プライバシーポリシー

Last updated: 2026-05-21

GiBSeS OÜ(以下「GiBSeS」「当社」)は、EU 規則 2016/679(GDPR)、エストニア個人データ保護法(Isikuandmete kaitse seadus)および適用法に基づき、お客様の個人データを保護します。本ポリシーでは、当社が収集するデータの種類、目的、利用方法、保持期間、およびお客様が行使できる権利について説明します。

1. データ管理者

GiBSeS OÜ — エストニア登録番号 17231761、登記上の事務所 Juhkentali tn 8, Kesklinna linnaosa, 10132 Tallinn, Estonia。メール: info@gibses.com。電話: +372 537 05283。データ保護に関するご請求は: legal@gibses.com。現時点で GDPR 第37条に基づき必須となるデータ保護責任者(DPO)は任命されておらず、ご請求は当社の法定代表者が対応します。

2. 処理するデータの種類

識別および連絡先データ: 氏名、メールアドレス、請求先住所、該当する場合は事業者顧客の会社名および VAT 番号。取引データ: 注文履歴、請求書、決済メタデータ。注: カード情報の完全データは当社のサーバーを通過せず、保存もされません — Stripe Payments Europe Ltd によって直接処理されます。利用データ: IP アドレス、ユーザーエージェント、ブラウザロケール、訪問ページ、プライバシーに配慮した分析ツールを用いて。コミュニケーションデータ: サポートリクエスト、メールでの会話、マーケティング設定。アフィリエイトデータ(該当する場合): アフィリエイトコード、コミッション支払用 IBAN、税務書類(請求書/領収書)、活動およびクリックレポート。

3. 目的と法的根拠

契約履行(GDPR 第6条1項b): アカウント管理、注文履行、請求、SaaS サービス(RADAR、ECHO、MAIKE)の提供、アフィリエイトプログラムの管理、カスタマーサポート。法的義務(第6条1項c): 会計および税務記録の保管(エストニア会計法第12条により7年)、不正防止、必要に応じた AML/KYC。正当な利益(第6条1項f): システムセキュリティおよび悪用監視、サービス改善、紛争処理、サービス通信。legal@gibses.com に書面で異議を申し立てることができます。同意(第6条1項a): ニュースレターおよびマーケティングコミュニケーション、分析および必須でない Cookie。同意はいつでも撤回可能であり、撤回前に実施された処理の適法性には影響しません。

4. 保持期間

アカウントデータ: 契約関係の期間中およびキャンセル後30日間(バックアップ復旧)、その後匿名化。請求書および税務記録: 会計年度終了から7年(エストニア会計法)。アフィリエイトデータおよびコミッション: 関係の期間中および終了後10年(時効期間+税務目的)。マーケティング同意ログ: 撤回まで、その後証拠目的で5年。サーバーおよびセキュリティログ: 90日。分析データ: 集約および仮名化、生イベント30日。サポート会話データ: チケット終了から24か月。

5. 受領者および処理者

サービス提供のため、契約により拘束される以下の処理者を利用しています(GDPR 第28条): • Stripe Payments Europe Ltd(アイルランド)— 決済処理。 • Resend, Inc.(米国)— 取引メール送信 — EU 標準契約条項に基づく転送。 • Contabo GmbH(ドイツ)— インフラホスティング。 • グループのオフィスおよびコラボレーションプロバイダー(例: Google Workspace)該当する場合。お客様の個人データを第三者に販売または賃貸することはありません。公的機関へのデータ開示は、適法な命令に応じ、法律の範囲内でのみ行います。

6. EU 外への転送

一部の処理者(例: Stripe、Resend)は、欧州経済地域外でデータを処理することがあります。これらの転送は GDPR 第44-49条に準拠し、EU 委員会が採択した標準契約条項(決定 2021/914)、十分性決定、または必要に応じた補完的措置によりカバーされます。保障措置の写しは legal@gibses.com への請求に応じて提供します。

7. データ主体の権利

お客様には以下の権利があります: a) 個人データへのアクセス(第15条); b) 不正確なデータの訂正(第16条); c) 消去/忘れられる権利(第17条); d) 処理の制限(第18条); e) データポータビリティ(第20条); f) 処理への異議申し立て(第21条)、ダイレクトマーケティングを含む; g) いつでも同意を撤回する(第7条3項); h) 第22条に基づく自動化された決定を受けない; i) 管轄の監督機関に苦情を申し立てる: エストニアでは Andmekaitse Inspektsioon(www.aki.ee)、または EU 加盟国の居住地、勤務地、もしくは申し立てられた侵害の発生地の当局。権利行使には legal@gibses.com にご連絡ください。請求から30日以内に応答します(複雑な請求の場合、理由を付した通知をもって追加で60日延長可能)。

8. 自動化された決定およびプロファイリング

当社は、GDPR 第22条に基づきデータ主体に対し法的効果を生じる、または重大に影響する自動化された意思決定プロセスは使用しません。事業者顧客に提供する SaaS ツール(RADAR、ECHO、MAIKE)には AI コンポーネントが含まれる場合がありますが、これらはサービス契約および顧客 DPA により規律され、本通知の対象ではありません。

9. セキュリティ

GDPR 第32条に基づき適切な技術的および組織的措置を講じています。これには以下が含まれます: TLS 1.3 暗号化転送、機密データの保存時暗号化、パスワードのハッシュ化(bcrypt、argon2id への移行を予定)、ロールベースのアクセス制御、重要な操作(返金、ライセンス取消、アカウント削除)の監査ログ、定期バックアップ、環境分離、変更時のコードおよびセキュリティレビュー、継続的なモニタリング。完全に侵入不可能なシステムはありません: お客様の権利にリスクが及ぶ侵害が発生した場合、GDPR 第33-34条に基づき72時間以内にお客様および当局に通知します。

10. 未成年者

当社のサービスは16歳未満の未成年者を対象としておらず、未成年者の個人データを意図的に収集することはありません。親権者の有効な同意なしに未成年者のデータを収集したと思われる場合、即時削除のため legal@gibses.com までご連絡ください。

11. Cookie

Cookie および類似技術の使用の詳細については、当社の Cookie ポリシーをご参照ください。必須でない Cookie については、バナーで取得した明示的な同意に依拠します。

12. 本通知の変更

本プライバシー通知を更新する場合があります。最新版は常に本ページに上部に表示される「最終更新日」とともに掲載されます。重要な変更については、アクティブな顧客にメールで少なくとも15日前に通知します。過去のバージョンはアーカイブされ、請求に応じて提供されます。

13. お問い合わせ

本通知または個人データの処理に関するお問い合わせ: GiBSeS OÜ — Juhkentali tn 8, 10132 Tallinn, Estonia — legal@gibses.com — +372 537 05283。エストニア登録番号: 17231761。

最終改訂: 2026年5月21日。GiBSeS OÜ — 登録番号 17231761 — Juhkentali tn 8, 10132 Tallinn, Estonia。