プライバシーポリシー

お客様の個人情報の収集、使用、保護方法について。

Privacy Policy
はじめにおよび適用範囲

当社のデジタル名刺プラットフォームは、個人および組織がデジタル名刺、連絡先取得フォーム、NFCカード、メール署名、バーチャル背景、その他のネットワーキングツールを作成、配布、管理することを支援します。当社はハンガリーを拠点として運営しており、EU一般データ保護規則(GDPR)、英国データ保護法(2025年データ(利用およびアクセス)法を含む)、カリフォルニア州プライバシー権法により改正されたカリフォルニア州消費者プライバシー法(CCPA/CPRA)、およびその他の関連するプライバシー法を遵守しています。本ポリシーは、登録アカウントを保有しているか、ゲストとしてサービスを利用しているかを問わず、当社のウェブサイト、モバイルおよびウェブアプリケーション、NFCおよびQR製品、API、ならびに本通知を参照するすべてのオフラインサービスのすべてのユーザーに適用されます。当社は、人種的もしくは民族的出身、政治的見解、宗教的信条、健康データ、または生体認証識別子などの機密性の高い個人情報を故意に収集または保存することはありません。当社のシステムに保存される情報は、通常、名刺に含まれる種類の情報(例:氏名、会社名、役職、連絡先)です。本ポリシーは、当社のサービスからリンクされている外部ウェブサイトには適用されません。それらのサイトには独自のプライバシー慣行があり、ご確認いただくことをお勧めします。

収集する情報

当社は、GDPRのデータ最小化の原則に従い、個人データを収集および処理します。

  • アカウントおよびプロフィールデータ. アカウントの登録または更新時に、ユーザーは氏名、メールアドレス、パスワード、会社名、役職、連絡先を提供します。写真、ロゴ、ソーシャルリンクをアップロードすることも可能です。請求情報は有料プランの場合のみ収集されます。
  • 名刺コンテンツ. 各デジタル名刺に掲載する情報はユーザーが管理します。氏名、役職、電話番号、メールアドレス、住所、ソーシャルメディアハンドル、自己紹介、ロゴ、ギャラリー、音声ファイル、文書、カスタムフィールドなどが含まれます。
  • 連絡先取得および同意. 他者の情報を収集する際は、明確な取得に関する免責事項とプライバシーポリシーへのリンクを提供する必要があります。受信者は、情報が処理される前に同意チェックボックスにチェックを入れる必要があります。他者の連絡先情報(例:メールアドレス)を当社のサービスに送信することにより、ユーザーは当該者の同意を得ており、その情報を共有できることを表明するものとします。
  • Smart ScanおよびOCRデータ. Smart Scan機能を使用して紙の名刺を撮影またはアップロードすると、画像は光学文字認識(OCR)で処理された後、サードパーティのAIプロバイダー(現在はOpenAI)に送信され、氏名、電話番号、メールアドレス、役職などの構造化された連絡先データが抽出されます。元の画像は抽出を完了するために一時的に保存され、30日以内に削除されます。抽出されたテキスト、言語メタデータ、および生成された連絡先レコードはユーザーのアカウントに保持されます。当社は、AIプロバイダーがユーザーのデータをモデルトレーニングに使用することを許可していません。
  • サードパーティ連携. ソーシャルログインプロバイダー、CRMプラットフォーム(SalesforceやHubSpotなど)、マーケティングツール、その他のサードパーティサービスを接続すると、当社はそれらの連携を運用するために必要な基本的なプロフィールデータおよび認証トークンを受け取ります。当社のサービスとCRM間で同期するよう選択した連絡先データは、ユーザーの指示によってのみ送信されます。
  • 自動データ収集. 当社は、訪問したページ、使用した機能、タイムスタンプ、参照元URL、デバイスタイプ、オペレーティングシステム、ブラウザタイプ、IPアドレス(ハッシュ化済み)、および大まかな位置情報(国レベル)を自動的に記録します。当社は、ユーザーの認証、設定の記憶、パフォーマンスの測定、メール開封の監視のために、Cookie、Webビーコン、ローカルストレージを使用します。アナリティクスまたはマーケティングCookieは、ユーザーが明示的な同意を提供した後にのみ設定されます。Cookieの設定は、当社のCookieバナーおよびブラウザ設定を通じて管理できます。
  • NFC/QRインタラクション. NFCカードをタップするか、QRコードをスキャンすると、サービスは受信者のデバイスとURLまたはvCardを交換します。当社は、日時、カード識別子、デバイスタイプ、大まかな位置情報を記録します。当社のNFCカードは、ISO 27001およびGDPRに準拠した暗号化、認証プロトコル、ドメインホワイトリスト、動的QRフォールバックを採用しています。紛失または盗難されたカードは、アカウント設定から無効化できます。
  • ウォレットパスデータ. Apple WalletまたはGoogle Walletにデジタル名刺を追加すると、当社は選択されたカード情報を含むパスを生成します。Apple Walletの場合、プッシュ通知による自動パス更新の配信およびパスのバージョン管理の追跡のため、デバイストークンを登録します。Google Walletの場合、ウォレットオブジェクト識別子を保存します。当社は、分析目的でウォレット保存統計(ウォレットタイプ、日付)を記録します。
  • プッシュ通知データ. プッシュ通知を有効にすると、当社はユーザーの各デバイスセッションごとにFirebase Cloud Messaging(FCM)トークンを収集します。これらのトークンは、ユーザーがオプトインした通知(例:カードスキャンアラート、接続リクエスト)の配信にのみ使用されます。プッシュ通知は、デバイスの設定またはアカウント内の通知設定からいつでも無効にできます。
  • ゲストユーザーデータ. 完全な登録なしにゲストとしてデジタル名刺を作成することが可能です。当社は、提供されたカードコンテンツを保存し、ゲストトークンを割り当てます。後日アカウントを作成した場合、ゲストデータは登録済みプロフィールに統合されます。
  • コミュニケーション. 当社は、品質保証およびサービス改善のため、カスタマーサポート、フィードバックフォーム、アンケートに送信されたメッセージを収集します。
情報の利用方法

当社は、同意、契約上の必要性、正当な利益に基づき、正当な目的のために個人情報を処理します。利用目的は以下のとおりです。

  • コアサービスの提供. ユーザーが共有を選択したフィールドの表示、デジタル名刺の交換、リードの管理、メール署名の生成、バーチャル背景の作成、モバイルウォレットへのカードの追加を可能にすること。
  • 連絡先取得およびリード管理. フォローアップコミュニケーションのため、受信者の明示的な同意を得て連絡先情報を保存すること。
  • Smart Scan処理. OCRおよびAIを使用してアップロードされた名刺画像から連絡先データを抽出し、ユーザーのネットワークに構造化された連絡先レコードを作成すること。
  • サービスの運営および改善. ログおよびアナリティクスを使用して、機能の確保、問題の診断、トレンドの分析、新機能の開発を行うこと。
  • パーソナライゼーションおよびマーケティング. 利用パターンに基づいてコンテンツ、レコメンデーション、通知をカスタマイズすること、同意を得てマーケティングコミュニケーションを送信すること、いつでもオプトアウトを可能にすること。
  • セキュリティおよび不正防止. 不審な行動を検知し、マルウェア、フィッシング、不正アクセスから保護すること。
  • 法的および規制上のコンプライアンス. 税務、会計、その他の法的義務を履行し、合法的な要請に対応すること。
  • 研究開発. 集約および匿名化されたデータを研究およびアルゴリズムの改善に使用すること。AIまたは機械学習ツールを展開する際に透明性と人間による監視を提供すること。
データ保持

当社は、上記の目的を達成するために必要な期間に限り、個人データを保持します。

  • アカウントおよびコンテンツデータ. アカウントがアクティブな間保持され、アカウント閉鎖後30日以内に削除または匿名化されます。ただし、法律または契約によりより長い保持期間が必要な場合を除きます。
  • Smart Scanソース画像. OCRのためにアップロードされたソース画像は、再処理および品質レビューのために最大30日間保持された後、自動的に削除されます。抽出された連絡先データは、ユーザーが削除するまでアカウントに保持されます。
  • 利用および運用ログ. 運用ログ(切り詰められたIPアドレス、ハッシュ化された識別子、デバイス/ブラウザのメタデータ、参照元URLを含む)は、アナリティクス、デバッグ、セキュリティ、サポートのために最大90日間保持された後、削除または匿名化されます。
  • GDPRに基づく最小化および保持. 当社は、デフォルトでログおよびアナリティクスにデータ最小化を適用し、可能な場合は識別子を仮名化し、セキュリティおよびサービスパフォーマンスに必要な最短期間に保持を制限します。ログデータは、法的に保持が求められない限り、90日以内に自動的に消去されます。
  • コミュニケーションおよび取引記録. 税務、会計、法的義務を満たすために最大7年間保持されます。
  • 匿名化または集約データ. 研究、ベンチマーキング、ビジネスインサイトのために無期限に保持される場合があります。
情報の共有方法

当社は個人情報を販売しません。データの共有は限定的な状況においてのみ行われます。

  • 他のユーザーとの共有. QRコード、リンク、NFCタップを通じてカードを共有する場合、受信者はユーザーが開示を選択したフィールドのみを閲覧します。
  • ユーザーの同意に基づく共有. ユーザーが承認した場合、特定の目的のために情報を共有することがあります。
  • サービスプロバイダーおよびパートナー. 信頼できるベンダーがインフラストラクチャのホスティング、決済処理、メール送信、アナリティクスの提供、カスタマーサービスのサポートを行います。ベンダーはその機能を遂行するために必要なデータのみを受け取り、機密を保持する義務があります。主なサービスプロバイダーのカテゴリーには、クラウドホスティング、決済処理業者、メール配信サービス、カスタマーサポートプラットフォームが含まれます。
  • アナリティクスおよび広告プロバイダー. ユーザーの同意を得て、パフォーマンスの測定およびマーケティングの改善のため、アナリティクスプロバイダー(現在はGoogle Analytics、Amplitude、Mixpanel)および広告プラットフォーム(Facebook/Meta Pixel、Googleコンバージョントラッキング)と利用データを共有します。これらのプロバイダーはCookieまたはWebビーコンを使用する場合があり、各社のプライバシーポリシーに基づいてデータを処理します。ユーザーの事前の明示的な同意なしに、アナリティクスまたは広告Cookieが設定されることはありません。
  • AIおよび機械学習のデータ処理者. Smart Scanを使用すると、アップロードされた名刺画像および抽出されたテキストが、構造化データ抽出のためにOpenAIに送信されます。OpenAIはデータ処理契約に基づいてこのデータを処理し、モデルトレーニングへの使用が禁止されています。ユーザーの知らないうちに、その他の個人データがAIプロバイダーと共有されることはありません。
  • CRMおよび連携パートナー. CRM連携(例:Salesforce、HubSpot)を有効にすると、ユーザーが提供するOAuthまたはAPI資格情報を使用して、ユーザーの指示により連絡先データが当該プロバイダーに送信されます。当社は、ユーザーの明示的な操作なしにCRM同期を開始することはありません。
  • 法的要件および権利の保護. 法律、召喚状、裁判所命令により求められた場合、または当社の契約を執行し、権利を保護し、法的請求に対応するために、情報を開示する場合があります。
  • 事業譲渡. 合併、買収、資産売却が行われる場合、個人情報は取引の一部として移転される可能性があります。重大な変更がある場合はユーザーに通知します。
  • 集約または非識別化データ. 個人を特定しない匿名化されたアナリティクスを、研究、マーケティング、ベンチマーキングのために共有する場合があります。
  • 国際的なデータ移転. データはユーザーの管轄区域外の国に移転され、処理される場合があります。当社は、標準契約条項、英国国際データ移転補遺、または関連するデータプライバシーフレームワークに依拠し、個人情報の取り扱いに関する苦情の解決に努めます。当社はEU-米国、英国、スイスのデータプライバシーフレームワークの認証を受けており、データプライバシーフレームワーク原則を遵守しています。
  • 再移転に関する責任. ユーザーのデータをサードパーティの代理人に移転する場合、当社は少なくとも同等の保護レベルを提供することを要求し、その処理に対する責任を負い続けます。
同意、マーケティングおよびアナリティクスのコンプライアンス
  • 個別の同意チェックボックス. 当社のフォームには、アナリティクス、マーケティング、サードパーティとの共有について、明確な説明を付した個別のチェックボックスが含まれています。チェックボックスは事前にチェックされることはなく、ユーザーはいつでも同意を撤回でき、当社は監査証跡としてタイムスタンプ付きの同意ログを維持しています。
  • Cookieの管理. 当社のCookieバナーは、「同意する」「拒否する」「設定を管理する」のオプションを提供し、必須Cookie、アナリティクスCookie(Google Analytics、Amplitude)、パーソナライゼーションCookie(Mixpanel)、広告Cookie(Facebook/Meta Pixel、Googleコンバージョントラッキング)について個別のトグルを備えています。ユーザーが同意するまで非必須Cookieは設定されません。Cookieを拒否しても、当社のサービスは引き続きご利用いただけます。
  • ターゲティング広告のオプトアウト. 当社は、ユーザーがオプトインしない限り、サードパーティの広告目的で連絡先データを使用しません。当社は、クロスコンテキスト行動ターゲティング広告のために個人情報を販売、交換、または共有することはありません。
  • ユーザーのコミュニケーションおよび他者に関する同意. 他者の連絡先情報を提供する場合、ユーザーはその同意を得る必要があります。当社は、法的手続きに従うために必要な場合、当該情報を開示することがあります。
役割、副処理者およびデータ処理契約

当社は、自社のユーザーアカウント、請求記録、利用ログについてはデータ管理者として、ユーザーの顧客の連絡先データを取り扱う際にはデータ処理者として機能します。当社は、義務、セキュリティ対策、保持期間、副処理者の承認を定義するデータ処理契約(DPA)を締結します。DPAはエンタープライズのお客様にはご要望に応じてご利用いただけます。副処理者(例:クラウドホスティング、アナリティクスプロバイダー、決済処理業者、AIプロセッサー)は審査を受け、機密性およびセキュリティ要件に契約上拘束され、当社のプライバシー義務の対象となります。副処理者の最新リストは当社のウェブサイトで公開されています。当社は、当該リストの重大な変更について少なくとも30日前にユーザーに通知し、新しい副処理者がユーザーのデータの処理を開始する前に異議を申し立てる機会を提供します。

セキュリティ対策およびデザインによるデータ保護

当社は、個人データを保護するために物理的、技術的、管理的な安全措置を講じています。対策には、保存時および転送時の暗号化、ロールベースのアクセス制御、多要素認証、ドメインホワイトリスト、動的リンク生成、定期的な脆弱性テスト、従業員のプライバシー研修、インシデント対応手順が含まれます。当社は絶対的なセキュリティを保証することはできませんが、損失、不正使用、不正アクセスを防止するための合理的な措置を講じています。データ保護の原則は製品設計に統合されており、リスクの高い処理にはデータ保護影響評価(DPIA)が実施されます。

AI、機械学習および透明性

当社のアナリティクスおよびパーソナライゼーションツールは、ネットワーキングのつながりを提案したり、エンゲージメントを最適化するために機械学習を使用する場合があります。当社のSmart Scan機能は、OCRおよびサードパーティの大規模言語モデル(現在はOpenAI GPT-4o-mini)を使用して、名刺画像から連絡先データを抽出します。当社はOpenAIとデータ処理契約を締結しており、ユーザーのデータをモデルトレーニングに使用することを禁止し、処理後の入力データの削除を義務付けています。AIを展開する際、当社は個人データの使用方法をユーザーに通知し、関連するロジックについて有意義な情報を提供し、人間による監視を確保します。EU AI法およびGDPR第22条に基づき、ユーザーは自動化された意思決定に異議を唱え、人間によるレビューを要求することができます。AIを活用した機能またはベータ機能は「現状のまま」提供され、変更または中止される可能性があり、独立した検証なしに重要な意思決定に使用すべきではありません。

国際データ移転および新たな規制

当社のインフラストラクチャはEUおよび米国でホスティングされています。越境移転については、標準契約条項、英国国際データ移転補遺、データプライバシーフレームワーク認証、その他の認められた保護措置に依拠しています。当社は、EUデジタルサービス法、デジタル市場法、AI法、英国の2025年データ(利用およびアクセス)法、インドの2023年DPDP法を含む、進化する規制を監視し遵守しています。

児童の個人情報保護

本サービスは13歳未満の児童を対象としておらず、当社は故意に児童から個人データを収集することはありません。児童が保護者の同意なく個人情報を提供したことが判明した場合、当社はその情報を削除します。16歳(または現地法で認められたより低い年齢)未満の未成年者を対象とする場合は、検証可能な保護者の同意を取得し、年齢確認機能を使用する必要があります。

ユーザーの権利

適用法に従い、ユーザーは以下の権利を有します。

  • 当社が保有するユーザーの個人データにアクセスすること
  • 不正確または不完全なデータを訂正すること
  • データを消去すること(忘れられる権利)
  • ダイレクトマーケティングを含む特定の処理を制限または異議を申し立てること
  • ユーザーが提供した情報について、構造化され、一般的に使用され、機械可読な形式でデータポータビリティを行うこと
  • 以前の合法的な処理に影響を与えることなく、いつでも同意を撤回すること
  • 自動化された意思決定に異議を唱え、法的またはそれに類する重大な影響を及ぼす決定について人間によるレビューを要求すること
  • 監督機関に苦情を申し立てること(ハンガリーではNAIH、その他のEU/EEA諸国ではユーザーの所在地のデータ保護当局)

当社は、検証済みの権利行使要求に対し、30日以内(GDPR)または45日以内(CCPA)に回答します。法律で認められる場合は延長の可能性があります。これらの権利は、アカウント設定を通じて、またはデータ保護責任者に連絡することにより行使できます。ユーザーはいつでもアカウントを通じてvCard形式でカードデータをエクスポートすることもできます。削除要求は当社が管理するデータに適用されます。他のユーザーと共有された情報、副処理者によって保存された情報、または外部CRMに同期された情報は、それぞれの当事者によって削除される必要があります。

カリフォルニア州プライバシー権(CCPA/CPRA)

ユーザーがカリフォルニア州居住者の場合、カリフォルニア州プライバシー権法により改正されたカリフォルニア州消費者プライバシー法に基づき、追加の権利が付与されます。

  • 知る権利. ユーザーは、当社が収集した個人情報のカテゴリー、収集元、収集の事業目的、データを共有するサードパーティのカテゴリー、および当社が保有する具体的な個人情報を要求することができます。
  • 削除する権利. ユーザーは、当社が収集した個人情報の削除を要求することができます。ただし、一定の例外(例:取引の完了、セキュリティインシデントの検出、法的義務の遵守)が適用される場合があります。
  • 訂正する権利. ユーザーは、不正確な個人情報の訂正を要求することができます。
  • 販売または共有をオプトアウトする権利. 当社は、CCPAの定義に基づく個人情報の販売を行っていません。当社は、クロスコンテキスト行動ターゲティング広告のために個人情報を共有していません。これが変更される場合、「私の個人情報を販売または共有しないでください」リンクを提供します。
  • 機密性の高い個人情報の使用を制限する権利. 当社は、CCPAの定義に基づく機密性の高い個人情報(例:社会保障番号、正確な位置情報、人種的または民族的出身)を収集していません。
  • 非差別. 当社は、CCPA上の権利を行使したことを理由にユーザーを差別しません。プライバシーに関する要求を行ったことにより、異なる価格設定やサービス品質が適用されることはありません。

要求を行うには、当社のウェブサイトに記載されているメールアドレスにご連絡いただくか、アカウント設定のプライバシー管理をご利用ください。要求の処理前にユーザーの身元を確認します。書面による許可があれば、正式な代理人がユーザーに代わって行動することができます。当社は、検証済みの要求に対し45日以内に回答します。過去12か月間に、当社は上記第2条に記載された個人情報のカテゴリーを、第3条に記載された事業目的のために収集しました。

データ侵害通知

ユーザーの権利および自由にリスクをもたらす可能性のある個人データ侵害が発生した場合、当社はGDPR第33条の要求に従い、侵害を認識してから72時間以内に、管轄の監督機関(ハンガリーデータ保護・情報自由局(NAIH)、またはユーザーの管轄区域の関連当局)に通知します。侵害がユーザーの権利および自由に高いリスクをもたらす可能性がある場合、当社は、侵害の性質、想定される影響、当社が講じたまたは講じる予定の対策、およびデータ保護責任者への連絡方法を記載し、メールまたはサービスを通じて不当な遅延なくユーザーに通知します。当社は、重大度にかかわらずすべてのインシデントを記録する内部侵害記録を維持しています。カリフォルニア州居住者に対しては、カリフォルニア州民法典第1798.82条にも準拠した通知を行います。

公開カードの表示設定および検索エンジンによるインデックス登録

デジタルカードの表示設定を「公開」に設定した場合、当該カードのページおよびそこに表示される情報は、検索エンジンのクローラーおよびボットを含む、インターネット上のすべての方がアクセス可能な状態となります。当社は、公開カードのURLをsitemapに含め、インデックス登録および検索可能性を促進するために、当該sitemapを検索エンジン(GoogleおよびBingなど)に送信いたします。公開ページに表示されるのは、お客様がカード上に表示することを選択した情報(例:氏名、役職、会社名、自己紹介文、アバター、バナー画像および有効化された連絡先フィールド)のみです。当社は、お客様のアカウントに紐づくメールアドレス、パスワード、請求情報、アナリティクスデータ、またはカード自体に追加されていないその他の情報を公開することはありません。「非公開」または「セキュア」に設定されたカードは、当社のsitemapから除外され、「noindex」のrobots指示を付して配信され、閲覧には認証またはPINが必要となります。これらのカードは、検索エンジンによるインデックス登録を意図しておりません。お客様は、アカウント設定を通じていつでもカードの表示設定を変更することができます。カードの設定を公開から非公開に変更した後も、検索エンジンが再クロールしてコンテンツを削除するまで、キャッシュされたバージョンが検索エンジンのインデックスに残存する場合がありますのでご注意ください。当社は、第三者のキャッシュ動作を制御することはできません。迅速な削除が必要な場合は、検索エンジンの削除ツール(例:Googleの「古いコンテンツの削除」ツール)をご利用いただけます。カードを公開に設定することにより、お客様はご自身の明示的な同意という法的根拠(GDPR Article 6(1)(a))に基づく本処理に同意し、当該情報が第三者のサービスによって収集および表示される可能性があることを了承するものとします。

本ポリシーの変更および連絡先情報

当社は、法律の変更または当社の慣行を反映するために、本プライバシーポリシーを更新する場合があります。重要な変更は、発効日の少なくとも30日前にサービスを通じてまたはメールにより通知し、発効日を明記します。発効日以降の継続的な使用は承諾とみなされます。プライバシーに関するご質問、データ保護に関するご要望、苦情については、当社のウェブサイトに記載されているメールアドレス宛にデータ保護責任者にご連絡ください。EU居住者は当社のEU代表者に、英国居住者は当社の英国代表者にもご連絡いただけます。当社のデータ保護責任者および代表者の連絡先は、当社のウェブサイトに掲載されています。当社の回答にご満足いただけない場合、ユーザーはお住まいの地域の監督機関に苦情を申し立てる権利を有します。