個人情報保護方針
最終更新日:2022年10月4日
当社はSpark Mail Limited(以下「当社」)であり、利用規約に基づいてユーザーにサービスを提供します。 Sparkアプリケーション(以下「本アプリ」または「Spark」)では、ユーザーのメールアカウント、メールおよびやり取りを一箇所で管理することができます(以下「メールアカウント」)。
当社は、ユーザーが自身のプライバシーを重視していることを理解しており、ユーザーからの信頼を大切にしています。 ユーザーの信頼に応えるため、当社は最新のデータセキュリティ基準を継続的に適用し、プライバシーに関する意識を向上させ、EU一般データ保護規則(以下「GDPR」)およびその他のプライバシーに関する法律を遵守しています。
本個人情報保護方針では、本アプリが収集するユーザーの個人データの種類、保管方法、処理方法、およびユーザーがSparkを使用する際に発生する事象について説明しています。
当社では、製品やサービスの提供や改善、本個人情報保護方針に記載されているマーケティングキャンペーンの実施、および法的義務の遵守に必要な範囲以上での個人データの収集、追跡、保存は行いません。
当社の宣言
- 当社は、法的根拠がある場合にのみ、ユーザーのデータを収集し、使用します。
- 当社は、常に透明性を保ち、ユーザーの情報をどのように使用するかについて、ユーザーに説明します。
- 当社は、特定の目的のためにデータを収集する場合、他の法的根拠(GDPRなど)が適用されない限り、ユーザーの同意なしに他の目的に使用しません。
- 当社は、ユーザーのデータを販売しません。
- 当社は、当社のサービスを提供する目的で必要な場合を除き、追加データの提供を求めません。
- 当社は、データ保管方針を遵守し、その保管期間の終了時にユーザーの情報が安全に消去されることを保証します。
- 当社は、プライバシー問題に関連するクエリが迅速かつ透過的に処理されるようにすることにより、ユーザーの権利を遵守し、尊重します。
- 当社は、当社の従業員に対し、プライバシーおよびセキュリティの義務に関する研修を実施します。
- 当社は、データがどこに保管されているかにかかわらず、ユーザーのデータを保護するために適切な技術的および組織的措置を講じることを保証します。
- 当社は、当社のすべてのデータ処理業者が、当社のコミットメントを遵守することを義務づける契約条項とともに、適切なセキュリティ対策を備えていることを保証します。
- 当社は、ユーザーの権利に法的または類似の悪影響を及ぼす可能性のある自動化された意思決定を行うために、ユーザーのデータを使用しないことを保証します。
- 当社は、ユーザーの個人データが他国に転送される前に、ユーザーの同意を得るとともに、適切な保護措置が実施されていることを保証します。
免責事項! Sparkの異なるバージョンまたは異なるプラットフォームは、機能が同等でない可能性があることをお知らせします。 そのため、macOS、Windows、iOS、またはAndroidにおけるSparkのユーザーエクスペリエンスが異なる場合があり、あるバージョンまたはプラットフォームでは他のバージョンにある特定の機能が欠けている可能性があることをご了承ください。
2022年9月14日 : Spark 3 Desktop(Windows及びmacOS)では、メールのテンプレート、外部連携サービス、共有受信トレイ、カレンダー、大きな添付ファイルの送信機能が搭載されていません。 新しい機能が追加される可能性があり、その際は随時お知らせいたします。
Sparkは、機能の追加、削除、名称変更を行う権利を有し、変更が発生した場合は直ちにこの免責事項を更新します。
Sparkの旧バージョンでユーザーに対して無償で提供されていた機能は、ユーザーがSparkアカウントを保有する限り、引き続き無償で利用できます。
注意: SparkのWebサイトには、Webサイトを介したデータの送受信を対象とする独自の個人情報保護方針が適用されます。
目次
- 当社の宣言
- ユーザーの定義
- データ管理者について
- 適用範囲について
- データ処理の法的根拠について
- Sparkで収集される個人データ
- 年齢制限
- 保存期間と保管期間
- バックアップ
- 第三者へのデータ提供
- 欧州経済地域外へのデータ転送
- セキュリティ措置
- 個人情報保護に関するユーザーの権利
- 地域固有の法令
- 定義
ユーザーの定義
当社は、アプリ利用者を、当社サービスの利用状況に応じて、以下のように区分しています。無料ユーザー、有料ユーザー、エンタープライズ、パートナー、エンタープライズメンバー。
| ユーザー(無料) | 本アプリを無償で利用する自然人。 |
| ユーザー(Premium) | Spark MailのPremiumプランのいずれかに加入している自然人。 また、組織またはエンタープライズのために、またはエンタープライズの経費で本アプリを使用する従業員またはその他の個人は、ユーザー(Premium)になることができます。 |
| チーム | 本アプリのチーム向けの機能(チーム請求、割り当て、共有受信トレイなど)を使用する2人以上のユーザー(無料またはPremiumのユーザー)。 |
| 組織 | Spark Mail Premiumプランのサブスクリプションを購入した法人。 |
| エンタープライズ | パーソナライズされたサブスクリプションを購入した法人。 |
当社が収集したユーザーの個人データは、ユーザーが所有し、管理します。 ユーザーは、アカウントの設定を変更する(同意やオプトアウトのチェックボックスを取り消すなど)、当社のメールアドレス(dpo@sparkmailapp.com)またはユーザーが利用できる通信手段を用いて、特定の情報を提供しない、または当社が収集、保存、処理することを無効化および防止することを選択できます。 このような場合、Sparkの一部の機能をご利用いただけないことがあります。
データ管理者について
データを収集し処理する組織は、特定のデータ処理操作によって異なる役割を果たすことができます。 例えば、Sparkは、ユーザーが使用する機能によって異なる役割を果たします。 本節では、Sparkがどのように役割要件を満たしているかを説明します。
データ管理者
当社は、ユーザーが利用規約に同意した時点から、ユーザー(無料)、ユーザー(プレミアム)、チーム、組織、エンタープライズ(組織またはエンタープライズの代表者)の個人データの管理者となります。
これは、ユーザーが本アプリを使用する際に、当社が個人データの処理量、目的、手段を決定することを意味します。
データ処理者
当社は、適用される個人情報保護規則のもと、特定のデータ保護操作に応じて、データ処理者として行動することがあります。 これは、Sparkが自助的なツール、製品、または機能を提供し、ユーザーの指示なしに個人データを使用しない場合に該当します。 たとえば、Sparkは、Sparkのマーケティング活動のためにメール送信者のメールアドレスを使用することはなく、ユーザーがSparkサービスを通じてメールを受信および送信できるようにするためにのみ、メール送信者のメールアドレスを使用します。
当社は、データ処理契約で合意された内容に基づいて、組織またはエンタープライズに代わってデータを処理します。ユーザーは、当社のデータ処理契約のコピーをdpo@sparkmailapp.comで請求することができます。
例 A社は従業員用に15個のライセンスを購入しました。 A社の従業員のデータの管理者はA社であり、当社はこの処理活動(A社の費用で従業員にSparkサービスを提供するなど)に関する処理者となります。 データ処理者として、Sparkは、コールドコールマーケティングなどの独自の目的のために、そのようなデータ(例えば、第三者のメールアドレスなど)を使用することはありません。
そのため、当社は、3つのカテゴリーのユーザー(組織、エンタープライズ、無料またはPremiumのユーザー)、従業員、または組織代表者のすべての個人データの処理者となります。
個人データの管理者および個人データの処理者としての当社の役割の詳細については、dpo@sparkmailapp.com宛にお問い合わせください。 または、当社宛の書簡でお問い合わせいただくことも可能です。
DPO(データ保護責任者)
法人名: Spark Mail Limited.
所在地: Grand Canal House, 1 Grand Canal Street Upper, Dublin 4, D04 Y7R5, Ireland.
社外データ保護責任者: Legal IT Group LLC
所在地: Office 1, 38 Volodymyrska Str., 01050 Kyiv, Ukraine
Email: dpo@sparkmailapp.com
特にセンシティブなご要望がある場合は、当社または当社のデータ保護担当者に郵便にてご連絡ください。
適用範囲について
本個人情報保護方針は、当社のWebサイト、AppStore、Huawei AppGallery、Google Playを通じてダウンロード可能な、macOS、iOS、Android、Windows向けSparkのデスクトップ版およびモバイル版に適用されます。
データ処理の法的根拠について
当社は、以下の法的根拠に基づいて個人データを処理することができます:
- テクニカルサポートやカスタマーサポートなど、利用規約に記載されたサービス提供など、契約の厳密な履行に必要な処理のため。
- ユーザーにとって合理的であり、サービスの開発に必要な処理を実施し、当社の正当な利益のため。
- 特定の目的のための追加的な処理に対して、ユーザーの同意を取得するため。
- 適用される法律で要求される、または法執行機関、裁判所、監督機関、その他の公的機関から要求されるデータ処理の法的義務を全うするため。
特に、以下の目的でユーザーの個人データを処理する場合、当該行為は、当社の正当な利益に依拠します:
- アプリの安全性の確保:リスクや不正を防止するために。
- サポートの提供:ユーザーからのお問い合わせへの回答またはその他の類似サポートを提供するため。
- ビジネス開発:当社のアプリを提供し、改善するために。
- ビジネスインテリジェンス:当社のアプリを改良するためのレポートおよび利用状況の分析のため。
- 品質保証:新しい機能の開発または新しいサービスを検証するため。
- マーケティング:当社のマーケティング、広告、またはその他のコミュニケーションを支援するため。
当社は、目的、必要性、比例性のバランスを慎重に評価し、予想可能な方法で、かつユーザーの権利を制限しない場合に限り、当社の正当な利益に依拠します。
個人データの処理例
Sparkからの通知を許可する
アプリからの通知には、通知、音、アイコンバッジなどが含まれます。 これらの通知は、設定で有効または無効にできます。
許可しない / 許可する
Sparkが写真へのアクセスを求めています
写真へのアクセスを許可することにより、写真をメールに添付することが可能になります。
写真を選択… / すべての写真へのアクセスを許可する / 許可しない
当社の正当な利益の例
当社は、ユーザーに提案するサービスをカスタマイズするために、本アプリで行われたユーザーの操作履歴を収集します。 また、ユーザーに対して、当社の新製品や製品の新機能をお知らせするために、メールを配信することがあります。
Sparkで収集される個人データ
本節では、本アプリの様々な機能における個人データの処理に関する当社のアプローチと実践について説明します。
開始前に
当社は、技術的なデータとユーザーが当社に提供する個人データの2つのカテゴリーのデータを処理します。 その一部はクライアントサイド(インターフェイス)で見ることができ、一部はバックエンドで処理されます。
クライアントサイドとは、ユーザーのデバイスに表示される、または行われるアプリの部分です。
バックエンドとは、アルゴリズムが変数やデータポイント上で動作するアプリの目に見えない重要な部分です。 ほとんどの場合、当社のサービスをユーザーに提供するために、このようなデータを処理することが重要です。 例えば、当社は、ユーザーのデータのセキュリティを確保するために、組織的および技術的な措置を考慮してバックエンドデータを保持します。
ユーザーは、以下のいずれかのカテゴリーに属するものとします:
- 無料ユーザー(無料)
- 有料ユーザー(Premium)
- チーム
- 組織
- エンタープライズ
当社は、ユーザーが本アプリを利用する際に、本個人情報保護方針に従って、ユーザーの個人データを収集します。 ユーザーが当社のWebサイトを利用する場合、ユーザーの個人データは、当該Webサイトの個人情報保護方針に従って処理されます。 本アプリが自動的に収集するデータの中には、本アプリが使用されている国など、IPアドレスに基づいて、またはAppStoreから取得するものがあります(当社は、このようなデータを一般化した形で受け取ります)。 通常、当社に提供されるすべてのデータは、ユーザーに関連付けられるか、関連付けられないか(すなわち、仮名化されたデータ)のどちらかになります。
当社は、個人データの項目を新たに作成するか、またはユーザーから以下のような項目の個人データを受け取ります :
- 当社が作成し、ユーザーに関連付けされたデータには、ユーザーID、サブスクリプションの有効期限、アプリトークンが含まれます。
- 当社がユーザーまたはユーザーに代わって第三者から収集するデータには、支払い履歴、リクエスト、アプリの使用データ、アカウントデータ、テクニカルデータが含まれます。
データ処理
当社は、一部の個人データを純粋にビジネス目的で処理します。例えば、ユーザーが当社のサービスを利用できるようにするため、当社の新製品や機能を通知するため、当社の特別プログラムやキャンペーンへの参加を呼びかけるため、および当社の製品およびビジネスの動向を監視し開発するためにユーザーの個人データの一部(通常は仮名化されたデータ)を利用することがあります。 当社は、ユーザーが当社に直接データを提供した場合、または当社のアプリやサービスを利用した場合に、ユーザーに関する特定のデータを収集します。 当社は、ユーザーに当社のサービスを提供するために必要な情報のみを収集します。
当社が特定の法的根拠を明示しない限り、当社は、契約(当社の利用規約)(GDPR第6条 (1)(b):契約の履行)に基づいてユーザーの個人データを処理します。
メールアドレス:メールクライアントとして、本製品の中核的な機能は、ユーザーにメールを管理する機能を提供することにあります。 Sparkのサービスは、ユーザーが本アプリの使用を開始する際に、ユーザーのメールアカウントにアクセスします。 ユーザーのメールアドレスは、当社のシステム内で、ユーザーをユーザーとして一意に識別するために利用され、ユーザーのデータを保護することを可能にします。 ユーザーのメールアドレスは、個人情報保護方針、利用規約、または本アプリやサービスのコア機能などの変更に関連するあらゆることについて、当社と連絡を取るための主要な手段として使用されます。 また、当社は、マーケティング目的でユーザーに連絡することがあり、これは当社の正当な利益のために行われます。 ユーザーは、類似の製品またはサービスに関するマーケティングのコミュニケーションをいつでもオプトアウトすることができます。 当社は、ユーザーのメールアドレスを安全に保管し、プロファイリングやターゲティングのために使用することはありません。
OAuthログインまたはメールサーバーの認証情報:Sparkは、メールメッセージやその他の通信を受信、検索、作成、送信するために、ユーザーのメールシステムにログインするための認証情報を必要とします。 このようなアクセスがない場合、本アプリはユーザーに必要なコミュニケーション機能を提供することができません。 ユーザーが「予約送信」、「デバイス間の同期」、Appleの「プッシュ通知」などの本アプリおよびサービスの機能を利用できるように、当社はSparkサービスを使用しています。 Sparkサービスの利用が制限される場合、上記の機能は一切機能しません。
請求データ: 当社は、ユーザーのサブスクリプションプランの円滑な運用を確保し、適用法令を遵守するために、ユーザーの個人データを処理することがあります。 当社は、ユーザーの機密性の高い支払データにアクセスすることはできませんが(支払処理業者が支払処理のためにのみユーザーの個人データを収集します)、支払処理業者ID、支払状況、およびユーザーのサブスクリプション条件に関する情報(サブスクリプションのプランや期間など)を保管する場合があります。
ユーザーが参加するチームのID:Sparkでのチームコラボレーションを可能にするため、当社はユーザーとユーザーの同僚などが本サービス内でチームを作成することを許可しています。 これにより、メールの内容に関する相談、メールの下書きの共有、プライベートなチャット、特定のメールへのリンクを作成したりすることができます。 チームのIDは、ユーザーをその特定のチームに関連付けるだけでなく、ユーザーのチームの一員でないユーザーからユーザーの情報を保護するために利用されます。 当社のシステムは、ユーザーがチームを作成したときにのみ、その記録を作成します。
Sparkサービス使用中のメールコンテンツ:当社はユーザーとユーザーの同僚などが本サービス内でチームを作成することを許可しています。 これにより、メールの内容に関する相談、メールの下書きの共有、プライベートなチャット、特定のメールへのリンクを作成したりするための安全な空間を持つことができます。 ユーザーが「予約送信」機能を使用する場合、当社はユーザーのメールを(ユーザーが行った設定に基づいて)しばらくの間保持することがあります。 このデータは、サービスを利用できるようにするために、当社の安全なサーバーに保存され、ユーザーはメールを介して他のチームのユーザーと共同作業を行うことができます。
IPアドレスと設定:当社製品のコア機能はインターネット接続に基づいており、そのため、本アプリおよびサービスは、インターネット接続なしでは適切に機能しません。 ユーザーのIPアドレスは、ユーザーがインターネットに接続するための一意の識別子であり、当社のサービスは、セキュリティおよびトラブルシューティングの目的で接続を記録します。 また、当社はユーザーの設定に関する情報を保持し、ユーザーのデバイス間でユーザー体験と設定の同期を行うことがあります。
APNSデバイストークン(Appleのプッシュ通知):プッシュ通知を使用すると、受信ボックスの新しいメールやプライベートチームのコメントへ迅速にアクセスすることができます。 ユーザーは、本アプリの初回セットアップやその後のデバイスのシステム環境設定では、この機能を自由に有効または無効にすることができます。
当社によって割り当てられたアプリトークン:このトークンは、当社のシステムでユーザーのデバイスを識別し、起こり得る潜在的な問題のトラブルシューティングを可能にします。
デバイス、アプリのバージョン、IOSのバージョン情報:当社は、特定のデバイスでアプリケーションを適切に機能させるため、この情報を利用します。
アプリケーションの使用に関する統計情報:当社は、本アプリの一般的な使用パターンをよりよく理解し、製品とそのユーザー体験を向上させるため、Spark は製品の使用に関する一般的な統計情報を収集します。 このようなデータを収集することは、将来のアップデートでアプリケーションを最適化するのに役立ちます。これらはユーザーの権利と自由に影響するものではなく、ユーザー自身やユーザーの連絡先の個人データは開示されることはありません。 詳細については、Amplitude社のプライバシーポリシーをお読みいただき、個人データの取り扱いについてご確認ください。
最近アクセスしたメールメッセージと共同編集スレッド:当社は、メール、共有された下書き、共有メール、非公開の会話などのサービス提供に、これらのデータを利用します。 このデータを収集して保存することで、Spark アプリ内でメッセージディスカッションスレッドを作成し、チームでのコミュニケーションをよりよくすることができます。
メール内の連絡先:Sparkのスマート通知機能は、実在の人物からの重要なメッセージに限り、プッシュ通知を送信します。 プロモーション用のニュースレターや自動配信メールのプッシュ通知をブロックするには、送信者を「ホワイトリスト」に登録する必要があります。 「ホワイトリスト」の連絡先は、サーバーに同期され、スマート通知を有効にします。 ユーザーがスマート通知を使用しないと決めた場合、メール内の連絡先が同期されることはありません。
ログ:当社は、ユーザーのSpark Mailサービスの使用に関する一部のデータなどを当社またはユーザーのデバイスに保管することがあります。 当社がこれらのデータをサーバーに収集するのは、ユーザーの個人情報に対する詐欺や不正アクセスの可能性を防止し、本アプリの技術的な可用性と安全性を確保するためです。 本アプリをホストするサーバは、ユーザーのデバイスがサーバーに行うリクエスト、ユーザーが使用するデバイスおよびブラウザに関する詳細、ユーザーのIPアドレス、アクセス日時、都市および国、オペレーティングシステム、ブラウザタイプ、モバイルネットワーク情報を記録することがあります。 これらのデータは、技術的な目的、すなわち、本アプリの適切な機能およびセキュリティを確保するため、考えられるセキュリティ事故を調査するため、およびユーザーによって報告された本アプリのバグや問題のトラブルシューティングのためにのみ使用されます。 ユーザーがSparkを利用できない問題を報告した場合、問題の調査およびトラブルシューティングのために、ユーザーのデバイスに含まれるログデータが必要になる場合があります。 当社は、ユーザーがログを送信しない限り、これらのログを取得することができないため、ユーザーの同意が得られるかどうかに依存します。
カスタマーサポートのコミュニケーション:当社は、ユーザーが当社のカスタマーサポートとコミュニケーションを行う場合、トラブルシューティングの目的で、ユーザーからのメールに添付されたファイルやユーザーが自発的に当社と共有することを決めた情報を含むコミュニケーションの記録を保管することがあります。
ユーザーが当社に提供することを決定したその他の情報:当社は、ユーザーの意思決定と同意に基づき、ユーザーが本アプリの機能の一部をより快適に使用できるように、またユーザーの目的やニーズに合わせてカスタマイズできるように、ユーザーが提供したその他の個人データ(例えば、メールの署名の情報やプッシュ通知を表示するためのメールからの最初の数行など)を処理することがあります。
注意:一部のデータ(企業データなど)は、コンテキストがない状態で処理された場合、非個人データとして扱われる可能性があります。 しかし、そのようなデータが他のデータポイントやデータ項目(氏名、電話番号、電子メールなど)と一緒に収集され処理された場合、特定の個人を識別できるため、個人データを構成することになります。 EUの公式見解については、以下をご覧ください:
- GDPRの備考26
- GDPRの第4条
- 第29作業部会(EDPBの前身)が発表した個人データの概念に関する意見4/2007
- EDPBが発表したソーシャルメディア利用者のターゲティングに関するガイドライン8/2020
当社は、ユーザーから受け取ったすべてのデータを保存することはありません。 通常、データはユーザーのデバイスにローカルに保存されます。 ほとんどの場合、当社は匿名化または仮名化されたユーザーの個人データを参照することになります。 ユーザーの個人データの保存期間に関する詳細については、本個人情報保護方針の「保存期間と保管期間」の項を参照してください。
Googleのユーザーデータ
SparkがGoogle APIから受け取った情報を使用する場合、使用制限要件を含め、Google API サービスのユーザーデータに関するポリシーを遵守します。 本項は、Gmailアカウントと連携してSparkを使用する場合に参考になる可能性があります。
パーミッション: Googleのユーザーデータへのアクセスを求める場合、すべての許可要求はSparkメールアプリから送信されます。 当社に提供されたユーザーのGmailアカウントにアクセスするための許可されたクライアントの認証情報は、機密情報として扱われます。 当社は、必要な情報へのアクセスのみを要求します。当社が新しい機能を実装する場合は、アクセス許可を更新するようユーザーに促します。 また、可能な限り、インクリメンタル認証を使用します。
Googleのユーザーデータへのアクセスの取り消し: ユーザーは、Gmailの設定を使用して、GmailアカウントへのSparkのアクセスを取り消すことができます。そのための手順は以下の通りです:「マイアカウント」->「セキュリティ」タブ ->「アカウントにアクセスできるサードパーティアプリ」->「サードパーティアプリの管理」->「Spark」->「アクセスの削除」
ユーザーが、Googleのユーザーデータへのアクセスの取り消しを決定した場合、当社はSparkでユーザーのGmailアカウントにアクセスできなくなり、そのアカウントからのメールを表示したり、Googleカレンダーを表示・同期したりすることができなくなります。 ユーザーからの要求があった場合(およびユーザーがSparkアカウントを削除した場合)、当社はGmailアカウントから収集したすべてのデータを削除しますが、その場合、Gmailメールと連携するSparkメール機能をユーザーに提供できない可能性があります。
要求されるデータの種類: 当社は、許可要求のWebページに要求されるデータの種類をリストアップしています。 Googleサービスを実行するために必要な権限が増える(または減る)場合、Googleは新しい権限要求を表示し、ユーザーが確認および同意(または拒否)するよう促します。 また、すべてのGoogleのユーザー データに個人データが含まれるわけではありません。 そして、一部の統計データは仮名化されます。
リクエストの目的: 本アプリがユーザーのデータを要求する目的は、ユーザーのGmailアカウントのメールを操作する際に、Spark Mailの機能を使用できるようにするためです。 メールアカウントにアクセスできなければ、データ処理(機能別)の項で説明されている、メールアドレスの評価、使用、書き込み、変更、削除、保存、共有、フィルタリング、ホワイトリストなどの操作で、ユーザーに代わって(言い換えれば、Sparkのインターフェースを操作して実行されたユーザーの指示に従って)行われる機能をユーザーに提供することができません。 当社は、ユーザーにSpark Mailサービスへのアクセスおよび利用を提供する以外の目的で、ユーザーのGoogleのユーザーデータを使用することはありません。
免責事項: 当社は、Googleのユーザーデータを使用して、これらのデータを開示したり、販売したり、監視を行う第三者に配布したりすることはありません。 Spark Mailには、本個人情報保護方針または利用規約に記載されていない隠れた機能、サービス、または行為は含まれていません。 Sparkは、Googleのユーザーデータを利用するすべてのアプリケーションまたはシステムを、不正または違法なアクセス、使用、破壊、損失、改ざん、または開示から保護するために、合理的かつ適切な措置を講じています。 Spark Mailは、Google API サービスのユーザーデータに関するポリシーに記載されている許可されたアプリケーションタイプに属します(すなわち、生産性を目的として電子メール体験を向上させるアプリケーションです)。
上記に規定されたGoogleのユーザーデータへのアクセスに関して、当社は以下のことを保証します:
- Gmailのメール本体(添付ファイルを含む)、メタデータ、ヘッダー、および設定の読み取り、書き込み、変更、または制御のためのみにアクセスを使用し、ユーザーがメールを作成、送信、読み取り、および処理できるWebメールクライアントを提供し、これらの機能の提供および改善、適用法の遵守し、また、合併、買収、資産の売却の一部として必要な場合を除き、これらのデータを第三者に転送しないこと。
- これらのデータを、リターゲティング、パーソナライズ、またはインタレストベースの広告を含む広告の配信に使用しないこと。
- バグや不正使用の調査、適用法の遵守、問題の調査などのセキュリティ目的に必要な場合、およびその場合でもデータが集約され匿名化されている場合以外は、ユーザーの肯定的な同意がない限り、ユーザーの特定のメッセージを人間に閲覧させないこと。
- ユーザーの従業員、代理人、請負業者、および後継者がGoogle API サービスのユーザーデータに関するポリシーを遵守するようにすること。
年齢制限
注意: 当社は、16歳未満のユーザーからのデータを、法的代理人の同意なしに意図的に処理することはありません。 本制限に該当するユーザーまたは当該ユーザーの法的代理人である場合、dpo@sparkmailapp.comまでメールでお知らせください。
保存期間と保管期間
本項に記載された保管期間は、GDPRに明記されたデータ最小化原則と、個人データの処理に影響を与える適用法を考慮して算出したものです。 当社は、データ処理の各段階におけるデータ処理を分析し、データ処理の目的を満たすために必要な最短の期間を算出しています。
本項は、各機能の説明に記載されている保存期間と合わせてお読みください。
通常、当社は以下のような期間にわたって個人データを保管します。
| ユーザー(無料) | ユーザー(Premium)および組織またはエンタープライズの代表者 | チーム (無料とPremium) |
|---|---|---|
| データの処理と保管:契約(利用規約)の存続期間中。 ユーザーが36ヶ月間活動していない場合、Sparkは、アカウントが停止される(個人データが削除される)ことを通知するリマインダーメールを2回送信します(ユーザーがログインした場合はリマインダーメールは停止されます)。 ユーザーがアカウントにログインし、無料のサブスクリプションを更新するための時間(「更新期間」)があり、 更新しない場合、アカウントは更新期間の終了と同時に削除されます。 ユーザーの要求に応じて、削除されたアカウントを取り戻すことができます。ただし、リマインダーメールが送信された12ヶ月以内であることが条件です。 |
データの処理と保管:契約(利用規約)またはエンタープライズ向けパーソナライズドサービス契約の存続期間中。 ユーザーからの支払いがない場合、そのユーザーのアカウントは、無料ユーザーのサブスクリプション条件にダウングレードされます。 保管期間は、サブスクリプションの変更日から適用され、Sparkは、左側のコラムに記載されているように、36ヶ月間使用しなかった場合に2通のリマインダーメールを送信します。 保存期間と保管期間は、サービス契約条件と同じになります。 |
データの処理と保管:契約(利用規約)の存続期間中。 最後のチームメンバーが36ヶ月間活動しなかった場合(無料サブスクリプションを利用している場合)、Sparkは、最後のユーザーに対して、リマインダーメールに記載されている更新期間中にユーザーがログインしない場合、チームのデータが削除される旨を通知します。 個人データを含むチーム内のコミュニケーションは、チームオーナーがアクティブなPremiumユーザーであり続ける限り、保管されます。 ユーザーの要求に応じて、削除されたアカウントを取り戻すことができます。ただし、リマインダーメールが送信された36ヶ月以内であることが条件です。 |
同意: 当社は、ユーザーが同意を取り消さない限り、上記の期間中、ユーザーの同意に基づきデータを処理します。 ユーザーが同意を取り消した場合、ユーザーのデータを消去するのに最長で30日かかります。
更新情報およびマーケティング関連のメール配信: 当社は、ユーザーに対して、当社製品のアップデート、新機能、割引などに関する案内メールを送信することがあります。 メジャーアップデートはまれであり、Sparkは新機能に対するユーザーの要望と密接に連携していることから、Sparkが提供する新しい機会についてお知らせするために、ユーザーのデータを最大で数年間(ただしユーザーアカウントが放棄されたとみなされた後3年以内)保管することがあります。 ユーザーはいつでも、メールの末尾にあるリンクを使って配信を停止するか、dpo@sparkmailapp.com宛にメールで連絡し、そのようなメールの受信を拒否することができます。
カスタマーサポートとのコミュニケーション: 当社は、法的な内容を含む、ユーザーからの問い合わせや要望、またはユーザーの代理人からの問い合わせに対応できるように、ユーザーと当社カスタマーサポートチームとの間のコミュニケーションの履歴(コミュニケーションの内容やメールの添付ファイルなど)を数年間、ただし6年未満(アイルランドにおける一般の時効が定める期間)保管することがあります。 当社は、コミュニケーションの内容およびメールの添付ファイルが、アクセスを制限された状態でアーカイブされるように、必要なセキュリティ対策を適用します。
データの削除: 当社は、GDPRに基づくデータ処理者として取り扱うデータを、ユーザーからの要請後1ヶ月以内に削除します。 要請が複雑な場合、または同じ個人から多数の要請を受けた場合、当社は対応までの期間をさらに2カ月延長することができます。 このような延長があった場合は、要請を受けた日から1ヶ月以内に、対応が遅れた理由とともに、ユーザーにお知らせします。
当社は、ユーザーがアカウントを削除するまで、またはデータの種類に応じて一定の期間が経過した後も、ユーザーの個人データを保管します。 保管期間が終了した場合、当社はユーザーの個人データを削除するか、または匿名化して復元できないようにします。
保管条件の概要
| データの種類 | 保管期間 |
|---|---|
| メールアドレス、メールの内容、メールサーバーの認証情報、APNSデバイストークン、当社が割り当てたアプリトークン、デバイス情報 | サービスの利用期間中+保管期間の間 ユーザーがSparkアカウントを削除した場合:Sparkアカウントを削除してから3ヶ月間。 ユーザーがデータの消去を要請した場合:要請から30日以内にデータの消去を行います。 要請が複雑な場合、または同じ個人から多数の要請を受けた場合、当社は対応までの期間をさらに2ヶ月延長することができます。 ユーザーのデータを消去した後、当社のバックアップに1週間保存されます。 |
| 受信トレイのメール | 受信後4時間 |
| 「送信予約」機能による保留メール、IPアドレス | メールが送信されるまで |
| 共有受信トレイのメール | サービスの利用期間中または共有受信トレイが削除されるまで |
上記の期間経過後、当社はユーザーの個人データを消去しますが、 統計・分析目的のために、匿名化された形で保存されることがあります。
当社は、サービスの提供中、保存期間中(上記に定義)、またはユーザーが同意を取り消すまで、機能に応じて、ユーザーの同意に基づき個人データを処理します。
バックアップ
当社では、ユーザーに関するデータベースのバックアップを実施しています。 当社は、少なくとも1日に1回、定期的にデータベースのバックアップを行っており、バックアップのデータは、通常は1週間保管されます。
バックアップには、Google Cloud SQLサービスを使用しています。 その手順については、こちらのガイドをご覧ください。
第三者へのデータ提供
当社は、サービスの提供およびユーザーとのコミュニケーションのために、契約の履行に基づき、ユーザーの個人データを利用します。
当社は、Sparkの開発またはサポートを提供するために必要な範囲で、当社の関連会社とユーザーの個人データを共有することがあります。 当社は、サービス、テクニカルおよびカスタマーサポートを提供するために必要な範囲で、ユーザーの個人データを当社の請負業者と共有します。 さらに、当社は、同意、法律(または法的義務)の遵守、および正当な利益という理由に基づき、ユーザーのデータを共有することができます。 また、第三者へのデータ提供の際には、個人データのセキュリティを確保するための組織的・技術的措置を講じています。
詳細
同意: 当社は、ユーザーの明示的な同意に基づき、個人データを第三者と共有します。
法令の遵守: 当社は、必要な範囲で、ユーザーの個人データを第三者に開示します。
- 政府の要請、裁判所の命令、または適用される法令に遵守するため。
- 当社のアプリの違法な使用または利用規約および当社ポリシーへの違反を防止するため。
- 第三者からのクレームから当社の利益を保護するため。
- 不正行為の防止またはその調査に協力するため。
当社の正当な利益または契約の履行: 当社は、ユーザーの個人データを保護するための技術的および組織的措置を講じた上で、当社に代わって処理を行うための公募に基づき、ユーザーの個人データを第三者と共有することがあります。 当社は、当社に代わって特定のサービスを提供するために雇用された特定の企業、コンサルタント、および請負業者にユーザーの個人データを転送することがあります。
請負業者: 第三者へのデータの提供が契約履行の一部である場合を除き、当社はユーザーの同意を求めます。 以下は、当社が個人データの処理に従事する可能性のある第三者のリストです:
- Google Cloud(Google LLC, 米国): 当社のデータベース、ログ、バックアップを保管するために利用しています。 データ管理の詳細については、請負業者のプライバシーポリシーをご覧ください。
- Firebase Cloud Messaging(Google LLC, 米国): Androidデバイスのユーザーにメッセージをプッシュ通知するために利用しています。 データ管理の詳細については、請負業者のプライバシーポリシーをご覧ください。
- Huawei Push Kit(Huawei Device Co., Ltd., 中国): Androidデバイスのユーザーにメッセージをプッシュ通知するために利用しています。 データ管理の詳細については、請負業者のプライバシーポリシーをご覧ください。
- Stripe(Stripe Inc, 米国): 当社に代わって決済処理を行うために利用しています。 データ管理の詳細については、請負業者のプライバシーポリシーをご覧ください。
- VAT Sense(Weio Ltd, 英国): VATの検証に利用しています。 データ管理の詳細については、請負業者のプライバシーポリシーをご覧ください。
- CampaignMonitor(Campaign Monitor Pty Ltd., 米国): データ管理の詳細については、請負業者のプライバシーポリシーをご覧ください。
- Postmark(Wildbit LLC, 米国): 決済用メールを送信するために利用しています。 決済用メールとは、例えば、ユーザーによるPuremiumサブスクリプションの購入、トライアルの開始または終了などの情報を含んでいるメールです。 データ管理の詳細については、請負業者のプライバシーポリシーをご覧ください。
- MailChimp(The Rocket Science Group LLC d/b/a Mailchimp, 米国):ユーザー宛のマーケティングコミュニケーションおよび内容の分析のために利用しています。 データ管理の詳細については、請負業者のプライバシーポリシーをご覧ください。
- Braze(Braze Inc, 米国):ユーザー宛のマーケティングコミュニケーションおよび内容の分析のために利用しています。 データ管理の詳細については、請負業者のプライバシーポリシーをご覧ください。
- Calendly(Calendly LLC, 米国):ユーザーとのアポイントメント管理に利用しています。 データ管理の詳細については、請負業者のプライバシーポリシーをご覧ください。
- Helpjuice(Helpjuice, Inc, 米国):ユーザーに必要なサポートを提供するために利用しています。 データ管理の詳細については、請負業者のプライバシーポリシーをご覧ください。
- Google(Google LLC, 米国): ユーザーのアカウントを同期するために利用しています。 データ管理の詳細については、請負業者のプライバシーポリシーをご覧ください。
- Apple Inc(Apple Inc, 米国): iOSのシステムに関する技術データおよび一般的な統計データを受け取るために利用しています。 データ管理の詳細については、請負業者のプライバシーポリシーをご覧ください。
- RevenueCat(RevenueCat, Inc., 米国): 個人への請求管理のために利用しています。 データ管理の詳細については、請負業者のプライバシーポリシーをご覧ください。
- Amplitude(Amplitude, Inc., 米国): ユーザーが当社のアプリをどのように利用しているかを分析するために利用しています。 データ管理の詳細については、請負業者のプライバシーポリシーをご覧ください。
- AppCenter(Microsoft, 米国):クラッシュログの監視に利用しています。 データ管理の詳細については、請負業者のプライバシーポリシーをご覧ください。
- Appsflyer(AppsFlyer Ltd., 米国):アプリの測定、分析、不正防止、エンゲージメントのために利用しています。 データ管理の詳細については、請負業者のプライバシーポリシーをご覧ください。
また、当社は、監査人、弁護士、会計士、ソフトウェアエンジニア、その他当社が契約に基づいて雇用する専門家やエキスパートなど、他の請負業者に対してユーザーの個人データを提供することがあります。
欧州経済地域外へのデータ転送
当社が収集する個人データは、米国内のサーバーに保管されます。 通常、データは米国に保管されますが、ユーザーの個人データが他の国で処理されることがあります。 また、当社は一部のデータをウクライナのサービスプロバイダーと共有しています。
米国とウクライナにおけるユーザーのデータ保管ついて、欧州委員会による適切な決定がなされていません。 そのため、当社は標準契約条項の基準に基づいてデータ処理契約を作成し、米国やウクライナなどGDPRに基づく第三国での移転・保管時のデータ保護に関する法制評価を実施しました。
当社がユーザーの個人データを保護するために行っている措置に関する詳細は、こちらで閲覧することができます。また、当社とユーザーとの間でデータ処理契約書が締結されている場合、当該契約書をご覧ください。 当社のサービスのいずれかを通じて、自社の顧客またはその他のデータ対象者の個人データをアップロード、送信または作成している場合は、dpo@sparkmailapp.com宛にメールを送信し、データ処理契約の締結を求めることができます。
セキュリティ措置
当社では、定期的にデータ保護影響評価を実施し、偶発的または違法な破壊、損失、改ざん、不正な開示、あるいは送信、保存、またはその他の処理を行った個人データへのアクセスを防ぐために、適切なレベルの技術的および組織的対策を講じています。 また、ISO27001に基づき、セキュリティ管理を徹底しています。
具体的には、ユーザーの個人データを保護するために、HTTPS、暗号化、グループと個人アクセスの分離、アラームシステム、コーポレートVPN、内部プロセス(パスワードポリシーや物理的アクセスポリシーなど)の文書化を採用しています。
さらに、当社が採用しているテクノロジーの状態をシステム的に監視し、アップデートとバックアップを欠かさないようにしています。 当社のすべての請負業者は、GDPRの要件に準拠した契約上の義務を負っています。
以下では、上記で述べた内容の詳細をご覧いただけます。
組織的対策
当社の従業員は、ユーザーのデータ保護について十分な知識を持っています。 また、当社では、従業員一人ひとりがユーザーの個人データを安全に管理し、データ保護に関する欧州および米国の法律で定められたベストプラクティスに従って保護するための十分な知識を身につけるよう、定期的に研修を実施しています。
HTTPSと暗号化
当社は、すべての通信をHTTPSで保護し、第三者がユーザーのデータにアクセスできないようにしています。 ユーザーのメールや アカウント情報は、対称型および非対称型の暗号化方式(秘密鍵および公開鍵)を用いて、安全なクラウドベースサーバーに保存されます。
当社は現在、Google(以下「ホスティングプロバイダー」)を使用しています。 ホスティングプロバイダーは、ユーザーのデータの安全性を保証する様々な国際的なセキュリティ証明書を取得しています。
当社におけるセキュリティ措置(詳細):
1. 物理的アクセスコントロール:グループアクセス及びアラームシステム
IDカードによる入退室管理を行い、許可された人だけが施設にアクセスできるようにしています。 IDカードは個別にブロックすることができ、施設への入退出が記録されます。
施設にはアラームシステムを設置し、不審者の侵入を防止しています。 アラームシステムは、ドアのロック機構と連動しています。
2. システムアクセス制御:個人アクセス及びパスワードポリシー
当社の従業員は、それぞれの従業員アクセスを通じてのみ、社内のシステムおよびサービスにアクセスすることができます。 アクセス権は、各従業員またはチームの責任範囲内に限定されます。
パスワードポリシー: 当社は、パスワードの手続きと、少なくとも4096ビットの長さのSSHキーの使用によって、システムへのアクセスを制限しています。 SSHキーは、関連システムへのパスワードベースのアクセスを無効にするため、弱いパスワードを対象とする攻撃に対する対策となっています。
さらに、パスワードの作成に関するルールも設けています。 これにより、パスワードベースのアクセスを提供するシステムにおいても、高いセキュリティを確保しています。
パスワードポリシーにより、 従業員のパスワードは少なくとも次のようなものでなければなりません:
- 12文字以上であること
- 1文字以上の大文字
- 1文字以上の小文字
- 1文字以上の数字
- 1文字以上の特殊記号
当社のシステムは、デフォルトですべての外部接続を拒否するファイアウォールによって保護されています。 例外により、定義された接続タイプのみ受け付けます。
3. データアクセス制御:監視と物理的なアクセスポリシー
すべてのサーバーとサービスは、継続的な監視の対象となっています。 これには、ユーザーインターフェースにおける個人アクセスのログも含まれます。
また、当社の社員が近くにいるため、いつでも目視による検査が可能となっています。
従業員が退席した場合、ロックやログオフが規定されており、これが実践されています。
4. 転送制御:コーポレートVPNの利用義務
データを転送する前に、データ処理およびデータ転送契約(該当する場合)において、組織およびセキュリティの要件を規定しています。 これらの契約は、すべての企業およびデータ処理者である当社に対して義務付けられています。
また、USBメモリなどのローカルデータ保存デバイスの取り扱いは、契約によって規定されています。
社内ネットワークの外部からのシステムへのアクセスは、安全なVPNアクセスを経由している場合のみに許可されています。
5. 入力制御:一般的な制限
当社の従業員は、データベースレベルで直接作業するのではなく、アプリケーションを使用してデータにアクセスします。
IT部門の担当者は、個別アクセスでシステムにアクセスし、共通のログインを使用しています。
6. 可用性コントロール:バックアップと分割
データの可用性は、いくつかの方法で確保しています。 例えば、システム全体の定期的なバックアップを行っています。 これにより、他の可用性対策が失敗した場合にデータを復元することができます。
クリティカルなサービスは、複数のデータセンターで冗長運用されており、高可用性システムによって制御されています。
従業員のワークステーションも標準の対策で保護されています。 例えば、ウィルス対策ソフトウェアが導入されており、ノートパソコンは暗号化されています。
当社では、従業員のデバイスをセキュリティ設定で保護するためにMDMソリューションを利用しています。
7. 分離制御:アクセス制限
論理的に分離されたデータベースを使用し、権限のない担当者が誤ってアクセス制限のあるデータを読み取ることがないようにしています。
また、従業員はアクセス制御を行うサービス(アプリケーション)を利用するため、データ自体へのアクセスが制限されています。
個人情報保護に関するユーザーの権利
EUにおけるプライバシー保護
ユーザーは、個人データの主体として、以下の権利を有しています:
| 権利 | 説明 |
|---|---|
| アクセスする権利 | ユーザーは、自分の個人データの処理について説明を求めることができます。 |
| 修正する権利 | ユーザーは、情報が不正確または不完全である場合、情報を変更することができます。 |
| 消去する権利 | ユーザーは、当社のシステムからユーザーの個人データを消去するよう、当社に要請することができます。 |
| データポータビリティの権利 | ユーザーは、当社に提供したすべてのデータを要求することができます。また、第三者の管理者にデータを転送するよう要求することもできます。 |
| 異議申し立ての権利 | ユーザーは、ユーザーのデータの処理方法に異議を唱えることができます。 |
| 制限する権利 | ユーザーは、当社がユーザーの個人データを処理することを部分的または全体的に禁止することができます。 |
| 同意を撤回する権利 | ユーザーは、いつでも同意を取り消すことができます。 |
| 苦情を申し立てる権利 | ユーザーの要請が満たされない場合、ユーザーは規制当局に苦情を申し立てることができます。 |
ユーザーの権利を行使するには、dpo@sparkmailapp.comまでメールでお問い合わせください。
また、ユーザーは、データ保護委員会(DPC)規制機関に、21 Fitzwilliam Square, South, Dublin 2, D02 RD28, Irelandに書面を送付するか、Webフォームを使用して苦情を申し立てる権利を有しています。 なお、ユーザーは、居住地域の監督機関に連絡することができます。 その後、居住地域の規制機関がアイルランドの規制機関に連絡し、ユーザーの苦情や要請を伝達します。
米国におけるプライバシー保護
ユーザーは、個人データの主体として、いくつかの特定のプライバシー権を有しています。 ユーザーの権利を行使するには、dpo@sparkmailapp.comまでメールでお問い合わせください。
ユーザーの権利は、ユーザーに適用される法律により異なりますが、以下のものが含まれます。
- 当社が収集および処理するユーザーの個人データについて通知を受ける権利。
- 当社が処理するユーザーの個人データの入手先を知る権利。
- ユーザーに関する個人データにアクセスし、変更し、修正する権利。
- 当社がユーザーの個人データを誰と、どのような目的で、どのような個人データを共有したかを知る権利(個人データが第三者のダイレクトマーケティングのために開示されたかどうかを含む)。
- 個人データの処理がユーザーの同意に基づいて行われる場合、お客様の同意を取り消す権利。
- ユーザーの居住地、勤務地、または法律違反の疑いがある場所の管轄区域にある監督機関に苦情を申し立てる権利。
州別のプライバシーデータ保護法に関する詳細については、以下をご覧ください。
| バージニア州消費者データ保護法 | 消費者プライバシー法およびカリフォルニア州プライバシー法 | コロラド州プライバシー法 | ネバダ州プライバシー法 | デラウェア州オンラインプライバシーおよびプライバシー保護法 |
|---|---|---|---|---|
| 管理者が消費者の個人情報を処理しているかどうかを知る権利。 | どのような個人データが収集されたかを知る権利および個人情報にアクセスする権利。 | 情報にアクセスする権利。 | 管理者が消費者の個人データを処理しているかどうかを知る権利。 | 情報にアクセスする権利。 |
| 管理者によって処理された個人データにアクセスする権利。 | 個人データが販売されているかどうかを知る権利。 | 個人データの処理について確認する権利。 | セールスをオプトアウトする権利。 | 同意を撤回する権利。 |
| 修正する権利。 消去する権利。 データポータビリティに対する権利。 ターゲット広告、個人データの販売、プロファイリングをオプトアウトする権利。 |
消去する権利。 特定の例外を除く。 データポータビリティの権利。 修正する権利。 セールスをオプトアウトする権利。 センシティブな個人データの利用と開示を制限する権利。 |
情報へのアクセス権。 修正する権利。 消去する権利。 データポータビリティに対する権利。 ターゲット広告、個人データの販売、またはプロファイリングを、普遍的なオプトアウトの仕組みを通じてオプトアウトする権利。 |
修正する権利。 | 修正する権利。 トラッキング拒否を要求するための権利。 セールスをオプトアウトする権利。 |
上記権利の概要説明:
- 情報にアクセスする権利。 ユーザーは、ユーザーの個人データの処理について、具体的にどのようなデータをどのように処理するのか、説明を求めることができます。
- 同意を撤回する権利。 ユーザーは、当社に対して一度同意を与えた後、いかなる場合においても、その同意を取り消すことができます。
- ポータビリティの権利。 ユーザーは、当社に提供したすべてのデータを要求し、機械で読み取り可能な形式で第三者の管理者にデータを転送するよう要求することができます。
- 苦情を申し立てる権利。 ユーザーの要請が満たされない場合、ユーザーは規制当局に苦情を申し立てることができます。 先に当社にご連絡いただいた場合、ユーザーの要望に添えるよう最善の対応を取らせていただきます。
- 消去する権利。 ユーザーは、当社のシステムからユーザーの個人データを消去するよう、当社に要請することができます。
州の法令により異なりますが、当社はユーザーの要請を行使するために30日から60日、そして、さらに30日の権利を有します。
個人情報保護方針の改定
GDPRは、この個人情報保護方針とその効果に該当する関係を規制しています。 個人データの処理に関する既存の法律および要件は、変更される場合があります。 この場合、当社は、本個人情報保護方針の新版を当社Webサイトに掲載します。
当社が本方針(または本アプリ)に対して、ユーザーのプライバシーおよび機密保持に影響を与える実質的な変更を行う場合、当社は、ユーザーにメールで通知するか、本アプリに情報を表示し、ユーザーにその内容を確認するよう求めます。 当社は、事前にユーザーに通知し、変更の発効後にユーザーが当社のサービスの利用を継続した場合、ユーザーが更新された個人情報保護方針に同意したものとみなします。
地域固有の法令
カリフォルニア州法令
カリフォルニア州にお住まいのユーザー向けに、カリフォルニア州消費者プライバシー法(CCPA)およびカリフォルニア州プライバシー法の関連法およびユーザーのプライバシー権に関する情報を提供します。
ダイレクトマーケティングのための情報開示のオプトアウト。 カリフォルニア州法により、その居住者は、マーケティング目的で個人データを受け取った事業者の身元と、開示された情報のカテゴリーを知ることができます。 ユーザーは、dpo@sparkmailapp.com宛にメールでお問い合わせすることにより、そのような情報を要求することができます。
このオプトアウトは、当社がダイレクトマーケティング以外の目的で個人データを開示することを禁止するものではありませんので、ご注意ください。
情報の自動収集 当社は、ユーザーが当社に提供したデータを、オンラインおよび関連性のない第三者のWebサイトを通じて収集することがあります。
第三者による情報の自動収集。 ユーザーが当社のWebサイトを訪問したときに、第三者により、ユーザーが当社および他のWebサイトを訪問または利用したことなどの、ユーザーのオンライン活動に関する個人データを長期的かつ異なるWebサイトで収集することができます。
未成年者。 事業者は、顧客が16歳未満の児童であることを実際に認識している場合、顧客の個人データを販売してはならない。 事業者は、親または保護者の要求があり、親または保護者の身元および子供を代理する権限が確認された場合に限り、16歳未満の子供のデータを処理することができます。 顧客の年齢を意図的に無視した事業者は、顧客の年齢を実際に知っていたとみなされるものとします。 この権利は、「オプトインの権利」と呼ばれることがあります。
未成年のお客様の個人情報を販売することに同意していない事業者は、その後お客様が明示的な許可を与えない限り、個人情報を販売することを禁止されるものとします。
トラッキング拒否のリクエスト
当社のアプリを使用するカリフォルニア在住のユーザーは、インターネット上でのオンラインブラウジングの動きに関する情報を当社が自動的に収集および追跡しないよう要求することができます。 このような要求は、通常、信号を制御するWebブラウザの設定や、時間経過や第三者のウェブサイトまたはオンラインサービスにわたる個々のユーザーのオンライン活動に関する個人データの収集に関してユーザーが選択権を行使する能力を提供するその他の仕組みを通じて行われます。 当社は、現在、このようなご要望にお応えすることはできません。 当社は、当社の能力の変化に応じて、この個人情報保護方針を修正する権利を留保します。
カリフォルニア州居住者のデータ保護に関する権利
カリフォルニア州消費者プライバシー法(CCPA)およびカリフォルニア州プライバシー法は、カリフォルニア州の居住者である当社のユーザーに対し、以下の追加的権利を提供します。
- 知る権利。ユーザーは、過去12ヶ月間に当社がユーザーについて収集、使用、開示、販売した個人データについて、当社に対して一定の情報を開示するよう要求する権利を有します。 これには、以下のいずれかまたはすべてを知るための権利が含まれます。
- 当社がユーザーについて収集した個人データのカテゴリー。
- 当社がユーザーの個人データを収集した入手先のカテゴリー。
- 当社が事業目的でユーザーについて販売または開示した個人データのカテゴリー。
- ユーザーの個人データが事業目的で販売または開示された第三者のカテゴリー。ユーザーの個人データを収集または販売する当社の事業または商業目的。
- 当社がユーザーについて収集した特定の個人データ。
- データポータビリティ。ユーザーは、当社が過去12ヶ月間に収集し保管したユーザーの個人データのコピーを要求する権利を有します。
- 消去する権利。ユーザーは、当社がユーザーから収集し、保管している個人データの消去を要求する権利を有します(特定の例外を除き)。 ユーザーが個人データの消去を要求した場合、当社はユーザーの要請を拒否することがあり、また、当社または当社のサービスプロバイダーが以下目的で必要な場合には、ユーザーの個人データの一部を保持することがあることに留意してください。
- 個人データが収集されたトランザクションを完了するため。ユーザーが要求した商品またはサービスを提供するため。ユーザーとの継続的なビジネス関係の中で合理的に予想される、または当社のビジネスとユーザーとの間の契約を履行するため。
- セキュリティ事故が検出されたため。悪意ある、欺瞞的、詐欺的、または違法な活動からの保護、またはその活動の責任者を起訴するため。
- 既存の意図された機能を損なう不具合を特定し修復するため。
- 言論の自由の行使のため。他の消費者による言論の自由の行使の権利を確保するため。法律で規定された他の権利を行使するため。
- 刑法第2編第12章第3.6節(1546条より始まる)に従い、カリフォルニア電子通信プライバシー法を遵守するため。
- 公共または専門家による科学的、歴史的、統計的な研究に従事し、他のすべての適用される倫理およびプライバシー法を遵守するため。
- 当社とユーザーとの関係に基づき、ユーザーの期待に合理的に沿う内部利用のみを可能にするため。
- 法的義務を遵守するため。
- その他、ユーザーが個人データを提供した状況に適合する合法的な方法で、個人データを社内で使用するため。
- オプトアウト/インする権利。ユーザーは、ユーザーの個人データの販売について、オプトアウトする権利を有します。 また、ユーザーは個人データの販売をオプトインする権利も有しています。 ただし、当社がユーザーの個人データを販売することはありません。
- 差別されない権利。ユーザーは、CCPAのプライバシー権を行使するために、当社から差別的な扱いを受けない権利を有します。 CCPAで許可されていない限り、当社は以下を行いません:
- 商品またはサービスの提供を拒否すること。
- 割引やその他の特典の付与、または罰則の賦課を含め、商品またはサービスに対して異なる価格または料金を請求すること。
- 異なるレベルまたは品質の商品またはサービスユーザーに提供すること。
- ユーザーに対して、商品もしくはサービスが異なる価格もしくは料金、または商品もしくはサービスが異なるレベルもしくは品質で提供されることを提案すること。
ユーザーは、dpo@sparkmailapp.com宛にメールで連絡することにより、いつでもこれらの権利を行使することができます。
CCPAは、これらのデータ保護権の行使に関連するいくつかの具体的な要件を想定していることをお知らせします。 それらを考慮した上で、当社は以下のことを行います:
- ユーザーからの要請を受け取ってから45日以内に、その要求に答えること。
- 当社が収集した個人データ(収集した個人データのカテゴリーと特定の部分、事業目的と入手先、個人データを提供する第三者のカテゴリー)を12ヶ月間に2回までお客様に提供すること。
- ユーザーの本人確認ができない場合、個人データを提供しないこと。 ユーザーは、当社が個人データを収集する際に、ユーザーが本人であることを確認するために十分な情報を当社に提供するものとします。 ただし、当社は、ユーザーのアカウントを通じて行われた要求については、十分に確認されたものとみなします。
- ユーザーの個人データを第三者の事業者に提供しないこと。
また、当社は、個人情報保護法の規定により、消去の要請を受けた後も個人データを保管することが認められているため、ご注意ください(例えば、セキュリティ事故の検出、不具合の修復、法的義務の遵守、トランザクションの完了のため)。
Sparkは、ユーザーの個人データを第三者に販売したり、貸出したり、取引したりすることはありません。 ユーザーがCCPAに基づく権利を行使する場合、当社はユーザーに対して差別を行いません。
当社は、障がいのあるユーザーがアクセスしやすい環境を整えています。 障害を持つ消費者は、本個人情報保護方針の代替フォーマットを要求するために、メールによって当社に連絡することができます。
バージニア州法令
バージニア州にお住まいのユーザー向けに、バージニア州の消費者データ保護法によって認められた関連法およびプライバシー権に関する情報を提供します。
VCDPAは、一部の事業者に対して、事業者が収集する個人データにアクセスし、管理する能力を消費者に与えることを義務付けています。
未成年者。 COPPAの検証可能な親権者の同意要件を遵守する管理者および処理者は、CDPAに基づく親権者の同意取得の義務を遵守するものとみなされます。
既知の子供の親または法定後見人は、既知の子供に属する個人データの処理に関して、子供に代わってユーザーの権利を行使することができます。
差別の禁止。 処理者は、州および連邦政府の顧客差別禁止法に違反して個人データを処理したり、CDPAの下で権利を行使するユーザーを差別したりすることはできません。
アクセスの要求。 管理者は、ユーザーが権利行使のリクエストを提出するための安全で信頼できる手段を一つ以上確立し、個人情報保護方針に記載することが要求されます。 その際、ユーザーが通常どのように管理者とやり取りを行うか、そのようなリクエストの安全で信頼できるコミュニケーションの必要性、および管理者がリクエストを認証する能力を考慮する必要があります。
管理者は、ユーザーが権利を行使するために、ユーザーに新しいアカウントの作成を要求することは禁止されていますが、既存のアカウントを使用するよう要求することができます。
応答時間。 管理者は、ユーザーのリクエストに対して45日以内に応答することが要求されます。 この期間は、一定の要件が満たされた場合、さらに45日間延長することができます。
無償の情報提供。 管理者は、ユーザーのリクエストに応じた情報を、ユーザー1人につき年2回まで無償で提供しなければなりません。 管理者は、リクエストに明白な根拠がない、過剰、または反復的である場合、合理的な手数料をユーザーに請求するか、リクエストへの対応を拒否することができますが、リクエストの明白な根拠がない、過剰、または反復的であることを実証する責任は管理者にあります。
オプトアウトの権利。 当社のWebサイトを訪問するバージニア州の住民は、ターゲット広告、個人データの販売、またはプロファイリングをオプトアウトするよう要求することができます。 ヴァージニア州法により、その居住者は、マーケティング目的で個人データを受け取った事業者の身元と、開示された情報のカテゴリーを知ることができます。 ユーザーは、dpo@sparkmailapp.com宛にメールでお問い合わせすることにより、そのような情報を要求することができます。
コロラド州法令
コロラド州にお住まいのユーザー向けに、コロラド州のプライバシー法によって認められた関連法およびプライバシー権に関する情報を提供します。
未成年者。 管理者は、子供の親または合法的な保護者から最初に同意を得ることなく、既知の子供の個人データを処理しないものとします。
アクセスの要求。 ユーザーは、個人情報保護方針で管理者が指定する方法を用いて要求を提出することにより、その権利を行使することができます。
ユーザーが考慮しなければならないこと:
- ユーザーがどのようにして管理者とやりとりするか。
- リクエストに関連する安全で信頼できるコミュニケーションを確保する必要性。
- リクエストを行うユーザーの身元を認証するために管理者の能力が確保されていること。
管理者は、ユーザーが権利を行使するために、ユーザーに新しいアカウントの作成を要求することは禁止されていますが、 既存のアカウントを使用するよう要求することができます。
応答時間。 回答までの期間45日以内。 管理者は、ユーザーのリクエストに対して取られた措置について、45日以内にユーザーに通知するものとします。 特定の状況においては、この45日間の回答期間をさらに45日間延長することができます。
無償の情報提供。 管理者は、ユーザーのリクエストに応じた情報を、年1回まで無償で提供しなければなりません。 12ヶ月以内に追加で要求された場合、管理者は料金を請求することができます。
行動を起こさない場合の正当な理由。 管理者がユーザーの要求通りに行動を起こさない場合、管理者はユーザーの要求から45日以内に、行動を起こさない理由と、決定に異議を唱える方法に関する指示について、ユーザーに通知するものとします。
リクエストの拒否。 管理者は、商業的に合理的な努力を行っても要求を認証できない場合、ユーザーの権利行使の要求に応じる必要はなく、要求を認証するために合理的に必要な追加情報の提供を要求することができます。
不服申し立ての権利。 管理者は、ユーザーの要求に対する措置の拒否について、ユーザーが異議を申し立てることができる内部プロセスを確立するものとします。 ユーザーは、管理者がリクエストを拒否したことを通知した後、合理的な期間内にこれを行わなければならないものとします。 不服申し立ての手続きは、分かりやすく、容易に利用できるものでなければならないものとします。
不服申し立てへの対応。 管理者は、不服申し立てを受領してから45日以内に、不服申し立ての結果をユーザーに通知し、その結果を支持する理由を説明した書面を提供するものとします。 この45日間は、特定の状況下ではさらに60日間延長することができるものとします。
デラウェア州法令
デラウェア州にお住まいのユーザー向けに、デラウェア州のプライバシー法によって認められた関連法およびプライバシー権に関する情報を提供します。
子どもへの広告。 DOPPAは、事業者が提供するサービスやプラットフォームが、「児童を主な構成員とする視聴者を対象としているか、またはそれを意図している」場合に限り、事業者を規制しています。 ただし、児童を対象とした他のサービスやプラットフォームへの参照やリンクに過ぎないサービスやプラットフォームは、これに該当しません。
事業者は、サービスやプラットフォームを児童に指示していないにもかかわらず、児童がサービスやプラットフォームにアクセスしていることを実際に知っていた場合にも、DOPPAに基づく責任を負う可能性があります。 このような場合、事業者は、児童の個人データを故意に使用、開示、集計することはできず、また、他の事業者が同様のことを行うことを許可することはできません。 また、対象となるサービスやプラットフォームを提供する事業者は、児童に不適切なコンテンツを広告または販売することはできません。 この点、DOPPAは、アルコール、タバコ、銃器、花火、日焼け用具と施設、宝くじとギャンブル、タトゥー、麻薬、ポルノを含む禁止コンテンツの一覧を提示しています。 なお、広告サービスを利用し、DOPPAを遵守していることを確認すれば、事業者は前記の監視を行う必要はないものとします。
トラッキング拒否の要求。 当社のWebサイトを訪問するデラウェア州の住民は、インターネット上でのオンライン活動に関するデータを当社が自動的に収集および追跡しないよう要求することができます。 このような要求は、通常、信号を制御するWebブラウザーの設定や、時間経過や第三者のWebサイトやオンラインサービスでの個々のユーザーのオンライン活動に関する個人データの収集に関してユーザーが選択できるようにするその他の仕組みを通じて行われます。 当社は、現在、このようなご要望にお応えすることはできません。 当社は、当社の能力の変化に応じて、本方針を変更することがあります。
ネバダ州法令
ネバダ州にお住まいのユーザー向けに、ネバダ州のプライバシー保護法Senate Bill 220によって認められた関連法およびプライバシー権に関する情報を提供します。
セールスのオプトアウト。 ネバダ州では、Webサイトまたはオンラインサービスを通じて収集された「対象情報」の販売について、消費者がオプトアウトすることを認めています。 この法律では、「対象となる情報」には以下が含まれます:
- 氏名
- 自宅またはその他の物理的な住所(通りと市町村名を含む)。
- メールアドレス
- 電話番号
- 社会保障番号
- 特定の個人と物理的またはオンラインでコミュニケーションするための識別子。
- 個人に関するその他の情報。事業者のWebサイトまたはオンラインサービスを通じて個人から収集され、個人を特定できる形式の識別子と組み合わせて事業者によって管理される情報などを指します。
個人データ販売禁止の要請。 ネバダ州では、事業者がWebサイトに「第三者に個人データを提供しないででください」などのボタンやリンクを設置することは義務付けられていません。 その代わり、事業者は消費者に対して、確認済みのオプトアウト要求を提出するためのメールアドレス、フリーダイヤル番号、Webサイトでのフォームの提供が義務付けられています。
応答時間。 「検証された消費者からの要請」を受けた事業者は45日間以内に、「合理的に必要」な場合は90日間以内に、消費者に通知することで合計135日間延長することが可能です。
定義
ここでは、個人情報保護方針で使用される用語の定義をご覧いただけます。
「Spark」、「Spark Mail」、「当社」、「当社の」、「わたしたち」は、Spark Mail App(以下「本アプリ」)を運営するアイルランドに本拠を置くテクノロジー企業であるSpark Mail Limitedを指します。
「管理者」または「データ管理者」は、単独で、または他の者と共同で、あるいは共同して、あらゆる個人データを処理する目的および方法を決定する自然人または法人を指します。 CCPAでは、「事業者」という用語は、同様の機能を果たす者を指します。
「データ保護責任者」または「DPO」は、GDPRおよびその他のデータ保護法を遵守するためにSpark Mail Limitedが指定し、ユーザーの個人データの権利を保護するために配置された従業員または委託先です。 DPOのお問い合わせ先は、dpo@sparkmailapp.comです。
「データ主体」は、 Sparkが個人データを保有する自然人(識別された、または識別可能な自然人)を指します。
「GDPR」は、欧州連合(EU)の一般データ保護規則を指します。
「個人データ」は、氏名、姓、電子メール、位置情報など、ユーザーに関連し、ユーザーを直接的または間接的に特定するのに役立つあらゆる情報を指します。
「処理」は、自動化された手段であるか否かを問わず、個人データまたは個人データの集合に対して行われる、収集、記録、整理、構造化、保管、適応または変更、検索、相談、使用、送信による開示、普及またはその他の利用可能化、整合または結合、制限、消去または破壊などの操作または一連の操作を指します。
「処理者」または「データ処理者」は、データ管理者に代わって個人データを処理する自然人または法人を指します。 CCPAでは、事業者の指示の下にデータ処理の一部を別の者に委託する場合、「サービス提供者」という用語を使用することができます。
「サービス」または「Spark Mail Services(大文字か小文字かを問わず)」は、Spark MailアプリおよびSpark Mailアプリの使用を通じて利用できる機能(通常機能またはPremium機能、同時にまたは別々に)を指します。
「代理処理業者」は、ユーザーの個人データを処理するために当社が指名した当社以外の者を指します。 代理処理業者は、当社が見ることのできるデータ以上のものを見ることはできません(ユーザーがSpark Mailアプリの外で代理処理業者に個人データを提供しない限り)。 例としては、当社のデータホスティングプロバイダーや支払い処理業者が挙げられます。
「監督当局」は、GDPRに基づく現地の規制当局を指します。当社がユーザーのデータを適切に保護することを確認する職務を担っています。