プライバシーポリシー

1. 事業者

本サービスの個人情報取扱事業者は、エクシードシステムです。

• 所在地: 〒150-0043 東京都渋谷区道玄坂1-10-8 渋谷道玄坂東急ビル2F-C
• 代表者: 坂本 英謙
• お問い合わせ: contact@exceedsystem.com

現時点で、EU/EEA/UK代理人およびデータ保護責任者（DPO）は設置していません。本ポリシーは、GDPR/UK GDPRへの対応完了を表明するものではありません。これらの法令が適用される場合、エクシードシステムは適用法令に従い合理的な範囲で必要な対応を行います。

2. 取得する情報

エクシードシステムは、本サービスの提供に必要な範囲で、次の情報を取得または保存します。

• アカウント情報: ユーザーID、メールアドレス、表示名、プロフィール画像、認証・セッションに関する情報。
• サービス利用情報: 暗号化されたブックマークデータ、作成・更新日時、暗号化されたサムネイル、バックアップ、復元、シークレットキー変更などの機能利用に必要な情報。
• 暗号化関連情報: 暗号化に必要なソルト、シークレットキー確認用の暗号化データ、暗号化されたサムネイルやバックアップデータ。シークレットキーそのものはエクシードシステムサーバーに送信または保存されません。
• 購読・課金関連情報: プラン、購読状態、課金サービス上の識別子、請求期間、キャンセル状況など。カード番号などの完全な支払い手段情報はエクシードシステムでは保存しません。
• ブラウザ保存情報: 言語設定、表示設定、ロック状態の同期など、サービス提供に必要な情報。
• 技術情報: IPアドレス、ユーザーエージェント、アクセス日時、リクエストに関する情報、ログ等。

3. 利用目的

エクシードシステムは、取得した情報を次の目的で利用します。

• 本サービスの提供、認証、アカウント管理、セッション管理のため。
• ブックマーク、暗号化サムネイル、バックアップ、復元、シークレットキー変更などの機能を提供するため。
• プラン上限の判定、購読状態の同期、課金関連機能の提供、ダウングレード時のデータ整理のため。
• アカウント削除、データ削除、問い合わせ対応、重要なお知らせのため。
• 不正利用、権限のないアクセス、障害、セキュリティ事故を検知・防止・調査するため。
• サービスの維持、品質改善、法令遵守、権利の行使または防御のため。

4. 法的根拠

GDPRが適用される場合、エクシードシステムは主に次の法的根拠に基づいて個人データを処理します。

• 契約の履行: アカウント作成、認証、ブックマーク管理、バックアップ・復元、購読管理など、本サービスを提供するため。
• 正当な利益: セキュリティ確保、不正利用防止、障害対応、サービス改善、権利保護のため。
• 法的義務: 税務、会計、法令上必要な記録保持、行政機関等への対応のため。
• 同意: 法令上同意が必要な処理を行う場合。エクシードシステムは広告・解析目的のCookieを現在使用していません。

5. 第三者サービス・委託先

エクシードシステムは、次の第三者サービスに個人情報の処理を委託する場合があります。

• Clerk: 認証、ユーザー管理、再認証、購読・課金関連処理。
• Cloudflare: クラウドホスティング、データ保存、静的アセット配信、ログおよびセキュリティ機能。
• その他、問い合わせ対応、決済、運用保守、法令遵守に必要なサービス。

エクシードシステムは、CCPA/CPRA上の意味で個人情報を販売または共有しません。クロスコンテキスト行動広告、広告Cookie、リターゲティング広告には利用しません。

6. 国際移転

本サービスは、ClerkおよびCloudflare等の国外事業者のサービスを利用します。そのため、ユーザーの情報は日本国外、米国、EU/EEAその他の国または地域で処理・保存される場合があります。エクシードシステムは、適用法令に従い、委託先との契約その他の適切な保護措置を通じて個人情報の保護に努めます。

7. 保存期間と削除

エクシードシステムは、利用目的の達成に必要な期間、または法令上必要な期間に限って個人情報を保存します。

• アカウント情報、暗号化されたブックマークデータ、購読・課金関連情報は、ユーザーがアカウントを保有している間保存します。
• アカウント削除後、エクシードシステムが管理するユーザーデータは合理的な期間内に削除または無効化します。
• バックアップ、復元、シークレットキー変更などに利用する一時データは、処理に必要な期間に限って保存し、処理完了後または一定期間経過後に削除または無効化します。
• ダウングレードにより上限を超過したブックマークは、サービス上の案内に従い、所定の猶予期間後に削除される場合があります。
• 委託先が保持するログ等は、各提供元の保持方針および設定に従います。
• 法令遵守、紛争対応、不正利用調査、会計・税務上必要な情報は、必要な範囲で保持する場合があります。

8. Cookie・ブラウザ保存

本サービスは、Clerk認証に必要なCookie等を利用します。また、言語設定、表示設定、ロック状態の同期など、サービス提供に必要な非機微情報をlocalStorageまたはsessionStorageに保存します。広告・解析目的のCookieは使用しません。

9. セキュリティ

本サービスは、ブックマーク本文、URL、メモ、サムネイル、バックアップ、シークレットキー検証情報をクライアント側で暗号化し、サーバー側には暗号文および必要なメタデータを保存します。シークレットキーおよびバックアップパスワードはエクシードシステムサーバーに送信または保存されません。この暗号化対象データについては、運営者が内容を復号できないゼロ知識設計です。ただし、暗号化された情報であっても、アカウントIDや作成・更新日時などのメタデータと結び付く場合、適用法令上の個人情報または個人データに該当することがあります。

10. ユーザーの権利

ユーザーは、適用法令に従い、自己の個人情報について、開示、訂正、削除、処理の制限、異議申立て、データポータビリティ、同意の撤回を求めることができます。エクシードシステムは、適用される法令に基づく請求に合理的な範囲で対応します。

エクシードシステムは、現時点でCCPA/CPRA上のbusinessに該当しないと考えています。本ポリシーは、CCPA/CPRAへの対応完了を表明するものではありません。CCPA/CPRAが適用される場合、エクシードシステムは適用法令に従い合理的な範囲で必要な対応を行います。エクシードシステムは個人情報を販売または共有しないため、「Do Not Sell or Share My Personal Information」リンクを設置していません。

権利行使を希望する場合は、本人確認に必要な情報を添えて、下記お問い合わせ先までご連絡ください。

11. 未成年者

本サービスは、13歳未満の児童を対象としていません。13歳未満の児童の個人情報を取得したことが判明した場合、エクシードシステムは合理的な範囲で当該情報を削除します。

12. 改定

エクシードシステムは、法令、サービス内容、運用方法の変更に応じて、本ポリシーを改定することがあります。重要な変更がある場合、サービス上での掲示その他合理的な方法により通知します。

13. お問い合わせ

本ポリシーまたは個人情報の取扱いに関するお問い合わせ、ならびに権利行使の請求は、contact@exceedsystem.com までご連絡ください。