本プライバシーポリシー(以下「本ポリシー」)は、あなた(以下「ユーザー」)と、第14条に記載された運営者によって運営されるビデオ会議サービスAULAA(以下「AULAA」「当社」)との間の法的拘束力のある文書です。 本ポリシーは、インドネシア共和国法律 2022年第27号 個人データ保護法(PDP法)、2008年第11号 電子情報取引法(2016年第19号により改正、以下「EIT法」)、2019年政令第71号 電子システム・取引実施に関する政令、ならびに Google API Services User Data Policy(Limited Use 要件を含む)に準拠して策定されています。 AULAAにアクセスまたは利用することにより、あなたは本ポリシー全体を読み、理解し、同意したものとみなされます。
1定義
本ポリシーにおいて、以下の用語は次の意味を持ちます:
1.1個人データ
PDP法第1条第1号に定義される、識別された、または識別可能な個人に関するあらゆるデータ。単独または他の情報と組み合わせて識別可能なものを含みます。
1.2データ主体
PDP法第1条第6号に定義される、個人データが処理されるユーザー。
1.3データ管理者
個人データ処理の目的を決定し管理を行う者として、AULAA。
1.4データ処理者
データ処理契約に基づきAULAAの代理で個人データを処理する、第三者インフラ・サービス提供者。
1.5サービス
ウェブ・モバイルアプリ、公開API、付随する機能を含むAULAAビデオ会議プラットフォーム。
1.6Googleデータ
第6条に詳述される、Google OAuth 2.0 を通じてAULAAにアクセスを許可するデータ。
2処理の法的根拠
AULAAによる個人データ処理は、PDP法第20条に従い、以下のいずれか又は複数の法的根拠に基づきます:
2.1明示的同意
データ主体からの有効、具体的、十分な情報に基づいた明確な同意 — アカウント作成時、又はオプション機能の有効化時(例:Google Calendar 同期)に取得します。
2.2契約の履行
あなたへのサービス提供契約の履行に必要な処理(例:会議参加者にあなたのプロフィールを表示)。
2.3法的義務
AULAAの法的義務を遵守するための処理(例:税務監査目的のログ保持、法執行機関からの正当な要請への対応)。
2.4正当な利益
データ主体の権利・利益を超えないAULAAの正当な利益のための処理(例:不正検知、アカウントセキュリティ)。
3処理する個人データのカテゴリ
異なる法的根拠と目的に基づき、以下のカテゴリの個人データを収集・処理します:
3.1識別・アカウント情報
氏名、メールアドレス、パスワード(bcryptでハッシュ化され平文では保存されません)、プロフィール写真、言語設定、タイムゾーン。出典:直接登録または Googleサインイン。法的根拠:2.1、2.2。
3.2会議コンテンツデータ
会議名、スケジュール、参加者リスト、会議内チャットメッセージログ、招待ゲスト。 AULAAは音声・映像ストリームを当社サーバーに一切保存しません。すべてのメディアは、メディアサーバーを介して参加者デバイス間でリアルタイムに伝送され、AULAAによってキャッシュ、録画、アーカイブされることはありません。ユーザーが録画機能を使用する場合、録画は完全にクライアントデバイス側 (client-side) で実行されます。生成された録画ファイルはユーザー自身のデバイスにのみ保存され、AULAAインフラへアップロードされることはありません。 法的根拠:2.2。
3.3技術・デバイス情報
IPアドレス、デバイス種別、ブラウザモデル、OSバージョン、セッション識別子、認証活動ログ。技術診断、異常検知、アカウントセキュリティに使用されます。法的根拠:2.4。
3.4利用統計データ
直接的識別子なしの集計統計:月間会議数、平均参加者数、平均所要時間。会話内容は分析されません。法的根拠:2.4。
3.5コミュニケーションデータ
AULAAサポートチームへ送信される通信(添付ファイルを含む)。法的根拠:2.1、2.2。
4処理の目的
個人データは以下の目的のためにのみ処理され、追加の同意なしに他の目的に使用されることはありません:
4.1サービス提供
アカウント作成・維持、会議ルームの提供、参加者の同期、カレンダー処理、招待・リマインダー送信。
4.2サービス通信
重要なアカウントセキュリティ通知、ポリシー変更、計画停止のお知らせ、サポート依頼への対応。
4.3セキュリティ・健全性
悪用、詐欺、スパム、ブルートフォース、利用規約違反の検知・防止。
4.4サービス改善
安定性、パフォーマンス、ユーザー体験向上のための集計分析。商業目的の個人プロファイリングは行いません。
4.5法令遵守
KUHAPおよび関連規制に基づく法執行機関からの正当な要請への対応を含む、適用法令の遵守。
5第三者による処理(サブ処理者)
AULAAはサービス提供を支援するために、第三者をデータ処理者として関与させる場合があります。各第三者は法的拘束力のあるデータ処理契約に拘束され、AULAAの指示に従ってのみ個人データを処理できます。
5.1インフラ提供者
クラウドホスティング、CDN、音声・映像伝送用のWebRTCメディアサーバー。アクセスは運用に厳密に必要な技術データに限定されます。
5.2認証提供者
Googleアカウントでのサインインを選択した場合のOAuth 2.0 提供者として Google LLC。処理は Google プライバシーポリシーに従います。
5.3メールサービス提供者
システム通知(メール確認、パスワードリセット、会議リマインダー)の送信に使用されるトランザクションメールサービス提供者。
5.4データ販売なし
AULAAは、広告、商業プロファイリング、又は本ポリシーに記載された以外の目的のために、いかなる第三者にも個人データを販売、賃貸、交換しません。
6Googleデータ & Limited Use Policy の遵守
OAuth 2.0 を介してAULAAアカウントをGoogleアカウントとリンクすることを選択した場合、Googleデータの取扱いは、ポリシーの一般条項に加えて本条によって特別に規定されます。
6.1要求するスコープ
AULAAは、有効化する機能に必要な最小限のスコープのみを要求します:• "openid"、"email"、"profile" — 認証と基本的な身元表示のため。• "https://www.googleapis.com/auth/calendar.events" — オプション、Google Calendar 同期を有効化してカレンダー内にAULAA会議イベントを作成・管理する場合のみ。必要以上に広いスコープは要求しません。
6.2Limited Use(限定使用)
Google APIから受信した情報の利用および他のアプリへの転送は、Limited Use 要件を含む Google API Services User Data Policy に準拠します。具体的に、AULAAは以下を行いません:• Googleデータを広告(パーソナライズ広告、リターゲティング広告を含む)の配信に使用すること。• Googleデータを第三者に転送すること。ただし第5条に基づくサブ処理者として、又は法律により要求される場合を除きます。• 以下を除き、人間にGoogleデータを読ませること:(i) あなたの明示的同意がある場合、(ii) セキュリティ目的(例:不正調査)に必要な場合、(iii) 適用法令の遵守、(iv) 匿名化・集約された内部運用目的。• 一般化された機械学習モデルの訓練にGoogleデータを使用すること。
6.3Googleデータの保存
OAuthトークンは暗号化された形式で保存され、認可されたプロセスのみがアクセスできます。https://myaccount.google.com/permissions のGoogleアカウント権限ダッシュボード、又はAULAAアカウント設定からいつでもアクセスを取り消すことができます。
6.4取消時の削除
Googleアクセスを取り消した場合、AULAAは関連する認証トークンを削除し、最大7(七)暦日以内にCalendar同期を停止します。
7データ保持
保持期間はデータカテゴリごとに異なります:
7.1アクティブなアカウントデータ
アカウントがアクティブな間保存。連続24(二十四)か月使用されていないアカウントはレビュー対象としてフラグ付けされ、事前通知後に無効化される場合があります。
7.2会議データ・チャットログ
会議メタデータとチャットログは、会議終了後最大90(九十)暦日間保存されます。ダッシュボードから事前に削除することも可能です。 AULAAは音声・映像ストリームや録画ファイルを一切保存しません。録画機能を使用する場合、録画ファイルはユーザー自身のデバイスにのみ保存されます — 保存期間、場所、アクセス制御はすべてユーザーの管理下にあります。
7.3技術・セキュリティログ
最大30(三十)日間保存。インシデント調査または法的義務のためにより長い保持が必要な場合を除きます。
7.4アカウント削除
アカウントを削除すると、関連するすべての個人データは最大30日以内に本番システムから削除されます。法律により保持が必要なデータ(例:財務取引記録)を除きます。
8データ主体の権利
PDP法第5条から第15条に従い、以下の権利があります:
8.1情報提供を受ける権利
管理者の身元、法的根拠、目的、処理される個人データのカテゴリについて明確な情報を受ける権利。
8.2アクセス・コピーの権利
一般的かつ構造化された電子形式での個人データのコピーを要求する権利(データポータビリティ)。
8.3訂正の権利
不正確、不完全、又は誤解を招く個人データの訂正を要求する権利。
8.4削除の権利
不要となった個人データの削除を要求する権利(「忘れられる権利」)。
8.5異議・制限の権利
特定の状況、特に正確性に異議を唱える場合や、管理者の正当な利益に対して異議を唱える場合に、処理に異議を唱えまたは制限する権利。
8.6同意撤回の権利
いつでも同意を撤回する権利。撤回前に行われた処理の適法性に影響を与えません。
8.7権利行使の方法
privacy@aulaa.co宛に件名「データ主体権利請求」でメールにて申請可能。3(三)営業日以内に受理を確認し、30営業日以内に解決します。複雑な請求で延長が必要な場合は通知します。
9国境を越えるデータ転送
AULAAの主要サーバーはインドネシア共和国/東南アジアリージョンに所在します。インドネシア共和国の管轄外への個人データ転送(例:バックアップ、技術サポート、サブ処理者処理)が発生する場合、PDP法第56条に従い、以下の要件を満たして実施されます:• 受信国における個人データ保護のレベルがPDP法と同等以上であること、又は• 適切で法的拘束力のある保護措置(例:標準契約条項)、又は• データ主体の同意。
10セキュリティ・保護措置
AULAAは、不正アクセス、改変、開示、又は破壊から個人データを保護するために、合理的な技術的・組織的措置を実施しています。これには、ロールベースアクセス制御、管理アクセスに対する多要素認証、本番・開発環境の分離、機密活動の監査ログが含まれます。それでも、いかなるシステムもセキュリティリスクから完全に免れることはできないため、あなたもアカウント認証情報の機密保持に役割を果たします。
11インシデント通知
データ主体に重大な影響を与える個人データ保護の失敗が発生した場合、AULAAはPDP法第46条に従い、最大3x24時間以内に影響を受けるデータ主体および個人データ保護当局(PDP法により指定)に通知します。通知には、インシデントの説明、影響を受けるデータカテゴリ、修復手順、緩和の推奨事項が含まれます。
13未成年者
AULAAサービスは13(十三)歳以上のユーザーを対象としています。17歳未満のユーザーについては、PDP法第25条およびインドネシア民法第1条に従い、親または法定後見人の同意が必要です。最低年齢未満の子どもが親の同意なくアカウントを登録したことが判明した場合、アカウントは無効化され、関連する個人データは削除されます。
14データ管理者・連絡先
AULAAサービスのデータ管理者には以下から連絡できます: • 一般メール:hello@aulaa.co• プライバシー関連請求:privacy@aulaa.co• データ保護責任者(DPO):dpo@aulaa.co• 違反報告:legal@aulaa.co AULAAによる個人データ処理が法令に違反すると判断した場合、PDP法により指定された個人データ保護当局に苦情を申し立てる権利もあります。
15本ポリシーの変更
本ポリシーは、処理慣行、規制、又はサービスの変更を反映するため、随時改定される場合があります。重要な変更は、施行少なくとも30(三十)日前に登録ユーザーにメールで通知されます。法律又はセキュリティ状況により緊急の変更が必要な場合を除きます。本文書上部の「最終更新日」は、改訂のたびに更新されます。変更の施行日以降にサービスの使用を継続することは、最新バージョンへの同意を構成します。