最終更新日:2024年5月10日
当社はSpark Mail Limited(以下「当社」)であり、利用規約に基づいてユーザーにサービスを提供します。 Sparkアプリケーション(以下「本アプリ」または「Spark」)では、ユーザーのメールアカウント、メールおよびやり取りを一箇所で管理することができます(以下「メールアカウント」)。
当社は、ユーザーが自身のプライバシーを重視していることを理解しており、ユーザーからの信頼を大切にしています。 ユーザーの信頼に応えるため、当社は最新のデータセキュリティ基準を継続的に適用し、プライバシーに関する意識を向上させ、EU一般データ保護規則(以下「GDPR」)およびその他のプライバシーに関する法律を遵守しています。
本個人情報保護方針では、本アプリが収集するユーザーの個人データの種類、保管方法、処理方法、およびユーザーがSparkを使用する際に発生する事象について説明しています。
当社では、製品やサービスの提供や改善、本個人情報保護方針に記載されているマーケティングキャンペーンの実施、および法的義務の遵守に必要な範囲以上での個人データの収集、追跡、保存は行いません。
免責事項! Sparkの異なるバージョンまたは異なるプラットフォームは、機能が同等でない可能性があることをお知らせします。 そのため、macOS、Windows、iOS、またはAndroidにおけるSparkのユーザーエクスペリエンスが異なる場合があり、あるバージョンまたはプラットフォームでは他のバージョンにある特定の機能が欠けている可能性があることをご了承ください。
2024年4月10日 : Spark 3 Desktop(WindowsとmacOS)では、メールのテンプレート、外部連携サービス、共有下書き、共有受信トレイ、メールの割り当ての機能が追加されましたが、カレンダー、大きな添付ファイルの送信機能が搭載されていません。 新しい機能が追加される可能性があり、その際は随時お知らせいたします。
Sparkは、機能の追加、削除、名称変更を行う権利を有し、変更が発生した場合は直ちにこの免責事項を更新します。
Sparkの旧バージョンでユーザーに対して無償で提供されていた機能は、ユーザーがSparkアカウントを保有する限り、引き続き無償で利用できます。
中国在住のPremiumユーザーの皆様へ:中国本土では、深層合成アルゴリズムの法律が変更されたため、Spark +AI機能(AIメール作成アシスタント、+AI要約、+AIクイック返信、テンプレート+AIなど)の提供が終了する可能性があります。
免責事項! Sparkの異なるバージョンまたは異なるプラットフォームは、機能が同等でない可能性があることをお知らせします。 そのため、macOS、Windows、iOS、またはAndroidにおけるSparkのユーザーエクスペリエンスが異なる場合があり、あるバージョンまたはプラットフォームでは他のバージョンにある特定の機能が欠けている可能性があることをご了承ください。
2022年9月14日 : Spark 3 Desktop(Windows及びmacOS)では、メールのテンプレート、外部連携サービス、共有受信トレイ、カレンダー、大きな添付ファイルの送信機能が搭載されていません。 新しい機能が追加される可能性があり、その際は随時お知らせいたします。
Sparkは、機能の追加、削除、名称変更を行う権利を有し、変更が発生した場合は直ちにこの免責事項を更新します。
Sparkの旧バージョンでユーザーに対して無償で提供されていた機能は、ユーザーがSparkアカウントを保有する限り、引き続き無償で利用できます。
注意: SparkのWebサイトには、Webサイトを介したデータの送受信を対象とする独自の個人情報保護方針が適用されます。
当社は、アプリ利用者を、当社サービスの利用状況に応じて、以下のように区分しています。無料ユーザー、有料ユーザー、エンタープライズ、パートナー、エンタープライズメンバー。
ユーザー(無料) | 本アプリを無償で利用する自然人。 |
ユーザー(Premium) | Spark MailのPremiumプランのいずれかに加入している自然人。 また、組織またはエンタープライズのために、またはエンタープライズの経費で本アプリを使用する従業員またはその他の個人は、ユーザー(Premium)になることができます。 |
チーム | 本アプリのチーム向けの機能(チーム請求、割り当て、共有受信トレイなど)を使用する2人以上のユーザー(無料またはPremiumのユーザー)。 |
組織 | Spark Mail Premiumプランのサブスクリプションを購入した法人。 |
エンタープライズ | パーソナライズされたサブスクリプションを購入した法人。 |
当社が収集したユーザーの個人データは、ユーザーが所有し、管理します。 ユーザーは、アカウントの設定を変更する(同意やオプトアウトのチェックボックスを取り消すなど)、当社のメールアドレス(dpo@sparkmailapp.com)またはユーザーが利用できる通信手段を用いて、特定の情報を提供しない、または当社が収集、保存、処理することを無効化および防止することを選択できます。 このような場合、Sparkの一部の機能をご利用いただけないことがあります。
データを収集し処理する組織は、特定のデータ処理操作によって異なる役割を果たすことができます。 例えば、Sparkは、ユーザーが使用する機能によって異なる役割を果たします。 本節では、Sparkがどのように役割要件を満たしているかを説明します。
当社は、ユーザーが利用規約に同意した時点から、ユーザー(無料)、ユーザー(プレミアム)、チーム、組織、エンタープライズ(組織またはエンタープライズの代表者)の個人データの管理者となります。
これは、ユーザーが本アプリを使用する際に、当社が個人データの処理量、目的、手段を決定することを意味します。
当社は、適用される個人情報保護規則のもと、特定のデータ保護操作に応じて、データ処理者として行動することがあります。 これは、Sparkが自助的なツール、製品、または機能を提供し、ユーザーの指示なしに個人データを使用しない場合に該当します。 たとえば、Sparkは、Sparkのマーケティング活動のためにメール送信者のメールアドレスを使用することはなく、ユーザーがSparkサービスを通じてメールを受信および送信できるようにするためにのみ、メール送信者のメールアドレスを使用します。
当社は、データ処理契約で合意された内容に基づいて、組織またはエンタープライズに代わってデータを処理します。ユーザーは、当社のデータ処理契約のコピーをdpo@sparkmailapp.comで請求することができます。
例 A社は従業員用に15個のライセンスを購入しました。 A社の従業員のデータの管理者はA社であり、当社はこの処理活動(A社の費用で従業員にSparkサービスを提供するなど)に関する処理者となります。 データ処理者として、Sparkは、コールドコールマーケティングなどの独自の目的のために、そのようなデータ(例えば、第三者のメールアドレスなど)を使用することはありません。
そのため、当社は、3つのカテゴリーのユーザー(組織、エンタープライズ、無料またはPremiumのユーザー)、従業員、または組織代表者のすべての個人データの処理者となります。
個人データの管理者および個人データの処理者としての当社の役割の詳細については、dpo@sparkmailapp.com宛にお問い合わせください。 または、当社宛の書簡でお問い合わせいただくことも可能です。
法人名: Spark Mail Limited.
所在地: Grand Canal House, 1 Grand Canal Street Upper, Dublin 4, D04 Y7R5, Ireland.
外部データ保護責任者:Privacity GmbH
住所:Neuer Wall 50, 20354 Hamburg, Germany
Email: dpo@sparkmailapp.com
特にセンシティブなご要望がある場合は、当社または当社のデータ保護担当者に、上記記載の住所まで郵便でご連絡ください。
本個人情報保護方針は、当社のWebサイト、App Store、Mac App Store、Microsoft Store、Huawei AppGallery、およびGoogle Playを通じてダウンロード可能な、macOS、iOS、Android、およびWindowsに対応するSparkのデスクトップ版およびモバイル版に適用されます。
当社は、以下の法的根拠に基づいて個人データを処理することができます:
特に、以下の目的でユーザーの個人データを処理する場合、当該行為は、当社の正当な利益に依拠します:
当社は、目的、必要性、比例性のバランスを慎重に評価し、予想可能な方法で、かつユーザーの権利を制限しない場合に限り、当社の正当な利益に依拠します。
個人データの処理例
Sparkからの通知を許可する
アプリからの通知には、通知、音、アイコンバッジなどが含まれます。 これらの通知は、設定で有効または無効にできます。
許可しない / 許可する
Sparkが写真へのアクセスを求めています
写真へのアクセスを許可することにより、写真をメールに添付することが可能になります。
写真を選択… / すべての写真へのアクセスを許可する / 許可しない
当社の正当な利益の例
当社は、ユーザーに提案するサービスをカスタマイズするために、本アプリで行われたユーザーの操作履歴を収集します。 また、ユーザーに対して、当社の新製品や製品の新機能をお知らせするために、メールを配信することがあります。
本節では、本アプリの様々な機能における個人データの処理に関する当社のアプローチと実践について説明します。
当社は、技術的なデータとユーザーが当社に提供する個人データの2つのカテゴリーのデータを処理します。 その一部はクライアントサイド(インターフェイス)で見ることができ、一部はバックエンドで処理されます。
クライアントサイドとは、ユーザーのデバイスに表示される、または行われるアプリの部分です。
バックエンドとは、アルゴリズムが変数やデータポイント上で動作するアプリの目に見えない重要な部分です。 ほとんどの場合、当社のサービスをユーザーに提供するために、このようなデータを処理することが重要です。 例えば、当社は、ユーザーのデータのセキュリティを確保するために、組織的および技術的な措置を考慮してバックエンドデータを保持します。
ユーザーは、以下のいずれかのカテゴリーに属するものとします:
当社は、ユーザーが本アプリを利用する際に、本個人情報保護方針に従って、ユーザーの個人データを収集します。 ユーザーが当社のWebサイトを利用する場合、ユーザーの個人データは、当該Webサイトの個人情報保護方針に従って処理されます。 本アプリが自動的に収集するデータの中には、本アプリが使用されている国など、IPアドレスに基づいて、またはApp Storeから取得するものがあります(当社は、このようなデータを一般化した形で受け取ります)。 通常、当社に提供されるすべてのデータは、ユーザーに関連付けられるか、関連付けられないか(すなわち、仮名化されたデータ)のどちらかになります。
当社は、個人データの項目を新たに作成するか、またはユーザーから以下のような項目の個人データを受け取ります :
当社は、一部の個人データを純粋にビジネス目的で処理します。例えば、ユーザーが当社のサービスを利用できるようにするため、当社の新製品や機能を通知するため、当社の特別プログラムやキャンペーンへの参加を呼びかけるため、および当社の製品およびビジネスの動向を監視し開発するためにユーザーの個人データの一部(通常は仮名化されたデータ)を利用することがあります。 当社は、ユーザーが当社に直接データを提供した場合、または当社のアプリやサービスを利用した場合に、ユーザーに関する特定のデータを収集します。 当社は、ユーザーに当社のサービスを提供するために必要な情報のみを収集します。
当社が特定の法的根拠を明示しない限り、当社は、契約(当社の利用規約)(GDPR第6条 (1)(b):契約の履行)に基づいてユーザーの個人データを処理します。
メールアドレス:メールクライアントとして、本製品の中核的な機能は、ユーザーにメールを管理する機能を提供することにあります。 Sparkのサービスは、ユーザーが本アプリの使用を開始する際に、ユーザーのメールアカウントにアクセスします。 ユーザーのメールアドレスは、当社のシステム内で、ユーザーをユーザーとして一意に識別するために利用され、ユーザーのデータを保護することを可能にします。 ユーザーのメールアドレスは、個人情報保護方針、利用規約、または本アプリやサービスのコア機能などの変更に関連するあらゆることについて、当社と連絡を取るための主要な手段として使用されます。 また、当社は、ユーザーのデータを第三者のアカウントと同期させるためにユーザーのメールアドレスを使用したり(ユーザーが本アプリで当社に要求した場合)、マーケティング目的でユーザーに連絡することがあります(当社の正当な利益)。 ユーザーは、類似の製品またはサービスに関するマーケティングのコミュニケーションをいつでもオプトアウトすることができます。 当社は、ユーザーのメールアドレスを安全に保管し、プロファイリングやターゲティングのために使用することはありません。
OAuthログインまたはメールサーバーの認証情報:Sparkは、メールメッセージやその他の通信を受信、検索、作成、送信するために、ユーザーのメールシステムにログインするための認証情報を必要とします。 このようなアクセスがない場合、本アプリはユーザーに必要なコミュニケーション機能を提供することができません。 ユーザーが「予約送信」、「デバイス間の同期」、Appleの「プッシュ通知」などの本アプリおよびサービスの機能を利用できるように、当社はSparkサービスを使用しています。 Sparkサービスの利用が制限される場合、上記の機能は一切機能しません。
請求データ: 当社は、ユーザーのサブスクリプションプランの円滑な運用を確保し、適用法令を遵守するために、ユーザーの個人データを処理することがあります。 当社は、ユーザーの機密性の高い支払データにアクセスすることはできませんが(支払処理業者が支払処理のためにのみユーザーの個人データを収集します)、支払処理業者ID、支払状況、およびユーザーのサブスクリプション条件に関する情報(サブスクリプションのプランや期間など)を保管する場合があります。
ユーザーが参加するチームのID:Sparkでのチームコラボレーションを可能にするため、当社はユーザーとユーザーの同僚などが本サービス内でチームを作成することを許可しています。 これにより、メールの内容に関する相談、メールの下書きの共有、プライベートなチャット、特定のメールへのリンクを作成したりすることができます。 チームのIDは、ユーザーをその特定のチームに関連付けるだけでなく、ユーザーのチームの一員でないユーザーからユーザーの情報を保護するために利用されます。 当社のシステムは、ユーザーがチームを作成したときにのみ、その記録を作成します。
Sparkサービス使用中のメールコンテンツ:当社はユーザーとユーザーの同僚などが本サービス内でチームを作成することを許可しています。 これにより、メールの内容に関する相談、メールの下書きの共有、プライベートなチャット、特定のメールへのリンクを作成したりするための安全な空間を持つことができます。 ユーザーが「予約送信」機能を使用する場合、当社はユーザーのメールを(ユーザーが行った設定に基づいて)しばらくの間保持することがあります。 このデータは、サービスを利用できるようにするために、当社の安全なサーバーに保存され、ユーザーはメールを介して他のチームのユーザーと共同作業を行うことができます。
入力と出力:Spark +AI を使用すると、入力(メール本文とプロンプト)を処理して生成された出力を受け取ることができます。 当社は、メールの内容やプロンプトは保管しませんが、処理目的でAzure OpenAIまたは特定の場合においてはOpenAIに送信されます。 彼らは、ユーザーのデータをモデルのトレーニングに使用することはなく、データの保存期間は最大30日間です。 詳細については、Azure OpenAIサービスデータとOpenAI DataのセクションにあるSpark +AIとそのデータ処理方法をご覧ください。
メールサンプルと自分のライティングスタイル:「自分のライティングスタイル」機能を有効にすると、最近送信したメールを処理し、長さなどの基準を分析して適切なサンプル(サンプル)が選択されます。 さらに、選択されたサンプルをAzure OpenAIに渡したり、特定のケースではOpenAIがユーザーの文体を分析し、そのテキスト記述を取得します。 「設定」の「メールサンプルの再スキャン」オプションを使用するか、手動でサンプルを変更するか、またはサンプルを削除して機能を再度有効にしない限り、サンプルと文体の説明のためにメールが分析されるのは1回のみです。
サンプルは、機能設定としてアカウントに保存されます。 サンプルは「設定」で確認でき、必要に応じて他の例に手動で置き換えることができます。 また、サンプルとライティングスタイルの説明をバックエンドに保存します。
Spark +AIを使ったメール作成をさらに支援するため、Azure OpenAIまたは特定のケースではOpenAIに、各リクエストと一緒にユーザーの書き方の説明のみを送信します。
Sparkは、ユーザーがアカウントを削除するか、すべてのサンプルを手動で削除するまで、サンプルとあなたの書き方の説明を保存します。 すべてのサンプルを削除すると、ライティングスタイルの説明も自動的に削除されますのでご注意ください。
詳細については、Azure OpenAIサービスデータとOpenAI Dataのセクションにある「自分のライティングスタイル」をご覧ください。
IPアドレスと設定:当社製品のコア機能はインターネット接続に基づいており、そのため、本アプリおよびサービスは、インターネット接続なしでは適切に機能しません。 ユーザーのIPアドレスは、ユーザーがインターネットに接続するための一意の識別子であり、当社のサービスは、セキュリティおよびトラブルシューティングの目的で接続を記録します。 また、当社はユーザーの設定に関する情報を保持し、ユーザーのデバイス間でユーザー体験と設定の同期を行うことがあります。
APNSデバイストークン(Appleのプッシュ通知):プッシュ通知を使用すると、受信ボックスの新しいメールやプライベートチームのコメントへ迅速にアクセスすることができます。 ユーザーは、本アプリの初回セットアップやその後のデバイスのシステム環境設定では、この機能を自由に有効または無効にすることができます。
当社によって割り当てられたアプリトークン:このトークンは、当社のシステムでユーザーのデバイスを識別し、起こり得る潜在的な問題のトラブルシューティングを可能にします。
デバイス、アプリのバージョン、IOSのバージョン情報:当社は、特定のデバイスでアプリケーションを適切に機能させるため、この情報を利用します。
アプリケーションの使用に関する統計情報:当社は、本アプリの一般的な使用パターンをよりよく理解し、製品とそのユーザー体験を向上させるため、Spark は製品の使用に関する一般的な統計情報を収集します。 このようなデータを収集することは、将来のアップデートでアプリケーションを最適化するのに役立ちます。これらはユーザーの権利と自由に影響するものではなく、ユーザー自身やユーザーの連絡先の個人データは開示されることはありません。 詳細については、Amplitude社のプライバシーポリシーをお読みいただき、個人データの取り扱いについてご確認ください。
最近アクセスしたメールメッセージと共同編集スレッド:当社は、メール、共有された下書き、共有メール、非公開の会話などのサービス提供に、これらのデータを利用します。 このデータを収集して保存することで、Spark アプリ内でメッセージディスカッションスレッドを作成し、チームでのコミュニケーションをよりよくすることができます。
メール内の連絡先:Sparkのスマート通知機能は、実在の人物からの重要なメッセージに限り、プッシュ通知を送信します。 プロモーション用のニュースレターや自動配信メールのプッシュ通知をブロックするには、送信者を「ホワイトリスト」に登録する必要があります。 「ホワイトリスト」の連絡先は、サーバーに同期され、スマート通知を有効にします。 ユーザーがスマート通知を使用しないと決めた場合、メール内の連絡先が同期されることはありません。
ピクセルデータとリンククリック 当社は、メールおよびその他のマーケティングソフトウェアを使用して、当社のマーケティングキャンペーンに関する指標を収集することがあります。 通常、ピクセルはプロバイダが画像を読み込んだ時間やIPアドレスなどの技術データを収集するのに役立ちます。 例えば、Brazeのサービスを利用してメールの開封率を確認し、この開封率を利用してメールを強化し、将来、より役立つ資料や関連するオファーをユーザーに送信することがあります また、Brazeは、メール内のリンクがクリックされたことを記録することもできます。 ユーザーがこのデータ収集に参加したくない場合は、メールサービスプロバイダの設定でピクセルを無効にし、リンクを開かないようにすることができます。 Sparkでは、設定ページの「一般」セクションでピクセルの読み込みを無効にする必要があります。
ログ:当社は、ユーザーのSpark Mailサービスの使用に関する一部のデータなどを当社またはユーザーのデバイスに保管することがあります。 当社がこれらのデータをサーバーに収集するのは、ユーザーの個人情報に対する詐欺や不正アクセスの可能性を防止し、本アプリの技術的な可用性と安全性を確保するためです。 本アプリをホストするサーバは、ユーザーのデバイスがサーバーに行うリクエスト、ユーザーが使用するデバイスおよびブラウザに関する詳細、ユーザーのIPアドレス、アクセス日時、都市および国、オペレーティングシステム、ブラウザタイプ、モバイルネットワーク情報を記録することがあります。 これらのデータは、技術的な目的、すなわち、本アプリの適切な機能およびセキュリティを確保するため、考えられるセキュリティ事故を調査するため、およびユーザーによって報告された本アプリのバグや問題のトラブルシューティングのためにのみ使用されます。 ユーザーがSparkを利用できない問題を報告した場合、問題の調査およびトラブルシューティングのために、ユーザーのデバイスに含まれるログデータが必要になる場合があります。 当社は、ユーザーがログを送信しない限り、これらのログを取得することができないため、ユーザーの同意が得られるかどうかに依存します。
カスタマーサポートのコミュニケーション:当社は、ユーザーが当社のカスタマーサポートとコミュニケーションを行う場合、トラブルシューティングの目的で、ユーザーからのメールに添付されたファイルやユーザーが自発的に当社と共有することを決めた情報を含むコミュニケーションの記録を保管することがあります。
機能の提案:「機能の提案」フォームから製品改善のご提案をいただいた場合、ユーザーのメールアドレス、ご利用の端末の種類、お名前(ご入力いただいた場合)、およびフォームに入力されたその他の情報を処理いたします。 このデータの処理は、ユーザーの同意に基づいて行われます。 また、ご提案を詳細に分析するために、プラットフォーム、アプリのバージョン、インストール日、Spark ID、Braze IDなどの技術情報を自動的に収集いたします。 これは、弊社にとって正当な利益となります。 さらに、フォーム送信ごとに固有の識別子(トークン)を割り当て、送信日時を収集いたします。
ユーザーの提案は、Typeformを使用して収集し、Googleスプレッドシートでさらに処理されます。 ユーザーの個人データの処理方法の詳細については、TypeformのプライバシーポリシーとGoogleのプライバシーポリシーをご参照ください。
ユーザーのデータは、製品開発チーム向けの提案書作成に使用され、詳細をお伺いする場合や、ユーザーの提案から実装された機能をお知らせする場合には、メールアドレスとお名前を使用させていただくことがあります。 データは数年間保持および処理されますが、アイルランドの一般訴訟時効(6年)を超えて保持することはなく、本セクションに記載されている目的以外には使用されません。
「機能の提案」フォームは、Spark Classic(Mac版のSpark 2)を除くすべてのSparkアプリバージョンでご利用いただけます。
Microsoft Corporationからのデータ: ユーザーがMicrosoft StoreからSpark Mailをダウンロードして使用する場合、Microsoft Corporationからテレメトリーデータやクラッシュデータなどのデータを受信する場合があります。 このデータは、Microsoft Store App Developer Agreementに基づき、本アプリの改善、およびバグなどの品質問題のテストやトラブルシューティングのためにのみ使用されます。
フィードバック。 当社は、当社Webサイト、本アプリまたはその他の方法で、当社アプリを使用したユーザーの経験に関するフィードバック、レビューおよびコメント(以下総称「フィードバック」)を公開する場合があります。 これには、ユーザーが当社に直接、またはオンライン配信プラットフォーム、マーケットプレイス、ソーシャルメディアを含むがこれらに限定されないあらゆるプラットフォームを通じて提供するフィードバックが含まれます。 当社は、ユーザーの姓名、ユーザー名、フィードバックの本文、および/またはフィードバックに含まれる、またはフィードバックに関連するその他の情報を含む、ユーザーのフィードバックにおける個人データを処理します。 当社は、フィードバックにおいて、16歳未満の児童の個人データおよび/またはセンシティブなデータを処理しません。 GDPRに準拠し、当社は、ユーザーのフィードバックが第三者のプラットフォーム(オンライン配信プラットフォーム、マーケットプレイス、ソーシャルメディアなど)から収集された場合、フィードバックに含まれる個人データを処理する法的根拠として当社の正当な利益に依拠し、ユーザーが当社に直接提供したフィードバックを公開するためにユーザーの同意を求めます。 当社は、本アプリの機能や特徴を実証し、本アプリの実際のユーザー体験を共有し、潜在的な顧客を獲得するために、ユーザーのフィードバックを使用します。 ユーザーのフィードバックに関する詳細については、利用規約の「フィードバック<0>」に記載されています。
ユーザーが当社に提供することを決定したその他の情報:当社は、ユーザーの意思決定と同意に基づき、ユーザーが本アプリの機能の一部をより快適に使用できるように、またユーザーの目的やニーズに合わせてカスタマイズできるように、ユーザーが提供したその他の個人データ(例えば、メールの署名の情報やプッシュ通知を表示するためのメールからの最初の数行など)を処理することがあります。
注意:一部のデータ(企業データなど)は、コンテキストがない状態で処理された場合、非個人データとして扱われる可能性があります。 しかし、そのようなデータが他のデータポイントやデータ項目(氏名、電話番号、電子メールなど)と一緒に収集され処理された場合、特定の個人を識別できるため、個人データを構成することになります。 EUの公式見解については、以下をご覧ください:
当社は、ユーザーから受け取ったすべてのデータを保存することはありません。 通常、データはユーザーのデバイスにローカルに保存されます。 ほとんどの場合、当社は匿名化または仮名化されたユーザーの個人データを参照することになります。 ユーザーの個人データの保存期間に関する詳細については、本個人情報保護方針の「保存期間と保管期間」の項を参照してください。
SparkがGoogle APIから受け取った情報を使用する場合、使用制限要件を含め、Google API サービスのユーザーデータに関するポリシーを遵守します。 本項は、Gmailアカウントと連携してSparkを使用する場合に参考になる可能性があります。
パーミッション: Googleのユーザーデータへのアクセスを求める場合、すべての許可要求はSparkメールアプリから送信されます。 当社に提供されたユーザーのGmailアカウントにアクセスするための許可されたクライアントの認証情報は、機密情報として扱われます。 当社は、必要な情報へのアクセスのみを要求します。当社が新しい機能を実装する場合は、アクセス許可を更新するようユーザーに促します。 また、可能な限り、インクリメンタル認証を使用します。
Googleのユーザーデータへのアクセスの取り消し: ユーザーは、Gmailの設定を使用して、GmailアカウントへのSparkのアクセスを取り消すことができます。そのための手順は以下の通りです:「マイアカウント」->「セキュリティ」タブ ->「アカウントにアクセスできるサードパーティアプリ」->「サードパーティアプリの管理」->「Spark」->「アクセスの削除」
ユーザーが、Googleのユーザーデータへのアクセスの取り消しを決定した場合、当社はSparkでユーザーのGmailアカウントにアクセスできなくなり、そのアカウントからのメールを表示したり、Googleカレンダーを表示・同期したりすることができなくなります。 ユーザーからの要求があった場合(およびユーザーがSparkアカウントを削除した場合)、当社はGmailアカウントから収集したすべてのデータを削除しますが、その場合、Gmailメールと連携するSparkメール機能をユーザーに提供できない可能性があります。
要求されるデータの種類: 当社は、許可要求のWebページに要求されるデータの種類をリストアップしています。 Googleサービスを実行するために必要な権限が増える(または減る)場合、Googleは新しい権限要求を表示し、ユーザーが確認および同意(または拒否)するよう促します。 また、すべてのGoogleのユーザー データに個人データが含まれるわけではありません。 そして、一部の統計データは仮名化されます。
リクエストの目的: 本アプリがユーザーのデータを要求する目的は、ユーザーのGmailアカウントのメールを操作する際に、Spark Mailの機能を使用できるようにするためです。 メールアカウントにアクセスできなければ、データ処理(機能別)の項で説明されている、メールアドレスの評価、使用、書き込み、変更、削除、保存、共有、フィルタリング、ホワイトリストなどの操作で、ユーザーに代わって(言い換えれば、Sparkのインターフェースを操作して実行されたユーザーの指示に従って)行われる機能をユーザーに提供することができません。 当社は、ユーザーにSpark Mailサービスへのアクセスおよび利用を提供する以外の目的で、ユーザーのGoogleのユーザーデータを使用することはありません。
免責事項: 当社は、Googleのユーザーデータを使用して、これらのデータを開示したり、販売したり、監視を行う第三者に配布したりすることはありません。 Spark Mailには、本個人情報保護方針または利用規約に記載されていない隠れた機能、サービス、または行為は含まれていません。 Sparkは、Googleのユーザーデータを利用するすべてのアプリケーションまたはシステムを、不正または違法なアクセス、使用、破壊、損失、改ざん、または開示から保護するために、合理的かつ適切な措置を講じています。 Spark Mailは、Google API サービスのユーザーデータに関するポリシーに記載されている許可されたアプリケーションタイプに属します(すなわち、生産性を目的として電子メール体験を向上させるアプリケーションです)。
上記に規定されたGoogleのユーザーデータへのアクセスに関して、当社は以下のことを保証します:
当社はAzure OpenAI サービスを利用して、機械学習アルゴリズムを用いたメールの作成・編集を支援する「Spark +AI」機能をユーザーに提供しています。 Azure OpenAI サービスを使用するにあたっては、個人データを含むデータの収集、処理、転送が必要であり、その処理は本個人情報保護方針が適用されるものとします。
Spark +AIの機能は、Spark 3のプレミアムユーザーのみに提供され、トライアル期間中も提供される場合があります。
適用範囲。 本個人情報保護方針の当セクションは、Spark +AI機能を利用するSpark 3のプレミアムユーザー、またはトライアル期間中にSpark +AI機能を利用するユーザーに対してのみ適用されます。 デフォルトでは、Spark +AIはオフになっています。Spark +AI機能を有効にするには、ユーザーはオプトインする必要があります。
パーミッション。 当社は、ユーザーの同意に基づき、Azure OpenAI サービスおよびSpark +AIを使用します。 Spark +AIを利用することにより、ユーザーは、本個人情報保護方針に記載されているように、当社による個人データの処理に同意するものとします。 Azure OpenAI サービスの使用に同意しない場合は、Azure OpenAI サービスを組み込んだSpark +AIの機能をオンにしないでください。
Spark +AIデータの生成。 Spark +AIは、メールの下書きの生成と編集を支援します。 Spark +AIは、ユーザーに代わってメールを送信することはありません。 ユーザーは、生成されたコンテンツを常に完全にコントロールすることができ、送信前にいつでも確認・編集することができます。
Spark +AIデータの利用。 Spark +AIは、当社がユーザーから取得した、またはユーザーに関する個人データを保護できるように設計されています。 Spark +AIの機能は、ユーザーのリクエストやメールの内容は保存しません。 Spark +AIの機能を使用する場合、当社は、ユーザーのリクエストを処理し、メールのコンテキストと追加されたコンテキストに基づいてメールテキストを生成または編集するためのみに、メールのテキストコンテキストをMicrosoftに転送します。
モデルの学習。 Spark +AIの機能を利用するとき、ユーザーのプライベートデータがOpenAIやMicrosoft、その他の機械学習モデルのトレーニングに利用されることはありません。 Spark +AIの機能の使用中にユーザーが提供した個人データを含むすべての情報は、Spark +AIの機能の目的のためにのみ、Microsoftと共有されます。 当社は、OpenAIのパートナーが、障害発生時のデバッグおよびAzure OpenAI サービスの潜在的な誤用または悪用を監視する以外の目的で、ユーザーの個人データが使用されることを許可しません。 Azure OpenAIのサービスドキュメンテーションにおいて、Azure OpenAIでは基本モデルのトレーニング、再トレーニング、または改善に顧客データが使用されることがないことが記載されています。
Spark +AIデータのセキュリティ。 ユーザーのメールコンテンツおよびSpark +AIに行うリクエストは、当社の標準的なプライバシーおよび情報セキュリティ慣行に基づき、非公開かつ暗号化されます。 当社は、オンラインおよびオフラインの両方で、ユーザーの個人データを損失、誤用、および不正アクセス、開示、変更、または破壊から保護するために、商業的に合理的な最新の技術的、管理的、および組織的措置を実施します。
インプットとアウトプット。 ユーザーは、Spark +AIが処理する入力(プロンプト)を提供し(「インプット」)、その入力に基づいてSpark +AIが生成して返す出力(「アウトプット」)を受けることができます。 Spark +AIを使用する場合、インプットとアウトプットはユーザーデータ(「顧客データ」)に該当します。 ユーザーは、顧客データの作成、内容、運用、維持および使用について、単独で責任を負うものとします。
ユーザーは、Spark +AIおよび顧客データの利用が、(i)適用法に違反しないこと、(ii)Sparkの利用規約またはサービス<0>に違反しないこと、(iii)当社の権利または第三者の権利を侵害、違反、または不正利用しないことを保証するものとします。 ユーザーは、機械学習の性質およびSpark +AIの機能を支える技術は、そのアウトプットが時折不正確である可能性があることを認識するものとします。 そのため、Spark +AIの機能によって生成された出力テキストを注意深く確認し、必要に応じて編集し、生成された情報の正確性をユーザーの目的に対して独自に検証することは、ユーザーの責任となります。 また、Spark、または第三者のサービスに含まれるプライバシー設定やセキュリティ対策の回避について、当社は責任を負いません。
第三者機関のポリシー。 Spark +AIの機能を利用する場合、Azure OpenAI サービスの行動規範を含むいかなるMicrosoftのポリシーに違反する方法でその機能を使用することはできません。
Azure OpenAIのサービスドキュメントに記載されているとおり、悪用を検出するために、Azure OpenAIはすべてのプロンプトと生成されたコンテンツを最大30日間安全に保管します。
Azure OpenAI サービスはMicrosoft Corporationによって提供されています。 Microsoft プライバシーステートメントによると、Microsoft Corporationは米国での認定を受けています。 米国商務省は、EU-U.S. DPFに依拠して 欧州連合から受領した個人データの処理に関して、EU-U.S. Data Privacy Framework Principles( EU-U.S.データ・プライバシー・フレームワーク原則)(EU-U.S. DPF原則)を遵守することを表明しています 。
「自分のライティングスタイル」機能。 この機能はプロファイリングに基づいて動作するAIベースの機能です。 プロファイリングとは、個人データの自動処理により特定の属性を評価することを指します。 この機能では、プロファイリングは法的影響を与えず、同様の方法で大きく影響を及ぼすことはありません。 この機能は、最近送信したメールの一部 (サンプル)を分析し、ユーザーのライティングスタイルを学習して模倣します。 その後、学習したライティングスタイルと口調を、Spark +AIで生成された新しいメールの下書きに適用します。
この機能はデフォルトでオフになっています。 有効化/無効化は、設定の「Spark+AI」セクションにある「ライティングアシスタント」で行えます。
この機能を有効にすると、システムは自動的に最近送信したメールの中から、長さなどの基準を満たすサンプルを抽出します。サンプルはAzure OpenAIまたは特定の場合はOpenAIに送信され、ユーザーの文章スタイルの説明を取得します。 Azure OpenAIまたはOpenAIは他のメールにはアクセスできません。 さらに、Spark +AIを使用して新しいメールを作成すると、スタイルの説明が各リクエストとともにAzure OpenAIまたは特定の場合はOpenAIに送信されます。
サンプルの確認や削除方法については、データ処理セクション内の「メールサンプル」をご覧ください。
Azure OpenAIは、「自分のライティングスタイル」を含む「Spark+AI」機能に使用される主要なプロバイダーです。
しかし、Azure OpenAIが利用できない場合や動作が遅い場合には、バックアップAIプロバイダーとしてOpenAIを使用することがあります。 さらに、Azure OpenAIで利用できるようになるまで、あるいはその他の商業的に正当な理由で、モデルの新バージョンを実行するためにOpenAIを使用することもあります。 AIプロバイダー間の切り替えは手動で行われ、その完全なコントロールは当社が保持します。
AIプロバイダー間の切り替えが行われた場合、OpenAIとのデータ処理ルールおよびインタラクションプロトコルは、Azure OpenAIと同じままであることにご注意ください。 このような切り替えに関する通知は行いません。
OpenAI APIは、OpenAI, L.L.C.によって開発、運営されています。 OpenAI API Platform は、SOC 2 Type 2 コンプライアンスの監査と認定を受けています。
ユーザーがOpenAI APIとやりとりする際、ユーザーが入力として提供したデータと、APIによって生成された出力は、OpenAIのクラウドベースのサーバに一時的に保存され、処理されて結果が返されます。
デフォルトでは、OpenAIは、APIを通じてユーザーから送信されたデータを、OpenAIのモデルのトレーニングやOpenAIのサービス向上のために使用することはありません。 APIを通じて送信されたデータは、不正使用や悪用監視の目的で最大30日間保持され、その後、法律で義務付けられている場合を除き、削除されます。
詳細については、OpenAIのデータ処理に関する補遺と企業プライバシーを参照してください。
注意: 当社は、16歳未満のユーザーからのデータを、法的代理人の同意なしに意図的に処理することはありません。 本制限に該当するユーザーまたは当該ユーザーの法的代理人である場合、dpo@sparkmailapp.comまでメールでお知らせください。
本項に記載された保管期間は、GDPRに明記されたデータ最小化原則と、個人データの処理に影響を与える適用法を考慮して算出したものです。 当社は、データ処理の各段階におけるデータ処理を分析し、データ処理の目的を満たすために必要な最短の期間を算出しています。
本項は、各機能の説明に記載されている保存期間と合わせてお読みください。
通常、当社は以下のような期間にわたって個人データを保管します。
ユーザー(無料) | ユーザー(Premium)および組織またはエンタープライズの代表者 | チーム (無料とPremium) |
---|---|---|
データの処理と保管:契約(利用規約)の存続期間中。 ユーザーが36ヶ月間活動していない場合、Sparkは、アカウントが停止される(個人データが削除される)ことを通知するリマインダーメールを2回送信します(ユーザーがログインした場合はリマインダーメールは停止されます)。 ユーザーがアカウントにログインし、無料のサブスクリプションを更新するための時間(「更新期間」)があり、 更新しない場合、アカウントは更新期間の終了と同時に削除されます。 ユーザーの要求に応じて、削除されたアカウントを取り戻すことができます。ただし、リマインダーメールが送信された12ヶ月以内であることが条件です。 |
データの処理と保管:契約(利用規約)またはエンタープライズ向けパーソナライズドサービス契約の存続期間中。 ユーザーからの支払いがない場合、そのユーザーのアカウントは、無料ユーザーのサブスクリプション条件にダウングレードされます。 保管期間は、サブスクリプションの変更日から適用され、Sparkは、左側のコラムに記載されているように、36ヶ月間使用しなかった場合に2通のリマインダーメールを送信します。 保存期間と保管期間は、サービス契約条件と同じになります。 |
データの処理と保管:契約(利用規約)の存続期間中。 最後のチームメンバーが36ヶ月間活動しなかった場合(無料サブスクリプションを利用している場合)、Sparkは、最後のユーザーに対して、リマインダーメールに記載されている更新期間中にユーザーがログインしない場合、チームのデータが削除される旨を通知します。 個人データを含むチーム内のコミュニケーションは、チームオーナーがアクティブなPremiumユーザーであり続ける限り、保管されます。 ユーザーの要求に応じて、削除されたアカウントを取り戻すことができます。ただし、リマインダーメールが送信された36ヶ月以内であることが条件です。 |
同意: 当社は、ユーザーが同意を取り消さない限り、上記の期間中、ユーザーの同意に基づきデータを処理します。 ユーザーが同意を取り消した場合、ユーザーのデータを消去するのに最長で30日かかります。
製品アップデートおよびマーケティング関連のメール配信: 当社は、ユーザーに対して、当社製品のアップデート、新機能、割引などに関する案内メールを送信することがあります。 メジャーアップデートはまれであり、Sparkは新機能に対するユーザーの要望と密接に連携していることから、Sparkが提供する新しい機会についてお知らせするために、ユーザーのデータを最大で数年間(ただしユーザーアカウントが放棄されたとみなされた後6年以内)保管することがあります。 ユーザーはいつでも、メールの末尾にあるリンクを使って配信を停止するか、dpo@sparkmailapp.com宛にメールで連絡し、そのようなメールの受信を拒否することができます。
カスタマーサポートとのコミュニケーション: 当社は、法的な内容を含む、ユーザーからの問い合わせや要望、またはユーザーの代理人からの問い合わせに対応できるように、ユーザーと当社カスタマーサポートチームとの間のコミュニケーションの履歴(コミュニケーションの内容やメールの添付ファイルなど)を数年間、ただし6年未満(アイルランドにおける一般の時効が定める期間)保管することがあります。 当社は、コミュニケーションの内容およびメールの添付ファイルが、アクセスを制限された状態でアーカイブされるように、必要なセキュリティ対策を適用します。
フィードバック。 当社は、ユーザーが当社に直接提供されたフィードバックを5年間、第三者プラットフォームから収集されたフィードバックを2年間保存します。 ただし、当社は、単独の裁量により、ユーザーのフィードバックをいつでも削除する権利を留保します。 また、ユーザーは、support@sparkmailapp.com宛に連絡することで、ユーザーのフィードバックの使用を控える、または使用を中止するよう要請することができます。
データの削除: 当社は、GDPRに基づくデータ処理者として取り扱うデータを、ユーザーからの要請後1ヶ月以内に削除します。 要請が複雑な場合、または同じ個人から多数の要請を受けた場合、当社は対応までの期間をさらに2カ月延長することができます。 このような延長があった場合は、要請を受けた日から1ヶ月以内に、対応が遅れた理由とともに、ユーザーにお知らせします。
当社は、ユーザーがアカウントを削除するまで、またはデータの種類に応じて一定の期間が経過した後も、ユーザーの個人データを保管します。 保管期間が終了した場合、当社はユーザーの個人データを削除するか、または匿名化して復元できないようにします。
データの種類 | 保管期間 |
---|---|
メールアドレス、メールの内容、メールサーバーの認証情報、APNSデバイストークン、当社が割り当てたアプリトークン、デバイス情報 | サービスの利用期間中+保管期間の間 ユーザーがSparkアカウントを削除した場合:Sparkアカウントを削除してから3ヶ月間。 ユーザーがデータの消去を要請した場合:要請から30日以内にデータの消去を行います。 要請が複雑な場合、または同じ個人から多数の要請を受けた場合、当社は対応までの期間をさらに2ヶ月延長することができます。 ユーザーのデータを消去した後、当社のバックアップに1週間保存されます。 |
受信トレイのメール | 受信後4時間 |
「送信予約」機能による保留メール、IPアドレス | メールが送信されるまで |
共有受信トレイのメール | サービスの利用期間中または共有受信トレイが削除されるまで |
上記の期間経過後、当社はユーザーの個人データを消去しますが、 統計・分析目的のために、匿名化された形で保存されることがあります。
当社は、サービスの提供中、保存期間中(上記に定義)、またはユーザーが同意を取り消すまで、機能に応じて、ユーザーの同意に基づき個人データを処理します。
当社では、ユーザーに関するデータベースのバックアップを実施しています。 当社は、少なくとも1日に1回、定期的にデータベースのバックアップを行っており、バックアップのデータは、通常は1週間保管されます。
バックアップには、Google Cloud SQLサービスを使用しています。 その手順については、こちらのガイドをご覧ください。
当社は、サービスの提供およびユーザーとのコミュニケーションのために、契約の履行に基づき、ユーザーの個人データを利用します。
当社は、Sparkの製品開発およびカスタマーサポートを提供するために必要な範囲で、当社の関連会社と個人データを共有する場合があります。 当社は、サービス、テクニカルおよびカスタマーサポートを提供するために必要な範囲で、ユーザーの個人データを当社の請負業者と共有します。 さらに、当社は、同意、法律(または法的義務)の遵守、および正当な利益という理由に基づき、ユーザーのデータを共有することができます。 また、第三者へのデータ提供の際には、個人データのセキュリティを確保するための組織的・技術的措置を講じています。
詳細
同意: 当社は、ユーザーの明示的な同意に基づき、個人データを第三者と共有します。
法令の遵守: 当社は、必要な範囲で、ユーザーの個人データを第三者に開示します。
当社の正当な利益または契約の履行: 当社は、ユーザーの個人データを保護するための技術的および組織的措置を講じた上で、当社に代わって処理を行うための公募に基づき、ユーザーの個人データを第三者と共有することがあります。 当社は、当社に代わって特定のサービスを提供するために雇用された特定の企業、コンサルタント、および請負業者にユーザーの個人データを転送することがあります。
独立したデータ管理者: 当社は、他の独立したデータ管理者からユーザーの個人データを受領することがあります。 当社は通常、次の2つのケースのいずれかに該当する場合にこれを行います。
当社は、ユーザーがSpark Mailまたはその特定の機能を使用できるようにするためにのみ、これらの個人データを処理します(例えば、デバイスがアプリを起動できないバグを修正するためなど)。 当社は、これらの独立した管理者から受け取ったユーザーのデータを使用して、ユーザーに関するプロファイルを構築したり、マーケティングや広告の目的で使用したりすることはありません。 当社は、可能な限りこれらのデータを匿名化または集計してから処理します(例えば、ユーザーから当社の技術サポートに対してバグを修正するための要請がない場合など)。
請負業者: 第三者へのデータの提供が契約履行の一部である場合を除き、当社はユーザーの同意を求めます。 以下は、当社が個人データの処理に従事する可能性のある第三者のリストです:
また、当社は、監査人、弁護士、会計士、ソフトウェアエンジニア、その他当社が契約に基づいて雇用する専門家やエキスパートなど、他の請負業者に対してユーザーの個人データを提供することがあります。
当社が収集する個人データは、米国内のサーバーに保管されます。 通常、データは米国に保管されますが、ユーザーの個人データが他の国で処理されることがあります。 また、当社は一部のデータをウクライナのサービスプロバイダーと共有しています。
欧州委員会は、米国(EU-USデータ・プライバシー・フレームワークに参加している商業組織)が適切なデータ保護を担保していることを認証しています。 さらに、Google LLCとその米国子会社(明示的に除外されている場合を除く)は、DPF原則を遵守していることを証明しています。
ウクライナにおけるユーザーのデータ保管ついて、欧州委員会による適切な決定がなされていません。 そのため、当社は標準契約条項の基準に基づいてデータ処理契約を作成し、ウクライナなどGDPRに基づく第三国での移転・保管時のデータ保護に関する法制評価を実施しました。
当社がユーザーの個人データを保護するために行っている措置に関する詳細は、こちらで閲覧することができます。また、当社とユーザーとの間でデータ処理契約書が締結されている場合、当該契約書をご覧ください。 当社のサービスのいずれかを通じて、自社の顧客またはその他のデータ対象者の個人データをアップロード、送信または作成している場合は、dpo@sparkmailapp.com宛にメールを送信し、データ処理契約の締結を求めることができます。
当社では、定期的にデータ保護影響評価を実施し、偶発的または違法な破壊、損失、改ざん、不正な開示、あるいは送信、保存、またはその他の処理を行った個人データへのアクセスを防ぐために、適切なレベルの技術的および組織的対策を講じています。 また、ISO27001に基づき、セキュリティ管理を徹底しています。
具体的には、ユーザーの個人データを保護するために、HTTPS、暗号化、グループと個人アクセスの分離、アラームシステム、コーポレートVPN、内部プロセス(パスワードポリシーや物理的アクセスポリシーなど)の文書化を採用しています。
さらに、当社が採用しているテクノロジーの状態をシステム的に監視し、アップデートとバックアップを欠かさないようにしています。 当社のすべての請負業者は、GDPRの要件に準拠した契約上の義務を負っています。
以下では、上記で述べた内容の詳細をご覧いただけます。
当社の従業員は、ユーザーのデータ保護について十分な知識を持っています。 また、当社では、従業員一人ひとりがユーザーの個人データを安全に管理し、データ保護に関する欧州および米国の法律で定められたベストプラクティスに従って保護するための十分な知識を身につけるよう、定期的に研修を実施しています。
当社は、すべての通信をHTTPSで保護し、第三者がユーザーのデータにアクセスできないようにしています。 ユーザーのメールや アカウント情報は、対称型および非対称型の暗号化方式(秘密鍵および公開鍵)を用いて、安全なクラウドベースサーバーに保存されます。
当社は現在、Google(以下「ホスティングプロバイダー」)を使用しています。 ホスティングプロバイダーは、ユーザーのデータの安全性を保証する様々な国際的なセキュリティ証明書を取得しています。
1. 物理的アクセスコントロール:グループアクセス及びアラームシステム
IDカードによる入退室管理を行い、許可された人だけが施設にアクセスできるようにしています。 IDカードは個別にブロックすることができ、施設への入退出が記録されます。
施設にはアラームシステムを設置し、不審者の侵入を防止しています。 アラームシステムは、ドアのロック機構と連動しています。
2. システムアクセス制御:個人アクセス及びパスワードポリシー
当社の従業員は、それぞれの従業員アクセスを通じてのみ、社内のシステムおよびサービスにアクセスすることができます。 アクセス権は、各従業員またはチームの責任範囲内に限定されます。
パスワードポリシー: 当社は、パスワードの手続きと、少なくとも4096ビットの長さのSSHキーの使用によって、システムへのアクセスを制限しています。 SSHキーは、関連システムへのパスワードベースのアクセスを無効にするため、弱いパスワードを対象とする攻撃に対する対策となっています。
さらに、パスワードの作成に関するルールも設けています。 これにより、パスワードベースのアクセスを提供するシステムにおいても、高いセキュリティを確保しています。
パスワードポリシーにより、 従業員のパスワードは少なくとも次のようなものでなければなりません:
当社のシステムは、デフォルトですべての外部接続を拒否するファイアウォールによって保護されています。 例外により、定義された接続タイプのみ受け付けます。
3. データアクセス制御:監視と物理的なアクセスポリシー
すべてのサーバーとサービスは、継続的な監視の対象となっています。 これには、ユーザーインターフェースにおける個人アクセスのログも含まれます。
また、当社の社員が近くにいるため、いつでも目視による検査が可能となっています。
従業員が退席した場合、ロックやログオフが規定されており、これが実践されています。
4. 転送制御:コーポレートVPNの利用義務
データを転送する前に、データ処理およびデータ転送契約(該当する場合)において、組織およびセキュリティの要件を規定しています。 これらの契約は、すべての企業およびデータ処理者である当社に対して義務付けられています。
また、USBメモリなどのローカルデータ保存デバイスの取り扱いは、契約によって規定されています。
社内ネットワークの外部からのシステムへのアクセスは、安全なVPNアクセスを経由している場合のみに許可されています。
5. 入力制御:一般的な制限
当社の従業員は、データベースレベルで直接作業するのではなく、アプリケーションを使用してデータにアクセスします。
IT部門の担当者は、個別アクセスでシステムにアクセスし、共通のログインを使用しています。
6. 可用性コントロール:バックアップと分割
データの可用性は、いくつかの方法で確保しています。 例えば、システム全体の定期的なバックアップを行っています。 これにより、他の可用性対策が失敗した場合にデータを復元することができます。
クリティカルなサービスは、複数のデータセンターで冗長運用されており、高可用性システムによって制御されています。
従業員のワークステーションも標準の対策で保護されています。 例えば、ウィルス対策ソフトウェアが導入されており、ノートパソコンは暗号化されています。
当社では、従業員のデバイスをセキュリティ設定で保護するためにMDMソリューションを利用しています。
7. 分離制御:アクセス制限
論理的に分離されたデータベースを使用し、権限のない担当者が誤ってアクセス制限のあるデータを読み取ることがないようにしています。
また、従業員はアクセス制御を行うサービス(アプリケーション)を利用するため、データ自体へのアクセスが制限されています。
ユーザーは、個人データの主体として、以下の権利を有しています:
権利 | 説明 |
---|---|
アクセスする権利 | ユーザーは、自分の個人データの処理について説明を求めることができます。 |
修正する権利 | ユーザーは、情報が不正確または不完全である場合、情報を変更することができます。 |
消去する権利 | ユーザーは、当社のシステムからユーザーの個人データを消去するよう、当社に要請することができます。 |
データポータビリティの権利 | ユーザーは、当社に提供したすべてのデータを要求することができます。また、第三者の管理者にデータを転送するよう要求することもできます。 |
異議申し立ての権利 | ユーザーは、ユーザーのデータの処理方法に異議を唱えることができます。 |
制限する権利 | ユーザーは、当社がユーザーの個人データを処理することを部分的または全体的に禁止することができます。 |
同意を撤回する権利 | ユーザーは、いつでも同意を取り消すことができます。 |
苦情を申し立てる権利 | ユーザーの要請が満たされない場合、ユーザーは規制当局に苦情を申し立てることができます。 |
ユーザーの権利を行使するには、dpo@sparkmailapp.comまでメールでお問い合わせください。 一部のデータがSparkと他のサービスのアカウントとの間で交換されている場合、ユーザーは、ユーザーのSparkアカウントと当該第三者サービスとのアクセスを無効にするか、あるいは、SparkおよびユーザーのSparkアカウントと連携している第三者サービスのアカウントでユーザーのプライバシー設定を管理することにより、ユーザーの権利(同意を撤回する権利など)を満たすこともできます。
また、ユーザーは、データ保護委員会(DPC)規制機関に、21 Fitzwilliam Square, South, Dublin 2, D02 RD28, Irelandに書面を送付するか、Webフォームを使用して苦情を申し立てる権利を有しています。 なお、ユーザーは、居住地域の監督機関に連絡することができます。 その後、居住地域の規制機関がアイルランドの規制機関に連絡し、ユーザーの苦情や要請を伝達します。
ユーザーは、個人データの主体として、いくつかの特定のプライバシー権を有しています。 ユーザーの権利を行使するには、dpo@sparkmailapp.comまでメールでお問い合わせください。
ユーザーの権利は、ユーザーに適用される法律により異なりますが、以下のものが含まれます。
州別のプライバシーデータ保護法に関する詳細については、以下をご覧ください。
バージニア州消費者データ保護法 | 消費者プライバシー法およびカリフォルニア州プライバシー法 | コロラド州プライバシー法 | ネバダ州プライバシー法 | デラウェア州オンラインプライバシーおよびプライバシー保護法 |
---|---|---|---|---|
管理者が消費者の個人情報を処理しているかどうかを知る権利。 | どのような個人データが収集されたかを知る権利および個人情報にアクセスする権利。 | 情報にアクセスする権利。 | 管理者が消費者の個人データを処理しているかどうかを知る権利。 | 情報にアクセスする権利。 |
管理者によって処理された個人データにアクセスする権利。 | 個人データが販売されているかどうかを知る権利。 | 個人データの処理について確認する権利。 | セールスをオプトアウトする権利。 | 同意を撤回する権利。 |
修正する権利。 消去する権利。 データポータビリティに対する権利。 ターゲット広告、個人データの販売、プロファイリングをオプトアウトする権利。 |
消去する権利。 特定の例外を除く。 データポータビリティの権利。 修正する権利。 セールスをオプトアウトする権利。 センシティブな個人データの利用と開示を制限する権利。 |
情報へのアクセス権。 修正する権利。 消去する権利。 データポータビリティに対する権利。 ターゲット広告、個人データの販売、またはプロファイリングを、普遍的なオプトアウトの仕組みを通じてオプトアウトする権利。 |
修正する権利。 | 修正する権利。 トラッキング拒否を要求するための権利。 セールスをオプトアウトする権利。 |
上記権利の概要説明:
州の法令により異なりますが、当社はユーザーの要請を行使するために30日から60日、そして、さらに30日の権利を有します。
GDPRは、この個人情報保護方針とその効果に該当する関係を規制しています。 個人データの処理に関する既存の法律および要件は、変更される場合があります。 この場合、当社は、本個人情報保護方針の新版を当社Webサイトに掲載します。
当社が本方針(または本アプリ)に対して、ユーザーのプライバシーおよび機密保持に影響を与える実質的な変更を行う場合、当社は、ユーザーにメールで通知するか、本アプリに情報を表示し、ユーザーにその内容を確認するよう求めます。 当社は、事前にユーザーに通知し、変更の発効後にユーザーが当社のサービスの利用を継続した場合、ユーザーが更新された個人情報保護方針に同意したものとみなします。
カリフォルニア州にお住まいのユーザー向けに、カリフォルニア州消費者プライバシー法(CCPA)およびカリフォルニア州プライバシー法の関連法およびユーザーのプライバシー権に関する情報を提供します。
ダイレクトマーケティングのための情報開示のオプトアウト。 カリフォルニア州法により、その居住者は、マーケティング目的で個人データを受け取った事業者の身元と、開示された情報のカテゴリーを知ることができます。 ユーザーは、dpo@sparkmailapp.com宛にメールでお問い合わせすることにより、そのような情報を要求することができます。
このオプトアウトは、当社がダイレクトマーケティング以外の目的で個人データを開示することを禁止するものではありませんので、ご注意ください。
情報の自動収集 当社は、ユーザーが当社に提供したデータを、オンラインおよび関連性のない第三者のWebサイトを通じて収集することがあります。
第三者による情報の自動収集。 ユーザーが当社のWebサイトを訪問したときに、第三者により、ユーザーが当社および他のWebサイトを訪問または利用したことなどの、ユーザーのオンライン活動に関する個人データを長期的かつ異なるWebサイトで収集することができます。
未成年者。 事業者は、顧客が16歳未満の児童であることを実際に認識している場合、顧客の個人データを販売してはならない。 事業者は、親または保護者の要求があり、親または保護者の身元および子供を代理する権限が確認された場合に限り、16歳未満の子供のデータを処理することができます。 顧客の年齢を意図的に無視した事業者は、顧客の年齢を実際に知っていたとみなされるものとします。 この権利は、「オプトインの権利」と呼ばれることがあります。
未成年のお客様の個人情報を販売することに同意していない事業者は、その後お客様が明示的な許可を与えない限り、個人情報を販売することを禁止されるものとします。
当社のアプリを使用するカリフォルニア在住のユーザーは、インターネット上でのオンラインブラウジングの動きに関する情報を当社が自動的に収集および追跡しないよう要求することができます。 このような要求は、通常、信号を制御するWebブラウザの設定や、時間経過や第三者のウェブサイトまたはオンラインサービスにわたる個々のユーザーのオンライン活動に関する個人データの収集に関してユーザーが選択権を行使する能力を提供するその他の仕組みを通じて行われます。 当社は、現在、このようなご要望にお応えすることはできません。 当社は、当社の能力の変化に応じて、この個人情報保護方針を修正する権利を留保します。
カリフォルニア州消費者プライバシー法(CCPA)およびカリフォルニア州プライバシー法は、カリフォルニア州の居住者である当社のユーザーに対し、以下の追加的権利を提供します。
ユーザーは、dpo@sparkmailapp.com宛にメールで連絡することにより、いつでもこれらの権利を行使することができます。
CCPAは、これらのデータ保護権の行使に関連するいくつかの具体的な要件を想定していることをお知らせします。 それらを考慮した上で、当社は以下のことを行います:
また、当社は、個人情報保護法の規定により、消去の要請を受けた後も個人データを保管することが認められているため、ご注意ください(例えば、セキュリティ事故の検出、不具合の修復、法的義務の遵守、トランザクションの完了のため)。
Sparkは、ユーザーの個人データを第三者に販売したり、貸出したり、取引したりすることはありません。 ユーザーがCCPAに基づく権利を行使する場合、当社はユーザーに対して差別を行いません。
当社は、障がいのあるユーザーがアクセスしやすい環境を整えています。 障害を持つ消費者は、本個人情報保護方針の代替フォーマットを要求するために、メールによって当社に連絡することができます。
バージニア州にお住まいのユーザー向けに、バージニア州の消費者データ保護法によって認められた関連法およびプライバシー権に関する情報を提供します。
VCDPAは、一部の事業者に対して、事業者が収集する個人データにアクセスし、管理する能力を消費者に与えることを義務付けています。
未成年者。 COPPAの検証可能な親権者の同意要件を遵守する管理者および処理者は、CDPAに基づく親権者の同意取得の義務を遵守するものとみなされます。
既知の子供の親または法定後見人は、既知の子供に属する個人データの処理に関して、子供に代わってユーザーの権利を行使することができます。
差別の禁止。 処理者は、州および連邦政府の顧客差別禁止法に違反して個人データを処理したり、CDPAの下で権利を行使するユーザーを差別したりすることはできません。
アクセスの要求。 管理者は、ユーザーが権利行使のリクエストを提出するための安全で信頼できる手段を一つ以上確立し、個人情報保護方針に記載することが要求されます。 その際、ユーザーが通常どのように管理者とやり取りを行うか、そのようなリクエストの安全で信頼できるコミュニケーションの必要性、および管理者がリクエストを認証する能力を考慮する必要があります。
管理者は、ユーザーが権利を行使するために、ユーザーに新しいアカウントの作成を要求することは禁止されていますが、既存のアカウントを使用するよう要求することができます。
応答時間。 管理者は、ユーザーのリクエストに対して45日以内に応答することが要求されます。 この期間は、一定の要件が満たされた場合、さらに45日間延長することができます。
無償の情報提供。 管理者は、ユーザーのリクエストに応じた情報を、ユーザー1人につき年2回まで無償で提供しなければなりません。 管理者は、リクエストに明白な根拠がない、過剰、または反復的である場合、合理的な手数料をユーザーに請求するか、リクエストへの対応を拒否することができますが、リクエストの明白な根拠がない、過剰、または反復的であることを実証する責任は管理者にあります。
オプトアウトの権利。 当社のWebサイトを訪問するバージニア州の住民は、ターゲット広告、個人データの販売、またはプロファイリングをオプトアウトするよう要求することができます。 ヴァージニア州法により、その居住者は、マーケティング目的で個人データを受け取った事業者の身元と、開示された情報のカテゴリーを知ることができます。 ユーザーは、dpo@sparkmailapp.com宛にメールでお問い合わせすることにより、そのような情報を要求することができます。
コロラド州にお住まいのユーザー向けに、コロラド州のプライバシー法によって認められた関連法およびプライバシー権に関する情報を提供します。
未成年者。 管理者は、子供の親または合法的な保護者から最初に同意を得ることなく、既知の子供の個人データを処理しないものとします。
アクセスの要求。 ユーザーは、個人情報保護方針で管理者が指定する方法を用いて要求を提出することにより、その権利を行使することができます。
ユーザーが考慮しなければならないこと:
管理者は、ユーザーが権利を行使するために、ユーザーに新しいアカウントの作成を要求することは禁止されていますが、 既存のアカウントを使用するよう要求することができます。
応答時間。 回答までの期間45日以内。 管理者は、ユーザーのリクエストに対して取られた措置について、45日以内にユーザーに通知するものとします。 特定の状況においては、この45日間の回答期間をさらに45日間延長することができます。
無償の情報提供。 管理者は、ユーザーのリクエストに応じた情報を、年1回まで無償で提供しなければなりません。 12ヶ月以内に追加で要求された場合、管理者は料金を請求することができます。
行動を起こさない場合の正当な理由。 管理者がユーザーの要求通りに行動を起こさない場合、管理者はユーザーの要求から45日以内に、行動を起こさない理由と、決定に異議を唱える方法に関する指示について、ユーザーに通知するものとします。
リクエストの拒否。 管理者は、商業的に合理的な努力を行っても要求を認証できない場合、ユーザーの権利行使の要求に応じる必要はなく、要求を認証するために合理的に必要な追加情報の提供を要求することができます。
不服申し立ての権利。 管理者は、ユーザーの要求に対する措置の拒否について、ユーザーが異議を申し立てることができる内部プロセスを確立するものとします。 ユーザーは、管理者がリクエストを拒否したことを通知した後、合理的な期間内にこれを行わなければならないものとします。 不服申し立ての手続きは、分かりやすく、容易に利用できるものでなければならないものとします。
不服申し立てへの対応。 管理者は、不服申し立てを受領してから45日以内に、不服申し立ての結果をユーザーに通知し、その結果を支持する理由を説明した書面を提供するものとします。 この45日間は、特定の状況下ではさらに60日間延長することができるものとします。
デラウェア州にお住まいのユーザー向けに、デラウェア州のプライバシー法によって認められた関連法およびプライバシー権に関する情報を提供します。
子どもへの広告。 DOPPAは、事業者が提供するサービスやプラットフォームが、「児童を主な構成員とする視聴者を対象としているか、またはそれを意図している」場合に限り、事業者を規制しています。 ただし、児童を対象とした他のサービスやプラットフォームへの参照やリンクに過ぎないサービスやプラットフォームは、これに該当しません。
事業者は、サービスやプラットフォームを児童に指示していないにもかかわらず、児童がサービスやプラットフォームにアクセスしていることを実際に知っていた場合にも、DOPPAに基づく責任を負う可能性があります。 このような場合、事業者は、児童の個人データを故意に使用、開示、集計することはできず、また、他の事業者が同様のことを行うことを許可することはできません。 また、対象となるサービスやプラットフォームを提供する事業者は、児童に不適切なコンテンツを広告または販売することはできません。 この点、DOPPAは、アルコール、タバコ、銃器、花火、日焼け用具と施設、宝くじとギャンブル、タトゥー、麻薬、ポルノを含む禁止コンテンツの一覧を提示しています。 なお、広告サービスを利用し、DOPPAを遵守していることを確認すれば、事業者は前記の監視を行う必要はないものとします。
トラッキング拒否の要求。 当社のWebサイトを訪問するデラウェア州の住民は、インターネット上でのオンライン活動に関するデータを当社が自動的に収集および追跡しないよう要求することができます。 このような要求は、通常、信号を制御するWebブラウザーの設定や、時間経過や第三者のWebサイトやオンラインサービスでの個々のユーザーのオンライン活動に関する個人データの収集に関してユーザーが選択できるようにするその他の仕組みを通じて行われます。 当社は、現在、このようなご要望にお応えすることはできません。 当社は、当社の能力の変化に応じて、本方針を変更することがあります。
ネバダ州にお住まいのユーザー向けに、ネバダ州のプライバシー保護法Senate Bill 220によって認められた関連法およびプライバシー権に関する情報を提供します。
セールスのオプトアウト。 ネバダ州では、Webサイトまたはオンラインサービスを通じて収集された「対象情報」の販売について、消費者がオプトアウトすることを認めています。 この法律では、「対象となる情報」には以下が含まれます:
個人データ販売禁止の要請。 ネバダ州では、事業者がWebサイトに「第三者に個人データを提供しないででください」などのボタンやリンクを設置することは義務付けられていません。 その代わり、事業者は消費者に対して、確認済みのオプトアウト要求を提出するためのメールアドレス、フリーダイヤル番号、Webサイトでのフォームの提供が義務付けられています。
応答時間。 「検証された消費者からの要請」を受けた事業者は45日間以内に、「合理的に必要」な場合は90日間以内に、消費者に通知することで合計135日間延長することが可能です。
ここでは、個人情報保護方針で使用される用語の定義をご覧いただけます。
「Spark」、「Spark Mail」、「当社」、「当社の」、「わたしたち」は、Spark Mail App(以下「本アプリ」)を運営するアイルランドに本拠を置くテクノロジー企業であるSpark Mail Limitedを指します。
「管理者」または「データ管理者」は、単独で、または他の者と共同で、あるいは共同して、あらゆる個人データを処理する目的および方法を決定する自然人または法人を指します。 CCPAでは、「事業者」という用語は、同様の機能を果たす者を指します。
「データ保護責任者」または「DPO」は、GDPRおよびその他のデータ保護法を遵守するためにSpark Mail Limitedが指定し、ユーザーの個人データの権利を保護するために配置された従業員または委託先です。 DPOのお問い合わせ先は、dpo@sparkmailapp.comです。
「データ主体」は、 Sparkが個人データを保有する自然人(識別された、または識別可能な自然人)を指します。
「GDPR」は、欧州連合(EU)の一般データ保護規則を指します。
「個人データ」は、氏名、姓、電子メール、位置情報など、ユーザーに関連し、ユーザーを直接的または間接的に特定するのに役立つあらゆる情報を指します。
「処理」は、自動化された手段であるか否かを問わず、個人データまたは個人データの集合に対して行われる、収集、記録、整理、構造化、保管、適応または変更、検索、相談、使用、送信による開示、普及またはその他の利用可能化、整合または結合、制限、消去または破壊などの操作または一連の操作を指します。
「処理者」または「データ処理者」は、データ管理者に代わって個人データを処理する自然人または法人を指します。 CCPAでは、事業者の指示の下にデータ処理の一部を別の者に委託する場合、「サービス提供者」という用語を使用することができます。
「サービス」または「Spark Mail Services(大文字か小文字かを問わず)」は、Spark MailアプリおよびSpark Mailアプリの使用を通じて利用できる機能(通常機能またはPremium機能、同時にまたは別々に)を指します。
「代理処理業者」は、ユーザーの個人データを処理するために当社が指名した当社以外の者を指します。 代理処理業者は、当社が見ることのできるデータ以上のものを見ることはできません(ユーザーがSpark Mailアプリの外で代理処理業者に個人データを提供しない限り)。 例としては、当社のデータホスティングプロバイダーや支払い処理業者が挙げられます。
「監督当局」は、GDPRに基づく現地の規制当局を指します。当社がユーザーのデータを適切に保護することを確認する職務を担っています。