プライバシーポリシー
本翻訳は参考情報としてのみ提供されます。法的に有効なのは英語版のみです。
グローバルデータ保護およびプライバシーに関する通知
発効日: 2026年5月
サービス運営者: DigitalFreedom — Berger & Rosenstock GbR のブランド
データ管理者(法人):
Berger & Rosenstock GbR(DigitalFreedom として事業を行う)
Dieselstr. 22e
61231 Bad Nauheim
Germany
権限を有する代表者: Marcel R. G. Berger, Jasmin Rosenstock
VAT-ID: DE455096022
連絡先(一般): hello@digitalfreedom.co.za
連絡先(データ保護): data-protection@digitalfreedom.co.za
Website: https://digitalfreedom.co.za
1. はじめに
本プライバシーポリシーは、利用者が当社のアプリケーション、ソフトウェア、ウェブサイトおよび関連サービス(以下「本サービス」という)を利用する際に、DigitalFreedom(Berger & Rosenstock GbR のブランド、総称して「当社」という)が利用者の個人データをどのように収集、使用、保存および保護するかを説明する。
1.1 適用の地理的範囲
当社のアプリケーションは Apple App Store および Google Play Store を通じて配信され、したがってこれらのプラットフォームが提供するすべての国および地域において利用可能となる。本プライバシーポリシーは、本サービスがダウンロード、アクセスまたは利用される国を問わず、本サービスのすべての利用者に対して世界的に適用される。
1.2 世界的な基準としての GDPR
当社は、欧州連合 GDPR(EU一般データ保護規則)および関連する EU データ保護法を最も厳格な基準として採用し、これを世界的な最低基準として適用する。すべての国のすべての利用者は、本ポリシーに定める少なくとも GDPR 水準の保護を受ける。当社はさらに、利用者の法域における適用される現地のデータ保護法を尊重し、これを遵守する。当該現地法が利用者にとってより保護的である場合には、より保護的な基準が適用される。
当社は、利用者のプライバシーを保護し、以下を含むがこれに限られない適用されるデータ保護法を遵守することに尽力する:
- EU GDPR(EU一般データ保護規則)— 世界的な基準として適用
- ドイツ連邦データ保護法(BDSG)
- 英国一般データ保護規則(UK GDPR)および2018年データ保護法
- スイス連邦データ保護法(FADP)
- カリフォルニア州消費者プライバシー法(CCPA)/ カリフォルニア州プライバシー権利法(CPRA)およびその他の米国州プライバシー法
- カナダ個人情報保護および電子文書法(PIPEDA)
- オーストラリア1988年プライバシー法
- ブラジル一般データ保護法(LGPD)
- 日本個人情報保護法(APPI)
- 韓国個人情報保護法(PIPA)
- インドデジタル個人データ保護法(DPDP Act)および IT 法
- 南アフリカ個人情報保護法(POPIA)
- 本サービスが Apple App Store または Google Play Store を通じて利用可能となる法域における、その他すべての適用される国内データ保護制度
2. データ管理者
本サービスは DigitalFreedom ブランドのもとで提供される。利用者の個人データの処理について責任を負う法人(GDPR 第4条(7)に基づく「データ管理者」)は以下のとおりである:
Berger & Rosenstock GbR(DigitalFreedom として事業を行う)
Dieselstr. 22e
61231 Bad Nauheim
Germany
権限を有する代表者: Marcel R. G. Berger, Jasmin Rosenstock
VAT-ID: DE455096022
データ保護に関するお問い合わせ(GDPR 第13条/第14条、アクセス、訂正、消去、ポータビリティ、異議申立ての請求):
Email: data-protection@digitalfreedom.co.za
一般的なお問い合わせ:
Email: hello@digitalfreedom.co.za
Website: https://digitalfreedom.co.za
3. 当社が収集するデータ
3.1 利用者が提供するデータ
- アカウント情報(氏名、メールアドレス、ユーザー名)
- コミュニケーションデータ(サポート要求、フィードバック)
- 支払い情報(第三者の決済プロバイダーを通じて処理される)
- ユーザー生成コンテンツ
3.2 自動的に収集されるデータ
- デバイス情報(デバイスの種類、オペレーティングシステム、バージョン)
- 利用データ(使用された機能、操作パターン)
- ログデータ(IP アドレス、アクセス時刻、エラーログ)
- 分析データ(集計された利用統計)
3.3 第三者からのデータ
- ソーシャルログインプロバイダーからの認証データ(該当する場合)
- アプリストア(Apple、Google)からのプラットフォーム固有のデータ
3.4 センサー、デバイスおよび生体認証データ
アプリが利用者のデバイス上でセンサーまたは生体認証を使用する場合:
- 生体認証(Face ID / Touch ID / Android BiometricPrompt): 生体認証テンプレートは利用者のデバイスから外部に出ることはない。アプリはオペレーティングシステムから可否(yes/no)の結果のみを受け取る。
- カメラ、マイク、位置情報、写真、連絡先、カレンダー、モーション、健康: それらを必要とする機能を利用者が能動的に使用する場合にのみアクセスされる。各アクセスは、その理由を説明する当社の使用目的説明文とともに OS によって求められる。
- 健康およびフィットネスデータ(HealthKit / Health Connect): 利用者が使用する特定の機能のためにのみ処理される。広告目的で第三者と共有されることはなく、AI モデルの訓練に使用されることもない。
- App Tracking Transparency(iOS)/ AAID 制御(Android): 既定では、DigitalFreedom のアプリは他社のアプリおよびウェブサイトを横断して利用者を追跡しない。特定の機能が必要とする場合を除き、当社は ATT のプロンプトを表示しない。将来の機能がこれを必要とする場合、利用者はアプリの他の部分へのアクセスを失うことなく拒否することができる。
3.5 収集しないデータ
アプリ別の付属文書において特定の機能のために明示的に開示される場合を除き、当社は以下を収集しない:
- バックグラウンドにおける正確な位置情報
- 連絡先 / アドレス帳
- 利用者のデバイスからの SMS / メールの内容
- アプリ外の閲覧履歴
- 行動ターゲティング広告の識別子
- 決済カードのデータ(アプリ内課金については Apple および Google が登録小売業者である)
4. 処理の法的根拠(GDPR)
当社は、以下の法的根拠に基づき利用者の個人データを処理する:
| 法的根拠 | 目的 |
|---|---|
| 契約の履行(GDPR 第6条(1)(b)) | 本サービスの提供、アカウント管理 |
| 正当な利益(GDPR 第6条(1)(f)) | セキュリティ、不正防止、サービス改善 |
| 同意(GDPR 第6条(1)(a)) | マーケティングコミュニケーション、任意の分析 |
| 法的義務(GDPR 第6条(1)(c)) | 税務記録、規制遵守 |
5. 当社によるデータの使用方法
当社は、以下のために利用者の個人データを使用する:
- 本サービスの提供、運営および維持
- 取引の処理およびサブスクリプションの管理
- 利用者とのコミュニケーション(サポート、更新、通知)
- 本サービスの改善およびパーソナライズ
- セキュリティの確保および不正の防止
- 法的義務の遵守
- 分析の実施(許可されている場合または同意がある場合)
6. データの共有および開示
当社は、以下の者と利用者のデータを共有する場合がある:
6.1 サービスプロバイダー
以下を含む、本サービスの運営を支援する第三者プロバイダー:
- クラウドホスティングプロバイダー
- 決済処理業者
- 分析プロバイダー
- カスタマーサポートツール
6.1.1 指定されたサブプロセッサー
以下のサブプロセッサーが現在、利用者の個人データの処理に関与している:
| プロセッサー | 役割 | 所在地 |
|---|---|---|
| Civo Ltd. | クラウドインフラ(Kubernetes、仮想マシン、オブジェクトストレージ、DNS)— 主要なインフラプロバイダー。ワークロードは両リージョンに分散 | Frankfurt am Main, Germany (fra1) および London, United Kingdom (lon1) |
| Migadu Mail AG | メールホスティング(サポートおよび連絡先アドレス向けの受信/送信メール) | Switzerland |
| Google Ireland Limited (Google Cloud / Workspace) | アプリケーションおよびツールが利用する付随的な Google Cloud Platform / Workspace サービス | EEA データセンターリージョン(EU SCCs / UK Addendum に基づき他の Google 事業体への二次的移転を伴う) |
| OpenAI Ireland Ltd. | AI 支援型アプリケーション機能のための OpenAI API サービス(モデル推論、埋め込み) | Ireland(EU SCCs / UK Addendum に基づき米国の OpenAI OpCo, LLC への二次的移転を伴う) |
| RevenueCat, Inc. | Flutter アプリ向けのサブスクリプションおよびアプリ内課金の管理(レシート検証、利用権限の状態) | United States(RevenueCat が公表する DPA フレームワーク / EU SCCs により規律される) |
| UAB "MailerLite" | オプトインのニュースレター / メールマーケティングプラットフォーム — 能動的に購読する利用者(ダブルオプトイン)のみが対象 | Lithuania (EU/EEA) |
Civo 上のワークロードは、冗長性および移行の目的で fra1 および lon1 リージョンに分散される。サブプロセッサーの一覧は変更される場合がある。最新の一覧は当社の内部サブプロセッサー登録簿で管理されており、以下のデータ保護連絡先を通じて要求に応じて入手可能である。
6.1.2 プラットフォームおよび配信チャネル
以下の当事者は、プラットフォームの配信、決済およびプラットフォームレベルのサービスに関連して行われる処理について、独立した管理者(および該当する場合は登録小売業者)として行動し、GDPR 第28条に基づく当社のプロセッサーとしてではない。透明性のためにここに開示する:
| 当事者 | 役割 | 所在地 |
|---|---|---|
| Apple Distribution International Ltd. | App Store / TestFlight の配信、アプリ内課金 / StoreKit(Apple プラットフォーム上の有料取引およびサブスクリプションの登録小売業者)、Apple Push Notification service (APNs)、任意の Sign in with Apple | Ireland(Apple の内部的な保護措置 / SCCs に基づく米国の Apple Inc. によるグループ内処理を伴う) |
Apple が自己の管理者としての地位のもとで処理するデータ(Apple ID、支払い詳細、App Store 分析、APNs の配信)については、Apple 自身のプライバシーポリシーが適用される: https://www.apple.com/legal/privacy/。
6.2 法的要件
当社は、法律、法的手続または政府の要請により必要とされる場合にデータを開示することがある。
6.3 事業譲渡
合併、買収または資産の売却が生じた場合、利用者のデータが移転されることがある。
6.4 個人データの販売の不実施
当社は利用者の個人データを第三者に販売しない。
7. 国際的なデータ移転
利用者のデータは、利用者の居住国以外の国に移転され、そこで処理される場合がある。
特に、当社の指定されたサブプロセッサーに関して:
- Civo
fra1(Frankfurt am Main, Germany) — EU 域内であり、EEA 域外への移転はない。 - Civo
lon1(London, United Kingdom) — GDPR 第45条に基づく英国に関する EU 委員会の十分性決定の対象。 - Migadu(Switzerland) — GDPR 第45条に基づくスイスに関する EU 委員会の十分性決定の対象。
- Google Cloud / Workspace — 主要な処理は EEA データセンターリージョンで行われる。EEA 域外(米国を含む)の Google 事業体への二次的移転は、EU 標準契約条項(委員会実施決定 (EU) 2021/914)、ICO により発行された英国国際データ移転追加条項、および補完的な技術的措置(転送中および保存時の暗号化、鍵管理)により規律される。契約上の根拠は Google の Cloud Data Processing Addendum (Customers) である。
- OpenAI Ireland Ltd.(Ireland)および OpenAI OpCo, LLC(United States) — OpenAI API に送信される顧客データは、EEA 内の OpenAI Ireland Ltd. により処理される。米国の OpenAI OpCo, LLC への二次的移転は、EU 標準契約条項(モジュール2 — 管理者から処理者へ)、英国国際データ移転追加条項、およびグループ内の保護措置により規律される。API 顧客データは最大30日間保持され、その後、法律により保持が要求される場合を除き削除される。契約上の根拠は2025年8月2日に署名された OpenAI Data Processing Addendum である。
- RevenueCat, Inc.(United States) — サブスクリプション / アプリ内課金のデータは米国に移転される。移転は、RevenueCat が公表する DPA フレームワークに参照されるEU 標準契約条項および補完的な技術的措置(転送中および保存時の暗号化、仮名化された App User ID、決済カードデータなし — カードデータは登録小売業者としての Apple / Google により処理される)によりカバーされる。
- MailerLite(UAB MailerLite, Lithuania) — 主要な処理は EEA 域内で行われる。MailerLite が EEA 域外のサブプロセッサーを関与させる場合(その公開のサブプロセッサー一覧に従う)、当該移転は、MailerLite が公表する DPA フレームワークに参照されるEU 標準契約条項によりカバーされる。
- Apple(Apple Distribution International Ltd., Ireland; Apple Inc., United States によるグループ内処理) — Apple は独立した管理者(および有料取引の登録小売業者)として行動する。米国の Apple Inc. へのグループ内移転は、Apple のプライバシーポリシーに開示されているとおり、Apple の内部的な拘束的企業準則 / SCCs により規律される。
十分性決定の対象とならないあらゆる移転について:
- 当社は EU 標準契約条項(SCCs)に依拠する
- 当社は GDPR 第V章に基づく適切な保護措置を確保する
- 当社は受領国のデータ保護法を評価する(移転影響評価)
その他の法域からの移転については、当社は適用される越境移転の要件を遵守する。
8. データの保持
当社は、本ポリシーに記載された目的のために必要な期間に限り個人データを保持する。
保持期間の基準:
- 利用者のアカウントまたは本サービスの利用の期間
- 法的義務(例: ドイツ法に基づく税務上の保持期間: 最大10年)
- 正当な利益(例: 紛争解決)
保持期間の満了時、データは安全に削除または匿名化される。
9. データセキュリティ
当社は、以下を含む、利用者のデータを保護するための適切な技術的および組織的措置を実施する:
- 転送中(TLS 1.3)および保存時(AES-256 または同等のもの)の暗号化
- アクセス制御(RBAC、管理アクセスのための MFA、最小権限の原則)
- 定期的なセキュリティ評価およびサブプロセッサーの監査
- 認可された担当者に限定された監査ログ
- オフサイトレプリカを伴う日次バックアップ
- 当社の内部侵害対応計画(GDPR 第33条/第34条)に基づく文書化されたインシデント対応
完全に安全なシステムは存在しない。当社は絶対的なデータセキュリティを保証することはできない。
9.1 利用者への侵害通知
利用者の権利および自由に対して高いリスクをもたらす可能性が高い個人データ侵害(GDPR 第34条)が生じた場合、当社は、利用者のアカウントに関連付けられたメールアドレスを使用して、不当な遅延なく、以下を含めて利用者に通知する:
- 侵害の性質
- 関係するレコードのカテゴリーおよびおおよその件数
- 想定される結果
- 侵害に対処し、悪影響を緩和するために講じられた、または提案される措置
- 詳細情報のための連絡先
個別の通知が不均衡な労力を伴う場合、当社は https://digitalfreedom.co.za/ において公開のコミュニケーションを行う。
10. 利用者の権利
10.1 GDPR に基づく権利(EU/EEA/英国)
利用者は以下の権利を有する:
- 個人データへのアクセス(GDPR 第15条)
- 不正確なデータの訂正(GDPR 第16条)
- データの消去(「忘れられる権利」)(GDPR 第17条)
- 処理の制限(GDPR 第18条)
- データポータビリティ(GDPR 第20条)
- 処理への異議申立て(GDPR 第21条)
- いつでも同意を撤回すること(GDPR 第7条(3))
- 監督機関への苦情の申立て
10.2 CCPA/CPRA に基づく権利(カリフォルニア)
カリフォルニア州の居住者は以下の権利を有する:
- どの個人情報が収集されるかを知ること
- 個人情報の削除を請求すること
- 個人情報の販売または共有をオプトアウトすること
- プライバシーの権利を行使したことに対する差別を受けないこと
- 不正確な個人情報を訂正すること
- 機微な個人情報の使用を制限すること
10.3 PIPEDA に基づく権利(カナダ)
カナダの居住者は以下の権利を有する:
- 自己の個人情報にアクセスすること
- 自己の情報の正確性に異議を申し立てること
- 同意を撤回すること(法的または契約上の制限に従う)
10.4 オーストラリアプライバシー法に基づく権利
オーストラリアの居住者は以下の権利を有する:
- 自己の個人情報にアクセスすること
- 不正確な情報の訂正を請求すること
- オーストラリア情報コミッショナー事務局(OAIC)に苦情を申し立てること
10.5 LGPD に基づく権利(ブラジル)
ブラジルの居住者は以下の権利を有する:
- データ処理の確認
- データへのアクセス
- 不完全または不正確なデータの訂正
- 不要なデータの匿名化、ブロックまたは削除
- データポータビリティ
- 共有されたデータに関する情報
- 同意の撤回
11. 子どものプライバシー
当社の本サービスは、16歳未満の子ども(または利用者の法域における該当する同意年齢未満の者)を対象としていない。
当社は、子どもから個人データを意図的に収集することはない。当社が子どもからデータを収集したことを認識した場合、当社は速やかにそれを削除する措置を講じる。
12. クッキーおよびトラッキング
当社によるクッキーおよび類似技術の使用については、別途のクッキーポリシーに記載される。
13. 自動化された意思決定および AI
13.1 法的効果または同様に重大な効果を伴う自動化された意思決定
当社は、以下の場合を除き、利用者に関して法的効果を生じさせる、または同様に重大な影響を及ぼす自動化された意思決定またはプロファイリングを行わない:
- 利用者が明示的な同意を与えた場合
- 契約の履行のために必要な場合
- 適用法により認められている場合
かかる処理が行われる場合、利用者は GDPR 第22条(3)に基づき、人間による介入を得る権利、自己の見解を表明する権利、および当該決定に異議を申し立てる権利を有する。
13.2 AI 支援機能
本サービスが AI 支援機能(例えば、OpenAI などの第三者 AI API を活用したコンテンツ生成、要約、分類)を含む場合、AI 透明性通知は以下を記載する:
- どの機能が AI を使用するか
- どの AI プロバイダーが関与するか
- どのデータが AI に送信されるか
- AI プロバイダーにおける保持(OpenAI API については既定で30日)
- 利用者のオプトアウトの権利
- AI 生成コンテンツの表示(EU AI 法第50条、2026年8月2日施行)
13.3 公正利用の執行
公正利用ポリシーは、運用上のテレメトリがどのように不正使用の検出に使用され、適切な場合にスロットリング、レート制限、制限または停止を適用するために使用されるかを記載する。自動検出は人間によるレビューに情報を提供する。差し迫った脅威を緩和するために厳格に必要な場合を除き、公正利用ポリシーに基づくいかなる自動化された決定も、人間の関与なしに利用者に法的効果を生じさせることはない。
13.4 マーケティングコミュニケーション
マーケティングメール(MailerLite 経由)およびマーケティングプッシュ通知は、利用者の明示的かつ個別のオプトインがある場合にのみ送信される。利用者は、本サービスの他の部分に影響を与えることなく、いつでも同意を撤回することができる。
13.5 アカウントの削除
利用者は、いつでも自己のアカウントを削除し、自己のデータの消去を請求することができる。アプリ内、メールおよび郵送による方法については、アカウント削除通知を参照されたい。
14. 第三者のリンクおよびサービス
本サービスには、第三者のウェブサイトまたはサービスへのリンクが含まれる場合がある。当社は第三者のプライバシー慣行について責任を負わない。
15. 本ポリシーの変更
当社は本プライバシーポリシーを随時更新することがある。
- 重要な変更は本サービスまたはメールを通じて通知される
- 適用法に基づき処理の変更について利用者の同意が必要となる場合、当社は当該変更が利用者に適用される前にその同意を取得する。当社は、継続利用のみをもって同意とはみなさない
- 冒頭の「発効日」は最新の改訂を反映する
16. 連絡先
プライバシーに関するお問い合わせまたは権利の行使については:
DigitalFreedom
A brand of Berger & Rosenstock GbR
Dieselstr. 22e
61231 Bad Nauheim
Germany
データ保護: data-protection@digitalfreedom.co.za
一般的なお問い合わせ: hello@digitalfreedom.co.za
Website: https://digitalfreedom.co.za
EU の居住者は、自国の加盟国における管轄監督機関に連絡することもできる。
17. 地域別規定
17.1 欧州連合 / EEA
- 処理は GDPR の要件を遵守する
- 主管監督機関は管轄ドイツデータ保護機関である
- 必要な場合にはデータ保護影響評価(DPIA)が実施される
17.2 英国
- 処理は UK GDPR および2018年データ保護法を遵守する
- 監督機関は情報コミッショナー事務局(ICO)である
17.3 米国
- 処理は適用される州プライバシー法(CCPA/CPRA、VCDPA、CPA など)を遵守する
- 技術的に実行可能な場合、「Do Not Track」シグナルが尊重される
17.4 カナダ
- 処理は PIPEDA および適用される州のプライバシー法令を遵守する
- 苦情についてはカナダプライバシーコミッショナー事務局に連絡することができる
17.5 オーストラリア
- 処理は1988年プライバシー法およびオーストラリアプライバシー原則(APPs)を遵守する
17.6 ブラジル
- 処理は一般データ保護法(Lei Geral de Proteção de Dados、LGPD)を遵守する
- 国家データ保護機関(Autoridade Nacional de Proteção de Dados、ANPD)が管轄機関である
(c) 2025-2026 DigitalFreedom — Berger & Rosenstock GbR. All rights reserved.