プライバシーポリシー

法務

プライバシーポリシー

最終更新日: 2026年6月2日 · GDPR準拠 · 準拠法: ドイツ連邦共和国 · このプライバシーポリシーのドイツ語版が正本となります。言語版間で相違がある場合は、ドイツ語版が優先されます。

        要約:
        当サービスは、運営とセキュリティの確保に必要なデータを収集します。データの販売や広告の掲載は行いません。本人確認はDiditによって処理されますが、セキュリティ上の理由から、特定の識別詳細を安全なサーバーログに保存します。また、公開プロフィールで使用するために、確認済みの詳細情報を保存することを選択（オプトイン）することもできます。データの削除はいつでもリクエスト可能です。
      

1. 管理者

Sebastian Fleckenstein
Erthalstr. 6.
97816 Lohr am Main, Germany
メール: contact@idroot.org

当サービスは個人によって運営されています。データ保護官（DPO）の設置は義務付けられておらず、任命もされていません。データ保護に関するお問い合わせは、上記の連絡先までお願いいたします。

2. 適用法

データの処理は、欧州一般データ保護規則 (GDPR)、ドイツ連邦データ保護法 (BDSG)、および電気通信・デジタルサービス・データ保護法 (TDDDG) に従います。

3. 収集するデータとその目的

3.1 ハンドル登録とアカウント作成

ハンドルを登録すると、idroot.orgプラットフォーム上にユーザーアカウントが作成されます。以下のデータが収集され、保存されます。

データ	目的	法的根拠 (GDPR)	保存期間
AT Protocol DID	ハンドルを確認済みアイデンティティに関連付け、DNS TXTレコードを提供するため	第6条第1項(b) — 契約	アカウント存続期間 + 30日間
選択したユーザー名 / ハンドル	ハンドルの予約と提供のため	第6条第1項(b) — 契約	アカウント存続期間 + 30日間
Didit確認ステータスとタイムスタンプ	実在の唯一の個人がハンドルを所有していることを確認し、重複登録を防止するため	第6条第1項(b) — 契約、第6条第1項(f) — 正当な利益	アカウント存続期間 + 30日間
利用規約への同意日と記録	法的遵守、契約上の同意の記録のため	第6条第1項(c) — 法的義務、第6条第1項(b) — 契約	アカウント存続期間 + 30日間
メールアドレス	利用規約やプライバシーポリシーの変更に関する通知、月刊ニュースレター（明示的な同意がある場合のみ）	第6条第1項(b) — 契約（アカウント通知）、第6条第1項(a) — 同意（ニュースレター）	アカウント存続期間 + 30日間
確認済みの本名と住所（オプトイン）	公開プロフィールへの表示、他のプロバイダーが再確認なしで本人確認を行えるようにするため	第6条第1項(a) — 同意	同意が撤回されるまで

3.1.1 AT Protocol認証とセッション

AT Protocolアカウントをidroot.orgに関連付けるために、お客様のAT Protocol PDS（Personal Data Server）との間で認証済みセッションが確立されます。これは以下のいずれかの方法で行われます。

パスワード / アプリパスワード: AT Protocolセッションの作成にのみ使用され、その後は保存されません。
OAuth: 可能な限り、認証および基本的なプロフィールデータの読み取りに限定された `atproto` スコープを介してアクセスされます。この機能がプロバイダーによって実装されていない場合は、フルアクセスをリクエストします。

認証の過程で以下のデータが処理されます。

データ	目的	法的根拠 (GDPR)	保存期間
パスワード / アプリパスワード	AT Protocolセッションの作成	第6条第1項(b) — 契約	セッション作成後は保存されません
アクセストークン / リフレッシュトークン	認証済みセッションの維持	第6条第1項(b) — 契約	アクティブなセッションの間
メールアドレス（AT Protocol `getSession` 経由）	認証プロセス中にAT Protocol PDSから送信され、アカウント通知のために保存されます（3.1参照）	第6条第1項(b) — 契約	アカウント存続期間 + 30日間

当社は、認証およびアカウント作成に必要なデータのみを要求します。お客様がアプリケーション内で明示的に操作を行わない限り、お客様に代わってアクション（投稿、フォローなど）を実行することはありません。

3.2 サーバーログ

ドイツでホストされているバックエンドサーバーは、各リクエストについて、IPアドレス、タイムスタンプ、HTTPメソッド、URL、レスポンスコード、およびユーザーエージェントを自動的に記録します。

さらに、セキュリティ上の理由から、確認プロセス中に提供された識別詳細（氏名、住所、身分証明書番号を含む）を記録します。

法的根拠: 第6条第1項(f) GDPR — システムセキュリティおよび法的遵守（TKG第100条）における正当な利益。保存期間: 90日間、その後自動的に削除されます。

3.3 ウェブ分析

当社は Cloudflare Web Analytics を使用しています。これはクッキーを使用せず、個人識別子も取得せず、サイト間のトラッキングも行いません。匿名化された集計データ（ページビュー、国レベル、リファラー）のみが収集されます。 法的根拠: 第6条第1項(f) GDPR — 正当な利益。同意バナーは不要です。

4. 収集しないデータ

当社は、本人確認書類の画像や生体認証データを収集または保存しません。ウェブサイトを横断してユーザーを追跡しません。広告クッキーやサードパーティのマーケティングトラッカーを使用しません。個人データを商業目的で販売、賃貸、共有しません。プロファイリングや法的影響を及ぼす自動意思決定を行いません。

5. クッキー

idroot.orgはトラッキングや分析のためのクッキーを設置しません。Cloudflareは、CDNやセキュリティインフラの一部として、技術的に必要なクッキーを設置する場合があります。これらは適用法の下で同意を必要としません。

6. データ処理者および第三者

6.1 Didit（本人確認）

Didit
C/ Nàpols 227, Barcelona, Spain
連絡先: hello@didit.me
プライバシーポリシー: didit.me/en/terms/privacy-policy/

Diditは、データ処理合意書（GDPR第28条）に基づく データ処理者 として機能します。本人確認を行う際、お客様のID書類と生体認証（顔スキャン）データはDiditによって処理されます。当社は、合格/不合格の結果とタイムスタンプのみを受け取ります。DiditはデフォルトでEU内（AWSインフラ）に確認データを保存します。DiditはISO 27001認証を受けており、GDPRに準拠しています。

Diditによって処理されたデータは、EEA外に転送される場合があります。そのような転送は、標準契約条項（GDPR第46条第2項(c)）および/または適用される十分性認定によって管理されます。

6.2 Cloudflare (DNS, CDN, セキュリティ, 分析)

Cloudflare, Inc.
101 Townsend St, San Francisco, CA 94107, USA

EU代表者およびドイツの連絡先:
Cloudflare Germany GmbH
Rosental 7, c/o Mindspace, 80331 München, Germany
プライバシーポリシー: cloudflare.com/privacypolicy/

すべてのウェブトラフィックはCloudflareのネットワークを通過します。Cloudflareは、DNS、CDN、DDoS保護、およびクッキーを使用しないウェブ分析を提供します。CloudflareはEU-USデータプライバシーフレームワーク（DPF）の下で認定されており、データ処理補遺（DPA）に基づくデータ処理者として個人データ（IPアドレスおよび技術的なアクセスデータを含む）を処理します。米国への転送は、EU-US DPFおよびGDPR第46条第2項(c)に基づく標準契約条項の下で行われます。

当社は、クッキーを使用せず、匿名化された集計データ（ページビュー、国レベル、リファラー）のみを収集するCloudflare Web Analyticsを使用しています。分析を通じて個人識別子が収集されることはありません。この使用に同意バナーは必要ありません。 法的根拠: 第6条第1項(f) GDPR — 安全でパフォーマンスの高いウェブサイト運営における正当な利益。

Cloudflareは、CDNおよびセキュリティインフラの一部として、厳密に必要な技術的クッキーを設置する場合があります。これらは適用法（TDDDG第25条第2項）の下で同意を必要としません。

6.3 バックエンドホスティング (IONOS SE)

IONOS SE
Elgendorfer Straße 57, 56410 Montabaur, Germany
HRB 24498, Amtsgericht Montabaur
データ保護官: datenschutz@ionos.de

idroot.orgのバックエンド（すべてのユーザーアカウントデータ（DID、ハンドル、確認ステータス、規約同意記録、オプションのメールアドレス）を含む）は、ドイツのIONOS SEが運営するサーバーでホストされています。IONOS SEは、注文処理契約（GDPR第28条）に基づき データ処理者 として機能します。ホスティングの過程で、バックエンドからの個人データがEEA外に転送されることはありません。

法的根拠: 第6条第1項(b) GDPR — 契約の履行に必要な処理（ハンドル提供およびアカウント管理）、第6条第1項(f) GDPR — 安全で信頼性の高いインフラ運営における正当な利益。

6.4 AT Protocol ネットワーク

ハンドルを有効にすると、ユーザー名とDIDを関連付ける公開DNS TXTレコードが作成されます。これは設計上公開されるものであり、AT Protocolのハンドル解決の仕組みであり、プロトコルに固有の範囲を超えたidroot.orgによる個人データの開示ではありません。

7. 国際的なデータ転送

データがEEA外（米国のCloudflareインフラなど）に転送される場合、転送はEU-USデータプライバシーフレームワークおよびGDPR第46条第2項(c)に基づく標準契約条項に従って行われます。

8. GDPRに基づくお客様の権利

以下の権利を行使するには、contact@idroot.org までご連絡ください。1か月以内に回答いたします（GDPR第12条第3項）。

アクセス権（第15条）: データの処理状況の確認およびデータのコピーを請求できます。
訂正権（第16条）: 不正確なデータの訂正を請求できます。
消去権（第17条）: データの削除を請求できます。これにより、ハンドルとDNSレコードも削除されます。
制限権（第18条）: 特定の状況下で処理の制限を請求できます。
データポータビリティ権（第20条）: 同意または契約に基づく処理の場合、構造化され、一般的に利用され機械判読可能な形式でデータを請求できます。
異議申立権（第21条）: 正当な利益に基づく処理に対して異議を申し立てることができます。
同意撤回権（第7条第3項）: いつでも同意を撤回できます。撤回前の処理の適法性には影響しません。
不服申立権（第77条）: BfDI またはお住まいのEU加盟国の監督当局に不服を申し立てることができます。

9. データセキュリティ

通信時のTLS暗号化、アクセス制御、サーバー側の保存データの暗号化、およびログの自動削除を実施しています。お客様の権利にリスクを及ぼす可能性のあるデータ侵害が発生した場合、72時間以内に管轄の監督当局に通知し、必要に応じて影響を受ける個人にも通知します（GDPR第33条〜第34条）。

10. 未成年者

本人確認には政府発行の顔写真付きIDが必要であり、ユーザーは適用される最低年齢を満たしている必要があります。当社は、この閾値未満の子供から故意にデータを収集することはなく、発見した場合は削除します。

11. プライバシーポリシーの変更

本プライバシーポリシーは随時更新されることがあります。変更は、更新された日付とともにこのページに掲載されます。重要な変更がある場合は、メールアドレスを提供しているユーザーに対して、合理的な範囲で通知するよう努めます。

12. お問い合わせ

Sebastian Fleckenstein
Erthalstr. 6.
97816 Lohr am Main, Germany
メール: contact@idroot.org