83条に基づき、カリフォルニア州居住者は第三者へのマーケティング目的での開示に関する情報を請求できます。弊社は個人情報をダイレクトマーケティングのために第三者に開示することはありません。
- 収集したカテゴリー(過去12ヶ月): 識別子(氏名、メールアドレス、IPアドレス);商業情報(サブスクリプション/支払いデータ);インターネット活動(利用ログ);位置情報(IPアドレスからの概算位置);職業上の情報;および上記から導き出された推論。
- 授権代理人: カリフォルニア州居住者は、授権の証明を伴うプライバシーリクエストを提出するための授権代理人を指定することができます。
- 金銭的インセンティブ: 弊社は、個人情報の保持または販売と引き換えに、金銭的インセンティブや価格差を提供することはありません。
16.3 ブラジル(LGPD)
個人データの処理は、LGPD(法律第13,709/2018号)に準拠します。法的根拠には、同意、法的義務、契約履行、正当な利益、および信用保護が含まれます。弊社の慣行については、ANPDに請願することができます。弊社のDPO(Encarregado)の連絡先は第18項に記載されています。
16.4 中東および北アフリカ
- サウジアラビア: 弊社は個人データ保護法(PDPL)を遵守し、情報、アクセス、訂正、消去、および同意撤回の権利を尊重します。
- アラブ首長国連邦: 弊社は個人データ保護に関する2021年連邦法令第45号を遵守します。
- カタール: 弊社は個人データプライバシー保護に関する2016年法律第13号を遵守します。
- バーレーン: 弊社は個人データ保護法(2018年法律第30号)を遵守します。
- Tap Paymentsを介したすべての金融データ処理は、関連する現地の金融規制および中央銀行の要件を遵守しています。
16.5 日本(個人情報保護法)
弊社は個人情報保護法に基づく「個人情報」を適切に取り扱います。越境移転は個人情報保護法第28条を遵守し、承認されたデータ保護体制または適切な契約上の保護措置を確保します。個人情報保護法に基づき、開示、訂正、利用停止の請求を行うことができます。
16.6 中国(個人情報保護法)
- 処理は、同意、契約履行の必要性、法的義務を含む、個人情報保護法第13条に基づく法的根拠に基づきます。
- 機微な個人情報を処理する前には、別途の同意を取得し、影響評価を実施します。
- 越境移転は第38条から第43条を遵守し、CACのセキュリティ評価、承認された認証、または海外受領者との標準契約を含みます。
- お客様には、知る権利、決定権、制限権、拒否権、アクセス権、複写権、移転権、訂正権、削除権、および処理規則の説明を求める権利があります。
16.7 トルコ(KVKK)
- 処理は、明示的な同意、契約履行の必要性、法的義務、および正当な利益を含む、KVKK(法律第6698号)第5条および第6条の条件に基づきます。
- 越境移転は第9条に従い、契約上のコミットメントによる適切な保護、および必要に応じたKVKK委員会の承認を通じて行われます。
- 第11条に基づき、お客様には、データが処理されているかどうかを知る権利、処理情報を請求する権利、目的を知る権利、第三者の受領者を知る権利、訂正を請求する権利、削除または消去を請求する権利、および自動化された処理結果に異議を唱える権利があります。
- お客様の権利が侵害された場合、KVKK委員会に苦情を申し立てることができます。
17. 本ポリシーの変更
17.1 ポリシーの更新
当社は、自社の慣行、技術、法的要件の変更、またはその他の運営上の理由を反映するため、本プライバシーポリシーを随時更新することがあります。変更を行う際は、本ポリシーの上部にある「最終更新日」とバージョン番号を更新します。
17.2 重要な変更の通知
お客様のデータの処理方法に重大な影響を与えたり、お客様の権利を縮小したりする重要な変更については、電子メール通知、プラットフォーム上のバナー、アプリ内通知、またはこれらの方法の組み合わせを通じて、顕著な通知を提供します。
17.3 重要な変更に対する同意
適用される法律(特に同意が法的根拠となるEU/EEA)で要求される場合、重要な変更を実施する前に、お客様の改めての同意を取得します。同意されない場合は、サービスの利用を中止し、アカウントとデータの削除を要求することができます。
17.4 バージョン履歴
当社は以前のバージョンのアーカイブを保持しています。以前のバージョンへのアクセスは、当社に連絡することでリクエストできます。現在のバージョンは2.0.0で、2026年3月1日発効です。
18. データ保護責任者
18.1 DPOの任命
GDPR第37条に従い、Polyscopeaはデータ保護戦略の監督および適用されるプライバシー法の遵守を確保する責任を負うデータ保護責任者(DPO)を任命しています。DPOは独立して活動し、最高管理レベルに直接報告します。
18.2 DPOの責任
- GDPR、その他のデータ保護法、および内部ポリシーの遵守状況の監視
- データ保護影響評価に関する助言と監視
- データ主体および監督当局の窓口としての役割
- 監督当局との協力
- 新機能開発における「設計によるプライバシー」および「デフォルトによるプライバシー」の指針提供
18.3 DPOへの連絡
データ保護責任者
Polyscopea — Story Intelligence Platform
メール: dpo@polyscopea.com
データ保護およびプライバシーに関するご質問、懸念、リクエスト、またはデータ主体の権利の行使については、当社のDPOまでご連絡ください。
19. お問い合わせ方法
本プライバシーポリシーまたは当社のデータ処理慣行についてご質問、懸念、または苦情がある場合は、以下の方法でお問い合わせください: