1. 当社について
本プライバシーポリシーは、香港で設立された会社であるThrive Route Digital Limited(以下「YesHello」、「当社」)(BRN: 73780714)が、yeshello.app(以下「本サービス」)でYesHelloプラットフォームをご利用いただく際に、個人データをどのように収集、使用、保管、および保護するかについて説明します。
登記上の住所: 21/F CMA Building, 64 Connaught Road Central, Hong Kong プライバシーに関するお問い合わせ: [email protected]
本ポリシーは、世界中のすべてのサービスユーザーに適用されます。特定の地域にお住まいの場合、第10条に基づき追加の権利が適用される場合があります。
2. 収集するデータ
2.1 お客様が直接提供するデータ
アカウントデータ: 登録時にご提供いただく氏名、メールアドレス、パスワード、およびプロフィール情報。
請求データ: 有料プランをご購入の場合、Stripeがお客様の決済カード情報を直接収集します。当社が受領および保管するのは、StripeカスタマーID、StripeイベントID、カード番号の下4桁、カードブランド、有効期限、請求先国、および取引タイムスタンプのみです。当社は、完全なカード番号、CVVコード、またはその他の機密決済認証データを受領、処理、または保管することはありません。
カードコンテンツ: お客様がカードにアップロードまたは作成するテキスト、画像、リンク、およびその他のコンテンツ。
フォーム送信: カードでリードキャプチャフォームを使用する場合、当社はお客様に代わって訪問者が送信したデータを保管します。このデータのデータ管理者はお客様です。第5条をご参照ください。
コミュニケーション: お客様が当社に送信するメール、サポートリクエスト、およびメッセージ。
2.2 自動的に収集されるデータ
利用データ: サービス内で訪問したページ、使用した機能、実行したアクション、タイムスタンプ、参照URL、およびセッション時間。
デバイスおよびブラウザデータ: IPアドレス、ブラウザの種類とバージョン、オペレーティングシステム、デバイスの種類、画面解像度、および言語設定。
カードアナリティクス: 訪問者がお客様のカードを閲覧または操作する際、当社は以下を収集します: ページビュー、クリックイベント、参照元、訪問者のIPアドレス(アナリティクスのために匿名化)、ブラウザの種類、デバイスの種類、およびIPアドレスから導出された国レベルの位置情報。
2.3 第三者から取得するデータ
Stripe: 取引確認、支払いステータスの更新、および紛争通知。
Google(有効にした場合): お客様がカードに接続したビジネスプロフィールに関連するGoogleレビューデータ。
DataForSEO(有効にした場合): カードに表示するためのGoogleレビューデータの取得。
AIコンテンツ生成: AIからURL機能を使用する場合、当社はお客様が提供するURLから公開されているコンテンツを取得し、カードコンテンツを生成します。生成完了後、ソースURLのコンテンツは保存しません。
2.4 収集しないデータ
当社は以下を収集しません: 生体データ、健康データ、人種もしくは民族的出自を明らかにするデータ、政治的見解、宗教的信条、労働組合への加入、遺伝データ、または性生活もしくは性的指向に関するデータ。
3. データの使用方法
当社は、以下の目的のためにのみ個人データを処理します。
目的法的根拠(GDPR)カードの作成および表示を含むサービスの提供および運営契約の履行支払い処理およびサブスクリプションの管理契約の履行トランザクションメールの送信(アカウント確認、請求書、セキュリティアラート)契約の履行カスタマーサポートの提供契約の履行お客様のアカウントダッシュボードに表示されるアナリティクスの生成正当な利益不正行為、悪用、およびセキュリティインシデントの検出と防止正当な利益利用規約およびアクセプタブルユースポリシーの施行正当な利益製品アップデートおよび機能に関するお知らせの送信正当な利益(オプトアウト付き)集約・匿名化された利用パターンに基づくサービスの改善正当な利益法的義務の遵守(税務記録、法執行機関からの要求)法的義務
当社は、お客様のデータを行動ターゲティング広告に使用しません。お客様のデータを販売しません。お客様のデータをデータブローカーと共有しません。
4. データの共有方法
当社は、以下の場合にのみ個人データを共有します。
4.1 サービスプロバイダー(復処理者)
プロバイダー目的所在地共有データNetcup GmbHサーバーホスティングドイツプラットフォームに保管されるすべてのデータStripe, Inc.決済処理米国/グローバル請求データ(カードデータはお客様のブラウザからStripeに直接送信)Google LLCGoogleレビューの表示(お客様が有効にした場合)米国/グローバルビジネスプロフィール識別子DataForSEOGoogleレビューの取得(お客様が有効にした場合)米国ビジネスプロフィール識別子
すべての復処理者は、当社のデータ処理補遺(https://yeshello.app/page/dpa)に定めるものと実質的に同等の義務を課すデータ処理契約により拘束されています。
4.2 Webhook受信者
お客様がWebhookを設定した場合、フォーム送信データはお客様が指定する第三者のエンドポイントに送信されます。この転送はお客様が指示するものであり、受信者は当社の復処理者ではありません。受信者のデータ取扱慣行についてはお客様が責任を負います。
4.3 法的要件
法律、裁判所命令、または政府の規制により要求される場合、または当社の権利、お客様の安全、もしくは他者の安全を保護するために開示が必要な場合、当社は個人データを開示することがあります。
4.4 事業譲渡
合併、買収、または資産売却が行われた場合、個人データは取得企業に移転されることがあります。お客様のデータが異なるプライバシーポリシーの対象となる前に、当社はお客様に通知します。
4.5 お客様の同意に基づく場合
お客様の明示的な同意を得た場合、その他の状況でデータを共有することがあります。
当社は個人データを販売しません。当社は、クロスコンテキスト行動ターゲティング広告のために個人データを共有しません。
5. 訪問者データおよびデータ管理者としてのお客様の役割
お客様がカードのリードキャプチャフォームを通じて訪問者から個人データを収集する場合、お客様は当該訪問者データのデータ管理者です。YesHelloは、データ処理者としてお客様に代わってこれを処理します。
お客様の義務: お客様は、訪問者データを収集するための適法な根拠を有し、訪問者に対してお客様独自のプライバシー通知を提供し、訪問者のデータに関する権利の要求に対応しなければなりません。詳細は、https://yeshello.app/page/dpaのデータ処理補遺をご参照ください。
当社の義務: 当社は、お客様の文書化された指示に基づいてのみ訪問者データを処理し、適切なセキュリティ対策を実施し、72時間以内に侵害を通知し、アカウント終了後60日以内に訪問者データを削除します。
6. Cookieおよびトラッキング
6.1 当社が使用するCookie
厳密に必要なCookie: サービスの機能に必要な認証トークン、セッション識別子、およびセキュリティCookie。これらは無効にすることができません。
アナリティクスCookie: 当社は、ユーザーがサービスとどのように対話するかを理解するためにファーストパーティアナリティクスを使用します。このデータは集約されており、個々のユーザーを識別するものではありません。サービス上のCookie設定を通じてアナリティクスCookieをオプトアウトすることができます。
6.2 当社が使用しないCookie
当社は、第三者の広告Cookieを使用しません。広告ネットワークのトラッキングピクセルを使用しません。セッションリプレイまたは画面録画ツールを使用しません。広告取引所またはリアルタイム入札に参加しません。
6.3 カード上のCookie
訪問者に配信されるカードでは、機能に必要な厳密に必要なCookie(フォームの状態など)のみを使用します。訪問者向けのカードページに広告またはトラッキングCookieを配置することはありません。
7. データの保管とセキュリティ
7.1 データの保管場所
すべての個人データは、Netcup GmbHが運営するドイツに所在するサーバーでホスティングされています。
7.2 セキュリティ対策
当社は、お客様のデータを保護するために以下の措置を実施しています: TLS 1.2以上を使用した転送時の暗号化、保管される個人データの保存時の暗号化、最小権限の原則に基づくロールベースのアクセス制御、テスト済みのリカバリー手順を備えた自動バックアップ、ファイアウォール保護およびネットワーク監視、定期的なソフトウェア更新およびセキュリティパッチ適用、文書化されたインシデント対応手順。
7.3 決済セキュリティ
決済カードデータは、StripeのPCI DSS Level 1認定インフラストラクチャにより直接収集されます。カードデータが当社のサーバーに触れることはありません。当社は、当社の連携方法に適用されるPCI DSS要件への準拠を維持しています。
7.4 絶対的な保証はありません
完全に安全なシステムは存在しません。当社はお客様のデータを保護するために合理的な措置を講じていますが、絶対的なセキュリティを保証することはできません。お客様は、アカウント認証情報の機密性を維持する責任を負います。
8. データの保持
データの種類保持期間アカウントデータアカウントが有効な期間、および削除後30日間請求データおよび取引記録取引日から7年間(法的および税務上の義務)カードコンテンツアカウントが有効な期間、および削除後30日間訪問者データ(フォーム送信)アカウントが有効な期間、および終了後60日間利用データおよびアナリティクス24か月間、その後集約・匿名化サポートコミュニケーション解決後3年間サーバーログ90日間
保持期間の満了後、データは永久に削除されるか、不可逆的に匿名化されます。お客様は、いつでもデータの早期削除を要求することができます(第9条参照)。
9. お客様の権利
9.1 GDPRに基づく権利(EEA、英国、スイス)
欧州経済領域、英国、またはスイスにお住まいの場合、お客様は以下の権利を有します: 個人データへのアクセスおよびコピーの受領、不正確または不完全なデータの訂正、データの消去(「忘れられる権利」)、特定の状況における処理の制限、データポータビリティ(構造化された機械可読形式でのデータの受領)、正当な利益に基づく処理への異議申立て、処理が同意に基づく場合のいつでもの同意撤回、お住まいの国のデータ保護監督機関への苦情申立て。
9.2 CCPA/CPRAに基づく権利(カリフォルニア州居住者)
カリフォルニア州にお住まいの場合、お客様は以下の権利を有します: 当社が収集、使用、および開示する個人情報の内容を知る権利、個人情報の削除、不正確な個人情報の訂正、個人情報の販売または共有のオプトアウト(当社はお客様のデータを販売または共有しないため、この権利は既に充足されています)、機密個人情報の使用の制限(当社はサービスの提供に必要な範囲を超えて機密個人情報を使用しません)、プライバシー権の行使に対する非差別。
過去12か月間に収集された個人情報のカテゴリー: 識別子(氏名、メールアドレス、IPアドレス)、商業情報(取引履歴、サブスクリプションプラン)、インターネット活動(利用データ、アナリティクス)、位置情報データ(国レベル、IPから導出)。
販売または共有されたカテゴリー: なし。当社は個人情報を販売または共有しません。
サービスプロバイダーに開示されたカテゴリー: 決済処理のためにStripeに識別子および商業情報。ホスティングのためにNetcupにすべてのカテゴリー。
9.3 香港PDPOに基づく権利
香港にお住まいの場合、お客様は以下の権利を有します: 当社が保有するお客様の個人データへのアクセス、不正確な個人データの訂正、ダイレクトマーケティングへのお客様のデータの使用停止の要求。
9.4 その他の法域に基づく権利
ブラジル(LGPD)、カナダ(PIPEDA)、オーストラリア(1988年プライバシー法)、またはその他の適用されるデータ保護法を有する法域にお住まいの場合、同様の権利を有する可能性があります。[email protected]までお問い合わせいただければ、適用法に従ってお客様の要求に対応いたします。
9.5 権利の行使方法
[email protected]にリクエストを送信してください。当社はお客様の身元を確認し、以下の期間内に対応します: GDPRリクエストは30日以内、CCPAリクエストは45日以内(通知により45日延長可能)、PDPOリクエストは40日以内。すべてのリクエストは、明らかに根拠のないものまたは過度なものを除き、無料です。
10. 地域固有の開示事項
10.1 欧州経済領域、英国、およびスイス
データ管理者: Thrive Route Digital Limited, 21/F CMA Building, 64 Connaught Road Central, Hong Kong。
処理の法的根拠: 第3条の表をご参照ください。正当な利益に依拠する場合、当社は均衡テストを実施し、当社の利益がお客様の基本的権利および自由を上回らないと結論付けています。
国際移転: お客様のデータはドイツでホスティングされています(EEA内の十分な保護)。EEA域外の復処理者(米国のStripeなど)にデータが移転される場合、当社は、該当する場合に標準契約条項またはEU-米国データプライバシーフレームワークに依拠します。
監督機関: お客様は、お住まいの国のデータ保護機関に苦情を申し立てる権利を有します。EU監督機関のリストは、https://edpb.europa.eu/about-edpb/about-edpb/members_enでご覧いただけます。
10.2 カリフォルニア州(CCPA/CPRA)
本セクションは、改正CCPAが要求する開示事項により第9.2条を補完します。
販売または共有の禁止: YesHelloは個人情報を販売しません。YesHelloは、クロスコンテキスト行動ターゲティング広告のために個人情報を共有しません。
機密個人情報: 当社は、CCPAに基づき機密と分類されるメールアドレスおよびアカウント認証情報を収集します。これらはサービスの提供のためにのみ使用し、サービスの提供に必要な範囲を超えて使用または開示しません。
保持: カテゴリー別の保持期間については第8条をご参照ください。
金銭的インセンティブ: 当社は、個人情報の提供に対して金銭的インセンティブを提供しません。
10.3 香港
当社は、個人データ(プライバシー)条例(第486章)の6つのデータ保護原則に準拠します: データはサービスに直接関連する適法な目的のために収集されます。データの正確性を確保するための実際的な措置が講じられます。データは必要以上に長く保持されません。データは、同意を得ない限り、収集された目的のためにのみ使用されます。合理的なセキュリティ対策が講じられています。当社のデータポリシーに関する情報は、本プライバシーポリシーにおいて公開されています。
10.4 オーストラリア
当社は、当社に適用が要求される範囲において、1988年プライバシー法(連邦)に基づくオーストラリアプライバシー原則に準拠します。お客様は、オーストラリア情報コミッショナー事務局(OAIC)に苦情を申し立てることができます: https://www.oaic.gov.au。
11. 児童
本サービスは、16歳未満の児童を対象としていません。当社は、16歳未満の児童から故意に個人データを収集しません。16歳未満の児童から個人データを収集したことが判明した場合、速やかに削除します。児童が当社に個人データを提供したと思われる場合は、[email protected]までお問い合わせください。
12. AIおよび自動処理
12.1 AI生成コンテンツ
AIからURL機能を使用する場合、当社はお客様が提供するURLを処理してカードコンテンツを生成します。ソースコンテンツは一時的に処理され、生成後は保持されません。生成されたコンテンツはお客様のユーザーコンテンツとなります。
12.2 自動意思決定の不使用
当社は、お客様に対して法的効果またはこれに類似する重大な効果を生じさせる自動意思決定またはプロファイリングを使用しません。
12.3 AIトレーニング
当社は、以下の場合を除き、お客様の個人データ、ユーザーコンテンツ、または訪問者データをAIまたは機械学習モデルのトレーニングに使用しません: 個人に関連付けることができない集約・匿名化されたデータを使用する場合、またはお客様から明示的な同意を得た場合。
13. 第三者リンク
お客様のカードには、第三者のウェブサイトへのリンクが含まれる場合があります。本プライバシーポリシーはそれらのウェブサイトには適用されません。当社は、それらのプライバシー慣行について責任を負いません。お客様が訪問する第三者ウェブサイトのプライバシーポリシーをお読みになることをお勧めします。
14. 本ポリシーの変更
当社は、本プライバシーポリシーを随時更新する場合があります。重要な変更については、変更が発効する少なくとも30日前にメールでお客様に通知し、サービス上に通知を掲載します。重要でない変更(修正、明確化)については、新しい「最終更新日」を付して本ページを更新します。
本プライバシーポリシーの以前のバージョンは、https://yeshello.app/page/privacy-policyでご覧いただけます。
15. お問い合わせ
本プライバシーポリシーに関するご質問、データに関する権利の行使、または苦情の申立てをご希望の場合:
Thrive Route Digital Limited 21/F CMA Building, 64 Connaught Road Central, Hong Kong メール: [email protected] 一般サポート: [email protected] ウェブサイト: https://yeshello.app