プライバシーポリシー

お客様の個人データに関する管理者は以下のとおりです。

• Ilya Spiridonov（個人事業主）、ブランド名 HummingDeck として事業を運営
• 所在地：Antakalnio 84, Vilnius, Lithuania
• プライバシーに関するお問い合わせ先：hello@hummingdeck.com

本ポリシーまたはお客様のデータに関するご質問は、hello@hummingdeck.com までメールでお問い合わせください。HummingDeck が登録法人を通じて運営されるようになった時点で、本セクションを更新いたします。

当社は、以下の法的根拠（GDPR 第6条）に基づいて個人データを処理します。

• 契約（第6条第1項(b)）。登録ユーザーへの HummingDeck サービスの提供（アカウント管理、ドキュメントの保存、共有リンクの生成、請求業務）。
• 正当な利益（第6条第1項(f)）。当社のお客様（共有リンクの送信者）に代わって行う資料閲覧者の分析、製品の改善、セキュリティおよび不正防止。コンテンツへのエンゲージメントを把握したいというお客様の正当な利益と、閲覧者のプライバシーとの均衡は、本ポリシーに記載するセーフガードによって保たれます。
• 同意（第6条第1項(a)）。当社ウェブサイト上の分析およびマーケティング Cookie（Cookie バナーで管理）、ならびにマーケティングメール（購読設定で管理）。
• 法的義務（第6条第1項(c)）。税務、会計、その他の法的要件の遵守。

HummingDeckアカウントを作成する際、当社は以下の情報を収集します：

• アカウント情報 — メールアドレス、氏名、プロフィール写真（直接提供されたもの、またはGoogleログイン使用時にGoogleからインポートされたもの）
• 登録メタデータ — アカウント作成時のIPアドレス、デバイスタイプ、ブラウザ情報。分析および不正防止に使用されます。
• チームおよびワークスペースデータ — チーム名、メンバーの役割、お客様が設定したワークスペースの設定
• アップロードされたコンテンツ — HummingDeck経由で共有するためにアップロードしたドキュメントやその他のファイル
• CRMデータ — 共有活動を整理するために追加したコンタクト名、メールアドレス、企業情報
• アクティビティデータ — 共有リンクの作成、資料のアップロード、チーム設定の管理など、プラットフォーム内で行う操作。アクティビティログにはIPアドレスとブラウザ情報が含まれます。
• アバター検索 — コンタクトおよびキャプチャされたリードについて、プロフィール写真を表示するためにメールアドレスのMD5ハッシュを使用してGravatar（gravatar.com）を確認します。ハッシュはGravatarのサーバーに送信されます。メールアドレスは平文で送信されません。

共有された資料のリンクが開かれると、資料の所有者にエンゲージメント分析を提供するために、当社は自動的に特定の情報を収集します。資料閲覧者はアカウントを作成する必要はありません。

当社が収集する情報：

• デバイスおよびブラウザ情報 — ブラウザの種類、オペレーティングシステム、デバイスカテゴリ
• ネットワーク情報 — IPアドレスおよびおおよその地理的位置（IPアドレスから導出された都市/国レベル）
• エンゲージメントデータ — 閲覧されたページ、各ページの閲覧時間、総閲覧時間、完了率
• ブラウザフィンガープリント — 画面解像度、タイムゾーン、言語などのブラウザ属性から生成されるハッシュで、同一訪問者の閲覧セッションをグループ化するために使用されます。Cookieや永続ストレージは使用されません。フィンガープリントから個人を特定することはできません。

このデータは、共有リンクを作成したHummingDeckユーザーのために収集されます。この処理の法的根拠は、受信者が共有コンテンツとどのようにエンゲージしているかを理解するという送信者の正当な利益です（GDPR第6条第1項(f)）。

資料閲覧者は、閲覧セッション中に収集されたデータについてhello@hummingdeck.comまでお問い合わせいただけます。

当社は、ウェブサイトの利用状況の把握、マーケティング効果の測定、問題の検出のために、少数のサードパーティツールを使用しています。これらがデフォルトで読み込まれるか、同意後にのみ読み込まれるかは、訪問元の地域によって異なります。下記の Cookie 同意 をご覧ください。

• Google Analytics 4 ページビュー、イベント、集計された利用パターン。
• Microsoft Clarity 訪問者がページとどのようにインタラクトしているかを把握するために使用される、匿名化されたセッション記録とヒートマップ。フォームフィールドはデフォルトでマスクされます。
• Ahrefs Web Analytics Cookie を使用しないプライバシー配慮型のトラフィック統計。SEO インサイトのみに使用されます。
• Microsoft Ads (Bing UET) Bing / Microsoft Advertising に配信する広告のコンバージョン測定。

これらのツールは、共有資料の閲覧者向けルート（/view および /r）からは除外されており、共有資料の受信者が資料を開く際にこれらのツールで追跡されることはありません。

Google Analytics — Consent Mode v2. 分析に対する同意が付与されていない場合（バナーで同意を拒否された場合、個人情報の販売または共有を停止をクリックされたカリフォルニア州の訪問者の場合、または同意が必要な地域にいてまだ判断されていない場合）でも、当社は Google Analytics タグを読み込みますが、厳格な Cookie レス モードで動作します。このモードでは Cookie は書き込まれず、クライアント識別子も保存されず、Google に送信されるリクエストには匿名化されたシグナル（プロファイル データなし）のみが含まれます。Google はこれらのシグナルを使用して自社側で集計トラフィックをモデル化するため、当社のレポートでは同意を拒否した訪問者についても可視性が確保されます。分析に対する同意を付与されると、次のページ読み込み時に Google Analytics は標準動作に切り替わります。

設定はいつでも、当社ウェブサイトのフッターにある Cookie 設定 リンクから変更できます。カリフォルニア州の居住者の方は、同じフッターの 個人情報の販売または共有を停止 リンクから別途オプトアウトできます。下記のセクションをご覧ください。

当社は 3 つのカテゴリーの Cookie を使用しています。オプションの Cookie は Cookie バナーまたはフッターのリンクから管理できます。

必須 (常時有効、同意不要):

• セッション Cookie HTTP-only で、ログイン状態を維持します。14 日後に有効期限が切れます。アプリの動作に必須です。
• テーマ Cookie ライト / ダークの設定を記憶します。
• ロケール Cookie 言語の選択を記憶します。
• 同意 Cookie (hd_consent_v1) お客様が許可した Cookie カテゴリーを記録します。JSON 形式でエンコードされ、有効期間は 12 か月です。
• CCPA オプトアウト Cookie (ccpa_optout_v1) フッターの 個人情報の販売または共有を停止 をクリックした際に設定されます。このブラウザにおいて、分析およびマーケティングのスクリプトを無効化します。有効期間は 12 か月です。

分析 (オプション、EU / 英国 / スイス / ブラジルでは同意が必要、その他の地域ではデフォルトで有効):

• Google Analytics ユーザーとセッションを区別するために _ga および関連 Cookie を設定します。
• Microsoft Clarity セッション単位の分析のために _clck と _clsk を設定します。

マーケティング (オプション、EU / 英国 / スイス / ブラジルでは同意が必要、その他の地域ではデフォルトで有効):

• Microsoft Ads UET 広告のコンバージョン計測のために _uetsid と _uetvid を設定します。

Ahrefs Web Analytics は Cookie を設定しません。

Cookie 同意バナーを表示するかどうかは、お客様の所在する法域によって異なります。

バナー表示, 分析またはマーケティングのスクリプトを読み込む前に同意が必要:

• 欧州連合（EU 27）および欧州経済領域（アイスランド、リヒテンシュタイン、ノルウェー）
• 英国
• スイス
• ブラジル

これらの地域からの訪問者には、バナーで すべて受け入れる、すべて拒否、カスタマイズ を選択できます。お客様の選択は hd_consent_v1 Cookie に記録され、12 か月間保持されます。決定いただくまで、分析やマーケティングのスクリプトは実行されません。

バナー非表示, 分析とマーケティングはデフォルトで読み込まれます:

その他の地域からの訪問者（米国、カナダ、アジアの大部分、オーストラリア、ニュージーランド、ブラジルを除くラテンアメリカを含む）の場合、ページの読み込みと同時に分析およびマーケティングのスクリプトが実行されます。それでもいつでも考えを変更できます:

• フッターの Cookie 設定 から、カテゴリーごとの同じコントロールが開き、以降の分析またはマーケティングのスクリプトを拒否できます。
• フッターの 個人情報の販売または共有を停止 から、ワンクリックでそのブラウザの両カテゴリーを無効化できます（CCPA / CPRA オプトアウト、利便性のため全世界で利用可能）。

同意の撤回は、同意が有効であった期間中に行われた処理の適法性には影響しません。

当社はリクエストの IP アドレスから法域を判定します。精度に関する注意事項については、下記の 地理的検出に関する注意 をご覧ください。

当社は、お客様の IP アドレスに紐づく国を参照して、どの法域のルールを適用するかを判定します。この方法は広く利用されていますが、100 % 正確ではありません。たとえば、VPN や社内プロキシを使用している場合、または海外ローミング中の場合、検出された地域が実際の居住地や勤務地と一致しない可能性があります。

訪問中に Cookie 同意バナーが表示されるべきだったのに表示されなかったとお考えの場合は、hello@hummingdeck.com までメールでお知らせください。それに応じてデータを取り扱います。また、いずれのページからもフッターの Cookie 設定 リンクを使用して、分析またはマーケティングのスクリプトを手動で拒否することもできます。

当社は、収集した情報を以下の目的で使用します：

• サービスの提供 — アップロードされた資料のホスティング、共有リンクの生成、エンゲージメント分析の提供
• 資料エンゲージメント分析の提供 — 登録ユーザーに対して、受信者が共有資料とどのようにインタラクションしているか（閲覧パターンやエンゲージメント指標を含む）を表示
• 製品の改善 — 使用パターンを理解し、問題を修正し、新機能を開発
• お客様とのコミュニケーション — トランザクションメール（共有通知、アカウント更新）の送信およびサポートリクエストへの対応
• セキュリティの確保 — 不正行為、悪用、不正アクセスの検出と防止

当社は個人情報を販売しません。

以下の状況においてデータを共有する場合があります：

• サービスプロバイダー — サービスの運営を支援するサードパーティプロバイダーとデータを共有します（下記のサードパーティサービスを参照）。これらのプロバイダーはデータ処理契約に拘束され、当社へのサービス提供のためにのみデータを使用できます。
• お客様の指示による場合 — 資料を共有すると、受信者は資料のコンテンツおよびお客様が共有リンクに含めることを選択した情報を閲覧できます。
• 法的要件 — 法律、裁判所命令、または政府規制により義務付けられた場合、データを開示することがあります。
• 事業譲渡 — HummingDeckが買収または合併された場合、ユーザーデータは取引の一部として譲渡される可能性があります。データが異なるプライバシーポリシーの対象となる前に、影響を受けるユーザーに通知します。

当社は、HummingDeck の運営に以下のサードパーティサービスを使用しています:

• Google Firebase 認証およびユーザーアイデンティティの管理
• Google Cloud Storage アップロードされたファイルの安全な保存
• Resend トランザクションメールの配信（共有通知、アカウント関連メール）
• FastSpring サブスクリプションの決済処理（FastSpring はマーチャント・オブ・レコードとして機能し、当社はクレジットカード情報を保存しません）
• Loops オプトインしたユーザーへのマーケティングメール配信（ニュースレター、製品アナウンス）

以下のサービスは、Cookie バナーでの同意をいただいた後にのみ動作します:

• Google Analytics 4 ウェブサイトおよびアプリケーションの利用状況分析
• Microsoft Clarity 製品調査のためのセッション記録とヒートマップ
• Ahrefs Web Analytics Cookie を使用しない SEO トラフィックインサイト
• Microsoft Ads (Bing UET) 広告のコンバージョン測定

これらの各プロバイダーには、データの処理方法を定めた独自のプライバシーポリシーがあります。

当社に代わってお客様データを処理するサービスの最新かつ完全な一覧は、hummingdeck.com/sub-processors で公開しています。データ管理者として行動されるお客様は、本処理に適用される契約条件について、当社のデータ処理契約をご確認いただけます。各プロバイダーは、それぞれのデータ処理方法を定めた独自のプライバシーポリシーも有しています。

Canvaアプリ連携を通じてHummingDeckを使用する場合、当社はさらに以下の情報を収集します：

• Canvaアカウント識別子 — お客様のCanvaユーザーIDおよびブランド（チーム）ID。CanvaアカウントとHummingDeckアカウントをリンクするために使用されます
• エクスポートされたデザイン — Canvaからデザインを共有することを選択した場合、エクスポートされたファイル（PDF）がHummingDeckに転送され保存されます

当社は、お客様が明示的にエクスポートすることを選択したもの以外の、Canvaデザイン、アカウントデータ、その他のCanvaコンテンツにはアクセスしません。当社はCanvaプラットフォームからデータをマイニングまたはスクレイピングしません。

Google SlidesまたはGoogle Docs用のGoogle Workspaceアドオンを通じてHummingDeckを使用する場合、当社は以下のデータにアクセスします：

• Googleアカウントのメールアドレス — お客様のメールアドレス。HummingDeckアカウントの識別と認証に使用されます
• 現在のドキュメントのメタデータ — 編集中のドキュメントのタイトルとURL。HummingDeck内で共有ドキュメントにラベルを付けるために使用されます
• エクスポートされたドキュメント — ドキュメントを共有することを選択した場合、HummingDeckは現在のドキュメントのPDFコピーをエクスポートし、お客様に代わって保存します

このアドオンは、機能に必要な最小限のスコープのみを要求します：メールアドレスへのアクセス、現在のドキュメントへの読み取り専用アクセス、およびHummingDeckサービスへのHTTPリクエストの送信許可です。当社は、上記に記載されたもの以外の、お客様のGoogleドライブ、その他のドキュメント、連絡先、またはGoogle Workspaceデータにはアクセスしません。

Gmail用のHummingDeck Chrome拡張機能を使用する場合、以下のデータにアクセスします：

• Googleアカウントのメールアドレス — Google OAuthを通じてHummingDeckアカウントを認証するために使用されます
• Gmailの作成ウィンドウ — 拡張機能はメールを作成中であることを検出し、トラッキングボタンを表示します
• 受信者のメールアドレス — 拡張機能は、パーソナルトラッキングリンクを作成するために、作成ウィンドウの宛先フィールドから最初のメールアドレスを読み取ります。これにより、分析で受信者の名前を確認できます。メールアドレスはトラッキングリンクの作成のためにHummingDeckに送信されます。ローカルに保存されたり、他の目的で使用されたりすることはありません
• トラッキング対象として選択したファイル — トラッキングボタンをクリックしてファイルを選択すると、拡張機能はそのファイルをHummingDeckにアップロードします。明示的に選択したファイルのみがアップロードされます
• 認証トークン — ログイン状態を維持するためにchrome.storageを使用してブラウザにローカル保存されます

拡張機能は機能に必要な権限のみを要求します：mail.google.comへのアクセス（トラッキングボタンの表示およびパーソナルリンク用の受信者メールアドレスの読み取りのため）、ストレージ（認証トークンを保存するため）、通知（誰かがドキュメントを閲覧した際に通知するため）、ID（Googleで認証するため）、アラーム（新しい閲覧を定期的に確認するため）。

拡張機能はメール本文の内容、件名、CC/BCC受信者、連絡先、スレッド、または宛先フィールドの主要な受信者以外のGmailデータを読み取ったり、保存したり、送信したりしません。

HummingDeckは、Google Workspace APIを通じて取得したデータを、汎用的な人工知能（AI）または機械学習（ML）モデルの開発、改善、またはトレーニングに使用しません。

Google Workspace連携を通じてアクセスされたデータ（ドキュメントのコンテンツ、メタデータ、ユーザー情報を含む）は、お客様にHummingDeckのドキュメント共有および分析サービスを提供するためにのみ使用されます。このデータは、お客様が直接操作する機能を提供するために必要な範囲を超えて、いかなるAIまたはMLシステムにも転送、共有、または使用されることはありません。

HummingDeckによるGoogle APIから受信した情報の使用および転送は、制限付き使用要件を含むGoogle APIサービスユーザーデータポリシーに準拠しています。具体的には、Googleユーザーデータの使用をHummingDeckのユーザー向け機能の提供および改善に限定しています。当社はGoogleユーザーデータを販売せず、広告目的で使用せず、サービスの提供、適用法の遵守、または適切なデータ保護を伴う合併・買収の一環として必要な場合を除き、第三者に転送しません。

当社は、お客様のデータを保護するために業界標準のセキュリティ対策を実装しています：

• すべてのデータはTLS（HTTPS）を使用して転送中に暗号化されます
• アップロードされたファイルはGoogle Cloud Storageで保存時に暗号化されます
• セッションCookieはHTTP-onlyかつセキュアであり、クライアント側からのアクセスを防ぎます
• 認証はGoogle Firebaseを通じて安全なセッション処理で管理されます
• 本番システムへのアクセスは制限され、ログに記録されます

電子送信または保存の方法に完全に安全なものはありません。当社はお客様のデータを保護するために合理的な対策を講じていますが、絶対的なセキュリティを保証することはできません。

当社は以下のようにデータを保持します：

• アカウントデータ — アカウントがアクティブである限り保持されます。アカウントを削除すると、法律により保持が義務付けられている場合を除き、30日以内に個人データを削除します。
• アップロードされたファイル — アカウントから関連する資料を削除すると削除されます。
• 資料閲覧者データ — エンゲージメント分析を提供するために保持されます。閲覧者データは24か月後に匿名化されます。
• 分析データ — 集計された匿名の分析データは無期限に保持される場合があります。

データの管理：お客様はいつでもHummingDeck内で直接データを管理および削除できます。アプリケーションのインターフェースから、個々のドキュメント、共有リンク、連絡先、およびチームデータを削除できます。アカウント全体およびすべての関連データを削除するには、hello@hummingdeck.comまでお問い合わせください。

Depending on your location, you may have the following rights regarding your personal data:

• Access — request a copy of the personal data we hold about you
• Correction — request correction of inaccurate data
• Deletion — request deletion of your personal data
• Portability — request a machine-readable copy of your data
• Objection — object to processing based on legitimate interest
• Restriction — request that we restrict processing of your data
• Withdraw consent — where processing is based on consent, you can withdraw it at any time without affecting processing already carried out

To exercise any of these rights, contact us at hello@hummingdeck.com. We will respond to your request within 30 days.

Right to lodge a complaint: if you believe we have not handled your data in accordance with applicable law, you have the right to lodge a complaint with a data protection supervisory authority. In Lithuania this is the State Data Protection Inspectorate (Valstybinė duomenų apsaugos inspekcija, VDAI), vdai.lrv.lt. EU/EEA residents may also file with their local national authority.

California residents: Under the California Consumer Privacy Act (CCPA) and CPRA, you have the right to know what personal information we collect and how it is used, request deletion of your data, and opt out of the sale or sharing of personal information. HummingDeck does not sell or share personal information.

HummingDeckは、13歳未満の個人（またはお客様の管轄区域で個人データの処理に同意を提供するために必要な最低法定年齢未満の個人）による使用を意図していません。当社は故意に子どもから個人データを収集しません。

子どもが当社に個人データを提供したと思われる場合は、hello@hummingdeck.comまでご連絡ください。当該情報を削除するための措置を講じます。

お客様のデータは、お客様の国以外の国で処理される場合があります。当社は主に、米国および欧州連合に所在するGoogle Cloudインフラストラクチャ上でデータを処理します。

欧州経済領域外にデータが転送される場合、当社は標準契約条項またはその他の承認された転送メカニズムに依拠し、お客様のデータが欧州基準で保護されることを保証します。

当社は、本プライバシーポリシーを随時更新する場合があります。重要な変更を行う場合は、変更が有効になる前にメールまたはアプリケーション内の通知でお知らせします。

本ポリシーを定期的に確認することをお勧めします。変更が掲載された後も継続してHummingDeckを使用することは、更新されたポリシーへの同意を構成します。

本プライバシーポリシーまたは当社のデータ慣行に関して質問、懸念、またはご要望がある場合は、hello@hummingdeck.comまでご連絡ください。

HummingDeckはリトアニア・ビリニュスを拠点としています。