プライバシーポリシー
1. はじめに
Godfrey Engineering Ltd(以下「当社」といいます)は、お客様のプライバシーの保護と尊重を約束しています。本プライバシーポリシーは、お客様が当社のウェブサイト(godfreyengineering.com)を訪問する際、当社の製品(ChainSolve を含む)を使用する際、またはその他の方法で当社のサービスと相互作用する際に、当社がお客様の個人データをどのように収集、利用、開示、および保護するかについて説明しています。
Godfrey Engineering Ltd はイングランド・ウェールズで登録されている企業です。当社は本ポリシーに記載される個人データのデータ管理者です。
お問い合わせ先:
- メール: legal@godfreyengineering.com
- 一般的なお問い合わせ: info@godfreyengineering.com
- ウェブサイト: www.godfreyengineering.com
本ポリシーは、当社のウェブサイト、アプリケーション、メール通信、およびその他の当社が運営するサービスを通じて処理されるすべての個人データに適用されます。当社のサービスを使用することにより、お客様は本ポリシーを読んで理解したことを承認します。
2. 当社が収集するデータ
当社は以下のカテゴリーの個人データを収集します。
2.1 お客様が直接提供する情報
- アカウント情報: ChainSolve またはその他の Godfrey Engineering 製品のアカウントを作成する際、当社はお客様の名前、メールアドレス、およびパスワード(ハッシュ化されたもの、平文のパスワードは保存されません)を収集します。
- お問い合わせフォーム送信: お問い合わせフォームを送信される際、当社はお客様の名前、メールアドレス、およびメッセージの内容を収集します。
- 支払い情報: 購入または有料サービスへの購読時、当社は請求詳細(名前、住所、支払いカード情報)を収集します。支払いカード情報は Stripe によって直接処理され、当社のサーバーに保存されることはありません。
- サポートリクエスト: サポートについてお問い合わせいただく際、当社は名前、メールアドレス、および問題に関する詳細を含む、お客様が提供する情報を収集します。
- ニュースレター登録: ニュースレターに登録される場合、当社はお客様のメールアドレスと、オプションで名前と設定を収集します。
2.2 自動的に収集される情報
- 利用データ: アクセスされたページ、ページ滞在時間、クリックされたリンク、参照元、およびナビゲーションパス。このデータは PostHog によって収集されます(セクション 5 参照)。
- デバイスおよびブラウザー情報: ブラウザーの種類とバージョン、オペレーティングシステム、デバイスタイプ、画面解像度、および言語設定。
- IP アドレス: セキュリティとパフォーマンスのため、当社のホスティングプロバイダー(Cloudflare)により収集されます。PostHog はジオロケーション後に IP アドレスを破棄するように設定されています。
- Cookie およびこれに類する技術: 当社が使用する Cookie の詳細情報については、当社の Cookie ポリシー をご覧ください。
2.3 第三者からの情報
- 認証プロバイダー: 第三者プロバイダー(Google、GitHub など)を使用してサインインされた場合、当社はそのプロバイダーからお客様の名前、メールアドレス、およびプロフィール写真を受け取ります。
- 支払い処理業者: Stripe は当社の契約上の義務を果たすため、取引確認、支払いカードの末尾 4 桁、および請求住所を当社に提供します。
3. 処理の法的根拠
当社は、英国一般データ保護規則(UK GDPR)および 2018 年データ保護法により定義される以下の法的根拠に基づいて個人データを処理します。
| 法的根拠 | 例 |
|---|---|
| 契約上の必要性(第 6 条(1)(b)項) | ChainSolve サービス提供のためのアカウントデータ処理、購入履行のための支払いデータ処理 |
| 正当な利益(第 6 条(1)(f)項) | サービス改善のためのウェブサイト分析、サービス品質維持のためのエラー監視、システム保護のためのセキュリティ対策 |
| 同意(第 6 条(1)(a)項) | ニュースレター登録、非必須 Cookie(分析、マーケティング)、PostHog 製品分析 |
| 法的義務(第 6 条(1)(c)項) | 税務会計目的のための取引記録保持、当局からの適法な要請への対応 |
当社が正当な利益に基づいて処理を行う場合、当社の利益がお客様の基本的権利と自由を上回らないことを確保するため、利益衡量テストを実施しています。これらの評価の詳細については、legal@godfreyengineering.com までお問い合わせいただくことで、リクエストできます。
4. お客様のデータの使用方法
当社は、以下の目的でお客様の個人データを使用します。
- サービス提供: アカウント作成と管理、当社の製品(ChainSolve を含む)へのアクセス提供、取引処理、カスタマーサポート提供。
- 通信: お客様のお問い合わせへの対応、トランザクションメール送信(注文確認、パスワードリセット、サービス通知)、および同意されている場合のマーケティング通信送信。
- 分析と改善: 訪問者がウェブサイトをどのように使用しているかを理解し、人気のあるコンテンツを特定し、技術的な問題を診断し、当社のサービスを改善するため。分析データは集約され、可能な限り仮名化されています。
- セキュリティと詐欺防止: 当社のサービスを保護し、詐欺行為を検出・防止し、当社の利用規約を実施するため。
- 法的遵守: 税務上の義務およびデータ保護法を含む、適用法令および法的プロセスに遵守するため。
5. 第三者データプロセッサー
当社は、データ処理契約(DPA)に基づいてお客様に代わってデータを処理する以下の第三者サービスプロバイダーと個人データを共有しています。
5.1 Cloudflare(ホスティングおよび CDN)
- プロバイダー: Cloudflare, Inc.
- 目的: Cloudflare Pages 経由のウェブサイトホスティング、コンテンツデリバリーネットワーク(CDN)、DDoS 保護、DNS 解決、ウェブアプリケーションファイアウォール。
- 処理されるデータ: IP アドレス、HTTP リクエストヘッダー、ページ URL、パフォーマンスメトリクス。
- データの場所: グローバルエッジネットワーク、EU および米国データセンターでのプライマリ処理。Cloudflare は EU-US Data Privacy Framework の認定を受けています。
- 保持期間: ウェブトラフィックログは最大 72 時間保持されます。集約された分析は最大 6 ヶ月保持されます。
- プライバシーポリシー: https://www.cloudflare.com/privacypolicy/
5.2 Supabase(データベースおよび認証)
- プロバイダー: Supabase, Inc.
- 目的: ユーザー認証、ユーザーアカウントおよびアプリケーションデータのデータベース保存。
- 処理されるデータ: メールアドレス、ハッシュ化されたパスワード、ユーザープロフィールデータ、ユーザーが保存するアプリケーションデータ。
- データの場所: EU リージョン(フランクフルト、ドイツ)。
- 保持期間: データはユーザーアカウントの有効期限中保持されます。削除されたアカウントデータは 30 日以内に削除されます。
- プライバシーポリシー: https://supabase.com/privacy
5.3 Stripe(決済)
- プロバイダー: Stripe, Inc.
- 目的: 製品購入およびサブスクリプションの決済処理。
- 処理されるデータ: 名前、メールアドレス、請求住所、支払いカード情報(Stripe によって直接処理、カード番号は当社のサーバーを経由しません)、取引履歴。
- データの場所: EU 処理リージョン。Stripe は EU-US Data Privacy Framework の認定を受けています。
- 保持期間: 英国の税務会計上の義務に遵守するため、取引記録は 7 年保持されます。支払いカード情報は PCI-DSS 要件に従い Stripe により保持されます。
- プライバシーポリシー: https://stripe.com/privacy
5.4 Resend(トランザクションメール)
- プロバイダー: Resend, Inc.
- 目的: トランザクションメール(アカウント検証、パスワードリセット、注文確認、サポート対応)およびマーケティングメール(ニュースレター、製品更新、同意がある場合のみ)送信。
- 処理されるデータ: メールアドレス、名前、メール内容、配信メタデータ(マーケティングメールのみ、同意がある場合)。
- データの場所: 米国ベースの処理。データ転送は標準契約条項(SCC)により統制されます。
- 保持期間: メール配信ログは 30 日保持されます。マーケティング関与データはサブスクリプション期間中保持されます。
- プライバシーポリシー: https://resend.com/legal/privacy-policy
5.5 PostHog(製品分析)
- プロバイダー: PostHog, Inc.
- 目的: ページビュー追跡、機能利用分析、ユーザージャーニーマッピングを含む製品分析。当社の製品およびウェブサイトを改善するために使用されます。
- 処理されるデータ: 仮名化されたユーザーID、ページ URL、参照元、ブラウザーおよびデバイスメタデータ、機能相互作用イベント。IP アドレスはジオロケーション検索後に破棄されます。
- データの場所: EU ホスト インスタンス(eu.posthog.com、フランクフルト、ドイツ)。
- 同意が必要: はい、PostHog は訪問者がクッキーバナーを通じて分析同意を与えた後のみ初期化されます。
- 設定: 匿名訪問者のパーソンプロフィールは無効化、セッション記録は無効化、IP 収集は無効化。
- 保持期間: イベントデータは 12 ヶ月保持された後、自動的に削除されます。
- プライバシーポリシー: https://posthog.com/privacy
6. 国際データ転送
当社の第三者プロセッサーのいくつかは英国および欧州経済領域(EEA)の外に拠点を置いています。データが国際的に転送される場合、当社は適切なセーフガードが実施されていることを確保しています。
- EU-US Data Privacy Framework: Cloudflare および Stripe は EU-US Data Privacy Framework の認定を受けており、データ転送の適切性の根拠を提供しています。
- 標準契約条項(SCC): 適切性決定でカバーされていないプロセッサーについては、当社は英国承認国際データ転送契約(IDTA)または EU 標準契約条項(該当する場合)に依存しています。
- EU ホスト インスタンス: 可能な限り、サービスの EU ホスト インスタンス(PostHog EU、Supabase EU)を選択して、国際データ転送を最小化しています。
7. データ保持
当社は、個人データを収集された目的を達成するために必要な期間のみ保持します。ただし、法律によりより長い保持期間が必要とされる場合を除きます。
| データカテゴリー | 保持期間 | 理由 |
|---|---|---|
| アカウントデータ | アカウント有効期間 + 削除後 30 日 | サービス提供 |
| 支払い取引記録 | 取引日から 7 年 | 英国税務会計法(HMRC 要件) |
| お問い合わせフォーム送信 | 送信日から 24 ヶ月 | お問い合わせへの対応における正当な利益 |
| ニュースレター登録 | 登録解除まで + 30 日 | 同意ベース、登録解除後データ削除 |
| 分析データ(PostHog) | 12 ヶ月 | サービス改善における正当な利益 |
| サーバーログ(Cloudflare) | 72 時間 | セキュリティとパフォーマンス |
| Cookie 同意設定 | 12 ヶ月 | 規制遵守 |
個人データが不要になった場合、お客様と関連付けることができなくなるよう、安全に削除または匿名化されます。
8. UK GDPR に基づくお客様の権利
英国一般データ保護規則およびデータ保護法 2018 に基づき、お客様は個人データに関して以下の権利を有しています。
8.1 アクセス権(第 15 条)
お客様は、当社が保有するお客様の個人データのコピーをリクエストする権利があります。当社は 1 暦月以内にお客様のリクエストに対応いたします。
8.2 訂正権(第 16 条)
お客様は、当社が保有する不正確または不完全な個人データの訂正をリクエストする権利があります。
8.3 削除権(第 17 条)
お客様は、以下の場合に個人データの削除をリクエストする権利があります。
- データが収集された目的のためにもはや必要ではない
- 同意を撤回する(同意が法的根拠であった場合)
- 処理に異議を唱え、正当な根拠がない
- データが違法に処理されている
- 削除が法的義務に遵守するために必要である
注意:当社は、法律により必要とされる場合(例えば税務目的のための財務取引記録)、特定のデータを保持することができます。
8.4 処理制限権(第 18 条)
お客様は、データの正確性に異議を唱える場合または正当な利益に基づく処理に異議を唱える場合など、特定の状況下で個人データの処理を制限するようリクエストする権利があります。
8.5 データポータビリティ権(第 20 条)
同意または契約上の必要性に基づいており、自動化された手段により実行される処理の場合、お客様は個人データを構造化された一般的に使用されている機械可読形式(JSON または CSV)で受け取り、別のコントローラーに送信する権利があります。
8.6 異議権(第 21 条)
お客様は、正当な利益に基づく処理に異議を唱える権利があります。お客様の権利を上回る説得力のある正当な根拠を示すことができない限り、当社は処理を停止します。
お客様は、いつでもダイレクトマーケティングに異議を唱える権利もあります。異議を唱えられた場合、当社はダイレクトマーケティング目的でのデータ処理を直ちに停止いたします。
8.7 自動化された意思決定に関する権利(第 22 条)
当社は現在のところ、お客様に対して法的またはこれに類する重大な影響を生じさせる自動化された処理のみに基づいて決定を行っていません。これが変更される場合、当社は本ポリシーを更新し、お客様に適切なセーフガードを提供いたします。
8.8 同意撤回権
処理が同意に基づいている場合、お客様はいつでも同意を撤回することができます。同意の撤回は、撤回前に実施された処理の適法性に影響しません。
クッキー同意を撤回するには、当社のウェブサイトのフッターの「Cookie 設定」リンクを使用するか、当社の Cookie ポリシー をご覧ください。
9. 権利の行使
上記に記載される権利を行使するには、以下までお問い合わせください。
- メール: legal@godfreyengineering.com
- 件名: 「データ主体アクセスリクエスト」(または行使したい特定の権利)
当社がお客様のリクエストを処理する前に、お客様の本人確認を行います。特にメール経由でリクエストが行われた場合、お客様の身元を確認するための追加情報の提供をお願いする場合があります。
当社は、すべての有効なリクエストに対して 1 暦月以内に 対応いたします。例外的な状況(複雑または多数のリクエストなど)では、この期間をさらに 2 ヶ月延長できます。その場合、延長および理由についてお客様に通知いたします。
権利の行使に対する手数料はありません。ただし、リクエストが明らかに根拠がないまたは過度である場合、当社は合理的な手数料を請求するか、リクエストに対応しないことができます。
10. Cookie および追跡技術
当社はウェブサイトで Cookie およびこれに類する技術を使用しています。当社が使用する Cookie、その目的、期間、および設定を管理する方法の詳細については、当社の Cookie ポリシー をご覧ください。
ウェブサイトフッターの「Cookie 設定」リンクをクリックすることにより、いつでも Cookie 設定を管理できます。
11. お子様のデータ
当社のサービスは 16 才未満の個人を対象としていません。当社は故意に 16 才未満のお子様から個人データを収集することはありません。16 才未満のお子様から個人データを収集していることに気付いた場合、当社はできるだけ早くそのデータを削除するための措置を講じます。
16 才未満のお子様から個人データを収集した可能性があると思われる場合は、legal@godfreyengineering.com までお問い合わせください。
12. セキュリティ対策
当社は、お客様の個人データを無許可アクセス、改変、開示、または破棄から保護するための適切な技術的および組織的対策を実施しています。これらの対策には以下が含まれます。
- 転送中の暗号化: ブラウザーから当社のサーバーへ送信されるすべてのデータは TLS 1.3(HTTPS)を使用して暗号化され、Cloudflare により実施されます。
- 保存中の暗号化: Supabase に保存されるユーザーデータは AES-256 暗号化を使用して保存時に暗号化されます。
- アクセス制御: 個人データへのアクセスは、知る必要のある権限あるスタッフのみに制限されています。
- パスワードハッシング: ユーザーパスワードは 12 の処理係数で bcrypt を使用してハッシュ化されます。平文のパスワードは保存されません。
- 定期的なセキュリティレビュー: 当社は、インフラストラクチャおよび第三者統合の定期的なセキュリティレビューを実施しています。
- インシデント対応: 当社はインシデント対応手順を維持しています。個人データ漏洩が発生した場合、当社は必要に応じて情報コミッショナーオフィス(ICO)に 72 時間以内に通知し、漏洩がお客様の権利と自由に高いリスクをもたらす可能性がある場合、遅延なくお客様に通知いたします。
13. 第三者ウェブサイトへのリンク
当社のウェブサイトには、第三者ウェブサイトおよびサービスへのリンクが含まれていることがあります。当社はこれらの第三者のプライバシー慣行について責任を負いません。訪問される第三者ウェブサイトのプライバシーポリシーをお読みいただくことをお勧めします。
14. 本プライバシーポリシーへの変更
当社は、当社の慣行、サービス、または適用法の変更を反映するため、本プライバシーポリシーを随時更新することができます。重大な変更を加える場合、当社は以下を行います。
- このページの上部の「最終更新日」を更新する
- 合理的な期間、当社のウェブサイトに通知を掲載する
- 法律上必要な場合、メールでお客様に通知する
定期的に本ポリシーをご確認いただくことをお勧めします。変更後、当社のサービスの継続的な使用は、更新されたポリシーの承認を構成します。
15. 苦情
当社のデータ保護上の懸念への対応に不満がある場合、英国の監督当局に苦情を申し立てる権利があります。
情報コミッショナーオフィス(ICO)
- ウェブサイト:https://ico.org.uk/make-a-complaint/
- 電話:0303 123 1113
- 住所:Wycliffe House, Water Lane, Wilmslow, Cheshire, SK9 5AF, United Kingdom
ICO に連絡する前に、当社が懸念にお応えする機会を提供いただくことを希望しています。最初に legal@godfreyengineering.com までお問い合わせください。
16. お問い合わせ
本プライバシーポリシーまたは当社のデータ保護慣行について質問がある場合は、以下までお問い合わせください。
- データ保護に関するお問い合わせ: legal@godfreyengineering.com
- 一般的なお問い合わせ: info@godfreyengineering.com
- ウェブサイト: www.godfreyengineering.com
Godfrey Engineering Ltd
United Kingdom