ERPC - Enhanced Solana RPC

プライバシーポリシー

1. 事業者情報(管理者)

本ウェブサイト(および関連するサービス)は、ELSOUL LABO B.V.(オランダ・アムステルダム)(以下「当社」)が運営します。
商業登記番号(KvK):80297625
プライバシーに関するお問い合わせ:[email protected]
当社は、GDPR 第37条に基づくデータ保護責任者(DPO)の設置義務が適用される事業には該当していません。当社は、当該評価を年1回 GDPR 第37条1項に基づき再評価します。

2. 本ポリシーの対象

本ポリシーは、当社が提供する以下の利用場面に適用されます。
  • ログイン不要の公開ウェブサイトの閲覧
  • 認証が必要な会員向け機能(例:ERPC のダッシュボード、アカウント機能等)の利用

3. 当社が取り扱う情報

3.1 公開ページ(ログイン不要)

当社自身は、公開ページにおいて Google Analytics 等のアクセス解析、広告タグ、行動追跡目的のクッキー を使用していません。
ただし、ウェブサイトの提供に伴い、ホスティング/CDN などのインフラ事業者が、セキュリティ確保や障害対応のために、次のような技術情報(アクセスログ)を取り扱う場合があります。
  • IP アドレス、ユーザーエージェント(ブラウザ/OS 等)
  • アクセス日時、閲覧した URL、リファラ
  • 応答ステータス、セキュリティ関連のメタデータ
当社はホスティング・CDN として Cloudflare を利用していますが、Cloudflare の行動分析系プロダクトは一切利用していません。Cloudflare はインフラ運用のみを担い、行動追跡はその対象に含まれません。

3.2 お問い合わせ

メール等でお問い合わせをいただいた場合、当社は返信・対応のために、メールアドレスおよびお問い合わせ内容等を取り扱います。

3.3 会員登録/ログインが必要なサービス

会員登録やログイン(例:Discord 認証)を利用する場合、当社はサービス提供のために次の情報を取り扱うことがあります。
  • アカウント識別子(例:メールアドレス、Discord ユーザー ID、ユーザー名)
  • 認証/セッション情報(例:トークン、API キー)
  • サービス提供に必要な設定・利用状況(例:プラン、サブスクリプション状態、許可 IP、レート制限/不正対策ログ)
  • サポート対応履歴、連絡内容

利用状況の解析(カスタマーサポート/サービス品質向上目的)

目的: 当社は、サービス品質の向上およびカスタマーサポートの提供を目的として、ログイン後のページ遷移、機能利用および操作イベントログを内部システムで取得し、社内で分析することがあります。
法的根拠: GDPR 第 6 条 1 項 (f) — 当社が提供するカスタマーサポートおよびサービス改善の正当な利益。本処理に関する正当な利益評価(LIA)を実施しており、ご請求により開示します。
取得する情報:
  • ページ遷移(ダッシュボード内の閲覧経路。/user/baremetal/:id のようにリソース識別子を正規化した形で保存)
  • 機能利用の種別(リソース管理、設定変更、認証等の操作カテゴリ。全リスト本条項に併記)
  • 内部リソース識別子(ベアメタル / VPS / RPC インスタンス ID 等)。お客様が特定のリソースに対して操作を行った際、ページ遷移ログと同一の保管期間内、内部擬名として保持
  • 操作タイムスタンプ
  • 端末ファミリ + メジャーバージョン、ブラウザファミリ + メジャーバージョン、ロケール
  • ハッシュ化した IP アドレス(ソルトはローテーションせず、Tier-1 秘密情報として管理)
取得しない情報:
  • リクエスト本文
  • 検索クエリ文字列
  • API キー、認証トークン
  • 生の IP アドレス
受領者・処理者: Cloudflare, Inc.(米国)が当社のデータ処理者として本ログの保管および処理を行います。Data Processing Agreement および EU Standard Contractual Clauses (SCC) に基づく契約を締結し、Transfer Impact Assessment (TIA) を実施しています。第 7 項参照。
法的・同等に重大な効果のある自動意思決定の不存在: 当社は AI 補助分析を社内サポート要員向けの行動パターン要約のために用いることがありますが、お客様に対して法的効果または同等に重大な効果を及ぼす自動意思決定は行いません(GDPR 第 22 条)。
保管期間: 本目的で取得したログは原則として取得から 30 日以内に削除します(第 8 項参照)。
異議申立権: お客様はいつでも GDPR 第 21 条に基づき本処理に異議を申し立てることができます。[email protected] までご連絡ください。お客様の権利を上回る正当な理由が当社に存在することを当社が示さない限り、本目的のための処理を停止します。
削除請求: GDPR 第 17 条に基づく削除請求を受けた場合、当社はお客様に関連するすべてのイベント、セッション、プレゼンス状態を削除します。当社は監査目的のため、お客様の利用者識別子の HMAC-SHA256 擬名化記録(別 key 使用)を最長 12 か月間保管します(GDPR 第 6 条 1 項 (f) 正当な利益に基づく)。本擬名化記録は GDPR 第 4 条 1 項にいう個人データに該当します。
データ保護影響評価 (DPIA): 本処理について GDPR 第 35 条に基づく DPIA を実施済みです。[email protected] までご請求いただくと開示します。
有効化状況: 本利用状況解析パイプラインは、現時点ではステージング環境でのみ稼働しています。本番環境での有効化は、Phase 0 文書整備(DPIA / LIA / ROPA)の完了および機能フラグの切替を条件としており、本ポリシー公開日とは独立したタイミングで実施されます。本プライバシーポリシーの本バージョンの公開をもって、当該処理に関する GDPR 第13条の情報提供を行ったものとします。

3.4 決済(Stripe)

有料プラン等の決済は Stripe により処理されます。当社はカード番号等の決済情報を保有しません。
Stripe は、当社とは独立したデータ管理者(controller)として決済関連の個人データを取り扱います。当社は、請求・契約管理のために必要な範囲で、Stripe から顧客 ID、購読状態、請求書/領収書、支払いに関するメタデータ等の情報を受領する場合があります。

4. 利用目的と法的根拠(GDPR)

当社は、適用される法令(GDPR を含みます)に基づき、以下の法的根拠により個人データを取り扱います。
  • 契約の履行:会員向けサービスの提供、アカウント管理、サポート対応
  • 正当な利益:ウェブサイト/サービスの運用・保守、セキュリティ確保、不正利用防止、障害解析
  • 法的義務:会計・税務等の法令対応
  • 同意:任意の案内(マーケティング等)を行う場合(同意はいつでも撤回できます)

5. クッキー等の利用

  • 公開ページ:当社自身は、解析/広告目的のクッキーを使用しません。
  • 会員向け機能:ログイン状態を維持するための「必須クッキー」(セッション等)を使用します。これらはサービス提供に必要であり、無効化すると一部機能が利用できない場合があります。
  • 第三者サービス:Stripe や Discord は、それぞれのサービス上でクッキー等を使用する場合があります(当社の管理外)。

6. 第三者提供・委託

当社は個人データを販売しません。
当社は、業務委託先(例:ホスティング・インフラ(Cloudflare, Inc.)、メール配信、決済(Stripe)、認証(Discord)等)に対し、必要な範囲で個人データの取扱いを委託することがあります。これらの委託先とは、適用法令に基づき、個人データの取扱いに関する契約(データ処理契約、DPA)を締結しています。

7. 国外移転(国際移転)

当社は欧州経済領域(EEA)を拠点としていますが、利用するサービス提供者(例:Stripe、Discord)やインフラの配置により、EEA 域外(例:米国等)で個人データが取り扱われる場合があります。
その場合、当社は標準契約条項(SCC)等の適切な保護措置を用い、必要最小限の情報に限定します。なお、当社は高リスクとされる法域へ、個人データを意図的に移転・保存することを目的として利用することはありません。
第 3.3 項の利用状況解析処理について、当社の処理者は Cloudflare, Inc.(米国本社)です。Cloudflare は EU リージョンのエッジインフラを提供していますが、米国親会社が米国法(CLOUD Act 等)に基づきアクセスする可能性は国際移転として取り扱います。
一部の処理は米国(Cloudflare)への移転を伴います。当該移転は、EU-US データプライバシーフレームワーク(DPF)の十分性認定(2023年7月10日付 欧州委員会実施決定 (EU) 2023/1795)の対象であり、加えて標準契約条項により保護されます。当社は、欧州委員会の 2021/914 標準契約条項(SCC)モジュール 2(管理者から処理者)を Cloudflare の Data Processing Addendum に基づき本移転の主たる仕組みとして適用し、2023年 EU-US データプライバシーフレームワーク十分性認定を二次的なセーフティネットとして位置付けています。Transfer Impact Assessment (TIA) を実施のうえ、補助的技術措置(保管時・転送時の暗号化、アクセス監査、公開バケット禁止)を講じています。

8. 保管期間

当社は、目的達成に必要な期間に限り個人データを保管します。
  • 技術ログ:セキュリティ/障害対応に必要な限定期間
  • アカウント情報:アカウントが有効な期間、および終了後は必要に応じて削除または匿名化
  • 会計・請求関連:オランダ法上必要な保存期間(一般に 7 年)など
  • 利用状況解析ログ(第 3.3 項):原則として取得から 30 日以内に削除します。
  • 日次集計(第 3.3 項):内部のトレンド分析に用い、最長 90 日間保管します。
  • 監査ログ(削除実施記録、アクセス監査記録など。利用者識別子は HMAC 擬名化されますが、匿名化ではなく擬名化された個人データに該当します):最長 12 か月間保管します(GDPR 第 6 条 1 項 (f) 正当な利益に基づく)。
  • デッドレターキュー検査用バケット(第 3.3 項):最長 7 日間保管し、指定管理者のみがアクセス可能です。

9. お客様の権利

GDPR 等の適用法令に基づき、お客様には以下の権利が認められる場合があります。
  • 開示(アクセス)、訂正、削除
  • 取扱いの制限、異議申立て
  • データポータビリティ
  • 同意の撤回(同意に基づく処理の場合)
権利行使のご希望は [email protected] までご連絡ください。また、お客様はオランダの監督機関(Autoriteit Persoonsgegevens)または居住地の監督機関へ苦情を申し立てる権利があります。
当社は、お客様に法的効果等の重大な影響を与える自動化された意思決定またはプロファイリングを行いません。

10. 改定

当社は必要に応じて本ポリシーを改定し、本ページに掲載します。
最終更新日: 2026年5月10日