発効日: 2023年1月25日
適用範囲: 本プライバシーポリシーは、TGV(tgvpn.io)のすべてのMTProtoプロキシサービス、ウェブサイト、クライアントに適用されます。EU圏内の居住者およびEU圏内で当社サービスにアクセスするユーザーについては、ユーザーのプライバシーと正当なデータ権利を保護するために、EU一般データ保護規則(GDPR)(規則(EU)2016/679)を完全に遵守します。
1. データ管理者情報(GDPR必須開示)
データ管理者として、TGVはユーザーがGDPR権利を行使するのを支援するために以下の情報を開示します:
- データ管理者:TGV VPN Services
- 登録住所:ダブリン、アイルランド(EU)。詳細な住所はプライバシーメールでのリクエストにより提供されます。
- データ保護責任者(DPO):専用プライバシーメール:privacy@tgvpn.io
- EU監督当局:データ保護委員会(DPC)、アイルランド。公式苦情チャネル:https://www.dataprotection.ie
- 連絡先:プライバシーに関するお問い合わせ、データ権利リクエスト、苦情はprivacy@tgvpn.ioまでメールしてください。GDPRで要求される30日以内に無料で回答いたします。
2. GDPRコアコンプライアンス原則(第5条)
TGVはGDPR第5条の7つの基本原則を厳守します。すべてのデータ処理活動は以下の基準に完全に準拠しています:
- 合法性、公正性、透明性:すべてのデータ処理には明確な法的根拠があります。当社は、隠蔽や誤解を招く記述なしに、処理目的、範囲、方法を完全に開示します。
- 目的の制限:データは、サービス提供、アカウント管理、セキュリティ保護、トラブルシューティングなどの明示的な目的のためだけに処理されます。無関係な使用は許可されません。
- データの最小化:当社はサービス提供に必要な最小限のデータのみを収集します。不必要な個人データや機密データは収集しません。
- 正確性:ユーザーデータは、完全性と正確性を確保するために、アクセス可能な修正チャネルを通じて最新の状態に保たれます。
- 保存制限:データは必要な最短期間のみ保持され、不要になったら完全に削除されます。
- 完全性と機密性:データ漏洩、改ざん、悪用を防ぐために、暗号化とアクセス制御手段が実装されています。
- 説明責任:当社はGDPRコンプライアンスを証明し、規制監査を受け入れるために完全な処理記録を維持します。
3. 収集される個人データ(フィールド別詳細)
3.1 必須サービスデータ(最小限の収集)
MTProtoプロキシサービスを提供するために、当社は以下の必須データのみを収集し、冗長な収集は行いません:
- 接続メタデータ:安定性監視とトラブルシューティングのためのサーバーIP、接続タイムスタンプ、切断時間、トラフィック使用量の一時記録。実際のユーザーIP、閲覧コンテンツ、Telegramチャットデータは決してログに記録されません。
- デバイス情報:サービス適応と接続最適化のためのデバイスモデル、システムバージョン、クライアントバージョン。
- アカウントデータ(有料ユーザーのみ):登録メールアドレス、注文ID、支払いステータス。完全な支払い認証情報は第三者支払いプロバイダーによってのみ処理され、TGVによって保存されることはありません。
3.2 決して収集しないデータ(GDPRレッドライン)
ユーザーのプライバシーを最大化するために、TGVは漏洩リスクを排除するために以下のデータの収集を厳しく禁止します:
- 実際のユーザーIPアドレスと地理的位置データ
- Telegramアカウントの詳細、チャット履歴、連絡先、通話ログ
- 第三者アプリデータ、閲覧履歴、政府発行の身分証明書情報
- 第三者分析・広告SDKはありません。ユーザーの行動追跡は完全に無効化されています。
4. データ処理の法的根拠(GDPR第6条)
- 契約の履行(第6条1項(b)):契約履行のためのMTProtoプロキシサービスの提供、注文処理、ユーザーアカウント管理にデータ処理が必要です。
- 正当な利益(第6条1項(f)):詐欺防止、サイバー攻撃緩和、サービス安定性のための処理。ユーザーの基本権との衝突がないことを確認するために正当な利益評価を完了しています。
- 法的義務(第6条1項(c)):法的義務および正当な公的機関の要請に従うためにデータ開示が必要になる場合があります。
- 明示的な同意(第6条1項(a)):非必須データ処理は、ユーザーの自発的、具体的、撤回可能な同意がある場合にのみ行われます。マーケティングコミュニケーションはデフォルトで無効です。
5. データ保存と越境送信(GDPR準拠)
5.1 保存期間
- 接続メタデータ:トラブルシューティングのために一時的に72時間保持され、その後バックアップなしで完全に削除されます。
- アカウントデータ(有料ユーザー):財務調整とアフターサポートのためにアカウントキャンセル後30日間保持され、その後完全に消去されます。
- 法的に必要なデータ:EUおよび現地の法律で要求される最小期間保持されます。
5.2 保存場所と越境移転
- データ保存:すべてのユーザーデータは欧州連合(EU)内のサーバー(例:AWS Frankfurt)にホストされます。EU域外にはデータは保存されません。
- 越境移転:サービス運用に必須でない限り、非EU地域への移転は厳しく禁止されています。必要な越境データフローには、標準契約条項と移転影響評価が実装されます。
6. ユーザーデータ権利(GDPR第12条~23条)
- アクセス権:自分の個人データのコピーと処理活動の詳細を要求する権利
- 訂正権:不正確または不完全な個人データの訂正または補完を要求する権利
- 消去権(忘れられる権利):データが不要になった場合、同意が撤回された場合、または処理が違法な場合にデータの完全な削除を要求する権利
- 処理制限権:データの正確性や処理の合法性に関する紛争解決中にデータ処理を停止する権利
- データポータビリティ権:個人データをCSV/JSON形式で別のデータ管理者に移転するためにエクスポートする権利
- 異議申立権:正当な利益に基づく処理(直接マーケティング活動を含む)に異議を唱える権利
- 同意撤回権:事前の処理の合法性に影響を与えずにいつでも以前に与えた同意を撤回する権利
- 苦情申立権:GDPR違反についてEUデータ保護当局(例:アイルランドDPC)に苦情を申し立てる権利
7. データセキュリティ対策(GDPR第32条)
- 送信暗号化:傍受や改ざんを防ぐためのすべてのサービス通信のTLS 1.3エンドツーエンド暗号化
- 保存暗号化:不正アクセスから保護するためのすべての保存ユーザーデータのAES-256暗号化
- アクセス制御:すべてのデータアクセス操作の完全な監査ログを備えたロールベースの権限管理
- セキュリティ監査:リスクを軽減するための定期的な脆弱性スキャン、侵入テスト、セキュリティレビュー
- データ漏洩通知:確認されたデータ漏洩が発生した場合、72時間以内に影響を受けるユーザーとEU規制当局に通知されます。
- スタッフトレーニング:守秘義務を徹底するための全スタッフ向け定期的なGDPRおよびデータセキュリティトレーニング
8. 第三者とのデータ共有(厳しく制限)
- 支払いプロバイダー:支払い処理を完了するために注文ID、取引金額、支払いステータスのみが共有されます。機密性の高い支払い詳細は完全に第三者ベンダーによって管理されます。
- クラウドインフラプロバイダー:サーバーメンテナンスのために非ユーザー運用データのみが共有されます。EU拠点のプロバイダーが優先されます。
- 法執行機関:有効な法的令状に応じてのみ最小限のデータ開示。開示前にすべての要求は法的に審査されます。
当社は商業目的のために、許可されていない第三者にユーザーの個人データを販売、取引、開示することは決してありません。
9. 未成年者保護(GDPR第8条)
- 当社は故意に未成年者から個人データを収集しません。未成年者関連データは、不正使用が発見された場合、直ちに削除されます。
- 法定保護者は、適切な確認を行った上で、未成年ユーザーデータの削除を当社のプライバシーチームに要求することができます。
10. ポリシーの更新と通知
- このプライバシーポリシーは、規制の更新やサービス調整を反映するために改訂される場合があります。重要な変更は、少なくとも30日前にウェブサイトの通知とユーザーメールで発表されます。
- TGV MTProtoプロキシサービスの継続使用は、更新されたポリシー条項の受け入れを構成します。
- 過去のポリシーバージョンは保持され、メールリクエストにより利用可能です。
11. 連絡先情報
- プライバシーに関するお問い合わせおよびデータ権利リクエスト:privacy@tgvpn.io
- カスタマーサポート:support@tgvpn.io
- 登録住所:ダブリン、アイルランド(EU)
- 規制機関への苦情:データ保護委員会(DPC) - アイルランド:https://www.dataprotection.ie