プライバシーポリシー
これは参考のために提供される翻訳です。/privacy/で公開されている英語版が法的拘束力を持つ版です。
最終更新日: 2026年3月21日
本プライバシーポリシーは、オンタリオ州(カナダ)法人でありSitetraとして事業を行うRAPID DEV GROUP INC.(以下「当社」)が、sitetra.comにおけるプラットフォームおよび関連サービス(以下総称して「本サービス」)をご利用になる際に、お客様の個人情報をどのように収集、使用、開示、および保護するかを説明します。
Sitetraはマルチテナント型ウェブサイト構築・管理プラットフォームです。当社は二重の立場で事業を運営しています。
- データ管理者: Sitetraに直接アカウントを作成するユーザー(ウェブサイト運営者、開発者、管理者)に関して。
- データ処理者: 当社の顧客(ウェブサイト運営者)が構築および運営するウェブサイトのエンドユーザーに関して。この場合、ウェブサイト運営者がデータ管理者となります。
本プライバシーポリシーの英語版(en-CA)が法的拘束力を有する正式版です。翻訳版は参考としてのみ提供されます。
本サービスを利用することにより、お客様は本プライバシーポリシーに従った情報の収集および使用に同意するものとします。同意されない場合は、本サービスを利用しないでください。
1. 収集する情報
1.1 アカウント情報
アカウント作成時に、当社は以下の情報を収集します。氏名、メールアドレス、パスワード(ハッシュ化された形式でのみ保存され、平文では保存されません)、電話番号(任意)、希望する言語/ロケール、ユーザー名。
1.2 認証およびセキュリティデータ
当社は、お客様の認証活動に関連するデータを収集します。ログインのタイムスタンプ、IPアドレス、ユーザーエージェント文字列(ブラウザ、オペレーティングシステム、デバイスを識別するために解析)、IPアドレスから導出された概略の位置情報、OAuthトークンおよびプロファイル識別子(Google、Microsoft、Facebook、またはGitHubサインインを使用する場合)、MFA設定データ、新規デバイス検出記録。
1.3 課金および支払い情報
決済処理は、Stripe、Square、PayPal、Wiseを含むサードパーティ処理業者によって行われます。当社はサーバー上に完全なクレジットカード番号を保存しません。これらの処理業者から提供されるカードの部分的な情報(下4桁やカードブランドなど)、請求先住所、取引記録を保存する場合があります。また、クレジットアカウントの残高および完全なクレジット取引履歴を管理します。
1.4 コンテンツデータ
当社は、お客様が本サービスを通じて作成およびアップロードするコンテンツを保存します。これにはウェブページ、ブログ記事、記事、FAQ、商品リスト、SKU設定および在庫データ、画像、ドキュメントおよびその他のファイルアップロード(Cloudflare R2に保存、Vultr Object Storageに冗長バックアップ)、ウェブサイトの設定、スタイル、テンプレート、デザイン設定が含まれます。
1.5 電子商取引および取引データ
ウェブサイト運営者が電子商取引機能を使用する場合、当社は以下を処理します。ショッピングカートの内容(商品、数量、価格)、チェックアウト情報(顧客名、メール、配送先および請求先住所)、注文記録(チケット番号、ステータス、支払いステータス、商品、合計、税金、割引)、クーポンの使用および引換記録、支払い方法の詳細(トークン化、下4桁のみ)、返金履歴。
1.6 CRMおよび関係データ
ウェブサイト運営者は、以下を含む顧客関係データを保存する場合があります。連絡先情報(氏名、メール、電話番号、住所)、ビジネスアカウント記録およびサブアカウント、コミュニケーション履歴(メール、メモ、タグ)、営業担当者の割り当て、関係タイプおよびカテゴリ。
1.7 予約およびブッキングデータ
予約機能が使用される場合、当社は以下を処理します。予約日、時間、時間の長さ、パーティーサイズおよび座席の希望、特別なリクエストおよびメモ、事前承認の支払い保留、予約ステータスおよび確認の詳細、レストランのテーブルおよびシフトの設定。
1.8 レビューデータ
レビュー機能が有効な場合、当社は以下を収集します。星評価およびカテゴリ評価(品質、価格、サービスなど)、書面によるレビューテキスト、レビュー写真(ファイルシステムを通じてアップロード)、レビュアーの身元(運営者の設定に応じて認証済みまたは匿名)、購入ステータスの確認。
1.9 ニュースレターおよびコミュニケーションデータ
ニュースレターおよびメールマーケティング機能について、当社は以下を処理します。サブスクライバーのメールアドレスおよび設定、セグメントの割り当ておよび購読トピック、メールプロバイダーのWebhook経由で受信するメール配信追跡データ(配信済み、バウンス、開封、クリック)、配信停止記録および同意履歴、SMS配信ステータス記録。
1.10 AIインタラクションデータ
AI搭載機能を使用する場合、当社は以下を収集します。お客様がAIサービスに提供するプロンプトおよび指示、AI生成レスポンスおよびコンテンツ、トークン使用量および推定コスト、使用されたAIモデルおよびプロバイダー、セッション識別子および会話履歴、運営者が送信するビジネスコンテキストデータ(トーン/スタイルガイドライン、ビジネス説明)。
1.11 音声データ
音声テキスト変換機能を使用する場合、音声録音はOpenAI Whisper API(外部処理)またはSpeaches(セルフホスト、オンプレミス処理)を通じて処理されます。音声データは文字起こしのためにのみ使用され、処理完了後は保持されません。
1.12 本人確認データ
ウェブサイト運営者の要請により本人確認が行われる場合、IDenfyは以下を処理する場合があります。顔認証スキャン、政府発行の身分証明書の画像および抽出データ(氏名、生年月日、性別、書類の種類、書類番号)、確認ステータス(待機中、メール送信済み、承認、要確認)、AMLスクリーニング結果、住所証明書類。生体データ(顔認証)はIDenfyによって処理されます。Sitetraは確認結果および抽出された個人データを保存しますが、生の生体データは保存しません。
1.13 アナリティクスおよびトラッキングデータ
当社は以下を含むウェブサイト使用データを収集します。ページビューおよびナビゲーションパス、セッション識別子および期間、ブラウザフィンガープリント(FingerprintJSによる。セキュリティおよび匿名カート識別に使用され、広告には使用されません)、デバイスの種類および画面情報、リファラーURL、ロケール/言語設定。
1.14 ファイルアップロードデータ
アップロードされたファイルについて、当社は以下を保存します。ファイル名、サイズ、MIMEタイプ、パブリック/プライベートアクセスの指定、関連するメタデータおよびタグ、特殊ファイルタイプ(アイコン、ロゴ、カバー)、ウイルススキャン結果。
1.15 ドメイン登録データ
本サービスを通じてドメインを登録する場合、WHOISの登録データはEasyDNSまたはCloudflare Registrarを通じて処理されます。ドメイン登録規制およびICANNポリシーの要件に従い、お客様の氏名、組織、住所、メール、電話番号が含まれる場合があります。
1.16 プッシュ通知データ
プッシュ通知を有効にした場合、当社はお客様のデバイスに通知を配信するために必要なデバイストークン(エンドポイントおよび暗号化キー)を保存します。
1.17 市場および金融データ
貴金属機能を使用するウェブサイトについて、当社は以下を処理します。リアルタイム価格フィードデータ(金、銀、プラチナ、パラジウムの買値/売値)、ロンドンフィックス日次決済価格、過去の価格チャートデータ、コモディティ市場ニュース。
2. お客様の情報の利用方法
当社は、収集した情報を以下の目的で使用します。
- サービス運営: ウェブサイト構築、コンテンツ管理、ホスティング、マルチテナントインフラストラクチャを含む、Sitetraプラットフォームの提供、維持、改善。
- AIコンテンツ生成: サードパーティAIプロバイダーを使用した、コンテンツ作成、翻訳、SEO最適化、ウェブサイト構築、音声テキスト変換、画像分析などのAI支援機能の駆動。
- 電子商取引処理: ウェブサイト運営者に代わっての、商品管理、ショッピングカート機能、注文処理、決済調整、クーポン管理、在庫追跡の支援。
- 予約管理: ウェブサイト運営者に代わっての、予約、ブッキング、アポイントメント、カレンダー同期の処理。
- 本人確認: IDenfyを使用した、ウェブサイト運営者の要請によるKYC/AML確認の支援。
- ストック画像ライセンス: Shutterstockからのストック画像の検索、プレビュー、ライセンス、配信。
- ドメイン管理: EasyDNSまたはCloudflare Registrarを通じたドメイン名の登録、更新、監視、管理。
- セキュリティ: ClamAVマルウェアスキャン、MFA(多要素認証)、不正検出のためのブラウザフィンガープリンティング、レート制限、認証ログ、IPベースの位置情報を通じたアカウントおよびプラットフォームの保護。
- 課金および支払い: 支払いの処理、クレジットアカウントの管理、自動チャージの処理、月額ウェブサイト課金の処理、財務記録の維持。
- トランザクションコミュニケーション: アカウント確認、パスワードリセット、課金通知、セキュリティアラート、注文確認、予約確認、カート放棄回復メールを含む、サービス関連のメールおよびSMSメッセージの送信。
- ニュースレター配信: ウェブサイト運営者に代わって、購読中の受信者へのマーケティングニュースレターおよびメールキャンペーンの送信。
- プッシュ通知: 課金アラート、注文通知、予約確認、レビュー通知、その他のリアルタイム通知の配信。
- アナリティクス: ページビューおよびイベントを日次および月次サマリーに集約し、ウェブサイト運営者にトラフィックおよび利用状況のインサイトを提供。
- カレンダー同期: CalDAVプロトコルを通じた、外部カレンダーサービスとの予約およびイベントデータの同期。
- サービス改善: 機能、パフォーマンス、ユーザーエクスペリエンスを改善するための匿名化された集約利用データの分析。
- 法的コンプライアンス: 適用法、規制、および法的手続きの遵守。
3. お客様の情報の共有方法
当社はお客様の個人情報を販売しません。
当社は、本サービスの提供およびセキュリティ確保に必要な場合にのみ、以下のカテゴリのサードパーティと情報を共有します。
3.1 AIサービスプロバイダー
- Anthropic(Claude): AI生成のためのコンテンツプロンプトおよびコンテキストデータ。
- OpenAI: AI生成および音声テキスト変換のためのコンテンツプロンプト、コンテキストデータ、音声データ。
- Google(Gemini): AI生成のためのコンテンツプロンプトおよびコンテキストデータ。
- Ollama(セルフホスト): データは当社のインフラストラクチャ上にとどまり、外部に送信されません。
3.2 決済処理業者
Stripe、Square、PayPal、Wiseによる決済処理、サブスクリプション、送金。
3.3 コミュニケーションプロバイダー
PostmarkおよびMailgunによるメール配信(配信ステータス追跡を含む)。VoIP.msによるSMS配信。
3.4 ドメインレジストラ
EasyDNSおよびCloudflare Registrarによるドメイン登録、更新、DNS管理。
3.5 ストック画像プロバイダー
Shutterstockによるストック画像の検索クエリおよび画像ライセンス。
3.6 本人確認
IDenfyによるKYC/KYB/AML本人確認、顔認証、書類確認。
3.7 インフラストラクチャプロバイダー
CloudflareによるCDN、DNS、ウェブアプリケーションファイアウォール、DDoS防御、ファイルストレージ(R2)。Vultr:冗長バックアップファイルストレージ(ニューヨーク、米国)。
3.8 アナリティクス
Google Analytics(ウェブサイト運営者が個々のウェブサイトで有効にした場合のみ)。
3.9 OAuth/認証プロバイダー
Google、Microsoft、Facebook、GitHubによるソーシャルログイン認証(これらのプロバイダーを通じて認証することを選択した場合のみ)。
3.10 ウェブサイト運営者
ウェブサイト運営者は、プラットフォームの管理インターフェースおよびAPIを通じて、自身の顧客データを受け取ります。ウェブサイト横断アクセス権を持つビルダー(ビルダー割り当てシステムによる)は、割り当てられたウェブサイト全体のデータを閲覧できます。
3.11 法的要件
法律、裁判所命令、召喚状、または有効な法的手続きにより求められた場合、または法的義務を遵守するため、RAPID DEV GROUP INC.の権利もしくは財産を保護・防衛するため、起こりうる不正行為を防止もしくは調査するため、ユーザーもしくは公衆の安全を保護するために必要であると誠実に判断する場合、当社はお客様の情報を開示する場合があります。
3.12 事業譲渡
合併、買収、組織再編、または資産売却の場合、お客様の個人情報はその取引の一部として移転される場合があります。お客様の情報が異なるプライバシーポリシーの対象となる前に、メールまたは本サービス上の目立つ通知を通じてお客様に通知します。
4. データの保管とセキュリティ
当社は、お客様の個人情報を保護するために適切な技術的および組織的措置を講じています。
- 所在地: 当社の主要インフラストラクチャはカナダ(オンタリオ州)に所在しています。Cloudflare R2上のファイルストレージはグローバルに分散される場合があります。冗長ファイルバックアップは米国(ニューヨーク)のVultr Object Storageに保存されます。
- データベース: データはUUID主キーおよびデータ型検証が適用されたPostgreSQLに保存されます。
- マルチテナント分離: データはwebsiteIdベースのアーキテクチャを使用してウェブサイト間で論理的に分離されます。各ウェブサイトのデータは分離されており、他のテナントがアクセスすることはできません。
- 転送時の暗号化: お客様のデバイスと当社サーバー間で送信されるすべてのデータは、TLS/HTTPSを使用して暗号化されます。
- パスワードセキュリティ: パスワードは業界標準のbcryptハッシュを使用して保存されます。平文のパスワードは一切保存しません。
- API認証情報のセキュリティ: ウェブサイトごとの設定に保存されるサードパーティAPIキーおよびWebhookシークレットは、保存時に暗号化されます。
- MFA(多要素認証): MFAはすべてのアカウントで利用可能であり、開発者レベルのウェブサイト横断アクセスには必須です。
- マルウェアスキャン: アップロードされたすべてのファイルはClamAVを使用してスキャンされます。
- 認証: APIアクセスは、設定可能な有効期限を持つJWT(JSON Web Token)認証によって保護されます。
- レート制限: 濫用を防止するために、認証エンドポイント、AI処理、一般APIアクセスにレート制限が適用されます。
- CORS: ウェブサイトのドメインに基づいてCORS(Cross-Origin Resource Sharing)制限が適用されます。
- ソフトデリートアーキテクチャ: 削除された記録は、永久削除の前にまずソフトデリート(削除タイムスタンプでマーク)され、復旧期間を提供します。
当社はお客様の個人情報を保護するために商業的に許容される手段を使用するよう努めていますが、インターネットを通じた伝送方法または電子的保存方法で100%安全なものはありません。絶対的なセキュリティを保証することはできません。
5. データの保持
| データカテゴリ | 保持期間 |
|---|---|
| アクティブなアカウントデータ | アクティブなアカウントの存続期間 |
| 削除されたアカウント/ウェブサイトデータ | 削除後90日間、その後永久に削除 |
| 課金およびクレジット取引記録 | 無期限に保持(不変の財務記録)。カナダの税法の要件により最低7年間 |
| 認証ログ | ウェブサイトごとに設定可能。デフォルトのセッション有効期間が適用 |
| メール配信履歴 | ウェブサイトの存続期間中保持 |
| SMS配信履歴 | ウェブサイトの存続期間中保持 |
| エラーログ | ウェブサイトの存続期間中保持 |
| 生のアナリティクスデータ(ページビュー) | 日次サマリーに集約、生データは毎晩クリーンアップ |
| 日次アナリティクスサマリー | 13か月間、その後月次サマリーに集約 |
| 月次アナリティクスサマリー | 無期限に保持 |
| IP位置情報キャッシュ | 関連する記録が存在する限り保持 |
| AIセッションおよび利用データ | ウェブサイトの存続期間中保持 |
| 本人確認データ | 運営者の要件および適用されるKYC/AML規制に従って保持 |
| 予約/ブッキング記録 | ウェブサイトの存続期間中保持 |
| 放棄されたショッピングカート | 運営者が設定したアイドル期間後に毎晩クリーンアップ |
| キャンセルされたサブスクリプション記録 | 90日後にソフトデリート |
| 未確認ユーザーアカウント | 有効期限後に毎晩クリーンアップ |
| 停止されたウェブサイトデータ(孤立ドメインあり) | ドメインが孤立してから90日後 |
| 匿名化および集約データ | アナリティクスおよびサービス改善のため無期限に保持 |
運営者は、法的保全および規制要件に従い、ウェブサイトデータの早期削除を要請できます。
6. お客様の権利と選択肢
6.1 すべてのユーザー
お客様の所在地にかかわらず、以下の権利を有します。
- アクセス: 当社が保有するお客様の個人情報のコピーを要請すること。
- 訂正: 不正確または不完全な情報の訂正を要請すること。
- 削除: お客様の個人情報の削除を要請すること。
- ポータビリティ: 構造化され、一般的に使用される、機械読み取り可能な形式(JSON)でデータを要請すること。
- オプトアウト: いつでも非必須のマーケティングコミュニケーションからオプトアウトすること。
- ニュースレターの配信停止: すべてのマーケティングメールには有効な配信停止リンクが含まれています。
- プッシュ通知の制御: ブラウザまたはデバイスの設定を通じていつでもプッシュ通知の許可を取り消すこと。
- アカウント削除: アカウントおよび関連データの完全な削除を要請すること。
6.2 カナダ居住者(PIPEDA)
PIPEDA(個人情報保護および電子文書法)に基づき、お客様は以下の権利を有します。当社が保有するお客様の個人情報にアクセスすること、情報の正確性および完全性に異議を申し立て修正させること、法的または契約上の制約に従い、情報の収集、使用、開示に対する同意を撤回すること。
当社は30日以内にアクセス要請に対応します。当社の対応にご満足いただけない場合は、カナダプライバシーコミッショナー事務局に苦情を申し立てることができます。
6.3 欧州居住者(GDPR)
お客様が欧州連合または欧州経済領域に所在する場合、GDPR(一般データ保護規則)に基づき以下の追加的権利を有します。
- アクセス権(第15条): 当社がお客様のデータを処理しているかどうかの確認を得、コピーを要請すること。
- 訂正権(第16条): 不正確な個人データの訂正を受けること。
- 消去権(第17条): お客様の個人データの削除を要請すること(「忘れられる権利」)。
- 制限権(第18条): 特定の状況において処理の制限を要請すること。
- データポータビリティ権(第20条): 構造化された、機械読み取り可能な形式でデータを受け取ること。
- 異議申立権(第21条): 正当な利益に基づく処理またはダイレクトマーケティングに対して異議を申し立てること。
- 同意撤回権: 同意に基づく処理の場合、いつでも同意を撤回すること。
当社は30日以内にGDPR要請に対応します。お客様は、所在地のデータ保護当局に苦情を申し立てる権利も有します。
6.4 カリフォルニア州居住者(CCPA)
お客様がカリフォルニア州居住者である場合、CCPA(カリフォルニア州消費者プライバシー法)に基づき以下の権利を有します。
- 知る権利: 当社が収集した個人情報のカテゴリおよび具体的な情報についての開示を要請すること。
- 削除する権利: お客様の個人情報の削除を要請すること。
- 販売のオプトアウト権: 当社は個人情報を販売しないため、この権利は適用されません。
- 差別を受けない権利: プライバシー権の行使により差別的な取り扱いを受けないこと。
当社は45日以内にCCPA要請に対応します。
6.5 運営者ウェブサイトのエンドユーザー
Sitetraプラットフォーム上で運営されているウェブサイトのエンドユーザーの方は、お客様の情報のデータ管理者であるウェブサイト運営者にまずプライバシー要請を行ってください。運営者に連絡できない場合、または要請が解決されない場合は、Sitetraにお問い合わせいただければ、可能な範囲で支援いたします。
7. 国際的なデータ転送
RAPID DEV GROUP INC.はカナダのオンタリオ州に拠点を置いています。お客様の情報は、サードパーティサービスプロバイダーを通じて、お客様の居住国以外の国に移転され処理される場合があります。
主なデータ移転先は以下のとおりです。
- 米国: AIプロバイダー(Anthropic、OpenAI、Google)、決済処理業者(Stripe、Square、PayPal)、メールプロバイダー(Postmark、Mailgun)、ストック画像(Shutterstock)、本人確認(IDenfy)。
- カナダ: 主要インフラストラクチャおよびデータベース。
- グローバル分散: Cloudflare CDNおよびファイルストレージ(R2)。Vultr Object Storage:冗長ファイルバックアップ(ニューヨーク)。
カナダは欧州委員会から十分性認定を受けており、カナダのデータ保護法はEU/EEAから移転される個人データに対して十分なレベルの保護を提供するものとして認められています。
十分性認定がない米国およびその他の管轄区域への移転については、当社は標準契約条項(SCC)またはその他の適用法が要求する適切な保護措置に依拠します。
Ollamaを通じたAI処理およびSpeachesを通じた音声テキスト変換では、データはカナダにある当社のインフラストラクチャ上にとどまり、サーバーの外に出ることはありません。
本サービスを利用することにより、お客様は本プライバシーポリシーに記載されたとおり、カナダおよびその他の国へのお客様の情報の移転に同意するものとします。
8. 子供のプライバシー
本サービスは、16歳未満の方の使用を意図していません。当社は16歳未満の児童から故意に個人情報を収集することはありません。16歳未満の児童から個人情報を収集したことが判明した場合、当社は速やかにその情報を削除するための措置を講じます。
児童がアクセスする可能性のあるウェブサイトを作成するウェブサイト運営者は、COPPA(児童オンラインプライバシー保護法)およびその管轄区域で適用されるその他の児童プライバシー法への準拠を確保する責任を負います。
16歳未満の児童から情報を収集した可能性があると思われる場合は、直ちに当社にお問い合わせください。
9. Cookieとトラッキング技術
| 種類 | 目的 | 詳細 |
|---|---|---|
| 必須Cookie | 認証およびセッション管理 | JWTセッショントークン、CSRF保護。本サービスの機能に必要です。 |
| カートCookie | ショッピングカートの識別 | 匿名のショッピングカート追跡のためのCookieベースの識別子。アカウントを作成する前に訪問者がカートを維持できるようにします。 |
| 同意Cookie | ユーザー設定の保存 | お客様のCookie同意の選択を記録し、訪問をまたいで記憶されるようにします。 |
| セキュリティ | 不正防止およびアカウント保護 | FingerprintJSによるブラウザフィンガープリンティング。セキュリティおよびアナリティクス用。広告には使用されません。 |
| アナリティクス(任意) | ウェブサイトトラフィック分析 | Google Analytics。ウェブサイト運営者が有効にした場合にのみ使用されます。 |
当社は、広告Cookieまたはクロスサイトトラッキングcookieを使用しません。
同意モード
プラットフォームは、運営者がウェブサイトごとに設定可能な3つの同意モードをサポートしています。
- 通知: Cookieの使用に関する情報バナーを表示します。
- 管轄区域: 管轄区域に基づくデフォルトの同意設定を適用します。
- 完全: 非必須Cookieが設定される前に明示的なオプトイン同意を要求します。
10. ウェブサイト運営者(データ処理)
Sitetraは、ウェブサイト運営者が独自のウェブサイトを構築および管理するためのプラットフォームとして機能します。この文脈において:
10.1 役割と責任
- ウェブサイト運営者は、自身のエンドユーザーおよび顧客の個人情報のデータ管理者です。
- Sitetraは、ウェブサイト運営者に代わり、その指示に基づいてデータを処理するデータ処理者として機能します。
10.2 運営者の義務
ウェブサイト運営者は、以下について責任を負います。
- 適用法に準拠する独自のプライバシーポリシーを維持すること。
- データ収集および処理についてエンドユーザーから必要な同意を取得すること。
- 顧客からのデータ主体の要求に対応すること。
- 顧客のデータを処理するための適法な根拠を決定すること。
- プラットフォーム機能(メールマーケティング、レビュー、アナリティクス)の使用が適用プライバシー法およびスパム対策法に準拠していることを確保すること。
10.3 自動処理
Sitetraは、運営者に代わって以下の自動処理を実行します。カート放棄回復メール、レビューリクエストメール、サブスクリプション課金、予約確認、ニュースレター配信、ウェブサイト課金、スケジュールされたデータクリーンアップ。
10.4 データ分離
すべてのデータはwebsiteIdによって分離されています。あるウェブサイト運営者は、別の運営者のエンドユーザーのデータにアクセスすることはできません。ウェブサイト横断アクセス権を持つビルダーは、特定的に割り当てられたウェブサイトのデータのみを閲覧できます。
10.5 復処理者
当社の復処理者は、本プライバシーポリシーの第18条に記載されています。ウェブサイト運営者は、該当する場合、このリストを自身のプライバシーポリシーで参照する必要があります。
10.6 データ処理契約
GDPRまたはその他の規制コンプライアンスのためにデータ処理契約(DPA)を必要とする運営者は、要請に応じてご利用いただけます。
10.7 データ削除
ウェブサイトが削除された場合、関連するすべてのデータ(エンドユーザーデータを含む)は、90日間の保持期間の後に永久に削除されます。
11. AI固有のデータ慣行
当社のプラットフォームは、複数のAIプロバイダーと統合されています。各プロバイダーにおけるデータの取り扱いは以下のとおりです。
- Anthropic(Claude): テキストプロンプト、コンテンツコンテキスト、ビジネスガイドライン、既存のサイトコンテンツがAnthropicのAPIに送信されます。Anthropicのデータ取り扱いは、そのプライバシーポリシーおよび利用規約に準拠します。
- OpenAI: テキストプロンプト、コンテンツコンテキスト、音声データ(Whisperによる音声テキスト変換用)がOpenAIのAPIに送信されます。視覚分析(ロゴ分析、画像分類)のために画像データが送信される場合があります。OpenAIのデータ取り扱いは、そのプライバシーポリシーおよび利用規約に準拠します。
- Google(Gemini): テキストプロンプトおよびコンテンツコンテキストがGoogleのGemini APIに送信されます。Googleのデータ取り扱いは、そのプライバシーポリシーおよび利用規約に準拠します。
- Ollama(セルフホスト): テキストプロンプトは完全に当社のインフラストラクチャ上で処理されます。外部サーバーにデータは送信されません。
- Speaches(セルフホスト): 音声テキスト変換用の音声データは完全に当社のインフラストラクチャ上で処理されます。外部サーバーにデータは送信されません。
AI使用ログ
各AIインタラクションについて、当社は以下をログに記録します。使用されたAIプロバイダーおよびモデル、トークンの入力/出力数、推定クレジットコスト、セッション識別子、関連するウェブサイト。このデータは、課金、利用分析、サービス改善に使用されます。
AIコンテキストデータ
コンテンツ生成時に、AIは以下を受け取る場合があります。お客様のウェブサイトの名前、説明、ビジネスコンテキスト、運営者が設定したトーン/スタイルガイドライン、お客様のウェブサイトの既存コンテンツ(コンテキストに基づく生成用)、参考ウェブサイトデータ(参考URLが提供された場合)、ストック画像の検索クエリ。
重要: AIプロンプトには機密性の高い個人情報(政府の識別番号、金融口座番号、健康情報など)を送信しないようにしてください。当社はセキュリティ対策を実施していますが、AIプロンプトは上記のとおりサードパーティプロバイダーに送信されます。
12. 本人確認データの取り扱い
ウェブサイト運営者が本人確認を有効にした場合、以下のデータ慣行が適用されます。
12.1 データフロー
ユーザーはIDenfyの確認インターフェースを通じて本人確認書類を提出します。IDenfyが書類を処理し、安全なWebhookを通じて確認結果をSitetraに送信します。Sitetraは確認結果および抽出された個人データを保存します。
12.2 生体データ
顔認証処理はIDenfyによって行われます。Sitetraは生の生体データ(顔認証テンプレート)を保存しません。当社は確認結果および抽出された個人情報(氏名、生年月日、書類の詳細)のみを保存します。
12.3 保存されるデータ
各確認について、当社は以下を保存します。確認の種類(KYC、KYB、POA、AML)、確認ステータス(待機中、メール送信済み、承認、要確認)、抽出された個人情報(氏名、生年月日、性別、書類の種類、書類番号)、プロバイダーの応答メタデータ、確認のタイムスタンプ。
12.4 保持
確認データは、関連するユーザーアカウントが存在する限り、または適用されるKYC/AML規制の要件に従って保持されます。運営者およびユーザーは、規制要件に従い、確認データの削除を要請できます。
12.5 アクセス
ユーザーは、ウェブサイト運営者を通じて、またはSitetraに直接連絡することにより、自身の確認記録へのアクセスを要請できます。確認ステータスは、管理インターフェースを通じてウェブサイト運営者に表示されます。
13. 自動化された意思決定
GDPR第22条に準拠して、当社は以下の自動意思決定プロセスを開示します。
- AIコンテンツ生成: AIはプロンプトおよびコンテキストに基づいてコンテンツを生成します。これには自動処理が含まれますが、個人に対する法的効果を持つ決定は行われません。すべてのAI生成コンテンツは公開前に人間によってレビューされます。
- 本人確認: 確認結果はIDenfyの自動システムによって生成されます。これらの結果は参考情報にすぎません。アカウントの承認または制限に関する最終決定は、ウェブサイト運営者(人間の意思決定者)によって行われます。
- クレジット残高チェック: ユーザーのクレジット残高がゼロ以下に達すると、操作が自動的にブロックされます。ユーザーは追加クレジットを購入することにより、直ちにこれを解決できます。
- レート制限: レート制限を超過すると、APIリクエストが自動的にスロットリングされます。レート制限ウィンドウがリセットされるまで待つことで解決されます。
- ウェブサイトの停止: 未払い30日後にウェブサイトが自動的に停止されます。これは0日目と15日目に警告を伴う文書化されたタイムラインに従い、十分なクレジットを追加することで元に戻すことができます。
- レビューの自動承認: 運営者が有効にした場合、レビューは手動モデレーションなしに自動的に公開される場合があります。これは運営者の設定上の選択です。
お客様は、お客様に重大な影響を与える自動決定について、人間によるレビューを要請する権利を有します。レビューを要請するには、当社またはウェブサイト運営者にお問い合わせください。
14. データ侵害の通知
個人の権利および自由にリスクをもたらす可能性が高い個人データの侵害が発生した場合、Sitetraは以下を行います。
- 影響を受けるウェブサイト運営者に、侵害を認識してから72時間以内に通知します(GDPR第33条に準拠)。
- 運営者がエンドユーザーおよび関連当局への通知義務を果たすことを支援します。
- 侵害がカナダの個人情報を含み、PIPEDAの報告基準を満たす場合、カナダプライバシーコミッショナー事務局に報告します。
侵害通知の内容
侵害通知には以下が含まれます。侵害の性質、影響を受けるデータのカテゴリ、影響を受ける記録の概数、侵害に対処するために講じたまたは提案された措置、さらなるお問い合わせのための連絡先情報。
インシデント対応
Sitetraは、侵害の調査および対応を支援するため、包括的な認証ログ、エラーログ、IP位置情報追跡、Webhookイベント記録を含むインシデント対応手順を維持しています。
15. 処理の法的根拠
GDPR第6条に基づき、当社は以下の適法な根拠に基づいて個人データを処理します。
| 適法な根拠 | 処理活動 |
|---|---|
| 契約の履行 | アカウント管理、ウェブサイトホスティング、クレジット課金、決済処理、ドメイン登録、および利用規約に合意されたとおりのプラットフォーム提供に必要なその他のサービス。 |
| 正当な利益 | セキュリティログ(認証ログ、エラーログ、レート制限)、アナリティクスの集約、不正防止、セキュリティのためのブラウザフィンガープリンティング、匿名化された利用データに基づくプラットフォーム改善。 |
| 同意 | ニュースレターの購読、プッシュ通知、Cookieトラッキング(「完全」同意モードの場合)、任意のGoogle Analytics、OAuthソーシャルログイン。 |
| 法的義務 | 適用されるKYC/AML法で要求される場合の本人確認、カナダ税法で要求される財務記録の保持、有効な法的手続きに応じたデータ開示。 |
| 運営者の指示 | ウェブサイト運営者の文書化された指示に基づくデータ処理者としての、エンドユーザーデータ(CRM、電子商取引、予約、レビュー、ニュースレター)の処理。 |
16. プッシュ通知
16.1 オプトイン要件
プッシュ通知には、ブラウザまたはデバイスの明示的な許可が必要です。プッシュ通知が送信される前に、許可を付与するよう求められます。当社はお客様の同意なしにプッシュ通知を送信することはありません。
16.2 通知の種類
プッシュ通知には以下が含まれる場合があります。課金アラート(残高不足、クレジット不足、自動チャージの確認)、注文および支払い通知、予約の確認およびリマインダー、レビュー通知、ウェブサイト運営者が設定するその他の運用通知。
16.3 保存されるデータ
プッシュ通知を購読すると、当社はプッシュ購読エンドポイントおよび関連する暗号化キーを保存します。このデータはユーザーごと、デバイスごとに保存されます。
16.4 取り消し
ブラウザまたはデバイスの設定からいつでもプッシュ通知の許可を取り消すことができます。許可を取り消すと、すべてのプッシュ通知が直ちに停止されます。アカウント設定を通じて特定の通知タイプの購読を解除することもできます。
17. アクティビティログと監査証跡
プラットフォームは、セキュリティ、デバッグ、コンプライアンス、紛争解決のために各種ログを維持しています。
- 認証ログ: すべてのログイン試行(成功および失敗)は、IPアドレス、ユーザーエージェント、概略の位置情報とともに記録されます。
- エラーログ: アプリケーションエラーは、サービス名、メソッド、関連するデータコンテキスト(機密データは編集済み)とともに記録されます。
- メール配信追跡: メール送信ステータス(配信済み、バウンス、苦情、開封、クリック)は、メールプロバイダーからのWebhook経由で追跡されます。
- SMS配信追跡: SMS配信ステータスおよび返信は、VoIP.msからのWebhook経由で追跡されます。
- クレジット取引履歴: すべてのクレジット取引は、取引タイプ、金額、取引前後の残高、関連するメタデータを含む不変の記録です。
- 在庫ログ: 在庫の移動(入庫、出庫、ロック、調整、同期、取り寄せ注文)は、変更前後の数量とともに記録されます。
- アクティビティログ: 管理インターフェース内のユーザーアクションは、監査証跡の目的でログに記録される場合があります。
- Webhookイベントログ: 決済処理業者、メールプロバイダー、その他のサービスからの受信Webhookイベントは、デバッグおよび照合のためにログに記録されます。
ウェブサイト運営者は、管理インターフェースを通じて自身のウェブサイトの関連ログを閲覧できます。
18. 復処理者一覧
以下の表は、当社の現在の復処理者を一覧にしたものです。このリストに重要な変更がある場合、ウェブサイト運営者に通知します。
| 復処理者 | 目的 | 処理されるデータ | 所在地 |
|---|---|---|---|
| Anthropic | AIテキスト生成(Claude) | プロンプト、コンテンツコンテキスト | 米国 |
| OpenAI | AIテキスト生成、音声テキスト変換、画像認識 | プロンプト、音声、画像 | 米国 |
| AIテキスト生成(Gemini)、アナリティクス | プロンプト、ウェブサイトアナリティクス | 米国 | |
| Stripe | 決済処理 | 支払い詳細、課金情報 | 米国 |
| Square | 決済処理、POS | 支払い詳細、課金情報 | 米国 |
| PayPal | 決済処理 | 支払い詳細、課金情報 | 米国 |
| Wise | 送金 | 支払い詳細、課金情報 | 英国 |
| Postmark | メール配信 | メールアドレス、メールコンテンツ | 米国 |
| Mailgun | メール配信 | メールアドレス、メールコンテンツ | 米国 |
| VoIP.ms | SMSメッセージング | 電話番号、メッセージコンテンツ | カナダ |
| Shutterstock | ストック画像ライセンス | 検索クエリ | 米国 |
| IDenfy | 本人確認(KYC/AML) | 身分証明書、顔画像、個人データ | リトアニア / EU |
| EasyDNS | ドメイン登録 | WHOISデータ、ドメイン設定 | カナダ |
| Cloudflare | CDN、DNS、ストレージ、ドメイン登録 | ウェブトラフィック、ファイル、ドメイン設定 | グローバル |
| Microsoft | OAuth認証 | 認証トークン、プロファイル情報 | 米国 |
| Facebook (Meta) | OAuth認証 | 認証トークン、プロファイル情報 | 米国 |
| GitHub | OAuth認証 | 認証トークン、プロファイル情報 | 米国 |
注記: Ollama(AI)およびSpeaches(音声テキスト変換)は当社のインフラストラクチャ上で稼働しており、外部の復処理者ではありません。
19. 本プライバシーポリシーの変更
当社は、本プライバシーポリシーを随時更新する場合があります。重要な変更がある場合、更新されたポリシーを本サービス上に掲載し、「最終更新日」を更新することにより通知します。法律で要求される場合、変更の発効前に少なくとも30日前に通知します。
変更の発効後も本サービスを継続して利用することにより、改訂されたプライバシーポリシーを承認したものとみなされます。
Sitetraの利用は、本プライバシーポリシーに参照により組み込まれる利用規約にも準拠します。
20. お問い合わせ
本プライバシーポリシーまたは当社のデータ慣行についてご質問、懸念、要請がある場合は、以下までお問い合わせください。
RAPID DEV GROUP INC.
Sitetraとして運営
カナダ、オンタリオ州
プライバシーに関するお問い合わせ: privacy@sitetra.com
一般的なお問い合わせ: support@sitetra.com
法務および法執行機関: legal@sitetra.com
特定の管轄区域に関するプライバシーの苦情またはお問い合わせ:
- カナダ: カナダプライバシーコミッショナー事務局(www.priv.gc.ca)
- 欧州連合: お住まいの地域のデータ保護当局にお問い合わせください
- カリフォルニア州: カリフォルニア州司法長官事務局