プライバシーポリシー

本サービスは、ブラジル国内に本店を置く私法人 VSB Serviços de Informação e Tecnologia Ltda. (CNPJ 36.997.903/0001-36) により運営されています。当社はブラジル一般データ保護法（LGPD、法律13.709/2018号）に基づく管理者および欧州一般データ保護規則（GDPR、規則(EU) 2016/679）におけるコントローラーとして個人データを取り扱います。プライバシーに関するお問い合わせ、権利行使、ご質問、苦情等は contact@bigduckai.com までご連絡ください。当社のデータ保護責任者（DPO/Data Protection Officer）も同じ宛先で対応します。

当社は、状況に応じて次の法的根拠に基づき個人データを取り扱います。(a) 契約の履行（LGPD第7条V号、GDPR第6条(1)(b)）：本サービスの提供・運営、お問い合わせ対応、決済処理のため。(b) 正当な利益（LGPD第7条IX号、GDPR第6条(1)(f)）：プラットフォームの安全確保、不正・乱用の防止、製品改善、集計分析、過度に侵害的でないダイレクトマーケティング、訴訟・行政手続での防御、新機能の開発を含む。(c) 同意（LGPD第7条I号、GDPR第6条(1)(a)）：必須でないクッキー、行動ターゲティング広告、高度なパーソナライゼーション、メールによるマーケティング通信のため。(d) 法令上の義務の遵守（LGPD第7条II号、GDPR第6条(1)(c)）：税務記録の保管や行政・司法当局からの要請への対応を含む。(e) 司法・行政・仲裁手続における権利行使（LGPD第7条VI号）。正当な利益に基づく場合、当社は利益衡量を実施しており、お客様は後述のとおりいつでも異議を申し立てることができます。

当社は以下の種類のデータを取り扱います。(a) 利用・操作データ：テスト回答、算出スコア、ナビゲーションイベント、セッション時間、クリックパターン、トラフィックソース、言語・地域。(b) 技術的識別子：IPアドレス、ユーザーエージェント、デバイス識別子、ブラウザ種別とバージョン、OS、画面解像度、タイムゾーン、クッキー識別子、広告識別子（該当時にGoogle Ad ID、IDFA）、匿名のブラウザフィンガープリント。(c) アカウントデータ（作成された場合）：メールアドレス、氏名、パスワードのハッシュ、設定、テスト履歴、ログイン日時。(d) 決済データ（該当時）：取引データ、ステータス、ゲートウェイ、識別子、金額、通貨、カード番号下4桁とブランド（クレジットカードの完全な情報は保存しません）。(e) コミュニケーションデータ：contact@bigduckai.com に送信されたメール、テストへの任意のフィードバック、サポートチケット。(f) 推測データおよび集計データ：利用パターンから派生する特徴、算出された性格プロファイル、マーケティング向けセグメント。(g) セキュリティログ：認証ログ、不審な活動、不正試行。テスト結果は自己内省のための自己報告型ツールに基づくものであり、臨床診断には該当しないため、GDPR第9条またはLGPD第5条II号にいう特別カテゴリのデータ、健康データ、生体データには該当しません。

当社はデータを次の目的で利用します。(i) 結果やレポートの生成を含む本サービスの提供、運営、保守、パーソナライズ。(ii) 不正、乱用、スパム、攻撃、規約違反の防止。(iii) プラットフォーム、ユーザー、当社インフラの安全確保。(iv) 集計分析、A/Bテスト、製品指標の取得、新機能の開発。(v) コンテンツ、レコメンデーション、ユーザー体験のパーソナライズ。(vi) コンテキスト広告の表示、および同意がある場合の行動ターゲティング広告の表示。(vii) 正当な利益に基づく自社製品・サービスのダイレクトマーケティング（いつでも無償でオプトアウト可能）。(viii) サービスのアップデート、規約や本ポリシーの変更、運用上のお知らせ、お客様の問合せへの回答に関する連絡。(ix) 法令・税務・会計・規制上の義務の遵守、および法令で求められる期間の記録保管。(x) 集計または匿名化されたデータを用いた、コンテンツ生成、スコアリング、テスト品質、パターン解析に関する社内モデルの学習、検証、改善。(xi) 司法・行政・仲裁手続における権利の防御。(xii) 匿名化または集計データを用いた社内研究および統計研究。(xiii) 訴訟内外を問わず権利を行使または防御するため。

当社は、ファーストパーティおよびサードパーティのCookie、Web ビーコン、ピクセル、ローカルストレージ、セッションストレージ、その他類似のトラッキング技術を使用します。これらは次のように分類されます。(a) 必須：認証、セキュリティ、不正防止、ロードバランシング、同意の記録、ボット対策、アクセシビリティ設定、コア機能など、本サービスの動作に不可欠なもの。ePrivacy指令2002/58/EC第5条(3)により事前同意を要しません。(b) 分析：Google Tag Manager、PostHog、Sentry を含む、集計利用および性能の測定。事前同意を要する地域では、お客様の許可後にのみ有効化されます。(c) 広告：Google AdSense（Auto Ads、in-content、Offerwall を含む）、Google Ads、Meta Pixel（該当時）、Ezoic、プログラマティックパートナーなどによる広告の表示、パーソナライズ、効果測定を可能にします。明示的な同意がある場合にのみ有効化されます。(d) パーソナライゼーション：コンテンツ、レコメンデーション、ユーザー体験を最適化するために設定や履歴を保存します。同意のもとで有効化されます。お客様は初回訪問時の同意バナーまたはフッターのリンクからいつでも設定を変更できます。必須以外のCookieを拒否すると、一部機能が制限される場合があります。当社は Google Consent Mode v2 のもとで運用し、提携ネットワークが要求する場合は IAB Transparency and Consent Framework (TCF) v2.3 にも対応します。

お客様の同意がある場合、当社は次のパートナーから提供される広告を表示することがあります：Google AdSense（Auto Ads、in-content、Offerwall を含む）、Google Ads、Ezoic、その他のプログラマティック・ネットワークおよびヘッダー入札パートナー（最新の処理者一覧に従って追加される場合があります）。これらのパートナーは、パーソナライズ、フリークエンシー上限制御、効果測定、アトリビューション、不正防止のため、データ（IP、ユーザーエージェント、広告識別子、閲覧行動、ページコンテキスト等）を収集することがあります。当社はお客様の同意のもと、広告パートナーに対して類似オーディエンス（lookalike）、リマーケティングオーディエンス、Customer Match の構築のため、メールアドレスの匿名化ハッシュ（SHA-256）を共有することがあります。Google のパーソナライズ広告は adssettings.google.com、NAI は optout.networkadvertising.org、DAA は optout.aboutads.info、EDAA は youronlinechoices.eu でオプトアウトできます。コンテキスト型の非パーソナライズ広告は、現地法が事前同意を要求しない限り、正当な利益を根拠として同意なしで表示されることがあります。

当社は必要な範囲で、以下のカテゴリの第三者と個人データを共有します。(a) インフラ、ホスティング、CDN、データベース、ストレージ提供者（Vercel、Coolify、MongoDB Atlas、Cloudflare、Amazon Web Services 等）。(b) トランザクションメールおよびメッセージング提供者（Resend、Nodemailer、SMTP プロバイダ等）。(c) 分析・可観測性提供者（Google、PostHog、Sentry、Vercel Analytics 等）。(d) 決済処理者（Stripe、MercadoPago 等）。(e) 広告ネットワークおよびメディア処理者（Google AdSense、Google Ads、Ezoic、Meta、その他プログラマティックパートナー）。(f) AI およびコンテンツ処理提供者（OpenAI、Anthropic および同等のパートナー等）。(g) 不正防止およびセキュリティ提供者。(h) 守秘義務を負う法務、会計、税務アドバイザー。(i) 法令、裁判所命令により要求される場合、または正当な権利の防御に必要な場合の公的機関、監督機関、司法機関。(j) 合併、買収、組織再編、資産譲渡、破産その他類似の手続における承継者、買収者または投資家。ブラジルまたは欧州経済領域外への国際移転は、十分性決定、欧州委員会承認の標準契約条項（SCC）、または適用法に定めるその他の保護措置に基づき行います。最新の下請事業者一覧はメールでのご請求により提供します。

当社は、本ポリシーに記載の目的の達成および法令上の義務の履行に必要な期間、個人データを保持します。代表的な保持期間：(a) 匿名の利用・操作データ：標準的な分析期間に合わせて最長38か月。(b) アカウントおよびプロフィールデータ：アカウント有効期間中、ならびに将来の請求への防御および法令遵守のため、非アクティブ化または解約後最長5年。(c) 取引、決済、税務データ：取引日から5年間（ブラジル法律9.430/96号、政令9.580/2018号 (RIR) および欧州連合の同等規定に基づく）。(d) 同意の記録：同意の有効期間中、および撤回後5年間（紛争時の証拠として）。(e) メールおよびコミュニケーション：最終接触日から3年間。(f) セキュリティおよび不正防止のログ：12か月（調査が継続する場合は延長）。(g) 当局命令によるブロックまたは保管対象のデータ：要求される期間。これらの期間経過後、データを匿名化または削除します。不可逆的な匿名化は、本ポリシーの目的上、削除と同等のものとして扱われ、これは LGPD および GDPR 前文26で認められています。

適用法に従い、お客様は個人データに関して次の権利を有します。(a) 取扱いの確認、(b) アクセス、(c) 不完全・不正確・古いデータの訂正、(d) 不要・過剰・違法に取り扱われたデータの匿名化・ブロック・削除、(e) お客様が能動的に提供したデータに限り、構造化された一般的な形式でのデータポータビリティ、(f) 正当な利益に基づく取扱いに対する異議（当社が優越する正当事由を示すか、法的請求の確立・行使・防御に必要な場合は取扱いを継続できます）、(g) いつでも将来効を有する同意の撤回（撤回前の取扱いの適法性は損なわれません）、(h) データを共有する公的・私的事業者に関する情報、(i) LGPD第20条に基づく自動化された決定の見直し、(j) 所管のデータ保護当局への苦情申立て。これらの権利を行使するには、本人確認に足る情報を添えて contact@bigduckai.com にメールを送ってください。LGPD では原則15日以内、GDPR では原則1か月以内に回答します。複雑な場合は理由を付して最大2か月延長することがあります。明らかに根拠を欠く、過大もしくは反復的な要求は、GDPR第12条(5)その他同等の規定の許す最大限の範囲で、拒否するか、管理コストに相当する合理的な手数料の対象とすることができます。削除権の行使は、要求の目的にかなう限り技術的に適切な範囲で不可逆的な匿名化により対応し、集計ログ、法令で保管が要求される記録、および権利行使に必要なデータは保持します。

本サービスは16歳未満の方を対象としていません。当社は、保護者の同意なく16歳未満の方の個人データを意図的に収集しません。ブラジルのユーザーについては、LGPD第14条に従い、12歳未満の児童のデータの取扱いには少なくとも一方の親または法定代理人による特別かつ顕在的な同意を要し、12歳以上18歳未満の青少年のデータについては最善の利益を尊重します。欧州経済領域においては、保護者の援助なく同意できる最低年齢は加盟国により13歳から16歳まで異なります（GDPR第8条）。当社は安全側で16歳を既定値とします。未成年者のデータが不適切に取り扱われていると思われる場合は contact@bigduckai.com にご連絡ください。合理的な期間内に匿名化または削除いたします。

当社は、本サービス、運用、提携先、法令上の要件の変化を反映するため、独自の判断でいつでも本ポリシーを更新することがあります。変更は本ページ冒頭の「最終更新日」から効力を生じます。重要な変更は、本サービス上の目立つ通知またはアカウント保有者宛てのメールにより、効力発生の少なくとも30日前にお知らせします。法律で異なる期間が要求される場合はそれに従います。効力発生日以後の本サービスの継続利用は、変更への黙示の同意とみなされます。同意できない場合は、効力発生日前に利用を中止し、必要に応じて本ポリシーに基づき権利を行使してください。過去のバージョンはメールでのご請求により提供します。

プライバシーに関するご質問、権利行使、苦情等は contact@bigduckai.com までご連絡ください。当社との直接の解決を妨げることなく、お客様は所管の当局に苦情を申し立てることもできます。日本では個人情報保護委員会（PPC、ppc.go.jp）。ブラジルでは Autoridade Nacional de Proteção de Dados（ANPD、gov.br/anpd）。フランスでは Commission Nationale de l'Informatique et des Libertés（CNIL）。ドイツでは Bundesbeauftragte für den Datenschutz und die Informationsfreiheit（BfDI）または所管の州の機関。イタリアでは Garante per la protezione dei dati personali。スペインでは Agencia Española de Protección de Datos（AEPD）。ポルトガルでは Comissão Nacional de Proteção de Dados（CNPD）。その他、お客様の加盟国または常居所地のデータ保護当局。