プライバシーポリシー

最終更新日:2026年5月2日

Monoidは1つの原則に基づいて構築されています:必要なものだけを収集し、識別子を直ちに最小化し、訪問者プロファイルを回避します。本ポリシーでは、当社が処理するデータ、その理由、方法について説明します。

1. 当社について

Monoidは、ブラジルに設立されたIzac Cavalheiro(monoid@monoid.website)によって運営されています。本ポリシーに関するご質問は、当該アドレスまでお問い合わせください。

Monoidは現在、EU、UK、またはEEAに事業所を維持しておらず、GDPR第27条またはUK GDPRに基づく代表者を任命していません。この適用除外は、EU/UK/EEAのデータ主体の処理が大規模ではなく、特別なカテゴリーのデータを伴わず、個人に高いリスクをもたらす可能性が低いために適用されます。当社は毎月処理されるEU/EEAデータ主体の量を監視しています。処理が暦月あたり5,000の異なるEU/EEAデータ主体を継続的に超える場合、その閾値が維持される前に、GDPR第27条に基づくEU代表者(および、別途UK GDPR第27条に基づくUK代表者、Swiss nFADP第14条に基づくスイス代表者)を任命します。

2. お客様の代わりに収集する訪問者データ

訪問者がMonoid計装サイトでページを読み込むと、JavaScriptトラッカーは以下を含むページビューリクエストを送信します:

  • スクリプトタグに設定されたサイトID
  • /pricingなどのページパス
  • 利用可能な場合のリファラーホスト名
  • ブラウザによって報告される画面幅
  • 粗いエッジメタデータから導出される国コード
  • User-Agentパターンマッチと粗い画面幅から導出される幅広いデバイスタイプ
  • ユニーク訪問者をカウントするためだけに使用される一方向の日次ハッシュ
  • サイトがwindow.monoid('event', ...)を呼び出すか、自動インタラクション追跡を有効にした場合の、カスタムイベント名とオプションの数値
  • ルート変更またはページアンロード時のミリ秒単位のページ滞在時間。平均サイト滞在時間の計算に使用されます

保存しないもの: IPアドレス、完全なUser-Agent文字列、クッキー、デバイスフィンガープリント、正確な位置情報、または永続的な日跨ぎ訪問者識別子。

ユニーク訪問者ハッシュは、SHA-256(IP + User-Agent + SALT + YYYY-MM-DD)として計算されます。日付コンポーネントは、ハッシュが毎日UTCの真夜中に変わることを意味します。秘密のSALTは、保存されたアナリティクス行からの逆引きを実用上不可能にします。ハッシュは、永続的な訪問者プロファイルとしてではなく、日次カウントシグナルとして使用されます。

3. 収集するアカウントデータ

Monoidアカウントを作成または使用すると、当社は以下を収集します:

  • お客様のメールアドレス(ログインおよびトランザクションメール用)
  • メール/パスワードで登録した場合の、ソルト付き一方向ハッシュとして保存されるパスワード
  • ソーシャルログインを使用する場合のOAuthプロバイダー識別子(Google、GitHub、Microsoft、Facebook、有効化時) — OAuthパスワードを受け取ることはありません
  • 登録されたドメイン名
  • 日付範囲、チャートタイプ、可視パネルなどのダッシュボード設定
  • リセットリンクが有効な間、ハッシュ形式のパスワードリセットトークン
  • お客様が当社に送信する連絡およびサポートメッセージ
  • 完全にStripeによって処理される請求情報 — カード番号を見たり保存したりすることはありません

4. クッキーとストレージ

トラッカースクリプトはクッキー、localStorage、sessionStorageを使用しません。

Monoidダッシュボードは、最大30日間ログインを維持するためにhttpOnlyセッションクッキー(user_token)を使用します。これらのクッキーはアプリケーションに厳密に必要であり、他のウェブサイト全体でお客様を追跡することはありません。

5. データの使用方法

  • 訪問者データ — ダッシュボードで集計アナリティクスを提供するため。
  • アカウントメール — ようこそメール、サイト有効化、パスワードリセット、サービスメールを送信するため。
  • ダッシュボード設定 — 選択したダッシュボードレイアウトとチャート設定を記憶するため。
  • 連絡およびサポートメッセージ — リクエストに返信するため。
  • 請求データ — Stripeを介して支払いを処理し、財務記録保持要件に準拠するため。

当社は、お客様のデータを広告、訪問者プロファイリング、または本サービスの運営を超える目的に使用しません。

6. データ共有

当社は以下とデータを共有します:

  • マネージドエッジインフラストラクチャ — データ収集とアプリケーションホスティング。
  • Stripe — 支払い処理用。
  • Resend — トランザクションメール配信および連絡/サポートメッセージ配信用。
  • OAuthプロバイダー — ソーシャルログインを選択した場合のみ、認証を完了するため。

当社はデータを販売しません。Monoidを運営するために必要なサービスプロバイダー以外の広告主、データブローカー、第三者とデータを共有することはありません。

6a. 国際的なデータ転送

Cloudflare、Stripe、Resendは米国に拠点を置く企業です。これらのプロバイダーへの個人データの転送は、EU標準契約条項(SCC)およびEU–US Data Privacy Framework、Swiss–US Data Privacy Framework(スイス居住者向け)、UK International Data Transfer AgreementまたはUK Addendum to EU SCCs(UK居住者向け)でカバーされています。各プロバイダーの転送メカニズムを確認できます:Cloudflare(cloudflare.com/trust-hub/gdpr/)、Stripe(stripe.com/legal/dpa)、Resend(resend.com/legal/dpa)。

6b. 処理の法的根拠

当社は以下の法的根拠に基づいて個人データを処理します(EU/UK GDPR第6条、Swiss nFADP第6条):

  • 訪問者アナリティクス(ハッシュ化、クッキー不使用、日次ローテーション) — 正当な利益(第6条(1)(f)):ウェブサイト所有者にプライバシー保護型オーディエンスアナリティクスを提供することが当社のコアサービスであり、設計が個別のデータ主体への影響を最小化します。
  • アカウント登録およびサービス提供 — 契約の履行(第6条(1)(b))。
  • トランザクションメール — 契約の履行(第6条(1)(b))。
  • 請求記録 — 法的義務(第6条(1)(c)):財務規制により支払い記録の保持が要求されます。
  • セキュリティロギングとレート制限データ — 正当な利益(第6条(1)(f)):プラットフォームを悪用と不正アクセスから保護するため。

7. データ保持

  • ページビューおよびカスタムイベントデータ — ダッシュボードレポートは最大2年(730日)の履歴をサポート。730日より古い行はクリーンアップ処理によって削除されます。2年のウィンドウは完全な保持ウィンドウでもあります — それより古いデータは保持されず、データエクスポートはこの完全なデータセットを反映します。
  • アカウントデータ、サイト、ダッシュボード設定、OAuthリンク、保留中のサインアップ、関連するページビュー、およびカスタムイベント — アカウント削除時にアクティブなデータベースから削除されます。
  • パスワードリセットトークン — 1時間有効で、置き換えまたは使用時に削除または無効化されます。
  • OAuthログイン状態 — 10分間有効で、コールバック処理後に削除されます。
  • 請求記録 — 適用される財務規制(通常7年)で要求される期間保持されます。

8. お客様の権利

管轄区域によっては、お客様には以下の権利があります:

  • 当社が保持するお客様に関する個人データへのアクセス
  • 不正確なデータの修正 — アカウント設定ページから直接メールアドレスを更新
  • アカウントとすべての関連データの削除
  • 構造化された形式でのアナリティクスデータのエクスポート
  • 正当な利益に基づく処理への異議(GDPR第21条/UK GDPR)
  • お住まいの国のデータ保護監督機関への苦情の申し立て

訪問者アナリティクスについては、当社は正当な利益(第6条(1)(f))に依拠しています。当社の正当な利益評価(LIA)は、3つの部分からなるEDPBテストを適用しています:(1) 目的テスト — プライバシー保護型オーディエンスアナリティクスを提供することは、Monoidとそのお客様の両方の正当な利益です。(2) 必要性テスト — 保存される各フィールド(ページパス、リファラーホスト名、国コード、デバイスカテゴリ、ブラウザファミリー、日次訪問者ハッシュ、日付)は個別に必要であり、それ以上の精度のものは保持されません。IPアドレスと完全なUser-Agent文字列はメモリ内でのみ使用され、ストレージに書き込まれることはありません。(3) バランステスト — 日次ローテーションのSHA-256ハッシュは、訪問者のIP、User-Agent、当社の秘密鍵への同時アクセスなしには実用上不可逆です。日跨ぎプロファイリングは不可能です。DNTシグナルは尊重されます。訪問者のデバイスにクッキーや永続的識別子は設定されません。総合的に、処理は個人へのリスクを最小限に抑えながら、コアサービス機能を可能にします。完全なLIAドキュメントのコピーは、monoid@monoid.websiteまでメールでリクエストできます。

EU/EEA居住者は、自国のDPAに連絡できます(edpb.europa.euの一覧)。UK居住者はICOに連絡できます(ico.org.uk)。スイス居住者はFDPICに連絡できます(fdpic.ch)。Monoidアカウント保有者は、アカウント設定ページから直接アカウントとすべてのデータを削除できます。

データアクセス、修正、ポータビリティ、または異議のリクエストについては、monoid@monoid.websiteまでメールでお問い合わせください。30日以内に返信します。スイス居住者は同じ連絡先により、nFADP第25条に基づく権利(情報、アクセス、修正、削除)を行使することもできます。

8b. 自動処理とプラン強制

Monoidは自動プラン制限強制を適用します:サイトが月間ページビュー割り当てを超えると、次の請求期間まで追加のページビュー行は記録されません。この決定は、個別のウェブサイト訪問者のプロファイリングではなく、お客様のアカウントの集計ページビュー数に基づいて自動的に行われます。これは、GDPR第22条またはUK GDPR第22条の意味におけるデータ主体への重要な法的または同様の影響を伴う自動決定を構成しません。Monoidアナリティクスデータを使用して自社ユーザーに関する自動決定を行う場合、お客様は自身のプライバシー通知で個別にこれを開示する必要があります。

9. セキュリティ

すべてのデータはHTTPS経由で送信されます。パスワードは平文で保存されることはなく、ソルト付き一方向パスワードハッシュを使用して保存されます。セッションクッキーはhttpOnlyであり、認証されたAPIリクエストはオリジンチェックによって制限されています。失敗したログイン試行、パスワードリセット、アカウント削除の確認などのセキュリティ関連イベントをログに記録します。

10. 子供のプライバシー

本サービスは16歳未満の人を対象とせず、また利用されることを意図していません。Monoidは、ウェブサイト所有者と開発者向けのビジネスアナリティクスプラットフォームです。アカウントを作成することにより、お客様は16歳以上であることを確認するものとします。当社は、子供から意図的にデータを収集することはありません。子供がアカウントを作成したと思われる場合は、当社までご連絡ください。速やかに削除します。

11. 本ポリシーの変更

重要な変更は、有効になる少なくとも14日前にメールで通知されます。上記の「最終更新日」は常に現在のバージョンを反映します。

12. お問い合わせ

プライバシーに関するご質問、データリクエスト、または懸念事項:monoid@monoid.website