最終更新日:2026/05/08
データ管理者
GDPR第4条第(7)項の意味における管理者は以下の通りです:
- Julien Thierry Denis Robic, Ephemereプラットフォームを編集する個人事業主
- フランスのSIRENビジネスレジストリにSIREN番号804 168 565で登録
- 3 rue des lacs, 91350 Grigny, フランスに住所
- privacy@ephemere.orgでご連絡ください
データ保護責任者 (DPO) は現在のところ指定されていません。GDPR第37条に基づき、当社の処理活動の性質と規模を考慮すると、指定は必須ではありません。このポジションはサービスの成長に伴い見直される予定です。
お客様のデータに関するお問い合わせ
お客様の個人データまたはご自身の権利の行使に関するご請求については、privacy@ephemere.org またはお手紙により本社住所宛にお気軽にお問い合わせください。迅速な対応を心がけております。ご請求の内容、ならびに可能であればご登録いただいているメールアドレスをご明記ください。請求者の身元に合理的な疑いがある場合、GDPR第12条第6項に従い、本人確認証のご提示をお願いする場合があります。
処理の目的および法的根拠
お客様のデータは、以下の目的のため、指定された法的根拠に基づいて収集・処理されます:
- ユーザーアカウントの作成および管理(メールOTP、Google、Facebook による認証) — 法的根拠:契約の履行(GDPR第6条第1項(b))
- イベントの企画および参加(イベント作成、登録、組織およびメンバー管理) — 法的根拠:契約の履行(GDPR第6条第1項(b))
- トランザクション通知(ワンタイムパスワード送信、登録確認、サービス通知) — 法的根拠:契約の履行(GDPR第6条第1項(b))
- サービスセキュリティおよび不正利用防止(ログイン記録、不正アクセス検知) — 法的根拠:正当な利益(GDPR第6条第1項(f))、お客様の権利とのバランステストを実施済み
- 法的義務の遵守(識別ログの保管、司法命令への対応) — 法的根拠:法的義務(GDPR第6条第1項(c))
現時点では、商業的目的での処理は実施していません。今後そのような処理を実施する場合、事前のご同意をいただきます(GDPR第6条第1項(a))。
収集されるデータのカテゴリー
当社はデータ最小化の厳格な原則を適用しています(GDPR第5条第1項(c))。収集される可能性のあるカテゴリーは以下の通りです:
- アカウント識別情報:メールアドレス、ユーザー名(
username) - 外部アカウント識別子:Google ID(
googleId)、Facebook ID(facebookId)- これらのプロバイダーを通じた認証を選択された場合 - イベント開催地情報:住所、都市、地理座標(緯度・経度)- 企画されるイベントの場所をご指定された場合のみ
- イベント参加情報:参加者名(
Attendee.name)および企画者として入力されるメモ - ログイン情報:IPアドレス、タイムスタンプ、使用された認証方式
GDPR第9条に定める特別なカテゴリーのデータ(健康状態、意見、生体認証など)は収集しません。
データの受取人
お客様のデータは、処理目的の遂行に必要な者のみがアクセスできます:
- 秘密保持義務を負う Éphémère チームの認可されたメンバー
- お客様が参加されるイベントの企画者(お客様の参加に必要な情報に限定)
- GDPR第28条で定義される当社の技術的データ処理委託先(データ処理契約に基づく):Google LLC、Meta Platforms, Inc.(お客様が開始する OAuth 認証フロー)、OVH SAS(インフラ・ホスティング)
- 法的根拠に基づく行政・司法当局
当社はお客様のデータを商業目的でいかなる第三者に対しても販売・賃貸・開示いたしません。
EU域外への国際的なデータ転送
Google または Facebook を通じた認証を選択された場合、限定的なデータ(メールアドレスと技術識別子)が Google LLC または Meta Platforms, Inc. のアメリカのサーバーに転送されます。これらの転送は、2023年7月10日の欧州委員会適切性決定により統治されており、EU-U.S. Data Privacy Framework を認識しています(受取人エンティティがプログラムに登録・自認証されている場合)。
欧州司法裁判所での継続中の上訴を踏まえ、本法的根拠の脆弱性を認識しており、標準契約条項(SCC)(EU決定2021/914)へのフォールバック機構を準備し、転送影響評価(TIA)を伴わせております。無効化時の保護継続を保証するためのものです。
適用される保障措置のコピーについては、privacy@ephemere.org への簡単なご請求でお取得いただけます。
Facebook ログインに関連付けられたデータを具体的に削除するには、専用手順に従うことができます。Google の場合、myaccount.google.com/permissions ページから Éphémère に付与されたアクセスを取り消すことができます。当社に保存されたデータの削除は、privacy@ephemere.org へのリクエストにより取得されます。
データの保持期間
GDPR第5条第1項(e)に準拠し、データは指定された目的の達成に必要な期間のみ保持されます:
- アカウントデータ:アカウントが有効である限り保持。削除時、30日以内に本番データベースから削除
- 削除後の証拠保管アーカイブ:契約履行の証拠に厳密に必要なデータは、関係終了後3年間、中間アーカイブに保持(CNIL勧告No.2021-131に準拠)
- 識別ログ:仏法令2004-575号(LCEN)および令2021-1363号に基づき、正確に1年間保持
- アプリケーション・セキュリティログ:30日間保持(セキュリティインシデントが証拠目的での一時的延長を正当化する場合を除く)
- イベント・参加データ:イベント開催に必要な期間保持、その後、企画者の必要に応じてアーカイブまたは匿名化(最大3年以内)
上記期間満了後、データは取り返しのつかない方法で削除または匿名化されます。
お客様の権利
GDPR第15条から第22条に従い、お客様のデータについて以下の権利を有します:- アクセス権(第15条):お客様に関するデータが処理されていることの確認を得る、および写しを受け取る
- 訂正権(第16条):不正確またはお客様のデータの不完全部分を修正する
- 削除権(第17条)、いわゆる「忘れられる権利」(規則が定める場合)
- 処理制限権(第18条)
- データポータビリティ権(第20条):構造化された、一般的に使用される、機械読取可能な形式でお客様のデータを受け取る
- 異議権(第21条):正当な利益に基づく処理について
- 死後指示権:お客様のデータに関する死後指示を設定する権利(仏情報・自由法第85条に基づく)
これらの権利を行使するには、privacy@ephemere.org までお問い合わせください。当社は請求受領から1ヶ月以内のご返答をお約束しており、複雑さまたは請求数により2ヶ月の延長が可能です(GDPR第12条第3項)。延長が必要な場合、その旨および理由をお知らせいたします。
未成年者の保護
Éphémère はスポーツ競技など、未成年者が関与する可能性のあるイベントをホストしています。未成年者の保護はサービス設計の中心的な柱です。GDPR第8条および仏情報・自由法第45条に準拠し、未成年者が同意に基づく処理に単独で同意することができる年齢はフランスで 15歳 に設定されています。それ以下の場合、同意は親権保持者により、または親権保持者と共同で与えられます。
未成年ユーザーについては、当社はデフォルトで英国の Age Appropriate Design Code に着想を得た強化された保護姿勢を採用します:
- プロファイリングまたはターゲット広告なし
- デフォルトでの地理情報位置なし
- 特定の親権者の同意がない限り、フルネームを公開しない(例:競技結果の公開)
- デフォルトで、企画者および未成年者が所属する組織にのみ可視性を制限
親権保持者であり、未成年者に代わって権利を行使されたい場合は、privacy@ephemere.org までお問い合わせください。法的代表者としての適格性の確認をお願いする場合があります。
監督当局への苦情提出
当社にお問い合わせいただいた後、お客様の権利が尊重されていないと判断される場合、GDPR第77条に基づき、管轄する監督当局に苦情を申し立てる権利を有します。EU域内の居住者の場合、国内のデータ保護当局に関する情報は EDPB メンバーリスト をご参照ください。
本ポリシーの変更
本ポリシーはサービスの変更、処理活動、または適用される法的枠組みの変更を反映するために修正される可能性があります。
重要な変更(目的の追加、法的根拠の変更、保持期間の延長、新しい受取人)の場合、メールまたはサービス上の目立つ通知でお知らせ申し上げます。必要に応じて新しい同意をお願いする場合があります。最終更新日はこのページの見出しに表示されています。